Technologii radiofrekvenční identifikace si oblíbili různí konspirátoři spekulující o sledování osobních údajů, „čipování lidí“ apod. Trochu neprávem: RFID nijak nevybočuje z řady technologií, které jsou různým způsobem asociovány s konkrétními uživateli, především z oblasti mobilní komunikace. Subjekty, které nakládají s RFID technologií, by přesto měly mít legislativu o ochraně osobních údajů a soukromí na paměti!
Jak ale zjistí, zda jsou jejich aplikace RFID v souladu s evropskými nařízeními upravujícími ochranu osobních dat a soukromí? Pomůže jim nástroj PIA – GS1 EPC/RFID Privacy Impact Assessment Tool.
PIA je nástroj, s jehož pomocí RFID operátor vyhodnocuje případná rizika ochrany osobních údajů při aplikaci RFID. Dokument naleznete volně ke stažení na stránkách GS1 Czech Republic.
V éře, kdy doménou RFID byly takřka výhradně logistické procesy (boom označování logistických jednotek odstartovaly projekty amerického maloobchodního řetězce Walmart kolem roku 2005) a průmyslové aplikace, žádné kontroverze nevznikaly. Technologie se s koncovým zákazníkem míjela.
Obr. 1 Počáteční analýza – rozhodnutí o úrovni PIA (zdroj: GS1 CR)
První, silně medializované kauzy týkající se „ohrožování soukromí“ v souvislosti se zaváděním radiofrekvenční identifikace se objevily ještě několik let před tím, než dostala ochrana osobních dat a soukromí v Evropě legislativní rámec. Týkaly se oděvů a módy. „V té době nešlo o reálné projekty, byly to spíše úvahy o využívání RFID na úrovni spotřebitelských jednotek s cílem lepšího řízení skladových operací a zajištění větší dostupnosti všech druhů vysoce rozmanitého sortimentu na prodejní ploše,“ upřesňuje Tomáš Martoch ze společnosti GS1 Czech Republic. Jako příklad udává iniciativy společností Benetton a Adidas (lídrem ve využívání RFID na úrovni spotřebitelských jednotek je sektor fashion dodnes), které vyvolaly protestní kampaň nepočetných, ale o to hlasitějších skupin. Upozorňovaly na nebezpečí ze strany orwellovského „Velkého bratra“.
RFID technologie tak trochu neprávem začala vyčnívat mezi ostatními technologiemi, které mohou určitým způsobem identifikovat konkrétního lidského jedince či asociovat neživý předmět s jeho majitelem či uživatelem. Všechny tyto technologie mají potenciál pro zneužití, proto jejich užívání upravuje příslušná legislativa.
Příprava legislativního rámce upravujícího implementace RFID z hlediska ochrany osobních dat byla zahájena na sklonku minulé dekády. Za společný stůl zasedli zástupci Evropské komise, představitelé průmyslových a obchodních asociací a činitelé z normotvorných organizací v čele s globální standardizační organizací GS1, která spravuje RFID stan dard EPC (Electronic Product Code). V květnu 2009 Evropská komise vydala doporučení pro všechny subjekty, které nakládají s RFID technologií (ve znění dokumentu označováni jako RFID operátoři), aby vyhodnotili, zda jsou jejich aplikace v souladu s evropskými nařízeními o ochraně osobních údajů a soukromí. Za tímto účelem byl vytvořen Rámec pro ochranu osobních údajů aplikací RFID – „EPC/RFID Privacy Impact Assessment“. V roce 2011 byl Rámec schválen Evropskou komisí a publikován (http://ec.europa.eu/information_society/policy/rfid/inde x_en.htm). Pro snadné odhalení rizik z hlediska ochrany osobních údajů při aplikaci RFID vypracovala GS1 jednoduchý online nástroj – GS1 EPC/RFID Privacy Impact Assessment Tool, který schválila pracovní skupina pro ochranu osobních údajů při EK.
S jeho pomocí RFID operátoři snadno vyhodnotí, zda jejich aplikace není ve střetu s legislativou chránící soukromí.
Vysoce rizikovou a přitom opomíjenou oblastí je sféra výroby, kde dochází k propojení informačního toku na ose zakázka – výrobek – pracovník. Průmyslové aplikace RFID v ČR aktuálně patří k poměrně rychle se rozšiřujícím projektům. Jde často o interní řešení, jejichž dopad není na první pohled zřetelný, a proto by měli jejich provozovatelé a uživatelé vědět o existenci PIA.
Operátoři bezpečně zjistí, jak mají postupovat, aby dodržovali schválená pravidla, a získají nástroj pro vytvoření formálního výstupu, který v případě potřeby mohou poskytnout příslušným kontrolním orgánům.
Zmíněná ustanovení se v praxi mohou týkat všech aplikací, kde je RFID tag asociován se spotřebitelskou jednotkou, dále různými docházkovými systémy na bázi RFID, systémy pro evidenci majetku a pochopitelně RTLS (Real Time Location System) řešeními např. pro sledování pohybu osob na pracovištích. S masivním rozšiřováním RFID do mnoha sfér lidské činnosti je spektrum oblastí a produktů, kde může být PIA relevantní, velmi široké a pestré.
Příkladů je možné nabídnout nesčetné množství. Zákazník by měl být obchodníkem upozorněn na RFID tagy, které byly aplikovány na výrobek na počátku výrobního cyklu a mohou být dále využívány: typicky jde o čipy na bicyklech, které – pokud si to kupující vyloženě přeje – nemusejí být z výrobku v momentu prodeje odstraněny a mohou sloužit dál jako evidenční prvek či např. ochrana proti odcizení.
Může to být RFID čip nesoucí informaci o jednotlivých kusech oděvů z hlediska instrukcí pro jejich praní, využívaný (zatím spíše jen na technologických přehlídkách a veletrzích) tzv. chytrými pračkami. Dále věrnostní systémy na bázi RFID atd.