policy ISO 27701 PIMS Policy Pack

Politika ochrany soukromí pro kamerové systémy (CCTV) a fyzické monitorování

Politika ochrany soukromí pro kamerové systémy (CCTV) dle ISO/IEC 27701 pro účely monitorování, informačního označení, přístupu, uchovávání, zpřístupnění, incidentů a řízení důkazů.

Přehled

Tato politika definuje opatření ochrany soukromí pro kamerové systémy (CCTV), monitorování návštěvníků, logy fyzického přístupu a související PII z monitorování. Požaduje schválené účely, informační označení, přezkum rizik, omezení přístupu, opatření pro uchovávání a výmaz, správu zpřístupnění, směrování žádostí o uplatnění práv, eskalaci incidentů a správu důkazů v PIMS.

Opatření pro účelové monitorování

Požaduje, aby činnosti kamerových systémů (CCTV) a fyzického monitorování byly před aktivací definovány, schváleny a dokumentovány.

Důkazy o transparentním oznámení

Propojuje informační označení monitorování a oznámení just-in-time se schválenými účely zpracování a záznamy důkazů v PIMS.

Správa přístupu a uchovávání

Řídí prohlížení, export, zpřístupnění, výmaz, retenční blokace a přezkum privilegovaného přístupu k PII z monitorování.

Přečíst celý přehled (click to expand)
Politika ochrany soukromí pro kamerové systémy (CCTV) a fyzické monitorování stanoví opatření ochrany soukromí pro činnosti monitorování, které shromažďují nebo jinak zpracovávají PII. Její rozsah zahrnuje kamerové systémy (CCTV), videomonitorování, monitorování návštěvníků, logy fyzického řízení přístupu, záznamy monitorování prováděného ostrahou, systémy monitorování prostor a související fyzické monitorování. Politika se uplatní tam, kde organizace vystupuje jako správce PII pro vlastní prostory, a tam, kde podporuje činnosti zpracovatele nebo dílčího zpracovatele tím, že jménem zákazníka provozuje, hostuje, přezkoumává, ukládá, zpřístupňuje, maže nebo jinak zpracovává kamerové záznamy, údaje o návštěvnících nebo logy fyzického přístupu. Politika je navržena tak, aby zajistila, že monitorování je účelové, transparentní, přiměřené, řízené z hlediska přístupu, uchovávané po stanovené doby, zpřístupňované pouze schválenými kanály a podložené auditovatelnými důkazy PIMS. Před zahájením monitorování musí vlastník procesu nebo vlastník podnikové činnosti zaznamenat každou monitorovací činnost v REG02, včetně účelu, právního základu, monitorovaného místa, kategorií PII, kategorií subjektů PII, uchovávání, oznámení, přístupu a polí zpřístupnění. Vedoucí ochrany soukromí / manažer PIMS tyto záznamy validuje před aktivací nové nebo významně změněné monitorovací činnosti. Schválené monitorované zóny, vyloučené zóny a hranice shromažďování musí být rovněž zaznamenány před zapnutím kamer, senzorů, návštěvních logů nebo protokolování řízení přístupu. Politika klade důraz na transparentnost a přezkum založený na rizicích. Důkazy o informačním označení monitorování nebo rovnocenném oznámení just-in-time musí být zaznamenány v REG07 před zpřístupněním monitorovaných prostor subjektům PII a každé oznámení musí být propojeno s odpovídajícím účelem zpracování v REG02. U nezjevného nebo nouzového monitorování musí být zaznamenána alternativní opatření transparentnosti. Monitorování s vyšším rizikem, včetně systematického monitorování, zvukového záznamu, biometrické identifikace, detekce s analytickými funkcemi, citlivých míst, zranitelných osob nebo nezjevného monitorování, vyžaduje před aktivací rozhodnutí REG04 o riziku pro soukromí. Pokud je monitorování vysoce rizikové, nezjevné, rozsáhlé, zaměřené na zaměstnance nebo podléhá nevyřešené eskalaci žádostí o uplatnění práv nebo incidentu, pověřenec pro ochranu osobních údajů / poradce pro ochranu osobních údajů poskytne stanovisko v REG04 nebo REG12. Provozní opatření řeší přístup, prohlížení, export, zpřístupnění, uchovávání, výmaz a eskalaci incidentů. Vedoucí informační bezpečnosti definuje oprávněné přístupové role pro záznamy monitorování, záznamy návštěvníků a logy fyzického přístupu, zatímco vlastník systému / vlastník aplikace konfiguruje omezení přístupu a nejméně čtvrtletně zaznamenává výsledky přezkumu privilegovaného přístupu v REG12. Rutinní výmaz, přepisování nebo vypnutí expirovaných záznamů monitorování musí být nakonfigurovány podle REG02, přičemž důkazy o dokončení výmazu nebo přepsání musí být zaznamenávány alespoň měsíčně u repozitářů podléhajících automatizovanému nebo plánovanému výmazu. Retenční blokace a extrahované kopie vyžadují schválení a záznam v REG12 před prodloužením běžné doby uchovávání. Externí zpřístupnění se zaznamenávají v REG08 před zpřístupněním, nebo v REG10 do jednoho pracovního dne, pokud je zpřístupnění součástí aktivní reakce na incidenty. Politika rovněž definuje správu a řízení outsourcovaného monitorování a služby fyzické bezpečnosti. Poskytovatelé outsourcovaných monitorovacích systémů, poskytovatelé ostrahy, poskytovatelé správy návštěv a poskytovatelé fyzického řízení přístupu musí být před zahájením služby zaznamenáni v REG08, včetně rozsahu, statusu zpracovatele nebo dílčího zpracovatele, přístupových oprávnění, podpory uchovávání, podpory výmazu, eskalace incidentů a omezení zpřístupnění. Dohled je zajišťován prostřednictvím čtvrtletních metrik, každoročních přezkumů, auditního testování, ošetření výjimek, zaznamenávání neshod, vlastnictví nápravných opatření a eskalace k vrcholovému vedení, je-li to vyžadováno. Tím vzniká rámec založený na důkazech pro řízení povinností ochrany soukromí u kamerových systémů (CCTV) a fyzického monitorování v kontextu správce i zpracovatele.

Diagram politiky

Diagram toku procesu znázorňující správu a řízení kamerových systémů (CCTV) a fyzického monitorování: definování účelu a rozsahu v REG02, posouzení rizika v REG04, zveřejnění důkazů o oznámení v REG07, konfigurace opatření pro přístup a uchovávání, řízení zpřístupnění a poskytovatelů v REG08, směrování žádostí o uplatnění práv prostřednictvím REG06, eskalace incidentů v REG10 a zaznamenávání přezkumů, metrik, výjimek a nápravných opatření v REG12.

Klikněte na diagram pro zobrazení v plné velikosti

Obsah

Rozsah kamerových systémů (CCTV) a fyzického monitorování

Evidence monitorování, účel a schválení

Důkazy o oznámení, informačním označení a transparentnosti

Opatření pro přístup, prohlížení, export a zpřístupnění

Nakládání s uchováváním, výmazem a extrahovanými kopiemi

Směrování žádostí o uplatnění práv, eskalace incidentů a dohled nad poskytovateli

Soulad s rámcem

🛡️ Podporované standardy a rámce

Tento produkt je v souladu s následujícími rámci dodržování předpisů s podrobnými mapováními doložek a kontrol.

Rámec Pokryté doložky / Kontroly
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 9.2.3Clause 9.4.2Clause 11.1.3
ISO/IEC 27002:2022
Controls 5.34Controls 7.2Controls 7.4Controls 8.2Controls 8.3Controls 8.15

Související zásady

Politika evidence činností zpracování a právního základu

Činnosti monitorování musí být zaznamenány v REG02 s účelem, právním základem, místem, kategoriemi PII, uchováváním, přístupem a podrobnostmi zpřístupnění.

Politika oznámení o ochraně osobních údajů a transparentnosti

Kamerové systémy (CCTV) a fyzické monitorování vyžadují informační označení, důkazy o oznámení just-in-time a propojení mezi oznámeními a účely zpracování.

Politika řízení práv subjektů PII

Žádosti zahrnující kamerové záznamy, údaje o návštěvnících nebo logy fyzického přístupu jsou v rámci procesu žádostí o uplatnění práv směrovány prostřednictvím REG06.

Politika posouzení rizik pro soukromí a DPIA

Monitorování s vyšším rizikem spouští rozhodnutí REG04 o riziku pro soukromí a případně přezkum související s DPIA před aktivací.

Politika uchovávání, výmazu a likvidace

Repozitáře monitorování vyžadují definované uchovávání, rutinní výmaz nebo přepisování, důkazy o výmazu a řízené retenční blokace.

Politika bezpečnosti a řízení přístupu

Monitorovací systémy závisí na schválených přístupových rolích, omezeních přístupu, přezkumech privilegovaného přístupu, protokolování a opatřeních pro zamezení šíření.

O politikách Clarysec - Politika ochrany soukromí pro kamerové systémy (CCTV) a fyzické monitorování

Tato politika poskytuje provozní rámec ochrany soukromí pro činnosti kamerových systémů (CCTV) a fyzického monitorování, které zpracovávají PII. Definuje, jak se v REG02, REG04, REG06, REG07, REG08, REG10 a REG12 dokumentují účely monitorování, právní základ, místa, důkazy o oznámení, přístupové role, hranice zpřístupnění, doby uchovávání, opatření výmazu, důkazy poskytovatelů, eskalace incidentů a činnosti přezkumu. Politika se vztahuje na činnosti správce pro vlastní prostory organizace a na podpůrné činnosti zpracovatele nebo dílčího zpracovatele zahrnující zákaznické kamerové záznamy, záznamy návštěvníků nebo logy fyzického přístupu.

Definovaný rozsah monitorování

Pokrývá kamerové systémy (CCTV), monitorování návštěvníků, logy přístupu, záznamy ostrahy, systémy monitorování prostor a související PII z monitorování.

Aktivace založená na rizicích

Vyžaduje přezkum REG04 před zahájením vysoce rizikového, nezjevného, zvukového, biometrického, analytického nebo citlivého monitorování.

Použití správcem a zpracovatelem

Vztahuje se na monitorování vlastních prostor a zákazníkem zadanou podporu pro záznamy, údaje o návštěvnících a logy přístupu.

Auditovatelný model důkazů

Používá REG02, REG04, REG06, REG07, REG08, REG10 a REG12 pro záznamy, přezkum, incidenty a dohled.

Nejčastější dotazy

Vytvořeno pro lídry, lídry

Tato politika byla vypracována bezpečnostním lídrem s více než 25 lety zkušeností s implementací a auditem rámců ISMS v globálních organizacích. Není navržena pouze jako dokument, ale jako obhajitelný rámec, který obstojí při auditu.

Vypracováno odborníkem s následujícími kvalifikacemi:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrytí a témata

🏢 Cílová oddělení

Ochrana soukromí právní oddělení soulad IT bezpečnost kancelář DPO

🏷️ Tematické pokrytí

Systém řízení informací o soukromí zpracování osobních údajů posouzení dopadu na soukromí záznamy o činnostech zpracování řízení práv subjektů údajů uchovávání a likvidace údajů řízení třetích stran
€49

Jednorázový nákup

Okamžité stažení
Doživotní aktualizace

Tato politika je 1 z 25 v kompletním balíčku ISO/IEC 27701 PIMS

Ušetřete 52%

Získejte všech 25 politik PIMS, kompletní sadu registrů a podrobný implementační plán za €799 místo €1 675 při samostatném nákupu.

Zobrazit kompletní balíček 27701 →
CCTV and Physical Monitoring Privacy Policy

Podrobnosti o produktu

Typ: policy
Kategorie: ISO 27701 PIMS Policy Pack
Normy: 6