Każdy, kto przetwarza dane osobowe, powinien mieć do tego upoważnienie nadane przez administratora danych. W praktyce jednak to często administratorzy bezpieczeństwa informacji zajmują się nadawaniem takich upoważnień. Nadawanie upoważnień do przetwarzania danych rodzi wiele wątpliwości. Wśród najważniejszych można wymienić kwestię formy upoważnienia, tego, jaki powinien być jego zakres, czy tego, kto powinien je wydawać. Pojawia się też pytanie, czy trzeba upoważniać osoby prowadzące działalność gospodarczą, czy może trzeba podpisywać z nimi umowy powierzenia.