Monitoring GPS a DPIA

Jedynie jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych (art. 35 ust. 1 RODO). Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.

DPIA jest zatem zasadne, gdy przetwarzanie danych osobowych dokonywane jest w większym rozmiarze.

W przypadku opisanym w pytaniu, jeśli pozycja GPS nie jest odczytywana i rejestrowana na bieżąco, nie sposób również mówić o dużym prawdopodobieństwie naruszenia prawa i wolności osób fizycznych.

W myśl art. 32 ust. 1 RODO, uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Niezbędne jest zatem przeprowadzenie tego typu analizy celem dobrania odpowiednich środków ochrony danych osobowych. Wynik takiej analizy może również przesadzić o konieczności przeprowadzenia DPIA.

Reasumując, wysoce prawdopodobne jest, że w sytuacji opisanej w pytaniu przeprowadzenie DPiA nie będzie konieczne. Nie zwalnia to jednak administratora z przeprowadzenia analizy, o której mowa w art. 32 RODO. Dopiero jej ustalenia pozwolą jednoznacznie stwierdzić, czy DPiA jest konieczne.