Zgłoszenie naruszenia danych wideo (art. 33 RODO) - definicja
Zgłoszenie naruszenia danych wideo to formalne zawiadomienie organu nadzorczego o naruszeniu ochrony danych osobowych, jeżeli naruszenie dotyczy materiałów foto lub wideo i może powodować ryzyko naruszenia praw lub wolności osób fizycznych. W Unii Europejskiej podstawą prawną jest art. 33 rozporządzenia (UE) 2016/679, czyli RODO. W Polsce zgłoszenie kieruje się do Prezesa Urzędu Ochrony Danych Osobowych.
W kontekście zdjęć i nagrań chodzi przede wszystkim o sytuacje, w których doszło do utraty poufności, dostępności lub integralności materiałów zawierających możliwe do rozpoznania osoby. Dotyczy to na przykład nagrań z monitoringu, dokumentacji wideo z inspekcji, zdjęć roboczych, materiałów dowodowych lub archiwów multimedialnych przed anonimizacją. Jeżeli na obrazie widoczne są twarze, tablice rejestracyjne albo inne elementy pozwalające pośrednio zidentyfikować osobę, materiał może stanowić dane osobowe. Ocena nie kończy się więc na samym fakcie wycieku pliku. Kluczowe jest to, czy osoba może zostać zidentyfikowana przy użyciu rozsądnie prawdopodobnych środków, zgodnie z motywem 26 RODO.
Art. 33 ust. 1 RODO nakazuje zgłosić naruszenie „bez zbędnej zwłoki”, nie później niż w ciągu 72 godzin od stwierdzenia naruszenia, chyba że jest mało prawdopodobne, aby skutkowało ono ryzykiem naruszenia praw lub wolności osób fizycznych. Sam wyciek nie przesądza jeszcze o obowiązku zawiadomienia osób, których dane dotyczą. To odrębny obowiązek z art. 34 RODO, uruchamiany przy wysokim ryzyku.
Kiedy wyciek nagrań lub zdjęć rodzi obowiązek zgłoszenia do UODO
W praktyce compliance najtrudniejsze jest odróżnienie incydentu technicznego od naruszenia ochrony danych osobowych wymagającego notyfikacji. W przypadku materiałów wizualnych należy badać nie tylko źródło incydentu, ale też zawartość obrazu, stopień identyfikowalności i możliwość dalszego wykorzystania danych.
Obowiązek zgłoszenia do UODO co do zasady powstaje wtedy, gdy łącznie występują dwa elementy: doszło do naruszenia ochrony danych osobowych oraz istnieje co najmniej ryzyko naruszenia praw lub wolności osób fizycznych. Przykładowe zdarzenia obejmują:
- nieuprawnione ujawnienie niezanonimizowanych nagrań z widocznymi twarzami,
- udostępnienie zdjęć lub plików wideo niewłaściwemu odbiorcy,
- kradzież nośnika z archiwum multimedialnym,
- atak ransomware obejmujący repozytorium materiałów foto-wideo,
- błędną publikację materiału, w którym nie zamazano twarzy lub tablic rejestracyjnych,
- utratę kontroli nad kopiami roboczymi eksportowanymi do zewnętrznej obróbki.
Jeżeli materiał został skutecznie zanonimizowany przed incydentem, ryzyko może być istotnie niższe lub nie wystąpić. Dotyczy to jednak tylko sytuacji, gdy anonimizacja jest nieodwracalna w rozsądnie prawdopodobnym modelu zagrożeń. Samo częściowe rozmycie niskiej jakości albo wadliwe zamazanie nie daje automatycznie takiego efektu.
Termin 72 godzin i moment stwierdzenia naruszenia
Termin z art. 33 RODO liczony jest od chwili stwierdzenia naruszenia, a nie od chwili samego zdarzenia. Europejska Rada Ochrony Danych w wytycznych dotyczących zgłaszania naruszeń wskazuje, że administrator uznaje naruszenie za stwierdzone wtedy, gdy ma wystarczającą pewność, że doszło do incydentu bezpieczeństwa prowadzącego do naruszenia danych osobowych.
W praktyce dla materiałów wideo warto rozdzielić trzy znaczniki czasu:
Etap | Znaczenie operacyjne | Znaczenie prawne
|
|---|---|---|
Wykrycie incydentu | Sygnał o możliwym problemie | Nie zawsze uruchamia termin |
Potwierdzenie naruszenia | Ustalenie, że dotyczy danych osobowych | Najczęściej od tej chwili biegnie 72 h |
Uzupełnienie ustaleń | Doszczegółowienie skali i skutków | Możliwe zgłoszenie etapowe zgodnie z art. 33 ust. 4 |
Jeżeli pełne dane nie są dostępne w 72 godziny, administrator może przekazać zgłoszenie częściowe, a brakujące informacje dosłać później bez nieuzasadnionej zwłoki.
Zakres zgłoszenia naruszenia danych wideo
Treść zgłoszenia wynika bezpośrednio z art. 33 ust. 3 RODO. Dla incydentów dotyczących zdjęć i wideo konieczne jest opisanie zarówno aspektu prawnego, jak i technicznego. Sam ogólny opis typu „wyciek nagrań” jest niewystarczający.
Zgłoszenie powinno obejmować co najmniej:
- charakter naruszenia - na przykład nieuprawnione ujawnienie plików MP4 i JPG z widocznymi twarzami,
- kategorie i przybliżoną liczbę osób, których dane dotyczą,
- kategorie i przybliżoną liczbę rekordów danych osobowych,
- imię i nazwisko oraz dane kontaktowe inspektora ochrony danych albo innego punktu kontaktowego,
- opis możliwych konsekwencji dla osób fizycznych,
- opis środków zastosowanych lub proponowanych w celu zaradzenia naruszeniu i ograniczenia jego skutków.
Dla materiałów wizualnych warto doprecyzować parametry techniczne, bo wpływają na ocenę ryzyka. Znaczenie mają między innymi: rozdzielczość, długość nagrania, liczba kamer, możliwość odczytu tablic rejestracyjnych, obecność dźwięku, geolokalizacja, metadane EXIF, znaczniki czasu, retencja kopii i poziom szyfrowania nośnika.
Ocena ryzyka przy zdjęciach i nagraniach przed anonimizacją
Ocena ryzyka nie może być abstrakcyjna. Materiał wideo często niesie większy ciężar identyfikacyjny niż pojedynczy rekord tekstowy, bo łączy obraz, kontekst miejsca, czas i sekwencję zachowania. Dotyczy to szczególnie nagrań przed zastosowaniem rozmywania twarzy i tablic rejestracyjnych.
Przy analizie przydatne są następujące atrybuty:
Atrybut | Znaczenie dla ryzyka | Przykład
|
|---|---|---|
Identyfikowalność twarzy | Wysoka rozdzielczość zwiększa ryzyko rozpoznania | 4K, zbliżenie twarzy |
Identyfikowalność pojazdu | Możliwość odczytu tablic i powiązania z osobą | Parking firmowy |
Kontekst sytuacyjny | Ujawnia nawyki, miejsce pracy, trasę, relacje | Wejście do placówki medycznej |
Skala incydentu | Wpływa na priorytet i zakres działań | 10 plików vs 10 000 plików |
Skuteczność anonimizacji | Obniża ryzyko tylko przy realnej nieodwracalności | Trwałe zamazanie eksportu końcowego |
W środowiskach do przetwarzania obrazu stosuje się modele AI oparte na uczeniu głębokim do detekcji twarzy i tablic rejestracyjnych, a następnie algorytmy rozmywania lub maskowania. Sam model detekcyjny nie jest anonimizacją. To etap wykrycia obiektu. Ryzyko naruszenia maleje dopiero po poprawnym zastosowaniu maski i weryfikacji wyniku. Jeżeli przed eksportem pozostają niezamazane twarze lub tablice, materiał nadal zawiera dane osobowe.
Praktyka organizacyjna i środki ograniczające skutki naruszenia
Dobre zgłoszenie powinno pokazywać, że administrator rozumie źródło incydentu i wdrożył środki zaradcze. W obszarze foto-wideo zwykle obejmują one kontrolę dostępu, segmentację repozytoriów, szyfrowanie, retencję i procedury weryfikacji anonimizacji przed publikacją lub przekazaniem materiału.
W praktyce warto udokumentować:
- czy materiał był przetwarzany lokalnie w środowisku on-premise czy poza nim,
- czy pliki były zaszyfrowane w spoczynku i podczas transferu,
- czy dostęp nadawano zgodnie z zasadą najmniejszych uprawnień,
- czy przeprowadzono kontrolę jakości zamazania twarzy i tablic rejestracyjnych,
- czy kopie robocze i eksporty tymczasowe zostały usunięte lub odizolowane,
- czy prowadzono rejestr naruszeń zgodnie z art. 33 ust. 5 RODO.
Dokumentacja wewnętrzna ma znaczenie dowodowe. Nawet gdy administrator dochodzi do wniosku, że zgłoszenie do UODO nie jest wymagane, powinien umieć wykazać tok oceny i podstawę tej decyzji.
Odniesienia normatywne i interpretacyjne
Podstawą są przepisy i oficjalne wytyczne. W przypadku danych wizualnych szczególne znaczenie mają źródła unijne oraz krajowa praktyka organu nadzorczego.
- Rozporządzenie (UE) 2016/679, art. 4 pkt 12, art. 33, art. 34, motyw 26 - Parlament Europejski i Rada, 2016.
- Wytyczne Grupy Roboczej Art. 29 dotyczące zgłaszania naruszeń danych osobowych na mocy rozporządzenia 2016/679, WP250 rev.01, przyjęte 6 lutego 2018, zatwierdzone przez EROD.
- Wytyczne EROD 01/2021 dotyczące przykładów naruszeń danych osobowych, wersja 2.0, przyjęte 14 grudnia 2021.
- Materiały i formularze zgłoszeniowe Prezesa UODO dotyczące zgłaszania naruszeń ochrony danych osobowych.