Yttrande 5/2010 om branschens förslag till ram för konsekvensbedömning av integritets- och uppgiftsskydd för RFID-tillämpningar

Transkript

1 ARTIKEL 29 ARBETSGRUPPEN FÖR SKYDD AV PERSONUPPGIFTER 00066/10/SV WP 175 Yttrande 5/2010 om branschens förslag till ram för konsekvensbedömning av integritets- och uppgiftsskydd för RFID-tillämpningar Antaget den 13 juli 2010 Arbetsgruppen inrättades enligt artikel 29 i direktiv 95/46/EG. Den är ett oberoende rådgivande EU-organ i frågor rörande dataskydd och integritet. Dess uppgifter beskrivs i artikel 30 i direktiv 95/46/EG och artikel 15 i direktiv 2002/58/EG. Gruppens sekretariat finns hos direktorat C (Civilrättsliga frågor, grundläggande rättigheter och medborgarskap) på Europeiska kommissionen, Generaldirektoratet för rättvisa, frihet och säkerhet, B-1049 Bryssel, Belgien, Kontor LX-46 01/06. Webbplats:

2 Innehåll 1 Sammanhang Inledning Radiofrekvensidentifiering (RFID) och uppgiftsskydd Målen för en ram för en konsekvensanalys avseende integritets- och dataskydd (PIA) Sammanfattning av den föreslagna ramen Analys Riskbedömning Taggar som bärs av personer RFID i detaljhandeln Ytterligare anmärkningar Slutsats

3 1 Sammanhang 1.1 Inledning Den 12 maj lämnade Europeiska kommissionen en rekommendation om genomförandet av principerna om integritets- och dataskydd i tillämpningar som stöds av radiofrekvensidentifiering (RFID) 1. I punkt 4 i denna rekommendation anges att Medlemsstaterna bör se till att branschen, i samarbete med berörda aktörer från det civila samhället, utarbetar en ram för konsekvensanalyser avseende integritetsoch dataskydd. Denna ram bör läggas fram för godkännande till Artikel 29-arbetsgruppen inom 12 månader från offentliggörandet av denna rekommendation i Europeiska unionens officiella tidning (vår markering). Enligt rekommendationen ska medlemsstaterna, så snart denna ram för konsekvensanalyser avseende integritets- och dataskydd finns tillgänglig, se till att operatörerna för RFID-tillämpningen genomför en sådan konsekvensanalys (PIA) innan tillämpningarna börjar användas. Medlemsstaterna ska också se till att operatörerna lämnar in konsekvensanalyserna till behörig myndighet (dvs. dataskyddsmyndigheten). I juli 2009 började en informell RFID-arbetsgrupp, under ledning av branschföreträdare, att arbeta på att fastställa en ram för en konsekvensanalys, och håller också regelbundna möten med intressenter däribland konsumentgrupper, standardiseringsorgan och forskare på universitetet. Den 31 mars 2010 lämnade branschrepresentanter ett förslag till en ram för konsekvensanalyser avseende integritets- och dataskydd till Artikel 29- arbetsgruppen för godkännande. Detta yttrande formaliserar arbetsgruppens svar på detta förslag. I detta yttrande syftar fortsättningsvis RFID-rekommendationen på Europeiska kommissionens rekommendation om genomförandet av principerna om integritets- och dataskydd i tillämpningar som stöds av radiofrekvensidentifiering (RFID), offentliggjord den 12 maj Förslaget till ram eller bara Ramen syftar på ramen för konsekvensanalyser avseende integritets- och dataskydd som lämnats till arbetsgruppen den 31 mars 2010 och återges i bilagan till detta yttrande. 1.2 Radiofrekvensidentifiering (RFID) och uppgiftsskydd I januari 2005 antog arbetsgruppen ett arbetsdokument 2 om uppgiftsskydd i samband med RFID-teknik (WP 105), där de ovedersägliga fördelarna med RFID-teknik erkändes men där också möjliga problem gällande uppgiftsskydd belystes, framför allt i fråga om möjligheten för företag och myndigheter att använda RFID-teknik för att kika in i enskilda personers privata sfär. I detta dokument påpekades att möjligheten att i smyg samla in en mängd uppgifter om samma person, hålla koll på enskilda personer när de befinner sig på allmän plats (flygplatser, järnvägsstationer, varuhus), skapa profiler genom att bevaka konsumentbeteendet i varuhus, ta del av detaljer om kläder och accessoarer som en person bär och

4 mediciner som den tar, är exempel på hur RFID-teknik kan användas och som ger anledning till oro för privatpersoner. Därefter lades dokumentet ut för offentligt samråd. Resultatet av detta sammanfattades i ett dokument (WP 111) 3 som arbetsgruppen offentliggjorde i september Resultaten visade att medan de flesta universitet, tankesmedjor, enskilda och företag som gav förslag till säkerhetslösningar sa att det fanns behov av något slags ytterligare riktlinjer från Artikel 29-arbetsgruppen, och en del föreslog att dataskyddsdirektivet skulle kompletteras med specifika regler för RFID, talade branschen för ett självregleringsalternativ. I detta globala sammanhang och i samråd med intressenter, däribland representanter för RFID-branschen, uppgiftsskydds- och konsumenträttsorganisationer, tog Europeiska kommissionen initiativet till att ta fram en rekommendation 4 om genomförandet av principerna om integritets- och dataskydd i tillämpningar som stöds av radiofrekvensidentifiering (RFID), som är utformad för att ge riktlinjer till medlemsstaterna om utformningen och driften av RFID-tillämpningar på ett lagligt, etiskt och socialt och politiskt godtagbart sätt, med respekt för rätten till privatliv och garantier för skyddet av personuppgifter. Denna rekommendation offentliggjordes i maj 2009 och innehåller en stor nyhet: den ställer krav på RFID-operatörer att genomföra en konsekvensanalys avseende integritets- och dataskydd innan en RFID-tillämpning införs och att lämna resultatet till den behöriga myndigheten. Denna nya strategi fungerar som ett komplement till det befintliga regelverket som anges i direktivet om skydd av personuppgifter och direktivet om integritet och elektronisk kommunikation, och ger tillfälle för branschen att visa sin förmåga till självreglering som ett kompletterande, flexibelt och effektivt verktyg vid sidan om EU:s regelverk inför en teknisk verklighet i snabb förändring. Arbetsgruppen stödjer 5 att utföra konsekvensbedömningar av integriteten, särskilt av vissa uppgiftsbehandlingsoperationer som hittills ansetts utgöra särskilda risker för de registrerade personernas rättigheter och friheter. Den anser också att resultatet av hur denna strategi lyckas, framgång eller fiasko, kommer att leda antingen till att konsekvensbedömningar för personlig integritet kommer att användas även på andra områden eller till ett strängare regelverk. RFID-rekommendationen är också avsedd att främja information om och insyn i användningen av RFID, framför allt genom utvecklingen av ett gemensamt EU-märke, som utvecklas av europeiska standardiseringsorganisationer med stöd av berörda intressenter, utformat för att informera enskilda personer om förekomsten av läsare. Sådana initiativ har arbetsgruppens fulla stöd. Även om RFID-rekommendationen uttryckligen hänvisar till direktiv 95/46/EG, vid vissa tillfällen, utgår den från den terminologi som av tradition har använts inom dataskyddslagstiftningen, framför allt vid hänvisning till personer, enskilda personer och användare. För att undvika oklarheter används i detta yttrande ordet person för att hänvisa till en fysisk person som i artikel 2 i direktiv 95/46/EG, medan orden användare och enskild person, behåller den betydelse de har i RFID-rekommendationen. Särskilt ordet person kan användas i bred bemärkelse och syfta på såväl användare som enskilda personer, vilka Results of the Public Consultation on Article 29 Working Document 105 on Data Protection Issues Related to RFID Technology, Se The Future of Privacy: Joint contribution to the Consultation of the European Commission on the legal framework for the fundamental right to protection of personal data, WP 168, 4

5 annars är skilda kategorier beroende på definitionerna i punkt 3 i RFID-rekommendationen, och som upprepas i förslaget till ram. För att bli konsekvent med RFID-rekommendationen hänvisar detta yttrande också till RFID-operatörer i stället för registeransvariga, även om dessa termer inte är helt likvärdiga. I november 2009 ändrade de europeiska lagstiftarna direktivet om integritet och elektronisk kommunikation 6 och hänvisar uttryckligen till RFID-teknik. I skäl 56 i direktiv 2009/136/EG medger lagstiftarna att Den utbredda användningen av sådana tekniker kan ge avsevärda ekonomiska och sociala fördelar och därmed bidra betydelsefullt till den inre marknaden om medborgarna accepterar användningen av dem, men också att för att uppnå detta mål är det nödvändigt att säkerställa att individernas grundläggande rättigheter, inbegripet rätten till integritetsskydd och dataskydd, garanteras. Dessutom lägger de till att När sådan utrustning ansluts till allmänna elektroniska kommunikationsnät eller används i elektroniska kommunikationstjänster som en grundläggande infrastruktur bör de relevanta bestämmelserna i direktiv 2002/58/EG (direktivet om integritet och elektronisk kommunikation), inklusive dem om säkerhet, trafik, lokaliseringsuppgifter och konfidentialitet, tillämpas. Som ett resultat av det ändrades räckvidden för direktivet om integritet och elektronisk kommunikation (definieras i artikel 3) så att den omfattar allmänna kommunikationsnät som stöder datainsamling och identifieringsutrustning. 1.3 Målen för en ram för en konsekvensanalys avseende integritets- och dataskydd (PIA) Genom RFID-rekommendationen skapade Europeiska kommissionen en PIA-process genom vilken flera fördelar ska uppnås: Först och främst ska en PIA gynna Privacy by Design genom att hjälp registeransvariga att ta itu med integritets- och uppgiftsskyddet innan en produkt eller tjänst införs. Detta är till fördel inte bara för de enskilda utan också för registeransvariga som på så sätt kan undvika de stora kostnader (och ofta otillfredsställande lösningar) som ofta uppstår när integritetsfunktioner ska läggas in i en redan införd produkt. För det andra kan en PIA-process hjälpa registeransvariga att på ett allsidigt sätt hantera riskerna för integritets- och uppgiftsskydd. PIA-processen är en del av de verktyg som kan bidra till att bedöma integritetsriskerna och hitta tekniska och organisatoriska åtgärder som skyddar personuppgifter mot otillåten spridning eller otillåten tillgång och kan täcka andra skyldigheter i fråga om säkerhet vilka finns angivna i artikel 17 i dataskyddsdirektivet och i artikel 4 i det ändrade direktivet 2002/58/EG. Den här processen ger också möjligheter att minska rättsosäkerheten och undvika förtroendeförluster från allmänheten, vilket annars kan vara en börda för den registeransvarige om uppgiftsskyddsproblemen inte hanteras på rätt sätt. 6 Europaparlamentets och rådets direktiv 2009/136/EG av den 25 november 2009 om ändring av direktiv 2002/22/EG om samhällsomfattande tjänster och användares rättigheter avseende elektroniska kommunikationsnät och kommunikationstjänster, direktiv 2002/58/EG om behandling av personuppgifter och integritetsskydd inom sektorn för elektronisk kommunikation och förordning (EG) nr 2006/2004 om samarbete mellan de nationella tillsynsmyndigheter som ansvarar för konsumentskyddslagstiftningen. 5

6 Slutligen hjälper PIA-processer såväl registeransvariga som dataskyddsmyndigheter att få bättre insikt i integritets- och uppgiftsskyddsaspekterna av RFID-tillämpningar. Om de registeransvariga genomför en PIA-process kan de lättare förstå och genomföra principerna som är uppställda i direktiv 95/46/EG, det nyligen ändrade direktivet 2002/58/EG och i RFIDrekommendationen. Information från PIA kan hjälpa dataskyddsmyndigheterna att fastställa bästa praxis för hur dataskydd genomförs i branschen och i de medlemsstater som kräver förhandskontroll av (en del eller alla) RFID-tillämpningar kan det förenkla processen för både myndigheterna och registeransvariga 7. Arbetsgruppen ser dessutom utvecklingen av PIA-processer som en bidragande faktor till att öka den europeiska RFID-branschens konkurrenskraften genom att gynna innovativa strategier för att hantera uppgiftsskydd och integritetsfrågor, via teknik som avidentifiering av uppgifter, partiell avaktivering av taggar, lättkryptering, osv. Även om den ram för konsekvensanalys för integritets- och uppgiftsskydd som förutses i rekommendationen är avsedd att gynna principen Security and privacy by design genom att RFIDtillämpningar kontrolleras innan de börjar användas, finns det redan många RFID-tillämpningar som är i bruk. Arbetsgruppen hoppas att intressenterna utnyttjar denna erfarenhet och tar tillfället i akt att skapa ett analysverktyg för befintliga RFID-tillämpningar. 1.4 Sammanfattning av den föreslagna ramen Den föreslagna ramen klassificerar först en RFID-tillämpning på en av fyra möjliga nivåer. Nivå 0- tillämpningar, som huvudsakligen omfattar RFID-tillämpningar som inte behandlar personuppgifter och där taggarna endast hanteras av användare, är undantagna från kravet på PIA. Även om termen användare eventuellt kan täcka anställda får definitionen Nivå 0 inte förstås som en tillämpning som skulle kunna utformas för att övervaka anställda, eftersom sådan övervakning skulle kräva att personuppgifter lagras någonstans i tillämpningen. Arbetsgruppen håller därför med om att ett uteslutande av Nivå 0-tillämpningar från PIA-processen troligen inte kommer att orsaka skada för uppgiftsskydd och integritetsmål. Nivå 1-tillämpningar täcker tillämpningar där inga personuppgifter behandlas, men ändå bärs taggarna av enskilda personer. Nivå 2-tillämpningar som behandlar personuppgifter men där själva taggarna inte innehåller personuppgifter. Slutligen nivå 3-tillämpningar som är tillämpningar där taggarna innehåller personuppgifter. Precis som det framhålls i avsnitt 0, är termen personuppgifter något tvetydig i den föreslagna ramen när den syftar på information som finns i taggen. Om RFID-tillämpningen har fastställts till 1 eller högre, måste RFID-operatören genomföra en fyrdelad analys av tillämpningen, med en detaljnivå som står i proportion till den identifierade integriteten och dataskyddet. Den första delen används för att beskriva RFID-tillämpningen. Den andra delen gör det 7 I detta sammanhang föreskrivs i punkt 5 d i RFID-rekommendationen att operatörerna, oavsett sina övriga skyldigheter enligt direktiv 95/46/EG, ska lämna in analysen till den behöriga myndigheten senast sex veckor innan tillämpningen ska börjas användas. Hur utvärderingen ska lämnas in (på begäran eller inte) ska fastställas av de nationella dataskyddsmyndigheterna. Framför allt ska riskerna med tillämpningen beaktas men också andra faktorer till exempel om det finns ett uppgiftsskyddsombud. 6

7 möjligt att belysa kontroll- och säkerhetsåtgärder. Den tredje delen behandlar användarinformation och rättigheter. I den sista delen i den föreslagna PIA-ramen måste att RFID-operatören fastställa om RFIDtillämpningen är färdig att användas. Som ett resultat av PIA-processen ska RFID-operatören sammanställa en PIA-rapport som ska sändas till den behöriga myndigheten. Upphovsmännen till den föreslagna ramen föreställer sig att för vissa sektorspecifika behov kan branschen överföra ramen till speciella PIA-mallar som ska underlätta genomförandet. PIA-rapporten ska sedan bygga på de sektorspecifika mallarna och inte på den mer allmänna ramen. 2 Analys Arbetsgruppen är imponerad av det omfattande arbete som upphovsmännen till den föreslagna ramen har utfört och skriver under på dess främsta mål, som har framhållits i de inledande avsnitten. Den övergripande beskrivningen av den föreslagna ramen ger inte upphov till några särskilda frågor, men arbetsgruppen har identifierat tre kritiska punkter i innehållet, och även några anmärkningar som beskrivs nedan. 2.1 Riskbedömning I det inledande avsnittet i den föreslagna ramen fastslås det otvetydigt att PIA-processen är utformad för att avslöja de integritetsrisker som är förenade med en RFID-tillämpning [ ] och utvärdera åtgärderna som har vidtagits för att hantera de riskerna. Denna centrala grundsats i en PIA-process saknas dock i innehållet i den föreslagna ramen. Även om den föreslagna ramen innehåller spridda referenser till riskbedömning (främst i den inledande delen) krävs det inte uttryckligen i något avsnitt att RFID-operatören ska identifiera eller avslöja integritetsrisker som är förenade med en RFID-tillämpning. Av det följer att det inte är möjligt att utvärdera åtgärderna som har tagits för att hantera de riskerna. I stället krävs det i den förslagna ramen endast att RFID-operatören listar de olika skydd och kontroller som har införts för att skydda integritet och personuppgifter i RFID-tillämpningen. Detta kan inte anses vara ett tillfredsställande sätt att ge RFID-operatören eller den behöriga myndigheten en rimlig garanti för att de föreslagna åtgärderna är tillräckliga eller står i proportion till riskerna, eftersom riskerna inte först har identifieras. Arbetsgruppen beklagar djupt att denna punkt inte har behandlats av upphovsmännen till den föreslagna ramen. En ram för konsekvensanalyser avseende integritets- och dataskydd ska per definition innehålla en allmän metod med en riskbedömningsfas som en av nyckelkomponenterna. RFID-branschen genomför förvisso redan riskbedömningar som en del i en metodstrategi när det gäller hantering av informationssäkerhet, så som har definierats i ISO/IEC och andra nationella eller internationella standarder. Arbetsgruppen är övertygad om att RFID-branschen skulle kunna bygga på detta expertorgan inom traditionell informationssäkerhetshantering och utveckla den föreslagna ramen med en relevant 8 Se ISO/IEC 27001:2005, Informationsteknik Säkerhetstekniker Vägledning för ledningssystem för informationssäkerhet krav 7

8 riskbedömningsstrategi. Detta skulle också påverka andra specifika element i den föreslagna ramen, vilket särskilt påpekas i avsnitt 2.2, 2.3 och 2.4 i detta yttrande. Dessutom sägs i skäl 17 i RFID-rekommendationen att arbetet med att utforma PIA-ramen bör bygga på befintlig praxis och den erfarenhet som har vunnits i medlemsstaterna och i tredjeländer samt på det arbete som genomförs av Europeiska byrån för nät- och informationssäkerhet (ENISA). Detta ger upphovsmännen till den föreslagna ramen berättigat mandat att noga överväga det yttrande som ENISA nyligen antog om PIA-ramen 9 och begära ytterligare ledning från EU-byrån om genomförandet av en riskbedömningsstrategi när det gäller RFID. ENISA har särskilt tagit på sig 10 uppgiften att kartlägga och bedöma framväxande och framtida risker i synnerhet med ett IoT/RFID-scenario, särskilt när det gäller ENISA:s roll i detta som den har beskrivits i kommissionens meddelande Sakernas Internet En handlingsplan för Europa 11. Arbetsgruppen rekommenderar å det starkaste branschen att ta detta tillfälle i akt. 2.2 Taggar som bärs av personer En av de tre främsta punkterna rörande integritet som belyses i Arbetsdokument om uppgiftsskydd i samband med RFID-teknik (WP 105) 12 föranleds av RFID-teknik som innebär att enskilda personer spåras och som ger tillgång till personuppgifter. Taggade föremål som en person bär på sig innehåller unika identitetsuppgifter som kan avläsas på distans. Dessa unika uppgifter kan i sin tur användas för att identifiera den personen över tid, vilket gör personen identifierbar. Detta kan vara önskvärt i vissa fall, framför allt om ett taggat föremål är speciellt utformat för att användas vid tillträdeskontroll (t.ex. en bricka). I andra fall kan det dock leda till att en person följs 13 av en tredje part utan att veta om det. Precis som det framhålls i Yttrande 4/2007 om begreppet personuppgifter (WP 136) 14, när en unik identifierare kopplas till en person, faller den under den definition av personuppgifter som ställs upp i direktiv 95/46/EG, oavsett om personens sociala identitet (namn, adress, osv.) förblir okänd (dvs. personen är identifierbar men inte nödvändigtvis identifierad ). Dessutom kan ett unikt nummer i en tagg också fungera för att på distans identifiera vilken typ av föremål en person bär på, vilket i sin tur kan avslöja information om social status, hälsa och annat. Även då en tagg endast innehåller ett nummer som är unikt i ett speciellt sammanhang, och inga ytterligare personuppgifter, måste man tänka på att beakta eventuella integritets- och säkerhetsfrågor om taggen ska bäras av personer. Arbetsgruppen välkomnar det faktum att branschen har tagit upp denna fråga i PIA-ramen genom att kräva en konsekvensanalys när taggar på varupostnivå (item level tags) är avsedda att ägas av enskilda personer (nivå 1-tillämpningar) ENISA Yttrande om branschens förslag till en ram för konsekvensanalys avseende integritets- och dataskyddet för RFIDtillämpningar, juli 2010, Exempel finns i ENISA-rapporten Flying Enabling automated air travel by identifying and addressing the challenges of IoT & RFID technology. Europeiska kommissionen, meddelande från kommissionen till Europaparlamentet, rådet, Europeiska ekonomiska och sociala kommittén samt Regionkommittén: Sakernas Internet -- En handlingsplan för Europa, KOM(2009) 278, Bryssel, Se fotnot 2. Se exempel i WP 105, avsnitt

9 Trots denna förutsättning följer den föreslagna ramen tyvärr inte upp denna fråga och misslyckas med att uttryckligen uppmana RFID-operatören att bedöma integritets- och säkerhetsfrågor som kan uppstå när taggar bärs av enskilda personer i vardagen. Det räcker inte att beakta om det med en RFID-tillämpning går att övervaka var enskilda personer eller användare befinner sig 15. Det är också viktigt att analysera riskerna för otillåten bevakning utanför tillämpningens räckvidd. Ramen misslyckas också med att beskriva vilka åtgärder som ska vidtas för att motverka dessa risker. Arbetsgruppen tillråder branschen att fullt ut behandla denna fråga genom att tydligt nämna den i ramen som en del i en reviderad riskbedömningsprocess. 2.3 RFID i detaljhandeln Ett av de viktigaste tillämpningsområdena där taggar kan komma att bäras av enskilda personer är inom detaljhandeln. RFID-rekommendationen erkänner att denna sektor är väsentlig och den behandlas i speciella punkter. I punkt 11 i RFID-rekommendationen anges särskilt att Detaljhandlarna bör vid försäljningstillfället avaktivera eller avlägsna taggar som används i tillämpningar som de säljer om inte konsumenten ger sitt godkännande till att taggarna ska fortsätta att vara operativa. I punkt 12 medges ett undantag till denna regel genom att det anges att Punkt 11 gäller inte om man i konsekvensanalysen avseende integritets- och dataskyddet drar slutsatsen att taggar som används i en detaljhandelstillämpning, och som fortsätter att fungera även efter försäljningstillfället, inte utgör ett sannolikt hot mot skyddet av privatlivet eller personuppgifter. Detta innebär att avaktivering på försäljningsstället är standard såvida inte konsekvensanalysen visar annat. I avsnitt D i den föreslagna PIA-ramen ges dock bara två möjliga slutsatser till en PIA-rapport: RFIDtillämpningen är antingen Färdig för användning eller Inte färdig för användning, och RFIDoperatören får ingen möjlighet att uttrycka en slutsats om användning utanför försäljningsstället i detaljhandeln, enligt vad som anges i RFID-rekommendationen. Arbetsgruppen noterar att en del tillämpningar kan motivera eller kräva att vissa taggar förblir aktiva utanför försäljningsstället inom detaljhandeln, för speciella ändamål. Avsaknaden av en sådan anmärkning i den föreslagna ramen tycks dock uttrycka att alla taggar ska avaktiveras på försäljningsstället. På ett mer generellt plan observerar arbetsgruppen att de två alternativen som ges i avsnitt D i PIA-ramen tycks onödigt restriktiva för RFID-operatörer och för RFID-branschen som helhet. En del tillämpningar kan bedömas som färdig för användning enligt vissa villkor som kunde beskrivas i PIA-rapportens slutsats. Arbetsgruppen uppmanar upphovsmännen till den föreslagna ramen att förtydliga punkten om avaktivering av taggar inom detaljhandeln. Den föreslagna ramen måste uttryckligen kräva att en RFID-operatör tar upp punkt 12 i RFID-rekommendationen i den PIA-rapport som ska sammanställas (för tillämpningar inom detaljhandeln). I allmänhet ska en reviderad riskbedömningsprocess ge rätt verktyg för att nå en slutsats för villkoren eller användningen av en RFID-tillämpning. 15 I avsnitt i den föreslagna ramen 9

10 2.4 Ytterligare anmärkningar Som belystes i avsnitt 2.2 ovan är det så att om en tagg bärs av en person (användare eller enskild person) och om taggen innehåller en unik ID 16, så innehåller taggen per definition personuppgifter. Noga räknat uppvisar definitionerna av Nivå 1-tillämpningar och Nivå 0-tillämpningar i avsnitt 1.5 därmed en motsägelse: i de flesta scenarier är det omöjligt att säga att RFID-tillämpningen inte behandlar personuppgifter om taggarna bärs av enskilda personer eller användare. Enligt dessa definitioner skulle de flesta tillämpningar klassificeras som nivå 2-tillämpningar. Nivå 0- eller nivå 1-tillämpningar skulle därmed endast förekomma i sällsynta fall där taggarna bärs av personer och ändå inte har något unikt nummer. Arbetsgruppen förutsätter att upphovsmännen till ramen inte hade för avsikt att ge nivå 0- och nivå 1- tillämpningarna så begränsat tillämpningsområde och att deras definitioner var avsedda att omfatta tillämpningar som behandlar endast en typ av personuppgifter, nämligen den unika tagg-id:n. Alla nivådefinitioner skulle lätt kunna förtydligas för att alla tvetydigheter ska försvinna. Rätt definition av en metod som bygger på riskbedömning skulle kunna leda till en omformulering av dessa definitioner också. Arbetsgruppen noterar att ramen refererar till taggar som ägs av användare eller enskilda personer. Detta ord är för begränsande och borde ersättas med bärs, eftersom det mycket bättre täcker föreliggande riskscenarier. Arbetsgruppen tror att PIA-processen som föreslås i ramen skulle kunna omfatta en samrådsfas med intressenter. Det skulle omfatta samråd med berörda parter (grupper, föreningar, förbund osv.) som kan komma att påverkas av RFID-tillämpningen, och utbyte av idéer, förslag och förbättringar som skulle göra det möjligt att använda tillämpningen på ett öppet och integritetsvänligt sätt, som gynnar såväl RIFD-operatören som användare och enskilda personer. En sådan samrådsfas bidrar helt klart till Information om och insyn i användningen av RFID och till informationskampanjer som anges i RFID-rekommendationen. Arbetsgruppen betonar också att vissa uppgiftskategorier 17 kräver specifika villkor för att behandlas lagligt och säkert. Ramen skulle kunna ge tydliga riktlinjer till RFID-operatören om specifika frågor som rör behandling av speciella uppgiftskategorier. Det ska också ingå i riskbedömningen att identifiera speciella uppgiftskategorier. Ramen skulle också kunna ge RFID-operatören vägledning om lämpligaste tidpunkt och villkor för att genomföra en PIA-process i utvecklingen av en RFID-produkt, för att verkligen uppmuntra principen security and privacy by design som stöds i rekommendationen. 3 Slutsats På grund av de punkter som har belysts i detta yttrande, framför allt vad gäller bristen på en tydlig och omfattande riskbedömningsmetod avseende integritets- och uppgiftsskydd i den föreslagna ramen, godkänner arbetsgruppen inte det föreslagna dokumentet i dess nuvarande form I bred bemärkelse används tagg-id så att det täcker alla unika identifikationsnummer (eller serienummer) som kan nås i RFID-taggen och som gör det möjligt att unikt identifiera en RFID-tagg i ett visst sammanhang. Artikel 8 i direktiv 95/46/EG. 10

11 Det bör framhållas att införandet av en lämplig riskbedömningsprocess tydligt kan underlätta hanteringen av de flesta andra problem som har angetts i detta yttrande. Om en RFID-operatör måste genomföra en riskbedömning skulle han särskilt upptäcka risker som hör ihop med otillåten övervakning av RFIDtaggar som bärs av personer. Dessutom skulle det inom detaljhandeln kunna bidra till att tydligt visa att vissa RFID-taggar (som används i speciella tillämpningar) som fortsätter att fungera även efter försäljningstillfället, inte utgör ett sannolikt hot mot skyddet av privatlivet eller personuppgifter. Arbetsgruppen är säker på att branschen kan föreslå en förbättrad ram utifrån de kommentarer som har framförts i detta yttrande och är angelägen om vidta alla relevanta åtgärder för att ytterligare förbättra den föreslagna ramen och få den godkänd snabbt. Utfärdat i Bryssel den 13 juli 2010 På arbetsgruppens vägnar Ordförande Jacob KOHNSTAMM 11