Zadaj pytanie

Rozmywanie twarzy dla ochrony prywatności danych w deep learningu

Mateusz Zimoch
Opublikowano: 4.12.2025
Zaktualizowano: 10.03.2026

Spis treści

Rozmywanie twarzy to technika anonimizacji danych wizualnych, która wykrywa ludzkie twarze na zdjęciach lub wideo i celowo je maskuje, tak aby nie było możliwe zidentyfikowanie osób. W procesach deep learning rozmywanie twarzy oraz rozmywanie tablic rejestracyjnych ogranicza ryzyko ujawnienia danych osobowych w publikowanych materiałach wizualnych. Należy jednak pamiętać, że samo rozmycie nie oznacza automatycznie, iż dane stają się „anonimowe” w rozumieniu przepisów o ochronie danych. Materiały wykraczają poza zakres prawa ochrony danych wyłącznie wtedy, gdy osoby nie są już możliwe do zidentyfikowania przy użyciu środków, które są rozsądnie prawdopodobne do zastosowania, biorąc pod uwagę wszystkie środki, jakimi może posłużyć się administrator danych lub inna osoba [1][6].

Zanonimizowana, wyblurowana twarz kobiety w ciemnych włosach, zdjęcie czarno-białe

Dlaczego rozmywanie twarzy ma znaczenie dla zgodności z przepisami

Zdjęcia i nagrania wideo stanowią dane osobowe, jeżeli dana osoba może być zidentyfikowana bezpośrednio lub pośrednio [1]. Organy nadzorcze wyraźnie rozróżniają anonimizację i pseudonimizację. Zanonimizowane materiały są przetwarzane w taki sposób, że identyfikacja osoby nie jest możliwa żadnymi rozsądnie prawdopodobnymi metodami. Materiały pseudonimizowane nadal mogą zostać powiązane z konkretną osobą przy użyciu dodatkowych informacji i pozostają w zakresie stosowania przepisów o ochronie danych [1][6].

Rozmywanie twarzy może wspierać anonimizację poprzez ograniczenie identyfikatorów biometrycznych, jednak skuteczne wdrożenia uwzględniają także inne identyfikatory, takie jak charakterystyczne tatuaże, unikalny ubiór, głos (w wideo), kontekst lokalizacji czy tablice rejestracyjne. Jeżeli jakikolwiek identyfikator pozostaje widoczny i umożliwia rozpoznanie osoby, materiał może nadal stanowić dane osobowe [1][6][8].

zamazana twarz w owale mężczyzny w koszulce polo na tle ściany, zdjęcie czarno-białe

Publikowanie materiałów wizualnych - RODO i UK GDPR w skrócie

Zakres

RODO (UE)

UK GDPR

 

Czy obrazy są danymi osobowymi

Tak, jeżeli osoba jest możliwa do zidentyfikowania [1]

Tak, jeżeli osoba jest możliwa do zidentyfikowania [2][3]

Materiały zanonimizowane

Poza RODO wyłącznie przy nieodwracalnej anonimizacji (brak możliwości identyfikacji przy użyciu rozsądnie prawdopodobnych środków) [1][6]

Poza UK GDPR wyłącznie przy nieodwracalnej anonimizacji [2][6]

Podstawa prawna publikacji materiałów możliwych do identyfikacji

Zależna od kontekstu; najczęściej zgoda lub prawnie uzasadniony interes wraz z udokumentowanym testem równowagi [1][4][7]

Zależna od kontekstu; najczęściej zgoda lub prawnie uzasadniony interes [2][4]

Wizerunki dzieci

Wyższe ryzyko; zwykle wymagane silniejsze uzasadnienie i zabezpieczenia [1]

ICO oczekuje szczególnej ostrożności i dodatkowych zabezpieczeń [4]

Monitoring wideo

Wytyczne EDPB dotyczące urządzeń wideo [8]

Wytyczne ICO dotyczące CCTV i monitoringu wideo [5]

Transfery transgraniczne

Stosuje się zasady transferu, jeżeli dane są osobowe; dane faktycznie zanonimizowane są poza RODO [1]

Analogicznie - poza UK GDPR tylko dane rzeczywiście zanonimizowane [2]

zdjęcie czaro-białe poddane anonimizacji twarzy kobiety w ciemnych włosach, zdjęcie dokumentowe

Trzy przypadki, w których zgoda lub anonimizacja mogą nie być wymagane

  • Osoba jest powszechnie znana (osoba publiczna), a zdjęcie wykonano w związku z pełnioną rolą publiczną.
  • Osoba pojawia się jedynie jako element większej sceny (np. tłum na wydarzeniu publicznym) i nie jest głównym obiektem.
  • Osoba otrzymała wynagrodzenie za pozowanie, a umowa lub model release obejmuje planowane wykorzystanie.

Uwaga: nie są to automatyczne wyłączenia spod RODO/UK GDPR. Obowiązek uzyskania zgody zależy od podstawy prawnej, lokalnych przepisów (w tym prawa do wizerunku), uzasadnionych oczekiwań osób oraz zasad rzetelności i przejrzystości [1][4].

zdjęcie po desaturacji kolorów, przedstawiające kobietę na czarnym tle ze zblurowaną twarzą

Ryzyka często pomijane przy rozmywaniu twarzy i tablic rejestracyjnych

Ryzyko ponownej identyfikacji - nawet przy rozmytych twarzach osoby mogą być rozpoznawalne na podstawie ubioru, sposobu poruszania się, akcesoriów, tatuaży, głosu lub elementów tła, takich jak szyldy sklepów czy charakterystyczne lokalizacje. W ujęciach ulicznych rozmywanie tablic rejestracyjnych powinno towarzyszyć rozmywaniu twarzy.

Ekspozycja metadanych - metadane EXIF i XMP mogą zawierać daty, współrzędne GPS, identyfikatory urządzeń lub notatki autora. Usuwanie metadanych przed publikacją to powszechna praktyka ograniczania ryzyka.

Błędy detekcji - fałszywe negatywy pozostawiają nierozmyte twarze lub tablice, a fałszywe pozytywy mogą maskować logo lub obiekty, obniżając użyteczność materiału. Skuteczność detekcji zależy m.in. od oświetlenia, zasłonięć, kątów kamery, nakryć głowy, masek oraz rozmycia ruchu. Sceny nocne i kamery szerokokątne są szczególnie wymagające [8].

Artefakty kompresji i edycji - ponowne kodowanie lub skalowanie może osłabić niektóre metody maskowania. W materiałach wysokiego ryzyka zaleca się stosowanie wystarczająco silnego rozmycia, pikselizacji lub pełnych masek. Celem jest praktyczna nieodwracalność przy uwzględnieniu „rozsądnie prawdopodobnych środków” [1][6].

Ryzyko transferu do chmury - przesyłanie surowych nagrań do zewnętrznych usług tworzy dodatkowe przepływy danych i ryzyko związane z dostawcami. Oprogramowanie on‑premise pozwala ograniczyć transfery zewnętrzne i wzmocnić wewnętrzne kontrole bezpieczeństwa.

czarno-białe zdjęcie nastolatki w ciemnych włosach z anonimizowaną twarzą w owale

Techniki deep learning i decyzje wdrożeniowe

Nowoczesne pipeline’y łączą detekcję twarzy i tablic rejestracyjnych ze śledzeniem obiektów, aby utrzymać maskowanie pomiędzy klatkami. W scenach o podwyższonym ryzyku stosuje się również detektory osób lub segmentację, maskując całe sylwetki. Dokładność i wydajność należy zawsze weryfikować na reprezentatywnych danych.

Rozwiązania on‑premise umożliwiają przetwarzanie w kontrolowanej infrastrukturze, pracę offline oraz prostsze zarządzanie retencją danych. Aby poznać rozwiązanie klasy enterprise, sprawdź Gallio PRO.

Pozbawione kolorów zdjęcie modelki ze zblurowaną twarzą

Workflow publikacji zdjęć i wideo z minimalnym ryzykiem

  1. Określenie celu i podstawy prawnej - przy publikacji materiałów możliwych do identyfikacji często rozważa się zgodę lub prawnie uzasadniony interes z udokumentowanym testem równowagi [1][4].
  2. Bezpieczne przyjęcie materiałów - wewnętrzne repozytorium z dostępem opartym na rolach; unikanie udostępniania surowych plików na zewnątrz.
  3. Automatyczna detekcja - rozmywanie twarzy i tablic rejestracyjnych; w kontekstach wysokiego ryzyka także maskowanie sylwetek lub innych identyfikatorów.
  4. Weryfikacja przez człowieka - kontrola losowych klatek, szczególnie w tłumach i przy słabym oświetleniu.
  5. Usunięcie metadanych - usunięcie EXIF i XMP przed eksportem oraz udokumentowanie procesu.
  6. Kontrola jakości - testowanie nieodwracalności przy różnych poziomach powiększenia i kompresji [1][6].
  7. Publikacja i rejestry - zapis ustawień, akceptacji oraz terminów retencji.
  8. Retencja i usuwanie - przechowywanie plików źródłowych tylko tak długo, jak to konieczne, a następnie bezpieczne usunięcie [1].

Aby przetestować ten workflow na danych firmowych, pobierz demo.

czarno-białe zdjęcie portretowe przedstawiające mężczyznę z zamazaną twarzą w procesie anonimizacji

Mierzenie skuteczności bez nadmiernych obietnic

Metryki należy definiować według przypadku użycia: skuteczność detekcji twarzy i tablic, ryzyko identyfikacji w audytowanych próbkach oraz czas przetwarzania. Wyniki warto raportować według scenariuszy (wnętrza, plener, noc), a nie jedną zbiorczą liczbą. Organizacje często przeprowadzają wewnętrzne testy ponownej identyfikacji, aby wykryć pozostałe identyfikatory i doskonalić pipeline [6][8].

Zespoły poszukujące wzmocnionego rozwiązania on‑premise mogą skontaktować się z nami, aby omówić wdrożenie, logi audytowe, RBAC i tryby offline.

Czarno-biała grafika przedstawiająca owalny znak zapytania 3d

Lista kontrolna wdrożenia

Przy wyborze oprogramowania do anonimizacji danych wizualnych on‑premise kluczowe są: przetwarzanie wsadowe, konfigurowalna siła rozmycia i maski, obsługa rozmywania twarzy i tablic rejestracyjnych, śledzenie wideo, usuwanie metadanych, logi audytowe oraz akceleracja sprzętowa. Zgodność z politykami bezpieczeństwa i możliwość pełnej pracy offline są szczególnie istotne w sektorze publicznym i branżach regulowanych.

Czarno-biała grafika przedstawiająca owalny znak zapytania 3d

FAQ - Rozmywanie twarzy a ochrona prywatności danych

Czy rozmywanie twarzy wystarcza do anonimizacji wideo?

Nie zawsze. Jeżeli pozostają inne identyfikatory (np. ubiór, tatuaże, głos, lokalizacja lub tablice rejestracyjne), osoba może nadal być rozpoznawalna. W praktyce należy łączyć rozmywanie twarzy z rozmywaniem tablic i dodatkowymi maskami w scenach wysokiego ryzyka [1][6][8].

Czy przed nagrywaniem należy zbierać zgody?

Zależy to od kontekstu i wybranej podstawy prawnej. Nawet jeśli wynik końcowy jest faktycznie zanonimizowany, samo nagrywanie i przetwarzanie materiału źródłowego nadal stanowi przetwarzanie danych osobowych i musi spełniać wymogi RODO/UK GDPR [1][4][6].

Czy przetwarzanie on‑premise zmienia obowiązki prawne?

Nie zmienia przepisów, ale może ograniczyć ujawnienia osobom trzecim i uprościć zarządzanie bezpieczeństwem oraz retencją danych. Obowiązki prawne nadal mają zastosowanie [1][2][4].

Jak postępować z metadanymi zdjęć i wideo?

Jeżeli to możliwe, usuń metadane EXIF i XMP przed publikacją, ponieważ mogą one zwiększać ryzyko identyfikacji (np. lokalizacja GPS, czas wykonania).

Jaka siła rozmycia jest uznawana za nieodwracalną?

Nie istnieje jedna, formalnie określona wartość. Zaleca się testowanie pod kątem ponownej identyfikacji przy uwzględnieniu typowych metod poprawy obrazu i kontekstu. Jeżeli identyfikacja nie jest możliwa, ustawienie zbliża się do anonimizacji [1][6].

Czy tablice rejestracyjne są danymi osobowymi?

Mogą nimi być, jeżeli na ich podstawie możliwa jest bezpośrednia lub pośrednia identyfikacja osoby. W praktyce rozmywanie tablic w nagraniach ulicznych jest rozsądnym środkiem ochronnym [1][5].

Kiedy zgoda lub anonimizacja nie są wymagane?

Nie ma ogólnych wyjątków automatycznie zwalniających z obowiązków RODO/UK GDPR. Wymogi zależą od kontekstu, roli osoby publicznej, incydentalnego charakteru ujęcia oraz obowiązujących umów i praw do wizerunku [1][4].

Pobierz darmowe demo
Mateusz Zimoch

Mateusz Zimoch

Lider i współzałożyciel Gallio PRO. Posiada rozległą wiedzę z zakresu informatyki, analityki danych, robotyki i sztucznej inteligencji. Absolwent dwóch kierunków studiów na Politechnice Wrocławskiej. Założył dwa startupy skupione na opracowywaniu rozwiązań Computer Vision opartych na sztucznej inteligencji i konstruowaniu pojazdów zdalnie sterowanych (ROV).

Bibliografia

  1. [1] Rozporządzenie (UE) 2016/679 (RODO).
  2. [2] UK GDPR - przepisy zachowane i nowelizacje.
  3. [3] Data Protection Act 2018 (UK).
  4. [4] ICO, Guide to the UK GDPR - Lawful basis for processing.
  5. [5] ICO, wytyczne dotyczące monitoringu wideo i CCTV.
  6. [6] Grupa Robocza art. 29, Opinia 05/2014 w sprawie technik anonimizacji.
  7. [7] EDPB, Wytyczne 05/2020 dotyczące zgody.
  8. [8] EDPB, Wytyczne 3/2019 dotyczące przetwarzania danych przez urządzenia wideo.