Spyrix logo

소프트웨어

전화 추적기

Mac

구입

다운로드

사업

지원하다

회사

ko

ko
Spyrix logo

소프트웨어

전화 추적기

전화 추적기

부모 제어

부모 제어

Mac

가격 책정

가입하기

내 계정

온라인 모니터링 법률

스파이릭스 팀은 고용주가 직원의 온라인 활동을 합법적으로 모니터링할 수 있는 방법을 명시한 주요 법률 및 문서를 수집합니다. 또한 모니터링 도구를 개인적인 목적으로 사용하는 방법에 대한 지침도 제공합니다.

글로벌 국제법

GDPR(일반 데이터 보호 규정 - 유럽 연합)

GDPR은 유럽 연합의 핵심 데이터 보호 규정으로, 조직의 운영 위치와 관계없이 EU 내 개인의 개인 데이터를 처리하는 모든 조직에 적용됩니다. 온라인 활동 모니터링, 직원 모니터링, 그리고 개인 데이터가 관련된 모든 형태의 디지털 추적은 GDPR의 적용 범위에 포함됩니다.

GDPR에 따라 모니터링은 일반적으로 정당한 이익, 계약 이행 또는 명시적 동의 획득과 같은 유효한 법적 근거가 있는 경우에만 합법적입니다. 조직은 모니터링 도구를 도입하기 전에 모니터링이 필요하고 비례적이며 개인의 사생활을 과도하게 침해하지 않는지 확인해야 합니다.

GDPR은 기업이 적법한 이익 평가(LIA)를 수행하거나, 모니터링으로 인해 더 높은 위험이 발생할 가능성이 있는 경우 데이터 보호 영향 평가(DPIA)를 수행하도록 요구합니다. 이러한 평가는 모니터링의 정당성을 판단하고 데이터 수집 위험을 줄이는 방법을 파악하는 데 도움이 됩니다.

투명성은 필수적입니다. 개인은 감시 유형, 목적, 수집 데이터, 법적 근거, 접근 권한자, 데이터 보존 기간 등에 대해 사전에 명확하게 고지받아야 합니다. 비공개 또는 은밀한 감시는 일반적으로 제한되며, 국가 법률에서 규정하는 매우 제한적인 상황에서만 허용됩니다.

GDPR은 또한 데이터 최소화를 강조하며, 조직이 명확한 목적 달성에 필요한 정보만 수집하도록 요구합니다. 명확한 정당한 이유 없이 지속적이거나 지나치게 사생활을 침해하는 모니터링은 GDPR 원칙을 위반할 수 있습니다.

온라인 모니터링 도구와 관련하여 가장 중요한 GDPR 의무 사항은 다음과 같습니다.

  • 모니터링에 대한 명확한 고지를 제공합니다

  • 필요한 데이터만 수집합니다.

  • 적절한 기술적 및 조직적 보안 조치를 사용합니다.

  • 처리의 법적 근거를 확인하고 문서화하기

  • 개인이 자신의 권리(접근, 삭제, 이의 제기 등)를 행사할 수 있도록 허용합니다.

OECD 개인정보보호 가이드라인(경제협력개발기구)

OECD 개인정보보호 가이드라인은 데이터 보호 및 개인정보 보호에 대한 국제적으로 인정된 원칙을 제시합니다. 법적 구속력은 없지만, 전 세계 국가의 개인정보보호법에 영향을 미치며 책임감 있는 데이터 처리를 위한 틀을 제공합니다.

이 가이드라인은 공정성, 투명성, 목적 제한, 데이터 품질, 보안 조치, 개방성 및 책임성을 강조합니다. 이러한 원칙은 조직이 명확하고 합법적인 목적을 위해서만 개인 데이터를 수집하고, 개인이 자신의 데이터가 어떻게 사용되는지 이해할 수 있도록 보장하도록 장려합니다.

온라인 및 직원 모니터링과 관련하여 OECD 가이드라인은 투명성, 비례성, 그리고 개인정보 보호를 존중하는 관행을 권장합니다. 가이드라인에는 모니터링에 대한 구체적인 규칙은 명시되어 있지 않지만, 책임 있는 데이터 관리를 장려하고 모니터링을 직접 규제하는 국가 법률 제정에 참고 자료로 활용됩니다.

실제로 이 지침은 조직에게 다음과 같은 사항을 권장합니다.

  • 모니터링 방식을 명확하게 전달하세요

  • 필요한 데이터만 수집하십시오.

  • 무단 접근으로부터 모니터링 중인 데이터를 보호하세요

  • 모니터링 관행을 정기적으로 검토하여 공정성과 필요성을 확인합니다.

GDPR처럼 강제력이 있는 것은 아니지만, OECD 개인정보보호 가이드라인은 합법적이고 윤리적인 모니터링을 위한 글로벌 표준 및 모범 사례를 정립하는 데 도움이 됩니다.

미국

행동

적용되는 경우

모니터링 범위

주요 요구 사항

Spyrix 사용자 참고 사항

CCPA

캘리포니아

개인 정보를 수집하는 모니터링

개인정보 보호 고지, 접근/삭제 권리, 데이터 공유 거부

모니터링에서 식별자, 활동 로그 또는 사용량 데이터를 수집하는 경우에 적용됩니다.

CPRA

캘리포니아

민감한 데이터 또는 상세 프로파일링을 포함하는 모니터링

목적 제한, 데이터 최소화, 민감한 데이터에 대한 더욱 엄격한 규칙 적용

도구가 지리적 위치, 행동 패턴 또는 상세한 디지털 활동을 기록할 때 중요합니다.

ECPA

연방 (미국)

전자 통신(이메일, 채팅, 키 입력)의 가로채기 또는 접근

콘텐츠 가로채기에 대한 제한 사항; 고용주 예외 사항은 종종 사전 통지가 필요합니다.

키로깅, 이메일 모니터링 및 화면 캡처와 매우 관련성이 높습니다.

FLSA 관련 지침

연방 (미국)

근무 시간이나 생산성을 추적하는 데 사용되는 모니터링 시스템

근태 관리는 정확한 임금 지급을 뒷받침해야 하며, 근무 시간 외 무급 활동은 허용되지 않습니다.

개인정보보호법은 아니지만, 급여 결정에 모니터링 데이터가 사용되는 방식에 영향을 미칩니다.

주별 감시법

주에 따라 다릅니다(NY, CT, DE, CO, VA, UT 등).

직원 및 직장 시스템에 대한 전자 모니터링

서면 통지 또는 명시적인 확인이 필요한 경우가 많습니다.

여러 주에 걸쳐 사업을 운영하는 고용주는 통합 모니터링 정책과 주별 추가 혜택을 누릴 수 있습니다.

캐나다

PIPEDA(개인정보보호 및 전자문서법)

  • 이 법은 캐나다 전역의 민간 부문 조직에 적용됩니다(단, 주 법률이 이를 대체하는 경우는 제외).

  • 온라인 및 직원 모니터링을 포함하여 개인 정보의 수집, 사용 또는 공개를 모두 포괄합니다.

  • 조직은 모니터링의 명확한 목적을 파악하고, 필요한 경우 의미 있는 동의를 얻어야 합니다.

  • 감시는 합리적이어야 하고, 필요한 범위로 제한되어야 하며, 투명한 방식으로 수행되어야 합니다.

  • 직원들은 어떤 내용이 모니터링되는지, 왜 모니터링하는지, 그리고 수집된 정보가 어떻게 사용될지에 대해 충분히 고지받아야 합니다.

  • 개인 정보는 적절한 보안 조치를 통해 보호되어야 합니다.

주 개인정보보호법(앨버타 PIPA, 브리티시컬럼비아 PIPA, 퀘벡 법률 25)

  • 각 주 내의 민간 부문 기관에 지원하십시오.

  • 일반적으로 PIPEDA(개인정보보호법) 원칙을 따르지만, 동의, 보존 및 직원 개인정보 보호와 관련하여 더 엄격한 규칙이 적용될 수 있습니다.

  • 모니터링은 사업 목적에 부합하고 명확하게 전달된 정책과 일치해야 합니다.

  • 고용주는 모니터링 도구를 통해 개인 정보를 수집하기 전에 직원에게 이를 알려야 합니다.

  • 일부 주에서는 수집하는 데이터의 유형, 보존 기간 및 접근 권한을 명시하는 정책을 요구합니다.

  • 조직은 직원이 요청할 경우 자신의 개인 정보에 접근할 수 있도록 해야 합니다.

영국

영국 GDPR

  • 영국 내 개인 데이터 처리(직원 및 온라인 활동 모니터링 포함)에 적용됩니다.

  • 감시를 위해서는 명확한 법적 근거(대개 "정당한 이익" 또는 계약)가 필요합니다.

  • 감시는 필요하고, 비례적이어야 하며, 지나치게 사생활을 침해해서는 안 됩니다.

  • 고용주는 위험도가 높은 모니터링(예: 지속적인 추적, 키로깅)에 대해 위험 평가 또는 데이터 보호 영향 평가(DPIA)를 실시해야 합니다.

  • 투명성에 중점을 두어야 합니다. 직원들은 무엇을 모니터링하는지, 그 이유는 무엇인지, 그리고 데이터가 어떻게 사용되고 저장되는지 알아야 합니다.

2018년 데이터 보호법

  • 영국 GDPR을 보완하고 추가적인 규칙과 예외 사항을 제공합니다.

  • 고용 환경 및 법 집행 기관의 접근에 관한 구체적인 조항을 명시합니다.

  • 데이터 모니터링에 있어 데이터 최소화, 목적 제한 및 보안 원칙을 강화합니다.

  • 개인에게 자신의 개인 데이터에 접근할 권리와, 경우에 따라 특정 유형의 모니터링에 이의를 제기할 권리를 부여합니다.

RIPA(수사권규제법)

  • 통신 감청 및 감시, 비밀 모니터링의 사용을 규제합니다.

  • 일반적으로 동의나 적법한 권한 없이 통신을 가로채는 것을 제한합니다.

  • 직원에 대한 은밀한 감시(직원 모르게)는 중대한 부정행위 조사와 같이 비례적인 경우 등 매우 제한적인 상황에서만 허용됩니다.

ICO 고용 관행 규정(및 관련 지침)

  • 영국 정보 감독관실에서 발표한 직장 내 모니터링에 관한 비구속적 지침.

  • 모니터링은 과도하지 않고 목표에 맞춰 이루어져야 하며, 명확한 사업적 필요에 의해 정당화되어야 함을 강조합니다.

  • 새로운 모니터링 도구를 도입하기 전에 영향 평가를 실시할 것을 권장합니다.

  • 고용주에게 모니터링 대상, 방법 및 목적을 명확하게 설명하는 서면 정책을 마련할 것을 권고합니다.

  • 협의, 투명성, 그리고 근로자의 합리적인 사생활 보호 기대에 대한 존중을 강조합니다.

호주 및 뉴질랜드

1988년 개인정보보호법(호주)

1988년 개인정보보호법(Privacy Act 1988)은 온라인 및 직원 모니터링을 통해 수집된 데이터를 포함하여 호주 기업이 개인정보를 처리하는 방식에 대한 포괄적인 틀을 제시합니다. 이 법은 기업이 합리적으로 필요한 정보만 수집하고, 해당 정보의 사용 방식을 투명하게 공개하며, 안전하게 보관하도록 요구합니다. 이 법은 직장 내 감시에 대한 세부적인 규정을 포함하고 있지는 않지만, 개인을 식별할 수 있는 모든 모니터링은 일반적으로 호주 개인정보보호 원칙, 특히 고지, 목적 제한 및 접근 권한과 관련된 원칙을 준수해야 합니다. 실제로 이는 모니터링 도구를 사용하는 고용주와 서비스 제공업체가 명확한 사업 목적을 정의하고, 과도한 추적을 피하며, 개인정보보호 정책 및 내부 문서에 관련 관행을 명시해야 함을 의미합니다.

직장 감시법(주 수준, 호주)

호주의 여러 주와 준주에서는 직장 감시 관련 법률, 예를 들어 뉴사우스웨일스 주 직장 감시법(Workplace Surveillance Act 2005)과 호주 수도 특별구(ACT) 직장 개인정보보호법(Workplace Privacy Act 2011)을 통해 감시 활동을 보다 직접적으로 규제하고 있습니다. 이러한 법률은 일반적으로 고용주가 카메라, 컴퓨터 및 위치 추적 감시 도구를 언제, 어떻게 사용할 수 있는지에 대한 규정을 담고 있으며, 감시 시작 전에 사전 서면 고지, 눈에 잘 띄는 안내판 설치, 명확한 정책 수립 등을 요구하는 경우가 많습니다. 은밀한 감시는 엄격하게 제한되며, 일반적으로 특정 권한을 가진 경우에만 중대한 부정행위나 불법 활동 조사 목적으로 허용되고, 일상적인 업무 성과 추적에는 사용되지 않습니다. 온라인 감시 도구의 경우, 해당 주에 있는 고용주는 직원의 컴퓨터, 인터넷 또는 이메일 사용이 감시될 수 있음을 명확하고 시기적절하게 고지해야 하며, 모든 감시 활동이 법적 요건을 준수하도록 해야 합니다.

2020년 개인정보보호법(뉴질랜드)

뉴질랜드의 2020년 개인정보보호법은 국가의 개인정보보호 체계를 현대화하고 고객 및 직원 데이터 모두에 적용되며, 직장 또는 온라인 모니터링을 통해 수집된 정보도 포함합니다. 이 법은 조직이 합법적이고 필요한 목적으로만 정보를 수집하고, 정보 수집 관행을 투명하게 공개하며, 개인에게 자신의 개인정보에 대한 접근 권한을 제공하도록 요구합니다. 규제 기관의 지침은 직원을 모니터링, 녹음 또는 촬영하는 것은 비례적이어야 하며, 개인정보보호법과 고용법에 따라 개발된 명확한 직장 정책에 의해 뒷받침되어야 함을 강조합니다. 고용주는 직원들과 협의하고, 모니터링이 필요한 이유를 설명하며, 특히 지속적이거나 상세한 추적을 가능하게 하는 도구를 사용할 때 신뢰와 사기에 미치는 영향을 고려해야 합니다.

아시아태평양 지역

PDPA(개인정보보호법) - 싱가포르

  • 조직이 처리하는 개인 데이터(직원 데이터 및 모니터링 데이터 포함)를 다룹니다.

  • 감시를 위해서는 명확하고 합법적인 목적이 필요합니다.

  • 일반적으로 동의 또는 기타 유효한 근거가 필요합니다.

  • 투명성, 적절한 고지, 데이터 보호 조치에 중점을 둡니다.

  • 보유 정보는 필요한 범위로 제한해야 합니다.

PDPA – 말레이시아

  • 상업 및 고용 환경에서 처리되는 개인 데이터에 적용됩니다.

  • 모니터링 데이터를 수집하기 위해서는 동의가 필수적인 요건입니다.

  • 데이터는 공정하게, 그리고 명확하게 명시된 구체적인 목적을 위해서만 처리되어야 합니다.

  • 데이터 보존 기간, 데이터 보안 및 제3자 처리업체에 대한 규칙이 포함됩니다.

APPI(개인정보보호법) – 일본

  • 고객 및 직원의 개인 정보 처리 방식을 규정합니다.

  • 조직이 모니터링의 목적을 정의하고 전달하도록 요구합니다.

  • 데이터 보안과 개인 정보를 다루는 직원에 대한 적절한 감독을 강조합니다.

  • 모니터링은 비례적이어야 하며 내부 정책과 일치해야 합니다.

  • 직원은 상황에 따라 접근 및 수정 권한을 가질 수 있습니다.

개인정보보호법(PIPL) – 중국

  • 직장 및 소비자 데이터를 포괄하는 종합적인 데이터 보호법.

  • 모니터링에는 명확한 목적, 데이터 최소화 및 투명성이 필요합니다.

  • 특히 민감하거나 상세한 데이터가 관련된 모니터링의 경우 동의가 필요할 수 있습니다.

  • 보존, 보안 및 처리 과정 문서화에 대한 엄격한 요건을 설정합니다.

  • 개인에게 감시 대상 데이터에 대한 접근, 수정 및 삭제 요청 권한을 부여합니다.

라틴 아메리카

LGPD(Lei Geral de Proteção de Dados) – 브라질

브라질 개인정보보호법(LGPD)은 온라인 또는 직장 내 모니터링을 통해 수집된 정보를 포함하여 모든 개인정보 이용을 규제합니다. 조직은 모니터링에 대한 명확한 법적 근거를 마련하고 그 목적을 설명해야 합니다. 모니터링은 필요한 범위 내에서 투명하게 이루어져야 하며, 적절한 보안 조치가 뒷받침되어야 합니다. 개인은 자신의 개인정보에 대한 접근, 정정 및 삭제를 요청할 권리가 있습니다.

아르헨티나, 멕시코, 칠레의 국가 개인정보보호법

이들 국가는 모니터링 도구를 통해 수집된 개인 데이터에 적용되는 국가 데이터 보호법을 보유하고 있습니다. 공통적인 요건으로는 적법한 목적, 모니터링 대상에 대한 정보 제공, 데이터 보안 유지 등이 있습니다. 모니터링은 합리적이고 비례적이어야 하며, 개인은 일반적으로 자신의 정보에 접근하거나 정보를 수정할 권리를 갖습니다. 구체적인 규칙은 국가마다 다르지만, 투명성과 필요성은 이 지역 전반에 걸쳐 공통적으로 요구되는 사항입니다.

중동 지역

UAE 데이터 보호법(DPL/PDPL)

아랍에미리트(UAE)의 연방 데이터 보호법은 UAE 내 개인(직원 포함)에 대한 개인 정보를 처리하는 모든 조직에 적용됩니다. 모니터링을 위해서는 명확하고 합법적인 목적이 있어야 하며, 필요한 범위 내에서만 데이터를 수집해야 하고, 투명성과 보안을 최우선으로 고려해야 합니다. 조직은 모든 ​​모니터링 활동에 대해 직원들에게 알리고, 모니터링 사유를 문서화하며, 모니터링 대상 데이터 처리와 관련된 내부 정책 및 보호 조치를 마련해야 합니다.

카타르 데이터 개인정보보호법

카타르의 개인정보보호법은 전자적으로 처리되거나 전자적으로 처리될 목적으로 수집된 개인정보를 포괄합니다. 이 법은 개인의 개인정보보호 권리를 인정하며, 모니터링 시스템을 통해 수집된 데이터를 포함하여 개인정보를 처리하기 전에 일반적으로 동의 또는 기타 합법적인 근거를 요구합니다. 조직은 적절한 보안 조치를 시행하고, 개인정보 사용 방식을 투명하게 공개하며, 개인의 정보 접근 및 정정 권리를 존중해야 합니다.

사우디 개인정보보호법(PDPL)

사우디아라비아 개인정보보호법(PDPL)은 사우디아라비아 왕국 내외의 조직이 개인 정보를 처리하는 모든 경우에 적용됩니다. 모니터링을 위해서는 조직이 명확한 목적을 설정하고, 서면으로 된 개인정보 처리방침을 채택하며, 개인 정보의 수집 및 이용 방식을 개인에게 알려야 합니다. 많은 경우 동의가 처리의 중요한 근거가 되지만, 법은 특정 사업상, 법적, 공익상의 이유로도 처리를 허용합니다. 모니터링 도구를 사용하는 고용주는 모니터링 대상 데이터를 보호하고, 접근을 제한하며, PDPL의 투명성, 보안 및 보존 규칙에 따라 직원 정보를 관리해야 합니다.