Czym jest retention schedule?

Retention schedule - definicja

Retention schedule to formalny wykaz okresów przechowywania i reguł usuwania lub archiwizacji dla zdefiniowanych kategorii informacji. W zarządzaniu danymi osobowymi i materiałem wideo lub zdjęciowym pełni rolę dowodu zgodności z zasadą ograniczenia przechowywania z art. 5 ust. 1 lit. e RODO oraz z zasadą minimalizacji. Definicja jest utrwalona w standardach zarządzania dokumentacją i informacją, m.in. ISO 15489-1:2016 oraz w rozszerzeniu dla prywatności ISO/IEC 27701:2019, które wspierają dokumentowanie kryteriów retencji, administratorów odpowiedzialnych i mechanizmów egzekwowania tych zasad.

W kontekście anonimizacji zdjęć i nagrań wideo retention schedule opisuje cykl życia plików źródłowych, wersji po anonimizacji (np. po zamazaniu twarzy i tablic rejestracyjnych), metadanych technicznych, plików pośrednich i dzienników przetwarzania. Określa kiedy materiał surowy ma zostać trwale usunięty, kiedy można przechowywać wersję zanonimizowaną, a także jak wykazać nieodwracalność operacji. Wytyczne EDPB 3/2019 dla urządzeń wideo wiążą retencję materiału z celem i zasadą ograniczenia czasu przechowywania, bez podawania uniwersalnych terminów - okres musi wynikać z analizy i podstawy prawnej.

Rola w anonimizacji obrazów i wideo

W praktyce IOD i zespoły bezpieczeństwa implementują retention schedule jako element łańcucha przetwarzania. Obejmuje on chwytanie materiału, transfer do środowiska on-premise, detekcję i zamazanie twarzy lub tablic rejestracyjnych z użyciem modeli głębokiego uczenia, walidację jakości, eksport oraz usuwanie. Jeśli tworzone są dedykowane modele AI do wykrywania twarzy i tablic, retention schedule musi obejmować również zbiory treningowe i walidacyjne, a więc politykę ich pozyskania, przechowywania i bezpiecznego zniszczenia po uczeniu. Po stronie narzędzi do anonimizacji, takich jak środowiska on-premise, harmonogram retencji rozróżnia materiał źródłowy i wynik z nałożonym rozmyciem. W wielu przypadkach wersja zanonimizowana może być przechowywana dłużej, pod warunkiem że proces spełnia kryteria anonimizacji z opinii Grupy Art. 29 WP216 oraz oceny ryzyka reidentyfikacji.

Technologie i implementacja retencji

Wdrożenie retencji w przetwarzaniu obrazu wymaga spójnych mechanizmów technicznych. Poza polityką i rejestrem czynności ważne są automatyczne egzekwatory retencji oraz bezpieczne niszczenie danych po upływie terminu. Poniżej najczęstsze komponenty w środowiskach on-premise.

• Warstwa przechowywania: partycje WORM, polityki Lifecycle w obiektowych magazynach S3-API, priorytety klas storage dla materiału źródłowego i zanonimizowanego.
• Bazy danych i metadane: kolumny TTL, joby cron do rekonsyliacji, nieodwracalne skróty do dowodów integralności.
• Usuwanie i sanitacja: kasowanie kryptograficzne, nadpisywanie zgodne z NIST SP 800-88 Rev. 1, logi audytowe z identyfikatorem sprawy.
• Orkiestracja: workflow, który wiąże cel przetwarzania z terminem usunięcia, stany wyjątkowe i blokady prawne.

W środowiskach wykorzystujących narzędzia do zamazywania twarzy i tablic rejestracyjnych należy uwzględnić, że automatyka detekcji dotyczy tylko tych dwóch klas obiektów, a inne elementy obrazu mogą wymagać ręcznego oznaczenia i tym samym odrębnego cyklu retencji dla plików roboczych i masek edycyjnych. Brak przetwarzania w czasie rzeczywistym upraszcza egzekwowanie retencji, bo operacje odbywają się wsadowo i są w pełni logowane w środowisku administratora.

Kluczowe parametry i metryki retencji

Aby retention schedule był mierzalny i audytowalny, warto zdefiniować parametry, które można monitorować technicznie. Poniższa tabela porządkuje typowe atrybuty i sposoby ich weryfikacji.

Szacowanie pojemności magazynu warto oprzeć na prostym modelu. Zmiennymi są m.in. tempo napływu danych i okres retencji.

pojemność_szacowana = (przepływ_MB_na_dobę × okres_retencji_w_dobach × współczynnik_replikacji) ÷ współczynnik_kompresji

Parametry te pomagają zaprojektować politykę klas storage i progi automatycznej archiwizacji lub kasowania, bez narzucania arbitralnych terminów.

Wyzwania i ograniczenia prawne

W Unii Europejskiej brak jest jednego, sztywnego terminu retencji dla nagrań. RODO wymaga, aby okres był najkrótszy z punktu widzenia celu. EDPB w Wytycznych 3/2019 dotyczących urządzeń wideo podkreśla, że retencja musi być uzasadniona i proporcjonalna do ryzyka. Przepisy sektorowe mogą jednak wprowadzać szczególne limity. W Polsce Kodeks pracy stanowi, że nagrania z monitoringu wizyjnego pracodawcy nie powinny być przechowywane dłużej niż 3 miesiące, chyba że nagranie stanowi dowód w postępowaniu - termin wydłuża się wtedy do czasu prawomocnego zakończenia sprawy (art. 22[2] §3).

Status tablic rejestracyjnych jako danych osobowych bywa różnie interpretowany krajowo, zaś organy nadzorcze i orzecznictwo skłaniają się do traktowania tablic jako danych osobowych, gdy istnieje realna możliwość powiązania ich z osobą. Retention schedule powinien uwzględniać tę rozbieżność, przyjmując podejście ostrożne i udokumentowane w DPIA, zwłaszcza dla nagrań z przestrzeni publicznej.

Przykłady zastosowań w praktyce IOD

Przed wdrożeniem konkretnych reguł warto przeanalizować przepływy i ryzyka. Poniższe scenariusze ilustrują typowe decyzje retencyjne w projektach anonimizacji obrazu.

• Monitoring zakładowy: materiał surowy służy do zapewnienia bezpieczeństwa. Retention schedule wiąże go z limitem sektorowym z Kodeksu pracy. Wersje zanonimizowane, przygotowane do udostępnienia kontrahentom lub na potrzeby szkoleń, mogą być przechowywane dłużej, o ile proces rozmycia eliminuje możliwość identyfikacji i nie istnieją rozsądne środki reidentyfikacji.
• Projekty dowodowe: jeśli fragment nagrania stanowi dowód w postępowaniu, retention schedule uruchamia tryb wyjątku z blokadą usuwania do czasu zakończenia sprawy. Dla potrzeb udostępniania osobom trzecim stosuje się wersję zanonimizowaną, a w umowach powierzenia określa się termin jej usunięcia przez odbiorcę.
• Uczenie modeli wykrywania twarzy i tablic: zbiory treningowe zawierające wizerunki wymagają jasnych terminów retencji i dokumentacji podstawy prawnej. Po zakończeniu uczenia dane treningowe są kasowane zgodnie z NIST SP 800-88, a pozostają jedynie wagi modelu, które co do zasady nie stanowią danych osobowych.
• Operacje on-premise: harmonogram retencji różnicuje materiał wejściowy, pliki pośrednie edytora ręcznego oraz wynik końcowy. Narzędzie nie prowadzi dzienników z detekcjami zawierających dane osobowe, co ogranicza zakres kategorii objętych retencją po stronie aplikacji. Całość kontroli nad usuwaniem pozostaje u administratora.

Odniesienia normatywne i źródła

• RODO - art. 5 ust. 1 lit. e, zasada ograniczenia przechowywania. Tekst rozporządzenia: EUR-Lex, 2016, https://eur-lex.europa.eu/eli/reg/2016/679/oj.
• EDPB, Wytyczne 3/2019 w sprawie przetwarzania danych osobowych poprzez urządzenia wideo, wersja przyjęta 29.01.2020, link.
• ISO 15489-1:2016, Information and documentation - Records management - Part 1: Concepts and principles. International Organization for Standardization, 2016, https://www.iso.org/standard/62542.html.
• ISO/IEC 27701:2019, Security techniques - Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management. ISO/IEC, 2019, https://www.iso.org/standard/71670.html.
• NIST SP 800-88 Rev. 1, Guidelines for Media Sanitization, December 2014, https://csrc.nist.gov/publications/detail/sp/800-88/rev-1/final.
• Kodeks pracy, art. 22[2] §3 - retencja nagrań z monitoringu wizyjnego pracodawcy. Tekst jednolity: Dz.U. 2023 poz. 1465, ISAP.
• Grupa Robocza art. 29, Opinia 05/2014 w sprawie technik anonimizacji (WP216), 10.04.2014, link.