قوانين المراقبة عبر الإنترنت واعتبارات الامتثال للخصوصية
آخر تحديث: مايو 2026
يمكن أن تساعد برامج المراقبة عبر الإنترنت المؤسسات على حماية موارد الشركة، وتحسين الإنتاجية، وفهم كيفية تنفيذ العمل الرقمي. ومع ذلك، فإن مراقبة الموظفين أو الأجهزة أو النشاط عبر الإنترنت أو الاتصالات قد تتضمن بيانات شخصية وقواعد تتعلق بالخصوصية في مكان العمل.
تقدم هذه الصفحة نظرة عامة على اعتبارات الخصوصية والامتثال المرتبطة بالاستخدام المصرح به لبرامج المراقبة. وتسلط الضوء على موضوعات مشتركة موجودة في أطر الخصوصية والمراقبة في مكان العمل الرئيسية، مثل الشفافية، والغرض القانوني، وتقليل البيانات، والأمن، والاحتفاظ، وإخطار المستخدم.
قد تختلف المتطلبات المحددة بحسب البلد أو الولاية أو القطاع أو ملكية الجهاز أو نوع البيانات التي يتم جمعها أو طريقة إعداد المراقبة.
إخلاء المسؤولية: تُقدَّم هذه الصفحة لأغراض معلوماتية عامة فقط ولا تُعدّ مشورة قانونية. تختلف قوانين الخصوصية والمراقبة في مكان العمل والعمل والاتصالات الإلكترونية بحسب الولاية القضائية، وقد تعتمد على حالة الاستخدام المحددة، وملكية الجهاز، والقطاع، وإخطار الموظفين، ومتطلبات الموافقة، ونوع البيانات التي يتم جمعها.
لا تحدد Spyrix ما إذا كان إعداد مراقبة معين قانونيًا لمؤسستك. قبل استخدام برنامج المراقبة، يجب عليك مراجعة القوانين المعمول بها والسياسات الداخلية، وإخطار المستخدمين حيثما يكون ذلك مطلوبًا، وقصر المراقبة على الأغراض الضرورية والمشروعة، واستشارة مستشار قانوني مؤهل عند الاقتضاء.
أطر الخصوصية العالمية والإقليمية
اللائحة العامة لحماية البيانات (GDPR - الاتحاد الأوروبي)
تُعد اللائحة العامة لحماية البيانات (GDPR) التنظيم الأساسي لحماية البيانات في الاتحاد الأوروبي. وقد تنطبق على المؤسسات داخل الاتحاد الأوروبي أو خارجه عندما تعالج البيانات الشخصية بطريقة تقع ضمن النطاق الإقليمي للائحة GDPR، بما في ذلك بعض الحالات التي تتعلق بأفراد داخل الاتحاد الأوروبي. وقد تندرج مراقبة النشاط عبر الإنترنت، ومراقبة الموظفين، وأشكال التتبع الرقمي الأخرى ضمن نطاقها عندما تتضمن بيانات شخصية.
بموجب اللائحة العامة لحماية البيانات، تتطلب أنشطة المراقبة عمومًا أساسًا قانونيًا صالحًا، ويجب أن تكون ضرورية ومتناسبة وشفافة. وبحسب السياق، قد تعتمد المؤسسات على أساس قانوني مثل المصالح المشروعة، أو الضرورة التعاقدية، أو الالتزام القانوني، أو الموافقة. وفي سياقات العمل، قد لا تكون الموافقة مناسبة دائمًا بسبب العلاقة بين صاحب العمل والموظف.
عند الاعتماد على المصالح المشروعة، يجب على المؤسسات تقييم وتوثيق ما إذا كان الغرض من المراقبة قانونيًا وضروريًا ومتوازنًا مع حقوق وحريات الأفراد المعنيين. وعندما يُحتمل أن تؤدي المراقبة إلى مخاطر عالية على حقوق الأفراد وحرياتهم، قد يكون من المطلوب إجراء تقييم أثر حماية البيانات (DPIA).
الشفافية ضرورية. يجب عمومًا إبلاغ الأفراد مسبقًا بنوع المراقبة، والغرض منها، وفئات البيانات التي يتم جمعها، والأساس القانوني، ومن يمكنه الوصول إلى البيانات، ومدة الاحتفاظ بها. تُعد المراقبة السرية أو غير المعلنة شديدة الحساسية، وقد تكون غير قانونية في كثير من الحالات، ويجب تقييمها بشكل منفصل وفقًا للقوانين المحلية المعمول بها.
تؤكد اللائحة العامة لحماية البيانات أيضًا على تقليل البيانات، مما يتطلب من المؤسسات جمع البيانات الشخصية الضرورية فقط لغرض محدد. وقد تتعارض المراقبة المستمرة أو المفرطة في التدخل دون مبرر واضح مع مبادئ اللائحة العامة لحماية البيانات.
بالنسبة لأدوات المراقبة عبر الإنترنت، تشمل اعتبارات اللائحة العامة لحماية البيانات الأكثر صلة عادةً ما يلي:
تقديم إشعار واضح بشأن المراقبة عند الاقتضاء
جمع البيانات الضرورية وذات الصلة فقط
مناسب تکنیکی اور تنظیمی حفاظتی اقدامات استعمال کرنا
پروسیسنگ کی قانونی بنیاد کی شناخت اور دستاویز کرنا
تقييم المصالح المشروعة أو المعالجة الأعلى خطرًا حيثما ينطبق ذلك
السماح للأفراد بممارسة حقوق الخصوصية المعمول بها، مثل الوصول أو الحذف أو الاعتراض أو التقييد
المصادر الرسمية:
اللائحة (EU) 2016/679 - اللائحة العامة لحماية البيانات النص الرسمي للائحة GDPR المنشور على EUR-Lex.
إرشادات EDPB رقم 3/2018 بشأن النطاق الإقليمي للائحة GDPR تشرح متى قد تنطبق اللائحة العامة لحماية البيانات على المؤسسات داخل الاتحاد الأوروبي وخارجه.
إرشادات EDPB رقم 05/2020 بشأن الموافقة بموجب اللائحة 2016/679 تقدم إرشادات بشأن الموافقة الصالحة بموجب اللائحة العامة لحماية البيانات.
المفوضية الأوروبية - متى يكون تقييم أثر حماية البيانات مطلوبًا؟ تشرح متى قد يكون تقييم أثر حماية البيانات مطلوبًا لمعالجة البيانات الشخصية عالية المخاطر.
EDPS - الاستخدام الخاص للاتصالات الإلكترونية في مكان العمل يقدم إرشادات تتعلق باتصالات مكان العمل، وتوقعات الخصوصية، والمراقبة المتناسبة.
إرشادات الخصوصية الصادرة عن منظمة التعاون الاقتصادي والتنمية (OECD)
توفر إرشادات الخصوصية الصادرة عن منظمة التعاون الاقتصادي والتنمية (OECD) مبادئ معترفًا بها دوليًا للخصوصية وحماية البيانات الشخصية. وهي ليست ملزمة قانونيًا بالطريقة نفسها التي تكون بها القوانين الوطنية أو الإقليمية، لكنها أثرت في أطر الخصوصية وسياسات حماية البيانات في العديد من البلدان.
تؤكد الإرشادات على مبادئ الخصوصية الأساسية مثل تقييد الجمع، وجودة البيانات، وتحديد الغرض، وتقييد الاستخدام، وضمانات الأمن، والانفتاح، ومشاركة الأفراد، والمساءلة. تدعم هذه المبادئ التعامل المسؤول مع البيانات وتشجع المؤسسات على جمع البيانات الشخصية واستخدامها فقط لأغراض واضحة ومحددة ومناسبة.
بالنسبة للمراقبة عبر الإنترنت ومراقبة الموظفين، لا توفر إرشادات الخصوصية الصادرة عن منظمة التعاون الاقتصادي والتنمية قواعد تفصيلية خاصة بالمراقبة. ومع ذلك، فإنها تقدم إطارًا مفيدًا للخصوصية لتقييم ما إذا كانت ممارسات المراقبة شفافة، ومحدودة بغرض مشروع، ومحمية بضمانات مناسبة، وخاضعة للمساءلة.
على الرغم من أن إرشادات الخصوصية الصادرة عن منظمة التعاون الاقتصادي والتنمية ليست قابلة للإنفاذ مثل اللائحة العامة لحماية البيانات (GDPR)، فإنها تظل مرجعًا دوليًا مهمًا لمعالجة البيانات بشكل مسؤول ومراعٍ للخصوصية.
في الممارسة العملية، قد تساعد هذه المبادئ المؤسسات على النظر فيما إذا كان ينبغي عليها:
مانیٹرنگ کے طریقوں کو واضح طور پر بیان کریں
قصر جمع البيانات على ما هو ضروري لغرض محدد
مانیٹر کیے گئے ڈیٹا کو غیر مجاز رسائی سے محفوظ رکھیں
تزويد الأفراد بمعلومات مناسبة حول كيفية استخدام بياناتهم
مراجعة ممارسات المراقبة بانتظام من حيث الإنصاف والضرورة والتناسب
المصادر الرسمية:
إرشادات OECD بشأن حماية الخصوصية وتدفقات البيانات الشخصية عبر الحدود منشور رسمي لمنظمة التعاون الاقتصادي والتنمية يحتوي على مبادئ الخصوصية والإطار ذي الصلة.
OECD - الخصوصية وحماية البيانات صفحة عامة من OECD تشرح دور إرشادات الخصوصية في أطر الخصوصية وحماية البيانات العالمية.
ریاستہائے متحدہ
في الولايات المتحدة، تخضع المراقبة في مكان العمل والمراقبة عبر الإنترنت لمجموعة من القوانين الفيدرالية، وقوانين الخصوصية على مستوى الولايات، وقواعد الاتصالات الإلكترونية، ومتطلبات الأجور وساعات العمل، واللوائح الخاصة بقطاعات معينة. لا يوجد قانون وطني واحد لمراقبة الموظفين يغطي كل حالة. قد تختلف المتطلبات بحسب الولاية، ونوع البيانات التي يتم جمعها، وما إذا كانت الاتصالات يتم اعتراضها أو الوصول إليها، وما إذا كان الجهاز مملوكًا للشركة أو شخصيًا، وكيفية استخدام بيانات المراقبة.
الإطار | یہ کہاں لاگو ہوتا ہے | مانیٹرنگ کا دائرہ کار | اعتبارات الامتثال الشائعة | سبب أهمية ذلك لبرامج المراقبة |
|---|---|---|---|---|
CCPA / CPRA | كاليفورنيا؛ الشركات المشمولة | جمع واستخدام المعلومات الشخصية، بما في ذلك بعض المعلومات الشخصية الخاصة بالموظفين والمتقدمين للعمل والمتعاقدين والأجهزة والنشاط عبر الإنترنت والمعلومات الشخصية الحساسة | إشعار عند الجمع، وإفصاحات سياسة الخصوصية، وحقوق الوصول/الحذف/التصحيح، وحقوق إلغاء الاشتراك حيثما ينطبق ذلك، وقيود على بعض استخدامات المعلومات الشخصية الحساسة | ذو صلة عندما تجمع المراقبة معرّفات أو بيانات الأجهزة أو نشاط الإنترنت أو التطبيقات أو الموقع الجغرافي أو البيانات السلوكية أو غيرها من المعلومات الشخصية من سكان كاليفورنيا |
ECPA والقواعد الفيدرالية ذات الصلة بالاتصالات الإلكترونية | القانون الفيدرالي الأمريكي؛ وقد تنطبق أيضًا قوانين التنصت والاتصالات على مستوى الولايات | اعتراض الاتصالات الإلكترونية أو الوصول إليها، مثل البريد الإلكتروني أو الدردشة أو المكالمات أو الرسائل أو بعض الاتصالات عبر الإنترنت | تجنب الاعتراض أو الوصول غير المصرح به؛ وتقييم ما إذا كانت الموافقة أو التفويض أو استثناءات مزودي الخدمة أو استثناءات أغراض العمل قد تنطبق؛ ومراجعة قواعد الموافقة والتنصت الخاصة بكل ولاية | ذو صلة كبيرة بمراقبة الاتصالات، ومراجعة البريد الإلكتروني/الدردشة، والتقاط محتوى الشاشة، وتسجيل ضغطات المفاتيح، والأدوات التي قد تلتقط محتوى الرسائل |
قواعد الأجور وساعات العمل المرتبطة بـ FLSA | القانون الفيدرالي الأمريكي؛ وقد تنطبق أيضًا قوانين الأجور على مستوى الولايات | استخدام بيانات المراقبة أو الحضور أو النشاط أو تتبع الوقت في قرارات ساعات العمل أو الرواتب أو العمل الإضافي أو الإنتاجية | يجب أن تدعم سجلات الوقت والنشاط حسابات دقيقة للأجور؛ ويجب دفع أجور الموظفين غير المعفيين عن جميع ساعات العمل؛ وينبغي لأصحاب العمل تجنب تثبيط الإبلاغ الدقيق عن الوقت | ذو صلة عندما تُستخدم بيانات المراقبة لحساب وقت العمل أو التحقق من الحضور أو مراجعة العمل الإضافي أو دعم قرارات الرواتب والأجور |
قوانين المراقبة الإلكترونية والخصوصية الخاصة بكل ولاية | تختلف حسب الولاية؛ وتشمل الأمثلة نيويورك وكونيتيكت وديلاوير فيما يتعلق بقواعد إشعار مراقبة الموظفين | المراقبة الإلكترونية لاتصالات الموظفين أو استخدام الإنترنت أو أنظمة الكمبيوتر أو أجهزة مكان العمل أو غيرها من البيانات الشخصية | تتطلب بعض الولايات إشعارًا كتابيًا أو إلكترونيًا، أو إقرارًا من الموظف، أو نشر إشعار في مكان العمل، أو صياغة محددة في السياسة؛ وقد تضيف قوانين الخصوصية الأخرى على مستوى الولايات التزامات تتعلق بالبيانات الحساسة أو البيانات البيومترية أو حقوق المستهلكين | ينبغي لأصحاب العمل العاملين في عدة ولايات ألا يعتمدوا على سياسة أمريكية عامة واحدة فقط؛ فقد يحتاجون إلى إشعارات خاصة بكل ولاية، وصياغة للموافقة، وقواعد للاحتفاظ، وضوابط داخلية للوصول |
المصادر الرسمية:
وزارة العدل في كاليفورنيا - قانون خصوصية المستهلك في كاليفورنيا (CCPA) نظرة عامة رسمية من وزارة العدل في كاليفورنيا حول حقوق CCPA، والإشعارات المطلوبة، وحقوق إلغاء الاشتراك، وحقوق التصحيح، وحقوق الحذف، وحقوق المعلومات الشخصية الحساسة.
وكالة حماية الخصوصية في كاليفورنيا - القانون واللوائح صفحة رسمية لوكالة حماية الخصوصية في كاليفورنيا بشأن لوائح CCPA/CPRA ووضع القواعد.
قانون الولايات المتحدة - 18 U.S.C. Section 2511: حظر اعتراض الاتصالات السلكية أو الشفوية أو الإلكترونية والإفصاح عنها النص الرسمي لقانون الولايات المتحدة المتعلق باعتراض الاتصالات الإلكترونية.
وزارة العدل الأمريكية - قانون خصوصية الاتصالات الإلكترونية لعام 1986 نظرة عامة من وزارة العدل حول ECPA وعلاقته بالاتصالات الإلكترونية والرقمية.
وزارة العمل الأمريكية - نشرة المساعدة الميدانية رقم 2020-5 إرشادات رسمية من وزارة العمل تتعلق بتتبع وتعويض ساعات العمل، بما في ذلك حالات العمل عن بُعد.
قانون الحقوق المدنية في نيويورك، القسم 52-c - أصحاب العمل الذين يجرون مراقبة إلكترونية؛ الإخطار المسبق مطلوب قانون رسمي في نيويورك يتطلب إشعارًا مسبقًا لبعض أنواع المراقبة الإلكترونية للموظفين.
القوانين العامة في كونيتيكت، القسم 31-48d - إشعار المراقبة الإلكترونية قانون رسمي في كونيتيكت يتناول متطلبات الإخطار لأصحاب العمل الذين يجرون مراقبة إلكترونية.
قانون ديلاوير، العنوان 19، القسم 705 - إشعار مراقبة الإرسالات الهاتفية والبريد الإلكتروني واستخدام الإنترنت قانون رسمي في ديلاوير يتناول متطلبات الإخطار الخاصة بمراقبة الهاتف والبريد الإلكتروني واستخدام الإنترنت.
کینیڈا
PIPEDA (قانون حماية المعلومات الشخصية والوثائق الإلكترونية)
ينطبق قانون PIPEDA على العديد من مؤسسات القطاع الخاص في كندا التي تجمع أو تستخدم أو تفصح عن المعلومات الشخصية في سياق الأنشطة التجارية. وبالنسبة للمعلومات الشخصية للموظفين، ينطبق قانون PIPEDA عمومًا على أماكن العمل الخاضعة للتنظيم الفيدرالي، بينما تمتلك بعض المقاطعات قوانين خصوصية خاصة بها للقطاع الخاص.
قد يغطي قانون PIPEDA المعلومات الشخصية التي يتم جمعها من خلال المراقبة عبر الإنترنت أو مراقبة الموظفين، بما في ذلك المعرّفات وبيانات الأجهزة والنشاط عبر الإنترنت واستخدام التطبيقات والبيانات المتعلقة بالاتصالات وسجلات الإنتاجية.
يجب على المؤسسات تحديد غرض واضح للمراقبة، وقصر الجمع على ما هو ضروري، والتعامل مع المعلومات الشخصية بطريقة شفافة.
عندما تكون الموافقة مطلوبة، يجب أن تكون ذات معنى وأن تستند إلى معلومات واضحة حول البيانات التي يتم جمعها، وسبب جمعها، وكيفية استخدامها، ومن يمكنه الوصول إليها.
يجب عمومًا إبلاغ الموظفين بما تتم مراقبته، وسبب استخدام المراقبة، وكيفية استخدام المعلومات، ومدة الاحتفاظ بها المحتملة.
يجب حماية المعلومات الشخصية التي يتم جمعها من خلال المراقبة بضمانات أمنية مناسبة.
قوانين الخصوصية الإقليمية (Alberta PIPA، British Columbia PIPA، Quebec Law 25)
لدى ألبرتا وكولومبيا البريطانية وكيبيك قوانين خصوصية للقطاع الخاص قد تنطبق داخل مقاطعاتها المعنية.
تتبع هذه القوانين عمومًا مبادئ خصوصية متشابهة، مثل الغرض المعقول، والجمع المحدود، والشفافية، وحقوق الوصول، وحدود الاحتفاظ، والضمانات المناسبة.
بالنسبة لمراقبة الموظفين، قد تعتمد المتطلبات على المقاطعة، ونوع مكان العمل، والغرض من المراقبة، وحساسية البيانات، وما إذا كانت المراقبة معقولة لإدارة علاقة العمل.
يجب على أصحاب العمل إبلاغ الموظفين قبل جمع المعلومات الشخصية من خلال أدوات المراقبة حيثما يكون ذلك مطلوبًا.
قد تتطلب بعض المقاطعات سياسات أو إشعارات تشرح ما هي المعلومات الشخصية التي يتم جمعها، وسبب جمعها، ومدة الاحتفاظ بها، ومن يمكنه الوصول إليها.
يجب على المؤسسات العاملة في عدة مقاطعات كندية مراجعة المتطلبات الفيدرالية ومتطلبات المقاطعات قبل تنفيذ برامج المراقبة.
المصادر الرسمية:
مكتب مفوض الخصوصية في كندا - PIPEDA نظرة عامة رسمية على قانون الخصوصية الفيدرالي الكندي للقطاع الخاص.
مكتب مفوض الخصوصية في كندا - الخصوصية في مكان العمل إرشادات بشأن الخصوصية في مكان العمل، والمعلومات الشخصية للموظفين، ومسؤوليات أصحاب العمل.
مكتب مفوض الخصوصية في كندا - إرشادات الحصول على موافقة ذات معنى إرشادات بشأن الموافقة ذات المعنى بموجب قانون الخصوصية الكندي للقطاع الخاص.
حكومة ألبرتا - قانون حماية المعلومات الشخصية صفحة رسمية لحكومة ألبرتا بشأن قانون الخصوصية للقطاع الخاص في ألبرتا.
حكومة ألبرتا - المعلومات الشخصية للموظفين إرشادات حول كيفية تطبيق قانون Alberta PIPA على المعلومات الشخصية للموظفين.
BC Laws - قانون حماية المعلومات الشخصية النص الرسمي لقانون حماية المعلومات الشخصية في كولومبيا البريطانية.
Legis Quebec - قانون احترام حماية المعلومات الشخصية في القطاع الخاص النص الرسمي لقانون الخصوصية للقطاع الخاص في كيبيك.
برطانیہ
اللائحة العامة لحماية البيانات في المملكة المتحدة
برطانیہ میں ذاتی ڈیٹا کی پروسیسنگ پر لاگو ہوتا ہے، بشمول ملازمین اور آن لائن سرگرمی کی مانیٹرنگ۔
تتطلب أساسًا قانونيًا واضحًا للمراقبة، مثل المصالح المشروعة، أو الالتزام القانوني، أو الضرورة التعاقدية، أو الموافقة حيثما كان ذلك مناسبًا.
يجب أن تكون المراقبة ضرورية ومتناسبة وشفافة، وألا تكون مفرطة في التدخل.
يجب على أصحاب العمل إجراء تقييم للمخاطر، وقد يحتاجون إلى إكمال تقييم أثر حماية البيانات (DPIA) عندما يكون من المحتمل أن تؤدي المراقبة إلى خطر كبير على الأفراد، مثل التتبع المستمر أو تسجيل ضغطات المفاتيح أو غير ذلك من أشكال المراقبة التدخلية.
يجب أن يعرف الموظفون عمومًا ما تتم مراقبته، وسبب مراقبته، وما البيانات التي يتم جمعها، وكيف سيتم استخدامها، ومن يمكنه الوصول إليها، ومدة تخزينها.
قانون حماية البيانات لعام 2018
يكمّل اللائحة العامة لحماية البيانات في المملكة المتحدة ويوفر قواعد وشروطًا واستثناءات إضافية لمعالجة البيانات الشخصية.
يتضمن أحكامًا ذات صلة بالبيانات ذات الفئات الخاصة، وبيانات الجرائم الجنائية، والمعالجة المرتبطة بالتوظيف، ومعالجة إنفاذ القانون.
يعزز مبادئ مثل تقليل البيانات، وتحديد الغرض، والأمن، والمساءلة، وحقوق الأفراد.
يتمتع الأفراد عمومًا بحقوق الوصول إلى بياناتهم الشخصية، وفي بعض الحالات، الاعتراض على أنواع معينة من المعالجة.
قانون RIPA والقواعد ذات الصلة بالاعتراض
ينظم قانون تنظيم سلطات التحقيق لعام 2000 والقواعد البريطانية ذات الصلة بالاعتراض أنواعًا معينة من اعتراض الاتصالات والوصول إليها.
قد يكون اعتراض الاتصالات مقيدًا ما لم تكن هناك سلطة قانونية، أو موافقة، أو أساس قانوني آخر قابل للتطبيق، أو استثناء.
بالنسبة للمراقبة في مكان العمل، يجب تقييم مراقبة الاتصالات بعناية، خاصة عندما قد تشمل البريد الإلكتروني أو الدردشة أو المكالمات أو الرسائل أو غيرها من محتوى الاتصالات.
تُعد المراقبة السرية أو غير المعلنة شديدة الحساسية، وقد تكون غير قانونية في كثير من الحالات، ولا ينبغي النظر فيها إلا في ظروف استثنائية مع وجود مبرر واضح ومراجعة قانونية مناسبة.
إرشادات ICO لممارسات التوظيف
يوفر مكتب مفوض المعلومات في المملكة المتحدة إرشادات بشأن مراقبة العاملين والتعامل مع البيانات الشخصية للموظفين.
يؤكد مكتب ICO أن المراقبة يجب أن تكون محددة الهدف، ومتناسبة، ومبررة بغرض واضح، وغير مفرطة.
يجب على أصحاب العمل النظر في التأثير على العاملين قبل إدخال أدوات المراقبة، خاصة عندما تكون المراقبة تدخلية أو مستمرة.
يجب على أصحاب العمل إنشاء سياسات مكتوبة واضحة تشرح ما تتم مراقبته، وسبب مراقبته، وكيف تُستخدم البيانات، ومن يمكنه الوصول إليها، ومدة الاحتفاظ بها.
تؤكد الإرشادات على الشفافية، والمساءلة، والتشاور حيثما كان مناسبًا، واحترام التوقعات المعقولة للعاملين بشأن الخصوصية.
المصادر الرسمية:
ICO - ممارسات التوظيف وحماية البيانات: مراقبة العاملين مركز إرشادات رسمي من ICO لممارسات التوظيف، بما في ذلك مراقبة العاملين والالتزامات ذات الصلة بحماية البيانات.
ICO - دليل للأساس القانوني إرشادات ICO بشأن الأسس القانونية لمعالجة البيانات الشخصية بموجب UK GDPR.
ICO - متى نحتاج إلى إجراء DPIA؟ إرشادات ICO التي تشرح متى قد يكون تقييم أثر حماية البيانات مطلوبًا.
legislation.gov.uk - قانون حماية البيانات لعام 2018 النص الرسمي لقانون حماية البيانات لعام 2018.
legislation.gov.uk - قانون تنظيم سلطات التحقيق لعام 2000 النص الرسمي لقانون تنظيم سلطات التحقيق لعام 2000.
GOV.UK - اعتراض الاتصالات: مدونة الممارسات مدونة ممارسات حكومية بريطانية تتعلق باعتراض الاتصالات.
آسٹریلیا اور نیوزی لینڈ
قانون الخصوصية لعام 1988 (أستراليا)
يضع قانون الخصوصية لعام 1988 الإطار العام لكيفية تعامل المؤسسات الأسترالية مع المعلومات الشخصية، بما في ذلك بعض البيانات التي قد يتم جمعها من خلال المراقبة عبر الإنترنت أو الأنظمة المرتبطة بمكان العمل.
يتطلب من المؤسسات المشمولة جمع المعلومات الضرورية بشكل معقول فقط، والتحلي بالشفافية بشأن كيفية استخدام المعلومات الشخصية، والحفاظ على أمنها.
لا يتضمن القانون قواعد تفصيلية بشأن المراقبة في مكان العمل، وقد تُستثنى سجلات الموظفين التي يتعامل معها أصحاب العمل في القطاع الخاص من مبادئ الخصوصية الأسترالية في ظروف معينة. ومع ذلك، قد تظل المراقبة التي تتضمن معلومات شخصية خاضعة لقانون الخصوصية في بعض السياقات، مثل الحالات التي لا ينطبق فيها استثناء سجلات الموظفين، أو عندما يتعامل مزودو الخدمات مع بيانات الموظفين، أو عندما تنشأ التزامات خصوصية أخرى.
في الممارسة العملية، يجب على أصحاب العمل ومزودي الخدمات الذين يستخدمون أدوات المراقبة تحديد أغراض تجارية واضحة، وتجنب التتبع المفرط، وشرح ممارساتهم في سياسات الخصوصية والوثائق الداخلية، ومراعاة قوانين المراقبة في مكان العمل ذات الصلة على مستوى الولاية أو الإقليم.
قوانين المراقبة في مكان العمل (على مستوى الولاية، أستراليا)
تنظم بعض الولايات والأقاليم الأسترالية المراقبة في مكان العمل بشكل أكثر مباشرة من خلال قوانين المراقبة في مكان العمل، مثل قانون المراقبة في مكان العمل لعام 2005 (NSW) وقانون الخصوصية في مكان العمل لعام 2011 (ACT).
قد تتحكم هذه القوانين في متى وكيف يمكن لأصحاب العمل استخدام المراقبة بالكاميرات أو الكمبيوتر أو التتبع، وغالبًا ما تتطلب إشعارًا كتابيًا مسبقًا، وسياسات واضحة، وشروطًا محددة قبل بدء المراقبة.
تخضع المراقبة الخفية أو السرية لقيود شديدة وقد تتطلب سلطة محددة أو موافقة قانونية. ولا ينبغي التعامل معها كطريقة روتينية لتتبع الأداء.
بالنسبة لأدوات المراقبة عبر الإنترنت، يعني ذلك أن أصحاب العمل في الولايات والأقاليم المتأثرة يجب أن يقدموا إشعارًا واضحًا وفي الوقت المناسب حيثما كان ذلك مطلوبًا، وأن يضمنوا توافق أي مراقبة للكمبيوتر أو الإنترنت أو البريد الإلكتروني أو التتبع مع الشروط القانونية المعمول بها.
قانون الخصوصية لعام 2020 (نيوزيلندا)
يوفر قانون الخصوصية لعام 2020 في نيوزيلندا إطار الخصوصية في البلاد، وينطبق على المعلومات الشخصية التي تتعامل معها الوكالات، بما في ذلك المعلومات التي يتم جمعها من خلال المراقبة في مكان العمل أو عبر الإنترنت.
يتطلب القانون من المؤسسات جمع المعلومات فقط لأغراض قانونية وضرورية، وأن تكون منفتحة بشأن ممارساتها، وأن تمنح الأفراد إمكانية الوصول إلى معلوماتهم الشخصية حيثما ينطبق ذلك.
تؤكد إرشادات الجهات التنظيمية أن مراقبة الموظفين أو تسجيلهم أو تصويرهم يجب أن تتم بما يتماشى مع قانون الخصوصية ومبادئ الخصوصية. كما يجب على أصحاب العمل النظر في كيفية تأثير المراقبة على ثقة الموظفين ومعنوياتهم وعلاقات مكان العمل.
يُشجَّع أصحاب العمل على التشاور مع الموظفين، وشرح سبب الحاجة إلى المراقبة، واستخدام سياسات واضحة في مكان العمل، ومراعاة تأثير التتبع المستمر أو التفصيلي.
المصادر الرسمية:
OAIC - قانون الخصوصية نظرة عامة رسمية على قانون الخصوصية الأسترالي لعام 1988 ومبادئ الخصوصية الأسترالية.
OAIC - استثناء سجلات الموظفين يشرح متى قد يُعفى تعامل أصحاب العمل في القطاع الخاص مع سجلات الموظفين من مبادئ الخصوصية الأسترالية.
OAIC - المراقبة والإشراف في مكان العمل إرشادات تشرح أن المراقبة في مكان العمل قد تتضمن قوانين أسترالية ذات صلة على مستوى الولاية أو الإقليم أو غيرها.
ACT Legislation - قانون الخصوصية في مكان العمل لعام 2011 صفحة التشريعات الرسمية لإقليم العاصمة الأسترالية الخاصة بقانون الخصوصية في مكان العمل لعام 2011.
تشريعات نيوزيلندا - قانون الخصوصية لعام 2020 النص الرسمي لقانون الخصوصية النيوزيلندي لعام 2020.
مفوض الخصوصية في نيوزيلندا - قانون الخصوصية لعام 2020 نظرة عامة رسمية على مبادئ الخصوصية في نيوزيلندا.
Employment New Zealand - خصوصية الموظفين إرشادات بشأن خصوصية الموظفين، والمراقبة في مكان العمل، وتسجيل الموظفين وتصويرهم.
منطقة آسيا والمحيط الهادئ
قانون حماية البيانات الشخصية (PDPA) - سنغافورة
يغطي البيانات الشخصية التي تجمعها المؤسسات أو تستخدمها أو تفصح عنها، بما في ذلك البيانات التي قد يتم جمعها من خلال مراقبة الموظفين أو المراقبة عبر الإنترنت.
يتطلب من المؤسسات جمع البيانات الشخصية أو استخدامها أو الإفصاح عنها لأغراض مناسبة وبموافقة، أو موافقة مفترضة، أو استثناء آخر قابل للتطبيق حيثما يُسمح بذلك.
يركز بقوة على الشفافية، والإخطار المناسب، وتحديد الغرض، وضمانات حماية البيانات.
يجب على المؤسسات إبلاغ الأفراد بالأغراض التي من أجلها يتم جمع بياناتهم الشخصية أو استخدامها أو الإفصاح عنها.
يجب أن يقتصر الاحتفاظ بالبيانات على ما هو ضروري للأغراض القانونية أو التجارية.
قانون حماية البيانات الشخصية (PDPA) - ماليزيا
ينطبق على البيانات الشخصية التي تتم معالجتها في المعاملات التجارية، بما في ذلك السياقات المرتبطة بالتوظيف حيث يتم جمع البيانات الشخصية أو استخدامها.
يتطلب من المؤسسات الامتثال للمبادئ الأساسية لحماية البيانات الشخصية، بما في ذلك المبادئ العامة، والإشعار والاختيار، والإفصاح، والأمن، والاحتفاظ، وسلامة البيانات، والوصول.
يجب على المؤسسات تقديم إشعار واضح بشأن الغرض من جمع البيانات الشخصية وكيفية استخدام البيانات.
يجب معالجة البيانات لغرض محدد ومعلن، وحمايتها بتدابير أمنية مناسبة، وعدم الاحتفاظ بها لمدة أطول مما هو ضروري.
يتضمن قواعد بشأن الاحتفاظ بالبيانات، وأمن البيانات، وحقوق الوصول، وحقوق التصحيح، والمعالجة من قبل أطراف ثالثة.
قانون حماية المعلومات الشخصية (APPI) - اليابان
ينظم التعامل مع المعلومات الشخصية من قبل الشركات والكيانات الأخرى المشمولة، بما في ذلك البيانات الشخصية للعملاء والموظفين.
يتطلب من المؤسسات تحديد غرض الاستخدام والتعامل مع المعلومات الشخصية ضمن ذلك الغرض المعلن.
يؤكد على أمن البيانات، والدقة، والتحكم في الاحتفاظ، والإشراف المناسب على الموظفين ومزودي الخدمات الذين يتعاملون مع البيانات الشخصية.
يجب أن تكون ممارسات المراقبة التي تتضمن معلومات شخصية متوافقة مع السياسات الداخلية والغرض المعلن من الاستخدام.
قد يكون للأفراد حقوق في الإفصاح أو التصحيح أو تعليق الاستخدام أو الحذف بحسب السياق.
قانون حماية المعلومات الشخصية (PIPL) - الصين
قانون شامل لحماية المعلومات الشخصية يغطي معالجة المعلومات الشخصية في الصين وبعض أنشطة المعالجة خارج الصين التي تتعلق بأفراد في الصين.
يتطلب وجود غرض واضح ومعقول، وتقليل البيانات، والشفافية، وتدابير أمنية مناسبة.
قد تكون الموافقة مطلوبة في كثير من الحالات، بينما قد تنطبق أسس قانونية أخرى للمعالجة بحسب السياق.
قد تكون الموافقة المنفصلة مطلوبة للمعلومات الشخصية الحساسة، أو بعض الإفصاحات، أو نقل البيانات عبر الحدود، أو غيرها من أنشطة المعالجة الأعلى خطرًا.
يمنح الأفراد حقوقًا مثل الوصول، والتصحيح، والحذف، وسحب الموافقة، وشرح قواعد المعالجة.
المصادر الرسمية:
Singapore PDPC - قانون حماية البيانات الشخصية نظرة عامة رسمية على قانون حماية البيانات الشخصية في سنغافورة.
Singapore PDPC - التزامات حماية البيانات صفحة رسمية من PDPC تشرح الالتزامات الرئيسية مثل الموافقة، والإخطار، وتحديد الغرض، والحماية، والاحتفاظ.
Singapore PDPC - إرشادات استشارية حول المفاهيم الرئيسية في PDPA إرشادات رسمية تشرح المفاهيم الرئيسية في PDPA، بما في ذلك الموافقة والاستثناءات.
إدارة حماية البيانات الشخصية في ماليزيا - قانون حماية البيانات الشخصية لعام 2010 صفحة حكومية ماليزية رسمية بشأن قانون حماية البيانات الشخصية لعام 2010.
إدارة حماية البيانات الشخصية في ماليزيا - مبادئ حماية البيانات الشخصية نظرة عامة رسمية على المبادئ السبعة لحماية البيانات الشخصية في ماليزيا.
إدارة حماية البيانات الشخصية في ماليزيا - إرشادات بشأن إشعارات حماية البيانات الشخصية إرشادات رسمية بشأن إعداد إشعارات حماية البيانات الشخصية.
لجنة حماية المعلومات الشخصية في اليابان - قانون حماية المعلومات الشخصية الترجمة الإنجليزية الرسمية لقانون حماية المعلومات الشخصية في اليابان.
لجنة حماية المعلومات الشخصية في اليابان الموقع الرسمي لجهة تنظيم الخصوصية في اليابان.
قاعدة بيانات القوانين واللوائح الوطنية في الصين - قانون حماية المعلومات الشخصية النص الصيني الرسمي لقانون حماية المعلومات الشخصية في الصين.
إدارة الفضاء السيبراني في الصين - قانون حماية المعلومات الشخصية النشر الرسمي الصادر عن CAC لقانون حماية المعلومات الشخصية في الصين.
أمريكا اللاتينية
القانون العام لحماية البيانات (LGPD) - البرازيل
ينظم قانون LGPD في البرازيل معالجة البيانات الشخصية، بما في ذلك البيانات التي تتم معالجتها بالوسائل الرقمية. وقد ينطبق على المعلومات التي يتم جمعها من خلال المراقبة عبر الإنترنت أو في مكان العمل عندما تكون البيانات مرتبطة بفرد محدد أو يمكن تحديده.
يجب على المؤسسات تحديد أساس قانوني مناسب للمراقبة وشرح الغرض من جمع البيانات. يجب أن تقتصر المراقبة على ما هو ضروري، وأن تُنفذ بشفافية، وأن تكون مدعومة بتدابير أمنية مناسبة.
يتمتع الأفراد بحقوق قد تشمل الوصول، والتصحيح، والحذف، وقابلية نقل البيانات، والمعلومات المتعلقة بمشاركة البيانات، وسحب الموافقة حيثما ينطبق ذلك.
قوانين الخصوصية الوطنية في الأرجنتين والمكسيك وتشيلي
لدى الأرجنتين والمكسيك وتشيلي أطر وطنية لحماية البيانات قد تنطبق على البيانات الشخصية التي يتم جمعها من خلال أدوات المراقبة، وذلك بحسب السياق ونوع البيانات المعنية.
تشمل توقعات الخصوصية المشتركة في جميع أنحاء المنطقة وجود غرض واضح ومناسب، وإبلاغ الأفراد بجمع البيانات، وقصر استخدام البيانات على ما هو ضروري، وحماية البيانات الشخصية بضمانات مناسبة.
قد يتمتع الأفراد بحقوق الوصول إلى بياناتهم الشخصية أو تصحيحها أو تحديثها أو حذفها أو الاعتراض على بعض استخداماتها، بحسب القانون المعمول به.
نظرًا لاختلاف المتطلبات المحددة من بلد إلى آخر، واحتمال تغيرها بمرور الوقت، يجب على المؤسسات مراجعة القواعد المحلية الحالية قبل تنفيذ المراقبة عبر الإنترنت أو المراقبة في مكان العمل في هذه الأسواق.
المصادر الرسمية:
البرازيل - القانون رقم 13,709/2018، القانون العام لحماية البيانات الشخصية (LGPD) النص الرسمي الموحد لقانون LGPD في البرازيل.
الأرجنتين - Agencia de Acceso a la Informacion Publica: حماية البيانات الشخصية صفحة رسمية للسلطة الأرجنتينية بشأن حماية البيانات الشخصية.
تشيلي - القانون رقم 19,628 بشأن حماية الحياة الخاصة النص الرسمي لقانون حماية البيانات الشخصية في تشيلي.
تشيلي - القانون رقم 21,719، حماية ومعالجة البيانات الشخصية النص الرسمي لإطار حماية البيانات المحدّث في تشيلي.
منطقة الشرق الأوسط
قانون حماية البيانات في الإمارات العربية المتحدة (المرسوم بقانون اتحادي رقم 45 لسنة 2021)
يوفر قانون حماية البيانات الشخصية الاتحادي في دولة الإمارات العربية المتحدة إطارًا عامًا لمعالجة البيانات الشخصية. وقد ينطبق على المؤسسات التي تعالج البيانات الشخصية في الإمارات أو تعالج البيانات الشخصية لأفراد في الإمارات، بحسب نطاق القانون وأي قواعد قطاعية أو قواعد مناطق حرة قابلة للتطبيق.
بالنسبة للمراقبة، يجب على المؤسسات تحديد غرض واضح وقانوني، وقصر جمع البيانات على ما هو ضروري، وإيلاء أهمية كبيرة للشفافية والأمن.
يجب على المؤسسات إبلاغ الموظفين بالمراقبة حيثما يكون ذلك مطلوبًا، وتوثيق أسبابها لجمع البيانات الشخصية، ووضع سياسات داخلية وضمانات للتعامل مع البيانات التي تتم مراقبتها.
قانون حماية خصوصية البيانات في قطر
يغطي قانون خصوصية البيانات الشخصية في قطر البيانات الشخصية التي تتم معالجتها إلكترونيًا أو المعدّة للمعالجة الإلكترونية.
يعترف بحق الفرد في خصوصية البيانات ويتطلب أن تتبع معالجة البيانات الشخصية مبادئ مثل الشفافية والإنصاف واحترام الخصوصية.
بالنسبة لأنظمة المراقبة، يجب أن يكون لدى المؤسسات غرض واضح وقانوني، وأن تُبلغ الأفراد حيثما يكون ذلك مطلوبًا، وأن تحمي البيانات الشخصية بتدابير أمنية مناسبة.
يجب على المؤسسات أيضًا احترام الحقوق المعمول بها، بما في ذلك حقوق الوصول والتصحيح حيثما تكون متاحة.
قانون حماية البيانات الشخصية السعودي (PDPL)
ينظم قانون حماية البيانات الشخصية في المملكة العربية السعودية معالجة البيانات الشخصية داخل المملكة، وقد ينطبق أيضًا على بعض أنشطة المعالجة خارج المملكة عندما تتعلق بالبيانات الشخصية لأفراد في المملكة العربية السعودية.
بالنسبة للمراقبة، يجب على المؤسسات تحديد أغراض واضحة، واعتماد سياسات خصوصية، وإبلاغ الأفراد بكيفية جمع بياناتهم الشخصية واستخدامها.
قد تكون الموافقة مطلوبة في كثير من الحالات، بينما قد تنطبق أسس قانونية أخرى بحسب السياق.
يجب على أصحاب العمل الذين يستخدمون أدوات المراقبة حماية البيانات التي تتم مراقبتها، وتقييد الوصول الداخلي، وتجنب الجمع غير الضروري، والتعامل مع معلومات الموظفين بما يتماشى مع متطلبات الشفافية والأمن والاحتفاظ المنصوص عليها في قانون حماية البيانات الشخصية.
المصادر الرسمية:
تشريعات الإمارات العربية المتحدة - المرسوم بقانون اتحادي رقم 45 لسنة 2021 بشأن حماية البيانات الشخصية النص الرسمي لقانون حماية البيانات الشخصية الاتحادي في دولة الإمارات العربية المتحدة.
الميزان القطري - القانون رقم 13 لسنة 2016 بشأن حماية خصوصية البيانات الشخصية النص الرسمي الإنجليزي بصيغة PDF لقانون خصوصية البيانات الشخصية في قطر.
SDAIA - قانون حماية البيانات الصفحة الرسمية للهيئة السعودية للبيانات والذكاء الاصطناعي بشأن قانون حماية البيانات الشخصية في المملكة العربية السعودية.
SDAIA - قانون حماية البيانات الشخصية النسخة الإنجليزية الرسمية من قانون حماية البيانات الشخصية في المملكة العربية السعودية.
اعتبارات نهائية للمراقبة المسؤولة
تختلف قوانين المراقبة عبر الإنترنت ومراقبة الموظفين اختلافًا كبيرًا بين البلدان والولايات والقطاعات وبيئات العمل. قد تكون أداة المراقبة نفسها مقبولة في سياق معين وغير مناسبة أو غير قانونية في سياق آخر، وذلك بحسب كيفية إعدادها، والبيانات التي يتم جمعها، وما إذا كان المستخدمون قد أُبلغوا، وكيفية استخدام المعلومات.
يجب أن يتضمن برنامج المراقبة المسؤول عمومًا ما يلي:
غرض واضح ومشروع للمراقبة
سياسات داخلية مكتوبة تشرح ما تتم مراقبته ولماذا
إخطار المستخدم أو الموظف حيثما يكون ذلك مطلوبًا
جمع محدود ومتناسب للبيانات
ضوابط وصول قوية وضمانات أمنية
فترات احتفاظ محددة للبيانات التي تم جمعها
مراجعة منتظمة لممارسات المراقبة
مراجعة قانونية لسيناريوهات المراقبة عالية المخاطر أو الحساسة أو السرية أو العابرة للحدود
توفر Spyrix برنامج مراقبة للاستخدام المصرح به. ومع ذلك، تتحمل كل مؤسسة مسؤولية تحديد ما إذا كان استخدامها المحدد لأدوات المراقبة يمتثل للقوانين المعمول بها والسياسات الداخلية ومتطلبات الإخطار. عند الشك، يجب على المؤسسات استشارة مستشار قانوني مؤهل قبل نشر برنامج المراقبة أو تمكين ميزات مراقبة أكثر تدخلًا.