온라인 모니터링 법률 및 개인정보 보호 준수 고려사항
최종 업데이트: 2026년 5월
온라인 모니터링 소프트웨어는 조직이 회사 자원을 보호하고, 생산성을 향상시키며, 디지털 업무가 어떻게 수행되는지 이해하는 데 도움이 될 수 있습니다. 그러나 직원, 장치, 온라인 활동 또는 통신을 모니터링하는 것은 개인정보 및 직장 개인정보 보호 규칙과 관련될 수 있습니다.
이 페이지는 허가된 모니터링 소프트웨어 사용과 관련된 개인정보 보호 및 준수 고려사항에 대한 일반적인 개요를 제공합니다. 투명성, 합법적 목적, 데이터 최소화, 보안, 보관 및 사용자 고지와 같이 주요 개인정보 보호 및 직장 모니터링 체계에서 공통적으로 발견되는 주제를 강조합니다.
구체적인 요구사항은 국가, 주, 산업, 장치 소유권, 수집되는 데이터 유형 및 모니터링 구성 방식에 따라 달라질 수 있습니다.
면책 조항: 이 페이지는 일반적인 정보 제공 목적으로만 제공되며 법률 자문을 구성하지 않습니다. 개인정보 보호, 직장 모니터링, 노동 및 전자 통신 관련 법률은 관할권에 따라 다르며, 구체적인 사용 사례, 장치 소유권, 산업, 직원 고지, 동의 요구사항 및 수집되는 데이터 유형에 따라 달라질 수 있습니다.
Spyrix는 특정 모니터링 설정이 귀하의 조직에 대해 합법적인지 판단하지 않습니다. 모니터링 소프트웨어를 사용하기 전에 적용 가능한 법률과 내부 정책을 검토하고, 요구되는 경우 사용자에게 고지하며, 모니터링을 필요하고 정당한 목적에 한정하고, 적절한 경우 자격을 갖춘 법률 전문가와 상담해야 합니다.
글로벌 및 지역 개인정보 보호 체계
GDPR (일반 개인정보 보호 규정 - 유럽연합)
GDPR은 유럽연합의 핵심 데이터 보호 규정입니다. 조직이 EU 내부 또는 외부에 있더라도, EU 내 개인과 관련된 특정 사례를 포함하여 GDPR의 영토적 범위에 해당하는 방식으로 개인정보를 처리하는 경우 적용될 수 있습니다. 온라인 활동 모니터링, 직원 모니터링 및 기타 형태의 디지털 추적은 개인정보를 포함하는 경우 그 적용 범위에 포함될 수 있습니다.
GDPR에 따르면 모니터링 활동은 일반적으로 유효한 법적 근거가 필요하며, 필요하고, 비례적이며, 투명해야 합니다. 맥락에 따라 조직은 정당한 이익, 계약상 필요성, 법적 의무 또는 동의와 같은 법적 근거에 의존할 수 있습니다. 고용 맥락에서는 고용주와 직원 간의 관계 때문에 동의가 항상 적절하지 않을 수 있습니다.
정당한 이익에 의존하는 경우, 조직은 모니터링 목적이 합법적이고, 필요한지, 그리고 관련 개인의 권리와 자유와 균형을 이루는지 평가하고 문서화해야 합니다. 모니터링이 개인의 권리와 자유에 높은 위험을 초래할 가능성이 있는 경우, 데이터 보호 영향 평가(DPIA)가 필요할 수 있습니다.
투명성은 필수적입니다. 개인은 일반적으로 모니터링 유형, 목적, 수집되는 데이터 범주, 법적 근거, 데이터에 접근할 수 있는 사람, 데이터 보관 기간에 대해 사전에 안내받아야 합니다. 은밀하거나 공개되지 않은 모니터링은 매우 민감하며, 많은 경우 불법일 수 있고, 적용 가능한 현지 법률에 따라 별도로 평가되어야 합니다.
GDPR은 또한 데이터 최소화를 강조하며, 조직이 정해진 목적에 필요한 개인정보만 수집하도록 요구합니다. 명확한 정당성 없이 지속적이거나 지나치게 침해적인 모니터링은 GDPR 원칙과 충돌할 수 있습니다.
온라인 모니터링 도구의 경우 가장 관련성이 높은 GDPR 고려사항에는 일반적으로 다음이 포함됩니다:
요구되는 경우 모니터링에 대한 명확한 고지 제공
필요하고 관련성 있는 데이터만 수집
적절한 기술적 및 조직적 보안 조치 사용
처리의 법적 근거 식별 및 문서화
해당되는 경우 정당한 이익 또는 더 높은 위험의 처리를 평가
개인이 접근, 삭제, 이의 제기 또는 제한과 같은 적용 가능한 개인정보 보호 권리를 행사할 수 있도록 허용
공식 출처:
규정 (EU) 2016/679 - 일반 개인정보 보호 규정 EUR-Lex에 게시된 공식 GDPR 텍스트입니다.
EDPB 가이드라인 3/2018 GDPR의 영토적 범위에 관한 지침 GDPR이 EU 내부 및 외부의 조직에 언제 적용될 수 있는지 설명합니다.
EDPB 가이드라인 05/2020 규정 2016/679에 따른 동의에 관한 지침 GDPR에 따른 유효한 동의에 대한 지침을 제공합니다.
유럽위원회 - 데이터 보호 영향 평가는 언제 필요한가? 더 높은 위험의 개인정보 처리에 DPIA가 언제 필요할 수 있는지 설명합니다.
EDPS - 직장에서의 전자 통신의 사적 사용 직장 통신, 개인정보 보호 기대 및 비례적 모니터링과 관련된 지침을 제공합니다.
OECD 개인정보 보호 가이드라인 (경제협력개발기구)
OECD 개인정보 보호 가이드라인은 개인정보 보호와 개인정보 데이터 보호를 위한 국제적으로 인정된 원칙을 제공합니다. 국가 또는 지역 법률과 같은 방식으로 법적 구속력이 있는 것은 아니지만, 많은 국가의 개인정보 보호 체계와 데이터 보호 정책에 영향을 미쳤습니다.
이 가이드라인은 수집 제한, 데이터 품질, 목적 명시, 사용 제한, 보안 보호조치, 공개성, 개인 참여 및 책임성과 같은 핵심 개인정보 보호 원칙을 강조합니다. 이러한 원칙은 책임 있는 데이터 처리를 지원하고 조직이 명확하고 정의되며 적절한 목적을 위해서만 개인정보를 수집하고 사용하도록 장려합니다.
온라인 및 직원 모니터링의 경우, OECD 개인정보 보호 가이드라인은 모니터링에 특화된 상세 규칙을 제공하지 않습니다. 그러나 모니터링 관행이 투명한지, 정당한 목적에 제한되는지, 적절한 보호조치로 보호되는지, 책임성을 갖추고 있는지를 평가하는 데 유용한 개인정보 보호 체계를 제공합니다.
OECD 개인정보 보호 가이드라인은 GDPR처럼 집행 가능하지는 않지만, 책임 있고 개인정보 보호를 고려한 데이터 처리의 중요한 국제적 기준점으로 남아 있습니다.
실무적으로 이러한 원칙은 조직이 다음을 고려하는 데 도움이 될 수 있습니다:
모니터링 관행을 명확하게 전달
데이터 수집을 정의된 목적에 필요한 범위로 제한
모니터링된 데이터를 무단 접근으로부터 보호
개인에게 자신의 데이터가 어떻게 사용되는지에 대한 적절한 정보 제공
공정성, 필요성 및 비례성 측면에서 모니터링 관행을 정기적으로 검토
공식 출처:
개인정보 보호 및 개인정보의 국경 간 흐름 보호에 관한 OECD 가이드라인 개인정보 보호 원칙과 관련 체계를 포함하는 OECD 공식 간행물입니다.
OECD - 개인정보 보호 및 데이터 보호 글로벌 개인정보 보호 및 데이터 보호 체계에서 개인정보 보호 가이드라인의 역할을 설명하는 OECD 개요 페이지입니다.
미국
미국에서 직장 및 온라인 모니터링은 연방법, 주 개인정보 보호법, 전자 통신 규칙, 임금 및 근로시간 요구사항, 산업별 규정의 조합에 의해 규율됩니다. 모든 상황을 포괄하는 단일한 전국 직원 모니터링 법률은 없습니다. 요구사항은 주, 수집되는 데이터 유형, 통신이 가로채지거나 접근되는지 여부, 장치가 회사 소유인지 개인 소유인지 여부, 그리고 모니터링 데이터가 어떻게 사용되는지에 따라 달라질 수 있습니다.
체계 | 적용 지역 | 모니터링 범위 | 일반적인 준수 고려사항 | 모니터링 소프트웨어에 중요할 수 있는 이유 |
|---|---|---|---|---|
CCPA / CPRA | 캘리포니아; 적용 대상 사업체 | 특정 직원, 지원자, 계약자, 장치, 온라인 활동 및 민감한 개인정보를 포함한 개인정보의 수집 및 사용 | 수집 시 고지, 개인정보 보호정책 공개, 접근/삭제/정정 권리, 해당되는 경우 옵트아웃 권리, 민감한 개인정보의 특정 사용에 대한 제한 | 모니터링이 캘리포니아 거주자로부터 식별자, 장치 데이터, 인터넷 또는 애플리케이션 활동, 위치 정보, 행동 데이터 또는 기타 개인정보를 수집하는 경우 관련됨 |
ECPA 및 관련 연방 전자 통신 규칙 | 미국 연방법; 주별 도청 및 통신 법률도 적용될 수 있음 | 이메일, 채팅, 통화, 메시지 또는 특정 온라인 통신과 같은 전자 통신의 가로채기 또는 접근 | 무단 가로채기 또는 접근을 피해야 함; 동의, 승인, 제공자 예외 또는 사업 목적 예외가 적용될 수 있는지 평가해야 함; 주별 동의 및 도청 규칙을 검토해야 함 | 통신 모니터링, 이메일/채팅 검토, 화면 콘텐츠 캡처, 키 입력 기록 및 메시지 콘텐츠를 캡처할 수 있는 도구와 매우 관련성이 높음 |
FLSA 관련 임금 및 근로시간 규칙 | 미국 연방법; 주별 임금법도 적용될 수 있음 | 근무 시간, 급여, 초과근무 또는 생산성 결정을 위한 모니터링, 출석, 활동 또는 시간 추적 데이터의 사용 | 시간 및 활동 기록은 정확한 임금 계산을 뒷받침해야 함; 비면제 직원은 모든 근무 시간에 대해 임금을 지급받아야 함; 고용주는 정확한 시간 보고를 저해하는 행위를 피해야 함 | 모니터링 데이터가 근무 시간 계산, 출석 확인, 초과근무 검토 또는 급여 및 임금 관련 결정을 지원하는 데 사용되는 경우 관련됨 |
주별 전자 모니터링 및 개인정보 보호법 | 주마다 다름; 예로는 직원 모니터링 고지 규칙과 관련하여 뉴욕, 코네티컷 및 델라웨어가 포함됨 | 직원 통신, 인터넷 사용, 컴퓨터 시스템, 직장 장치 또는 기타 개인정보의 전자 모니터링 | 일부 주는 서면 또는 전자 고지, 직원 확인, 직장 내 게시 또는 특정 정책 문구를 요구함; 다른 주 개인정보 보호법은 민감한 데이터, 생체 데이터 또는 소비자 권리에 대한 의무를 추가할 수 있음 | 여러 주에서 운영하는 고용주는 하나의 일반적인 미국 정책에만 의존해서는 안 되며, 주별 고지, 동의 문구, 보관 규칙 및 내부 접근 통제가 필요할 수 있음 |
공식 출처:
캘리포니아 법무부 - 캘리포니아 소비자 개인정보 보호법 (CCPA) CCPA 권리, 요구되는 고지, 옵트아웃 권리, 정정권, 삭제권 및 민감한 개인정보 권리에 대한 캘리포니아 법무부 공식 개요입니다.
캘리포니아 개인정보 보호청 - 법률 및 규정 CCPA/CPRA 규정 및 규칙 제정에 관한 캘리포니아 개인정보 보호청 공식 페이지입니다.
U.S. Code - 18 U.S.C. Section 2511: 유선, 구두 또는 전자 통신의 가로채기 및 공개 금지 전자 통신 가로채기와 관련된 공식 U.S. Code 텍스트입니다.
미국 법무부 - 1986년 전자 통신 개인정보 보호법 ECPA 및 전자·디지털 통신과의 관계에 대한 DOJ 개요입니다.
미국 노동부 - 현장 지원 회보 제2020-5호 원격 근무 상황을 포함하여 근무 시간 추적 및 보상과 관련된 DOL 공식 지침입니다.
뉴욕 민권법 Section 52-c - 전자 모니터링을 수행하는 고용주; 사전 고지 필요 특정 직원 전자 모니터링에 대해 사전 고지를 요구하는 뉴욕 공식 법률입니다.
코네티컷 일반법 Section 31-48d - 전자 모니터링 고지 전자 모니터링을 수행하는 고용주의 고지 요구사항을 다루는 코네티컷 공식 법령입니다.
델라웨어 법전 Title 19 Section 705 - 전화 전송, 전자 메일 및 인터넷 사용 모니터링 고지 전화, 이메일 및 인터넷 사용 모니터링에 대한 고지 요구사항을 다루는 델라웨어 공식 법률입니다.
캐나다
PIPEDA (개인정보 보호 및 전자문서법)
PIPEDA는 상업 활동 과정에서 개인정보를 수집, 사용 또는 공개하는 캐나다의 많은 민간 부문 조직에 적용됩니다. 직원 개인정보의 경우 PIPEDA는 일반적으로 연방 규제를 받는 직장에 적용되며, 일부 주는 자체 민간 부문 개인정보 보호법을 보유하고 있습니다.
PIPEDA는 식별자, 장치 데이터, 온라인 활동, 애플리케이션 사용, 통신 관련 데이터 및 생산성 기록을 포함하여 온라인 또는 직원 모니터링을 통해 수집된 개인정보를 포괄할 수 있습니다.
조직은 모니터링의 명확한 목적을 식별하고, 수집을 필요한 범위로 제한하며, 개인정보를 투명한 방식으로 처리해야 합니다.
동의가 필요한 경우, 어떤 데이터가 수집되는지, 왜 수집되는지, 어떻게 사용될지, 누가 접근할 수 있는지에 대한 명확한 정보에 기반한 의미 있는 동의여야 합니다.
직원은 일반적으로 무엇이 모니터링되는지, 왜 모니터링이 사용되는지, 정보가 어떻게 사용될지, 그리고 얼마나 오래 보관될 수 있는지에 대해 안내받아야 합니다.
모니터링을 통해 수집된 개인정보는 적절한 보안 보호조치로 보호되어야 합니다.
주별 개인정보 보호법 (Alberta PIPA, British Columbia PIPA, Quebec Law 25)
앨버타, 브리티시컬럼비아 및 퀘벡은 각 주 내에서 적용될 수 있는 민간 부문 개인정보 보호법을 보유하고 있습니다.
이러한 법률은 일반적으로 합리적인 목적, 제한된 수집, 투명성, 접근권, 보관 제한 및 적절한 보호조치와 같은 유사한 개인정보 보호 원칙을 따릅니다.
직원 모니터링의 경우 요구사항은 주, 직장의 유형, 모니터링 목적, 데이터의 민감성 및 모니터링이 고용 관계 관리를 위해 합리적인지 여부에 따라 달라질 수 있습니다.
고용주는 요구되는 경우 모니터링 도구를 통해 개인정보를 수집하기 전에 직원에게 알려야 합니다.
일부 주는 어떤 개인정보가 수집되는지, 왜 수집되는지, 얼마나 오래 보관되는지, 누가 접근할 수 있는지를 설명하는 정책 또는 고지를 요구할 수 있습니다.
여러 캐나다 주에서 운영하는 조직은 모니터링 소프트웨어를 도입하기 전에 연방 및 주별 요구사항을 모두 검토해야 합니다.
공식 출처:
캐나다 개인정보 보호위원회 사무소 - PIPEDA 캐나다 연방 민간 부문 개인정보 보호법에 대한 공식 개요입니다.
캐나다 개인정보 보호위원회 사무소 - 직장 내 개인정보 보호 직장 개인정보 보호, 직원 개인정보 및 고용주의 책임에 관한 지침입니다.
캐나다 개인정보 보호위원회 사무소 - 의미 있는 동의 획득을 위한 지침 캐나다 민간 부문 개인정보 보호법에 따른 의미 있는 동의에 관한 지침입니다.
앨버타 정부 - 개인정보 보호법 앨버타 민간 부문 개인정보 보호법에 관한 앨버타 정부 공식 페이지입니다.
앨버타 정부 - 직원 개인정보 Alberta PIPA가 직원 개인정보에 어떻게 적용되는지에 관한 지침입니다.
BC Laws - 개인정보 보호법 브리티시컬럼비아 개인정보 보호법의 공식 텍스트입니다.
Legis Quebec - 민간 부문의 개인정보 보호에 관한 법률 퀘벡 민간 부문 개인정보 보호법의 공식 텍스트입니다.
영국
UK GDPR
직원 및 온라인 활동 모니터링을 포함하여 영국 내 개인정보 처리에 적용됩니다.
정당한 이익, 법적 의무, 계약상 필요성 또는 적절한 경우 동의와 같은 명확한 법적 근거를 모니터링에 요구합니다.
모니터링은 필요하고, 비례적이며, 투명하고, 지나치게 침해적이지 않아야 합니다.
고용주는 위험 평가를 수행해야 하며, 지속적 추적, 키로깅 또는 기타 침해적 모니터링과 같이 모니터링이 개인에게 높은 위험을 초래할 가능성이 있는 경우 데이터 보호 영향 평가(DPIA)를 완료해야 할 수 있습니다.
직원은 일반적으로 무엇이 모니터링되는지, 왜 모니터링되는지, 어떤 데이터가 수집되는지, 어떻게 사용될지, 누가 접근할 수 있는지, 그리고 얼마나 오래 저장될지를 알아야 합니다.
2018년 데이터 보호법
UK GDPR을 보완하며 개인정보 처리에 대한 추가 규칙, 조건 및 예외를 제공합니다.
특별 범주 데이터, 범죄 관련 데이터, 고용 관련 처리 및 법 집행 처리와 관련된 조항을 포함합니다.
데이터 최소화, 목적 제한, 보안, 책임성 및 개인 권리와 같은 원칙을 강화합니다.
개인은 일반적으로 자신의 개인정보에 접근할 권리가 있으며, 일부 경우 특정 유형의 처리에 이의를 제기할 권리가 있습니다.
RIPA 및 관련 통신 가로채기 규칙
2000년 수사권한 규제법과 관련 영국 통신 가로채기 규칙은 특정 유형의 통신 가로채기 및 통신 접근을 규제합니다.
합법적 권한, 동의 또는 다른 적용 가능한 법적 근거나 예외가 없는 한 통신 가로채기는 제한될 수 있습니다.
직장 모니터링의 경우, 특히 이메일, 채팅, 통화, 메시지 또는 기타 통신 내용을 포함할 수 있는 경우 통신 모니터링은 신중하게 평가되어야 합니다.
은밀하거나 공개되지 않은 모니터링은 매우 민감하며, 많은 경우 불법일 수 있고, 명확한 정당성과 적절한 법적 검토가 있는 예외적인 상황에서만 고려되어야 합니다.
ICO 고용 관행 지침
영국 정보위원회는 근로자 모니터링 및 직원 개인정보 처리에 관한 지침을 제공합니다.
ICO는 모니터링이 표적화되고, 비례적이며, 명확한 목적에 의해 정당화되고, 과도하지 않아야 한다고 강조합니다.
고용주는 모니터링 도구를 도입하기 전에, 특히 모니터링이 침해적이거나 지속적인 경우 근로자에게 미치는 영향을 고려해야 합니다.
고용주는 무엇이 모니터링되는지, 왜 모니터링되는지, 데이터가 어떻게 사용되는지, 누가 접근할 수 있는지, 얼마나 오래 보관되는지를 설명하는 명확한 서면 정책을 마련해야 합니다.
이 지침은 투명성, 책임성, 적절한 경우 협의, 그리고 근로자의 합리적인 개인정보 보호 기대에 대한 존중을 강조합니다.
공식 출처:
ICO - 고용 관행 및 데이터 보호: 근로자 모니터링 근로자 모니터링 및 관련 데이터 보호 의무를 포함한 고용 관행에 관한 ICO 공식 지침 허브입니다.
ICO - 법적 근거 안내 UK GDPR에 따른 개인정보 처리의 법적 근거에 관한 ICO 지침입니다.
ICO - 언제 DPIA를 수행해야 하는가? 데이터 보호 영향 평가가 언제 필요할 수 있는지 설명하는 ICO 지침입니다.
legislation.gov.uk - 2018년 데이터 보호법 2018년 데이터 보호법의 공식 텍스트입니다.
legislation.gov.uk - 2000년 수사권한 규제법 2000년 수사권한 규제법의 공식 텍스트입니다.
GOV.UK - 통신 가로채기: 실무 강령 통신 가로채기와 관련된 영국 정부의 실무 강령입니다.
호주 및 뉴질랜드
1988년 개인정보 보호법 (호주)
1988년 개인정보 보호법은 온라인 모니터링 또는 직장 관련 시스템을 통해 수집될 수 있는 특정 데이터를 포함하여 호주 조직이 개인정보를 처리하는 방식에 대한 포괄적인 틀을 설정합니다.
이 법은 적용 대상 조직이 합리적으로 필요한 정보만 수집하고, 개인정보가 어떻게 사용되는지에 대해 투명하게 공개하며, 이를 안전하게 보호하도록 요구합니다.
이 법에는 상세한 직장 감시 규칙이 포함되어 있지 않으며, 민간 부문 고용주가 처리하는 직원 기록은 특정 상황에서 호주 개인정보 보호 원칙의 적용이 면제될 수 있습니다. 그러나 개인정보를 포함하는 모니터링은 직원 기록 예외가 적용되지 않는 경우, 서비스 제공자가 직원 데이터를 처리하는 경우 또는 기타 개인정보 보호 의무가 발생하는 경우와 같은 일부 맥락에서 여전히 개인정보 보호법의 적용을 받을 수 있습니다.
실무적으로 모니터링 도구를 사용하는 고용주와 서비스 제공자는 명확한 사업 목적을 정의하고, 과도한 추적을 피하며, 개인정보 보호정책과 내부 문서에서 그 관행을 설명하고, 관련 주 또는 준주의 직장 감시법을 고려해야 합니다.
직장 감시법 (주 단위, 호주)
일부 호주 주와 준주는 Workplace Surveillance Act 2005 (NSW) 및 Workplace Privacy Act 2011 (ACT)와 같은 직장 감시법을 통해 직장 모니터링을 보다 직접적으로 규제합니다.
이러한 법률은 고용주가 카메라, 컴퓨터 및 추적 감시를 언제 어떻게 사용할 수 있는지를 규제할 수 있으며, 모니터링이 시작되기 전에 사전 서면 고지, 명확한 정책 및 특정 조건을 요구하는 경우가 많습니다.
은밀하거나 비밀스러운 감시는 엄격히 제한되며, 특정 권한 또는 법적 승인이 필요할 수 있습니다. 이는 성과 추적을 위한 일상적인 방법으로 취급되어서는 안 됩니다.
온라인 모니터링 도구의 경우, 이는 해당 주와 준주의 고용주가 요구되는 경우 명확하고 시의적절한 고지를 제공하고, 모든 컴퓨터, 인터넷, 이메일 또는 추적 감시가 적용 가능한 법정 조건에 부합하도록 해야 함을 의미합니다.
2020년 개인정보 보호법 (뉴질랜드)
뉴질랜드의 2020년 개인정보 보호법은 국가의 개인정보 보호 체계를 제공하며, 직장 또는 온라인 모니터링을 통해 수집된 정보를 포함하여 기관이 처리하는 개인정보에 적용됩니다.
이 법은 조직이 합법적이고 필요한 목적을 위해서만 정보를 수집하고, 관행에 대해 공개적이어야 하며, 해당되는 경우 개인에게 자신의 개인정보에 대한 접근권을 제공하도록 요구합니다.
규제기관의 지침은 직원의 모니터링, 녹음 또는 촬영이 개인정보 보호법 및 개인정보 보호 원칙에 따라 이루어져야 한다고 강조합니다. 고용주는 또한 모니터링이 직원의 신뢰, 사기 및 직장 관계에 어떤 영향을 미칠 수 있는지 고려해야 합니다.
고용주는 직원과 협의하고, 모니터링이 필요한 이유를 설명하며, 명확한 직장 정책을 사용하고, 지속적이거나 상세한 추적의 영향을 고려하도록 권장됩니다.
공식 출처:
OAIC - 개인정보 보호법 호주의 1988년 개인정보 보호법 및 호주 개인정보 보호 원칙에 대한 공식 개요입니다.
OAIC - 직원 기록 예외 민간 부문 고용주의 직원 기록 처리가 언제 호주 개인정보 보호 원칙에서 면제될 수 있는지 설명합니다.
OAIC - 직장 모니터링 및 감시 직장 모니터링이 주, 준주 및 기타 관련 호주 법률을 포함할 수 있음을 설명하는 지침입니다.
ACT Legislation - 2011년 직장 개인정보 보호법 2011년 직장 개인정보 보호법에 대한 ACT 공식 법률 페이지입니다.
뉴질랜드 법률 - 2020년 개인정보 보호법 뉴질랜드 2020년 개인정보 보호법의 공식 텍스트입니다.
뉴질랜드 개인정보 보호위원회 - 2020년 개인정보 보호법 뉴질랜드 개인정보 보호 원칙에 대한 공식 개요입니다.
Employment New Zealand - 직원 개인정보 보호 직원 개인정보 보호, 직장 모니터링, 직원 녹음 및 촬영에 관한 지침입니다.
아시아 태평양 지역
PDPA (개인정보 보호법) - 싱가포르
직원 또는 온라인 모니터링을 통해 수집될 수 있는 데이터를 포함하여 조직이 수집, 사용 또는 공개하는 개인정보를 포괄합니다.
조직이 적절한 목적을 위해, 그리고 허용되는 경우 동의, 간주된 동의 또는 다른 적용 가능한 예외에 따라 개인정보를 수집, 사용 또는 공개하도록 요구합니다.
투명성, 적절한 고지, 목적 제한 및 데이터 보호 조치에 강한 중점을 둡니다.
조직은 개인정보가 수집, 사용 또는 공개되는 목적에 대해 개인에게 알려야 합니다.
보관은 법적 또는 사업상 목적에 필요한 범위로 제한되어야 합니다.
PDPA - 말레이시아
개인정보가 수집되거나 사용되는 고용 관련 맥락을 포함하여 상업 거래에서 처리되는 개인정보에 적용됩니다.
조직이 일반 원칙, 고지 및 선택, 공개, 보안, 보관, 데이터 무결성 및 접근 원칙을 포함한 주요 개인정보 보호 원칙을 준수하도록 요구합니다.
조직은 개인정보 수집 목적과 데이터가 어떻게 사용될지에 대해 명확한 고지를 제공해야 합니다.
데이터는 구체적이고 명시된 목적을 위해 처리되어야 하며, 적절한 보안 조치로 보호되어야 하고, 필요한 기간보다 오래 보관되어서는 안 됩니다.
보관, 데이터 보안, 접근권, 정정권 및 제3자 처리에 관한 규칙을 포함합니다.
APPI (개인정보 보호에 관한 법률) - 일본
고객 및 직원 개인정보를 포함하여 기업 및 기타 적용 대상 기관의 개인정보 처리를 규율합니다.
조직이 이용 목적을 특정하고, 해당 명시된 목적 범위 내에서 개인정보를 처리하도록 요구합니다.
데이터 보안, 정확성, 보관 관리, 그리고 개인정보를 처리하는 직원 및 서비스 제공자에 대한 적절한 감독을 강조합니다.
개인정보를 포함하는 모니터링 관행은 내부 정책 및 명시된 이용 목적과 일치해야 합니다.
개인은 맥락에 따라 공개, 정정, 이용 중지 또는 삭제에 대한 권리를 가질 수 있습니다.
PIPL (개인정보 보호법) - 중국
중국 내 개인정보 처리 및 중국 내 개인과 관련된 중국 외부의 특정 처리 활동을 포괄하는 종합적인 개인정보 보호법입니다.
명확하고 합리적인 목적, 데이터 최소화, 투명성 및 적절한 보안 조치를 요구합니다.
많은 경우 동의가 필요할 수 있으며, 맥락에 따라 다른 합법적 처리 근거가 적용될 수 있습니다.
민감한 개인정보, 특정 공개, 국경 간 이전 또는 기타 더 높은 위험의 처리 활동에는 별도의 동의가 필요할 수 있습니다.
개인에게 접근, 정정, 삭제, 동의 철회 및 처리 규칙 설명과 같은 권리를 부여합니다.
공식 출처:
Singapore PDPC - 개인정보 보호법 싱가포르 개인정보 보호법에 대한 공식 개요입니다.
Singapore PDPC - 데이터 보호 의무 동의, 고지, 목적 제한, 보호 및 보관과 같은 주요 의무를 설명하는 PDPC 공식 페이지입니다.
Singapore PDPC - PDPA의 주요 개념에 관한 자문 지침 동의 및 예외를 포함하여 PDPA의 주요 개념을 설명하는 공식 지침입니다.
말레이시아 개인정보 보호부 - 2010년 개인정보 보호법 2010년 개인정보 보호법에 관한 말레이시아 정부 공식 페이지입니다.
말레이시아 개인정보 보호부 - 개인정보 보호 원칙 말레이시아의 7가지 개인정보 보호 원칙에 대한 공식 개요입니다.
말레이시아 개인정보 보호부 - 개인정보 보호 고지에 관한 지침 개인정보 보호 고지 작성에 관한 공식 지침입니다.
일본 개인정보보호위원회 - 개인정보 보호에 관한 법률 일본 개인정보 보호에 관한 법률의 공식 영어 번역본입니다.
일본 개인정보보호위원회 일본 개인정보 보호 규제기관의 공식 웹사이트입니다.
중국 국가 법률 및 규정 데이터베이스 - 개인정보 보호법 중국 개인정보 보호법의 공식 중국어 텍스트입니다.
중국 국가인터넷정보판공실 - 개인정보 보호법 중국 개인정보 보호법에 관한 CAC 공식 간행물입니다.
라틴아메리카
LGPD (Lei Geral de Protecao de Dados) - 브라질
브라질의 LGPD는 디지털 수단으로 처리되는 데이터를 포함하여 개인정보 처리를 규제합니다. 데이터가 식별되었거나 식별 가능한 개인과 관련되는 경우, 온라인 또는 직장 모니터링을 통해 수집된 정보에 적용될 수 있습니다.
조직은 모니터링을 위한 적절한 법적 근거를 식별하고 데이터 수집 목적을 설명해야 합니다. 모니터링은 필요한 범위로 제한되고, 투명하게 수행되며, 적절한 보안 조치로 뒷받침되어야 합니다.
개인은 해당되는 경우 접근, 정정, 삭제, 이동성, 데이터 공유에 관한 정보 및 동의 철회와 같은 권리를 가질 수 있습니다.
아르헨티나, 멕시코 및 칠레의 국가 개인정보 보호법
아르헨티나, 멕시코 및 칠레는 관련된 데이터의 맥락과 유형에 따라 모니터링 도구를 통해 수집된 개인정보에 적용될 수 있는 국가 데이터 보호 체계를 갖추고 있습니다.
이 지역 전반의 공통적인 개인정보 보호 기대사항에는 명확하고 적절한 목적 보유, 개인에게 데이터 수집에 대해 알리는 것, 데이터 사용을 필요한 범위로 제한하는 것, 적절한 보호조치로 개인정보를 보호하는 것이 포함됩니다.
개인은 적용 가능한 법률에 따라 자신의 개인정보에 접근, 정정, 업데이트, 삭제하거나 특정 사용에 대해 이의를 제기할 권리를 가질 수 있습니다.
구체적인 요구사항은 국가마다 다르고 시간이 지나면서 변경될 수 있으므로, 조직은 이러한 시장에서 온라인 또는 직장 모니터링을 도입하기 전에 현재의 현지 규칙을 검토해야 합니다.
공식 출처:
브라질 - 법률 제13.709/2018호, 일반 개인정보 보호법 (LGPD) 브라질 LGPD의 공식 통합 텍스트입니다.
아르헨티나 - Agencia de Acceso a la Informacion Publica: 개인정보 보호 개인정보 보호에 관한 아르헨티나 당국의 공식 페이지입니다.
칠레 - 사생활 보호에 관한 법률 제19.628호 칠레 개인정보 보호법의 공식 텍스트입니다.
칠레 - 법률 제21.719호, 개인정보 보호 및 처리 현대화된 칠레 데이터 보호 체계의 공식 텍스트입니다.
중동 지역
UAE 데이터 보호법 (2021년 연방 법령 제45호)
UAE의 연방 개인정보 보호법은 개인정보 처리를 위한 일반적인 틀을 제공합니다. 이 법은 법률의 범위와 적용 가능한 산업별 또는 자유구역 규칙에 따라 UAE에서 개인정보를 처리하거나 UAE 내 개인의 개인정보를 처리하는 조직에 적용될 수 있습니다.
모니터링의 경우 조직은 명확하고 합법적인 목적을 정의하고, 데이터 수집을 필요한 범위로 제한하며, 투명성과 보안에 강한 중점을 두어야 합니다.
조직은 요구되는 경우 모니터링에 대해 직원에게 알리고, 개인정보 수집 사유를 문서화하며, 모니터링된 데이터를 처리하기 위한 내부 정책과 보호조치를 마련해야 합니다.
카타르 데이터 개인정보 보호법
카타르의 개인정보 보호법은 전자적으로 처리되거나 전자 처리될 예정인 개인정보를 포괄합니다.
이 법은 개인의 데이터 개인정보 보호 권리를 인정하며, 개인정보 처리가 투명성, 공정성 및 개인정보 보호 존중과 같은 원칙을 따르도록 요구합니다.
모니터링 시스템의 경우 조직은 명확하고 합법적인 목적을 가져야 하며, 요구되는 경우 개인에게 알리고, 적절한 보안 조치로 개인정보를 보호해야 합니다.
조직은 접근권 및 정정권이 있는 경우 이를 포함하여 적용 가능한 권리도 존중해야 합니다.
사우디 개인정보 보호법 (PDPL)
사우디아라비아의 PDPL은 왕국 내 개인정보 처리를 규제하며, 사우디아라비아 내 개인의 개인정보가 관련된 경우 왕국 외부의 특정 처리 활동에도 적용될 수 있습니다.
모니터링의 경우 조직은 명확한 목적을 정의하고, 개인정보 보호정책을 채택하며, 개인정보가 어떻게 수집되고 사용될지 개인에게 알려야 합니다.
많은 경우 동의가 필요할 수 있으며, 맥락에 따라 다른 합법적 근거가 적용될 수 있습니다.
모니터링 도구를 사용하는 고용주는 모니터링된 데이터를 보호하고, 내부 접근을 제한하며, 불필요한 수집을 피하고, 직원 정보를 PDPL의 투명성, 보안 및 보관 요구사항에 따라 처리해야 합니다.
공식 출처:
UAE 법률 - 개인정보 보호에 관한 2021년 연방 법령 제45호 UAE 연방 개인정보 보호법의 공식 텍스트입니다.
Qatar Al Meezan - 개인정보 보호에 관한 2016년 법률 제13호 카타르 개인정보 보호법의 공식 영어 PDF 텍스트입니다.
SDAIA - 데이터 보호법 사우디아라비아 개인정보 보호법에 관한 사우디 데이터 및 AI 당국의 공식 페이지입니다.
SDAIA - 개인정보 보호법 사우디아라비아 개인정보 보호법의 공식 영어 버전입니다.
책임 있는 모니터링을 위한 최종 고려사항
온라인 및 직원 모니터링 법률은 국가, 주, 산업 및 직장 환경에 따라 크게 다릅니다. 동일한 모니터링 도구라도 구성 방식, 수집되는 데이터, 사용자가 고지받았는지 여부, 정보가 어떻게 사용되는지에 따라 어떤 맥락에서는 허용될 수 있고, 다른 맥락에서는 부적절하거나 불법일 수 있습니다.
책임 있는 모니터링 프로그램은 일반적으로 다음을 포함해야 합니다:
모니터링을 위한 명확하고 정당한 목적
무엇이 모니터링되는지와 그 이유를 설명하는 서면 내부 정책
요구되는 경우 사용자 또는 직원 고지
제한적이고 비례적인 데이터 수집
강력한 접근 통제 및 보안 보호조치
수집된 데이터에 대한 정해진 보관 기간
모니터링 관행의 정기적 검토
고위험, 민감한, 은밀한 또는 국경 간 모니터링 상황에 대한 법적 검토
Spyrix는 허가된 사용을 위한 모니터링 소프트웨어를 제공합니다. 그러나 각 조직은 모니터링 도구의 구체적인 사용이 적용 가능한 법률, 내부 정책 및 고지 요구사항을 준수하는지 여부를 판단할 책임이 있습니다. 의문이 있는 경우 조직은 모니터링 소프트웨어를 배포하거나 더 침해적인 모니터링 기능을 활성화하기 전에 자격을 갖춘 법률 전문가와 상담해야 합니다.