policy ISO 27701 PIMS Policy Pack

Policy för integritet vid CCTV och fysisk övervakning

ISO/IEC 27701-policy för integritet vid CCTV för övervakningsändamål, skyltning, åtkomst, bevarande, utlämnande, incidenter och styrning av underlag.

Översikt

Denna policy definierar integritetskontroller för CCTV, besöksövervakning, loggar över fysiskt tillträde och relaterade personuppgifter från övervakning. Den kräver godkända ändamål, skyltning, riskgranskning, åtkomstbegränsningar, kontroller för bevarande och radering, styrning av utlämnande, dirigering av rättighetsbegäranden, incidenteskalering och hantering av PIMS-underlag.

Kontroller för ändamålsstyrd övervakning

Kräver att CCTV och fysisk övervakning definieras, godkänns och dokumenteras innan de aktiveras.

Underlag för transparent information

Kopplar övervakningsskyltning och just-in-time-integritetsmeddelanden till godkända behandlingsändamål och underlagsposter i PIMS.

Åtkomst- och bevarandestyrning

Styr visning, export, utlämnande, radering, bevarandespärrar och granskning av privilegierad åtkomst för personuppgifter från övervakning.

Läs fullständig översikt (click to expand)
Policy för integritet vid CCTV och fysisk övervakning etablerar integritetskontroller för övervakningsaktiviteter som samlar in eller på annat sätt behandlar personuppgifter. Omfattningen innefattar CCTV, videoövervakning, besöksövervakning, loggar från fysisk åtkomstkontroll, övervakningsposter som hanteras av väktare, övervakningssystem för lokaler och relaterad fysisk övervakning. Policyn gäller där organisationen agerar som personuppgiftsansvarig för sina egna lokaler och där den stödjer aktiviteter som personuppgiftsbiträde eller underbiträde genom att drifta, hosta, granska, lagra, lämna ut, radera eller på annat sätt behandla övervakningsmaterial, besöksdata eller loggar över fysiskt tillträde för en kunds räkning. Policyn är utformad för att säkerställa att övervakning är ändamålsstyrd, transparent, proportionerlig, åtkomstkontrollerad, bevaras under definierade perioder, endast lämnas ut via godkända kanaler och stöds av PIMS-underlag som kan granskas. Innan övervakning inleds ska processägaren eller verksamhetsägaren registrera varje övervakningsaktivitet i REG02, inklusive ändamål, rättslig grund, övervakad plats, kategorier av personuppgifter, kategorier av registrerade, bevarande, integritetsmeddelande, åtkomst och fält för utlämnande. Integritetsansvarig/PIMS-ansvarig validerar dessa poster innan en ny eller väsentligt ändrad övervakningsaktivitet aktiveras. Godkända övervakade zoner, exkluderade zoner och insamlingsgränser ska också registreras innan kameror, sensorer, besöksloggar eller loggning för åtkomstkontroll aktiveras. Policyn lägger stor vikt vid transparens och riskbaserad granskning. Underlag för övervakningsskyltning eller motsvarande just-in-time-integritetsmeddelanden ska registreras i REG07 innan övervakade områden öppnas för registrerade, och varje integritetsmeddelande ska kopplas till motsvarande behandlingsändamål i REG02. Alternativa transparensåtgärder ska registreras för övervakning som inte är uppenbar eller som sker i nödläge. Övervakning med högre risk, inklusive systematisk övervakning, ljudinspelning, biometrisk identifiering, analysbaserad detektering, känsliga platser, sårbara personer eller övervakning som inte är uppenbar, kräver ett beslut om integritetsrisk i REG04 före aktivering. När övervakning är högrisk, inte uppenbar, storskalig, riktad mot anställda eller föremål för olöst eskalering av rättigheter eller incidenter, lämnar dataskyddsombudet/integritetsrådgivaren råd i REG04 eller REG12. Operativa kontroller omfattar åtkomst, visning, export, utlämnande, bevarande, radering och incidenteskalering. Informationssäkerhetsansvarig definierar behöriga åtkomstroller för övervakningsinspelningar, besöksregister och loggar över fysiskt tillträde, medan systemägaren/applikationsägaren konfigurerar åtkomstbegränsningar och registrerar resultat från granskning av privilegierad åtkomst minst kvartalsvis i REG12. Rutiner för radering, överskrivning eller inaktivering av utgångna övervakningsinspelningar ska konfigureras enligt REG02, med underlag för slutförd radering eller överskrivning registrerat minst månadsvis för lagringsplatser som omfattas av automatiserad eller schemalagd radering. Bevarandespärrar och extraherade kopior kräver godkännande och registrering i REG12 innan normal bevarandetid förlängs. Externa utlämnanden registreras i REG08 före utlämnande, eller i REG10 inom en arbetsdag när utlämnandet ingår i en aktiv incidenthantering. Policyn definierar också styrning för outsourcade övervaknings- och fysiska säkerhetstjänster. Outsourcade leverantörer av övervakningssystem, bevakningsleverantörer, leverantörer av besökshantering och leverantörer av fysisk åtkomstkontroll ska registreras i REG08 innan tjänsten startar, inklusive omfattning, status som personuppgiftsbiträde eller underbiträde, åtkomstbehörigheter, stöd för bevarande, stöd för radering, incidenteskalering och begränsningar för utlämnande. Tillsyn upprätthålls genom kvartalsvisa mätetal, årliga granskningar, revisionstestning, undantagshantering, registrering av avvikelse, ägarskap för korrigerande åtgärder och eskalering till högsta ledningen där det krävs. Detta skapar ett underlagsbaserat ramverk för att hantera integritetsskyldigheter vid CCTV och fysisk övervakning i sammanhang där organisationen är personuppgiftsansvarig eller personuppgiftsbiträde.

Policydiagram

Processflödesdiagram som visar styrning av CCTV och fysisk övervakning: definiera ändamål och omfattning i REG02, bedöm risk i REG04, publicera underlag för integritetsmeddelanden i REG07, konfigurera kontroller för åtkomst och bevarande, hantera utlämnanden och leverantörer i REG08, dirigera rättighetsbegäranden via REG06, eskalera incidenter i REG10 och registrera granskningar, mätetal, undantag och korrigerande åtgärder i REG12.

Klicka på diagrammet för att visa i full storlek

Innehåll

Omfattning för CCTV och fysisk övervakning

Övervakningsförteckning, ändamål och godkännande

Integritetsmeddelanden, skyltning och transparensunderlag

Kontroller för åtkomst, visning, export och utlämnande

Hantering av bevarande, radering och extraherade kopior

Dirigering av rättighetsbegäranden, incidenteskalering och tillsyn över leverantörer

Ramverksefterlevnad

🛡️ Stödda standarder & ramverk

Den här produkten är anpassad till följande efterlevnadsramverk, med detaljerade klausul- och kontrollmappningar.

Ramverk Täckta klausuler / Kontroller
ISO/IEC 27701:2025
Clause 7.5Clause 8.1Clause 9.1Clause 10.2Annex A.1.2.2Annex A.1.2.3Annex A.1.2.6Annex A.1.2.9Annex A.1.2.7Annex A.1.2.8Annex A.1.3.2Annex A.1.3.6Annex A.1.3.7Annex A.1.3.10Annex A.1.4.2Annex A.1.4.3Annex A.1.4.5Annex A.1.4.8Annex A.1.4.9Annex A.1.5.4Annex A.1.5.5Annex A.2.2.2Annex A.2.2.3Annex A.2.2.6Annex A.2.2.7Annex A.2.3.2Annex A.2.5.4Annex A.2.5.5Annex A.2.5.6Annex A.3.14Annex A.3.25
EU GDPR
Article 5(1)(a)Article 5(1)(b)Article 5(1)(c)Article 5(1)(e)Article 5(2)Article 6Article 12Article 13Article 14Article 15Article 16Article 17Article 18Article 21Article 24Article 26Article 28Article 30Article 32Article 35Article 39
ISO/IEC 29100:2020
Clause 5.3Clause 5.4Clause 5.5Clause 5.6Clause 5.8Clause 5.9Clause 5.10Clause 5.11Clause 5.12
ISO/IEC 29134:2020
Clause 5.1Clause 6.2
ISO/IEC 29151:2022
Annex A.3Annex A.4Annex A.5Annex A.7Annex A.10Clause 9.2.3Clause 9.4.2Clause 11.1.3
ISO/IEC 27002:2022
Controls 5.34Controls 7.2Controls 7.4Controls 8.2Controls 8.3Controls 8.15

Relaterade policyer

Policy för behandlingsregister och rättslig grund

Övervakningsaktiviteter ska registreras i REG02 med uppgifter om ändamål, rättslig grund, plats, kategorier av personuppgifter, bevarande, åtkomst och utlämnande.

Policy för integritetsmeddelanden och transparens

CCTV och fysisk övervakning kräver skyltning, underlag för just-in-time-integritetsmeddelanden och koppling mellan integritetsmeddelanden och behandlingsändamål.

Policy för hantering av registrerades rättigheter

Begäranden som rör övervakningsmaterial, besöksdata eller loggar över fysiskt tillträde dirigeras via REG06 enligt rättighetsprocessen.

Policy för bedömning av integritetsrisker och DPIA

Övervakning med högre risk utlöser beslut om integritetsrisk i REG04 och, där det är tillämpligt, DPIA-relaterad granskning före aktivering.

Policy för bevarande, radering och bortskaffning

Lagringsplatser för övervakning kräver definierat bevarande, rutinmässig radering eller överskrivning, raderingsunderlag och kontrollerade bevarandespärrar.

Policy för säkerhet och åtkomstkontroll

Övervakningssystem är beroende av godkända åtkomstroller, åtkomstbegränsningar, granskning av privilegierad åtkomst, loggning och begränsningsåtgärder.

Om Clarysecs policyer - Policy för integritet vid CCTV och fysisk övervakning

Denna policy tillhandahåller ett operativt integritetsramverk för CCTV och fysisk övervakning som behandlar personuppgifter. Den definierar hur övervakningsändamål, rättslig grund, platser, underlag för integritetsmeddelanden, åtkomstroller, gränser för utlämnande, bevarandetider, raderingskontroller, leverantörsunderlag, incidenteskalering och granskningsaktiviteter dokumenteras i REG02, REG04, REG06, REG07, REG08, REG10 och REG12. Policyn gäller för aktiviteter där organisationen är personuppgiftsansvarig för sina egna lokaler och för stödaktiviteter som personuppgiftsbiträde eller underbiträde som omfattar kunders övervakningsmaterial, besöksregister eller loggar över fysiskt tillträde.

Definierad övervakningsomfattning

Omfattar CCTV, besöksövervakning, åtkomstloggar, väktarposter, system för lokaler och relaterade personuppgifter från övervakning.

Riskbaserad aktivering

Kräver REG04-granskning innan högriskövervakning, övervakning som inte är uppenbar, ljudövervakning, biometrisk övervakning, analysbaserad övervakning eller känslig övervakning startar.

Användning som personuppgiftsansvarig och personuppgiftsbiträde

Gäller övervakning av egna lokaler och kundinstruerat stöd för övervakningsmaterial, besöksdata och åtkomstloggar.

Revisionsbar underlagsmodell

Använder REG02, REG04, REG06, REG07, REG08, REG10 och REG12 för register, granskning, incidenter och tillsyn.

Vanliga frågor

Byggd för ledare, av ledare

Denna policy har utarbetats av en säkerhetsledare med över 25 års erfarenhet av att implementera och revidera ISMS-ramverk för globala företag. Den är utformad inte bara som ett dokument, utan som ett robust ramverk som håller för granskning av revisorer.

Författad av en expert med följande meriter:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Täckning & Ämnen

🏢 Målavdelningar

Integritet Juridik Regelefterlevnad IT-säkerhet Dataskyddsombudets funktion

🏷️ Ämnestäckning

Hantering av integritetsinformation Behandling av personuppgifter Konsekvensbedömning avseende dataskydd Register över behandlingsaktiviteter Hantering av registrerades rättigheter Databevarande och bortskaffning Hantering av tredje part
€49

Engångsköp

Omedelbar nedladdning
Livstidsuppdateringar

Denna policy är 1 av 25 i det fullständiga ISO/IEC 27701 PIMS-paketet

Spara 52%

Få alla 25 PIMS-policyer, en komplett uppsättning register och en detaljerad implementeringsplan för €799, istället för €1 675 om du köper separat.

Visa fullständigt 27701-paket →
CCTV and Physical Monitoring Privacy Policy

Produktdetaljer

Typ: policy
Kategori: ISO 27701 PIMS Policy Pack
Standarder: 6