16.5.2009   

ET

Euroopa Liidu Teataja

L 122/47


KOMISJONI SOOVITUS,

12. mai 2009,

eraelu puutumatuse ja andmekaitse põhimõtete kohaldamise kohta raadiosagedustuvastust kasutavates rakendustes

(teatavaks tehtud numbri K(2009) 3200 all)

(2009/387/EÜ)

EUROOPA ÜHENDUSTE KOMISJON,

võttes arvesse Euroopa Ühenduse asutamislepingut, eriti selle artiklit 211,

olles konsulteerinud Euroopa andmekaitseinspektoriga

ning arvestades järgmist:

(1)

Raadiosagedustuvastus (RFID) on infoühiskonna uus arengusuund, mille puhul automaatset andmetöötlust võimaldava mikroelektroonikaga varustatud esemed muutuvad igapäevase elu lahutamatuks osaks.

(2)

RFID muutub üha tavalisemaks ja kuulub seepärast üksikisiku ellu paljudes sellistes valdkondades nagu logistika, (1) tervishoid, ühiskondlik transport, jaemüük, eelkõige seoses toodete turvalisuse suurendamisega ja toodete kiirema kõrvaldamisega ringlusest, lõbustused, töö, maanteemaksude tasumise korraldamine, pagasiveo korraldamine ja reisidokumendid.

(3)

RFID-tehnoloogia võib kujuneda uueks majanduskasvu ja tööhõive suurendamise vahendiks ning seega anda tõhusa panuse Lissaboni strateegia eesmärkide saavutamisse, olles majanduslikult paljutõotav, avades ärivõimalusi, aidates vähendada kulusid ja tõsta tööviljakust, eelkõige aidates vähendada võltsimist ning korraldada elektroonikajäätmete ja ohtlike materjalide käitlemist ning toodete ringlussevõttu nende olelusringi lõpus.

(4)

RFID-tehnoloogia võimaldab andmetöötlust, seejuures isikuandmete töötlemist lühidistantsil ilma andmelugemis- või -kirjutamisseadme ja märgise füüsilise kontakti või nähtava sekkumiseta; see võib toimuda nii, et asjaomane isik ei ole sellest teadlik.

(5)

RFID-rakenduste abil on võimalik töödelda kindlakstehtud või -tehtava füüsilise isikuga seotud andmeid, kusjuures füüsiline isik on tuvastatav otse või kaudselt. Kõnealused rakendused võivad töödelda märgisel säilitatavaid isikuandmeid, nagu isiku nimi, sünniaeg või aadress, või biomeetrilisi andmeid või andmeid, millega konkreetne RFID-eseme number on seotud kusagil mujal süsteemis säilitatavate isikuandmetega. Lisaks on RFID-tehnoloogiat võimalik kasutada selliste üksikisikute jälgimiseks, kel on mõni RFID-numbriga varustatud ese või mõned sellised esemed.

(6)

Kuna RFID-tehnoloogia võib muutuda üldlevinuks ja kuna see on praktiliselt nähtamatu, tuleb RFID-tehnoloogia rakendamisel pöörata erilist tähelepanu eraelu puutumatuse ja andmekaitse küsimustele. Seepärast tuleb eraelu puutumatus ja infoturve projekteerida RFID-rakendustesse sisse juba enne nende laialdast kasutust (põhimõte, et turvalisus ja eraelu puutumatus on rakendustesse juba sisse projekteeritud).

(7)

RFIDist saab ainult siis olla mitmesugust majanduslikku ja ühiskondlikku kasu, kui on võetud tõhusad meetmed isikuandmete kaitse ja eraelu puutumatuse tagamiseks ning sellega seotud eetikapõhimõtete järgimiseks; kõnealused küsimused on RFIDi üldist omaksvõttu käsitleva arutelu keskmes.

(8)

Liikmesriigid ja sidusrühmad peaksid eriti RFIDi rakendamise alguses tegema täiendavaid jõupingutusi selle tagamiseks, et RFID-rakenduste üle oleks järelevalve ning üksikisiku õigused ja vabadused oleksid kaitstud.

(9)

Komisjoni 15. märtsi 2007. aasta teatises „Raadiosagedustuvastus (RFID) Euroopas: sammud poliitilise raamistiku suunas” (2) on öeldud, et komisjoni soovituse või soovitustega antakse selgitusi ja suuniseid RFID- rakendustega seotud andmekaitse ja eraelu puutumatuse aspektide kohta.

(10)

Euroopa Parlamendi ja nõukogu 24. oktoobri 1995. aasta direktiiviga 95/46/EÜ (üksikisikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise kohta) (3) ning Euroopa Parlamendi ja nõukogu 12. juuli 2002. aasta direktiiviga 2002/58/EÜ, milles käsitletakse isikuandmete töötlemist ja eraelu puutumatuse kaitset elektroonilise side sektoris (eraelu puutumatust ja elektroonilist sidet käsitlev direktiiv) (4) ettenähtud õigused ja kohustused seoses isikuandmete kaitse ja selliste andmete vaba liikumisega on täielikult kohaldatavad isikuandmeid töötlevate RFID-rakenduste kasutamise suhtes.

(11)

RFID-rakenduste arendamisel tuleb kohaldada Euroopa Parlamendi ja nõukogu 9. märtsi 1999. aasta direktiivis 1999/5/EÜ (raadioseadmete ja telekommunikatsioonivõrgu lõppseadmete ning nende nõuetekohasuse vastastikuse tunnustamise kohta) (5) esitatud põhimõtteid.

(12)

Euroopa andmekaitseinspektori arvamuses (6) on esitatud suunised, kuidas käsitada märgist sisaldavaid tooteid, mis on ette nähtud üksikisikute jaoks, ning on kutsutud üles hindama mõju eraelu puutumatusele ja turvalisusele, et teha kindlaks parim võimalik tehnika eraelu ja puutumatuse kaitsmiseks RFID-süsteemides, ning arendama seda tehnikat.

(13)

RFID-rakenduse käitaja peaks võtma kõik mõistlikud meetmed selle tagamiseks, et mitte ühegi vahendiga, mida tõenäoliselt võib kasutada kas RFID-rakenduse käitaja või muu isik, ei oleks võimalik siduda andmeid kindlakstehtud või -tehtava füüsilise isikuga, välja arvatud andmete töötlemisel vastavalt kohaldatavatele andmekaitse põhimõtetele ja õigusnormidele.

(14)

Komisjoni 2. mai 2007. aasta teatises „Andmekaitse edendamise kohta eraelu puutumatust soodustavate tehnoloogiate kaudu” (7) on esitatud selged meetmed, et saavutada eesmärk töödelda isikuandmeid võimalikult väikeses ulatuses ning võimaluse korral kasutada anonüümseid või varjunimega tähistatud andmeid, toetades eraelu puutumatust soodustavate tehniliste lahenduste arendamist ja nende kasutamist andmekontrollijate ja üksikisikute poolt.

(15)

Komisjoni 31. mai 2006. aasta teatises „Turvalise infoühiskonna strateegia – dialoog, partnerlus ja aktiivne osalemine” (8) on tunnistatud, et mitmekesisus, avatus, koostalitlusvõime, kasutatavus ja konkurents on turvalise infoühiskonna saavutamise põhihoovad, samuti on tõstetud esile liikmesriikide ja nende haldusasutuste osa teadlikkuse tõstmisel ning heade turvatavade levitamisel ja kutsutud erasektori sidusrühmi üles tegema algatusi, et töötada välja ELi erivajadusi, eelkõige eraelu puutumatuse vajadust rahuldavate toodete, protsesside ja teenuste turvalisuse sertifitseerimist käsitlevad mõistliku hinnaga kavad.

(16)

Nõukogu 22. märtsi 2007. aasta resolutsioonis „Turvalise infoühiskonna strateegia kohta Euroopas” (9) on kutsutud liikmesriike üles pöörama piisavalt tähelepanu vajadusele vältida elektrooniliste sidevõrkude olemasolevaid ja uusi turvaohte.

(17)

Käesoleva soovituse sätete kooskõlastatud järgimine liikmesriikides tagatakse ühenduse tasandil väljatöötatud raamistikuga eraelu puutumatuse ja andmekaitse mõju hindamiseks. Kõnealuse raamistiku väljatöötamisel tuleks toetuda olemasolevatele tavadele ning liikmesriikides, kolmandates riikides ja Euroopa Võrgu- ja Infoturbeametis (ENISA) (10) tehtud tööga saadud kogemustele.

(18)

Komisjon tagab, et ühenduse tasandil töötatakse välja RFID-rakendustega seotud infoturbe haldamise suunised; suuniste väljatöötamisel toetutakse olemasolevatele tavadele ning liikmesriikides ja kolmandates riikides saadud kogemustele. Liikmesriigid peaksid andma sellesse töösse oma panuse ning innustama eraettevõtjaid ja riigiasutusi sellest osa võtma.

(19)

Vajalikku teavet sobivate kaitsemeetmete võtmiseks annab käitaja läbiviidav eraelu puutumatuse ja andmekaitse mõju hindamine enne RFID-rakenduse kasutuselevõttu. Nimetatud kaitsemeetmeid on vaja jälgida ja läbi vaadata RFID-rakenduse kogu kasutusaja jooksul.

(20)

Jaemüügisektoris tuleks eraelu puutumatuse ja andmekaitse seisukohast hinnata tarbijatele müüdavate märgisega varustatud toodete mõju, et saada vajalikku teavet selle kohta, kas toode võib ohustada eraelu puutumatust ja isikuandmete kaitset.

(21)

Infoturvet ja eraelu puutumatust käsitlevate meetmete haldamisel võivad kogu RFIDil põhineva äriprotsessi kasutamise jooksul olla abiks rahvusvaheliste standardite, nagu Rahvusvahelise Standardiorganisatsiooni (ISO) väljatöötatud standardite kasutamine ning ELi reguleeriva raamistikuga kooskõlas olevad käitumisjuhendid ja parimad tavad.

(22)

Üldsust mõjutavate RFID-rakenduste, näiteks ühistranspordi e-piletisüsteemide puhul on vaja võtta sobivaid kaitsemeetmeid. Üksikisikuid töötlemise kaudu mõjutavad RFID-rakendused, kus on tegemist näiteks biomeetrilist identifitseerimist või tervise seisundit käsitlevate andmetega, on infoturbe ja eraelu puutumatuse seisukohast eriti kriitilised ja nõuavad seepärast eritähelepanu.

(23)

Ühiskond tervikuna peab olema teadlik RFID-rakenduste kasutamise puhul kehtivatest kohustustest ja õigustest. Tehnoloogiat rakendavad isikud on seepärast kohustatud andma inimestele teavet nimetatud rakenduste kasutamise kohta.

(24)

Avalikkuse ning väikeste ja keskmise suurusega ettevõtjate (VKEde) teavitamine RFIDi omadustest ja võimalustest aitab sel tehnoloogial täita temale pandud majanduslikke ootusi ja vähendab samas ohtu, et RFIDi kasutatakse avaliku huvi kahjustamiseks; see muudab RFIDi vastuvõetavamaks.

(25)

Komisjon aitab käesoleva soovituse rakendamisele kaasa nii otse kui ka kaudselt, hõlbustades sidusrühmade vahelist dialoogi ja koostööd, kasutades selleks eelkõige konkurentsivõime ja uuendustegevuse raamprogrammi, mis on kehtestatud Euroopa Parlamendi ja nõukogu otsusega nr 1639/2006/EÜ, (11) ning teadusuuringute seitsmendat raamprogrammi, mis on kehtestatud Euroopa Parlamendi ja nõukogu otsusega nr 1982/2006/EÜ (12).

(26)

Kõnealuse tehnoloogia laialdasemaks kasutuselevõtuks vastuvõetavatel tingimustel on vaja ühenduse tasandil korraldada eraelu puutumatust suurendava kulutõhusa tehnoloogia ja infoturbetehnoloogia alaseid teadusuuringuid ja arendustegevust.

(27)

Käesolevas soovituses austatakse põhiõigusi ja järgitakse eelkõige Euroopa Liidu põhiõiguste hartas tunnustatud põhimõtteid. Eelkõige taotletakse käesoleva soovitusega tagada täielikku austust eraelu ja perekonnaelu puutumatuse ning isikuandmete kaitse vastu,

SOOVITAB JÄRGMIST:

Reguleerimisala

1.

Käesolevas soovituses esitatakse liikmesriikidele suunised RFID-rakenduste kavandamiseks ja käitamiseks õiguspärasel, eetilisel ning sotsiaalselt ja poliitiliselt vastuvõetaval viisil, austades õigust eraelu puutumatusele ja tagades isikuandmete kaitse.

2.

Käesolevas soovituses esitatakse suunised RFID-rakenduste kasutuselevõtu korral (kui neid võetakse kasutusele) kohaldatavate meetmete kohta selle tagamiseks, et kõnealuste rakenduste kasutuselevõtu puhul järgitakse direktiivide 95/46/EÜ, 1999/5/EÜ ja 2002/58/EÜ ülevõtmiseks vastuvõetud siseriiklikke õigusakte.

Mõisted

3.

Käesolevas soovituses kasutatakse direktiivis 95/46/EÜ sätestatud mõisteid. Samuti kasutatakse järgmisi mõisteid:

a)   „raadiosagedustuvastus” (RFID)– elektromagnetiliste lainete või spektri raadiosagedusosa induktiivsidestuse kasutamine selleks, et mitmesuguste moduleerimis- ja kodeerimissüsteemide abil teatada andmeid märgisele või lugeda neid märgiselt või üksnes lugeda raadiosagedusmärgise tunnuskoodi või muid märgisele salvestatud andmeid;

b)   „RFID-märgis” või „märgis”– kas RFID-seade, mis suudab saata raadiosignaali, või RFID-seade, mis tagasisidestab, hajutab tagasi või peegeldab (olenevalt seadme tüübist) ja moduleerib lugemis- või kirjutusseadmelt vastuvõetud kandevsignaali;

c)   „RFID-lugeja või -kirjutaja” või „lugeja”– püsiasukohaga või liikuv andmehõive- ja identifitseerimisseade, milles kasutatakse raadiosagedusega elektromagnetlaineid või induktiivsidestust, et kutsuda märgise või märgisterühma poolt esile moduleeritud andmevastus ja mõjutada seda;

d)   „RFID-rakendus” või „rakendus”– rakendus, milles märgiste ja lugejatega töödeldakse saadavaid andmeid ning mida toetab tagarakendussüsteem ja sidevõrgu infrastruktuur;

e)   „RFID-rakenduse käitaja” või „käitaja”– füüsiline või juriidiline isik, riigiasutus või -amet või muu organ, kes üksi või koos teistega määrab kindlaks rakenduse käitamise eesmärgid ja vahendid; käitaja mõiste hõlmab ka RFID-rakenduse abil saadud isikuandmete töötlemise eest vastutavaid isikuid;

f)   „infoturve”– teabe konfidentsiaalsuse, puutumatuse ja kättesaadavuse säilitamine;

g)   „jälgimine”– üksikisiku asukoha, liikumise, tegevuse või seisundi tuvastamise, jälgimise, kopeerimise või salvestamise eesmärgil toimuv tegevus.

Eraelu puutumatusele ja andmekaitsele avaldatava mõju hindamine

4.

Liikmesriigid tagavad, et ettevõtjad koos asjaomaste kodanikuühiskonna sidusrühmadega töötavad välja eraelu puutumatusele ja andmekaitsele avaldatava mõju hindamise raamistiku. Nimetatud raamistik esitatakse kinnitamiseks artikli 29 alusel asutatud andmekaitse töörühmale 12 kuu jooksul alates käesoleva soovituse avaldamisest Euroopa Liidu Teatajas.

5.

Liikmesriigid tagavad, et käitajad, olenemata muudest kohustustest, mis on neile pandud direktiiviga 95/46/EÜ:

a)

hindavad rakenduse mõju isikuandmete kaitsele ja eraelu puutumatusele, sealhulgas võimalust, et rakendust võidakse kasutada üksikisiku jälgimiseks. Hindamine peab olema seda üksikasjalikum, mida rohkem võib rakendus ohustada eraelu puutumatust;

b)

võtavad vajalikud tehnilised ja organisatsioonilised meetmed isikuandmete ja eraelu puutumatuse kaitsmiseks;

c)

nimetavad isikud või isikute rühmad, kes vastutavad hinnangute läbivaatamise ning isikuandmete ja eraelu puutumatuse kaitsmiseks võetud tehniliste ja organisatsiooniliste meetmete jätkuva sobivuse eest;

d)

esitavad hinnangu pädevale asutusele vähemalt kuus nädalat enne rakenduse kasutuselevõttu;

e)

kui on olemas eraelu puutumatusele ja andmekaitsele avaldatava mõju hindamise raamistik, mis on esitatud punktis 4, rakendavad nad eespool esitatud sätteid vastavalt nimetatud raamistikule.

Infoturve

6.

Liikmesriigid toetavad komisjoni selliste rakenduste kindlakstegemisel, mis üldsust mõjutavalt võivad ohustada infoturvet. Selliste rakenduste puhul tagavad liikmesriigid, et ettevõtjad koos liikmesriigi pädevate asutuste ja kodanikuühiskonna organisatsioonidega töötavad välja uued kavad või rakendavad olemasolevaid kavu, nagu sertifitseerimine või käitaja enesehindamine, millega tõendatakse, et on tagatud hinnangulistele ohtudele vastava tasemega infoturve ja eraelu kaitse.

Teavitamine ja läbipaistvus seoses RFIDi kasutamisega

7.

Ilma et see piiraks andmetöötlejatele direktiividega 95/46/EÜ ja 2002/58/EÜ seatud kohustusi, tagavad liikmesriigid, et käitajad töötavad välja ja avaldavad iga oma käitatava rakenduse kohta kokkuvõtliku, täpse ja kergesti arusaadava teabedokumendi. Nimetatud dokument peab sisaldama vähemalt järgmist:

a)

käitaja nimi ja aadress;

b)

rakenduse otstarve;

c)

teave selle kohta, milliseid andmeid rakendusega töödeldakse, eelkõige see, kas töödeldakse isikuandmeid ja kas jälgitakse märgiste asukohta;

d)

ülevaade eraelu puutumatusele ja andmekaitsele avaldatava mõju hinnangust;

e)

võimalikud ohud eraelu puutumatusele, mis on seotud märgiste kasutamisega rakenduses, ja meetmed, mida üksikisikud saavad võtta nimetatud ohtude vähendamiseks.

8.

Liikmesriigid tagavad, et käitajad võtavad meetmed üksikisikute informeerimiseks lugeja lähedalolekust, kasutades ühist Euroopa märki, mille Euroopa standardiorganisatsioonid on koos asjaomaste sidusrühmadega välja töötanud. Märgil näidatakse käitaja nimi ja kontaktandmed üksikisikute jaoks, kes soovivad saada teavet rakenduse kohta.

Jaekaubanduses kasutatavad RFID-rakendused

9.

Euroopa standardiorganisatsioonide ja asjaomaste sidusrühmade koostöös väljatöötatud ühise Euroopa märgi abil peaksid käitajad teavitama üksikisikuid sellest, et toodetele või nende sisse on paigutatud märgised.

10.

Hinnates punktides 4 ja 5 osutatud eraelu puutumatusele ja andmekaitsele avaldatavat mõju, peaks käitaja määrama konkreetselt kindlaks, kas juhul, kui toodet, mille peale või sisse on paigutatud märgised, müüb tarbijale jaemüüja, kes ei ole kõnealuse rakenduse kasutaja, võivad märgised kujutada ohtu eraelu puutumatusele ja isikuandmete kaitsele.

11.

Jaemüüjad peaksid desaktiveerima või eemaldama müügipunktis märgised, mida on kasutatud nende rakenduses, kui tarbijad ei anna pärast seda, kui neid on punkti 7 kohaselt teavitatud märgise otstarbest, nõusolekut töötava märgise allesjätmiseks. Märgise desaktiveerimist tuleb mõista kui mis tahes protsessi, millega lõpetatakse märgise ja ümbruse vastastikune toime, mille jaoks ei ole vaja tarbija aktiivset osavõttu. Jaemüüjad desaktiveerivad või kõrvaldavad märgised viivitamata ega nõua tarbijalt selle eest tasu. Tarbijal peab olema võimalik kontrollida, et desaktiveerimine või kõrvaldamine on olnud tõhus.

12.

Punkti 11 ei kohaldata, kui eraelu puutumatusele ja andmekaitsele avaldatava mõju hinnangus on jõutud järeldusele, et jaemüügirakenduses kasutatav märgis, mis jääb müügikohas töökorda, ei kujuta endast võimalikku ohtu eraelu puutumatusele ega andmekaitsele. Sellele vaatamata peaksid jaemüüjad tegema tasuta kättesaadavaks lihtsa vahendi nimetatud märgiste desaktiveerimiseks või kõrvaldamiseks kas müügi ajal või hiljem.

13.

Märgiste desaktiveerimine või kõrvaldamine ei tohiks tähendada selliste seaduslike kohustuste vähenemist või lõppemist, mis jaemüüjal või tootjal on tarbija ees.

14.

Punkte 11 ja 12 kohaldatakse üksnes nende jaemüüjate suhtes, kes on käitajad.

Teadlikkuse tõstmise meetmed

15.

Liikmesriik võtab koos ettevõtjate, komisjoni ja muude sidusrühmadega sobivad meetmed riigiasutuste ja äriühingute, eelkõige VKEde teadlikkuse tõstmiseks RFID-tehnoloogia kasutamisega seotud võimalikest eelistest ja ohtudest. Erilist tähelepanu pööratakse infoturbe ja eraelu puutumatuse küsimustele.

16.

Liikmesriigid teevad koostöös ettevõtjate, kodanikuühiskonna ühenduste, komisjoni ja muude asjaomaste sidusrühmadega kindlaks RFID-rakenduste kasutuselevõtu parimad tavad ja esitavad sellekohased näited, et tõsta üldsuse teadlikkust. Nad võtavad ka vajalikud meetmed, nagu suuremastaabilised katseprojektid, et tõsta üldsuse teadlikkust seoses RFID-tehnoloogiaga ning selle kasutamise eeliste, ohtude ja mõjuga; nimetatud meetmed on kõnealuse tehnoloogia laialdasema kasutuselevõtu eeltingimus.

Teadus- ja arendustegevus

17.

Liikmesriik teeb koostööd ettevõtjate, asjaomaste kodanikuühiskonna sidusrühmade ja komisjoniga, et stimuleerida ja toetada sellise põhimõtte kasutuselevõttu, mille kohaselt turvalisus ja eraelu puutumatus projekteeritakse RFID-rakendustesse sisse juba nende väljatöötamise varases staadiumis.

Järelmeetmed

18.

Liikmesriik võtab kõik vajalikud meetmed käesoleva soovituse tutvustamiseks kõikidele sidusrühmadele, kes on seotud RFID-rakenduste projekteerimise ja käitamisega ühenduses.

19.

Liikmesriik teatab komisjonile meetmetest, mis on võetud seoses käesoleva soovitusega, hiljemalt 24 kuud pärast käesoleva soovituse avaldamist Euroopa Liidu Teatajas.

20.

Kolm aastat pärast käesoleva soovituse avaldamist Euroopa Liidu Teatajas esitab komisjon aruande käesoleva soovituse rakendamise, tõhususe ning käitajatele ja tarbijatele avaldatava mõju kohta, pöörates eelkõige tähelepanu punktides 9–14 soovitatud meetmetele.

Adressaadid

21.

Käesolev soovitus on adresseeritud liikmesriikidele.

Brüssel, 12. mai 2009

Komisjoni nimel

komisjoni liige

Viviane REDING


(1)  KOM(2007) 607 (lõplik).

(2)  KOM(2007) 96 (lõplik).

(3)  EÜT L 281, 23.11.1995, lk 31.

(4)  EÜT L 201, 31.7.2002, lk 37.

(5)  EÜT L 91, 7.4.1999, lk 10.

(6)  ELT C 101, 23.4.2008, lk 1.

(7)  KOM(2007) 228 (lõplik).

(8)  KOM(2006) 251 (lõplik).

(9)  ELT C 68, 24.3.2007, lk 1.

(10)  Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 460/2004 artikli 2 lõige 1 (ELT L 77, 13.3.2004, lk 1).

(11)  ELT L 310, 9.11.2006, lk 15.

(12)  ELT L 412, 30.12.2006, lk 1.


  翻译: