Zadaj pytanie

Czym jest suwerenność danych?

Spis treści

Suwerenność danych - definicja

Suwerenność danych to zdolność organizacji do sprawowania faktycznej i prawnej kontroli nad danymi oraz nad warunkami ich przetwarzania w określonej jurysdykcji. Obejmuje decydowanie o lokalizacji przetwarzania i przechowywania, o transferach transgranicznych, o podmiotach przetwarzających oraz o środkach technicznych i organizacyjnych. W kontekście anonimizacji obrazu i wideo suwerenność danych dotyczy zarówno materiałów źródłowych (nagrania, zdjęcia), jak i plików pochodnych (wersje zanonimizowane) oraz metadanych procesu.

Podstawa prawna w Unii Europejskiej wynika z RODO, w szczególności z zasad ograniczenia celu, minimalizacji, integralności i poufności oraz z przepisów o transferach poza EOG. Istotne są także wytyczne EROD dotyczące transferów i orzecznictwo TSUE, które wymuszają kontrolę nad przepływami danych do państw trzecich. Suwerenność danych łączy aspekty prawne, techniczne i operacyjne, tak aby przetwarzanie było zgodne, możliwe do audytu i odporne na sprzeczne żądania dostępu do danych z zagranicy.

Rola suwerenności danych w anonimizacji obrazu i wideo

  • Zgodność z RODO - wybór lokalizacji przetwarzania i narzędzi tak, aby nie następował nieuprawniony transfer danych osobowych utrwalonych na nagraniach przed ich zanonimizowaniem. Podstawą są art. 5, 25 i rozdział V RODO.
  • Redukcja ryzyka prawnego - po wyroku TSUE w sprawie C-311/18 organizacje muszą ocenić możliwość dostępu służb państw trzecich do danych. Przetwarzanie on-premise w EOG i ograniczenie zewnętrznych zależności sieciowych może uprościć ocenę.
  • Ciągłość dowodowa - materiały wideo często stanowią dowód. Suwerenność danych wymusza kontrolę łańcucha dowodowego, niezmienności i rozliczalności całego procesu anonimizacji.
  • Ograniczenie ekspozycji - ograniczenie logów i telemetryki, które mogłyby zdradzać obecność twarzy lub tablic rejestracyjnych, wspiera zasadę minimalizacji.
  • Różnice krajowe - status tablic rejestracyjnych jako danych osobowych bywa interpretowany odmiennie. EROD wskazuje, że identyfikacja może być pośrednia, co sprzyja maskowaniu tablic w upublicznianych materiałach. W praktyce warto przyjmować podejście ostrożnościowe.

Technologie wspierające suwerenność danych

  • Przetwarzanie on-premise - instalacja oprogramowania w infrastrukturze własnej lub w chmurze prywatnej w EOG, z kontrolą nad sieciami i aktualizacjami.
  • Edge computing i tryb offline - anonimizacja na stacjach roboczych lub serwerach brzegowych bez stałych połączeń z Internetem.
  • Konteneryzacja i polityki lokalizacji - orkiestracja z regułami restricted egress i wyraźnym pinningiem zasobów do regionów EOG.
  • Szyfrowanie - dane w spoczynku szyfrowane algorytmem AES zgodnie z FIPS 197, a transmisje zabezpieczone TLS 1.3 zgodnie z RFC 8446. Zarządzanie kluczami w HSM znajdujących się w EOG.
  • Kontrola transferów - rejestry ocen transferowych (TIA), standardowe klauzule umowne oraz środki uzupełniające rekomendowane przez EROD.
  • Rozliczalność - niezmienne logi audytowe procesu (hash plików, sygnatury czasowe), przy jednoczesnym braku logów ujawniających cechy biometryczne lub detekcje obiektów.
  • Inżynieria prywatności - privacy by design według ISO/IEC 27701, pseudonimizacja i minimalizacja zakresu przetwarzania danych niezbędnych do detekcji twarzy i tablic.

Kluczowe parametry i metryki - suwerenność danych

Atrybut

Jak mierzyć/weryfikować

Odniesienie

 

Lokalizacja przetwarzania

Udział zadań przetworzonych on-premise w EOG; rejestr przepływów danych

RODO rozdz. V; EROD 01/2020

Kontrola transferów

Kompletność TIA, zastosowane SCC, środki uzupełniające

EROD 01/2020

Zarządzanie kluczami

Lokalizacja HSM, własność kluczy, rotacja i separacja ról

ISO/IEC 27002:2022 - kryptografia

Rozliczalność procesu

Niezmienne logi: identyfikator zadania, hash wejścia/wyjścia, sygnatura czasu

ISO/IEC 27002:2022 - logging i monitoring

Minimalizacja danych

Brak utrwalania detekcji twarzy/tablic w logach; polityki retencji

RODO art. 5 ust. 1 lit. c i e

Integralność i poufność

Stosowane protokoły i algorytmy, test integralności plików

RFC 8446; FIPS 197; ISO/IEC 27001:2022

Skuteczność anonimizacji

Ocena ryzyka reidentyfikacji, w tym błędów detekcji twarzy i tablic

EROD 3/2019 - wideo

Wyzwania i ograniczenia

  • Kolizje jurysdykcyjne - ryzyko dostępu do danych na podstawie przepisów państw trzecich. Wymaga to oceny transferowej i środków technicznych utrudniających dostęp do danych w postaci niezaszyfrowanej.
  • Różne interpretacje prawne - organy i sądy odmiennie podchodzą do statusu tablic rejestracyjnych. EROD akcentuje identyfikowalność pośrednią, co podnosi standard ochrony przy publikacji nagrań z przestrzeni publicznej.
  • Zależności od dostawców - niektóre rozwiązania chmurowe mogą wprowadzać niejawne transfery lub zewnętrzną telemetrykę. Należy eliminować komponenty wysyłające metadane poza kontrolowaną infrastrukturę.
  • Balans między rozliczalnością a minimalizacją - logi muszą zapewniać audyt i łańcuch dowodowy, nie mogą jednak utrwalać danych umożliwiających identyfikację osób.

Przykłady zastosowań - anonimizacja obrazu i wideo

  • Jednostka miejska przetwarza nagrania z monitoringu na serwerach on-premise w EOG, wykonuje anonimizację twarzy i tablic rejestracyjnych, a wersje źródłowe przechowuje w wydzielonej strefie o krótkiej retencji. Brak usług zewnętrznych i brak telemetryki o detekcjach wzmacnia suwerenność danych.
  • Firma produkcyjna udostępnia partnerom zanonimizowane nagrania z hal. Cały pipeline działa w sieci odseparowanej, a klucze szyfrowania są w HSM w kraju. Transfery zagraniczne obejmują wyłącznie pliki po anonimizacji.
  • Podmiot badawczy tworzy zanonimizowane zbiory zdjęć do publikacji. Przed przetwarzaniem przeprowadza DPIA i TIA, a pipeline blokuje ruch wychodzący. Zastosowano TLS 1.3 i AES, a audyt pokrywa każdy etap detekcji i maskowania.
  • Rozwiązania klasy Gallio PRO działające on-premise: automatycznie maskują twarze i tablice rejestracyjne, nie maskują całych sylwetek, nie realizują anonimizacji strumienia na żywo, oraz mogą umożliwić manualne maskowanie innych obiektów w edytorze. Brak logów z informacjami o detekcjach ogranicza ekspozycję danych.

Odniesienia normatywne i źródła

  1. RODO - Rozporządzenie (UE) 2016/679 z 27.04.2016, w szczególności art. 5, art. 25 oraz rozdział V. Dz. Urz. UE L 119/1.
  2. EROD, Recommendations 01/2020 on measures that supplement transfer tools, Version 2.0, 18.06.2021.
  3. TSUE, Wyrok z 16.07.2020, C-311/18, Data Protection Commissioner v Facebook Ireland i Maximillian Schrems (Schrems II).
  4. EROD, Guidelines 3/2019 on processing of personal data through video devices, Version 2.0, 29.01.2020.
  5. ISO/IEC 27001:2022 - Information security, cybersecurity and privacy protection - ISMS.
  6. ISO/IEC 27002:2022 - Information security, cybersecurity and privacy protection - Controls (logging, monitoring, kryptografia).
  7. ISO/IEC 27701:2019 - Extension to ISO/IEC 27001 and 27002 for privacy information management.
  8. ISO/IEC 27018:2019 - Protection of PII in public clouds acting as PII processors.
  9. FIPS 197 - Advanced Encryption Standard (AES), NIST, 2001.
  10. RFC 8446 - The Transport Layer Security (TLS) Protocol Version 1.3, IETF, 2018.
  11. Regulation (EU) 2023/2854 - Data Act, 13.12.2023, m.in. zabezpieczenia przed nieuprawnionym dostępem transgranicznym do danych przechowywanych w UE.

Zobacz także

Powrót do słownika