W dniu 7 lipca 2017 r. Generalny Inspektor Ochrony Danych Osobowych przedstawił sejmowej Komisji Cyfryzacji, Innowacyjności i Nowoczesnych Technologii informacje w zakresie przetwarzania i udostępniania tzw. danych geolokalizacyjnych.
W dokumencie tym czytamy, iż dostawcy aplikacji wykorzystujących funkcję geolokalizacji lub usług geolokalizacyjnych, mają obowiązek wdrażania polityki przechowania, umożliwiającą m. in. usuwanie danych profili lub danych geolokalizacyjnych.
„Jeżeli twórca systemu operacyjnego lub administrator infrastruktury geolokalizacji przetwarza niepowtarzalny numer, taki jak adres MAC lub identyfikator UDID w odniesieniu do danych dotyczących lokalizacji, niepowtarzalny numer identyfikacyjny może być przechowywany wyłącznie do celów operacyjnych przez maksymalnie 24 godziny” (s. 29 w/w Informacji).
Na podmiotach zbierających (przetwarzających) dane geolokalizacyjne, spoczywa szereg obowiązków, w tym obowiązek posiadania podstawy prawnej przetwarzania, spełnienie tzw. obowiązku informacyjnego, okresie przechowywania danych oraz praw osób, których dane są przetwarzane.
Powyższe obowiązki jawią się tym bardziej istotne, gdy spojrzymy na dane, które np. aplikacja zbiera o konkretnej osobie, jako te, z których można wysnuć kolejne dane o człowieku (np. informacje o życiu seksualnym, poglądy polityczne, filozoficzne, stan zdrowia, wyznanie czy informacje o nałogach).
