Czym jest monitoring parkingów a RODO?

Monitoring parkingów a RODO - definicja

Monitoring parkingów a RODO to zestaw zasad prawnych, organizacyjnych i technicznych dotyczących rejestrowania obrazu na parkingach publicznych i prywatnych w sposób zgodny z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. W praktyce chodzi o takie projektowanie i eksploatację systemu CCTV, aby przetwarzanie danych osobowych było legalne, ograniczone do celu, proporcjonalne oraz zabezpieczone. Na nagraniach parkingowych danymi osobowymi są najczęściej wizerunki osób, a w wielu przypadkach także numery tablic rejestracyjnych, jeżeli pozwalają zidentyfikować osobę fizyczną bezpośrednio lub pośrednio.

W kontekście anonimizacji zdjęć i nagrań wideo pojęcie to obejmuje przede wszystkim rozmywanie lub zamazywanie twarzy oraz tablic rejestracyjnych przed udostępnieniem materiału osobom nieuprawnionym, publikacją, eksportem do celów wykraczających poza pierwotny cel lub przekazaniem podmiotom trzecim. Nie dotyczy to anonimizacji dokumentów tekstowych. W środowisku parkingowym kluczowe jest rozróżnienie między nagraniem źródłowym, które administrator może przechowywać przez ograniczony czas, a kopią roboczą lub eksportem, który powinien być zanonimizowany, jeśli pełna identyfikacja osób nie jest niezbędna.

Podstawę interpretacyjną stanowią w szczególności: RODO 2016/679, wytyczne EROD 3/2019 dotyczące przetwarzania danych osobowych przez urządzenia wideo, orzecznictwo TSUE oraz krajowe stanowiska organów nadzorczych, w Polsce przede wszystkim UODO. W obszarze technicznym znaczenie mają zasady privacy by design i privacy by default z art. 25 RODO oraz bezpieczeństwo przetwarzania z art. 32 RODO.

Jak rozumieć monitoring parkingów w kontekście anonimizacji wideo

Na parkingu monitoring służy zwykle ochronie mienia, bezpieczeństwu osób, kontroli wjazdu i wyjazdu oraz ustalaniu przebiegu incydentów. Taki cel może uzasadniać rejestrację obrazu, ale nie daje nieograniczonego prawa do dalszego rozpowszechniania nagrań. Jeżeli materiał ma zostać przekazany poza wąski krąg osób uprawnionych, należy ocenić, czy identyfikacja wszystkich widocznych osób i pojazdów jest konieczna.

W praktyce anonimizacja materiału parkingowego polega na selektywnym ukryciu identyfikatorów wizualnych. Oznacza to zwykle automatyczne zamazywanie twarzy i tablic rejestracyjnych, bez anonimizacji całych sylwetek i najczęściej bez przetwarzania strumienia wideo w czasie rzeczywistym. Inne elementy, takie jak logotypy, tatuaże, identyfikatory imienne, dokumenty czy obraz na ekranie monitora, mogą wymagać działania manualnego w edytorze.

Obowiązki administratora monitoringu parkingowego

Administrator monitoringu parkingu musi wykazać zgodność przetwarzania z zasadami z art. 5 RODO. Samo posiadanie kamer nie wystarcza. Konieczne jest udokumentowanie celu, podstawy prawnej, zakresu obserwacji i okresu retencji oraz wdrożenie środków ograniczających nadmiarowe zbieranie danych.

Najważniejsze obowiązki można ująć następująco:

  • określenie celu monitoringu, np. ochrona mienia, bezpieczeństwo użytkowników, przeciwdziałanie szkodom, kontrola dostępu,
  • wskazanie podstawy prawnej, najczęściej art. 6 ust. 1 lit. f RODO - prawnie uzasadniony interes administratora, po przeprowadzeniu testu równowagi,
  • realizacja obowiązku informacyjnego w modelu warstwowym, zgodnie z art. 13 RODO i wytycznymi EROD 3/2019,
  • ograniczenie pola widzenia kamer do obszaru niezbędnego, bez obejmowania przestrzeni sąsiednich ponad potrzebę,
  • ustalenie retencji nagrań i procedury ich usuwania,
  • kontrola dostępu do nagrań, rejestrowanie operacji administracyjnych i nadawanie uprawnień zgodnie z zasadą need-to-know,
  • stosowanie anonimizacji lub maskowania przy eksporcie materiałów do celów wtórnych.

Oznakowanie parkingu objętego monitoringiem

Oznakowanie nie jest wyłącznie wymogiem formalnym. Ma umożliwić osobie wejście na teren monitorowany ze świadomością, kto przetwarza jej dane i w jakim celu. EROD 3/2019 zaleca podejście dwuwarstwowe: krótka informacja bezpośrednio przy wejściu do strefy monitorowanej oraz pełna klauzula dostępna łatwo na miejscu lub online.

Na tablicy przy wjeździe lub wejściu powinny znaleźć się co najmniej:

  • informacja, że teren jest monitorowany,
  • tożsamość administratora,
  • cel monitoringu,
  • odniesienie do miejsca, gdzie dostępna jest pełna klauzula informacyjna.

Retencja nagrań z parkingu

RODO nie podaje sztywnego okresu przechowywania nagrań. Obowiązuje zasada ograniczenia przechowywania z art. 5 ust. 1 lit. e RODO. Oznacza to, że okres retencji musi być powiązany z celem i ryzykiem. W praktyce parkingowej często spotyka się okres od kilku dni do kilku tygodni, ale każdorazowo wymaga to uzasadnienia.

Dla oceny retencji przydatne są następujące kryteria:

Parametr

Znaczenie praktyczne

 

Cel przetwarzania

Im węższy i bardziej konkretny cel, tym łatwiej uzasadnić krótszą retencję

Częstotliwość incydentów

Wpływa na to, jak długo materiał bywa potrzebny do wykrycia szkody

Czas wykrycia zdarzenia

Jeżeli szkody są zgłaszane po kilku dniach, retencja powinna to uwzględniać

Pojemność i bezpieczeństwo systemu

Większa pojemność nie uzasadnia automatycznie dłuższego przechowywania

Zabezpieczenie materiału do sprawy

Nagranie wyodrębnione do incydentu może być przechowywane dłużej niż zwykły bufor

W praktyce należy odróżnić retencję standardową od retencji incydentalnej. Po zgłoszeniu szkody lub żądaniu organu część nagrania może zostać zabezpieczona na dłużej, ale tylko w zakresie niezbędnym do postępowania.

Technologie anonimizacji twarzy i tablic w monitoringu parkingów

Skuteczna anonimizacja materiału wideo wymaga najpierw detekcji obiektów. W przypadku twarzy i tablic rejestracyjnych najczęściej stosuje się modele deep learning, trenowane na oznaczonych zbiorach danych. Taki model AI nie jest samą anonimizacją. Jest etapem wykrywania, po którym następuje właściwe zamazywanie, rozmywanie lub maskowanie wskazanego obszaru na każdej klatce.

W systemach przetwarzających nagrania parkingowe znaczenie mają zwłaszcza:

  • precision i recall detekcji twarzy oraz tablic,
  • odporność modelu na oświetlenie nocne, opady, refleksy i częściowe zasłonięcie obiektu,
  • stabilność śledzenia obiektu między klatkami, aby maska nie „gubiła” twarzy lub tablicy,
  • tempo przetwarzania offline, np. liczba klatek na sekundę na określonej konfiguracji CPU lub GPU,
  • odsetek przypadków wymagających korekty ręcznej.

W środowisku zgodnym z privacy by design wdrożenia on-premise mogą ograniczać transfer nagrań poza organizację. To istotne przy materiałach zawierających dane osobowe i informacje o przemieszczaniu się osób oraz pojazdów.

Tablice rejestracyjne na nagraniach parkingowych - rozbieżności interpretacyjne

Status tablic rejestracyjnych jako danych osobowych nie jest w Polsce oceniany całkowicie jednolicie. Z jednej strony stanowiska UODO oraz europejskie podejście funkcjonalne wspierają ocenę, zgodnie z którą numer rejestracyjny może stanowić daną osobową, jeżeli w konkretnym kontekście prowadzi do identyfikacji osoby. Z drugiej strony w polskim orzecznictwie występują stanowiska, zgodnie z którymi sama tablica rejestracyjna nie zawsze stanowi dane osobowe.

Dla administratora parkingu oznacza to potrzebę oceny ryzyka i celu przetwarzania. Przy udostępnianiu nagrań osobom postronnym lub publikacji bezpieczniejszym rozwiązaniem jest zamazanie tablic. W wielu państwach Europy praktyka ochronna idzie właśnie w tym kierunku.

Praktyczny use case - udostępnienie nagrania z incydentu parkingowego

Typowa sytuacja dotyczy kolizji lub uszkodzenia pojazdu na parkingu. Administrator posiada nagranie z kamery, na którym widać sprawcę, inne osoby oraz pojazdy postronne. Celem staje się przekazanie materiału uprawnionemu odbiorcy bez nadmiernego ujawniania danych innych osób.

Rekomendowany przebieg procesu jest następujący:

  1. zabezpieczenie oryginalnego fragmentu nagrania w repozytorium o ograniczonym dostępie,
  2. weryfikacja podstawy prawnej udostępnienia i statusu odbiorcy,
  3. utworzenie kopii roboczej do anonimizacji,
  4. automatyczne wykrycie twarzy i tablic rejestracyjnych,
  5. ręczna kontrola jakości i korekta elementów niewykrytych automatycznie,
  6. eksport zanonimizowanej wersji dla odbiorcy, jeżeli pełna identyfikacja osób trzecich nie jest konieczna,
  7. udokumentowanie operacji w rejestrze czynności lub dokumentacji operacyjnej.

Odniesienia normatywne i źródła

Ocena zgodności monitoringu parkingowego z RODO powinna opierać się na źródłach pierwotnych oraz oficjalnych wytycznych. Najważniejsze dokumenty to:

  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. - RODO,
  • EROD, Wytyczne 3/2019 dotyczące przetwarzania danych osobowych przez urządzenia wideo, wersja przyjęta po konsultacjach, 29 stycznia 2020 r.,
  • Karta praw podstawowych UE, art. 7 i 8,
  • orzecznictwo TSUE dotyczące szerokiego rozumienia danych osobowych i identyfikowalności,
  • stanowiska i materiały UODO dotyczące monitoringu wizyjnego i obowiązku informacyjnego.