Najnowsze artykuły
Technologie RFID i EPC | RFID – Aspekty prawne oraz stan na 2012 rok.
2683
post-template-default,single,single-post,postid-2683,single-format-standard,ajax_fade,page_not_loaded,smooth_scroll,,qode-theme-ver-1.4.1,wpb-js-composer js-comp-ver-4.3.4,vc_responsive

RFID – Aspekty prawne oraz stan na 2012 rok.

RFID – Aspekty prawne oraz stan na 2012 rok.

20:41 02 Styczeń w Inne

W dzisiejszych czasach identyfikacja radiowa (RFID) zapewnia szanse na  poprawę jakości produktów i usług oraz sprawienie by były bezpieczniejsze i tańsze. RFID zawiera także globalne i powszechne wyzwanie dla systemów prawnych na całym świecie.  Technologia RFID staje się wszechobecna w dzisiejszych czasach ponieważ jej zakres rozciąga się od integracji produktów do jej implantacji u ludzi i zwierząt. Do tej pory RFID jest używana głownie dla celów logistycznych w identyfikowaniu przesyłek. Jednak pojawiają się już zastosowania tej technologii w przestrzeni publicznej na masową skalę: paszporty biometryczne, karty transportu publicznego, systemy mikropłatnosci, żetony identyfikacyjne pracowników itp. Skala potencjalnych zastosowań RFID technologii zmusza nas do tego by wyróżnić kilka różnych scenariuszy z prawnego punktu widzenia. Możemy wyróżnić następujące zastosowania technologii RFID:

  • identyfikacja i monitorowanie produktów (elektroniczny kod produktu (EPC) );
  • identyfikacja i monitorowanie zwierząt w czasie rzeczywistym (uwierzytelnianie i Monitorowanie zwierząt (RTAMA) ;
  • identyfikację i monitoring osób (w czasie rzeczywistym uwierzytelniania i monitoring osób (RTAMP).

Przykładem scenariusza RTAMP jest KidSpotter Legoland w Billund w Danii :
Przy wejściu do parku, rodzice mogą wypożyczyć  dla swoich dzieci bransoletkę zawierającą tag RFID. W parku o powierzchni ok. 150.000 metrów kwadratowych umieszczono ok. 40-50 czytników RFID. Jeśli rodzice zgubią dziecko, mogą wysłać wiadomość tekstową za pomocą systemu KidSpotter. Otrzymają oni komunikat zwrotny z nazwą odpowiedniej części parku, w którym dziecko się znajduje oraz współrzędne i mapę. Pozycja dziecka w parku jest określana  z dokładnością do 3 metrów. Zabezpieczenie to często skłania rodziców do wypożyczenia takiej opaski dzięki czemu mają pewność, że ich pociecha szybko się znajdzie.  Zarządzanie tożsamością w tym przypadku obejmuje połączenie tożsamości osobistej, miejsca i numeru telefonu.

Scenariusz RTAMA – przykładem może być wszczepianie chipów RFID w jelenie (Texas, USA) i psy (Hamburg, Niemcy) – jest to przedmiot publicznej dyskusji, ponieważ ludzie boją się, że implanty mogą powodować raka . Pomimo wielu etycznych i ekonomicznych aspektów tych dwóch scenariuszów powyższa dyskusja koncentruje się głównie na scenariuszu EPC co oznacza montowanie urządzeń RFID w różnego rodzaju produktach. Scenariusz EPC sprawia, że można odczytać pewne dane i połączyć ich treść wraz z odpowiednią bazą danych producenta, co zapewnia dodatkowe informacje o produkcie, takie jak np.  kiedy i gdzie został wyprodukowany. Możliwe jest również umieszczenie czytników RFID w różnych miejscach (np. w supermarkecie) w celu określenia miejsca gdzie dany produkt się znajduje.

Ochrona danych osobowych : Prawo tradycyjne

Z perspektywy globalnej, podstawą do radzenia sobie z technologią RFID pod kątem prawnym jest ochrona danych osobowych.  W Europie rdzeń ustawy o ochronie danych osobowych określa osiem zasad Organizacji Współpracy Gospodarczej i Rozwoju (OECD):

1.  Zasada ograniczenia w kolekcji danych – powinny być ograniczenia w kolekcji danych osobowych, a wszelkie takie dane powinny być otrzymywane  zgodnie z prawem , w stosownych przypadkach oraz za zgodą osoby, której te dane dotyczą.

2. Zasady jakości danych – dane osobowe powinny być dobrane odpowiednio do celów w których są stosowane, a cele powinny być dokładne, kompletne i uaktualniane.

3. Zasada celowości – cele, dla których dane osobowe są zbierane należy określić nie później niż w chwili  gromadzenia danych, a późniejsze wykorzystanie  danych powinno być ograniczone tylko do spełnienia tych określonych celów.

4. Użycie zasady ograniczenia – dane osobowe nie powinny być ujawnione, dostępne lub wykorzystanie w celach innych niż określony z wyjątkiem  zgody osoby, której dane dotyczą, lub zgody wydanej przez organy prawne.

5. Gwarancje bezpieczeństwa  – dane osobowe powinny być rozsądnie chronione  przed takimi zagrożeniami, jak utrata lub nieautoryzowany dostęp do nich, zniszczenie, użycie, modyfikacje lub ujawnienia danych.

6. Zasada otwartości – powinny być określone ogólne zasady jawności o rozwoju, praktykach i polityce w odniesieniu do danych osobistych. Powinny być łatwo dostępne określone środki dla ustalenia istnienia i charakteru danych osobowych i głównego celu ich stosowania, a także do ustalenia tożsamości i miejsca zamieszkania administratora danych.

7. Indywidualna zasada uczestnictwa – osoba powinna mieć prawo do:

– uzyskania danych potwierdzających czy administrator danych zawiera dane odnoszące się do niego;

– sprawdzenia czy dotyczące go dane zostały mu przekazane

-do zakwestionowania danych odnoszących się do niego

8. Zasada odpowiedzialności – administrator danych powinien być odpowiedzialny za działania, które wiążą się z zasadami określonymi powyżej.

Ochrona danych osobowych dla RFID

Pojęcie danych personalnych jest głównym aspektem prawa o ochronie prywatności informacji. Tradycyjne prawo prywatności zapewnia ochronę danych personalnych tylko w przypadkach, gdy są one zbierane lub czytane. Jednakże według scenariusza EPC kwestia pozyskiwania danych budzi wątpliwości – nie wiadomo czy mamy do czynienia z pozyskiwaniem danych personalnych, gdy konsument używa dóbr konsumpcyjnych oznaczonych numerem, który (przy pomocy odpowiednich czytników) może zostać odczytany, i na którego podstawie można pozyskać informacje o producencie, zakładzie produkcyjnym bądź dacie produkcji (danego towaru).
Znalezienie zależności między osobą a informacjami dostarczanymi przez używane przez nią dobra konsumpcyjne , niezależnie od ich ilości, nie oznacza, że mamy w efekcie do czynienia z danymi osobowymi jeżeli osoba ta nie zostanie zidentyfikowana. Oznacza to, że tradycyjne prawo nie jest w stanie zapewnić rozwiązania dla scenariusza EPC. Konfrontacja technologii RFID i prywatności prowadzi w rezultacie do dwóch różnych propozycji:

  • rozwiązania technologiczne (technologie na rzecz ochrony prywatności);
  • pytanie, czy nowe prawo jest potrzebne RFID.

Technologie na rzecz ochrony prywatności (PET):

Tagi RFIDopatrzone etykietami umożliwiającymi ichrozpoznaniei usuwanie

Pierwsze rozwiązanie polega na oznaczaniu tagu RFID etykietą, która również sprawia, że taki tag staje się przenośny i można go usuwać i wymieniać. Pomysł ten odpowiada życzeniom 471 z 2014 respondentów  z przeprowadzonej przez Komisję Europejską w 2006 roku ankiety online.

Pseudonimizacjaza pomocąmetod kryptograficznych

W tym przypadku wartości mieszane są generowane w celu kontroli czytelności i elastyczności z tagami RFID.

Tag blokerowy

Jeżeli osoba używa takiego blokera RFID, nieuprawniony odczyt z tagu RFID nie jest już możliwy. Jednak skuteczność tego podejścia jest kwestionowana.

Metalowe osłony

Dopasowanie portfeli z okładzinami z folii metalowych mogłyby uniemożliwić odczyt informacji  banknotów lub identyfikacji dokumentów zawierających znaczniki RFID.

Perspektywy

Podsumowując, można stwierdzić, że techniczne możliwości są dostępne, lecz dodatkowe badanie ich praktyczności gospodarczej, technicznej i prawnej jest konieczne. Na przykład blokery mogłyby zakłócać pożądane wyszukiwania RFID, co powoduje, że przyszła ustawa RFID może zakazać używania blokerów. Poza tym skoro istnieje zapotrzebowanie na technologię prywatności w RFID to tym samym istnieje zapotrzebowanie na nowe prawo.

RFID – prawo w Unii Europejskiej

Prywatność i bezpieczeństwo

Źródło: esm.edu.pl

Technologia RFID podnosi kwestie prywatności i wywołuje obawy związane z bezpieczeństwem, ponieważ może służyć do zbierania i rozpowszechniania danych osobowych. Tłumaczy to trudności w uzyskaniu poparcia opinii publicznej, która domaga się zastosowania odpowiednich zabezpieczeń. Tak więc w tej dziedzinie należy uwzględnić społeczne, polityczne, etyczne i prawne skutki upowszechniania technologii RFID.

Zgodnie z obowiązującym prawem rządy krajowe są odpowiedzialne za zapewnienie stosowania krajowych przepisów w sprawie procedur przetwarzania danych, w tym zastosowań związanych z technologią RFID. Jeśli chodzi o bezpieczeństwo systemu RFID, państwa członkowskie, Komisja i przedsiębiorstwa muszą prowadzić wspólne działania na poziomie technicznym, organizacyjnym i procesów biznesowych. W tym celu Komisja zachęca do konsolidacji dobrych praktyk oraz opracowywania kryteriów projektowania technologii RFID, które ograniczają ryzyko u samych podstaw.

Zmniejszenie zagrożenia dla bezpieczeństwa i prywatności wymaga ciągłego czuwania nad wszystkimi konsekwencjami stosowania technologii RFID. W tym względzie indywidualne podejście do każdego zastosowania technologii RFID może być bardziej skuteczne niż podejście bardziej ogólne, ponieważ każde zastosowanie niesie ze sobą inne zagrożenia i korzyści.

Kluczową rolę mogą odgrywać kampanie uświadamiające i informacyjne. Konsultacje społeczne prowadzonych przez Komisję rzeczywiście udowodniły, że ogół społeczeństwa nie dysponuje często informacjami na temat możliwości i wyzwań, związanych z technologią RFID.

Unia Europejska stworzyła dokumentów prawnych w kwestii ochrony danych osobowych. Jego znaczenie uznają Traktat o funkcjonowaniu Unii Europejskiej (TFUE) (art. 16) oraz Karta Praw Podstawowych (art. 8). Ponadto ogólna dyrektywa o ochronie danych i dyrektywa o prywatności i łączności elektronicznej określają europejskie ramy prawne w tej dziedzinie. Dyrektywy te zapewniają ochronę danych osobowych, uwzględniając innowacyjność procedur stosowanych w przetwarzaniu danych.

Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z 24.10.1995 r. w sprawie ochrony danych osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych w punkcie 2 preambuły mówi, iż : „ systemy przetwarzania danych są tworzone  po to, aby służyły człowiekowi; muszą one, niezależnie od obywatelstwa czy miejsca stałego zamieszkania osób fizycznych, szanować ich podstawowe prawa i wolności, szczególnie prawo do prywatności, oraz przyczyniać się do postępu gospodarczego i społecznego, rozwoju handlu oraz dobrobytu jednostek”.

Grupa Robocza Artykułu 29 (niezależny podmiot o charakterze doradczym, powołany na mocy art. 29 Dyrektywy 95/46/WE Parlamentu Europejskiego i Rady) opracowała dokument, gdzie zostały rozpoznane trzy główne typy zagrożeń jakie niesie ze sobą identyfikacja z użyciem fal radiowych (RFID) :

  • użycie RFID do zbierania informacji, które są pośrednio lub bezpośrednio związane z danymi osobowymi (np. sprzedawca zestawiając dane z czytnika RFID umieszczonego przy kasie z danymi  z karty kredytowej kupującego jest w stanie ustalić do kogo trafił konkretny egzemplarz towaru),
  • użycie technologii RFID do przechowywania danych osobowych na znacznikach RFID (np. zapisanie danych osobowych na chipie umieszczonym w paszporcie elektronicznym),
  • użycie technologii RFID do śledzenia osoby bez jej identyfikowania (np. śledzenie przez sieć sklepów nawyków zakupowych osoby, która korzysta z karty programu lojalnościowego wystawionej na okaziciela).

Listę zagrożeń dla prywatności i ochrony danych osobowych przygotowano również w Kanadzie, gdzie podobnie jak w Unii Europejskiej przywiązuje się dużą wagę do ochrony prywatności. Federalny Komisarz ds. Prywatności wyodrębnił następujące zagadnienia związane z technologią RFID:

  • korzystając z identyfikacji z użyciem fal radiowych, informacje można pozyskiwać z ukrycia;
  • technologia może być wykorzystywana do śledzenia osób, na przykład jeśli znaczniki zostały umieszczone w ubraniu czy samochodzie i istnieje sieć odpowiednio rozmieszczonych czytników;
  • tworzenie precyzyjnych profili konkretnych osób może przybrać znaczne rozmiary dzięki możliwości łatwego identyfikowania i przyporządkowywania przedmiotów do konkretnej osoby;
  • dane zebrane za pomocą RFID mogą być łatwo wykorzystane w innym celu niż ten, dla którego zostały zebrane

Zgodnie z art. 6 ust. 1 polskiej ustawy o ochronie danych osobowych, „za dane osobowe uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Na podstawie ust. 2 tego artykułu, osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne. Zgodnie z ust. 3 tego artykułu, informacji nie uważa się za umożliwiającą określenie tożsamości osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań”.

Zarówno w Polsce jak i na terenie całej Unii Europejskiej obowiązują zasady dotyczące przetwarzania danych osobowych. Zgodnie z art. 23 Ustawy o ochronie  danych osobowych, musi istnieć podstawa do przetwarzania danych osobowych (najczęściej jest to zgoda osoby, której dane dotyczą). Dane te powinny być również aktualne i w odpowiedni sposób zabezpieczone; osoba, której dane dotyczą powinna znać cel ich przetwarzania oraz posiadać informację o podmiocie odpowiedzialnym za przetwarzanie danych; powinna mieć też dostęp do danych i prawo ich poprawienia oraz usuwania danych w konkretnych przypadkach; administrator danych osobowych jest odpowiedzialny za przestrzeganie powyższych zasad.

W przypadku technologii RFID zgoda na przetwarzanie danych osobowych powinna być udzielona z wyraźnym zaznaczeniem, iż osoba która ją wyraża jest świadoma tego, że dane będą pozyskiwane przy wykorzystaniu identyfikacji z użyciem fal radiowych.

RFID a biometria i dane sensytywne

Kategorią znaczników RFD o szczególnej doniosłości dla ochrony danych osobowych są chipy zawierające dane biometryczne. Najpopularniejszym przykładem takiego rozwiązania są paszporty elektroniczne. Aktualnie istnieją dwa standardy takich paszportów: BAC (Basic Access Control) i EAC (Extended Access Control). Paszporty w systemie BAC (obecnie jest to najpopularniejszy standard paszportów biometrycznych) zawierają tylko jedną cechę biometryczną. Od 26.06.2009 r. Polska używa w swoich paszportach standardu EAC, w którym chip RFID zawiera dwie dane biometryczne: odciski palców i obraz twarzy. Innymi cechami biometrycznymi, które w najbliższej przyszłości mogą zostać użyte do identyfikacji konkretnej osoby są m.in. wygląd tęczówki oka czy też układ żył na wewnętrznej stronie dłoni. Takie dane mają tę przewagę nad obecnie używanymi informacjami biometrycznymi ponieważ w przeciwieństwie do odcisków palców oraz wyglądu twarzy, są danymi których po sobie nigdzie nie pozostawiamy, dzięki czemu dostęp do nich jest mocno utrudniony. Czyni to wspomniane metody identyfikacji bezpieczniejszymi niż te, które stosowane są obecnie. Przyszłościową wydaje się być zwłaszcza identyfikacja z użyciem układów żył – jako mniej inwazyjna i łatwiejsza do akceptacji niż identyfikacja z użyciem tęczówki.

Art. 27 ust. 1 o ochronie danych osobowych zabrania przetwarzania tzw. danych sensytywnych, do których zalicza się między innymi dane o stanie zdrowia. Tutaj można posłużyć się przykładem tęczówki oka, której kształt stanowi dane biometryczne, a z której stanu już dziś można uzyskać informacje na temat niektórych dolegliwości danej osoby. Można więc rozważać uznanie wyglądu tęczówki za dane biometryczne umożliwiające uzyskanie informacji o stanie zdrowia konkretnej osoby, czyli za dane sensytywne. Wydaje się zatem, że na przykład zastosowanie w biurach identyfikacji z użyciem dostępnych w Polsce czytników tęczówki oka, może stanowić naruszenie ustawy o ochronie danych osobowych.

Dane sensytywne można również zbierać poprzez samo śledzenie osób z wykorzystaniem identyfikacji z użyciem fal radiowych (choćby poprzez zestawienie danych ze znacznika z innymi bazami danych). Dane są zbierane pośrednio i wymagają zestawienia z innymi bazami danych. Już teraz technologia RFID bywa stosowana do śledzenia osób, gdy wymagają tego względy bezpieczeństwa. Na przykład w Japonii RFID zastosowano w kilku szkołach i przedszkolach do znakowania uczniów. Zastosowanie systemu RFID pozwoliło na uproszczenie procesu monitorowania obecności dzieci na terenie szkoły.

W związku z coraz częstszą obecnością RFID w życiu codziennym zaczęła rodzić się fala krytyki. Powstały organizacje, które widząc w RFID zagrożenie dla prywatności, sprzeciwiają się dalszemu rozwojowi tej technologii. Najbardziej znaną organizacją jest CASPIAN, który w ramach swojej działalności publikuje m.in. metody obrony przed RFID stosowaną w supermarketach i doradza aby na przykład płacić za zakupy tylko i wyłącznie gotówką, czy też zrezygnować z udziału w programach lojalnościowych prowadzonych przez sklepy. Sprawą zajmuje się też wiele organizacji interesu publicznego takich jak: Electronic Frontier Foundation (EFF), Electronic Privacy Information Center (EPIC) czy kanadyjski Samuelson-Glushko Canadian Internet Policy and Public Interest Clinic (CIPPIC). Ponadto technologia RFID wywołuje sprzeciw niektórych środowisk chrześcijańskich, które postrzegają bo chipy jako biblijne znamię Bestii. Jednak część badaczy wskazuje, że stosunek konsumentów do RFID jest często kształtowany przez emocje i wynika z braku informacji o zasadach funkcjonowania tej technologii. Wydaje się, że największe obawy wzbudza fakt, że fale radiowe są niewidzialne i ludzie skanowani są przez czytniki RFID bez ich wiedzy.

Dopóki powszechnie używane znaczniki są w stanie przekazywać dane tylko na bardzo małe odległości, problem odpowiedniego zabezpieczenia zawartości znacznika nie jest poważnym zagrożeniem dla ochrony danych osobowych. Jednak coraz częściej powstają bardziej zaawansowane technologicznie transpondery i niektóre z nich (np. aktywne chipy używane do znakowania i śledzenia migracji dzikich zwierząt) są już w stanie emitować sygnał radiowy na znaczne odległości. To tylko kwestia czasu kiedy staną się one standardem, a wtedy administratorzy danych osobowych staną przed poważnym problemem, jak odpowiednio zabezpieczyć przetwarzane za pomoca technologii RFID dane.

Źródła:

RFID for the Optimization of Business Processes – Wolf-Ruediger Hansen, Frank Gillert

Prawne aspekty identyfikacji z użyciem fal radiowych RFID – Michał Czerniawski

http://europa.eu/legislation_summaries/information_society/radiofrequencies/l24120a_pl.htm

Tags: