Spyrix logo

Szoftver

Telefonkövető

Mac

Vásárlás

Letöltés

Üzleti

Támogatás

Vállalat

Spyrix logo

Szoftver

Telefonkövető

Telefonkövető

Szülői felügyelet

Szülői felügyelet

Mac

Árazás

Regisztráció

Az én fiókom

Online megfigyelési törvények

A Spyrix csapata összegyűjti a főbb jogszabályokat és dokumentumokat, amelyek felvázolják, hogy a munkáltatók hogyan figyelhetik jogszerűen alkalmazottaik online tevékenységeit. Útmutatást ad arra vonatkozóan is, hogy a megfigyelőeszközök hogyan használhatók személyes célokra.

Globális nemzetközi törvények

GDPR (Általános Adatvédelmi Rendelet - Európai Unió)

A GDPR az Európai Unió alapvető adatvédelmi rendelete, és minden olyan szervezetre vonatkozik, amely az EU-ban személyes adatokat kezel, függetlenül attól, hogy a szervezet hol működik. Az online tevékenységfigyelés, az alkalmazottak figyelése és a digitális nyomon követés bármilyen formája a hatálya alá tartozik, amennyiben személyes adatokat érint.

A GDPR értelmében a megfigyelés általában csak akkor jogszerű, ha érvényes jogalap áll fenn, például jogos érdek, szerződés teljesítése vagy kifejezett hozzájárulás beszerzése. A megfigyelési eszközök bevezetése előtt a szervezeteknek biztosítaniuk kell, hogy a megfigyelés szükséges, arányos, és nem sérti indokolatlanul az egyének magánéletét.

A GDPR előírja a vállalatok számára, hogy jogos érdekek felmérését (LIA), vagy – amennyiben a monitorozás valószínűleg nagyobb kockázatot jelent – ​​adatvédelmi hatásvizsgálatot (DPIA) végezzenek. Ezek az értékelések segítenek meghatározni a monitorozás indokoltságát, és azonosítani az adatgyűjtési kockázatok csökkentésének módjait.

Az átláthatóság elengedhetetlen. Az egyéneket előzetesen, egyértelműen tájékoztatni kell a megfigyelés típusáról, a célról, a gyűjtött adatokról, a jogalapról, arról, hogy kik férhetnek hozzá az adatokhoz, és mennyi ideig őrzik meg azokat. A titokban tartott vagy titkos megfigyelés általában korlátozott, és csak a nemzeti törvények által meghatározott nagyon szűk körülmények között engedélyezett.

A GDPR hangsúlyozza az adatminimalizálást is, előírva a szervezeteknek, hogy csak a meghatározott célhoz szükséges adatokat gyűjtsék. A folyamatos vagy túlzottan tolakodó megfigyelés egyértelmű indoklás nélkül sértheti a GDPR alapelveit.

Az online felügyeleti eszközök esetében a legfontosabb GDPR-kötelezettségek a következők:

  • Egyértelmű tájékoztatás a megfigyelésről

  • Csak a szükséges adatok gyűjtése

  • Megfelelő technikai és szervezési biztonsági intézkedések alkalmazása

  • Az adatkezelés jogalapjának azonosítása és dokumentálása

  • Az egyének jogainak gyakorlásának lehetővé tétele (hozzáférés, törlés, kifogásolás stb.)

OECD adatvédelmi irányelvei (Gazdasági Együttműködési és Fejlesztési Szervezet)

Az OECD adatvédelmi irányelvei nemzetközileg elismert elveket tartalmaznak az adatvédelem és a magánélet védelme terén. Bár jogilag nem kötelező érvényűek, világszerte befolyásolják a nemzeti adatvédelmi törvényeket, és keretrendszerként szolgálnak a felelős adatkezeléshez.

Az irányelvek hangsúlyozzák a tisztességességet, az átláthatóságot, a célhoz kötöttséget, az adatminőséget, a biztonsági intézkedéseket, a nyitottságot és az elszámoltathatóságot. Ezek az elvek arra ösztönzik a szervezeteket, hogy személyes adatokat csak egyértelmű, jogos célokra gyűjtsenek, és biztosítsák, hogy az egyének megértsék, hogyan használják fel adataikat.

Az online és alkalmazotti monitorozás tekintetében az OECD irányelvei az átlátható, arányos és a magánéletet tiszteletben tartó gyakorlatokat támogatják. Bár nem tartalmaznak kifejezetten a monitorozásra vonatkozó részletes szabályokat, elősegítik a felelős adatkezelést, és tájékoztatást nyújtanak a monitorozást közvetlenül szabályozó nemzeti jogszabályokhoz.

A gyakorlatban az irányelvek arra ösztönzik a szervezeteket, hogy:

  • Világosan kommunikálja a monitorozási gyakorlatokat

  • Korlátozza az adatgyűjtést a szükséges mértékre

  • Védje a megfigyelt adatokat a jogosulatlan hozzáféréstől

  • Rendszeresen vizsgálja felül a monitoring gyakorlatokat a tisztesség és a szükségesség szempontjából

Bár nem érvényesíthető, mint a GDPR, az OECD adatvédelmi irányelvei segítenek a jogszerű és etikus monitoring globális szabványainak és legjobb gyakorlatainak kialakításában.

Egyesült Államok

törvény

Ahol alkalmazandó

A monitoring hatóköre

Főbb követelmények

Megjegyzések Spyrix felhasználóknak

CCPA

Kalifornia

Személyes adatokat gyűjtő megfigyelés

Adatvédelmi nyilatkozat, hozzáférési/törlési jog, adatmegosztás megtagadása

Akkor érvényes, ha a monitorozás azonosítókat, tevékenységnaplókat vagy használati adatokat gyűjt.

CPRA

Kalifornia

Monitoring involving "sensitive" data or detailed profiling

Célhoz kötöttség, adatminimalizálás, szigorúbb szabályok az érzékeny adatokra vonatkozóan

Fontos, amikor az eszközök naplózzák a földrajzi helyet, a viselkedési mintákat vagy a részletes digitális tevékenységeket

ECPA

Szövetségi (USA)

Elektronikus kommunikáció (e-mail, csevegés, billentyűleütések) lehallgatása vagy elérése

A tartalom lehallgatásának korlátozásai; a munkáltatói kivételek gyakran értesítést igényelnek

Rendkívül releváns a billentyűnaplózás, az e-mail-figyelés és a képernyőtartalom-rögzítés szempontjából

FLSA-val kapcsolatos útmutató

Szövetségi (USA)

Munkaórák vagy termelékenység nyomon követésére használt monitorozás

Az időkövetésnek támogatnia kell a pontos béreket; nem szabad fizetetlen, munkaidőn kívüli tevékenységet végezni.

Nem adatvédelmi törvény, de befolyásolja, hogyan használják fel a monitoring adatokat a bérszámfejtési döntésekhez

Államspecifikus felügyeleti törvények

Államtól függően változik (NY, CT, DE, CO, VA, UT stb.)

Az alkalmazottak és a munkahelyi rendszerek elektronikus felügyelete

Gyakran írásbeli értesítést vagy kifejezett visszaigazolást igényelnek

Több államban működő munkáltatók egységes felügyeleti szabályzatból és állami kiegészítésekből profitálnak

Kanada

PIPEDA (Személyes adatok védelméről és az elektronikus dokumentumokról szóló törvény)

  • Kanada-szerte a magánszektorbeli szervezetekre vonatkozik (kivéve azokat az eseteket, amikor tartományi törvények váltják fel).

  • Kiterjed a személyes adatok bármilyen gyűjtésére, felhasználására vagy közzétételére, beleértve az online és az alkalmazottak megfigyelését is.

  • Megköveteli a szervezetektől, hogy egyértelmű célt határozzanak meg a monitorozáshoz, és adott esetben érdemi hozzájárulást szerezzenek be.

  • A monitoringnak ésszerűnek kell lennie, a szükségesre kell korlátozódnia, és átlátható módon kell lefolytatnia.

  • A munkavállalókat tájékoztatni kell arról, hogy mit figyelnek meg, miért figyelik meg, és hogyan fogják felhasználni az információkat.

  • A személyes adatokat megfelelő biztonsági intézkedésekkel kell védeni.

Tartományi adatvédelmi törvények (Alberta PIPA, Brit Columbia PIPA, Quebec 25. törvénye)

  • Jelentkezzen a saját tartományaiban működő magánszektorbeli szervezetekhez.

  • Általában tükrözi a PIPEDA alapelveit, de szigorúbb szabályok vonatkozhatnak a hozzájárulásra, a megőrzésre és az alkalmazottak adatvédelmére.

  • A monitorozásnak üzleti célok szempontjából észszerűnek kell lennie, és összhangban kell lennie a világos, kommunikált szabályzatokkal.

  • A munkáltatóknak tájékoztatniuk kell az alkalmazottakat, mielőtt személyes adatokat gyűjtenének megfigyelési eszközökön keresztül.

  • Egyes tartományok olyan szabályzatokat írnak elő, amelyek ismertetik a gyűjtött adatok típusát, azok megőrzési idejét és a hozzáférési jogosultságot.

  • A szervezeteknek kérésre hozzáférést kell biztosítaniuk az alkalmazottaknak a személyes adataikhoz.

Egyesült Királyság

Egyesült Királyság GDPR-ja

  • A személyes adatok Egyesült Királyságban történő feldolgozására vonatkozik, beleértve az alkalmazottak és az online tevékenységek figyelését.

  • Requires a clear lawful basis for monitoring (often "legitimate interests" or contract).

  • A megfigyelésnek szükségesnek, arányosnak és nem túlzottan tolakodónak kell lennie.

  • A munkáltatóknak kockázatértékelést vagy adatvédelmi hatásvizsgálatot (DPIA) kell végezniük a magasabb kockázatú monitoring (pl. folyamatos követés, billentyűleütés-naplózás) esetén.

  • Erős hangsúly az átláthatóságon: a munkatársaknak tudniuk kell, hogy mit figyelnek meg, miért, és hogyan fogják az adatokat felhasználni és tárolni.

2018. évi adatvédelmi törvény

  • Kiegészíti az Egyesült Királyság GDPR-ját, és további szabályokat és mentességeket biztosít.

  • Konkrét rendelkezéseket határoz meg a foglalkoztatási kontextusra és a bűnüldöző szervek hozzáférésére vonatkozóan.

  • Megerősíti az adatminimalizálás, a célhoz kötött felhasználás és a biztonság elveit a monitorozott adatok tekintetében.

  • Jogot biztosít az egyéneknek a személyes adataikhoz való hozzáférésre, és bizonyos esetekben bizonyos típusú megfigyelések elleni tiltakozásra.

RIPA (A nyomozati hatáskörök szabályozásáról szóló törvény)

  • Szabályozza a kommunikáció lehallgatását, valamint a megfigyelés és a titkos megfigyelés alkalmazását.

  • Általánosságban korlátozza a kommunikáció lehallgatását beleegyezés vagy megfelelő felhatalmazás nélkül.

  • Az alkalmazottak titkos (tudtuk nélküli) megfigyelése csak nagyon korlátozott körülmények között megengedett, például súlyos kötelességszegés esetén, és ha az arányos.

ICO Foglalkoztatási Gyakorlatok Kódexe (és kapcsolódó útmutató)

  • Az Egyesült Királyság Információs Biztosának Hivatala nem kötelező érvényű iránymutatása a munkahelyi megfigyelésről.

  • Hangsúlyozza, hogy a monitoringnak célzottnak, nem túlzottnak kell lennie, és egyértelmű üzleti igényekkel kell alátámasztania.

  • Javasolja hatásvizsgálatok elvégzését az új monitoring eszközök bevezetése előtt.

  • Azt tanácsolja a munkaadóknak, hogy világos írásos szabályzatokat hozzanak létre, amelyek elmagyarázzák, hogy mit, hogyan és milyen célból figyelnek meg.

  • Hangsúlyozza a konzultáció, az átláthatóság és a munkavállalók magánélethez fűződő ésszerű elvárásainak tiszteletben tartását.

Ausztrália és Új-Zéland

1988. évi adatvédelmi törvény (Ausztrália)

Az 1988-as adatvédelmi törvény meghatározza az ausztrál szervezetek személyes adatainak, beleértve az online és alkalmazotti megfigyelés során gyűjtött adatokat is, kezelésének átfogó keretrendszerét. Előírja a szervezetek számára, hogy csak a szükséges információkat gyűjtsék, átláthatóan tájékoztassák az információk felhasználásáról, és biztonságban tartsák azokat. Bár a törvény nem tartalmaz részletes munkahelyi megfigyelési szabályokat, az egyén azonosítására irányuló minden megfigyelésre általában az ausztrál adatvédelmi alapelvek vonatkoznak, különösen az értesítés, a célhoz kötöttség és a hozzáférési jogok tekintetében. A gyakorlatban ez azt jelenti, hogy a megfigyelési eszközöket használó munkáltatóknak és szolgáltatóknak egyértelmű üzleti célokat kell meghatározniuk, kerülniük kell a túlzott nyomon követést, és az adatvédelmi irányelvekben és a belső dokumentációban ismertetniük kell gyakorlatukat.

Munkahelyi megfigyelési törvények (állami szintű, Ausztrália)

Számos ausztrál állam és terület szabályozza a megfigyelést közvetlenebb módon a munkahelyi megfigyelési törvényeken keresztül, például a 2005. évi munkahelyi megfigyelési törvényen (NSW) és a 2011. évi munkahelyi adatvédelmi törvényen (ACT). Ezek a törvények jellemzően azt szabályozzák, hogy a munkáltatók mikor és hogyan használhatnak kamerás, számítógépes és nyomkövető megfigyelést, gyakran előzetes írásbeli értesítést, látható jelzéseket és egyértelmű szabályzatokat követelve meg a megfigyelés megkezdése előtt. A rejtett megfigyelés szigorúan korlátozott, és általában csak meghatározott felhatalmazással és súlyos kötelességszegés vagy jogellenes tevékenység kivizsgálása esetén engedélyezett, nem pedig rutinszerű teljesítménykövetés céljából. Az online megfigyelőeszközök esetében ez azt jelenti, hogy az érintett államokban a munkáltatóknak világosan és időben értesíteniük kell az alkalmazottakat arról, hogy számítógépük, internetük vagy e-mailjük használatát megfigyelhetik, és biztosítaniuk kell, hogy minden megfigyelés összhangban legyen a törvényi feltételekkel.

2020. évi adatvédelmi törvény (Új-Zéland)

Új-Zéland 2020-as adatvédelmi törvénye modernizálja az ország adatvédelmi keretrendszerét, és mind az ügyfél-, mind az alkalmazotti adatokra vonatkozik, beleértve a munkahelyi vagy online megfigyelés során gyűjtött információkat is. A törvény előírja a szervezetek számára, hogy csak jogszerű, szükséges célokra gyűjtsenek információkat, legyenek nyíltak a gyakorlatukkal kapcsolatban, és biztosítsák az egyének számára a személyes adataikhoz való hozzáférést. A szabályozó hatóságok útmutatása hangsúlyozta, hogy az alkalmazottak megfigyelésének, rögzítésének vagy filmezésének arányosnak kell lennie, és azt az adatvédelmi törvénnyel és a munkajoggal összhangban kidolgozott egyértelmű munkahelyi szabályzatoknak kell alátámasztaniuk. A munkáltatókat arra ösztönzik, hogy konzultáljanak a személyzettel, magyarázzák el, miért van szükség a megfigyelésre, és vegyék figyelembe a bizalomra és a morálra gyakorolt ​​hatást, különösen akkor, ha olyan eszközöket használnak, amelyek lehetővé teszik a folyamatos vagy részletes nyomon követést.

Ázsia-csendes-óceáni térség

PDPA (Personal Data Protection Act) – Szingapúr

  • A szervezetek által kezelt személyes adatokat is magában foglalja, beleértve az alkalmazotti és a monitoring adatokat.

  • A megfigyeléshez egyértelmű és jogszerű cél szükséges.

  • Általában beleegyezés vagy más érvényes alap szükséges.

  • Nagy hangsúlyt fektetünk az átláthatóságra, a megfelelő értesítésekre és az adatvédelmi biztosítékokra.

  • A megőrzésnek a legszükségesebbre kell korlátozódnia.

PDPA – Malajzia

  • Kereskedelmi és foglalkoztatási kontextusban feldolgozott személyes adatokra vonatkozik.

  • A hozzájárulás elsődleges követelmény a monitorozási adatok gyűjtéséhez.

  • Az adatokat tisztességesen és egy meghatározott, meghatározott célból kell kezelni.

  • Tartalmazza a megőrzési korlátokra, az adatbiztonságra és a harmadik féltől származó feldolgozókra vonatkozó szabályokat.

APPI (Személyes Adatok Védelméről Szóló Törvény) – Japán

  • Szabályozza mind az ügyfelek, mind az alkalmazottak személyes adatainak kezelését.

  • Megköveteli a szervezetektől, hogy meghatározzák és kommunikálják a monitorozás célját.

  • Hangsúlyozza az adatbiztonságot és a személyes adatokat kezelő személyzet megfelelő felügyeletét.

  • A monitoringnak arányosnak és a belső szabályzatokkal összhangban kell lennie.

  • A munkavállalóknak a kontextustól függően joguk lehet a hozzáféréshez és a helyesbítéshez.

PIPL (Személyes Adatvédelmi Törvény) – Kína

  • Átfogó adatvédelmi törvény, amely a munkahelyi és fogyasztói adatokat is lefedi.

  • Világos célt, adatminimalizálást és átláthatóságot igényel a monitorozáshoz.

  • Hozzájárulásra lehet szükség, különösen akkor, ha a monitorozás érzékeny vagy részletes adatokat érint.

  • Szigorú követelményeket támaszt az adatmegőrzés, a biztonság és a feldolgozás dokumentálása tekintetében.

  • Jogosultságot biztosít az egyéneknek a megfigyelt adatokhoz való hozzáférésre, azok helyesbítésére és törlésének kérésére.

Latin-Amerika

LGPD (Lei Geral de Proteção de Dados) – Brazília

Brazília LGPD-törvénye szabályozza a személyes adatok bármilyen felhasználását, beleértve az online vagy munkahelyi megfigyelés során gyűjtött információkat is. A szervezeteknek egyértelmű jogalappal kell rendelkezniük a megfigyeléshez, és meg kell magyarázniuk annak célját. A megfigyelésnek a szükséges mértékre kell korlátozódnia, átláthatóan kell végrehajtania, és megfelelő biztonsági intézkedésekkel kell alátámasztania. Az egyéneknek joguk van személyes adataikhoz hozzáférni, azokat helyesbíteni, és kérni azok törlését.

Nemzeti adatvédelmi törvények Argentínában, Mexikóban és Chilében

Ezekben az országokban nemzeti adatvédelmi törvények vonatkoznak a megfigyelőeszközök segítségével gyűjtött személyes adatokra. A közös követelmények közé tartozik a jogszerű cél, az egyének tájékoztatása a megfigyelésről, valamint az adatok biztonságban tartása. A megfigyelésnek ésszerűnek és arányosnak kell lennie, és az egyéneknek általában joguk van adataikhoz hozzáférni vagy azokat frissíteni. Bár a konkrét szabályok eltérőek, az átláthatóság és a szükségesség következetes elvárás a régióban.

Közel-keleti terület

Az Egyesült Arab Emírségek adatvédelmi törvénye (DPL / PDPL)

Az Egyesült Arab Emírségek szövetségi adatvédelmi törvénye az Egyesült Arab Emírségekben élő személyek, köztük alkalmazottak személyes adatait feldolgozó szervezetekre vonatkozik. A monitorozáshoz egyértelmű és jogszerű cél szükséges, az adatgyűjtést a szükséges mértékre korlátozza, és nagy hangsúlyt fektet az átláthatóságra és a biztonságra. A szervezeteknek tájékoztatniuk kell a személyzetet minden monitorozásról, dokumentálniuk kell annak indokait, és belső szabályzatokat és biztosítékokat kell bevezetniük a monitorozott adatok kezelésére.

Katari adatvédelmi törvény

Katar személyesadat-védelmi törvénye az elektronikusan feldolgozott vagy elektronikus feldolgozásra szánt személyes adatokra vonatkozik. Elismeri az egyén adatvédelemhez való jogát, és általában hozzájárulást vagy más jogos indokot ír elő a személyes adatok, beleértve a monitorozó rendszereken keresztül gyűjtött adatokat is, feldolgozása előtt. A szervezeteknek megfelelő biztonsági intézkedéseket kell végrehajtaniuk, átláthatónak kell lenniük a személyes adatok felhasználásának módját illetően, és tiszteletben kell tartaniuk az egyének azon jogát, hogy hozzáférjenek adataikhoz és helyesbítsék azokat.

A szaúdi személyesadat-védelmi törvény (PDPL)

Szaúd-Arábia PDPL törvénye (személyes adatok védelméről szóló törvény) a Királyságban élő személyek személyes adatainak feldolgozására vonatkozik, mind az országon belüli, mind azon kívüli szervezetek által. A monitorozáshoz a szervezeteknek egyértelmű célokat kell meghatározniuk, írásos adatvédelmi szabályzatokat kell elfogadniuk, és tájékoztatniuk kell az egyéneket arról, hogyan gyűjtik és használják fel adataikat. A hozzájárulás sok esetben fontos alapja a feldolgozásnak, bár a törvény bizonyos üzleti, jogi és közérdekű okokból is lehetővé teszi a feldolgozást. A monitorozó eszközöket használó munkáltatóktól elvárják, hogy védjék a monitorozott adatokat, korlátozzák a hozzáférést, és a PDPL átláthatósági, biztonsági és megőrzési szabályaival összhangban kezeljék az alkalmazottak adatait.