policy ISO 27701 PIMS Policy Pack

Polityka prywatności CCTV i monitoringu fizycznego

Polityka prywatności CCTV zgodna z ISO/IEC 27701 dotycząca celu monitoringu, oznakowania, dostępu, retencji, ujawniania, incydentów i kontroli dowodów.

Przegląd

Niniejsza polityka definiuje środki kontrolne w zakresie prywatności dla CCTV, monitoringu odwiedzających, logów dostępu fizycznego oraz powiązanych PII z monitoringu. Wymaga zatwierdzonych celów, oznakowania, przeglądu ryzyka, ograniczeń dostępu, kontroli retencji i usuwania, nadzoru nad ujawnieniami, kierowania wniosków o realizację praw, eskalacji incydentów oraz zarządzania dowodami PIMS.

Środki kontrolne celowego monitoringu

Wymaga, aby działania w zakresie CCTV i monitoringu fizycznego były zdefiniowane, zatwierdzone i udokumentowane przed aktywacją.

Przejrzyste dowody obowiązku informacyjnego

Łączy oznakowanie monitoringu i klauzule informacyjne just-in-time z zatwierdzonymi celami przetwarzania oraz zapisami dowodowymi PIMS.

Nadzór nad dostępem i retencją

Kontroluje przeglądanie, eksport, ujawnianie, usuwanie, wstrzymania usuwania oraz przegląd dostępu uprzywilejowanego dla PII z monitoringu.

Czytaj pełny przegląd (click to expand)
Polityka prywatności CCTV i monitoringu fizycznego ustanawia środki kontrolne w zakresie prywatności dla działań monitoringowych, które gromadzą lub w inny sposób przetwarzają PII. Jej zakres obejmuje CCTV, monitoring wizyjny, monitoring odwiedzających, logi kontroli dostępu fizycznego, zapisy monitoringu prowadzonego przez pracowników ochrony, systemy monitorowania obiektów oraz powiązany monitoring fizyczny. Polityka ma zastosowanie, gdy organizacja działa jako administrator PII dla własnych obiektów oraz gdy wspiera działania podmiotu przetwarzającego lub podwykonawcy przetwarzania przez obsługę, hosting, przegląd, przechowywanie, ujawnianie, usuwanie lub inne przetwarzanie nagrań z monitoringu, danych odwiedzających lub logów dostępu fizycznego w imieniu klienta. Polityka została zaprojektowana tak, aby zapewnić, że monitoring jest celowy, przejrzysty, proporcjonalny, objęty kontrolą dostępu, przechowywany przez zdefiniowane okresy, ujawniany wyłącznie przez zatwierdzone kanały oraz wspierany dowodami PIMS możliwymi do prześledzenia audytowo. Przed rozpoczęciem monitoringu właściciel procesu lub właściciel biznesowy musi zarejestrować każde działanie monitoringowe w REG02, w tym cel, podstawę prawną, monitorowaną lokalizację, kategorie PII, kategorie osób, których dane dotyczą, retencję, klauzulę informacyjną, dostęp i pola dotyczące ujawniania. Osoba odpowiedzialna za prywatność / menedżer PIMS waliduje te wpisy przed aktywacją nowego lub istotnie zmienionego działania monitoringowego. Zatwierdzone strefy monitorowane, strefy wyłączone oraz granice gromadzenia danych również muszą zostać odnotowane przed włączeniem kamer, czujników, rejestrów odwiedzających lub rejestrowania kontroli dostępu. Polityka kładzie duży nacisk na przejrzystość oraz przegląd oparty na ryzyku. Oznakowanie monitoringu lub równoważne dowody klauzul informacyjnych just-in-time muszą zostać zarejestrowane w REG07 przed udostępnieniem monitorowanych obszarów osobom, których dane dotyczą, a każda klauzula informacyjna musi być powiązana z odpowiednim celem przetwarzania w REG02. Alternatywne środki przejrzystości muszą zostać odnotowane dla monitoringu nieoczywistego lub awaryjnego. Monitoring o wyższym ryzyku, w tym systematyczny monitoring, nagrywanie dźwięku, identyfikacja biometryczna, wykrywanie z użyciem analityki, lokalizacje wrażliwe, osoby szczególnie narażone lub monitoring nieoczywisty, wymaga decyzji REG04 dotyczącej ryzyka dla prywatności przed aktywacją. Gdy monitoring jest wysokiego ryzyka, nieoczywisty, prowadzony na dużą skalę, skierowany do pracowników albo podlega nierozwiązanej eskalacji dotyczącej praw lub incydentu, inspektor ochrony danych (IOD) / doradca ds. prywatności udziela porady w REG04 lub REG12. Operacyjne środki kontrolne obejmują dostęp, przeglądanie, eksport, ujawnianie, retencję, usuwanie i eskalację incydentów. Osoba odpowiedzialna za bezpieczeństwo informacji definiuje uprawnione role dostępu do nagrań z monitoringu, zapisów odwiedzających i logów dostępu fizycznego, natomiast właściciel systemu / właściciel aplikacji konfiguruje ograniczenia dostępu i co najmniej kwartalnie rejestruje wyniki przeglądu dostępu uprzywilejowanego w REG12. Rutynowe usuwanie, nadpisywanie lub wyłączanie przeterminowanych nagrań z monitoringu musi być skonfigurowane zgodnie z REG02, a dowody zakończenia usuwania lub nadpisywania muszą być rejestrowane co najmniej miesięcznie dla repozytoriów objętych zautomatyzowanym lub zaplanowanym usuwaniem. Wstrzymania usuwania oraz wyodrębnione kopie wymagają zatwierdzenia i rejestracji w REG12 przed przedłużeniem standardowej retencji. Ujawnienia zewnętrzne są rejestrowane w REG08 przed ujawnieniem albo w REG10 w ciągu jednego dnia roboczego, gdy ujawnienie jest częścią aktywnego reagowania na incydenty. Polityka definiuje także nadzór nad monitoringiem realizowanym w outsourcingu oraz usługami bezpieczeństwa fizycznego. Dostawcy systemów monitoringu realizowanych w modelu outsourcingowym, dostawcy usług ochrony, dostawcy zarządzania odwiedzającymi oraz dostawcy kontroli dostępu fizycznego muszą zostać zarejestrowani w REG08 przed rozpoczęciem świadczenia usługi, z uwzględnieniem zakresu, statusu podmiotu przetwarzającego lub podwykonawcy przetwarzania, uprawnień dostępu, wsparcia retencji, wsparcia usuwania, eskalacji incydentów oraz ograniczeń ujawniania. Nadzór jest utrzymywany przez kwartalne metryki, coroczne przeglądy, testy audytowe, obsługę wyjątków, rejestrowanie niezgodności, własność działań korygujących oraz eskalację do najwyższego kierownictwa, gdy jest wymagana. Tworzy to ramy oparte na dowodach do zarządzania obowiązkami w zakresie prywatności CCTV i monitoringu fizycznego w kontekstach administratora i podmiotu przetwarzającego.

Diagram polityki

Diagram przepływu procesu przedstawiający nadzór nad CCTV i monitoringiem fizycznym: zdefiniowanie celu i zakresu w REG02, ocenę ryzyka w REG04, opublikowanie dowodów klauzul informacyjnych w REG07, konfigurację środków kontrolnych dostępu i retencji, zarządzanie ujawnieniami i dostawcami w REG08, kierowanie wniosków o realizację praw przez REG06, eskalację incydentów w REG10 oraz rejestrowanie przeglądów, metryk, wyjątków i działań korygujących w REG12.

Kliknij diagram, aby wyświetlić w pełnym rozmiarze

Zawartość

Zakres CCTV i monitoringu fizycznego

Inwentarz monitoringu, cel i zatwierdzenie

Klauzule informacyjne, oznakowanie i dowody przejrzystości

Środki kontrolne dostępu, przeglądania, eksportu i ujawniania

Postępowanie z retencją, usuwaniem i wyodrębnionymi kopiami

Kierowanie wniosków o realizację praw, eskalacja incydentów i nadzór nad dostawcami

Zgodność z frameworkiem

🛡️ Obsługiwane standardy i frameworki

Ten produkt jest zgodny z następującymi frameworkami zgodności, ze szczegółowym mapowaniem klauzul i kontroli.

Framework Objęte klauzule / Kontrole
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 9.2.3Clause 9.4.2Clause 11.1.3
ISO/IEC 27002:2022
Controls 5.34Controls 7.2Controls 7.4Controls 8.2Controls 8.3Controls 8.15

Powiązane polityki

Polityka rejestru czynności przetwarzania i podstawy prawnej

Działania monitoringowe muszą być rejestrowane w REG02 wraz z celem, podstawą prawną, lokalizacją, kategoriami PII, retencją, dostępem i szczegółami ujawniania.

Polityka klauzul informacyjnych i przejrzystości

CCTV i monitoring fizyczny wymagają oznakowania, dowodów klauzul informacyjnych just-in-time oraz powiązania klauzul informacyjnych z celami przetwarzania.

Polityka zarządzania prawami osób, których dane dotyczą

Wnioski dotyczące nagrań z monitoringu, danych odwiedzających lub logów dostępu fizycznego są kierowane przez REG06 w ramach procesu obsługi praw.

Polityka oceny ryzyka dla prywatności i DPIA

Monitoring o wyższym ryzyku uruchamia decyzje REG04 dotyczące ryzyka dla prywatności oraz, w stosownych przypadkach, przegląd związany z DPIA przed aktywacją.

Polityka retencji, usuwania i utylizacji

Repozytoria monitoringu wymagają zdefiniowanej retencji, rutynowego usuwania lub nadpisywania, dowodów usunięcia oraz kontrolowanych wstrzymań usuwania.

Polityka bezpieczeństwa i kontroli dostępu

Systemy monitoringu zależą od zatwierdzonych ról dostępu, ograniczeń dostępu, przeglądów dostępu uprzywilejowanego, rejestrowania oraz działań powstrzymujących.

O politykach Clarysec - Polityka prywatności CCTV i monitoringu fizycznego

Niniejsza polityka zapewnia operacyjne ramy prywatności dla działań CCTV i monitoringu fizycznego, które przetwarzają PII. Definiuje, w jaki sposób cele monitoringu, podstawa prawna, lokalizacje, dowody klauzul informacyjnych, role dostępu, granice ujawniania, okresy retencji, środki kontrolne usuwania, dowody dotyczące dostawców, eskalacja incydentów i działania przeglądowe są dokumentowane w REG02, REG04, REG06, REG07, REG08, REG10 i REG12. Polityka ma zastosowanie do działań administratora dotyczących własnych obiektów organizacji oraz do działań wsparcia realizowanych jako podmiot przetwarzający lub podwykonawca przetwarzania, obejmujących nagrania z monitoringu klienta, zapisy odwiedzających lub logi dostępu fizycznego.

Zdefiniowany zakres monitoringu

Obejmuje CCTV, monitoring odwiedzających, logi dostępu, zapisy ochrony, systemy obiektowe oraz powiązane PII z monitoringu.

Aktywacja oparta na ryzyku

Wymaga przeglądu REG04 przed rozpoczęciem monitoringu wysokiego ryzyka, nieoczywistego, dźwiękowego, biometrycznego, analitycznego lub wrażliwego.

Stosowanie przez administratora i podmiot przetwarzający

Ma zastosowanie do monitoringu we własnych obiektach oraz wsparcia realizowanego na polecenie klienta dla nagrań, danych odwiedzających i logów dostępu.

Audytowalny model dowodowy

Wykorzystuje REG02, REG04, REG06, REG07, REG08, REG10 i REG12 dla rejestrów, przeglądów, incydentów i nadzoru.

Często zadawane pytania

Stworzone dla liderów, przez liderów

Niniejsza polityka została opracowana przez lidera ds. bezpieczeństwa z ponad 25-letnim doświadczeniem w zakresie wdrażania i audytowania systemów ISMS w globalnych organizacjach. Została zaprojektowana nie tylko jako dokument, lecz jako obronne ramy, które wytrzymują kontrolę audytora.

Opracowane przez eksperta posiadającego:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Zasięg i tematy

🏢 Docelowe działy

Prywatność Dział prawny Zgodność Bezpieczeństwo IT Biuro IOD

🏷️ Zakres tematyczny

Zarządzanie informacjami o prywatności Przetwarzanie danych osobowych Ocena skutków dla prywatności Rejestry czynności przetwarzania Zarządzanie prawami osób, których dane dotyczą Retencja i utylizacja danych Zarządzanie stronami trzecimi
€49

Jednorazowy zakup

Natychmiastowe pobieranie
Dożywotnie aktualizacje

Ta polityka to 1 z 25 w pełnym pakiecie ISO/IEC 27701 PIMS

Oszczędź 52%

Zdobądź wszystkie 25 polityk PIMS, pełen zestaw rejestrów i szczegółowy plan wdrożenia za €799, zamiast €1.675 przy zakupie pojedynczym.

Zobacz pełny pakiet 27701 →
CCTV and Physical Monitoring Privacy Policy

Szczegóły produktu

Typ: policy
Kategoria: ISO 27701 PIMS Policy Pack
Standardy: 6