policy ISO 27701 PIMS Policy Pack

Politika privatnosti za CCTV i fizički nadzor

Politika privatnosti za CCTV prema ISO/IEC 27701 za svrhe nadzora, oznake, pristup, zadržavanje, otkrivanje, incidente i kontrolu dokaza.

Pregled

Ova politika definira kontrole privatnosti za CCTV, nadzor posjetitelja, zapise fizičkog pristupa i povezane osobne podatke (PII) iz nadzora. Zahtijeva odobrene svrhe, oznake, pregled rizika, ograničenja pristupa, kontrole zadržavanja i brisanja, upravljanje otkrivanjem, usmjeravanje zahtjeva za ostvarivanje prava, eskalaciju incidenata i upravljanje dokazima PIMS-a.

Namjenske kontrole nadzora

Zahtijeva da se CCTV i aktivnosti fizičkog nadzora definiraju, odobre i dokumentiraju prije aktivacije.

Dokazi o transparentnim obavijestima

Povezuje oznake videonadzora i obavijesti u trenutku prikupljanja s odobrenim svrhama obrade i zapisima dokaza PIMS-a.

Upravljanje pristupom i zadržavanjem

Uređuje pregledavanje, izvoz, otkrivanje, brisanje, obustavu brisanja i pregled pristupa s povišenim ovlastima za osobne podatke (PII) iz nadzora.

Pročitaj cijeli pregled (click to expand)
Politika privatnosti za CCTV i fizički nadzor uspostavlja kontrole privatnosti za aktivnosti nadzora kojima se prikupljaju ili na drugi način obrađuju osobni podaci (PII). Njezin opseg uključuje CCTV, videonadzor, nadzor posjetitelja, dnevničke zapise kontrole fizičkog pristupa, zapise nadzora koje vode zaštitari, sustave nadzora prostora i povezani fizički nadzor. Politika se primjenjuje kada organizacija djeluje kao voditelj obrade osobnih podataka (PII) za vlastite prostore te kada podržava aktivnosti izvršitelja obrade ili podizvršitelja obrade tako što u ime klijenta upravlja, hostira, pregledava, pohranjuje, otkriva, briše ili na drugi način obrađuje snimke nadzora, podatke o posjetiteljima ili zapise fizičkog pristupa. Politika je osmišljena kako bi se osiguralo da je nadzor namjenski, transparentan, razmjeran, pod kontrolom pristupa, zadržan tijekom definiranih razdoblja, otkriven samo kroz odobrene kanale i potkrijepljen revizijski provjerljivim dokazima PIMS-a. Prije početka nadzora vlasnik procesa ili vlasnik poslovanja mora evidentirati svaku aktivnost nadzora u REG02, uključujući svrhu, pravnu osnovu, lokaciju nadzora, kategorije osobnih podataka (PII), kategorije ispitanika, zadržavanje, obavijest, pristup i polja za otkrivanje. Voditelj privatnosti / voditelj PIMS-a potvrđuje te unose prije aktivacije nove ili značajno izmijenjene aktivnosti nadzora. Odobrene zone nadzora, izuzete zone i granice prikupljanja također se moraju evidentirati prije omogućavanja kamera, senzora, zapisa posjetitelja ili zapisivanja kontrole pristupa. Politika snažno naglašava transparentnost i pregled temeljen na riziku. Oznake videonadzora ili ekvivalentni dokazi o obavijesti u trenutku prikupljanja moraju se evidentirati u REG07 prije nego što se nadzirana područja otvore ispitanicima, a svaka obavijest mora biti povezana s odgovarajućom svrhom obrade u REG02. Alternativne mjere transparentnosti moraju se evidentirati za neočit ili hitan nadzor. Nadzor višeg rizika, uključujući sustavno praćenje, snimanje zvuka, biometrijsku identifikaciju, detekciju omogućenu analitikom, osjetljive lokacije, ranjive pojedince ili neočit nadzor, zahtijeva odluku REG04 o riziku za privatnost prije aktivacije. Kada je nadzor visokorizičan, neočit, velikog opsega, usmjeren na zaposlenike ili podliježe neriješenoj eskalaciji zahtjeva za ostvarivanje prava ili incidenta, službenik za zaštitu podataka / savjetnik za privatnost daje savjet u REG04 ili REG12. Operativne kontrole obuhvaćaju pristup, pregledavanje, izvoz, otkrivanje, zadržavanje, brisanje i eskalaciju incidenata. Voditelj informacijske sigurnosti definira ovlaštene uloge pristupa za snimke nadzora, evidencije posjetitelja i zapise fizičkog pristupa, dok vlasnik sustava / vlasnik aplikacije konfigurira ograničenja pristupa i najmanje tromjesečno evidentira rezultate pregleda pristupa s povišenim ovlastima u REG12. Rutinsko brisanje, prepisivanje ili onemogućavanje isteklih snimki nadzora mora biti konfigurirano prema REG02, uz evidentiranje dokaza o dovršetku brisanja ili prepisivanja najmanje mjesečno za repozitorije koji podliježu automatiziranom ili planiranom brisanju. Obustave brisanja i izdvojene kopije zahtijevaju odobrenje i evidentiranje u REG12 prije produljenja uobičajenog zadržavanja. Vanjska otkrivanja evidentiraju se u REG08 prije otkrivanja ili u REG10 u roku od jednog radnog dana kada je otkrivanje dio aktivnog odgovora na incidente. Politika također definira upravljanje vanjski ugovorenim uslugama nadzora i fizičke sigurnosti. Vanjski ugovoreni pružatelji sustava nadzora, pružatelji zaštitarskih usluga, pružatelji usluga upravljanja posjetiteljima i pružatelji kontrole fizičkog pristupa moraju se evidentirati u REG08 prije početka pružanja usluge, uključujući opseg, status izvršitelja obrade ili podizvršitelja obrade, dopuštenja pristupa, podršku zadržavanju, podršku brisanju, eskalaciju incidenata i ograničenja otkrivanja. Nadzor se održava kroz tromjesečne metrike, godišnje preglede, revizijsko testiranje, postupanje s iznimkama, evidentiranje nesukladnosti, vlasništvo nad korektivnim radnjama i eskalaciju prema najvišem rukovodstvu kada je potrebno. Time se stvara okvir temeljen na dokazima za upravljanje obvezama privatnosti u vezi s CCTV-om i fizičkim nadzorom u kontekstu voditelja obrade i izvršitelja obrade.

Dijagram politike

Dijagram toka procesa koji prikazuje upravljanje CCTV-om i fizičkim nadzorom: definiranje svrhe i opsega u REG02, procjena rizika u REG04, objava dokaza o obavijesti u REG07, konfiguriranje kontrola pristupa i zadržavanja, upravljanje otkrivanjima i pružateljima usluga u REG08, usmjeravanje zahtjeva za ostvarivanje prava kroz REG06, eskalacija incidenata u REG10 te evidentiranje pregleda, metrika, iznimaka i korektivnih radnji u REG12.

Kliknite na dijagram za prikaz u punoj veličini

Sadržaj

Opseg CCTV-a i fizičkog nadzora

Popis nadzora, svrha i odobrenje

Obavijest, oznake i dokazi o transparentnosti

Kontrole pristupa, pregledavanja, izvoza i otkrivanja

Postupanje sa zadržavanjem, brisanjem i izdvojenim kopijama

Usmjeravanje zahtjeva za ostvarivanje prava, eskalacija incidenata i nadzor nad pružateljima usluga

Usklađenost s okvirom

🛡️ Podržani standardi i okviri

Ovaj je proizvod usklađen sa sljedećim okvirima usklađenosti s detaljnim mapiranjem klauzula i kontrola.

Okvir Pokrivene klauzule / Kontrole
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 9.2.3Clause 9.4.2Clause 11.1.3
ISO/IEC 27002:2022
Controls 5.34Controls 7.2Controls 7.4Controls 8.2Controls 8.3Controls 8.15

Povezane politike

Politika popisa aktivnosti obrade i pravne osnove

Aktivnosti nadzora moraju se evidentirati u REG02 sa svrhom, pravnom osnovom, lokacijom, kategorijama osobnih podataka (PII), zadržavanjem, pristupom i pojedinostima otkrivanja.

Politika obavijesti o privatnosti i transparentnosti

CCTV i fizički nadzor zahtijevaju oznake, dokaze o obavijesti u trenutku prikupljanja i povezanost između obavijesti i svrha obrade.

Politika upravljanja pravima ispitanika

Zahtjevi koji uključuju snimke nadzora, podatke o posjetiteljima ili zapise fizičkog pristupa usmjeravaju se kroz REG06 u okviru procesa zahtjeva za ostvarivanje prava.

Politika procjene rizika za privatnost i DPIA-e

Nadzor višeg rizika pokreće odluke REG04 o riziku za privatnost i, gdje je primjenjivo, pregled povezan s DPIA-om prije aktivacije.

Politika zadržavanja, brisanja i zbrinjavanja

Repozitoriji nadzora zahtijevaju definirano zadržavanje, rutinsko brisanje ili prepisivanje, dokaze o brisanju i kontrolirane obustave brisanja.

Politika sigurnosti i kontrole pristupa

Sustavi nadzora ovise o odobrenim ulogama pristupa, ograničenjima pristupa, pregledima pristupa s povišenim ovlastima, zapisivanju događaja i radnjama ograničavanja.

O Clarysec politikama - Politika privatnosti za CCTV i fizički nadzor

Ova politika pruža operativni okvir privatnosti za aktivnosti CCTV-a i fizičkog nadzora kojima se obrađuju osobni podaci (PII). Definira kako se svrhe nadzora, pravna osnova, lokacije, dokazi o obavijesti, uloge pristupa, granice otkrivanja, razdoblja zadržavanja, kontrole brisanja, dokazi o pružateljima usluga, eskalacija incidenata i aktivnosti pregleda dokumentiraju kroz REG02, REG04, REG06, REG07, REG08, REG10 i REG12. Politika se primjenjuje na aktivnosti voditelja obrade za vlastite prostore organizacije te na pomoćne aktivnosti izvršitelja obrade ili podizvršitelja obrade koje uključuju snimke nadzora klijenata, evidencije posjetitelja ili zapise fizičkog pristupa.

Definiran opseg nadzora

Obuhvaća CCTV, nadzor posjetitelja, zapise pristupa, zapise zaštitara, sustave prostora i povezane osobne podatke (PII) iz nadzora.

Aktivacija temeljena na riziku

Zahtijeva pregled REG04 prije početka visokorizičnog, neočitog, zvučnog, biometrijskog, analitičkog ili osjetljivog nadzora.

Uporaba za voditelja i izvršitelja obrade

Primjenjuje se na nadzor vlastitih prostora i podršku prema uputi klijenta za snimke, podatke o posjetiteljima i zapise pristupa.

Revizijski provjerljiv model dokaza

Koristi REG02, REG04, REG06, REG07, REG08, REG10 i REG12 za zapise, preglede, incidente i nadzor.

Često postavljana pitanja

Izrađeno za lidere, od lidera

Ovu politiku izradio je sigurnosni lider s više od 25 godina iskustva u implementaciji i auditiranju ISMS okvira u globalnim organizacijama. Osmišljena je ne samo kao dokument, već kao obrambeni okvir koji izdržava revizorski nadzor.

Izradio stručnjak s sljedećim kvalifikacijama:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrivenost i teme

🏢 Ciljni odjeli

Privatnost Pravni poslovi Usklađenost IT sigurnost Ured DPO-a

🏷️ Tematska pokrivenost

Upravljanje informacijama o privatnosti Obrada osobnih podataka Procjena učinka na privatnost Evidencije aktivnosti obrade Upravljanje pravima ispitanika Zadržavanje i zbrinjavanje podataka Upravljanje trećim stranama
€49

Jednokratna kupnja

Trenutno preuzimanje
Doživotna ažuriranja

Ova politika je 1 od 25 u kompletnom ISO/IEC 27701 PIMS paketu

Uštedite 52%

Nabavite svih 25 PIMS politika, kompletan set registara i detaljan plan implementacije za €799, umjesto €1.675 pojedinačno.

Pogledaj kompletni 27701 paket →
CCTV and Physical Monitoring Privacy Policy

Pojedinosti o proizvodu

Vrsta: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standardi: 6