Monitoring bankowy a regulacje - definicja
Monitoring bankowy a regulacje to zbiór wymagań prawnych, organizacyjnych i technicznych dotyczących rejestrowania obrazu w placówkach bankowych, oddziałach, strefach samoobsługowych, skarbcach, bankomatach oraz innych obszarach infrastruktury instytucji finansowych. W praktyce chodzi o to, aby system CCTV realizował cele bezpieczeństwa, przeciwdziałania incydentom i ochrony mienia, a jednocześnie pozostawał zgodny z przepisami o ochronie danych osobowych, zasadą minimalizacji oraz wymogami bezpieczeństwa informacji.
W kontekście anonimizacji zdjęć i nagrań wideo pojęcie to obejmuje przede wszystkim zasady przetwarzania wizerunku osób i numerów rejestracyjnych pojazdów utrwalonych przez kamery. Dla banku oznacza to konieczność rozdzielenia dwóch etapów pracy z materiałem: pierwotnego nagrania służącego bezpieczeństwu oraz wtórnego udostępniania, eksportu, analizy lub publikacji materiału, które może wymagać wcześniejszego zamazania twarzy i tablic rejestracyjnych. Podstawą prawną są w szczególności RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r., wytyczne Europejskiej Rady Ochrony Danych dotyczące przetwarzania danych przez urządzenia wideo 3/2019, a na poziomie krajowym także stanowiska i decyzje UODO oraz sektorowe oczekiwania nadzorcze KNF dotyczące systemów bezpieczeństwa i zarządzania ryzykiem w instytucjach finansowych.
Znaczenie regulacji dla monitoringu wizyjnego w banku
W banku monitoring nie jest narzędziem dowolnym. Jego stosowanie musi być osadzone w celu, podstawie prawnej i ocenie ryzyka. Materiał wideo bardzo często zawiera dane osobowe, ponieważ umożliwia identyfikację osoby bezpośrednio albo pośrednio. Dotyczy to twarzy, sylwetki w kontekście zdarzenia, oznaczeń czasu i miejsca, a niekiedy także numerów rejestracyjnych pojazdów.
Dla Inspektora Ochrony Danych i zespołów bezpieczeństwa najważniejsze są następujące obszary:
- legalność przetwarzania - zwykle art. 6 ust. 1 lit. f RODO, a w niektórych przypadkach także lit. c, zależnie od roli i obowiązków administratora,
- ograniczenie celu - nagrania nie mogą być wtórnie używane w sposób niezgodny z pierwotnym celem bezpieczeństwa,
- minimalizacja danych - zakres kamer, kąt widzenia i retencja powinny być ograniczone do niezbędnego minimum,
- integralność i poufność - dostęp do nagrań musi być kontrolowany, rejestrowany i chroniony,
- udostępnianie materiału - eksport dla podmiotów trzecich powinien uwzględniać anonimizację lub pseudonimizację, jeżeli pełna identyfikacja nie jest konieczna.
Monitoring bankowy a anonimizacja zdjęć i nagrań wideo
W praktyce bankowej anonimizacja nie oznacza usuwania całego materiału, lecz takie przekształcenie kopii roboczej lub eksportowej, aby osoby postronne nie mogły zostać zidentyfikowane. Najczęściej dotyczy to twarzy klientów, przechodniów, pracowników niezwiązanych z incydentem oraz tablic rejestracyjnych pojazdów widocznych na nagraniach z parkingów, wjazdów i stref bankomatowych.
Automatyczne zamazywanie twarzy i tablic rejestracyjnych opiera się zwykle na modelach deep learning. Model detekcyjny jest wcześniej trenowany na dużych zbiorach obrazów oznaczonych adnotacjami, a następnie wykorzystywany do wykrywania obiektów na klatkach wideo lub zdjęciach. Dopiero po poprawnej detekcji system nakłada maskę rozmycia lub zasłonięcia. Jest to istotne rozróżnienie: uczenie modelu AI jest etapem przygotowawczym, a produkcyjne zamazywanie materiału jest etapem inferencji. W środowiskach o podwyższonych wymaganiach bezpieczeństwa preferowane jest przetwarzanie on-premise, bez przekazywania plików do chmury publicznej.
W przypadku Gallio PRO zakres automatycznej anonimizacji obejmuje wyłącznie twarze i tablice rejestracyjne. Oprogramowanie nie wykonuje anonimizacji w czasie rzeczywistym ani anonimizacji strumienia wideo. Nie wykrywa też automatycznie logotypów, tatuaży, tabliczek z imionami, dokumentów ani obrazu na ekranach monitorów. Takie elementy mogą być zamazywane manualnie w edytorze.
Podstawy prawne i stanowiska nadzorcze
W instytucjach finansowych zgodność monitoringu z prawem należy oceniać łącznie, a nie na podstawie jednego aktu. RODO wyznacza zasady ogólne, natomiast praktykę interpretacyjną doprecyzowują wytyczne EROD, stanowiska UODO i wymagania sektorowe.
Źródło | Zakres | Znaczenie dla anonimizacji wideo
|
|---|---|---|
RODO, UE 2016/679, 2016 | Zasady przetwarzania danych, bezpieczeństwo, privacy by design | Wymaga ograniczenia dostępu, minimalizacji i adekwatnych zabezpieczeń przy eksporcie nagrań |
Wytyczne EROD 3/2019, wersja ostateczna 2020 | Przetwarzanie danych przez urządzenia wideo | Potwierdzają, że monitoring podlega RODO i wymaga oceny proporcjonalności |
Stanowiska i decyzje UODO | Praktyka krajowa dotycząca wizerunku i numerów rejestracyjnych | Wspierają ostrożnościowe podejście do tablic rejestracyjnych jako danych osobowych w określonym kontekście |
Oczekiwania nadzorcze KNF | Bezpieczeństwo, zarządzanie ryzykiem, ciągłość działania | Wzmacniają potrzebę kontroli dostępu, segmentacji systemów i rozliczalności operacji na nagraniach |
W zakresie tablic rejestracyjnych istnieje rozbieżność interpretacyjna. Z jednej strony wytyczne organów ochrony danych i orzecznictwo unijne skłaniają się do traktowania numerów rejestracyjnych jako danych osobowych, gdy mogą prowadzić do identyfikacji. Z drugiej strony w Polsce w części orzecznictwa sądów administracyjnych przyjęto, że sama tablica rejestracyjna nie zawsze stanowi daną osobową. Dla banku bezpieczniejsze jest podejście ostrożnościowe i anonimizowanie tablic w materiałach udostępnianych poza wąski krąg uprawnionych odbiorców.
Kluczowe parametry techniczne i metryki zgodności
Sama zgodność formalna nie wystarcza. W środowisku bankowym liczy się skuteczność anonimizacji i możliwość wykazania, że proces działa stabilnie. Dlatego warto mierzyć jakość detekcji oraz bezpieczeństwo procesu przetwarzania.
Parametr | Opis | Znaczenie operacyjne
|
|---|---|---|
Recall detekcji | Odsetek prawidłowo wykrytych twarzy lub tablic | Niski recall zwiększa ryzyko pozostawienia identyfikowalnych danych |
Precision detekcji | Odsetek trafnych wykryć wśród wszystkich wykryć | Niska precision zwiększa liczbę błędnych masek i koszt ręcznej korekty |
Latency przetwarzania pliku | Czas anonimizacji materiału | Wpływa na SLA obsługi wniosków i incydentów |
Współczynnik interwencji manualnej | Odsetek klatek wymagających korekty operatora | Pozwala ocenić dojrzałość modelu i pracochłonność procesu |
Retencja nagrań | Czas przechowywania materiału | Powinien być uzasadniony celem i polityką bezpieczeństwa |
W praktyce bank powinien dokumentować co najmniej: konfigurację kamer, role użytkowników, czas retencji, ścieżkę akceptacji eksportu, sposób anonimizacji oraz wynik testów jakościowych modeli AI. Jeżeli jakość detekcji spada dla nagrań nocnych, kamer szerokokątnych lub materiału o niskim bitrate, taki fakt powinien być uwzględniony w procedurach.
Integracja z systemami bezpieczeństwa i model wdrożenia
Monitoring bankowy działa zwykle jako element większego ekosystemu bezpieczeństwa. Integruje się z systemami kontroli dostępu, alarmami, systemami zarządzania incydentami, repozytoriami dowodowymi oraz narzędziami do obsługi zgłoszeń organów ścigania. W takim układzie kluczowe jest rozróżnienie środowiska źródłowego od środowiska roboczego do anonimizacji.
Model on-premise jest często preferowany, ponieważ ogranicza transfer danych poza organizację i ułatwia spełnienie wymagań wewnętrznych dotyczących bezpieczeństwa. Dodatkową korzyścią jest większa kontrola nad uprawnieniami, segmentacją sieci, kopiami zapasowymi i audytem dostępu. Istotne jest także, że Gallio PRO nie zapisuje w logach danych pochodzących z detekcji twarzy i tablic rejestracyjnych ani innych danych osobowych, o ile system został poprawnie skonfigurowany.
Praktyczny use case - eksport nagrania z incydentu w oddziale banku
Najczęstszy scenariusz dotyczy incydentu bezpieczeństwa, reklamacji lub wniosku o udostępnienie materiału. Bank posiada pełne nagranie źródłowe, ale nie zawsze może przekazać je dalej w niezmienionej postaci.
- Operator identyfikuje zakres czasowy i kamery związane ze zdarzeniem.
- Tworzona jest kopia robocza do analizy i eksportu.
- Materiał jest poddawany automatycznej anonimizacji twarzy i tablic rejestracyjnych.
- Operator wykonuje kontrolę jakości i ręcznie zamazuje elementy niewykryte automatycznie, jeśli to konieczne.
- Eksport trafia do uprawnionego odbiorcy zgodnie z procedurą i podstawą prawną.
Taki model pozwala zachować wartość dowodową materiału źródłowego przy jednoczesnym ograniczeniu ryzyka nadmiarowego ujawnienia danych osób trzecich.