policy ISO 27701 PIMS Policy Pack

Πολιτική ιδιωτικότητας για CCTV και παρακολούθηση φυσικών χώρων

Πολιτική ιδιωτικότητας CCTV κατά το ISO/IEC 27701 για σκοπούς παρακολούθησης, σήμανση, πρόσβαση, διατήρηση, κοινολόγηση, περιστατικά και έλεγχο τεκμηρίων.

Επισκόπηση

Η παρούσα πολιτική ορίζει ελέγχους ιδιωτικότητας για CCTV, παρακολούθηση επισκεπτών, αρχεία καταγραφής ελέγχου φυσικής πρόσβασης και συναφή δεδομένα προσωπικού χαρακτήρα παρακολούθησης. Απαιτεί εγκεκριμένους σκοπούς, σήμανση, ανασκόπηση κινδύνου, περιορισμούς πρόσβασης, ελέγχους διατήρησης και διαγραφής, διακυβέρνηση κοινολόγησης, δρομολόγηση αιτημάτων άσκησης δικαιωμάτων, κλιμάκωση περιστατικών και διαχείριση τεκμηρίων PIMS.

Έλεγχοι παρακολούθησης με καθορισμένο σκοπό

Απαιτεί οι δραστηριότητες CCTV και παρακολούθησης φυσικών χώρων να ορίζονται, να εγκρίνονται και να τεκμηριώνονται πριν από την ενεργοποίηση.

Τεκμήρια διαφανούς ειδοποίησης

Συνδέει τη σήμανση παρακολούθησης και τις ειδοποιήσεις κατά τον χρόνο της συλλογής με εγκεκριμένους σκοπούς επεξεργασίας και αρχεία τεκμηρίων PIMS.

Διακυβέρνηση πρόσβασης και διατήρησης

Ελέγχει την προβολή, την εξαγωγή, την κοινολόγηση, τη διαγραφή, τις δεσμεύσεις διατήρησης και την ανασκόπηση προνομιούχας πρόσβασης για δεδομένα προσωπικού χαρακτήρα παρακολούθησης.

Διαβάστε πλήρη επισκόπηση (click to expand)
Η Πολιτική ιδιωτικότητας για CCTV και παρακολούθηση φυσικών χώρων καθορίζει ελέγχους ιδιωτικότητας για δραστηριότητες παρακολούθησης που συλλέγουν ή με άλλο τρόπο επεξεργάζονται δεδομένα προσωπικού χαρακτήρα. Το πεδίο εφαρμογής της περιλαμβάνει CCTV, βιντεοεπιτήρηση, παρακολούθηση επισκεπτών, αρχεία καταγραφής ελέγχου φυσικής πρόσβασης, αρχεία παρακολούθησης που τηρούνται από προσωπικό φύλαξης, συστήματα παρακολούθησης εγκαταστάσεων και συναφή παρακολούθηση φυσικών χώρων. Η πολιτική εφαρμόζεται όπου ο οργανισμός ενεργεί ως υπεύθυνος επεξεργασίας δεδομένων προσωπικού χαρακτήρα για τις δικές του εγκαταστάσεις και όπου υποστηρίζει δραστηριότητες εκτελούντος την επεξεργασία ή υπεργολάβου επεξεργασίας μέσω λειτουργίας, φιλοξενίας, ανασκόπησης, αποθήκευσης, κοινολόγησης, διαγραφής ή άλλης επεξεργασίας υλικού βιντεοεπιτήρησης, δεδομένων επισκεπτών ή αρχείων καταγραφής φυσικής πρόσβασης για λογαριασμό πελάτη. Η πολιτική έχει σχεδιαστεί ώστε να διασφαλίζει ότι η παρακολούθηση έχει καθορισμένο σκοπό, είναι διαφανής, αναλογική, ελεγχόμενη ως προς την πρόσβαση, διατηρείται για καθορισμένες περιόδους, κοινολογείται μόνο μέσω εγκεκριμένων διαύλων και υποστηρίζεται από ελέγξιμα τεκμήρια PIMS. Πριν από την έναρξη της παρακολούθησης, ο Ιδιοκτήτης Διεργασίας ή ο Ιδιοκτήτης της επιχείρησης πρέπει να καταγράφει κάθε δραστηριότητα παρακολούθησης στο REG02, συμπεριλαμβανομένων των πεδίων σκοπού, νομικής βάσης, παρακολουθούμενης τοποθεσίας, κατηγοριών δεδομένων προσωπικού χαρακτήρα, κατηγοριών υποκειμένων των δεδομένων, διατήρησης, ειδοποίησης, πρόσβασης και κοινολόγησης. Ο Επικεφαλής Ιδιωτικότητας / Υπεύθυνος PIMS επικυρώνει αυτές τις καταχωρίσεις πριν από την ενεργοποίηση νέας ή ουσιωδώς μεταβληθείσας δραστηριότητας παρακολούθησης. Οι εγκεκριμένες παρακολουθούμενες ζώνες, οι εξαιρούμενες ζώνες και τα όρια συλλογής πρέπει επίσης να καταγράφονται πριν ενεργοποιηθούν κάμερες, αισθητήρες, αρχεία επισκεπτών ή καταγραφή ελέγχου πρόσβασης. Η πολιτική δίνει ιδιαίτερη έμφαση στη διαφάνεια και στην ανασκόπηση βάσει κινδύνου. Η σήμανση παρακολούθησης ή ισοδύναμα τεκμήρια ειδοποίησης κατά τον χρόνο της συλλογής πρέπει να καταγράφονται στο REG07 πριν οι παρακολουθούμενοι χώροι ανοίξουν για τα υποκείμενα των δεδομένων, και κάθε ειδοποίηση πρέπει να συνδέεται με τον αντίστοιχο σκοπό επεξεργασίας στο REG02. Εναλλακτικά μέτρα διαφάνειας πρέπει να καταγράφονται για μη προφανή ή έκτακτη παρακολούθηση. Παρακολούθηση υψηλότερου κινδύνου, συμπεριλαμβανομένης της συστηματικής παρακολούθησης, της ηχογράφησης, της βιομετρικής ταυτοποίησης, της ανίχνευσης με χρήση αναλυτικής επεξεργασίας, των ευαίσθητων τοποθεσιών, των ευάλωτων φυσικών προσώπων ή της μη προφανούς παρακολούθησης, απαιτεί απόφαση REG04 για κίνδυνο ιδιωτικότητας πριν από την ενεργοποίηση. Όταν η παρακολούθηση είναι υψηλού κινδύνου, μη προφανής, μεγάλης κλίμακας, αφορά εργαζομένους ή υπόκειται σε μη επιλυμένη κλιμάκωση αιτημάτων άσκησης δικαιωμάτων ή περιστατικών, ο Υπεύθυνος Προστασίας Δεδομένων / Σύμβουλος Ιδιωτικότητας παρέχει γνώμη στο REG04 ή στο REG12. Οι επιχειρησιακοί έλεγχοι καλύπτουν την πρόσβαση, την προβολή, την εξαγωγή, την κοινολόγηση, τη διατήρηση, τη διαγραφή και την κλιμάκωση περιστατικών. Ο Επικεφαλής Ασφάλειας Πληροφοριών ορίζει εξουσιοδοτημένους ρόλους πρόσβασης για καταγραφές παρακολούθησης, αρχεία επισκεπτών και αρχεία καταγραφής φυσικής πρόσβασης, ενώ ο Ιδιοκτήτης συστήματος / Ιδιοκτήτης Εφαρμογής διαμορφώνει περιορισμούς πρόσβασης και καταγράφει αποτελέσματα ανασκόπησης προνομιούχας πρόσβασης τουλάχιστον ανά τρίμηνο στο REG12. Η τακτική διαγραφή, αντικατάσταση ή απενεργοποίηση ληγμένων καταγραφών παρακολούθησης πρέπει να διαμορφώνεται σύμφωνα με το REG02, με τεκμήρια ολοκλήρωσης διαγραφής ή αντικατάστασης που καταγράφονται τουλάχιστον μηνιαία για αποθετήρια που υπόκεινται σε αυτοματοποιημένη ή προγραμματισμένη διαγραφή. Οι δεσμεύσεις διατήρησης και τα εξαγόμενα αντίγραφα απαιτούν έγκριση και καταγραφή στο REG12 πριν παραταθεί η κανονική διατήρηση. Οι εξωτερικές κοινολογήσεις καταγράφονται στο REG08 πριν από την κοινολόγηση ή στο REG10 εντός μίας εργάσιμης ημέρας όταν η κοινολόγηση αποτελεί μέρος ενεργής απόκρισης σε περιστατικά. Η πολιτική ορίζει επίσης διακυβέρνηση για υπηρεσίες παρακολούθησης και φυσικής ασφάλειας που παρέχονται μέσω εξωτερικής ανάθεσης. Οι πάροχοι συστημάτων παρακολούθησης εξωτερικής ανάθεσης, οι πάροχοι φύλαξης, οι πάροχοι διαχείρισης επισκεπτών και οι πάροχοι ελέγχου φυσικής πρόσβασης πρέπει να καταγράφονται στο REG08 πριν από την έναρξη της υπηρεσίας, συμπεριλαμβανομένων του πεδίου εφαρμογής, της κατάστασης ως εκτελούντος την επεξεργασία ή υπεργολάβου επεξεργασίας, των δικαιωμάτων πρόσβασης, της υποστήριξης διατήρησης, της υποστήριξης διαγραφής, της κλιμάκωσης περιστατικών και των περιορισμών κοινολόγησης. Η εποπτεία διατηρείται μέσω τριμηνιαίων μετρικών, ετήσιων ανασκοπήσεων, δοκιμών ελέγχου, διαχείρισης εξαιρέσεων, καταγραφής μη συμμορφώσεων, ιδιοκτησίας διορθωτικών ενεργειών και κλιμάκωσης στην Ανώτατη Διοίκηση όπου απαιτείται. Αυτό δημιουργεί ένα πλαίσιο βάσει τεκμηρίων για τη διαχείριση υποχρεώσεων ιδιωτικότητας που σχετίζονται με CCTV και παρακολούθηση φυσικών χώρων σε πλαίσια υπευθύνου επεξεργασίας και εκτελούντος την επεξεργασία.

Διάγραμμα Πολιτικής

Διάγραμμα ροής διαδικασίας που παρουσιάζει τη διακυβέρνηση CCTV και παρακολούθησης φυσικών χώρων: ορισμός σκοπού και πεδίου εφαρμογής στο REG02, αξιολόγηση κινδύνου στο REG04, δημοσίευση τεκμηρίων ειδοποίησης στο REG07, διαμόρφωση ελέγχων πρόσβασης και διατήρησης, διαχείριση κοινολογήσεων και παρόχων στο REG08, δρομολόγηση αιτημάτων άσκησης δικαιωμάτων μέσω REG06, κλιμάκωση περιστατικών στο REG10 και καταγραφή ανασκοπήσεων, μετρικών, εξαιρέσεων και διορθωτικών ενεργειών στο REG12.

Κάντε κλικ στο διάγραμμα για προβολή σε πλήρες μέγεθος

Περιεχόμενα

Πεδίο εφαρμογής CCTV και παρακολούθησης φυσικών χώρων

Απογραφή παρακολούθησης, σκοπός και έγκριση

Τεκμήρια ειδοποίησης, σήμανσης και διαφάνειας

Έλεγχοι πρόσβασης, προβολής, εξαγωγής και κοινολόγησης

Χειρισμός διατήρησης, διαγραφής και εξαγόμενων αντιγράφων

Δρομολόγηση αιτημάτων άσκησης δικαιωμάτων, κλιμάκωση περιστατικών και εποπτεία παρόχων

Συμμόρφωση με πλαίσιο

🛡️ Υποστηριζόμενα πρότυπα & πλαίσια

Αυτό το προϊόν είναι ευθυγραμμισμένο με τα ακόλουθα πλαίσια συμμόρφωσης, με λεπτομερείς αντιστοιχίσεις ρητρών και ελέγχων.

Πλαίσιο Καλυπτόμενες ρήτρες / Έλεγχοι
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 9.2.3Clause 9.4.2Clause 11.1.3
ISO/IEC 27002:2022
Controls 5.34Controls 7.2Controls 7.4Controls 8.2Controls 8.3Controls 8.15

Σχετικές πολιτικές

Πολιτική απογραφής επεξεργασίας και νομικής βάσης

Οι δραστηριότητες παρακολούθησης πρέπει να καταγράφονται στο REG02 με σκοπό, νομική βάση, τοποθεσία, κατηγορίες δεδομένων προσωπικού χαρακτήρα, διατήρηση, πρόσβαση και λεπτομέρειες κοινολόγησης.

Πολιτική ειδοποιήσεων ιδιωτικότητας και διαφάνειας

Το CCTV και η παρακολούθηση φυσικών χώρων απαιτούν σήμανση, τεκμήρια ειδοποίησης κατά τον χρόνο της συλλογής και σύνδεση μεταξύ ειδοποιήσεων και σκοπών επεξεργασίας.

Πολιτική διαχείρισης δικαιωμάτων υποκειμένων

Αιτήματα που αφορούν υλικό βιντεοεπιτήρησης, δεδομένα επισκεπτών ή αρχεία καταγραφής φυσικής πρόσβασης δρομολογούνται μέσω REG06 στο πλαίσιο της διαδικασίας αιτημάτων άσκησης δικαιωμάτων.

Πολιτική αξιολόγησης κινδύνου ιδιωτικότητας και DPIA

Παρακολούθηση υψηλότερου κινδύνου ενεργοποιεί αποφάσεις REG04 για κίνδυνο ιδιωτικότητας και, όπου εφαρμόζεται, ανασκόπηση σχετική με DPIA πριν από την ενεργοποίηση.

Πολιτική διατήρησης, διαγραφής και διάθεσης

Τα αποθετήρια παρακολούθησης απαιτούν καθορισμένη διατήρηση, τακτική διαγραφή ή αντικατάσταση, τεκμήρια διαγραφής και ελεγχόμενες δεσμεύσεις διατήρησης.

Πολιτική ασφάλειας και ελέγχου πρόσβασης

Τα συστήματα παρακολούθησης βασίζονται σε εγκεκριμένους ρόλους πρόσβασης, περιορισμούς πρόσβασης, ανασκοπήσεις προνομιούχας πρόσβασης, καταγραφή και ενέργειες περιορισμού.

Σχετικά με τις Πολιτικές της Clarysec - Πολιτική ιδιωτικότητας για CCTV και παρακολούθηση φυσικών χώρων

Η παρούσα πολιτική παρέχει επιχειρησιακό πλαίσιο ιδιωτικότητας για δραστηριότητες CCTV και παρακολούθησης φυσικών χώρων που επεξεργάζονται δεδομένα προσωπικού χαρακτήρα. Ορίζει τον τρόπο με τον οποίο οι σκοποί παρακολούθησης, η νομική βάση, οι τοποθεσίες, τα τεκμήρια ειδοποίησης, οι ρόλοι πρόσβασης, τα όρια κοινολόγησης, οι περίοδοι διατήρησης, οι έλεγχοι διαγραφής, τα τεκμήρια παρόχων, η κλιμάκωση περιστατικών και η δραστηριότητα ανασκόπησης τεκμηριώνονται στα REG02, REG04, REG06, REG07, REG08, REG10 και REG12. Η πολιτική εφαρμόζεται σε δραστηριότητες υπευθύνου επεξεργασίας για τις ίδιες εγκαταστάσεις του οργανισμού και σε δραστηριότητες υποστήριξης εκτελούντος την επεξεργασία ή υπεργολάβου επεξεργασίας που αφορούν υλικό βιντεοεπιτήρησης πελάτη, αρχεία επισκεπτών ή αρχεία καταγραφής φυσικής πρόσβασης.

Καθορισμένο πεδίο παρακολούθησης

Καλύπτει CCTV, παρακολούθηση επισκεπτών, αρχεία καταγραφής πρόσβασης, αρχεία φύλαξης, συστήματα εγκαταστάσεων και συναφή δεδομένα προσωπικού χαρακτήρα παρακολούθησης.

Ενεργοποίηση βάσει κινδύνου

Απαιτεί ανασκόπηση REG04 πριν από την έναρξη παρακολούθησης υψηλού κινδύνου, μη προφανούς, με ήχο, βιομετρικά στοιχεία, αναλυτική επεξεργασία ή ευαίσθητο χαρακτήρα.

Χρήση από υπεύθυνο και εκτελούντα την επεξεργασία

Εφαρμόζεται στην παρακολούθηση ίδιων εγκαταστάσεων και στην υποστήριξη κατόπιν εντολής πελάτη για υλικό βιντεοεπιτήρησης, δεδομένα επισκεπτών και αρχεία καταγραφής πρόσβασης.

Ελέγξιμο μοντέλο τεκμηρίων

Χρησιμοποιεί REG02, REG04, REG06, REG07, REG08, REG10 και REG12 για αρχεία, ανασκόπηση, περιστατικά και εποπτεία.

Συχνές ερωτήσεις

Σχεδιασμένο για Ηγέτες, από Ηγέτες

Η παρούσα πολιτική έχει συνταχθεί από ηγετικό στέλεχος ασφάλειας με περισσότερα από 25 έτη εμπειρίας στην υλοποίηση και τον έλεγχο πλαισίων ISMS σε παγκόσμιους οργανισμούς. Δεν έχει σχεδιαστεί απλώς ως έγγραφο, αλλά ως ένα τεκμηριωμένο πλαίσιο που αντέχει στον έλεγχο των ελεγκτών.

Συντάχθηκε από ειδικό που κατέχει:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Κάλυψη & Θέματα

🏢 Τμήματα-στόχοι

Ιδιωτικότητα Νομικό Τμήμα Συμμόρφωση Ασφάλεια Πληροφορικής Γραφείο DPO

🏷️ Θεματική κάλυψη

Διαχείριση Πληροφοριών Ιδιωτικότητας Επεξεργασία δεδομένων προσωπικού χαρακτήρα Εκτίμηση αντικτύπου ιδιωτικότητας Αρχεία δραστηριοτήτων επεξεργασίας Διαχείριση δικαιωμάτων υποκειμένων δεδομένων Διατήρηση και διάθεση δεδομένων Διαχείριση τρίτων μερών
€49

Εφάπαξ αγορά

Άμεση λήψη
Ενημερώσεις εφ' όρου ζωής

Αυτή η πολιτική είναι 1 από 25 στο πλήρες πακέτο ISO/IEC 27701 PIMS

Εξοικονομήστε 52%

Αποκτήστε και τις 25 πολιτικές PIMS, το πλήρες σύνολο μητρώων και ένα λεπτομερές σχέδιο υλοποίησης για €799, αντί για €1.675 ξεχωριστά.

Δείτε το πλήρες πακέτο 27701 →
CCTV and Physical Monitoring Privacy Policy

Λεπτομέρειες προϊόντος

Τύπος: policy
Κατηγορία: ISO 27701 PIMS Policy Pack
Πρότυπα: 6