Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

GDPR / Pagsunod · Na-update 2026-05-05

Pagsubaybay sa lugar ng trabaho gamit ang CCTV sa ilalim ng GDPR / RODO / DSGVO

Isang roadmap ng pagsunod sa mga regulasyon sa 2026 para sa mga HR, ops, at security leads na naglalagay ng pagsubaybay sa lugar ng trabaho sa EU. Ang legal na batayan ay GDPR ; ang kisame ay ang pambansang batas sa paggawa at ang co-determination ng works-council, na lubhang nag-iiba-iba sa iba't ibang estadong miyembro.

Ang pitong obligasyon sa lugar ng trabaho-CCTV sa ilalim ng GDPR

Batayang legal. Ang lehitimong interes sa Artikulo 6(1)(f) ang tanging makatotohanang opsyon — nabigo ang pahintulot dahil hindi maaaring malayang tumanggi ang mga empleyado, at ang Artikulo 6(1)(b) (pagganap ng kontrata) ay masyadong makitid. Ang pagsubok sa pagbabalanse ng lehitimong interes ay dapat idokumento at suriin taun-taon.
DPIA (Artikulo 35). Ang CCTV sa Trabaho ay isang "sistematikong pagsubaybay sa malawakang saklaw" at nagpapasimula ng mandatoryong Pagtatasa ng Impact sa Proteksyon ng Data sa bawat hurisdiksyon ng EU. Idinodokumento ng DPIA ang layunin, ang pagsusuri ng proporsyonalidad, ang mga alternatibong isinaalang-alang (at kung bakit tinanggihan), at ang mga hakbang na ginawa upang mabawasan ang epekto.
Transparency (Mga Artikulo 13–14). Dapat ipaalam sa bawat empleyado bago i-deploy kung ano ang naitatala, saan, bakit, sino ang nagrekord, gaano katagal, at paano gagamitin ang kanilang mga karapatan. Natutugunan ito ng isang paunawa sa privacy sa handbook ng kawani kasama ang mga karatula sa perimeter.
Pagpapanatili. Ang minimum na kinakailangan, karaniwang 7–30 araw. Karamihan sa mga DPA ay itinuturing ang 30 araw bilang soft default; ang mas matagal ay nangangailangan ng tiyak na katwiran.
Mga nakikitang karatula. Pictogram + pangalan ng controller + kontak + legal na batayan + panahon ng pagpapanatili + kontak ng DPO. Posisyon sa bawat pasukan at sa bawat palapag ng mga multi-storey deployment.
Pag-access sa paksa. Maaaring humiling ang sinumang empleyado ng kopya ng footage kung saan sila lumalabas. Nalalapat ang 30-araw na palugit para sa pagtugon.
Pagliit. FOV ng kamera ay dapat na ang pinakamakitid na makakamit ang layunin ng seguridad. Ang mga kamerang nakaturo sa mga mesa, sa mga nakalaang lugar ng pahingahan, o sumasakop sa mas maraming pampublikong espasyo kaysa sa kinakailangan ng layunin sa seguridad ay karaniwang babagsak sa pagsusulit na ito.

Mga add-on na partikular sa bansa

Germany (DSGVO + BDSG + BetrVG). Ang co-determination ng works council sa ilalim ng BetrVG §87(1)(6) ay mandatory para sa anumang teknolohiya sa pagsubaybay sa empleyado kabilang ang CCTV. Hindi maaaring i-install, palawakin, o baguhin ng employer ang sistema nang walang pahintulot ng works council. Ang mga DPA sa antas ng estado (16 na bansa) ay regular na pinagmumulta para sa hindi konsultasyon. Ang BDSG §26 ay nagtatakda ng mas mahigpit na mga default sa pagpapanatili kaysa sa generic GDPR — 72 oras ang karaniwang limitasyon.

Poland ( RODO + Kodeks pracy). Pinahihintulutan ng Artikulo 22² ng Kodigo sa Paggawa ang CCTV sa trabaho ngunit para lamang sa pagtiyak ng kaligtasan, pagprotekta sa ari-arian, pagsubaybay sa produksyon, o pagpapanatili ng kumpidensyalidad. Ang paglalagay nito ay dapat na regulahin sa mga tuntunin ng kaayusan sa lugar ng trabaho (regulamin pracy) at ipahayag sa mga empleyado nang hindi bababa sa 14 na araw bago ang pag-activate. Ang UODO ay lalong nagiging aktibo — madalas ang mga multa para sa hindi sapat na signage at hindi makatarungang pagpapanatili.

France (paggabay ng CNIL + Code du travail). Kinakailangan ang konsultasyon sa konseho ng mga manggagawa sa ilalim ng Artikulo L2312-38. Naglathala ang CNIL ng umiiral na gabay na naglilimita sa pagpapanatili ng mga partikular na insidente sa 30 araw na pagliban. Hindi dapat patuloy na kunan ng mga kamera ang mga workstation ng empleyado at dapat iwasan nang buo ang mga lugar ng breakroom. Ang mga multa ng CNIL para sa mga paglabag sa CCTV sa lugar ng trabaho ay mula €1,000 hanggang €600,000+.

Italya (Garante + Statuto dei Lavoratori Artikulo 4). Isa sa mga pinakamahigpit na rehimen. Ipinagbabawal ng Artikulo 4 ng batas ng mga manggagawa ang pag-install ng kagamitan sa pagmamatyag para sa direktang pagsubaybay sa mga empleyado at nangangailangan ng isang kolektibong kasunduan (kasama ang works council o, kung hindi, awtorisasyon ng rehiyonal na Labour Inspectorate) bago maipatupad ang anumang sistema na hindi sinasadyang kumukuha ng aktibidad ng empleyado.

UK (UK GDPR + Data Protection Act 2018 + ICO Employment Practices Code). Inirerekomenda ang konsultasyon sa konseho ng mga manggagawa ngunit hindi sapilitan. Ang ICO Employment Practices Code ay itinuturing na makapangyarihang gabay at madalas itong binabanggit ng mga tagapagpatupad ng DPA. Ang retention ay 30 araw lamang; ang mas matagal na retention ay nangangailangan ng dokumentadong insidente.

Mga karaniwang pagkabigo sa pagsunod (at kung magkano ang mga gastos)

Mga kamera sa mga palikuran, locker room o pahingahan — awtomatikong may anim na digit na multa sa buong EU.
Walang katiyakan o 90+ araw na pagpapanatili nang walang dokumentadong dahilan — madalas na multang mababa sa limang digito.
Walang signage o signage sa iisang wika lamang sa mga multilingual na lugar ng trabaho — €5,000 – €25,000 karaniwan.
Walang naka-file na DPIA — lalong nakikita bilang isang nagpapalubhang salik na nagpaparami sa pinagbabatayang parusa.
Walang konsultasyon sa works council sa DE / FR / IT — ang buong deployment ay maaaring mapawalang-bisa nang retroaktibo.
Maa-access ng mga manager ang live stream nang walang access logging — lumalabag sa mga prinsipyo ng minimization at accountability.
Pagkuha ng audio nang walang hiwalay na dahilan — ang audio ng mga pag-uusap sa lugar ng trabaho ay tinatrato nang mas mahigpit kaysa sa video.

Isang checklist bago ang pag-deploy na sumusuporta

Bago hilahin ang unang kable: (1) ibalangkas ang DPIA na sumasaklaw sa layunin, proporsyonalidad, mga alternatibo, pagliit ng FOV, at pagpapanatili; (2) i-update ang paunawa sa privacy at handbook ng kawani kasama ang bagong proseso; (3) kumonsulta sa works council/unyon ng manggagawa kung saan naaangkop at kumuha ng nakasulat na kasunduan; (4) idisenyo ang mapa FOV na nagpapakita ng eksaktong saklaw na may anotasyon sa pagsubok ng proporsyonalidad bawat kamera; (5) gumawa ng mga signage sa bawat wika sa lugar ng trabaho; (6) tukuyin ang mga panuntunan sa pagpapanatili at ang teknikal na kontrol na nagpapatupad sa mga ito; (7) magtalaga ng tagapangalaga ng access-log; (8) sanayin ang pangkat ng seguridad sa daloy ng trabaho ng subject-access.

Direktang gumagawa ang CCTVplanner ng (4) — ibaba ang mga posisyon ng kamera sa plano ng sahig, i-lock ang FOV cone, i-export ang isang may label na PDF na may anotasyon ng proporsyonalidad sa bawat kamera, at ilakip sa apendiks ng DPIA. Binabasa ng tagasuri ng DPA ang parehong artifact na iyong sinuri.

Buuin ang mapa FOV sa lugar ng trabaho para sa iyong DPIA

Maglagay ng mga camera sa plano ng iyong sahig, i-lock ang FOV cone, i-export ang PDF na ilalagay sa apendiks ng DPIA. Sakop ng libreng tier ang 1 site.

Sanggunian ng RODO / GDPR →

Ang aming kumpletong sanggunian para sa mga operator ng CCTV sa EU.

Kaso ng paggamit ng CCTV pang-industriya →

CCTV sa antas ng planta na may minimisasyon FOV na may kamalayan sa works-council.