Datenschutzrichtlinie für CCTV und physische Überwachung

Die Datenschutzrichtlinie für CCTV und physische Überwachung legt Datenschutzkontrollen für Überwachungstätigkeiten fest, bei denen personenbezogene Daten erhoben oder anderweitig verarbeitet werden. Ihr Geltungsbereich umfasst CCTV, Videoüberwachung, Besucherüberwachung, Protokolle der physischen Zutrittskontrolle, von Wachpersonal geführte Überwachungsaufzeichnungen, Systeme zur Überwachung von Räumlichkeiten und damit verbundene physische Überwachung. Die Richtlinie gilt, wenn die Organisation als Verantwortlicher für ihre eigenen Räumlichkeiten handelt, und wenn sie Tätigkeiten als Auftragsverarbeiter oder Unterauftragsverarbeiter unterstützt, indem sie Videoüberwachungsaufzeichnungen, Besucherdaten oder Protokolle der physischen Zutrittskontrolle im Auftrag eines Kunden betreibt, hostet, überprüft, speichert, offenlegt, löscht oder anderweitig verarbeitet. Die Richtlinie ist darauf ausgelegt, sicherzustellen, dass Überwachung zweckgebunden, transparent, verhältnismäßig, zugriffskontrolliert, für definierte Zeiträume aufbewahrt, nur über genehmigte Kanäle offengelegt und durch auditierbare PIMS-Nachweise unterstützt wird. Bevor Überwachung beginnt, muss der Prozessverantwortliche oder Geschäftsinhaber jede Überwachungstätigkeit in REG02 dokumentieren, einschließlich Zweck, Rechtsgrundlage, überwachtem Standort, PII-Kategorien, Kategorien betroffener Personen, Aufbewahrung, Datenschutzhinweis, Zugriff und Offenlegungsfeldern. Der Datenschutzverantwortliche / PIMS-Manager validiert diese Einträge vor der Aktivierung einer neuen oder wesentlich geänderten Überwachungstätigkeit. Genehmigte überwachte Zonen, ausgeschlossene Zonen und Erhebungsgrenzen müssen ebenfalls dokumentiert werden, bevor Kameras, Sensoren, Besucherprotokolle oder Protokollierung der Zutrittskontrolle aktiviert werden. Die Richtlinie legt einen starken Schwerpunkt auf Transparenz und risikobasierte Prüfung. Hinweisschilder zur Überwachung oder gleichwertige Nachweise zu Just-in-time-Datenschutzhinweisen müssen in REG07 dokumentiert werden, bevor überwachte Bereiche für betroffene Personen geöffnet werden, und jeder Datenschutzhinweis muss mit dem entsprechenden REG02-Verarbeitungszweck verknüpft sein. Alternative Transparenzmaßnahmen müssen für nicht offensichtliche oder Notfallüberwachung dokumentiert werden. Überwachung mit höherem Risiko, einschließlich systematischer Überwachung, Audioaufzeichnung, biometrischer Identifizierung, analysegestützter Erkennung, sensitiver Standorte, schutzbedürftiger Personen oder nicht offensichtlicher Überwachung, erfordert vor der Aktivierung eine REG04-Datenschutz-Risikoentscheidung. Wenn die Überwachung risikoreich, nicht offensichtlich, groß angelegt, auf Beschäftigte bezogen oder Gegenstand ungelöster Betroffenenanfragen oder Vorfalleskalationen ist, gibt der Datenschutzbeauftragte (DPO) / Datenschutzberater Beratung in REG04 oder REG12. Operative Kontrollen adressieren Zugriff, Einsichtnahme, Export, Offenlegung, Aufbewahrung, Löschung und Vorfalleskalation. Der Informationssicherheitsverantwortliche definiert autorisierte Zugriffsrollen für Überwachungsaufzeichnungen, Besucherdatensätze und Protokolle der physischen Zutrittskontrolle, während der Systemverantwortliche / Anwendungsverantwortliche Zugriffsbeschränkungen konfiguriert und Ergebnisse der Berechtigungsüberprüfung mindestens vierteljährlich in REG12 dokumentiert. Routinemäßige Löschung, Überschreibung oder Deaktivierung abgelaufener Überwachungsaufzeichnungen muss gemäß REG02 konfiguriert werden; Nachweise zum Abschluss der Löschung oder Überschreibung sind mindestens monatlich für Repositories zu dokumentieren, die automatisierter oder geplanter Löschung unterliegen. Aufbewahrungssperren und extrahierte Kopien erfordern Genehmigung und Dokumentation in REG12, bevor die normale Aufbewahrung verlängert wird. Externe Offenlegungen werden vor der Offenlegung in REG08 dokumentiert oder innerhalb eines Geschäftstags in REG10, wenn die Offenlegung Teil einer aktiven Reaktion auf Informationssicherheitsvorfälle ist. Die Richtlinie definiert außerdem Governance für ausgelagerte Überwachung und physische Sicherheitsdienste. Anbieter ausgelagerter Überwachungssysteme, Wachdienstleister, Anbieter von Besuchermanagement und Anbieter physischer Zutrittskontrolle müssen vor Leistungsbeginn in REG08 dokumentiert werden, einschließlich Geltungsbereich, Status als Auftragsverarbeiter oder Unterauftragsverarbeiter, Zugriffsberechtigungen, Unterstützung bei der Aufbewahrung, Unterstützung bei der Löschung, Vorfalleskalation und Offenlegungsbeschränkungen. Die Aufsicht wird durch vierteljährliche Kennzahlen, jährliche Überprüfungen, Auditprüfungen, Ausnahmebehandlung, Erfassung von Nichtkonformitäten, Verantwortlichkeit für Korrekturmaßnahmen und Eskalation an die oberste Leitung aufrechterhalten, soweit erforderlich. Dadurch entsteht ein nachweisbasiertes Rahmenwerk für das Management von Datenschutzpflichten bei CCTV und physischer Überwachung in Kontexten von Verantwortlichen und Auftragsverarbeitern.