badania ruchu drogowego
Prawo

Jak gmina anonimizuje dane ANPR w badaniach ruchu drogowego?

Coraz więcej miast średniej wielkości sięga po ANPR w badaniach ruchu drogowego. Technologia daje precyzyjne dane o przepływach i czasie podróży. Wraz z nią wraca pytanie o prywatność i zgodność z RODO. Czy da się pogodzić potrzeby planistów z prawami kierowców? W tym tekście wyjaśniam zasady, ryzyka i dobre praktyki, które działają w 2025 roku.

Dowiesz się, kiedy dane z kamer stają się danymi osobowymi, kiedy potrzebna jest ocena skutków, jak anonimizować numery tablic i jak układać zamówienia na badania ruchu, aby ograniczyć ryzyko.

Czy montaż ANPR w badaniach ruchu drogowego narusza RODO?

Nie, jeśli jest prowadzony na właściwej podstawie prawnej, w zgodzie z zasadą minimalizacji oraz z wdrożonymi środkami technicznymi i organizacyjnymi.

ANPR w badaniach ruchu drogowego może być zgodny z RODO, gdy administrator jasno określi cel statystyczny, wybierze odpowiednią podstawę prawną i ograniczy dane do niezbędnego zakresu. W praktyce często stosuje się podstawę realizacji zadania publicznego albo prawnie uzasadniony interes, nie zaś zgodę, która w ruchu drogowym bywa niefunkcjonalna. Kluczowe jest też szybkie przejście od danych źródłowych do form zanonimizowanych, takich jak macierze więźby, oraz krótka retencja danych operacyjnych.

Jakie rodzaje danych zbiera system ANPR i czy są to dane osobowe?

System rejestruje obraz, numer rejestracyjny, czas i miejsce przejazdu oraz kategorię pojazdu. Te dane mogą być danymi osobowymi.

Numery rejestracyjne w połączeniu z czasem i lokalizacją mogą umożliwić identyfikację właściciela lub użytkownika pojazdu, więc podlegają RODO. Obraz tablicy i sylwetka pojazdu to także dane, które trzeba chronić. W badaniach tranzytu ANPR źródłem są punkty kordonowe i wewnętrzne, które wyłapują wjazdy i wyjazdy, aby zbudować macierze przepływu oraz informacje o czasie podróży. Im krótsze przechowywanie surowego obrazu i im szybsze przejście do danych przetworzonych, tym mniejsze ryzyko.

Kiedy stosowanie ANPR wymaga oceny skutków dla ochrony danych?

Gdy mamy do czynienia z systematycznym monitorowaniem przestrzeni publicznej na większą skalę albo łączeniem danych z wielu punktów i długim okresem rejestracji.

Badania kordonowe w skali całego miasta zwykle spełniają kryteria oceny skutków. Ocena skutków obejmuje opis operacji, ocenę konieczności i proporcjonalności, analizę ryzyk dla praw osób oraz plan środków ograniczających ryzyko. Warto włączyć do niej model zagrożeń, scenariusze nadużyć i test równowagi dla podstawy prawnej. Dobrą praktyką jest też konsultacja inspektora ochrony danych i dokumentowanie decyzji.

Jak skutecznie anonimizować dane z kamer do wideorejestracji?

Najbezpieczniej usuwać obraz i nie zapisywać numerów w postaci jawnej, a następnie przetwarzać dane do postaci zagregowanej.

Skuteczne techniki to:

  • przetwarzanie brzegowe, czyli odczyt numeru i kategoryzacja na urządzeniu, bez zapisu pełnej klatki obrazu,
  • natychmiastowe skracanie danych do potrzeb badania, na przykład trzymanie tylko znacznika punktu, czasu i klasy pojazdu,
  • jednokierunkowe skróty numerów tablic z zastosowaniem tajnego klucza i szybkie usuwanie klucza po zakończeniu dopasowań,
  • agregacja wyników do macierzy więźby i statystyk czasu podróży oraz usuwanie rekordów jednostkowych,
  • progi k‑anonimowości. Nie publikować i nie udostępniać par punktów o bardzo rzadkich przejazdach,
  • brak przekazywania wykonawcy obrazów i surowych numerów, jeśli nie jest to konieczne do celu.

Uwaga na różnicę między pseudonimizacją a anonimizacją. Pseudonimizacja wciąż podlega RODO. Anonimizacja musi być nieodwracalna na dostępnych środkach.

Jak ograniczyć okres przechowywania danych i cele przetwarzania?

Określić jeden, wąski cel statystyczny i krótki, z góry ustalony okres retencji dla danych operacyjnych.

Dane surowe powinny znikać jak najszybciej po ekstrakcji cech. Pseudonimowe rekordy trzyma się tylko do czasu zbudowania macierzy i weryfikacji jakości. Wyniki zagregowane można przechowywać dłużej, bo nie pozwalają na identyfikację osoby. W dokumentacji warto opisać harmonogramy usuwania, automatyzację kasowania i procedury potwierdzania usunięcia przez wykonawcę. Zakaz dalszego użycia danych do innych celów niż badania ruchu drogowego ogranicza ryzyka łączenia baz.

Jakie środki techniczne i organizacyjne zmniejszają ryzyko naruszeń?

Szyfrowanie, kontrola dostępu, rejestry operacji, przetwarzanie lokalne, szkolenia i umowy powierzenia.

W praktyce sprawdza się zestaw:

  • prywatność w fazie projektu i domyślne ustawienia prywatności,
  • szyfrowanie transmisji i nośników, klucze w bezpiecznym module,
  • kontrola dostępu oparta na rolach i zasada minimalnych uprawnień,
  • dzienniki zdarzeń i regularne testy bezpieczeństwa,
  • przetwarzanie danych w Europejskim Obszarze Gospodarczym lub z zastosowaniem odpowiednich narzędzi transferowych,
  • umowy z podmiotami przetwarzającymi, obejmujące podwykonawców, miejsca przetwarzania i plan reagowania na incydenty,
  • szkolenia zespołu i procedury zgłaszania naruszeń.

Czy informowanie i oznakowanie miejsc pomiarów wystarczy dla RODO?

To konieczne, ale niewystarczające. Potrzebna jest jeszcze podstawa prawna, ocena ryzyk i adekwatne zabezpieczenia.

Oznakowanie punktów pomiarowych powinno stosować warstwową informację. Na tablicy lub naklejce znajdują się cel, podstawa prawna, tożsamość administratora oraz sposób realizacji praw. Pełna klauzula informacyjna może być dostępna online. Taki obowiązek informacyjny nie zastępuje jednak analizy zgodności, oceny skutków, kontroli dostępu czy zarządzania retencją. Informacja musi być zrozumiała i dostępna dla kierowców także po zakończeniu badania, na przykład poprzez stronę z opisem projektu.

Jak przygotować zamówienie na pomiary, by chronić prywatność?

Wpisać wymagania prywatności do opisu przedmiotu zamówienia, kryteriów odbioru i umowy.

Dobry brief obejmuje:

  • cel i zakres badania, na przykład macierz więźby dla klas pojazdów bez przekazywania surowych numerów,
  • podstawę prawną i zasady minimalizacji, w tym brak wykorzystywania danych do innych celów,
  • wymóg przetwarzania brzegowego i usuwania obrazów po ekstrakcji cech,
  • techniki anonimizacji i progi publikacji dla rzadkich relacji,
  • harmonogram retencji oraz potwierdzenie usunięcia danych operacyjnych,
  • miejsca przetwarzania, narzędzia transferowe i zakaz nieuzgodnionych transferów,
  • wsparcie wykonawcy w przygotowaniu oceny skutków,
  • kontrolę podwykonawców, sposób audytu i dzienniki dostępu,
  • kryteria odbioru. Akceptowane są tylko zanonimizowane wyniki, takie jak macierze przepływu czy zestawienia czasu podróży.

Zachowanie prywatności nie wyklucza wartości analitycznej. W badaniach tranzytu ANPR liczą się zagregowane wyniki, czyli macierze przepływu oraz rozkład czasu podróży, a nie konkretne numery. Dzięki temu miasta otrzymują wiarygodne dane do planowania, a kierowcy zachowują prawo do ochrony swoich informacji.

Przygotuj badania ruchu drogowego zgodnie z RODO i zamów metodykę ANPR z wbudowaną anonimowością danych.

Planujesz badania ruchu z użyciem ANPR? Pobierz gotowy wzór zamówienia i checklistę środków (przetwarzanie brzegowe, jednokierunkowe skróty, krótkie retencje, progi k‑anonimowości), które zapewnią zgodność z RODO: https://pomiaryruchu.eu/badania-tranzytu-anpr/.

Powiązane treści: