Meer informatie hierover vindt u in onze fiche 1 betreffende de verwerking van persoonsgegevens in het kader van personeelsbeheer, en meer bepaald onder de vraag “Wanneer moet de werkgever een Gegevensbeschermingseffectbeoordeling uitvoeren?” of de site van de Gegevensbeschermingsautoriteit.
Het is aangeraden om een Gegevensbeschermingseffectbeoordeling (‘Data Protection Impact Assessment, hierna DPIA) uit te voeren, aangezien twee van de negen criteria van de Working Group 29 vervuld worden bij het invoeren van geolokalisatie:
- Gegevens met betrekking tot kwetsbare betrokkenen, namelijk werknemers en
- Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen
Bovendien stelt de Gegevensbeschermingsautoriteit dat er een DPIA uitgevoerd moet worden “wanneer er sprake is van een grootschalige en/of systematische verwerking van telefonie-, internet- of andere communicatiegegevens, metagegevens of locatiegegevens van of herleidbaar tot natuurlijke personen (bijvoorbeeld wifi-tracking of verwerking van locatiegegevens van reizigers in het openbaar vervoer) wanneer de verwerking niet strikt noodzakelijk is voor een door de betrokkene gevraagde dienst;”.
Een werkgever zal een dergelijke DPIA uitvoeren en beslissen welke passende en technische maatregelen genomen moeten worden. Een dergelijke DPIA is een verantwoordingsdocument naar de Gegevensbeschermingsautoriteit om te bewijzen dat er een risicoanalyse is doorgevoerd.
Het is slechts bij het vaststellen dat zelfs bij het nemen van dergelijke maatregelen er nog steeds een hoog risico voor de betrokkene aanwezig is dat een voorafgaandelijke raadpleging bij de Gegevensbeschermingsautoriteit verplicht is.