Spyrix logo

Oprogramowanie

Śledzenie telefonu

Mac

Zakup

Pobierać

Biznes

Wsparcie

Firma

Spyrix logo

Oprogramowanie

Śledzenie telefonu

Śledzenie telefonu

Kontrola rodzicielska

Kontrola rodzicielska

Mac

Cennik

Zarejestruj się

Moje konto

Przepisy dotyczące monitorowania online

Zespół Spyrix gromadzi najważniejsze akty prawne i dokumenty określające, jak pracodawcy mogą legalnie monitorować aktywność swoich pracowników w Internecie. Zawiera również wytyczne dotyczące korzystania z narzędzi monitorujących w celach prywatnych.

Globalne akty międzynarodowe

RODO (Rozporządzenie ogólne o ochronie danych – Unia Europejska)

RODO to podstawowe rozporządzenie Unii Europejskiej dotyczące ochrony danych, które ma zastosowanie do każdej organizacji przetwarzającej dane osobowe osób fizycznych w UE, niezależnie od miejsca jej działalności. Monitorowanie aktywności online, monitorowanie pracowników i wszelkie formy śledzenia cyfrowego są objęte jego zakresem, gdy dotyczą danych osobowych.

Zgodnie z RODO, monitorowanie jest zasadniczo zgodne z prawem tylko wtedy, gdy istnieje ważna podstawa prawna, taka jak uzasadniony interes, realizacja umowy lub uzyskanie wyraźnej zgody. Przed wdrożeniem narzędzi monitorujących organizacje powinny upewnić się, że monitorowanie jest konieczne, proporcjonalne i nie narusza nadmiernie prywatności osób fizycznych.

RODO nakłada na firmy obowiązek przeprowadzenia oceny uzasadnionego interesu (LIA) lub, gdy monitorowanie może wiązać się z większym ryzykiem, oceny skutków dla ochrony danych (DPIA). Oceny te pomagają ustalić zasadność monitorowania i zidentyfikować sposoby ograniczenia ryzyka związanego z gromadzeniem danych.

Przejrzystość jest niezbędna. Osoby muszą być z wyprzedzeniem jasno poinformowane o rodzaju monitoringu, jego celu, gromadzonych danych, podstawie prawnej, osobach, które będą miały do ​​nich dostęp, oraz okresie ich przechowywania. Nieujawniony lub ukryty monitoring jest zasadniczo ograniczony i dozwolony jedynie w bardzo wąskich okolicznościach określonych w przepisach krajowych.

RODO kładzie również nacisk na minimalizację danych, wymagając od organizacji gromadzenia tylko tych danych, które są niezbędne do realizacji określonego celu. Ciągły lub nadmiernie inwazyjny monitoring bez wyraźnego uzasadnienia może naruszać zasady RODO.

W przypadku narzędzi do monitorowania online najważniejsze obowiązki wynikające z RODO obejmują:

  • Zapewnianie jasnych informacji o monitorowaniu

  • Zbieranie tylko niezbędnych danych

  • Stosowanie odpowiednich środków bezpieczeństwa technicznego i organizacyjnego

  • Identyfikacja i dokumentowanie podstawy prawnej przetwarzania

  • Umożliwienie osobom fizycznym korzystania z ich praw (dostępu, usunięcia, sprzeciwu itp.)

Wytyczne OECD dotyczące prywatności (Organizacja Współpracy Gospodarczej i Rozwoju)

Wytyczne OECD dotyczące prywatności zawierają uznane na całym świecie zasady ochrony danych i prywatności. Chociaż nie są one prawnie wiążące, mają wpływ na krajowe przepisy dotyczące prywatności na całym świecie i stanowią ramy dla odpowiedzialnego przetwarzania danych.

Wytyczne kładą nacisk na uczciwość, przejrzystość, ograniczenie celu, jakość danych, zabezpieczenia, otwartość i rozliczalność. Zasady te zachęcają organizacje do gromadzenia danych osobowych wyłącznie w jasnych, uzasadnionych celach oraz do zapewnienia, że ​​osoby fizyczne rozumieją, w jaki sposób ich dane są wykorzystywane.

W zakresie monitorowania online i pracowników, Wytyczne OECD wspierają praktyki, które są przejrzyste, proporcjonalne i respektują prywatność. Chociaż nie zawierają szczegółowych przepisów dotyczących monitorowania, promują odpowiedzialne zarządzanie danymi i stanowią podstawę dla przepisów krajowych, które bezpośrednio regulują monitorowanie.

W praktyce wytyczne zachęcają organizacje do:

  • Jasno komunikuj praktyki monitorowania

  • Ogranicz gromadzenie danych do tego, co jest konieczne

  • Chroń monitorowane dane przed nieautoryzowanym dostępem

  • Regularnie sprawdzaj, czy praktyki monitorowania są uczciwe i konieczne

Mimo że Wytyczne OECD dotyczące prywatności nie są egzekwowalne tak jak RODO, pomagają one kształtować globalne standardy i najlepsze praktyki w zakresie zgodnego z prawem i etycznego monitorowania.

Stany Zjednoczone

Działać

Gdzie to ma zastosowanie

Zakres monitorowania

Kluczowe wymagania

Notatki dla użytkowników Spyrix

CCPA

Kalifornia

Monitorowanie gromadzące dane osobowe

Informacja o ochronie prywatności, prawo dostępu/usuwania, rezygnacja z udostępniania danych

Ma zastosowanie, jeśli monitorowanie gromadzi identyfikatory, dzienniki aktywności lub dane dotyczące użytkowania

CPRA

Kalifornia

Monitoring involving "sensitive" data or detailed profiling

Ograniczenie celu, minimalizacja danych, surowsze zasady dotyczące danych wrażliwych

Ważne, gdy narzędzia rejestrują geolokalizację, wzorce zachowań lub szczegółową aktywność cyfrową

ECPA

Federalny (USA)

Przechwytywanie lub dostęp do komunikacji elektronicznej (poczta e-mail, czat, naciśnięcia klawiszy)

Ograniczenia dotyczące przechwytywania treści; wyjątki dla pracodawców często wymagają powiadomienia

Bardzo istotne w przypadku keyloggerów, monitorowania poczty e-mail i przechwytywania zawartości ekranu

Wskazówki dotyczące ustawy FLSA

Federalny (USA)

Monitorowanie służące do śledzenia godzin pracy lub produktywności

Rejestracja czasu pracy musi umożliwiać dokładne naliczanie wynagrodzeń; nie ma nieodpłatnej działalności poza godzinami pracy

Nie jest to prawo dotyczące prywatności, ale ma wpływ na sposób wykorzystywania danych monitorujących do podejmowania decyzji dotyczących wynagrodzeń

Przepisy dotyczące monitorowania w poszczególnych stanach

Różni się w zależności od stanu (NY, CT, DE, CO, VA, UT itp.)

Elektroniczny monitoring pracowników i systemów w miejscu pracy

Często wymagają pisemnego powiadomienia lub wyraźnego potwierdzenia

Pracodawcy działający w wielu stanach korzystają ze zunifikowanej polityki monitorowania i dodatków stanowych

Kanada

PIPEDA (Ustawa o ochronie danych osobowych i dokumentów elektronicznych)

  • Dotyczy organizacji sektora prywatnego w całej Kanadzie (z wyjątkiem krajów, w których zastępują je przepisy prowincjonalne).

  • Obejmuje wszelkie gromadzenie, wykorzystywanie lub ujawnianie danych osobowych, w tym monitorowanie online i pracowników.

  • Wymaga od organizacji jasnego określenia celu monitorowania i uzyskania w stosownych przypadkach znaczącej zgody.

  • Monitorowanie musi być rozsądne, ograniczone do tego, co konieczne, i prowadzone w sposób przejrzysty.

  • Pracownicy powinni być informowani o tym, co jest monitorowane, dlaczego jest monitorowane i w jaki sposób uzyskane informacje będą wykorzystywane.

  • Dane osobowe muszą być chronione przy zastosowaniu odpowiednich środków bezpieczeństwa.

Ustawy o ochronie prywatności prowincji (Alberta PIPA, British Columbia PIPA, Quebec Law 25)

  • Złóż wniosek w organizacjach sektora prywatnego w swoich prowincjach.

  • Zasadniczo zasady te odzwierciedlają zasady ustawy PIPEDA, ale mogą zawierać bardziej rygorystyczne zasady dotyczące zgody, przechowywania danych i prywatności pracowników.

  • Monitorowanie musi być uzasadnione celami biznesowymi i zgodne z jasnymi, komunikowanymi zasadami.

  • Pracodawca musi poinformować pracowników przed rozpoczęciem zbierania danych osobowych za pomocą narzędzi monitorujących.

  • W niektórych prowincjach wymagane są przepisy wyjaśniające, jaki rodzaj gromadzonych danych jest realizowany, jak długo są one przechowywane i kto ma do nich dostęp.

  • Organizacje mają obowiązek udostępnić pracownikom na żądanie dostęp do ich danych osobowych.

Zjednoczone Królestwo

RODO w Wielkiej Brytanii

  • Dotyczy przetwarzania danych osobowych w Wielkiej Brytanii, w tym monitorowania pracowników i aktywności online.

  • Requires a clear lawful basis for monitoring (often "legitimate interests" or contract).

  • Monitorowanie musi być konieczne, proporcjonalne i nie może być nadmiernie natarczywe.

  • Pracodawcy powinni przeprowadzić ocenę ryzyka lub ocenę skutków dla ochrony danych (DPIA) w przypadku monitorowania o podwyższonym ryzyku (np. ciągłe śledzenie, rejestrowanie naciśnięć klawiszy).

  • Duży nacisk na przejrzystość: pracownicy powinni wiedzieć, co jest monitorowane, dlaczego i w jaki sposób dane będą wykorzystywane i przechowywane.

Ustawa o ochronie danych z 2018 r.

  • Uzupełnia brytyjskie rozporządzenie GDPR i wprowadza dodatkowe zasady i wyjątki.

  • Określa szczegółowe postanowienia dotyczące zatrudnienia i dostępu organów ścigania.

  • Wzmacnia zasady minimalizacji danych, ograniczenia celu i bezpieczeństwa danych monitorowanych.

  • Przyznaje osobom fizycznym prawo dostępu do swoich danych osobowych, a w niektórych przypadkach także prawo do sprzeciwu wobec niektórych rodzajów monitorowania.

RIPA (ustawa o regulacji uprawnień śledczych)

  • Reguluje podsłuch komunikacji oraz stosowanie nadzoru i tajnego monitoringu.

  • Ogólnie rzecz biorąc, ogranicza przechwytywanie komunikacji bez zgody lub odpowiedniego upoważnienia.

  • Ukryte monitorowanie pracowników (bez ich wiedzy) jest dozwolone wyłącznie w bardzo ograniczonych okolicznościach, na przykład w przypadku dochodzeń w sprawie poważnego naruszenia zasad postępowania lub gdy jest to proporcjonalne.

Kodeks praktyk zatrudnienia ICO (i powiązane wytyczne)

  • Niewiążące wytyczne brytyjskiego Komisarza ds. Informacji dotyczące monitorowania w miejscu pracy.

  • Podkreśla, że ​​monitorowanie powinno być ukierunkowane, a nie nadmierne i uzasadnione wyraźną potrzebą biznesową.

  • Zaleca przeprowadzenie oceny skutków przed wprowadzeniem nowych narzędzi monitorowania.

  • Zaleca pracodawcom stworzenie jasnych, pisemnych zasad wyjaśniających, co jest monitorowane, w jaki sposób i w jakim celu.

  • Podkreśla potrzebę konsultacji, przejrzystości i poszanowania uzasadnionych oczekiwań pracowników co do prywatności.

Australia i Nowa Zelandia

Ustawa o ochronie prywatności z 1988 r. (Australia)

Ustawa o ochronie prywatności z 1988 r. ustanawia ogólne ramy dla sposobu, w jaki australijskie organizacje przetwarzają dane osobowe, w tym dane gromadzone za pośrednictwem monitoringu online i monitoringu pracowników. Wymaga ona od organizacji gromadzenia wyłącznie informacji, które są w uzasadniony sposób niezbędne, transparentnego informowania o sposobie ich wykorzystania oraz zapewnienia ich bezpieczeństwa. Chociaż ustawa nie zawiera szczegółowych przepisów dotyczących nadzoru w miejscu pracy, każdy monitoring identyfikujący daną osobę będzie zasadniczo podlegał australijskim zasadom ochrony prywatności, w szczególności w zakresie powiadamiania, ograniczenia celu i praw dostępu. W praktyce oznacza to, że pracodawcy i dostawcy usług korzystający z narzędzi monitorujących powinni jasno określić cele biznesowe, unikać nadmiernego śledzenia oraz wyjaśniać swoje praktyki w politykach prywatności i dokumentacji wewnętrznej.

Ustawy o nadzorze w miejscu pracy (na szczeblu stanowym, Australia)

Kilka stanów i terytoriów Australii reguluje monitorowanie w sposób bardziej bezpośredni za pomocą przepisów dotyczących nadzoru w miejscu pracy, takich jak ustawa o nadzorze w miejscu pracy z 2005 r. (Nowa Południowa Walia) i ustawa o ochronie prywatności w miejscu pracy z 2011 r. (Australijskie Terytorium Stołeczne). Przepisy te zazwyczaj regulują, kiedy i jak pracodawcy mogą korzystać z kamer, komputerów i systemów śledzenia, często wymagając uprzedniego pisemnego powiadomienia, widocznego oznakowania i jasnych zasad przed rozpoczęciem monitorowania. Ukryty nadzór jest ściśle ograniczony i zazwyczaj dozwolony tylko na podstawie specjalnego upoważnienia oraz w przypadku poważnych wykroczeń lub dochodzeń w sprawie działań niezgodnych z prawem, a nie w celu rutynowego monitorowania wydajności. W przypadku narzędzi do monitorowania online oznacza to, że pracodawcy w objętych przepisami stanach muszą jasno i terminowo powiadomić pracowników o możliwości monitorowania ich komputerów, Internetu lub poczty e-mail oraz upewnić się, że wszelkie monitorowanie jest zgodne z wymogami ustawowymi.

Ustawa o ochronie prywatności z 2020 r. (Nowa Zelandia)

Nowozelandzka ustawa o ochronie prywatności z 2020 r. modernizuje krajowe ramy ochrony prywatności i ma zastosowanie zarówno do danych klientów, jak i pracowników, w tym informacji gromadzonych poprzez monitorowanie miejsca pracy lub online. Ustawa nakłada na organizacje obowiązek gromadzenia informacji wyłącznie w celach zgodnych z prawem, jawności stosowanych praktyk oraz udostępniania danych osobowych pracowników. Wytyczne organów regulacyjnych podkreślają, że monitorowanie, nagrywanie lub filmowanie pracowników musi być proporcjonalne i powinno być wspierane przez jasne zasady obowiązujące w miejscu pracy, opracowane zgodnie z ustawą o ochronie prywatności i prawem pracy. Pracodawców zachęca się do konsultacji z pracownikami, wyjaśniania, dlaczego monitorowanie jest potrzebne, oraz do rozważenia wpływu na zaufanie i morale, zwłaszcza w przypadku korzystania z narzędzi umożliwiających ciągłe lub szczegółowe śledzenie.

Obszar Azji i Pacyfiku

PDPA (ustawa o ochronie danych osobowych) – Singapur

  • Obejmuje dane osobowe przetwarzane przez organizacje, w tym dane dotyczące pracowników i dane monitorujące.

  • Monitorowanie wymaga jasnego i zgodnego z prawem celu.

  • Zazwyczaj wymagana jest zgoda lub inna ważna podstawa.

  • Duży nacisk kładziemy na przejrzystość, prawidłowe powiadamianie i zabezpieczenia ochrony danych.

  • Zatrzymywanie danych musi być ograniczone do tego, co jest konieczne.

PDPA – Malezja

  • Dotyczy danych osobowych przetwarzanych w kontekście handlowym i zatrudnienia.

  • Zgoda jest podstawowym wymogiem gromadzenia danych monitorujących.

  • Dane muszą być przetwarzane uczciwie i w konkretnym, określonym celu.

  • Zawiera zasady dotyczące limitów przechowywania, bezpieczeństwa danych i podmiotów przetwarzających dane.

APPI (Ustawa o ochronie danych osobowych) – Japonia

  • Reguluje przetwarzanie danych osobowych klientów i pracowników.

  • Wymaga od organizacji zdefiniowania i przekazania celu monitorowania.

  • Kładzie nacisk na bezpieczeństwo danych i właściwy nadzór nad personelem przetwarzającym dane osobowe.

  • Monitorowanie musi być proporcjonalne i zgodne z wewnętrznymi zasadami.

  • Pracownicy mogą mieć prawo dostępu i poprawiania danych w zależności od kontekstu.

PIPL (Prawo o ochronie danych osobowych) – Chiny

  • Kompleksowe prawo o ochronie danych obejmujące dane dotyczące miejsca pracy i konsumentów.

  • Wymaga jasnego celu, minimalizacji danych i przejrzystości w celu monitorowania.

  • Zgoda może być konieczna, zwłaszcza gdy monitorowanie obejmuje dane wrażliwe lub szczegółowe.

  • Ustanawia surowe wymogi dotyczące przechowywania, bezpieczeństwa i dokumentowania przetwarzania.

  • Przyznaje osobom fizycznym prawo dostępu, poprawiania i żądania usunięcia monitorowanych danych.

Ameryka Łacińska

LGPD (Lei Geral de Proteção de Dados) – Brazylia

Brazylijska ustawa LGPD reguluje wszelkie wykorzystanie danych osobowych, w tym informacji gromadzonych za pośrednictwem monitoringu online lub w miejscu pracy. Organizacje potrzebują jasnej podstawy prawnej do monitorowania i muszą wyjaśnić jego cel. Monitorowanie powinno być ograniczone do niezbędnego minimum, prowadzone w sposób przejrzysty i wspierane odpowiednimi środkami bezpieczeństwa. Osoby fizyczne mają prawo dostępu do swoich danych osobowych, ich poprawiania i żądania ich usunięcia.

Krajowe przepisy dotyczące prywatności w Argentynie, Meksyku i Chile

W tych krajach obowiązują krajowe przepisy o ochronie danych osobowych, które mają zastosowanie do danych osobowych gromadzonych za pomocą narzędzi monitorujących. Wspólne wymogi obejmują: cel zgodny z prawem, informowanie osób o monitorowaniu oraz zapewnienie bezpieczeństwa danych. Monitorowanie powinno być rozsądne i proporcjonalne, a osoby fizyczne zasadniczo mają prawo dostępu do swoich danych lub ich aktualizacji. Chociaż szczegółowe przepisy różnią się, przejrzystość i konieczność są spójnymi oczekiwaniami w całym regionie.

Obszar Bliskiego Wschodu

Prawo o ochronie danych w Zjednoczonych Emiratach Arabskich (DPL / PDPL)

Federalne prawo o ochronie danych Zjednoczonych Emiratów Arabskich ma zastosowanie do organizacji przetwarzających dane osobowe osób fizycznych w Zjednoczonych Emiratach Arabskich, w tym pracowników. W przypadku monitorowania wymagane jest jasne i zgodne z prawem określenie celu, ograniczenie gromadzenia danych do niezbędnego minimum oraz kładzenie nacisku na przejrzystość i bezpieczeństwo. Organizacje powinny informować pracowników o każdym monitorowaniu, dokumentować powody jego stosowania oraz wdrożyć wewnętrzne zasady i zabezpieczenia dotyczące przetwarzania monitorowanych danych.

Prawo o ochronie prywatności danych w Katarze

Katarskie prawo o ochronie danych osobowych obejmuje dane osobowe przetwarzane elektronicznie lub przeznaczone do elektronicznego przetwarzania. Uznaje ono prawo jednostki do prywatności danych i zasadniczo wymaga zgody lub innej uzasadnionej podstawy prawnej przed przetwarzaniem danych osobowych, w tym danych gromadzonych za pośrednictwem systemów monitorujących. Organizacje muszą wdrożyć odpowiednie środki bezpieczeństwa, zapewnić transparentność w zakresie sposobu wykorzystywania danych osobowych oraz szanować prawo osób do dostępu do swoich danych i ich poprawiania.

Saudyjska ustawa o ochronie danych osobowych (PDPL)

Saudyjska ustawa PDPL ma zastosowanie do przetwarzania danych osobowych osób fizycznych w Królestwie, przez organizacje w kraju i poza nim. W celu monitorowania wymaga ona od organizacji jasnego określenia celów, przyjęcia pisemnych polityk prywatności oraz poinformowania osób o sposobie gromadzenia i wykorzystywania ich danych. Zgoda stanowi istotną podstawę przetwarzania w wielu przypadkach, chociaż prawo zezwala również na przetwarzanie z określonych powodów biznesowych, prawnych i w interesie publicznym. Pracodawcy korzystający z narzędzi monitorujących są zobowiązani do ochrony monitorowanych danych, ograniczania dostępu do nich i przetwarzania informacji o pracownikach zgodnie z zasadami przejrzystości, bezpieczeństwa i przechowywania danych zawartymi w PDPL.