policy ISO 27701 PIMS Policy Pack

CCTV- és fizikai megfigyelési adatvédelmi szabályzat

ISO/IEC 27701 szerinti CCTV-adatvédelmi szabályzat a megfigyelési célokra, a tájékoztató táblákra, a hozzáférésre, a megőrzésre, az adatközlésre, az incidensekre és a bizonyító anyagok kezelésére.

Áttekintés

Ez a szabályzat adatvédelmi kontrollokat határoz meg a CCTV, a látogatók megfigyelése, a fizikai hozzáférési naplók és a kapcsolódó megfigyelési PII tekintetében. Előírja a jóváhagyott célokat, a tájékoztató táblákat, a kockázati felülvizsgálatot, a hozzáférési korlátozásokat, a megőrzési és törlési kontrollokat, az adatközlési irányítást, a joggyakorlási kérelmek továbbítását, az incidens-eszkalációt és a PIMS-bizonyítékkezelést.

Célhoz kötött megfigyelési kontrollok

Előírja, hogy a CCTV- és fizikai megfigyelési tevékenységeket az aktiválás előtt meg kell határozni, jóvá kell hagyni és dokumentálni kell.

Átlátható tájékoztatási bizonyítékok

A megfigyelésre vonatkozó tájékoztató táblákat és a helyben, időben adott tájékoztatásokat jóváhagyott adatkezelési célokhoz és PIMS-bizonyítékul szolgáló feljegyzésekhez kapcsolja.

Hozzáférés- és megőrzésirányítás

Kontrollokat határoz meg a megfigyeléssel érintett PII megtekintésére, exportálására, adatközlésére, törlésére, megőrzési zárolására és az emelt jogosultságú hozzáférések felülvizsgálatára.

Teljes áttekintés olvasása (click to expand)
A CCTV- és fizikai megfigyelési adatvédelmi szabályzat adatvédelmi kontrollokat állapít meg azokhoz a megfigyelési tevékenységekhez, amelyek PII-t gyűjtenek vagy más módon kezelnek. Alkalmazási területe magában foglalja a CCTV-t, a videómegfigyelést, a látogatók megfigyelését, a fizikai hozzáférés-szabályozási naplókat, az őrszolgálat által vezetett megfigyelési nyilvántartásokat, a helyiségek megfigyelőrendszereit és a kapcsolódó fizikai megfigyelést. A szabályzat akkor alkalmazandó, ha a szervezet saját helyiségei tekintetében PII-adatkezelőként jár el, valamint akkor, ha ügyfél nevében működtetéssel, hosztolással, felülvizsgálattal, tárolással, adatközléssel, törléssel vagy más adatkezeléssel támogat adatfeldolgozói vagy al-adatfeldolgozói tevékenységeket megfigyelési felvételek, látogatói adatok vagy fizikai hozzáférési naplók kapcsán. A szabályzat célja annak biztosítása, hogy a megfigyelés célhoz kötött, átlátható, arányos, hozzáférés-szabályozott, meghatározott időtartamig megőrzött, kizárólag jóváhagyott csatornákon keresztül közölt és auditálható PIMS-bizonyítékokkal alátámasztott legyen. A megfigyelés megkezdése előtt a folyamatgazdának vagy az üzlettulajdonosnak minden megfigyelési tevékenységet rögzítenie kell a REG02-ben, beleértve a célt, a jogalapot, a megfigyelt helyszínt, a PII-kategóriákat, a PII-alanyok kategóriáit, a megőrzést, a tájékoztatást, a hozzáférést és az adatközlési mezőket. Az adatvédelmi vezető / PIMS-vezető az új vagy lényegesen módosított megfigyelési tevékenység aktiválása előtt ellenőrzi ezeket a bejegyzéseket. A jóváhagyott megfigyelt zónákat, kizárt zónákat és gyűjtési határokat szintén rögzíteni kell a kamerák, érzékelők, látogatói naplók vagy hozzáférés-szabályozási naplózás engedélyezése előtt. A szabályzat kiemelt hangsúlyt helyez az átláthatóságra és a kockázatalapú felülvizsgálatra. A megfigyelésre vonatkozó tájékoztató táblákat vagy azzal egyenértékű, helyben és időben adott tájékoztatás bizonyítékait a megfigyelt területek PII-alanyok előtti megnyitása előtt rögzíteni kell a REG07-ben, és minden tájékoztatót össze kell kapcsolni a megfelelő REG02 szerinti adatkezelési céllal. Nem nyilvánvaló vagy sürgősségi megfigyelés esetén alternatív átláthatósági intézkedéseket kell rögzíteni. A magasabb kockázatú megfigyelés, ideértve a rendszeres megfigyelést, a hangrögzítést, a biometrikus azonosítást, az analitikával támogatott észlelést, az érzékeny helyszíneket, a kiszolgáltatott személyeket vagy a nem nyilvánvaló megfigyelést, az aktiválás előtt REG04 szerinti adatvédelmi kockázati döntést igényel. Ha a megfigyelés magas kockázatú, nem nyilvánvaló, nagy léptékű, munkavállalókat érint, vagy megoldatlan joggyakorlási kérelemhez vagy incidens-eszkalációhoz kapcsolódik, az adatvédelmi tisztviselő / adatvédelmi tanácsadó tanácsot ad a REG04-ben vagy a REG12-ben. Az operatív kontrollok a hozzáférésre, megtekintésre, exportálásra, adatközlésre, megőrzésre, törlésre és incidens-eszkalációra terjednek ki. Az információbiztonsági vezető meghatározza a megfigyelési felvételekhez, látogatói nyilvántartásokhoz és fizikai hozzáférési naplókhoz kapcsolódó engedélyezett hozzáférési szerepköröket, míg a rendszergazda / alkalmazástulajdonos konfigurálja a hozzáférési korlátozásokat, és legalább negyedévente rögzíti az emelt jogosultságú hozzáférések felülvizsgálatának eredményeit a REG12-ben. A lejárt megfigyelési felvételek rutinszerű törlését, felülírását vagy letiltását a REG02 szerint kell konfigurálni, és az automatizált vagy ütemezett törlés alá tartozó adattárak esetében legalább havonta rögzíteni kell a törlés vagy felülírás teljesítésének bizonyítékait. A megőrzési zárolások és a kinyert másolatok jóváhagyást és REG12-ben történő rögzítést igényelnek, mielőtt a normál megőrzési idő meghosszabbításra kerül. A külső adatközléseket az adatközlés előtt a REG08-ban kell rögzíteni, vagy aktív incidensreagálás részeként történő adatközlés esetén egy munkanapon belül a REG10-ben. A szabályzat irányítást határoz meg a kiszervezett megfigyelési és fizikai biztonsági szolgáltatásokra is. A kiszervezett megfigyelőrendszer-szolgáltatókat, őrzés-védelmi szolgáltatókat, látogatókezelési szolgáltatókat és fizikai hozzáférés-szabályozási szolgáltatókat a szolgáltatás megkezdése előtt rögzíteni kell a REG08-ban, beleértve az alkalmazási területet, az adatfeldolgozói vagy al-adatfeldolgozói státuszt, a hozzáférési jogosultságokat, a megőrzés támogatását, a törlés támogatását, az incidens-eszkalációt és az adatközlési korlátozásokat. A felügyelet negyedéves mutatók, éves felülvizsgálatok, audittesztelés, kivételkezelés, meg nem felelés rögzítése, helyesbítő intézkedési felelősség és szükség esetén a felső vezetés felé történő eszkaláció útján valósul meg. Ez bizonyítékalapú keretrendszert hoz létre a CCTV-vel és fizikai megfigyeléssel kapcsolatos adatvédelmi kötelezettségek kezelésére adatkezelői és adatfeldolgozói környezetekben.

Irányelv-diagram

Folyamatábra a CCTV- és fizikai megfigyelés irányításáról: cél és alkalmazási terület meghatározása a REG02-ben, kockázatértékelés a REG04-ben, tájékoztatási bizonyítékok közzététele a REG07-ben, hozzáférési és megőrzési kontrollok konfigurálása, adatközlések és szolgáltatók kezelése a REG08-ban, joggyakorlási kérelmek továbbítása a REG06-on keresztül, incidensek eszkalációja a REG10-ben, valamint felülvizsgálatok, mutatók, kivételek és helyesbítő intézkedések rögzítése a REG12-ben.

Kattintson a diagramra a teljes méret megtekintéséhez

Tartalom

CCTV- és fizikai megfigyelés alkalmazási területe

Megfigyelési nyilvántartás, cél és jóváhagyás

Tájékoztatás, tájékoztató táblák és átláthatósági bizonyítékok

Hozzáférési, megtekintési, exportálási és adatközlési kontrollok

Megőrzés, törlés és kinyert másolatok kezelése

Joggyakorlási kérelmek továbbítása, incidens-eszkaláció és szolgáltatói felügyelet

Keretrendszer-megfelelőség

🛡️ Támogatott szabványok és keretrendszerek

Ez a termék a következő megfelelőségi keretrendszerekhez igazodik, részletes záradék- és vezérlőleképezésekkel.

Keretrendszer Lefedett záradékok / Vezérlők
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 9.2.3Clause 9.4.2Clause 11.1.3
ISO/IEC 27002:2022
Controls 5.34Controls 7.2Controls 7.4Controls 8.2Controls 8.3Controls 8.15

Kapcsolódó irányelvek

Adatkezelési tevékenységek nyilvántartására és jogalapra vonatkozó szabályzat

A megfigyelési tevékenységeket a REG02-ben kell rögzíteni céllal, jogalappal, helyszínnel, PII-kategóriákkal, megőrzési, hozzáférési és adatközlési adatokkal.

Adatvédelmi tájékoztató és átláthatósági szabályzat

A CCTV- és fizikai megfigyelés tájékoztató táblákat, helyben és időben adott tájékoztatási bizonyítékokat, valamint a tájékoztatók és az adatkezelési célok közötti kapcsolódást igényel.

PII-alanyi jogok kezelésére vonatkozó szabályzat

A megfigyelési felvételeket, látogatói adatokat vagy fizikai hozzáférési naplókat érintő kérelmeket a joggyakorlási folyamat szerint a REG06-on keresztül kell továbbítani.

Adatvédelmi kockázatértékelési és DPIA-szabályzat

A magasabb kockázatú megfigyelés REG04 szerinti adatvédelmi kockázati döntéseket és adott esetben az aktiválás előtti DPIA-hoz kapcsolódó felülvizsgálatot indít el.

Megőrzési, törlési és megsemmisítési szabályzat

A megfigyelési adattárak meghatározott megőrzést, rutinszerű törlést vagy felülírást, törlési bizonyítékokat és szabályozott megőrzési zárolásokat igényelnek.

Biztonsági és hozzáférés-szabályozási szabályzat

A megfigyelőrendszerek jóváhagyott hozzáférési szerepkörökre, hozzáférési korlátozásokra, emelt jogosultságú hozzáférések felülvizsgálatára, naplózásra és elszigetelési intézkedésekre támaszkodnak.

A Clarysec irányelveiről - CCTV- és fizikai megfigyelési adatvédelmi szabályzat

Ez a szabályzat működési adatvédelmi keretrendszert biztosít a PII-t kezelő CCTV- és fizikai megfigyelési tevékenységekhez. Meghatározza, hogyan kell dokumentálni a megfigyelési célokat, a jogalapot, a helyszíneket, a tájékoztatási bizonyítékokat, a hozzáférési szerepköröket, az adatközlési határokat, a megőrzési időtartamokat, a törlési kontrollokat, a szolgáltatói bizonyítékokat, az incidens-eszkalációt és a felülvizsgálati tevékenységet a REG02, REG04, REG06, REG07, REG08, REG10 és REG12 szerint. A szabályzat alkalmazandó a szervezet saját helyiségeire vonatkozó adatkezelői tevékenységekre, valamint az ügyfelek megfigyelési felvételeit, látogatói nyilvántartásait vagy fizikai hozzáférési naplóit érintő adatfeldolgozói vagy al-adatfeldolgozói támogató tevékenységekre.

Meghatározott megfigyelési alkalmazási terület

Kiterjed a CCTV-re, a látogatók megfigyelésére, a hozzáférési naplókra, az őrszolgálati nyilvántartásokra, a helyiségrendszerekre és a kapcsolódó megfigyelési PII-re.

Kockázatalapú aktiválás

REG04 szerinti felülvizsgálatot ír elő a magas kockázatú, nem nyilvánvaló, hangalapú, biometrikus, analitikai vagy érzékeny megfigyelés megkezdése előtt.

Adatkezelői és adatfeldolgozói használat

Alkalmazandó a saját helyiségek megfigyelésére és az ügyfélutasítás alapján nyújtott támogatásra felvételek, látogatói adatok és hozzáférési naplók tekintetében.

Auditálható bizonyítékmodell

A REG02, REG04, REG06, REG07, REG08, REG10 és REG12 nyilvántartásokat használja feljegyzésekhez, felülvizsgálathoz, incidensekhez és felügyelethez.

Gyakran ismételt kérdések

Vezetőknek, vezetők által

Ez az irányelv egy biztonsági vezető által készült, aki több mint 25 éves tapasztalattal rendelkezik ISMS keretrendszerek bevezetésében és auditálásában globális vállalatoknál. Nem csupán dokumentumként készült, hanem olyan védhető keretrendszerként, amely megfelel az auditorok vizsgálatának.

Az alábbi képesítésekkel rendelkező szakértő készítette:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Lefedettség és témák

🏢 Célterületek

Adatvédelem Jogi ügyek Megfelelés IT-biztonság DPO-iroda

🏷️ Témafedezet

Adatvédelmi információkezelés Személyes adatok kezelése Adatvédelmi hatásvizsgálat Adatkezelési tevékenységek nyilvántartása Érintetti jogok kezelése Adatmegőrzés és megsemmisítés Harmadik felek kezelése
€49

Egyszeri vásárlás

Azonnali letöltés
Élethosszig tartó frissítések

Ez a szabályzat 1 a 25-ből a teljes ISO/IEC 27701 PIMS-csomagban

52% megtakarítás

Szerezze meg mind a 25 PIMS-szabályzatot, a teljes nyilvántartáskészletet és egy részletes bevezetési tervet €799-ért €1 675 helyett, ha egyenként vásárolja meg.

Teljes 27701-csomag megtekintése →
CCTV and Physical Monitoring Privacy Policy

Termék részletei

Típus: policy
Kategória: ISO 27701 PIMS Policy Pack
Szabványok: 6