Законы об онлайн-мониторинге и вопросы соответствия требованиям конфиденциальности
Последнее обновление: май 2026 года
Программное обеспечение для онлайн-мониторинга может помочь организациям защищать ресурсы компании, повышать продуктивность и понимать, как выполняется цифровая работа. Однако мониторинг сотрудников, устройств, онлайн-активности или коммуникаций может затрагивать персональные данные и правила конфиденциальности на рабочем месте.
Эта страница предоставляет общий обзор вопросов конфиденциальности и соответствия требованиям, связанных с авторизованным использованием программного обеспечения для мониторинга. В ней выделяются общие темы, встречающиеся в основных системах регулирования конфиденциальности и мониторинга на рабочем месте, такие как прозрачность, законная цель, минимизация данных, безопасность, хранение и уведомление пользователей.
Конкретные требования могут различаться в зависимости от страны, штата, отрасли, принадлежности устройства, типа собираемых данных и того, как настроен мониторинг.
Отказ от ответственности: Эта страница предоставляется исключительно в общих информационных целях и не является юридической консультацией. Законы о конфиденциальности, мониторинге на рабочем месте, труде и электронных коммуникациях различаются в зависимости от юрисдикции и могут зависеть от конкретного варианта использования, принадлежности устройства, отрасли, уведомления сотрудников, требований к согласию и типа собираемых данных.
Spyrix не определяет, является ли конкретная настройка мониторинга законной для вашей организации. Перед использованием программного обеспечения для мониторинга вам следует изучить применимые законы и внутренние политики, уведомить пользователей, где это требуется, ограничить мониторинг необходимыми и законными целями и при необходимости проконсультироваться с квалифицированным юристом.
Глобальные и региональные системы конфиденциальности
GDPR (Общий регламент по защите данных - Европейский союз)
GDPR является основным регламентом Европейского союза в области защиты данных. Он может применяться к организациям внутри или за пределами ЕС, когда они обрабатывают персональные данные способом, подпадающим под территориальную сферу действия GDPR, включая определенные случаи, связанные с физическими лицами в ЕС. Мониторинг онлайн-активности, мониторинг сотрудников и другие формы цифрового отслеживания могут подпадать под его действие, когда они связаны с персональными данными.
Согласно GDPR, деятельность по мониторингу, как правило, требует действительного законного основания и должна быть необходимой, пропорциональной и прозрачной. В зависимости от контекста организации могут опираться на такие законные основания, как законные интересы, договорная необходимость, юридическое обязательство или согласие. В трудовых отношениях согласие не всегда может быть уместным из-за характера отношений между работодателем и сотрудником.
При опоре на законные интересы организации должны оценивать и документировать, является ли цель мониторинга законной, необходимой и сбалансированной по отношению к правам и свободам соответствующих физических лиц. Когда мониторинг, вероятно, приведет к высокому риску для прав и свобод физических лиц, может потребоваться Оценка воздействия на защиту данных (DPIA).
Прозрачность имеет ключевое значение. Физические лица, как правило, должны быть заранее проинформированы о типе мониторинга, цели, категориях собираемых данных, законном основании, лицах, которые могут получить доступ к данным, и сроке хранения данных. Скрытый или нераскрытый мониторинг является крайне чувствительным вопросом, может быть незаконным во многих случаях и должен оцениваться отдельно в соответствии с применимыми местными законами.
GDPR также подчеркивает минимизацию данных, требуя от организаций собирать только те персональные данные, которые необходимы для определенной цели. Непрерывный или чрезмерно навязчивый мониторинг без четкого обоснования может противоречить принципам GDPR.
Для инструментов онлайн-мониторинга наиболее значимые соображения GDPR обычно включают:
Предоставление четкого уведомления о мониторинге, где это требуется
Сбор только необходимых и релевантных данных
Использование соответствующих технических и организационных мер безопасности
Определение и документирование законного основания для обработки
Оценка законных интересов или обработки повышенного риска, где это применимо
Предоставление физическим лицам возможности осуществлять применимые права на конфиденциальность, такие как доступ, удаление, возражение или ограничение
Официальные источники:
Регламент (ЕС) 2016/679 - Общий регламент по защите данных Официальный текст GDPR, опубликованный на EUR-Lex.
Руководящие принципы EDPB 3/2018 о территориальной сфере действия GDPR Объясняют, когда GDPR может применяться к организациям внутри и за пределами ЕС.
Руководящие принципы EDPB 05/2020 о согласии в соответствии с Регламентом 2016/679 Предоставляют рекомендации по действительному согласию в соответствии с GDPR.
Европейская комиссия - Когда требуется оценка воздействия на защиту данных? Объясняет, когда DPIA может потребоваться для обработки персональных данных повышенного риска.
EDPS - Частное использование электронных коммуникаций на рабочем месте Предоставляет рекомендации, связанные с коммуникациями на рабочем месте, ожиданиями конфиденциальности и пропорциональным мониторингом.
Руководящие принципы конфиденциальности ОЭСР (Организация экономического сотрудничества и развития)
Руководящие принципы конфиденциальности ОЭСР предоставляют международно признанные принципы конфиденциальности и защиты персональных данных. Они не являются юридически обязательными в той же мере, что национальные или региональные законы, но оказали влияние на системы регулирования конфиденциальности и политики защиты данных во многих странах.
В руководящих принципах подчеркиваются основные принципы конфиденциальности, такие как ограничение сбора, качество данных, определение цели, ограничение использования, меры безопасности, открытость, участие физических лиц и подотчетность. Эти принципы поддерживают ответственное обращение с данными и побуждают организации собирать и использовать персональные данные только для ясных, определенных и надлежащих целей.
Для онлайн-мониторинга и мониторинга сотрудников Руководящие принципы конфиденциальности ОЭСР не содержат подробных правил, специально посвященных мониторингу. Однако они предлагают полезную основу конфиденциальности для оценки того, являются ли практики мониторинга прозрачными, ограниченными законной целью, защищенными соответствующими мерами и подотчетными.
Хотя Руководящие принципы конфиденциальности ОЭСР не обеспечиваются принудительно, как GDPR, они остаются важным международным ориентиром для ответственной обработки данных с учетом конфиденциальности.
На практике эти принципы могут помочь организациям рассмотреть, следует ли им:
Четко сообщать о практиках мониторинга
Ограничивать сбор данных тем, что необходимо для определенной цели
Защищать контролируемые данные от несанкционированного доступа
Предоставлять физическим лицам надлежащую информацию о том, как используются их данные
Регулярно пересматривать практики мониторинга с точки зрения справедливости, необходимости и пропорциональности
Официальные источники:
Руководящие принципы ОЭСР по защите конфиденциальности и трансграничным потокам персональных данных Официальная публикация ОЭСР, содержащая принципы конфиденциальности и связанную с ними систему.
ОЭСР - Конфиденциальность и защита данных Обзорная страница ОЭСР, объясняющая роль Руководящих принципов конфиденциальности в глобальных системах конфиденциальности и защиты данных.
США
В Соединенных Штатах мониторинг на рабочем месте и онлайн-мониторинг регулируются сочетанием федеральных законов, законов штатов о конфиденциальности, правил электронных коммуникаций, требований к оплате труда и рабочему времени, а также отраслевых нормативных актов. Не существует единого общенационального закона о мониторинге сотрудников, который охватывал бы каждую ситуацию. Требования могут различаться в зависимости от штата, типа собираемых данных, того, перехватываются ли коммуникации или осуществляется доступ к ним, принадлежит ли устройство компании или является личным, а также от того, как используются данные мониторинга.
Система регулирования | Где применяется | Сфера мониторинга | Общие соображения по соблюдению требований | Почему это может быть важно для программного обеспечения мониторинга |
|---|---|---|---|---|
CCPA / CPRA | Калифорния; подпадающие под действие компании | Сбор и использование персональной информации, включая определенную персональную информацию сотрудников, кандидатов, подрядчиков, устройств, онлайн-активности и чувствительную персональную информацию | Уведомление при сборе, раскрытия в политике конфиденциальности, права на доступ/удаление/исправление, права на отказ, где применимо, ограничения на определенные виды использования чувствительной персональной информации | Актуально, когда мониторинг собирает идентификаторы, данные устройств, активность в Интернете или приложениях, геолокацию, поведенческие данные или другую персональную информацию жителей Калифорнии |
ECPA и связанные федеральные правила электронных коммуникаций | Федеральное законодательство США; также могут применяться законы штатов о прослушивании и коммуникациях | Перехват или доступ к электронным коммуникациям, таким как электронная почта, чат, звонки, сообщения или определенные онлайн-коммуникации | Избегать несанкционированного перехвата или доступа; оценивать, могут ли применяться согласие, разрешение, исключения для провайдера или исключения, связанные с деловой целью; проверять правила штатов, касающиеся согласия и прослушивания | Очень актуально для мониторинга коммуникаций, просмотра электронной почты/чатов, захвата содержимого экрана, регистрации нажатий клавиш и инструментов, которые могут захватывать содержание сообщений |
Правила оплаты труда и рабочего времени, связанные с FLSA | Федеральное законодательство США; также могут применяться законы штатов об оплате труда | Использование данных мониторинга, посещаемости, активности или учета времени для решений о рабочем времени, начислении заработной платы, сверхурочной работе или продуктивности | Записи времени и активности должны поддерживать точные расчеты заработной платы; неосвобожденным сотрудникам должна оплачиваться вся отработанная ими работа; работодатели должны избегать препятствования точному учету времени | Актуально, когда данные мониторинга используются для расчета рабочего времени, проверки посещаемости, анализа сверхурочной работы или поддержки решений, связанных с начислением заработной платы и оплатой труда |
Законы отдельных штатов об электронном мониторинге и конфиденциальности | Зависят от штата; примеры включают Нью-Йорк, Коннектикут и Делавэр в отношении правил уведомления о мониторинге сотрудников | Электронный мониторинг коммуникаций сотрудников, использования Интернета, компьютерных систем, рабочих устройств или других персональных данных | Некоторые штаты требуют письменного или электронного уведомления, подтверждения сотрудника, размещения уведомления на рабочем месте или конкретных формулировок политики; другие законы штатов о конфиденциальности могут добавлять обязательства в отношении чувствительных данных, биометрических данных или прав потребителей | Работодателям, работающим в нескольких штатах, не следует полагаться только на одну общую политику США; им могут потребоваться уведомления по штатам, формулировки согласия, правила хранения и внутренние меры контроля доступа |
Официальные источники:
Министерство юстиции Калифорнии - Калифорнийский закон о конфиденциальности потребителей (CCPA) Официальный обзор Министерства юстиции Калифорнии о правах по CCPA, требуемых уведомлениях, правах на отказ, правах на исправление, правах на удаление и правах, связанных с чувствительной персональной информацией.
Калифорнийское агентство по защите конфиденциальности - Законы и нормативные акты Официальная страница Калифорнийского агентства по защите конфиденциальности, посвященная нормативным актам CCPA/CPRA и нормотворчеству.
Кодекс США - 18 U.S.C. Раздел 2511: Запрет на перехват и раскрытие проводных, устных или электронных коммуникаций Официальный текст Кодекса США, связанный с перехватом электронных коммуникаций.
Министерство юстиции США - Закон о конфиденциальности электронных коммуникаций 1986 года Обзор Министерства юстиции США об ECPA и его связи с электронными и цифровыми коммуникациями.
Министерство труда США - Бюллетень полевой помощи № 2020-5 Официальное руководство Министерства труда США, связанное с отслеживанием и компенсацией отработанных часов, включая ситуации удаленной работы.
Закон о гражданских правах Нью-Йорка, раздел 52-c - Работодатели, осуществляющие электронный мониторинг; требуется предварительное уведомление Официальный закон Нью-Йорка, требующий предварительного уведомления для определенного электронного мониторинга сотрудников.
Общие статуты Коннектикута, раздел 31-48d - Уведомление об электронном мониторинге Официальный статут Коннектикута, касающийся требований к уведомлению для работодателей, осуществляющих электронный мониторинг.
Кодекс Делавэра, титул 19, раздел 705 - Уведомление о мониторинге телефонных передач, электронной почты и использования Интернета Официальный закон Делавэра, касающийся требований к уведомлению при мониторинге телефона, электронной почты и использования Интернета.
Канада
PIPEDA (Закон о защите персональной информации и электронных документах)
PIPEDA применяется ко многим организациям частного сектора в Канаде, которые собирают, используют или раскрывают персональную информацию в ходе коммерческой деятельности. В отношении персональной информации сотрудников PIPEDA обычно применяется к рабочим местам, регулируемым на федеральном уровне, тогда как в некоторых провинциях действуют собственные законы о конфиденциальности для частного сектора.
PIPEDA может охватывать персональную информацию, собранную посредством онлайн-мониторинга или мониторинга сотрудников, включая идентификаторы, данные устройств, онлайн-активность, использование приложений, данные, связанные с коммуникациями, и записи продуктивности.
Организации должны определить четкую цель мониторинга, ограничить сбор тем, что необходимо, и обрабатывать персональную информацию прозрачным образом.
Там, где требуется согласие, оно должно быть осознанным и основанным на четкой информации о том, какие данные собираются, почему они собираются, как будут использоваться и кто может получить к ним доступ.
Сотрудники, как правило, должны быть проинформированы о том, что контролируется, почему используется мониторинг, как будет использоваться информация и как долго она может храниться.
Персональная информация, собранная посредством мониторинга, должна быть защищена соответствующими мерами безопасности.
Провинциальные законы о конфиденциальности (Alberta PIPA, British Columbia PIPA, Закон 25 Квебека)
В Альберте, Британской Колумбии и Квебеке действуют законы о конфиденциальности для частного сектора, которые могут применяться в пределах соответствующих провинций.
Эти законы, как правило, следуют схожим принципам конфиденциальности, таким как разумная цель, ограниченный сбор, прозрачность, права доступа, ограничения сроков хранения и соответствующие меры защиты.
Для мониторинга сотрудников требования могут зависеть от провинции, типа рабочего места, цели мониторинга, чувствительности данных и того, является ли мониторинг разумным для управления трудовыми отношениями.
Работодатели должны информировать сотрудников перед сбором персональной информации с помощью инструментов мониторинга, где это требуется.
Некоторые провинции могут требовать политики или уведомления, объясняющие, какая персональная информация собирается, почему она собирается, как долго хранится и кто может получить к ней доступ.
Организации, работающие в нескольких канадских провинциях, должны изучить как федеральные, так и провинциальные требования перед внедрением программного обеспечения для мониторинга.
Официальные источники:
Управление комиссара по вопросам конфиденциальности Канады - PIPEDA Официальный обзор федерального канадского закона о конфиденциальности для частного сектора.
Управление комиссара по вопросам конфиденциальности Канады - Конфиденциальность на рабочем месте Рекомендации по конфиденциальности на рабочем месте, персональной информации сотрудников и обязанностям работодателей.
Управление комиссара по вопросам конфиденциальности Канады - Руководящие принципы получения осознанного согласия Рекомендации по осознанному согласию в соответствии с канадским законом о конфиденциальности для частного сектора.
Правительство Альберты - Закон о защите персональной информации Официальная страница правительства Альберты, посвященная закону Альберты о конфиденциальности для частного сектора.
Правительство Альберты - Персональная информация сотрудников Рекомендации о том, как Alberta PIPA применяется к персональной информации сотрудников.
BC Laws - Закон о защите персональной информации Официальный текст Закона Британской Колумбии о защите персональной информации.
Legis Quebec - Закон о защите персональной информации в частном секторе Официальный текст закона Квебека о конфиденциальности для частного сектора.
Великобритания
UK GDPR
Применяется к обработке персональных данных в Великобритании, включая мониторинг сотрудников и онлайн-активности.
Требует четкого законного основания для мониторинга, такого как законные интересы, юридическое обязательство, договорная необходимость или согласие, где это уместно.
Мониторинг должен быть необходимым, пропорциональным, прозрачным и не чрезмерно навязчивым.
Работодатели должны проводить оценку рисков и могут быть обязаны выполнить Оценку воздействия на защиту данных (DPIA), если мониторинг, вероятно, создаст высокий риск для физических лиц, например непрерывное отслеживание, кейлоггинг или другой навязчивый мониторинг.
Персонал, как правило, должен знать, что контролируется, почему это контролируется, какие данные собираются, как они будут использоваться, кто может получить к ним доступ и как долго они будут храниться.
Закон о защите данных 2018 года
Дополняет UK GDPR и предусматривает дополнительные правила, условия и исключения для обработки персональных данных.
Включает положения, относящиеся к данным специальных категорий, данным о уголовных правонарушениях, обработке, связанной с трудовыми отношениями, и обработке правоохранительными органами.
Укрепляет такие принципы, как минимизация данных, ограничение цели, безопасность, подотчетность и права физических лиц.
Физические лица, как правило, имеют право на доступ к своим персональным данным и, в некоторых случаях, на возражение против определенных видов обработки.
RIPA и связанные правила перехвата
Закон о регулировании следственных полномочий 2000 года и связанные правила Великобритании о перехвате регулируют определенные виды перехвата и доступа к коммуникациям.
Перехват коммуникаций может быть ограничен, если отсутствует законное полномочие, согласие или другое применимое правовое основание либо исключение.
Для мониторинга на рабочем месте мониторинг коммуникаций должен оцениваться внимательно, особенно если он может затрагивать электронную почту, чаты, звонки, сообщения или другое содержание коммуникаций.
Скрытый или нераскрытый мониторинг является крайне чувствительным вопросом, может быть незаконным во многих случаях и должен рассматриваться только в исключительных обстоятельствах при наличии четкого обоснования и надлежащей юридической проверки.
Рекомендации ICO по практикам занятости
Управление комиссара по информации Великобритании предоставляет рекомендации по мониторингу работников и обработке персональных данных сотрудников.
ICO подчеркивает, что мониторинг должен быть целевым, пропорциональным, обоснованным четкой целью и не чрезмерным.
Работодатели должны учитывать влияние на работников до внедрения инструментов мониторинга, особенно если мониторинг является навязчивым или непрерывным.
Работодатели должны создавать четкие письменные политики, объясняющие, что контролируется, почему это контролируется, как используются данные, кто может получить к ним доступ и как долго они хранятся.
В рекомендациях подчеркиваются прозрачность, подотчетность, консультации, где это уместно, и уважение к разумным ожиданиям работников в отношении конфиденциальности.
Официальные источники:
ICO - Практики занятости и защита данных: мониторинг работников Официальный центр рекомендаций ICO по практикам занятости, включая мониторинг работников и связанные обязательства по защите данных.
ICO - Руководство по законному основанию Рекомендации ICO по законным основаниям для обработки персональных данных в соответствии с UK GDPR.
ICO - Когда нам нужно проводить DPIA? Рекомендации ICO, объясняющие, когда может потребоваться Оценка воздействия на защиту данных.
legislation.gov.uk - Закон о защите данных 2018 года Официальный текст Закона о защите данных 2018 года.
legislation.gov.uk - Закон о регулировании следственных полномочий 2000 года Официальный текст Закона о регулировании следственных полномочий 2000 года.
GOV.UK - Перехват коммуникаций: кодекс практики Кодекс практики правительства Великобритании, связанный с перехватом коммуникаций.
Австралия и Новая Зеландия
Privacy Act 1988 (Австралия)
Privacy Act 1988 устанавливает общую основу того, как австралийские организации обращаются с персональной информацией, включая определенные данные, которые могут собираться посредством онлайн-мониторинга или систем, связанных с рабочим местом.
Он требует от подпадающих под действие организаций собирать только информацию, которая является разумно необходимой, быть прозрачными в отношении того, как используется персональная информация, и обеспечивать ее безопасность.
Закон не содержит подробных правил наблюдения на рабочем месте, а записи сотрудников, обрабатываемые работодателями частного сектора, при определенных обстоятельствах могут быть освобождены от действия Австралийских принципов конфиденциальности. Однако мониторинг, связанный с персональной информацией, в некоторых контекстах все же может подпадать под действие Privacy Act, например когда исключение для записей сотрудников не применяется, когда поставщики услуг обрабатывают данные сотрудников или когда возникают другие обязательства по конфиденциальности.
На практике работодатели и поставщики услуг, использующие инструменты мониторинга, должны определять четкие деловые цели, избегать чрезмерного отслеживания, объяснять свои практики в политиках конфиденциальности и внутренней документации, а также учитывать соответствующие законы штатов или территорий о наблюдении на рабочем месте.
Законы о наблюдении на рабочем месте (уровень штатов, Австралия)
Некоторые австралийские штаты и территории регулируют мониторинг на рабочем месте более напрямую через законы о наблюдении на рабочем месте, такие как Workplace Surveillance Act 2005 (NSW) и Workplace Privacy Act 2011 (ACT).
Эти законы могут регулировать, когда и как работодатели могут использовать видеонаблюдение, компьютерное наблюдение и отслеживание, часто требуя предварительного письменного уведомления, четких политик и конкретных условий до начала мониторинга.
Скрытое или тайное наблюдение строго ограничено и может требовать специального полномочия или юридического разрешения. Оно не должно рассматриваться как обычный метод отслеживания производительности.
Для инструментов онлайн-мониторинга это означает, что работодатели в затронутых штатах и территориях должны предоставлять четкое и своевременное уведомление, где это требуется, и обеспечивать, чтобы любое компьютерное наблюдение, мониторинг Интернета, электронной почты или отслеживание соответствовали применимым установленным законом условиям.
Privacy Act 2020 (Новая Зеландия)
Privacy Act 2020 Новой Зеландии устанавливает систему конфиденциальности страны и применяется к персональной информации, обрабатываемой учреждениями, включая информацию, собираемую посредством мониторинга на рабочем месте или онлайн-мониторинга.
Закон требует от организаций собирать информацию только для законных и необходимых целей, открыто сообщать о своих практиках и предоставлять физическим лицам доступ к их персональной информации, где это применимо.
Рекомендации регуляторов подчеркивают, что мониторинг, запись или съемка сотрудников должны осуществляться в соответствии с Privacy Act и принципами конфиденциальности. Работодатели также должны учитывать, как мониторинг может повлиять на доверие сотрудников, моральный климат и отношения на рабочем месте.
Работодателям рекомендуется консультироваться с персоналом, объяснять, почему необходим мониторинг, использовать четкие политики на рабочем месте и учитывать влияние непрерывного или подробного отслеживания.
Официальные источники:
OAIC - Закон о конфиденциальности Официальный обзор Privacy Act 1988 Австралии и Австралийских принципов конфиденциальности.
OAIC - Исключение для записей сотрудников Объясняет, когда обработка записей сотрудников работодателями частного сектора может быть освобождена от действия Австралийских принципов конфиденциальности.
OAIC - Мониторинг и наблюдение на рабочем месте Рекомендации, объясняющие, что мониторинг на рабочем месте может затрагивать законы штатов, территорий и другие соответствующие австралийские законы.
ACT Legislation - Workplace Privacy Act 2011 Официальная страница законодательства ACT для Workplace Privacy Act 2011.
Законодательство Новой Зеландии - Privacy Act 2020 Официальный текст Privacy Act 2020 Новой Зеландии.
Комиссар по вопросам конфиденциальности Новой Зеландии - Privacy Act 2020 Официальный обзор принципов конфиденциальности Новой Зеландии.
Employment New Zealand - Конфиденциальность сотрудников Рекомендации по конфиденциальности сотрудников, мониторингу на рабочем месте, записи и съемке сотрудников.
Азиатско-Тихоокеанский регион
PDPA (Закон о защите персональных данных) - Сингапур
Охватывает персональные данные, собираемые, используемые или раскрываемые организациями, включая данные, которые могут собираться посредством мониторинга сотрудников или онлайн-мониторинга.
Требует от организаций собирать, использовать или раскрывать персональные данные для надлежащих целей и с согласия, предполагаемого согласия или на основании другого применимого исключения, если это разрешено.
Сильный акцент на прозрачности, надлежащем уведомлении, ограничении цели и мерах защиты данных.
Организации должны информировать физических лиц о целях, для которых их персональные данные собираются, используются или раскрываются.
Срок хранения должен быть ограничен тем, что необходимо для юридических или деловых целей.
PDPA - Малайзия
Применяется к персональным данным, обрабатываемым в коммерческих сделках, включая контексты, связанные с трудовыми отношениями, где персональные данные собираются или используются.
Требует от организаций соблюдения ключевых принципов защиты персональных данных, включая общий принцип, принципы уведомления и выбора, раскрытия, безопасности, хранения, целостности данных и доступа.
Организации должны предоставлять четкое уведомление о цели сбора персональных данных и о том, как данные будут использоваться.
Данные должны обрабатываться для конкретной и заявленной цели, защищаться соответствующими мерами безопасности и не храниться дольше необходимого.
Включает правила о хранении, безопасности данных, правах доступа, правах на исправление и обработке третьими сторонами.
APPI (Закон о защите персональной информации) - Япония
Регулирует обработку персональной информации компаниями и другими подпадающими под действие субъектами, включая персональные данные клиентов и сотрудников.
Требует от организаций указывать цель использования и обрабатывать персональную информацию в пределах этой заявленной цели.
Подчеркивает безопасность данных, точность, контроль хранения и надлежащий надзор за сотрудниками и поставщиками услуг, обрабатывающими персональные данные.
Практики мониторинга, связанные с персональной информацией, должны соответствовать внутренним политикам и заявленной цели использования.
Физические лица могут иметь права на раскрытие, исправление, приостановление использования или удаление в зависимости от контекста.
PIPL (Закон о защите персональной информации) - Китай
Комплексный закон о защите персональной информации, охватывающий обработку персональной информации в Китае и определенные виды обработки за пределами Китая, связанные с физическими лицами в Китае.
Требует четкой и разумной цели, минимизации данных, прозрачности и соответствующих мер безопасности.
Во многих случаях может требоваться согласие, при этом в зависимости от контекста могут применяться и другие законные основания обработки.
Отдельное согласие может требоваться для чувствительной персональной информации, определенных раскрытий, трансграничных передач или других видов обработки повышенного риска.
Предоставляет физическим лицам такие права, как доступ, исправление, удаление, отзыв согласия и объяснение правил обработки.
Официальные источники:
Singapore PDPC - Закон о защите персональных данных Официальный обзор Закона Сингапура о защите персональных данных.
Singapore PDPC - Обязательства по защите данных Официальная страница PDPC, объясняющая ключевые обязательства, такие как согласие, уведомление, ограничение цели, защита и хранение.
Singapore PDPC - Консультативные руководящие принципы по ключевым понятиям PDPA Официальные рекомендации, объясняющие ключевые понятия PDPA, включая согласие и исключения.
Департамент защиты персональных данных Малайзии - Закон о защите персональных данных 2010 года Официальная страница правительства Малайзии, посвященная Закону о защите персональных данных 2010 года.
Департамент защиты персональных данных Малайзии - Принципы защиты персональных данных Официальный обзор семи принципов защиты персональных данных Малайзии.
Департамент защиты персональных данных Малайзии - Руководство по уведомлениям о защите персональных данных Официальное руководство по подготовке уведомлений о защите персональных данных.
Комиссия Японии по защите персональной информации - Закон о защите персональной информации Официальный английский перевод Закона Японии о защите персональной информации.
Комиссия Японии по защите персональной информации Официальный сайт японского регулятора в области конфиденциальности.
Национальная база данных законов и нормативных актов Китая - Закон о защите персональной информации Официальный китайский текст Закона Китая о защите персональной информации.
Администрация киберпространства Китая - Закон о защите персональной информации Официальная публикация CAC Закона Китая о защите персональной информации.
Латинская Америка
LGPD (Lei Geral de Protecao de Dados) - Бразилия
Бразильский LGPD регулирует обработку персональных данных, включая данные, обрабатываемые цифровыми средствами. Он может применяться к информации, собранной посредством онлайн-мониторинга или мониторинга на рабочем месте, когда данные относятся к идентифицированному или идентифицируемому физическому лицу.
Организации должны определить подходящее правовое основание для мониторинга и объяснить цель сбора данных. Мониторинг должен быть ограничен тем, что необходимо, проводиться прозрачно и поддерживаться соответствующими мерами безопасности.
Физические лица имеют права, которые могут включать доступ, исправление, удаление, переносимость, информацию о передаче данных и отзыв согласия, где это применимо.
Национальные законы о конфиденциальности в Аргентине, Мексике и Чили
В Аргентине, Мексике и Чили действуют национальные системы защиты данных, которые могут применяться к персональным данным, собранным с помощью инструментов мониторинга, в зависимости от контекста и типа задействованных данных.
Общие ожидания в области конфиденциальности по всему региону включают наличие четкой и надлежащей цели, информирование физических лиц о сборе данных, ограничение использования данных тем, что необходимо, и защиту персональных данных с помощью соответствующих мер.
Физические лица могут иметь права на доступ, исправление, обновление, удаление или возражение против определенных видов использования своих персональных данных в зависимости от применимого законодательства.
Поскольку конкретные требования различаются по странам и могут меняться со временем, организациям следует ознакомиться с актуальными местными правилами перед внедрением онлайн-мониторинга или мониторинга на рабочем месте на этих рынках.
Официальные источники:
Бразилия - Закон № 13.709/2018, Общий закон о защите персональных данных (LGPD) Официальный консолидированный текст LGPD Бразилии.
Аргентина - Agencia de Acceso a la Informacion Publica: Защита персональных данных Официальная страница аргентинского органа по вопросам защиты персональных данных.
Чили - Закон № 19.628 о защите частной жизни Официальный текст закона Чили о защите персональных данных.
Чили - Закон № 21.719, Защита и обработка персональных данных Официальный текст модернизированной системы защиты данных Чили.
Ближневосточный регион
Закон ОАЭ о защите данных (Федеральный декрет-закон № 45 от 2021 года)
Федеральный закон ОАЭ о защите персональных данных предоставляет общую основу для обработки персональных данных. Он может применяться к организациям, которые обрабатывают персональные данные в ОАЭ или обрабатывают персональные данные физических лиц в ОАЭ, в зависимости от сферы действия закона и любых применимых отраслевых правил или правил свободных зон.
Для мониторинга организации должны определить четкую и законную цель, ограничить сбор данных тем, что необходимо, и уделять большое внимание прозрачности и безопасности.
Организации должны информировать персонал о мониторинге, где это требуется, документировать свои причины сбора персональных данных и внедрять внутренние политики и меры защиты для обращения с данными мониторинга.
Закон Катара о защите конфиденциальности данных
Закон Катара о конфиденциальности персональных данных охватывает персональные данные, обрабатываемые электронным способом или предназначенные для электронной обработки.
Он признает право физического лица на конфиденциальность данных и требует, чтобы обработка персональных данных следовала таким принципам, как прозрачность, справедливость и уважение к конфиденциальности.
Для систем мониторинга организации должны иметь четкую и законную цель, информировать физических лиц, где это требуется, и защищать персональные данные с помощью соответствующих мер безопасности.
Организации также должны соблюдать применимые права, включая права на доступ и исправление, где они доступны.
Закон Саудовской Аравии о защите персональных данных (PDPL)
PDPL Саудовской Аравии регулирует обработку персональных данных в Королевстве и также может применяться к определенным видам обработки за пределами Королевства, когда они связаны с персональными данными физических лиц в Саудовской Аравии.
Для мониторинга организации должны определять четкие цели, принимать политики конфиденциальности и информировать физических лиц о том, как их персональные данные будут собираться и использоваться.
Во многих случаях может требоваться согласие, при этом в зависимости от контекста могут применяться и другие законные основания.
Работодатели, использующие инструменты мониторинга, должны защищать данные мониторинга, ограничивать внутренний доступ, избегать ненужного сбора и обрабатывать информацию сотрудников в соответствии с требованиями PDPL о прозрачности, безопасности и хранении.
Официальные источники:
Законодательство ОАЭ - Федеральный декрет-закон № 45 от 2021 года о защите персональных данных Официальный текст федерального закона ОАЭ о защите персональных данных.
Qatar Al Meezan - Закон № 13 от 2016 года о защите конфиденциальности персональных данных Официальный английский PDF-текст закона Катара о конфиденциальности персональных данных.
SDAIA - Закон о защите данных Официальная страница Саудовского управления данных и искусственного интеллекта о Законе Саудовской Аравии о защите персональных данных.
SDAIA - Закон о защите персональных данных Официальная английская версия Закона Саудовской Аравии о защите персональных данных.
Заключительные соображения для ответственного мониторинга
Законы об онлайн-мониторинге и мониторинге сотрудников значительно различаются в зависимости от стран, штатов, отраслей и условий рабочего места. Один и тот же инструмент мониторинга может быть приемлемым в одном контексте и неподходящим или незаконным в другом, в зависимости от того, как он настроен, какие данные собираются, информированы ли пользователи и как используется информация.
Ответственная программа мониторинга, как правило, должна включать:
Четкая и законная цель мониторинга
Письменные внутренние политики, объясняющие, что контролируется и почему
Уведомление пользователя или сотрудника, где это требуется
Ограниченный и пропорциональный сбор данных
Надежные меры контроля доступа и меры безопасности
Определенные сроки хранения собранных данных
Регулярный пересмотр практик мониторинга
Юридическая проверка для сценариев мониторинга с высоким риском, чувствительных данных, скрытого или трансграничного мониторинга
Spyrix предоставляет программное обеспечение для мониторинга для авторизованного использования. Однако каждая организация несет ответственность за определение того, соответствует ли ее конкретное использование инструментов мониторинга применимым законам, внутренним политикам и требованиям к уведомлению. При наличии сомнений организациям следует проконсультироваться с квалифицированным юристом перед развертыванием программного обеспечения для мониторинга или включением более навязчивых функций мониторинга.