Zadaj pytanie

Jak napisać procedurę obsługi nagrań CCTV w organizacji: wzór dokumentu dla DPO

Mateusz Zimoch
Opublikowano: 11.04.2026

Spis treści

Procedura obsługi nagrań CCTV to operacyjny dokument wewnętrzny, który opisuje kto ma dostęp do nagrań, w jakich sytuacjach wolno je przeglądać, jak wygląda wydanie kopii, jakie są terminy realizacji poszczególnych czynności oraz w jaki sposób wykonuje się anonimizację obrazu przed publikacją lub udostępnieniem materiału osobom trzecim. W praktyce taki dokument nie zastępuje rejestru czynności przetwarzania, analizy ryzyka ani dokumentacji dla audytora. Ma służyć codziennej pracy zespołu, który realnie obsługuje zdjęcia i wideo.

Dla DPO najważniejsze jest rozdzielenie trzech porządków. Pierwszy dotyczy dostępu do materiału źródłowego. Drugi obejmuje rozmywanie twarzy i tablic rejestracyjnych przed dalszym użyciem nagrania. Trzeci reguluje przekazanie lub publikację tylko tej wersji, która została sprawdzona i zatwierdzona. Taki układ ogranicza przypadkowe ujawnienie wizerunku osób postronnych i ułatwia wykazanie spójnej praktyki organizacyjnej.

Mężczyzna w stroju biznesowym pracujący przy biurku z laptopem, otwartym notesem i dokumentami, wyglądający na zamyślonego w jasnym biurze.

Po co organizacji osobna procedura operacyjna dla nagrań CCTV?

W wielu organizacjach istnieje polityka monitoringu, ale brakuje instrukcji wykonawczej. Efekt jest przewidywalny. Operator wie, jak odtworzyć zapis, ale nie ma jasności, czy wolno przesłać fragment e-mailem, kto ma zatwierdzić eksport, czy przed przekazaniem trzeba rozmyć twarze i tablice innych osób oraz ile czasu ma zespół na odpowiedź na wniosek. Procedura SOP porządkuje te kwestie bez rozwijania kolejnego ogólnego materiału compliance.

W scenariuszach związanych z anonimizacją obrazu organizacje często korzystają z narzędzi takich jak Gallio PRO, zwłaszcza gdy potrzebne jest oprogramowanie on-premise i kontrola nad plikami w środowisku lokalnym. Z perspektywy operacyjnej istotne jest, że oprogramowanie automatycznie zamazuje wyłącznie twarze i tablice rejestracyjne. Nie zamazuje całych sylwetek, nie wykonuje anonimizacji w czasie rzeczywistym i nie służy do anonimizacji strumienia wideo. Nie wykrywa też automatycznie logotypów firm, tatuaży, tabliczek z imionami, dokumentów ani obrazu widocznego na monitorach. Te elementy można zamazywać ręcznie we wbudowanym edytorze. Dodatkowo system nie zapisuje logów zawierających dane detekcji, danych osobowych ani danych szczególnych kategorii.

Osoba pisząca długopisem na stosie papierów, ubrana w koszulę z długim rękawem. Obraz jest czarno-biały.

Jak odróżnić procedurę SOP od dokumentacji dla audytora i checklisty wdrożeniowej?

Dokumentacja dla audytora odpowiada zwykle na pytanie, czy organizacja ma podstawy, role i zabezpieczenia. Checklista wdrożeniowa odpowiada na pytanie, co trzeba uruchomić i sprawdzić przed startem. Procedura obsługi nagrań CCTV odpowiada na pytanie, co dokładnie robi pracownik od chwili wpływu wniosku albo decyzji o publikacji do chwili usunięcia pliku roboczego.

Dlatego wzór poniżej powinien zawierać konkret: stanowisko odpowiedzialne, czynność, termin, wymagany zapis w rejestrze wewnętrznym i warunek przejścia do kolejnego kroku. Tylko taki poziom szczegółowości działa w praktyce.

Czarno-biały obraz trzech osób siedzących przy stole, omawiających dokumenty. Widać ręce i papier.

Minimalny zakres procedury obsługi nagrań CCTV

Najkrótsza użyteczna procedura obejmuje siedem bloków. Po pierwsze, cel i zakres dokumentu. Po drugie, role i uprawnienia. Po trzecie, zasady przyjmowania wniosków o dostęp, kopię lub publikację. Po czwarte, zasady eksportu i pracy na kopii roboczej. Po piąte, anonimizację obrazu, w tym rozmywanie twarzy i tablic rejestracyjnych. Po szóste, zatwierdzenie materiału do przekazania lub publikacji. Po siódme, retencję i usuwanie wersji roboczych.

Warto od razu zdefiniować, że przez anonimizację obrazu organizacja rozumie takie przetworzenie zdjęcia lub nagrania, aby osoby trzecie oraz identyfikatory widoczne na obrazie nie mogły zostać rozpoznane w zwykłym toku wykorzystania materiału. W przypadku materiału wideo zwykle oznacza to pracę na wyeksportowanej kopii, a nie na materiale produkcyjnym.

Dwie osoby pracują przy biurku z laptopem, dokumentami, kalkulatorem i przyborami biurowymi, widziane z góry.

Wzór procedury obsługi nagrań CCTV - gotowy do skopiowania

1. Cel i zakres

Niniejsza procedura określa zasady przeglądania, eksportu, anonimizacji i udostępniania nagrań CCTV oraz pojedynczych kadrów z nagrań. Procedura dotyczy wyłącznie materiałów wizualnych, w szczególności zdjęć i wideo. Procedura nie reguluje odrębnych obowiązków dokumentacyjnych związanych z audytem, analizą ryzyka ani wdrożeniem systemu monitoringu.

2. Role i odpowiedzialność

Administrator systemu CCTV odpowiada za techniczny eksport materiału i nadanie dostępu tylko uprawnionym osobom. Właściciel biznesowy procesu, na przykład kierownik bezpieczeństwa lub compliance manager, ocenia cel użycia materiału. Osoba wykonująca anonimizację przygotowuje kopię roboczą i stosuje rozmywanie twarzy oraz tablic rejestracyjnych. Inspektor ochrony danych lub wyznaczona osoba kontrolna opiniuje przypadki podwyższonego ryzyka lub niestandardowe żądania. Osoba zatwierdzająca publikację lub wydanie kopii potwierdza, że materiał do przekazania nie zawiera niezanonimizowanych twarzy i tablic osób trzecich.

3. Dostęp do nagrań

Dostęp do pełnych nagrań mają wyłącznie osoby wskazane imiennie w załączniku do procedury. Dostęp nadaje administrator systemu po akceptacji właściciela procesu. Przeglądanie nagrań odbywa się wyłącznie w związku z udokumentowanym celem służbowym. Każde otwarcie sprawy wymaga wpisu do rejestru operacyjnego zawierającego datę, numer sprawy, zakres czasu nagrania, osobę wnioskującą i osobę realizującą.

4. Terminy operacyjne

Wniosek wewnętrzny o zabezpieczenie nagrania należy zarejestrować niezwłocznie, nie później niż w 1 dniu roboczym od wpływu. Wstępną ocenę celu użycia należy wykonać w 2 dni robocze. Eksport kopii roboczej powinien nastąpić w 3 dni robocze, o ile materiał jest dostępny i nie występują przeszkody techniczne. Anonimizację wykonuje się bez zbędnej zwłoki po eksporcie. Przed publikacją lub wydaniem kopii obowiązuje kontrola czterech oczu.

5. Eksport i przygotowanie kopii roboczej

Praca odbywa się wyłącznie na kopii roboczej. Materiał źródłowy pozostaje nienaruszony. Kopię zapisuje się w wydzielonym repozytorium z ograniczonym dostępem. Nazwa pliku zawiera numer sprawy i datę eksportu, bez wpisywania danych osób widocznych na nagraniu. Jeżeli organizacja potrzebuje przewidywalnego workflow dla plików wideo i zdjęć, warto go wcześniej przetestować, na przykład pobierając wersję demo i sprawdzając, jak wygląda obróbka kopii roboczej w środowisku lokalnym.

6. Zasady anonimizacji obrazu

Osoba wykonująca anonimizację identyfikuje wszystkie twarze i tablice rejestracyjne osób trzecich widoczne w kadrze. Następnie stosuje rozmywanie twarzy i tablic rejestracyjnych w całym materiale przeznaczonym do przekazania lub publikacji. Jeżeli w materiale występują logotypy, tatuaże, identyfikatory imienne, dokumenty lub obraz na ekranie monitora, ich ukrycie wymaga ręcznej edycji, ponieważ automatyczna detekcja nie obejmuje tych elementów.

Procedura powinna wyraźnie wskazywać, że automatyczne wykrywanie dotyczy tylko twarzy i tablic rejestracyjnych. To szczególnie ważne przy szkoleniu operatorów. Założenie, że narzędzie rozpozna każdy element umożliwiający identyfikację, jest błędem operacyjnym.

7. Udostępnianie nagrań i kadrów

Każde przekazanie nagrania poza zespół obsługujący sprawę wymaga akceptacji osoby zatwierdzającej. Jeżeli materiał ma trafić do osoby, której dotyczy zdarzenie, do podmiotu zewnętrznego lub do publikacji, przed przekazaniem należy zamazać twarze i tablice rejestracyjne innych osób oraz innych pojazdów widocznych w materiale. Wersja źródłowa nie jest przekazywana, chyba że obowiązek taki wynika z przepisu lub wiążącego żądania właściwego organu. Każde wydanie kopii dokumentuje się w rejestrze operacyjnym z oznaczeniem odbiorcy, daty i zakresu materiału.

8. Kontrola jakości przed publikacją

Kontrola jakości obejmuje dwa etapy. W pierwszym operator sprawdza, czy rozmycie działa na całej długości ujęcia i czy nie ma krótkich fragmentów bez maskowania. W drugim osoba zatwierdzająca potwierdza, że materiał nie zawiera innych elementów wymagających ręcznej anonimizacji. Brak pozytywnej kontroli blokuje publikację.

9. Retencja i usuwanie wersji roboczych

Wersję roboczą przechowuje się tylko przez okres niezbędny do zakończenia sprawy. Po publikacji, wydaniu kopii albo zamknięciu wniosku usuwa się plik roboczy zgodnie z harmonogramem retencji określonym przez organizację. Jeżeli zachodzi potrzeba wdrożenia środowiska lokalnego lub odrębnych zasad dla jednostek organizacyjnych, warto skontaktować się z zespołem w celu dopasowania procesu do skali organizacji i wymagań technicznych.

Dwie kobiety w bluzkach w kropki przeglądają dokumenty przy stole, jedna z nich zapisuje coś w notatniku. Czarnobiały obraz.

Tabela operacyjna - kto, co, w jakim terminie

Etap

Odpowiedzialny

Czynność

Termin

Dowód wykonania

Rejestracja sprawy

Operator lub sekretariat procesu

Nadanie numeru sprawy, wpis do rejestru

1 dzień roboczy

Wpis w rejestrze operacyjnym

Ocena celu użycia

Właściciel procesu

Weryfikacja, czy potrzebny jest eksport i komu materiał ma być przekazany

2 dni robocze

Akceptacja w sprawie

Eksport kopii

Administrator CCTV

Utworzenie kopii roboczej w bezpiecznej lokalizacji

3 dni robocze

Plik roboczy i wpis w rejestrze

Anonimizacja

Operator anonimizacji

Rozmywanie twarzy i tablic rejestracyjnych, ręczna edycja innych elementów

Bez zbędnej zwłoki

Wersja robocza po edycji

Kontrola jakości

Druga osoba uprawniona

Sprawdzenie kompletności zamazań

Przed publikacją lub wydaniem

Akceptacja czterech oczu

Udostępnienie

Osoba zatwierdzająca

Przekazanie wyłącznie wersji zatwierdzonej

Po akceptacji

Rejestr wydania

Usunięcie pliku roboczego

Administrator lub operator

Usunięcie po zamknięciu sprawy

Zgodnie z retencją

Potwierdzenie usunięcia

Osoba trzymająca i przeglądająca dokumenty przy stole konferencyjnym, z rozmytym tłem, co sugeruje profesjonalne środowisko.

Jak opisać wyjątki dotyczące wizerunku bez tworzenia fałszywej pewności?

W procedurze warto dodać krótką klauzulę interpretacyjną. Obowiązek anonimizacji twarzy nie wynika wprost z jednego przepisu RODO, Kodeksu cywilnego czy Prawa autorskiego, lecz z oceny zgodności publikacji lub udostępnienia z przepisami o ochronie danych osobowych oraz zasadami rozpowszechniania wizerunku. W prawie autorskim przewidziano w szczególności wyjątki dotyczące rozpowszechniania wizerunku, gdy:

  • osoba otrzymała umówioną zapłatę za pozowanie, chyba że wyraźnie zastrzeżono inaczej,
  • chodzi o osobę powszechnie znaną, a wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, w szczególności politycznych, społecznych lub zawodowych,
  • wizerunek osoby stanowi jedynie szczegół całości takiej jak zgromadzenie, krajobraz czy publiczna impreza.

To nie są automatyczne zwolnienia z analizy. Organizacje często traktują je jako punkt wyjścia do oceny konkretnej sytuacji, a nie jako regułę bezwyjątkową. Jeżeli istnieje wątpliwość, bezpieczniejszą praktyką operacyjną pozostaje anonimizacja przed publikacją.

Osoba trzymająca i przeglądająca dokumenty przy stole konferencyjnym, z rozmytym tłem, co sugeruje profesjonalne środowisko.

Tablice rejestracyjne w procedurze - jak zapisać temat bez nadmiernych uproszczeń

W różnych państwach europejskich podejście do tablic rejestracyjnych bywa różne i zależy od kontekstu oraz praktyki krajowej. W Polsce sytuacja również nie jest całkowicie jednoznaczna. Co do zasady pojedyncza tablica rejestracyjna może, ale nie musi, stanowić daną osobową — zależy to od tego, czy przy użyciu rozsądnie prawdopodobnych środków pozwala zidentyfikować osobę fizyczną. Nie można więc generalnie twierdzić, że obowiązek zamazywania tablic wynika wprost z wytycznych EROD lub z jednolitego orzecznictwa TSUE.

Dlatego w procedurze lepiej nie pisać, że tablice zawsze i w każdych okolicznościach są albo nie są danymi osobowymi. Rozsądniejsze operacyjnie jest przyjęcie zasady ostrożności: jeżeli materiał ma zostać opublikowany lub przekazany poza wąski krąg uprawnionych, stosuje się rozmywanie tablic rejestracyjnych osób trzecich, chyba że organizacja udokumentowała odmienną ocenę dla konkretnego przypadku.

Osoba pisząca w notatniku obok laptopa na ciemnym drewnianym stole, z kubkiem i smartfonem w pobliżu. Zdjęcie w czerni i bieli.

Najczęstsze błędy w procedurach obsługi nagrań CCTV

Pierwszy błąd polega na opisaniu wyłącznie podstaw prawnych bez wskazania kroków roboczych. Drugi to brak rozróżnienia między materiałem źródłowym a kopią roboczą. Trzeci to założenie, że narzędzie automatyczne wychwyci wszystko. Czwarty to brak terminu na reakcję i brak obowiązkowej kontroli jakości. Piąty to pomijanie zasady, że przy udostępnieniu nagrania należy ocenić potrzebę zamazania twarzy i tablic innych osób przed przekazaniem.

Ołówek i gumka na papierze z rysunkiem żarówki z znakiem zapytania w środku, symbolizującym burzę mózgów lub pomysł.

FAQ - procedura obsługi nagrań CCTV

Czy procedura obsługi nagrań CCTV musi być osobnym dokumentem?

Nie zawsze, ale w praktyce osobny SOP jest najczytelniejszy. Ułatwia szkolenie operatorów i skraca czas decyzji przy publikacji lub wydaniu kopii.

Czy można pracować bezpośrednio na materiale źródłowym?

Lepszą praktyką organizacyjną jest praca na kopii roboczej. Ogranicza to ryzyko utraty integralności oryginału i ułatwia kontrolę zmian.

Czy wystarczy zamazać tylko twarze?

Nie w każdym przypadku. Jeżeli w materiale widać tablice rejestracyjne innych osób lub inne elementy umożliwiające identyfikację, trzeba ocenić potrzebę ich ukrycia. W praktyce publikacyjnej często stosuje się także rozmywanie tablic rejestracyjnych.

Czy Gallio PRO automatycznie wykrywa wszystkie dane osobowe na obrazie?

Nie. Automatyczna detekcja obejmuje wyłącznie twarze i tablice rejestracyjne. Logotypy, tatuaże, tabliczki z imionami, dokumenty i obraz na ekranach wymagają ręcznej edycji.

Czy Gallio PRO prowadzi logi zawierające dane detekcji?

Nie. Oprogramowanie nie zbiera logów zawierających detekcję twarzy i tablic rejestracyjnych. Nie zbiera też logów zawierających dane osobowe ani danych szczególnych kategorii.

Czy procedura powinna zawierać konkretne terminy?

Tak. Bez terminów dokument pozostaje deklaracją. DPO zwykle dąży do wpisania terminów rejestracji sprawy, eksportu kopii, anonimizacji, kontroli jakości i usunięcia wersji roboczej.

Czy można opublikować nagranie z wydarzenia publicznego bez rozmywania wszystkich twarzy?

To zależy od kontekstu. Jednym z przypadków dopuszczalnych może być sytuacja, gdy wizerunek osoby stanowi jedynie szczegół całości, na przykład publicznej imprezy. Taka ocena wymaga jednak ostrożności i nie powinna być stosowana automatycznie do każdego materiału.

Pobierz darmowe demo
Mateusz Zimoch

Mateusz Zimoch

Lider i współzałożyciel Gallio PRO. Posiada rozległą wiedzę z zakresu informatyki, analityki danych, robotyki i sztucznej inteligencji. Absolwent dwóch kierunków studiów na Politechnice Wrocławskiej. Założył dwa startupy skupione na opracowywaniu rozwiązań Computer Vision opartych na sztucznej inteligencji i konstruowaniu pojazdów zdalnie sterowanych (ROV).

Bibliografia

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO).
  2. European Data Protection Board, Guidelines 3/2019 on processing of personal data through video devices.
  3. Urząd Ochrony Danych Osobowych, materiały i poradniki dotyczące monitoringu wizyjnego.
  4. Rozporządzenie (UE) 2016/679, art. 4, art. 5, art. 25, art. 32.
  5. Ustawa z dnia 23 kwietnia 1964 r. - Kodeks cywilny.
  6. Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych.