Zgodnie z ustawą o ochronie danych osobowych do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych (czyli w tym wypadku pracodawcę). Dotyczy to wszystkich osób, które przetwarzają takie dane w ramach działalności pracodawcy, np. zbierają je, utrwalają, przechowują lub jedynie mają do nich dostęp. Dopuszczenie do przetwarzania danych osób, które nie posiadają odpowiedniego upoważnienia, jest zagrożone sankcjami karnymi.
Chronione są wszystkie dane pracowników, które znajdują się w posiadaniu pracodawcy. Jednak ujawnianie takich danych, jak imiona, nazwiska, numery telefonów służbowych i służbowe adresy e-mail pracowników sprawujących określone funkcje w zakładzie pracy jest dozwolone, jeśli okaże się konieczne ze względu na funkcjonowanie zakładu i jego zadania (np. wobec kontrahentów, klientów itd.).