Czym jest smart city a prywatność wideo?

Smart city a prywatność wideo - definicja

Smart city a prywatność wideo to obszar projektowania, wdrażania i nadzorowania systemów monitoringu miejskiego w taki sposób, aby przetwarzanie obrazu z kamer pozostawało zgodne z prawem ochrony danych i zasadą minimalizacji ingerencji w prawa osób fizycznych. W praktyce chodzi o to, by miasto mogło wykorzystywać nagrania i zdjęcia do celów takich jak bezpieczeństwo publiczne, zarządzanie ruchem, analiza zdarzeń czy dokumentowanie incydentów, ale bez nadmiernego utrwalania i ujawniania identyfikowalnych cech osób oraz pojazdów.

W kontekście anonimizacji zdjęć i wideo pojęcie to oznacza przede wszystkim stosowanie środków technicznych i organizacyjnych, które ograniczają identyfikację osób na materiale wizualnym. Dotyczy to głównie zamazywania twarzy i tablic rejestracyjnych przed dalszym udostępnieniem, analizą, publikacją lub przekazaniem poza wąski krąg uprawnionych odbiorców. Podstawą prawną pozostaje tu przede wszystkim RODO, czyli rozporządzenie (UE) 2016/679, stosowane od 25 maja 2018 r., a w projektach wykorzystujących systemy AI także rozporządzenie UE o sztucznej inteligencji, czyli AI Act - rozporządzenie (UE) 2024/1689, opublikowane 12 lipca 2024 r. i stosowane etapami od 2025 r.

Dla samorządów istotne jest to, że obraz z monitoringu może zawierać dane osobowe, jeżeli pozwala zidentyfikować osobę bezpośrednio lub pośrednio. Potwierdza to orzecznictwo TSUE, w tym sprawa C-212/13 Ryneš, oraz utrwalona praktyka organów ochrony danych w UE. Z tego powodu monitoring smart city nie jest wyłącznie zagadnieniem infrastrukturalnym. Jest także procesem przetwarzania danych, który wymaga podstawy prawnej, oceny ryzyka, polityk retencji oraz mechanizmów anonimizacji materiałów wizualnych.

Ramy prawne monitoringu miejskiego i anonimizacji wideo

W projektach smart city nie wystarcza samo wskazanie celu publicznego. Administrator musi wykazać zgodność całego cyklu życia nagrania z zasadami legalności, ograniczenia celu, minimalizacji danych, integralności i poufności. Przy monitoringu miejskim oznacza to potrzebę rozdzielenia etapu rejestracji od etapu wtórnego wykorzystania materiału.

Najważniejsze akty i wytyczne obejmują:

  • RODO - rozporządzenie (UE) 2016/679, w szczególności art. 5, 6, 25, 32 i 35.
  • Wytyczne EROD 3/2019 dotyczące przetwarzania danych osobowych za pomocą urządzeń wideo, przyjęte w wersji końcowej 29 stycznia 2020 r.
  • AI Act - rozporządzenie (UE) 2024/1689. W systemach smart city szczególne znaczenie mają reguły dla systemów wysokiego ryzyka oraz ograniczenia dotyczące zdalnej identyfikacji biometrycznej.
  • Prawo krajowe regulujące monitoring jednostek publicznych oraz dostęp do informacji publicznej.
  • W Polsce - stanowiska UODO, a przy publikacji materiałów także Kodeks cywilny i ustawa o prawie autorskim i prawach pokrewnych w zakresie wizerunku.

W praktyce prawnej ważne są też rozbieżności dotyczące tablic rejestracyjnych. W Europie zamazywanie tablic jest często traktowane jako standard zgodności i ostrożności prawnej. W Polsce sytuacja nie jest jednolita. Wytyczne UODO, EROD i część argumentacji opartej na orzecznictwie TSUE wspierają podejście ostrożnościowe, natomiast linia orzecznicza sądów administracyjnych wskazywała, że sama tablica rejestracyjna nie zawsze stanowi daną osobową. Dla administratora publicznego oznacza to konieczność analizy kontekstu i ryzyka, a nie wyłącznie oparcia się na jednym poglądzie.

Jak smart city stosuje anonimizację zdjęć i nagrań wideo

W systemach miejskich anonimizacja nie oznacza zwykle usunięcia całego nagrania, lecz redukcję identyfikowalności określonych elementów obrazu. Najczęściej chodzi o twarze osób postronnych i tablice rejestracyjne pojazdów. To istotne przy przekazywaniu nagrań do jednostek organizacyjnych, publikacji materiałów promujących inwestycje, udostępnianiu materiału mediom lub wykorzystywaniu zbiorów do testów i szkoleń.

Technicznie proces obejmuje zwykle:

  • detekcję obiektów na klatkach obrazu,
  • śledzenie wykrytych obiektów między klatkami,
  • nałożenie maski anonimizującej, na przykład blur lub pikselizacji,
  • weryfikację jakości, aby nie pozostawić niezamazanych klatek.

Do automatycznego wykrywania twarzy i tablic stosuje się modele uczenia maszynowego, najczęściej oparte na deep learning. Sieć neuronowa jest najpierw trenowana na zbiorach danych zawierających oznaczone przykłady twarzy lub tablic rejestracyjnych. Dopiero taki wytrenowany model może zostać wykorzystany do automatycznego zamazywania na zdjęciach i nagraniach. Bez etapu uczenia model nie ma zdolności do wiarygodnej detekcji obiektów w zmiennych warunkach miejskich, takich jak deszcz, ruch, noc czy częściowe zasłonięcie twarzy.

W kontekście Gallio PRO trzeba wyraźnie rozróżnić zakres funkcji. Oprogramowanie automatycznie zamazuje twarze i tablice rejestracyjne. Nie zamazuje całych sylwetek. Nie wykonuje anonimizacji w czasie rzeczywistym ani anonimizacji strumienia wideo. Nie wykrywa automatycznie logotypów, tatuaży, tabliczek z imionami, dokumentów ani obrazu na monitorach. Takie elementy mogą być zamazywane manualnie w edytorze.

Kluczowe parametry i metryki dla prywatności wideo

Ocena systemu anonimizacji w smart city powinna opierać się na mierzalnych parametrach. Same deklaracje zgodności nie wystarczają. Dla IOD i zespołu IT ważna jest zarówno skuteczność detekcji, jak i ryzyko ujawnienia danych po anonimizacji.

Parametr

Znaczenie

Znaczenie praktyczne

 

Recall

Odsetek rzeczywistych twarzy lub tablic poprawnie wykrytych

Niski recall zwiększa ryzyko pozostawienia danych osobowych

Precision

Odsetek poprawnych wykryć wśród wszystkich wykryć

Niska precision zwiększa liczbę błędnych masek

IoU

Intersection over Union dla ramki detekcji

Wpływa na to, czy maska faktycznie zakrywa cały obszar twarzy lub tablicy

Frame coverage

Odsetek klatek z poprawnie utrzymaną maską

Istotne przy ruchu kamery i szybkim przemieszczaniu się obiektu

Latency przetwarzania

Czas obróbki materiału

Wpływa na wydajność pracy urzędu, a w systemach offline określa czas przygotowania materiału do udostępnienia

Retencja nagrań

Okres przechowywania materiału źródłowego

Musi być uzasadniony celem i polityką administratora

Przy ocenie ryzyka można stosować prosty model operacyjny:

Ryzyko ujawnienia = prawdopodobieństwo niewykrycia x skutek identyfikacji

Jeżeli materiał ma być szerzej udostępniony, wymagany poziom skuteczności anonimizacji powinien być wyższy niż przy obiegu wewnętrznym i ściśle kontrolowanym.

Use case dla samorządu - publikacja i udostępnianie nagrań

Typowy przypadek użycia dotyczy miejskiego monitoringu skrzyżowań, przystanków i placów. Miasto chce wykorzystać nagrania do analizy ruchu, dokumentacji inwestycji albo odpowiedzi na wniosek o dostęp do informacji publicznej. Materiał zawiera jednak twarze przechodniów i numery tablic.

Bezpieczny przebieg procesu obejmuje zwykle następujące etapy:

  • ustalenie celu wtórnego wykorzystania materiału,
  • weryfikację podstawy prawnej i konieczności wykonania DPIA zgodnie z art. 35 RODO,
  • selekcję zakresu nagrania niezbędnego dla celu,
  • automatyczne zamazanie twarzy i tablic rejestracyjnych,
  • manualną kontrolę materiału pod kątem pozostałych identyfikatorów,
  • udostępnienie kopii przetworzonej zamiast pliku źródłowego,
  • zastosowanie polityki retencji i kontroli dostępu.

Takie podejście wspiera zasadę privacy by design z art. 25 RODO. Oznacza też ograniczenie liczby operacji wykonywanych na materiale źródłowym przez osoby nieuprawnione. W środowisku on-premise dodatkową korzyścią jest brak potrzeby przesyłania nagrań do zewnętrznych usług chmurowych, co upraszcza analizę przepływów danych i transferów.

Wyzwania i ograniczenia w projektach smart city

Nawet poprawnie zaprojektowany system nie eliminuje wszystkich ryzyk. Najczęstsze problemy mają charakter techniczny i organizacyjny. Dotyczą jakości obrazu, kąta kamery, oświetlenia, kompresji, a także błędów przy wtórnym wykorzystaniu materiału.

Do najważniejszych ograniczeń należą:

  • spadek skuteczności detekcji przy niskiej rozdzielczości i silnej kompresji,
  • częściowe zasłonięcie twarzy lub tablicy,
  • ryzyko identyfikacji pośredniej mimo zamazania, na przykład przez kontekst miejsca i czasu,
  • konieczność rozróżnienia materiału dowodowego od materiału przeznaczonego do publikacji,
  • niejednolite podejście do kwalifikacji tablic rejestracyjnych w Polsce.

W przypadku wizerunku osób należy pamiętać, że obowiązek anonimizacji może wynikać nie tylko z RODO, ale także z ochrony dóbr osobistych i zasad rozpowszechniania wizerunku. Wyjątki obejmują osobę powszechnie znaną, gdy wizerunek wykonano w związku z pełnieniem przez nią funkcji publicznych, wizerunek jako szczegół całości takiej jak zgromadzenie, krajobraz lub publiczna impreza oraz sytuację, gdy osoba otrzymała umówioną zapłatę za pozowanie. Każdy z tych przypadków wymaga jednak oceny konkretnego stanu faktycznego.