Рекомендация Европейской Комиссии 2009/387/EC от 12.05.2009 по имплементации принципов неприкосновенности частной жизни и защиты данных в приложениях, поддерживаемых на основе радиочастотной идентификации

Рекомендация Европейской Комиссии 2009/387/EC от 12 мая 2009 г.
по имплементации принципов неприкосновенности частной жизни и защиты данных в приложениях, поддерживаемых на основе радиочастотной идентификации*(1)

(регистрационный номер документа С (2009) 3200)

Комиссия Европейских Сообществ,

Руководствуясь Договором об учреждении Европейского Сообщества, и, в частности, Статьей 211,

После консультации с Европейским надзорным органом по защите данных,

Поскольку:

(1) Радиочастотная идентификация (RFID) знаменует собой новое развитие в информационном обществе, в котором объекты, оснащенные микроэлектроникой, способной обрабатывать данные автоматически, в возрастающей степени будут становиться неотъемлемой частью повседневной жизни.

(2) RFID постепенно становится все более распространенной, и, следовательно, занимает место в жизни физических лиц в различных областях, таких как логистика*(2), здравоохранение, общественный транспорт, розничная торговля, и используется, в частности, для улучшения безопасности товаров и более быстрого возврата товаров, развлечения, работы, управления платными дорогами, багажом и проездными документами.

(3) RFID технология потенциально может стать новым двигателем роста и рабочих мест, и тем самым сделать мощный вклад в Лиссабонскую Стратегию, так как она несет большое обещание в экономическом плане, когда она может привести к новым возможностям для бизнеса, снижению затрат и повышенной эффективности, в частности, в борьбе с подделками и в управлении электронными отходами, опасными материалами, и в переработке товаров по истечении срока их эксплуатации.

(4) RFID технология позволяет обрабатывать данные, в том числе персональные данные, на коротких расстояниях без физического контакта или видимого взаимодействия между считывающим или записывающим устройством и тегом, таким образом, что это взаимодействие может произойти без уведомления физического лица, которого оно касается.

(5) Приложения RFID обладают потенциалом для обработки данных, касающихся идентифицированных или идентифицируемых физических лиц, при этом физическое лицо идентифицируется явно или неявно. Они могут обрабатывать персональные данные, хранящиеся на теге, такие как имя человека, дату рождения, адрес или биометрические данные или данные, соединяющие номер конкретного RFID тега с персональными данными, хранящимися в других частях системы. Кроме того, существует потенциальная возможность использования этой технологии для отслеживания физических лиц, если они обладают одной или несколькими тегами, которые содержат номер RFID тега.

(6) В силу возможности RFID использоваться повсеместно и практически незаметно при ее разработке требуется уделить особое внимание вопросам неприкосновенности частной жизни и защиты данных. Таким образом, средства защиты конфиденциальности и информации должны быть встроены в приложения RFID до начала их широкого использования (принцип "проектируемая безопасность и конфиденциальность").

(7) RFID сможет принести свои многочисленные экономические и социальные выгоды только в том случае, если имеются эффективные меры для обеспечения защиты персональных данных, неприкосновенности частной жизни и связанных с этим этических принципов, которые занимают центральное место в спорах относительно общественного признания RFID.

(8) Государства-члены ЕС и заинтересованные лица должны, особенно на этом начальном этапе имплементации RFID, приложить дальнейшие усилия для обеспечения контроля приложений RFID и соблюдения прав и свобод человека.

(9) Сообщение Европейской Комиссии от 15 марта 2007 г. "Радиочастотная идентификация (RFID) в Европе: шаги в направлении политических рамок"*(3) провозгласило, что будут представлены уточнение и руководящие указания относительно аспектов защиты данных и информации о частной жизни в приложениях RFID посредством одной или нескольких Рекомендаций Европейской Комиссии.

(10) Относительно использования приложений RFID, которые обрабатывают персональные данные, в полной мере применяются права и обязанности, касающиеся защиты персональных данных и свободного обращения таких данных, предусмотренные Директивой 95/46/ЕС Европейского парламента и Совета ЕС от 24 октября 1995 г. о защите физических лиц в отношении обработки персональных данных и свободного обращения таких данных*(4) и Директивой 2002/58/ЕС Европейского парламента и Совета ЕС от 12 июля 2002 г., касающейся обработки персональных данных и защиты информации о частной жизни в сфере электронных коммуникаций (Директива о конфиденциальности информации о частной жизни в сфере электронных коммуникаций)*(5).

(11) При разработке приложений RFID должны применяться принципы, изложенные в Директиве 1999/5/EC Европейского парламента и Совета ЕС от 9 марта 1999 г. о радиооборудовании и телекоммуникационном терминальном оборудовании и взаимном признании их соответствия*(6).

(12) Заключение Европейского надзорного органа по защите данных*(7) дает руководящие указания о том, как обращаться с товарами, которые содержат теги и которые предоставляются физическим лицам, и призывает оценивать воздействие на конфиденциальность и безопасность для выявления и развития "наилучших доступных технологий" для обеспечения конфиденциальности и безопасности RFID систем. 

(13) Операторы приложений RFID должны принять все разумные шаги для гарантии того, что данные не относятся к идентифицируемому или идентифицирующему физическому лицу с помощью любых средств, с вероятностью используемых оператором RFID приложений и любым другим лицом, если эти данные не обрабатываются в соответствии с применимыми принципами и правовыми нормами о защите данных.

(14) Сообщение Европейской Комиссии от 2 мая 2007 г. "Содействие защите данных посредством технологий повышения конфиденциальности (PETs)"*(8) устанавливает четкие действия для достижения цели минимизации обработки персональных данных и использования анонимных данных или данных под псевдонимом, где это возможно, с помощью поддержки развития PETs и их использования контроллерами данных и физическими лицами.

(15) Сообщение Европейской Комиссии от 31 мая 2006 г. "Стратегия безопасного информационного общества - "Диалог, партнерство и расширение возможностей"*(9) признает, что разнообразие, открытость, совместимость, удобство использования и конкуренция являются ключевыми факторами развития безопасного информационного общества, подчеркивает роль государств-членов ЕС и органов государственного управления в повышении осведомленности и содействии надлежащей практике безопасности, и предлагает заинтересованным частным лицам выступать с инициативами по работе над доступными схемами подтверждения безопасности товаров, процессов и услуг, обращенными к особым потребностям ЕС, в частности, в отношении конфиденциальности.

(16) Резолюция Совета ЕС от 22 марта 2007 г. о стратегии безопасного информационного общества в Европе*(10) приглашает государства-члены ЕС уделить должное внимание необходимости предотвращения и борьбы с новыми и существующими угрозами безопасности электронным коммуникационным сетям.

(17) Рамки, разработанные на уровне Сообщества для проведения оценок влияния конфиденциальности и защиты данных, будут гарантировать, что государства-члены ЕС последовательно придерживаются положений настоящей Рекомендации. Разработка таких рамок будет опираться на существующие практики и опыт, накопленный в государствах-членах ЕС, в третьих странах и в работе, проводимой Европейским агентством безопасности сетей и информации (ENISA)*(11).

(18) Европейская Комиссия будет обеспечивать развитие руководящих принципов управления информационной безопасностью для приложений RFID на уровне Сообщества, строящихся на существующих практиках и опыте, накопленном в государствах-членах ЕС и третьих странах. Государства-члены ЕС должны содействовать этому процессу и поощрять участие в нем частных лиц и государственных органов.

(19) Оценка воздействия защиты конфиденциальности и данных, осуществляемая оператором до имплементации приложения RFID, предоставит информацию, необходимую для осуществления соответствующих защитных мер. Такие меры должны будут отслеживаться и пересматриваться на протяжении всего срока эксплуатации приложения RFID.

(20) В секторе розничной торговли оценка воздействия защиты конфиденциальности и защиты данных применительно к товарам, которые содержат теги и продаются потребителям, должна обеспечить необходимую информацию для определения вероятности наличия угрозы для конфиденциальности или защиты персональных данных.

(21) Использование международных стандартов, например, тех, что разработаны Международной организацией по стандартизации (ISO), кодексов поведения и лучших практик, которые соответствуют нормативным рамкам ЕС, может помочь в принятии мер по информационной безопасности и конфиденциальности во всем процессе бизнеса, осуществляемого с поддержкой RFID.

(22) Приложения RFID, оказывающие воздействие на основное население, такие как система электронных билетов в общественном транспорте, требуют соответствующих защитных мер. Приложения RFID, которые воздействуют на физических лиц путем обработки, например, биометрических идентификационных данных или данных, связанных со здоровьем, особенно критичны в связи с информационной безопасностью и конфиденциальностью, поэтому требуют особого внимания.

(23) Общество в целом должно быть осведомлено об обязательствах и правах, которые применяются в отношении использования приложений RFID. Поэтому стороны, развертывающие технологию, обязаны предоставлять физическим лицам информацию об использовании этих приложений. 

(24) Рост осведомленности среди общественности и малых и средних предприятий (SMEs), об особенностях и возможностях RFID поможет позволить этой технологии выполнить свои экономические обещания и в то же время смягчить риски от использования ее в ущерб общественным интересам, повышая тем самым ее приемлемость.

(25) Европейская Комиссия будет содействовать имплементации этой Рекомендации, прямо или косвенно способствуя диалогу и сотрудничеству между заинтересованными лицами, в частности, с помощью Рамочной программы о конкурентоспособности и инновациях (CIP), установленной Решением 1639/2006/EC Европейского парламента и Совета ЕС*(12) и Седьмой рамочной программой исследований (FP7), установленной Решением 1982/2006/EC Европейского парламента и Совета ЕС*(13).

(26) На уровне Сообщества необходимы исследования и разработки в области недорогих технологий повышения конфиденциальности и технологий информационной безопасности для содействия более широкому принятию этих технологий на приемлемых условиях.

(27) Настоящая Рекомендация соблюдает основные права и принципы, признанные в частности, Хартией Европейского Союза об основных правах. В частности, данная Рекомендация направлена на обеспечение полного уважения частной и семейной жизни и защиты персональных данных,

настоящим рекомендует:

Область применения

1. Настоящая Рекомендация предусматривает руководство для государств-членов ЕС по разработке и использованию в работе приложений RFID законным, этическим и социально и политически приемлемым способом, с соблюдением права на неприкосновенность частной жизни и обеспечением защиты персональных данных.

2. Настоящая Рекомендация предусматривает руководство относительно мер, подлежащих принятию для развертывания приложений RFID в целях гарантии соблюдения в необходимых случаях национального законодательства по имплементации Директив 95/46/EC, 1999/5/EC и 2002/58/EC при развертывании таких приложений.

Определения

3. Для целей настоящей Рекомендации должны применяться определения, изложенные в Директиве 95/46/EC. Также должны применяться следующие определения:

(а) "радиочастотная идентификация (RFID)" - это использование электромагнитных волн или реактивного поля, взаимодействующих в радиочастотной части спектра для установления связи с тегом посредством различных модуляций и схем кодирования для однозначного считывания идентификационной информации радиочастотного тега или других хранящихся на нем данных;

(b) "RFID тег" или "тег" - это устройство RFID, способное производить радиосигнал, или устройство RFID, которое заново взаимодействует, обратно рассеивает или отражает (в зависимости от типа устройства), а также модулирует несущий сигнал, полученный от считывающего или записывающего устройства;

(с) "RFID считыватель или райтер" или "считыватель" - это стационарное или мобильное устройство для сбора данных и идентификации, использующее радиочастотную электромагнитную волну или реактивное поле, которые взаимодействуют для того, чтобы стимулировать и произвести модулированный ответ данных с тега или группы тегов;

(d) "приложение RFID" или "приложение" - это приложение, которое обрабатывает данные с помощью использования тегов и считывателей, и которое поддерживается вспомогательной системой и сетевой коммуникационной инфраструктурой;

(e) "оператор приложения RFID" или "оператор" - это физическое или юридическое лицо, государственный орган, учреждение или любой другой орган, который самостоятельно или совместно с другими определяет цели и средства работы приложения, в том числе контроллеров персональных данных, использующих приложение RFID;

(f) "информационная безопасность" - это сохранение конфиденциальности, целостности и доступности информации;

(g) "отслеживание" - это любая деятельность, осуществляемая с целью выявления, наблюдения, копирования или записи месторасположения, движения, деятельности или состояния человека.

Оценки воздействия защиты конфиденциальности и данных

4. Государства-члены ЕС должны гарантировать, что отрасль в сотрудничестве с соответствующими заинтересованными лицами гражданского общества разрабатывает рамки для оценок воздействия конфиденциальности и защиты данных. Эти рамки должны быть представлены на одобрение Рабочей группе по защите данных, предусмотренной Статьей 29, в течение 12 месяцев со дня опубликования настоящей Рекомендации в Официальном Журнале Европейского Союза.

5. Государства-члены ЕС должны гарантировать, что операторы, несмотря на другие свои обязательства, предусмотренные Директивой 95/46/EC:

(а) проводят оценку последствий применения приложения для защиты персональных данных и конфиденциальности, в том числе выясняют, может ли приложение быть использовано для отслеживания человека. Уровень детальности оценки должен соответствовать рискам для конфиденциальности, которые могут быть связаны с приложением;

(b) принимают соответствующие технические и организационные меры в целях обеспечения защиты персональных данных и конфиденциальности;

(с) назначают лицо или группу лиц, ответственных за пересмотр оценок и дальнейшей уместности технических и организационных мер для обеспечения защиты персональных данных и конфиденциальности;

(d) предоставляют оценку компетентному органу власти не позднее, чем за шесть недель до развертывания приложения;

(е) имплементируют вышеуказанные положения в соответствии с рамками оценок воздействия защиты конфиденциальности и данных с момента появления последних.

Информационная безопасность

6. Государства-члены ЕС должны поддерживать Европейскую Комиссию в определении тех приложений, которые могут вызывать угрозы безопасности информации, с последствиями для населения в целом. Для таких приложений государства-члены ЕС должны гарантировать, что операторы вместе с национальными компетентными органами и организациями гражданского общества разрабатывают новые схемы или применяют существующие методы, такие как сертификация или самооценка оператора для демонстрации установления соответствующего уровня информационной безопасности и защиты конфиденциальности в отношении оцененных рисков.

Информация и прозрачность использования RFID

7. Без ущерба для обязательств контроллеров данных в соответствии с Директивами 95/46/ЕС и 2002/58/ЕС государства-члены ЕС должны гарантировать, что операторы разрабатывают и опубликовывают краткую, точную и не сложную для понимания информационную политику для каждого из своих приложений. Политика должна, по меньшей мере, включать:

(а) идентификацию и адрес операторов;

(b) цель приложения;

(с) информацию о том, какие данные должны быть обработаны приложением, в частности, будут ли обрабатываться персональные данные, и будет ли отслеживаться местоположение меток;

(d) краткую информацию об оценке воздействии защиты конфиденциальности и данных;

(е) вероятные риски для конфиденциальности, если таковые имеются, связанные с использованием меток в приложении, и меры, которые могут быть приняты физическими лицами для снижения этих рисков.

8. Государства-члены ЕС должны гарантировать, что операторы принимают меры для информирования физических лиц о присутствии считывателей на основе общего Европейского знака, разработанного Европейскими организациями по стандартизации при поддержке заинтересованных лиц. Знак должен содержать идентификацию оператора и контактный пункт для получения физическими лицами информационной политики о приложении.

Приложения RFID, используемые в розничной торговле

9. На основе общего Европейского знака, разработанного Европейскими организациями по стандартизации при поддержке заинтересованных лиц, операторы должны информировать физических лиц о наличии тегов, которые нанесены на товары или встроены в них.

10. При проведении оценки воздействия защиты конфиденциальности и данных, указанной в пунктах 4 и 5, оператор приложения должен конкретно определить, представляют ли теги, нанесенные на товары или встроенные в товары, продаваемые потребителям через розничных торговцев, не являющихся операторами, возможную угрозу конфиденциальности или защите персональных данных.

11. Продавцы, участвующие в розничной торговле, должны дезактивировать или снять в пункте продажи теги, используемые в их приложении, если потребители после получения информации о политике, указанной в пункте 7, не дали свое согласие на сохранение тегов в рабочем состоянии. Под дезактивацией тегов следует понимать любой процесс, который останавливает те взаимодействия тегов с их средой, которые не требуют активного участия потребителей. Дезактивация или снятие тегов продавцом должна быть сделана немедленно и бесплатно для потребителя. Потребители должны иметь возможность убедиться, что дезактивация или снятие тегов прошли успешно.

12. Пункт 11 не должен применяться, если оценка воздействия защиты конфиденциальности и данных приходит к выводу о том, что теги, которые используется в приложении розничной торговли и которые будут оставаться в рабочем состоянии после пункта продажи, не представляют собой угрозу для конфиденциальности и защиты персональных данных. Тем не менее, продавцы, участвующие в розничной торговле, должны предоставлять бесплатные и простые средства, позволяющие немедленно или позднее дезактивировать или снять эти теги.

13. Дезактивация или снятие тегов не должны влечь за собой уменьшение или прекращение законных обязательств продавца или производителя перед потребителем.

14. Пункты 11 и 12 должны применяться только в отношении розничных торговцев, которые являются операторами.

Действия по повышению осведомленности

15. Государства-члены ЕС в сотрудничестве с отраслью, Европейской Комиссией и другими заинтересованными лицами должны принять соответствующие меры по информированию и повышению осведомленности органов государственной власти и компаний, в частности, SMEs о потенциальных выгодах и рисках, связанных с использованием технологии RFID. Особое внимание должно быть уделено аспектам информационной безопасности и конфиденциальности.

16. Государства-члены ЕС в сотрудничестве с отраслью, ассоциациями гражданского общества, Европейской Комиссией и другими соответствующими заинтересованными лицами должны определить и привести примеры надлежащей практики имплементации приложений RFID для информирования и повышения осведомленности среди основного населения. Они также должны принять соответствующие меры, такие как крупномасштабные пилотные проекты, для того, чтобы повысить осведомленность населения о технологии RFID, ее преимуществах, рисках и последствиях использования в качестве предварительного условия для более широкого принятия этой технологии.

Исследование и разработка

17. Государства-члены ЕС должны сотрудничать с отраслью, соответствующими заинтересованными лицами гражданского общества и Европейской Комиссией для стимулирования и поддержки внедрения принципа "проектируемой безопасности и конфиденциальности" на ранней стадии разработки приложений RFID.

Контроль исполнения

18. Государства-члены ЕС должны принять все необходимые меры по доведению данной Рекомендации до сведения всех заинтересованных лиц, которые участвуют в разработке и работе приложений RFID в рамках Сообщества.

19. Государства-члены ЕС должны информировать Европейскую Комиссию не позднее 24 месяцев после опубликования данной Рекомендации в Официальном Журнале Европейского Союза о действиях, принятых в ответ на данную Рекомендацию.

20. В течение трех лет с даты публикации настоящей Рекомендации в Официальном Журнале Европейского Союза, Европейская Комиссия представит отчет об имплементации настоящей Рекомендации, ее эффективности и влиянии на операторов и потребителей, в частности, в отношении мер, рекомендованных в пунктах 9 - 14.

Адресаты

21. Настоящая Рекомендация адресована государствам-членам ЕС.

Совершено в Брюсселе 12 мая 2009 г.

За Европейскую Комиссию
Viviane REDING,
Член Европейской Комиссии

_____________________________

*(1) Commission Recommendation of 12 May 2009 on the implementation of privacy and data protection principles in applications supported by radio-frequency identification. 

*(2) COM (2007) 607 окончательное.

*(3) COM (2007) 96 окончательное.

*(4) ОЖ N L 281, 23.11.1995, стр. 31. 

*(5) ОЖ N L 201, 31.7.2002, стр. 37.

*(6) ОЖ N L 91, 07.04.1999, стр. 10. 

*(7) ОЖ N C 101, 23.04.2008, стр. 1. 

*(8) КOM (2007) 228 окончательное. 

*(9) КOM (2006) 251 окончательное.

*(10) ОЖ N C 68, 24.03.2007, стр. 1.

*(11) Статья 2 (1) Регламента (EC) 460/2004 Европейского парламента и Совета ЕС (ОЖ N L 77, 13.03.2004, стр. 1).

*(12) ОЖ N L 310, 09.11.2006, стр. 15. 

*(13) ОЖ N L 412, 30.12.2006, стр. 1.