Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

GDPR / Kepatuhan · Diperbarui 2026-05-05

Pemantauan CCTV di tempat kerja berdasarkan GDPR / RODO / DSGVO

Peta jalan kepatuhan tahun 2026 untuk pimpinan SDM, operasional, dan keamanan yang menerapkan pengawasan tempat kerja di Uni Eropa. Batasan hukum minimum adalah GDPR ; batasan maksimumnya adalah hukum ketenagakerjaan nasional dan partisipasi dewan pekerja dalam pengambilan keputusan, yang sangat bervariasi di setiap negara anggota.

Tujuh kewajiban CCTV tempat kerja berdasarkan GDPR

Dasar hukum. Pasal 6(1)(f) kepentingan sah adalah satu-satunya pilihan yang realistis — persetujuan gagal karena karyawan tidak dapat menolak secara bebas, dan Pasal 6(1)(b) (pelaksanaan kontrak) terlalu sempit. Uji keseimbangan kepentingan sah harus didokumentasikan dan ditinjau setiap tahun.
DPIA (Pasal 35). CCTV di tempat kerja merupakan "pemantauan sistematis dalam skala besar" dan memicu Penilaian Dampak Perlindungan Data (DPIA) yang wajib di setiap yurisdiksi Uni Eropa. DPIA mendokumentasikan tujuan, uji proporsionalitas, alternatif yang dipertimbangkan (dan mengapa ditolak), serta langkah-langkah yang diambil untuk meminimalkan dampak.
Transparansi (Pasal 13–14). Setiap karyawan harus diberi tahu sebelum penugasan tentang apa yang direkam, di mana, mengapa, oleh siapa, berapa lama, dan bagaimana cara menggunakan hak mereka. Pemberitahuan privasi dalam buku panduan staf ditambah papan pengumuman di sekeliling area kerja sudah memenuhi hal ini.
Penyimpanan. Jangka waktu minimum yang diperlukan, biasanya 7–30 hari. Sebagian besar DPA (Data Protection Agreement) menganggap 30 hari sebagai standar sementara; jangka waktu lebih lama memerlukan justifikasi khusus.
Rambu yang terlihat jelas. Piktogram + nama pengontrol + kontak + dasar hukum + periode penyimpanan + kontak DPO. Tempatkan di setiap titik masuk dan di setiap lantai pada penerapan bertingkat.
Akses subjek. Setiap karyawan dapat meminta salinan rekaman video yang menampilkan mereka. Jangka waktu respons 30 hari berlaku.
Minimisasi. FOV kamera harus sesempit mungkin yang memenuhi tujuan keamanan. Kamera yang mengarah ke meja, ke area istirahat khusus, atau mencakup ruang publik yang lebih luas daripada yang dibutuhkan untuk tujuan keamanan akan gagal dalam uji ini secara otomatis.

Fitur tambahan khusus negara

Jerman (DSGVO + BDSG + BetrVG). Persetujuan dewan pekerja berdasarkan BetrVG §87(1)(6) bersifat wajib untuk setiap teknologi pemantauan karyawan termasuk CCTV. Pemberi kerja tidak dapat memasang, memperluas, atau memodifikasi sistem tanpa persetujuan dewan pekerja. Otoritas Perlindungan Data tingkat negara bagian (16 Länder) secara teratur memberikan denda karena tidak berkonsultasi. BDSG §26 menetapkan standar penyimpanan yang lebih ketat daripada GDPR umum — 72 jam adalah batas maksimum yang umum.

Polandia ( RODO + Kodeks praktek). Pasal 22² KUHP mengizinkan CCTV di tempat kerja, tetapi hanya untuk memastikan keselamatan, melindungi harta benda, memantau produksi, atau menjaga kerahasiaan. Pemasangan harus diatur dalam peraturan kerja dan diumumkan kepada karyawan setidaknya 14 hari sebelum diaktifkan. UODO semakin aktif — denda untuk pemasangan rambu yang tidak memadai dan pemasangan yang tidak beralasan sering terjadi.

Perancis (panduan CNIL + Code du travail). Konsultasi dewan pekerja berdasarkan Pasal L2312-38 diwajibkan. CNIL telah menerbitkan panduan yang mengikat yang membatasi penyimpanan rekaman hingga 30 hari kecuali dalam insiden tertentu. Kamera tidak boleh merekam area kerja karyawan secara terus menerus dan harus menghindari area ruang istirahat sepenuhnya. Denda CNIL untuk pelanggaran CCTV di tempat kerja berkisar dari €1.000 hingga €600.000+.

Italia (Garante + Statuto dei Lavoratori Pasal 4). Salah satu rezim yang paling ketat. Pasal 4 undang-undang ketenagakerjaan melarang pemasangan peralatan pengawasan untuk pemantauan langsung karyawan dan mensyaratkan kesepakatan bersama (dengan dewan pekerja atau, jika tidak ada, otorisasi Inspektorat Tenaga Kerja regional) sebelum sistem apa pun yang secara tidak sengaja merekam aktivitas karyawan dapat digunakan.

Inggris Raya ( GDPR Inggris Raya + Undang-Undang Perlindungan Data 2018 + Kode Praktik Ketenagakerjaan ICO). Konsultasi dengan dewan pekerja direkomendasikan tetapi tidak wajib. Kode Praktik Ketenagakerjaan ICO dianggap sebagai panduan yang berwenang dan penegakan DPA sering mengutipnya. Masa penyimpanan default adalah 30 hari; lebih lama membutuhkan insiden yang terdokumentasi.

Kegagalan kepatuhan yang umum terjadi (dan biaya yang ditimbulkannya)

Kamera di toilet, ruang ganti, atau area istirahat — denda otomatis ratusan ribu dolar di seluruh Uni Eropa.
Penahanan tanpa batas waktu atau lebih dari 90 hari tanpa justifikasi yang terdokumentasi — seringkali dikenakan denda puluhan ribu dolar.
Tidak ada papan nama atau papan nama hanya dalam satu bahasa di tempat kerja multibahasa — biaya tipikal €5.000 – €25.000.
Tidak adanya DPIA (Disclosure and Barring Service) yang tercatat — semakin dipandang sebagai faktor pemberat yang melipatgandakan hukuman yang mendasarinya.
Tidak ada konsultasi dewan pekerja di Jerman/Prancis/Italia — seluruh implementasi dapat dibatalkan secara retroaktif.
Siaran langsung yang dapat diakses oleh manajer tanpa pencatatan akses — melanggar prinsip minimalisasi dan akuntabilitas.
Perekaman audio tanpa justifikasi terpisah — audio percakapan di tempat kerja diperlakukan lebih ketat daripada video.

Daftar periksa pra-penempatan yang mendukung

Sebelum kabel pertama ditarik: (1) menyusun draf DPIA yang mencakup tujuan, proporsionalitas, alternatif, minimalisasi FOV, dan retensi; (2) memperbarui pemberitahuan privasi dan buku panduan staf dengan pemrosesan baru; (3) berkonsultasi dengan dewan pekerja/serikat pekerja jika berlaku dan memperoleh persetujuan tertulis; (4) merancang peta FOV yang menunjukkan cakupan yang tepat dengan uji proporsionalitas yang diberi anotasi per kamera; (5) membuat papan tanda dalam setiap bahasa tempat kerja; (6) menetapkan aturan retensi dan kontrol teknis yang menegakkannya; (7) menunjuk pengelola log akses; (8) melatih tim keamanan tentang alur kerja akses subjek.

CCTVplanner menghasilkan (4) secara langsung — jatuhkan posisi kamera pada denah lantai, kunci kerucut FOV, ekspor PDF berlabel dengan anotasi uji proporsionalitas per kamera, dan lampirkan ke lampiran DPIA. Peninjau DPA membaca artefak yang sama yang Anda tinjau.

Buat peta FOV tempat kerja untuk DPIA Anda.

Tempatkan kamera pada denah lantai Anda, kunci kerucut FOV, ekspor PDF yang akan dimasukkan ke dalam lampiran DPIA. Paket gratis mencakup 1 lokasi.

Referensi RODO / GDPR →

Panduan lengkap kami untuk operator CCTV di Uni Eropa.

Studi kasus penggunaan CCTV industri →

CCTV tingkat pabrik dengan minimisasi FOV yang sesuai dengan peraturan dewan pekerja.