925
0
RODO

Jak wdrożyć w firmie monitoring GPS zgodnie z RODO? Praktyczny poradnik dla firm

Patrycja Myśliwiec
Patrycja Myśliwiec
30 września, 2025 · 4 min read
925
0

Coraz częściej przedsiębiorstwa, w szczególności te prowadzące działalność handlowo-usługową, sięgają po narzędzia i aplikacje umożliwiające monitorowanie ruchu pojazdów flotowych, w ramach których możliwe jest precyzyjne ustalanie lokalizacji danego pojazdu. Wdrożenie systemu monitoringu GPS uzasadnione jest najczęściej chęcią redukcji kosztów paliwa lub poprawą efektywności pracy, co niejednokrotnie przekłada się również na zmniejszenie liczby zdarzeń objętych ochroną ubezpieczeniową. Jak zatem wdrożyć monitoring GPS, tak aby nie ingerował w prywatność pracowników, a jednocześnie był skuteczny i zgodny z RODO?

Porozmawiaj z ekspertem 🎯

Borykasz się z zagadnieniem, które tutaj poruszyłem? Skontaktuj się ze mną! Wspólnie znajdziemy najlepsze rozwiązanie dla Twojego biznesu.

Bezpłatna konsultacja

Czy w ramach monitoringu GPS przetwarzane są dane osobowe pracowników?

Raczej jest to nieuniknione. Nowoczesne systemy monitorujące lokalizację pojazdów poza imieniem, nazwiskiem pracownika, numerem rejestracyjnym oraz danymi lokalizacyjnymi pojazdu przetwarzają również informacje o stylu jazdy, czy odbytych postojach. Jeśli system monitoringu GPS działa przez aplikację zainstalowaną na telefonie pracownika, zakres przetwarzanych danych osobowych może być jeszcze szerszy i obejmować lokalizację GPS telefonu, ID urządzenia oraz dostęp do innych danych w zależności od dokonanej konfiguracji.

W jakim celu pracodawca może przetwarzać dane osobowe w ramach monitoring GPS?

Monitoring GPS jako forma przetwarzania danych osobowych, podlega tym samym regulacjom prawnym co monitoring wizyjny, czy monitoring poczty elektronicznej pracowników, a więc zgodnie z art. art.  223 § 1 i 4 kodeksu pracy stosowany jest wyłącznie w celu organizacji pracy umożliwiającej pełne wykorzystanie czasu pracy oraz właściwe użytkowanie udostępnionych narzędzi pracy. Tak jak w przypadku ww. form monitoringu pracownicy powinni zostać o jego wdrożeniu uprzednio poinformowani w wewnętrznym regulaminie oraz w odrębnie sporządzonej informacji określającej cele, zakres i sposób monitorowania. Istotne jest, aby przetwarzanie danych osobowych miało miejsce w konkretnym, określonym w dokumentach wewnętrznych celu. Niedopuszczalne jest przetwarzanie danych osobowych w celu prowadzenia ewidencji obecności w sytuacji, gdy monitoring został wprowadzony w celu lepszej organizacji pracy.

Obowiązek informacyjny.

Podobnie jak w przypadku monitoringu wizyjnego, również w przypadku przetwarzania danych osobowych w ramach monitoringu GPS obowiązkiem administratora danych jest spełnienie obowiązku informacyjnego, o którym mowa w art. 13 RODO. Każda osoba, której dane są przetwarzane, powinna zostać poinformowana m.in. o:

  • podstawie prawnej przetwarzania danych,
  • celu przetwarzania,
  • okresie przechowywania danych,
  • odbiorcach danych,
  • przysługujących jej prawach.

Poza spełnieniem obowiązku informacyjnego dobrą praktyką jest również umieszczenie w pojeździe czytelnego piktogramu informującego o prowadzeniu monitoringu GPS.

Umowa powierzenia przetwarzania danych osobowych z dostawcą systemu GPS

Systemy monitoringu GPS są dostępne w różnych formach w zależności od potrzeb użytkowników. Systemy mogą przyjąć formę urządzenia fizycznego w postaci zamontowanego modułu GPS, który jest zasilany wprost z instalacji elektrycznej pojazdu albo przenośnego lokalizatora GPS, który posiada zasilanie własne. Najbardziej popularną formą monitoringu GPS są jednak aplikacje mobilne oraz systemy w module SaaS (Soft as a Service). Zdarza się również, że systemy te są zintegrowane z systemami ERP (zarządzanie firmą), systemami TMS (zarządzanie transportem), systemami ewidencji czasu pracy lub systemem kontroli dostępu. Gdy pracodawca zdecyduje się skorzystać z systemów zewnętrznego dostawcy, który, chociażby w ramach usług serwisowych lub hostingowych będzie miał dostęp do danych osobowych przetwarzanych w ramach aplikacji, należy wówczas zawrzeć umowę powierzenia przetwarzania danych osobowych.

W treści umowy należy uwzględnić m.in. rodzaj danych, kategorie osób, których dane dotyczą, cel i okres przetwarzania powierzonych danych osobowych, zobowiązać podmiot przetwarzający do wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniające bezpieczeństwo danych oraz umożliwić administratorowi przeprowadzenie kontroli/audytów. Istotne jest również ograniczeniu możliwości dalszego powierzenia danych osobowych do innych podmiotów np. poprzez wskazanie wyłącznie tych, dla których dostęp do danych jest niezbędny oraz określenie czasu po upływie, którego podmiot przetwarzający jest zobowiązany do usunięcia danych.

Test równowagi – kiedy należy go przeprowadzić?

Odpowiednią podstawą prawną przetwarzania danych osobowych w ramach monitoringu GPS będzie prawnie uzasadniony interes administratora (art.6 ust.1 lit. f) RODO). Należy jednak pamiętać, że skorzystanie z tej podstawy prawnej wymaga od administratora przeprowadzenia uprzednio tzw. testu równowagi. Termin “test równowagi” nie został wprost wskazanych w przepisach RODO, niemniej jednak stanowi on pewnego rodzaju standard. Test polega na dokonaniu analizy, w wyniku której administrator uzyskuje odpowiedź na pytanie: czy interes administratora danych (lub strony trzeciej), który uzasadnia przetwarzanie danych, nie jest nadrzędny wobec interesów lub podstawowych praw i wolności osoby, której dane dotyczą? Jeżeli w wyniku testu równowagi administrator uzyska odpowiedź twierdzącą, można wówczas uznać, że takie przetwarzanie będzie legalne.

Czy przed wdrożeniem monitoringu GPS konieczne jest dokonanie oceny skutków dla ochrony danych (DPIA)?

Zgodnie z art. 35 RODO administratorzy są zobowiązani do przeprowadzenia oceny skutków dla ochrony danych przed rozpoczęciem przetwarzania, które może wiązać się  z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Zgodnie z art. 35 ust. 3 RODO ocena skutków dla ochrony danych jest wymagana w szczególności w przypadku:

1)systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;

2.przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO; lub

3.systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Szczegółowe wytyczne dot. operacji podlegających ocenie są opracowywane i ogłaszane publicznie przez organy nadzorcze. W Polsce taki wykaz znajduje się w załączniku do Komunikatu Prezesa Urzędu Ochrony Danych Osobowych z 17 czerwca 2019 r., dotyczącym operacji przetwarzania wymagających przeprowadzenia oceny skutków. Zidentyfikowanie przez administratora co najmniej dwóch kryteriów w ww. wykazie obliguje go do dokonania oceny skutków dla ochrony danych.

Aktualizacja bieżących rejestrów

Bez wątpienia przetwarzanie danych osobowych w ramach monitoringu GPS stanowi odrębny proces, który powinien zostać odnotowany w prowadzonych przez każdego administratora Rejestrze Czynności Przetwarzania, który stanowi niejako mapę procesów przetwarzania danych osobowych w każdej organizacji.

Przetwarzanie danych osobowych a prywatność pracowników

Niejednokrotnie przy wdrażaniu monitoringu GPS pojawia się pytanie, czy nie narusza on zasad ochrony prywatności pracowników? W dużej mierze odpowiedź na tak postawione pytanie zostanie udzielona już na etapie dobrze przeprowadzonego testu równowagi i DPIA. Z pewnością monitoring GPS może być legalnym narzędziem pracy, o ile jest stosowany w sposób transparentny, proporcjonalny i zgodny z RODO. Kluczowe jest dobra komunikacja z pracownikami oraz wykorzystywanie monitoringu wyłącznie w czasie pracy, a nie w czasie prywatnym pracowników.

Patrycja Myśliwiec
PRAWNIK

Specjalizuję się w ochronie danych osobowych i bezpieczeństwie informacji. Od ponad 10 lat wspieram firmy i instytucje w zgodności z RODO, audytach oraz wdrażaniu systemów ochrony danych. Mam doświadczenie jako Inspektor Ochrony Danych i audytor. Pomagam organizacjom tworzyć bezpieczne i zgodne z prawem rozwiązania.

Skontaktuj się ze mną, chętnie odpowiem na Twoje pytania dotyczące naszej oferty i przedstawię rozwiązania dostosowane do Twojego biznesu.

Bezpłatna konsultacja