Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

GDPR / Megfelelőség · Frissítve 2026-05-05

CCTV munkahelyi megfigyelés GDPR / RODO / DSGVO szerint

Egy 2026-os megfelelőségi ütemterv a HR, a műveleti és a biztonsági vezetők számára a munkahelyi megfigyelés bevezetésében az EU-ban. A jogi alap GDPR ; a felső határ a nemzeti munkajog és az üzemi tanácsok közötti együttdöntés, amely drámaian eltér a tagállamok között.

GDPR szerinti hét munkahelyi CCTV-kötelezettség

Jogi alap. A 6. cikk (1) bekezdésének f) pontja szerinti jogos érdek az egyetlen reális lehetőség – a hozzájárulás nem igazolható, mivel a munkavállalók nem tagadhatják meg szabadon, a 6. cikk (1) bekezdésének b) pontja (szerződésteljesítés) pedig túl szűk skálán mozog. A jogos érdekek mérlegelésének tesztjét dokumentálni és évente felül kell vizsgálni.
Adatvédelmi hatásvizsgálat (35. cikk). A munkahelyi CCTV „szisztematikus, nagyléptékű megfigyelést” jelent, és minden uniós joghatóságban kötelező adatvédelmi hatásvizsgálatot (DPIA) von maga után. A DPIA dokumentálja a célt, az arányossági tesztet, a mérlegelt alternatívákat (és azok elutasításának okait), valamint a hatás minimalizálása érdekében hozott intézkedéseket.
Átláthatóság (13–14. cikk). Minden alkalmazottat tájékoztatni kell a bevetés előtt arról, hogy mit, hol, miért, ki által, mennyi ideig rögzítenek, és hogyan gyakorolhatják a jogaikat. Ezt a célt a személyzeti kézikönyvben található adatvédelmi nyilatkozat és a külső jelzés is biztosítja.
Visszatartás. A minimálisan szükséges időtartam, jellemzően 7–30 nap. A legtöbb adatvédelmi hatóság a 30 napot alapértelmezettnek tekinti; a hosszabb időtartamhoz külön indoklás szükséges.
Látható jelzések. Piktogram + adatkezelő neve + elérhetőség + jogalap + megőrzési időszak + adatvédelmi tisztviselő elérhetősége. Elhelyezkedés minden belépési ponton és többszintes telepítések minden emeletén.
Hozzáférés a tantárgyhoz. Bármely alkalmazott kérhet másolatot a felvételről, amelyen szerepel. A 30 napos válaszadási határidő érvényes.
Minimalizálás. A kamera FOV a biztonsági cél eléréséhez szükséges legszűkebbnek kell lennie. Az íróasztalokra, kijelölt pihenőhelyekre irányított vagy a biztonsági célnál nagyobb nyilvános területet lefedő kamerák alapértelmezés szerint nem felelnek meg ennek a tesztnek.

Országspecifikus kiegészítők

Németország (DSGVO + BDSG + BetrVG). A BetrVG 87(1)(6) §-a szerinti üzemi tanácsi együttdöntés kötelező minden alkalmazottakat megfigyelő technológia, beleértve a CCTV-t is, esetében. A munkáltató nem telepíthet, nem bővítheti vagy nem módosíthatja a rendszert az üzemi tanács beleegyezése nélkül. Az állami szintű adatvédelmi hatóságok (16 tartomány) rendszeresen bírságot szabnak ki a konzultáció elmulasztása miatt. A BDSG 26. §-a szigorúbb megőrzési alapértelmezett értékeket határoz meg, mint az általános GDPR – a tipikus felső határ 72 óra.

Lengyelország ( RODO + Kodeks pracy). A Munka Törvénykönyve 22². cikkelye engedélyezi a zártláncú kamerák munkahelyi használatát, de csak a biztonság, a vagyonvédelem, a termelés ellenőrzése vagy a titoktartás megőrzése érdekében. A telepítést a munkahelyi rendszabályokban (regulamin pracy) kell szabályozni, és legalább 14 nappal az aktiválás előtt be kell jelenteni az alkalmazottaknak. Az UODO egyre aktívabb – gyakoriak a bírságok a nem megfelelő jelzésekért és az indokolatlan visszatartásért.

Franciaország (CNIL útmutatás + Code du travail). Az L2312-38. cikk szerinti üzemi tanáccsal való konzultáció szükséges. A CNIL kötelező érvényű iránymutatást tett közzé, amely a távolléti incidensek esetén a megőrzési időt 30 napra korlátozza. A kamerák nem vehetik fel folyamatosan a munkavállalói munkaállomásokat, és teljes mértékben kerülniük kell a pihenőhelyiségeket. A CNIL által a munkahelyi CCTV-rendszerek megsértéséért kiszabható bírságok 1000 és 600 000 euró között mozognak.

Olaszország (Garante + Statuto dei Lavoratori 4. cikk). Az egyik legszigorúbb szabályozás. A munkavállalói törvénykönyv 4. cikkelye tiltja a munkavállalók közvetlen megfigyelésére szolgáló megfigyelőberendezések telepítését, és kollektív szerződést (az üzemi tanáccsal, vagy ennek hiányában a regionális Munkaügyi Felügyelőség engedélyével) ír elő, mielőtt bármilyen, a munkavállalók tevékenységét véletlenül rögzítő rendszert be lehetne helyezni.

Egyesült Királyság (Egyesült Királyság GDPR + 2018. évi adatvédelmi törvény + ICO foglalkoztatási gyakorlatának kódexe). Az üzemi tanáccsal való konzultáció ajánlott, de nem kötelező. Az ICO Foglalkoztatási Gyakorlatok Kódexét mérvadó útmutatónak tekintik, és a DPA végrehajtása gyakran hivatkozik rá. A megőrzési idő alapértelmezés szerint 30 nap; hosszabb időtartamhoz dokumentált incidens szükséges.

Gyakori megfelelőségi hibák (és azok költségei)

Kamerák a mosdókban, öltözőkben vagy pihenőhelyeken – automatikus hatszámjegyű bírságok az EU-ban.
Határozatlan idejű vagy 90 napnál hosszabb ideig tartó adatmegőrzés dokumentált indoklás nélkül – gyakoriak az öt számjegyű bírságok.
Nincsenek vagy csak egynyelvű jelzések a többnyelvű munkahelyeken – jellemzően 5000–25 000 euró.
Nincs adatvédelmi hatásvizsgálat – egyre inkább súlyosbító körülménynek tekintik, amely megsokszorozza az alapul szolgáló büntetést.
Nincs üzemi tanáccsal való konzultáció Németországban / Franciaországban / Olaszországban – a teljes bevetés visszamenőlegesen érvényteleníthető.
A vezetők által hozzáférés-naplózás nélkül elérhető élő közvetítés – sérti mind a minimalizálás, mind az elszámoltathatóság elvét.
Hangfelvétel külön indoklás nélkül – a munkahelyi beszélgetések hanganyagát szigorúbban kezelik, mint a videót.

Egy kitartó bevetés előtti ellenőrzőlista

Az első adatvédelmi nyilatkozat behúzása előtt: (1) tervezetet kell készíteni az adatvédelmi hatásvizsgálatról, amely kiterjed a célra, az arányosságra, az alternatívákra, FOV minimalizálására és a megőrzésre; (2) frissíteni kell az adatvédelmi nyilatkozatot és a személyzeti kézikönyvet az új adatfeldolgozással; (3) konzultálni kell az üzemi tanáccsal/szakszervezettel, ahol alkalmazható, és írásbeli hozzájárulást kell beszerezni; (4) meg kell tervezni a FOV térképet, amely a pontos lefedettséget mutatja, az arányossági teszt kameránkénti megjegyzéseivel; (5) jelzéseket kell készíteni minden munkahelyi nyelven; (6) meg kell határozni a megőrzési szabályokat és az azokat érvényesítő technikai ellenőrzést; (7) ki kell nevezni a hozzáférési napló kezelőjét; (8) ki kell képezni a biztonsági csapatot az adatvédelmi hozzáférési munkafolyamatra.

A CCTVplanner közvetlenül elkészíti a (4) pontot – helyezze a kamerapozíciókat az alaprajzra, rögzítse a FOV, exportáljon egy címkézett PDF a kameránkénti arányossági teszt megjegyzéseivel, és csatolja a DPIA függelékhez. A DPA felülvizsgálója ugyanazt a műterméket olvassa be, amelyet Ön is felülvizsgált.

Készítse el a munkahelyi FOV a DPIA-hoz

Helyezzen el kamerákat az alaprajzon, rögzítse a FOV kúpokat, exportálja a PDF , amely a DPIA függelékbe kerül. Az ingyenes csomag 1 helyszínt fed le.

RODO / GDPR referencia →

Teljes körű referenciánk az EU-ban működő CCTV-üzemeltetők számára.

Ipari CCTV felhasználási eset →

Üzemi szintű CCTV az üzemi tanács igényeit figyelembe vevő FOV -minimalizálással.