Spyrix logo

Phần mềm

Mac

Mua hàng

Tải xuống

Doanh nghiệp

Hỗ trợ

Công ty

vi

vi
Spyrix logo

Phần mềm

Mac

Giá cả

Đăng ký

Tài khoản của tôi

Luật Giám Sát Trực Tuyến

Đội ngũ Spyrix tổng hợp các văn bản và đạo luật pháp lý quan trọng nêu rõ cách người sử dụng lao động có thể giám sát hợp pháp các hoạt động trực tuyến của nhân viên. Tài liệu cũng cung cấp hướng dẫn về cách các công cụ giám sát có thể được sử dụng cho mục đích cá nhân.

Các Đạo Luật Quốc Tế Toàn Cầu

GDPR (Quy định Chung về Bảo vệ Dữ liệu - Liên minh Châu Âu)

GDPR là quy định cốt lõi về bảo vệ dữ liệu của Liên minh Châu Âu và áp dụng cho bất kỳ tổ chức nào xử lý dữ liệu cá nhân của các cá nhân trong EU, bất kể tổ chức đó hoạt động ở đâu. Việc giám sát hoạt động trực tuyến, giám sát nhân viên và bất kỳ hình thức theo dõi kỹ thuật số nào đều thuộc phạm vi của quy định này bất cứ khi nào chúng liên quan đến dữ liệu cá nhân.

Theo GDPR, việc giám sát nói chung chỉ hợp pháp khi có cơ sở pháp lý hợp lệ, chẳng hạn như lợi ích hợp pháp, thực hiện hợp đồng hoặc có được sự đồng ý rõ ràng. Trước khi triển khai các công cụ giám sát, các tổ chức nên bảo đảm rằng việc giám sát là cần thiết, tương xứng và không can thiệp quá mức vào quyền riêng tư của cá nhân.

GDPR yêu cầu các công ty tiến hành Đánh giá Lợi ích Hợp pháp (LIA) hoặc, khi việc giám sát có khả năng gây ra rủi ro cao hơn, Đánh giá Tác động Bảo vệ Dữ liệu (DPIA). Những đánh giá này giúp xác định lý do chính đáng cho việc giám sát và xác định các cách giảm thiểu rủi ro trong việc thu thập dữ liệu.

Tính minh bạch là điều thiết yếu. Các cá nhân phải được thông báo rõ ràng trước về loại hình giám sát, mục đích, dữ liệu được thu thập, cơ sở pháp lý, ai sẽ có quyền truy cập và dữ liệu sẽ được lưu giữ trong bao lâu. Việc giám sát không được tiết lộ hoặc bí mật nói chung bị hạn chế và chỉ được phép trong những trường hợp rất hẹp do luật quốc gia quy định.

GDPR cũng nhấn mạnh nguyên tắc giảm thiểu dữ liệu, yêu cầu các tổ chức chỉ thu thập những gì cần thiết cho một mục đích đã xác định. Việc giám sát liên tục hoặc quá xâm phạm mà không có lý do rõ ràng có thể vi phạm các nguyên tắc của GDPR.

Đối với các công cụ giám sát trực tuyến, các nghĩa vụ GDPR liên quan nhất bao gồm:

  • Cung cấp thông báo rõ ràng về việc giám sát

  • Chỉ thu thập dữ liệu cần thiết

  • Sử dụng các biện pháp bảo mật kỹ thuật và tổ chức phù hợp

  • Xác định và ghi nhận cơ sở pháp lý cho việc xử lý

  • Cho phép cá nhân thực hiện các quyền của họ (truy cập, xóa, phản đối, v.v.)

Hướng dẫn Quyền riêng tư OECD (Tổ chức Hợp tác và Phát triển Kinh tế)

Hướng dẫn Quyền riêng tư OECD cung cấp các nguyên tắc được công nhận quốc tế về bảo vệ dữ liệu và quyền riêng tư. Mặc dù không mang tính ràng buộc pháp lý, chúng ảnh hưởng đến luật quyền riêng tư quốc gia trên toàn thế giới và đóng vai trò như một khuôn khổ cho việc xử lý dữ liệu có trách nhiệm.

Các hướng dẫn nhấn mạnh tính công bằng, minh bạch, giới hạn mục đích, chất lượng dữ liệu, các biện pháp bảo mật, tính cởi mở và trách nhiệm giải trình. Những nguyên tắc này khuyến khích các tổ chức chỉ thu thập dữ liệu cá nhân cho các mục đích rõ ràng, hợp pháp và bảo đảm rằng cá nhân hiểu cách dữ liệu của họ được sử dụng.

Đối với giám sát trực tuyến và giám sát nhân viên, Hướng dẫn OECD ủng hộ các thực hành minh bạch, tương xứng và tôn trọng quyền riêng tư. Mặc dù không chứa các quy tắc chi tiết cụ thể cho việc giám sát, chúng thúc đẩy quản trị dữ liệu có trách nhiệm và định hướng cho luật pháp quốc gia có điều chỉnh trực tiếp việc giám sát.

Trong thực tế, các hướng dẫn khuyến khích các tổ chức:

  • Truyền đạt rõ ràng các thực hành giám sát

  • Giới hạn việc thu thập dữ liệu ở mức cần thiết

  • Bảo vệ dữ liệu giám sát khỏi truy cập trái phép

  • Thường xuyên xem xét các thực hành giám sát về tính công bằng và sự cần thiết

Mặc dù không có hiệu lực thi hành như GDPR, Hướng dẫn Quyền riêng tư OECD giúp định hình các tiêu chuẩn toàn cầu và các thông lệ tốt nhất cho việc giám sát hợp pháp và có đạo đức.

Hoa Kỳ

Act

Where it applies

Scope for monitoring

Key requirements

Notes for Spyrix users

CCPA

California

Giám sát thu thập thông tin cá nhân

Thông báo quyền riêng tư, quyền truy cập/xóa, quyền từ chối chia sẻ dữ liệu

Applies if monitoring collects identifiers, activity logs, or usage data

CPRA

California

Giám sát liên quan đến dữ liệu “nhạy cảm” hoặc lập hồ sơ chi tiết

Giới hạn mục đích, giảm thiểu dữ liệu, quy định nghiêm ngặt hơn đối với dữ liệu nhạy cảm

Quan trọng khi công cụ ghi lại vị trí địa lý, mô hình hành vi hoặc hoạt động kỹ thuật số chi tiết

ECPA

Liên bang (Hoa Kỳ)

Chặn hoặc truy cập vào thông tin liên lạc điện tử (email, chat, thao tác bàn phím)

Hạn chế việc chặn nội dung; ngoại lệ cho người sử dụng lao động thường yêu cầu thông báo

Rất liên quan đến keylogging, giám sát email và ghi lại nội dung màn hình

FLSA-Related Guidance

Liên bang (Hoa Kỳ)

Giám sát được sử dụng để theo dõi giờ làm việc hoặc năng suất

Việc theo dõi thời gian phải đảm bảo trả lương chính xác; không có hoạt động ngoài giờ không được trả lương

Không phải là luật về quyền riêng tư, nhưng ảnh hưởng đến cách dữ liệu giám sát được sử dụng cho quyết định trả lương

State-Specific Monitoring Laws

Khác nhau theo bang (NY, CT, DE, CO, VA, UT, v.v.)

Giám sát điện tử đối với nhân viên và hệ thống nơi làm việc

Thường yêu cầu thông báo bằng văn bản hoặc xác nhận rõ ràng

Doanh nghiệp hoạt động ở nhiều bang sẽ có lợi từ chính sách giám sát thống nhất + bổ sung theo từng bang

Canada

PIPEDA (Đạo luật Bảo vệ Thông tin Cá nhân và Tài liệu Điện tử)

  • Áp dụng cho các tổ chức khu vực tư nhân trên toàn Canada (trừ khi được thay thế bởi luật cấp tỉnh).

  • Bao gồm mọi việc thu thập, sử dụng hoặc tiết lộ thông tin cá nhân, bao gồm giám sát trực tuyến và giám sát nhân viên.

  • Yêu cầu các tổ chức xác định mục đích rõ ràng cho việc giám sát và có được sự đồng ý có ý nghĩa khi phù hợp.

  • Việc giám sát phải hợp lý, giới hạn ở mức cần thiết và được thực hiện một cách minh bạch.

  • Nhân viên cần được thông báo về những gì được giám sát, lý do giám sát và cách thông tin sẽ được sử dụng.

  • Thông tin cá nhân phải được bảo vệ bằng các biện pháp bảo mật phù hợp.

Các đạo luật quyền riêng tư cấp tỉnh (Alberta PIPA, British Columbia PIPA, Luật 25 của Quebec)

  • Áp dụng cho các tổ chức khu vực tư nhân trong từng tỉnh tương ứng.

  • Nói chung phản ánh các nguyên tắc của PIPEDA nhưng có thể có quy định nghiêm ngặt hơn về sự đồng ý, lưu trữ và quyền riêng tư của nhân viên.

  • Việc giám sát phải hợp lý cho mục đích kinh doanh và phù hợp với các chính sách rõ ràng đã được truyền đạt.

  • Người sử dụng lao động phải thông báo cho nhân viên trước khi thu thập thông tin cá nhân thông qua các công cụ giám sát.

  • Một số tỉnh yêu cầu các chính sách giải thích loại dữ liệu được thu thập, thời gian lưu trữ và ai có quyền truy cập.

  • Các tổ chức phải cung cấp cho nhân viên quyền truy cập vào thông tin cá nhân của họ khi được yêu cầu.

Vương quốc Anh

UK GDPR

  • Áp dụng cho việc xử lý dữ liệu cá nhân tại Vương quốc Anh, bao gồm giám sát nhân viên và hoạt động trực tuyến.

  • Yêu cầu có cơ sở pháp lý rõ ràng cho việc giám sát (thường là “lợi ích hợp pháp” hoặc hợp đồng).

  • Việc giám sát phải cần thiết, tương xứng và không xâm phạm quá mức.

  • Người sử dụng lao động nên thực hiện đánh giá rủi ro hoặc DPIA đối với các hình thức giám sát có rủi ro cao hơn (ví dụ: theo dõi liên tục, keylogging).

  • Tập trung mạnh vào tính minh bạch: nhân viên cần biết những gì được giám sát, tại sao và dữ liệu sẽ được sử dụng và lưu trữ như thế nào.

Đạo luật Bảo vệ Dữ liệu 2018

  • Bổ sung cho UK GDPR và cung cấp các quy định và ngoại lệ bổ sung.

  • Đặt ra các điều khoản cụ thể trong bối cảnh việc làm và quyền truy cập của cơ quan thực thi pháp luật.

  • Củng cố các nguyên tắc giảm thiểu dữ liệu, giới hạn mục đích và bảo mật đối với dữ liệu giám sát.

  • Cung cấp cho cá nhân quyền truy cập vào dữ liệu cá nhân của họ và, trong một số trường hợp, quyền phản đối một số loại giám sát.

RIPA (Đạo luật Quy định Quyền Điều tra)

  • Điều chỉnh việc chặn thông tin liên lạc và sử dụng giám sát cũng như giám sát bí mật.

  • Nói chung hạn chế việc chặn thông tin liên lạc mà không có sự đồng ý hoặc thẩm quyền phù hợp.

  • Việc giám sát bí mật nhân viên (không có sự hiểu biết của họ) chỉ được phép trong những trường hợp rất hạn chế, chẳng hạn như điều tra hành vi sai phạm nghiêm trọng và khi mang tính tương xứng.

Bộ Quy tắc Thực hành Việc làm của ICO (và các hướng dẫn liên quan)

  • Hướng dẫn không mang tính ràng buộc từ Văn phòng Ủy viên Thông tin Vương quốc Anh về giám sát tại nơi làm việc.

  • Nhấn mạnh rằng việc giám sát nên có mục tiêu cụ thể, không quá mức và phải được biện minh bằng nhu cầu kinh doanh rõ ràng.

  • Khuyến nghị thực hiện các đánh giá tác động trước khi triển khai các công cụ giám sát mới.

  • Khuyên người sử dụng lao động xây dựng các chính sách bằng văn bản rõ ràng giải thích những gì được giám sát, cách thức và mục đích.

  • Nhấn mạnh sự tham vấn, minh bạch và tôn trọng kỳ vọng hợp lý về quyền riêng tư của người lao động.

Úc & New Zealand

Đạo luật Quyền riêng tư 1988 (Úc)

Đạo luật Quyền riêng tư 1988 thiết lập khuôn khổ tổng thể về cách các tổ chức tại Úc xử lý thông tin cá nhân, bao gồm dữ liệu được thu thập thông qua giám sát trực tuyến và giám sát nhân viên. Đạo luật yêu cầu các tổ chức chỉ thu thập thông tin thực sự cần thiết, minh bạch về cách thông tin đó được sử dụng và bảo mật thông tin. Mặc dù Đạo luật không chứa các quy định chi tiết về giám sát nơi làm việc, bất kỳ hoạt động giám sát nào xác định được cá nhân nói chung sẽ phải tuân theo các Nguyên tắc Quyền riêng tư của Úc, đặc biệt liên quan đến thông báo, giới hạn mục đích và quyền truy cập. Trong thực tế, điều này có nghĩa là người sử dụng lao động và nhà cung cấp dịch vụ sử dụng công cụ giám sát nên xác định mục đích kinh doanh rõ ràng, tránh theo dõi quá mức và giải thích các thực hành của mình trong chính sách quyền riêng tư và tài liệu nội bộ.

Các Đạo luật Giám sát Nơi làm việc (cấp bang, Úc)

Một số bang và vùng lãnh thổ của Úc điều chỉnh việc giám sát một cách trực tiếp hơn thông qua các luật về giám sát nơi làm việc, chẳng hạn như Đạo luật Giám sát Nơi làm việc 2005 (NSW) và Đạo luật Quyền riêng tư Nơi làm việc 2011 (ACT). Các luật này thường kiểm soát thời điểm và cách người sử dụng lao động có thể sử dụng giám sát bằng camera, máy tính và theo dõi, thường yêu cầu thông báo trước bằng văn bản, biển báo rõ ràng và các chính sách minh bạch trước khi bắt đầu giám sát. Giám sát ẩn bị hạn chế nghiêm ngặt và thường chỉ được phép với thẩm quyền cụ thể và cho các cuộc điều tra hành vi sai phạm nghiêm trọng hoặc hoạt động bất hợp pháp, không áp dụng cho việc theo dõi hiệu suất thường xuyên. Đối với các công cụ giám sát trực tuyến, điều này có nghĩa là người sử dụng lao động tại các bang bị ảnh hưởng phải cung cấp cho nhân viên thông báo rõ ràng, kịp thời rằng việc sử dụng máy tính, Internet hoặc email của họ có thể bị giám sát, và đảm bảo rằng mọi hoạt động giám sát đều phù hợp với các điều kiện theo luật định.

Đạo luật Quyền riêng tư 2020 (New Zealand)

Đạo luật Quyền riêng tư 2020 của New Zealand hiện đại hóa khuôn khổ quyền riêng tư của quốc gia và áp dụng cho cả dữ liệu khách hàng và nhân viên, bao gồm thông tin được thu thập thông qua giám sát nơi làm việc hoặc trực tuyến. Đạo luật yêu cầu các tổ chức chỉ thu thập thông tin cho các mục đích hợp pháp, cần thiết, minh bạch về thực hành của mình và cung cấp cho cá nhân quyền truy cập vào thông tin cá nhân của họ. Hướng dẫn từ các cơ quan quản lý nhấn mạnh rằng việc giám sát, ghi lại hoặc quay phim nhân viên phải mang tính tương xứng và nên được hỗ trợ bởi các chính sách nơi làm việc rõ ràng được xây dựng phù hợp với cả Đạo luật Quyền riêng tư và luật lao động. Người sử dụng lao động được khuyến khích tham vấn nhân viên, giải thích lý do cần giám sát và xem xét tác động đến sự tin tưởng và tinh thần làm việc, đặc biệt khi sử dụng các công cụ cho phép theo dõi liên tục hoặc chi tiết.

Khu vực Châu Á - Thái Bình Dương

PDPA (Đạo luật Bảo vệ Dữ liệu Cá nhân) – Singapore

  • Bao gồm dữ liệu cá nhân do các tổ chức xử lý, bao gồm dữ liệu nhân viên và dữ liệu giám sát.

  • Yêu cầu mục đích rõ ràng và hợp pháp cho việc giám sát.

  • Thông thường cần có sự đồng ý hoặc cơ sở hợp lệ khác.

  • Tập trung mạnh vào tính minh bạch, thông báo phù hợp và các biện pháp bảo vệ dữ liệu.

  • Việc lưu trữ phải giới hạn ở mức cần thiết.

PDPA – Malaysia

  • Áp dụng cho dữ liệu cá nhân được xử lý trong bối cảnh thương mại và việc làm.

  • Sự đồng ý là yêu cầu chính để thu thập dữ liệu giám sát.

  • Dữ liệu phải được xử lý công bằng và cho mục đích cụ thể, đã được nêu rõ.

  • Bao gồm các quy định về giới hạn lưu trữ, bảo mật dữ liệu và bên xử lý thứ ba.

APPI (Đạo luật Bảo vệ Thông tin Cá nhân) – Nhật Bản

  • Điều chỉnh việc xử lý dữ liệu cá nhân của cả khách hàng và nhân viên.

  • Yêu cầu các tổ chức xác định và truyền đạt mục đích giám sát.

  • Nhấn mạnh bảo mật dữ liệu và giám sát phù hợp đối với nhân viên xử lý thông tin cá nhân.

  • Việc giám sát phải tương xứng và phù hợp với các chính sách nội bộ.

  • Nhân viên có thể có quyền truy cập và chỉnh sửa tùy theo bối cảnh.

PIPL (Luật Bảo vệ Thông tin Cá nhân) – Trung Quốc

  • Luật bảo vệ dữ liệu toàn diện bao gồm dữ liệu nơi làm việc và dữ liệu người tiêu dùng.

  • Yêu cầu mục đích rõ ràng, giảm thiểu dữ liệu và minh bạch trong việc giám sát.

  • Có thể cần sự đồng ý, đặc biệt khi việc giám sát liên quan đến dữ liệu nhạy cảm hoặc chi tiết.

  • Đặt ra các yêu cầu nghiêm ngặt về lưu trữ, bảo mật và ghi nhận việc xử lý.

  • Cung cấp cho cá nhân quyền truy cập, chỉnh sửa và yêu cầu xóa dữ liệu được giám sát.

Châu Mỹ Latinh

LGPD (Lei Geral de Proteção de Dados) – Brazil

LGPD của Brazil điều chỉnh mọi việc sử dụng dữ liệu cá nhân, bao gồm thông tin được thu thập thông qua giám sát trực tuyến hoặc nơi làm việc. Các tổ chức cần có cơ sở pháp lý rõ ràng cho việc giám sát và phải giải thích mục đích của việc đó. Việc giám sát nên giới hạn ở mức cần thiết, được thực hiện minh bạch và được hỗ trợ bằng các biện pháp bảo mật phù hợp. Cá nhân có quyền truy cập, chỉnh sửa và yêu cầu xóa dữ liệu cá nhân của họ.

Luật quyền riêng tư quốc gia tại Argentina, Mexico và Chile

Các quốc gia này có luật bảo vệ dữ liệu quốc gia áp dụng cho dữ liệu cá nhân được thu thập thông qua các công cụ giám sát. Các yêu cầu chung bao gồm có mục đích hợp pháp, thông báo cho cá nhân về việc giám sát và giữ dữ liệu an toàn. Việc giám sát nên hợp lý và tương xứng, và cá nhân nói chung có quyền truy cập hoặc cập nhật thông tin của họ. Mặc dù các quy định cụ thể khác nhau, tính minh bạch và sự cần thiết là các kỳ vọng nhất quán trên toàn khu vực.

Khu vực Trung Đông

Luật Bảo vệ Dữ liệu UAE (DPL / PDPL)

Luật bảo vệ dữ liệu liên bang của UAE áp dụng cho các tổ chức xử lý dữ liệu cá nhân về cá nhân tại UAE, bao gồm nhân viên. Đối với việc giám sát, luật yêu cầu mục đích rõ ràng và hợp pháp, giới hạn việc thu thập dữ liệu ở mức cần thiết và nhấn mạnh mạnh mẽ tính minh bạch và bảo mật. Các tổ chức nên thông báo cho nhân viên về mọi hoạt động giám sát, ghi nhận lý do thực hiện và thiết lập các chính sách nội bộ cũng như biện pháp bảo vệ để xử lý dữ liệu được giám sát.

Luật Bảo vệ Quyền riêng tư Dữ liệu Qatar

Luật quyền riêng tư dữ liệu cá nhân của Qatar bao gồm dữ liệu cá nhân được xử lý bằng phương tiện điện tử hoặc dự kiến được xử lý bằng phương tiện điện tử. Luật công nhận quyền riêng tư dữ liệu của cá nhân và nói chung yêu cầu sự đồng ý hoặc cơ sở hợp pháp khác trước khi xử lý dữ liệu cá nhân, bao gồm dữ liệu được thu thập thông qua các hệ thống giám sát. Các tổ chức phải triển khai các biện pháp bảo mật phù hợp, minh bạch về cách dữ liệu cá nhân được sử dụng và tôn trọng quyền truy cập cũng như chỉnh sửa thông tin của cá nhân.

Luật Bảo vệ Dữ liệu Cá nhân Saudi Arabia (PDPL)

PDPL của Saudi Arabia áp dụng cho việc xử lý dữ liệu cá nhân về các cá nhân trong Vương quốc, bởi các tổ chức bên trong hoặc bên ngoài quốc gia. Đối với việc giám sát, luật yêu cầu các tổ chức xác định mục đích rõ ràng, áp dụng chính sách quyền riêng tư bằng văn bản và thông báo cho cá nhân về cách dữ liệu của họ sẽ được thu thập và sử dụng. Sự đồng ý là cơ sở quan trọng cho việc xử lý trong nhiều trường hợp, mặc dù luật cũng cho phép xử lý vì một số lý do kinh doanh, pháp lý và lợi ích công cộng. Người sử dụng lao động dùng công cụ giám sát được kỳ vọng bảo vệ dữ liệu được giám sát, giới hạn quyền truy cập và xử lý thông tin nhân viên phù hợp với các quy định của PDPL về minh bạch, bảo mật và lưu trữ.