Czym jest CCTV footage redaction?

CCTV footage redaction - definicja

CCTV footage redaction to proces technicznego ukrywania danych osobowych widocznych na nagraniach z monitoringu wizyjnego przed ich udostępnieniem, eksportem, analizą lub archiwizacją wtórną. W praktyce dotyczy to przede wszystkim twarzy oraz tablic rejestracyjnych, ponieważ właśnie te elementy często umożliwiają identyfikację osoby fizycznej bezpośrednio albo pośrednio. W kontekście ochrony danych nie chodzi o retusz estetyczny, lecz o ograniczenie identyfikowalności w materiale wideo lub na klatkach obrazu.

Z perspektywy RODO nagranie CCTV zawierające rozpoznawalny wizerunek osoby może stanowić dane osobowe, jeżeli osoba jest możliwa do zidentyfikowania. Wynika to z art. 4 pkt 1 rozporządzenia (UE) 2016/679 oraz z orzecznictwa TSUE, w tym ze sprawy C-212/13 Ryneš, gdzie monitoring wizyjny został uznany za przetwarzanie danych osobowych. Samo redagowanie materiału nie jest odrębnym wyjątkiem od obowiązków administratora, lecz środkiem technicznym wspierającym zasady minimalizacji danych, ograniczenia celu oraz integralności i poufności, o których mowa w art. 5 RODO.

W praktyce CCTV footage redaction oznacza najczęściej rozmycie, pikselizację, maskowanie lub trwałe zasłonięcie wybranych obszarów kadru na wszystkich klatkach, w których dany obiekt występuje. Jeżeli redakcja ma ograniczyć ryzyko identyfikacji, musi być wykonana konsekwentnie w czasie, także przy zmianie pozycji obiektu, skali, kąta i oświetlenia.

Rola CCTV footage redaction w zgodności z RODO

Redakcja nagrań CCTV jest istotna wtedy, gdy administrator udostępnia materiał osobie trzeciej, podmiotowi przetwarzającemu, ubezpieczycielowi, pełnomocnikowi strony albo organowi, który nie potrzebuje pełnego zakresu danych. W takim przypadku zakres ujawnianych informacji powinien być adekwatny do celu. To praktyczne zastosowanie zasady minimalizacji danych.

W odniesieniu do twarzy obowiązek ostrożnego udostępniania wynika nie tylko z RODO, ale także z przepisów o ochronie dóbr osobistych i z zasad rozpowszechniania wizerunku. Co do zasady wizerunek osoby powinien zostać zamazany przed przekazaniem nagrania podmiotowi, który nie musi znać tożsamości wszystkich osób widocznych w kadrze. Wyjątki są ograniczone i dotyczą przede wszystkim osoby powszechnie znanej w związku z pełnieniem funkcji publicznych, wizerunku jako szczegółu większej całości oraz sytuacji, w której osoba otrzymała umówione wynagrodzenie za pozowanie.

W odniesieniu do tablic rejestracyjnych sytuacja w Polsce nie jest całkowicie jednolita. Wytyczne organów ochrony danych i praktyka europejska skłaniają się ku traktowaniu numerów rejestracyjnych jako informacji mogącej prowadzić do identyfikacji. Z drugiej strony w polskim orzecznictwie występuje pogląd, że tablica rejestracyjna sama w sobie nie zawsze stanowi dane osobowe. Administrator powinien więc oceniać kontekst, cel udostępnienia i ryzyko identyfikacji, a przy przekazywaniu materiału poza własną organizację stosować podejście ostrożnościowe.

Jak technicznie działa redakcja nagrań CCTV

Skuteczna redakcja materiału wideo wymaga połączenia detekcji obiektu, śledzenia między klatkami oraz trwałego nałożenia maski na materiał wynikowy. W nowoczesnych systemach wykrywanie twarzy i tablic jest zwykle realizowane przez modele deep learning. Sieć neuronowa jest najpierw trenowana na odpowiednio oznaczonych zbiorach danych, a następnie wykorzystywana do inferencji, czyli automatycznego wskazania obszarów do zamazania w konkretnym nagraniu.

Dla materiałów CCTV kluczowe jest to, że sam detektor nie wystarcza. Potrzebne są także mechanizmy śledzenia obiektu między klatkami, bo twarz lub tablica może być częściowo zasłonięta, obrócona, rozmazana ruchem albo widoczna tylko przez ułamek sekundy. Błąd na pojedynczej klatce może spowodować ujawnienie danych.

• Detekcja - lokalizacja twarzy lub tablicy na klatce.
• Tracking - utrzymanie identyfikacji obiektu w kolejnych klatkach.
• Redaction rendering - zastosowanie maski, blur, pixelation lub blackout.
• Eksport - zapis pliku wynikowego bez możliwości łatwego odtworzenia ukrytych danych.

Gallio PRO automatycznie zamazuje twarze i tablice rejestracyjne w materiałach wideo oraz na zdjęciach. Nie wykonuje anonimizacji w czasie rzeczywistym ani anonimizacji strumienia wideo. Nie zamazuje automatycznie całych sylwetek, logotypów, tatuaży, tabliczek z imionami, dokumentów ani obrazu na ekranach monitorów. Takie elementy mogą być ukrywane manualnie przy użyciu wbudowanego edytora.

Kluczowe parametry i metryki CCTV footage redaction

Ocena jakości redakcji nie powinna ograniczać się do stwierdzenia, że materiał został zamazany. Potrzebne są mierzalne parametry, które pozwalają ocenić ryzyko pominięć oraz użyteczność procesu operacyjnego.

Przy ocenie ryzyka warto rozróżnić false negative i false positive. Z punktu widzenia compliance groźniejszy jest false negative, czyli przypadek niewykrycia twarzy lub tablicy. False positive obniża jakość użytkową materiału, ale zwykle nie prowadzi do naruszenia poufności.

Wyzwania i ograniczenia CCTV footage redaction

Nagrania z monitoringu często mają niższą jakość niż materiał studyjny. Dochodzi kompresja, słabe oświetlenie, refleksy, zasłonięcia i nietypowe kąty. To bezpośrednio wpływa na jakość detekcji oraz na stabilność śledzenia obiektów. Dlatego automatyczna redakcja powinna być wsparta kontrolą człowieka, szczególnie przed udostępnieniem materiału na zewnątrz organizacji.

Ważne jest także odróżnienie anonimizacji od pseudonimizacji. Jeżeli dane można przywrócić albo zachodzi realna możliwość ponownej identyfikacji na podstawie kontekstu sceny, ubioru, czasu i miejsca, mówimy raczej o ograniczeniu ekspozycji danych niż o pełnej anonimizacji. Europejskie wytyczne podkreślają, że ocena musi uwzględniać wszystkie racjonalnie prawdopodobne sposoby identyfikacji.

Praktyczne zastosowania CCTV footage redaction

Najczęstszy scenariusz użycia to przygotowanie kopii nagrania dla osoby zgłaszającej incydent albo realizującej swoje prawa jako osoba, której dane dotyczą. Administrator powinien wtedy przekazać tylko ten zakres obrazu, który jest niezbędny. Jeżeli na nagraniu występują osoby postronne lub pojazdy niezwiązane ze sprawą, ich twarze i tablice powinny zostać zamazane.

Drugim typowym przypadkiem jest przekazanie materiału kancelarii, audytorowi, ubezpieczycielowi albo kontrahentowi. Redakcja ogranicza w takim wypadku nadmiarowe ujawnienie danych i wspiera zasadę need-to-know. W wielu organizacjach jest to standardowy element procedury bezpieczeństwa informacji.

Odniesienia normatywne i źródła

Znaczenie CCTV footage redaction należy oceniać na podstawie przepisów i wytycznych, a nie wyłącznie praktyki technicznej. Najważniejsze źródła to akty prawa unijnego, orzecznictwo i stanowiska organów nadzorczych.

• Rozporządzenie (UE) 2016/679 Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. - art. 4, 5, 25, 32.
• TSUE, C-212/13, František Ryneš przeciwko Úřad pro ochranu osobních údajů, wyrok z 11 grudnia 2014 r.
• EROD, Guidelines 3/2019 on processing of personal data through video devices, wersja przyjęta po konsultacjach 29 stycznia 2020 r.
• Grupa Robocza Art. 29, Opinion 05/2014 on Anonymisation Techniques, 10 kwietnia 2014 r.
• Stanowiska UODO dotyczące udostępniania nagrań monitoringu.
• Polskie orzecznictwo administracyjne dotyczące charakteru tablic rejestracyjnych jako danych osobowych - z zaznaczeniem występujących rozbieżności interpretacyjnych.

W praktyce administrator powinien dokumentować podstawę udostępnienia, zakres redakcji, osobę zatwierdzającą materiał oraz fakt, czy system przechowuje logi zawierające dane osobowe wynikające z detekcji twarzy i tablic. Taki model ogranicza ryzyko wtórnego przetwarzania danych podczas samego procesu anonimizacji.