PRACOVNÍ SKUPINA PRO OCHRANU ÚDAJŮ ZŘÍZENÁ PODLE ČLÁNKU 29 00327/11/CS WP 180 Stanovisko č. 9/2011 k revidovanému návrhu odvětví na rámec pro posuzování dopadů aplikací RFID na soukromí a ochranu údajů Přijaté dne 11. února 2011 Tato pracovní skupina byla zřízena podle článku 29 směrnice 95/46/ES. Jedná se o nezávislý evropský poradní orgán pro otázky ochrany údajů a soukromí. Její úkoly jsou popsány v článku 30 směrnice 95/46/ES a článku 15 směrnice 2002/58/ES. Sekretariát poskytlo ředitelství C (Základní práva a občanství Unie) Generálního ředitelství pro spravedlnost, svobodu a bezpečnost Evropské komise, 1049 Brusel, Belgie, kancelář č. MO-59 06/36. Internetové stránky: http://ec.europa.eu/justice/policies/privacy/index_en.htm
Obsah 1 Souvislosti... Error! Bookmark not defined. 1.1 Úvod... Error! Bookmark not defined. 1.2 Shrnutí revidovaného rámce... Error! Bookmark not defined. 2 Analýza... Error! Bookmark not defined. 3 Závěr... Error! Bookmark not defined.
PRACOVNÍ SKUPINA PRO OCHRANU FYZICKÝCH OSOB V SOUVISLOSTI SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ zřízená směrnicí Evropského parlamentu a Rady 95/46/ES ze dne 24. října 1995, s ohledem na ustanovení článku 29 a čl. 30 odst. 1 písm. a) a odst. 3 uvedené směrnice a ustanovení čl. 15 odst. 3 směrnice Evropského parlamentu a Rady 2002/58/ES ze dne 12. července 2002, s ohledem na svůj jednací řád, přijala toto stanovisko: 1 Souvislosti 1.1 Úvod Toto stanovisko navazuje na stanovisko 1 č. 5/2010 (WP 175) k návrhu odvětví na rámec pro posuzování dopadů aplikací RFID na soukromí a ochranu údajů. Ačkoli v tomto úvodu se budou opakovat některé souvislosti nutné k pochopení účelu a rozsahu nového stanoviska, upozorňujeme čtenáře, že další podrobnosti nalezne ve stanovisku č. 5/2010. Dne 12. května 2009 vydala Evropská komise doporučení 2 o zavedení zásad ochrany soukromí a údajů v aplikacích podporovaných identifikací na základě rádiové frekvence. V tomto doporučení jsou členské státy vyzývány k zajištění toho, aby odvětví ve spolupráci s příslušnými zúčastněnými stranami z občanské společnosti vypracovalo rámec pro posuzování dopadů na soukromí a ochranu údajů. Tento rámec by měl být předložen ke schválení pracovní skupině pro ochranu údajů zřízené podle článku 29. Členské státy by měly zajistit, aby po vymezení tohoto rámce pro posuzování dopadů na soukromí a ochranu údajů provozovatelé aplikací RFID prováděli před zavedením aplikací RFID posuzování jejich dopadů na soukromí a ochranu údajů. Členské státy by měly rovněž zajistit, aby provozovatelé aplikací RFID zpřístupnili výsledné zprávy o posouzení dopadů příslušnému orgánu. Dne 31. března 2010 předložili zástupci odvětví pracovní skupině zřízené podle článku 29 ke schválení návrh rámce pro posuzování dopadů na soukromí a ochranu údajů. Ačkoli byl tento návrh dobrým výchozím bodem, nezískal si plnou podporu pracovní skupiny, zejména kvůli třem zásadním prvkům, které v navrhovaném rámci scházely: 1) Jasně definovaná koncepce posuzování rizik. 2) Zohlednění možnosti, že by etikety RFID nosily osoby mimo provozní okruh aplikace. 1 2 Stanovisko č. 5/2010 k návrhu odvětví na rámec pro posuzování dopadů aplikací RFID na soukromí a ochranu údajů, WP 175, 13. července 2010. http://ec.europa.eu/information_society/policy/rfid/documents/recommendationonrfid2009.pdf 3
3) Způsob, jak explicitně vyřešit zásady deaktivace etiket v odvětví maloobchodu, které jsou stanoveny v doporučení Evropské komise o zavedení zásad ochrany soukromí a údajů v aplikacích podporovaných identifikací na základě rádiové frekvence. Pracovní skupina dne 13. července 2010 shrnula tyto body i jiné obavy ve stanovisku č. 5/2010, kde vyzvala odvětví, aby navrhlo revidovaný rámec pro posuzování dopadů na soukromí a ochranu údajů. Pokud jde o bod týkající se posuzování rizik, pracovní skupina důrazně vyzvala odvětví, aby navázalo na stávající odborné znalosti, které může v této oblasti poskytnout Evropská agentura pro bezpečnost sítí a informací (ENISA). Ve stejný měsíc ENISA zveřejnila nezávislé stanovisko 3 obsahující praktická doporučení, jak navrhovaný rámec zlepšit. ENISA ve svém stanovisku navrhovala zejména vytvoření určitých pokynů k přijetí komplexní a uznávané metodické koncepce posuzování rizik. Rovněž navrhovala několik strukturálních vylepšení. V dalších měsících odvětví vypracovalo revidovaný rámec pro posuzování dopadů, jenž zohledňuje názory pracovní skupiny i agentury ENISA. Tento revidovaný rámec pro posuzování dopadů byl dne 12. ledna 2011 předložen ke schválení pracovní skupině pro ochranu údajů zřízené podle článku 29. Toto stanovisko představuje oficiální reakci pracovní skupiny na tento nový návrh. V následujícím textu odkazuje slovní spojení doporučení o RFID na doporučení Evropské komise o zavedení zásad ochrany soukromí a údajů v aplikacích podporovaných identifikací na základě rádiové frekvence, zveřejněné dne 12. května 2009. Revidovaný rámec či pouze rámec odkazuje na rámec pro posuzování dopadů aplikací RFID na soukromí a ochranu údajů, který byl pracovní skupině zřízené podle článku 29 předložen dne 12. ledna 2011 a který je obsažen v dodatku tohoto stanoviska. 1.2 Shrnutí revidovaného rámce Revidovaný rámec začíná přezkumem důležitých interních postupů, které jsou podstatné pro posuzování dopadů. Jde např. o: plánování a přezkum posuzování dopadů, vypracovávání příslušné dokumentace, určení příslušných osob při organizaci podpory procesu posuzování dopadů, zjišťování podmínek, které mohou dát podnět k revizi posuzování dopadů v budoucnosti a ke konzultaci se zúčastněnými stranami. Proces posuzování dopadů má dvě fáze: I. Fázi předběžného posouzení, během které je na základě rozhodovacího stromu zařazena aplikace RFID do čtyřstupňové stupnice. Výsledek tohoto hodnocení umožní určit, zda je nutné provést posouzení dopadů či ne, a vybrat buď posouzení dopadů v plném rozsahu, nebo posouzení dopadů v malém rozsahu. U aplikací, které používají etikety RFID, u nichž je pravděpodobné, že je budou používat fyzické osoby, bude nutné provést alespoň posouzení dopadů v malém rozsahu (úroveň 1), zatímco u aplikací, které dále zpracovávají osobní údaje, bude nutné provést posouzení dopadů v plném rozsahu (úroveň 2 a 3). Naopak u aplikací, které nepoužívají etikety, jež budou pravděpodobně nosit fyzické osoby, a které dále nezpracovávají osobní údaje, nebude nutné provést posouzení dopadů (úroveň 0). 3 http://www.enisa.europa.eu/media/news-items/enisa-opinion-on-pia, Stanovisko ENISA k návrhu odvětví na rámec pro posuzování dopadů aplikací RFID na soukromí a ochranu údajů ze dne 31. března 2010. 4
II. Fázi posouzení rizik, která zahrnuje čtyři hlavní kroky: 1) Charakterizování aplikace (druhy údajů, toky údajů, technologie RFID, ukládání a přenos údajů atd.). 2) Identifikaci rizik pro osobní údaje vyhodnocením hrozeb, pravděpodobnosti jejich vzniku a dopadu na soukromí a jejich souladu s právními předpisy EU. 3) Identifikaci a doporučení pro provádění kontrol v návaznosti na dříve zjištěná rizika. 4) Dokumentování výsledků posouzení dopadů, stanovení řešení pro podmínky zavedení přezkoumávané aplikace RFID a informace týkající se přetrvávajících rizik. Každý krok fáze posouzení rizik je dále podporován prvky uvedenými v přílohách revidovaného rámce, které mají osobě provádějící přezkum poskytnout pokyny týkající se: vzoru, jak popsat klíčové charakteristiky aplikace RFID, seznamu devíti cílů týkajících se soukromí pro aplikaci RFID podle směrnice 95/46/ES, seznamu typických rizik týkajících se soukromí, včetně jejich popisu a příkladů, seznamu příkladů kontrol a zmírňujících opatření, která lze použít v reakci na dříve zjištěná rizika. Výsledek posouzení dopadů formalizuje provozovatel aplikace RFID ve zprávě o posouzení dopadů, kde popíše aplikaci RFID a doloží podobnosti o čtyřech výše uvedených krocích, jež jsou součástí posouzení rizik. 2 Analýza Pracovní skupina oceňuje úsilí, které průmyslová sdružení a odborníci, akademici a jednotlivé společnosti věnovali během minulých měsíců vytvoření revidovaného rámce. Autoři rámce využili příležitosti a při této revizi se nejen zabývali většinou obav, které vyjádřila pracovní skupina, ale rovněž předložili jasnější strukturu a lepší pokyny pro provozovatele RFID, kteří budou tento rámec provádět. Pracovní skupina si rovněž povšimla, že revidovaný rámec vychází z koncepce řízení rizik, a znovu opakuje, že jde o nezbytnou součást každého rámce pro posuzování dopadů na soukromí a ochranu údajů. Pracovní skupina rovněž vítá, že do vnitřních postupů byl výslovně zahrnut proces konzultací se zúčastněnými stranami, který je potřebný na podporu provádění posouzení dopadů. Navrhovaná metodika posouzení rizik je zahájena rozhodovacím stromem předběžného posouzení, kdy se aplikace RFID zařadí do čtyř úrovní. Pracovní skupina si povšimla, že navrhovaný rozhodovací strom není jednoznačný, pokud jde o to, co lze či nelze považovat za osobní údaje v aplikaci RFID. Pokud nositelem etikety obsahující jedinečné identifikační číslo je fyzická osoba, pak by se identifikační číslo etikety mělo považovat za osobní údaj, jak bylo již dříve zdůrazněno ve stanovisku č. 5/2010. Proto pokud má být nositelem etikety fyzická osoba, spadala by většina případů do aplikace na úrovni 2, nikoli na úrovni 1, jak je navrženo v rámci. Pracovní skupina nicméně vítá skutečnost, že revidovaný rámec jasně od 5
provozovatelů RFID požaduje, aby bylo prováděno posouzení dopadů, pokud jsou nositeli etikety fyzické osoby. Jak je popsáno v několika předchozích stanoviscích 4, jedna z hlavních obav, pokud jde o soukromí v souvislosti s technologií RFID, vyplývá z používání technologie RFID, které s sebou nese sledování fyzických osob a získávání přístupu k osobním údajům. I když provozovatel RFID nemusí sledovat takový cíl při zavádění aplikace RFID, je důležité zvážit riziko, že třetí strana může etikety k takovým nezamýšleným účelům využít. Revidovaný rámec nyní jasně od provozovatelů RFID požaduje, aby zhodnotili rizika, která mohou vzniknout, pokud lze etikety využívat mimo provozní okruh aplikace RFID a/nebo pokud jsou jejich nositeli fyzické osoby. Této obavě byla věnována mimořádná pozornost v odvětví maloobchodu, kdy existovaly obavy, že položky opatřené etiketou, které si koupí fyzické osoby, by mohly být maloobchodníky či třetími stranami zneužity za účelem sledování či vytváření profilů. Evropská komise tuto obavu řešila v doporučení tak, že stanovila zásadu, že etikety musí být v okamžiku prodeje deaktivovány, pokud zákazníci nedají se zachováním funkčnosti etikety informovaný souhlas. Ve stejném doporučení je dovolena výjimka z této zásady deaktivace, pokud se v posouzení dopadů dojde k závěru, že zachování funkčnosti etiket to v okamžiku prodeje nepředstavuje pravděpodobnou hrozbu pro soukromí nebo ochranu osobních údajů. Pracovní skupina shledala, že koncepce řízení rizik, jak ji rámec navrhuje, je nezbytným nástrojem pro provozovatele RFID k posouzení rizik spojených s převzetím odpovědnosti za zachování funkčnosti etiket i po okamžiku prodeje. Výsledkem posouzení dopadů bude vypracování zprávy o posouzení dopadů, která by měla být předložena příslušnému orgánu alespoň šest týdnů před zavedením aplikace RFID. Pracovní skupina by ráda zdůraznila, že provedení posouzení dopadů bude od provozovatelů RFID rovněž vyžadovat, aby pro každou ze svých aplikací vypracovali a zveřejnili stručnou, přesnou a srozumitelnou informační politiku (jak je uvedeno v bodě 7 doporučení). Tato informační politika by měla rovněž obsahovat souhrn posouzení dopadů na soukromí a ochranu údajů. Až se tento rámec začne provádět na konkrétních aplikacích RFID, jeho obsah bude pravděpodobně vyžadovat úpravy, ke kterým lze dospět pouze díky zkušenostem a zpětné vazbě od všech zúčastněných stran, včetně odvětví, spotřebitelů, orgánů pro ochranu údajů a agentury ENISA. Bude tomu pravděpodobně tak, pokud jde o rozdíl mezi posouzením dopadů v plném rozsahu nebo v malém rozsahu, jak definuje revidovaný rámec. Navíc se podle doporučení očekává, že Evropská komise předloží zprávu o provádění tohoto doporučení, jeho účinnosti a dopadu na provozovatele a spotřebitele, zejména co se týče opatření dotýkajících se odvětví maloobchodu. Tato zpráva má být předložena tři roky po zveřejnění doporučení, tzn. do května 2012. Avšak vzhledem k tomu, že může trvat až šest měsíců, než bude rámec plně zaveden, bylo by dobré dát všem zúčastněným stranám před provedením takového hodnocení delší časový prostor. Pracovní skupina by proto ráda navrhla, aby Evropská komise předložení navrhované zprávy buď odložila, nebo zprávu dodatečně tři roky od zveřejnění tohoto stanoviska doplnila. 4 Viz např. stanovisko č. 5/2010 (WP 175) a WP 105, Pracovní dokument o otázkách ochrany údajů, které souvisejí s technologií RFID, 19. ledna 2005. 6
3 Závěr Pracovní skupina schvaluje revidovaný rámec, který byl předložen dne 12. ledna 2011. Tento rámec nabude účinnosti nejpozději šest měsíců od zveřejnění tohoto stanoviska. Posouzení dopadů je nástroj, který má podpořit ochranu soukromí již od návrhu, lepší informovanost jednotlivců, jakož i transparentnost a dialog s příslušnými orgány. Jelikož některé aplikace RFID budou zavedeny v několika členských státech, je důležité, aby zprávy o posouzení dopadů byly překládány a příslušným orgánům dávány k dispozici v jazyce jejich státu. Pracovní skupina bude v budoucnu nadále podporovat dialog s odvětvím, pokud jde o zlepšování a vyjasňování struktury a zavádění rámce pro posouzení dopadů RFID na základě zkušeností a zpětné vazby od všech zainteresovaných stran. 7