policy ISO 27701 PIMS Policy Pack

Politika zasebnosti za videonadzor in fizično spremljanje

Politika zasebnosti ISO/IEC 27701 za videonadzor, namene spremljanja, obvestila, dostop, hrambo, razkritje, incidente in nadzor dokazil.

Pregled

Ta politika določa kontrole zasebnosti za videonadzor, spremljanje obiskovalcev, dnevnike nadzora fizičnega dostopa in povezane osebno določljive podatke iz spremljanja. Zahteva odobrene namene, obvestila, pregled tveganj, omejitve dostopa, kontrole hrambe in izbrisa, upravljanje razkritij, usmerjanje zahtev za uveljavljanje pravic, eskalacijo incidentov in upravljanje dokazil PIMS.

Kontrole namenskega spremljanja

Zahteva, da so dejavnosti videonadzora in fizičnega spremljanja pred aktivacijo opredeljene, odobrene in dokumentirane.

Dokazila o preglednem obveščanju

Povezuje obvestilo o izvajanju videonadzora in sprotna obvestila z odobrenimi nameni obdelave in evidencami dokazil PIMS.

Upravljanje dostopa in hrambe

Nadzira ogled, izvoz, razkritje, izbris, pravna zadržanja hrambe in pregled privilegiranega dostopa za osebno določljive podatke iz spremljanja.

Preberi celoten pregled (click to expand)
Politika zasebnosti za videonadzor in fizično spremljanje vzpostavlja kontrole zasebnosti za dejavnosti spremljanja, pri katerih se zbirajo ali drugače obdelujejo osebno določljivi podatki. Njeno področje uporabe vključuje videonadzor, videospremljanje, spremljanje obiskovalcev, dnevnike nadzora fizičnega dostopa, evidence spremljanja, ki ga izvajajo varnostniki, sisteme spremljanja prostorov in povezano fizično spremljanje. Politika se uporablja, kadar organizacija deluje kot upravljavec osebno določljivih podatkov za svoje prostore in kadar podpira dejavnosti obdelovalca ali podobdelovalca z upravljanjem, gostovanjem, pregledovanjem, hrambo, razkrivanjem, brisanjem ali drugo obdelavo posnetkov videonadzora, podatkov o obiskovalcih ali dnevnikov nadzora fizičnega dostopa v imenu naročnika. Politika je zasnovana tako, da zagotavlja, da je spremljanje namensko, pregledno, sorazmerno, nadzorovano z vidika dostopa, hranjeno za določena obdobja, razkrito samo prek odobrenih kanalov in podprto s preverljivimi dokazili PIMS. Pred začetkom spremljanja mora lastnik procesa ali lastnik poslovnega procesa vsako dejavnost spremljanja evidentirati v REG02, vključno z namenom, pravno podlago, spremljano lokacijo, kategorijami osebno določljivih podatkov, kategorijami posameznikov, na katere se nanašajo osebno določljivi podatki, hrambo, obvestilom, dostopom in polji za razkritje. Vodja zasebnosti / vodja PIMS validira te vnose pred aktivacijo nove ali bistveno spremenjene dejavnosti spremljanja. Odobrena spremljana območja, izključena območja in meje zbiranja morajo biti prav tako evidentirani pred omogočanjem kamer, senzorjev, dnevnikov obiskovalcev ali beleženja nadzora dostopa. Politika daje velik poudarek preglednosti in pregledu na podlagi tveganj. Obvestilo o izvajanju videonadzora ali enakovredna dokazila o sprotnem obvestilu morajo biti evidentirana v REG07, preden se spremljana območja odprejo posameznikom, na katere se nanašajo osebno določljivi podatki, vsako obvestilo pa mora biti povezano z ustreznim namenom obdelave v REG02. Za neočitno ali nujno spremljanje morajo biti evidentirani alternativni ukrepi preglednosti. Spremljanje z večjim tveganjem, vključno s sistematičnim spremljanjem, zvočnim snemanjem, biometrično identifikacijo, zaznavanjem z uporabo analitike, občutljivimi lokacijami, ranljivimi posamezniki ali neočitnim spremljanjem, zahteva odločitev REG04 o tveganju za zasebnost pred aktivacijo. Kadar je spremljanje visokotvegano, neočitno, obsežno, namenjeno zaposlenim ali predmet nerešene eskalacije zahtev za uveljavljanje pravic ali incidentov, pooblaščena oseba za varstvo podatkov / svetovalec za zasebnost poda nasvet v REG04 ali REG12. Operativne kontrole obravnavajo dostop, ogled, izvoz, razkritje, hrambo, izbris in eskalacijo incidentov. Vodja informacijske varnosti določi odobrene vloge dostopa za posnetke spremljanja, evidence obiskovalcev in dnevnike nadzora fizičnega dostopa, lastnik sistema / lastnik aplikacije pa konfigurira omejitve dostopa in vsaj četrtletno evidentira rezultate pregledov privilegiranega dostopa v REG12. Rutinski izbris, prepisovanje ali onemogočanje poteklih posnetkov spremljanja mora biti konfigurirano v skladu z REG02, dokazila o izvedenem izbrisu ali prepisovanju pa morajo biti vsaj mesečno evidentirana za repozitorije, za katere velja avtomatiziran ali načrtovan izbris. Zadržanja hrambe in izločene kopije zahtevajo odobritev in evidentiranje v REG12, preden se običajna hramba podaljša. Zunanja razkritja se evidentirajo v REG08 pred razkritjem ali v REG10 v enem delovnem dnevu, kadar je razkritje del aktivnega odziva na incidente. Politika določa tudi upravljanje zunanje izvajanih storitev spremljanja in fizične varnosti. Ponudniki zunanjih sistemov spremljanja, ponudniki varovanja, ponudniki upravljanja obiskovalcev in ponudniki nadzora fizičnega dostopa morajo biti pred začetkom izvajanja storitve evidentirani v REG08, vključno z obsegom, statusom obdelovalca ali podobdelovalca, dovoljenji za dostop, podporo hrambi, podporo izbrisu, eskalacijo incidentov in omejitvami razkritja. Nadzor se izvaja s četrtletnimi kazalniki, letnimi pregledi, revizijskim testiranjem, obravnavo izjem, evidentiranjem neskladnosti, lastništvom korektivnih ukrepov in eskalacijo najvišjemu vodstvu, kadar je to potrebno. S tem se vzpostavi okvir na podlagi dokazil za upravljanje obveznosti glede zasebnosti pri videonadzoru in fizičnem spremljanju v kontekstu upravljavca in obdelovalca.

Diagram pravilnika

Diagram poteka procesa, ki prikazuje upravljanje videonadzora in fizičnega spremljanja: opredelitev namena in obsega v REG02, ocena tveganja v REG04, objava dokazil o obvestilih v REG07, konfiguracija kontrol dostopa in hrambe, upravljanje razkritij in ponudnikov v REG08, usmerjanje zahtev za uveljavljanje pravic prek REG06, eskalacija incidentov v REG10 ter evidentiranje pregledov, kazalnikov, izjem in korektivnih ukrepov v REG12.

Kliknite diagram za ogled v polni velikosti

Vsebina

Področje uporabe videonadzora in fizičnega spremljanja

Popis spremljanja, namen in odobritev

Dokazila o obvestilih, oznakah in preglednosti

Kontrole dostopa, ogleda, izvoza in razkritja

Obravnava hrambe, izbrisa in izločenih kopij

Usmerjanje zahtev za uveljavljanje pravic, eskalacija incidentov in nadzor nad ponudniki

Skladnost z okvirom

🛡️ Podprti standardi in okviri

Ta izdelek je usklajen z naslednjimi okviri skladnosti s podrobnimi preslikanji klavzul in kontrol.

Okvir Pokrite klavzule / Kontrole
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 9.2.3Clause 9.4.2Clause 11.1.3
ISO/IEC 27002:2022
Controls 5.34Controls 7.2Controls 7.4Controls 8.2Controls 8.3Controls 8.15

Sorodne politike

Politika popisa dejavnosti obdelave in pravne podlage

Dejavnosti spremljanja morajo biti evidentirane v REG02 z namenom, pravno podlago, lokacijo, kategorijami osebno določljivih podatkov, hrambo, dostopom in podrobnostmi razkritja.

Politika obvestil o zasebnosti in preglednosti

Videonadzor in fizično spremljanje zahtevata obvestilo o izvajanju videonadzora, dokazila o sprotnem obvestilu ter povezavo med obvestili in nameni obdelave.

Politika upravljanja zahtev za uveljavljanje pravic posameznikov

Zahteve, ki vključujejo posnetke videonadzora, podatke o obiskovalcih ali dnevnike nadzora fizičnega dostopa, se v okviru procesa zahtev za uveljavljanje pravic usmerjajo prek REG06.

Politika ocenjevanja tveganj za zasebnost in DPIA

Spremljanje z večjim tveganjem sproži odločitve REG04 o tveganju za zasebnost in, kjer je primerno, pregled, povezan z DPIA, pred aktivacijo.

Politika hrambe, izbrisa in odstranjevanja

Repozitoriji spremljanja zahtevajo opredeljeno hrambo, rutinski izbris ali prepisovanje, dokazila o izbrisu in nadzorovana zadržanja hrambe.

Politika varnosti in nadzora dostopa

Sistemi spremljanja so odvisni od odobrenih vlog dostopa, omejitev dostopa, pregledov privilegiranega dostopa, beleženja in ukrepov zajezitve.

O pravilnikih Clarysec - Politika zasebnosti za videonadzor in fizično spremljanje

Ta politika zagotavlja operativni okvir zasebnosti za dejavnosti videonadzora in fizičnega spremljanja, pri katerih se obdelujejo osebno določljivi podatki. Določa, kako se nameni spremljanja, pravna podlaga, lokacije, dokazila o obvestilih, vloge dostopa, meje razkritja, roki hrambe, kontrole izbrisa, dokazila ponudnikov, eskalacija incidentov in dejavnosti pregledov dokumentirajo v REG02, REG04, REG06, REG07, REG08, REG10 in REG12. Politika se uporablja za dejavnosti upravljavca v lastnih prostorih organizacije in za podporne dejavnosti obdelovalca ali podobdelovalca, ki vključujejo posnetke videonadzora naročnika, evidence obiskovalcev ali dnevnike nadzora fizičnega dostopa.

Opredeljeno področje spremljanja

Zajema videonadzor, spremljanje obiskovalcev, dnevnike dostopa, evidence varnostnikov, sisteme prostorov in povezane osebno določljive podatke iz spremljanja.

Aktivacija na podlagi tveganj

Zahteva pregled REG04 pred začetkom visokotveganega, neočitnega, zvočnega, biometričnega, analitičnega ali občutljivega spremljanja.

Uporaba pri upravljavcu in obdelovalcu

Uporablja se za spremljanje v lastnih prostorih in podporo po navodilih naročnika za posnetke, podatke o obiskovalcih in dnevnike dostopa.

Preverljiv model dokazil

Uporablja REG02, REG04, REG06, REG07, REG08, REG10 in REG12 za evidence, preglede, incidente in nadzor.

Pogosto zastavljena vprašanja

Zasnovano za vodje, s strani vodij

Ta pravilnik je pripravil varnostni vodja z več kot 25 leti izkušenj pri uvajanju in presojanju ISMS ogrodij za globalna podjetja. Zasnovan ni le kot dokument, temveč kot zagovorno ogrodje, ki prestane presojo revizorjev.

Pripravil strokovnjak z naslednjimi kvalifikacijami:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Pokritost in teme

🏢 Ciljni oddelki

zasebnost pravna služba skladnost IT varnost pisarna pooblaščene osebe za varstvo podatkov

🏷️ Tematska pokritost

upravljanje informacij o zasebnosti obdelava osebnih podatkov ocena učinka v zvezi z varstvom podatkov evidence dejavnosti obdelave upravljanje zahtev za uveljavljanje pravic posameznikov hramba podatkov in odstranjevanje upravljanje tretjih oseb
€49

Enkratni nakup

Takojšnji prenos
Vseživljenjske posodobitve

Ta politika je 1 od 25 v celotnem paketu ISO/IEC 27701 PIMS

Prihranite 52%

Pridobite vseh 25 politik PIMS, celoten nabor registrov in podroben načrt uvedbe za €799 namesto €1.675 pri posameznem nakupu.

Oglejte si celoten paket 27701 →
CCTV and Physical Monitoring Privacy Policy

Podrobnosti o izdelku

Vrsta: policy
Kategorija: ISO 27701 PIMS Policy Pack
Standardi: 6