قوانين المراقبة عبر الإنترنت واعتبارات الامتثال للخصوصية
آخر تحديث: مايو 2026
يمكن أن تساعد برامج المراقبة عبر الإنترنت المؤسسات على حماية موارد الشركة، وتحسين الإنتاجية، وفهم كيفية تنفيذ العمل الرقمي. ومع ذلك، فإن مراقبة الموظفين أو الأجهزة أو النشاط عبر الإنترنت أو الاتصالات قد تتضمن بيانات شخصية وقواعد تتعلق بالخصوصية في مكان العمل.
تقدم هذه الصفحة نظرة عامة عامة على اعتبارات الخصوصية والامتثال المرتبطة بالاستخدام المصرح به لبرامج المراقبة. وتسلط الضوء على موضوعات مشتركة موجودة في أطر الخصوصية والمراقبة في مكان العمل الرئيسية، مثل الشفافية، والغرض القانوني، وتقليل البيانات، والأمن، والاحتفاظ، وإخطار المستخدم.
قد تختلف المتطلبات المحددة بحسب البلد، أو الولاية، أو القطاع، أو ملكية الجهاز، أو نوع البيانات التي يتم جمعها، أو طريقة إعداد المراقبة.
إخلاء المسؤولية: تُقدَّم هذه الصفحة لأغراض معلوماتية عامة فقط ولا تشكل مشورة قانونية. تختلف قوانين الخصوصية، ورصد مكان العمل، والعمل، والاتصالات الإلكترونية حسب الاختصاص القضائي، وقد تعتمد على حالة الاستخدام المحددة، وملكية الجهاز، والصناعة، وإشعار الموظفين، ومتطلبات الموافقة، ونوع البيانات التي يتم جمعها.
لا تحدد Spyrix ما إذا كان إعداد رصد معين قانونيًا لمؤسستك. قبل استخدام برامج الرصد، ينبغي عليك مراجعة القوانين والسياسات الداخلية المعمول بها، وإخطار المستخدمين حيثما يكون ذلك مطلوبًا، وقصر الرصد على الأغراض الضرورية والمشروعة، واستشارة مستشار قانوني مؤهل عند الاقتضاء.
أطر الخصوصية العالمية والإقليمية
GDPR (اللائحة العامة لحماية البيانات - الاتحاد الأوروبي)
تُعد اللائحة العامة لحماية البيانات التنظيم الأساسي لحماية البيانات في الاتحاد الأوروبي. وقد تنطبق على المؤسسات داخل الاتحاد الأوروبي أو خارجه عندما تعالج البيانات الشخصية بطريقة تقع ضمن النطاق الإقليمي للائحة العامة لحماية البيانات، بما في ذلك بعض الحالات التي تتعلق بأفراد داخل الاتحاد الأوروبي. وقد تندرج مراقبة النشاط عبر الإنترنت، ومراقبة الموظفين، وأشكال التتبع الرقمي الأخرى ضمن نطاقها عندما تتضمن بيانات شخصية.
بموجب اللائحة العامة لحماية البيانات، تتطلب أنشطة المراقبة عمومًا أساسًا قانونيًا صالحًا، ويجب أن تكون ضرورية ومتناسبة وشفافة. وبحسب السياق، قد تعتمد المؤسسات على أساس قانوني مثل المصالح المشروعة، أو الضرورة التعاقدية، أو الالتزام القانوني، أو الموافقة. وفي سياقات العمل، قد لا تكون الموافقة مناسبة دائمًا بسبب العلاقة بين صاحب العمل والموظف.
عند الاعتماد على المصالح المشروعة، يجب على المؤسسات تقييم وتوثيق ما إذا كان الغرض من المراقبة قانونيًا وضروريًا ومتوازنًا مع حقوق وحريات الأفراد المعنيين. وعندما يُحتمل أن تؤدي المراقبة إلى مخاطر عالية على حقوق الأفراد وحرياتهم، قد يكون من المطلوب إجراء تقييم أثر حماية البيانات.
الشفافية ضرورية. يجب عمومًا إبلاغ الأفراد مسبقًا بنوع المراقبة، والغرض منها، وفئات البيانات التي يتم جمعها، والأساس القانوني، ومن يمكنه الوصول إلى البيانات، ومدة الاحتفاظ بها. تُعد المراقبة السرية أو غير المعلنة شديدة الحساسية، وقد تكون غير قانونية في كثير من الحالات، ويجب تقييمها بشكل منفصل وفقًا للقوانين المحلية المعمول بها.
تؤكد اللائحة العامة لحماية البيانات أيضًا على تقليل البيانات، مما يتطلب من المؤسسات جمع البيانات الشخصية الضرورية فقط لغرض محدد. وقد تتعارض المراقبة المستمرة أو المفرطة في التدخل دون مبرر واضح مع مبادئ اللائحة العامة لحماية البيانات.
بالنسبة لأدوات الرصد عبر الإنترنت، تشمل اعتبارات GDPR الأكثر صلة عادةً ما يلي:
تقديم إشعار واضح بشأن المراقبة حيثما يكون ذلك مطلوبًا
جمع البيانات الضرورية وذات الصلة فقط
استخدام تدابير أمنية تقنية وتنظيمية مناسبة
تحديد الأساس القانوني للمعالجة وتوثيقه
تقييم المصالح المشروعة أو المعالجة الأعلى خطرًا حيثما ينطبق ذلك
السماح للأفراد بممارسة حقوق الخصوصية المعمول بها، مثل الوصول أو الحذف أو الاعتراض أو التقييد
المصادر الرسمية:
اللائحة (الاتحاد الأوروبي) 2016/679 - اللائحة العامة لحماية البيانات النص الرسمي للائحة GDPR المنشور على EUR-Lex.
إرشادات EDPB رقم 3/2018 بشأن النطاق الإقليمي للائحة GDPR تشرح متى قد تنطبق GDPR على المؤسسات داخل الاتحاد الأوروبي وخارجه.
إرشادات EDPB رقم 05/2020 بشأن الموافقة بموجب اللائحة 2016/679 توفر إرشادات بشأن الموافقة الصحيحة بموجب GDPR.
المفوضية الأوروبية - متى يكون تقييم أثر حماية البيانات مطلوبًا؟ تشرح متى قد يكون تقييم أثر حماية البيانات (DPIA) مطلوبًا لمعالجة البيانات الشخصية الأعلى خطورة.
EDPS - الاستخدام الخاص للاتصالات الإلكترونية في مكان العمل توفر إرشادات تتعلق باتصالات مكان العمل، وتوقعات الخصوصية، والرصد المتناسب.
إرشادات الخصوصية الصادرة عن OECD (منظمة التعاون الاقتصادي والتنمية)
توفر إرشادات الخصوصية الصادرة عن منظمة التعاون الاقتصادي والتنمية مبادئ معترفًا بها دوليًا للخصوصية وحماية البيانات الشخصية. وهي ليست ملزمة قانونيًا بالطريقة نفسها التي تكون بها القوانين الوطنية أو الإقليمية، لكنها أثرت في أطر الخصوصية وسياسات حماية البيانات في العديد من البلدان.
تؤكد الإرشادات على مبادئ الخصوصية الأساسية مثل تقييد الجمع، وجودة البيانات، وتحديد الغرض، وتقييد الاستخدام، وضمانات الأمن، والانفتاح، ومشاركة الأفراد، والمساءلة. تدعم هذه المبادئ التعامل المسؤول مع البيانات وتشجع المؤسسات على جمع البيانات الشخصية واستخدامها فقط لأغراض واضحة ومحددة ومناسبة.
بالنسبة للمراقبة عبر الإنترنت ومراقبة الموظفين، لا توفر إرشادات الخصوصية الصادرة عن منظمة التعاون الاقتصادي والتنمية قواعد تفصيلية خاصة بالمراقبة. ومع ذلك، فإنها تقدم إطارًا مفيدًا للخصوصية لتقييم ما إذا كانت ممارسات المراقبة شفافة، ومحدودة بغرض مشروع، ومحمية بضمانات مناسبة، وخاضعة للمساءلة.
على الرغم من أن إرشادات الخصوصية الصادرة عن منظمة التعاون الاقتصادي والتنمية ليست قابلة للإنفاذ مثل اللائحة العامة لحماية البيانات، فإنها تظل مرجعًا دوليًا مهمًا لمعالجة البيانات بشكل مسؤول ومراعٍ للخصوصية.
في الممارسة العملية، قد تساعد هذه المبادئ المؤسسات على النظر فيما إذا كان ينبغي لها:
الإبلاغ بوضوح عن ممارسات المراقبة
قصر جمع البيانات على ما هو ضروري لغرض محدد
حماية البيانات الخاضعة للمراقبة من الوصول غير المصرح به
تزويد الأفراد بمعلومات مناسبة حول كيفية استخدام بياناتهم
مراجعة ممارسات المراقبة بانتظام من حيث الإنصاف والضرورة والتناسب
المصادر الرسمية:
إرشادات OECD بشأن حماية الخصوصية وتدفقات البيانات الشخصية عبر الحدود منشور رسمي صادر عن OECD يتضمن مبادئ الخصوصية والإطار ذي الصلة.
OECD - الخصوصية وحماية البيانات صفحة نظرة عامة من OECD تشرح دور إرشادات الخصوصية في أطر الخصوصية وحماية البيانات العالمية.
الولايات المتحدة
في الولايات المتحدة، يخضع رصد مكان العمل والرصد عبر الإنترنت لمزيج من القوانين الفيدرالية، وقوانين الخصوصية في الولايات، وقواعد الاتصالات الإلكترونية، ومتطلبات الأجور وساعات العمل، واللوائح الخاصة بقطاعات معينة. لا يوجد قانون وطني واحد لرصد الموظفين يغطي كل حالة. وقد تختلف المتطلبات حسب الولاية، ونوع البيانات التي يتم جمعها، وما إذا كانت الاتصالات تُعترض أو يتم الوصول إليها، وما إذا كان الجهاز مملوكًا للشركة أو شخصيًا، وكيفية استخدام بيانات الرصد.
الإطار | نطاق التطبيق | نطاق المراقبة | اعتبارات الامتثال الشائعة | لماذا قد يكون ذلك مهمًا لبرامج الرصد |
|---|---|---|---|---|
CCPA / CPRA | كاليفورنيا؛ الشركات المشمولة | جمع واستخدام المعلومات الشخصية، بما في ذلك بعض معلومات الموظفين، والمتقدمين للوظائف، والمتعاقدين، والأجهزة، والنشاط عبر الإنترنت، والمعلومات الشخصية الحساسة | إشعار عند الجمع، إفصاحات سياسة الخصوصية، حقوق الوصول/الحذف/التصحيح، حقوق إلغاء الاشتراك حيثما ينطبق ذلك، القيود على بعض استخدامات المعلومات الشخصية الحساسة | ذو صلة عندما يجمع الرصد المعرّفات، أو بيانات الأجهزة، أو نشاط الإنترنت أو التطبيقات، أو الموقع الجغرافي، أو البيانات السلوكية، أو غيرها من المعلومات الشخصية من سكان كاليفورنيا |
قانون ECPA والقواعد الفيدرالية ذات الصلة بالاتصالات الإلكترونية | القانون الفيدرالي الأمريكي؛ قد تنطبق أيضًا قوانين التنصت والاتصالات في الولايات | اعتراض الاتصالات الإلكترونية أو الوصول إليها، مثل البريد الإلكتروني، أو الدردشة، أو المكالمات، أو الرسائل، أو بعض الاتصالات عبر الإنترنت | تجنب الاعتراض أو الوصول غير المصرح به؛ تقييم ما إذا كان قد ينطبق الحصول على الموافقة، أو التفويض، أو استثناءات مزودي الخدمة، أو استثناءات الغرض التجاري؛ مراجعة قواعد الموافقة والتنصت الخاصة بكل ولاية | ذو صلة كبيرة برصد الاتصالات، ومراجعة البريد الإلكتروني/الدردشة، والتقاط محتوى الشاشة، وتسجيل ضغطات المفاتيح، والأدوات التي قد تلتقط محتوى الرسائل |
قواعد الأجور وساعات العمل المرتبطة بقانون FLSA | القانون الفيدرالي الأمريكي؛ قد تنطبق أيضًا قوانين الأجور في الولايات | استخدام بيانات الرصد، أو الحضور، أو النشاط، أو تتبع الوقت لأغراض ساعات العمل، أو كشوف الرواتب، أو العمل الإضافي، أو قرارات الإنتاجية | يجب أن تدعم سجلات الوقت والنشاط حسابات الأجور الدقيقة؛ يجب دفع أجور الموظفين غير المعفيين عن جميع ساعات العمل؛ يجب على أصحاب العمل تجنب تثبيط الإبلاغ الدقيق عن الوقت | ذو صلة عندما تُستخدم بيانات الرصد لحساب وقت العمل، أو التحقق من الحضور، أو مراجعة العمل الإضافي، أو دعم كشوف الرواتب والقرارات المتعلقة بالأجور |
قوانين الرصد الإلكتروني والخصوصية الخاصة بكل ولاية | تختلف حسب الولاية؛ تشمل الأمثلة نيويورك وكونيتيكت وديلاوير فيما يتعلق بقواعد إشعار رصد الموظفين | الرصد الإلكتروني لاتصالات الموظفين، أو استخدام الإنترنت، أو أنظمة الكمبيوتر، أو أجهزة مكان العمل، أو غيرها من البيانات الشخصية | تتطلب بعض الولايات إشعارًا مكتوبًا أو إلكترونيًا، أو إقرارًا من الموظف، أو إعلانًا في مكان العمل، أو صياغة محددة للسياسة؛ وقد تضيف قوانين الخصوصية الأخرى في الولايات التزامات بشأن البيانات الحساسة، أو البيانات البيومترية، أو حقوق المستهلك | ينبغي لأصحاب العمل متعددي الولايات عدم الاعتماد على سياسة أمريكية عامة واحدة فقط؛ فقد يحتاجون إلى إشعارات خاصة بكل ولاية، ولغة موافقة، وقواعد احتفاظ، وضوابط وصول داخلية |
المصادر الرسمية:
وزارة العدل في كاليفورنيا - قانون خصوصية المستهلك في كاليفورنيا (CCPA) نظرة عامة رسمية من وزارة العدل في كاليفورنيا حول حقوق CCPA، والإشعارات المطلوبة، وحقوق إلغاء الاشتراك، وحقوق التصحيح، وحقوق الحذف، وحقوق المعلومات الشخصية الحساسة.
وكالة حماية الخصوصية في كاليفورنيا - القانون واللوائح صفحة رسمية لوكالة حماية الخصوصية في كاليفورنيا بشأن لوائح CCPA/CPRA ووضع القواعد.
قانون الولايات المتحدة - 18 U.S.C. Section 2511: حظر اعتراض الاتصالات السلكية أو الشفوية أو الإلكترونية والإفصاح عنها النص الرسمي لقانون الولايات المتحدة المتعلق باعتراض الاتصالات الإلكترونية.
وزارة العدل الأمريكية - قانون خصوصية الاتصالات الإلكترونية لعام 1986 نظرة عامة من وزارة العدل حول قانون ECPA وعلاقته بالاتصالات الإلكترونية والرقمية.
وزارة العمل الأمريكية - نشرة المساعدة الميدانية رقم 2020-5 إرشادات رسمية من وزارة العمل تتعلق بتتبع وتعويض ساعات العمل، بما في ذلك حالات العمل عن بُعد.
قانون الحقوق المدنية في نيويورك، القسم 52-c - أصحاب العمل الذين يمارسون الرصد الإلكتروني؛ الإشعار المسبق مطلوب قانون رسمي في نيويورك يتطلب إشعارًا مسبقًا لبعض أنواع الرصد الإلكتروني للموظفين.
القوانين العامة في كونيتيكت، القسم 31-48d - إشعار الرصد الإلكتروني نص قانوني رسمي في كونيتيكت يتناول متطلبات الإشعار لأصحاب العمل الذين يمارسون الرصد الإلكتروني.
قانون ديلاوير، العنوان 19، القسم 705 - إشعار برصد الإرسالات الهاتفية والبريد الإلكتروني واستخدام الإنترنت قانون رسمي في ديلاوير يتناول متطلبات الإشعار بشأن رصد الهاتف والبريد الإلكتروني واستخدام الإنترنت.
كندا
PIPEDA (قانون حماية المعلومات الشخصية والوثائق الإلكترونية)
ينطبق قانون PIPEDA على العديد من مؤسسات القطاع الخاص في كندا التي تجمع المعلومات الشخصية أو تستخدمها أو تفصح عنها في سياق الأنشطة التجارية. وبالنسبة للمعلومات الشخصية للموظفين، ينطبق قانون PIPEDA عمومًا على أماكن العمل الخاضعة للتنظيم الفيدرالي، بينما لدى بعض المقاطعات قوانين خصوصية خاصة بها للقطاع الخاص.
قد يغطي قانون PIPEDA المعلومات الشخصية التي يتم جمعها من خلال الرصد عبر الإنترنت أو رصد الموظفين، بما في ذلك المعرّفات، وبيانات الأجهزة، والنشاط عبر الإنترنت، واستخدام التطبيقات، والبيانات المتعلقة بالاتصالات، وسجلات الإنتاجية.
يجب على المؤسسات تحديد غرض واضح للرصد، وقصر الجمع على ما هو ضروري، والتعامل مع المعلومات الشخصية بطريقة شفافة.
عندما تكون الموافقة مطلوبة، يجب أن تكون ذات معنى وأن تستند إلى معلومات واضحة حول البيانات التي يتم جمعها، وسبب جمعها، وكيفية استخدامها، ومن قد يتمكن من الوصول إليها.
ينبغي عمومًا إبلاغ الموظفين بما تتم مراقبته، ولماذا يُستخدم الرصد، وكيف ستُستخدم المعلومات، ومدة الاحتفاظ بها.
يجب حماية المعلومات الشخصية التي يتم جمعها من خلال الرصد بضمانات أمنية مناسبة.
قوانين الخصوصية في المقاطعات (Alberta PIPA، British Columbia PIPA، Quebec Law 25)
لدى ألبرتا وكولومبيا البريطانية وكيبيك قوانين خصوصية للقطاع الخاص قد تنطبق داخل مقاطعاتها المعنية.
تتبع هذه القوانين عمومًا مبادئ خصوصية متشابهة، مثل الغرض المعقول، والجمع المحدود، والشفافية، وحقوق الوصول، وحدود الاحتفاظ، والضمانات المناسبة.
بالنسبة لرصد الموظفين، قد تعتمد المتطلبات على المقاطعة، ونوع مكان العمل، وغرض الرصد، وحساسية البيانات، وما إذا كان الرصد معقولًا لإدارة علاقة العمل.
ينبغي لأصحاب العمل إبلاغ الموظفين قبل جمع المعلومات الشخصية من خلال أدوات الرصد حيثما يكون ذلك مطلوبًا.
قد تتطلب بعض المقاطعات سياسات أو إشعارات توضّح ما هي المعلومات الشخصية التي يتم جمعها، وسبب جمعها، ومدة الاحتفاظ بها، ومن قد يتمكن من الوصول إليها.
ينبغي للمؤسسات العاملة في عدة مقاطعات كندية مراجعة المتطلبات الفيدرالية ومتطلبات المقاطعات قبل تنفيذ برامج الرصد.
المصادر الرسمية:
مكتب مفوض الخصوصية في كندا - PIPEDA نظرة عامة رسمية على قانون الخصوصية الفيدرالي الكندي للقطاع الخاص.
مكتب مفوض الخصوصية في كندا - الخصوصية في مكان العمل إرشادات بشأن خصوصية مكان العمل، والمعلومات الشخصية للموظفين، ومسؤوليات أصحاب العمل.
مكتب مفوض الخصوصية في كندا - إرشادات الحصول على موافقة ذات معنى إرشادات بشأن الموافقة ذات المعنى بموجب قانون الخصوصية الكندي للقطاع الخاص.
حكومة ألبرتا - قانون حماية المعلومات الشخصية صفحة رسمية لحكومة ألبرتا بشأن قانون الخصوصية للقطاع الخاص في ألبرتا.
حكومة ألبرتا - معلومات الموظف الشخصية إرشادات حول كيفية تطبيق قانون Alberta PIPA على معلومات الموظف الشخصية.
BC Laws - قانون حماية المعلومات الشخصية النص الرسمي لقانون حماية المعلومات الشخصية في كولومبيا البريطانية.
Legis Quebec - قانون احترام حماية المعلومات الشخصية في القطاع الخاص النص الرسمي لقانون الخصوصية للقطاع الخاص في كيبيك.
المملكة المتحدة
UK GDPR
تنطبق على معالجة البيانات الشخصية في المملكة المتحدة، بما في ذلك مراقبة الموظفين ومراقبة النشاط عبر الإنترنت.
اللائحة العامة لحماية البيانات في المملكة المتحدة
تتطلب أساسًا قانونيًا واضحًا للرصد، مثل المصالح المشروعة، أو الالتزام القانوني، أو الضرورة التعاقدية، أو الموافقة حيثما كان ذلك مناسبًا.
ينبغي أن يكون الرصد ضروريًا ومتناسبًا وشفافًا، وألا يكون تدخليًا بشكل مفرط.
يجب على أصحاب العمل إجراء تقييم للمخاطر، وقد يحتاجون إلى إكمال تقييم أثر حماية البيانات (DPIA) عندما يُحتمل أن يؤدي الرصد إلى مخاطر عالية على الأفراد، مثل التتبع المستمر، أو تسجيل ضغطات المفاتيح، أو غير ذلك من أشكال الرصد التدخلية.
ينبغي أن يعرف الموظفون عمومًا ما الذي تتم مراقبته، ولماذا تتم مراقبته، وما البيانات التي يتم جمعها، وكيف ستُستخدم، ومن قد يتمكن من الوصول إليها، ومدة تخزينها.
قانون حماية البيانات لعام 2018
يكمل اللائحة العامة لحماية البيانات في المملكة المتحدة ويوفر قواعد وشروطًا واستثناءات إضافية لمعالجة البيانات الشخصية.
يتضمن أحكامًا ذات صلة ببيانات الفئات الخاصة، وبيانات الجرائم الجنائية، والمعالجة المتعلقة بالتوظيف، ومعالجة إنفاذ القانون.
يعزز مبادئ مثل تقليل البيانات، وتحديد الغرض، والأمن، والمساءلة، وحقوق الأفراد.
يتمتع الأفراد عمومًا بحقوق الوصول إلى بياناتهم الشخصية، وفي بعض الحالات، الاعتراض على أنواع معينة من المعالجة.
قانون RIPA وقواعد الاعتراض ذات الصلة
ينظم قانون تنظيم سلطات التحقيق لعام 2000 وقواعد الاعتراض ذات الصلة في المملكة المتحدة أنواعًا معينة من اعتراض الاتصالات والوصول إليها.
قد يكون اعتراض الاتصالات مقيدًا ما لم تكن هناك سلطة قانونية، أو موافقة، أو أساس قانوني آخر قابل للتطبيق أو استثناء.
بالنسبة للرصد في مكان العمل، يجب تقييم رصد الاتصالات بعناية، خاصة عندما قد يشمل البريد الإلكتروني، أو الدردشة، أو المكالمات، أو الرسائل، أو غير ذلك من محتوى الاتصالات.
يُعد الرصد السري أو غير المعلن عنه حساسًا للغاية، وقد يكون غير قانوني في كثير من الحالات، ولا ينبغي النظر فيه إلا في ظروف استثنائية مع وجود مبرر واضح ومراجعة قانونية مناسبة.
إرشادات ممارسات التوظيف الصادرة عن ICO
يوفر مكتب مفوض المعلومات في المملكة المتحدة إرشادات بشأن مراقبة العاملين والتعامل مع البيانات الشخصية للموظفين.
يشدد مكتب مفوض المعلومات على أن الرصد ينبغي أن يكون مستهدفًا ومتناسبًا ومبررًا بغرض واضح، وألا يكون مفرطًا.
ينبغي لأصحاب العمل مراعاة الأثر على العاملين قبل إدخال أدوات الرصد، خاصة عندما يكون الرصد تدخليًا أو مستمرًا.
ينبغي لأصحاب العمل إنشاء سياسات مكتوبة واضحة تشرح ما الذي تتم مراقبته، ولماذا تتم مراقبته، وكيف تُستخدم البيانات، ومن يمكنه الوصول إليها، ومدة الاحتفاظ بها.
المصادر الرسمية:
ICO - ممارسات التوظيف وحماية البيانات: رصد العاملين مركز إرشادات رسمي من ICO لممارسات التوظيف، بما في ذلك رصد العاملين والتزامات حماية البيانات ذات الصلة.
ICO - دليل الأساس القانوني إرشادات ICO بشأن الأسس القانونية لمعالجة البيانات الشخصية بموجب UK GDPR.
ICO - متى نحتاج إلى إجراء تقييم أثر حماية البيانات؟ إرشادات ICO التي تشرح متى قد يكون تقييم أثر حماية البيانات مطلوبًا.
legislation.gov.uk - قانون حماية البيانات لعام 2018 النص الرسمي لقانون حماية البيانات لعام 2018.
legislation.gov.uk - قانون تنظيم سلطات التحقيق لعام 2000 النص الرسمي لقانون تنظيم سلطات التحقيق لعام 2000.
GOV.UK - اعتراض الاتصالات: مدونة الممارسة مدونة ممارسات حكومية بريطانية تتعلق باعتراض الاتصالات.
أستراليا ونيوزيلندا
تشدد الإرشادات على الشفافية، والمساءلة، والتشاور حيثما كان مناسبًا، واحترام التوقعات المعقولة للعاملين بشأن الخصوصية.
قانون الخصوصية لعام 1988 (أستراليا)
يضع قانون الخصوصية لعام 1988 الإطار العام لكيفية تعامل المؤسسات الأسترالية مع المعلومات الشخصية، بما في ذلك بعض البيانات التي قد يتم جمعها من خلال الرصد عبر الإنترنت أو الأنظمة المتعلقة بمكان العمل.
يتطلب من المؤسسات المشمولة جمع المعلومات الضرورية بشكل معقول فقط، وأن تكون شفافة بشأن كيفية استخدام المعلومات الشخصية، وأن تحافظ على أمنها.
لا يحتوي القانون على قواعد مفصلة بشأن مراقبة مكان العمل، وقد تُستثنى سجلات الموظفين التي يتعامل معها أصحاب العمل في القطاع الخاص من مبادئ الخصوصية الأسترالية في ظروف معينة. ومع ذلك، قد يظل الرصد الذي يتضمن معلومات شخصية خاضعًا لقانون الخصوصية في بعض السياقات، مثل الحالات التي لا ينطبق فيها استثناء سجلات الموظفين، أو عندما يتعامل مزودو الخدمات مع بيانات الموظفين، أو عندما تُفعّل التزامات خصوصية أخرى.
في الممارسة العملية، ينبغي لأصحاب العمل ومزودي الخدمات الذين يستخدمون أدوات الرصد تحديد أغراض تجارية واضحة، وتجنب التتبع المفرط، وشرح ممارساتهم في سياسات الخصوصية والوثائق الداخلية، ومراعاة قوانين مراقبة مكان العمل ذات الصلة في الولايات أو الأقاليم.
تنظم بعض الولايات والأقاليم الأسترالية رصد مكان العمل بشكل أكثر مباشرة من خلال قوانين مراقبة مكان العمل، مثل قانون مراقبة مكان العمل لعام 2005 (نيو ساوث ويلز) وقانون خصوصية مكان العمل لعام 2011 (إقليم العاصمة الأسترالية).
قد تتحكم هذه القوانين في متى وكيف يمكن لأصحاب العمل استخدام مراقبة الكاميرات، والحواسيب، والتتبع، وغالبًا ما تتطلب إشعارًا كتابيًا مسبقًا، وسياسات واضحة، وشروطًا محددة قبل بدء الرصد.
تخضع المراقبة الخفية أو السرية لقيود شديدة وقد تتطلب سلطة محددة أو موافقة قانونية. ولا ينبغي التعامل معها كطريقة روتينية لتتبع الأداء.
بالنسبة لأدوات الرصد عبر الإنترنت، يعني ذلك أنه ينبغي لأصحاب العمل في الولايات والأقاليم المتأثرة تقديم إشعار واضح وفي الوقت المناسب حيثما يكون ذلك مطلوبًا، وضمان أن أي مراقبة للحاسوب، أو الإنترنت، أو البريد الإلكتروني، أو التتبع تتوافق مع الشروط القانونية المعمول بها.
قانون الخصوصية لعام 2020 (نيوزيلندا)
يوفر قانون الخصوصية لعام 2020 في نيوزيلندا إطار الخصوصية في البلاد وينطبق على المعلومات الشخصية التي تتعامل معها الجهات، بما في ذلك المعلومات التي يتم جمعها من خلال رصد مكان العمل أو الرصد عبر الإنترنت.
يتطلب القانون من المؤسسات جمع المعلومات فقط لأغراض قانونية وضرورية، وأن تكون منفتحة بشأن ممارساتها، وأن تمنح الأفراد إمكانية الوصول إلى معلوماتهم الشخصية حيثما ينطبق ذلك.
تشدد إرشادات الجهات التنظيمية على أن رصد الموظفين أو تسجيلهم أو تصويرهم يجب أن يتم بما يتماشى مع قانون الخصوصية ومبادئ الخصوصية. وينبغي لأصحاب العمل أيضًا مراعاة كيف قد يؤثر الرصد على ثقة الموظفين ومعنوياتهم وعلاقات مكان العمل.
يُشجَّع أصحاب العمل على استشارة الموظفين، وشرح سبب الحاجة إلى الرصد، واستخدام سياسات واضحة لمكان العمل، ومراعاة أثر التتبع المستمر أو المفصل.
المصادر الرسمية:
OAIC - قانون الخصوصية نظرة عامة رسمية على قانون الخصوصية الأسترالي لعام 1988 ومبادئ الخصوصية الأسترالية.
OAIC - استثناء سجلات الموظفين تشرح متى قد يُستثنى تعامل أصحاب العمل في القطاع الخاص مع سجلات الموظفين من مبادئ الخصوصية الأسترالية.
OAIC - رصد ومراقبة مكان العمل إرشادات تشرح أن رصد مكان العمل قد يتضمن قوانين الولايات والأقاليم وغيرها من القوانين الأسترالية ذات الصلة.
تشريعات إقليم العاصمة الأسترالية - قانون خصوصية مكان العمل لعام 2011 صفحة التشريعات الرسمية لإقليم العاصمة الأسترالية بشأن قانون خصوصية مكان العمل لعام 2011.
تشريعات نيوزيلندا - قانون الخصوصية لعام 2020 النص الرسمي لقانون الخصوصية النيوزيلندي لعام 2020.
مفوض الخصوصية في نيوزيلندا - قانون الخصوصية لعام 2020 نظرة عامة رسمية على مبادئ الخصوصية في نيوزيلندا.
التوظيف في نيوزيلندا - خصوصية الموظفين إرشادات بشأن خصوصية الموظفين، ورصد مكان العمل، وتسجيل الموظفين وتصويرهم.
منطقة آسيا والمحيط الهادئ
قانون حماية البيانات الشخصية PDPA - سنغافورة
يغطي البيانات الشخصية التي تجمعها المؤسسات أو تستخدمها أو تفصح عنها، بما في ذلك البيانات التي قد يتم جمعها من خلال رصد الموظفين أو الرصد عبر الإنترنت.
يتطلب من المؤسسات جمع البيانات الشخصية أو استخدامها أو الإفصاح عنها لأغراض مناسبة وبموافقة، أو موافقة مفترضة، أو استثناء آخر قابل للتطبيق حيثما يُسمح بذلك.
يركز بقوة على الشفافية، والإخطار المناسب، وتحديد الغرض، وضمانات حماية البيانات.
ينبغي للمؤسسات إبلاغ الأفراد بالأغراض التي تُجمع أو تُستخدم أو يُفصح عن بياناتهم الشخصية من أجلها.
يجب أن يقتصر الاحتفاظ على ما هو ضروري للأغراض القانونية أو التجارية.
قانون حماية البيانات الشخصية PDPA - ماليزيا
ينطبق على البيانات الشخصية التي تتم معالجتها في المعاملات التجارية، بما في ذلك السياقات المتعلقة بالتوظيف حيث تُجمع البيانات الشخصية أو تُستخدم.
يتطلب من المؤسسات الامتثال للمبادئ الأساسية لحماية البيانات الشخصية، بما في ذلك المبادئ العامة، والإشعار والاختيار، والإفصاح، والأمن، والاحتفاظ، وسلامة البيانات، والوصول.
ينبغي للمؤسسات تقديم إشعار واضح بشأن الغرض من جمع البيانات الشخصية وكيفية استخدام البيانات.
يجب معالجة البيانات لغرض محدد ومعلن، وحمايتها بتدابير أمنية مناسبة، وعدم الاحتفاظ بها لمدة أطول من اللازم.
يتضمن قواعد بشأن الاحتفاظ، وأمن البيانات، وحقوق الوصول، وحقوق التصحيح، والمعالجة من قبل أطراف ثالثة.
قانون APPI (قانون حماية المعلومات الشخصية) - اليابان
ينظم التعامل مع المعلومات الشخصية من قبل الشركات والكيانات الأخرى المشمولة، بما في ذلك البيانات الشخصية للعملاء والموظفين.
يتطلب من المؤسسات تحديد غرض الاستخدام والتعامل مع المعلومات الشخصية ضمن ذلك الغرض المعلن.
يشدد على أمن البيانات، ودقتها، وضبط الاحتفاظ بها، والإشراف المناسب على الموظفين ومزودي الخدمات الذين يتعاملون مع البيانات الشخصية.
ينبغي أن تتوافق ممارسات الرصد التي تتضمن معلومات شخصية مع السياسات الداخلية والغرض المعلن من الاستخدام.
قد يتمتع الأفراد بحقوق الإفصاح، أو التصحيح، أو وقف الاستخدام، أو الحذف حسب السياق.
قانون PIPL (قانون حماية المعلومات الشخصية) - الصين
قانون شامل لحماية المعلومات الشخصية يغطي معالجة المعلومات الشخصية في الصين وبعض أنشطة المعالجة خارج الصين التي تتعلق بأفراد في الصين.
يتطلب غرضًا واضحًا ومعقولًا، وتقليل البيانات، والشفافية، وتدابير أمنية مناسبة.
قد تكون الموافقة مطلوبة في كثير من الحالات، بينما قد تنطبق أسس قانونية أخرى للمعالجة حسب السياق.
قد تكون الموافقة المنفصلة مطلوبة للمعلومات الشخصية الحساسة، أو بعض الإفصاحات، أو عمليات النقل عبر الحدود، أو غير ذلك من أنشطة المعالجة الأعلى خطورة.
يمنح الأفراد حقوقًا مثل الوصول، والتصحيح، والحذف، وسحب الموافقة، وشرح قواعد المعالجة.
المصادر الرسمية:
PDPC سنغافورة - قانون حماية البيانات الشخصية نظرة عامة رسمية على قانون حماية البيانات الشخصية في سنغافورة.
PDPC سنغافورة - التزامات حماية البيانات صفحة رسمية من PDPC تشرح الالتزامات الرئيسية مثل الموافقة، والإخطار، وتحديد الغرض، والحماية، والاحتفاظ.
PDPC سنغافورة - الإرشادات الاستشارية بشأن المفاهيم الرئيسية في PDPA إرشادات رسمية تشرح المفاهيم الرئيسية في PDPA، بما في ذلك الموافقة والاستثناءات.
إدارة حماية البيانات الشخصية في ماليزيا - قانون حماية البيانات الشخصية لعام 2010 صفحة رسمية للحكومة الماليزية بشأن قانون حماية البيانات الشخصية لعام 2010.
إدارة حماية البيانات الشخصية في ماليزيا - مبادئ حماية البيانات الشخصية نظرة عامة رسمية على المبادئ السبعة لحماية البيانات الشخصية في ماليزيا.
إدارة حماية البيانات الشخصية في ماليزيا - إرشادات بشأن إشعارات حماية البيانات الشخصية إرشادات رسمية بشأن إعداد إشعارات حماية البيانات الشخصية.
لجنة حماية المعلومات الشخصية في اليابان - قانون حماية المعلومات الشخصية الترجمة الإنجليزية الرسمية لقانون حماية المعلومات الشخصية في اليابان.
لجنة حماية المعلومات الشخصية في اليابان الموقع الرسمي للجهة التنظيمية للخصوصية في اليابان.
قاعدة بيانات القوانين واللوائح الوطنية في الصين - قانون حماية المعلومات الشخصية النص الصيني الرسمي لقانون حماية المعلومات الشخصية في الصين.
إدارة الفضاء السيبراني في الصين - قانون حماية المعلومات الشخصية المنشور الرسمي الصادر عن CAC لقانون حماية المعلومات الشخصية في الصين.
أمريكا اللاتينية
قانون LGPD (Lei Geral de Protecao de Dados) - البرازيل
ينظم قانون LGPD في البرازيل معالجة البيانات الشخصية، بما في ذلك البيانات المعالجة بوسائل رقمية. وقد ينطبق على المعلومات التي يتم جمعها من خلال الرصد عبر الإنترنت أو رصد مكان العمل عندما تتعلق البيانات بفرد محدد أو قابل للتحديد.
ينبغي للمؤسسات تحديد أساس قانوني مناسب للرصد وشرح الغرض من جمع البيانات. ويجب أن يقتصر الرصد على ما هو ضروري، وأن يتم بشفافية، وأن يكون مدعومًا بتدابير أمنية مناسبة.
يتمتع الأفراد بحقوق قد تشمل الوصول، والتصحيح، والحذف، وقابلية النقل، والمعلومات المتعلقة بمشاركة البيانات، وسحب الموافقة حيثما ينطبق ذلك.
قوانين الخصوصية الوطنية في الأرجنتين والمكسيك وتشيلي
لدى الأرجنتين والمكسيك وتشيلي أطر وطنية لحماية البيانات قد تنطبق على البيانات الشخصية التي يتم جمعها من خلال أدوات الرصد، وذلك حسب السياق ونوع البيانات المعنية.
تشمل توقعات الخصوصية المشتركة في المنطقة وجود غرض واضح ومناسب، وإبلاغ الأفراد بجمع البيانات، وقصر استخدام البيانات على ما هو ضروري، وحماية البيانات الشخصية بضمانات مناسبة.
قد يتمتع الأفراد بحقوق الوصول إلى بياناتهم الشخصية، أو تصحيحها، أو تحديثها، أو حذفها، أو الاعتراض على استخدامات معينة لها، حسب القانون المعمول به.
نظرًا لأن المتطلبات المحددة تختلف حسب البلد وقد تتغير بمرور الوقت، ينبغي للمؤسسات مراجعة القواعد المحلية الحالية قبل تنفيذ الرصد عبر الإنترنت أو في مكان العمل في هذه الأسواق.
المصادر الرسمية:
البرازيل - القانون رقم 13,709/2018، القانون العام لحماية البيانات الشخصية (LGPD) النص الرسمي الموحد لقانون LGPD في البرازيل.
الأرجنتين - وكالة الوصول إلى المعلومات العامة: حماية البيانات الشخصية صفحة الهيئة الرسمية الأرجنتينية بشأن حماية البيانات الشخصية.
تشيلي - القانون رقم 19,628 بشأن حماية الحياة الخاصة النص الرسمي لقانون حماية البيانات الشخصية في تشيلي.
تشيلي - القانون رقم 21,719، حماية ومعالجة البيانات الشخصية النص الرسمي لإطار حماية البيانات الحديث في تشيلي.
منطقة الشرق الأوسط
قانون حماية البيانات في الإمارات العربية المتحدة (المرسوم بقانون اتحادي رقم 45 لسنة 2021)
يوفر قانون حماية البيانات الشخصية الاتحادي في الإمارات العربية المتحدة إطارًا عامًا لمعالجة البيانات الشخصية. وقد ينطبق على المؤسسات التي تعالج البيانات الشخصية في الإمارات أو تعالج البيانات الشخصية لأفراد في الإمارات، وذلك حسب نطاق القانون وأي قواعد خاصة بقطاع معين أو بالمناطق الحرة قابلة للتطبيق.
بالنسبة للرصد، ينبغي للمؤسسات تحديد غرض واضح وقانوني، وقصر جمع البيانات على ما هو ضروري، ووضع تركيز قوي على الشفافية والأمن.
ينبغي للمؤسسات إبلاغ الموظفين بالرصد حيثما يكون ذلك مطلوبًا، وتوثيق أسباب جمع البيانات الشخصية، ووضع سياسات داخلية وضمانات للتعامل مع البيانات المرصودة.
قانون حماية خصوصية البيانات في قطر
يغطي قانون خصوصية البيانات الشخصية في قطر البيانات الشخصية التي تتم معالجتها إلكترونيًا أو يُقصد معالجتها إلكترونيًا.
يعترف بحق الفرد في خصوصية البيانات ويتطلب أن تتبع معالجة البيانات الشخصية مبادئ مثل الشفافية، والإنصاف، واحترام الخصوصية.
بالنسبة لأنظمة الرصد، ينبغي أن يكون لدى المؤسسات غرض واضح وقانوني، وأن تُبلغ الأفراد حيثما يكون ذلك مطلوبًا، وأن تحمي البيانات الشخصية بتدابير أمنية مناسبة.
ينبغي للمؤسسات أيضًا احترام الحقوق المعمول بها، بما في ذلك حقوق الوصول والتصحيح حيثما تكون متاحة.
قانون حماية البيانات الشخصية السعودي (PDPL)
ينظم قانون حماية البيانات الشخصية السعودي معالجة البيانات الشخصية في المملكة، وقد ينطبق أيضًا على بعض أنشطة المعالجة خارج المملكة عندما تتعلق ببيانات شخصية لأفراد في المملكة العربية السعودية.
بالنسبة للرصد، ينبغي للمؤسسات تحديد أغراض واضحة، واعتماد سياسات خصوصية، وإبلاغ الأفراد بكيفية جمع بياناتهم الشخصية واستخدامها.
قد تكون الموافقة مطلوبة في كثير من الحالات، بينما قد تنطبق أسس قانونية أخرى حسب السياق.
ينبغي لأصحاب العمل الذين يستخدمون أدوات الرصد حماية البيانات المرصودة، والحد من الوصول الداخلي، وتجنب الجمع غير الضروري، والتعامل مع معلومات الموظفين بما يتماشى مع متطلبات الشفافية والأمن والاحتفاظ الواردة في قانون حماية البيانات الشخصية.
المصادر الرسمية:
تشريعات الإمارات العربية المتحدة - المرسوم بقانون اتحادي رقم 45 لسنة 2021 بشأن حماية البيانات الشخصية النص الرسمي لقانون حماية البيانات الشخصية الاتحادي في الإمارات العربية المتحدة.
الميزان القطري - القانون رقم 13 لسنة 2016 بشأن حماية خصوصية البيانات الشخصية النص الإنجليزي الرسمي بصيغة PDF لقانون خصوصية البيانات الشخصية في قطر.
SDAIA - قانون حماية البيانات صفحة رسمية للهيئة السعودية للبيانات والذكاء الاصطناعي بشأن قانون حماية البيانات الشخصية في المملكة العربية السعودية.
SDAIA - قانون حماية البيانات الشخصية النسخة الإنجليزية الرسمية من قانون حماية البيانات الشخصية في المملكة العربية السعودية.
الاعتبارات النهائية للرصد المسؤول
تختلف قوانين الرصد عبر الإنترنت ورصد الموظفين اختلافًا كبيرًا بين البلدان، والولايات، والصناعات، وبيئات العمل. قد تكون أداة الرصد نفسها مقبولة في سياق معين وغير مناسبة أو غير قانونية في سياق آخر، وذلك حسب كيفية إعدادها، وما البيانات التي يتم جمعها، وما إذا كان المستخدمون على علم بها، وكيفية استخدام المعلومات.
ينبغي أن يتضمن برنامج الرصد المسؤول عمومًا ما يلي:
غرض واضح ومشروع للرصد
سياسات داخلية مكتوبة تشرح ما الذي تتم مراقبته ولماذا
إشعار المستخدم أو الموظف حيثما يكون ذلك مطلوبًا
جمع بيانات محدود ومتناسب
ضوابط وصول قوية وضمانات أمنية
فترات احتفاظ محددة للبيانات التي تم جمعها
مراجعة منتظمة لممارسات الرصد
مراجعة قانونية لسيناريوهات الرصد عالية المخاطر، أو الحساسة، أو السرية، أو العابرة للحدود
توفر Spyrix برامج رصد للاستخدام المصرح به. ومع ذلك، تتحمل كل مؤسسة مسؤولية تحديد ما إذا كان استخدامها المحدد لأدوات الرصد يتوافق مع القوانين المعمول بها، والسياسات الداخلية، ومتطلبات الإشعار. عند الشك، ينبغي للمؤسسات استشارة مستشار قانوني مؤهل قبل نشر برامج الرصد أو تمكين ميزات رصد أكثر تدخلاً.