Politica de confidențialitate privind CCTV și monitorizarea fizică

Politica de confidențialitate privind CCTV și monitorizarea fizică stabilește controale de confidențialitate pentru activitățile de monitorizare care colectează sau prelucrează în alt mod PII. Domeniul său de aplicare include CCTV, monitorizarea video, monitorizarea vizitatorilor, jurnale de control al accesului fizic, înregistrări de monitorizare operate de personalul de pază, sisteme de monitorizare a spațiilor și monitorizare fizică aferentă. Politica se aplică atunci când organizația acționează ca operator pentru propriile spații și atunci când sprijină activități ale persoanei împuternicite sau ale persoanei subîmputernicite prin operarea, găzduirea, revizuirea, stocarea, divulgarea, ștergerea sau prelucrarea în alt mod a înregistrărilor video de monitorizare, a datelor despre vizitatori sau a jurnalelor de control al accesului fizic în numele unui client. Politica este concepută pentru a asigura faptul că monitorizarea are un scop definit, este transparentă, proporțională, controlată prin acces, păstrată pentru perioade definite, divulgată numai prin canale aprobate și susținută de dovezi PIMS verificabile. Înainte de începerea monitorizării, proprietarul de proces sau proprietarul activității trebuie să înregistreze fiecare activitate de monitorizare în REG02, inclusiv scopul, temeiul juridic, locația monitorizată, categoriile de PII, categoriile de persoane vizate, retenția, nota de informare, accesul și câmpurile de divulgare. Responsabilul pentru confidențialitate / Managerul PIMS validează aceste înregistrări înainte de activarea unei activități de monitorizare noi sau modificate semnificativ. Zonele monitorizate aprobate, zonele excluse și limitele de colectare trebuie, de asemenea, înregistrate înainte de activarea camerelor, senzorilor, jurnalelor de vizitatori sau jurnalizării controlului accesului. Politica pune un accent important pe transparență și pe revizuirea bazată pe risc. Dovezile privind semnalizarea de monitorizare sau notele de informare echivalente la momentul colectării trebuie înregistrate în REG07 înainte ca zonele monitorizate să fie deschise persoanelor vizate, iar fiecare notă de informare trebuie corelată cu scopul de prelucrare REG02 corespunzător. Măsurile alternative de transparență trebuie înregistrate pentru monitorizarea neevidentă sau de urgență. Monitorizarea cu risc mai ridicat, inclusiv monitorizarea sistematică, înregistrarea audio, identificarea biometrică, detecția activată prin analiză, locațiile sensibile, persoanele vulnerabile sau monitorizarea neevidentă, necesită o decizie REG04 privind riscul de confidențialitate înainte de activare. Atunci când monitorizarea este cu risc ridicat, neevidentă, la scară largă, orientată către angajați sau face obiectul unor cereri de exercitare a drepturilor ori al unei escaladări de incident nerezolvate, Responsabilul cu protecția datelor / Consilierul pentru confidențialitate furnizează recomandări în REG04 sau REG12. Controalele operaționale vizează accesul, vizualizarea, exportul, divulgarea, retenția, ștergerea și escaladarea incidentelor. Responsabilul pentru securitatea informației definește rolurile de acces autorizate pentru înregistrările de monitorizare, înregistrările vizitatorilor și jurnalele de control al accesului fizic, iar proprietarul de sistem / proprietarul de aplicație configurează restricțiile de acces și înregistrează rezultatele revizuirii accesului privilegiat cel puțin trimestrial în REG12. Ștergerea, suprascrierea sau dezactivarea de rutină a înregistrărilor de monitorizare expirate trebuie configurată conform REG02, cu dovezi privind finalizarea ștergerii sau suprascrierii înregistrate cel puțin lunar pentru depozitele supuse ștergerii automate sau programate. Blocările pentru păstrare și copiile extrase necesită aprobare și înregistrare în REG12 înainte de prelungirea retenției normale. Divulgările externe sunt înregistrate în REG08 înainte de divulgare sau în REG10 în termen de o zi lucrătoare atunci când divulgarea face parte dintr-un răspuns activ la incidente. Politica definește, de asemenea, guvernanța pentru serviciile externalizate de monitorizare și securitate fizică. Furnizorii de sisteme de monitorizare externalizate, furnizorii de pază, furnizorii de management al vizitatorilor și furnizorii de control al accesului fizic trebuie înregistrați în REG08 înainte de începerea serviciului, incluzând domeniul de aplicare, statutul de persoană împuternicită sau de persoană subîmputernicită, permisiunile de acces, suportul pentru retenție, suportul pentru ștergere, escaladarea incidentelor și restricțiile privind divulgarea. Supravegherea este menținută prin metrici trimestriale, revizuiri anuale, testare de audit, gestionarea excepțiilor, înregistrarea neconformităților, deținerea acțiunilor corective și escaladarea către conducerea de vârf atunci când este necesar. Acest lucru creează un cadru bazat pe dovezi pentru gestionarea obligațiilor de confidențialitate privind CCTV și monitorizarea fizică în contexte de operator și de persoană împuternicită.