Konsekwencją wskazanego powyżej obowiązku ochrony danych osobowych jest konieczność wyznaczenia przez pracodawcę pracowników, którzy będą mogli je przetwarzać. Do takich czynności mogą bowiem być dopuszczone wyłącznie osoby posiadające imienne upoważnienie nadane przez administratora danych (art. 37 ustawy).

Pracodawca ma również obowiązek prowadzenia ewidencji osób upoważnionych do ich przetwarzania. Powinna ona zawierać:

• imię i nazwisko osoby upoważnionej,
   
• datę nadania i ustania oraz zakres upoważnienia do przetwarzania danych osobowych,
   
• identyfikator, jeżeli dane są przetwarzane w systemie informatycznym (art. 39 ustawy).

Upoważnienie powinno wskazywać zakres danych osobowych, których dotyczy.

Zatem w omawianym przypadku przetwarzanie danych pracowników firmy, bez wydanego przez pracodawcę upoważnienia, stanowi naruszenie ustawy o ochronie danych osobowych. Pracodawca będzie w takiej sytuacji odpowiadał karnie za udostępnienie danych osobom nieupoważnionym.

Niezależnie jednak od odpowiedzialności pracodawcy, pracownik również jest narażony na sankcje karne wynikające z art. 49 ustawy. Zgodnie z tym przepisem, kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.