16.5.2009 |
FI |
Euroopan unionin virallinen lehti |
L 122/47 |
KOMISSION SUOSITUS,
annettu 12 päivänä toukokuuta 2009,
yksityisyyden suojaa ja tietosuojaa koskevien periaatteiden toteuttamisesta radiotaajuustunnistusta käyttävissä sovelluksissa
(tiedoksiannettu numerolla K(2009) 3200)
(2009/387/EY)
EUROOPAN YHTEISÖJEN KOMISSIO, joka
ottaa huomioon Euroopan yhteisön perustamissopimuksen ja erityisesti sen 211 artiklan,
on kuullut Euroopan tietosuojavaltuutettua,
sekä katsoo seuraavaa:
(1) |
Radiotaajuustunnistus (RFID) on yksi tietoyhteiskunnan uusista kehityssuunnista, jonka myötä mikroelektroniikalla varustetuista ja automaattiseen tietojen käsittelyyn pystyvistä esineistä on tulossa erottamaton osa arkipäiväämme. |
(2) |
Radiotaajuustunnistus on yleistymässä asteittain ja tulossa osaksi ihmisten elämää lukuisilla aloilla, kuten logistiikassa (1), terveydenhuollossa, julkisessa liikenteessä, vähittäiskaupassa, erityisesti paremman tuoteturvallisuuden ja tuotteiden nopeamman markkinoilta vetämisen muodossa, viihteessä, työpaikalla, tietullien hallinnoinnissa, matkatavaroiden käsittelyssä sekä matkustusasiakirjoissa. |
(3) |
RFID-teknologiasta voi tulla uusi kasvun ja työllisyyden veturi ja sitä kautta merkittävä panos Lissabonin strategiaan, sillä se sisältää suuria taloudellisia mahdollisuuksia, jotka liittyvät uusiin liiketoimintamahdollisuuksiin, kustannusten karsimiseen ja tehokkuuden parantamiseen, erityisesti väärennysten torjumisessa ja elektroniikkajätteen, vaarallisten aineiden ja tuotteiden kierrätyksen hallinnassa niiden käyttöiän päätyttyä. |
(4) |
RFID-teknologia mahdollistaa tietojen, mukaan luettuna henkilötiedot, käsittelyn lyhyillä matkoilla ilman fyysistä kontaktia tai näkyvää vuorovaikutusta luku- tai kirjoituslaitteen ja tunnisteen välillä siten, että käsittely voi tapahtua asianomaisen henkilön tietämättä. |
(5) |
RFID-sovelluksilla on mahdollista käsitellä tietoja, jotka liittyvät tunnistettuun tai tunnistettavissa olevan luonnolliseen henkilöön tavalla, joka mahdollistaa luonnollisen henkilön tunnistamisen suoraan tai epäsuorasti. Ne voivat käsitellä tunnisteeseen tallennettuja tietoja, kuten henkilön nimi, syntymäpäivä tai osoite, tai biometrisiä tietoja tai tietoja, jotka kytkevät tietyn RFID-tavaran numeron muualle järjestelmään tallennettuihin henkilötietoihin. Teknologian avulla on myös mahdollista seurata henkilöitä, joilla on hallussaan yksi tai useampi RFID-numeron sisältävä tavara. |
(6) |
Koska RFID-teknologia voi olla läsnä kaikkialla ja käytännössä näkymätön, sen käyttöönotossa on kiinnitettävä erityistä huomiota yksityisyyden suojaan ja tietosuojaan. Tämän vuoksi yksityisyyden suojaan ja tietoturvaan liittyvät ominaisuudet olisi sisällytettävä RFID-sovelluksiin ennen niiden käytön yleistymistä (sisäänrakennetun turvallisuuden ja yksityisyyden suojan periaate). |
(7) |
RFID:n lukuisat taloudelliset ja yhteiskunnalliset hyödyt voivat toteutua vain, jos toteutetaan tehokkaita toimenpiteitä henkilötietojen suojan, yksityisyyden suojan ja näihin liittyvien eettisten periaatteiden takaamiseksi. Nämä kysymykset ovat RFID:n yleisestä hyväksyttävyydestä käytävän keskustelun ytimessä. |
(8) |
Jäsenvaltioiden ja sidosryhmien olisi – varsinkin tässä RFID:n toteuttamisen alkuvaiheessa – tehtävä enemmän sen varmistamiseksi, että RFID-sovelluksia valvotaan ja ihmisten oikeuksia ja vapauksia kunnioitetaan. |
(9) |
Komission 15 päivänä maaliskuuta 2007 antamassa tiedonannossa ”Radiotaajuustunnistus Euroopassa: asteittain kohti alan yhteisiä periaatteita” (2) ilmoitettiin, että RFID-sovellusten tietosuojaan ja yksityisyyden suojaan liittyvistä näkökohdista annettaisiin tarkempia tietoja ja ohjeita yhdessä tai useammassa komission suosituksessa. |
(10) |
Henkilötietoja käsittelevien RFID-sovellusten käyttöön sovelletaan kaikilta osin henkilötietojen suojeluun ja näiden tietojen vapaaseen liikkuvuuteen liittyviä oikeuksia ja velvoitteita, joista on säädetty yksilöiden suojelusta henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta 24 päivänä lokakuuta 1995 annetussa Euroopan parlamentin ja neuvoston direktiivissä 95/46/EY (3) ja henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla 12 päivänä heinäkuuta 2002 annetussa Euroopan parlamentin ja neuvoston direktiivissä 2002/58/EY (4) (sähköisen viestinnän tietosuojadirektiivi). |
(11) |
RFID-sovellusten kehittämisessä olisi sovellettava radio- ja telepäätelaitteista ja niiden vaatimustenmukaisuuden vastavuoroisesta tunnustamisesta 9 päivänä maaliskuuta 1999 annetussa Euroopan parlamentin ja neuvoston direktiivissä 1999/5/EY (5) säädettyjä periaatteita. |
(12) |
Euroopan tietosuojavaltuutetun lausunnossa (6) annetaan opastusta yksilöille suunnattujen ja tunnisteita sisältävien tuotteiden käytössä ja kehotetaan tekemään yksityisyyttä ja turvallisuutta koskevia vaikutusten arviointeja, jotta voitaisiin yksilöidä ja kehittää ”parhaita käytettävissä olevia tekniikoita” RFID-järjestelmien yksityisyyden suojan ja turvallisuuden takaamiseksi. |
(13) |
RFID-sovellusoperaattoreiden olisi toteutettava kaikki kohtuulliset toimenpiteet sen varmistamiseksi, että käsiteltävät tiedot eivät yhdisty tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön millään keinolla, jota joko RFID-sovellusoperaattori tai kuka tahansa muu henkilö käyttää, paitsi jos tällaisia tietoja käsitellään tietosuojaan sovellettavien periaatteiden ja oikeudellisten sääntöjen mukaisesti. |
(14) |
Komission 2 päivänä toukokuuta 2007 antamassa tiedonannossa ”Tietosuojan vahvistamisesta yksityisyyden suojaa parantavilla tekniikoilla” (7) vahvistetaan selkeät toimenpiteet niiden tavoitteiden saavuttamiseksi, joilla pyritään rajoittamaan henkilötietojen käsittelyä mahdollisimman vähäiseksi ja käyttämään nimetöntä tai salanimellä julkaistua tietoa aina kun se on mahdollista, tukemalla yksityisyyden suojaa parantavien tekniikoiden kehittämistä ja niiden käyttöä rekisterinpitäjien ja kuluttajien tasolla. |
(15) |
Komission 31 päivänä toukokuuta 2006 antamassa tiedonannossa ”Turvallisen tietoyhteiskunnan strategia – Lisää vuoropuhelua, yhteistyötä ja vaikutusmahdollisuuksia” (8) todetaan, että monimuotoisuus, avoimuus, yhteentoimivuus, käytettävyys ja kilpailu ovat turvallisen tietoyhteiskunnan avaintekijöitä, korostetaan jäsenvaltioiden ja julkishallintojen roolia tietoisuuden lisäämisessä ja hyvien turvallisuuskäytäntöjen edistämisessä ja kehotetaan yksityisen sektorin sidosryhmiä luomaan kohtuuhintaisia turvallisuusmerkintäjärjestelmiä sellaisille tuotteille, prosesseille ja palveluille, jotka koskevat EU:n erityisiä tarpeita, erityisesti yksityisyyden suojaan liittyen. |
(16) |
Euroopan turvallisen tietoyhteiskunnan strategiasta 22 päivänä maaliskuuta 2007 annetussa neuvoston päätöslauselmassa (9) jäsenvaltioita kehotetaan kiinnittämään asianmukaista huomiota tarpeeseen ehkäistä ja torjua sähköisiin viestintäverkkoihin kohdistuvia uusia ja olemassa olevia turvallisuusuhkia. |
(17) |
Yksityisyyden suojaa ja tietosuojaa koskevien vaikutusten arviointien laadintaa varten yhteisön tasolla määritelty kehys varmistaa, että tämän suosituksen säännöksiä noudatetaan yhdenmukaisesti kaikissa jäsenvaltioissa. Tällaisen kehyksen määrittelyn olisi perustuttava olemassa oleviin käytäntöihin ja kokemuksiin, joita on saatu jäsenvaltioissa, kolmansissa maissa ja Euroopan verkko- ja tietoturvaviraston (ENISA) suorittamassa työssä (10). |
(18) |
Komissio varmistaa, että yhteisön tasolla kehitetään suuntaviivat RFID-sovellusten tietoturvan hallinnoinnille olemassa olevien käytäntöjen ja jäsenvaltioissa ja kolmansissa maissa saatujen kokemusten pohjalta. Jäsenvaltioiden olisi tuettava tätä prosessia ja kannustettava yksityisiä tahoja ja viranomaisia osallistumaan siihen. |
(19) |
RFID-sovellusoperaattorin ennen sovelluksen toteuttamista suorittama arviointi sen vaikutuksista yksityisyyden suojaan ja tietosuojaan antaa tarvittavat tiedot asianmukaisten suojatoimenpiteiden määrittämiseksi. Näitä toimenpiteitä on seurattava ja tarkistettava koko RFID-sovelluksen elinkaaren ajan. |
(20) |
Vähittäiskaupan alalla arviointi kuluttajille myytävien ja tunnisteita sisältävien tuotteiden vaikutuksesta yksityisyyden suojaan ja tietosuojaan antaa tarvittavat tiedot sen määrittämiseksi, aiheutuuko tuotteesta todennäköinen uhka yksityisyyden suojalle ja henkilötietojen suojalle. |
(21) |
Kansainvälisten standardien, kuten Kansainvälisen standardointijärjestön ISO:n laatimien standardien, käytännesääntöjen ja EU:n sääntelyjärjestelmän mukaisten parhaiden käytäntöjen käyttö voi auttaa hallitsemaan tietoturvaan ja yksityisyyden suojaan liittyviä toimenpiteitä koko RFID-teknologiaan perustuvan liiketoimintaprosessin ajan. |
(22) |
RFID-sovellukset, joilla on vaikutuksia suureen yleisöön, kuten sähköiset liput julkisessa liikenteessä, edellyttävät asianmukaisia suojatoimia. RFID-sovellukset, joilla on vaikutuksia ihmisiin esimerkiksi siten, että niissä käsitellään biometrisiä tunnistustietoja tai terveyteen liittyviä tietoja, ovat erityisen herkkiä tietoturvan ja yksityisyyden suojan suhteen, minkä vuoksi niihin on kiinnitettävä erityistä huomiota. |
(23) |
Koko yhteiskunnan on oltava tietoinen RFID-sovellusten käyttöön sovellettavista velvoitteista ja oikeuksista. Siksi tätä teknologiaa tarjoavat tahot ovat vastuussa siitä, että ihmisille annetaan tietoa näiden sovellusten käytöstä. |
(24) |
RFID-teknologiaa koskevan tietoisuuden lisääminen yleisön ja pienten ja keskisuurten yritysten piirissä edesauttaa tämän teknologian tarjoamien mahdollisuuksien toteuttamista pienentäen samalla riskiä, että sitä käytetään väärin, mikä parantaa sen hyväksyttävyyttä. |
(25) |
Komissio osallistuu tämän suosituksen täytäntöönpanoon suoraan ja epäsuorasti edistämällä sidosryhmien välistä vuoropuhelua ja yhteistyötä erityisesti Euroopan parlamentin ja neuvoston päätöksellä N:o 1639/2006/EY (11) perustetussa kilpailukyvyn ja innovoinnin puiteohjelmassa ja Euroopan parlamentin ja neuvoston päätöksellä N:o 1982/2006/EY (12) perustetussa seitsemännessä tutkimuksen puiteohjelmassa. |
(26) |
Edullisten yksityisyyden suojaa parantavien teknologioiden ja tietoturvateknologioiden tutkimus ja kehittäminen yhteisön tasolla on olennaista, jotta voitaisiin edistää näiden teknologioiden yleistymistä hyväksyttävin ehdoin. |
(27) |
Tässä suosituksessa kunnioitetaan perusoikeuksia ja noudatetaan erityisesti Euroopan unionin perusoikeuskirjassa tunnustettuja periaatteita. Erityisesti tällä suosituksella pyritään varmistamaan yksityis- ja perhe-elämän täydellinen kunnioittaminen ja henkilötietojen suojaaminen, |
SUOSITTAA:
Soveltamisala
1. |
Tällä suosituksella annetaan jäsenvaltioille ohjeita RFID-sovellusten lainmukaisesta, eettisestä sekä yhteiskunnallisesti ja poliittisesti hyväksyttävästä suunnittelusta ja toiminnasta, jossa kunnioitetaan oikeutta yksityisyyden suojaan ja varmistetaan henkilötietojen suojaaminen. |
2. |
Tällä suosituksella annetaan jäsenvaltioille ohjeita RFID-sovellusten käyttöönottoon liittyvistä toimista sen varmistamiseksi, että sovellusten käyttöönoton yhteydessä noudatetaan direktiivien 95/46/EY, 1999/5/EY ja 2002/58/EY kansallista täytäntöönpanolainsäädäntöä soveltuvin osin. |
Määritelmät
3. |
Tässä suosituksessa sovelletaan direktiivissä 95/46/EY annettuja määritelmiä. Lisäksi tässä suosituksessa tarkoitetaan:
|
Yksityisyyden suojaa ja tietosuojaa koskevat vaikutusten arvioinnit
4. |
Jäsenvaltioiden olisi varmistettava, että elinkeinoelämä määrittelee, yhteistyössä asiaan liittyvien kansalaisyhteiskunnan sidosryhmien kanssa, kehyksen yksityisyyden suojaa ja tietosuojaa koskeville vaikutusten arvioinneille. Tämä kehys on toimitettava hyväksyttäväksi 29 artiklan mukaiselle tietosuojatyöryhmälle 12 kuukauden kuluessa tämän suosituksen julkaisemisesta Euroopan unionin virallisessa lehdessä. |
5. |
Jäsenvaltioiden olisi varmistettava, että operaattoreiden olisi niille direktiivin 95/46/EY nojalla asetetuista muista velvoitteista riippumatta:
|
Tietoturva
6. |
Jäsenvaltioiden olisi tuettava komissiota sellaisten sovellusten yksilöinnissä, joista voi koitua tietoturvauhkia, joilla on vaikutuksia suureen yleisöön. Jäsenvaltioiden olisi tällaisten sovellusten osalta varmistettava, että operaattorit, yhdessä kansallisten toimivaltaisten viranomaisten ja kansalaisyhteiskunnan organisaatioiden kanssa, kehittävät uusia tai soveltavat olemassa olevia järjestelmiä, kuten sertifiointeja tai operaattoreiden itsearviointeja, osoittaakseen, että arvioituihin riskeihin nähden on saavutettu asianmukainen tietoturvan ja yksityisyyden suojan taso. |
RFID-sovellusten käyttöä koskeva tiedotus ja avoimuus
7. |
Direktiivien 95/46/EY ja 2002/58/EY mukaisesti rekisterinpitäjille asetettuja velvoitteita rajoittamatta jäsenvaltioiden olisi varmistettava, että operaattorit laativat ja julkaisevat tiiviin, täsmällisen ja helppotajuisen tiedotteen kustakin sovelluksestaan. Tiedotteeseen on sisällytettävä ainakin:
|
8. |
Jäsenvaltioiden olisi varmistettava, että operaattorit tiedottavat ihmisille lukulaitteiden läsnäolosta eurooppalaisten standardointijärjestöjen asiaan liittyvien sidosryhmien tuella kehittämän yhteiseurooppalaisen merkin avulla. Merkissä olisi oltava operaattorin nimi sekä yhteyspiste, johon ihmiset voivat ottaa yhteyttä saadakseen sovellusta koskevan tiedotteen. |
Vähittäiskaupan alalla käytettävät RFID-sovellukset
9. |
Operaattoreiden olisi tiedotettava ihmisille tuotteisiin kiinnitettyjen tai upotettujen tunnisteiden läsnäolosta eurooppalaisten standardointijärjestöjen asiaan liittyvien sidosryhmien tuella kehittämän yhteiseurooppalaisen merkin avulla. |
10. |
Edellä 4 ja 5 kohdassa tarkoitettua yksityisyyden suojaa ja tietosuojaa koskevaa vaikutusten arviointia suorittaessaan sovellusoperaattorin olisi erityisesti määritettävä, muodostavatko sellaisten vähittäiskauppiaiden, jotka eivät ole kyseisen sovelluksen operaattoreita, kautta kuluttajille myytäviin tuotteisiin kiinnitetyt tai upotetut tunnisteet todennäköisesti uhan yksityisyyden tai henkilötietojen suojalle. |
11. |
Vähittäiskauppiaiden olisi deaktivoitava tai poistettava myyntipisteessä sovelluksessaan käytetyt tunnisteet, paitsi jos kuluttaja 7 kohdassa tarkoitettuun tiedotteeseen tutustuttuaan antaa luvan tunnisteiden toimintaan. Tunnisteiden deaktivoinnilla tarkoitetaan mitä tahansa prosessia, joka pysäyttää tunnisteen sellaisen vuorovaikutuksen ympäristönsä kanssa, joka ei edellytä kuluttajan aktiivista osallistumista. Vähittäiskauppiaan olisi deaktivoitava tai poistettava tunnisteet välittömästi ja ilman kuluttajalle koituvia kustannuksia. Kuluttajien pitäisi kyetä varmistamaan, että deaktivointi tai poistaminen on tosiasiallisesti tapahtunut. |
12. |
Edellä olevaa 11 kohtaa ei tulisi soveltaa, jos yksityisyyden suojaa ja tietosuojaa koskevassa vaikutusten arvioinnissa todetaan, että vähittäiskaupan sovelluksessa käytettävät ja myyntipisteen jälkeen toimiviksi jäävät tunnisteet eivät todennäköisesti muodosta uhkaa yksityisyyden suojalle tai henkilötietojen suojalle. Vähittäiskauppiaiden olisi kuitenkin tarjottava ilmainen ja helppo keino tunnisteiden deaktivointiin tai poistamiseen välittömästi tai myöhemmin. |
13. |
Tunnisteiden deaktivointiin tai poistamiseen ei saisi liittyä sellaisten oikeudellisten velvoitteiden minkäänlaista vähenemistä tai päättymistä, joita vähittäiskauppiaalla tai valmistajalla on kuluttajaa kohtaan. |
14. |
Edellä olevaa 11 ja 12 kohtaa olisi sovellettava vain niihin vähittäiskauppiaisiin, jotka ovat operaattoreita. |
Tietoisuuden lisääminen
15. |
Jäsenvaltioiden olisi yhteistyössä elinkeinoelämän, komission ja muiden sidosryhmien kanssa järjestettävä asianmukaista tiedotus- ja tietoisuuden lisäämistoimintaa viranomaisten ja yritysten, erityisesti pk-yritysten, piirissä RFID-teknologian käyttöön liittyvistä mahdollisista hyödyistä ja riskeistä. Erityistä huomiota olisi kiinnitettävä tietoturvaan ja yksityisyyden suojaan liittyviin näkökohtiin. |
16. |
Jäsenvaltioiden olisi yhteistyössä elinkeinoelämän, kansalaisyhteiskunnan järjestöjen, komission ja muiden asiaan liittyvien sidosryhmien kanssa yksilöitävä ja jaettava esimerkkejä hyvistä käytännöistä RFID-sovellusten toteuttamisessa tiedon ja tietoisuuden lisäämiseksi suuren yleisön keskuudessa. Niiden olisi lisäksi asianmukaisin toimin, kuten suuren mittakaavan pilottiprojektien kautta, lisättävä yleistä tietoisuutta RFID-teknologiasta, sen hyödyistä, riskeistä ja käytön vaikutuksista, edellytyksenä tämän teknologian yleistymiselle. |
Tutkimus ja kehittäminen
17. |
Jäsenvaltioiden olisi yhteistyössä elinkeinoelämän, kansalaisyhteiskunnan asiaan liittyvien sidosryhmien ja komission kanssa edistettävä ja tuettava ”sisäänrakennetun turvallisuuden ja yksityisyyden suojan” periaatetta RFID-sovellusten varhaisessa kehitysvaiheessa. |
Seuranta
18. |
Jäsenvaltioiden olisi saatettava kaikin tarvittavin toimin tämä suositus kaikkien niiden sidosryhmien tietoon, jotka osallistuvat RFID-sovellusten suunnitteluun ja toiminnan harjoittamiseen yhteisössä. |
19. |
Jäsenvaltioiden olisi ilmoitettava komissiolle toimenpiteistä, joita ne ovat toteuttaneet tämän suosituksen perusteella, viimeistään 24 kuukauden kuluttua tämän suosituksen julkaisemisesta Euroopan unionin virallisessa lehdessä. |
20. |
Komissio laatii kolmen vuoden kuluessa tämän suosituksen julkaisemisesta Euroopan unionin virallisessa lehdessä raportin tämän suosituksen toteuttamisesta, tuloksellisuudesta ja vaikutuksista operaattoreihin ja kuluttajiin, erityisesti 9–14 kohdassa suositeltujen toimenpiteiden osalta. |
Osoitus
21. |
Tämä suositus on osoitettu kaikille jäsenvaltioille. |
Tehty Brysselissä 12 päivänä toukokuuta 2009.
Komission puolesta
Viviane REDING
Komission jäsen
(1) KOM(2007) 607 lopullinen.
(2) KOM(2007) 96 lopullinen.
(3) EYVL L 281, 23.11.1995, s. 31.
(4) EYVL L 201, 31.7.2002, s. 37.
(5) EYVL L 91, 7.4.1999, s. 10.
(6) EUVL C 101, 23.4.2008, s. 1.
(7) KOM(2007) 228 lopullinen.
(8) KOM(2006) 251 lopullinen.
(9) EUVL C 68, 24.3.2007, s. 1.
(10) Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 460/2004 2 artiklan 1 kohta (EUVL L 77, 13.3.2004, s. 1).
(11) EUVL L 310, 9.11.2006, s. 15.
(12) EUVL L 412, 30.12.2006, s. 1.