Monitoring wizyjny a systemy kontroli dostępu z kamerami IP: jak połączyć i zachować zgodność z RODO

Visual data anonymization w środowisku CCTV i kontroli dostępu oznacza takie przygotowanie zdjęć oraz nagrań wideo, aby przed ich udostępnieniem ograniczyć możliwość identyfikacji osób i pojazdów widocznych w materiale. W praktyce najczęściej obejmuje to face blurring oraz license plate blurring. W integracjach wejściowych ma to szczególne znaczenie, ponieważ kamera IP bardzo często działa razem z czytnikiem kart, bramką, rejestratorem wejść albo systemem zarządzania budynkiem. Wtedy pojedynczy kadr z wejścia przestaje być wyłącznie obrazem i staje się częścią szerszego procesu przetwarzania danych osobowych.

To właśnie ten use case bywa niedostatecznie opisany. Sam monitoring wizyjny jest dobrze znany. Sam access control także. Problem zaczyna się w chwili, gdy organizacja łączy obraz z informacją o zdarzeniu wejścia, numerze przejścia, czasie użycia karty albo uprawnieniu do strefy. W takim modelu trzeba oddzielić trzy kwestie: kto jest administratorem, kiedy pojawia się ryzyko przetwarzania biometrycznego oraz jak anonimizować materiał przed przekazaniem go ochronie, audytorowi albo zewnętrznemu podmiotowi.

Kto jest administratorem danych przy integracji CCTV z access control?

W typowym modelu administratorem danych jest podmiot, który decyduje o celu i sposobach działania całego rozwiązania, czyli najczęściej właściciel obiektu, pracodawca, operator infrastruktury albo jednostka publiczna. Jeżeli ten sam podmiot decyduje zarówno o kamerach IP, jak i o kontroli dostępu, zwykle pozostaje jednym administratorem dla obu strumieni danych. Podstawą jest ogólna definicja administratora z art. 4 pkt 7 RODO [1].

Inaczej wygląda sytuacja, gdy kilka podmiotów wspólnie ustala cele i środki integracji. Przykład to właściciel centrum biurowego i najemca, którzy razem określają zasady korelowania obrazu z wejściami do określonych stref. Wtedy może pojawić się model współadministrowania z art. 26 RODO [1]. Jeżeli natomiast firma ochroniarska albo dostawca systemu utrzymuje rozwiązanie wyłącznie na polecenie klienta, częściej występuje rola podmiotu przetwarzającego, a nie administratora.

Dla praktyki compliance kluczowe jest to, aby nie utożsamiać administratora z samym dostawcą kamer, VMS albo integratora. Samo dostarczenie technologii nie przesądza o tej roli. Decyduje realny wpływ na cel i sposób przetwarzania. W dokumentacji warto więc osobno opisać: kto zarządza retencją nagrań, kto decyduje o korelacji obrazu z logami wejść, kto zatwierdza eksport materiału i kto określa zasady jego anonimizacji.

Dlaczego połączenie obrazu z rejestrem wejść zwiększa ryzyko?

Nagranie z samego korytarza może być oceniane jako standardowy materiał CCTV. Jednak obraz z kamery ustawionej na punkt wejścia, zsynchronizowany z czytnikiem kart, daje znacznie większą możliwość identyfikacji i profilowania zachowań. Organizacja może wtedy ustalić, kto próbował wejść, kiedy, do jakiej strefy i czy doszło do odmowy dostępu. To już nie jest zwykły podgląd ruchu przy wejściu, lecz element procesu kontroli dostępu.

Z perspektywy RODO oznacza to zwykle potrzebę precyzyjniejszego określenia celu, retencji i zakresu dostępu do materiału. EDPB w wytycznych dotyczących przetwarzania danych przez urządzenia wideo podkreśla znaczenie zasady minimalizacji, ograniczenia celu i ograniczonego dostępu do obrazu [2]. Dotyczy to zwłaszcza kamer obejmujących wejścia, recepcje, śluzy i bramki.

W tym miejscu przydaje się Gallio PRO jako oprogramowanie on-premise do anonimizacji zdjęć i nagrań przed eksportem poza system źródłowy. To istotne zwłaszcza tam, gdzie materiał z wejść ma trafić do ochrony, działu audytu albo do podmiotu zewnętrznego. Z punktu widzenia bezpieczeństwa dodatkowym atutem jest to, że oprogramowanie nie zapisuje logów zawierających dane detekcji ani danych osobowych.

Kiedy nagranie z wejścia staje się przetwarzaniem biometrycznym?

Nie każde nagranie twarzy jest danymi biometrycznymi w rozumieniu RODO. Zgodnie z art. 4 pkt 14 RODO danymi biometrycznymi są dane osobowe wynikające ze specjalnego przetwarzania technicznego, dotyczące cech fizycznych, fizjologicznych lub behawioralnych osoby, które umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby, na przykład wizerunek twarzy albo dane daktyloskopijne [1].

To rozróżnienie jest bardzo ważne. Jeżeli kamera tylko rejestruje wejście, a obraz służy do późniejszej weryfikacji incydentu, zwykle nie ma jeszcze przetwarzania szczególnej kategorii danych. Jeżeli jednak system używa funkcji rozpoznawania twarzy do automatycznego potwierdzania tożsamości i otwierania przejścia, ryzyko wejścia w obszar danych biometrycznych rośnie bardzo wyraźnie. Wtedy zastosowanie mają nie tylko ogólne zasady z art. 5 RODO, ale również reżim z art. 9 RODO dotyczący szczególnych kategorii danych [1].

W praktyce biznesowej bezpieczne jest przyjęcie prostego testu. Jeżeli twarz jest tylko widoczna na nagraniu, to nie zawsze oznacza biometrię. Jeżeli twarz jest poddawana specjalnemu przetwarzaniu technicznemu w celu jednoznacznego potwierdzenia tożsamości przy wejściu, organizacje często traktują to jako przetwarzanie biometryczne. Ocena końcowa pozostaje jednak zależna od architektury rozwiązania i konkretnego celu przetwarzania.

Jak anonimizować materiał z wejść przed udostępnieniem ochronie lub audytorowi?

Najczęstszy błąd polega na przekazywaniu surowego eksportu z kamery wejściowej razem z pełnym kontekstem osób postronnych. Tymczasem do audytu incydentu zwykle nie trzeba pokazywać wszystkich twarzy z recepcji albo parkingu. W wielu przypadkach wystarczy zachować obraz zdarzenia, a ograniczyć identyfikację osób niezwiązanych z incydentem.

Praktyczny model wygląda następująco.

• Krok 1 - eksportowany jest wyłącznie fragment nagrania potrzebny do wyjaśnienia zdarzenia.
• Krok 2 - wykonywane jest face blurring wobec osób, których identyfikacja nie jest konieczna.
• Krok 3 - wykonywane jest license plate blurring, jeżeli kadr obejmuje parking, szlaban albo drogę dojazdową.
• Krok 4 - dopiero tak przygotowany materiał jest przekazywany odbiorcy zewnętrznemu lub wewnętrznemu o ograniczonych uprawnieniach.

W takim workflow trzeba jasno podkreślić zakres automatyzacji. Gallio PRO automatycznie zamazuje wyłącznie twarze i tablice rejestracyjne. Nie wykrywa automatycznie logotypów firm, tatuaży, tabliczek z imionami, dokumentów ani obrazu na ekranach monitorów. Takie elementy można zamazać manualnie we wbudowanym edytorze, który jest nieskomplikowany w obsłudze. Oprogramowanie nie zamazuje całych sylwetek, nie wykonuje anonimizacji w czasie rzeczywistym i nie prowadzi anonimizacji strumienia wideo.

Dla zespołów technicznych i facility managerów to rozróżnienie ma znaczenie operacyjne. Automatyczna detekcja obejmuje wyłącznie twarze i tablice rejestracyjne, a nie dane z kart dostępu ani identyfikatory z czytników. Jeżeli więc materiał zawiera ekran recepcji z listą wejść albo widoczną kartę pracowniczą, potrzebna jest dodatkowa redakcja manualna.

Po opisaniu takiego przepływu warto przetestować bezpłatnie narzędzie na rzeczywistym fragmencie eksportu z VMS lub NVR i sprawdzić, jaki poziom redakcji jest potrzebny przed udostępnieniem materiału.

Twarze i tablice rejestracyjne - co zwykle wymaga zamazania

Obowiązek anonimizacji twarzy nie wynika automatycznie z każdego przypadku przetwarzania wizerunku, ale przy udostępnianiu nagrań osobom trzecim często przemawiają za tym zasady RODO, a w kontekście publikacji także przepisy Kodeksu cywilnego oraz Prawa autorskiego. W prawie autorskim przewidziano wyjątki od wymogu zgody na rozpowszechnianie wizerunku, w szczególności gdy:

• chodzi o osobę powszechnie znaną i wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych,
• wizerunek stanowi jedynie szczegół całości takiej jak zgromadzenie, krajobraz czy publiczna impreza,
• osoba otrzymała umówioną zapłatę za pozowanie, chyba że wyraźnie zastrzeżono inaczej [4].

W środowisku wejść do budynku wyjątki te stosują się raczej rzadko, dlatego biznesową praktyką jest ostrożne podejście do publikacji i udostępniania materiałów z rozpoznawalnymi twarzami.

W przypadku tablic rejestracyjnych sytuacja jest bardziej złożona. Nie ma ogólnej unijnej zasady, zgodnie z którą w państwach Europy Zachodniej zamazywanie tablic rejestracyjnych jest co do zasady obowiązkowe. Ocena zależy od kontekstu, celu przetwarzania i tego, czy tablica w danej sytuacji pozwala zidentyfikować osobę fizyczną. W Polsce kwestia również nie jest całkowicie jednoznaczna, ale w praktyce ochrony danych tablice rejestracyjne są często traktowane co najmniej jako dane, które mogą prowadzić do identyfikacji osoby. Dlatego przy materiałach z parkingów, bram i szlabanów ostrożnościowe license plate blurring pozostaje bezpiecznym rozwiązaniem organizacyjnym.

Tabela: typowe decyzje przy udostępnianiu nagrań z punktów wejścia

On-premise software i integracja z infrastrukturą budynkową

W środowisku enterprise znaczenie ma nie tylko samo zamazanie obrazu, ale także sposób wdrożenia. On-premises software ogranicza ryzyko niekontrolowanego transferu nagrań poza organizację i ułatwia utrzymanie materiału w strefie zarządzanej przez administratora. Jest to szczególnie istotne tam, gdzie nagrania pochodzą z przejść kadrowych, laboratoriów, serwerowni, stref wysokiego bezpieczeństwa albo infrastruktury krytycznej.

Przy wdrożeniach wymagających integracji z istniejącym VMS, repozytorium incydentów lub niestandardowym obiegiem eksportów warto zapytać o wdrożenie i ustalić model pracy on-premises lub przez API. Z perspektywy RODO szczególnie korzystne jest to, że narzędzie nie zbiera logów zawierających detekcję twarzy i tablic rejestracyjnych oraz nie zapisuje logów zawierających dane osobowe i dane szczególnych kategorii.

Jak opisać zgodny proces w polityce i procedurach?

Dobra procedura nie powinna opisywać anonimizacji w sposób ogólnikowy. W organizacji zwykle warto wskazać: cel integracji CCTV z access control, role administratora i podmiotu przetwarzającego, listę uprawnionych odbiorców eksportów, standardowy czas retencji, przesłanki eksportu oraz technikę redakcji obrazu przed udostępnieniem. Należy też wyraźnie rozdzielić system źródłowy od narzędzia do przygotowania kopii materiału na potrzeby audytu, bezpieczeństwa lub postępowania wyjaśniającego.

Praktyka zgodności często obejmuje także rejestr przypadków, w których materiał został udostępniony po zamazaniu twarzy i tablic. Nie chodzi o zapisywanie danych detekcji, lecz o wykazanie, że organizacja stosuje zasadę minimalizacji i udostępnia tylko tyle obrazu, ile jest faktycznie potrzebne do konkretnego celu [1][2].

FAQ - monitoring wizyjny i systemy kontroli dostępu z kamerami IP

Czy każda kamera przy wejściu oznacza przetwarzanie biometryczne?

Nie. Samo nagrywanie twarzy przy wejściu nie musi oznaczać biometrii. Ryzyko rośnie wtedy, gdy system stosuje specjalne przetwarzanie techniczne w celu jednoznacznego potwierdzenia tożsamości, na przykład przez rozpoznawanie twarzy przy otwieraniu przejścia [1].

Kto jest administratorem danych w zintegrowanym systemie CCTV i kontroli dostępu?

Zwykle ten podmiot, który decyduje o celu i sposobach działania całego rozwiązania, najczęściej właściciel obiektu, pracodawca lub operator infrastruktury. Dostawca technologii albo firma ochroniarska nie staje się automatycznie administratorem tylko dlatego, że obsługuje system [1].

Czy przed przekazaniem nagrania ochronie zawsze trzeba zamazać twarze?

To zależy od celu i zakresu udostępnienia, ale częstą praktyką zgodności jest zamazanie twarzy osób postronnych, jeżeli ich identyfikacja nie jest konieczna do wyjaśnienia incydentu. Pozwala to lepiej realizować zasadę minimalizacji [1][2].

Czy Gallio PRO anonimizuje obraz z kamer na żywo?

Nie. Oprogramowanie nie wykonuje anonimizacji w czasie rzeczywistym ani anonimizacji strumienia wideo. Służy do przygotowania zdjęć i nagrań przed ich dalszym udostępnieniem.

Co narzędzie wykrywa automatycznie?

Automatyczna detekcja obejmuje wyłącznie twarze i tablice rejestracyjne. Nie obejmuje danych z kart dostępu ani identyfikatorów z czytników. Logotypy, tatuaże, tabliczki z imionami, dokumenty i obrazy na ekranach monitorów wymagają działania manualnego w edytorze.

Czy tablice rejestracyjne zawsze trzeba zamazywać?

Nie zawsze. Ocena zależy od kontekstu, celu przetwarzania oraz sposobu udostępnienia materiału. W Polsce i w innych państwach UE praktyka nie jest całkowicie jednolita, dlatego ostrożnościowe license plate blurring bywa najbezpieczniejszym rozwiązaniem organizacyjnym, zwłaszcza przy publikacji lub szerokim udostępnianiu materiału.

Czy brak logów detekcji ma znaczenie dla bezpieczeństwa integracji?

Tak. Z perspektywy architektury bezpieczeństwa to korzystna cecha, ponieważ ogranicza powstawanie dodatkowych zasobów zawierających informacje o wykrytych twarzach i tablicach rejestracyjnych. Gallio PRO nie zapisuje takich logów oraz nie zbiera logów zawierających dane osobowe i dane szczególnych kategorii.