Zadaj pytanie

Okresy retencji nagrań wideo z monitoringu i kamer nasobnych - jak ustalić praktyczne i bezpieczne limity

Łukasz Bonczol
Opublikowano: 22.01.2026
Zaktualizowano: 10.03.2026

Spis treści

Harmonogram retencji nagrań wideo to udokumentowany zestaw zasad określających, jak długo przechowywane są nagrania z monitoringu CCTV oraz kamer nasobnych (bodycam), zanim zostaną usunięte, a także w jakich warunkach konkretne materiały mogą być przechowywane dłużej. Decyzje dotyczące retencji są ściśle powiązane z tym, czy nagrania zawierają możliwe do zidentyfikowania dane osobowe oraz czy tworzysz wersje zanonimizowane, np. poprzez rozmywanie twarzy lub tablic rejestracyjnych.

czarno-białe zdjęcie półek z książkami i małym kineskopowym telewizorem

Kiedy retencja nagrań z CCTV i bodycam jest zgodna z prawem?

Retencja jest zgodna z prawem wtedy, gdy jest ograniczona do tego, co niezbędne dla jasno określonego, legalnego celu i jest konsekwentnie stosowana. W ramach przepisów UE i Wielkiej Brytanii odzwierciedla to zasada ograniczenia przechowywania oraz ogólny wymóg zgodności przetwarzania z celem i minimalizacją danych. W USA nie istnieje jeden ogólnokrajowy odpowiednik, jednak okresy przechowywania nadal mają kluczowe znaczenie z perspektywy prywatności i ryzyka procesowego - zwłaszcza gdy nagrania są wykorzystywane w sprawach pracowniczych, obsłudze incydentów, ubezpieczeniach lub przekazywane podmiotom zewnętrznym. Praktyczne podejście do zgodności łączy krótką domyślną retencję surowych nagrań z operacyjnym procesem szybkiej anonimizacji klipów potrzebnych do szkoleń, komunikacji lub dłuższego archiwizowania [1][2][3].

zdjęcie obracającej się kamery w hali

Jak anonimizacja danych wizualnych zmienia podejście do retencji?

Jeżeli nagranie pokazuje możliwe do zidentyfikowania twarze lub tablice rejestracyjne, zazwyczaj zawiera dane osobowe. Jeśli identyfikatory zostaną nieodwracalnie usunięte lub przekształcone w taki sposób, że osoby nie są już możliwe do zidentyfikowania przy uwzględnieniu środków, które można racjonalnie zastosować, wynikowy materiał może nie podlegać przepisom o ochronie danych w UE i Wielkiej Brytanii. Jeżeli jednak anonimizacja jest słaba lub jedynie pseudonimizująca, nagranie nadal może być uznane za dane osobowe. Dlatego wiele organizacji stosuje podejście dwupoziomowe: krótkie przechowywanie surowych nagrań na potrzeby bezpieczeństwa i wstępnej analizy incydentów, a następnie tworzenie zanonimizowanych wersji do długoterminowych celów, takich jak szkolenia, komunikacja czy analityka [1][3].

Twarze: nie istnieje uniwersalna zasada, że twarze zawsze muszą być rozmywane. Obowiązek anonimizacji zależy od celu, podstawy prawnej, odbiorców oraz - w razie publikacji - krajowych przepisów dotyczących wizerunku. W Polsce rozpowszechnianie wizerunku osoby jest najczęściej oceniane na gruncie prawa cywilnego oraz przepisów prawa autorskiego, gdzie co do zasady wymagana jest zgoda, o ile nie ma zastosowania wyjątek.

Tablice rejestracyjne: w wielu krajach Europy Zachodniej rozmywanie tablic przy publikacji lub szerokim udostępnianiu jest powszechnie oczekiwane, a w praktyce bywa traktowane jako obowiązkowe. W Polsce stanowisko nie jest jednolite. Wytyczne oraz unijne zasady identyfikowalności często przemawiają za uznawaniem tablic rejestracyjnych za dane osobowe w wielu scenariuszach, choć część orzecznictwa krajowego przyjmowała węższe podejście w określonych kontekstach. Dla organizacji działających międzynarodowo rozsądną, opartą na analizie ryzyka praktyką jest rozmywanie tablic osób postronnych przy publikacji lub szerokim udostępnianiu, o ile nie istnieje jasno udokumentowana potrzeba, aby tego nie robić [1][3].

czarno-białe zdjęcie znaku "cctv cemeras in operation" stojącego w mieście

USA: dlaczego polityki retencji mają znaczenie nawet bez jednego federalnego prawa o prywatności

Organizacje w USA nie powinny zakładać, że „brak RODO” oznacza „brak obowiązków retencyjnych”. Długie okresy przechowywania zwiększają ryzyko w ramach stanowych regulacji dotyczących prywatności, przepisów biometrycznych (tam, gdzie mają zastosowanie), ustaw o naruszeniach bezpieczeństwa oraz roszczeń opartych na prawie zwyczajowym. W przypadku programów CCTV i bodycam dłuższa retencja oznacza także większą ekspozycję w postępowaniach dowodowych i sporach pracowniczych. Dobrze obronna polityka zakłada krótkie domyślne okresy, ścisłą kontrolę przedłużeń oraz stosowanie anonimizacji w celu ograniczenia identyfikowalności przy dłuższym przechowywaniu lub udostępnianiu nagrań [4][5][6].

zdjęcie dwóch kamer monitoringu miejskiego na czarnej elewacji budynku

Krok po kroku: jak ustalić praktyczne limity retencji

Ta metoda została zaprojektowana tak, aby harmonogram retencji był użyteczny operacyjnie dla zespołów bezpieczeństwa oraz możliwy do obrony z perspektywy zgodności i prawa.

  1. Zdefiniuj cele dla każdej kamery lub urządzenia. Typowe cele to bezpieczeństwo, analiza incydentów, ochrona pracowników oraz dowody w sprawach dyscyplinarnych lub prawnych. Unikaj „rozszerzania celu”.
  2. Sklasyfikuj konteksty kamer. Wejścia, ogrodzenia, hale produkcyjne, magazyny, strefy obsługi klienta czy kamery nasobne pierwszej linii różnią się poziomem ryzyka i wartością dowodową.
  3. Ustal krótką domyślną retencję surowych nagrań. Wiele organizacji przyjmuje 24-72 godziny dla CCTV o niższym ryzyku oraz 7-30 dni dla obszarów podwyższonego ryzyka. W przypadku bodycam okresy domyślne są często krótkie, o ile nagranie nie zostanie oznaczone. Wartości te zależą od kontekstu i powinny być uzasadnione udokumentowaną analizą.
  4. Zdefiniuj przedłużenia oparte na incydentach. Gdy klip zostanie oznaczony do postępowania wyjaśniającego lub roszczenia, przechowuj wyłącznie istotne fragmenty i udokumentuj okres przedłużenia zgodny z cyklem życia sprawy.
  5. Wprowadź proces anonimizacji dla dłuższych potrzeb. Dla materiałów potrzebnych po upływie domyślnego okresu - np. do szkoleń, komunikacji lub kontrolowanego udostępniania - twórz kopie z rozmytymi twarzami i, w razie potrzeby, tablicami rejestracyjnymi. Wersję zanonimizowaną przechowuj dłużej, a surowy oryginał usuń, chyba że istnieje prawny obowiązek jego zachowania.
  6. Zautomatyzuj usuwanie. Wdróż rotacyjne usuwanie zgodnie z harmonogramem i rejestruj zdarzenia. Logi operacyjne ogranicz do minimum i unikaj zbędnych danych osobowych.
  7. Dokonuj corocznego przeglądu. Aktualizuj cele, ryzyka i otoczenie prawne. Wraz z poprawą jakości anonimizacji często możliwe staje się krótsze przechowywanie surowych nagrań i dłuższa retencja wersji zanonimizowanych.

Jeśli chcesz wdrożyć to podejście operacyjnie przy użyciu narzędzi on-premise, sprawdź Gallio PRO. Oprogramowanie wspiera automatyczne rozmywanie twarzy i tablic rejestracyjnych dla zdjęć oraz nagrań wideo, a także oferuje prosty edytor manualny do maskowania dodatkowych elementów.

czarno-białe zdjęcie magazynu pełnego pudełek z kratkami

Orientacyjne okresy retencji dla CCTV i kamer nasobnych

Poniższe zakresy nie stanowią porady prawnej. Odzwierciedlają powszechną praktykę obserwowaną w programach zgodności i zawsze zależą od kontekstu. Ostateczny wybór należy powiązać z udokumentowanymi celami, charakterem kamer i poziomem ryzyka.

Przypadek użycia

Typowy cel

Domyślna retencja surowych nagrań

Kiedy przedłużyć

Retencja wersji zanonimizowanej

 

CCTV - wejście do biura

Kontrola dostępu, wstępna analiza incydentów

24-72 godziny

Oznaczenie incydentu - do zamknięcia sprawy

Jeśli potrzebne do szkoleń lub raportowania, przechowuj zanonimizowaną kopię dłużej i przeglądaj corocznie

CCTV - handel detaliczny lub strefy podwyższonego ryzyka

Zapobieganie kradzieżom, bezpieczeństwo

7-30 dni

Wniosek policji lub roszczenie ubezpieczeniowe - tylko istotne fragmenty

Utwórz kopię zanonimizowaną do kontrolowanego udostępniania; usuń surowe nagranie, gdy nie jest już potrzebne

CCTV - hala produkcyjna lub magazyn

BHP, integralność procesów

3-14 dni

Wypadek lub ustalenia audytu - zgodnie z procedurą

Zanonimizowany klip szkoleniowy może być przechowywany dłużej z okresowym przeglądem

CCTV - transport publiczny

Bezpieczeństwo pasażerów

3-7 dni

Zgłoszenie incydentu - tylko odpowiedni fragment

Zanonimizowana kopia przechowywana do celów dochodzeniowych lub szkoleniowych

Bodycam - rutynowe działania

Bezpieczeństwo personelu, rozliczalność

Krótki okres, często 24-72 godziny, o ile nie oznaczono

Skarga lub incydent - zgodnie z polityką

W miarę możliwości przechowuj zanonimizowane fragmenty zamiast surowych nagrań

Bodycam - incydent krytyczny

Postępowanie wyjaśniające

Oznaczony klip

Do zakończenia postępowania dyscyplinarnego lub prawnego

Zanonimizowana wersja może być użyta do szkoleń wewnętrznych, jeśli jest to uzasadnione

Jeżeli nagrania są potrzebne do szkoleń lub komunikacji, niezwłocznie utwórz wersję zanonimizowaną i usuń surowe źródło, gdy nie jest już konieczne. Aby praktycznie ocenić proces anonimizacji, zespoły mogą pobrać wersję demo naszego narzędzia.

czarno-białe zdjęcie kamery monitorującej wraz z nadajnikiem

USA oraz UE i UK: matryca decyzyjna retencji

Aby uniknąć powtarzania tabel porównawczych UE-UK, poniższa matryca jest uporządkowana według punktów decyzyjnych i pokazuje, co zazwyczaj różni się w USA oraz gdzie programy UE i UK są zbieżne.

Punkt decyzyjny

Wspólna baza UE i UK

Praktyczna baza w USA

Wskazówka wdrożeniowa

 

Domyślna retencja

Przechowuj tylko tak długo, jak to konieczne dla określonego celu [1][2]

Krótkie okresy domyślne w celu ograniczenia ryzyka sporów

Krótka retencja surowych nagrań, przedłużenia tylko dla incydentów

Przedłużenia incydentowe

Ogranicz do istotnych fragmentów i cyklu życia sprawy [1][3]

Podobna praktyka, z uwzględnieniem litigation hold

Wyodrębniaj tylko potrzebne segmenty i kontroluj dostęp

Wykorzystanie do szkoleń i komunikacji

Preferuj wersje zanonimizowane, gdy identyfikacja nie jest potrzebna [1][3]

Anonimizacja ogranicza ryzyko skarg i sporów pracowniczych

Twórz zanonimizowany plik główny i usuwaj surowe nagrania

Publikacja nagrań

Minimalizuj identyfikowalność; rozmywanie twarzy i tablic jest powszechną praktyką [1][3]

Brak jednej reguły, ale anonimizacja to silne zabezpieczenie

Stosuj zasadę „najmniejszego ujawnienia”

Dane biometryczne

Przepisy biometryczne mają zastosowanie przy identyfikacji unikalnej [1]

Niektóre stany mają surowe przepisy biometryczne [5][6]

Unikaj identyfikacji twarzy bez jasnego uzasadnienia

kamera monitoringu w więzieniu przyczepiona na ceglanej białej ścianie w tle widać kraty

Uwagi technologiczne: oprogramowanie on-premise i kontrolowane procesy

Ze względów poufności i przepustowości wiele organizacji preferuje oprogramowanie on-premise do przetwarzania nagrań z CCTV i bodycam. Gallio PRO to rozwiązanie instalowane lokalnie, które automatyzuje rozmywanie twarzy i tablic rejestracyjnych w zdjęciach oraz nagraniach wideo. Oprogramowanie nie anonimizuje całych sylwetek, nie działa w czasie rzeczywistym i nie przetwarza strumieni wideo. Nie wykrywa automatycznie logo firm, tatuaży, identyfikatorów, dokumentów ani treści na ekranach - elementy te można jednak łatwo zamaskować wbudowanym edytorem manualnym.

Aby wspierać zasadę minimalizacji danych, dobrą praktyką jest ograniczanie metadanych dotyczących elementów identyfikowalnych. Gallio PRO nie zbiera logów zawierających detekcje twarzy ani tablic rejestracyjnych oraz nie gromadzi logów z danymi osobowymi czy danymi szczególnych kategorii, co pomaga uniknąć tworzenia dodatkowych zbiorów danych osobowych w procesach retencji.

czarno-białe zdjęcie kineskopowych ekranów na których wyświetla się kilkanaście powtarzających się nagrań z monitoringu miejskiego cctv oraz z parkingu

Uwagi regionalne: twarze i tablice przy publikacji nagrań

Przy zewnętrznej publikacji zdjęć lub wideo rozmywanie twarzy lub inny legalny mechanizm, np. ważna zgoda, jest powszechnie stosowany, o ile nie ma zastosowania wyjątek przewidziany w prawie krajowym. W odniesieniu do tablic rejestracyjnych praktyka w UE i UK zakłada, że publikowany materiał nie powinien umożliwiać identyfikacji bez wyraźnej potrzeby. W Europie Zachodniej rozmywanie tablic jest szeroko stosowane i często traktowane jako standard. W Polsce interpretacje są zróżnicowane, dlatego wiele organizacji stosuje rozmywanie tablic jako środek ostrożności i dokumentuje swoje stanowisko w oparciu o test identyfikowalności [1][3].

Zespoły planujące przetwarzanie większych wolumenów nagrań mogą skontaktować się z nami, aby omówić integrację z istniejącymi mechanizmami retencji i usuwania danych.

grafika 3d znaków zapytanych ułożonych w szereg wzdłuż kilku

FAQ - okresy retencji nagrań z CCTV i kamer nasobnych

Jak krótka powinna być domyślna retencja CCTV?

Często stosuje się 24-72 godziny dla obszarów o niższym ryzyku oraz 7-30 dni dla stref podwyższonego ryzyka, jednak zawsze zależy to od kontekstu i powinno być poparte pisemnym uzasadnieniem celu i analizy ryzyka.

Czy zanonimizowane nagrania mogą być przechowywane dłużej?

W wielu przypadkach tak, o ile anonimizacja jest wystarczająco skuteczna i osoby nie są możliwe do zidentyfikowania przy racjonalnych środkach. Techniki anonimizacji należy okresowo weryfikować [3].

Czy tablice rejestracyjne zawsze są danymi osobowymi?

Nie zawsze. W UE i UK często są traktowane jako dane osobowe, gdy umożliwiają identyfikację bezpośrednią lub pośrednią, dlatego rozmywanie tablic przy publikacji jest powszechną praktyką. W Polsce podejścia są zróżnicowane, więc wiele organizacji decyduje się na anonimizację jako środek ostrożności [1][3].

A co z nagraniami z kamer nasobnych?

Ponieważ bodycam rejestrują osoby z bliska i często we wrażliwych sytuacjach, domyślne okresy retencji są zwykle krótkie, a oznaczone nagrania są przechowywane zgodnie z polityką incydentową i obowiązującymi przepisami.

Czy wybór narzędzia wpływa na retencję?

Tak. Oprogramowanie umożliwiające spójną anonimizację twarzy i tablic oraz łatwe maskowanie innych elementów pozwala skrócić okres przechowywania surowych nagrań i wydłużyć retencję wersji zanonimizowanych.

Czy Gallio PRO działa w czasie rzeczywistym?

Nie. Gallio PRO nie anonimizuje strumieni wideo ani nagrań na żywo - przetwarza pliki i automatycznie rozmywa twarze oraz tablice rejestracyjne.

Czy logo, tatuaże lub identyfikatory są rozmywane automatycznie?

Nie automatycznie. Można je jednak łatwo zamaskować przy użyciu wbudowanego edytora manualnego.

Pobierz darmowe demo
Łukasz Bonczol

Łukasz Bonczol

Współzałożyciel Gallio PRO. Interesuje się wpływem nowych technologii na społeczeństwo, politykę, prawo i etykę. Posiada stopień doktora uzyskany na Wydziale Nauk Społecznych Uniwersytetu Wrocławskiego. Jest również absolwentem studiów MBA na Uniwersytecie Ekonomicznym we Wrocławiu.

Bibliografia

  1. [1] Rozporządzenie (UE) 2016/679 (RODO), art. 5 ust. 1 lit. e - ograniczenie przechowywania: https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng
  2. [2] UK ICO - wytyczne dotyczące CCTV i monitoringu wideo: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/cctv-and-video-surveillance/
  3. [3] Wytyczne EROD 3/2019 dotyczące przetwarzania danych osobowych za pomocą urządzeń wideo: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_en
  4. [4] California Civil Code, CCPA §1798.100: https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CIV&sectionNum=1798.100.
  5. [5] Illinois Biometric Information Privacy Act (BIPA): https://law.justia.com/codes/illinois/chapter-740/act-740-ilcs-14/
  6. [6] Texas Business & Commerce Code, Chapter 503: https://statutes.capitol.texas.gov/Docs/BC/htm/BC.503.htm