Spyrix logo

Программы

Телефонный трекер

Mac

Покупка

Скачать

Бизнес

Поддержка

Компания

Spyrix logo

Программы

Телефонный трекер

Телефонный трекер

Родительский контроль

Родительский контроль

Mac

Цены

Зарегистрироваться

Аккаунт

Законы о мониторинге в интернете

Команда Spyrix собирает основные правовые акты и документы, описывающие, как работодатели могут на законных основаниях отслеживать онлайн-активность своих сотрудников. Она также предоставляет рекомендации по использованию инструментов мониторинга в личных целях.

Глобальные международные акты

Общий регламент по защите данных Европейского союза

GDPR — это основной регламент Европейского союза по защите данных, который применяется к любой организации, обрабатывающей персональные данные физических лиц в ЕС, независимо от места ее деятельности. Мониторинг онлайн-активности, мониторинг сотрудников и любые формы цифрового отслеживания подпадают под действие регламента, если они связаны с персональными данными.

В соответствии с GDPR, мониторинг, как правило, является законным только при наличии законного основания, такого как законный интерес, выполнение договора или получение явного согласия. Перед внедрением инструментов мониторинга организации должны убедиться, что мониторинг необходим, соразмерен и не является чрезмерным нарушением конфиденциальности физических лиц.

GDPR требует от компаний проведения оценки законных интересов (Legitimate Interest Assessment, LIA) или, если мониторинг сопряжен с более высокими рисками, оценки воздействия на защиту данных (Data Protection Impact Assessment, DPIA). Эти оценки помогают определить обоснованность мониторинга и выявить способы снижения рисков, связанных со сбором данных.

Прозрачность имеет первостепенное значение. Лица должны быть заранее четко проинформированы о типе мониторинга, цели, собираемых данных, правовом основании, о том, кто будет иметь доступ к данным и как долго они будут храниться. Неразглашаемый или скрытый мониторинг, как правило, ограничен и разрешен только в очень узких обстоятельствах, определенных национальным законодательством.

GDPR также делает акцент на минимизации данных, требуя от организаций собирать только то, что необходимо для достижения определенной цели. Непрерывный или чрезмерно навязчивый мониторинг без четкого обоснования может нарушать принципы GDPR.

К наиболее важным обязательствам в рамках GDPR для инструментов онлайн-мониторинга относятся:

  • Предоставление четкого уведомления о мониторинге.

  • Сбор только необходимых данных.

  • Использование соответствующих технических и организационных мер безопасности.

  • Выявление и документирование законных оснований для обработки данных.

  • Предоставление людям возможности осуществлять свои права (доступ, удаление, возражение и т. д.).

Руководящие принципы ОЭСР по защите конфиденциальности (Организация экономического сотрудничества и развития)

Руководящие принципы ОЭСР по защите конфиденциальности содержат общепризнанные на международном уровне принципы защиты данных и неприкосновенности частной жизни. Хотя они не имеют обязательной юридической силы, они влияют на национальные законы о защите конфиденциальности во всем мире и служат основой для ответственного обращения с данными.

В руководящих принципах подчеркиваются справедливость, прозрачность, ограничение целей использования, качество данных, меры безопасности, открытость и подотчетность. Эти принципы побуждают организации собирать персональные данные только для четких и законных целей и обеспечивать понимание пользователями того, как используются их данные.

В отношении онлайн-мониторинга и мониторинга сотрудников Руководящие принципы ОЭСР поддерживают практики, которые являются прозрачными, соразмерными и уважающими конфиденциальность. Хотя они не содержат подробных правил, специфичных именно для мониторинга, они способствуют ответственному управлению данными и служат основой для национального законодательства, которое непосредственно регулирует мониторинг.

На практике эти рекомендации побуждают организации к следующему:

  • Чётко доносите информацию о методах мониторинга.

  • Ограничьте сбор данных только необходимым объемом.

  • Защитите контролируемые данные от несанкционированного доступа.

  • Регулярно пересматривайте методы мониторинга на предмет справедливости и необходимости.

Хотя Руководящие принципы ОЭСР по защите конфиденциальности не имеют обязательной силы, как GDPR, они помогают формировать глобальные стандарты и передовые методы законного и этичного мониторинга.

Соединенные Штаты

Действовать

Там, где это применимо

Область мониторинга

Основные требования

Примечания для пользователей Spyrix

CCPA

Калифорния

Мониторинг, осуществляемый с целью сбора персональной информации.

Уведомление о конфиденциальности, право доступа/удаления, отказ от обмена данными.

Применяется, если мониторинг собирает идентификаторы, журналы активности или данные об использовании.

CPRA

Калифорния

Monitoring involving "sensitive" data or detailed profiling

Ограничение целевого назначения, минимизация данных, более строгие правила обработки конфиденциальных данных.

Это важно, когда инструменты регистрируют геолокацию, модели поведения или подробную цифровую активность.

ЕКПА

Федеральный (США)

Перехват или доступ к электронным сообщениям (электронная почта, чат, нажатия клавиш)

Ограничения на перехват контента; исключения для работодателей часто требуют предварительного уведомления.

Крайне актуально для регистрации нажатий клавиш, мониторинга электронной почты и захвата содержимого экрана.

Руководство, касающееся Закона о справедливых трудовых стандартах (FLSA).

Федеральный (США)

Система мониторинга используется для отслеживания рабочего времени или производительности.

Учет рабочего времени должен обеспечивать точное начисление заработной платы; никакая неоплачиваемая деятельность вне рабочего времени не допускается.

Это не закон о защите частной жизни, но он влияет на то, как данные мониторинга используются при принятии решений о начислении заработной платы.

Законы о мониторинге, действующие в отдельных штатах

Зависит от штата (Нью-Йорк, Коннектикут, Делавэр, Колорадо, Вирджиния, Юта и т. д.)

Электронный мониторинг сотрудников и систем на рабочем месте.

Часто требуется письменное уведомление или явное подтверждение.

Работодатели, работающие в нескольких штатах, получают выгоду от единой политики мониторинга, а также от включения соответствующих пунктов в политику каждого штата.

Канада

Закон о защите персональных данных и электронных документах (PIPEDA)

  • Применяется к организациям частного сектора по всей Канаде (за исключением случаев, когда оно заменяется законами провинций).

  • Охватывает любой сбор, использование или раскрытие персональной информации, включая мониторинг в интернете и мониторинг сотрудников.

  • Требует от организаций четко определить цель мониторинга и получить, где это необходимо, обоснованное согласие.

  • Мониторинг должен быть разумным, ограниченным необходимыми задачами и проводиться прозрачно.

  • Сотрудников следует информировать о том, что именно отслеживается, зачем это отслеживается и как будет использоваться полученная информация.

  • Персональные данные должны быть защищены с помощью соответствующих мер безопасности.

Провинциальные законы о защите частной жизни (Закон Альберты о защите частной жизни, Закон Британской Колумбии о защите частной жизни, Закон Квебека № 25)

  • Обратитесь в организации частного сектора в соответствующих провинциях.

  • В целом они отражают принципы PIPEDA, но могут иметь более строгие правила в отношении согласия, хранения данных и конфиденциальности сотрудников.

  • Мониторинг должен быть разумным с точки зрения бизнеса и соответствовать четко сформулированным и доведенным до сведения правилам.

  • Работодатели обязаны информировать сотрудников до сбора личной информации с помощью инструментов мониторинга.

  • В некоторых провинциях действуют правила, разъясняющие тип собираемых данных, срок их хранения и круг лиц, имеющих к ним доступ.

  • Организации обязаны предоставлять сотрудникам доступ к их персональным данным по запросу.

Великобритания

Общий регламент по защите данных Великобритании

  • Применяется к обработке персональных данных в Великобритании, включая мониторинг сотрудников и их активности в интернете.

  • Requires a clear lawful basis for monitoring (often "legitimate interests" or contract).

  • Мониторинг должен быть необходимым, соразмерным и не чрезмерно навязчивым.

  • Работодателям следует проводить оценку рисков или DPIA (анализ воздействия на защиту данных) для мониторинга повышенного риска (например, непрерывное отслеживание, регистрация нажатий клавиш).

  • Особое внимание уделяется прозрачности: сотрудники должны знать, что отслеживается, почему, и как данные будут использоваться и храниться.

Закон о защите данных 2018 года

  • Дополняет британский регламент GDPR и содержит дополнительные правила и исключения.

  • В документе содержатся конкретные положения, касающиеся контекста трудоустройства и доступа правоохранительных органов.

  • Подкрепляет принципы минимизации данных, ограничения целей использования и обеспечения безопасности данных мониторинга.

  • Предоставляет физическим лицам право доступа к своим персональным данным и, в некоторых случаях, право возражать против определенных видов мониторинга.

RIPA (Закон о регулировании полномочий по проведению расследований)

  • Регулирует перехват сообщений, а также использование наблюдения и скрытого слежки.

  • Как правило, ограничивает перехват сообщений без согласия или надлежащих полномочий.

  • Скрытое наблюдение за сотрудниками (без их ведома) допускается только в очень ограниченных случаях, таких как расследования серьезных нарушений дисциплины и когда это соразмерно обстоятельствам.

Кодекс трудовой практики ICO (и соответствующие рекомендации)

  • Необязательные к исполнению рекомендации Управления уполномоченного по вопросам информации Великобритании по мониторингу на рабочем месте.

  • Подчеркивается, что мониторинг должен быть целенаправленным, а не чрезмерным, и оправданным четкой деловой необходимостью.

  • Рекомендуется проводить оценку воздействия перед внедрением новых инструментов мониторинга.

  • Рекомендует работодателям разработать четкие письменные правила, объясняющие, что именно отслеживается, как и с какой целью.

  • Подчеркиваются важность консультаций, прозрачности и уважения к разумным ожиданиям работников в отношении неприкосновенности частной жизни.

Австралия и Новая Зеландия

Закон о защите частной жизни 1988 года (Австралия)

Закон о защите персональных данных 1988 года устанавливает общие рамки того, как австралийские организации обрабатывают персональную информацию, включая данные, собранные посредством онлайн-мониторинга и мониторинга сотрудников. Он требует от организаций собирать только ту информацию, которая обоснованно необходима, быть прозрачными в отношении того, как эта информация используется, и обеспечивать ее безопасность. Хотя Закон не содержит подробных правил наблюдения на рабочем месте, любой мониторинг, идентифицирующий человека, как правило, будет регулироваться Австралийскими принципами защиты персональных данных, особенно в отношении уведомления, ограничения целей и прав доступа. На практике это означает, что работодатели и поставщики услуг, использующие инструменты мониторинга, должны четко определять деловые цели, избегать чрезмерного отслеживания и объяснять свои методы в политиках конфиденциальности и внутренней документации.

Законы о наблюдении на рабочем месте (на уровне штатов, Австралия)

В ряде австралийских штатов и территорий мониторинг регулируется более непосредственно посредством законов о наблюдении на рабочем месте, таких как Закон о наблюдении на рабочем месте 2005 года (Новый Южный Уэльс) и Закон о конфиденциальности на рабочем месте 2011 года (Австралийская столичная территория). Эти законы, как правило, регулируют, когда и как работодатели могут использовать камеры, компьютеры и системы слежения, часто требуя предварительного письменного уведомления, видимых табличек и четких правил до начала мониторинга. Скрытое наблюдение строго ограничено и обычно разрешается только при наличии специального разрешения и в рамках расследований серьезных нарушений или противоправной деятельности, а не для рутинного отслеживания производительности. В отношении онлайн-инструментов мониторинга это означает, что работодатели в соответствующих штатах должны своевременно и четко уведомлять сотрудников о том, что их использование компьютера, Интернета или электронной почты может отслеживаться, и обеспечивать соответствие любого мониторинга установленным законом условиям.

Закон о защите персональных данных 2020 года (Новая Зеландия)

Закон Новой Зеландии о защите персональных данных 2020 года модернизирует систему защиты персональных данных в стране и распространяется как на данные клиентов, так и на данные сотрудников, включая информацию, собранную посредством мониторинга на рабочем месте или в интернете. Закон требует от организаций собирать информацию только в законных и необходимых целях, быть открытыми в отношении своей деятельности и предоставлять физическим лицам доступ к их личной информации. Рекомендации регулирующих органов подчеркивают, что мониторинг, запись или видеосъемка сотрудников должны быть соразмерными и должны подкрепляться четкими правилами поведения на рабочем месте, разработанными в соответствии с Законом о защите персональных данных и трудовым законодательством. Работодателям рекомендуется консультироваться с персоналом, объяснять необходимость мониторинга и учитывать влияние на доверие и моральный дух, особенно при использовании инструментов, позволяющих осуществлять непрерывное или детальное отслеживание.

Азиатско-Тихоокеанский регион

PDPA (Закон о защите персональных данных) – Сингапур

  • Рассматривается обработка персональных данных организациями, включая данные сотрудников и данные мониторинга.

  • Для проведения мониторинга необходима четкая и законная цель.

  • Как правило, требуется согласие или иное законное основание.

  • Особое внимание уделяется прозрачности, надлежащему уведомлению и гарантиям защиты данных.

  • Хранение данных должно ограничиваться только необходимым.

PDPA – Малайзия

  • Применяется к персональным данным, обрабатываемым в коммерческом и трудовом контексте.

  • Согласие является основным требованием для сбора данных мониторинга.

  • Обработка данных должна осуществляться справедливо и в конкретных, заявленных целях.

  • Включает правила, касающиеся ограничений на срок хранения, безопасности данных и сторонних обработчиков данных.

APPI (Закон о защите персональных данных) – Япония

  • Регулирует порядок обработки персональных данных как клиентов, так и сотрудников.

  • Требует от организаций определения и доведения до сведения цели мониторинга.

  • Особое внимание уделяется безопасности данных и надлежащему контролю за персоналом, работающим с персональными данными.

  • Мониторинг должен быть соразмерным и соответствовать внутренней политике.

  • В зависимости от контекста, сотрудники могут иметь право на доступ к информации и ее исправление.

Закон о защите персональных данных (PIPL) – Китай

  • Комплексное законодательство о защите данных, охватывающее данные, касающиеся трудовых отношений и потребительских данных.

  • Для мониторинга необходимы четкая цель, минимизация данных и прозрачность.

  • Согласие может потребоваться, особенно если мониторинг включает в себя сбор конфиденциальных или подробных данных.

  • Устанавливает строгие требования к хранению, безопасности и документированию процесса обработки данных.

  • Предоставляет физическим лицам право доступа, исправления и запроса на удаление отслеживаемых данных.

Латинская Америка

LGPD (Lei Geral de Proteção de Dados) – Бразилия

Закон Бразилии о защите персональных данных регулирует любое использование персональных данных, включая информацию, собранную посредством онлайн-мониторинга или мониторинга на рабочем месте. Организации должны иметь четкое правовое основание для мониторинга и должны объяснить его цель. Мониторинг должен ограничиваться необходимым, проводиться прозрачно и поддерживаться соответствующими мерами безопасности. Физические лица имеют право доступа, исправления и удаления своих персональных данных.

Национальные законы о защите частной жизни в Аргентине, Мексике и Чили

В этих странах действуют национальные законы о защите данных, которые применяются к персональным данным, собранным с помощью инструментов мониторинга. Общие требования включают наличие законной цели, информирование лиц о мониторинге и обеспечение безопасности данных. Мониторинг должен быть разумным и соразмерным, и лица, как правило, имеют право доступа к своей информации или ее обновления. Хотя конкретные правила различаются, прозрачность и необходимость являются общими ожиданиями во всем регионе.

Ближневосточный регион

Закон ОАЭ о защите данных (DPL / PDPL)

Федеральный закон ОАЭ о защите данных распространяется на организации, обрабатывающие персональные данные физических лиц в ОАЭ, включая сотрудников. Для осуществления мониторинга требуется четкая и законная цель, сбор данных ограничивается необходимым объемом, а также уделяется большое внимание прозрачности и безопасности. Организации должны информировать сотрудников о любом мониторинге, документировать причины его проведения и внедрить внутренние политики и меры защиты для обработки отслеживаемых данных.

Закон Катара о защите конфиденциальности данных

Закон Катара о защите персональных данных распространяется на персональные данные, обрабатываемые электронным способом или предназначенные для электронной обработки. Он признает право человека на неприкосновенность частной жизни и, как правило, требует согласия или иного законного основания перед обработкой персональных данных, включая данные, собранные с помощью систем мониторинга. Организации должны внедрять соответствующие меры безопасности, быть прозрачными в отношении использования персональных данных и уважать права физических лиц на доступ к своей информации и ее исправление.

Закон Саудовской Аравии о защите персональных данных (PDPL)

Закон Саудовской Аравии о защите персональных данных (PDPL) распространяется на обработку персональных данных физических лиц в Королевстве организациями внутри или за пределами страны. Для целей мониторинга он требует от организаций определения четких целей, принятия письменных политик конфиденциальности и информирования физических лиц о том, как будут собираться и использоваться их данные. Согласие является важным основанием для обработки во многих случаях, хотя закон также допускает обработку по определенным деловым, юридическим причинам и в интересах общества. Работодатели, использующие инструменты мониторинга, обязаны защищать контролируемые данные, ограничивать доступ и обрабатывать информацию о сотрудниках в соответствии с правилами PDPL, касающимися прозрачности, безопасности и хранения данных.