Online megfigyelési törvények és adatvédelmi megfelelési szempontok
Utoljára frissítve: 2026. május
Az online megfigyelőszoftverek segíthetnek a szervezeteknek a vállalati erőforrások védelmében, a termelékenység javításában és annak megértésében, hogyan zajlik a digitális munkavégzés. Ugyanakkor a munkavállalók, eszközök, online tevékenységek vagy kommunikációk megfigyelése személyes adatokat és munkahelyi adatvédelmi szabályokat érinthet.
Ez az oldal általános áttekintést nyújt az engedélyezett megfigyelőszoftver-használathoz kapcsolódó adatvédelmi és megfelelési szempontokról. Kiemeli a főbb adatvédelmi és munkahelyi megfigyelési keretrendszerekben gyakran előforduló közös témákat, például az átláthatóságot, a jogszerű célt, az adattakarékosságot, a biztonságot, a megőrzést és a felhasználói tájékoztatást.
A konkrét követelmények az országtól, államtól, iparágtól, az eszköz tulajdonjogától, a gyűjtött adatok típusától és a megfigyelés konfigurációjától függően eltérhetnek.
Jogi nyilatkozat: Ez az oldal kizárólag általános tájékoztatási célokat szolgál, és nem minősül jogi tanácsadásnak. Az adatvédelmi, munkahelyi megfigyelési, munkaügyi és elektronikus kommunikációs törvények joghatóságonként eltérnek, és függhetnek a konkrét felhasználási esettől, az eszköz tulajdonjogától, az iparágtól, a munkavállalói tájékoztatástól, a hozzájárulási követelményektől és a gyűjtött adatok típusától.
A Spyrix nem határozza meg, hogy egy adott megfigyelési beállítás jogszerű-e az Ön szervezete számára. A megfigyelőszoftver használata előtt át kell tekintenie az alkalmazandó jogszabályokat és belső szabályzatokat, szükség esetén tájékoztatnia kell a felhasználókat, a megfigyelést a szükséges és jogszerű célokra kell korlátoznia, és adott esetben szakképzett jogi tanácsadóval kell konzultálnia.
Globális és regionális adatvédelmi keretrendszerek
GDPR (Általános Adatvédelmi Rendelet - Európai Unió)
A GDPR az Európai Unió alapvető adatvédelmi rendelete. Alkalmazandó lehet az EU-n belüli vagy kívüli szervezetekre, amikor személyes adatokat olyan módon kezelnek, amely a GDPR területi hatálya alá tartozik, beleértve bizonyos, az EU-ban tartózkodó személyeket érintő eseteket is. Az online tevékenység megfigyelése, a munkavállalók megfigyelése és a digitális nyomon követés más formái a hatálya alá tartozhatnak, ha személyes adatokat érintenek.
A GDPR értelmében a megfigyelési tevékenységekhez általában érvényes jogalap szükséges, és azoknak szükségesnek, arányosnak és átláthatónak kell lenniük. A körülményektől függően a szervezetek olyan jogalapra támaszkodhatnak, mint a jogos érdek, a szerződéses szükségesség, a jogi kötelezettség vagy a hozzájárulás. Foglalkoztatási környezetben a hozzájárulás nem mindig megfelelő, a munkáltató és a munkavállaló közötti viszony miatt.
Jogos érdekre való hivatkozás esetén a szervezeteknek értékelniük és dokumentálniuk kell, hogy a megfigyelés célja jogszerű-e, szükséges-e, és megfelelő egyensúlyban áll-e az érintett személyek jogaival és szabadságaival. Ha a megfigyelés valószínűleg magas kockázatot jelent az érintettek jogaira és szabadságaira nézve, adatvédelmi hatásvizsgálatra (DPIA) lehet szükség.
Az átláthatóság alapvető fontosságú. Az érintetteket általában előzetesen tájékoztatni kell a megfigyelés típusáról, céljáról, a gyűjtött adatok kategóriáiról, a jogalapról, arról, hogy ki férhet hozzá az adatokhoz, valamint arról, hogy mennyi ideig őrzik meg az adatokat. A rejtett vagy be nem jelentett megfigyelés rendkívül érzékeny kérdés, sok esetben jogellenes lehet, és azt külön kell értékelni az alkalmazandó helyi jogszabályok alapján.
A GDPR az adattakarékosságot is hangsúlyozza, megkövetelve a szervezetektől, hogy csak azokat a személyes adatokat gyűjtsék, amelyek egy meghatározott célhoz szükségesek. A folyamatos vagy túlzottan beavatkozó megfigyelés egyértelmű indokolás nélkül ütközhet a GDPR alapelveivel.
Az online megfigyelőeszközök esetében a legfontosabb GDPR-szempontok általában a következők:
Egyértelmű tájékoztatás nyújtása a megfigyelésről, ahol ez előírt
Csak a szükséges és releváns adatok gyűjtése
Megfelelő technikai és szervezési biztonsági intézkedések alkalmazása
Az adatkezelés jogalapjának azonosítása és dokumentálása
A jogos érdekek vagy a magasabb kockázatú adatkezelés értékelése, ahol alkalmazandó
Annak lehetővé tétele, hogy az érintettek gyakorolhassák az alkalmazandó adatvédelmi jogaikat, például a hozzáféréshez, törléshez, tiltakozáshoz vagy korlátozáshoz való jogot
Hivatalos források:
(EU) 2016/679 rendelet - Általános Adatvédelmi Rendelet Az EUR-Lexen közzétett hivatalos GDPR-szöveg.
EDPB 3/2018. számú iránymutatás a GDPR területi hatályáról Elmagyarázza, hogy mikor alkalmazandó a GDPR az EU-n belüli és kívüli szervezetekre.
EDPB 05/2020. számú iránymutatás a 2016/679 rendelet szerinti hozzájárulásról Iránymutatást nyújt a GDPR szerinti érvényes hozzájárulásról.
Európai Bizottság - Mikor szükséges adatvédelmi hatásvizsgálat? Elmagyarázza, hogy mikor lehet szükség DPIA-ra a magasabb kockázatú személyesadat-kezelés esetén.
EDPS - Az elektronikus kommunikáció magáncélú használata a munkahelyen Iránymutatást nyújt a munkahelyi kommunikációval, az adatvédelmi elvárásokkal és az arányos megfigyeléssel kapcsolatban.
OECD adatvédelmi irányelvek (Gazdasági Együttműködési és Fejlesztési Szervezet)
Az OECD adatvédelmi irányelvek nemzetközileg elismert alapelveket biztosítanak a magánélet és a személyes adatok védelmére. Nem jogilag kötelező erejűek ugyanúgy, mint a nemzeti vagy regionális törvények, de számos országban hatással voltak az adatvédelmi keretrendszerekre és adatvédelmi irányelvekre.
Az irányelvek olyan alapvető adatvédelmi elveket hangsúlyoznak, mint a gyűjtés korlátozása, az adatminőség, a cél meghatározása, a felhasználás korlátozása, a biztonsági garanciák, a nyitottság, az egyéni részvétel és az elszámoltathatóság. Ezek az elvek támogatják a felelős adatkezelést, és arra ösztönzik a szervezeteket, hogy személyes adatokat csak világos, meghatározott és megfelelő célokból gyűjtsenek és használjanak fel.
Az online és munkavállalói megfigyelés esetében az OECD adatvédelmi irányelvek nem tartalmaznak részletes, kifejezetten a megfigyelésre vonatkozó szabályokat. Ugyanakkor hasznos adatvédelmi keretrendszert kínálnak annak értékeléséhez, hogy a megfigyelési gyakorlatok átláthatóak-e, jogszerű célra korlátozódnak-e, megfelelő biztosítékokkal védettek-e, és elszámoltathatóak-e.
Bár az OECD adatvédelmi irányelvek nem érvényesíthetők úgy, mint a GDPR, továbbra is fontos nemzetközi hivatkozási pontot jelentenek a felelős és adatvédelem-tudatos adatkezelés számára.
A gyakorlatban ezek az alapelvek segíthetnek a szervezeteknek annak mérlegelésében, hogy szükséges-e:
Egyértelműen kommunikálják a megfigyelési gyakorlatokat
Az adatgyűjtést a meghatározott célhoz szükséges mértékre kell korlátozni
Megvédjék a megfigyelt adatokat a jogosulatlan hozzáféréstől
Megfelelő tájékoztatást kell nyújtani az érintetteknek arról, hogyan használják fel adataikat
Rendszeresen felül kell vizsgálni a megfigyelési gyakorlatokat a tisztességesség, szükségesség és arányosság szempontjából
Hivatalos források:
OECD irányelvek a magánélet védelméről és a személyes adatok határokon átnyúló áramlásáról Az adatvédelmi alapelveket és a kapcsolódó keretrendszert tartalmazó hivatalos OECD-kiadvány.
OECD - Adatvédelem és személyes adatok védelme Az OECD áttekintő oldala, amely elmagyarázza az adatvédelmi irányelvek szerepét a globális adatvédelmi és személyesadat-védelmi keretrendszerekben.
Egyesült Államok
Az Egyesült Államokban a munkahelyi és online megfigyelést szövetségi törvények, állami adatvédelmi törvények, elektronikus kommunikációs szabályok, bér- és munkaidő-követelmények, valamint ágazatspecifikus szabályozások kombinációja szabályozza. Nincs olyan egységes országos munkavállalói megfigyelési törvény, amely minden helyzetre kiterjedne. A követelmények eltérhetnek az államtól, a gyűjtött adatok típusától, attól függően, hogy a kommunikációt lehallgatják-e vagy hozzáférnek-e hozzá, hogy az eszköz vállalati vagy személyes tulajdonban van-e, valamint attól, hogyan használják fel a megfigyelési adatokat.
Keretrendszer | Hol alkalmazandó | A megfigyelésre vonatkozó hatály | Gyakori megfelelési szempontok | Miért lehet fontos a megfigyelőszoftver szempontjából |
|---|---|---|---|---|
CCPA / CPRA | Kalifornia; a hatálya alá tartozó vállalkozások | Személyes információk gyűjtése és felhasználása, beleértve bizonyos munkavállalói, jelentkezői, vállalkozói, eszköz-, online tevékenységi és érzékeny személyes információkat | Tájékoztatás az adatgyűjtéskor, adatvédelmi szabályzatban szereplő közzétételek, hozzáférési/törlési/helyesbítési jogok, adott esetben kilépési jogok, bizonyos érzékeny személyes információk egyes felhasználásainak korlátozása | Releváns, ha a megfigyelés kaliforniai lakosoktól azonosítókat, eszközadatokat, internetes vagy alkalmazástevékenységet, földrajzi helyadatokat, viselkedési adatokat vagy más személyes információkat gyűjt |
ECPA és kapcsolódó szövetségi elektronikus kommunikációs szabályok | Szövetségi amerikai jog; az állami lehallgatási és kommunikációs törvények is alkalmazandók lehetnek | Elektronikus kommunikációk, például e-mail, chat, hívások, üzenetek vagy bizonyos online kommunikációk lehallgatása vagy azokhoz való hozzáférés | Kerülni kell a jogosulatlan lehallgatást vagy hozzáférést; értékelni kell, hogy alkalmazható-e hozzájárulás, felhatalmazás, szolgáltatói kivétel vagy üzleti célú kivétel; felül kell vizsgálni az államspecifikus hozzájárulási és lehallgatási szabályokat | Különösen releváns a kommunikáció megfigyelése, az e-mailek/chatek áttekintése, a képernyőtartalom rögzítése, a billentyűleütések naplózása és olyan eszközök esetében, amelyek üzenettartalmat is rögzíthetnek |
FLSA-hoz kapcsolódó bér- és munkaidőszabályok | Szövetségi amerikai jog; az állami bértörvények is alkalmazandók lehetnek | Megfigyelési, jelenléti, tevékenységi vagy munkaidő-nyilvántartási adatok felhasználása munkaórákhoz, bérszámfejtéshez, túlórához vagy termelékenységi döntésekhez | A munkaidő- és tevékenységi nyilvántartásoknak támogatniuk kell a pontos bérszámításokat; a nem mentesített munkavállalókat minden ledolgozott óráért meg kell fizetni; a munkáltatóknak kerülniük kell a pontos munkaidő-jelentés visszaszorítását | Releváns, ha a megfigyelési adatokat a munkaidő kiszámítására, a jelenlét ellenőrzésére, a túlóra áttekintésére vagy a bérszámfejtéssel és bérekkel kapcsolatos döntések támogatására használják |
Államspecifikus elektronikus megfigyelési és adatvédelmi törvények | Államonként változik; példák közé tartozik New York, Connecticut és Delaware a munkavállalói megfigyelésről szóló tájékoztatási szabályok tekintetében | A munkavállalói kommunikáció, internethasználat, számítógépes rendszerek, munkahelyi eszközök vagy más személyes adatok elektronikus megfigyelése | Egyes államok írásbeli vagy elektronikus tájékoztatást, munkavállalói tudomásulvételt, munkahelyi kifüggesztést vagy meghatározott szabályzati megfogalmazást írnak elő; más állami adatvédelmi törvények további kötelezettségeket írhatnak elő az érzékeny adatokra, biometrikus adatokra vagy fogyasztói jogokra vonatkozóan | A több államban működő munkáltatók nem támaszkodhatnak kizárólag egy általános amerikai szabályzatra; szükségük lehet államspecifikus tájékoztatókra, hozzájárulási szövegekre, megőrzési szabályokra és belső hozzáférés-ellenőrzésekre |
Hivatalos források:
Kaliforniai Igazságügyi Minisztérium - Kaliforniai Fogyasztói Adatvédelmi Törvény (CCPA) A Kaliforniai Igazságügyi Minisztérium hivatalos áttekintése a CCPA szerinti jogokról, a kötelező tájékoztatókról, a kilépési jogokról, a helyesbítési jogokról, a törlési jogokról és az érzékeny személyes információkra vonatkozó jogokról.
Kaliforniai Adatvédelmi Ügynökség - Törvények és rendeletek A Kaliforniai Adatvédelmi Ügynökség hivatalos oldala a CCPA/CPRA rendeletekről és szabályalkotásról.
U.S. Code - 18 U.S.C. 2511. szakasz: A vezetékes, szóbeli vagy elektronikus kommunikáció lehallgatásának és közlésének tilalma Az elektronikus kommunikáció lehallgatásához kapcsolódó hivatalos amerikai törvényszöveg.
Amerikai Igazságügyi Minisztérium - 1986. évi elektronikus kommunikációs adatvédelmi törvény Az Igazságügyi Minisztérium áttekintése az ECPA-ról és annak az elektronikus és digitális kommunikációhoz való viszonyáról.
Amerikai Munkaügyi Minisztérium - 2020-5. számú helyszíni segítségnyújtási közlemény A Munkaügyi Minisztérium hivatalos iránymutatása a ledolgozott órák nyomon követéséről és díjazásáról, beleértve a távmunkával kapcsolatos helyzeteket is.
New York-i polgári jogi törvény 52-c. szakasz - Elektronikus megfigyelést végző munkáltatók; előzetes értesítés szükséges Hivatalos New York-i törvény, amely előzetes értesítést ír elő bizonyos munkavállalói elektronikus megfigyelések esetén.
Connecticuti Általános Törvények 31-48d. szakasz - Elektronikus megfigyelésről szóló értesítés Hivatalos connecticuti jogszabály, amely az elektronikus megfigyelést végző munkáltatók értesítési követelményeivel foglalkozik.
Delaware Code 19. cím 705. szakasz - Értesítés a telefonos közlések, az elektronikus levelezés és az internethasználat megfigyeléséről Hivatalos delaware-i törvény, amely a telefon, az e-mail és az internethasználat megfigyelésére vonatkozó értesítési követelményekkel foglalkozik.
Kanada
PIPEDA (Személyes Információk Védelméről és Elektronikus Dokumentumokról szóló törvény)
A PIPEDA számos kanadai magánszektorbeli szervezetre vonatkozik, amelyek kereskedelmi tevékenységeik során személyes információkat gyűjtenek, használnak fel vagy közölnek. A munkavállalói személyes információkra a PIPEDA általában a szövetségi szabályozás alá tartozó munkahelyeken alkalmazandó, míg egyes tartományok saját magánszektorbeli adatvédelmi törvényekkel rendelkeznek.
A PIPEDA kiterjedhet az online vagy munkavállalói megfigyelés révén gyűjtött személyes információkra, beleértve az azonosítókat, eszközadatokat, online tevékenységet, alkalmazáshasználatot, kommunikációhoz kapcsolódó adatokat és termelékenységi nyilvántartásokat.
A szervezeteknek egyértelmű célt kell meghatározniuk a megfigyeléshez, az adatgyűjtést a szükséges mértékre kell korlátozniuk, és a személyes információkat átlátható módon kell kezelniük.
Ahol hozzájárulás szükséges, annak érdeminek kell lennie, és világos tájékoztatáson kell alapulnia arról, hogy milyen adatokat gyűjtenek, miért gyűjtik azokat, hogyan fogják felhasználni őket, és ki férhet hozzájuk.
A munkavállalókat általában tájékoztatni kell arról, hogy mit figyelnek meg, miért alkalmaznak megfigyelést, hogyan fogják felhasználni az információkat, és mennyi ideig őrizhetik meg azokat.
A megfigyelés révén gyűjtött személyes információkat megfelelő biztonsági garanciákkal kell védeni.
Tartományi adatvédelmi törvények (Alberta PIPA, Brit Columbia PIPA, Quebec 25. törvény)
Alberta, Brit Columbia és Quebec magánszektorbeli adatvédelmi törvényekkel rendelkezik, amelyek az adott tartományokban alkalmazandók lehetnek.
Ezek a törvények általában hasonló adatvédelmi elveket követnek, például az észszerű célt, a korlátozott adatgyűjtést, az átláthatóságot, a hozzáférési jogokat, a megőrzési korlátokat és a megfelelő biztosítékokat.
A munkavállalói megfigyelés esetében a követelmények függhetnek a tartománytól, a munkahely típusától, a megfigyelés céljától, az adatok érzékenységétől, valamint attól, hogy a megfigyelés észszerű-e a munkaviszony kezeléséhez.
A munkáltatóknak szükség esetén tájékoztatniuk kell a munkavállalókat, mielőtt megfigyelőeszközökön keresztül személyes információkat gyűjtenének.
Egyes tartományok olyan szabályzatokat vagy tájékoztatókat írhatnak elő, amelyek elmagyarázzák, milyen személyes információkat gyűjtenek, miért gyűjtik azokat, mennyi ideig őrzik meg őket, és ki férhet hozzájuk.
A több kanadai tartományban működő szervezeteknek a megfigyelőszoftver bevezetése előtt felül kell vizsgálniuk mind a szövetségi, mind a tartományi követelményeket.
Hivatalos források:
Kanadai Adatvédelmi Biztos Hivatala - PIPEDA Kanada szövetségi magánszektorbeli adatvédelmi törvényének hivatalos áttekintése.
Kanadai Adatvédelmi Biztos Hivatala - Adatvédelem a munkahelyen Iránymutatás a munkahelyi adatvédelemről, a munkavállalói személyes információkról és a munkáltatói felelősségekről.
Kanadai Adatvédelmi Biztos Hivatala - Iránymutatások az érdemi hozzájárulás megszerzéséhez Iránymutatás a kanadai magánszektorbeli adatvédelmi törvény szerinti érdemi hozzájárulásról.
Alberta kormánya - Személyes Információk Védelméről szóló törvény Alberta kormányának hivatalos oldala Alberta magánszektorbeli adatvédelmi törvényéről.
Alberta kormánya - Munkavállalói személyes információk Iránymutatás arról, hogyan alkalmazandó az Alberta PIPA a munkavállalói személyes információkra.
BC Laws - Személyes Információk Védelméről szóló törvény Brit Columbia Személyes Információk Védelméről szóló törvényének hivatalos szövege.
Legis Quebec - Törvény a magánszektorban kezelt személyes információk védelméről Quebec magánszektorbeli adatvédelmi törvényének hivatalos szövege.
Egyesült Királyság
UK GDPR
Az Egyesült Királyságban történő személyesadat-kezelésre vonatkozik, beleértve a munkavállalói és online tevékenységek megfigyelését is.
Egyértelmű jogalapot ír elő a megfigyeléshez, például jogos érdekeket, jogi kötelezettséget, szerződéses szükségességet vagy adott esetben hozzájárulást.
A megfigyelésnek szükségesnek, arányosnak, átláthatónak és nem túlzottan beavatkozónak kell lennie.
A munkáltatóknak kockázatértékelést kell végezniük, és szükség lehet adatvédelmi hatásvizsgálat (DPIA) elkészítésére, ha a megfigyelés valószínűleg magas kockázatot jelent az érintettek számára, például folyamatos nyomon követés, billentyűnaplózás vagy más beavatkozó megfigyelés esetén.
A személyzetnek általában tudnia kell, mit figyelnek meg, miért figyelik meg, milyen adatokat gyűjtenek, hogyan fogják felhasználni azokat, ki férhet hozzájuk, és mennyi ideig tárolják őket.
2018. évi adatvédelmi törvény
Kiegészíti a UK GDPR-t, és további szabályokat, feltételeket és kivételeket biztosít a személyes adatok kezeléséhez.
A különleges kategóriájú adatokra, a bűncselekményekkel kapcsolatos adatokra, a foglalkoztatáshoz kapcsolódó adatkezelésre és a bűnüldözési adatkezelésre vonatkozó rendelkezéseket tartalmaz.
Megerősíti az olyan elveket, mint az adattakarékosság, a célhoz kötöttség, a biztonság, az elszámoltathatóság és az egyéni jogok.
Az érintetteknek általában joguk van hozzáférni személyes adataikhoz, és bizonyos esetekben tiltakozhatnak az adatkezelés egyes típusai ellen.
RIPA és kapcsolódó lehallgatási szabályok
A 2000. évi nyomozati hatáskörök szabályozásáról szóló törvény és a kapcsolódó brit lehallgatási szabályok a kommunikáció lehallgatásának és az ahhoz való hozzáférésnek bizonyos típusait szabályozzák.
A kommunikáció lehallgatása korlátozott lehet, kivéve, ha jogszerű felhatalmazás, hozzájárulás vagy más alkalmazandó jogalap vagy kivétel áll fenn.
A munkahelyi megfigyelés esetében a kommunikáció megfigyelését körültekintően kell értékelni, különösen akkor, ha az e-mailt, chatet, hívásokat, üzeneteket vagy más kommunikációs tartalmat érinthet.
A rejtett vagy be nem jelentett megfigyelés rendkívül érzékeny kérdés, sok esetben jogellenes lehet, és csak kivételes körülmények között, egyértelmű indokolással és megfelelő jogi felülvizsgálattal szabad mérlegelni.
ICO munkahelyi gyakorlatokra vonatkozó iránymutatás
Az Egyesült Királyság Információs Biztosának Hivatala iránymutatást nyújt a munkavállalók megfigyeléséről és a munkavállalói személyes adatok kezeléséről.
Az ICO hangsúlyozza, hogy a megfigyelésnek célzottnak, arányosnak, világos céllal indokoltnak és nem túlzottnak kell lennie.
A munkáltatóknak mérlegelniük kell a munkavállalókra gyakorolt hatást a megfigyelőeszközök bevezetése előtt, különösen akkor, ha a megfigyelés beavatkozó jellegű vagy folyamatos.
A munkáltatóknak egyértelmű írásos szabályzatokat kell létrehozniuk, amelyek elmagyarázzák, mit figyelnek meg, miért figyelik meg, hogyan használják fel az adatokat, ki férhet hozzájuk, és mennyi ideig őrzik meg azokat.
Az iránymutatás hangsúlyozza az átláthatóságot, az elszámoltathatóságot, adott esetben a konzultációt, valamint a munkavállalók észszerű adatvédelmi elvárásainak tiszteletben tartását.
Hivatalos források:
ICO - Foglalkoztatási gyakorlatok és adatvédelem: munkavállalók megfigyelése Az ICO hivatalos iránymutatási központja a foglalkoztatási gyakorlatokról, beleértve a munkavállalók megfigyelését és a kapcsolódó adatvédelmi kötelezettségeket.
ICO - Útmutató a jogalaphoz Az ICO iránymutatása a UK GDPR szerinti személyesadat-kezelés jogalapjairól.
ICO - Mikor kell DPIA-t végeznünk? Az ICO iránymutatása, amely elmagyarázza, mikor lehet szükség adatvédelmi hatásvizsgálatra.
legislation.gov.uk - 2018. évi adatvédelmi törvény A 2018. évi adatvédelmi törvény hivatalos szövege.
legislation.gov.uk - 2000. évi nyomozati hatáskörök szabályozásáról szóló törvény A 2000. évi nyomozati hatáskörök szabályozásáról szóló törvény hivatalos szövege.
GOV.UK - Kommunikáció lehallgatása: gyakorlati kódex Az Egyesült Királyság kormányának gyakorlati kódexe a kommunikáció lehallgatásával kapcsolatban.
Ausztrália és Új-Zéland
1988. évi adatvédelmi törvény (Ausztrália)
Az 1988. évi adatvédelmi törvény határozza meg azt az átfogó keretrendszert, amely szerint az ausztrál szervezetek kezelik a személyes információkat, beleértve az online megfigyelés vagy munkahelyhez kapcsolódó rendszerek révén gyűjthető bizonyos adatokat is.
Megköveteli a hatálya alá tartozó szervezetektől, hogy csak észszerűen szükséges információkat gyűjtsenek, átláthatóak legyenek a személyes információk felhasználásával kapcsolatban, és biztonságosan kezeljék azokat.
A törvény nem tartalmaz részletes munkahelyi megfigyelési szabályokat, és a magánszektorbeli munkáltatók által kezelt munkavállalói nyilvántartások bizonyos körülmények között mentesülhetnek az ausztrál adatvédelmi alapelvek alól. Azonban a személyes információkat érintő megfigyelés bizonyos összefüggésekben továbbra is az adatvédelmi törvény hatálya alá tartozhat, például ha a munkavállalói nyilvántartásokra vonatkozó mentesség nem alkalmazható, ha szolgáltatók kezelnek munkavállalói adatokat, vagy ha más adatvédelmi kötelezettségek merülnek fel.
A gyakorlatban a megfigyelőeszközöket használó munkáltatóknak és szolgáltatóknak világos üzleti célokat kell meghatározniuk, kerülniük kell a túlzott nyomon követést, ismertetniük kell gyakorlataikat az adatvédelmi szabályzatokban és a belső dokumentációban, valamint figyelembe kell venniük a vonatkozó állami vagy területi munkahelyi megfigyelési törvényeket.
Munkahelyi megfigyelési törvények (állami szint, Ausztrália)
Egyes ausztrál államok és területek közvetlenebbül szabályozzák a munkahelyi megfigyelést munkahelyi megfigyelési törvényeken keresztül, például a 2005. évi munkahelyi megfigyelési törvény (NSW) és a 2011. évi munkahelyi adatvédelmi törvény (ACT).
Ezek a törvények szabályozhatják, hogy a munkáltatók mikor és hogyan használhatnak kamerás, számítógépes és nyomon követő megfigyelést, gyakran előzetes írásbeli tájékoztatást, egyértelmű szabályzatokat és meghatározott feltételeket írva elő a megfigyelés megkezdése előtt.
A rejtett vagy titkos megfigyelés szigorúan korlátozott, és külön felhatalmazást vagy jogi jóváhagyást igényelhet. Nem tekinthető rutinszerű módszernek a teljesítmény nyomon követésére.
Az online megfigyelőeszközök esetében ez azt jelenti, hogy az érintett államokban és területeken működő munkáltatóknak szükség esetén világos és időben adott tájékoztatást kell nyújtaniuk, és biztosítaniuk kell, hogy minden számítógépes, internetes, e-mailes vagy nyomon követő megfigyelés megfeleljen az alkalmazandó törvényi feltételeknek.
2020. évi adatvédelmi törvény (Új-Zéland)
Új-Zéland 2020. évi adatvédelmi törvénye biztosítja az ország adatvédelmi keretrendszerét, és az ügynökségek által kezelt személyes információkra vonatkozik, beleértve a munkahelyi vagy online megfigyelés révén gyűjtött információkat is.
A törvény előírja a szervezetek számára, hogy információkat csak jogszerű és szükséges célokra gyűjtsenek, legyenek nyíltak gyakorlataikkal kapcsolatban, és adott esetben biztosítsanak hozzáférést az érintettek számára személyes információikhoz.
A szabályozó hatóságok iránymutatásai hangsúlyozzák, hogy a munkavállalók megfigyelését, rögzítését vagy filmezését az adatvédelmi törvénnyel és az adatvédelmi alapelvekkel összhangban kell végezni. A munkáltatóknak azt is mérlegelniük kell, hogy a megfigyelés hogyan befolyásolhatja a munkavállalói bizalmat, morált és munkahelyi kapcsolatokat.
A munkáltatókat arra ösztönzik, hogy konzultáljanak a személyzettel, magyarázzák el, miért van szükség megfigyelésre, használjanak egyértelmű munkahelyi szabályzatokat, és vegyék figyelembe a folyamatos vagy részletes nyomon követés hatását.
Hivatalos források:
OAIC - Az adatvédelmi törvény Ausztrália 1988. évi adatvédelmi törvényének és az ausztrál adatvédelmi alapelveknek a hivatalos áttekintése.
OAIC - Munkavállalói nyilvántartásokra vonatkozó mentesség Elmagyarázza, hogy a magánszektorbeli munkáltatók munkavállalói nyilvántartásainak kezelése mikor mentesülhet az ausztrál adatvédelmi alapelvek alól.
OAIC - Munkahelyi megfigyelés és felügyelet Iránymutatás, amely elmagyarázza, hogy a munkahelyi megfigyelés állami, területi és más vonatkozó ausztrál törvényeket is érinthet.
ACT Legislation - 2011. évi munkahelyi adatvédelmi törvény Az ACT hivatalos jogszabályi oldala a 2011. évi munkahelyi adatvédelmi törvényhez.
Új-zélandi jogszabályok - 2020. évi adatvédelmi törvény Új-Zéland 2020. évi adatvédelmi törvényének hivatalos szövege.
Új-zélandi Adatvédelmi Biztos - 2020. évi adatvédelmi törvény Új-Zéland adatvédelmi alapelveinek hivatalos áttekintése.
Employment New Zealand - Munkavállalói adatvédelem Iránymutatás a munkavállalói adatvédelemről, a munkahelyi megfigyelésről, valamint a munkavállalók rögzítéséről és filmezéséről.
Ázsia–csendes-óceáni térség
PDPA (Személyes Adatok Védelméről szóló törvény) - Szingapúr
A szervezetek által gyűjtött, felhasznált vagy közölt személyes adatokra vonatkozik, beleértve azokat az adatokat is, amelyeket munkavállalói vagy online megfigyelés révén gyűjthetnek.
Megköveteli a szervezetektől, hogy személyes adatokat megfelelő célokra, valamint hozzájárulással, vélelmezett hozzájárulással vagy más alkalmazandó kivétel alapján gyűjtsenek, használjanak fel vagy közöljenek, ahol ez megengedett.
Erős hangsúlyt helyez az átláthatóságra, a megfelelő értesítésre, a célhoz kötöttségre és az adatvédelmi biztosítékokra.
A szervezeteknek tájékoztatniuk kell az érintetteket azokról a célokról, amelyekre személyes adataikat gyűjtik, felhasználják vagy közlik.
A megőrzést a jogi vagy üzleti célokhoz szükséges mértékre kell korlátozni.
PDPA - Malajzia
A kereskedelmi ügyletek során kezelt személyes adatokra vonatkozik, beleértve a foglalkoztatáshoz kapcsolódó környezeteket is, ahol személyes adatokat gyűjtenek vagy használnak fel.
Megköveteli a szervezetektől, hogy megfeleljenek a legfontosabb személyesadat-védelmi alapelveknek, beleértve az általános, a tájékoztatási és választási, a közlési, a biztonsági, a megőrzési, az adatintegritási és a hozzáférési alapelveket.
A szervezeteknek egyértelmű tájékoztatást kell nyújtaniuk a személyes adatok gyűjtésének céljáról és arról, hogyan fogják felhasználni az adatokat.
Az adatokat meghatározott és közölt célból kell kezelni, megfelelő biztonsági intézkedésekkel kell védeni, és nem szabad a szükségesnél hosszabb ideig megőrizni.
Szabályokat tartalmaz a megőrzésre, az adatbiztonságra, a hozzáférési jogokra, a helyesbítési jogokra és a harmadik fél általi adatkezelésre vonatkozóan.
APPI (A személyes adatok védelméről szóló törvény) - Japán
A vállalkozások és más hatálya alá tartozó szervezetek személyes információk kezelését szabályozza, beleértve az ügyfél- és munkavállalói személyes adatokat is.
Megköveteli a szervezetektől, hogy meghatározzák a felhasználás célját, és a személyes információkat a közölt célon belül kezeljék.
Hangsúlyozza az adatbiztonságot, a pontosságot, a megőrzés ellenőrzését, valamint a személyes adatokat kezelő munkavállalók és szolgáltatók megfelelő felügyeletét.
A személyes információkat érintő megfigyelési gyakorlatoknak összhangban kell állniuk a belső szabályzatokkal és a közölt felhasználási céllal.
Az érintetteknek a körülményektől függően joguk lehet a közléshez, helyesbítéshez, a felhasználás felfüggesztéséhez vagy a törléshez.
PIPL (Személyes Információk Védelméről szóló törvény) - Kína
Átfogó személyesinformáció-védelmi törvény, amely a Kínában végzett személyesinformáció-kezelésre, valamint bizonyos, Kínán kívül végzett, Kínában tartózkodó személyeket érintő adatkezelési tevékenységekre vonatkozik.
Egyértelmű és észszerű célt, adattakarékosságot, átláthatóságot és megfelelő biztonsági intézkedéseket ír elő.
Sok esetben hozzájárulásra lehet szükség, míg a körülményektől függően más jogszerű adatkezelési jogalapok is alkalmazhatók.
Külön hozzájárulásra lehet szükség érzékeny személyes információk, bizonyos közlések, határokon átnyúló továbbítások vagy más magasabb kockázatú adatkezelési tevékenységek esetén.
Olyan jogokat biztosít az érintetteknek, mint a hozzáférés, helyesbítés, törlés, a hozzájárulás visszavonása és az adatkezelési szabályok magyarázatának kérése.
Hivatalos források:
Szingapúri PDPC - Személyes Adatok Védelméről szóló törvény Szingapúr Személyes Adatok Védelméről szóló törvényének hivatalos áttekintése.
Szingapúri PDPC - Adatvédelmi kötelezettségek A PDPC hivatalos oldala, amely elmagyarázza a fő kötelezettségeket, például a hozzájárulást, az értesítést, a célhoz kötöttséget, a védelmet és a megőrzést.
Szingapúri PDPC - Tanácsadó iránymutatások a PDPA fő fogalmairól Hivatalos iránymutatás, amely elmagyarázza a PDPA fő fogalmait, beleértve a hozzájárulást és a kivételeket.
Malajziai Személyes Adatok Védelmi Főosztálya - 2010. évi Személyes Adatok Védelméről szóló törvény A malajziai kormány hivatalos oldala a 2010. évi Személyes Adatok Védelméről szóló törvényhez.
Malajziai Személyes Adatok Védelmi Főosztálya - A személyes adatok védelmének alapelvei Malajzia hét személyesadat-védelmi alapelvének hivatalos áttekintése.
Malajziai Személyes Adatok Védelmi Főosztálya - Iránymutatás a személyesadat-védelmi tájékoztatókhoz Hivatalos iránymutatás a személyesadat-védelmi tájékoztatók elkészítéséhez.
Japán Személyes Információk Védelmi Bizottsága - A személyes információk védelméről szóló törvény Japán Személyes Információk Védelméről szóló törvényének hivatalos angol fordítása.
Japán Személyes Információk Védelmi Bizottsága Japán adatvédelmi szabályozó hatóságának hivatalos weboldala.
Kínai Nemzeti Törvények és Rendeletek Adatbázisa - Személyes Információk Védelméről szóló törvény Kína Személyes Információk Védelméről szóló törvényének hivatalos kínai szövege.
Kínai Kibertér-igazgatás - Személyes Információk Védelméről szóló törvény A CAC hivatalos kiadványa Kína Személyes Információk Védelméről szóló törvényéről.
Latin-Amerika
LGPD (Lei Geral de Protecao de Dados) - Brazília
Brazília LGPD törvénye a személyes adatok kezelését szabályozza, beleértve a digitális eszközökkel kezelt adatokat is. Alkalmazandó lehet az online vagy munkahelyi megfigyelés révén gyűjtött információkra, ha az adatok azonosított vagy azonosítható személyhez kapcsolódnak.
A szervezeteknek megfelelő jogalapot kell meghatározniuk a megfigyeléshez, és el kell magyarázniuk az adatgyűjtés célját. A megfigyelést a szükséges mértékre kell korlátozni, átláthatóan kell végezni, és megfelelő biztonsági intézkedésekkel kell alátámasztani.
Az érintetteknek olyan jogaik lehetnek, mint a hozzáférés, helyesbítés, törlés, adathordozhatóság, az adatmegosztásról való tájékoztatás, valamint adott esetben a hozzájárulás visszavonása.
Nemzeti adatvédelmi törvények Argentínában, Mexikóban és Chilében
Argentína, Mexikó és Chile nemzeti adatvédelmi keretrendszerekkel rendelkezik, amelyek a körülményektől és az érintett adatok típusától függően alkalmazandók lehetnek a megfigyelőeszközökön keresztül gyűjtött személyes adatokra.
A régióban közös adatvédelmi elvárások közé tartozik a világos és megfelelő cél megléte, az érintettek tájékoztatása az adatgyűjtésről, az adathasználat szükséges mértékre korlátozása, valamint a személyes adatok megfelelő biztosítékokkal történő védelme.
Az érintetteknek az alkalmazandó jogszabálytól függően joguk lehet hozzáférni személyes adataikhoz, helyesbíteni, frissíteni vagy törölni azokat, illetve tiltakozni azok bizonyos felhasználásai ellen.
Mivel a konkrét követelmények országonként eltérnek, és idővel változhatnak, a szervezeteknek az online vagy munkahelyi megfigyelés bevezetése előtt felül kell vizsgálniuk az aktuális helyi szabályokat ezeken a piacokon.
Hivatalos források:
Brazília - 13.709/2018. számú törvény, Általános Személyes Adatvédelmi Törvény (LGPD) Brazília LGPD törvényének hivatalos egységes szerkezetű szövege.
Argentína - Agencia de Acceso a la Informacion Publica: Személyes adatok védelme Az argentin hatóság hivatalos oldala a személyes adatok védelméről.
Chile - 19.628. számú törvény a magánélet védelméről Chile személyes adatok védelméről szóló törvényének hivatalos szövege.
Chile - 21.719. számú törvény, A személyes adatok védelme és kezelése Chile korszerűsített adatvédelmi keretrendszerének hivatalos szövege.
Közel-keleti térség
EAE adatvédelmi törvény (2021. évi 45. számú szövetségi törvényerejű rendelet)
Az EAE szövetségi személyesadat-védelmi törvénye általános keretrendszert biztosít a személyes adatok kezeléséhez. Alkalmazandó lehet azokra a szervezetekre, amelyek az EAE-ben személyes adatokat kezelnek, vagy az EAE-ben tartózkodó személyek személyes adatait kezelik, a törvény hatályától és az alkalmazandó ágazatspecifikus vagy szabadövezeti szabályoktól függően.
A megfigyelés esetében a szervezeteknek világos és jogszerű célt kell meghatározniuk, az adatgyűjtést a szükséges mértékre kell korlátozniuk, és erős hangsúlyt kell helyezniük az átláthatóságra és a biztonságra.
A szervezeteknek szükség esetén tájékoztatniuk kell a személyzetet a megfigyelésről, dokumentálniuk kell a személyes adatok gyűjtésének indokait, valamint belső szabályzatokat és biztosítékokat kell bevezetniük a megfigyelt adatok kezelésére.
Katar adatvédelmi törvénye
Katar személyes adatok védelméről szóló törvénye az elektronikusan kezelt vagy elektronikus kezelésre szánt személyes adatokra terjed ki.
Elismeri az egyén adatvédelemhez való jogát, és megköveteli, hogy a személyes adatok kezelése olyan elveket kövessen, mint az átláthatóság, a tisztességesség és a magánélet tiszteletben tartása.
A megfigyelőrendszerek esetében a szervezeteknek világos és jogszerű céllal kell rendelkezniük, szükség esetén tájékoztatniuk kell az érintetteket, és megfelelő biztonsági intézkedésekkel kell védeniük a személyes adatokat.
A szervezeteknek tiszteletben kell tartaniuk az alkalmazandó jogokat is, beleértve a hozzáférési és helyesbítési jogokat, ahol ezek rendelkezésre állnak.
Szaúd-Arábia személyes adatok védelméről szóló törvénye (PDPL)
Szaúd-Arábia PDPL-je a Királyságban végzett személyesadat-kezelést szabályozza, és bizonyos, a Királyságon kívül végzett adatkezelési tevékenységekre is alkalmazandó lehet, ha azok Szaúd-Arábiában tartózkodó személyek személyes adatait érintik.
A megfigyelés esetében a szervezeteknek világos célokat kell meghatározniuk, adatvédelmi szabályzatokat kell elfogadniuk, és tájékoztatniuk kell az érintetteket arról, hogyan gyűjtik és használják fel személyes adataikat.
Sok esetben hozzájárulásra lehet szükség, míg a körülményektől függően más jogszerű alapok is alkalmazhatók.
A megfigyelőeszközöket használó munkáltatóknak védeniük kell a megfigyelt adatokat, korlátozniuk kell a belső hozzáférést, kerülniük kell a szükségtelen adatgyűjtést, és a munkavállalói információkat a PDPL átláthatósági, biztonsági és megőrzési követelményeivel összhangban kell kezelniük.
Hivatalos források:
EAE jogszabályok - 2021. évi 45. számú szövetségi törvényerejű rendelet a személyes adatok védelméről Az EAE szövetségi személyesadat-védelmi törvényének hivatalos szövege.
Katar Al Meezan - 2016. évi 13. számú törvény a személyes adatok védelméről Katar személyes adatok védelméről szóló törvényének hivatalos angol nyelvű PDF-szövege.
SDAIA - Adatvédelmi törvény A Szaúdi Adat- és Mesterséges Intelligencia Hatóság hivatalos oldala Szaúd-Arábia Személyes Adatok Védelméről szóló törvényéről.
SDAIA - Személyes Adatok Védelméről szóló törvény Szaúd-Arábia Személyes Adatok Védelméről szóló törvényének hivatalos angol változata.
Végső szempontok a felelős megfigyeléshez
Az online és munkavállalói megfigyelésre vonatkozó törvények jelentősen eltérnek országok, államok, iparágak és munkahelyi környezetek szerint. Ugyanaz a megfigyelőeszköz egy adott környezetben elfogadható lehet, míg egy másikban nem megfelelő vagy jogellenes, attól függően, hogyan van konfigurálva, milyen adatokat gyűjt, tájékoztatják-e a felhasználókat, és hogyan használják fel az információkat.
Egy felelős megfigyelési programnak általában tartalmaznia kell:
Világos és jogszerű cél a megfigyeléshez
Írásos belső szabályzatok, amelyek elmagyarázzák, mit figyelnek meg és miért
Felhasználói vagy munkavállalói tájékoztatás, ahol ez előírt
Korlátozott és arányos adatgyűjtés
Erős hozzáférés-ellenőrzések és biztonsági biztosítékok
Meghatározott megőrzési időszakok a gyűjtött adatokra
A megfigyelési gyakorlatok rendszeres felülvizsgálata
Jogi felülvizsgálat magas kockázatú, érzékeny, rejtett vagy határokon átnyúló megfigyelési helyzetek esetén
A Spyrix engedélyezett használatra biztosít megfigyelőszoftvert. Ugyanakkor minden szervezet maga felelős annak meghatározásáért, hogy a megfigyelőeszközök konkrét használata megfelel-e az alkalmazandó jogszabályoknak, belső szabályzatoknak és tájékoztatási követelményeknek. Kétség esetén a szervezeteknek szakképzett jogi tanácsadóval kell konzultálniuk a megfigyelőszoftver bevezetése vagy a beavatkozóbb megfigyelési funkciók engedélyezése előtt.