policy ISO 27701 PIMS Policy Pack

Politika ochrany súkromia pre CCTV a monitorovanie fyzických priestorov

Politika ochrany súkromia pre CCTV podľa ISO/IEC 27701 na účel monitorovania, označovania, prístupu, uchovávania, poskytovania, incidentov a riadenia dôkazov.

Prehľad

Táto politika definuje kontroly ochrany súkromia pre CCTV, monitorovanie návštevníkov, logy fyzického prístupu a súvisiace osobne identifikovateľné údaje (PII) z monitorovania. Vyžaduje schválené účely, označenie, preskúmanie rizík, obmedzenia prístupu, kontroly uchovávania a výmazu, správu a riadenie poskytovania, smerovanie žiadostí o uplatnenie práv, eskaláciu incidentov a správu dôkazov PIMS.

Kontroly účelového monitorovania

Vyžaduje, aby boli činnosti CCTV a monitorovania fyzických priestorov definované, schválené a zdokumentované pred aktiváciou.

Dôkazy transparentného oznámenia

Prepája označenie monitorovania a oznámenia v čase potreby so schválenými účelmi spracúvania a dôkazovými záznamami PIMS.

Správa a riadenie prístupu a uchovávania

Riadi zobrazovanie, export, poskytovanie, výmaz, pozastavenie výmazu a revíziu privilegovaného prístupu pre osobne identifikovateľné údaje (PII) z monitorovania.

Čítať celý prehľad (click to expand)
Politika ochrany súkromia pre CCTV a monitorovanie fyzických priestorov ustanovuje kontroly ochrany súkromia pre monitorovacie činnosti, ktoré zhromažďujú alebo inak spracúvajú osobne identifikovateľné údaje (PII). Jej rozsah zahŕňa CCTV, videomonitorovanie, monitorovanie návštevníkov, logy riadenia fyzického prístupu, záznamy z monitorovania vykonávaného strážnou službou, systémy monitorovania priestorov a súvisiace monitorovanie fyzických priestorov. Politika sa uplatňuje tam, kde organizácia koná ako prevádzkovateľ PII pre svoje vlastné priestory, a tam, kde podporuje činnosti sprostredkovateľa alebo ďalšieho sprostredkovateľa prevádzkovaním, hostingom, preskúmavaním, uchovávaním, poskytovaním, vymazávaním alebo iným spracúvaním záznamov z monitorovania, údajov návštevníkov alebo logov fyzického prístupu v mene zákazníka. Politika je navrhnutá tak, aby zabezpečila, že monitorovanie je účelové, transparentné, primerané, podlieha riadeniu prístupu, uchováva sa počas definovaných období, poskytuje sa len cez schválené kanály a je podporené overiteľnými dôkazmi PIMS. Pred začatím monitorovania musí vlastník procesu alebo vlastník organizácie zaznamenať každú monitorovaciu činnosť v REG02 vrátane účelu, právneho základu, monitorovaného miesta, kategórií PII, kategórií dotknutých osôb, uchovávania, oznámenia, prístupu a polí poskytovania. Vedúci ochrany súkromia / manažér PIMS validuje tieto záznamy pred aktiváciou novej alebo podstatne zmenenej monitorovacej činnosti. Schválené monitorované zóny, vylúčené zóny a hranice zberu musia byť tiež zaznamenané pred zapnutím kamier, snímačov, záznamov o návštevách alebo logovania riadenia prístupu. Politika kladie silný dôraz na transparentnosť a preskúmanie založené na riziku. Dôkazy o označení monitorovania alebo rovnocennom oznámení v čase potreby musia byť zaznamenané v REG07 pred sprístupnením monitorovaných priestorov dotknutým osobám a každé oznámenie musí byť prepojené so zodpovedajúcim účelom spracúvania v REG02. Alternatívne opatrenia transparentnosti musia byť zaznamenané pre monitorovanie, ktoré nie je zjavné, alebo pre núdzové monitorovanie. Monitorovanie s vyšším rizikom vrátane systematického monitorovania, zvukového záznamu, biometrickej identifikácie, detekcie s využitím analytiky, citlivých miest, zraniteľných osôb alebo monitorovania, ktoré nie je zjavné, vyžaduje pred aktiváciou rozhodnutie REG04 o riziku ochrany súkromia. Ak je monitorovanie vysoko rizikové, nie je zjavné, je rozsiahle, týka sa zamestnancov alebo podlieha nevyriešenej eskalácii práv alebo incidentov, zodpovedná osoba za ochranu osobných údajov / poradca pre ochranu súkromia poskytuje odporúčanie v REG04 alebo REG12. Prevádzkové kontroly riešia prístup, zobrazovanie, export, poskytovanie, uchovávanie, výmaz a eskaláciu incidentov. Vedúci informačnej bezpečnosti definuje oprávnené prístupové roly pre záznamy z monitorovania, záznamy návštevníkov a logy fyzického prístupu, zatiaľ čo vlastník systému / vlastník aplikácie konfiguruje obmedzenia prístupu a zaznamenáva výsledky revízie privilegovaného prístupu najmenej štvrťročne v REG12. Rutinný výmaz, prepisovanie alebo deaktivácia záznamov z monitorovania po uplynutí lehoty musí byť nakonfigurovaná podľa REG02, pričom dôkazy o dokončení výmazu alebo prepisovania sa zaznamenávajú najmenej mesačne pre úložiská podliehajúce automatizovanému alebo plánovanému výmazu. Pozastavenie výmazu a extrahované kópie vyžadujú schválenie a zaznamenanie v REG12 pred predĺžením bežného uchovávania. Externé poskytnutia sa zaznamenávajú v REG08 pred poskytnutím alebo v REG10 do jedného pracovného dňa, ak je poskytnutie súčasťou aktívnej reakcie na incidenty. Politika tiež definuje správu a riadenie outsourcovaného monitorovania a služieb fyzickej bezpečnosti. Poskytovatelia outsourcovaných monitorovacích systémov, poskytovatelia strážnych služieb, poskytovatelia správy návštevníkov a poskytovatelia riadenia fyzického prístupu musia byť zaznamenaní v REG08 pred začiatkom poskytovania služby vrátane rozsahu, štatútu sprostredkovateľa alebo ďalšieho sprostredkovateľa, prístupových oprávnení, podpory uchovávania, podpory výmazu, eskalácie incidentov a obmedzení poskytovania. Dohľad sa udržiava prostredníctvom štvrťročných metrík, ročných preskúmaní, auditného testovania, ošetrenia výnimiek, zaznamenávania nezhôd, vlastníctva nápravných opatrení a eskalácie na vrcholový manažment, ak je to potrebné. Tým vzniká dôkazmi podložený rámec na riadenie povinností ochrany súkromia pri CCTV a monitorovaní fyzických priestorov v kontextoch prevádzkovateľa a sprostredkovateľa.

Diagram politiky

Diagram toku procesu zobrazujúci správu a riadenie CCTV a monitorovania fyzických priestorov: definovanie účelu a rozsahu v REG02, posúdenie rizika v REG04, zverejnenie dôkazov o oznámení v REG07, konfigurácia kontrol prístupu a uchovávania, riadenie poskytnutí a poskytovateľov v REG08, smerovanie žiadostí o uplatnenie práv cez REG06, eskalácia incidentov v REG10 a zaznamenanie preskúmaní, metrík, výnimiek a nápravných opatrení v REG12.

Kliknite na diagram pre zobrazenie v plnej veľkosti

Obsah

Rozsah CCTV a monitorovania fyzických priestorov

Evidencia monitorovania, účel a schvaľovanie

Dôkazy o oznámení, označení a transparentnosti

Kontroly prístupu, zobrazovania, exportu a poskytovania

Uchovávanie, výmaz a nakladanie s extrahovanými kópiami

Smerovanie žiadostí o uplatnenie práv, eskalácia incidentov a dohľad nad poskytovateľmi

Súlad s rámcom

🛡️ Podporované štandardy a rámce

Tento produkt je v súlade s nasledujúcimi rámcami dodržiavania predpisov s podrobnými mapovaniami doložiek a kontrol.

Rámec Pokryté doložky / Kontroly
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 9.2.3Clause 9.4.2Clause 11.1.3
ISO/IEC 27002:2022
Controls 5.34Controls 7.2Controls 7.4Controls 8.2Controls 8.3Controls 8.15

Súvisiace zásady

Politika evidencie spracúvania a právneho základu

Monitorovacie činnosti musia byť zaznamenané v REG02 s účelom, právnym základom, miestom, kategóriami PII, uchovávaním, prístupom a podrobnosťami poskytovania.

Politika oznámení o ochrane údajov a transparentnosti

CCTV a monitorovanie fyzických priestorov vyžadujú označenie, dôkazy o oznámení v čase potreby a prepojenie medzi oznámeniami a účelmi spracúvania.

Politika riadenia práv dotknutých osôb

Žiadosti týkajúce sa záznamov z monitorovania, údajov návštevníkov alebo logov fyzického prístupu sú smerované cez REG06 v rámci procesu žiadostí o uplatnenie práv.

Politika posúdenia rizík ochrany súkromia a DPIA

Monitorovanie s vyšším rizikom spúšťa rozhodnutia REG04 o riziku ochrany súkromia a podľa potreby preskúmanie súvisiace s DPIA pred aktiváciou.

Politika uchovávania, výmazu a likvidácie

Úložiská monitorovania vyžadujú definované uchovávanie, rutinný výmaz alebo prepisovanie, dôkazy výmazu a riadené pozastavenia výmazu.

Politika bezpečnosti a riadenia prístupu

Monitorovacie systémy závisia od schválených prístupových rolí, obmedzení prístupu, revízie privilegovaného prístupu, logovania a opatrení na zamedzenie šírenia.

O politikách Clarysec - Politika ochrany súkromia pre CCTV a monitorovanie fyzických priestorov

Táto politika poskytuje prevádzkový rámec ochrany súkromia pre činnosti CCTV a monitorovania fyzických priestorov, pri ktorých sa spracúvajú osobne identifikovateľné údaje (PII). Definuje, ako sa naprieč REG02, REG04, REG06, REG07, REG08, REG10 a REG12 dokumentujú účely monitorovania, právny základ, miesta, dôkazy o oznámení, prístupové roly, hranice poskytovania, lehoty uchovávania, kontroly výmazu, dôkazy poskytovateľov, eskaláciu incidentov a činnosti preskúmania. Politika sa uplatňuje na činnosti prevádzkovateľa pre vlastné priestory organizácie a na podporné činnosti sprostredkovateľa alebo ďalšieho sprostredkovateľa zahŕňajúce zákaznícke záznamy z monitorovania, záznamy návštevníkov alebo logy fyzického prístupu.

Definovaný rozsah monitorovania

Pokrýva CCTV, monitorovanie návštevníkov, prístupové logy, záznamy strážnej služby, systémy priestorov a súvisiace osobne identifikovateľné údaje (PII) z monitorovania.

Aktivácia založená na riziku

Vyžaduje preskúmanie REG04 pred začatím vysoko rizikového, nezjavného, zvukového, biometrického, analytického alebo citlivého monitorovania.

Použitie prevádzkovateľom a sprostredkovateľom

Uplatňuje sa na monitorovanie vlastných priestorov a na zákazníkom nariadenú podporu pre záznamy, údaje návštevníkov a prístupové logy.

Overiteľný dôkazový model

Používa REG02, REG04, REG06, REG07, REG08, REG10 a REG12 pre záznamy, preskúmanie, incidenty a dohľad.

Často kladené otázky

Vytvorené pre lídrov, lídrami

Táto politika bola vypracovaná bezpečnostným lídrom s viac ako 25-ročnými skúsenosťami s implementáciou a auditovaním rámcov ISMS pre globálne podniky. Nie je navrhnutá len ako dokument, ale ako obhájiteľný rámec, ktorý obstojí pri audítorskom preskúmaní.

Vypracované odborníkom s nasledovnými kvalifikáciami:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokrytie a témy

🏢 Cieľové oddelenia

Ochrana súkromia právne oddelenie súlad IT bezpečnosť kancelária DPO

🏷️ Tematické pokrytie

Riadenie informácií o ochrane súkromia spracúvanie osobných údajov posúdenie vplyvu na ochranu súkromia záznamy o spracúvaní riadenie práv dotknutých osôb uchovávanie a likvidácia údajov riadenie tretích strán
€49

Jednorazový nákup

Okamžité stiahnutie
Doživotné aktualizácie

Táto politika je 1 z 25 v kompletnom balíku ISO/IEC 27701 PIMS

Ušetrite 52%

Získajte všetkých 25 politík PIMS, kompletnú sadu registrov a podrobný implementačný plán za €799 namiesto €1 675 pri samostatnom nákupe.

Zobraziť kompletný balík 27701 →
CCTV and Physical Monitoring Privacy Policy

Podrobnosti produktu

Typ: policy
Kategória: ISO 27701 PIMS Policy Pack
Normy: 6