policy ISO 27701 PIMS Policy Pack

Politica sulla privacy per la videosorveglianza e il monitoraggio fisico

Politica sulla privacy ISO/IEC 27701 per la videosorveglianza, relativa a finalità del monitoraggio, cartelli informativi, accesso, conservazione, comunicazione, incidenti e controllo delle evidenze.

Panoramica

Questa politica definisce i controlli sulla privacy per la videosorveglianza, il monitoraggio dei visitatori, i log degli accessi fisici e i dati personali oggetto di monitoraggio correlati. Richiede finalità approvate, cartelli informativi, riesame del rischio, restrizioni di accesso, controlli di conservazione e cancellazione, governance delle comunicazioni, instradamento delle richieste di esercizio dei diritti, escalation degli incidenti e gestione delle evidenze del PIMS.

Controlli sul monitoraggio basati sulle finalità

Richiede che le attività di videosorveglianza e monitoraggio fisico siano definite, approvate e documentate prima dell'attivazione.

Evidenze trasparenti delle informative

Collega i cartelli informativi sul monitoraggio e le informative just-in-time alle finalità del trattamento approvate e alle registrazioni delle evidenze del PIMS.

Governance degli accessi e della conservazione

Controlla visualizzazione, esportazione, comunicazione, cancellazione, vincoli di conservazione e riesame degli accessi privilegiati per i dati personali oggetto di monitoraggio.

Leggi panoramica completa (click to expand)
La Politica sulla privacy per la videosorveglianza e il monitoraggio fisico stabilisce controlli sulla privacy per le attività di monitoraggio che raccolgono o altrimenti trattano dati personali. Il suo ambito comprende videosorveglianza, monitoraggio video, monitoraggio dei visitatori, log del controllo degli accessi fisici, registrazioni di monitoraggio gestite dal personale di vigilanza, sistemi di monitoraggio dei locali e monitoraggio fisico correlato. La politica si applica quando l'organizzazione agisce come titolare del trattamento dei dati personali per i propri locali e quando supporta attività in qualità di responsabile del trattamento o sub-responsabile mediante gestione operativa, hosting, riesame, archiviazione, comunicazione, cancellazione o altro trattamento di registrazioni video di sorveglianza, dati dei visitatori o log degli accessi fisici per conto di un cliente. La politica è progettata per assicurare che il monitoraggio sia basato su finalità definite, trasparente, proporzionato, soggetto a controllo degli accessi, conservato per periodi definiti, comunicato solo tramite canali approvati e supportato da evidenze del PIMS verificabili in sede di audit. Prima dell'avvio del monitoraggio, il Proprietario del processo o il titolare dell'attività deve registrare ogni attività di monitoraggio in REG02, includendo finalità, base giuridica, luogo monitorato, categorie di dati personali, categorie di interessati, conservazione, informativa, accesso e campi relativi alla comunicazione. Il Responsabile della privacy / Responsabile del PIMS valida tali registrazioni prima dell'attivazione di un'attività di monitoraggio nuova o modificata in modo sostanziale. Anche le zone monitorate approvate, le zone escluse e i confini della raccolta devono essere registrati prima dell'abilitazione di telecamere, sensori, registri dei visitatori o registrazione del controllo degli accessi. La politica attribuisce particolare importanza alla trasparenza e al riesame basato sul rischio. I cartelli informativi sul monitoraggio o evidenze equivalenti di informative just-in-time devono essere registrati in REG07 prima che le aree monitorate siano aperte agli interessati, e ogni informativa deve essere collegata alla corrispondente finalità del trattamento in REG02. Misure alternative di trasparenza devono essere registrate per il monitoraggio non evidente o di emergenza. Il monitoraggio a rischio più elevato, inclusi il monitoraggio sistematico, la registrazione audio, l'identificazione biometrica, il rilevamento abilitato da sistemi di analisi, i luoghi sensibili, le persone vulnerabili o il monitoraggio non evidente, richiede una decisione REG04 sul rischio per la privacy prima dell'attivazione. Quando il monitoraggio è ad alto rischio, non evidente, su larga scala, rivolto ai dipendenti o soggetto a escalation non risolte relative a diritti o incidenti, il Responsabile della protezione dei dati / consulente privacy fornisce il proprio parere in REG04 o REG12. I controlli operativi riguardano accesso, visualizzazione, esportazione, comunicazione, conservazione, cancellazione ed escalation degli incidenti. Il Responsabile della sicurezza delle informazioni definisce i ruoli di accesso autorizzati per registrazioni di monitoraggio, registrazioni dei visitatori e log degli accessi fisici, mentre il proprietario del sistema / Proprietario dell'applicazione configura le restrizioni di accesso e registra i risultati del riesame degli accessi privilegiati almeno trimestralmente in REG12. La cancellazione ordinaria, la sovrascrittura o la disabilitazione delle registrazioni di monitoraggio scadute devono essere configurate secondo REG02, con evidenze del completamento della cancellazione o della sovrascrittura registrate almeno mensilmente per i repository soggetti a cancellazione automatizzata o pianificata. I vincoli di conservazione e le copie estratte richiedono approvazione e registrazione in REG12 prima che la conservazione ordinaria sia estesa. Le comunicazioni esterne sono registrate in REG08 prima della comunicazione, oppure in REG10 entro un giorno lavorativo quando la comunicazione fa parte di una risposta agli incidenti attiva. La politica definisce inoltre la governance dei servizi esternalizzati di monitoraggio e sicurezza fisica. I fornitori esternalizzati di sistemi di monitoraggio, i fornitori di servizi di vigilanza, i fornitori di gestione dei visitatori e i fornitori di controllo degli accessi fisici devono essere registrati in REG08 prima dell'avvio del servizio, includendo ambito, stato di responsabile del trattamento o sub-responsabile, autorizzazioni di accesso, supporto alla conservazione, supporto alla cancellazione, escalation degli incidenti e restrizioni alla comunicazione. La vigilanza è mantenuta tramite metriche trimestrali, riesami annuali, test di audit, gestione delle eccezioni, registrazione delle non conformità, titolarità delle azioni correttive ed escalation all'alta direzione ove richiesto. Ciò crea un quadro di riferimento basato sulle evidenze per gestire gli obblighi privacy relativi alla videosorveglianza e al monitoraggio fisico nei contesti di titolare del trattamento e responsabile del trattamento.

Diagramma della Policy

Diagramma di flusso del processo che mostra la governance della videosorveglianza e del monitoraggio fisico: definire finalità e ambito in REG02, valutare il rischio in REG04, pubblicare evidenze delle informative in REG07, configurare controlli di accesso e conservazione, gestire comunicazioni e fornitori in REG08, instradare le richieste di esercizio dei diritti tramite REG06, effettuare l'escalation degli incidenti in REG10 e registrare riesami, metriche, eccezioni e azioni correttive in REG12.

Fare clic sul diagramma per visualizzarlo a dimensione completa

Contenuto

Ambito della videosorveglianza e del monitoraggio fisico

Inventario del monitoraggio, finalità e approvazione

Informative, cartelli informativi ed evidenze di trasparenza

Controlli di accesso, visualizzazione, esportazione e comunicazione

Gestione della conservazione, cancellazione e delle copie estratte

Instradamento delle richieste di esercizio dei diritti, escalation degli incidenti e vigilanza sui fornitori

Conformità ai framework

🛡️ Standard e framework supportati

Questo prodotto è allineato ai seguenti framework di conformità, con mappature dettagliate di clausole e controlli.

Framework Clausole / Controlli coperti
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 9.2.3Clause 9.4.2Clause 11.1.3
ISO/IEC 27002:2022
Controls 5.34Controls 7.2Controls 7.4Controls 8.2Controls 8.3Controls 8.15

Politiche correlate

Politica sull'inventario dei trattamenti e sulla base giuridica

Le attività di monitoraggio devono essere registrate in REG02 con finalità, base giuridica, luogo, categorie di dati personali, conservazione, accesso e dettagli relativi alla comunicazione.

Politica sulle informative sulla privacy e sulla trasparenza

La videosorveglianza e il monitoraggio fisico richiedono cartelli informativi, evidenze delle informative just-in-time e collegamento tra informative e finalità del trattamento.

Politica di gestione dei diritti degli interessati

Le richieste che riguardano registrazioni video di sorveglianza, dati dei visitatori o log degli accessi fisici sono instradate tramite REG06 nell'ambito del processo relativo ai diritti.

Politica di valutazione del rischio per la privacy e DPIA

Il monitoraggio a rischio più elevato attiva decisioni REG04 sul rischio per la privacy e, ove applicabile, un riesame relativo alla DPIA prima dell'attivazione.

Politica di conservazione, cancellazione e smaltimento

I repository di monitoraggio richiedono conservazione definita, cancellazione o sovrascrittura ordinaria, evidenze di cancellazione e vincoli di conservazione controllati.

Politica di sicurezza e controllo degli accessi

I sistemi di monitoraggio dipendono da ruoli di accesso approvati, restrizioni di accesso, riesami degli accessi privilegiati, registrazione e azioni di contenimento.

Informazioni sulle Policy Clarysec - Politica sulla privacy per la videosorveglianza e il monitoraggio fisico

Questa politica fornisce un quadro operativo per la privacy applicabile alle attività di videosorveglianza e monitoraggio fisico che trattano dati personali. Definisce come le finalità del monitoraggio, la base giuridica, i luoghi, le evidenze delle informative, i ruoli di accesso, i confini della comunicazione, i periodi di conservazione, i controlli di cancellazione, le evidenze dei fornitori, le escalation degli incidenti e le attività di riesame sono documentati in REG02, REG04, REG06, REG07, REG08, REG10 e REG12. La politica si applica alle attività di titolare del trattamento per i locali propri dell'organizzazione e alle attività di supporto come responsabile del trattamento o sub-responsabile che riguardano registrazioni video di sorveglianza dei clienti, registrazioni dei visitatori o log degli accessi fisici.

Ambito del monitoraggio definito

Copre videosorveglianza, monitoraggio dei visitatori, log degli accessi, registrazioni di vigilanza, sistemi dei locali e dati personali oggetto di monitoraggio correlati.

Attivazione basata sul rischio

Richiede riesame REG04 prima dell'avvio di monitoraggio ad alto rischio, non evidente, audio, biometrico, analitico o sensibile.

Uso da parte del titolare e del responsabile del trattamento

Si applica al monitoraggio dei propri locali e al supporto impartito dal cliente per registrazioni video, dati dei visitatori e log degli accessi.

Modello di evidenze verificabile in sede di audit

Utilizza REG02, REG04, REG06, REG07, REG08, REG10 e REG12 per registrazioni, riesame, incidenti e vigilanza.

Domande frequenti

Creato per Leader, dai Leader

Questa policy è stata redatta da un leader della sicurezza con oltre 25 anni di esperienza nell’implementazione e nell’audit di framework ISMS per organizzazioni globali. È progettata non solo come documento, ma come un framework difendibile che resiste alla verifica degli auditor.

Redatto da un esperto in possesso di:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Copertura & Argomenti

🏢 Dipartimenti target

Privacy Legale Conformità Sicurezza IT Ufficio DPO

🏷️ Copertura tematica

Gestione delle informazioni sulla privacy trattamento dei dati personali valutazione d'impatto sulla privacy registrazioni delle attività di trattamento gestione dei diritti degli interessati conservazione e smaltimento dei dati gestione delle terze parti
€49

Acquisto una tantum

Download immediato
Aggiornamenti a vita

Questa policy è 1 di 25 nel Pacchetto PIMS ISO/IEC 27701 completo

Risparmia il 52%

Ottieni tutte le 25 policy PIMS, il set completo di registri e un piano di implementazione dettagliato per €799, invece di €1.675 acquistandole singolarmente.

Vedi Pacchetto 27701 completo →
CCTV and Physical Monitoring Privacy Policy

Dettagli prodotto

Tipo: policy
Categoria: ISO 27701 PIMS Policy Pack
Standard: 6