Zadaj pytanie

DPO checklista: co sprawdzić przed wdrożeniem systemu monitoringu w organizacji

Łukasz Bonczol
Opublikowano: 4.04.2026

Spis treści

Visual data anonymization to zestaw działań organizacyjnych i technicznych, które mają ograniczyć identyfikację osób oraz pojazdów w materiałach wizualnych jeszcze na etapie projektowania monitoringu. W praktyce chodzi przede wszystkim o face blurring i license plate blurring, czyli zamazywanie twarzy oraz tablic rejestracyjnych w zdjęciach i nagraniach wideo przed ich udostępnieniem, publikacją albo przekazaniem dalej. W modelu pre-deployment to nie jest detal techniczny, ale decyzja projektowa, która wpływa na zakres danych, dostęp, retencję, architekturę systemu i ocenę ryzyka.

Dla DPO, kierownika IT, compliance officera lub osoby zatwierdzającej nowy system monitoringu najważniejsze pytanie brzmi nie „czy da się zamazać materiał później”, ale „czy cały proces został zaprojektowany tak, aby anonimizacja materiału wizualnego była realnie wykonalna, proporcjonalna i udokumentowana”. To szczególnie istotne wtedy, gdy organizacja planuje publikować zdjęcia lub wideo, udostępniać je mediom, partnerom, jednostkom publicznym albo wykorzystywać je w marketingu i PR.

Obraz z monitoringu ulicznego przedstawiający trzy osoby idące chodnikiem. Jedna osoba jest wyróżniona czerwonym kwadratem i trzyma walizkę otoczoną czerwonym kółkiem.

Co w praktyce oznacza anonimizacja wizualna przed uruchomieniem kamer?

Na etapie wdrożenia warto przyjąć jednoznaczne definicje. W tym artykule visual data anonymization oznacza przygotowanie procesu, w którym materiały wizualne mogą zostać poddane anonimizacji przed udostępnieniem. Face blurring oznacza zamazanie twarzy. License plate blurring oznacza zamazanie tablic rejestracyjnych. On-premise software oznacza oprogramowanie uruchamiane w infrastrukturze organizacji, co bywa istotne przy wewnętrznych politykach bezpieczeństwa i przy ograniczaniu transferu materiału poza środowisko administratora.

Z perspektywy zgodności typowym podejściem biznesowym jest założenie, że jeżeli organizacja przewiduje dalsze użycie nagrań lub zdjęć poza pierwotnym celem zabezpieczenia obiektu, to mechanizm anonimizacji nie powinien być dopisywany na końcu projektu. Powinien być uwzględniony przed uruchomieniem kamer, razem z zasadami retencji, dostępem i ścieżką eksportu plików.

W takich scenariuszach część organizacji wybiera Gallio PRO jako narzędzie wspierające anonimizację materiałów wizualnych. Z punktu widzenia governance ważne jest jednak precyzyjne opisanie możliwości i ograniczeń. Oprogramowanie automatycznie wykrywa i zamazuje wyłącznie twarze i tablice rejestracyjne. Nie wykrywa automatycznie logotypów firm, tatuaży, tabliczek z imionami, dokumentów ani obrazu na ekranach monitorów. Takie elementy można zamazywać manualnie w edytorze. Dodatkowo oprogramowanie nie służy do anonimizacji w czasie rzeczywistym ani anonimizacji strumienia wideo oraz nie zamazuje całych sylwetek.

Obraz z monitoringu ulicznego przedstawiający trzy osoby idące chodnikiem. Jedna osoba jest wyróżniona czerwonym kwadratem i trzyma walizkę otoczoną czerwonym kółkiem.

Checklist DPO przed wdrożeniem systemu monitoringu

Poniższa lista obejmuje działania, które można sprawdzić i odhaczyć przed uruchomieniem kamer. Każdy punkt dotyczy wyłącznie zdjęć i nagrań wideo oraz scenariuszy ich późniejszego użycia.

  1. Opisać cel monitoringu w sposób weryfikowalny. Należy zapisać, czy system ma służyć wyłącznie bezpieczeństwu obiektu, czy także przygotowaniu materiałów do publikacji, komunikacji kryzysowej, materiałów dowodowych lub udostępniania partnerom. Jeżeli przewidywane jest wtórne wykorzystanie obrazów, trzeba to uwzględnić już w projekcie.
  2. Sprawdzić, czy planowany kadr jest proporcjonalny. Przed montażem kamer warto przejść lokalizacje i potwierdzić, że pole widzenia nie obejmuje nadmiarowo stref publicznych, okien sąsiednich budynków, stanowisk pracy bez uzasadnienia albo obszarów, których monitoring nie jest konieczny dla celu systemu.
  3. Przygotować matrycę scen, w których materiał będzie wymagał anonimizacji. Należy wskazać konkretne sytuacje: publikacja zdjęcia na stronie, wysyłka nagrania do mediów, udostępnienie fragmentu materiału kontrahentowi, wykorzystanie w social media. Taka matryca powinna rozróżniać twarze i tablice rejestracyjne od innych elementów, które mogą wymagać ręcznej redakcji obrazu.
  4. Zweryfikować podstawę przetwarzania i odrębnie opisać dalsze wykorzystanie obrazu. To nie jest miejsce na pełną analizę wszystkich podstaw prawnych, ale dobra praktyka polega na rozróżnieniu samego monitoringu od późniejszego publikowania lub udostępniania materiału. W scenariuszach komunikacyjnych i marketingowych ryzyko zgodności bywa inne niż przy zwykłym zabezpieczeniu obiektu.
  5. Wykonać DPIA, jeśli skala lub kontekst monitoringu tego wymagają. Ocena skutków powinna obejmować nie tylko rejestrowanie obrazu, ale także planowany eksport, selekcję fragmentów, anonimizację przed udostępnieniem i role osób decyzyjnych. Jeżeli organizacja zakłada publikację nagrań, to ten etap może wymagać osobnego opisania ryzyk.
  6. Przygotować klauzulę informacyjną i oznaczenia stref monitorowanych. Treść powinna odpowiadać rzeczywistemu modelowi działania systemu. Jeżeli organizacja zakłada dalsze użycie nagrań lub zdjęć, komunikat nie może sugerować, że obraz służy wyłącznie bieżącej ochronie obiektu.
  7. Ustalić retencję dla surowego materiału i osobno dla wersji przygotowanych do udostępnienia. Należy wskazać maksymalny czas przechowywania pełnego nagrania, czas przechowywania wyeksportowanych fragmentów oraz warunki usuwania wersji roboczych. Najczęstszy błąd polega na pozostawieniu wielu kopii materiału po wykonaniu anonimizacji.
  8. Ograniczyć role i dostęp jeszcze przed startem systemu. Warto ustalić, kto może oglądać surowy materiał, kto może eksportować pliki, kto może wykonywać face blurring i license plate blurring, a kto zatwierdza publikację. Bez tej matrycy odpowiedzialności anonimizacja pozostaje procesem uznaniowym.
  9. Sprawdzić, czy narzędzie do anonimizacji odpowiada rzeczywistym scenariuszom. Jeżeli organizacja potrzebuje przygotować materiał przed publikacją, sens ma rozwiązanie, które wspiera pracę na plikach zdjęciowych i wideo, a nie system obiecujący funkcje, których projekt nie wymaga. W przypadku Gallio PRO trzeba uwzględnić, że automatyczna detekcja obejmuje wyłącznie twarze i tablice rejestracyjne, a pozostałe elementy obrazu wymagają edycji manualnej.
  10. Przetestować proces anonimizacji na próbce rzeczywistych ujęć. Jeszcze przed uruchomieniem kamer warto wykonać próbę na materiałach z podobnym kadrem, oświetleniem i ruchem. Pozwala to ocenić, ile pracy wymaga automatyczne zamazywanie twarzy i tablic oraz jakie przypadki trzeba obsłużyć ręcznie. Jeżeli organizacja chce sprawdzić taki workflow na własnych plikach, można to zrobić, pobierając wersję demonstracyjną.
  11. Zdefiniować procedurę redakcji ręcznej dla elementów niewykrywanych automatycznie. W procedurze należy zapisać, kto ma obowiązek sprawdzić, czy na materiale widoczne są logo firmy, tatuaże, identyfikatory imienne, dokumenty lub obraz z monitorów. To szczególnie ważne, bo te obiekty nie są objęte automatyczną detekcją w Gallio PRO.
  12. Ustalić regułę anonimizacji twarzy przed udostępnieniem materiału. W praktyce biznesowej organizacje często przyjmują zasadę domyślnego zamazania twarzy przed publikacją lub przekazaniem materiału, chyba że zachodzi jasno opisana przesłanka odstępstwa. Obowiązek anonimizacji twarzy nie wynika automatycznie w każdym przypadku wprost z RODO, Kodeksu cywilnego oraz prawa autorskiego, ale publikacja wizerunku co do zasady wymaga odrębnej oceny prawnej. W prawie autorskim przewidziano wyjątki, m.in. gdy chodzi o osobę powszechnie znaną sfotografowaną w związku z pełnieniem funkcji publicznych albo gdy wizerunek stanowi jedynie szczegół całości takiej jak zgromadzenie, krajobraz lub publiczna impreza. Samo otrzymanie wynagrodzenia nie stanowi ogólnego ustawowego wyjątku bez odpowiedniego ustalenia zakresu zgody na rozpowszechnianie wizerunku. Przy dużych wolumenach materiału warto od razu zaprojektować ścieżkę użycia narzędzia do anonimizacji wideo, które automatycznie wykrywa twarze i tablice, a resztę pozwala poprawić ręcznie.
  13. Ustalić regułę anonimizacji tablic rejestracyjnych przed publikacją. Ten punkt wymaga ostrożności. Nie ma ogólnej unijnej zasady, która zawsze nakazywałaby zamazywanie tablic rejestracyjnych przed publikacją. W Polsce sytuacja również nie jest całkowicie jednolita: ocena zależy od kontekstu, możliwości identyfikacji osoby oraz sposobu wykorzystania materiału, a samo zagadnienie bywa różnie ujmowane w praktyce i orzecznictwie. W konsekwencji rozsądnym podejściem pre-deployment jest przyjęcie konserwatywnej zasady zamazywania tablic przed udostępnieniem materiału poza organizację.
  14. Zweryfikować, czy architektura wdrożenia ogranicza niepotrzebny transfer materiału. Jeżeli polityki bezpieczeństwa tego wymagają, warto ocenić użycie on-premise software. Przy wdrożeniach korporacyjnych albo sektorowych znaczenie może mieć to, że materiał nie opuszcza środowiska organizacji bez potrzeby.
  15. Sprawdzić politykę logowania i śladów systemowych. Z perspektywy minimalizacji danych ważne jest, aby narzędzie nie generowało dodatkowych logów zawierających dane detekcji albo dane osobowe. W przypadku Gallio PRO wskazano, że oprogramowanie nie zbiera logów zawierających detekcję twarzy i tablic rejestracyjnych oraz nie zbiera logów zawierających dane osobowe i dane szczególnych kategorii.

Nagranie z monitoringu sklepu spożywczego pokazujące klientów robiących zakupy i personel przy ladzie, z widocznymi półkami z towarami oraz sekcją chłodniczą.

Tabela kontrolna: co sprawdzić przed startem, a co przed publikacją materiału

Obszar

Przed uruchomieniem kamer

Przed udostępnieniem zdjęcia lub nagrania

Cel

Opisać cel monitoringu i przewidywane użycia wtórne

Potwierdzić, że konkretne użycie mieści się w opisanym procesie

Kadr

Sprawdzić proporcjonalność pola widzenia

Ocenić, czy materiał pokazuje osoby lub pojazdy zbędne dla publikacji

Anonimizacja twarzy

Wybrać narzędzie i procedurę face blurring

Zweryfikować, czy wszystkie twarze wymagające ukrycia zostały zamazane

Anonimizacja tablic

Przyjąć regułę license plate blurring

Sprawdzić materiał pod kątem widocznych tablic na każdym ujęciu

Elementy niewykrywane automatycznie

Opisać redakcję ręczną

Skontrolować logo, tatuaże, identyfikatory, dokumenty i ekrany

Dostęp

Ustalić role i uprawnienia

Potwierdzić, kto zatwierdził finalną wersję

Retencja

Ustalić okresy dla materiału surowego i wyeksportowanego

Usunąć zbędne kopie robocze po zakończeniu procesu

Osoba stoi przed wieloma monitorami dozorczymi, niektóre pokazują zakłócenia, w słabo oświetlonym pomieszczeniu kontrolnym.

Kiedy potrzebna jest konsultacja wdrożeniowa?

Nie każdy projekt da się zamknąć prostą checklistą. Konsultacji zwykle wymagają wdrożenia rozproszone, wiele lokalizacji, integracja z istniejącym VMS, wymagania on-premise software, szczególne wymogi sektora publicznego oraz procedury publikacji materiałów w wielu departamentach. W takich przypadkach warto skontaktować się z zespołem i potwierdzić, jak zaprojektować proces anonimizacji zdjęć oraz nagrań jeszcze przed uruchomieniem systemu.

Nagranie z monitoringu pokazujące dwie osoby na brukowanej ulicy. Jedna kuca z torbą, podczas gdy druga stoi z uniesionymi rękami w pobliżu kamiennego muru.

Najczęstszy błąd na etapie projektowym

Najczęstszy błąd polega na założeniu, że monitoring to wyłącznie infrastruktura kamer, a anonimizacja zostanie rozwiązana później. Tymczasem to właśnie przed startem trzeba zdecydować, czy organizacja będzie miała narzędzie do face blurring i license plate blurring, kto odpowiada za redakcję ręczną, jak wygląda akceptacja materiału i kiedy usuwa się wersje robocze. Bez tych decyzji nawet formalnie poprawny monitoring może wygenerować operacyjny chaos przy pierwszej prośbie o publikację albo udostępnienie nagrania.

Trójwymiarowy czarny znak zapytania na jasnoszarym tle, rzucający subtelny cień.

FAQ - DPO checklist

Czy każda organizacja wdrażająca monitoring musi od razu kupować narzędzie do anonimizacji?

Nie zawsze. Jeżeli materiał nigdy nie będzie publikowany ani przekazywany dalej poza ściśle kontrolowanym celem, potrzeba może być mniejsza. Jeżeli jednak już na etapie projektu wiadomo, że zdjęcia lub nagrania będą udostępniane, warto zaprojektować proces anonimizacji przed uruchomieniem kamer.

Czy zamazanie całej sylwetki jest standardem w takich systemach?

Nie. W opisywanym tu kontekście kluczowe są twarze i tablice rejestracyjne. Gallio PRO nie zamazuje całych sylwetek, tylko twarze i tablice rejestracyjne, a inne elementy obrazu można ukrywać ręcznie w edytorze.

Czy Gallio PRO wykonuje anonimizację strumienia wideo na żywo?

Nie. Oprogramowanie nie wykonuje anonimizacji w czasie rzeczywistym ani anonimizacji strumienia wideo. To ważne ograniczenie, które należy uwzględnić w projekcie architektury systemu.

Czy tablice rejestracyjne zawsze trzeba zamazywać?

To zależy od jurysdykcji i kontekstu użycia materiału. Nie ma jednej ogólnej reguły, która zawsze przesądzałaby ten obowiązek. W Polsce sytuacja nie jest jednolita, dlatego wiele organizacji przyjmuje konserwatywną praktykę zamazywania tablic przed publikacją lub udostępnieniem materiału poza organizację.

Czy twarz zawsze trzeba zamazać przed publikacją?

Nie w każdym przypadku. W praktyce zgodności często przyjmuje się zasadę domyślnego ukrywania twarzy, ale każdorazowo trzeba ocenić podstawę przetwarzania danych oraz zasady rozpowszechniania wizerunku. W prawie autorskim istotne są w szczególności wyjątki dotyczące osoby powszechnie znanej oraz wizerunku stanowiącego jedynie szczegół całości, takiej jak zgromadzenie, krajobraz lub publiczna impreza.

Czy automatyczna detekcja obejmuje także logo, tatuaże i identyfikatory?

Nie. Automatyczna detekcja obejmuje wyłącznie twarze i tablice rejestracyjne. Logo firm, tatuaże, tabliczki z imionami, dokumenty i ekrany monitorów wymagają sprawdzenia oraz ewentualnej redakcji manualnej.

Czy logi systemowe mogą same tworzyć dodatkowe ryzyko ochrony danych?

Tak, dlatego warto to sprawdzić przed wdrożeniem. W materiałach dotyczących Gallio PRO wskazano, że oprogramowanie nie zapisuje logów zawierających dane detekcji twarzy i tablic rejestracyjnych ani danych osobowych i danych szczególnych kategorii.

Pobierz darmowe demo
Łukasz Bonczol

Łukasz Bonczol

Współzałożyciel Gallio PRO. Interesuje się wpływem nowych technologii na społeczeństwo, politykę, prawo i etykę. Posiada stopień doktora uzyskany na Wydziale Nauk Społecznych Uniwersytetu Wrocławskiego. Jest również absolwentem studiów MBA na Uniwersytecie Ekonomicznym we Wrocławiu.

Bibliografia

  1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. - RODO.
  2. European Data Protection Board, Guidelines 3/2019 on processing of personal data through video devices.
  3. Urząd Ochrony Danych Osobowych, materiały i poradniki dotyczące monitoringu wizyjnego.
  4. Ustawa z dnia 23 kwietnia 1964 r. - Kodeks cywilny.
  5. Ustawa z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych.