Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

GDPR / अनुपालन · अद्यतन 2026-05-05

GDPR / RODO / DSGVO के अंतर्गत कार्यस्थल पर CCTV निगरानी

यूरोपीय संघ में कार्यस्थल निगरानी को लागू करने के लिए मानव संसाधन, संचालन और सुरक्षा प्रमुखों के लिए 2026 का अनुपालन रोडमैप। कानूनी आधार GDPR है; अधिकतम सीमा राष्ट्रीय श्रम कानून और कार्य परिषद सह-निर्धारण है, जो सदस्य राज्यों में काफी भिन्न है।

GDPR के अंतर्गत कार्यस्थल पर सीसीटीवी से संबंधित सात दायित्व

कानूनी आधार। अनुच्छेद 6(1)(f) के तहत वैध हित ही एकमात्र व्यावहारिक विकल्प है — सहमति विफल हो जाती है क्योंकि कर्मचारी स्वेच्छा से इनकार नहीं कर सकते, और अनुच्छेद 6(1)(b) (अनुबंध निष्पादन) बहुत संकीर्ण है। वैध हित संतुलन परीक्षण को दस्तावेजीकृत किया जाना चाहिए और इसकी वार्षिक समीक्षा की जानी चाहिए।
डीपीआईए (अनुच्छेद 35)। कार्यस्थल पर सीसीटीवी कैमरे लगाना "बड़े पैमाने पर व्यवस्थित निगरानी" है और यूरोपीय संघ के प्रत्येक क्षेत्राधिकार में इसके लिए अनिवार्य डेटा सुरक्षा प्रभाव आकलन (डीपीआईए) की आवश्यकता होती है। डीपीआईए में उद्देश्य, आनुपातिकता परीक्षण, विचारे गए विकल्प (और उन्हें अस्वीकार करने के कारण), और प्रभाव को कम करने के लिए उठाए गए उपायों का दस्तावेजीकरण किया जाता है।
पारदर्शिता (अनुच्छेद 13-14)। तैनाती से पहले प्रत्येक कर्मचारी को यह बताया जाना चाहिए कि क्या रिकॉर्ड किया जा रहा है, कहाँ, क्यों, किसके द्वारा, कितने समय तक और वे अपने अधिकारों का प्रयोग कैसे कर सकते हैं। स्टाफ हैंडबुक में गोपनीयता सूचना और परिसर के बाहरी हिस्से में लगे संकेत इस आवश्यकता को पूरा करते हैं।
अवधारण। न्यूनतम आवश्यक अवधि, आमतौर पर 7-30 दिन होती है। अधिकांश डेटा सुरक्षा प्राधिकरण 30 दिनों को सामान्य अवधि मानते हैं; इससे अधिक अवधि के लिए विशेष औचित्य की आवश्यकता होती है।
स्पष्ट रूप से दिखाई देने वाले संकेत। चित्रलेख + नियंत्रक का नाम + संपर्क + कानूनी आधार + प्रतिधारण अवधि + डीपीओ संपर्क। बहुमंजिला इमारतों में प्रत्येक प्रवेश द्वार और प्रत्येक मंजिल पर इसकी उपस्थिति आवश्यक है।
विषय तक पहुंच। कोई भी कर्मचारी उस फुटेज की प्रतिलिपि का अनुरोध कर सकता है जिसमें वह दिखाई देता है। इसके लिए 30 दिन की समय सीमा लागू होती है।
न्यूनतमकरण। सुरक्षा उद्देश्य की पूर्ति के लिए कैमरे का FOV जितना संभव हो उतना कम होना चाहिए। डेस्क की ओर, विशेष विश्राम क्षेत्रों की ओर या सुरक्षा लक्ष्य की आवश्यकता से अधिक सार्वजनिक स्थान को कवर करने वाले कैमरे इस कसौटी पर स्वतः ही विफल हो जाते हैं।

देश-विशिष्ट ऐड-ऑन

जर्मनी (DSGVO + BDSG + BetrVG)। कर्मचारी निगरानी तकनीक, जिसमें सीसीटीवी भी शामिल है, के लिए BetrVG §87(1)(6) के तहत कार्य परिषद की सह-निर्णय अनिवार्य है। नियोक्ता कार्य परिषद की सहमति के बिना सिस्टम को स्थापित, विस्तारित या संशोधित नहीं कर सकता है। राज्य स्तरीय डेटा संरक्षण प्राधिकरण (16 Länder) परामर्श न करने पर नियमित रूप से जुर्माना लगाते हैं। BDSG §26 सामान्य GDPR की तुलना में सख्त डेटा प्रतिधारण सीमा निर्धारित करता है - आमतौर पर अधिकतम सीमा 72 घंटे होती है।

पोलैंड ( RODO + कोडेक्स प्रैक्टिस)। श्रम संहिता का अनुच्छेद 22² कार्यस्थल पर सीसीटीवी कैमरे लगाने की अनुमति देता है, लेकिन केवल सुरक्षा सुनिश्चित करने, संपत्ति की रक्षा करने, उत्पादन की निगरानी करने या गोपनीयता बनाए रखने के लिए। इनका उपयोग कार्यस्थल के नियमों में विनियमित होना चाहिए और सक्रियण से कम से कम 14 दिन पहले कर्मचारियों को सूचित किया जाना चाहिए। UODO इस मामले में लगातार सक्रिय है - अपर्याप्त साइनेज और अनुचित रूप से कैमरे को अपने पास रखने पर जुर्माना लगाया जा रहा है।

फ़्रांस (CNIL मार्गदर्शन + कोड डु ट्रैवेल)। अनुच्छेद L2312-38 के तहत कार्य परिषद से परामर्श आवश्यक है। CNIL ने बाध्यकारी दिशानिर्देश प्रकाशित किए हैं, जिनके अनुसार विशिष्ट घटनाओं को छोड़कर, रिकॉर्ड को 30 दिनों से अधिक समय तक नहीं रखा जा सकता है। कैमरों को कर्मचारियों के कार्यस्थलों की लगातार रिकॉर्डिंग नहीं करनी चाहिए और उन्हें अवकाश कक्षों से पूरी तरह बचना चाहिए। कार्यस्थल पर सीसीटीवी उल्लंघन के लिए CNIL द्वारा लगाए जाने वाले जुर्माने €1,000 से लेकर €600,000+ तक हो सकते हैं।

इटली (गारेंटे + स्टैटुटो देई लावोरेटोरी अनुच्छेद 4)। यह सबसे सख्त नियमों में से एक है। श्रमिक कानून का अनुच्छेद 4 कर्मचारियों की सीधी निगरानी के लिए निगरानी उपकरण लगाने पर रोक लगाता है और किसी भी ऐसी प्रणाली को तैनात करने से पहले सामूहिक समझौते (कार्य परिषद के साथ या, यदि वह विफल हो जाए, तो क्षेत्रीय श्रम निरीक्षणालय की अनुमति) की आवश्यकता होती है जो गलती से कर्मचारी गतिविधि को रिकॉर्ड कर सकती है।

यूके (यूके GDPR + डेटा प्रोटेक्शन एक्ट 2018 + आईसीओ एम्प्लॉयमेंट प्रैक्टिसेस कोड)। कर्मचारी परिषद से परामर्श की अनुशंसा की जाती है, लेकिन यह अनिवार्य नहीं है। आई.सी.ओ. रोजगार व्यवहार संहिता को आधिकारिक मार्गदर्शक माना जाता है और डी.पी.ए. प्रवर्तन अक्सर इसका हवाला देता है। रिकॉर्ड को 30 दिनों तक ही रखा जा सकता है; इससे अधिक समय के लिए किसी घटना का दस्तावेजीकरण आवश्यक है।

सामान्य अनुपालन विफलताएँ (और उनसे होने वाली लागत)

शौचालयों, लॉकर रूम या विश्राम क्षेत्रों में कैमरे लगे होने पर पूरे यूरोपीय संघ में स्वतः ही लाखों डॉलर का जुर्माना लगता है।
बिना दस्तावेजी औचित्य के अनिश्चित काल या 90+ दिनों तक डेटा को अपने पास रखना - अक्सर भारी जुर्माना लगता है।
बहुभाषी कार्यस्थलों पर कोई साइनबोर्ड न होना या केवल एक भाषा में साइनबोर्ड होना — आमतौर पर €5,000 से €25,000 का खर्च आता है।
फाइल में डीपीआईए का न होना - इसे तेजी से एक ऐसे कारक के रूप में देखा जा रहा है जो मूल दंड को कई गुना बढ़ा देता है।
जर्मनी/फ्रांस/इटली में कोई कार्य परिषद परामर्श नहीं हुआ है - संपूर्ण तैनाती को पूर्वव्यापी रूप से रद्द किया जा सकता है।
लाइव स्ट्रीम तक पहुंच लॉगिंग के बिना प्रबंधकों की पहुंच - यह न्यूनीकरण और जवाबदेही दोनों सिद्धांतों का उल्लंघन करता है।
बिना अलग से अनुमति के ऑडियो रिकॉर्डिंग करना — कार्यस्थल पर होने वाली बातचीत के ऑडियो को वीडियो की तुलना में अधिक सख्ती से देखा जाता है।

तैनाती से पहले की एक चेकलिस्ट जो कारगर साबित होती है

पहला केबल खींचने से पहले: (1) उद्देश्य, आनुपातिकता, विकल्प, FOV न्यूनीकरण, प्रतिधारण को कवर करते हुए डीपीआईए का मसौदा तैयार करें; (2) नई प्रक्रिया के साथ गोपनीयता सूचना और कर्मचारी पुस्तिका को अद्यतन करें; (3) जहां लागू हो, कार्य परिषद/ट्रेड यूनियन से परामर्श करें और लिखित सहमति प्राप्त करें; (4) प्रत्येक कैमरे के लिए आनुपातिकता परीक्षण को दर्शाते हुए सटीक कवरेज दिखाने वाला FOV मानचित्र डिजाइन करें; (5) कार्यस्थल की प्रत्येक भाषा में साइनेज तैयार करें; (6) प्रतिधारण नियमों और उन्हें लागू करने वाले तकनीकी नियंत्रण को परिभाषित करें; (7) एक्सेस-लॉग संरक्षक नियुक्त करें; (8) सुरक्षा टीम को विषय-पहुँच कार्यप्रवाह पर प्रशिक्षित करें।

CCTVplanner (4) को सीधे तैयार करता है — कैमरा पोजीशन को फ्लोर प्लान पर ड्रॉप करें, FOV कोन को लॉक करें, प्रत्येक कैमरे के लिए आनुपातिकता परीक्षण एनोटेशन के साथ एक लेबलयुक्त PDF निर्यात करें, और इसे DPIA परिशिष्ट में संलग्न करें। DPA समीक्षक उसी आर्टिफैक्ट को पढ़ता है जिसकी आपने समीक्षा की थी।

अपने DPIA के लिए कार्यस्थल FOV मानचित्र बनाएं।

अपने फ्लोर प्लान पर कैमरे लगाएं, FOV कोन को लॉक करें, और DPIA परिशिष्ट में शामिल करने के लिए PDF निर्यात करें। मुफ़्त सेवा में 1 साइट शामिल है।

RODO / GDPR संदर्भ →

यूरोपीय संघ में सीसीटीवी ऑपरेटरों के लिए हमारा संपूर्ण संदर्भ।

औद्योगिक सीसीटीवी उपयोग का उदाहरण →

प्लांट-स्तर का सीसीटीवी जिसमें वर्क काउंसिल की आवश्यकताओं को ध्यान में रखते हुए FOV व्यू) को न्यूनतम किया गया है।