Zgodnie z art. 32 ust. 4 to administrator oraz podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający charakterowi prowadzonego przetwarzania i związanego z nim ryzyka, podejmują działania w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora lub podmiotu przetwarzającego, która ma dostęp do danych osobowych, przetwarzała je wyłącznie na polecenie administratora, chyba że wymaga tego od niej prawo Unii lub prawo państwa członkowskiego. Z powyższych informacji wynika, że dane mogą być przetwarzane wyłącznie na polecenie administratora, przez osoby działające z jego upoważnienia lub podmiotu przetwarzającego.
Administrator musi zapewnić i mieć kontrolę nad tym kto i w jakim zakresie ma dostęp do danych osobowych i na jakich zasadach je przetwarza. Wprowadzone przez administratora środki bezpieczeństwa muszą służyć zapobieganiu pracy na danych osobowych, wglądu, jak również usuwania i modyfikowania tych danych przez osoby nieuprawnione. Zatem osoby, które będą przetwarzały dane osobowe zgodnie ze swoim wykazem obowiązków zostają poinformowane jaki jest zakres ich uprawnień. Dotyczy to osób na stałe zatrudnionych u administratora, ale także osób którym zlecono pracę, która będzie wiązała się z dostępem do danych osobowych (np. praktykanci, stażyści). Wydawanie upoważnień jest jednym z środków organizacyjnych, którego celem jest zapewnienie odpowiedniej ochrony danych osobowych i kontroli nad procesem ich przetwarzania.
Do przetwarzania danych osobowych dopuszczone mogą być wyłącznie osoby posiadające pisemne upoważnienie wydane przez administratora. Nadawanie upoważnień w postaci elektronicznej należy uznać za wykonanie obowiązku nadania upoważnień w formie pisemnej. W świetle zasady rozliczalności jakakolwiek postać, w tym elektroniczna, która pozwala na udokumentowanie spełnienia obowiązków celem wykazania przestrzegania przepisów, a w tym przypadku wykonania obowiązku wynikającego z art. 29 RODO należy uznać za prawidłową (źródło https://uodo.gov.pl/pl/225/1278).
W systemie RODO-ONLINE.EU w upoważnieniu („Pracownicy” / „Wygeneruj dokumenty” / „Upoważnienie”) w jednym miejscu możemy przypisać uprawnienia zgodnie z zakresem obowiązków służbowych. Upoważnienie jest ważne do czasu zakończenia stosunku pracy, stosunku cywilnoprawnego lub odwołania. Sprawdzenie aktualnego zestawienia uprawnień dla wszystkich pracowników, można również łatwo wygenerować; klikamy w „Raporty” / „Zestawienie uprawnień”; zaznaczamy interesujące nas kolumny / „Wygeneruj”). Dzięki takiemu rozwiązaniu Administrator ma pełną kontrole nad uprawnieniami dostępu do danych.