Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

GDPR / コンプライアンス · 更新済み 2026-05-05

GDPR / RODO / DSGVOに基づく職場監視用CCTV

EU域内で職場監視システムを導入する人事、運用、セキュリティ担当者向けの2026年までのコンプライアンスロードマップ。法的要件の下限はGDPR一般データ保護規則）であり、上限は各国の労働法および労使協議会の共同決定であり、これらは加盟国によって大きく異なります。

GDPRに基づく職場におけるCCTVに関する7つの義務

法的根拠。 第6条第1項(f)の正当な利益が唯一現実的な選択肢である。従業員は自由に拒否できないため同意は得られず、第6条第1項(b)（契約履行）は適用範囲が狭すぎる。正当な利益のバランステストは文書化し、毎年見直さなければならない。
DPIA（第35条） 職場におけるCCTV（監視カメラ）の設置は「大規模な組織的監視」とみなされ、EU加盟国ではすべての管轄区域においてデータ保護影響評価（DPIA）の実施が義務付けられています。DPIAでは、設置目的、比例原則の検証、検討された代替案（および却下された理由）、そして影響を最小限に抑えるために講じられた措置について文書化します。
透明性（第13条～第14条） 従業員は配属前に、記録される内容、場所、目的、記録者、記録期間、および権利の行使方法について知らされなければならない。従業員ハンドブックのプライバシーに関する通知と、敷地境界線上の標識があれば、この要件は満たされる。
保持。 必要最低限の期間で、通常は7～30日です。ほとんどのデータ保護協定（DPA）では、30日をデフォルト期間としており、それ以上の期間が必要な場合は、具体的な理由が必要です。
目立つ標識。 ピクトグラム、管理者名、連絡先、法的根拠、保存期間、データ保護責任者（DPO）の連絡先を記載してください。複数階建ての建物では、すべての入り口と各階に設置してください。
個人情報へのアクセス。 従業員は誰でも、自分が映っている映像のコピーを請求できます。回答期限は30日間です。
最小化。 カメラのFOV 、セキュリティ目的を達成できる範囲で最小限に抑える必要があります。机や専用の休憩エリアを撮影するカメラ、あるいはセキュリティ目標に必要な範囲を超えて公共空間を撮影するカメラは、この基準を満たさないものとみなされます。

国別の追加オプション

ドイツ (DSGVO + BDSG + BetrVG)。 労働評議会による共同決定は、BetrVG §87(1)(6)に基づき、CCTVを含むあらゆる従業員監視技術において義務付けられています。雇用主は、労働評議会の同意なしにシステムを設置、拡張、または変更することはできません。州レベルのデータ保護機関（16州）は、協議を行わなかった場合に定期的に罰金を科しています。BDSG §26は、一般的なGDPRよりも厳格なデータ保持期間を定めており、通常は72時間が上限となっています。

ポーランド ( RODO + Kodeks pracy)。 労働法第22条2項は、職場でのCCTV設置を認めているが、その目的は安全確保、財産保護、生産監視、または機密保持に限られる。設置は職場規則（regulamin pracy）に規定され、稼働開始の少なくとも14日前までに従業員に告知されなければならない。労働安全衛生局（UODO）はますます積極的に活動しており、不適切な標識設置や不当な監視継続に対する罰金が頻繁に科されている。

フランス (CNIL ガイダンス + Code du travail)。 L2312-38条に基づく労使協議会との協議が必要です。CNILは、特定の事案がない限り、データの保存期間を30日間に制限する拘束力のあるガイダンスを公表しています。カメラは従業員のワークステーションを継続的に撮影してはならず、休憩室エリアは完全に避ける必要があります。職場のCCTV違反に対するCNILの罰金は、1,000ユーロから600,000ユーロ以上に及びます。

イタリア (Garante + Statuto dei Lavoratori 第 4 条)。 最も厳格な制度の一つである。労働者法第4条は、従業員を直接監視するための監視装置の設置を禁止しており、従業員の活動を偶発的に捉えるシステムを導入する前に、労働協約（労働評議会との協約、またはそれが不可能な場合は地域労働監督局の承認）が必要であると規定している。

英国（英国GDPR 、2018年データ保護法、ICO雇用慣行規範）。 労使協議会への相談は推奨されますが、必須ではありません。情報コミッショナーオフィス（ICO）の雇用慣行規範は権威ある指針として扱われ、データ保護法（DPA）の執行において頻繁に引用されます。データ保持期間はデフォルトで30日間ですが、それ以上の期間が必要な場合は、文書化された事案が必要です。

よくあるコンプライアンス違反（とそのコスト）

トイレ、更衣室、休憩室にカメラを設置すると、EU全域で自動的に6桁の罰金が科せられる。
文書による正当な理由なく無期限または90日以上保管した場合、頻繁に5桁台前半の罰金が科せられる。
多言語職場において、標識がない、または標識が1つの言語のみで表示されている場合 ― 一般的な費用は5,000ユーロ～25,000ユーロ。
DPIA（データ保護影響評価）が記録されていないことは、ますます重大な違反行為とみなされ、根本的な罰則を倍増させる要因となっている。
ドイツ、フランス、イタリアでは労使協議会との協議は行われず、計画全体が遡及的に無効となる可能性がある。
管理者がアクセスログなしでライブストリームにアクセスできることは、最小化原則と説明責任原則の両方に違反する。
別途正当な理由なく音声を録音することは、職場での会話の音声よりも厳しく扱われる。

展開前のチェックリストは、

最初のケーブルを引っ張る前に、次のことを行います。(1) 目的、比例性、代替手段、 FOV最小化、保持を網羅した DPIA の草案を作成する。(2) 新しい処理内容でプライバシー通知と従業員ハンドブックを更新する。(3) 該当する場合は労使協議会/労働組合と協議し、書面による同意を得る。(4) カメラごとに比例性テストを注釈付けした正確な範囲を示すFOVマップを設計する。(5) 職場のすべての言語で標識を作成する。(6) 保持ルールとそれを強制する技術的制御を定義する。(7) アクセスログの管理者を任命する。(8) セキュリティチームに主体アクセスワークフローのトレーニングを行う。

CCTVplannerは、（4）を直接生成します。つまり、フロアプラン上にカメラの位置を配置し、 FOVコーンをロックし、カメラごとに比例性テスト注釈付きのラベル付きPDFをエクスポートして、DPIA付録に添付します。DPAレビュー担当者は、あなたがレビューしたのと同じ成果物を読みます。

DPIA用の職場FOVマップを作成する

フロアプラン上にカメラを配置し、視野角FOV ）を固定して、DPIA付録に添付するPDFをエクスポートします。無料プランは1サイトまで対応しています。

RODO / GDPR参照 →

EUにおけるCCTV事業者向けの包括的な参考資料はこちらです。

産業用CCTVの活用事例 →

工場レベルのCCTVカメラシステム。作業委員会の規定を考慮したFOV最小化機能付き。