Spyrix logo

Ohjelmisto

Puhelin Tracker

Mac

Ostaa

Lataa

Liiketoimintaa

Tukea

Yritys

Spyrix logo

Ohjelmisto

Puhelin Tracker

Puhelin Tracker

Vanhempien valvonta

Vanhempien valvonta

Mac

Hinnat

Rekisteröidy

Minun tilini

Verkkovalvontaa koskevat lait

Spyrix-tiimi kokoaa yhteen tärkeimmät säädökset ja asiakirjat, joissa esitetään, miten työnantajat voivat laillisesti valvoa työntekijöidensä verkkotoimintaa. Se tarjoaa myös ohjeita siitä, miten valvontatyökaluja voidaan käyttää henkilökohtaisiin tarkoituksiin.

Globaalit kansainväliset säädökset

GDPR (Euroopan unionin yleinen tietosuoja-asetus)

GDPR on Euroopan unionin keskeinen tietosuoja-asetus, ja sitä sovelletaan kaikkiin organisaatioihin, jotka käsittelevät yksilöiden henkilötietoja EU:ssa, riippumatta siitä, missä organisaatio toimii. Verkkotoiminnan seuranta, työntekijöiden seuranta ja kaikenlainen digitaalinen seuranta kuuluvat sen soveltamisalaan aina, kun ne sisältävät henkilötietoja.

GDPR:n mukaan valvonta on yleensä laillista vain, jos siihen on pätevä oikeusperuste, kuten oikeutettu etu, sopimuksen täyttäminen tai nimenomaisen suostumuksen saaminen. Ennen valvontatyökalujen käyttöönottoa organisaatioiden tulisi varmistaa, että valvonta on välttämätöntä, oikeasuhteista eikä se kohtuuttomasti puutu yksilöiden yksityisyyteen.

GDPR edellyttää yrityksiltä oikeutetun edun arvioinnin (LIA) tai, jos valvonta todennäköisesti aiheuttaa suurempia riskejä, tietosuojaa koskevan vaikutustenarvioinnin (DPIA). Nämä arvioinnit auttavat määrittämään valvonnan oikeutuksen ja tunnistamaan tapoja vähentää tiedonkeruuseen liittyviä riskejä.

Läpinäkyvyys on olennaista. Yksilöille on tiedotettava selkeästi etukäteen valvonnan tyypistä, tarkoituksesta, kerätyistä tiedoista, oikeusperustasta, kenellä on pääsy tietoihin ja kuinka kauan tietoja säilytetään. Salainen tai peitelty valvonta on yleensä rajoitettua ja sallittua vain hyvin rajoitetuissa, kansallisessa lainsäädännössä määritellyissä olosuhteissa.

GDPR korostaa myös tiedon minimointia, mikä edellyttää organisaatioilta vain sen, mikä on tarpeen määriteltyyn tarkoitukseen. Jatkuva tai liian tunkeileva valvonta ilman selkeää perustetta voi rikkoa GDPR:n periaatteita.

Verkkoseurantatyökalujen osalta olennaisimpia GDPR-velvoitteita ovat:

  • Selkeän ilmoituksen antaminen valvonnasta

  • Vain välttämättömien tietojen kerääminen

  • Käyttämällä asianmukaisia ​​teknisiä ja organisatorisia turvatoimenpiteitä

  • Käsittelyn laillisen perusteen tunnistaminen ja dokumentointi

  • Yksilöiden oikeuksien käyttämisen mahdollistaminen (pääsy tietoihin, tietojen poistaminen, vastustaminen jne.)

OECD:n tietosuojaohjeet (Taloudellisen yhteistyön ja kehityksen järjestö)

OECD:n tietosuojaohjeet tarjoavat kansainvälisesti tunnustetut periaatteet tietosuojalle ja yksityisyyden suojalle. Vaikka ne eivät ole oikeudellisesti sitovia, ne vaikuttavat kansallisiin tietosuojalakeihin maailmanlaajuisesti ja toimivat viitekehyksenä vastuulliselle tietojenkäsittelylle.

Ohjeet korostavat oikeudenmukaisuutta, läpinäkyvyyttä, käyttötarkoituksen rajoittamista, tietojen laatua, tietoturvatoimia, avoimuutta ja vastuullisuutta. Nämä periaatteet kannustavat organisaatioita keräämään henkilötietoja vain selkeisiin ja laillisiin tarkoituksiin ja varmistamaan, että yksilöt ymmärtävät, miten heidän tietojaan käytetään.

OECD:n ohjeet tukevat verkko- ja työntekijöiden valvonnan osalta läpinäkyviä, oikeasuhteisia ja yksityisyyttä kunnioittavia käytäntöjä. Vaikka ne eivät sisälläkään yksityiskohtaisia ​​sääntöjä erityisesti valvonnasta, ne edistävät vastuullista tiedonhallintaa ja ohjaavat kansallista lainsäädäntöä, joka sääntelee valvontaa suoraan.

Käytännössä ohjeet kannustavat organisaatioita:

  • Tiedota valvontakäytännöistä selkeästi

  • Rajoita tiedonkeruu vain välttämättömään

  • Suojaa valvotut tiedot luvattomalta käytöltä

  • Tarkista säännöllisesti valvontakäytäntöjen oikeudenmukaisuus ja tarpeellisuus

Vaikka OECD:n tietosuojaohjeet eivät olekaan täytäntöönpanokelpoisia kuten GDPR, ne auttavat muokkaamaan maailmanlaajuisia standardeja ja parhaita käytäntöjä laillista ja eettistä valvontaa varten.

Yhdysvallat

Toimia

Missä se soveltuu

Seurannan laajuus

Keskeiset vaatimukset

Huomautuksia Spyrix-käyttäjille

CCPA

Kalifornia

Henkilötietoja keräävä seuranta

Tietosuojailmoitus, oikeus tarkastella/poistaa tietoja, kieltäytyä tietojen jakamisesta

Sovelletaan, jos valvonta kerää tunnisteita, toimintalokeja tai käyttötietoja

CPRA

Kalifornia

Monitoring involving "sensitive" data or detailed profiling

Käyttötarkoituksen rajoittaminen, tietojen minimointi, tiukemmat säännöt arkaluonteisille tiedoille

Tärkeää, kun työkalut kirjaavat maantieteellistä sijaintia, käyttäytymismalleja tai yksityiskohtaista digitaalista toimintaa

ECPA

Liittovaltion (Yhdysvallat)

Sähköisen viestinnän (sähköposti, chat, näppäinpainallukset) sieppaus tai käyttö

Sisällön sieppaamisen rajoitukset; työnantajien poikkeukset vaativat usein ilmoituksen

Erittäin olennaista näppäinpainallusten tallentamiseen, sähköpostien seurantaan ja näytön sisällön kaappaamiseen

FLSA:han liittyvät ohjeet

Liittovaltion (Yhdysvallat)

Työtuntien tai tuottavuuden seurantaan käytetty valvonta

Työajanseurannan on tuettava tarkkaa palkkaa; ei palkatonta toimintaa kellonajan ulkopuolella

Ei yksityisyydensuojalaki, mutta vaikuttaa siihen, miten seurantatietoja käytetään palkkapäätöksissä

Osavaltiokohtaiset valvontalait

Vaihtelee osavaltioittain (NY, CT, DE, CO, VA, UT jne.)

Työntekijöiden ja työpaikkajärjestelmien sähköinen valvonta

Usein vaaditaan kirjallinen ilmoitus tai nimenomainen vahvistus

Usean osavaltion työnantajat hyötyvät yhtenäisestä valvontakäytännöstä + osavaltiokohtaisista lisäyksistä

Kanada

PIPEDA (henkilötietojen suojaa ja sähköisiä asiakirjoja koskeva laki)

  • Koskee yksityisen sektorin organisaatioita kaikkialla Kanadassa (paitsi jos maakunnan lait korvaavat sen).

  • Kattaa kaiken henkilötietojen keräämisen, käytön tai luovuttamisen, mukaan lukien verkko- ja työntekijöiden seurannan.

  • Edellyttää organisaatioita määrittämään selkeän tarkoituksen seurannalle ja hankkimaan tarvittaessa merkityksellisen suostumuksen.

  • Valvonnan on oltava kohtuullista, rajoituttava välttämättömään ja sitä on harjoitettava läpinäkyvästi.

  • Työntekijöille tulee kertoa, mitä seurataan, miksi sitä seurataan ja miten tietoja käytetään.

  • Henkilötiedot on suojattava asianmukaisilla turvatoimilla.

Provinssien yksityisyydensuojalait (Alberta PIPA, British Columbia PIPA, Quebec Law 25)

  • Hae yksityisen sektorin organisaatioihin omissa maakunnissaan.

  • Yleensä heijastelee PIPEDA-periaatteita, mutta niillä voi olla tiukemmat säännöt suostumuksen, tietojen säilyttämisen ja työntekijöiden yksityisyyden suhteen.

  • Valvonnan on oltava kohtuullista liiketoiminnan tarkoituksiin ja linjassa selkeiden, tiedotettujen käytäntöjen kanssa.

  • Työnantajien on ilmoitettava työntekijöille ennen kuin he keräävät henkilötietoja valvontatyökalujen avulla.

  • Jotkut provinssit vaativat käytäntöjä, jotka selittävät kerättyjen tietojen tyypin, säilytysajan ja kenellä on pääsy tietoihin.

  • Organisaatioiden on annettava työntekijöille pääsy henkilötietoihinsa pyynnöstä.

Yhdistynyt kuningaskunta

Yhdistyneen kuningaskunnan GDPR

  • Koskee henkilötietojen käsittelyä Isossa-Britanniassa, mukaan lukien työntekijöiden ja verkkotoiminnan seuranta.

  • Requires a clear lawful basis for monitoring (often "legitimate interests" or contract).

  • Valvonnan on oltava tarpeellista, oikeasuhtaista eikä kohtuuttoman tunkeilevaa.

  • Työnantajien tulisi tehdä riskinarviointi tai tietosuojavaikutusten arviointi (DPIA) korkeamman riskin seurannan (esim. jatkuva seuranta, näppäinpainallusten tallentaminen) osalta.

  • Vahva keskittyminen läpinäkyvyyteen: henkilöstön tulisi tietää, mitä seurataan, miksi ja miten tietoja käytetään ja tallennetaan.

Tietosuojalaki 2018

  • Täydentää Yhdistyneen kuningaskunnan GDPR:ää ja tarjoaa lisäsääntöjä ja poikkeuksia.

  • Antaa erityisiä säännöksiä työsuhteen yhteydessä ja lainvalvontaviranomaisten pääsystä tietoihin.

  • Vahvistaa tietojen minimoinnin, käyttötarkoituksen rajoittamisen ja tietojen seurannan turvallisuuden periaatteita.

  • Antaa yksilöille oikeuden tutustua henkilötietoihinsa ja joissakin tapauksissa vastustaa tietynlaista valvontaa.

RIPA (tutkintavaltuuksien sääntelylaki)

  • Säätelee viestinnän sieppausta sekä valvonnan ja salaisen valvonnan käyttöä.

  • Yleisesti rajoittaa viestinnän sieppaamista ilman suostumusta tai asianmukaista valtuutusta.

  • Työntekijöiden peitelty valvonta (heidän tietämättään) on sallittua vain hyvin rajoitetuissa olosuhteissa, kuten vakavien väärinkäytösten tutkinnassa ja kun se on oikeasuhtaista.

ICO:n työsuhdekäytäntösäännöstö (ja siihen liittyvät ohjeet)

  • Yhdistyneen kuningaskunnan tietosuojavaltuutetun toimiston ei-sitovat ohjeet työpaikan valvonnasta.

  • Korostaa, että valvonnan tulisi olla kohdennettua, ei liiallista, ja sen tulisi olla perusteltua selkeällä liiketoimintatarpeella.

  • Suosittelee vaikutustenarviointien tekemistä ennen uusien seurantavälineiden käyttöönottoa.

  • Neuvoo työnantajia laatimaan selkeät kirjalliset käytännöt, joissa selitetään, mitä seurataan, miten ja mihin tarkoituksiin.

  • Korostaa kuulemista, läpinäkyvyyttä ja työntekijöiden kohtuullisten yksityisyysodotusten kunnioittamista.

Australia ja Uusi-Seelanti

Australian vuoden 1988 tietosuojalaki

Vuoden 1988 tietosuojalaki asettaa yleiset puitteet sille, miten australialaiset organisaatiot käsittelevät henkilötietoja, mukaan lukien verkossa ja työntekijöiden seurannassa kerättyjä tietoja. Se edellyttää organisaatioilta vain kohtuudella välttämättömiä tietoja, läpinäkyvyyttä tietojen käytön suhteen ja tietojen turvallisuuden säilyttämistä. Vaikka laki ei sisällä yksityiskohtaisia ​​työpaikan valvontaa koskevia sääntöjä, kaikki yksilön tunnistava valvonta kuuluu yleensä Australian tietosuojaperiaatteiden piiriin, erityisesti ilmoitusvelvollisuuden, käyttötarkoituksen rajoittamisen ja käyttöoikeuksien osalta. Käytännössä tämä tarkoittaa, että valvontatyökaluja käyttävien työnantajien ja palveluntarjoajien tulisi määritellä selkeät liiketoimintatarkoitukset, välttää liiallista seurantaa ja selittää käytäntönsä tietosuojakäytännöissä ja sisäisessä dokumentaatiossa.

Työpaikan valvontaa koskevat lait (osavaltiotaso, Australia)

Useat Australian osavaltiot ja territoriot sääntelevät valvontaa suoremmin työpaikkavalvontalakien, kuten vuoden 2005 työpaikkavalvontalain (NSW) ja vuoden 2011 työpaikkatietosuojalain (ACT), kautta. Nämä lait tyypillisesti säätelevät, milloin ja miten työnantajat voivat käyttää kamera-, tietokone- ja seurantavalvontaa, ja vaativat usein etukäteen kirjallisen ilmoituksen, näkyvät merkinnät ja selkeät käytännöt ennen valvonnan aloittamista. Piilotettu valvonta on tiukasti rajoitettua ja yleensä sallittua vain erityisluvalla ja vakavien väärinkäytösten tai laittoman toiminnan tutkinnan yhteydessä, ei rutiininomaisen suorituskyvyn seurannan yhteydessä. Verkkovalvontatyökalujen osalta tämä tarkoittaa, että työnantajien on asianomaisissa osavaltioissa ilmoitettava työntekijöille selkeästi ja ajoissa, että heidän tietokoneensa, internetin tai sähköpostin käyttöä voidaan valvoa, ja varmistettava, että kaikki valvonta on lakisääteisten ehtojen mukaista.

Tietosuojalaki vuodelta 2020 (Uusi-Seelanti)

Uuden-Seelannin vuoden 2020 tietosuojalaki nykyaikaistaa maan tietosuojalainsäädäntöä ja koskee sekä asiakas- että työntekijätietoja, mukaan lukien työpaikalla tai verkossa kerättyjä tietoja. Laki edellyttää, että organisaatiot keräävät tietoja vain laillisiin ja välttämättömiin tarkoituksiin, ovat avoimia käytännöistään ja antavat yksilöille pääsyn henkilötietoihinsa. Sääntelyviranomaisten ohjeissa korostetaan, että työntekijöiden valvonnan, tallentamisen tai kuvaamisen on oltava oikeasuhteista ja sitä tulisi tukea selkeillä työpaikkakäytännöillä, jotka on kehitetty sekä tietosuojalain että työlainsäädännön mukaisesti. Työnantajia kannustetaan kuulemaan henkilöstöä, selittämään, miksi valvontaa tarvitaan, ja ottamaan huomioon vaikutukset luottamukseen ja moraaliin, erityisesti käytettäessä työkaluja, jotka mahdollistavat jatkuvan tai yksityiskohtaisen seurannan.

Aasian ja Tyynenmeren alue

PDPA (Personal Data Protection Act) – Singapore

  • Kattaa organisaatioiden käsittelemät henkilötiedot, mukaan lukien työntekijä- ja seurantatiedot.

  • Edellyttää selkeää ja laillista tarkoitusta seurannalle.

  • Yleensä tarvitaan suostumus tai muu pätevä peruste.

  • Vahva keskittyminen läpinäkyvyyteen, asianmukaiseen ilmoittamiseen ja tietosuojatoimiin.

  • Säilytyksen on rajoituttava siihen, mikä on välttämätöntä.

PDPA – Malesia

  • Koskee kaupallisissa ja työsuhteeseen liittyvissä yhteyksissä käsiteltäviä henkilötietoja.

  • Suostumus on ensisijainen vaatimus seurantatietojen keräämiselle.

  • Tietoja on käsiteltävä oikeudenmukaisesti ja tiettyyn, ilmoitettuun tarkoitukseen.

  • Sisältää säilytysrajoja, tietoturvaa ja kolmannen osapuolen käsittelijöitä koskevat säännöt.

APPI (henkilötietojen suojaa koskeva laki) – Japani

  • Säätelee sekä asiakkaiden että työntekijöiden henkilötietojen käsittelyä.

  • Edellyttää organisaatioita määrittelemään ja viestimään seurannan tarkoituksen.

  • Korostaa tietoturvaa ja henkilötietoja käsittelevän henkilöstön asianmukaista valvontaa.

  • Valvonnan on oltava oikeasuhteista ja sisäisten käytäntöjen mukaista.

  • Työntekijöillä voi olla oikeus tietoihin ja niiden korjaamiseen asiayhteydestä riippuen.

PIPL (henkilötietojen suojaa koskeva laki) – Kiina

  • Kattava tietosuojalainsäädäntö, joka kattaa työpaikka- ja kuluttajatiedot.

  • Edellyttää selkeää tarkoitusta, tiedon minimointia ja läpinäkyvyyttä seurannalle.

  • Suostumus voi olla tarpeen, erityisesti silloin, kun seurantaan liittyy arkaluonteisia tai yksityiskohtaisia ​​tietoja.

  • Asettaa tiukat vaatimukset tietojen säilyttämiselle, turvallisuudelle ja käsittelyn dokumentoinnille.

  • Antaa yksilöille oikeuden tarkastella, korjata ja pyytää valvottujen tietojen poistamista.

Latinalainen Amerikka

LGPD (Lei Geral de Proteção de Dados) – Brasilia

Brasilian LGPD-laki sääntelee kaikkea henkilötietojen käyttöä, mukaan lukien verkossa tai työpaikalla kerättyjen tietojen käyttöä. Organisaatioiden on oltava selkeästi oikeudellisin perustein valvonnalle ja selitettävä sen tarkoitus. Valvonnan tulisi rajoittua siihen, mikä on välttämätöntä, olla läpinäkyvää ja sitä tulisi tukea asianmukaisilla turvatoimenpiteillä. Yksilöillä on oikeus tutustua henkilötietoihinsa, korjata ne ja pyytää niiden poistamista.

Argentiinan, Meksikon ja Chilen kansalliset yksityisyydensuojalait

Näissä maissa on kansallisia tietosuojalakeja, jotka koskevat valvontatyökalujen avulla kerättyjä henkilötietoja. Yhteisiin vaatimuksiin kuuluvat laillisen tarkoituksen noudattaminen, yksilöiden tiedottaminen valvonnasta ja tietojen turvallinen pitäminen. Valvonnan tulisi olla kohtuullista ja oikeasuhteista, ja yksilöillä on yleensä oikeus tutustua tietoihinsa tai päivittää niitä. Vaikka erityiset säännöt vaihtelevat, läpinäkyvyys ja tarpeellisuus ovat yhdenmukaisia ​​odotuksia koko alueella.

Lähi-idän alue

Yhdistyneiden arabiemiirikuntien tietosuojalaki (DPL / PDPL)

Yhdistyneiden arabiemiirikuntien liittovaltion tietosuojalaki koskee organisaatioita, jotka käsittelevät henkilötietoja Yhdistyneissä arabiemiirikunnissa, mukaan lukien työntekijät. Valvonta edellyttää selkeää ja laillista tarkoitusta, rajoittaa tiedonkeruun siihen, mikä on välttämätöntä, ja painottaa vahvasti läpinäkyvyyttä ja turvallisuutta. Organisaatioiden tulisi tiedottaa henkilöstölle kaikesta valvonnasta, dokumentoida sen syyt ja ottaa käyttöön sisäiset käytännöt ja suojatoimet valvottujen tietojen käsittelyä varten.

Qatarin tietosuojalaki

Qatarin henkilötietojen suojaa koskeva laki kattaa sähköisesti käsiteltävät tai sähköiseen käsittelyyn tarkoitetut henkilötiedot. Se tunnustaa yksilön oikeuden tietosuojaan ja edellyttää yleensä suostumusta tai muuta oikeutettua perustetta ennen henkilötietojen, mukaan lukien valvontajärjestelmien avulla kerättyjen tietojen, käsittelyä. Organisaatioiden on toteutettava asianmukaiset turvatoimenpiteet, oltava avoimia henkilötietojen käytöstä ja kunnioitettava yksilöiden oikeutta tutustua tietoihinsa ja korjata niitä.

Saudi-Arabian henkilötietojen suojaa koskeva laki (PDPL)

Saudi-Arabian tietosuojalaki (PDPL) koskee yksilöiden henkilötietojen käsittelyä Saudi-Arabiassa, sekä maan sisällä että ulkopuolella toimivien organisaatioiden toimesta. Valvontaa varten se edellyttää organisaatioilta selkeän tarkoituksen määrittelyä, kirjallisten tietosuojakäytäntöjen käyttöönottoa ja yksilöille tiedottamista siitä, miten heidän tietojaan kerätään ja käytetään. Suostumus on tärkeä peruste tietojen käsittelylle monissa tapauksissa, vaikka laki sallii käsittelyn myös tiettyjen liiketoimintaan, lakiin ja yleiseen etuun liittyvien syiden vuoksi. Valvontatyökaluja käyttävien työnantajien odotetaan suojaavan valvottuja tietoja, rajoittavan pääsyä tietoihin ja käsittelevän työntekijöiden tietoja PDPL:n läpinäkyvyys-, turvallisuus- ja säilytyssääntöjen mukaisesti.