Visual data anonymization to zestaw działań ograniczających możliwość identyfikacji osób widocznych na zdjęciach i nagraniach wideo przed ich publikacją lub dalszym wykorzystaniem. W praktyce najczęściej oznacza to face blurring oraz license plate blurring, czyli zamazywanie twarzy i tablic rejestracyjnych. Dla działów marketingu, PR, administracji publicznej i compliance nie jest to wyłącznie kwestia techniczna. To narzędzie ograniczania ryzyka prawnego, organizacyjnego i reputacyjnego.
W przypadku materiałów wizualnych samo pytanie „czy publikować?” jest zbyt ogólne. Bardziej użyteczne w audycie wewnętrznym jest pytanie: jaki jest poziom ekspozycji prawnej dla konkretnego materiału, przy konkretnym celu przetwarzania i konkretnej kategorii nagrywanych osób. Tę funkcję spełnia matryca ryzyka opisana poniżej.
RODO traktuje wizerunek jako daną osobową wtedy, gdy osoba jest możliwa do zidentyfikowania bezpośrednio lub pośrednio [1]. W materiałach wideo ryzyko rośnie, ponieważ identyfikacja często wynika nie tylko z twarzy, ale także z kontekstu: miejsca, czasu, wydarzenia, ubioru, tablic rejestracyjnych lub towarzyszącego opisu publikacji. Dlatego organizacje często stosują praktykę polegającą na oddzieleniu oceny legalności publikacji od oceny poziomu ekspozycji ryzyka.
W odniesieniu do twarzy obowiązek uzyskania odpowiedniej podstawy prawnej przetwarzania danych oraz - w stosownych przypadkach - zgody na rozpowszechnianie wizerunku wynika w praktyce nie tylko z RODO, ale również z Kodeksu cywilnego i przepisów o prawie autorskim. Są jednak od niego 3 wyjątki: mamy do czynienia z osobą powszechnie znaną, wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych; wizerunek osoby stanowi jedynie szczegół całości, takiej jak zgromadzenie, krajobraz lub publiczna impreza; osoba otrzymała umówioną zapłatę za pozowanie, chyba że wyraźnie zastrzeżono inaczej. Nawet przy wystąpieniu jednego z tych wyjątków organizacje zwykle nadal oceniają ryzyko reputacyjne i ryzyko nadmiarowości publikacji.
W przypadku tablic rejestracyjnych sytuacja jest bardziej złożona. Nie ma ogólnej unijnej zasady, zgodnie z którą ich zamazywanie byłoby zawsze obowiązkowe. W Polsce kwestia również zależy od kontekstu. Z jednej strony UODO i europejskie podejście do identyfikowalności osób przemawiają za ostrożnością, z drugiej w orzecznictwie sądów administracyjnych przyjmowano, że sama tablica rejestracyjna nie zawsze stanowi daną osobową. Dla audytora oznacza to jedno: przy publikacji otwartej, zwłaszcza internetowej, license plate blurring jest zwykle środkiem obniżającym ryzyko sporu, nawet gdy kwalifikacja prawna pozostaje zależna od kontekstu.
Proponowana matryca ryzyka opiera się na dwóch wymiarach. Pierwszy to cel przetwarzania, drugi to kategoria nagrywanych osób. Taki układ jest praktyczny, bo pozwala DPO lub audytorowi wewnętrznemu ocenić materiał jeszcze przed publikacją, bez budowania rozbudowanego arkusza compliance.
Pierwszy wymiar, czyli cel przetwarzania, można podzielić na cztery poziomy:
Drugi wymiar, czyli kategoria nagrywanych osób, również można uporządkować w cztery poziomy:
Cel przetwarzania × kategoria osób | Poziom ryzyka | Typowa ocena audytowa | Rekomendowane działanie |
|---|---|---|---|
Wewnętrzny cel o niskiej ekspozycji × osoby publiczne lub szeroka scena | Niskie | Ograniczony krąg odbiorców i małe prawdopodobieństwo szkody | Ocena retencji, ograniczenie dostępu, publikacja zewnętrzna zwykle bez dodatkowej podstawy niezalecana |
Wewnętrzny cel o niskiej ekspozycji × pracownicy lub uczestnicy świadomi nagrania | Niskie do umiarkowanego | Ryzyko zależne od dobrowolności udziału i przejrzystości informacji | Dokumentacja celu, minimalizacja zakresu, face blurring przy dalszym użyciu poza celem pierwotnym |
Wewnętrzny cel o niskiej ekspozycji × klienci, petenci, osoby postronne | Umiarkowane | Identyfikacja jest realna, a oczekiwanie prywatności wyższe | Face blurring jako standard, license plate blurring gdy pojazdy są widoczne, kontrola dostępu |
Wewnętrzny cel o niskiej ekspozycji × osoby wymagające zwiększonej ostrożności | Wysokie | Nawet brak publikacji zewnętrznej nie usuwa ryzyka naruszenia | Silna minimalizacja, ograniczenie użycia, często brak potrzeby identyfikowalnego obrazu |
Cel informacyjny × osoby publiczne lub szeroka scena | Niskie do umiarkowanego | Dopuszczalność częściej występuje, ale ocena zależy od ujęcia i podpisów | Selekcja kadrów, unikanie zbliżeń, analiza czy osoba pozostaje elementem całości |
Cel informacyjny × pracownicy lub uczestnicy świadomi nagrania | Umiarkowane | Ryzyko rośnie przy publikacji na otwartych platformach | Weryfikacja podstawy użycia wizerunku, face blurring tam, gdzie identyfikacja nie jest potrzebna |
Cel informacyjny × klienci, petenci, osoby postronne | Wysokie | To częsty punkt sporny przy relacjach z wydarzeń i materiałach urzędowych | Domyślne zamazywanie twarzy, zamazywanie tablic rejestracyjnych, kadrowanie redukujące identyfikację |
Cel informacyjny × osoby wymagające zwiększonej ostrożności | Bardzo wysokie | Publikacja wymaga szczególnej ostrożności i bywa nieproporcjonalna | Zasadą powinien być brak identyfikowalnego wizerunku |
Cel promocyjny × osoby publiczne lub szeroka scena | Umiarkowane | Marketing zwiększa intensywność ingerencji | Ostrożna selekcja ujęć, unikanie domyślnej identyfikacji pojedynczych osób |
Cel promocyjny × pracownicy lub uczestnicy świadomi nagrania | Wysokie | W relacjach zależności zgoda może być kwestionowana jako niedobrowolna [3] | Ocena proporcjonalności, alternatywne kadry, face blurring gdy rozpoznawalność nie jest potrzebna |
Cel promocyjny × klienci, petenci, osoby postronne | Bardzo wysokie | Najczęstsza sytuacja wymagająca anonimizacji przed publikacją | Domyślne face blurring i license plate blurring, przegląd manualny pozostałych elementów identyfikujących |
Cel promocyjny × osoby wymagające zwiększonej ostrożności | Krytyczne | Publikacja identyfikowalnego materiału zwykle generuje nieakceptowalną ekspozycję | Zasadą powinno być odstąpienie od publikacji lub pełna anonimizacja wizualna |
Cel monitorujący lub dowodowy przy wtórnej publikacji × wszystkie kategorie poza szeroką sceną | Wysokie do krytycznego | Wtórne użycie poza pierwotnym celem istotnie zwiększa ryzyko [1] | Ocena zgodności celu, konieczność anonimizacji, częsta potrzeba pogłębionej analizy DPIA |
Najbardziej praktyczne podejście składa się z czterech kroków. Po pierwsze, należy przypisać materiałowi dominujący cel przetwarzania. Po drugie, określić najwyższą kategorię osób widocznych w materiale. Po trzecie, odczytać poziom ryzyka z matrycy. Po czwarte, przypisać obowiązkowe środki ograniczające ryzyko. Dzięki temu ocena nie kończy się na abstrakcyjnym stwierdzeniu „materiał zawiera dane osobowe”, ale prowadzi do konkretnej decyzji publikacyjnej.
W praktyce środki ograniczające ryzyko obejmują trzy warstwy. Pierwsza to selekcja kadrów. Druga to visual data anonymization. Trzecia to kontrola procesu publikacji, w tym retencja wersji źródłowej, dostęp do plików i dokumentowanie uzasadnienia. Jeśli organizacja korzysta z narzędzia takiego jak Gallio PRO, może wdrożyć ustandaryzowany workflow dla materiałów foto i wideo bez przenoszenia analizy do systemu streamingu. To istotne, ponieważ rozwiązanie nie wykonuje anonimizacji w czasie rzeczywistym ani anonimizacji strumienia wideo, lecz wspiera przygotowanie materiału przed publikacją.
Przy materiałach przeznaczonych do publikacji zewnętrznej najczęściej stosowanym środkiem jest face blurring. Jeżeli w kadrze występują pojazdy, organizacje często dodają license plate blurring, szczególnie przy publikacji publicznej i transgranicznej. To podejście jest spójne z ostrożnościową praktyką zgodności, nawet jeśli ocena charakteru tablic rejestracyjnych w Polsce pozostaje zależna od kontekstu.
Trzeba jednak precyzyjnie opisać możliwości narzędzia. Gallio PRO automatycznie zamazuje wyłącznie twarze i tablice rejestracyjne. Nie wykrywa automatycznie logotypów firm, tatuaży, tabliczek z imionami, dokumentów ani obrazu na ekranach monitorów. Te elementy mogą być zamazywane manualnie w edytorze wbudowanym w oprogramowanie. Dla audytora ma to znaczenie dowodowe. Jeżeli ryzyko identyfikacji wynika z kontekstu innego niż twarz lub tablica, sam automatyczny proces nie wystarczy.
Warto również odnotować, że oprogramowanie nie zamazuje całych sylwetek i nie zapisuje logów zawierających dane detekcji, danych osobowych ani danych szczególnych kategorii. Z punktu widzenia ograniczania ekspozycji jest to korzystne, bo zmniejsza zakres dodatkowych artefaktów przetwarzania. Jeżeli potrzebny jest praktyczny test procesu dla materiałów własnych, można to sprawdzić, pobierając wersję demo.
Nie każdy materiał wymaga pogłębionej analizy. Jeżeli jednak matryca wskazuje poziom bardzo wysokie albo krytyczne, organizacje często przechodzą do szerszej oceny skutków dla ochrony danych, zwłaszcza gdy publikacja ma dużą skalę, obejmuje osoby postronne albo materiały z pierwotnie innego celu, na przykład monitoringu. To naturalny moment, aby odwołać się do wewnętrznej dokumentacji compliance lub arkusza DPIA.
Dotyczy to również scenariuszy technicznych, takich jak wdrożenie on-premise software, przetwarzanie dużych wolumenów materiałów lub połączenie procedur anonimizacji z procesem akceptacji publikacji. W takich przypadkach warto skontaktować się z zespołem i doprecyzować model wdrożenia, zakres uprawnień oraz sposób udokumentowania środków organizacyjnych.
Pierwszy błąd polega na przyjęciu, że zgoda rozwiązuje cały problem. W relacji pracodawca-pracownik lub urząd-petent dobrowolność bywa oceniana restrykcyjnie [3]. Drugi błąd to utożsamianie szerokiej sceny z dowolnością publikacji. Zbliżenie twarzy lub podpis pod materiałem może zmienić ocenę. Trzeci błąd to pomijanie tablic rejestracyjnych, gdy publikacja jest publiczna i łatwo indeksowana przez wyszukiwarki. Czwarty błąd to założenie, że narzędzie automatyczne wykryje każdy element identyfikujący. W praktyce automatyczna detekcja obejmuje tylko twarze i tablice rejestracyjne.
Nie zawsze. Ocena zależy od celu przetwarzania, kontekstu ujęcia i podstawy wykorzystania wizerunku. Istnieją trzy wskazane wyżej wyjątki dotyczące osoby powszechnie znanej, szczegółu większej całości oraz umówionej zapłaty za pozowanie [7]. Mimo to organizacje często nadal oceniają proporcjonalność publikacji.
To zależy od jurysdykcji i kontekstu. W Polsce zagadnienie nie jest jednoznaczne, ponieważ praktyka organu nadzorczego przemawia za ostrożnością, a w orzecznictwie sądowym prezentowano także podejście odmienne. Dlatego license plate blurring jest częstą praktyką ograniczania ryzyka przy publikacji otwartej.
Pozwala przypisać materiał do konkretnej kombinacji celu przetwarzania i kategorii osób, a następnie od razu dobrać środki ograniczające ryzyko. To przyspiesza decyzję, czy wystarczy anonimizacja wizualna, czy potrzebna jest szersza analiza.
Nie. Automatyczna detekcja obejmuje wyłącznie twarze i tablice rejestracyjne. Tatuaże, logotypy, tabliczki z imionami, dokumenty i obrazy na monitorach wymagają oceny oraz ewentualnego zamazania manualnego.
Opisany tutaj workflow dotyczy przygotowania materiału przed publikacją. Gallio PRO nie wykonuje anonimizacji w czasie rzeczywistym ani anonimizacji strumienia wideo.
Tak, z perspektywy minimalizacji danych ma to znaczenie organizacyjne. Gallio PRO nie zbiera logów zawierających detekcję twarzy i tablic rejestracyjnych ani logów zawierających dane osobowe i dane szczególnych kategorii.
