Verkkovalvontaa koskevat lait ja tietosuojavaatimusten noudattamiseen liittyvät näkökohdat
Viimeksi päivitetty: toukokuu 2026
Verkkovalvontaohjelmisto voi auttaa organisaatioita suojaamaan yrityksen resursseja, parantamaan tuottavuutta ja ymmärtämään, miten digitaalista työtä tehdään. Työntekijöiden, laitteiden, verkkotoiminnan tai viestinnän valvonta voi kuitenkin liittyä henkilötietoihin ja työpaikan yksityisyyttä koskeviin sääntöihin.
Tämä sivu tarjoaa yleiskatsauksen yksityisyyteen ja vaatimustenmukaisuuteen liittyvistä näkökohdista valtuutetun valvontaohjelmiston käytön yhteydessä. Se korostaa yleisiä teemoja, joita esiintyy keskeisissä tietosuoja- ja työpaikkavalvonnan kehyksissä, kuten läpinäkyvyys, laillinen tarkoitus, tietojen minimointi, turvallisuus, säilyttäminen ja käyttäjälle annettava ilmoitus.
Erityiset vaatimukset voivat vaihdella maan, osavaltion, toimialan, laitteen omistajuuden, kerättyjen tietojen tyypin ja valvonnan määritysten mukaan.
Vastuuvapauslauseke: Tämä sivu on tarkoitettu vain yleisiin tiedotustarkoituksiin eikä se ole oikeudellista neuvontaa. Tietosuojaa, työpaikkavalvontaa, työoikeutta ja sähköistä viestintää koskevat lait vaihtelevat lainkäyttöalueittain ja voivat riippua tietystä käyttötapauksesta, laitteen omistajuudesta, toimialasta, työntekijälle annettavasta ilmoituksesta, suostumusvaatimuksista ja kerättyjen tietojen tyypistä.
Spyrix ei määritä, onko tietty valvonta-asetus laillinen organisaatiollesi. Ennen valvontaohjelmiston käyttöä sinun tulee tarkistaa sovellettavat lait ja sisäiset käytännöt, ilmoittaa käyttäjille, kun sitä vaaditaan, rajoittaa valvonta tarpeellisiin ja oikeutettuihin tarkoituksiin sekä tarvittaessa konsultoida pätevää oikeudellista neuvonantajaa.
Globaalit ja alueelliset tietosuojakehykset
GDPR (yleinen tietosuoja-asetus - Euroopan unioni)
GDPR on Euroopan unionin keskeinen tietosuojasääntely. Sitä voidaan soveltaa organisaatioihin EU:n sisällä tai ulkopuolella, kun ne käsittelevät henkilötietoja tavalla, joka kuuluu GDPR:n alueelliseen soveltamisalaan, mukaan lukien tietyt tapaukset, jotka koskevat EU:ssa olevia henkilöitä. Verkkotoiminnan valvonta, työntekijöiden valvonta ja muut digitaalisen seurannan muodot voivat kuulua sen soveltamisalaan, kun niihin liittyy henkilötietoja.
GDPR:n mukaan valvontatoimet edellyttävät yleensä pätevää oikeusperustetta, ja niiden tulee olla tarpeellisia, oikeasuhteisia ja läpinäkyviä. Kontekstista riippuen organisaatiot voivat tukeutua oikeusperusteeseen, kuten oikeutettuihin etuihin, sopimuksen tarpeellisuuteen, lakisääteiseen velvoitteeseen tai suostumukseen. Työsuhdekonteksteissa suostumus ei välttämättä aina ole asianmukainen työnantajan ja työntekijän välisen suhteen vuoksi.
Kun organisaatiot tukeutuvat oikeutettuihin etuihin, niiden tulee arvioida ja dokumentoida, onko valvonnan tarkoitus laillinen, tarpeellinen ja tasapainossa asianomaisten henkilöiden oikeuksien ja vapauksien kanssa. Kun valvonta todennäköisesti aiheuttaa korkean riskin henkilöiden oikeuksille ja vapauksille, tietosuojaa koskeva vaikutustenarviointi (DPIA) voi olla tarpeen.
Läpinäkyvyys on olennaista. Henkilöille tulisi yleensä ilmoittaa etukäteen valvonnan tyypistä, tarkoituksesta, kerättävien tietojen luokista, oikeusperusteesta, siitä, kuka voi päästä tietoihin, ja siitä, kuinka kauan tietoja säilytetään. Salainen tai ilmoittamaton valvonta on erittäin arkaluonteista, voi olla monissa tapauksissa lainvastaista ja se tulisi arvioida erikseen sovellettavien paikallisten lakien mukaisesti.
GDPR korostaa myös tietojen minimointia ja edellyttää, että organisaatiot keräävät vain ne henkilötiedot, jotka ovat tarpeen määriteltyä tarkoitusta varten. Jatkuva tai liian tungetteleva valvonta ilman selkeää perustelua voi olla ristiriidassa GDPR:n periaatteiden kanssa.
Verkkovalvontatyökalujen osalta olennaisimpia GDPR-näkökohtia ovat yleensä:
Selkeän ilmoituksen antaminen valvonnasta, kun sitä vaaditaan
Vain tarpeellisten ja olennaisten tietojen kerääminen
Asianmukaisten teknisten ja organisatoristen turvatoimien käyttäminen
Käsittelyn oikeusperusteen tunnistaminen ja dokumentointi
Oikeutettujen etujen tai korkeamman riskin käsittelyn arviointi soveltuvissa tilanteissa
Mahdollisuuden tarjoaminen henkilöille käyttää sovellettavia tietosuojaoikeuksiaan, kuten pääsyä tietoihin, poistamista, vastustamista tai rajoittamista
Viralliset lähteet:
Asetus (EU) 2016/679 - yleinen tietosuoja-asetus Virallinen GDPR-teksti, joka on julkaistu EUR-Lexissä.
EDPB:n ohjeet 3/2018 GDPR:n alueellisesta soveltamisalasta Selittää, milloin GDPR voi soveltua organisaatioihin EU:n sisällä ja ulkopuolella.
EDPB:n ohjeet 05/2020 suostumuksesta asetuksen 2016/679 nojalla Tarjoaa ohjeistusta pätevästä suostumuksesta GDPR:n nojalla.
Euroopan komissio - Milloin tietosuojaa koskeva vaikutustenarviointi vaaditaan? Selittää, milloin DPIA voi olla tarpeen korkeamman riskin henkilötietojen käsittelyssä.
EDPS - Sähköisen viestinnän yksityinen käyttö työpaikalla Tarjoaa ohjeistusta työpaikkaviestintään, yksityisyysodotuksiin ja oikeasuhteiseen valvontaan liittyen.
OECD:n tietosuojaohjeet (Taloudellisen yhteistyön ja kehityksen järjestö)
OECD:n tietosuojaohjeet tarjoavat kansainvälisesti tunnustettuja periaatteita yksityisyydelle ja henkilötietojen suojalle. Ne eivät ole oikeudellisesti sitovia samalla tavalla kuin kansalliset tai alueelliset lait, mutta ne ovat vaikuttaneet tietosuojakehyksiin ja tietosuojapolitiikkoihin monissa maissa.
Ohjeissa korostetaan keskeisiä tietosuojaperiaatteita, kuten keruun rajoittamista, tietojen laatua, tarkoituksen määrittelyä, käytön rajoittamista, turvatoimia, avoimuutta, yksilön osallistumista ja vastuullisuutta. Nämä periaatteet tukevat vastuullista tietojen käsittelyä ja kannustavat organisaatioita keräämään ja käyttämään henkilötietoja vain selkeisiin, määriteltyihin ja asianmukaisiin tarkoituksiin.
Verkko- ja työntekijävalvontaa varten OECD:n tietosuojaohjeet eivät tarjoa yksityiskohtaisia valvontakohtaisia sääntöjä. Ne tarjoavat kuitenkin hyödyllisen tietosuojakehyksen sen arvioimiseksi, ovatko valvontakäytännöt läpinäkyviä, rajoitettuja oikeutettuun tarkoitukseen, suojattu asianmukaisilla suojatoimilla ja vastuullisia.
Vaikka OECD:n tietosuojaohjeita ei voida panna täytäntöön samalla tavalla kuin GDPR:ää, ne ovat edelleen tärkeä kansainvälinen viitekohta vastuulliselle ja tietosuojatietoiselle tietojenkäsittelylle.
Käytännössä nämä periaatteet voivat auttaa organisaatioita arvioimaan, tulisiko niiden:
Viestimään valvontakäytännöistä selkeästi
Rajoittaa tiedonkeruu siihen, mikä on tarpeen määriteltyä tarkoitusta varten
Suojaamaan valvotut tiedot luvattomalta pääsyltä
Antaa henkilöille asianmukaista tietoa siitä, miten heidän tietojaan käytetään
Arvioida valvontakäytäntöjä säännöllisesti oikeudenmukaisuuden, tarpeellisuuden ja oikeasuhteisuuden kannalta
Viralliset lähteet:
OECD:n ohjeet yksityisyyden suojasta ja henkilötietojen rajat ylittävistä siirroista OECD:n virallinen julkaisu, joka sisältää tietosuojaperiaatteet ja niihin liittyvän kehyksen.
OECD - Yksityisyys ja tietosuoja OECD:n yleiskatsaussivu, joka selittää tietosuojaohjeiden roolia maailmanlaajuisissa yksityisyyden ja tietosuojan kehyksissä.
Yhdysvallat
Yhdysvalloissa työpaikka- ja verkkovalvontaa sääntelee yhdistelmä liittovaltion lakeja, osavaltioiden tietosuojalakeja, sähköisen viestinnän sääntöjä, palkka- ja työaikavaatimuksia sekä toimialakohtaisia säädöksiä. Ei ole olemassa yhtä valtakunnallista työntekijöiden valvontaa koskevaa lakia, joka kattaisi kaikki tilanteet. Vaatimukset voivat vaihdella osavaltion, kerättyjen tietojen tyypin, sen mukaan siepataanko viestintää tai käytetäänkö siihen pääsyä, onko laite yrityksen omistama vai henkilökohtainen, ja miten valvontatietoja käytetään.
Kehys | Missä sitä sovelletaan | Valvonnan soveltamisala | Yleiset vaatimustenmukaisuutta koskevat näkökohdat | Miksi sillä voi olla merkitystä valvontaohjelmistolle |
|---|---|---|---|---|
CCPA / CPRA | Kalifornia; soveltamisalaan kuuluvat yritykset | Henkilötietojen kerääminen ja käyttö, mukaan lukien tietyt työntekijöiden, hakijoiden, urakoitsijoiden, laitteiden, verkkotoiminnan ja arkaluonteiset henkilötiedot | Ilmoitus keruun yhteydessä, tietosuojakäytäntöjen ilmoitukset, pääsy-/poisto-/korjausoikeudet, opt-out-oikeudet soveltuvissa tapauksissa, tiettyjen arkaluonteisten henkilötietojen käyttötapojen rajoitukset | Olennainen, kun valvonta kerää tunnisteita, laitetietoja, Internet- tai sovellustoimintaa, paikkatietoja, käyttäytymistietoja tai muita henkilötietoja Kalifornian asukkailta |
ECPA ja siihen liittyvät liittovaltion sähköisen viestinnän säännöt | Yhdysvaltain liittovaltion laki; myös osavaltioiden salakuuntelu- ja viestintälait voivat soveltua | Sähköisen viestinnän, kuten sähköpostin, chatin, puheluiden, viestien tai tietyn verkkoviestinnän, sieppaaminen tai siihen pääsy | Vältä luvatonta sieppaamista tai pääsyä; arvioi, voivatko suostumus, valtuutus, palveluntarjoajapoikkeukset tai liiketoimintatarkoitusta koskevat poikkeukset soveltua; tarkista osavaltiokohtaiset suostumus- ja salakuuntelusäännöt | Erittäin olennainen viestinnän valvonnassa, sähköpostin/chatin tarkastelussa, näytön sisällön kaappauksessa, näppäinpainallusten tallennuksessa ja työkaluissa, jotka voivat kaapata viestien sisältöä |
FLSA:han liittyvät palkka- ja työaikasäännöt | Yhdysvaltain liittovaltion laki; myös osavaltioiden palkkalait voivat soveltua | Valvonta-, läsnäolo-, toiminta- tai ajanseurantatietojen käyttö työaikaa, palkanlaskentaa, ylityötä tai tuottavuuspäätöksiä varten | Aika- ja toimintakirjausten tulee tukea tarkkoja palkkalaskelmia; vapautuksen ulkopuolisille työntekijöille on maksettava kaikista tehdyistä työtunneista; työnantajien tulee välttää tarkan työajan ilmoittamisen estämistä tai vähättelemistä | Olennainen, kun valvontatietoja käytetään työajan laskemiseen, läsnäolon varmistamiseen, ylityön tarkasteluun tai palkanlaskentaa ja palkkoihin liittyvien päätösten tukemiseen |
Osavaltiokohtaiset sähköisen valvonnan ja yksityisyydensuojan lait | Vaihtelee osavaltioittain; esimerkkejä ovat New York, Connecticut ja Delaware työntekijöiden valvontailmoituksia koskevissa säännöissä | Työntekijöiden viestinnän, Internetin käytön, tietokonejärjestelmien, työpaikan laitteiden tai muiden henkilötietojen sähköinen valvonta | Jotkin osavaltiot edellyttävät kirjallista tai sähköistä ilmoitusta, työntekijän kuittausta, työpaikalla julkaistavaa ilmoitusta tai erityistä käytäntöjen sanamuotoa; muut osavaltioiden tietosuojalait voivat lisätä velvoitteita arkaluonteisten tietojen, biometristen tietojen tai kuluttajaoikeuksien osalta | Useissa osavaltioissa toimivien työnantajien ei tulisi luottaa vain yhteen yleiseen Yhdysvaltain käytäntöön; ne voivat tarvita osavaltiokohtaisia ilmoituksia, suostumuslausekkeita, säilytyssääntöjä ja sisäisiä pääsynhallintatoimia |
Viralliset lähteet:
Kalifornian oikeusministeriö - California Consumer Privacy Act (CCPA) Kalifornian oikeusministeriön virallinen yleiskatsaus CCPA-oikeuksiin, vaadittuihin ilmoituksiin, opt-out-oikeuksiin, korjausoikeuksiin, poisto-oikeuksiin ja arkaluonteisia henkilötietoja koskeviin oikeuksiin.
California Privacy Protection Agency - Laki ja säädökset California Privacy Protection Agencyn virallinen sivu CCPA/CPRA-säädöksistä ja sääntöjen laatimisesta.
Yhdysvaltain laki - 18 U.S.C. Section 2511: langallisen, suullisen tai sähköisen viestinnän sieppaaminen ja paljastaminen kielletty Yhdysvaltain lain virallinen teksti, joka liittyy sähköisen viestinnän sieppaamiseen.
Yhdysvaltain oikeusministeriö - Electronic Communications Privacy Act of 1986 DOJ:n yleiskatsaus ECPA:han ja sen suhteeseen sähköiseen ja digitaaliseen viestintään.
Yhdysvaltain työministeriö - Field Assistance Bulletin No. 2020-5 DOL:n virallinen ohjeistus tehtyjen työtuntien seuraamisesta ja korvaamisesta, mukaan lukien etätyötilanteet.
New York Civil Rights Law Section 52-c - Sähköistä valvontaa harjoittavat työnantajat; ennakkoilmoitus vaaditaan New Yorkin virallinen laki, joka edellyttää ennakkoilmoitusta tietystä työntekijöiden sähköisestä valvonnasta.
Connecticut General Statutes Section 31-48d - Sähköisen valvonnan ilmoitus Connecticutin virallinen säädös, joka käsittelee ilmoitusvaatimuksia sähköistä valvontaa harjoittaville työnantajille.
Delaware Code Title 19 Section 705 - Ilmoitus puhelinlähetysten, sähköpostin ja Internetin käytön valvonnasta Delawaren virallinen laki, joka käsittelee ilmoitusvaatimuksia puhelimen, sähköpostin ja Internetin käytön valvonnassa.
Kanada
PIPEDA (Personal Information Protection and Electronic Documents Act)
PIPEDA koskee monia Kanadan yksityisen sektorin organisaatioita, jotka keräävät, käyttävät tai luovuttavat henkilötietoja kaupallisen toiminnan yhteydessä. Työntekijöiden henkilötietojen osalta PIPEDA koskee yleensä liittovaltion sääntelemiä työpaikkoja, kun taas joillakin provinsseilla on omat yksityisen sektorin tietosuojalakinsa.
PIPEDA voi kattaa verkko- tai työntekijävalvonnan kautta kerätyt henkilötiedot, mukaan lukien tunnisteet, laitetiedot, verkkotoiminnan, sovellusten käytön, viestintään liittyvät tiedot ja tuottavuuskirjaukset.
Organisaatioiden tulee määrittää valvonnalle selkeä tarkoitus, rajoittaa keruu siihen, mikä on tarpeellista, ja käsitellä henkilötietoja läpinäkyvästi.
Kun suostumusta vaaditaan, sen tulee olla merkityksellinen ja perustua selkeään tietoon siitä, mitä tietoja kerätään, miksi niitä kerätään, miten niitä käytetään ja kuka voi päästä niihin käsiksi.
Työntekijöille tulisi yleensä kertoa, mitä valvotaan, miksi valvontaa käytetään, miten tietoja käytetään ja kuinka kauan niitä voidaan säilyttää.
Valvonnan kautta kerätyt henkilötiedot tulee suojata asianmukaisilla turvatoimilla.
Provinssien tietosuojalait (Alberta PIPA, British Columbia PIPA, Quebec Law 25)
Albertalla, British Columbialla ja Quebecillä on yksityisen sektorin tietosuojalakeja, joita voidaan soveltaa niiden omissa provinsseissa.
Nämä lait noudattavat yleensä samankaltaisia tietosuojaperiaatteita, kuten kohtuullinen tarkoitus, rajoitettu keruu, läpinäkyvyys, pääsyoikeudet, säilytysrajat ja asianmukaiset suojatoimet.
Työntekijävalvonnan osalta vaatimukset voivat riippua provinssista, työpaikan tyypistä, valvonnan tarkoituksesta, tietojen arkaluonteisuudesta ja siitä, onko valvonta kohtuullista työsuhteen hallinnoimiseksi.
Työnantajien tulee ilmoittaa työntekijöille ennen henkilötietojen keräämistä valvontatyökaluilla, kun sitä vaaditaan.
Jotkin provinssit voivat edellyttää käytäntöjä tai ilmoituksia, joissa selitetään, mitä henkilötietoja kerätään, miksi niitä kerätään, kuinka kauan niitä säilytetään ja kuka voi päästä niihin käsiksi.
Useissa Kanadan provinsseissa toimivien organisaatioiden tulee tarkistaa sekä liittovaltion että provinssien vaatimukset ennen valvontaohjelmiston käyttöönottoa.
Viralliset lähteet:
Kanadan tietosuojavaltuutetun toimisto - PIPEDA Virallinen yleiskatsaus Kanadan liittovaltion yksityisen sektorin tietosuojalakiin.
Kanadan tietosuojavaltuutetun toimisto - Yksityisyys työpaikalla Ohjeistusta työpaikan yksityisyydestä, työntekijöiden henkilötiedoista ja työnantajan vastuista.
Kanadan tietosuojavaltuutetun toimisto - Ohjeet merkityksellisen suostumuksen hankkimiseen Ohjeistusta merkityksellisestä suostumuksesta Kanadan yksityisen sektorin tietosuojalain nojalla.
Albertan hallitus - Personal Information Protection Act Albertan hallituksen virallinen sivu Albertan yksityisen sektorin tietosuojalaista.
Albertan hallitus - Työntekijän henkilötiedot Ohjeistusta siitä, miten Alberta PIPA soveltuu työntekijöiden henkilötietoihin.
BC Laws - Personal Information Protection Act British Columbian Personal Information Protection Act -lain virallinen teksti.
Legis Quebec - Laki henkilötietojen suojasta yksityisellä sektorilla Quebecin yksityisen sektorin tietosuojalain virallinen teksti.
Yhdistynyt kuningaskunta
UK GDPR
Sovelletaan henkilötietojen käsittelyyn Yhdistyneessä kuningaskunnassa, mukaan lukien työntekijöiden ja verkkotoiminnan valvonta.
Edellyttää selkeää oikeusperustetta valvonnalle, kuten oikeutettuja etuja, lakisääteistä velvoitetta, sopimuksen tarpeellisuutta tai suostumusta, kun se on asianmukaista.
Valvonnan tulee olla tarpeellista, oikeasuhteista, läpinäkyvää eikä liian tungettelevaa.
Työnantajien tulee tehdä riskinarviointi ja heidän on mahdollisesti laadittava tietosuojaa koskeva vaikutustenarviointi (DPIA), kun valvonta todennäköisesti aiheuttaa suuren riskin henkilöille, kuten jatkuva seuranta, näppäinpainallusten tallennus tai muu tungetteleva valvonta.
Henkilöstön tulee yleensä tietää, mitä valvotaan, miksi sitä valvotaan, mitä tietoja kerätään, miten niitä käytetään, kuka voi päästä niihin käsiksi ja kuinka kauan niitä säilytetään.
Data Protection Act 2018
Täydentää UK GDPR:ää ja tarjoaa lisäsääntöjä, ehtoja ja poikkeuksia henkilötietojen käsittelyyn.
Sisältää säännöksiä, jotka liittyvät erityisiin tietoryhmiin, rikostuomioihin ja rikoksiin liittyviin tietoihin, työsuhteeseen liittyvään käsittelyyn ja lainvalvontaviranomaisten suorittamaan käsittelyyn.
Vahvistaa periaatteita, kuten tietojen minimointi, käyttötarkoituksen rajoittaminen, turvallisuus, vastuullisuus ja yksilön oikeudet.
Henkilöillä on yleensä oikeus päästä henkilötietoihinsa ja joissakin tapauksissa vastustaa tiettyjä käsittelytyyppejä.
RIPA ja siihen liittyvät sieppaussäännöt
Regulation of Investigatory Powers Act 2000 ja siihen liittyvät Yhdistyneen kuningaskunnan sieppaussäännöt sääntelevät tietynlaista viestinnän sieppaamista ja siihen pääsyä.
Viestinnän sieppaaminen voi olla rajoitettua, ellei siihen ole laillista toimivaltaa, suostumusta tai muuta sovellettavaa oikeusperustetta tai poikkeusta.
Työpaikkavalvonnassa viestinnän valvonta tulee arvioida huolellisesti, erityisesti silloin, kun se voi koskea sähköpostia, chatia, puheluita, viestejä tai muuta viestinnän sisältöä.
Salainen tai ilmoittamaton valvonta on erittäin arkaluonteista, voi olla monissa tapauksissa lainvastaista, ja sitä tulisi harkita vain poikkeuksellisissa olosuhteissa selkeällä perustelulla ja asianmukaisella oikeudellisella tarkastelulla.
ICO:n ohjeistus työsuhdekäytännöistä
Yhdistyneen kuningaskunnan Information Commissioner's Office tarjoaa ohjeistusta työntekijöiden valvonnasta ja työntekijöiden henkilötietojen käsittelystä.
ICO korostaa, että valvonnan tulee olla kohdennettua, oikeasuhteista, selkeällä tarkoituksella perusteltua eikä liiallista.
Työnantajien tulee ottaa huomioon vaikutukset työntekijöihin ennen valvontatyökalujen käyttöönottoa, erityisesti kun valvonta on tungettelevaa tai jatkuvaa.
Työnantajien tulee laatia selkeät kirjalliset käytännöt, joissa selitetään, mitä valvotaan, miksi sitä valvotaan, miten tietoja käytetään, kuka voi päästä niihin käsiksi ja kuinka kauan niitä säilytetään.
Ohjeistus korostaa läpinäkyvyyttä, vastuullisuutta, kuulemista soveltuvissa tapauksissa ja työntekijöiden kohtuullisten yksityisyysodotusten kunnioittamista.
Viralliset lähteet:
ICO - Työsuhdekäytännöt ja tietosuoja: työntekijöiden valvonta ICO:n virallinen ohjekeskus työsuhdekäytännöistä, mukaan lukien työntekijöiden valvonta ja siihen liittyvät tietosuojavelvoitteet.
ICO - Opas oikeusperusteeseen ICO:n ohjeistus henkilötietojen käsittelyn oikeusperusteista UK GDPR:n nojalla.
ICO - Milloin meidän on tehtävä DPIA? ICO:n ohjeistus, joka selittää, milloin tietosuojaa koskeva vaikutustenarviointi voi olla tarpeen.
legislation.gov.uk - Data Protection Act 2018 Data Protection Act 2018 -lain virallinen teksti.
legislation.gov.uk - Regulation of Investigatory Powers Act 2000 Regulation of Investigatory Powers Act 2000 -lain virallinen teksti.
GOV.UK - Viestinnän sieppaaminen: käytännesäännöt Yhdistyneen kuningaskunnan hallituksen käytännesäännöt viestinnän sieppaamiseen liittyen.
Australia ja Uusi-Seelanti
Privacy Act 1988 (Australia)
Privacy Act 1988 määrittää yleisen kehyksen sille, miten australialaiset organisaatiot käsittelevät henkilötietoja, mukaan lukien tietyt tiedot, joita voidaan kerätä verkkovalvonnan tai työpaikkaan liittyvien järjestelmien kautta.
Se edellyttää soveltamisalaan kuuluvilta organisaatioilta, että ne keräävät vain kohtuullisesti tarpeellisia tietoja, ovat läpinäkyviä siitä, miten henkilötietoja käytetään, ja pitävät ne suojattuina.
Laki ei sisällä yksityiskohtaisia työpaikkavalvontaa koskevia sääntöjä, ja yksityisen sektorin työnantajien käsittelemät työntekijärekisterit voivat tietyissä olosuhteissa olla vapautettuja Australian Privacy Principles -periaatteista. Henkilötietoja koskeva valvonta voi kuitenkin joissakin tilanteissa edelleen kuulua Privacy Act -lain piiriin, kuten silloin, kun työntekijärekistereitä koskeva poikkeus ei sovellu, kun palveluntarjoajat käsittelevät työntekijätietoja tai kun muut tietosuojavelvoitteet aktivoituvat.
Käytännössä valvontatyökaluja käyttävien työnantajien ja palveluntarjoajien tulee määritellä selkeät liiketoimintatarkoitukset, välttää liiallista seurantaa, selittää käytäntönsä tietosuojakäytännöissä ja sisäisessä dokumentaatiossa sekä ottaa huomioon asiaankuuluvat osavaltioiden tai territorioiden työpaikkavalvontaa koskevat lait.
Workplace Surveillance Acts (osavaltiotaso, Australia)
Jotkin Australian osavaltiot ja territoriot sääntelevät työpaikkavalvontaa suoremmin työpaikkavalvontaa koskevilla laeilla, kuten Workplace Surveillance Act 2005 (NSW) ja Workplace Privacy Act 2011 (ACT).
Nämä lait voivat määrittää, milloin ja miten työnantajat voivat käyttää kamera-, tietokone- ja seurantavalvontaa, ja ne edellyttävät usein etukäteistä kirjallista ilmoitusta, selkeitä käytäntöjä ja erityisiä ehtoja ennen valvonnan aloittamista.
Piilotettu tai salainen valvonta on erittäin rajoitettua ja voi edellyttää erityistä toimivaltaa tai oikeudellista hyväksyntää. Sitä ei tule pitää rutiininomaisena menetelmänä suorituskyvyn seurantaan.
Verkkovalvontatyökalujen osalta tämä tarkoittaa, että kyseisissä osavaltioissa ja territorioissa toimivien työnantajien tulee antaa selkeä ja oikea-aikainen ilmoitus, kun sitä vaaditaan, ja varmistaa, että kaikki tietokone-, Internet-, sähköposti- tai seurantavalvonta noudattaa sovellettavia lakisääteisiä ehtoja.
Privacy Act 2020 (Uusi-Seelanti)
Uuden-Seelannin Privacy Act 2020 tarjoaa maan tietosuojakehyksen ja koskee virastojen käsittelemiä henkilötietoja, mukaan lukien työpaikka- tai verkkovalvonnan kautta kerätyt tiedot.
Laki edellyttää, että organisaatiot keräävät tietoja vain laillisiin ja tarpeellisiin tarkoituksiin, ovat avoimia käytännöistään ja antavat henkilöille pääsyn heidän henkilötietoihinsa soveltuvissa tapauksissa.
Valvontaviranomaisten ohjeistus korostaa, että työntekijöiden valvonta, tallentaminen tai kuvaaminen on tehtävä Privacy Act -lain ja tietosuojaperiaatteiden mukaisesti. Työnantajien tulee myös ottaa huomioon, miten valvonta voi vaikuttaa työntekijöiden luottamukseen, työilmapiiriin ja työpaikan suhteisiin.
Työnantajia kannustetaan kuulemaan henkilöstöä, selittämään, miksi valvontaa tarvitaan, käyttämään selkeitä työpaikkakäytäntöjä ja ottamaan huomioon jatkuvan tai yksityiskohtaisen seurannan vaikutukset.
Viralliset lähteet:
OAIC - Privacy Act Virallinen yleiskatsaus Australian Privacy Act 1988 -lakiin ja Australian Privacy Principles -periaatteisiin.
OAIC - Työntekijärekistereitä koskeva poikkeus Selittää, milloin yksityisen sektorin työnantajien työntekijärekisterien käsittely voi olla vapautettu Australian Privacy Principles -periaatteista.
OAIC - Työpaikan valvonta ja tarkkailu Ohjeistus, joka selittää, että työpaikkavalvonta voi koskea osavaltioiden, territorioiden ja muita asiaankuuluvia Australian lakeja.
ACT Legislation - Workplace Privacy Act 2011 ACT:n virallinen lainsäädäntösivu Workplace Privacy Act 2011 -laista.
Uuden-Seelannin lainsäädäntö - Privacy Act 2020 Uuden-Seelannin Privacy Act 2020 -lain virallinen teksti.
Uuden-Seelannin tietosuojavaltuutettu - Privacy Act 2020 Virallinen yleiskatsaus Uuden-Seelannin tietosuojaperiaatteisiin.
Employment New Zealand - Työntekijän yksityisyys Ohjeistusta työntekijöiden yksityisyydestä, työpaikkavalvonnasta, työntekijöiden tallentamisesta ja kuvaamisesta.
Aasian ja Tyynenmeren alue
PDPA (Personal Data Protection Act) - Singapore
Kattaa organisaatioiden keräämät, käyttämät tai luovuttamat henkilötiedot, mukaan lukien tiedot, joita voidaan kerätä työntekijä- tai verkkovalvonnan kautta.
Edellyttää, että organisaatiot keräävät, käyttävät tai luovuttavat henkilötietoja asianmukaisiin tarkoituksiin ja suostumuksella, oletetulla suostumuksella tai muulla sovellettavalla poikkeuksella, kun se on sallittua.
Vahva painotus läpinäkyvyyteen, asianmukaiseen ilmoittamiseen, käyttötarkoituksen rajoittamiseen ja tietosuojatoimiin.
Organisaatioiden tulee informoida henkilöitä tarkoituksista, joita varten heidän henkilötietojaan kerätään, käytetään tai luovutetaan.
Säilyttämisen tulee rajoittua siihen, mikä on tarpeen oikeudellisia tai liiketoiminnallisia tarkoituksia varten.
PDPA - Malesia
Sovelletaan henkilötietoihin, joita käsitellään kaupallisissa liiketoimissa, mukaan lukien työsuhteeseen liittyvät yhteydet, joissa henkilötietoja kerätään tai käytetään.
Edellyttää, että organisaatiot noudattavat keskeisiä henkilötietojen suojaa koskevia periaatteita, mukaan lukien yleiset periaatteet, ilmoitus ja valinta, luovutus, turvallisuus, säilyttäminen, tietojen eheys ja pääsy tietoihin.
Organisaatioiden tulee antaa selkeä ilmoitus henkilötietojen keräämisen tarkoituksesta ja siitä, miten tietoja käytetään.
Tietoja on käsiteltävä tiettyä ja ilmoitettua tarkoitusta varten, suojattava asianmukaisilla turvatoimilla eikä säilytettävä pidempään kuin on tarpeen.
Sisältää sääntöjä säilyttämisestä, tietoturvasta, pääsyoikeuksista, oikaisuoikeuksista ja kolmansien osapuolten suorittamasta käsittelystä.
APPI (Act on the Protection of Personal Information) - Japani
Sääntelee henkilötietojen käsittelyä yrityksissä ja muissa soveltamisalaan kuuluvissa yhteisöissä, mukaan lukien asiakkaiden ja työntekijöiden henkilötiedot.
Edellyttää, että organisaatiot määrittelevät käyttötarkoituksen ja käsittelevät henkilötietoja tämän ilmoitetun tarkoituksen puitteissa.
Korostaa tietoturvaa, tarkkuutta, säilyttämisen hallintaa ja henkilötietoja käsittelevien työntekijöiden ja palveluntarjoajien asianmukaista valvontaa.
Henkilötietoja sisältävien valvontakäytäntöjen tulee olla sisäisten käytäntöjen ja ilmoitetun käyttötarkoituksen mukaisia.
Henkilöillä voi olla oikeuksia tietojen luovuttamiseen, oikaisuun, käytön keskeyttämiseen tai poistamiseen kontekstista riippuen.
PIPL (Personal Information Protection Law) - Kiina
Kattava henkilötietojen suojalaki, joka koskee henkilötietojen käsittelyä Kiinassa sekä tiettyjä Kiinan ulkopuolisia käsittelytoimia, jotka liittyvät Kiinassa oleviin henkilöihin.
Edellyttää selkeää ja kohtuullista tarkoitusta, tietojen minimointia, läpinäkyvyyttä ja asianmukaisia turvatoimia.
Suostumus voi olla monissa tapauksissa tarpeen, kun taas muut lailliset käsittelyperusteet voivat soveltua kontekstista riippuen.
Erillinen suostumus voi olla tarpeen arkaluonteisille henkilötiedoille, tietyille luovutuksille, rajat ylittäville siirroille tai muille korkeamman riskin käsittelytoimille.
Antaa henkilöille oikeuksia, kuten pääsy tietoihin, oikaisu, poistaminen, suostumuksen peruuttaminen ja käsittelysääntöjen selittäminen.
Viralliset lähteet:
Singapore PDPC - Personal Data Protection Act Virallinen yleiskatsaus Singaporen Personal Data Protection Act -lakiin.
Singapore PDPC - Tietosuojavelvoitteet PDPC:n virallinen sivu, joka selittää keskeisiä velvoitteita, kuten suostumuksen, ilmoittamisen, käyttötarkoituksen rajoittamisen, suojan ja säilyttämisen.
Singapore PDPC - Neuvoa-antavat ohjeet PDPA:n keskeisistä käsitteistä Virallinen ohjeistus, joka selittää PDPA:n keskeisiä käsitteitä, mukaan lukien suostumus ja poikkeukset.
Malesian henkilötietojen suojaosasto - Personal Data Protection Act 2010 Malesian hallituksen virallinen sivu Personal Data Protection Act 2010 -laista.
Malesian henkilötietojen suojaosasto - Henkilötietojen suojan periaatteet Virallinen yleiskatsaus Malesian seitsemään henkilötietojen suojan periaatteeseen.
Malesian henkilötietojen suojaosasto - Ohjeistus henkilötietojen suojaa koskevien ilmoitusten laatimiseen Virallinen ohjeistus henkilötietojen suojaa koskevien ilmoitusten laatimisesta.
Japanin henkilötietojen suojakomissio - Act on the Protection of Personal Information Japanin Act on the Protection of Personal Information -lain virallinen englanninkielinen käännös.
Japanin henkilötietojen suojakomissio Japanin tietosuojaviranomaisen virallinen verkkosivusto.
Kiinan kansallinen lakien ja säädösten tietokanta - Personal Information Protection Law Kiinan Personal Information Protection Law -lain virallinen kiinankielinen teksti.
Kiinan kyberavaruushallinto - Personal Information Protection Law CAC:n virallinen julkaisu Kiinan Personal Information Protection Law -laista.
Latinalainen Amerikka
LGPD (Lei Geral de Protecao de Dados) - Brasilia
Brasilian LGPD säätelee henkilötietojen käsittelyä, mukaan lukien digitaalisesti käsiteltävät tiedot. Sitä voidaan soveltaa verkko- tai työpaikkavalvonnan kautta kerättyihin tietoihin, kun tiedot liittyvät tunnistettuun tai tunnistettavissa olevaan henkilöön.
Organisaatioiden tulee tunnistaa asianmukainen oikeusperuste valvonnalle ja selittää tiedonkeruun tarkoitus. Valvonnan tulee rajoittua siihen, mikä on tarpeellista, se tulee toteuttaa läpinäkyvästi ja sitä tulee tukea asianmukaisilla turvatoimilla.
Henkilöillä on oikeuksia, joihin voi kuulua pääsy tietoihin, oikaisu, poistaminen, siirrettävyys, tieto tietojen jakamisesta ja suostumuksen peruuttaminen soveltuvissa tapauksissa.
Kansalliset tietosuojalait Argentiinassa, Meksikossa ja Chilessä
Argentiinalla, Meksikolla ja Chilellä on kansalliset tietosuojakehykset, joita voidaan soveltaa valvontatyökaluilla kerättyihin henkilötietoihin kontekstista ja kyseisten tietojen tyypistä riippuen.
Alueen yhteisiin tietosuojaodotuksiin kuuluvat selkeä ja asianmukainen tarkoitus, henkilöiden informointi tiedonkeruusta, tietojen käytön rajoittaminen siihen, mikä on tarpeellista, ja henkilötietojen suojaaminen asianmukaisilla suojatoimilla.
Henkilöillä voi olla oikeuksia päästä henkilötietoihinsa, korjata, päivittää tai poistaa niitä tai vastustaa tiettyjä henkilötietojensa käyttötapoja sovellettavasta laista riippuen.
Koska erityisvaatimukset eroavat maittain ja voivat muuttua ajan myötä, organisaatioiden tulee tarkistaa ajantasaiset paikalliset säännöt ennen verkko- tai työpaikkavalvonnan käyttöönottoa näillä markkinoilla.
Viralliset lähteet:
Brasilia - laki nro 13.709/2018, yleinen henkilötietojen suojalaki (LGPD) Brasilian LGPD:n virallinen konsolidoitu teksti.
Argentiina - Agencia de Acceso a la Informacion Publica: henkilötietojen suoja Argentiinan viranomaisen virallinen sivu henkilötietojen suojasta.
Chile - laki nro 19.628 yksityiselämän suojasta Chilen henkilötietojen suojalain virallinen teksti.
Chile - laki nro 21.719, henkilötietojen suoja ja käsittely Chilen uudistetun tietosuojakehyksen virallinen teksti.
Lähi-idän alue
UAE Data Protection Law (liittovaltion asetuslaki nro 45 vuodelta 2021)
Arabiemiirikuntien liittovaltion henkilötietojen suojalaki tarjoaa yleisen kehyksen henkilötietojen käsittelylle. Sitä voidaan soveltaa organisaatioihin, jotka käsittelevät henkilötietoja Arabiemiirikunnissa tai Arabiemiirikunnissa olevien henkilöiden henkilötietoja, riippuen lain soveltamisalasta ja mahdollisista sovellettavista toimiala- tai vapaavyöhykekohtaisista säännöistä.
Valvonnan osalta organisaatioiden tulee määritellä selkeä ja laillinen tarkoitus, rajoittaa tiedonkeruu siihen, mikä on tarpeellista, ja painottaa vahvasti läpinäkyvyyttä ja turvallisuutta.
Organisaatioiden tulee informoida henkilöstöä valvonnasta, kun sitä vaaditaan, dokumentoida syynsä henkilötietojen keräämiseen ja ottaa käyttöön sisäiset käytännöt ja suojatoimet valvottujen tietojen käsittelyä varten.
Qatar Data Privacy Protection Law
Qatarin henkilötietojen yksityisyydensuojaa koskeva laki kattaa henkilötiedot, joita käsitellään sähköisesti tai jotka on tarkoitettu sähköiseen käsittelyyn.
Se tunnustaa yksilön oikeuden tietosuojaan ja edellyttää, että henkilötietojen käsittely noudattaa periaatteita, kuten läpinäkyvyys, oikeudenmukaisuus ja yksityisyyden kunnioittaminen.
Valvontajärjestelmien osalta organisaatioilla tulee olla selkeä ja laillinen tarkoitus, niiden tulee informoida henkilöitä, kun sitä vaaditaan, ja suojata henkilötiedot asianmukaisilla turvatoimilla.
Organisaatioiden tulee myös kunnioittaa sovellettavia oikeuksia, mukaan lukien pääsy- ja oikaisuoikeudet, kun ne ovat saatavilla.
Saudi Personal Data Protection Law (PDPL)
Saudi-Arabian PDPL säätelee henkilötietojen käsittelyä kuningaskunnassa ja voi myös soveltua tiettyihin käsittelytoimiin kuningaskunnan ulkopuolella, kun ne liittyvät Saudi-Arabiassa olevien henkilöiden henkilötietoihin.
Valvonnan osalta organisaatioiden tulee määritellä selkeät tarkoitukset, ottaa käyttöön tietosuojakäytännöt ja informoida henkilöitä siitä, miten heidän henkilötietojaan kerätään ja käytetään.
Suostumus voi olla tarpeen monissa tapauksissa, kun taas muut lailliset perusteet voivat soveltua kontekstista riippuen.
Valvontatyökaluja käyttävien työnantajien tulee suojata valvottuja tietoja, rajoittaa sisäistä pääsyä, välttää tarpeetonta keruuta ja käsitellä työntekijätietoja PDPL:n läpinäkyvyys-, turvallisuus- ja säilytysvaatimusten mukaisesti.
Viralliset lähteet:
Arabiemiirikuntien lainsäädäntö - liittovaltion asetuslaki nro 45 vuodelta 2021 henkilötietojen suojasta Arabiemiirikuntien liittovaltion henkilötietojen suojalain virallinen teksti.
Qatar Al Meezan - laki nro 13 vuodelta 2016 henkilötietojen yksityisyyden suojaamisesta Qatarin henkilötietojen yksityisyyden suojaa koskevan lain virallinen englanninkielinen PDF-teksti.
SDAIA - tietosuojalaki Saudi-Arabian Data & AI Authorityn virallinen sivu Saudi-Arabian henkilötietojen suojalaista.
SDAIA - Personal Data Protection Law Saudi-Arabian henkilötietojen suojalain virallinen englanninkielinen versio.
Lopulliset näkökohdat vastuullista valvontaa varten
Verkko- ja työntekijävalvontaa koskevat lait vaihtelevat merkittävästi maiden, osavaltioiden, toimialojen ja työpaikkaympäristöjen välillä. Sama valvontatyökalu voi olla hyväksyttävä yhdessä kontekstissa ja sopimaton tai lainvastainen toisessa riippuen siitä, miten se on määritetty, mitä tietoja kerätään, informoidaanko käyttäjiä ja miten tietoja käytetään.
Vastuullisen valvontaohjelman tulisi yleensä sisältää:
Selkeä ja oikeutettu tarkoitus valvonnalle
Kirjalliset sisäiset käytännöt, joissa selitetään, mitä valvotaan ja miksi
Ilmoitus käyttäjälle tai työntekijälle, kun sitä vaaditaan
Rajoitettu ja oikeasuhteinen tiedonkeruu
Vahvat pääsynhallintatoimet ja turvatoimet
Määritellyt säilytysajat kerätyille tiedoille
Valvontakäytäntöjen säännöllinen arviointi
Oikeudellinen arviointi korkean riskin, arkaluonteisille, salaisille tai rajat ylittäville valvontaskenaarioille
Spyrix tarjoaa valvontaohjelmistoa valtuutettuun käyttöön. Jokainen organisaatio on kuitenkin vastuussa siitä, että sen tietty valvontatyökalujen käyttö noudattaa sovellettavia lakeja, sisäisiä käytäntöjä ja ilmoitusvaatimuksia. Epäselvissä tilanteissa organisaatioiden tulee konsultoida pätevää oikeudellista neuvonantajaa ennen valvontaohjelmiston käyttöönottoa tai tungettelevampien valvontaominaisuuksien ottamista käyttöön.