Lausunto 5/2010 elinkeinoelämän ehdottamasta kehyksestä RFIDsovellusten yksityisyyden suojaa ja tietosuojaa koskeville vaikutusten arvioinneille

Transkriptio

1 TIETOSUOJATYÖRYHMÄ 00066/10/FI WP 175 Lausunto 5/2010 elinkeinoelämän ehdottamasta kehyksestä RFIDsovellusten yksityisyyden suojaa ja tietosuojaa koskeville vaikutusten arvioinneille Annettu 13. heinäkuuta 2010 Tietosuojatyöryhmä on perustettu direktiivin 95/46/EY 29 artiklalla. Se on riippumaton EU:n neuvoa-antava elin, joka käsittelee tietosuojaan ja yksityisyyden suojaan liittyviä kysymyksiä. Sen tehtävät määritellään direktiivin 95/46/EY 30 artiklassa ja direktiivin 2002/58/EY 15 artiklassa. Työryhmän sihteeristön tehtävistä huolehtii Euroopan komission oikeusasioiden pääosaston linja C (perusoikeudet ja kansalaisuus), toimisto No LX-46 01/190, B-1049 Bryssel, Belgia. Verkkosivusto:

2 Sisällysluettelo 1 Yleistä Johdanto Radiotaajuustunnistus (RFID) ja tietosuoja PIA-arviointikehyksen tavoitteet Yhteenveto ehdotetusta kehyksestä Analyysi Riskinarviointi Henkilöiden mukanaan kantamat tunnisteet RFID-sovellukset vähittäiskaupan alalla Lisähuomautukset Päätelmät

3 1 Yleistä 1.1 Johdanto Euroopan komissio antoi 12. toukokuuta 2009 suosituksen yksityisyyden suojaa ja tietosuojaa koskevien periaatteiden toteuttamisesta radiotaajuustunnistusta käyttävissä sovelluksissa 1. Suosituksen 4 kohdassa todetaan, että jäsenvaltioiden olisi varmistettava, että elinkeinoelämä määrittelee, yhteistyössä asiaan liittyvien kansalaisyhteiskunnan sidosryhmien kanssa, kehyksen yksityisyyden suojaa ja tietosuojaa koskeville vaikutusten arvioinneille. Tämä kehys on toimitettava hyväksyttäväksi 29 artiklan mukaiselle tietosuojatyöryhmälle 12 kuukauden kuluessa tämän suosituksen julkaisemisesta (alleviivaus lisätty). Kun jäsenvaltiot ovat määrittäneet kehyksen yksityisyyden suojaa ja tietosuojaa koskeville vaikutusten arvioinneille, niiden olisi varmistettava, että RFID-operaattorit tekevät RFID-sovelluksista yksityisyyden suojaa ja tietosuojaa koskevan vaikutusten arvioinnin (PIA) ennen niiden käyttöönottoa. Lisäksi jäsenvaltioiden olisi huolehdittava siitä, että RFID-operaattorit asettavat arviointiraportit toimivaltaisen viranomaisen (esim. tietosuojaviranomainen) saataville. Elinkeinoelämän edustajien johtama epävirallinen RFID-työryhmä aloitti heinäkuussa 2009 PIAarviointikehyksen valmistelun ja järjesti säännöllisesti tapaamisia sidosryhmien, kuten kuluttajajärjestöjen, standardointielinten ja tutkijoiden kanssa. Elinkeinoelämän edustajat toimittivat yksityisyyden suojaa ja tietosuojaa koskeville vaikutusten arvioinneille ehdottamansa kehyksen tietosuojatyöryhmän hyväksyttäväksi 31. maaliskuuta Tämä on tietosuojatyöryhmän virallinen lausunto kyseisestä ehdotuksesta. RFID-suosituksella viitataan jäljempänä 12. toukokuuta 2009 julkaistuun Euroopan komission suositukseen yksityisyyden suojaa ja tietosuojaa koskevien periaatteiden toteuttamisesta radiotaajuustunnistusta käyttävissä sovelluksissa. Ehdotetulla arviointikehyksellä tai arviointikehyksellä viitataan RFID-sovellusten yksityisyyden suojaa ja tietosuojaa koskeville vaikutusten arvioinneille ehdotettuun kehykseen, joka toimitettiin tietosuojatyöryhmälle 31. maaliskuuta Arviointikehys on tämän lausunnon liitteenä. 1.2 Radiotaajuustunnistus (RFID) ja tietosuoja Tietosuojatyöryhmä hyväksyi tammikuussa 2005 RFID-teknologiaan liittyviä tietosuojakysymyksiä käsittelevän valmisteluasiakirjan 2 (WP 105). Asiakirjassa tunnustettiin RFID-teknologian kiistattomat edut, mutta korostettiin, että sen käyttöön liittyy joitakin tietosuojaongelmia, joita aiheutuu etenkin yritysten ja viranomaisten mahdollisuudesta käyttää RFID-teknologiaa kuluttajien yksityisten tietojen urkintaan. Asiakirjassa todettiin, että mahdollisuus koota samasta henkilöstä erilaisia tietoja tämän tietämättä; jäljittää yksityishenkilöitä heidän liikkuessaan julkisilla paikoilla (lentokentät, rautatieasemat,

4 liikkeet); laatia kuluttajaprofiileja seuraamalla kuluttajien käyttäytymistä liikkeissä; lukea asiakkaiden pitämien vaatteiden ja asusteiden ja heidän mukanaan olevien lääkepakkausten tiedot ovat kaikki esimerkkejä sellaisista RFID-teknologian käyttötavoista, jotka herättävät huolta yksityisyyden suojasta. Valmisteluasiakirjasta järjestettiin sittemmin julkinen kuuleminen. Kuulemisprosessin tuloksista esitetään yhteenveto asiakirjassa (WP 111) 3, jonka tietosuojatyöryhmä julkaisi syyskuussa Tulosten mukaan useimmat korkeakoulut, asiantuntijaryhmät, yksityishenkilöt ja turvaratkaisuja tarjoavat yritykset esittivät lisäohjeiden pyytämistä tietosuojatyöryhmältä, ja jotkut ehdottivat tietosuojadirektiivin täydentämistä RFID-teknologiaa koskevilla erityissäännöillä, mutta elinkeinoelämä kannatti itsesääntelyyn perustuvaa lähestymistapaa. Tätä yleistä taustaa vasten ja yhteistyössä sidosryhmien kanssa (mukaan lukien elinkeinoelämä sekä tietosuoja- ja kuluttajajärjestöjen edustajat) Euroopan komissio teki aloitteen laatimalla suosituksen 4 yksityisyyden suojaa ja tietosuojaa koskevien periaatteiden toteuttamisesta radiotaajuustunnistusta käyttävissä sovelluksissa. Suosituksella annetaan jäsenvaltioille ohjeita RFID-sovellusten lainmukaisesta, eettisestä sekä yhteiskunnallisesti ja poliittisesti hyväksyttävästä suunnittelusta ja toiminnasta, jossa kunnioitetaan oikeutta yksityisyyden suojaan ja varmistetaan henkilötietojen suojaaminen. Tähän toukokuussa 2009 julkaistuun suositukseen sisältyy merkittävä uusi piirre. Siinä edellytetään, että RFID-operaattorit laativat ennen RFID-sovelluksen käyttöönottoa yksityisyyden suojaa ja tietosuojaa koskevien vaikutusten arvioinnin ja toimittavat sen tulokset toimivaltaiselle viranomaiselle. Tämä uusi lähestymistapa, joka täydentää tietosuojadirektiivistä ja sähköisen viestinnän tietosuojadirektiivistä muodostuvaa nykyistä lainsäädäntökehystä, tarjoaa elinkeinoelämälle tilaisuuden osoittaa, että itsesääntelyllä voidaan joustavasti ja tehokkaasti täydentää EU:n lainsäädäntökehystä nopeasti muuttuvassa teknologisessa ympäristössä. Tietosuojatyöryhmä suosittaa 5 yksityisyyden suojaa koskevien vaikutusten arviointien tekemistä erityisesti sellaisissa tietojenkäsittelytoimissa, joihin saattaa liittyä erityisiä rekisteröityjen oikeuksiin ja vapauksiin liittyviä vaaroja. Se katsoo, että tämä lähestymistapa voi onnistuessaan valmistaa tietä PIA-arviointien käytölle muilla osa-alueilla ja epäonnistuessaan johtaa sääntelyn kiristämiseen. RFID-suosituksella on tarkoitus edistää RFID-sovellusten käyttöä koskevaa tiedotusta ja avoimuutta etenkin varmistamalla, että standardointijärjestöt kehittävät eurooppalaisten asiaan liittyvien sidosryhmien tuella yhteiseurooppalaisen merkin jolla operaattorit tiedottavat ihmisille lukulaitteiden läsnäolosta. Aloitteella on tietosuojatyöryhmän täysi tuki. Vaikka RFID-suosituksessa viitataan nimenomaisesti direktiiviin 95/46/EY, sen terminologia poikkeaa tietosuojalainsäädännössä perinteisesti käytetystä erityisesti siltä osin kuin siinä viitataan henkilöihin, kuluttajiin tai käyttäjiin. Sekaannusten välttämiseksi termillä henkilö viitataan tässä lausunnossa direktiivin 95/46/EY 2 artiklassa tarkoitettuun luonnolliseen henkilöön, ja isolla alkukirjaimella kirjoitettuja termejä Käyttäjä ja Kuluttaja käytetään samassa merkityksessä kuin RFID Results of the Public Consultation on Article 29 Working Document 105 on Data Protection Issues Related to RFID Technology, Ks. The Future of Privacy: Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data, asiak. WP 168: 4

5 suosituksessa. Erityisesti sanaa henkilö voidaan käyttää yleisessä merkityksessä viittaamaan sekä Käyttäjiin että Kuluttajiin, jotka ehdotetussa arviointikehyksessä noudatetun RFID-suosituksen 3 kohdan määritelmän mukaan ovat kaksi eri henkilöryhmää. RFID-suosituksen tapaan tässä lausunnossa viitataan johdonmukaisuuden vuoksi RFID-operaattoreihin eikä rekisterinpitäjiin, vaikka nämä termit eivät täysin vastaakaan toisiaan. Euroopan lainsäätäjät uudistivat sähköisen viestinnän tietosuojadirektiiviä 6 marraskuussa 2009, ja nykyiseen direktiiviin sisältyy nimenomainen viittaus RFID-teknologiaan. Direktiivin 2009/136/EY johdanto-osan 56 kappaleessa tunnustetaan, että teknologioiden laajamittainen käyttö voi tuoda huomattavia taloudellisia ja sosiaalisia hyötyjä ja edistää merkittävästi sisämarkkinoiden kehitystä, jos kansalaiset hyväksyvät niiden käytön, mutta todetaan myös, että tämän tavoitteen saavuttamiseksi on tarpeen varmistaa kaikkien yksilön perusoikeuksien turvaaminen, mukaan lukien oikeus yksityisyyteen ja tietosuojaan. Siinä lisätään, että kun tällaiset laitteet on liitetty yleisesti saatavilla oleviin sähköisiin viestintäverkkoihin tai ne käyttävät sähköisiä viestintäpalveluja perusinfrastruktuurina, olisi sovellettava direktiivin 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) asiaa koskevia säännöksiä, kuten turvallisuutta, liikenne- ja sijaintitietoja ja luottamuksellisuutta koskevia säännöksiä. Tämän perusteella sähköisen viestinnän tietosuojadirektiivin soveltamisalaa (joka määritellään sen 3 artiklassa) laajennettiin koskemaan tiedonkeruu- ja tunnistuslaitteita tukevia yleisiä viestintäverkkoja. 1.3 PIA-arviointikehyksen tavoitteet Euroopan komissio määrittelee RFID-suosituksessa yksityisyyden suojaa ja tietosuojaa koskevassa vaikutusten arvioinnissa (PIA) noudatettavan prosessin, jolla pyritään saavuttamaan useita etuja: Ensinnäkin PIA-arvioinnin pitäisi edistää sisäänrakennettua yksityisyyden suojaa auttamalla rekisterinpitäjiä ratkaisemaan yksityisyyden suojaa ja tietosuojaa koskevat ongelmat jo ennen kuin tuote tai palvelu otetaan käyttöön. Tästä menettelytavasta on hyötyä sekä kuluttajille että rekisterinpitäjille, koska se auttaa välttämään ne merkittävät kustannukset (ja usein epätyydyttävät ratkaisut), joita usein aiheutuu silloin, kun yksityisyyden suojaan liittyvät ominaisuudet lisätään jälkeenpäin jo käytössä olevaan valmiiseen tuotteeseen. Toiseksi PIA-arvioinnin pitäisi auttaa rekisterinpitäjiä ehkäisemään yksityisyyden suojaan ja tietosuojaan liittyviä riskejä kokonaisvaltaisesti. PIA on yksi niistä työkaluista, jotka voivat auttaa arvioimaan yksityisyyden suojaan liittyviä riskejä sekä määrittämään tarvittavat tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi luvattomalta luovuttamiselta tai käytöltä ja täyttämään muut tietosuojadirektiivin 17 artiklassa ja muutetun direktiivin 2002/58/EY 4 artiklassa säädetyt turvallisuusvelvoitteet. Samalla prosessissa voidaan vähentää oikeudellista epävarmuutta ja estää rekisterinpitäjiä menettämästä yleisön luottamusta, kuten voi käydä, jollei tietosuojakysymyksiä ratkaista asianmukaisesti. 6 Yleispalvelusta ja käyttäjien oikeuksista sähköisten viestintäverkkojen ja -palvelujen alalla annetun direktiivin 2002/22/EY, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla annetun direktiivin 2002/58/EY ja kuluttajansuojalainsäädännön täytäntöönpanosta vastaavien kansallisten viranomaisten yhteistyöstä annetun asetuksen (EY) N:o 2006/2004 muuttamisesta 25 päivänä marraskuuta 2009 annettu Euroopan parlamentin ja neuvoston direktiivi 2009/136/EY. 5

6 Lopuksi PIA-arvioinnit voivat auttaa sekä rekisterinpitäjiä että tietosuojaviranomaisia saamaan selkeämmän kuvan RFID-sovellusten yksityisyyden suojaan ja tietosuojaan liittyvistä näkökohdista. PIA-arvioinnin toimittaminen voi auttaa rekisterinpitäjiä ymmärtämään ja panemaan täytäntöön direktiivissä 95/46/EY, äskettäin muutetussa direktiivissä 2002/58/EY ja RFID-suosituksessa esitetyt periaatteet. PIA-arvioinnista saatavat tiedot voivat auttaa tietosuojaviranomaisia määrittämään tietosuojan varmistamiseen liittyviä elinkeinoelämän parhaita käytäntöjä. Niissä jäsenvaltioissa, joissa edellytetään (joidenkin tai kaikkien) RFIDsovellusten ennakkotarkastusta, tiedot voivat auttaa yksinkertaistamaan prosessia sekä tietosuojaviranomaisten että rekisterinpitäjien kannalta 7. Tietosuojatyöryhmä katsoo PIA-arviointien kehittämisen parantavan RFID-alan kilpailukykyä Euroopassa, sillä ne edistävät yksityisyyden suojaa ja tietosuojaa koskevien kysymysten innovatiivista ratkaisemista esimerkiksi tietojen anonymisoinnin, tunnisteiden osittaisen deaktivoinnin ja kevyen salauksen kaltaisilla tekniikoilla. Suosituksessa määritellyn PIA-arviointikehyksen tarkoituksena on edistää sisäänrakennettua turvallisuuden ja yksityisyyden suojaa varmistamalla, että RFID-sovellukset arvioidaan ennen niiden käyttöönottoa. Monia RFID-sovelluksia on kuitenkin jo otettu käyttöön, ja tietosuojatyöryhmä toivookin sidosryhmien hyödyntävän tätä kokemusta ja tarttuvan tilaisuuteen kehittääkseen sellaisia arviointityökaluja, joita voidaan soveltaa jo käytössä oleviin RFID-sovelluksiin. 1.4 Yhteenveto ehdotetusta kehyksestä Ehdotetussa arviointikehyksessä RFID-sovellukset jaetaan neljään luokkaan. Luokkaan 0 kuuluvat pääasiallisesti sellaiset RFID-sovellukset, joissa ei käsitellä henkilötietoja ja joissa vain Käyttäjät käsittelevät tunnisteita. Niistä ei toimiteta PIA-arviointia. Vaikka termi Käyttäjä voi tarkoittaa myös työntekijöitä, luokan 0 määritelmän ei voida tulkita sisältävän työntekijöiden seurantaan tarkoitettuja sovelluksia, koska seuranta edellyttäisi henkilötietojen tallentamista johonkin osaan sovellusta. Näin ollen tietosuojatyöryhmä katsoo, ettei luokan 0 sovellusten jättäminen PIA-prosessin ulkopuolelle todennäköisesti ole esteenä tietosuojaan ja yksityisyyden suojaan liittyvien tavoitteiden saavuttamiselle. Luokan 1 sovelluksilla tarkoitetaan sovelluksia, joissa ei käsitellä henkilötietoja, vaikka Kuluttajat kantavatkin tunnisteita mukanaan. Luokan 2 sovellukset ovat sovelluksia, joissa käsitellään henkilötietoja, mutta joissa itse tunnisteet eivät sisällä henkilötietoja. Luokan 3 sovellukset ovat sellaisia, joissa tunnisteet sisältävät henkilötietoja. Kuten jäljempänä 2.4 kohdassa selitetään, termin henkilötiedot merkitys on ehdotetussa kehyksessä jokseenkin hämärä, kun sillä viitataan tunnisteen sisältämiin tietoihin. Jos RFID-sovelluksen luokitus on 1 tai sitä suurempi, RFID-operaattorin on tehtävä sovelluksesta neliosainen arviointi, jonka on oltava siinä esille tulleisiin yksityisyyden suojaa ja tietosuojaa koskeviin 7 RFID-suosituksen 5 kohdan d alakohdassa todetaan, että operaattoreiden olisi niille direktiivin 95/46/EY nojalla asetetuista muista velvoitteista riippumatta saatettava arviointi toimivaltaisen viranomaisen saataville viimeistään kuusi viikkoa ennen sovelluksen käyttöönottoa. Kansalliset tietosuojaviranomaiset määrittävät, miten arvioinnit on asetettava saataville (esim. pyynnöstä tai muuten). Tähän voivat vaikuttaa sovellukseen liittyvät riskit samoin kuin muut tekijät, kuten tietosuojavastaavan läsnäolo. 6

7 kysymyksiin nähden riittävän yksityiskohtainen. Ensimmäisessä osassa esitetään RFID-sovelluksen kuvaus. Toisessa osassa esitetään valvonta- ja turvatoimet. Kolmannessa osassa tarkastellaan käyttäjätietoja ja käyttöoikeuksia. Ehdotetun PIA-arviointikehyksen neljännessä ja viimeisessä osassa RFID-operaattorin on esitettävä päätelmänsä siitä, onko RFID-sovellus valmis otettavaksi käyttöön. PIA-arviointiprosessin päätteeksi RFID-operaattori laatii PIA-arviointiraportin ja asettaa sen toimivaltaisen viranomaisen saataville. Ehdotetun arviointikehyksen laatijat kaavailevat, että elinkeinoelämä voi alakohtaisten tarpeiden mukaan muuntaa arviointikehyksen erityisiksi PIA-mallipohjiksi, jotka helpottavat arvioinnin toteuttamista. PIA-arviointiraportti rakennettaisiin sen jälkeen näiden alakohtaisten mallipohjien eikä yleisen arviointikehyksen mukaan. 2 Analyysi Tietosuojatyöryhmä hyväksyy pääpiirteittäin laatijoiden työn ja tukee arviointikehykselle asetettuja yleisiä tavoitteita, jotka määritellään johdannossa. Vaikka ehdotetussa arviointikehyksessä ei yleisesti ottaen ilmennyt erityisiä ongelmia, tietosuojatyöryhmä esittää sen sisällöstä kolme kriittistä havaintoa sekä joitakin huomautuksia, joita selvitetään tarkemmin seuraavassa. 2.1 Riskinarviointi Ehdotetun arviointikehyksen johdannossa todetaan yksiselitteisesti, että PIA-prosessin tarkoituksena on tuoda esille yksityisyyden suojalle koituvat riskit, joita RFID-sovellukseen voi liittyä [ ] sekä arvioida näiden riskien poistamiseksi toteutetut toimenpiteet. Ehdotetun arviointikehyksen sisältö ei kuitenkaan vastaa tätä PIA-prosessin keskeistä periaatetta. Ehdotetussa arviointikehyksessä (lähinnä sen johdannossa) esitetään ainoastaan hajanaisia viittauksia riskinarviointiin, mutta ei missään kohden edellytetä nimenomaisesti, että RFID-operaattorin on määritettävä tai tuotava esille yksityisyyden suojalle koituvat riskit, joita RFID-sovellukseen voi liittyä. Se tarkoittaa, ettei näiden riskien poistamiseksi toteutettuja toimenpiteitä ole mahdollista arvioida. Sen sijaan arviointikehyksessä vaaditaan RFID-operaattoria ainoastaan luettelemaan ne suoja- ja valvontakeinot, joilla yksityisyyttä ja henkilötietoja suojataan RFID-sovelluksessa. Tätä menetelmää ei voida pitää tyydyttävänä, sillä RFID-operaattori tai toimivaltainen viranomainen ei voi saada kohtuullista varmuutta siitä, että ehdotetut toimenpiteet ovat riittäviä tai oikeassa suhteessa riskeihin, jollei riskejä ole alkuunkaan määritetty. Tietosuojatyöryhmä pitää erittäin valitettavana, etteivät arviointikehyksen laatijat ole kiinnittäneet huomiota tähän näkökohtaan. Yksityisyyden suojaa ja tietosuojaa koskevalle vaikutusten arvioinnille ehdotettavassa kehyksessä pitäisi lähtökohtaisesti esittää yleinen metodologia, jonka yhtenä keskeisenä osatekijänä on riskinarviointi. RFID-alalla toteutetaan epäilemättä jo nyt riskinarviointeja osana tietoturvan hallinnointiin liittyvää, 7

8 ISO/IEC standardissa 8 ja muissa kansallisissa tai kansainvälisissä standardeissa määriteltyä metodologista lähestymistapaa. Tietosuojatyöryhmä luottaa siihen, että RFID-alan toimijat voivat hyödyntää perinteisestä tietoturvan hallinnoinnista hankkimaansa vankkaa kokemusta laatiakseen ehdotettuun arviointikehykseen asianmukaisen riskinarviointimallin. Tämä vaikuttaa myös ehdotetun arviointikehyksen muihin osiin, kuten esitetään tämän lausunnon 2.2, 2.3 ja 2.4 kohdassa. Lisäksi RFID-suosituksen johdanto-osan 17 kappaleessa katsotaan, että PIA-arviointikehyksen määrittelyn olisi perustuttava olemassa oleviin käytäntöihin ja kokemuksiin, joita on saatu jäsenvaltioissa, kolmansissa maissa ja Euroopan verkko- ja tietoturvaviraston (ENISA) suorittamassa työssä. Siinä toisin sanoen annetaan arviointikehyksen laatijoille laillinen valtuutus käyttää tarkasti hyödykseen äskettäin PIA-arviointikehyksestä annettua ENISAn lausuntoa 9 ja pyytää EU:n virastolta lisäohjeita riskinarviointimallin toteuttamiseen RFID-sovellusten alalla. ENISA on nimenomaisesti ottanut tehtäväkseen 10 määrittää ja arvioida esiin nousevia ja tulevia riskejä tietyssä IoT/RFIDympäristössä, erityisesti ENISAlle tällä alalla Euroopan komission tiedonannossa Esineiden Internet: toimintasuunnitelma Euroopalle 11 määritellyn tehtävänannon puitteissa. Tietosuojatyöryhmä kannustaa voimakkaasti elinkeinoelämää käyttämään tätä mahdollisuutta. 2.2 Henkilöiden mukanaan kantamat tunnisteet Yksi valmisteluasiakirjassa RFID-teknologiaan liittyvistä tietosuojakysymyksistä (WP 105) 12 esitetyistä keskeisistä yksityisyyteen liittyvistä huolista on RFID-teknologian käyttö sellaisiin tarkoituksiin, jotka mahdollistavat henkilöiden seurannan ja pääsemisen käsiksi heidän henkilötietoihinsa. Henkilöiden mukanaan kantamat, tunnisteilla merkityt tavarat sisältävät etäluettavia yksilöiviä tunnuksia. Niitä voidaan ajan mittaan käyttää henkilön yksilöimiseen siten, että hän on niiden avulla tunnistettavissa. Joissakin tapauksissa tunnistettavuus voi olla toivottavaa etenkin, jos tunnisteella merkitty tavara on nimenomaan tarkoitettu käytettäväksi kulunvalvonnassa (esim. virkamerkki). Muissa tapauksissa tunniste mahdollistaa sen, että ulkopuoliset voivat seurata henkilöä 13 hänen tietämättään. Kuten lausunnossa 4/2007 henkilötietojen käsitteestä (WP 136) 14 korostetaan, kun yksilöivä tunniste on liitettävissä johonkin tiettyyn henkilöön, se kuuluu direktiivissä 95/46/EY esitetyn henkilötietojen määritelmän soveltamisalaan, vaikka henkilön sosiaalinen identiteetti (nimi, osoite jne.) pysyisikin salassa (henkilö on tunnistettavissa, mutta häntä ei välttämättä ole tunnistettu ). Lisäksi radiotaajuisen etätunnistuksen avulla pystytään tunnistamaan henkilön mukana olevien tavaroiden luonne tunnisteeseen sisältyvällä yksilöivällä tunnusnumerolla, joka voi paljastaa esimerkiksi hänen sosiaaliseen asemaansa ja terveyteensä liittyviä tietoja. Vaikka tunnisteen sisältämä tunnusnumero toimisi yksilöivästi vain tietyssä ympäristössä ja vaikka se ei sisältäisi muita henkilötietoja, mahdolliset Ks. ISO/IEC 27001:2005, Information technology Security techniques Information security management systems Requirements. ENISA Opinion on the Industry Proposal for a Privacy and Data Protection Impact Assessment Framework for RFID Applications, heinäkuu 2010, Ks. esimerkiksi ENISA raportti Flying 2.0 Enabling automated air travel by identifying and addressing the challenges of IoT & RFID technology. Euroopan komissio, Komission tiedonanto Euroopan parlamentille, neuvostolle, Euroopan talous- ja sosiaalikomitealle ja alueiden komitealle Esineiden internet: toimintasuunnitelma Euroopalle, KOM(2009) 278, Bryssel, Ks. alaviite 2. Ks. lausunnon WP kohdassa esitetyt esimerkit. 8

9 yksityisyyden suojaan ja tietoturvaan liittyvät ongelmat on poistettava, jos henkilöiden on tarkoitus kantaa tunnistetta mukanaan. Tietosuojatyöryhmä on tyytyväinen, että elinkeinoelämä tiedostaa tämän ongelman ja edellyttää arviointikehyksessä PIA-arvioinnin tekemistä silloin, kun tavaroissa olevat tunnisteet on tarkoitettu kuluttajien hallussa pidettäviksi (luokan 1 sovellukset). Tästä edellytyksestä huolimatta ehdotetussa arviointikehyksessä ei valitettavasti ole ratkaistu tätä ongelmaa lopullisesti. Siinä ei myöskään vaadita RFID-operaattoria nimenomaisesti arvioimaan niitä yksityisyyden suojaan ja tietosuojaan liittyviä ongelmia, joita voi tulla esille silloin, kun henkilöt kantavat tunnisteita mukanaan arkipäivän tilanteissa. Ei riitä, että otetaan huomioon vain se, seurataanko Kuluttajien tai Käyttäjien sijaintia RFID-sovelluksen kautta 15. Luvattoman seurannan riskiä on erittäin tärkeää arvioida myös sovellusympäristön ulkopuolella. Arviointikehyksessä ei myöskään kuvailla toimenpiteitä, joiden avulla nämä riskit poistetaan. Tietosuojatyöryhmä kehottaa elinkeinoelämää ratkaisemaan tämän ongelman kokonaisuudessaan siten, että se mainitaan selvästi arviointikehyksessä osana tarkistettua riskinarviointimallia. 2.3 RFID-sovellukset vähittäiskaupan alalla Vähittäiskaupan ala on yksi keskeisistä sovellusalueista, joilla tunnisteet voivat päätyä henkilöiden mukanaan kantamiksi. RFID-suosituksessa sitä pidetään kriittisenä alana, jota käsitellään suosituksessa erikseen. RFID-suosituksen 11 kohdassa todetaan nimenomaisesti, että vähittäiskauppiaiden olisi deaktivoitava tai poistettava myyntipisteessä sovelluksessaan käytetyt tunnisteet, paitsi jos kuluttaja [ ] antaa luvan tunnisteiden toimintaan. Suosituksen 12 kohdassa määritetään seuraava poikkeus: Edellä olevaa 11 kohtaa ei tulisi soveltaa, jos yksityisyyden suojaa ja tietosuojaa koskevassa vaikutusten arvioinnissa todetaan, että vähittäiskaupan sovelluksessa käytettävät ja myyntipisteen jälkeen toimiviksi jäävät tunnisteet eivät todennäköisesti muodosta uhkaa yksityisyyden suojalle tai henkilötietojen suojalle. Toisin sanoen oletuksena on, että tunnisteet deaktivoidaan myyntipisteessä, jollei PIA-arvioinnin tuloksena toisin päätetä. Ehdotetun PIA-arviointikehyksen D osan mukaan PIA-arviointiraportissa on kuitenkin valittavana ainoastaan kaksi mahdollista päätelmää: RFID-sovellus joko On valmis otettavaksi käyttöön tai Ei ole valmis otettavaksi käyttöön. RFID-operaattorilla ei toisin sanoen ole mahdollisuutta esittää arvioinnissa päätelmää tunnisteiden käytöstä vähittäiskaupan sovellusten ulkopuolella, kuten RFID-suosituksessa edellytetään. Tietosuojatyöryhmä huomauttaa, että jotkin sovellukset voivat oikeuttaa sen tai edellyttää sitä, että tunnisteet jäävät toimiviksi vähittäismyyntipisteen ulkopuolella, jos siihen on jokin erityinen syy. Tämän vaihtoehdon puuttuminen ehdotetusta arviointikehyksestä antaisi ymmärtää, että kaikki tunnisteet deaktivoidaan myyntipisteessä. Yleensäkin tietosuojatyöryhmä huomauttaa, että PIA-arviointikehyksen D osassa ehdotettu joko-taivalinta vaikuttaa tarpeettoman ankaralta RFID-operaattorien ja koko alan kannalta. Jotkin sovellukset 15 Ehdotetun kehyksen kohta. 9

10 voivat olla sellaisia, että ne ovat valmiita otettavaksi käyttöön tietyin edellytyksin, ja nämä edellytykset olisi määriteltävä PIA-arviointiraportin päätelmissä. Tietosuojatyöryhmä kehottaa arviointikehyksen laatijoita selventämään kehystä siltä osin kuin on kyse tunnisteiden deaktivoinnista vähittäiskaupan alalla. Ehdotetussa arviointikehyksessä on mainittava nimenomaisesti, että RFID-operaattorin laatimassa PIA-arviointiraportissa on noudatettava RFID-suosituksen 12 kohdan vaatimuksia (vähittäiskaupan sovellukset). Tarkistettuun riskinarviointimalliin tulisi yleensäkin sisällyttää oikeat välineet päätelmän tekemiseen RFIDsovelluksen käyttöönotosta tai sen edellytyksistä. 2.4 Lisähuomautukset Kuten edellä 2.2 kohdassa todettiin, jos henkilö (joko Käyttäjä tai Kuluttaja) kantaa tunnistetta mukanaan ja jos tunniste sisältää yksilöivän tunnuksen 16, sen katsotaan lähtökohtaisesti sisältävän henkilötietoja. Käytännössä 1.5 kohdassa esitetyt Luokan 1 sovellusten ja Luokan 0 sovellusten määritelmät ovat ristiriitaisia: useimmissa tilanteissa ei ole mahdollista sanoa, että RFID-sovelluksissa ei käsitellä henkilötietoja, jos Kuluttajat tai Käyttäjät kantavat tunnisteita mukanaan. Tämän määritelmän mukaan useimmat sovellukset olisikin luokiteltava luokkaan 2. Luokituksia 0 tai 1 voitaisiin siten soveltaa vain niissä harvoissa tapauksissa, joissa henkilöt pitävät tunnisteita mukanaan, mutta niihin ei vielä ole lisätty yksilöivää tunnusnumeroa. Tietosuojatyöryhmä olettaa, etteivät arviointikehyksen laatijat ole tarkoituksellisesti esittäneet luokan 0 ja luokan 1 sovelluksista näin suppeaa määritelmää, vaan määritelmien on tarkoitus sisältää sovellukset, joissa käsitellään vain yhdenlaisia henkilötietoja (yksilöivä tunnusnumero). Kaikkien luokkien määritelmiä voitaisiin helposti tarkentaa niin, että niissä ei ole mitään epäselvää. Riskinarviointiin perustuvan metodologian asianmukaisen määrittelyn jälkeen myös näitä määritelmiä joudutaan ehkä joka tapauksessa muotoilemaan uudelleen. Tietosuojatyöryhmä panee merkille, että arviointikehyksessä viitataan Käyttäjien tai Kuluttajien hallussa oleviin tunnisteisiin. Tämä sanamuoto on liian rajoittava, ja se olisi korvattava viittauksella Käyttäjien tai Kuluttajien mukanaan kantamiin tunnisteisiin, sillä se kuvastaa paljon paremmin nyt kyseessä olevia riskiskenaarioita. Tietosuojatyöryhmä katsoo, että arviointikehyksessä ehdotettuun PIA-prosessiin olisi sisällytettävä myös sidosryhmien kuulemiskierros. Sen aikana olisi kuultava sidosryhmiä (eturyhmiä, ammattiliittoja, yhdistyksiä jne.), joihin RFID-sovellus voi vaikuttaa, vaihdettava näkemyksiä ja ehdotuksia sekä tehtävä parannuksia. Näin sovellus voitaisiin ottaa käyttöön avoimesti ja yksityisyyden turvaavalla tavalla, josta on etua sekä RIFD-operaattorille että Käyttäjille tai Kuluttajille. Sidosryhmien kuuleminen edistää selvästi RFID-suosituksessa tarkoitettua RFID-sovellusten käyttöä koskevaa tiedotusta ja avoimuutta sekä Tietoisuuden lisäämistä. Lisäksi tietosuojatyöryhmä korostaa, että erityiset tietoryhmät 17 vaativat ympärilleen erityiset olosuhteet, jotta tietoja voitaisiin käsitellä laillisesti ja turvallisesti. Arviointikehyksessä olisi annettava RFID Lausunnossa viitataan yleisesti tunnisteen tunnusnumeroon, jolla tarkoitetaan sellaista yksilöivää tunnusnumeroa (tai sarjanumeroa), joka voidaan tallentaa RFID-tunnisteeseen ja jolla RFID-tunnisteen voi tunnistaa yksilöidysti tietyssä ympäristössä. Direktiivin 95/46/EY 8 artikla. 10

11 operaattorille nykyistä selkeämmät ohjeet erityisten tietoryhmien käsittelyssä huomioon otettavista näkökohdista. Erityisten tietoryhmien tunnistamisen tulisi olla osa riskinarviointiprosessia. Lisäksi arviointikehyksessä on annettava RFID-operaattoreille ohjeet siitä, missä RFID-tuotteen kehittämiskaaren vaiheessa ja millä edellytyksillä PIA-prosessi olisi toimitettava, jotta se todella edistäisi suosituksessa tarkoitettua sisäänrakennettua turvallisuuden ja yksityisyyden suojaa. 3 Päätelmät Tässä lausunnossa esille tuotujen ongelmien takia ja etenkin, koska arviointikehyksestä puuttuu selkeä ja kattava lähestymistapa yksityisyyden suojan ja tietosuojan riskien arvioimiseen, tietosuojatyöryhmä ei voi hyväksyä ehdotettua arviointikehystä siinä muodossa kuin se nyt on. On korostettava, että asianmukaisen riskiarvioinnin sisällyttäminen arviointiprosessiin helpottaa selvästi useimpien muidenkin tässä lausunnossa esille tuotujen ongelmien ratkaisemista. Jos RFID-operaattoreilta edellytetään riskinarviointia, niiden on määriteltävä erityisesti henkilöiden mukanaan kantamien RFIDtunnisteiden luvattomaan seurantaan liittyvät riskit. Vähittäiskaupan alalla riskinarviointi voi auttaa osoittamaan, että tietyt myyntipisteen jälkeen toimiviksi jäävät (erityissovelluksissa käytettävät) RFIDtunnisteet eivät todennäköisesti muodosta uhkaa yksityisyyden suojalle tai henkilötietojen suojalle. Tietosuojatyöryhmä luottaa siihen, että elinkeinoelämä ehdottaa tässä lausunnossa esitettyjen huomautusten mukaisesti parannetun arviointikehyksen ja että se on sitoutunut käyttämään kaikki asianmukaiset keinot ehdotetun arviointikehyksen parantamiseksi niin, että kehys voitaisiin hyväksyä mahdollisimman nopeasti. Tehty Brysselissä 13. heinäkuuta 2010 Työryhmän puolesta Jacob KOHNSTAMM Puheenjohtaja 11