Annettu 11. helmikuuta 2011



Samankaltaiset tiedostot
Lausunto 5/2010 elinkeinoelämän ehdottamasta kehyksestä RFIDsovellusten yksityisyyden suojaa ja tietosuojaa koskeville vaikutusten arvioinneille

Ehdotus NEUVOSTON PÄÄTÖS. ehdotuksesta energiayhteisön luettelon vahvistamiseksi energiainfrastruktuurihankkeista

29 artiklan mukainen tietosuojatyöryhmä

Lausunto 4/2010 henkilötietojen käyttöä suoramarkkinoinnissa koskevista Euroopan suoramarkkinointiliiton (FEDMA) eurooppalaisista käytännesäännöistä

Ehdotus NEUVOSTON PÄÄTÖS

Euroopan unionin neuvosto Bryssel, 12. heinäkuuta 2016 (OR. en)

*** SUOSITUSLUONNOS. FI Moninaisuudessaan yhtenäinen FI. Euroopan parlamentti 2016/0383(NLE)

LIITE. asiakirjaan. ehdotus neuvoston päätökseksi. ehdotuksesta energiayhteisön luettelon vahvistamiseksi energiainfrastruktuurihankkeista

Ehdotus NEUVOSTON DIREKTIIVI. direktiivien 2006/112/EY ja 2008/118/EY muuttamisesta Ranskan syrjäisempien alueiden ja erityisesti Mayotten osalta

EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus: EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI

Ehdotus NEUVOSTON DIREKTIIVI

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus NEUVOSTON ASETUS

LAUSUNTOLUONNOS. FI Moninaisuudessaan yhtenäinen FI. Euroopan parlamentti 2015/0068(CNS) oikeudellisten asioiden valiokunnalta

Ehdotus NEUVOSTON DIREKTIIVI

Neuvoston päätelmät hygienia-asetusten soveltamisesta saatuja kokemuksia koskevasta komission kertomuksesta neuvostolle ja Euroopan parlamentille

Euroopan unionin neuvosto Bryssel, 2. lokakuuta 2017 (OR. en)

5808/17 rir/vpy/ts 1 DGG 3B

KOMISSION KERTOMUS EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE

EUROOPAN UNIONIN NEUVOSTO. Bryssel, 23. tammikuuta 2009 (26.01) (OR. fr) 5685/09 AGRILEG 9 ENV 36 EHDOTUS

LIITTEET. asiakirjaan. Ehdotus neuvoston päätökseksi

KOMISSION DELEGOITU DIREKTIIVI / /EU, annettu ,

Ehdotus NEUVOSTON PÄÄTÖS

RESTREINT UE. Strasbourg COM(2014) 447 final 2014/0208 (NLE) This document was downgraded/declassified Date

Ehdotus NEUVOSTON PÄÄTÖS

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

5130/3/15 REV 3 ADD 1 team/msu/si 1 DPG

LIITE. asiakirjaan. ehdotus neuvoston päätökseksi. ehdotuksesta energiayhteisön energiainfrastruktuurihankkeiden luettelon hyväksymiseksi

***I EUROOPAN PARLAMENTIN KANTA

Ehdotus NEUVOSTON PÄÄTÖS

Ehdotus NEUVOSTON ASETUS

Ehdotus NEUVOSTON ASETUS

KOMISSION TIEDONANTO NEUVOSTOLLE JA EUROOPAN PARLAMENTILLE

1716 der Beilagen XXIV. GP - Vorlage gem. Art. 23i Abs. 4 B-VG - 07 finnischer Beschluss (Normativer Teil) 1 von 8

Ehdotus NEUVOSTON DIREKTIIVI

Valtuuskunnille toimitetaan oheisena asiakirja D045714/03.

Ehdotus NEUVOSTON PÄÄTÖS

Ehdotus NEUVOSTON PÄÄTÖS

Ehdotus NEUVOSTON TÄYTÄNTÖÖNPANOPÄÄTÖS

Ehdotus NEUVOSTON PÄÄTÖS

***I MIETINTÖLUONNOS

KOMISSION DELEGOITU PÄÄTÖS (EU) /, annettu ,

EUROOPAN UNIONI EUROOPAN PARLAMENTTI 2006/0291 (COD) PE-CONS 3651/11/07 REV 11

Ehdotus NEUVOSTON PÄÄTÖS

EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus: EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu , (ETA:n kannalta merkityksellinen teksti)

Ohjeet. keskusvastapuolten ja kauppapaikkojen tapahtumasyötteiden antamisesta arvopaperikeskusten saataville 08/06/2017 ESMA FI

(ETA:n kannalta merkityksellinen teksti)

Euroopan unionin neuvosto Bryssel, 27. helmikuuta 2017 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

Ehdotus NEUVOSTON PÄÄTÖS

LIITE EASAn LAUSUNTOON 06/2012. KOMISSION ASETUS (EU) N:o.../..

EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus: NEUVOSTON ASETUS,

Ehdotus: NEUVOSTON PÄÄTÖS,

EUROOPAN UNIONIN NEUVOSTO. Bryssel, 30. heinäkuuta 2012 (30.07) (OR. en) 12991/12 ENV 654 ENT 191 SAATE

EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI

Kriittiset huoltotoimet

KOMISSION KERTOMUS EUROOPAN PARLAMENTILLE JA NEUVOSTOLLE

Euroopan unionin neuvosto Bryssel, 21. helmikuuta 2017 (OR. en)

EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVIKSI

Ehdotus NEUVOSTON PÄÄTÖS. Euroopan unionin ja Perun tasavallan välisen tiettyjä lentoliikenteen näkökohtia koskevan sopimuksen tekemisestä

Ehdotus NEUVOSTON ASETUS

Euroopan unionin neuvosto Bryssel, 5. tammikuuta 2017 (OR. en)

LIITE. asiakirjaan EHDOTUS NEUVOSTON PÄÄTÖKSEKSI

EUROOPAN UNIONI EUROOPAN PARLAMENTTI FIN 299 INST 145 AG 37 INF 134 CODEC 952

Ehdotus NEUVOSTON PÄÄTÖS

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS. Turkista peräisin olevien maataloustuotteiden tuonnista unioniin (kodifikaatio)

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

EUROOPAN UNIONI EUROOPAN PARLAMENTTI

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

LIITE. asiakirjaan. Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUKSEKSI

Ehdotus NEUVOSTON ASETUS. asetuksen (EY) N:o 974/98 muuttamisesta Liettuan toteuttaman euron käyttöönoton vuoksi

(ETA:n kannalta merkityksellinen teksti)

Ehdotus NEUVOSTON ASETUS. asetuksen (EY) N:o 974/98 muuttamisesta Latvian toteuttaman euron käyttöönoton vuoksi

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

PUBLIC 8974/16 1 DG C LIMITE FI. Euroopan unionin neuvosto Bryssel, 26. toukokuuta 2016 (OR. en) 8974/16 LIMITE PV/CONS 23 RELEX 402

EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON DIREKTIIVI

Ehdotus NEUVOSTON PÄÄTÖS

(2002/813/EY) 1 artikla

Lausunto 2/2007 matkustajarekisteritietojen (PNR) siirtoa Yhdysvaltojen viranomaisille koskevien tietojen toimittamisesta matkustajille

Ehdotus NEUVOSTON PÄÄTÖS

Muutettu ehdotus NEUVOSTON PÄÄTÖS

KOMISSION TÄYTÄNTÖÖNPANOASETUS (EU) /, annettu ,

Ehdotus EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus NEUVOSTON PÄÄTÖS. väärennettyjen eurometallirahojen analysoinnista ja niihin liittyvästä yhteistyöstä

KANSALLISEN PARLAMENTIN PERUSTELTU LAUSUNTO TOISSIJAISUUSPERIAATTEESTA

Edellyttäen, että edellä mainitut valtuuskunnat poistavat varaumansa, pysyvien edustajien komiteaa ja neuvostoa pyydetään

Ehdotus NEUVOSTON PÄÄTÖS

NEUVOSTON PÄÄTÖS sakon määräämisestä Espanjalle alijäämätietojen väärentämisestä Valencian itsehallintoalueella

Euroopan tietosuojavaltuutettu

Tiedote yleisen tietosuoja-asetuksen mukaisista tiedonsiirroista sopimuksettoman brexitin tapauksessa

Ehdotus NEUVOSTON PÄÄTÖS

Ehdotus NEUVOSTON PÄÄTÖS

KOMISSION DELEGOITU ASETUS (EU) /, annettu ,

Valtuuskunnille toimitetaan oheisena asiakirja COM(2019) 462 final. Liite: COM(2019) 462 final 13089/19 RELEX.1.B

Ehdotus NEUVOSTON PÄÄTÖS

14950/14 elv/vk/jk 1 DG G 2B

SÄÄDÖSKOKOELMAN. Julkaistu Helsingissä 13 päivänä toukokuuta /2014 (Suomen säädöskokoelman n:o 372/2014) Valtioneuvoston asetus

Euroopan unionin neuvosto Bryssel, 19. heinäkuuta 2016 (OR. en) Jeppe TRANHOLM-MIKKELSEN, Euroopan unionin neuvoston pääsihteeri

EUROOPAN YHTEISÖJEN KOMISSIO. Ehdotus: NEUVOSTON PÄÄTÖS,

Transkriptio:

TIETOSUOJATYÖRYHMÄ 00327/11/FI WP 180 Lausunto 9/2011 elinkeinoelämän ehdottamasta tarkistetusta kehyksestä RFID-sovellusten yksityisyyden suojaa ja tietosuojaa koskeville vaikutusten arvioinneille Annettu 11. helmikuuta 2011 Tietosuojatyöryhmä on perustettu direktiivin 95/46/EY 29 artiklalla. Se on riippumaton EU:n neuvoa-antava elin, joka käsittelee tietosuojaan ja yksityisyyden suojaan liittyviä kysymyksiä. Sen tehtävät määritellään direktiivin 95/46/EY 30 artiklassa ja direktiivin 2002/58/EY 15 artiklassa. Työryhmän sihteeristön tehtävistä huolehtii Euroopan komission oikeus-, vapaus- ja turvallisuusasioiden pääosaston linja C (perusoikeudet ja unionin kansalaisuus), toimisto MO-59 06/36, B-1049 Bryssel, Belgia. Verkkosivusto: http://ec.europa.eu/justice/policies/privacy/index_en.htm

Sisällysluettelo 1 Yleistä... 3 1.1 Johdanto... 3 1.2 Yhteenveto tarkistetusta arviointikehyksestä... 4 2 Analyysi... 5 3 Päätelmät... 7

TIETOSUOJATYÖRYHMÄ, joka on perustettu 24 päivänä lokakuuta 1995 annetulla Euroopan parlamentin ja neuvoston direktiivillä 95/46/EY, ottaa huomioon mainitun direktiivin 29 artiklan, 30 artiklan 1 kohdan a alakohdan ja 3 kohdan sekä 12 päivänä heinäkuuta 2002 annetun Euroopan parlamentin ja neuvoston direktiivin 2002/58/EY 15 artiklan 3 kohdan, ottaa huomioon työjärjestyksensä, on antanut seuraavan lausunnon: 1 Yleistä 1.1 Johdanto Tämä lausunto on jatkoa lausunnolle 1 5/2010 elinkeinoelämän ehdottamasta kehyksestä RFID-sovellusten yksityisyyden suojaa ja tietosuojaa koskeville vaikutusten arvioinneille. Tässä johdannossa toistetaan joitakin taustatietoja, jotka ovat välttämättömiä tämän uuden lausunnon tarkoituksen ja soveltamisalan ymmärtämiseksi. Lisätietoja on lausunnossa 5/2010. Euroopan komissio antoi 12. toukokuuta 2009 suosituksen 2 yksityisyyden suojaa ja tietosuojaa koskevien periaatteiden toteuttamisesta radiotaajuustunnistusta (RFID) käyttävissä sovelluksissa. Suosituksessa pyydettiin jäsenvaltioita varmistamaan, että elinkeinoelämä määrittelee, yhteistyössä asiaan liittyvien sidosryhmien kanssa, kehyksen yksityisyyden suojaa ja tietosuojaa koskeville vaikutusten arvioinneille. Kehys oli määrä toimittaa hyväksyttäväksi 29 artiklan mukaiselle tietosuojatyöryhmälle. Kun jäsenvaltiot ovat määrittäneet kehyksen yksityisyyden suojaa ja tietosuojaa koskeville vaikutusten arvioinneille, niiden olisi varmistettava, että RFID-operaattorit tekevät RFID-sovelluksista yksityisyyden suojaa ja tietosuojaa koskevan vaikutusten arvioinnin (PIA) ennen niiden käyttöönottoa. Lisäksi jäsenvaltioiden olisi huolehdittava siitä, että RFID-operaattorit asettavat arviointiraportit toimivaltaisen viranomaisen saataville. Elinkeinoelämän edustajat toimittivat yksityisyyden suojaa ja tietosuojaa koskeville vaikutusten arvioinneille ehdottamansa kehyksen tietosuojatyöryhmän hyväksyttäväksi 31. maaliskuuta 2010. Vaikka ehdotus olikin hyvä lähtökohta, se ei saanut työryhmän täyttä tukea lähinnä siksi, että ehdotetusta kehyksestä puuttui kolme ratkaisevan tärkeää osatekijää: 1) Selkeästi määritelty riskinarviointistrategia. 2) Näkökohdat, jotka liittyvät henkilöiden mukanaan kantamiin RFID-tunnisteisiin sovelluksen käyttöalan ulkopuolella. 3) Menetelmä, jolla yksityisyyden suojaa ja tietosuojaa koskevien periaatteiden toteuttamisesta radiotaajuustunnistusta käyttävissä sovelluksissa annetussa Euroopan 1 2 Lausunto 5/2010 elinkeinoelämän ehdottamasta kehyksestä RFID-sovellusten yksityisyyden suojaa ja tietosuojaa koskeville vaikutusten arvioinneille, WP 175, 13.7.2010. http://ec.europa.eu/information_society/policy/rfid/documents/recommendationonrfid2009.pdf 3

komission suosituksessa esitetyt tunnisteiden deaktivointiperiaatteet voidaan ottaa käyttöön vähittäissektorilla. Työryhmä esitti tiivistelmän näistä puutteista sekä muista huolenaiheistaan 13. heinäkuuta 2010 antamassaan lausunnossa 5/2010, jossa se kehotti teollisuutta tekemään tarkistetun ehdotuksen yksityisyyden suojaa ja tietosuojaa koskeville vaikutusten arvioinneille. Riskinarviointikomponentin osalta työryhmä kannusti teollisuutta voimakkaasti tukeutumaan asiantuntemukseen, jota Euroopan verkko- ja tietoturvavirasto (ENISA) voi tällä osa-alueella tarjota. Samassa kuussa myös ENISA julkaisi riippumattoman lausunnon 3, jossa esitettiin käytännön suosituksia ehdotetun kehyksen parantamiseksi. ENISAn lausunnossa ehdotettiin muun muassa joitakin alustavia ohjeita kattavan ja tunnustetun riskinarviointimenetelmän käyttöönottoa varten ja esitettiin useita rakenteellisia parannuksia. Seuraavien kuukausien aikana elinkeinoelämä laati PIA-kehyksen uudelleen ja otti työssään huomioon sekä työryhmän että ENISAn näkemykset. Tarkistettu PIA-kehys esitettiin tietosuojatyöryhmän vahvistettavaksi 12. tammikuuta 2011. Tämä on tietosuojatyöryhmän virallinen lausunto uudesta ehdotuksesta. RFID-suosituksella viitataan jäljempänä 12. toukokuuta 2009 julkaistuun Euroopan komission suositukseen yksityisyyden suojaa ja tietosuojaa koskevien periaatteiden toteuttamisesta radiotaajuustunnistusta käyttävissä sovelluksissa. Tarkistetulla arviointikehyksellä tai arviointikehyksellä viitataan RFID-sovellusten yksityisyyden suojaa ja tietosuojaa koskeville vaikutusten arvioinneille ehdotettuun kehykseen, joka toimitettiin tietosuojatyöryhmälle 12. tammikuuta 2011. Arviointikehys on tämän lausunnon liitteenä. 1.2 Yhteenveto tarkistetusta arviointikehyksestä Tarkistetun arviointikehyksen alussa käydään läpi PIA:n suorittamisen kannalta merkitykselliset sisäiset menettelyt: PIA:n aikatauluttaminen ja uudelleentarkastelu, asiakirjaaineiston kerääminen, organisaation PIA-tukihenkilöiden määrittäminen, PIA:n tarkistamiseen johtavien olosuhteiden määrittäminen ja sidosryhmien kuuleminen. PIA:ssa on kaksi vaihetta: I. Arviointia edeltävä vaihe, jossa RFID-sovellus luokitellaan neliportaisella asteikolla päättelypuun perusteella. Tämän arvioinnin tuloksen perusteella määritetään, tarvitaanko PIA:ta vai ei, ja valitaan joko täysimittainen PIA tai pienimuotoinen PIA. Sovellukset, joissa käytettäviä RFID-tunnisteita yksittäiset henkilöt todennäköisesti kantavat mukanaan, edellyttävät vähintäänkin pienimuotoista PIA:ta (taso 1) ja sovellukset, joissa henkilötietoja käsitellään edelleen, edellyttävät täysimittaista PIA:ta (tasot 2 ja 3). Sen sijaan sovellukset, joissa ei käytetä tunnisteita, joita yksittäiset ihmiset todennäköisesti kantavat mukanaan, ja joissa henkilötietoja ei käsitellä edelleen, eivät edellytä PIA:ta (taso 0). II. Riskinarviointivaihe, joka jakautuu neljään osaan: 3 http://www.enisa.europa.eu/media/news-items/enisa-opinion-on-pia ENISAn lausunto elinkeinoelämän ehdottamasta kehyksestä RFID-sovellusten yksityisyyden suojaa ja tietosuojaa koskeville vaikutusten arvioinneille, 31. maaliskuuta 2010. 4

1) Sovelluksen luonnehdinta (datatyypit, datavuot, RFID-tekniikka, datan taltiointi ja siirtäminen ym.) 2) Henkilötietoihin kohdistuvien riskien määrittäminen arvioimalla uhkia, niiden todennäköisyyttä ja niiden vaikutusta yksityisyyden ja EU:n lainsäädännön noudattamisen kannalta. 3) Valvontatarpeen määrittäminen ja suositukset aiemmin todettujen riskien varalta. 4) PIA:n tulosten dokumentointi, RFID-sovelluksen käyttöehtoja koskevan ratkaisun määrittäminen ja jäljellä olevista riskeistä tiedottaminen. Tarkistetun arviointikehyksen liitteissä on lisätukea kutakin riskinarviointivaiheen osaa varten. Arvioinnin tekijälle on tarjolla seuraavat apuvälineet: Mallipohja RFID-sovelluksen keskeisten ominaisuuksien kuvaamiseen. Direktiiviin 95/46/EY perustuva luettelo, jossa on RFID-sovellusta varten yhdeksän yksityisyyden suojaa koskevaa tavoitetta. Luettelo tyypillisistä yksityisyyden suojaan kohdistuvista riskeistä kuvauksineen ja esimerkkeineen. Esimerkkejä toimenpiteistä, joita voidaan käyttää aiemmin havaittujen riskien valvontaan ja pienentämiseen. RFID-sovellusoperaattori esittää PIA:n tulokset virallisesti PIA-arviointiraportissa, jossa kuvaillaan RFID-sovellus ja dokumentoidaan edellä mainitut neljä riskinvarviointivaihetta. 2 Analyysi Työryhmä arvostaa sitä perusteellista työtä, jota elinkeinoelämän järjestöt sekä asiantuntijat, tutkijat ja yksittäiset yritykset ovat viime kuukausina tehneet laatiessaan tarkistetun arviointikehyksen. Arviointikehyksen laatijat eivät ole pelkästään puuttuneet työryhmän esille ottamiin ongelmiin vaan ne ovat käyttäneet tilaisuutta hyväkseen ja selventäneet arviointikehyksen rakennetta sekä antaneet arviointikehystä käyttäville RFID-operaattoreille sitovampaa ohjeistusta. Työryhmä panee merkille, että tarkistettu arviointikehys perustuu riskinhallintastrategiaan, joka on kuten työryhmä on aiemminkin todennut keskeinen tekijä yksityisyyden suojaa ja tietosuojaa koskevissa vaikutustenarviointikehyksissä. Työryhmä pitää hyvänä myös sitä, että sidosryhmien kuuleminen on erikseen mainiten sisällytetty osaksi sisäisiä menettelyjä, joita PIA:n tekemisen tueksi tarvitaan. Ehdotettu riskinarviointimenetelmä alkaa ennen arviointia päättelypuulla, jossa RFIDsovellukset luokitellaan neljään tasoon. Työryhmä toteaa, että ehdotettuun päättelypuuhun sisältyy epäselvyyttä sen suhteen, mitä RFID-sovelluksessa pidetään henkilötietoina. Jos henkilön on tarkoitus kantaa yksilöivän tunnuksen sisältävää tunnistetta mukanaan, tunnisteen tunnusnumeroa on pidettävä henkilötietona, kuten jo aiemmin lausunnossa 5/2010 korostettiin. Näin ollen, jos henkilön on tarkoitus kantaa tunnistetta mukanaan, se olisi useimmissa skenaarioissa tason 2 sovellus eikä tason 1 sovellus, kuten arviointikehys antaa ymmärtää. Työryhmä kuitenkin pitää myönteisenä sitä, että tarkistetussa arviointikehyksessä 5

RFID-operaattorien edellytetään tekevän PIA:n aina, jos yksittäiset henkilöt kantavat tunnisteita mukanaan. Kuten useissa aiemmissa lausunnoissa 4 on todettu, yksi keskeisimmistä RFID-tekniikkaan liittyvistä tietosuojaongelmista on RFID-teknologian käyttö sellaisiin tarkoituksiin, jotka mahdollistavat henkilöiden seurannan ja pääsemisen käsiksi heidän henkilötietoihinsa. Vaikka RFID-operaattorilla ei olisikaan tällaista mielessään RFID-sovellusta käyttäessään, on tärkeää ottaa huomioon riski, että kolmas osapuoli voi käyttää tunnisteita sellaisiin tarkoituksiin, joihin niitä ei ole tarkoitettu. Tarkistetussa arviointikehyksessä edellytetään selvästi, että RFID-operaattorit arvioivat riskit, joita voi aiheutua, jos tunnisteita voidaan käyttää RFIDsovelluksen käyttöalueen ulkopuolella ja/tai jos henkilöt kantavat niitä mukanaan. Tähän ongelmaan on kiinnitetty vähittäissektorilla erityistä huomiota. Pelkona on, että vähittäismyyjät tai kolmannet osapuolet voivat käyttää tunnisteilla varustettuja tavaroita väärin tavaran ostaneen henkilön jäljittämiseen tai profilointiin. Euroopan komissio otti tämän huolenaiheen huomioon suosituksessaan asettamalla periaatteeksi, että tunnisteet on deaktivoitava myyntipisteessä, ellei asiakas anna tietoon perustuvaa suostumusta pitää tunnisteet toiminnassa. Suosituksessa sallitaan poikkeaminen tästä deaktivointiperiaatteesta, jos PIA:ssa todetaan, että myyntipisteen jälkeen toimiviksi jäävät tunnisteet eivät todennäköisesti muodosta uhkaa yksityisyyden suojalle tai henkilötietojen suojalle. Työryhmä toteaa, että kehyksessä esitetty riskinhallintastrategia on keskeinen väline, jolla RFIDoperaattori arvioi riskit, joita liittyy siihen, että se ottaa vastuun tunnisteiden pitämisestä aktiivisina myynnin jälkeen. PIA:n tekemisen seurauksena laaditaan PIA-raportti, joka olisi asetettava toimivaltaisen viranomaisen saataville viimeistään kuusi viikkoa ennen RFID-sovelluksen käyttöönottoa. Työryhmä haluaa korostaa, että PIA:n tekeminen edellyttää myös, että RFID-operaattorit laativat ja julkaisevat tiiviin, täsmällisen ja helppotajuisen tiedotteen kustakin sovelluksestaan (suosituksen 7 kohdan mukaisesti). Tässä tiedotteessa olisi oltava muun muassa tiivistelmä yksityisyyden suojaa ja tietosuojaa koskevasta vaikutusten arvioinnista. Kun arviointikehystä aletaan soveltaa konkreettisiin RFID-sovelluksiin, sen sisältöön on todennäköisesti tehtävä muutoksia. Nämä muutokset ovat perusteltuja ainoastaan, jos niiden lähtökohtana ovat kaikkien sidosryhmien elinkeinoelämän, kuluttajien, tietosuojaviranomaisten, ENISAn ym. kokemus ja niiden antama palaute. Tämä tulee todennäköisesti koskemaan täysimittaista ja pienimuotoista PIA:ta, jotka on määritelty tarkistetussa arviointikehyksessä. Lisäksi suosituksessa todetaan, että komission odotetaan julkaisevan raportin suosituksen toteuttamisesta, tuloksellisuudesta ja vaikutuksista operaattoreihin ja kuluttajiin erityisesti vähittäissektoria koskevien toimenpiteiden osalta. Raportti on määrä laatia kolmen vuoden kuluttua suosituksen julkaisemisesta eli toukokuuhun 2012 mennessä. Koska voi kestää kuusi kuukautta ennen kuin arviointikehys tulee kaikilta osin voimaan, olisi kaikkien sidosryhmien etujen mukaista, että tällaiselle arvioinnille annettaisiin lisää aikaa. Siksi työryhmä ehdottaa, että komissio joko lykkää ehdotetun raportin tekemistä kolmen vuoden päähän tämän lausunnon julkaisemisesta tai täydentää sitä tuolloin. 4 Ks. esim. lausunto 5/2010 (WP 175) ja WP 105, Working document on data protection issues related to RFID technology, 19. tammikuuta 2005. 6

3 Päätelmät Työryhmä vahvistaa 12. tammikuuta 2011 esitetyn tarkistetun arviointikehyksen. Arviointikehys tulee voimaan viimeistään kuuden kuukauden kuluttua tämän lausunnon julkaisemisesta. PIA on väline, jolla on tarkoitus edistää sisäänrakennettua yksityisyyden suojaa, parantaa tiedottamista yksityishenkilöille sekä lisätä läpinäkyvyyttä ja vuoropuhelua toimivaltaisten viranomaisten välillä. Koska joitakin RFID-sovelluksia käytetään useissa jäsenvaltioissa, on tärkeää, että PIA-raportit käännetään ja asetetaan toimivaltaisten viranomaisten saataville kansainvälisellä kielellä. Työryhmä tukee edelleen tulevaa vuoropuhelua elinkeinoelämän kanssa, jotta RFIDsovellusten PIA-kehyksen rakennetta ja käyttöä voidaan parantaa ja selventää käyttäen lähtökohtana kaikkien sidosryhmien kokemusta ja niiden antamaa palautetta. 7

2025 © DocPlayer.fi Yksityisyyskäytäntö | Palveluehdot | Palaute