Czym jest czas przechowywania nagrań CCTV?

Czas przechowywania nagrań CCTV - definicja

Czas przechowywania nagrań CCTV to z góry określony okres retencji materiału wideo pochodzącego z monitoringu, liczony od momentu utrwalenia obrazu do chwili jego usunięcia, nadpisania albo trwałej anonimizacji. W praktyce compliance nie jest to parametr techniczny ustawiany dowolnie, lecz wynik analizy celu przetwarzania, podstawy prawnej, ryzyka dla praw i wolności osób oraz obowiązków wynikających z przepisów sektorowych. W kontekście RODO kluczowa jest zasada ograniczenia przechowywania z art. 5 ust. 1 lit. e rozporządzenia 2016/679, zgodnie z którą dane osobowe należy przechowywać w formie umożliwiającej identyfikację osoby nie dłużej, niż jest to niezbędne do celów przetwarzania.

W odniesieniu do monitoringu wizyjnego nagranie CCTV zwykle zawiera dane osobowe, ponieważ może umożliwiać identyfikację osoby po twarzy, sylwetce, zachowaniu, miejscu i czasie zdarzenia, a niekiedy także po tablicy rejestracyjnej pojazdu. Z tego powodu okres retencji powinien być krótki, uzasadniony i udokumentowany. Jeżeli materiał ma być wykorzystywany dalej, na przykład do przekazania policji, sądowi, ubezpieczycielowi albo do publikacji, należy odrębnie ocenić, czy przed takim użyciem konieczne jest zamazanie twarzy i tablic rejestracyjnych. W środowiskach, w których stosuje się narzędzia takie jak Gallio PRO, retencja nagrań dotyczy zarówno plików źródłowych, jak i plików po anonimizacji, kopii roboczych oraz eksportów przygotowanych do udostępnienia.

Podstawa prawna i stanowiska organów nadzorczych

Okres przechowywania nagrań z monitoringu nie jest w RODO wskazany w postaci jednej uniwersalnej liczby dni. Ustawodawca unijny przyjął model oparty na niezbędności i rozliczalności. Oznacza to, że administrator musi umieć wykazać, dlaczego przechowuje nagrania przez określony czas oraz kiedy i w jaki sposób są one usuwane albo anonimizowane.

Najczęściej przywoływane źródła w tym obszarze to przepisy RODO, wytyczne EROD dotyczące przetwarzania danych przez urządzenia wideo oraz krajowe regulacje sektorowe. W Polsce istotne jest też stanowisko UODO oraz przepisy szczególne dla szkół, pracodawców czy transportu publicznego.

Źródło

Zakres

Wniosek dla retencji

 

RODO, art. 5 ust. 1 lit. e, 2016/679

Zasada ograniczenia przechowywania

Brak sztywnego terminu, wymóg niezbędności i usuwania po osiągnięciu celu

EROD, Guidelines 3/2019 on processing of personal data through video devices, przyjęte 29 stycznia 2020 r.

Wytyczne dla monitoringu wizyjnego

Co do zasady okres retencji powinien być krótki, często kilka dni; dłuższy termin wymaga szczególnego uzasadnienia

UODO - materiały i stanowiska dotyczące monitoringu wizyjnego

Praktyka krajowa

Administrator powinien ograniczać retencję do minimum niezbędnego dla celu i usuwać nagrania niezwłocznie po upływie terminu

Kodeks pracy, art. 222 par. 3

Monitoring pracowników

Nagrania przechowuje się co do zasady do 3 miesięcy od dnia nagrania, chyba że stanowią dowód w postępowaniu

Prawo oświatowe, art. 108a ust. 4

Monitoring w szkołach i placówkach

Nagrania co do zasady do 3 miesięcy, z wyjątkiem sytuacji dowodowych

EROD wskazuje, że im dłuższy okres przechowywania, tym mocniejsze powinno być uzasadnienie. W praktyce organów nadzorczych za typowe uznaje się retencję od kilku dni do maksymalnie kilku tygodni dla standardowego monitoringu bezpieczeństwa. Okres 3 miesięcy w prawie pracy i oświacie nie jest ogólnym standardem dla każdego systemu CCTV, lecz limitem wynikającym z przepisów sektorowych.

Minimalny i maksymalny okres retencji nagrań CCTV

Nie istnieje jeden ustawowy minimalny okres przechowywania nagrań dla wszystkich administratorów. Minimalny okres powinien odpowiadać rzeczywistej potrzebie operacyjnej, na przykład czasowi potrzebnemu do wykrycia szkody, zgłoszenia incydentu lub zabezpieczenia materiału dowodowego. Jeżeli incydenty są wykrywane zwykle w ciągu 48-72 godzin, retencja 30 lub 90 dni może być nadmiarowa, jeśli administrator nie potrafi tego uzasadnić.

Z perspektywy UODO i EROD punkt wyjścia jest prosty - nagrań nie należy przechowywać dłużej, niż to konieczne. W praktyce można przyjąć następujący model oceny.

  • 1-3 dni - zakres często wystarczający dla prostego monitoringu wejść, recepcji, parkingów o niskiej liczbie incydentów.
  • 7-14 dni - częsty zakres organizacyjnie uzasadniony, jeżeli zgłoszenia incydentów pojawiają się z opóźnieniem.
  • 30 dni i więcej - wymaga konkretnego uzasadnienia opartego na analizie ryzyka, specyfice obiektu albo przepisie szczególnym.
  • Do 3 miesięcy - dopuszczalne tam, gdzie wynika to z przepisów sektorowych, na przykład z Kodeksu pracy lub Prawa oświatowego.

Jeżeli nagranie zostało zabezpieczone jako dowód, przestaje działać standardowy harmonogram nadpisywania. W takiej sytuacji należy odseparować materiał dowodowy od bieżącej puli nagrań, ograniczyć dostęp i określić nowy termin retencji zależny od postępowania. To powinno być opisane w procedurze.

Znaczenie retencji dla anonimizacji zdjęć i nagrań wideo

W systemach przetwarzania obrazu retencja nie dotyczy wyłącznie surowego pliku CCTV. Obejmuje również pliki po obróbce, eksporty dla podmiotów zewnętrznych oraz wersje przygotowane do publikacji. Jeżeli administrator chce wykorzystać fragment nagrania poza pierwotnym celem bezpieczeństwa, na przykład szkoleniowo, dowodowo lub informacyjnie, powinien ocenić, czy twarze i tablice rejestracyjne wymagają zamazania.

Automatyczne zamazywanie twarzy i tablic rejestracyjnych opiera się zwykle na modelach deep learning, które najpierw wykrywają obiekt na klatkach, a następnie nanoszą maskę anonimizującą. Taki model AI nie zmienia jednak sam przez się zasad retencji. Skraca jedynie ekspozycję danych identyfikujących w materiale wtórnie używanym. W Gallio PRO automatyczna anonimizacja dotyczy wyłącznie twarzy i tablic rejestracyjnych. Inne elementy, takie jak logotypy, tatuaże, identyfikatory czy dokumenty widoczne na ekranie, wymagają pracy manualnej w edytorze.

Kluczowe parametry i praktyka operacyjna

Dla IOD i administratora ważne są nie tylko dni retencji, ale także parametry, które da się skontrolować i wykazać podczas audytu. Okres przechowywania powinien być powiązany z konfiguracją systemu, pojemnością macierzy i procedurą usuwania.

Parametr

Znaczenie

Przykład kontroli

 

Retencja nominalna

Liczba dni ustawiona w systemie

7 dni, 14 dni, 90 dni

Retencja rzeczywista

Faktyczny czas dostępności nagrania

Weryfikacja, czy nadpisanie następuje zgodnie z harmonogramem

Czas zabezpieczenia dowodu

Okres przechowywania po wyłączeniu z nadpisywania

Do zakończenia postępowania lub upływu terminu wynikającego z przepisów

Czas anonimizacji wtórnej

Czas potrzebny na przygotowanie wersji do udostępnienia

SLA wewnętrzne, np. 24-72 godziny od wniosku

Ścieżka audytowa

Dowód, kto i kiedy zabezpieczył, skopiował lub usunął materiał

Rejestr czynności administracyjnych adekwatny do celu i zakresu przetwarzania

Wzór pomocniczy dla polityki retencji można opisać następująco: okres retencji = minimalny czas potrzebny do wykrycia incydentu + czas potrzebny do jego zgłoszenia i zabezpieczenia. Jeżeli wynik ten przekracza standard praktyki branżowej, administrator powinien posiadać udokumentowane uzasadnienie.

Wyzwania, rozbieżności i zgodność z RODO

Najczęstszy problem polega na kopiowaniu terminów z innych organizacji bez analizy celu. Drugim problemem jest przechowywanie eksportów poza centralnym harmonogramem retencji. Trzecim - brak rozróżnienia między materiałem źródłowym a materiałem zanonimizowanym. Zanonimizowana kopia może być przechowywana dłużej niż materiał źródłowy tylko wtedy, gdy rzeczywiście nie pozwala już na identyfikację osoby lub istnieje odrębna podstawa dalszego przetwarzania.

W obszarze tablic rejestracyjnych występuje rozbieżność interpretacyjna. W Polsce w orzecznictwie NSA pojawiało się stanowisko, że numer rejestracyjny nie zawsze stanowi daną osobową sam w sobie. Z drugiej strony praktyka UODO i wytyczne EROD wspierają podejście ostrożnościowe, zgodnie z którym tablica może identyfikować osobę pośrednio, zwłaszcza w zestawieniu z innymi danymi. Dla compliance bezpieczniejsze jest więc traktowanie tablic jako danych wymagających ochrony w materiale przeznaczonym do udostępnienia.