Spyrix logo

Software

Sledování telefonu

Mac

Nákup

Stáhnout

podnikání

Podpora

Společnost

Spyrix logo

Software

Sledování telefonu

Sledování telefonu

Rodičovská kontrola

Rodičovská kontrola

Mac

Ceny

Registrovat se

Můj účet

Zákony o online monitorování

Tým Spyrix shromažďuje hlavní právní akty a dokumenty, které popisují, jak mohou zaměstnavatelé legálně monitorovat online aktivity svých zaměstnanců. Poskytuje také pokyny, jak lze monitorovací nástroje používat pro osobní účely.

Globální mezinárodní akty

GDPR (Obecné nařízení o ochraně osobních údajů – Evropská unie)

GDPR je základním nařízením Evropské unie o ochraně osobních údajů a vztahuje se na jakoukoli organizaci zpracovávající osobní údaje fyzických osob v EU, bez ohledu na to, kde organizace působí. Do jeho působnosti spadají monitorování online aktivit, monitorování zaměstnanců a jakákoli forma digitálního sledování, kdykoli se týkají osobních údajů.

Podle GDPR je monitorování obecně zákonné pouze tehdy, existuje-li platný právní základ, jako je oprávněný zájem, plnění smlouvy nebo získání výslovného souhlasu. Před implementací nástrojů pro monitorování by se organizace měly ujistit, že monitorování je nezbytné, přiměřené a že nepřiměřeně nezasahuje do soukromí jednotlivců.

GDPR vyžaduje, aby společnosti provedly posouzení oprávněných zájmů (LIA) nebo, pokud je pravděpodobné, že monitorování bude představovat vyšší rizika, posouzení vlivu na ochranu osobních údajů (DPIA). Tato hodnocení pomáhají určit odůvodnění monitorování a identifikovat způsoby, jak snížit rizika spojená se shromažďováním údajů.

Transparentnost je nezbytná. Jednotlivci musí být předem jasně informováni o typu monitorování, účelu, shromažďovaných údajích, právním základu, kdo bude mít přístup a jak dlouho budou údaje uchovávány. Nezveřejňované nebo skryté monitorování je obecně omezené a povolené pouze za velmi striktních okolností definovaných vnitrostátními zákony.

GDPR také klade důraz na minimalizaci dat a vyžaduje, aby organizace shromažďovaly pouze to, co je nezbytné pro definovaný účel. Neustálé nebo příliš rušivé monitorování bez jasného odůvodnění může být v rozporu s principy GDPR.

Pokud jde o nástroje pro online monitorování, mezi nejrelevantnější povinnosti GDPR patří:

  • Poskytnutí jasného oznámení o monitorování

  • Shromažďování pouze nezbytných údajů

  • Používání vhodných technických a organizačních bezpečnostních opatření

  • Identifikace a dokumentace právního základu pro zpracování

  • Umožnění jednotlivcům uplatňovat svá práva (přístup, výmaz, námitka atd.)

Pokyny OECD k ochraně osobních údajů (Organizace pro hospodářskou spolupráci a rozvoj)

Směrnice OECD pro ochranu soukromí poskytují mezinárodně uznávané zásady pro ochranu údajů a soukromí. Ačkoli nejsou právně závazné, ovlivňují národní zákony o ochraně soukromí na celém světě a slouží jako rámec pro zodpovědné nakládání s údaji.

Pokyny kladou důraz na spravedlnost, transparentnost, omezení účelu, kvalitu dat, bezpečnostní záruky, otevřenost a odpovědnost. Tyto zásady povzbuzují organizace ke shromažďování osobních údajů pouze pro jasné a legitimní účely a k zajištění toho, aby jednotlivci rozuměli tomu, jak jsou jejich data používána.

V oblasti online monitorování a monitorování zaměstnanců podporují směrnice OECD postupy, které jsou transparentní, přiměřené a respektují soukromí. I když neobsahují podrobná pravidla specifická pro monitorování, podporují odpovědnou správu dat a formují vnitrostátní legislativu, která monitorování přímo reguluje.

V praxi směrnice povzbuzují organizace k tomu, aby:

  • Jasně sdělte postupy monitorování

  • Omezte sběr dat na to, co je nezbytné

  • Chraňte monitorovaná data před neoprávněným přístupem

  • Pravidelně kontrolujte postupy monitorování z hlediska spravedlnosti a nezbytnosti

Ačkoli nejsou vymahatelné jako GDPR, Směrnice OECD o ochraně osobních údajů pomáhají formovat globální standardy a osvědčené postupy pro zákonný a etický monitoring.

Spojené státy

Akt

Kde se to vztahuje

Rozsah monitorování

Klíčové požadavky

Poznámky pro uživatele Spyrixu

CCPA

Kalifornie

Monitorování, které shromažďuje osobní údaje

Oznámení o ochraně osobních údajů, právo na přístup/smazání, odhlášení ze sdílení údajů

Platí, pokud monitorování shromažďuje identifikátory, protokoly aktivit nebo data o užívání.

CPRA

Kalifornie

Monitoring involving "sensitive" data or detailed profiling

Omezení účelu, minimalizace dat, přísnější pravidla pro citlivá data

Důležité, když nástroje zaznamenávají geolokaci, vzorce chování nebo podrobnou digitální aktivitu.

ECPA

Federální (USA)

Zachycení nebo přístup k elektronické komunikaci (e-mail, chat, stisknutí kláves)

Omezení zachycování obsahu; výjimky pro zaměstnavatele často vyžadují oznámení

Vysoce relevantní pro keylogging, monitorování e-mailů a zachycování obsahu obrazovky

Pokyny týkající se FLSA

Federální (USA)

Monitorování používané ke sledování pracovní doby nebo produktivity

Sledování času musí podporovat přesné mzdy; žádná neplacená mimopracovní činnost

Nejedná se o zákon o ochraně osobních údajů, ale ovlivňuje, jak se monitorovací data používají pro rozhodování o mzdách

Státní zákony o monitorování

Liší se podle státu (NY, CT, DE, CO, VA, UT atd.)

Elektronické monitorování zaměstnanců a systémů na pracovišti

Často vyžadují písemné oznámení nebo výslovné potvrzení

Zaměstnavatelé z více států těží z jednotné monitorovací politiky + státních dodatků

Kanada

PIPEDA (Zákon o ochraně osobních údajů a elektronických dokumentů)

  • Platí pro organizace soukromého sektoru v celé Kanadě (s výjimkou případů, kdy je nahrazují provinční zákony).

  • Zahrnuje jakékoli shromažďování, používání nebo zveřejňování osobních údajů, včetně online monitorování a monitorování zaměstnanců.

  • Vyžaduje, aby organizace stanovily jasný účel monitorování a v případě potřeby získaly smysluplný souhlas.

  • Monitorování musí být přiměřené, omezené na to, co je nezbytné, a prováděné transparentním způsobem.

  • Zaměstnanci by měli být informováni o tom, co je monitorováno, proč je monitorováno a jak budou tyto informace použity.

  • Osobní údaje musí být chráněny vhodnými bezpečnostními opatřeními.

Zákony o ochraně soukromí provincií (Alberta PIPA, Britská Kolumbie PIPA, Quebec Law 25)

  • Podejte si žádost u organizací soukromého sektoru v příslušných provinciích.

  • Obecně odrážejí principy PIPEDA, ale mohou mít přísnější pravidla týkající se souhlasu, uchovávání údajů a soukromí zaměstnanců.

  • Monitorování musí být přiměřené pro obchodní účely a v souladu s jasnými a komunikovanými zásadami.

  • Zaměstnavatelé musí informovat zaměstnance před shromažďováním osobních údajů prostřednictvím monitorovacích nástrojů.

  • Některé provincie vyžadují zásady, které vysvětlují typ shromažďovaných údajů, jak dlouho jsou uchovávány a kdo k nim má přístup.

  • Organizace musí zaměstnancům poskytnout přístup k jejich osobním údajům na požádání.

Spojené království

GDPR Spojeného království

  • Vztahuje se na zpracování osobních údajů ve Spojeném království, včetně sledování aktivit zaměstnanců a online aktivit.

  • Requires a clear lawful basis for monitoring (often "legitimate interests" or contract).

  • Monitorování musí být nezbytné, přiměřené a nesmí být nadměrně rušivé.

  • Zaměstnavatelé by měli provést posouzení rizik nebo DPIA pro monitorování rizik s vyšším rizikem (např. průběžné sledování, keylogging).

  • Silný důraz na transparentnost: zaměstnanci by měli vědět, co je monitorováno, proč a jak budou data používána a ukládána.

Zákon o ochraně osobních údajů z roku 2018

  • Doplňuje britské GDPR a poskytuje další pravidla a výjimky.

  • Stanoví konkrétní ustanovení týkající se pracovního kontextu a přístupu donucovacích orgánů.

  • Posiluje principy minimalizace dat, omezení účelu a zabezpečení pro monitorování dat.

  • Dává jednotlivcům právo na přístup k jejich osobním údajům a v některých případech právo vznést námitky proti určitým typům monitorování.

RIPA (Zákon o regulaci vyšetřovacích pravomocí)

  • Reguluje odposlech komunikace a používání dohledu a skrytého monitorování.

  • Obecně omezuje odposlech komunikace bez souhlasu nebo řádného oprávnění.

  • Skryté sledování zaměstnanců (bez jejich vědomí) je povoleno pouze za velmi omezených okolností, jako jsou vyšetřování závažného pochybení, a pokud je to přiměřené.

Kodex pracovních postupů ICO (a související pokyny)

  • Nezávazné pokyny Úřadu komisaře pro informace Spojeného království ohledně monitorování na pracovišti.

  • Zdůrazňuje, že monitorování by mělo být cílené, nikoli nadměrné a odůvodněné jasnou obchodní potřebou.

  • Doporučuje provést posouzení dopadů před zavedením nových monitorovacích nástrojů.

  • Doporučuje zaměstnavatelům, aby vytvořili jasné písemné zásady vysvětlující, co je monitorováno, jak a za jakým účelem.

  • Zdůrazňuje konzultace, transparentnost a respektování rozumných očekávání pracovníků ohledně soukromí.

Austrálie a Nový Zéland

Zákon o ochraně soukromí z roku 1988 (Austrálie)

Zákon o ochraně soukromí z roku 1988 stanoví zastřešující rámec pro to, jak australské organizace nakládají s osobními údaji, včetně údajů shromážděných prostřednictvím online monitorování a monitorování zaměstnanců. Vyžaduje, aby organizace shromažďovaly pouze informace, které jsou přiměřeně nezbytné, aby byly transparentní ohledně toho, jak jsou tyto informace používány, a aby je uchovávaly v bezpečí. Ačkoli zákon neobsahuje podrobná pravidla pro dohled na pracovišti, jakékoli monitorování, které identifikuje jednotlivce, bude obecně podléhat australským zásadám ochrany soukromí, zejména pokud jde o oznámení, omezení účelu a přístupová práva. V praxi to znamená, že zaměstnavatelé a poskytovatelé služeb používající monitorovací nástroje by měli definovat jasné obchodní účely, vyhnout se nadměrnému sledování a vysvětlit své postupy v zásadách ochrany osobních údajů a interní dokumentaci.

Zákony o dohledu na pracovišti (na úrovni států, Austrálie)

Několik australských států a teritorií reguluje monitorování přímočařeji prostřednictvím zákonů o dohledu na pracovišti, jako je například Workplace Surveillance Act 2005 (NSW) a Workplace Privacy Act 2011 (ACT). Tyto zákony obvykle regulují, kdy a jak mohou zaměstnavatelé používat kamerový, počítačový a sledovací dohled, a často vyžadují předem písemné oznámení, viditelné značení a jasné zásady před zahájením monitorování. Skrytý dohled je přísně omezen a obvykle je povolen pouze se zvláštním oprávněním a pro vyšetřování závažného pochybení nebo nezákonné činnosti, nikoli pro běžné sledování výkonu. U online monitorovacích nástrojů to znamená, že zaměstnavatelé v dotčených státech musí zaměstnancům poskytnout jasné a včasné oznámení o tom, že jejich používání počítače, internetu nebo e-mailu může být monitorováno, a zajistit, aby jakékoli monitorování bylo v souladu se zákonnými podmínkami.

Zákon o ochraně soukromí z roku 2020 (Nový Zéland)

Novozélandský zákon o ochraně soukromí z roku 2020 modernizuje rámec ochrany soukromí v zemi a vztahuje se jak na údaje o zákaznících, tak na údaje o zaměstnancích, včetně informací shromážděných prostřednictvím monitorování na pracovišti nebo online. Zákon vyžaduje, aby organizace shromažďovaly informace pouze pro zákonné a nezbytné účely, aby byly otevřené ohledně svých postupů a aby jednotlivcům poskytovaly přístup k jejich osobním údajům. Pokyny regulačních orgánů zdůrazňují, že monitorování, zaznamenávání nebo filmování zaměstnanců musí být přiměřené a mělo by být podpořeno jasnými zásadami na pracovišti vypracovanými v souladu se zákonem o ochraně soukromí i pracovním právem. Zaměstnavatelé se vyzývají, aby se se zaměstnanci poradili, vysvětlili jim, proč je monitorování nutné, a zvážili dopad na důvěru a morálku, zejména při používání nástrojů, které umožňují průběžné nebo podrobné sledování.

Oblast Asie a Tichomoří

PDPA (Zákon o ochraně osobních údajů) – Singapur

  • Zahrnuje osobní údaje zpracovávané organizacemi, včetně údajů o zaměstnancích a monitorovacích údajů.

  • Vyžaduje jasný a zákonný účel monitorování.

  • Obvykle je nutný souhlas nebo jiný platný podklad.

  • Silný důraz na transparentnost, řádné oznamování a ochranná opatření na ochranu osobních údajů.

  • Uchovávání musí být omezeno na to, co je nezbytné.

PDPA – Malajsie

  • Vztahuje se na osobní údaje zpracovávané v obchodním a pracovním kontextu.

  • Souhlas je primárním požadavkem pro sběr monitorovacích dat.

  • Údaje musí být zpracovávány spravedlivě a pro konkrétní, stanovený účel.

  • Zahrnuje pravidla týkající se limitů uchovávání, zabezpečení dat a zpracovatelů třetích stran.

APPI (Zákon o ochraně osobních údajů) – Japonsko

  • Upravuje nakládání s osobními údaji zákazníků i zaměstnanců.

  • Vyžaduje, aby organizace definovaly a sdělily účel monitorování.

  • Klade důraz na bezpečnost dat a řádný dohled nad zaměstnanci nakládajícími s osobními údaji.

  • Monitorování musí být přiměřené a v souladu s interními politikami.

  • Zaměstnanci mohou mít v závislosti na kontextu práva na přístup a opravu.

Zákon o ochraně osobních údajů (PIPL) – Čína

  • Komplexní zákon o ochraně osobních údajů, který zahrnuje údaje na pracovišti i údaje o spotřebitelích.

  • Vyžaduje jasný účel, minimalizaci dat a transparentnost monitorování.

  • Souhlas může být vyžadován, zejména pokud monitorování zahrnuje citlivá nebo podrobná data.

  • Stanovuje přísné požadavky na uchovávání, zabezpečení a dokumentaci zpracování.

  • Dává jednotlivcům práva na přístup, opravu a vyžádání si smazání monitorovaných dat.

Latinská Amerika

LGPD (Lei Geral de Proteção de Dados) – Brazílie

Brazilský zákon LGPD upravuje jakékoli použití osobních údajů, včetně informací shromážděných prostřednictvím online nebo pracovního monitorování. Organizace potřebují jasný právní základ pro monitorování a musí vysvětlit jeho účel. Monitorování by mělo být omezeno na to, co je nezbytné, prováděno transparentně a podpořeno vhodnými bezpečnostními opatřeními. Jednotlivci mají právo na přístup ke svým osobním údajům, jejich opravu a žádost o jejich vymazání.

Národní zákony na ochranu soukromí v Argentině, Mexiku a Chile

Tyto země mají národní zákony na ochranu osobních údajů, které se vztahují na osobní údaje shromažďované prostřednictvím monitorovacích nástrojů. Mezi běžné požadavky patří zákonný účel, informování jednotlivců o monitorování a zabezpečení údajů. Monitorování by mělo být přiměřené a úměrné a jednotlivci mají obecně právo na přístup ke svým informacím nebo je aktualizovat. I když se konkrétní pravidla liší, transparentnost a nezbytnost jsou v celém regionu konzistentními očekáváními.

Oblast Blízkého východu

Zákon SAE o ochraně osobních údajů (DPL / PDPL)

Federální zákon Spojených arabských emirátů o ochraně osobních údajů se vztahuje na organizace zpracovávající osobní údaje o jednotlivcích v SAE, včetně zaměstnanců. Pro monitorování je vyžadován jasný a zákonný účel, shromažďování údajů je omezeno na nezbytné minimum a klade se velký důraz na transparentnost a bezpečnost. Organizace by měly informovat zaměstnance o jakémkoli monitorování, zdokumentovat důvody pro něj a zavést interní zásady a ochranná opatření pro nakládání s monitorovanými údaji.

Katarský zákon o ochraně osobních údajů

Katarský zákon o ochraně osobních údajů se vztahuje na osobní údaje zpracovávané elektronicky nebo určené k elektronickému zpracování. Uznává právo jednotlivce na ochranu osobních údajů a obecně vyžaduje souhlas nebo jiný oprávněný důvod před zpracováním osobních údajů, včetně údajů shromážděných prostřednictvím monitorovacích systémů. Organizace musí zavést vhodná bezpečnostní opatření, být transparentní ohledně toho, jak jsou osobní údaje používány, a respektovat právo jednotlivců na přístup k jejich informacím a jejich opravu.

Saúdskoarabský zákon o ochraně osobních údajů (PDPL)

Saúdskoarabský zákon o ochraně osobních údajů (PDPL) se vztahuje na zpracování osobních údajů jednotlivců v království, ať už organizacemi v zemi nebo mimo ni. Pro monitorování vyžaduje, aby organizace definovaly jasné účely, přijaly písemné zásady ochrany osobních údajů a informovaly jednotlivce o tom, jak budou jejich údaje shromažďovány a používány. Souhlas je v mnoha případech důležitým základem pro zpracování, ačkoli zákon umožňuje zpracování i z určitých obchodních, právních a veřejně prospěšných důvodů. Od zaměstnavatelů používajících monitorovací nástroje se očekává, že budou chránit monitorovaná data, omezovat přístup a nakládat s informacemi o zaměstnancích v souladu s pravidly PDPL týkajícími se transparentnosti, zabezpečení a uchovávání údajů.