Jeżeli pracodawca nie przetwarza takich danych samodzielnie, lecz dostęp do nich mają również niektórzy pracownicy, to zgodnie z RODO pracodawca musi prowadzić rejestr upoważnień. Każda osoba, która będzie miała dostęp do danych osobowych pracowników, musi zostać wdrożona we wszystkie procedury występujące u pracodawcy w zakresie ochrony danych osobowych oraz musi zostać upoważniona do przetwarzania danych osobowych (ze wskazaniem zakresu i podstawy). Pracodawcy, którzy sprawy dotyczące swoich pracowników zlecają podmiotom zewnętrznym (firmom rekrutacyjnym, biurom rachunkowym), są zobowiązani do zawarcia z tymi podmiotami (zwanymi procesorami) umów na powierzenie przetwarzania danych osobowych. Ponadto dla własnego bezpieczeństwa powinni również dokonać oceny tych podmiotów z punktu widzenia bezpieczeństwa przetwarzania danych osobowych, gdyż odpowiedzialność administratora danych osobowych i procesora jest solidarna.

RODO przewiduje ponadto o wiele szerzej niż dotychczas zakrojone obowiązki informacyjne pracodawcy. Każdej osobie, której dane będą przez niego przetwarzane muszą zostać przekazane informacje dotyczące:

• danych pracodawcy będącego administratorem danych i jego danych kontaktowych;
• danych kontaktowych inspektora ochrony danych, jeżeli został powołany;
• celu przetwarzania danych osobowych oraz podstawy prawnej ich przetwarzania wraz ze wskazaniem, czy podanie danych jest wymogiem umownym, ustawowym lub warunkiem zawarcia umowy oraz określeniem skutków ich niepodania;
• czasu przechowywania danych lub kryteriów jego ustalenia;
• praw osoby, której dane są przetwarzane: poprawienie, usunięcie, ograniczenie przetwarzania danych, sprzeciw wobec ich przetwarzania, profilowania, prawa do przenoszenia danych, dostępu do danych;
• ewentualnego zamiaru przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej;
• prawa cofnięcia zgody w dowolnym momencie;
• prawa wniesienia skargi do organu nadzorczego.

Oczywiście, niezależnie od powyższego, konieczne jest fizyczne zabezpieczenie przetwarzanych przez pracodawcę danych osobowych z uwzględnieniem zarówno dokumentów papierowych, jak również wszelkich informacji przechowywanych w wersjach elektronicznych. Pracodawca powinien pamiętać o przechowywaniu dokumentów w miejscach niedostępnych dla osób nieupoważnionych, zabezpieczeniu komputerów i wewnętrznych systemów hasłami oraz szyfrowaniu dokumentów i maili. Może on dobrać dowolne metody, które pozwolą na bezpieczne przechowywanie i przetwarzanie danych i których skuteczność będzie w stanie wykazać w razie ewentualnej kontroli Urzędu Ochrony Danych Osobowych.