Dane biometryczne w materiale wideo to szczególna kategoria danych osobowych, jeżeli są przetwarzane specjalnymi metodami technicznymi w celu jednoznacznej identyfikacji osoby fizycznej. Takie rozumienie wynika z art. 4 pkt 14 oraz art. 9 ust. 1 rozporządzenia (UE) 2016/679, czyli RODO. W praktyce oznacza to, że samo nagranie twarzy nie zawsze jest jeszcze danymi biometrycznymi, ale może się nimi stać, gdy obraz twarzy jest analizowany algorytmicznie po to, aby rozpoznać lub potwierdzić tożsamość konkretnej osoby.
Dane biometryczne - RODO art. 9 (wideo) - definicja
RODO definiuje dane biometryczne jako dane osobowe wynikające ze specjalnego przetwarzania technicznego, dotyczące cech fizycznych, fizjologicznych lub behawioralnych osoby fizycznej, które umożliwiają lub potwierdzają jednoznaczną identyfikację tej osoby. W przypadku wideo chodzi najczęściej o obraz twarzy, geometrię twarzy, charakterystyczne punkty anatomiczne, wzorzec chodu lub inne cechy możliwe do wyodrębnienia z nagrania.
Kluczowe są tu dwa warunki. Po pierwsze, musi istnieć przetwarzanie techniczne wykraczające poza zwykłe zapisanie lub odtworzenie obrazu. Po drugie, celem przetwarzania musi być jednoznaczna identyfikacja osoby. Z tego powodu klasyczne nagranie z kamery monitoringu nie zawsze będzie obejmowało dane biometryczne. Jeżeli jednak system wyodrębnia wektor cech twarzy, porównuje go z bazą wzorców albo umożliwia wyszukanie konkretnej osoby po twarzy, wówczas wchodzimy w obszar art. 9 RODO.
Europejska Rada Ochrony Danych wskazywała, że sam obraz twarzy nie jest automatycznie danymi szczególnej kategorii. O kwalifikacji decyduje kontekst i cel przetwarzania. To rozróżnienie ma duże znaczenie dla anonimizacji zdjęć i nagrań. System użyty wyłącznie do wykrycia twarzy w celu jej zamazania nie musi prowadzić do identyfikacji osoby. System użyty do rozpoznawania twarzy już tak.
Zakaz przetwarzania danych biometrycznych w wideo
Art. 9 ust. 1 RODO wprowadza zasadę zakazu przetwarzania szczególnych kategorii danych osobowych, w tym danych biometrycznych służących do jednoznacznego zidentyfikowania osoby fizycznej. Dla administratora materiałów wideo oznacza to, że rozpoznawanie twarzy, dopasowywanie twarzy do bazy lub inne przetwarzanie biometryczne prowadzące do jednoznacznej identyfikacji wymaga szczególnej podstawy prawnej. Nie wystarcza samo ogólne powołanie się na bezpieczeństwo czy wygodę operacyjną.
W praktyce należy odróżnić trzy sytuacje:
- zwykłe utrwalanie obrazu - nie zawsze oznacza przetwarzanie danych biometrycznych,
- detekcja twarzy do anonimizacji - co do zasady służy lokalizacji obiektu na obrazie, a nie identyfikacji osoby,
- rozpoznawanie twarzy - co do zasady podpada pod art. 9 RODO, jeżeli prowadzi do jednoznacznej identyfikacji.
To rozróżnienie jest szczególnie ważne przy ocenie narzędzi do anonimizacji. Model deep learning może być niezbędny do automatycznego wykrywania twarzy lub tablic rejestracyjnych na zdjęciach i nagraniach, ale samo użycie sieci neuronowej nie oznacza jeszcze przetwarzania danych biometrycznych w rozumieniu art. 9. Znaczenie ma cel systemu i sposób wykorzystania wyniku analizy.
Wyjątki od zakazu - kiedy przetwarzanie może być dopuszczalne
Zakaz z art. 9 ust. 1 RODO nie ma charakteru absolutnego. Art. 9 ust. 2 przewiduje zamknięty katalog wyjątków. W kontekście nagrań wideo najczęściej analizuje się kilka podstaw, ale każda z nich wymaga ścisłej interpretacji oraz udokumentowania.
Wyjątek z art. 9 ust. 2 RODO | Znaczenie praktyczne dla wideo | Uwagi compliance
|
|---|---|---|
Wyraźna zgoda osoby | Może legalizować rozpoznawanie twarzy | Musi być dobrowolna, konkretna, świadoma i możliwa do wycofania |
Istotny interes publiczny na podstawie prawa UE lub krajowego | Możliwe w sektorach regulowanych | Wymaga konkretnej podstawy ustawowej i zabezpieczeń |
Ustalenie, dochodzenie lub obrona roszczeń | Może mieć znaczenie incydentalne przy materiale dowodowym | Nie uzasadnia stałego wdrożenia systemu rozpoznawania twarzy |
Ważny interes publiczny przewidziany w prawie | Możliwy tylko przy wyraźnym umocowaniu prawnym | Nie może wynikać wyłącznie z decyzji administratora |
W zwykłych procesach publikacji nagrań, materiałów szkoleniowych, dokumentacji zdarzeń czy udostępniania wideo stronom trzecim najbezpieczniejszym rozwiązaniem jest unikanie przetwarzania biometrycznego i wcześniejsza anonimizacja twarzy.
Znaczenie dla anonimizacji zdjęć i nagrań wideo
W obszarze ochrony prywatności celem anonimizacji jest ograniczenie lub wyeliminowanie możliwości identyfikacji osoby widocznej na materiale. W praktyce najczęściej stosuje się rozmywanie albo zamazywanie twarzy oraz tablic rejestracyjnych. Taki proces zmniejsza ryzyko naruszenia RODO przy dalszym użyciu nagrania, na przykład przy publikacji, przekazaniu kontrahentowi, wykorzystaniu szkoleniowym lub archiwizacji roboczej.
Technicznie automatyczne zamazywanie twarzy opiera się zwykle na modelach uczenia maszynowego, najczęściej deep learning. Model najpierw uczy się wykrywać obszary odpowiadające twarzy na podstawie zbioru treningowego, a następnie lokalizuje twarz w kadrze i przekazuje współrzędne do modułu maskowania. Jest to proces detekcji obiektu, a niekoniecznie identyfikacji osoby. Z perspektywy compliance to istotna różnica.
W środowisku Gallio PRO automatyzacja dotyczy twarzy i tablic rejestracyjnych. Oprogramowanie nie wykonuje anonimizacji w czasie rzeczywistym i nie służy do anonimizacji strumienia wideo. Nie zamazuje całych sylwetek. Nie wykrywa automatycznie logotypów, tatuaży, tabliczek z imionami, dokumentów ani obrazu na ekranach monitorów. Takie elementy mogą być zamazywane ręcznie w edytorze. To ważne przy analizie ryzyka, bo administrator powinien ocenić, czy poza twarzami i tablicami na materiale nie występują inne identyfikatory.
Obowiązki administratora danych przy przetwarzaniu wideo
Jeżeli materiał wideo może prowadzić do identyfikacji osób, administrator musi wdrożyć zasady z art. 5 i art. 25 RODO. W praktyce oznacza to podejście privacy by design oraz privacy by default. Przy przetwarzaniu potencjalnie biometrycznym obowiązki są dalej idące.
- ustalenie celu przetwarzania i podstawy prawnej przed uruchomieniem procesu,
- ocena, czy analiza twarzy służy wyłącznie detekcji do anonimizacji, czy także identyfikacji,
- minimalizacja zakresu danych i czasu przechowywania nagrań,
- wdrożenie środków technicznych i organizacyjnych adekwatnych do ryzyka,
- przeprowadzenie DPIA, gdy przetwarzanie może powodować wysokie ryzyko dla praw i wolności osób,
- uregulowanie dostępu do niezanonimizowanych materiałów,
- zapewnienie rozliczalności, w tym dokumentacji decyzji i konfiguracji procesu anonimizacji.
W przypadku narzędzi on-premise dodatkową zaletą jest możliwość utrzymania plików w infrastrukturze własnej organizacji. Ogranicza to ekspozycję danych na transfer do usług zewnętrznych. Sam model wdrożenia nie zwalnia jednak z obowiązków wynikających z RODO.
Kluczowe parametry i metryki w procesie anonimizacji wideo
Skuteczność anonimizacji nie powinna być oceniana wyłącznie opisowo. W praktyce warto mierzyć jakość detekcji i ryzyko pozostawienia identyfikowalnych kadrów. Parametry trzeba dokumentować dla konkretnego typu materiału, na przykład CCTV, body cam, nagrań mobilnych lub zdjęć prasowych.
Parametr | Znaczenie | Znaczenie compliance
|
|---|---|---|
Recall detekcji | Odsetek rzeczywistych twarzy wykrytych przez system | Niski recall zwiększa ryzyko pozostawienia niezanonimizowanych twarzy |
Precision detekcji | Odsetek poprawnych wykryć wśród wszystkich wykryć | Niska precision obniża jakość materiału, ale zwykle mniej wpływa na prywatność niż niski recall |
False Negative Rate | Odsetek pominiętych twarzy | Kluczowy wskaźnik ryzyka ujawnienia danych osobowych |
IoU - Intersection over Union | Dokładność położenia ramki detekcji względem obiektu | Zbyt niskie IoU może pozostawić fragmenty twarzy poza maską |
Czas przetwarzania na plik | Wydajność procesu wsadowego | Wpływa na planowanie operacyjne, nie przesądza o zgodności prawnej |
Jeżeli organizacja korzysta z automatycznej anonimizacji, warto przyjąć procedurę kontroli jakości po przetworzeniu. W praktyce oznacza to próbkę manualną, reguły eskalacji i dodatkowe maskowanie elementów niewykrytych automatycznie.
Odniesienia normatywne i interpretacyjne
Przy ocenie danych biometrycznych w wideo należy opierać się przede wszystkim na aktach prawnych i wytycznych organów europejskich. Najważniejsze punkty odniesienia są następujące:
- Rozporządzenie (UE) 2016/679 - art. 4 pkt 14, art. 9, art. 25, art. 35,
- EROD - Guidelines 3/2019 on processing of personal data through video devices, wersja przyjęta po konsultacjach w 2020 r.,
- orzecznictwo TSUE dotyczące szerokiego rozumienia danych osobowych i identyfikowalności,
- krajowe wytyczne organów nadzorczych, w tym UODO, w zakresie publikacji wizerunku i minimalizacji danych.
Na poziomie praktycznym trzeba też pamiętać, że obowiązek anonimizacji twarzy przy publikacji lub udostępnianiu materiałów może wynikać nie tylko z RODO, ale również z przepisów o ochronie dóbr osobistych i wizerunku. Wyjątki dotyczą zwykle osoby powszechnie znanej, wizerunku jako szczegółu całości takiej jak zgromadzenie, krajobraz lub publiczna impreza oraz sytuacji, gdy osoba otrzymała umówioną zapłatę za pozowanie. Każdy z tych przypadków wymaga jednak odrębnej oceny prawnej.