Czym są nagrania ubezpieczeniowe a RODO?

Nagrania ubezpieczeniowe a RODO - definicja

Nagrania ubezpieczeniowe a RODO to zagadnienie obejmujące zasady pozyskiwania, analizy, udostępniania i przechowywania zdjęć oraz materiałów wideo wykorzystywanych przez zakłady ubezpieczeń i podmioty działające na ich rzecz, z uwzględnieniem przepisów o ochronie danych osobowych. W praktyce chodzi o materiały dokumentujące szkodę, oględziny, zdarzenie drogowe, stan mienia, monitoring miejsca zdarzenia albo nagrania przekazywane przez klienta, warsztat, rzeczoznawcę lub podmiot likwidujący szkodę.

Jeżeli na zdjęciu lub nagraniu można zidentyfikować osobę fizyczną bezpośrednio lub pośrednio, materiał zawiera dane osobowe w rozumieniu art. 4 pkt 1 RODO, czyli rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. Dotyczy to w szczególności wizerunku twarzy, numeru rejestracyjnego pojazdu, charakterystycznych cech osoby oraz kontekstu umożliwiającego identyfikację. W obszarze ubezpieczeń oznacza to, że nagrania nie są wyłącznie materiałem dowodowym, lecz także zbiorem danych wymagających podstawy prawnej przetwarzania, ograniczenia celu, retencji, kontroli dostępu oraz oceny ryzyka.

W kontekście anonimizacji zdjęć i wideo kluczowe jest rozróżnienie pomiędzy materiałem źródłowym, który może być potrzebny do likwidacji szkody lub obrony roszczeń, a materiałem przeznaczonym do dalszego udostępnienia, szkolenia, audytu, prezentacji lub przekazania podmiotom trzecim. W tym drugim przypadku najczęściej stosuje się zamazywanie twarzy i tablic rejestracyjnych, tak aby ograniczyć zakres danych do minimum zgodnie z art. 5 ust. 1 lit. c RODO.

Podstawy prawne przetwarzania nagrań przez towarzystwa ubezpieczeniowe

Przetwarzanie obrazu w sektorze ubezpieczeniowym nie opiera się na jednej podstawie prawnej. W praktyce podstawa zależy od celu, etapu postępowania i rodzaju materiału. Sam fakt posiadania nagrania nie zwalnia z obowiązku wskazania konkretnej przesłanki z art. 6 ust. 1 RODO.

Najczęściej stosowane podstawy prawne są następujące:

  • art. 6 ust. 1 lit. b RODO - przetwarzanie niezbędne do wykonania umowy lub podjęcia działań przed zawarciem umowy, np. likwidacja szkody zgłoszonej przez ubezpieczonego, analiza zdjęć uszkodzeń;
  • art. 6 ust. 1 lit. c RODO - wypełnienie obowiązku prawnego, np. obowiązki dokumentacyjne wynikające z przepisów sektorowych, rachunkowych lub dotyczących przeciwdziałania praniu pieniędzy;
  • art. 6 ust. 1 lit. f RODO - prawnie uzasadniony interes administratora, np. ustalenie, dochodzenie lub obrona roszczeń, przeciwdziałanie wyłudzeniom, weryfikacja okoliczności zdarzenia;
  • art. 9 ust. 2 lit. f RODO - gdy materiał ujawnia szczególne kategorie danych, a przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń.

Jeżeli nagranie pokazuje obrażenia ciała, rehabilitację albo stan zdrowia, może zawierać dane szczególnej kategorii. Wtedy sama podstawa z art. 6 RODO nie wystarcza. Potrzebna jest również przesłanka z art. 9 ust. 2 RODO. To istotne przy szkodach osobowych i nagraniach z kamer szpitalnych, monitoringu obiektów albo dokumentacji medycznej w formie obrazu.

Jak rozumieć anonimizację nagrań ubezpieczeniowych

W zastosowaniach ubezpieczeniowych anonimizacja materiału wizyjnego oznacza takie przekształcenie obrazu, aby osoby fizycznej nie dało się zidentyfikować przy użyciu środków racjonalnie prawdopodobnych. W praktyce operacyjnej częściej stosuje się jednak pseudonimizację lub maskowanie wizualne dla konkretnego celu udostępnienia, ponieważ materiał źródłowy bywa nadal przechowywany przez ubezpieczyciela.

Dla zdjęć i nagrań najczęściej stosuje się następujące operacje:

  • automatyczne wykrywanie i zamazywanie twarzy,
  • automatyczne wykrywanie i zamazywanie tablic rejestracyjnych,
  • manualne maskowanie innych elementów identyfikujących w edytorze, jeśli są obecne w kadrze.

Warto zachować precyzję techniczną. Model AI oparty na deep learning jest używany do detekcji obiektów, takich jak twarze i tablice rejestracyjne, a następnie system nakłada maskę rozmycia lub zasłonięcia na wykryty obszar. Nie zawsze oznacza to anonimizację strumienia wideo ani przetwarzanie w czasie rzeczywistym. W przypadku Gallio PRO automatyzacja dotyczy wyłącznie twarzy i tablic rejestracyjnych. Logotypy, tatuaże, identyfikatory imienne, dokumenty czy zawartość ekranów nie są wykrywane automatycznie i wymagają edycji manualnej.

Udostępnianie materiałów - zasada niezbędności i minimalizacji

Nagrania ubezpieczeniowe są często przekazywane wielu odbiorcom: rzeczoznawcom, kancelariom, reasekuratorom, warsztatom, likwidatorom zewnętrznym, biegłym i sądom. Każde takie udostępnienie wymaga oceny, czy pełny materiał jest rzeczywiście konieczny. Zasada minimalizacji danych z art. 5 ust. 1 lit. c RODO oznacza, że odbiorca powinien otrzymać tylko taki zakres obrazu, jaki jest potrzebny do realizacji celu.

W praktyce oznacza to, że przed udostępnieniem należy odpowiedzieć co najmniej na trzy pytania:

  • czy odbiorca potrzebuje materiału źródłowego, czy wystarczy wersja z zamazanymi twarzami i tablicami,
  • czy cel udostępnienia obejmuje identyfikację osób, czy wyłącznie ocenę szkody, przebiegu zdarzenia lub stanu mienia,
  • czy przekazanie odbywa się na podstawie umowy powierzenia, udostępnienia danych czy obowiązku prawnego.

W relacjach z procesorami trzeba uwzględnić art. 28 RODO. Jeżeli podmiot zewnętrzny przetwarza nagrania w imieniu ubezpieczyciela, konieczna jest umowa powierzenia. Jeżeli działa jako odrębny administrator, należy ocenić samodzielną podstawę prawną i obowiązki informacyjne.

Czas retencji nagrań ubezpieczeniowych

RODO nie podaje jednego, sztywnego okresu przechowywania nagrań. Zastosowanie ma zasada ograniczenia przechowywania z art. 5 ust. 1 lit. e RODO. Okres retencji powinien wynikać z celu, przepisów sektorowych, terminów przedawnienia roszczeń oraz realnej potrzeby dowodowej.

Dobrą praktyką jest rozdzielenie retencji na etapy i kategorie materiału:

Rodzaj materiału

Cel

Przykładowe podejście retencyjne

 

Materiał roboczy z oględzin

Ocena szkody

Do zakończenia likwidacji, a następnie włączenie do akt tylko niezbędnych plików

Materiał dowodowy

Obrona roszczeń, spór

Do upływu terminu przedawnienia lub prawomocnego zakończenia postępowania

Materiał szkoleniowy lub audytowy

Szkolenie, kontrola jakości

Po wcześniejszej anonimizacji i według odrębnej, krótszej retencji

Jeżeli materiał ma być użyty wtórnie, na przykład do szkoleń likwidatorów albo testów systemu, należy ograniczyć identyfikatory wizualne. W takim użyciu wersja zanonimizowana będzie co do zasady bardziej proporcjonalna niż pełne nagranie.

Parametry techniczne i kontrolne przy anonimizacji wideo

Sama deklaracja zamazania nie wystarcza. Dla IOD i zespołów bezpieczeństwa ważne są mierzalne parametry procesu. Pozwalają one ocenić ryzyko ponownej identyfikacji i jakość materiału po przetworzeniu.

Parametr

Znaczenie

Znaczenie praktyczne

 

Recall detekcji

Odsetek poprawnie wykrytych twarzy lub tablic

Niski recall zwiększa ryzyko ujawnienia danych

Precision detekcji

Odsetek poprawnych oznaczeń wśród wszystkich oznaczeń

Niska precision zwiększa liczbę błędnych masek

False negative rate

Odsetek niewykrytych obiektów

Kluczowy wskaźnik ryzyka dla prywatności

Spójność międzyklatkowa

Stabilność maski w kolejnych klatkach

Zapobiega chwilowemu odsłonięciu twarzy lub tablicy

Ślad audytowy procesu

Informacja kto, kiedy i na jakim pliku wykonał operację

Wspiera rozliczalność z art. 5 ust. 2 RODO

W środowiskach podwyższonego ryzyka preferowane jest oprogramowanie on-premise. Taki model ogranicza transfer plików poza infrastrukturę administratora i ułatwia wdrożenie polityk dostępu, segmentacji sieci oraz lokalnego nadzoru nad retencją. Ma to znaczenie zwłaszcza przy nagraniach szkód osobowych i materiałach procesowych.

Odniesienia normatywne i praktyka zgodności

Przy ocenie zgodności należy opierać się na dokumentach źródłowych. Podstawowe znaczenie mają RODO, wytyczne EROD dotyczące pojęć administratora i procesora oraz zasady privacy by design z art. 25 RODO. W przypadku bezpieczeństwa informacji pomocne są normy ISO/IEC 27001:2022 i ISO/IEC 27701:2019, choć same w sobie nie tworzą podstawy prawnej przetwarzania.

W polskiej praktyce należy dodatkowo uwzględniać stanowiska UODO oraz przepisy krajowe mające wpływ na retencję i dowodowe wykorzystanie materiałów. Jeżeli na nagraniach występują tablice rejestracyjne, warto odnotować rozbieżność interpretacyjną. Z jednej strony wytyczne organów ochrony danych i praktyka europejska traktują je często jako dane osobowe w kontekście możliwości identyfikacji. Z drugiej strony część orzecznictwa krajowego wskazywała, że sam numer rejestracyjny nie zawsze identyfikuje osobę fizyczną. W polityce operacyjnej ubezpieczyciela bezpieczniejsze jest podejście oparte na ocenie ryzyka i maskowaniu tablic przy dalszym udostępnianiu materiału.