Komisja Europejska podpisała dobrowolną umowę z przedstawicielami przemysłu, społeczeństwa obywatelskiego, ENISA (Europejskiej Agencji ds. Bezpieczeństwa Sieci i Informacji) oraz organizacji stojących na straży ochrony danych i prywatności w Europie w sprawie opracowania wytycznych dla wszystkich europejskich przedsiębiorstw.
Wytyczne te pozwolą rozwiązać problemy związane z ochroną danych wynikające ze stosowania etykiet identyfikacyjnych wykorzystujących fale radiowe (RFID), zanim zostaną one wprowadzone do obrotu. Stosowanie tego rodzaju etykiet staje się coraz powszechniejsze (ponad 1 mld w Europie w 2011 r.), jednak równie powszechne są towarzyszące im obawy dotyczące ochrony prywatności. Etykiety RFID można znaleźć w wielu przedmiotach: poczynając od biletów autobusowych po karty, którymi płaci się za wjazd na autostradę. Urządzenia mikroelektroniczne mogą automatycznie przetwarzać dane zawarte na etykietach RFID po zbliżeniu do czytników, które je aktywują, odbierają ich sygnał radiowy i wymieniają z nimi dane. Dzisiejsze porozumienie stanowi część procesu wdrażania zalecenia Komisji przyjętego w 2009 r., w którym między innymi stwierdzono, że w przypadku nabycia przez konsumentów produktów wyposażonych w etykiety RFID, powinny być one automatycznie, natychmiastowo i bezpłatnie wyłączane, chyba że konsument wyraźnie wyrazi życzenie, by etykieta pozostała aktywna.
Neelie Kroes, wiceprzewodnicząca Komisji ds. agendy cyfrowej, powiedziała: – Cieszy mnie bardzo fakt, że dziś podpisano tę ważną umowę. Dzięki niej problem ochrony prywatności konsumentów znajdzie się w centrum uwagi twórców technologii RFID, a problemy związane z ochroną prywatności będą rozwiązywane zanim produkty znajdą się w obrocie. Moje zadowolenie budzi też fakt współpracy przedstawicieli sektora przemysłu z konsumentami, organizacjami stojącymi na straży ochrony prywatności i innymi stronami zainteresowanymi w celu rozwiązania budzących uzasadnione obawy problemów z dziedziny ochrony i bezpieczeństwa danych związanych ze stosowaniem tych etykiet. Dla innych sektorów przemysłu i technologii stanowi to dobry przykład rozwiązywania problemów związanych z ochroną prywatności w Europie w praktyczny sposób.
Podpisana dzisiaj umowa o tytule „Ramy oceny skutków w zakresie ochrony danych i prywatności w zastosowaniach RFID” ma na celu zapewnienie ochrony prywatności konsumentów zanim etykiety RFID zostaną zastosowane na masową skalę. Przewiduje się, że w 2011 r. zostanie sprzedanych 2,8 mld etykiet RFID, z czego około jedna trzecia w Europie. Jednak według szacunków sektora do 2020 r. może zostać przyłączonych nawet 50 mld elektronicznych urządzeń.
Stosowanie etykiet RFID w urządzeniach takich jak telefony komórkowe, komputery, lodówki, e-booki i samochody może być niezwykle przydatne w przypadku przedsiębiorstw, sektora usług publicznych czy produktów konsumpcyjnych. Przykładowe korzyści to podniesienie niezawodności produktu, poprawa efektywności energetycznej i ułatwienie recyklingu, uiszczanie opłat drogowych bez konieczności zatrzymywania się przy stanowiskach pobierania opłat, skrócenie czasu oczekiwania na bagaż na lotnisku i zmniejszenie śladu ekologicznego produktów i usług.
Jednak etykiety RFID potencjalnie mogą również stanowić zagrożenie w zakresie ochrony prywatności oraz bez- pieczeństwa i ochrony danych. Wśród zagrożeń można wymienić niebezpieczeństwo uzyskania przez osobę trzecią, bez pozwolenia, dostępu do naszych danych osobowych (np. dotyczących naszego miejsca przebywania).
Przykładowo: wielu kierowców uiszcza elektronicznie opłaty za korzystanie z dróg, lotnisk czy parkingów w oparciu o dane gromadzone za pośrednictwem etykiet RFID umieszczonych na przednich szybach ich samochodów. Jeżeli nie zostaną podjęte działania zapobiegawcze, czytniki RFID umieszczone w miejscach innych niż te wyżej wymienione mogłyby spowodować niezamierzone ujawnienie danych osobowych, ujawniając usytuowanie samochodu. Wiele szpitali wykorzystuje etykiety RFID do prowadzenia wykazów pacjentów i ich identyfikacji. Technologia ta może przyczynić się do podniesienia jakości usług opieki zdrowotnej, nie należy jednak zapominać w tym kontekście również o kwestii ochrony prywatności i bezpieczeństwa danych.
Całościowa ocena zagrożenia prywatności
Zgodnie z umową przedsiębiorstwa dokonają całościowej oceny zagrożeń prywatności i podejmą środki w celu zapobieżenia zidentyfikowanym zagrożeniom, zanim nowy rodzaj zastosowania etykiety zostanie wprowadzony do obrotu, z uwzględnieniem potencjalnego wpływu na prywatność powiązań pomiędzy gromadzonymi i przekazywanymi danymi a innymi rodzajami danych. Jest to szczególnie ważne w przypadku wrażliwych danych osobowych, takich jak dane biometryczne, dane dotyczące zdrowia czy tożsamości.
Ramy oceny skutków w zakresie ochrony danych i prywatności ustanawiają po raz pierwszy na terenie Europy jasną metodykę przeprowadzania oceny etykiet RFID i łagodzenia zagrożeń dotyczących prywatności z nimi związanych, która może być stosowana przez wszystkie wykorzystujące etykiety sektory przemysłu (np. transport, logistykę, handel detaliczny, sprzedaż biletów, ochronę bezpieczeństwa czy opiekę zdrowotną).
W szczególności ramy oceny skutków w zakresie ochrony danych i prywatności, oprócz tego, że pozwolą przedsiębiorstwom uzyskać prawną pewność, że ich zastosowania etykiet RFID są zgodne z europejskim prawodawstwem z zakresu prywatności, zagwarantują lepszą ochronę europejskim obywatelom i konsumentom.
Kontekst
W maju 2009 r. wszystkie zainteresowane strony: sektor przemysłu, organy normalizacyjne, organizacje konsumenckie, grupy społeczeństwa obywatelskiego i związki zawodowe zgodziły się przestrzegać zaleceń Komisji Europejskiej w sprawie wdrażania zasad ochrony prywatności i ochrony danych w zastosowaniach wspieranych identyfikacją radiową. Dzisiejsze ramy oceny skutków w zakresie ochrony danych i prywatności stanowią część procesu wdrażania zalecenia z 2009 r. Informacje zebrane w trakcie prac nad ramami oceny skutków w zakresie ochrony danych i prywatności będą stanowiły cenny wkład do dyskusji na temat przeglądu zasad UE w zakresie ochrony danych oraz tego w jaki sposób sprostać nowym wyzwaniom w zakresie ochrony danych, które pojawiają się wraz z rozwojem technologii. ◊