قوانين المراقبة عبر الإنترنت
يجمع فريق Spyrix أهم القوانين والوثائق التي توضح كيفية قيام أصحاب العمل بمراقبة أنشطة موظفيهم على الإنترنت بشكل قانوني. كما يقدم إرشادات حول كيفية استخدام أدوات المراقبة للأغراض الشخصية.
الأعمال الدولية العالمية
اللائحة العامة لحماية البيانات (GDPR - الاتحاد الأوروبي)
يُعدّ نظام حماية البيانات العامة (GDPR) النظام الأساسي لحماية البيانات في الاتحاد الأوروبي، وينطبق على أي منظمة تعالج البيانات الشخصية للأفراد في الاتحاد الأوروبي، بغض النظر عن مكان عملها. ويشمل نطاقه مراقبة النشاط عبر الإنترنت، ومراقبة الموظفين، وأي شكل من أشكال التتبع الرقمي، كلما تضمن ذلك بيانات شخصية.
بموجب اللائحة العامة لحماية البيانات (GDPR)، لا يكون الرصد قانونيًا إلا عند وجود أساس قانوني سليم، كالمصلحة المشروعة، أو تنفيذ عقد، أو الحصول على موافقة صريحة. وقبل تطبيق أدوات الرصد، ينبغي للمؤسسات التأكد من ضرورة الرصد وتناسبه وعدم انتهاكه لخصوصية الأفراد بشكل غير مبرر.
يشترط النظام الأوروبي العام لحماية البيانات (GDPR) على الشركات إجراء تقييم للمصلحة المشروعة (LIA)، أو تقييم لأثر حماية البيانات (DPIA) عندما يكون من المحتمل أن تشكل المراقبة مخاطر أعلى. تساعد هذه التقييمات في تحديد مبررات المراقبة وتحديد سبل الحد من مخاطر جمع البيانات.
الشفافية أمرٌ أساسي. يجب إبلاغ الأفراد بوضوح مسبقاً بنوع المراقبة، والغرض منها، والبيانات التي يتم جمعها، والأساس القانوني لها، ومن سيطلع عليها، ومدة الاحتفاظ بها. وتُقيّد المراقبة غير المعلنة أو السرية عموماً، ولا يُسمح بها إلا في ظروف محددة للغاية بموجب القوانين الوطنية.
يؤكد نظام حماية البيانات العامة (GDPR) أيضاً على تقليل البيانات، إذ يُلزم المؤسسات بجمع ما هو ضروري فقط لغرض محدد. وقد يُعدّ الرصد المستمر أو المفرط في التطفل دون مبرر واضح انتهاكاً لمبادئ نظام حماية البيانات العامة.
بالنسبة لأدوات المراقبة عبر الإنترنت، تشمل أهم التزامات اللائحة العامة لحماية البيانات (GDPR) ما يلي:
تقديم إشعار واضح بشأن المراقبة
جمع البيانات الضرورية فقط
استخدام التدابير الأمنية التقنية والتنظيمية المناسبة
تحديد وتوثيق الأساس القانوني للمعالجة
السماح للأفراد بممارسة حقوقهم (الوصول، الحذف، الاعتراض، إلخ).
مبادئ توجيهية بشأن الخصوصية لمنظمة التعاون الاقتصادي والتنمية
تُقدّم المبادئ التوجيهية للخصوصية الصادرة عن منظمة التعاون الاقتصادي والتنمية مبادئ معترف بها دوليًا لحماية البيانات والخصوصية. ورغم أنها غير ملزمة قانونًا، إلا أنها تؤثر على قوانين الخصوصية الوطنية في جميع أنحاء العالم، وتُشكّل إطارًا للتعامل المسؤول مع البيانات.
تؤكد هذه المبادئ التوجيهية على الإنصاف والشفافية وتحديد الغرض وجودة البيانات وضمانات الأمن والانفتاح والمساءلة. وتشجع هذه المبادئ المؤسسات على جمع البيانات الشخصية فقط لأغراض واضحة ومشروعة، وضمان فهم الأفراد لكيفية استخدام بياناتهم.
فيما يخص مراقبة البيانات عبر الإنترنت ومراقبة الموظفين، تدعم إرشادات منظمة التعاون الاقتصادي والتنمية ممارسات تتسم بالشفافية والتناسب واحترام الخصوصية. ورغم أنها لا تتضمن قواعد تفصيلية خاصة بالمراقبة، إلا أنها تعزز إدارة البيانات المسؤولة وتساهم في صياغة التشريعات الوطنية التي تنظم المراقبة بشكل مباشر.
عملياً، تشجع هذه الإرشادات المنظمات على ما يلي:
التواصل بوضوح بشأن ممارسات الرصد
اقتصر على جمع البيانات الضرورية فقط.
حماية البيانات الخاضعة للمراقبة من الوصول غير المصرح به
راجع ممارسات المراقبة بانتظام للتأكد من نزاهتها وضرورتها.
على الرغم من أنها ليست قابلة للتنفيذ مثل اللائحة العامة لحماية البيانات، إلا أن المبادئ التوجيهية للخصوصية لمنظمة التعاون الاقتصادي والتنمية تساعد في تشكيل المعايير العالمية وأفضل الممارسات للمراقبة القانونية والأخلاقية.
الولايات المتحدة
يمثل | حيثما ينطبق ذلك | نطاق المراقبة | المتطلبات الأساسية | ملاحظات لمستخدمي Spyrix |
|---|---|---|---|---|
قانون حماية خصوصية المستهلك في كاليفورنيا | كاليفورنيا | المراقبة التي تجمع المعلومات الشخصية | إشعار الخصوصية، الحق في الوصول/الحذف، إلغاء الاشتراك في مشاركة البيانات | ينطبق هذا في حال قيام نظام المراقبة بجمع المعرّفات أو سجلات النشاط أو بيانات الاستخدام |
CPRA | كاليفورنيا | Monitoring involving "sensitive" data or detailed profiling | تحديد الغرض، وتقليل البيانات، وقواعد أكثر صرامة للبيانات الحساسة | يُعد هذا الأمر مهمًا عندما تقوم الأدوات بتسجيل الموقع الجغرافي أو أنماط السلوك أو النشاط الرقمي المفصل |
ECPA | الفيدرالية (الولايات المتحدة) | اعتراض أو الوصول إلى الاتصالات الإلكترونية (البريد الإلكتروني، الدردشة، ضغطات المفاتيح) | قيود على اعتراض المحتوى؛ وغالبًا ما تتطلب استثناءات أصحاب العمل إشعارًا مسبقًا. | ذات صلة كبيرة بتسجيل ضغطات المفاتيح، ومراقبة البريد الإلكتروني، والتقاط محتوى الشاشة |
إرشادات متعلقة بقانون معايير العمل العادلة | الفيدرالية (الولايات المتحدة) | تُستخدم المراقبة لتتبع ساعات العمل أو الإنتاجية | يجب أن يدعم نظام تتبع الوقت الأجور الدقيقة؛ ولا يُسمح بأي نشاط غير مدفوع الأجر خارج ساعات العمل. | ليس قانونًا يتعلق بالخصوصية، ولكنه يؤثر على كيفية استخدام بيانات المراقبة في قرارات الرواتب. |
قوانين المراقبة الخاصة بكل ولاية | يختلف حسب الولاية (نيويورك، CT، DE، CO، VA، UT، إلخ.) | المراقبة الإلكترونية للموظفين وأنظمة مكان العمل | غالباً ما تتطلب إشعاراً كتابياً أو إقراراً صريحاً | يستفيد أصحاب العمل في عدة ولايات من سياسة مراقبة موحدة بالإضافة إلى إضافات على مستوى الولايات. |
كندا
قانون حماية المعلومات الشخصية والوثائق الإلكترونية (PIPEDA)
ينطبق هذا على منظمات القطاع الخاص في جميع أنحاء كندا (باستثناء الحالات التي تحل فيها القوانين الإقليمية محله).
يشمل ذلك أي عملية جمع أو استخدام أو إفشاء للمعلومات الشخصية، بما في ذلك المراقبة عبر الإنترنت ومراقبة الموظفين.
يتطلب ذلك من المنظمات تحديد غرض واضح للمراقبة والحصول على موافقة ذات مغزى عند الاقتضاء.
يجب أن تكون المراقبة معقولة، ومقتصرة على ما هو ضروري، وأن تتم بطريقة شفافة.
ينبغي إبلاغ الموظفين بما يتم رصده، ولماذا يتم رصده، وكيف سيتم استخدام المعلومات.
يجب حماية المعلومات الشخصية بضمانات أمنية مناسبة.
قوانين الخصوصية الإقليمية (قانون حماية المعلومات الشخصية في ألبرتا، وقانون حماية المعلومات الشخصية في كولومبيا البريطانية، وقانون كيبيك رقم 25)
يمكن تقديم الطلبات إلى منظمات القطاع الخاص داخل محافظاتها المعنية.
بشكل عام، تعكس هذه القواعد مبادئ قانون حماية المعلومات الشخصية والوثائق الإلكترونية (PIPEDA)، ولكنها قد تتضمن قواعد أكثر صرامة فيما يتعلق بالموافقة والاحتفاظ بالبيانات وخصوصية الموظفين.
يجب أن تكون المراقبة معقولة لأغراض العمل ومتوافقة مع سياسات واضحة ومعلنة.
يجب على أصحاب العمل إبلاغ الموظفين قبل جمع المعلومات الشخصية من خلال أدوات المراقبة.
تتطلب بعض المقاطعات سياسات توضح نوع البيانات التي يتم جمعها، ومدة الاحتفاظ بها، ومن لديه حق الوصول إليها.
يجب على المؤسسات أن توفر للموظفين إمكانية الوصول إلى معلوماتهم الشخصية عند الطلب.
المملكة المتحدة
قانون حماية البيانات العامة في المملكة المتحدة
ينطبق هذا على معالجة البيانات الشخصية في المملكة المتحدة، بما في ذلك مراقبة الموظفين والأنشطة عبر الإنترنت.
Requires a clear lawful basis for monitoring (often "legitimate interests" or contract).
يجب أن تكون المراقبة ضرورية ومتناسبة وغير متطفلة بشكل مفرط.
ينبغي على أصحاب العمل إجراء تقييم للمخاطر أو تقييم أثر حماية البيانات (DPIA) للمراقبة عالية المخاطر (مثل التتبع المستمر، وتسجيل ضغطات المفاتيح).
التركيز القوي على الشفافية: يجب أن يعرف الموظفون ما يتم رصده، ولماذا، وكيف سيتم استخدام البيانات وتخزينها.
قانون حماية البيانات لعام 2018
يُكمّل هذا النظام اللائحة العامة لحماية البيانات في المملكة المتحدة (GDPR) ويُقدّم قواعد واستثناءات إضافية.
يحدد أحكاماً محددة بشأن سياق التوظيف وإمكانية وصول جهات إنفاذ القانون.
يعزز مبادئ تقليل البيانات، وتحديد الغرض، وأمن بيانات المراقبة.
يمنح الأفراد حقوق الوصول إلى بياناتهم الشخصية، وفي بعض الحالات، الاعتراض على أنواع معينة من المراقبة.
RIPA (قانون تنظيم صلاحيات التحقيق)
ينظم اعتراض الاتصالات واستخدام المراقبة والرصد السري.
بشكل عام، يقيد هذا القانون اعتراض الاتصالات دون موافقة أو تفويض رسمي.
لا يُسمح بالمراقبة السرية للموظفين (دون علمهم) إلا في ظروف محدودة للغاية، مثل تحقيقات سوء السلوك الخطيرة وعندما يكون ذلك متناسبًا.
مدونة ممارسات التوظيف الخاصة بمكتب مفوض المعلومات (والإرشادات ذات الصلة)
إرشادات غير ملزمة من مكتب مفوض المعلومات في المملكة المتحدة بشأن المراقبة في مكان العمل.
يؤكد على ضرورة أن تكون المراقبة هادفة، وليست مفرطة، وأن تكون مبررة بحاجة تجارية واضحة.
يوصي بإجراء تقييمات الأثر قبل إدخال أدوات الرصد الجديدة.
ينصح أصحاب العمل بوضع سياسات مكتوبة واضحة تشرح ما يتم مراقبته، وكيف، ولأي أغراض.
يؤكد على التشاور والشفافية واحترام توقعات العمال المعقولة بشأن الخصوصية.
أستراليا ونيوزيلندا
قانون الخصوصية لعام 1988 (أستراليا)
يُحدد قانون الخصوصية لعام ١٩٨٨ الإطار العام لكيفية تعامل المؤسسات الأسترالية مع المعلومات الشخصية، بما في ذلك البيانات التي يتم جمعها من خلال المراقبة الإلكترونية ومراقبة الموظفين. ويُلزم القانون المؤسسات بجمع المعلومات الضرورية فقط، والشفافية بشأن كيفية استخدامها، والحفاظ على أمنها. ورغم أن القانون لا يتضمن قواعد تفصيلية لمراقبة أماكن العمل، فإن أي مراقبة تُحدد هوية فرد ما تخضع عمومًا لمبادئ الخصوصية الأسترالية، لا سيما فيما يتعلق بالإخطار، وتحديد الغرض، وحقوق الوصول. عمليًا، يعني هذا أنه ينبغي على أصحاب العمل ومقدمي الخدمات الذين يستخدمون أدوات المراقبة تحديد أغراض تجارية واضحة، وتجنب التتبع المفرط، وشرح ممارساتهم في سياسات الخصوصية والوثائق الداخلية.
قوانين مراقبة أماكن العمل (على مستوى الولايات، أستراليا)
تنظم العديد من الولايات والأقاليم الأسترالية عمليات المراقبة بشكل مباشر من خلال قوانين مراقبة أماكن العمل، مثل قانون مراقبة أماكن العمل لعام 2005 (نيو ساوث ويلز) وقانون خصوصية أماكن العمل لعام 2011 (إقليم العاصمة الأسترالية). وتحدد هذه القوانين عادةً متى وكيف يمكن لأصحاب العمل استخدام الكاميرات وأجهزة الكمبيوتر وأنظمة التتبع، وغالبًا ما تشترط إشعارًا كتابيًا مسبقًا، ولافتات واضحة، وسياسات مُحددة قبل بدء المراقبة. وتخضع المراقبة الخفية لقيود صارمة، ولا يُسمح بها عادةً إلا بتفويض خاص، وللتحقيق في حالات سوء السلوك الجسيم أو الأنشطة غير القانونية، وليس لتتبع الأداء الروتيني. وبالنسبة لأدوات المراقبة عبر الإنترنت، يعني هذا أنه يتعين على أصحاب العمل في الولايات المعنية إبلاغ الموظفين بوضوح وفي الوقت المناسب بأن استخدامهم لأجهزة الكمبيوتر أو الإنترنت أو البريد الإلكتروني قد يخضع للمراقبة، والتأكد من توافق أي مراقبة مع الشروط القانونية.
قانون الخصوصية لعام 2020 (نيوزيلندا)
يُحدّث قانون الخصوصية النيوزيلندي لعام 2020 إطار الخصوصية في البلاد، وينطبق على بيانات العملاء والموظفين على حد سواء، بما في ذلك المعلومات التي يتم جمعها من خلال المراقبة في مكان العمل أو عبر الإنترنت. ويُلزم القانون المؤسسات بجمع المعلومات لأغراض قانونية وضرورية فقط، والشفافية في ممارساتها، ومنح الأفراد حق الوصول إلى معلوماتهم الشخصية. وتؤكد توجيهات الجهات التنظيمية على ضرورة أن تكون مراقبة الموظفين أو تسجيلهم أو تصويرهم متناسبة مع الوضع، وأن تدعمها سياسات واضحة في مكان العمل، تُوضع بما يتماشى مع قانون الخصوصية وقانون العمل. ويُنصح أصحاب العمل باستشارة الموظفين، وشرح أسباب الحاجة إلى المراقبة، ومراعاة تأثيرها على الثقة والمعنويات، لا سيما عند استخدام أدوات تُتيح التتبع المستمر أو المُفصّل.
منطقة آسيا والمحيط الهادئ
PDPA (قانون حماية البيانات الشخصية) – سنغافورة
يشمل ذلك البيانات الشخصية التي تتعامل معها المؤسسات، بما في ذلك بيانات الموظفين وبيانات المراقبة.
يتطلب الأمر وجود غرض واضح وقانوني للمراقبة.
عادةً ما تكون الموافقة أو أي أساس قانوني آخر مطلوباً.
التركيز القوي على الشفافية والإخطار المناسب وضمانات حماية البيانات.
يجب أن يقتصر الاحتفاظ بالبيانات على ما هو ضروري.
PDPA – ماليزيا
ينطبق هذا على البيانات الشخصية التي تتم معالجتها في السياقات التجارية والوظيفية.
تُعد الموافقة شرطاً أساسياً لجمع بيانات المراقبة.
يجب معالجة البيانات بشكل عادل ولغرض محدد ومعلن.
يتضمن ذلك قواعد بشأن حدود الاحتفاظ بالبيانات، وأمن البيانات، ومعالجات البيانات التابعة لجهات خارجية.
APPI (قانون حماية المعلومات الشخصية) – اليابان
ينظم التعامل مع البيانات الشخصية لكل من العملاء والموظفين.
يتطلب ذلك من المنظمات تحديد الغرض من المراقبة وإيصاله.
يؤكد على أمن البيانات والإشراف السليم على الموظفين الذين يتعاملون مع المعلومات الشخصية.
يجب أن تكون المراقبة متناسبة ومتوافقة مع السياسات الداخلية.
قد يتمتع الموظفون بحقوق الوصول والتصحيح حسب السياق.
قانون حماية المعلومات الشخصية (PIPL) – الصين
قانون شامل لحماية البيانات يغطي بيانات مكان العمل وبيانات المستهلك.
يتطلب ذلك هدفًا واضحًا، وتقليل البيانات إلى الحد الأدنى، والشفافية في عملية المراقبة.
قد تكون الموافقة ضرورية، خاصة عندما تتضمن المراقبة بيانات حساسة أو مفصلة.
يضع متطلبات صارمة بشأن الاحتفاظ بالبيانات وأمنها وتوثيق عمليات المعالجة.
يمنح الأفراد حقوق الوصول إلى البيانات التي تتم مراقبتها وتصحيحها وطلب حذفها.
أمريكا اللاتينية
LGPD (Lei Geral de Proteção de Dados) – البرازيل
ينظم قانون حماية البيانات الشخصية البرازيلي (LGPD) أي استخدام للبيانات الشخصية، بما في ذلك المعلومات التي يتم جمعها من خلال المراقبة عبر الإنترنت أو في مكان العمل. يجب أن يكون لدى المؤسسات أساس قانوني واضح للمراقبة، وأن توضح الغرض منها. ينبغي أن تقتصر المراقبة على ما هو ضروري، وأن تُجرى بشفافية، وأن تُدعم بتدابير أمنية مناسبة. للأفراد الحق في الوصول إلى بياناتهم الشخصية وتصحيحها وطلب حذفها.
قوانين الخصوصية الوطنية في الأرجنتين والمكسيك وتشيلي
تُطبّق هذه الدول قوانين وطنية لحماية البيانات الشخصية التي تُجمع عبر أدوات الرصد. وتشمل المتطلبات المشتركة وجود غرض مشروع، وإبلاغ الأفراد بعملية الرصد، والحفاظ على أمان البيانات. وينبغي أن يكون الرصد معقولاً ومتناسباً، وللأفراد عموماً الحق في الوصول إلى معلوماتهم أو تحديثها. ورغم اختلاف القواعد المحددة، إلا أن الشفافية والضرورة تُعدّان من المتطلبات الأساسية في جميع أنحاء المنطقة.
منطقة الشرق الأوسط
قانون حماية البيانات في الإمارات العربية المتحدة (DPL / PDPL)
ينطبق قانون حماية البيانات الاتحادي في دولة الإمارات العربية المتحدة على المؤسسات التي تعالج البيانات الشخصية للأفراد المقيمين في الدولة، بمن فيهم الموظفون. ويشترط القانون، لأغراض المراقبة، وجود غرض واضح ومشروع، ويقتصر جمع البيانات على ما هو ضروري، مع التركيز الشديد على الشفافية والأمان. ويتعين على المؤسسات إبلاغ موظفيها بأي عملية مراقبة، وتوثيق أسبابها، ووضع سياسات وضوابط داخلية للتعامل مع البيانات الخاضعة للمراقبة.
قانون حماية خصوصية البيانات في قطر
يشمل قانون حماية البيانات الشخصية في قطر البيانات الشخصية التي تُعالج إلكترونياً أو يُراد معالجتها إلكترونياً. وهو يُقر بحق الفرد في خصوصية بياناته، ويشترط عموماً الحصول على موافقة أو وجود أساس قانوني آخر قبل معالجة البيانات الشخصية، بما في ذلك البيانات التي تُجمع عبر أنظمة المراقبة. ويتعين على المؤسسات تطبيق تدابير أمنية مناسبة، والتحلي بالشفافية بشأن كيفية استخدام البيانات الشخصية، واحترام حق الأفراد في الوصول إلى معلوماتهم وتصحيحها.
قانون حماية البيانات الشخصية السعودي (PDPL)
ينطبق قانون حماية البيانات الشخصية في المملكة العربية السعودية على معالجة البيانات الشخصية للأفراد داخل المملكة، سواء من قبل مؤسسات داخل المملكة أو خارجها. ولأغراض المراقبة، يُلزم القانون المؤسسات بتحديد أغراض واضحة، واعتماد سياسات خصوصية مكتوبة، وإبلاغ الأفراد بكيفية جمع بياناتهم واستخدامها. وتُعدّ الموافقة أساسًا هامًا للمعالجة في كثير من الحالات، مع أن القانون يسمح أيضًا بالمعالجة لأسباب تجارية وقانونية وأخرى تتعلق بالمصلحة العامة. ويُتوقع من أصحاب العمل الذين يستخدمون أدوات المراقبة حماية البيانات الخاضعة للمراقبة، والحد من الوصول إليها، والتعامل مع معلومات الموظفين بما يتوافق مع قواعد الشفافية والأمان والاحتفاظ بالبيانات المنصوص عليها في قانون حماية البيانات الشخصية.