Czym jest udostępnianie nagrań monitoringu a RODO?

Udostępnianie nagrań monitoringu a RODO - definicja

Udostępnianie nagrań monitoringu a RODO to zbiór zasad określających, kiedy administrator może przekazać zapis wideo lub zdjęcia z monitoringu innemu podmiotowi oraz jakie zabezpieczenia musi zastosować, aby nie naruszyć praw osób widocznych na materiale. W praktyce chodzi o operację przetwarzania danych osobowych w rozumieniu art. 4 pkt 2 Rozporządzenia (UE) 2016/679, ponieważ nagranie zawierające wizerunek twarzy, cechy sylwetki, zachowanie, kontekst miejsca i czasu, a niekiedy także tablice rejestracyjne, może pozwalać na identyfikację osoby fizycznej.

W kontekście zdjęć i nagrań wideo samo przekazanie pliku nie jest czynnością techniczną neutralną. Jest to ujawnienie danych odbiorcy zewnętrznemu. Wymaga więc podstawy prawnej z art. 6 ust. 1 RODO, ograniczenia celu, minimalizacji zakresu danych z art. 5 ust. 1 lit. b i c RODO oraz wdrożenia środków bezpieczeństwa z art. 32 RODO. Jeżeli materiał ma trafić do osoby trzeciej, która nie potrzebuje pełnego, niezanonimizowanego obrazu, administrator powinien rozważyć wcześniejsze zamazanie twarzy i tablic rejestracyjnych albo przygotowanie kopii ograniczonej do niezbędnego fragmentu.

Dla monitoringu istotne jest też rozróżnienie między udostępnieniem a powierzeniem przetwarzania. Jeżeli podmiot zewnętrzny działa we własnym celu, na przykład policja prowadząca postępowanie, mamy do czynienia z odrębnym odbiorcą danych. Jeżeli natomiast firma serwisująca system CCTV działa wyłącznie na polecenie administratora, co do zasady jest procesorem i wymaga umowy powierzenia zgodnej z art. 28 RODO.

Kiedy udostępnienie nagrań z monitoringu jest zgodne z prawem

Zgodność z prawem zależy od celu przekazania, statusu odbiorcy i zakresu materiału. Nie ma jednej podstawy prawnej dla wszystkich przypadków. Ocena musi być udokumentowana i powiązana z konkretnym żądaniem lub obowiązkiem.

Najczęściej stosowane podstawy przedstawia poniższe zestawienie.

Odbiorca

Typowa podstawa

Warunek

Zakres przekazania

 

Policja, prokuratura, sąd

art. 6 ust. 1 lit. c RODO lub lit. f RODO

żądanie oparte na przepisie prawa lub innym uprawnieniu procesowym

materiał niezbędny dla postępowania

Ubezpieczyciel

art. 6 ust. 1 lit. f RODO lub przepis szczególny

wykazanie uzasadnionego interesu lub obowiązku prawnego

fragment związany ze szkodą

Strona postępowania cywilnego

indywidualna ocena - zwykle lit. f lub wykonanie obowiązku prawnego

konieczność dochodzenia lub obrony roszczeń

zakres ograniczony, często po anonimizacji osób postronnych

Osoba, której dane dotyczą

art. 15 RODO

realizacja prawa dostępu, z uwzględnieniem praw innych osób

kopia danych lub wgląd, zwykle po anonimizacji innych osób

Nie jest zgodne z RODO przekazywanie całych nagrań „na wszelki wypadek”, bez weryfikacji celu i bez ograniczenia zakresu. Naruszeniem może być także wydanie materiału osobie prywatnej tylko dlatego, że twierdzi, iż „jest na nagraniu”, jeżeli administrator nie zweryfikuje tożsamości i nie zabezpieczy danych innych osób.

Anonimizacja i zamazywanie przed udostępnieniem nagrań

W praktyce compliance kluczowe znaczenie ma przygotowanie wersji materiału adekwatnej do celu. Jeżeli odbiorca nie potrzebuje pełnej identyfikacji wszystkich osób i pojazdów, należy ograniczyć dane. W nagraniach wideo najczęściej oznacza to zamazanie twarzy i tablic rejestracyjnych oraz wycięcie zbędnych fragmentów czasowych.

Automatyczne zamazywanie twarzy i tablic rejestracyjnych jest zwykle oparte na modelach detekcji obiektów trenowanych metodami deep learning. Model AI nie „anonimizuje” w sensie prawnym, lecz wspiera techniczne wykonanie zasady minimalizacji lub pseudonimizacji materiału przed udostępnieniem. Aby taki model działał, wcześniej musi zostać wytrenowany na zbiorach danych zawierających odpowiednio oznaczone twarze lub tablice. Następnie wykorzystywany jest do wykrywania obiektów na klatkach obrazu i nałożenia maski rozmycia albo zasłonięcia. Skuteczność procesu zależy od jakości materiału, oświetlenia, kąta ujęcia, kompresji i liczby pominiętych detekcji.

W środowisku Gallio PRO automatyczne przetwarzanie dotyczy wyłącznie twarzy i tablic rejestracyjnych. Oprogramowanie nie zamazuje całych sylwetek, nie wykonuje anonimizacji strumienia wideo ani anonimizacji w czasie rzeczywistym. Nie wykrywa też automatycznie logotypów, tatuaży, tabliczek z imionami, dokumentów ani treści na ekranach monitorów. Takie elementy można ukryć manualnie w edytorze. To istotne przy przekazywaniu nagrań, ponieważ administrator powinien sprawdzić, czy poza twarzą i tablicą na materiale nie występują inne identyfikatory wymagające ręcznego ukrycia.

Policja, ubezpieczyciel i strony postępowania - praktyczne zasady

Najwięcej błędów pojawia się wtedy, gdy administrator traktuje wszystkie wnioski jednakowo. Tymczasem dopuszczalny zakres udostępnienia zależy od statusu odbiorcy i podstawy prawnej.

W praktyce warto stosować następujące reguły:

  • policji lub prokuraturze przekazuje się materiał odpowiadający treści żądania, z odnotowaniem daty, podstawy i zakresu przekazania,
  • ubezpieczyciel powinien otrzymać tylko materiał potrzebny do likwidacji konkretnej szkody, a nie pełne archiwum z wielu kamer,
  • stronie postępowania cywilnego często można wydać kopię po anonimizacji osób postronnych, jeżeli ich identyfikacja nie jest konieczna dla celu dowodowego,
  • osobie nagranej nie należy automatycznie wydawać surowego pliku, gdyż realizacja prawa dostępu z art. 15 RODO musi uwzględniać prawa i wolności innych osób.

Naruszeniem będzie w szczególności publikacja nagrania w internecie, przesłanie go przez niekontrolowany komunikator, przekazanie materiału bez weryfikacji tożsamości odbiorcy albo bez usunięcia danych osób postronnych. Europejska Rada Ochrony Danych w Wytycznych 3/2019 dotyczących przetwarzania danych przez urządzenia wideo wskazuje, że prawa innych osób obecnych na nagraniu mogą uzasadniać ograniczenie dostępu lub zastosowanie środków technicznych, takich jak maskowanie obrazu.

Kluczowe parametry i kontrola ryzyka przy udostępnianiu nagrań

Przy ocenie procesu warto stosować mierzalne kryteria. Nie wszystkie wynikają wprost z przepisów, ale są potrzebne do wykazania należytej staranności i skuteczności zabezpieczeń.

Parametr

Znaczenie praktyczne

Typowy cel kontrolny

 

zakres czasowy nagrania

minimalizacja danych

wyłącznie okres związany z incydentem

liczba kamer ujętych w eksporcie

ograniczenie nadmiarowości

tylko kamery istotne dla sprawy

odsetek klatek z poprawnie zamazaną twarzą lub tablicą

ocena skuteczności maskowania

kontrola jakości przed wydaniem

czas retencji kopii roboczej

bezpieczeństwo operacyjne

usunięcie po zakończeniu celu

sposób transferu

poufność i integralność

szyfrowany nośnik lub bezpieczny kanał

Jeżeli stosowane jest automatyczne zamazywanie, administrator powinien przewidzieć kontrolę błędów typu false negative, czyli niewykrytych twarzy lub tablic. Przy materiale niskiej jakości sama automatyka może być niewystarczająca i konieczna jest walidacja manualna. To ma znaczenie dowodowe i compliance, bo pojedyncza pominięta twarz może oznaczać ujawnienie danych osobowych osobie nieuprawnionej.

Odniesienia normatywne i rozbieżności interpretacyjne

Podstawowe źródła to RODO - Rozporządzenie (UE) 2016/679 z 27 kwietnia 2016 r., Wytyczne EROD 3/2019 dotyczące przetwarzania danych osobowych przez urządzenia wideo, a w Polsce także przepisy sektorowe regulujące monitoring, na przykład Kodeks pracy po nowelizacji z 2018 r. oraz ustawa z 10 maja 2018 r. o ochronie danych osobowych. W sprawach cywilnych i karnych znaczenie mają również przepisy proceduralne dotyczące zabezpieczenia i wydawania dowodów.

W odniesieniu do tablic rejestracyjnych istnieje rozbieżność interpretacyjna. W praktyce europejskiej i w stanowiskach organów ochrony danych często przyjmuje się, że numer rejestracyjny może być daną osobową, jeżeli w konkretnym kontekście umożliwia identyfikację właściciela lub użytkownika pojazdu. EROD skłania się ku ostrożnemu podejściu, podobnie orzecznictwo TSUE dotyczące szerokiego rozumienia identyfikowalności. Z drugiej strony w polskim orzecznictwie administracyjnym występują stanowiska, zgodnie z którymi sama tablica rejestracyjna nie zawsze stanowi daną osobową. Z perspektywy zarządzania ryzykiem przy udostępnianiu nagrań bezpieczniejsze jest więc traktowanie tablic jako identyfikatora wymagającego oceny i często zamazania.

W odniesieniu do twarzy sytuacja jest bardziej jednoznaczna. Wizerunek utrwalony na nagraniu co do zasady stanowi daną osobową, a jego rozpowszechnianie podlega także ograniczeniom wynikającym z Kodeksu cywilnego i ustawy o prawie autorskim i prawach pokrewnych. Wyjątki dotyczą zwykle osoby powszechnie znanej w związku z pełnieniem funkcji publicznych, szczegółu większej całości oraz sytuacji, gdy osoba otrzymała umówioną zapłatę za pozowanie.