Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

GDPR / Soulad s předpisy · Aktualizováno 2026-05-05

Monitorování pracoviště CCTV dle GDPR / RODO / DSGVO

Plán dodržování předpisů pro vedoucí pracovníky v oblasti lidských zdrojů, provozu a bezpečnosti, kteří v EU zavádějí dohled nad pracovišti, do roku 2026. Právní hranicí je GDPR ; stropem je vnitrostátní pracovní právo a spolurozhodování s radami zaměstnanců, které se v jednotlivých členských státech dramaticky liší.

Sedm povinností týkajících se kamerového systému na pracovišti podle GDPR

Právní základ. Oprávněný zájem podle článku 6(1)(f) je jedinou realistickou možností – souhlas selhává, protože zaměstnanci nemohou svobodně odmítnout a článek 6(1)(b) (plnění smlouvy) je příliš úzký. Test vyváženosti oprávněného zájmu musí být dokumentován a každoročně přezkoumáván.
Posouzení vlivu na ochranu osobních údajů (článek 35). Kamerový systém na pracovišti je „systematické monitorování ve velkém měřítku“ a v každé jurisdikci EU spouští povinné posouzení vlivu na ochranu osobních údajů. Posouzení vlivu na ochranu osobních údajů dokumentuje účel, test proporcionality, zvažované alternativy (a důvody jejich zamítnutí) a opatření přijatá k minimalizaci dopadu.
Transparentnost (články 13–14). Každý zaměstnanec musí být před nasazením informován o tom, co se zaznamenává, kde, proč, kým, jak dlouho a jak může uplatnit svá práva. Oznámení o ochraně osobních údajů v příručce pro zaměstnance a označení na obvodu tohoto bodu splňují požadavky.
Retence. Nezbytné minimum, obvykle 7–30 dní. Většina úřadů pro ochranu osobních údajů považuje 30 dní za standardní lhůtu; delší lhůta vyžaduje zvláštní odůvodnění.
Viditelné značení. Piktogram + jméno správce + kontakt + právní základ + doba uchovávání + kontakt na pověřence pro ochranu osobních údajů. Umístění na každém vstupním bodě a na každém patře vícepodlažních budov.
Přístup k subjektu. Každý zaměstnanec si může vyžádat kopii záběrů, na kterých se objevuje. Platí 30denní lhůta pro odpověď.
Minimalizace. FOV kamery musí být co nejužší, aby bylo dosaženo bezpečnostního účelu. Kamery namířené na stoly, do vyhrazených odpočinkových zón nebo pokrývající větší veřejný prostor, než vyžaduje bezpečnostní cíl, tento test standardně neprocházejí.

Doplňky specifické pro danou zemi

Německo (DSGVO + BDSG + BetrVG). Spolurozhodování rady zaměstnanců podle BetrVG §87(1)(6) je povinné pro jakoukoli technologii monitorování zaměstnanců, včetně CCTV. Zaměstnavatel nemůže systém instalovat, rozšiřovat ani upravovat bez souhlasu rady zaměstnanců. Orgány pro ochranu osobních údajů na státní úrovni (16 spolkových zemí) pravidelně ukládají pokuty za nedodržení konzultací. BDSG §26 stanoví přísnější výchozí podmínky pro uchovávání informací než obecné GDPR – typickým stropem je 72 hodin.

Polsko ( RODO + Kodeks pracy). Článek 22² zákoníku práce povoluje používání kamerového systému v práci, ale pouze pro zajištění bezpečnosti, ochranu majetku, sledování výroby nebo zachování důvěrnosti. Jeho umístění musí být upraveno v pracovním řádu (regulamin pracy) a oznámeno zaměstnancům nejméně 14 dní před aktivací. Úřad pro ochranu pracovníků (UODO) je stále aktivnější – pokuty za nedostatečné značení a neodůvodněné zadržování jsou časté.

Francie (pokyny CNIL + Code du travail). Je vyžadována konzultace s radou zaměstnanců podle článku L2312-38. CNIL zveřejnila závazné pokyny omezující uchovávání údajů na 30 dní, s výjimkou konkrétních incidentů. Kamery nesmí nepřetržitě natáčet pracovní stanice zaměstnanců a musí se zcela vyhnout prostorům odpočinkových místností. Pokuty CNIL za narušení bezpečnosti při kamerovém systému na pracovišti se pohybují od 1 000 do 600 000 a více eur.

Itálie (Garante + Statuto dei Lavoratori článek 4). Jeden z nejpřísnějších režimů. Článek 4 zákona o zaměstnanosti zakazuje instalaci sledovacích zařízení pro přímé sledování zaměstnanců a vyžaduje kolektivní smlouvu (s radou zaměstnanců, nebo pokud to není možné, s povolením regionálního inspektorátu práce) před nasazením jakéhokoli systému, který náhodně zachycuje činnost zaměstnanců.

Spojené království (britské GDPR + zákon o ochraně osobních údajů z roku 2018 + kodex pracovních postupů ICO). Konzultace s radou zaměstnanců se doporučuje, ale není povinná. Kodex pracovních postupů ICO je považován za směrodatný návod a orgány pro vymáhání údajů se na něj často odvolávají. Standardní doba uchovávání je 30 dní; delší doba uchovávání vyžaduje zdokumentovaný incident.

Běžná selhání v oblasti dodržování předpisů (a jejich náklady)

Kamery na toaletách, v šatnách nebo odpočívadlech – automatické šestimístné pokuty v celé EU.
Uchovávání na dobu neurčitou nebo 90+ dní bez doloženého odůvodnění – časté pokuty v nízkých pětimístných částkách.
Žádné značení nebo značení pouze v jednom jazyce na vícejazyčných pracovištích – typicky 5 000–25 000 EUR.
Žádné posouzení vlivu na ochranu osobních údajů v spisu – stále častěji vnímáno jako přitěžující okolnost, která znásobuje podkladový trest.
V Německu / Francii / Itálii se nekonají konzultace s radou zaměstnanců – celé nasazení může být zpětně neplatné.
Živý přenos přístupný manažerům bez protokolování přístupu – porušuje jak principy minimalizace, tak i odpovědnosti.
Záznam zvuku bez samostatného odůvodnění – se zvukem pracovních rozhovorů se zachází přísněji než s videem.

Kontrolní seznam před nasazením, který obstojí

Před zatažením prvního kabelu: (1) vypracovat posouzení vlivu na ochranu osobních údajů (DPIA) zahrnující účel, proporcionalitu, alternativy, minimalizaci zorného pole ( FOV a uchování informací; (2) aktualizovat oznámení o ochraně osobních údajů a příručku pro zaměstnance s ohledem na nové zpracování; (3) v případě potřeby konzultovat s radou zaměstnanců / odborovou organizací a získat písemný souhlas; (4) navrhnout mapu FOV zobrazující přesné pokrytí s testem proporcionality anotovaným pro každou kameru; (5) vytvořit značení ve všech jazycích pracoviště; (6) definovat pravidla uchovávání informací a technickou kontrolu, která je vymáhá; (7) jmenovat správce protokolu přístupu; (8) proškolit bezpečnostní tým v pracovním postupu pro přístup subjektu údajů.

CCTVplanner vytváří (4) přímo – umístěte pozice kamer na půdorys, zablokujte kužely FOV, exportujte popsaný PDF s anotací testu proporcionality pro každou kameru a připojte jej k dodatku DPIA. Recenzent DPA přečte stejný artefakt, který jste zkontrolovali.

Vytvořte mapu FOV pracoviště pro vaši analýzu dopadu na informace (DPIA).

Umístěte kamery na plán půdorysu, zajistěte zorné pole FOV a exportujte PDF , který se použije v dodatku DPIA. Bezplatná úroveň se vztahuje na 1 lokalitu.

Referenční číslo RODO / GDPR →

Naše kompletní reference pro provozovatele CCTV systémů v EU.

Příklad použití průmyslového CCTV →

Kamerový systém CCTV na úrovni závodu s minimalizací FOV s ohledem na požadavky závodní rady.