Monitoring w szkołach a RODO - definicja
Monitoring w szkołach a RODO to zbiór zasad prawnych, organizacyjnych i technicznych dotyczących rejestrowania obrazu na terenie placówki oświatowej oraz dalszego przetwarzania nagrań zgodnie z przepisami o ochronie danych osobowych. W praktyce chodzi o to, kiedy szkoła może stosować kamery, jaki musi mieć cel, jak długo może przechowywać nagrania, kto może mieć do nich dostęp oraz jak ograniczyć ryzyko nadmiernej identyfikacji osób widocznych na materiale wideo.
W polskim porządku prawnym podstawą stosowania monitoringu w szkołach jest przede wszystkim art. 108a ustawy z 14 grudnia 2016 r. - Prawo oświatowe. Przepis ten określa dopuszczalny cel monitoringu wizyjnego, którym jest zapewnienie bezpieczeństwa uczniów i pracowników oraz ochrona mienia. Równolegle zastosowanie mają przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. (RODO), w szczególności zasady zgodności z prawem, minimalizacji danych, ograniczenia celu, integralności i poufności oraz rozliczalności.
W kontekście anonimizacji zdjęć i nagrań wideo pojęcie to oznacza także obowiązek takiego przygotowania materiału, aby dalsze użycie nagrań, na przykład do analizy incydentu, przekazania podmiotowi zewnętrznemu, szkolenia personelu lub publikacji wycinka materiału, nie prowadziło do nieuzasadnionego ujawnienia wizerunku uczniów, nauczycieli i osób postronnych. W takim zastosowaniu anonimizacja polega zwykle na zamazywaniu twarzy, a w razie potrzeby także tablic rejestracyjnych widocznych przy wejściach, parkingach i drogach dojazdowych.
Podstawa prawna monitoringu w placówkach oświatowych
Szkoła nie może wdrożyć monitoringu wyłącznie dlatego, że jest to technicznie łatwe. Musi wykazać podstawę prawną, uzasadniony i konkretny cel oraz proporcjonalność środka. W przypadku szkół zakres ten jest opisany bardziej szczegółowo niż w wielu innych sektorach.
Najważniejsze źródła prawne i regulacyjne to:
- ustawa z 14 grudnia 2016 r. - Prawo oświatowe, art. 108a - zasady stosowania monitoringu wizyjnego w szkołach i placówkach,
- RODO - Rozporządzenie (UE) 2016/679, stosowane od 25 maja 2018 r.,
- ustawa z 10 maja 2018 r. o ochronie danych osobowych,
- Wytyczne 3/2019 EROD dotyczące przetwarzania danych osobowych za pośrednictwem urządzeń wideo, przyjęte 29 stycznia 2020 r.,
- stanowiska Prezesa UODO dotyczące monitoringu wizyjnego w szkołach i obowiązków informacyjnych administratora.
Z art. 108a Prawa oświatowego wynika, że monitoring może obejmować teren szkoły oraz obszar wokół niej, jeżeli jest to niezbędne dla realizacji ustawowych celów. Przepis wprowadza też ograniczenia lokalizacyjne. Kamery co do zasady nie powinny obejmować pomieszczeń, w których naruszenie godności i innych dóbr osobistych byłoby szczególnie wysokie, chyba że ustawa przewiduje wyjątki i zostaną spełnione dodatkowe warunki ochronne.
Obowiązki dyrektora szkoły jako administratora danych
W praktyce dyrektor szkoły odpowiada za zgodne z prawem wdrożenie monitoringu jako osoba kierująca jednostką, natomiast administratorem danych jest co do zasady szkoła lub placówka jako jednostka organizacyjna. Nie wystarcza sam zakup kamer. Potrzebne jest udokumentowanie całego procesu decyzyjnego oraz zasad dostępu do nagrań.
Do kluczowych obowiązków dyrektora należą:
- określenie celu monitoringu i wykazanie niezbędności jego stosowania,
- wyznaczenie obszarów objętych kamerami zgodnie z zasadą minimalizacji,
- przyjęcie okresu retencji nagrań - co do zasady nie dłuższego niż 3 miesiące, chyba że nagranie stanowi dowód w postępowaniu lub szkoła powzięła wiadomość, że może ono stanowić dowód, co wynika z art. 108a ust. 4 Prawa oświatowego,
- wdrożenie środków technicznych i organizacyjnych wymaganych przez art. 24, 25 i 32 RODO,
- zapewnienie realizacji obowiązku informacyjnego wobec uczniów, rodziców, pracowników i innych osób wchodzących na teren szkoły,
- uregulowanie zasad udostępniania nagrań, kopiowania materiału i dokumentowania operacji,
- ocena ryzyka, a w przypadkach wysokiego ryzyka - przeprowadzenie lub rozważenie przeprowadzenia DPIA, czyli oceny skutków dla ochrony danych z art. 35 RODO.
Jeżeli szkoła korzysta z zewnętrznego podmiotu do serwisu systemu CCTV albo do przetwarzania materiału wideo, należy dodatkowo uregulować relację powierzenia przetwarzania zgodnie z art. 28 RODO.
Informowanie uczniów i rodziców o monitoringu
Monitoring w szkole nie może być ukryty. Osoby, których dane dotyczą, muszą wiedzieć, że obraz jest rejestrowany, kto odpowiada za przetwarzanie danych i w jakim celu system działa. W środowisku szkolnym obowiązek informacyjny ma szczególne znaczenie, ponieważ dotyczy także małoletnich.
Informacja powinna być przekazana warstwowo. Oznacza to, że szkoła stosuje zarówno oznaczenia przy wejściach i w strefach monitorowanych, jak i pełniejszą klauzulę informacyjną dostępną dla rodziców, uczniów i pracowników. Praktycznie obejmuje to:
- czytelne oznaczenie stref objętych monitoringiem,
- wskazanie administratora danych i danych kontaktowych,
- opis celu i podstawy prawnej przetwarzania,
- okres przechowywania nagrań,
- informację o odbiorcach danych, jeśli występują,
- opis praw osób, których dane dotyczą, z uwzględnieniem ograniczeń wynikających z charakteru monitoringu.
W szkole informowanie uczniów i pracowników oraz ich rodziców lub opiekunów prawnych powinno nastąpić nie później niż 14 dni przed uruchomieniem monitoringu. Jeśli monitoring już działa, szkoła powinna zapewnić stałe i czytelne wykonywanie obowiązku informacyjnego. Wobec pracowników należy również uwzględnić przepisy prawa pracy i wewnętrzne regulacje jednostki.
Anonimizacja nagrań i zdjęć z monitoringu szkolnego
Nie każde użycie nagrania z monitoringu wymaga anonimizacji. Jeżeli materiał jest przeglądany wewnętrznie przez uprawnione osoby w związku z incydentem bezpieczeństwa, szkoła działa zwykle na oryginalnym pliku. Anonimizacja staje się istotna wtedy, gdy materiał ma trafić do szerszego obiegu niż pierwotny cel zabezpieczenia incydentu albo gdy trzeba ograniczyć zakres ujawnianych danych.
W praktyce szkolnej anonimizacja materiału wideo najczęściej obejmuje twarze uczniów, nauczycieli, rodziców i osób postronnych. Jeżeli kamera obejmuje strefę podjazdu lub parkingu, zasadne może być także zamazywanie tablic rejestracyjnych. W państwach Europy Zachodniej wymóg takiego ograniczania identyfikowalności jest zwykle interpretowany rygorystycznie. W Polsce kwestia tablic rejestracyjnych pozostaje zależna od kontekstu. Z jednej strony UODO, EROD i orzecznictwo TSUE skłaniają się ku podejściu szerokiemu, czyli traktowaniu numeru rejestracyjnego jako informacji umożliwiającej identyfikację przy dostępie do dodatkowych danych. Z drugiej strony w części orzecznictwa sądów administracyjnych wskazywano, że sama tablica rejestracyjna nie zawsze stanowi dane osobowe.
Technicznie automatyczne zamazywanie twarzy wymaga zastosowania modeli detekcji opartych na deep learning. Najpierw tworzony i uczony jest model AI na odpowiednio przygotowanych zbiorach danych. Następnie model jest wykorzystywany do lokalizacji twarzy w kolejnych klatkach nagrania, śledzenia obiektów i nałożenia maski rozmycia lub zasłonięcia. Ten sam mechanizm, z innym modelem detekcyjnym, stosuje się do tablic rejestracyjnych.
Ważne ograniczenie praktyczne jest takie, że Gallio PRO automatycznie wykrywa i zamazuje twarze oraz tablice rejestracyjne, ale nie wykrywa automatycznie logotypów firm, tatuaży, identyfikatorów imiennych, dokumentów ani treści widocznych na ekranach monitorów. Takie elementy mogą być ukrywane manualnie w edytorze. Oprogramowanie nie anonimizuje całych sylwetek i nie realizuje anonimizacji w czasie rzeczywistym ani anonimizacji strumienia wideo.
Kluczowe parametry i ryzyka przy przetwarzaniu wideo
Ocena zgodności monitoringu z RODO powinna obejmować nie tylko kwestie formalne, ale także parametry techniczne systemu i procesu anonimizacji. To one decydują, czy szkoła rzeczywiście ogranicza ryzyko nadmiernej identyfikacji.
Parametr | Znaczenie praktyczne | Ryzyko przy niskiej jakości
|
|---|---|---|
Retencja nagrań | Standardowo do 3 miesięcy, chyba że materiał jest dowodem | Nadmierne przechowywanie danych |
Dokładność detekcji twarzy | Wpływa na skuteczność zamazywania osób postronnych | Pominięcie twarzy i ujawnienie wizerunku |
Fałszywe alarmy | Zamazywanie obiektów, które nie są twarzą lub tablicą | Nadmierna ingerencja w czytelność materiału |
Kontrola dostępu | Ogranicza liczbę osób oglądających nagrania | Nieuprawnione ujawnienie danych |
Ścieżka audytu operacji | Pokazuje kto i kiedy korzystał z materiału | Brak rozliczalności administratora |
W systemach anonimizacji używa się zwykle metryk takich jak precision, recall i intersection over union dla detekcji obiektów, ale ich wartości akceptowalne zależą od jakości źródłowego nagrania, kąta kamery, oświetlenia, kompresji i ruchu. Dlatego ocena skuteczności powinna być wykonywana na materiale zbliżonym do rzeczywistego środowiska szkoły, a nie tylko na danych testowych producenta.
Praktyczny use case - kiedy szkoła powinna anonimizować nagranie
Typowy przypadek dotyczy incydentu przemocy rówieśniczej na korytarzu. Szkoła zabezpiecza nagranie z kilku kamer, przegląda je wewnętrznie i ustala przebieg zdarzenia. Na tym etapie dostęp powinny mieć wyłącznie osoby uprawnione. Jeżeli następnie materiał ma zostać przekazany podmiotowi zewnętrznemu do analizy technicznej, wykorzystany w szkoleniu personelu lub okazany poza niezbędnym zakresem, należy ograniczyć identyfikowalność osób niezwiązanych ze sprawą.
W takim scenariuszu prawidłowy proces obejmuje:
- zabezpieczenie oryginalnego pliku jako materiału źródłowego,
- utworzenie kopii roboczej do anonimizacji,
- automatyczne zamazanie twarzy i ewentualnie tablic rejestracyjnych,
- weryfikację manualną, czy żaden identyfikator nie został pominięty,
- udostępnienie wyłącznie wersji zanonimizowanej, jeśli cel nie wymaga pełnej identyfikacji osób.
Taki model wspiera zasadę minimalizacji danych z art. 5 ust. 1 lit. c RODO i zasadę privacy by design z art. 25 RODO.
Odniesienia normatywne i interpretacyjne
W obszarze monitoringu szkolnego warto odwoływać się do źródeł pierwotnych, ponieważ praktyka bywa niejednolita. Szczególnie dotyczy to zakresu kamer, okresów przechowywania i przetwarzania materiału dla celów wtórnych.
- Rozporządzenie (UE) 2016/679 z 27 kwietnia 2016 r. - RODO,
- Ustawa z 14 grudnia 2016 r. - Prawo oświatowe, z późn. zm., art. 108a,
- EROD, Wytyczne 3/2019 dotyczące przetwarzania danych osobowych za pośrednictwem urządzeń wideo, wersja ostateczna z 29 stycznia 2020 r.,
- stanowiska Prezesa UODO dotyczące monitoringu w szkołach i obowiązku informacyjnego,
- orzecznictwo TSUE dotyczące szerokiego rozumienia danych osobowych oraz identyfikowalności przy użyciu dodatkowych informacji,
- orzecznictwo sądów administracyjnych wskazujące w niektórych sprawach, że tablica rejestracyjna sama w sobie nie musi stanowić danych osobowych.
W razie kolizji interpretacji bezpieczniejsze z perspektywy compliance jest przyjęcie wariantu bardziej ochronnego, zwłaszcza gdy nagranie ma zostać udostępnione poza szkołę.