Data minimisation - wideo - definicja
Data minimisation - wideo to stosowanie zasady minimalizacji danych do nagrań wizyjnych i zdjęć zawierających osoby, pojazdy lub inne elementy umożliwiające identyfikację. W prawie ochrony danych zasada ta wynika z art. 5 ust. 1 lit. c RODO, zgodnie z którym dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów przetwarzania. W kontekście monitoringu wizyjnego i przetwarzania materiałów audiowizualnych oznacza to, że administrator powinien ograniczyć zarówno zakres rejestracji, jak i zakres dalszego udostępniania, eksportu, analizy oraz retencji materiału.
W praktyce nie chodzi wyłącznie o krótszy czas przechowywania nagrań. Minimalizacja obejmuje cały cykl życia danych wideo: pole widzenia kamery, rozdzielczość, liczbę kamer, częstotliwość zapisu, zakres dźwięku, dobór klatek udostępnianych osobom trzecim oraz techniki anonimizacji. Jeżeli cel można osiągnąć bez identyfikacji wszystkich osób widocznych na nagraniu, materiał powinien zostać ograniczony do fragmentu niezbędnego lub poddany anonimizacji, w szczególności przez zamazanie twarzy i tablic rejestracyjnych. Taki kierunek wynika z RODO, wytycznych Europejskiej Rady Ochrony Danych dotyczących przetwarzania danych przez urządzenia wideo z 2020 r. oraz praktyki organów nadzorczych.
Jak działa zasada minimalizacji danych w monitoringu wizyjnym
W monitoringu wizyjnym minimalizacja danych oznacza ograniczanie danych na etapie projektowania systemu oraz na etapie korzystania z nagrań. To podejście jest spójne z art. 25 RODO, czyli z zasadą privacy by design i privacy by default. Administrator powinien ocenić, jakie informacje są rzeczywiście potrzebne do celu, na przykład ochrony mienia, wyjaśnienia incydentu lub realizacji obowiązku prawnego.
W praktyce minimalizacja dotyczy kilku warstw jednocześnie:
- zakresu sceny - kamera nie powinna obejmować większego obszaru niż to konieczne, w szczególności przestrzeni publicznej lub posesji osób trzecich bez uzasadnienia,
- zakresu identyfikacji - jeżeli do celu nie jest potrzebna identyfikacja wszystkich osób, należy ograniczyć widoczność cech identyfikacyjnych,
- zakresu czasowego - nagrania powinny być przechowywane tylko przez okres potrzebny do realizacji celu,
- zakresu udostępnienia - osobie uprawnionej należy przekazać tylko niezbędny wycinek materiału, a nie całe archiwum.
W przypadku wniosków o zabezpieczenie lub wydanie nagrania szczególne znaczenie ma zasada, że materiał powinien być przygotowany w wersji zminimalizowanej. Jeżeli na nagraniu widoczne są osoby postronne albo pojazdy niezwiązane ze sprawą, ich twarze i tablice rejestracyjne powinny zostać zamazane, o ile identyfikacja tych podmiotów nie jest konieczna.
Kiedy anonimizacja nagrań wideo jest obowiązkowa
Anonimizacja nie jest obowiązkowa w każdym przypadku przetwarzania materiału wideo, ale staje się konieczna wtedy, gdy dalsze wykorzystanie nagrania wykracza poza pierwotny, niezbędny zakres albo gdy materiał ma zostać udostępniony podmiotowi, który nie potrzebuje pełnej identyfikacji wszystkich osób widocznych w kadrze. Dotyczy to na przykład publikacji materiałów, przekazywania nagrań osobom trzecim, wykorzystania materiału do celów szkoleniowych lub prezentacyjnych oraz realizacji praw osób, których dane dotyczą, jeżeli nagranie obejmuje także inne osoby.
W odniesieniu do twarzy obowiązek ochrony wynika co do zasady z RODO, ale także z przepisów o dobrach osobistych oraz z przepisów o rozpowszechnianiu wizerunku. W praktyce przyjmuje się trzy główne wyjątki, gdy zgoda na rozpowszechnianie wizerunku może nie być wymagana:
- gdy chodzi o osobę powszechnie znaną i wizerunek utrwalono w związku z pełnieniem funkcji publicznych,
- gdy osoba stanowi jedynie szczegół większej całości, takiej jak zgromadzenie, krajobraz lub publiczna impreza,
- gdy chodzi o osobę, która otrzymała umówioną zapłatę za pozowanie, chyba że wyraźnie zastrzegła inaczej.
W przypadku tablic rejestracyjnych sytuacja w Polsce nie jest całkowicie jednolita. Z jednej strony wytyczne UODO, stanowiska EROD oraz orzecznictwo TSUE wskazują, że numer rejestracyjny może prowadzić do identyfikacji osoby i powinien być traktowany ostrożnie. Z drugiej strony w orzecznictwie sądów administracyjnych pojawia się pogląd, że sama tablica rejestracyjna nie zawsze stanowi daną osobową. W praktyce zamazywanie tablic przy publikacji lub udostępnianiu materiału jest rozwiązaniem ostrożnościowym, zgodnym z podejściem wielu organów nadzorczych.
Technologie stosowane do minimalizacji danych wideo
W materiałach zdjęciowych i wideo minimalizacja danych jest realizowana przez selekcję, kadrowanie, skracanie oraz anonimizację. W zastosowaniach operacyjnych najczęściej wykorzystuje się algorytmy detekcji twarzy i tablic rejestracyjnych, a następnie filtry maskujące. Jeżeli proces ma być zautomatyzowany na dużą skalę, zwykle wykorzystuje się modele uczenia maszynowego, często oparte na deep learning. Model taki jest najpierw trenowany na zbiorach oznaczonych danych, a następnie wykorzystywany do wykrywania obiektów w nowych nagraniach.
Warto odróżnić etapy techniczne:
- detekcja - wykrycie położenia twarzy lub tablicy rejestracyjnej w obrazie,
- śledzenie - utrzymanie identyfikacji obiektu między kolejnymi klatkami,
- maskowanie - zastosowanie rozmycia, pikselizacji lub innej maski,
- weryfikacja - kontrola, czy obiekt nie pozostał widoczny po eksporcie materiału.
Gallio PRO automatycznie zamazuje wyłącznie twarze i tablice rejestracyjne. Oprogramowanie nie wykrywa automatycznie logotypów, tatuaży, identyfikatorów, dokumentów ani treści na ekranach monitorów. Takie elementy można zamazać ręcznie w edytorze. Istotne jest też to, że Gallio PRO nie wykonuje anonimizacji w czasie rzeczywistym ani anonimizacji strumienia wideo. Jest to przetwarzanie plików po nagraniu, w modelu on-premise. Oprogramowanie może jednak generować logi techniczne, zależnie od konfiguracji środowiska i sposobu wdrożenia.
Kluczowe parametry i metryki dla data minimisation - wideo
Ocena, czy proces minimalizacji działa prawidłowo, wymaga mierzalnych parametrów. W systemach anonimizacji materiałów wideo liczy się nie tylko skuteczność wykrycia, ale również liczba pominiętych obiektów i wpływ na użyteczność dowodową nagrania.
Parametr | Znaczenie praktyczne | Typowa interpretacja
|
|---|---|---|
Recall detekcji | Odsetek rzeczywistych twarzy lub tablic wykrytych przez system | Niski recall zwiększa ryzyko ujawnienia danych |
Precision detekcji | Odsetek poprawnych detekcji wśród wszystkich wskazań modelu | Niska precision zwiększa liczbę błędnych masek |
False negative rate | Odsetek niewykrytych obiektów | Kluczowy wskaźnik ryzyka zgodności |
Czas przetwarzania | Czas potrzebny na analizę i eksport materiału | Wpływa na wydajność operacyjną |
Retencja nagrań | Okres przechowywania materiału | Powinien być powiązany z celem i polityką retencji |
Przy ocenie ryzyka można stosować prostą relację operacyjną:
Ryzyko ujawnienia = liczba niewykrytych obiektów / liczba wszystkich obiektów identyfikujących
W środowisku zgodności najważniejszy jest niski poziom false negatives, ponieważ pojedyncza niewykryta twarz lub tablica może oznaczać nieuprawnione ujawnienie danych osobowych.
Praktyczne zastosowania minimalizacji danych wideo
Zasada minimalizacji ma znaczenie przede wszystkim tam, gdzie nagranie opuszcza środowisko pierwotnego monitoringu albo jest analizowane przez osoby, które nie potrzebują pełnego obrazu zdarzenia. W tych sytuacjach anonimizacja staje się narzędziem ograniczenia zakresu danych bez utraty celu przetwarzania.
- realizacja wniosków o dostęp do nagrania - przekazuje się wyłącznie fragment dotyczący osoby wnioskującej, z zamazaniem osób trzecich,
- przekazanie materiału pełnomocnikom, ubezpieczycielom lub podwykonawcom - tylko w zakresie niezbędnym do sprawy,
- materiały szkoleniowe i audytowe - po anonimizacji twarzy i tablic,
- publikacja zdjęć lub wideo z przestrzeni półpublicznej - po wcześniejszym ograniczeniu identyfikatorów.
Odniesienia normatywne i interpretacyjne
Podstawą prawną dla data minimisation - wideo są przede wszystkim akty i wytyczne dotyczące ochrony danych oraz prywatności przy monitoringu. W przypadku rozbieżności należy oceniać cel przetwarzania, możliwość identyfikacji oraz lokalną praktykę organu nadzorczego.
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. - art. 5 ust. 1 lit. c oraz art. 25,
- Wytyczne 3/2019 EROD dotyczące przetwarzania danych osobowych przez urządzenia wideo, wersja przyjęta 29 stycznia 2020 r.,
- orzecznictwo TSUE dotyczące szerokiego rozumienia danych umożliwiających identyfikację pośrednią,
- krajowe stanowiska organów nadzorczych, w tym UODO, dotyczące publikacji nagrań i ochrony wizerunku oraz tablic rejestracyjnych.