Zadaj pytanie

Jak udostępniać nagrania z monitoringu pracownikom i współpracownikom bez nadmiernego ujawniania danych osobowych

Mateusz Zimoch
Opublikowano: 4.01.2026
Zaktualizowano: 10.03.2026

Spis treści

Wniosek o udostępnienie nagrania z monitoringu CCTV to żądanie pracownika lub kontrahenta dotyczące dostępu do materiału wideo, na którym dana osoba została zarejestrowana. Kluczowym ryzykiem w takich sytuacjach jest nadmierne ujawnienie danych osobowych osób trzecich (przechodniów, współpracowników), które znalazły się w tym samym kadrze. Anonimizacja danych wizualnych to praktyka polegająca na usuwaniu lub maskowaniu elementów umożliwiających identyfikację osób na obrazach i nagraniach wideo - najczęściej poprzez rozmywanie twarzy oraz tablic rejestracyjnych - tak aby możliwe było udostępnienie materiału z poszanowaniem prywatności i zasad minimalizacji danych.

kamera monitoringu miejskiego zawieszona na betonowej ścianie, zdjęcie czarno-białe

Dlaczego dochodzi do nadmiernego ujawniania danych i jak zapobiega temu anonimizacja wizualna?

Kamery w miejscu pracy zazwyczaj obejmują przestrzenie wspólne, takie jak wejścia, korytarze, hale produkcyjne czy parkingi. Pojedynczy klip bardzo często zawiera wizerunki wielu osób oraz pojazdów. Udostępnienie niezanonimizowanego nagrania osobie wnioskującej może nieumyślnie ujawnić tożsamość współpracowników, ich przemieszczanie się czy dane pojazdów, co zwiększa ryzyko naruszeń i naraża organizację na skargi, spory lub roszczenia. W realiach UE i Wielkiej Brytanii wiąże się to bezpośrednio z obowiązkiem ochrony praw i wolności osób trzecich przy realizacji prawa dostępu do danych. W USA, mimo braku jednego federalnego odpowiednika RODO, zasada „minimalnego ujawnienia” i redakcji danych jest powszechnie stosowana w celu ograniczenia ryzyka sporów pracowniczych, skarg dotyczących prywatności oraz postępowań sądowych.

Anonimizacja danych wizualnych polega na zastosowaniu rozmywania twarzy i tablic rejestracyjnych przed przekazaniem kopii nagrania. Jest to szczególnie istotne, gdy wnioskodawca nie jest jedyną osobą widoczną na materiale lub gdy nagranie może zostać później wykorzystane w postępowaniach dyscyplinarnych, sprawach ubezpieczeniowych, komunikacji PR lub szkoleniach.

naklejka na ścianie z informacją o monitoringu z trójkątnym znaczkiem w środku kamera miejska „CCTV in operation”

Praktyczny workflow ograniczający ryzyko

Poniższe kroki pomagają zapewnić, że udostępnienia są zawężone, możliwe do obrony i powtarzalne w zespołach HR, bezpieczeństwa oraz prawnych.

  1. Weryfikacja tożsamości i roli. Upewnij się, że wnioskodawcą jest dany pracownik lub kontrahent albo jego należycie umocowany przedstawiciel.
  2. Zawężenie zakresu. Ogranicz zakres dat, identyfikatory kamer i kąty widzenia do absolutnego minimum niezbędnego do realizacji wniosku. Unikaj eksportowania większej liczby klatek niż to konieczne.
  3. Określenie celu ujawnienia i podstawy wewnętrznej. W przypadku dostępu własnego mogą mieć zastosowanie procedury wynikające z prawa dostępu (UE/UK) lub procedury oparte na politykach wewnętrznych (USA). Udokumentuj cel, odbiorców i decyzję.
  4. Zastosowanie anonimizacji wizualnej. Rozmyj twarze innych osób oraz tablice rejestracyjne pojazdów osób postronnych, jeżeli identyfikacja nie jest niezbędna do odpowiedzi na wniosek.
  5. Ręczna obsługa identyfikatorów wtórnych. Logotypy, tatuaże, identyfikatory imienne, dokumenty czy treści na ekranach monitorów mogą umożliwiać identyfikację. W razie potrzeby zastosuj dodatkowe maskowanie.
  6. Kontrola jakości. Sprawdź eksport pod kątem ruchu, zasłonięć, odbić i zmian scen, aby upewnić się, że żadne twarze ani tablice osób trzecich nie pozostały widoczne.
  7. Bezpieczne przekazanie i minimalne logowanie. Przekaż plik bezpiecznym kanałem i zapisz jedynie minimalne dane audytowe. Unikaj przechowywania metadanych detekcji dotyczących osób.
  8. Retencja i usunięcie. Przechowuj kopię roboczą wyłącznie tak długo, jak jest to niezbędne do realizacji wniosku lub obsługi przewidywalnych sporów, a następnie bezpiecznie ją usuń.

Jeżeli Twój zespół potrzebuje lokalnego (on‑premise) narzędzia do zamazywania twarzy i tablic rejestracyjnych, sprawdź Gallio PRO. Oprogramowanie zostało zaprojektowane do anonimizacji obrazów i nagrań wideo bez konieczności przesyłania danych do chmury.

kamera miejska na metalowym słupie, rozmazane tło, zdjęcie czarno-białe

Co i kiedy anonimizować: twarze i tablice rejestracyjne

Aby zachować koncentrację artykułu i spójność z możliwościami Gallio PRO, poniższe wytyczne obejmują twarze i tablice rejestracyjne jako podstawowe identyfikatory oraz traktują identyfikatory wtórne jako warstwę obsługiwaną ręcznie.

Twarze

Obowiązek anonimizacji twarzy zależy od celu ujawnienia oraz podstawy prawnej lub polityki wewnętrznej. W kontekście UE i Wielkiej Brytanii, jeżeli udostępnienie prowadziłoby do ujawnienia danych osobowych osób trzecich, organizacje zazwyczaj maskują wizerunki osób postronnych w celu ochrony ich praw i wolności. W USA wymóg ten jest mniej jednolity, jednak redakcja danych pozostaje silnym zabezpieczeniem operacyjnym, zwłaszcza gdy materiał obejmuje osoby inne niż wnioskodawca. Ma to szczególne znaczenie w przestrzeniach wspólnych miejsca pracy, gdzie pracownicy mają uzasadnione oczekiwania co do właściwego wewnętrznego przetwarzania danych.

Tablice rejestracyjne

W wielu krajach europejskich numery rejestracyjne pojazdów mogą stanowić dane osobowe, jeżeli umożliwiają bezpośrednią lub pośrednią identyfikację osoby fizycznej. W Europie Zachodniej rozmywanie tablic jest często standardem, a w niektórych jurysdykcjach traktowane jest de facto jako obowiązkowe przy publikacji lub szerokim udostępnianiu. W Polsce podejście w orzecznictwie i praktyce nie jest całkowicie jednolite, jednak zgodnie z testem identyfikowalności tablice mogą stanowić dane osobowe w zależności od tego, kto realnie może powiązać numer z osobą. W USA podejścia są bardziej rozproszone, ale rozmywanie tablic pojazdów osób postronnych w materiałach z monitoringu w miejscu pracy jest praktyczną dobrą praktyką, która ogranicza ryzyko nękania, stalkingu i sporów pracowniczych oraz wspiera zasadę minimalnego ujawnienia [1][2][3].

czarno-białe zdjęcie pracownika biurowego siedzącego przy biurku podczas wideorozmowy, twarze na tym zdjęciu zostały zablurowane

Punkty kontrolne udostępniania w UE / UK / USA bez powielania tabel porównawczych

Zamiast powtarzalnych zestawień RODO UE kontra RODO UK, poniższa macierz została uporządkowana według scenariuszy wniosków. Pomaga ona zespołom zdecydować, co eksportować, co rozmywać i co dokumentować, uwzględniając także realia amerykańskie.

Scenariusz wniosku

UE i UK - typowe podejście

USA - typowe podejście

Zakres redakcji (dopasowanie do Gallio PRO)

 

Pracownik wnioskuje o nagranie, na którym widoczny jest tylko on

Udostępnienie wąskiego zakresu lub klatek statycznych; dokumentacja celu i zakresu; ochrona incydentalnych danych osób trzecich [1][2][3]

Udostępnienie oparte na politykach lub praktykach pracowniczych; wąski zakres; dokumentacja uzasadnienia

Zazwyczaj minimalne rozmywanie; weryfikacja braku osób postronnych

Pracownik wnioskuje o nagranie z widocznymi współpracownikami

Maskowanie osób trzecich w celu ochrony ich praw i wolności; rozważenie wycięcia tylko istotnych klatek [1][2]

Silna preferencja minimalnego ujawnienia; redakcja danych osób postronnych

Automatyczne rozmywanie twarzy; ręczne maski dla innych identyfikatorów

Nagranie z parkingu z wieloma pojazdami

Rozważenie rozmywania tablic pojazdów osób postronnych; dokumentacja analizy identyfikowalności; spójność międzyoddziałowa [1][3]

Rozmywanie tablic jako dobra praktyka ograniczająca ryzyko

Automatyczne rozmywanie tablic; kontrola jakości przy ruchu i kątach

Nagranie później wykorzystywane w dochodzeniu, ubezpieczeniach lub przez kancelarie zewnętrzne

Minimalizacja przed udostępnieniem; ograniczenie dostępu; dokumentacja odbiorców i niezbędności [1][3]

Minimalizacja przed przekazaniem podmiotom trzecim; kontrola umowna; dokumentacja

Eksport zanonimizowanej wersji bazowej

Sytuacje wrażliwe (zdrowie, urazy, dyscyplina)

Podwyższone ryzyko; węższy zakres ujawnienia; silniejsza redakcja [1][2]

Wyższe ryzyko sporów i pozwów; wąski zakres; silniejsza redakcja

Spójne rozmywanie twarzy i tablic; ręczna redakcja ekranów i dokumentów

czarno-białe zdjęcie ciemnoskórego pracownika biurowego trzymającego w ręce stos papierowych kartek, czytającego podążającego za długopisem, jest podczas wideorozmowy, twarze na tym zdjęciu zostały poddane anonimizacji

Wybór narzędzi: oprogramowanie on‑premise i granice automatyzacji

Automatyzacja znacząco redukuje nakład pracy ręcznej, jednak zrozumienie ograniczeń narzędzi jest kluczowe dla eksportów spełniających wymogi zgodności. Gallio PRO to oprogramowanie on‑premise skoncentrowane na anonimizacji danych wizualnych w obrazach oraz nagraniach wideo zapisanych wcześniej. Nie obsługuje anonimizacji w czasie rzeczywistym ani strumieni wideo. Automatycznie wykrywa i rozmywa wyłącznie twarze oraz tablice rejestracyjne. Nie identyfikuje automatycznie logotypów firmowych, tatuaży, identyfikatorów imiennych, dokumentów ani treści na ekranach monitorów - elementy te można zamaskować ręcznie za pomocą wbudowanego edytora. Gallio PRO nie rozmywa całych sylwetek, a jedynie twarze i tablice.

Dla wielu organizacji podejście on‑premise ogranicza ryzyka związane z transferem danych i poufnością oraz upraszcza audyty bezpieczeństwa. Gallio PRO nie gromadzi logów zawierających zdarzenia detekcji twarzy lub tablic ani logów z danymi osobowymi czy wrażliwymi. Aby samodzielnie przetestować możliwości narzędzia, pobierz wersję demo naszego narzędzia. W przypadku pytań dotyczących konkretnych wymagań, skontaktuj się z nami.

biała kamera monitoringu miejskiego zawieszona na ceglanej ścianie, pod nią znak informacyjny „Warning CCTV in operation”

Wskazówki wykonawcze poprawiające efekty

Zacznij od najmniejszego fragmentu nagrania, który odpowiada na wniosek. Zastosuj automatyczne rozmywanie twarzy i tablic rejestracyjnych, a następnie dodaj ręczne maski dla pozostałych identyfikatorów, takich jak identyfikatory imienne czy ekrany. Zweryfikuj eksport na kluczowych klatkach i przy przejściach scen. W razie wątpliwości co do potencjalnego wpływu na osoby trzecie zespoły często wybierają bardziej ochronny wariant eksportu i dokumentują uzasadnienie, nie przechowując żadnych metadanych biometrycznych ani detekcyjnych.

elektryczny, świecący znak wyświetlający znak zapytania zawieszony na elewacji budynku miejskiego

FAQ - wnioski o udostępnienie nagrań CCTV bez ujawniania danych osobowych

Czy pracownicy mogą otrzymać surowe nagrania CCTV z widocznymi współpracownikami?

W wielu przypadkach organizacje powinny chronić dane osobowe osób trzecich przy realizacji wniosków. Częstą praktyką jest udostępnienie materiału o ograniczonym zakresie i/lub zanonimizowanego, np. poprzez rozmycie twarzy osób postronnych, tam gdzie jest to konieczne dla ochrony ich praw i wolności.

Czy tablice rejestracyjne powinny być zamazywane przy wnioskach o nagrania z parkingu?

Często tak - w odniesieniu do pojazdów osób postronnych. W wielu kontekstach europejskich tablice mogą stanowić dane osobowe w zależności od identyfikowalności. W Polsce, ze względu na niejednolitą praktykę, wiele organizacji decyduje się na rozmywanie tablic w celu ograniczenia ryzyka i zapewnienia spójności. W USA jest to praktyczna dobra praktyka ograniczająca ryzyko skarg i nękania.

Czy samo automatyczne rozmywanie jest wystarczające?

Często nie. Automatyzacja obejmuje zazwyczaj twarze i tablice, natomiast inne identyfikatory - takie jak identyfikatory imienne, dokumenty czy ekrany - mogą wymagać ręcznej redakcji.

Czy zanonimizowane nagranie nie podlega już przepisom o ochronie danych?

Tylko wtedy, gdy ponowna identyfikacja nie jest rozsądnie możliwa przy uwzględnieniu środków, które mogą zostać użyte. Ocena ta jest zależna od kontekstu i powinna być dokonywana indywidualnie [1][3].

Czy wnioskodawca może żądać pełnych eksportów bez redakcji?

Organizacje zazwyczaj ograniczają, redagują lub w inny sposób zawężają ujawnianie danych osób trzecich, gdy jest to konieczne do ochrony ich praw i wolności, jednocześnie realizując wniosek w sposób rozsądny i udokumentowany.

Czy przetwarzanie w chmurze jest dopuszczalne przy anonimizacji?

Zależy to od wymagań bezpieczeństwa, relacji z procesorem oraz - tam gdzie ma to znaczenie - kwestii transferów międzynarodowych. Część zespołów preferuje oprogramowanie on‑premise w celu ograniczenia zewnętrznych przepływów danych i uproszczenia oceny bezpieczeństwa.

Pobierz darmowe demo
Mateusz Zimoch

Mateusz Zimoch

Lider i współzałożyciel Gallio PRO. Posiada rozległą wiedzę z zakresu informatyki, analityki danych, robotyki i sztucznej inteligencji. Absolwent dwóch kierunków studiów na Politechnice Wrocławskiej. Założył dwa startupy skupione na opracowywaniu rozwiązań Computer Vision opartych na sztucznej inteligencji i konstruowaniu pojazdów zdalnie sterowanych (ROV).

Bibliografia

  1. [1] Rozporządzenie (UE) 2016/679 (RODO) - EUR-Lex: https://eur-lex.europa.eu/eli/reg/2016/679/oj/eng
  2. [2] UK ICO - wytyczne dotyczące CCTV i monitoringu wizyjnego: https://ico.org.uk/for-organisations/uk-gdpr-guidance-and-resources/cctv-and-video-surveillance/
  3. [3] Wytyczne EROD 3/2019 dotyczące przetwarzania danych osobowych za pomocą urządzeń wideo: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-32019-processing-personal-data-through-video_en
  4. [4] California Civil Code - CCPA §1798.100: https://leginfo.legislature.ca.gov/faces/codes_displaySection.xhtml?lawCode=CIV§ionNum=1798.100.
  5. [5] Illinois Biometric Information Privacy Act (BIPA) - 740 ILCS 14: https://law.justia.com/codes/illinois/chapter-740/act-740-ilcs-14/
  6. [6] Texas Business & Commerce Code Chapter 503 - identyfikatory biometryczne: https://statutes.capitol.texas.gov/Docs/BC/htm/BC.503.htm
  7. [7] Washington My Health My Data Act - RCW 19.373: https://app.leg.wa.gov/RCW/default.aspx?cite=19.373&full=true
  8. [8] California Civil Code - definicja ALPR: https://codes.findlaw.com/ca/civil-code/civ-sect-1798-90-5/