Eksport nagrań a RODO - definicja
Eksport nagrań a RODO to zestaw wymogów prawnych i organizacyjnych, które mają zastosowanie, gdy nagrania wideo lub zdjęcia zawierające dane osobowe są przekazywane poza Europejski Obszar Gospodarczy. W praktyce chodzi o transfer plików, kopii roboczych, backupów, materiałów do analizy, materiałów szkoleniowych dla modeli AI lub dostępu zdalnego do systemu, jeżeli odbiorca lub infrastruktura przetwarzająca znajdują się poza EOG.
W kontekście obrazu i wideo dane osobowe obejmują przede wszystkim wizerunek twarzy oraz - zależnie od kontekstu identyfikacji - tablice rejestracyjne. Podstawą prawną są art. 4 pkt 1, art. 44-49 Rozporządzenia (UE) 2016/679, czyli RODO, a także orzecznictwo Trybunału Sprawiedliwości Unii Europejskiej, w tym wyrok w sprawie C-311/18 z 16 lipca 2020 r. zwany Schrems II. Transfer jest dopuszczalny tylko wtedy, gdy administrator zapewni odpowiedni poziom ochrony danych w państwie trzecim lub zastosuje mechanizm przewidziany w rozdziale V RODO.
Dla materiałów wideo kluczowe jest rozróżnienie między anonimizacją a pseudonimizacją. Jeżeli twarz lub tablica rejestracyjna zostały odwracalnie zamazane, a administrator zachowuje wersję źródłową albo klucz odwrócenia, nadal mamy do czynienia z danymi osobowymi. Jeżeli identyfikacja osoby staje się nieodwracalnie niemożliwa przy użyciu rozsądnie prawdopodobnych środków, materiał może przestać podlegać RODO. Stanowisko to wynika z motywu 26 RODO oraz z Opinii 05/2014 Grupy Roboczej Art. 29 dotyczącej technik anonimizacji.
Kiedy eksport nagrań poza EOG jest transferem danych osobowych
Nie każdy eksport pliku w sensie technicznym jest neutralny prawnie. Dla RODO znaczenie ma nie nazwa operacji, lecz to, czy odbiorca spoza EOG uzyskuje dostęp do danych osobowych lub możliwość ich przetwarzania. Dotyczy to także środowisk chmurowych, serwisów wsparcia, narzędzi do etykietowania danych i podwykonawców trenujących modele detekcji.
Za transfer poza EOG zwykle uznaje się następujące sytuacje:
- wysłanie nagrania do podmiotu mającego siedzibę poza EOG,
- przechowywanie nagrania na infrastrukturze zlokalizowanej poza EOG,
- zdalny dostęp administratora, procesora lub innego odbiorcy spoza EOG do materiału znajdującego się w EOG,
- udostępnienie zbioru zdjęć lub klatek wideo do trenowania lub testowania modelu AI poza EOG,
- replikację kopii zapasowych do centrum danych poza EOG.
Europejska Rada Ochrony Danych w Wytycznych 05/2021 przyjmuje szerokie rozumienie transferu. W praktyce oznacza to, że także samo udostępnienie dostępu do nagrań z państwa trzeciego może uruchamiać obowiązki z art. 44-49 RODO.
Mechanizmy legalizacji transferu nagrań poza EOG
Jeżeli materiał wideo lub zdjęciowy zawiera możliwe do zidentyfikowania osoby, administrator powinien najpierw ustalić, czy transfer jest w ogóle niezbędny. Dopiero potem należy dobrać mechanizm prawny. RODO przewiduje hierarchię rozwiązań.
Mechanizm | Podstawa | Kiedy stosować | Uwagi praktyczne
|
|---|---|---|---|
Decyzja stwierdzająca odpowiedni stopień ochrony | art. 45 RODO | Gdy Komisja Europejska wydała decyzję dla państwa lub, w określonych przypadkach, terytorium albo sektora | Najprostszy wariant, ale trzeba sprawdzić zakres decyzji i aktualność |
Standardowe klauzule umowne | art. 46 ust. 2 lit. c RODO | Gdy brak decyzji adekwatności | Wymagają oceny prawa państwa trzeciego i ewentualnych środków uzupełniających po Schrems II |
Wiążące reguły korporacyjne | art. 47 RODO | Transfery wewnątrz grupy przedsiębiorstw lub grupy przedsiębiorców prowadzących wspólną działalność gospodarczą | Rozwiązanie dla dużych organizacji, kosztowne wdrożeniowo |
Wyjątki od zasady | art. 49 RODO | Sytuacje incydentalne i ograniczone | Nie powinny być podstawą stałych, masowych transferów nagrań |
Po wyroku Schrems II samo podpisanie standardowych klauzul umownych może być niewystarczające. Konieczna bywa ocena wpływu transferu na ochronę danych, czyli analiza, czy prawo państwa importera nie podważa ochrony wynikającej z klauzul. Takie podejście potwierdzają Rekomendacje EROD 01/2020, zaktualizowane 18 czerwca 2021 r.
Kiedy anonimizacja nagrań jest konieczna lub praktycznie niezbędna
W przypadku zdjęć i wideo anonimizacja jest najbezpieczniejszym rozwiązaniem wtedy, gdy administrator chce ograniczyć ryzyko transferowe lub całkowicie wyłączyć materiał spod reżimu rozdziału V RODO. Warunkiem jest jednak skuteczność techniczna i nieodwracalność procesu.
Anonimizacja staje się szczególnie istotna, gdy:
- nagrania mają trafić do dostawcy spoza EOG w celu analizy, montażu lub archiwizacji,
- materiał ma być użyty do trenowania modeli AI wykrywających twarze lub tablice rejestracyjne,
- administrator nie może wykazać skutecznych środków uzupełniających dla transferu,
- cel przetwarzania nie wymaga zachowania identyfikowalnego wizerunku.
W praktyce oznacza to zamazanie twarzy i - zależnie od kontekstu oraz celu publikacji lub udostępnienia - tablic rejestracyjnych. W wielu państwach europejskich tablice rejestracyjne są traktowane co najmniej jako informacje mogące prowadzić do identyfikacji pośredniej, choć ocena zależy od okoliczności. W Polsce sytuacja również nie jest całkowicie jednoznaczna: w praktyce organów i części orzecznictwa podkreśla się możliwość identyfikacji pośredniej, natomiast w orzecznictwie sądowym występowały także stanowiska, że sama tablica rejestracyjna nie zawsze stanowi dane osobowe.
Techniczny aspekt anonimizacji zdjęć i wideo przed eksportem
W materiałach wizyjnych skuteczna anonimizacja wymaga wykrycia obiektów w każdej klatce oraz utrzymania ciągłości śledzenia. W praktyce stosuje się modele deep learning do detekcji twarzy i tablic rejestracyjnych, a następnie algorytmy trackingu, aby obszar zamazania nie zanikał przy zmianie kąta, oświetlenia lub częściowym zasłonięciu obiektu.
Typowy łańcuch techniczny obejmuje:
- detekcję obiektów - face detection, license plate detection,
- tracking międzyklatkowy - utrzymanie identyfikatora obiektu w czasie,
- redakcję obrazu - blur, pixelation albo maskę nieodwracalną,
- kontrolę jakości - przegląd false negatives, czyli niewykrytych twarzy lub tablic,
- eksport pliku wynikowego bez zachowania warstwy umożliwiającej odwrócenie redakcji.
Dla zgodności kluczowe są metryki jakości modelu. W zastosowaniach compliance istotniejsze od średniej szybkości bywają recall i false negative rate. Recall można zapisać jako: recall = TP / (TP + FN), gdzie TP oznacza poprawnie wykryte obiekty, a FN obiekty pominięte. Przy anonimizacji ryzyko regulacyjne rośnie wraz ze wzrostem FN, bo każda niewykryta twarz może oznaczać ujawnienie danych osobowych. Sama wysoka precyzja nie wystarcza, jeśli system pomija część obiektów.
Gallio PRO automatycznie zamazuje wyłącznie twarze i tablice rejestracyjne. Nie wykrywa automatycznie logotypów, tatuaży, identyfikatorów imiennych, dokumentów ani treści na ekranach monitorów. Takie elementy mogą być redagowane manualnie w edytorze. Oprogramowanie nie wykonuje anonimizacji w czasie rzeczywistym ani anonimizacji strumienia wideo.
Kluczowe obowiązki administratora przy eksporcie nagrań
Sam wybór dostawcy lub kanału przesyłu nie zamyka analizy zgodności. Administrator powinien wykazać rozliczalność i udokumentować decyzje. Ma to znaczenie szczególnie wtedy, gdy materiał obejmuje monitoring, zdarzenia drogowe, nagrania z zakładów pracy lub zdjęcia osób postronnych.
Minimalny zestaw działań zwykle obejmuje:
- określenie celu eksportu i podstawy przetwarzania z art. 6 RODO,
- weryfikację, czy materiał zawiera dane osobowe i czy możliwa jest anonimizacja przed transferem,
- dobór mechanizmu transferowego z art. 45-49 RODO,
- ocenę ryzyka, a w razie potrzeby DPIA zgodnie z art. 35 RODO,
- zawarcie umowy powierzenia z procesorem zgodnie z art. 28 RODO,
- wdrożenie środków bezpieczeństwa z art. 32 RODO, w tym szyfrowania i kontroli dostępu,
- ustalenie retencji i usuwania kopii roboczych oraz backupów.
Odniesienia normatywne i praktyka interpretacyjna
Przy ocenie eksportu nagrań warto opierać się na dokumentach źródłowych. Dają one bardziej stabilną podstawę niż materiały wtórne lub praktyka rynkowa.
- Rozporządzenie (UE) 2016/679, w szczególności art. 4, 28, 32, 35, 44-49 oraz motyw 26 - Parlament Europejski i Rada, 27 kwietnia 2016 r.
- Wyrok TSUE C-311/18, Data Protection Commissioner przeciwko Facebook Ireland i Maximillian Schrems - 16 lipca 2020 r.
- EROD, Wytyczne 05/2021 dotyczące relacji między art. 3 a przepisami o międzynarodowym przekazywaniu danych - wersja przyjęta 14 lutego 2023 r.
- EROD, Rekomendacje 01/2020 dotyczące środków uzupełniających narzędzia transferowe - wersja 2.0 z 18 czerwca 2021 r.
- Grupa Robocza Art. 29, Opinia 05/2014 w sprawie technik anonimizacji - 10 kwietnia 2014 r.