Tym zagadnieniem zajął się GIODO w reakcji na skierowane do niego pytanie. W tym miejscu należy zaznaczyć, że organ jak sam podkreśla nie ma uprawnienia do wydawania wiążących interpretacji, 
a więc zajmowane przez niego stanowiska w odpowiedzi na kierowane pytania mają jedynie charakter poglądowy i w konkretnym postępowaniu może zająć stanowisko odmienne.

Poniżej cytujemy stanowisko GIODO:

„Ustawa  dnia 29 sierpnia 1997 r. o ochronie danych osobowych ustanawia zakaz dopuszczania do przetwarzania danych osobowych, osób innych, niż mających upoważnienie nadane przez administratora danych. Nie przesądza jednak formy takiego upoważnienia. Jednakże względy dowodowe przemawiają za tym, by upoważnienie miało formę pisemną, albowiem zgodnie z art. 39 ust. 1 ustawy, w ewidencji osób upoważnionych do przetwarzania danych osobowych, którą prowadzi administrator, wskazać należy m.in. datę nadania, ustania oraz zakres upoważnienia do przetwarzania danych. Administrator danych jest obowiązany sprecyzować zakres upoważnienia, jaki jest konieczny do prawidłowego wykonywania obowiązków przez upoważnionego. Zakresy upoważnień do przetwarzania danych osobowych powinny być ustalane tak, aby zapewnić realizację obowiązku wynikającego z art. 38 ustawy. Pracownicy (osoby upoważnione do przetwarzania danych) powinni mieć natomiast faktyczny dostęp do danych osobowych tylko w zakresie udzielonych upoważnień. W upoważnieniu należy określić nazwę (nazwisko) i adres administratora danych, osobę upoważnioną do przetwarzania danych osobowych, datę nadania i, jeżeli jest ono przyznawane na czas określony, ustania oraz zakres upoważnienia do przetwarzania danych osobowych. Ustawa nie określa wymagań kwalifikacyjnych, jakie muszą spełniać osoby upoważnione do przetwarzania danych osobowych. Nie oznacza to jednak, że administrator danych może nadawać upoważnienia do przetwarzania dowolnym osobom. Administrator danych obowiązany jest bowiem dołożyć szczególnej staranności w celu ochrony interesów osób, których dane przetwarza. Ponadto, administrator danych jest obowiązany zastosować środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. W związku z powyższym przetwarzanie danych osobowych przez ich administratora musi odbywać się w sposób, który zapewni, by dane te nie zostały udostępnione osobom nieuprawnionym.
A zatem stwierdzić należy, iż kwestia dostępu poszczególnych osób do danych osobowych powinna być każdorazowo samodzielnie rozstrzygana przez administratora danych. Jest on bowiem najlepiej zorientowany w szczegółach prowadzonej przez siebie działalności i dzięki temu może określić komu oraz w jakim zakresie będzie nadane stosowne upoważnienie. Tym samym nie wydaje się, aby upoważnienie nadane w formie e-maila pozostawało w sprzeczności z przepisami ustawy o ochronie danych osobowych, jeśli spełnia wszelkie inne ww. wymogi z tej ustawy.”

Źródło: http://www.giodo.gov.pl/pl/329/3442