Upoważnienie pracownikom CUW będącemu odrębną jednostką organizacyjną powiatu wydaje ta odrębna jednostka organizacyjna (CUW).
Uprawnienie jednostki obsługującej (CUW) do przetwarzania danych zgromadzonych przez jednostkę obsługiwaną (np. Starostę) wynika z przepisów samego prawa. Na podstawie art. 6a SamGminU istnieje możliwość zapewnienia jednostkom organizacyjnym powiatu wspólnej obsługi, w szczególności administracyjnej, finansowej i organizacyjnej. Chodzi tu o jednostki organizacyjne powiatu zaliczane do sektora finansów publicznych, powiatowe instytucje kultury oraz inne zaliczane do sektora finansów publicznych, a także powiatowe osoby prawne utworzone na podstawie odrębnych ustaw w celu wykonywania zadań publicznych, z wyłączeniem przedsiębiorstw, instytutów badawczych, banków i spółek prawa handlowego. Jednostka obsługująca powołana do życia w drodze uchwały rady powiatu ma prawo żądania od jednostki obsługiwanej informacji oraz prawo wglądu w dokumentację w zakresie niezbędnym do wykonywania zadań w ramach wspólnej obsługi tej jednostki (art. 5b ust. 4 SamGminU). Jednostka obsługująca jest ponadto uprawniona do przetwarzania danych osobowych przetwarzanych przez jednostkę obsługiwaną w zakresie i celu niezbędnych do wykonywania zadań w ramach wspólnej obsługi tej jednostki. Uprawnienie to wynika wprost z art. 5d SamPowiatU.
Artykuł 4 pkt 2 RODO nakazuje uważać za przetwarzanie operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie.
Tak szeroka definicja przetwarzania danych oznacza w praktyce, że administrator danych musi upoważnić do przetwarzania danych osobowych konkretne osoby pozostające w strukturach tego administratora danych osobowych. Jeżeli więc konkretna osoba, która jest pracownikiem (lub pozostaje zatrudniona niepracowniczo – w przypadku umowy cywilnoprawnej, np. umowy zlecenia) administratora danych osobowych lub procesora (tj. podmiotu, któremu dane osobowe zostały powierzone) ma przetwarzać dane osobowe to powinna zostać do tego celu imiennie upoważniona.
Jeżeli nie upoważniono danej osoby do przetwarzania danych, a mimo to doszło do przekazania danych osobowych to administrator danych (procesor) może się narazić na zarzut przekazania danych osobie nieuprawnionej i wynikającą z tego tytułu odpowiedzialność cywilną lub karną, a także na nałożenie administracyjnej kary pieniężnej.