Zgodnie z art. 37 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych do przetwarzania danych osobowych mogą być dopuszczone wyłącznie osoby posiadające upoważnienie nadane przez administratora danych. Administratorem danych jest podmiot, który posiada władztwo decyzyjne nad danymi osobowymi, tzn. decyduje np. w jakim celu i zakresie dane gromadzi oraz ewentualnie komu je udostępnia. Za administratora danych uznaje się np. pracodawcę. Obowiązek administratora danych do wydania wspomnianego upoważnienia obejmuje wszystkich jego pracowników, o ile ich praca związana jest z przetwarzaniem danych osobowych (np. zbieraniem, utrwalaniem, przechowywaniem, opracowywaniem, zmienianiem, usuwaniem). Przepis ten odnosi się zarówno do osób, które przy wykonywaniu swojej pracy, w charakterze pracownika administratora danych, stale zajmują się przetwarzaniem danych, jak i do tych, które czasowo wykonują czynności w tym zakresie. Upoważnienie powinno być wydawane nie tylko osobom, które bezpośrednio zatrudnione zostały w celu przetwarzania danych, ale również innym osobom mogącym w takim przetwarzaniu uczestniczyć, a więc np. kierownikom jednostek organizacyjnych, pracownikom działu kadr czy działu płac.
Pracodawca, jako administrator danych swoich pracowników, ma także obowiązek prowadzenia ewidencji osób upoważnionych do przetwarzania danych, o której mowa w art. 39 ustawy o ochronie danych osobowych. Ewidencja ta powinna zawierać: imiona i nazwiska wszystkich osób upoważnionych przez administratora do wykorzystywania danych osobowych, daty nadania i ustania oraz zakres upoważnień do przetwarzania danych, a także identyfikatory tych osób, które dopuszczone zostały do przetwarzania danych w systemach informatycznych.
Przepisy ustawy o ochronie danych osobowych nie przewidują wyjątków w kwestii udzielania upoważnień do przetwarzania danych osobowych. Dlatego upoważniony do kontroli domowej pracownik musi mieć nadane uprzednio przez pracodawcę imienne upoważnienie do dostępu do zbioru zawierającego dane osobowe pracowników w zakresie obejmującym, tzn. kontrolę prawidłowości wykorzystywania zwolnień lekarskich. W tym wypadku zgoda osoby, której dane dotyczą nie jest wymagana, bo przetwarzanie danych osobowych chorego pracownika jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa (zob. art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych). Chodzi o przepisy rozporządzenia ministra pracy i polityki socjalnej z 27 lipca 1999 r. w sprawie szczegółowych zasad i trybu kontroli prawidłowości wykorzystywania zwolnień lekarskich od pracy oraz formalnej kontroli zaświadczeń lekarskich. Uprawniają one upoważnionego przez pracodawcę pracownika do przetwarzania danych osobowych pracowników będących na zwolnieniach lekarskich w ramach kontroli prawidłowości wykorzystywania przez nich zwolnień lekarskich.