Spyrix logo

Софтуер

Проследяване на телефона

Mac

Покупка

Изтегляне

Бизнес

поддръжка

Компания

Spyrix logo

Софтуер

Проследяване на телефона

Проследяване на телефона

Родителски контрол

Родителски контрол

Mac

Ценообразуване

Регистрация

Моят акаунт

Закони за онлайн мониторинг

Екипът на Spyrix събира основни правни актове и документи, очертаващи как работодателите могат законно да наблюдават онлайн дейностите на своите служители. Той също така предоставя насоки за това как инструментите за мониторинг могат да се използват за лични цели.

Глобални международни актове

GDPR (Общ регламент относно защитата на данните - Европейски съюз)

GDPR е основният регламент за защита на данните на Европейския съюз и се прилага за всяка организация, обработваща лични данни на физически лица в ЕС, независимо къде организацията оперира. Мониторингът на онлайн активността, мониторингът на служителите и всяка форма на цифрово проследяване попадат в неговия обхват, когато включват лични данни.

Съгласно GDPR, мониторингът е законосъобразен само когато има валидно правно основание, като например легитимен интерес, изпълнение на договор или получаване на изрично съгласие. Преди да внедрят инструменти за мониторинг, организациите трябва да се уверят, че мониторингът е необходим, пропорционален и не нарушава неправомерно поверителността на лицата.

GDPR изисква компаниите да извършват оценка на легитимния интерес (LIA) или, когато е вероятно мониторингът да представлява по-висок риск, оценка на въздействието върху защитата на данните (DPIA). Тези оценки помагат да се определи обосновката за мониторинг и да се идентифицират начини за намаляване на рисковете, свързани със събирането на данни.

Прозрачността е от съществено значение. Лицата трябва да бъдат ясно информирани предварително за вида на мониторинга, целта, събираните данни, правното основание, кой ще има достъп и колко дълго ще се съхраняват данните. Неразкритото или скритото наблюдение обикновено е ограничено и е разрешено само при много тесни обстоятелства, определени от националните закони.

GDPR също така набляга на минимизирането на данните, изисквайки от организациите да събират само това, което е необходимо за определена цел. Непрекъснатото или прекалено натрапчиво наблюдение без ясна обосновка може да наруши принципите на GDPR.

За инструментите за онлайн мониторинг, най-важните задължения по GDPR включват:

  • Предоставяне на ясно уведомление за мониторинг

  • Събиране само на необходимите данни

  • Използване на подходящи технически и организационни мерки за сигурност

  • Идентифициране и документиране на законното основание за обработване

  • Предоставяне на възможност на лицата да упражняват своите права (достъп, заличаване, възражение и др.)

Насоки за поверителност на ОИСР (Организация за икономическо сътрудничество и развитие)

Насоките на ОИСР за поверителност предоставят международно признати принципи за защита на данните и поверителност. Въпреки че не са правно обвързващи, те влияят върху националните закони за поверителност по целия свят и служат като рамка за отговорно боравене с данни.

Насоките наблягат на справедливостта, прозрачността, ограничаването на целите, качеството на данните, гаранциите за сигурност, откритостта и отчетността. Тези принципи насърчават организациите да събират лични данни само за ясни, легитимни цели и да гарантират, че лицата разбират как се използват техните данни.

За онлайн наблюдение и наблюдение на служителите, Насоките на ОИСР подкрепят практики, които са прозрачни, пропорционални и зачитат поверителността. Въпреки че не съдържат подробни правила, специфични за наблюдението, те насърчават отговорното управление на данните и информират националното законодателство, което регулира пряко наблюдението.

На практика, насоките насърчават организациите да:

  • Ясно съобщаване на практиките за мониторинг

  • Ограничете събирането на данни до необходимото

  • Защитете наблюдаваните данни от неоторизиран достъп

  • Редовно преглеждайте практиките за мониторинг за справедливост и необходимост

Въпреки че не са приложими като GDPR, Насоките за поверителност на ОИСР помагат за оформянето на глобални стандарти и най-добри практики за законосъобразен и етичен мониторинг.

Съединени щати

Закон

Където се прилага

Обхват за мониторинг

Ключови изисквания

Бележки за потребителите на Spyrix

CCPA

Калифорния

Мониторинг, който събира лична информация

Известие за поверителност, право на достъп/изтриване, отказ от споделяне на данни

Прилага се, ако мониторингът събира идентификатори, регистрационни файлове за активност или данни за употреба

CPRA

Калифорния

Monitoring involving "sensitive" data or detailed profiling

Ограничаване на целите, минимизиране на данните, по-строги правила за чувствителни данни

Важно е, когато инструментите регистрират геолокация, модели на поведение или подробна дигитална активност

ECPA

Федерален (САЩ)

Прихващане или достъп до електронни комуникации (имейл, чат, натискане на клавиши)

Ограничения за прихващане на съдържание; изключенията на работодателите често изискват предизвестие

Силно релевантно за кейлогинг, наблюдение на имейли и заснемане на екранно съдържание

Ръководство, свързано с FLSA

Федерален (САЩ)

Мониторинг, използван за проследяване на работното време или производителността

Проследяването на времето трябва да поддържа точно отчитане на заплатите; без неплатена извънработна дейност

Не е закон за поверителност, но засяга начина, по който данните от мониторинга се използват за решения относно заплатите

Специфични за щата закони за мониторинг

Варира според щата (NY, CT, DE, CO, VA, UT и др.)

Електронно наблюдение на служителите и системите на работното място

Често изискват писмено уведомление или изрично потвърждение

Работодателите от множество щати се възползват от унифицирана политика за мониторинг + щатски допълнения

Канада

PIPEDA (Закон за защита на личната информация и електронните документи)

  • Прилага се за организации от частния сектор в цяла Канада (с изключение на случаите, когато провинциалните закони го заменят).

  • Обхваща всяко събиране, използване или разкриване на лична информация, включително онлайн наблюдение и наблюдение на служители.

  • Изисква от организациите да определят ясна цел за мониторинг и да получат смислено съгласие, когато е уместно.

  • Мониторингът трябва да бъде разумен, ограничен до необходимото и провеждан по прозрачен начин.

  • Служителите трябва да бъдат информирани за това какво се наблюдава, защо се наблюдава и как ще се използва информацията.

  • Личната информация трябва да бъде защитена с подходящи мерки за сигурност.

Провинциални закони за поверителност (Закон на Алберта за поверителност, Закон на Британска Колумбия за поверителност, Закон 25 на Квебек)

  • Кандидатствайте в организации от частния сектор в съответните им провинции.

  • Обикновено отразяват принципите на PIPEDA, но може да имат по-строги правила относно съгласието, запазването на данни и поверителността на служителите.

  • Мониторингът трябва да бъде разумен за бизнес цели и съобразен с ясни, комуникирани политики.

  • Работодателите трябва да информират служителите, преди да събират лична информация чрез инструменти за мониторинг.

  • Някои провинции изискват политики, които обясняват вида на събираните данни, колко дълго се съхраняват и кой има достъп до тях.

  • Организациите са длъжни да предоставят на служителите си достъп до личната им информация при поискване.

Обединено кралство

GDPR на Обединеното кралство

  • Прилага се за обработка на лични данни в Обединеното кралство, включително наблюдение на служителите и онлайн активността.

  • Requires a clear lawful basis for monitoring (often "legitimate interests" or contract).

  • Мониторингът трябва да бъде необходим, пропорционален и да не е прекомерно натрапчив.

  • Работодателите трябва да извършат оценка на риска или ОВЗД за мониторинг на по-висок риск (напр. непрекъснато проследяване, кейлогинг).

  • Силен фокус върху прозрачността: персоналът трябва да знае какво се наблюдава, защо и как данните ще бъдат използвани и съхранявани.

Закон за защита на данните от 2018 г.

  • Допълва GDPR на Обединеното кралство и предоставя допълнителни правила и изключения.

  • Определени са специфични разпоредби относно трудовата заетост и достъпа на правоприлагащите органи.

  • Подсилва принципите за минимизиране на данните, ограничаване на целите и сигурност при наблюдение на данни.

  • Дава на лицата право на достъп до личните им данни и в някои случаи да възразяват срещу определени видове наблюдение.

Закон за регулиране на разследващите правомощия (RIPA)

  • Регулира прихващането на комуникации и използването на наблюдение и скрито наблюдение.

  • Обикновено ограничава прихващането на комуникации без съгласие или надлежно разрешение.

  • Скрито наблюдение на служители (без тяхно знание) е разрешено само при много ограничени обстоятелства, като например разследвания на сериозни нарушения и когато е пропорционално.

Кодекс за трудови практики на ICO (и свързани насоки)

  • Незадължителни насоки от Службата на комисаря по информацията на Обединеното кралство относно мониторинга на работното място.

  • Подчертава, че мониторингът следва да бъде целенасочен, не прекомерен и оправдан от ясна бизнес нужда.

  • Препоръчва извършването на оценки на въздействието преди въвеждането на нови инструменти за мониторинг.

  • Съветва работодателите да създадат ясни писмени политики, обясняващи какво се наблюдава, как и с какви цели.

  • Подчертава консултациите, прозрачността и зачитането на разумните очаквания на работниците за поверителност.

Австралия и Нова Зеландия

Закон за поверителност от 1988 г. (Австралия)

Законът за поверителност от 1988 г. определя общата рамка за начина, по който австралийските организации обработват лична информация, включително данни, събрани чрез онлайн наблюдение и наблюдение на служителите. Той изисква от организациите да събират само информация, която е разумно необходима, да бъдат прозрачни относно начина, по който се използва тази информация, и да я пазят в безопасност. Въпреки че законът не съдържа подробни правила за наблюдение на работното място, всяко наблюдение, което идентифицира дадено лице, обикновено ще бъде предмет на австралийските принципи за поверителност, особено по отношение на уведомлението, ограничаването на целите и правата за достъп. На практика това означава, че работодателите и доставчиците на услуги, използващи инструменти за наблюдение, трябва да определят ясни бизнес цели, да избягват прекомерното проследяване и да обяснят своите практики в политиките за поверителност и вътрешната документация.

Закони за наблюдение на работното място (на щатско ниво, Австралия)

Няколко австралийски щата и територии регулират мониторинга по-директно чрез закони за наблюдение на работното място, като например Закона за наблюдение на работното място от 2005 г. (NSW) и Закона за поверителност на работното място от 2011 г. (ACT). Тези закони обикновено контролират кога и как работодателите могат да използват камери, компютри и проследяващо наблюдение, като често изискват предварително писмено уведомление, видими обозначения и ясни политики преди започване на наблюдението. Скритото наблюдение е строго ограничено и обикновено е разрешено само със специално разрешение и за разследвания на сериозни нарушения или незаконна дейност, а не за рутинно проследяване на работата. За онлайн инструментите за наблюдение това означава, че работодателите в засегнатите щати трябва да предоставят на служителите ясно и своевременно уведомление, че използването на техния компютър, интернет или имейл може да бъде наблюдавано, и да гарантират, че всяко наблюдение е в съответствие със законовите условия.

Закон за поверителност от 2020 г. (Нова Зеландия)

Законът за поверителност на Нова Зеландия от 2020 г. модернизира рамката за поверителност на страната и се прилага както за данните на клиентите, така и за данните на служителите, включително информацията, събрана чрез наблюдение на работното място или онлайн. Законът изисква организациите да събират информация само за законни, необходими цели, да бъдат открити относно своите практики и да предоставят на лицата достъп до личната им информация. Насоките от регулаторните органи подчертават, че наблюдението, записването или заснемането на служителите трябва да бъде пропорционално и следва да бъде подкрепено от ясни политики на работното място, разработени в съответствие както със Закона за поверителност, така и със трудовото законодателство. Работодателите се насърчават да се консултират с персонала, да обясняват защо е необходим мониторинг и да вземат предвид въздействието върху доверието и морала, особено когато използват инструменти, които позволяват непрекъснато или подробно проследяване.

Азиатско-тихоокеански регион

ЗЗЛД (Закон за защита на личните данни) – Сингапур

  • Обхваща лични данни, обработвани от организации, включително данни за служителите и данни за мониторинг.

  • Изисква ясна и законна цел за мониторинг.

  • Обикновено е необходимо съгласие или друго валидно основание.

  • Силен фокус върху прозрачността, правилното уведомяване и гаранциите за защита на данните.

  • Задържането трябва да бъде ограничено до необходимото.

PDPA – Малайзия

  • Прилага се за лични данни, обработвани в търговски и трудови контексти.

  • Съгласието е основно изискване за събиране на данни от мониторинг.

  • Данните трябва да се обработват честно и за конкретна, посочена цел.

  • Включва правила относно ограниченията за съхранение, сигурността на данните и обработващите данни от трети страни.

Закон за защита на личната информация (APPI) – Япония

  • Урежда обработката на лични данни както на клиенти, така и на служители.

  • Изисква организациите да дефинират и съобщават целта на мониторинга.

  • Набляга на сигурността на данните и правилния надзор на персонала, обработващ лична информация.

  • Мониторингът трябва да бъде пропорционален и съобразен с вътрешните политики.

  • Служителите могат да имат права за достъп и корекция в зависимост от контекста.

Закон за защита на личната информация (ЗЗИИ) – Китай

  • Цялостно законодателство за защита на данните, обхващащо данните на работното място и потребителите.

  • Изисква ясна цел, минимизиране на данните и прозрачност за мониторинг.

  • Може да е необходимо съгласие, особено когато мониторингът включва чувствителни или подробни данни.

  • Определя строги изисквания за съхранение, сигурност и документиране на обработката.

  • Дава на лицата права за достъп, коригиране и искане на изтриване на наблюдавани данни.

Латинска Америка

LGPD (Lei Geral de Proteção de Dados) – Бразилия

Бразилският LGPD регулира всяко използване на лични данни, включително информация, събрана чрез онлайн или работно наблюдение. Организациите се нуждаят от ясно правно основание за наблюдение и трябва да обяснят неговата цел. Наблюдението трябва да бъде ограничено до необходимото, да се извършва прозрачно и да се подкрепя от подходящи мерки за сигурност. Лицата имат право на достъп, коригиране и искане за изтриване на личните си данни.

Национални закони за поверителност в Аржентина, Мексико и Чили

Тези държави имат национални закони за защита на данните, които се прилагат за личните данни, събрани чрез инструменти за мониторинг. Общите изисквания включват наличието на законна цел, информиране на лицата за мониторинга и защита на данните. Мониторингът трябва да бъде разумен и пропорционален, а лицата по принцип имат право на достъп до информацията си или да я актуализират. Въпреки че специфичните правила се различават, прозрачността и необходимостта са постоянни очаквания в целия регион.

Близкия изток

Закон за защита на данните на ОАЕ (DPL / PDPL)

Федералният закон за защита на данните на ОАЕ се прилага за организации, обработващи лични данни за физически лица в ОАЕ, включително служители. За мониторинга се изисква ясна и законна цел, събирането на данни се ограничава до необходимото и се поставя силен акцент върху прозрачността и сигурността. Организациите трябва да информират персонала за всеки мониторинг, да документират причините за него и да въведат вътрешни политики и предпазни мерки за обработка на наблюдаваните данни.

Закон на Катар за защита на личните данни

Законът за поверителност на личните данни на Катар обхваща личните данни, обработвани електронно или предназначени за електронна обработка. Той признава правото на физическото лице на поверителност на данните и като цяло изисква съгласие или друго законно основание преди обработката на лични данни, включително данни, събрани чрез системи за мониторинг. Организациите трябва да прилагат подходящи мерки за сигурност, да бъдат прозрачни относно начина, по който се използват личните данни, и да зачитат правата на лицата на достъп и коригиране на тяхната информация.

Закон за защита на личните данни на Саудитска Арабия (PDPL)

Законът за поверителност на Саудитска Арабия (PDPL) се прилага за обработката на лични данни на физически лица в Кралството, от организации в страната или извън нея. За мониторинг се изисква организациите да определят ясни цели, да приемат писмени политики за поверителност и да информират физическите лица за това как техните данни ще бъдат събирани и използвани. Съгласието е важно основание за обработка в много случаи, въпреки че законът позволява обработка и по определени бизнес, правни и обществени причини. От работодателите, използващи инструменти за мониторинг, се очаква да защитават наблюдаваните данни, да ограничават достъпа и да обработват информацията за служителите в съответствие с правилата за прозрачност, сигурност и съхранение на PDPL.