Luật giám sát trực tuyến và các cân nhắc tuân thủ quyền riêng tư
Cập nhật lần cuối: Tháng 5 năm 2026
Phần mềm giám sát trực tuyến có thể giúp các tổ chức bảo vệ tài nguyên công ty, cải thiện năng suất và hiểu cách công việc kỹ thuật số được thực hiện. Tuy nhiên, việc giám sát nhân viên, thiết bị, hoạt động trực tuyến hoặc thông tin liên lạc có thể liên quan đến dữ liệu cá nhân và các quy tắc quyền riêng tư tại nơi làm việc.
Trang này cung cấp tổng quan chung về các cân nhắc quyền riêng tư và tuân thủ liên quan đến việc sử dụng phần mềm giám sát được cho phép. Trang nêu bật các chủ đề chung trong những khuôn khổ lớn về quyền riêng tư và giám sát tại nơi làm việc, chẳng hạn như tính minh bạch, mục đích hợp pháp, tối thiểu hóa dữ liệu, bảo mật, lưu giữ và thông báo cho người dùng.
Các yêu cầu cụ thể có thể khác nhau tùy theo quốc gia, bang, ngành, quyền sở hữu thiết bị, loại dữ liệu được thu thập và cách cấu hình hoạt động giám sát.
Tuyên bố miễn trừ trách nhiệm: Trang này chỉ được cung cấp cho mục đích thông tin chung và không cấu thành tư vấn pháp lý. Luật về quyền riêng tư, giám sát tại nơi làm việc, lao động và thông tin liên lạc điện tử khác nhau tùy theo khu vực tài phán và có thể phụ thuộc vào trường hợp sử dụng cụ thể, quyền sở hữu thiết bị, ngành, thông báo cho nhân viên, yêu cầu về sự đồng ý và loại dữ liệu được thu thập.
Spyrix không xác định liệu một thiết lập giám sát cụ thể có hợp pháp đối với tổ chức của bạn hay không. Trước khi sử dụng phần mềm giám sát, bạn nên xem xét các luật áp dụng và chính sách nội bộ, thông báo cho người dùng khi được yêu cầu, giới hạn việc giám sát ở các mục đích cần thiết và hợp pháp, đồng thời tham vấn cố vấn pháp lý đủ điều kiện khi phù hợp.
Các khuôn khổ quyền riêng tư toàn cầu và khu vực
GDPR (Quy định chung về bảo vệ dữ liệu - Liên minh Châu Âu)
GDPR là quy định cốt lõi của Liên minh Châu Âu về bảo vệ dữ liệu. Quy định này có thể áp dụng cho các tổ chức trong hoặc ngoài EU khi họ xử lý dữ liệu cá nhân theo cách nằm trong phạm vi lãnh thổ của GDPR, bao gồm một số trường hợp liên quan đến cá nhân trong EU. Giám sát hoạt động trực tuyến, giám sát nhân viên và các hình thức theo dõi kỹ thuật số khác có thể thuộc phạm vi của quy định này khi chúng liên quan đến dữ liệu cá nhân.
Theo GDPR, các hoạt động giám sát nhìn chung cần có cơ sở pháp lý hợp lệ và phải cần thiết, tương xứng cũng như minh bạch. Tùy theo bối cảnh, các tổ chức có thể dựa vào cơ sở pháp lý như lợi ích hợp pháp, sự cần thiết theo hợp đồng, nghĩa vụ pháp lý hoặc sự đồng ý. Trong bối cảnh việc làm, sự đồng ý có thể không phải lúc nào cũng phù hợp do mối quan hệ giữa người sử dụng lao động và nhân viên.
Khi dựa vào lợi ích hợp pháp, các tổ chức nên đánh giá và ghi chép liệu mục đích giám sát có hợp pháp, cần thiết và cân bằng với quyền cũng như tự do của các cá nhân liên quan hay không. Khi việc giám sát có khả năng dẫn đến rủi ro cao đối với quyền và tự do của cá nhân, có thể cần thực hiện Đánh giá tác động bảo vệ dữ liệu (DPIA).
Tính minh bạch là điều thiết yếu. Cá nhân nhìn chung nên được thông báo trước về loại hình giám sát, mục đích, các danh mục dữ liệu được thu thập, cơ sở pháp lý, ai có thể truy cập dữ liệu và dữ liệu sẽ được lưu giữ trong bao lâu. Giám sát bí mật hoặc không được tiết lộ là vấn đề rất nhạy cảm, có thể bất hợp pháp trong nhiều trường hợp và nên được đánh giá riêng theo luật địa phương áp dụng.
GDPR cũng nhấn mạnh việc tối thiểu hóa dữ liệu, yêu cầu các tổ chức chỉ thu thập dữ liệu cá nhân cần thiết cho một mục đích đã xác định. Việc giám sát liên tục hoặc quá xâm phạm mà không có lý do chính đáng rõ ràng có thể mâu thuẫn với các nguyên tắc GDPR.
Đối với các công cụ giám sát trực tuyến, các cân nhắc GDPR liên quan nhất thường bao gồm:
Cung cấp thông báo rõ ràng về việc giám sát khi được yêu cầu
Chỉ thu thập dữ liệu cần thiết và có liên quan
Sử dụng các biện pháp bảo mật kỹ thuật và tổ chức phù hợp
Xác định và ghi chép cơ sở pháp lý cho việc xử lý
Đánh giá lợi ích hợp pháp hoặc hoạt động xử lý có rủi ro cao hơn khi áp dụng
Cho phép cá nhân thực hiện các quyền riêng tư áp dụng, chẳng hạn như truy cập, xóa, phản đối hoặc hạn chế
Nguồn chính thức:
Quy định (EU) 2016/679 - Quy định chung về bảo vệ dữ liệu Văn bản GDPR chính thức được công bố trên EUR-Lex.
Hướng dẫn EDPB 3/2018 về phạm vi lãnh thổ của GDPR Giải thích khi nào GDPR có thể áp dụng cho các tổ chức trong và ngoài EU.
Hướng dẫn EDPB 05/2020 về sự đồng ý theo Quy định 2016/679 Cung cấp hướng dẫn về sự đồng ý hợp lệ theo GDPR.
Ủy ban Châu Âu - Khi nào cần Đánh giá tác động bảo vệ dữ liệu? Giải thích khi nào DPIA có thể được yêu cầu đối với việc xử lý dữ liệu cá nhân có rủi ro cao hơn.
EDPS - Việc sử dụng riêng tư thông tin liên lạc điện tử tại nơi làm việc Cung cấp hướng dẫn liên quan đến thông tin liên lạc tại nơi làm việc, kỳ vọng về quyền riêng tư và giám sát tương xứng.
Hướng dẫn về quyền riêng tư của OECD (Tổ chức Hợp tác và Phát triển Kinh tế)
Hướng dẫn về quyền riêng tư của OECD cung cấp các nguyên tắc được công nhận quốc tế về quyền riêng tư và bảo vệ dữ liệu cá nhân. Các hướng dẫn này không có tính ràng buộc pháp lý giống như luật quốc gia hoặc khu vực, nhưng đã ảnh hưởng đến các khuôn khổ quyền riêng tư và chính sách bảo vệ dữ liệu ở nhiều quốc gia.
Các hướng dẫn nhấn mạnh các nguyên tắc cốt lõi về quyền riêng tư như giới hạn thu thập, chất lượng dữ liệu, xác định mục đích, giới hạn sử dụng, biện pháp bảo vệ an ninh, tính cởi mở, sự tham gia của cá nhân và trách nhiệm giải trình. Những nguyên tắc này hỗ trợ việc xử lý dữ liệu có trách nhiệm và khuyến khích các tổ chức chỉ thu thập và sử dụng dữ liệu cá nhân cho các mục đích rõ ràng, đã xác định và phù hợp.
Đối với giám sát trực tuyến và giám sát nhân viên, Hướng dẫn về quyền riêng tư của OECD không cung cấp các quy tắc chi tiết dành riêng cho giám sát. Tuy nhiên, các hướng dẫn này cung cấp một khuôn khổ quyền riêng tư hữu ích để đánh giá liệu các thực tiễn giám sát có minh bạch, giới hạn trong một mục đích hợp pháp, được bảo vệ bằng các biện pháp phù hợp và có trách nhiệm giải trình hay không.
Mặc dù Hướng dẫn về quyền riêng tư của OECD không thể được thực thi như GDPR, chúng vẫn là một điểm tham chiếu quốc tế quan trọng cho việc xử lý dữ liệu có trách nhiệm và có ý thức về quyền riêng tư.
Trên thực tế, các nguyên tắc này có thể giúp tổ chức cân nhắc liệu họ có nên:
Truyền đạt rõ ràng các thực tiễn giám sát
Giới hạn việc thu thập dữ liệu ở mức cần thiết cho một mục đích đã xác định
Bảo vệ dữ liệu được giám sát khỏi truy cập trái phép
Cung cấp cho cá nhân thông tin phù hợp về cách dữ liệu của họ được sử dụng
Thường xuyên xem xét các thực tiễn giám sát về tính công bằng, sự cần thiết và tính tương xứng
Nguồn chính thức:
Hướng dẫn của OECD về Bảo vệ Quyền riêng tư và Luồng Dữ liệu Cá nhân Xuyên biên giới Ấn phẩm chính thức của OECD chứa các nguyên tắc quyền riêng tư và khuôn khổ liên quan.
OECD - Quyền riêng tư và Bảo vệ Dữ liệu Trang tổng quan của OECD giải thích vai trò của Hướng dẫn về quyền riêng tư trong các khuôn khổ quyền riêng tư và bảo vệ dữ liệu toàn cầu.
Hoa Kỳ
Tại Hoa Kỳ, giám sát tại nơi làm việc và trực tuyến được điều chỉnh bởi sự kết hợp của luật liên bang, luật quyền riêng tư cấp bang, quy tắc thông tin liên lạc điện tử, yêu cầu về tiền lương và giờ làm, cùng các quy định chuyên ngành. Không có một luật giám sát nhân viên toàn quốc duy nhất bao quát mọi tình huống. Các yêu cầu có thể khác nhau tùy theo bang, loại dữ liệu được thu thập, việc thông tin liên lạc có bị chặn thu hoặc truy cập hay không, thiết bị thuộc sở hữu công ty hay cá nhân, và cách dữ liệu giám sát được sử dụng.
Khuôn khổ | Nơi áp dụng | Phạm vi giám sát | Các cân nhắc tuân thủ phổ biến | Vì sao điều này có thể quan trọng đối với phần mềm giám sát |
|---|---|---|---|---|
CCPA / CPRA | California; các doanh nghiệp thuộc phạm vi điều chỉnh | Thu thập và sử dụng thông tin cá nhân, bao gồm một số thông tin cá nhân của nhân viên, ứng viên, nhà thầu, thiết bị, hoạt động trực tuyến và thông tin cá nhân nhạy cảm | Thông báo khi thu thập, công bố trong chính sách quyền riêng tư, quyền truy cập/xóa/chỉnh sửa, quyền từ chối khi áp dụng, giới hạn đối với một số cách sử dụng thông tin cá nhân nhạy cảm | Liên quan khi hoạt động giám sát thu thập mã định danh, dữ liệu thiết bị, hoạt động Internet hoặc ứng dụng, vị trí địa lý, dữ liệu hành vi hoặc thông tin cá nhân khác từ cư dân California |
ECPA và các quy tắc liên bang liên quan đến thông tin liên lạc điện tử | Luật liên bang Hoa Kỳ; luật nghe lén và thông tin liên lạc cấp bang cũng có thể áp dụng | Chặn thu hoặc truy cập thông tin liên lạc điện tử, chẳng hạn như email, trò chuyện, cuộc gọi, tin nhắn hoặc một số thông tin liên lạc trực tuyến nhất định | Tránh chặn thu hoặc truy cập trái phép; đánh giá liệu sự đồng ý, ủy quyền, ngoại lệ dành cho nhà cung cấp hoặc ngoại lệ vì mục đích kinh doanh có thể áp dụng hay không; xem xét các quy tắc về sự đồng ý và nghe lén riêng theo từng bang | Rất liên quan đến giám sát thông tin liên lạc, xem xét email/trò chuyện, chụp nội dung màn hình, ghi phím và các công cụ có thể thu thập nội dung tin nhắn |
Các quy tắc về tiền lương và giờ làm liên quan đến FLSA | Luật liên bang Hoa Kỳ; luật tiền lương cấp bang cũng có thể áp dụng | Sử dụng dữ liệu giám sát, chấm công, hoạt động hoặc theo dõi thời gian cho các quyết định về giờ làm việc, bảng lương, làm thêm giờ hoặc năng suất | Hồ sơ thời gian và hoạt động nên hỗ trợ tính toán tiền lương chính xác; nhân viên không được miễn trừ phải được trả lương cho tất cả giờ đã làm việc; người sử dụng lao động nên tránh làm nản lòng việc báo cáo thời gian chính xác | Liên quan khi dữ liệu giám sát được sử dụng để tính thời gian làm việc, xác minh chấm công, xem xét làm thêm giờ hoặc hỗ trợ các quyết định liên quan đến bảng lương và tiền lương |
Luật quyền riêng tư và giám sát điện tử riêng theo từng bang | Khác nhau tùy bang; ví dụ bao gồm New York, Connecticut và Delaware đối với các quy tắc thông báo giám sát nhân viên | Giám sát điện tử thông tin liên lạc của nhân viên, việc sử dụng Internet, hệ thống máy tính, thiết bị nơi làm việc hoặc dữ liệu cá nhân khác | Một số bang yêu cầu thông báo bằng văn bản hoặc điện tử, xác nhận của nhân viên, thông báo tại nơi làm việc hoặc ngôn ngữ chính sách cụ thể; các luật quyền riêng tư cấp bang khác có thể bổ sung nghĩa vụ đối với dữ liệu nhạy cảm, dữ liệu sinh trắc học hoặc quyền của người tiêu dùng | Người sử dụng lao động hoạt động ở nhiều bang không nên chỉ dựa vào một chính sách chung của Hoa Kỳ; họ có thể cần thông báo riêng theo từng bang, ngôn ngữ về sự đồng ý, quy tắc lưu giữ và kiểm soát truy cập nội bộ |
Nguồn chính thức:
Bộ Tư pháp California - Đạo luật Quyền riêng tư Người tiêu dùng California (CCPA) Tổng quan chính thức của DOJ California về quyền theo CCPA, thông báo bắt buộc, quyền từ chối, quyền chỉnh sửa, quyền xóa và quyền đối với thông tin cá nhân nhạy cảm.
Cơ quan Bảo vệ Quyền riêng tư California - Luật và Quy định Trang chính thức của Cơ quan Bảo vệ Quyền riêng tư California về quy định CCPA/CPRA và hoạt động xây dựng quy tắc.
Bộ luật Hoa Kỳ - 18 U.S.C. Mục 2511: Cấm chặn thu và tiết lộ thông tin liên lạc qua dây, bằng lời nói hoặc điện tử Văn bản chính thức của Bộ luật Hoa Kỳ liên quan đến việc chặn thu thông tin liên lạc điện tử.
Bộ Tư pháp Hoa Kỳ - Đạo luật Quyền riêng tư Thông tin Liên lạc Điện tử năm 1986 Tổng quan của DOJ về ECPA và mối quan hệ của đạo luật này với thông tin liên lạc điện tử và kỹ thuật số.
Bộ Lao động Hoa Kỳ - Bản tin Hỗ trợ Thực địa số 2020-5 Hướng dẫn chính thức của DOL liên quan đến việc theo dõi và bồi thường giờ làm việc, bao gồm các tình huống làm việc từ xa.
Luật Dân quyền New York Mục 52-c - Người sử dụng lao động tham gia giám sát điện tử; yêu cầu thông báo trước Luật chính thức của New York yêu cầu thông báo trước đối với một số hoạt động giám sát điện tử nhân viên nhất định.
Bộ luật Chung Connecticut Mục 31-48d - Thông báo giám sát điện tử Quy định chính thức của Connecticut đề cập đến yêu cầu thông báo đối với người sử dụng lao động tham gia giám sát điện tử.
Bộ luật Delaware Tiêu đề 19 Mục 705 - Thông báo giám sát truyền dẫn điện thoại, thư điện tử và việc sử dụng Internet Luật chính thức của Delaware đề cập đến yêu cầu thông báo đối với việc giám sát điện thoại, email và sử dụng Internet.
Canada
PIPEDA (Đạo luật Bảo vệ Thông tin Cá nhân và Tài liệu Điện tử)
PIPEDA áp dụng cho nhiều tổ chức khu vực tư nhân tại Canada thu thập, sử dụng hoặc tiết lộ thông tin cá nhân trong quá trình hoạt động thương mại. Đối với thông tin cá nhân của nhân viên, PIPEDA nhìn chung áp dụng cho các nơi làm việc được quản lý ở cấp liên bang, trong khi một số tỉnh có luật quyền riêng tư khu vực tư nhân riêng.
PIPEDA có thể bao gồm thông tin cá nhân được thu thập thông qua giám sát trực tuyến hoặc giám sát nhân viên, bao gồm mã định danh, dữ liệu thiết bị, hoạt động trực tuyến, việc sử dụng ứng dụng, dữ liệu liên quan đến thông tin liên lạc và hồ sơ năng suất.
Các tổ chức nên xác định mục đích rõ ràng cho việc giám sát, giới hạn việc thu thập ở mức cần thiết và xử lý thông tin cá nhân một cách minh bạch.
Khi cần có sự đồng ý, sự đồng ý đó phải có ý nghĩa và dựa trên thông tin rõ ràng về dữ liệu nào được thu thập, vì sao được thu thập, sẽ được sử dụng như thế nào và ai có thể truy cập.
Nhân viên nhìn chung nên được thông báo về những gì được giám sát, vì sao việc giám sát được sử dụng, thông tin sẽ được sử dụng như thế nào và có thể được lưu giữ trong bao lâu.
Thông tin cá nhân được thu thập thông qua giám sát nên được bảo vệ bằng các biện pháp bảo mật phù hợp.
Các đạo luật quyền riêng tư cấp tỉnh (Alberta PIPA, British Columbia PIPA, Quebec Law 25)
Alberta, British Columbia và Quebec có luật quyền riêng tư khu vực tư nhân có thể áp dụng trong phạm vi các tỉnh tương ứng.
Các luật này nhìn chung tuân theo những nguyên tắc quyền riêng tư tương tự, chẳng hạn như mục đích hợp lý, thu thập hạn chế, minh bạch, quyền truy cập, giới hạn lưu giữ và các biện pháp bảo vệ phù hợp.
Đối với giám sát nhân viên, các yêu cầu có thể phụ thuộc vào tỉnh, loại nơi làm việc, mục đích giám sát, độ nhạy cảm của dữ liệu và việc giám sát có hợp lý để quản lý quan hệ lao động hay không.
Người sử dụng lao động nên thông báo cho nhân viên trước khi thu thập thông tin cá nhân thông qua các công cụ giám sát khi được yêu cầu.
Một số tỉnh có thể yêu cầu chính sách hoặc thông báo giải thích thông tin cá nhân nào được thu thập, vì sao được thu thập, được lưu giữ trong bao lâu và ai có thể truy cập.
Các tổ chức hoạt động tại nhiều tỉnh của Canada nên xem xét cả yêu cầu liên bang và cấp tỉnh trước khi triển khai phần mềm giám sát.
Nguồn chính thức:
Văn phòng Ủy viên Quyền riêng tư Canada - PIPEDA Tổng quan chính thức về luật quyền riêng tư liên bang của Canada dành cho khu vực tư nhân.
Văn phòng Ủy viên Quyền riêng tư Canada - Quyền riêng tư tại nơi làm việc Hướng dẫn về quyền riêng tư tại nơi làm việc, thông tin cá nhân của nhân viên và trách nhiệm của người sử dụng lao động.
Văn phòng Ủy viên Quyền riêng tư Canada - Hướng dẫn để có được sự đồng ý có ý nghĩa Hướng dẫn về sự đồng ý có ý nghĩa theo luật quyền riêng tư khu vực tư nhân của Canada.
Chính phủ Alberta - Đạo luật Bảo vệ Thông tin Cá nhân Trang chính thức của chính phủ Alberta về luật quyền riêng tư khu vực tư nhân của Alberta.
Chính phủ Alberta - Thông tin cá nhân của nhân viên Hướng dẫn về cách Alberta PIPA áp dụng cho thông tin cá nhân của nhân viên.
BC Laws - Đạo luật Bảo vệ Thông tin Cá nhân Văn bản chính thức của Đạo luật Bảo vệ Thông tin Cá nhân của British Columbia.
Legis Quebec - Đạo luật về bảo vệ thông tin cá nhân trong khu vực tư nhân Văn bản chính thức của luật quyền riêng tư khu vực tư nhân của Quebec.
Vương quốc Anh
UK GDPR
Áp dụng cho việc xử lý dữ liệu cá nhân tại Vương quốc Anh, bao gồm giám sát nhân viên và hoạt động trực tuyến.
Yêu cầu cơ sở pháp lý rõ ràng cho việc giám sát, chẳng hạn như lợi ích hợp pháp, nghĩa vụ pháp lý, sự cần thiết theo hợp đồng hoặc sự đồng ý khi phù hợp.
Việc giám sát nên cần thiết, tương xứng, minh bạch và không quá xâm phạm.
Người sử dụng lao động nên thực hiện đánh giá rủi ro và có thể cần hoàn thành Đánh giá tác động bảo vệ dữ liệu (DPIA) khi việc giám sát có khả năng tạo ra rủi ro cao cho cá nhân, chẳng hạn như theo dõi liên tục, ghi phím hoặc giám sát xâm phạm khác.
Nhân viên nhìn chung nên biết những gì được giám sát, vì sao được giám sát, dữ liệu nào được thu thập, dữ liệu sẽ được sử dụng như thế nào, ai có thể truy cập và dữ liệu sẽ được lưu trữ trong bao lâu.
Đạo luật Bảo vệ Dữ liệu 2018
Bổ sung cho UK GDPR và cung cấp các quy tắc, điều kiện và ngoại lệ bổ sung cho việc xử lý dữ liệu cá nhân.
Bao gồm các quy định liên quan đến dữ liệu danh mục đặc biệt, dữ liệu về tội phạm hình sự, xử lý liên quan đến việc làm và xử lý bởi cơ quan thực thi pháp luật.
Củng cố các nguyên tắc như tối thiểu hóa dữ liệu, giới hạn mục đích, bảo mật, trách nhiệm giải trình và quyền cá nhân.
Cá nhân nhìn chung có quyền truy cập dữ liệu cá nhân của họ và, trong một số trường hợp, quyền phản đối một số loại xử lý nhất định.
RIPA và các quy tắc chặn thu liên quan
Đạo luật Quy định về Quyền hạn Điều tra 2000 và các quy tắc chặn thu liên quan của Vương quốc Anh điều chỉnh một số loại chặn thu và truy cập thông tin liên lạc.
Việc chặn thu thông tin liên lạc có thể bị hạn chế trừ khi có thẩm quyền hợp pháp, sự đồng ý hoặc cơ sở pháp lý hay ngoại lệ áp dụng khác.
Đối với giám sát tại nơi làm việc, giám sát thông tin liên lạc nên được đánh giá cẩn thận, đặc biệt khi có thể liên quan đến email, trò chuyện, cuộc gọi, tin nhắn hoặc nội dung thông tin liên lạc khác.
Giám sát bí mật hoặc không được tiết lộ là vấn đề rất nhạy cảm, có thể bất hợp pháp trong nhiều trường hợp và chỉ nên được xem xét trong các trường hợp ngoại lệ với lý do chính đáng rõ ràng và đánh giá pháp lý phù hợp.
Hướng dẫn thực hành việc làm của ICO
Văn phòng Ủy viên Thông tin Vương quốc Anh cung cấp hướng dẫn về giám sát người lao động và xử lý dữ liệu cá nhân của nhân viên.
ICO nhấn mạnh rằng việc giám sát phải có mục tiêu, tương xứng, được biện minh bởi mục đích rõ ràng và không quá mức.
Người sử dụng lao động nên xem xét tác động đối với người lao động trước khi giới thiệu các công cụ giám sát, đặc biệt khi việc giám sát mang tính xâm phạm hoặc liên tục.
Người sử dụng lao động nên tạo các chính sách bằng văn bản rõ ràng giải thích những gì được giám sát, vì sao được giám sát, dữ liệu được sử dụng như thế nào, ai có thể truy cập và dữ liệu được lưu giữ trong bao lâu.
Hướng dẫn nhấn mạnh tính minh bạch, trách nhiệm giải trình, tham vấn khi phù hợp và tôn trọng kỳ vọng hợp lý của người lao động về quyền riêng tư.
Nguồn chính thức:
ICO - Thực hành việc làm và bảo vệ dữ liệu: giám sát người lao động Trung tâm hướng dẫn chính thức của ICO về thực hành việc làm, bao gồm giám sát người lao động và các nghĩa vụ bảo vệ dữ liệu liên quan.
ICO - Hướng dẫn về cơ sở pháp lý Hướng dẫn của ICO về các cơ sở pháp lý để xử lý dữ liệu cá nhân theo UK GDPR.
ICO - Khi nào chúng ta cần thực hiện DPIA? Hướng dẫn của ICO giải thích khi nào có thể cần Đánh giá tác động bảo vệ dữ liệu.
legislation.gov.uk - Đạo luật Bảo vệ Dữ liệu 2018 Văn bản chính thức của Đạo luật Bảo vệ Dữ liệu 2018.
legislation.gov.uk - Đạo luật Quy định về Quyền hạn Điều tra 2000 Văn bản chính thức của Đạo luật Quy định về Quyền hạn Điều tra 2000.
GOV.UK - Chặn thu thông tin liên lạc: quy tắc thực hành Quy tắc thực hành của chính phủ Vương quốc Anh liên quan đến việc chặn thu thông tin liên lạc.
Úc và New Zealand
Privacy Act 1988 (Úc)
Privacy Act 1988 đặt ra khuôn khổ tổng thể về cách các tổ chức Úc xử lý thông tin cá nhân, bao gồm một số dữ liệu có thể được thu thập thông qua giám sát trực tuyến hoặc các hệ thống liên quan đến nơi làm việc.
Đạo luật yêu cầu các tổ chức thuộc phạm vi điều chỉnh chỉ thu thập thông tin hợp lý cần thiết, minh bạch về cách thông tin cá nhân được sử dụng và giữ thông tin an toàn.
Đạo luật không chứa các quy tắc chi tiết về giám sát tại nơi làm việc, và hồ sơ nhân viên do người sử dụng lao động khu vực tư nhân xử lý có thể được miễn áp dụng các Nguyên tắc Quyền riêng tư của Úc trong một số trường hợp nhất định. Tuy nhiên, hoạt động giám sát liên quan đến thông tin cá nhân vẫn có thể chịu sự điều chỉnh của Privacy Act trong một số bối cảnh, chẳng hạn như khi ngoại lệ hồ sơ nhân viên không áp dụng, khi nhà cung cấp dịch vụ xử lý dữ liệu nhân viên hoặc khi phát sinh các nghĩa vụ quyền riêng tư khác.
Trên thực tế, người sử dụng lao động và nhà cung cấp dịch vụ sử dụng công cụ giám sát nên xác định mục đích kinh doanh rõ ràng, tránh theo dõi quá mức, giải thích các thực tiễn của họ trong chính sách quyền riêng tư và tài liệu nội bộ, đồng thời xem xét các luật giám sát tại nơi làm việc liên quan của bang hoặc vùng lãnh thổ.
Các đạo luật giám sát tại nơi làm việc (cấp bang, Úc)
Một số bang và vùng lãnh thổ của Úc điều chỉnh giám sát tại nơi làm việc trực tiếp hơn thông qua các luật giám sát tại nơi làm việc, chẳng hạn như Workplace Surveillance Act 2005 (NSW) và Workplace Privacy Act 2011 (ACT).
Các luật này có thể kiểm soát thời điểm và cách thức người sử dụng lao động có thể sử dụng giám sát bằng camera, máy tính và theo dõi, thường yêu cầu thông báo trước bằng văn bản, chính sách rõ ràng và các điều kiện cụ thể trước khi bắt đầu giám sát.
Giám sát ẩn hoặc bí mật bị hạn chế nghiêm ngặt và có thể yêu cầu thẩm quyền cụ thể hoặc phê duyệt pháp lý. Không nên coi đây là phương pháp thường xuyên để theo dõi hiệu suất.
Đối với các công cụ giám sát trực tuyến, điều này có nghĩa là người sử dụng lao động tại các bang và vùng lãnh thổ bị ảnh hưởng nên cung cấp thông báo rõ ràng, kịp thời khi được yêu cầu và bảo đảm mọi hoạt động giám sát máy tính, Internet, email hoặc theo dõi đều phù hợp với các điều kiện luật định áp dụng.
Privacy Act 2020 (New Zealand)
Privacy Act 2020 của New Zealand cung cấp khuôn khổ quyền riêng tư của quốc gia này và áp dụng cho thông tin cá nhân do các cơ quan xử lý, bao gồm thông tin được thu thập thông qua giám sát tại nơi làm việc hoặc trực tuyến.
Đạo luật yêu cầu các tổ chức chỉ thu thập thông tin cho các mục đích hợp pháp, cần thiết, công khai về các thực tiễn của mình và cung cấp cho cá nhân quyền truy cập vào thông tin cá nhân của họ khi áp dụng.
Hướng dẫn từ các cơ quan quản lý nhấn mạnh rằng việc giám sát, ghi âm hoặc quay phim nhân viên phải được thực hiện phù hợp với Privacy Act và các nguyên tắc quyền riêng tư. Người sử dụng lao động cũng nên xem xét cách việc giám sát có thể ảnh hưởng đến niềm tin, tinh thần và quan hệ tại nơi làm việc của nhân viên.
Người sử dụng lao động được khuyến khích tham vấn nhân viên, giải thích lý do cần giám sát, sử dụng các chính sách rõ ràng tại nơi làm việc và xem xét tác động của việc theo dõi liên tục hoặc chi tiết.
Nguồn chính thức:
OAIC - Đạo luật Quyền riêng tư Tổng quan chính thức về Privacy Act 1988 của Úc và các Nguyên tắc Quyền riêng tư của Úc.
OAIC - Ngoại lệ đối với hồ sơ nhân viên Giải thích khi nào việc người sử dụng lao động khu vực tư nhân xử lý hồ sơ nhân viên có thể được miễn áp dụng các Nguyên tắc Quyền riêng tư của Úc.
OAIC - Giám sát và theo dõi tại nơi làm việc Hướng dẫn giải thích rằng giám sát tại nơi làm việc có thể liên quan đến luật của bang, vùng lãnh thổ và các luật liên quan khác của Úc.
ACT Legislation - Workplace Privacy Act 2011 Trang lập pháp chính thức của ACT cho Workplace Privacy Act 2011.
Pháp luật New Zealand - Privacy Act 2020 Văn bản chính thức của Privacy Act 2020 của New Zealand.
Ủy viên Quyền riêng tư New Zealand - Privacy Act 2020 Tổng quan chính thức về các nguyên tắc quyền riêng tư của New Zealand.
Employment New Zealand - Quyền riêng tư của nhân viên Hướng dẫn về quyền riêng tư của nhân viên, giám sát tại nơi làm việc, ghi âm và quay phim nhân viên.
Khu vực Châu Á - Thái Bình Dương
PDPA (Đạo luật Bảo vệ Dữ liệu Cá nhân) - Singapore
Bao gồm dữ liệu cá nhân được các tổ chức thu thập, sử dụng hoặc tiết lộ, bao gồm dữ liệu có thể được thu thập thông qua giám sát nhân viên hoặc trực tuyến.
Yêu cầu các tổ chức thu thập, sử dụng hoặc tiết lộ dữ liệu cá nhân cho các mục đích phù hợp và với sự đồng ý, sự đồng ý được xem là có hoặc ngoại lệ áp dụng khác khi được phép.
Tập trung mạnh vào tính minh bạch, thông báo phù hợp, giới hạn mục đích và các biện pháp bảo vệ dữ liệu.
Các tổ chức nên thông báo cho cá nhân về các mục đích mà dữ liệu cá nhân của họ được thu thập, sử dụng hoặc tiết lộ.
Việc lưu giữ nên được giới hạn ở mức cần thiết cho mục đích pháp lý hoặc kinh doanh.
PDPA - Malaysia
Áp dụng cho dữ liệu cá nhân được xử lý trong các giao dịch thương mại, bao gồm các bối cảnh liên quan đến việc làm nơi dữ liệu cá nhân được thu thập hoặc sử dụng.
Yêu cầu các tổ chức tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân chính, bao gồm nguyên tắc chung, thông báo và lựa chọn, tiết lộ, bảo mật, lưu giữ, tính toàn vẹn của dữ liệu và truy cập.
Các tổ chức nên cung cấp thông báo rõ ràng về mục đích thu thập dữ liệu cá nhân và cách dữ liệu sẽ được sử dụng.
Dữ liệu phải được xử lý cho một mục đích cụ thể và đã nêu rõ, được bảo vệ bằng các biện pháp bảo mật phù hợp và không được lưu giữ lâu hơn mức cần thiết.
Bao gồm các quy tắc về lưu giữ, bảo mật dữ liệu, quyền truy cập, quyền chỉnh sửa và xử lý bởi bên thứ ba.
APPI (Đạo luật Bảo vệ Thông tin Cá nhân) - Nhật Bản
Điều chỉnh việc xử lý thông tin cá nhân bởi doanh nghiệp và các thực thể thuộc phạm vi điều chỉnh khác, bao gồm dữ liệu cá nhân của khách hàng và nhân viên.
Yêu cầu các tổ chức xác định mục đích sử dụng và xử lý thông tin cá nhân trong phạm vi mục đích đã nêu đó.
Nhấn mạnh bảo mật dữ liệu, độ chính xác, kiểm soát lưu giữ và giám sát phù hợp đối với nhân viên cũng như nhà cung cấp dịch vụ xử lý dữ liệu cá nhân.
Các thực tiễn giám sát liên quan đến thông tin cá nhân nên phù hợp với chính sách nội bộ và mục đích sử dụng đã nêu.
Cá nhân có thể có quyền được tiết lộ, chỉnh sửa, đình chỉ sử dụng hoặc xóa tùy theo bối cảnh.
PIPL (Luật Bảo vệ Thông tin Cá nhân) - Trung Quốc
Luật bảo vệ thông tin cá nhân toàn diện bao gồm việc xử lý thông tin cá nhân tại Trung Quốc và một số hoạt động xử lý nhất định bên ngoài Trung Quốc liên quan đến cá nhân tại Trung Quốc.
Yêu cầu mục đích rõ ràng và hợp lý, tối thiểu hóa dữ liệu, tính minh bạch và các biện pháp bảo mật phù hợp.
Có thể cần sự đồng ý trong nhiều trường hợp, trong khi các cơ sở xử lý hợp pháp khác có thể áp dụng tùy theo bối cảnh.
Có thể cần sự đồng ý riêng đối với thông tin cá nhân nhạy cảm, một số tiết lộ nhất định, chuyển dữ liệu xuyên biên giới hoặc các hoạt động xử lý có rủi ro cao hơn khác.
Trao cho cá nhân các quyền như truy cập, chỉnh sửa, xóa, rút lại sự đồng ý và được giải thích về quy tắc xử lý.
Nguồn chính thức:
Singapore PDPC - Đạo luật Bảo vệ Dữ liệu Cá nhân Tổng quan chính thức về Đạo luật Bảo vệ Dữ liệu Cá nhân của Singapore.
Singapore PDPC - Nghĩa vụ Bảo vệ Dữ liệu Trang chính thức của PDPC giải thích các nghĩa vụ chính như sự đồng ý, thông báo, giới hạn mục đích, bảo vệ và lưu giữ.
Singapore PDPC - Hướng dẫn tư vấn về các khái niệm chính trong PDPA Hướng dẫn chính thức giải thích các khái niệm chính của PDPA, bao gồm sự đồng ý và các ngoại lệ.
Cục Bảo vệ Dữ liệu Cá nhân Malaysia - Đạo luật Bảo vệ Dữ liệu Cá nhân 2010 Trang chính thức của chính phủ Malaysia về Đạo luật Bảo vệ Dữ liệu Cá nhân 2010.
Cục Bảo vệ Dữ liệu Cá nhân Malaysia - Các nguyên tắc bảo vệ dữ liệu cá nhân Tổng quan chính thức về bảy nguyên tắc bảo vệ dữ liệu cá nhân của Malaysia.
Cục Bảo vệ Dữ liệu Cá nhân Malaysia - Hướng dẫn về thông báo bảo vệ dữ liệu cá nhân Hướng dẫn chính thức về việc chuẩn bị thông báo bảo vệ dữ liệu cá nhân.
Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản - Đạo luật Bảo vệ Thông tin Cá nhân Bản dịch tiếng Anh chính thức của Đạo luật Bảo vệ Thông tin Cá nhân của Nhật Bản.
Ủy ban Bảo vệ Thông tin Cá nhân Nhật Bản Trang web chính thức của cơ quan quản lý quyền riêng tư Nhật Bản.
Cơ sở dữ liệu quốc gia về luật và quy định của Trung Quốc - Luật Bảo vệ Thông tin Cá nhân Văn bản tiếng Trung chính thức của Luật Bảo vệ Thông tin Cá nhân của Trung Quốc.
Cục Quản lý Không gian mạng Trung Quốc - Luật Bảo vệ Thông tin Cá nhân Ấn phẩm chính thức của CAC về Luật Bảo vệ Thông tin Cá nhân của Trung Quốc.
Châu Mỹ Latinh
LGPD (Lei Geral de Protecao de Dados) - Brazil
LGPD của Brazil điều chỉnh việc xử lý dữ liệu cá nhân, bao gồm dữ liệu được xử lý bằng phương tiện kỹ thuật số. Luật này có thể áp dụng cho thông tin được thu thập thông qua giám sát trực tuyến hoặc tại nơi làm việc khi dữ liệu liên quan đến một cá nhân đã được xác định hoặc có thể xác định.
Các tổ chức nên xác định cơ sở pháp lý phù hợp cho việc giám sát và giải thích mục đích thu thập dữ liệu. Việc giám sát nên được giới hạn ở những gì cần thiết, được thực hiện minh bạch và được hỗ trợ bởi các biện pháp bảo mật phù hợp.
Cá nhân có các quyền có thể bao gồm truy cập, chỉnh sửa, xóa, khả năng di chuyển dữ liệu, thông tin về chia sẻ dữ liệu và rút lại sự đồng ý khi áp dụng.
Luật quyền riêng tư quốc gia tại Argentina, Mexico và Chile
Argentina, Mexico và Chile có các khuôn khổ bảo vệ dữ liệu quốc gia có thể áp dụng cho dữ liệu cá nhân được thu thập thông qua các công cụ giám sát, tùy theo bối cảnh và loại dữ liệu liên quan.
Các kỳ vọng chung về quyền riêng tư trong khu vực bao gồm có mục đích rõ ràng và phù hợp, thông báo cho cá nhân về việc thu thập dữ liệu, giới hạn việc sử dụng dữ liệu ở mức cần thiết và bảo vệ dữ liệu cá nhân bằng các biện pháp bảo vệ phù hợp.
Cá nhân có thể có quyền truy cập, chỉnh sửa, cập nhật, xóa hoặc phản đối một số cách sử dụng dữ liệu cá nhân của họ, tùy theo luật áp dụng.
Vì các yêu cầu cụ thể khác nhau theo từng quốc gia và có thể thay đổi theo thời gian, các tổ chức nên xem xét các quy tắc địa phương hiện hành trước khi triển khai giám sát trực tuyến hoặc tại nơi làm việc ở các thị trường này.
Nguồn chính thức:
Brazil - Luật số 13.709/2018, Luật Bảo vệ Dữ liệu Cá nhân Chung (LGPD) Văn bản hợp nhất chính thức của LGPD Brazil.
Argentina - Agencia de Acceso a la Informacion Publica: Bảo vệ Dữ liệu Cá nhân Trang chính thức của cơ quan Argentina về bảo vệ dữ liệu cá nhân.
Chile - Luật số 19.628 về Bảo vệ Đời sống Riêng tư Văn bản chính thức của luật bảo vệ dữ liệu cá nhân của Chile.
Chile - Luật số 21.719, Bảo vệ và Xử lý Dữ liệu Cá nhân Văn bản chính thức của khuôn khổ bảo vệ dữ liệu hiện đại hóa của Chile.
Khu vực Trung Đông
Luật Bảo vệ Dữ liệu UAE (Sắc luật Liên bang số 45 năm 2021)
Luật bảo vệ dữ liệu cá nhân liên bang của UAE cung cấp khuôn khổ chung cho việc xử lý dữ liệu cá nhân. Luật này có thể áp dụng cho các tổ chức xử lý dữ liệu cá nhân tại UAE hoặc xử lý dữ liệu cá nhân của cá nhân tại UAE, tùy theo phạm vi của luật và bất kỳ quy tắc chuyên ngành hoặc khu vực tự do nào áp dụng.
Đối với việc giám sát, các tổ chức nên xác định mục đích rõ ràng và hợp pháp, giới hạn việc thu thập dữ liệu ở mức cần thiết và nhấn mạnh mạnh mẽ tính minh bạch cũng như bảo mật.
Các tổ chức nên thông báo cho nhân viên về việc giám sát khi được yêu cầu, ghi chép lý do thu thập dữ liệu cá nhân và thiết lập các chính sách nội bộ cũng như biện pháp bảo vệ để xử lý dữ liệu được giám sát.
Luật Bảo vệ Quyền riêng tư Dữ liệu Qatar
Luật quyền riêng tư dữ liệu cá nhân của Qatar bao gồm dữ liệu cá nhân được xử lý điện tử hoặc dự kiến xử lý điện tử.
Luật công nhận quyền riêng tư dữ liệu của cá nhân và yêu cầu việc xử lý dữ liệu cá nhân tuân theo các nguyên tắc như minh bạch, công bằng và tôn trọng quyền riêng tư.
Đối với hệ thống giám sát, các tổ chức nên có mục đích rõ ràng và hợp pháp, thông báo cho cá nhân khi được yêu cầu và bảo vệ dữ liệu cá nhân bằng các biện pháp bảo mật phù hợp.
Các tổ chức cũng nên tôn trọng các quyền áp dụng, bao gồm quyền truy cập và quyền chỉnh sửa khi có.
Luật Bảo vệ Dữ liệu Cá nhân Saudi Arabia (PDPL)
PDPL của Saudi Arabia điều chỉnh việc xử lý dữ liệu cá nhân trong Vương quốc và cũng có thể áp dụng cho một số hoạt động xử lý nhất định bên ngoài Vương quốc khi chúng liên quan đến dữ liệu cá nhân của cá nhân tại Saudi Arabia.
Đối với việc giám sát, các tổ chức nên xác định mục đích rõ ràng, áp dụng chính sách quyền riêng tư và thông báo cho cá nhân về cách dữ liệu cá nhân của họ sẽ được thu thập và sử dụng.
Có thể cần sự đồng ý trong nhiều trường hợp, trong khi các cơ sở hợp pháp khác có thể áp dụng tùy theo bối cảnh.
Người sử dụng lao động dùng công cụ giám sát nên bảo vệ dữ liệu được giám sát, giới hạn quyền truy cập nội bộ, tránh thu thập không cần thiết và xử lý thông tin nhân viên phù hợp với các yêu cầu về minh bạch, bảo mật và lưu giữ của PDPL.
Nguồn chính thức:
Pháp luật UAE - Sắc luật Liên bang số 45 năm 2021 về Bảo vệ Dữ liệu Cá nhân Văn bản chính thức của luật bảo vệ dữ liệu cá nhân liên bang UAE.
Qatar Al Meezan - Luật số 13 năm 2016 về Bảo vệ Quyền riêng tư Dữ liệu Cá nhân Văn bản PDF tiếng Anh chính thức của luật quyền riêng tư dữ liệu cá nhân Qatar.
SDAIA - Luật Bảo vệ Dữ liệu Trang chính thức của Cơ quan Dữ liệu và Trí tuệ Nhân tạo Saudi Arabia về Luật Bảo vệ Dữ liệu Cá nhân của Saudi Arabia.
SDAIA - Luật Bảo vệ Dữ liệu Cá nhân Phiên bản tiếng Anh chính thức của Luật Bảo vệ Dữ liệu Cá nhân của Saudi Arabia.
Các cân nhắc cuối cùng cho giám sát có trách nhiệm
Luật giám sát trực tuyến và giám sát nhân viên khác nhau đáng kể giữa các quốc gia, bang, ngành và môi trường nơi làm việc. Cùng một công cụ giám sát có thể được chấp nhận trong một bối cảnh và không phù hợp hoặc bất hợp pháp trong bối cảnh khác, tùy thuộc vào cách nó được cấu hình, dữ liệu nào được thu thập, người dùng có được thông báo hay không và thông tin được sử dụng như thế nào.
Một chương trình giám sát có trách nhiệm nhìn chung nên bao gồm:
Mục đích rõ ràng và hợp pháp cho việc giám sát
Chính sách nội bộ bằng văn bản giải thích những gì được giám sát và vì sao
Thông báo cho người dùng hoặc nhân viên khi được yêu cầu
Thu thập dữ liệu có giới hạn và tương xứng
Kiểm soát truy cập mạnh mẽ và các biện pháp bảo mật
Thời hạn lưu giữ xác định cho dữ liệu được thu thập
Thường xuyên xem xét các thực tiễn giám sát
Đánh giá pháp lý đối với các kịch bản giám sát rủi ro cao, nhạy cảm, bí mật hoặc xuyên biên giới
Spyrix cung cấp phần mềm giám sát cho mục đích sử dụng được cho phép. Tuy nhiên, mỗi tổ chức chịu trách nhiệm xác định liệu việc sử dụng cụ thể các công cụ giám sát của mình có tuân thủ luật áp dụng, chính sách nội bộ và yêu cầu thông báo hay không. Khi có nghi ngờ, các tổ chức nên tham vấn cố vấn pháp lý đủ điều kiện trước khi triển khai phần mềm giám sát hoặc bật các tính năng giám sát xâm phạm hơn.