Czym jest monitoring bankowy a regulacje?

Monitoring bankowy a regulacje - definicja

Monitoring bankowy a regulacje to zbiór wymagań prawnych, organizacyjnych i technicznych dotyczących rejestrowania obrazu w placówkach bankowych, oddziałach, strefach samoobsługowych, skarbcach, bankomatach oraz innych obszarach infrastruktury instytucji finansowych. W praktyce chodzi o to, aby system CCTV realizował cele bezpieczeństwa, przeciwdziałania incydentom i ochrony mienia, a jednocześnie pozostawał zgodny z przepisami o ochronie danych osobowych, zasadą minimalizacji oraz wymogami bezpieczeństwa informacji.

W kontekście anonimizacji zdjęć i nagrań wideo pojęcie to obejmuje przede wszystkim zasady przetwarzania wizerunku osób i numerów rejestracyjnych pojazdów utrwalonych przez kamery. Dla banku oznacza to konieczność rozdzielenia dwóch etapów pracy z materiałem: pierwotnego nagrania służącego bezpieczeństwu oraz wtórnego udostępniania, eksportu, analizy lub publikacji materiału, które może wymagać wcześniejszego zamazania twarzy i tablic rejestracyjnych. Podstawą prawną są w szczególności RODO - rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r., wytyczne Europejskiej Rady Ochrony Danych dotyczące przetwarzania danych przez urządzenia wideo 3/2019, a na poziomie krajowym także stanowiska i decyzje UODO oraz sektorowe oczekiwania nadzorcze KNF dotyczące systemów bezpieczeństwa i zarządzania ryzykiem w instytucjach finansowych.

Znaczenie regulacji dla monitoringu wizyjnego w banku

W banku monitoring nie jest narzędziem dowolnym. Jego stosowanie musi być osadzone w celu, podstawie prawnej i ocenie ryzyka. Materiał wideo bardzo często zawiera dane osobowe, ponieważ umożliwia identyfikację osoby bezpośrednio albo pośrednio. Dotyczy to twarzy, sylwetki w kontekście zdarzenia, oznaczeń czasu i miejsca, a niekiedy także numerów rejestracyjnych pojazdów.

Dla Inspektora Ochrony Danych i zespołów bezpieczeństwa najważniejsze są następujące obszary:

  • legalność przetwarzania - zwykle art. 6 ust. 1 lit. f RODO, a w niektórych przypadkach także lit. c, zależnie od roli i obowiązków administratora,
  • ograniczenie celu - nagrania nie mogą być wtórnie używane w sposób niezgodny z pierwotnym celem bezpieczeństwa,
  • minimalizacja danych - zakres kamer, kąt widzenia i retencja powinny być ograniczone do niezbędnego minimum,
  • integralność i poufność - dostęp do nagrań musi być kontrolowany, rejestrowany i chroniony,
  • udostępnianie materiału - eksport dla podmiotów trzecich powinien uwzględniać anonimizację lub pseudonimizację, jeżeli pełna identyfikacja nie jest konieczna.

Monitoring bankowy a anonimizacja zdjęć i nagrań wideo

W praktyce bankowej anonimizacja nie oznacza usuwania całego materiału, lecz takie przekształcenie kopii roboczej lub eksportowej, aby osoby postronne nie mogły zostać zidentyfikowane. Najczęściej dotyczy to twarzy klientów, przechodniów, pracowników niezwiązanych z incydentem oraz tablic rejestracyjnych pojazdów widocznych na nagraniach z parkingów, wjazdów i stref bankomatowych.

Automatyczne zamazywanie twarzy i tablic rejestracyjnych opiera się zwykle na modelach deep learning. Model detekcyjny jest wcześniej trenowany na dużych zbiorach obrazów oznaczonych adnotacjami, a następnie wykorzystywany do wykrywania obiektów na klatkach wideo lub zdjęciach. Dopiero po poprawnej detekcji system nakłada maskę rozmycia lub zasłonięcia. Jest to istotne rozróżnienie: uczenie modelu AI jest etapem przygotowawczym, a produkcyjne zamazywanie materiału jest etapem inferencji. W środowiskach o podwyższonych wymaganiach bezpieczeństwa preferowane jest przetwarzanie on-premise, bez przekazywania plików do chmury publicznej.

W przypadku Gallio PRO zakres automatycznej anonimizacji obejmuje wyłącznie twarze i tablice rejestracyjne. Oprogramowanie nie wykonuje anonimizacji w czasie rzeczywistym ani anonimizacji strumienia wideo. Nie wykrywa też automatycznie logotypów, tatuaży, tabliczek z imionami, dokumentów ani obrazu na ekranach monitorów. Takie elementy mogą być zamazywane manualnie w edytorze.

Podstawy prawne i stanowiska nadzorcze

W instytucjach finansowych zgodność monitoringu z prawem należy oceniać łącznie, a nie na podstawie jednego aktu. RODO wyznacza zasady ogólne, natomiast praktykę interpretacyjną doprecyzowują wytyczne EROD, stanowiska UODO i wymagania sektorowe.

Źródło

Zakres

Znaczenie dla anonimizacji wideo

 

RODO, UE 2016/679, 2016

Zasady przetwarzania danych, bezpieczeństwo, privacy by design

Wymaga ograniczenia dostępu, minimalizacji i adekwatnych zabezpieczeń przy eksporcie nagrań

Wytyczne EROD 3/2019, wersja ostateczna 2020

Przetwarzanie danych przez urządzenia wideo

Potwierdzają, że monitoring podlega RODO i wymaga oceny proporcjonalności

Stanowiska i decyzje UODO

Praktyka krajowa dotycząca wizerunku i numerów rejestracyjnych

Wspierają ostrożnościowe podejście do tablic rejestracyjnych jako danych osobowych w określonym kontekście

Oczekiwania nadzorcze KNF

Bezpieczeństwo, zarządzanie ryzykiem, ciągłość działania

Wzmacniają potrzebę kontroli dostępu, segmentacji systemów i rozliczalności operacji na nagraniach

W zakresie tablic rejestracyjnych istnieje rozbieżność interpretacyjna. Z jednej strony wytyczne organów ochrony danych i orzecznictwo unijne skłaniają się do traktowania numerów rejestracyjnych jako danych osobowych, gdy mogą prowadzić do identyfikacji. Z drugiej strony w Polsce w części orzecznictwa sądów administracyjnych przyjęto, że sama tablica rejestracyjna nie zawsze stanowi daną osobową. Dla banku bezpieczniejsze jest podejście ostrożnościowe i anonimizowanie tablic w materiałach udostępnianych poza wąski krąg uprawnionych odbiorców.

Kluczowe parametry techniczne i metryki zgodności

Sama zgodność formalna nie wystarcza. W środowisku bankowym liczy się skuteczność anonimizacji i możliwość wykazania, że proces działa stabilnie. Dlatego warto mierzyć jakość detekcji oraz bezpieczeństwo procesu przetwarzania.

Parametr

Opis

Znaczenie operacyjne

 

Recall detekcji

Odsetek prawidłowo wykrytych twarzy lub tablic

Niski recall zwiększa ryzyko pozostawienia identyfikowalnych danych

Precision detekcji

Odsetek trafnych wykryć wśród wszystkich wykryć

Niska precision zwiększa liczbę błędnych masek i koszt ręcznej korekty

Latency przetwarzania pliku

Czas anonimizacji materiału

Wpływa na SLA obsługi wniosków i incydentów

Współczynnik interwencji manualnej

Odsetek klatek wymagających korekty operatora

Pozwala ocenić dojrzałość modelu i pracochłonność procesu

Retencja nagrań

Czas przechowywania materiału

Powinien być uzasadniony celem i polityką bezpieczeństwa

W praktyce bank powinien dokumentować co najmniej: konfigurację kamer, role użytkowników, czas retencji, ścieżkę akceptacji eksportu, sposób anonimizacji oraz wynik testów jakościowych modeli AI. Jeżeli jakość detekcji spada dla nagrań nocnych, kamer szerokokątnych lub materiału o niskim bitrate, taki fakt powinien być uwzględniony w procedurach.

Integracja z systemami bezpieczeństwa i model wdrożenia

Monitoring bankowy działa zwykle jako element większego ekosystemu bezpieczeństwa. Integruje się z systemami kontroli dostępu, alarmami, systemami zarządzania incydentami, repozytoriami dowodowymi oraz narzędziami do obsługi zgłoszeń organów ścigania. W takim układzie kluczowe jest rozróżnienie środowiska źródłowego od środowiska roboczego do anonimizacji.

Model on-premise jest często preferowany, ponieważ ogranicza transfer danych poza organizację i ułatwia spełnienie wymagań wewnętrznych dotyczących bezpieczeństwa. Dodatkową korzyścią jest większa kontrola nad uprawnieniami, segmentacją sieci, kopiami zapasowymi i audytem dostępu. Istotne jest także, że Gallio PRO nie zapisuje w logach danych pochodzących z detekcji twarzy i tablic rejestracyjnych ani innych danych osobowych, o ile system został poprawnie skonfigurowany.

Praktyczny use case - eksport nagrania z incydentu w oddziale banku

Najczęstszy scenariusz dotyczy incydentu bezpieczeństwa, reklamacji lub wniosku o udostępnienie materiału. Bank posiada pełne nagranie źródłowe, ale nie zawsze może przekazać je dalej w niezmienionej postaci.

  1. Operator identyfikuje zakres czasowy i kamery związane ze zdarzeniem.
  2. Tworzona jest kopia robocza do analizy i eksportu.
  3. Materiał jest poddawany automatycznej anonimizacji twarzy i tablic rejestracyjnych.
  4. Operator wykonuje kontrolę jakości i ręcznie zamazuje elementy niewykryte automatycznie, jeśli to konieczne.
  5. Eksport trafia do uprawnionego odbiorcy zgodnie z procedurą i podstawą prawną.

Taki model pozwala zachować wartość dowodową materiału źródłowego przy jednoczesnym ograniczeniu ryzyka nadmiarowego ujawnienia danych osób trzecich.