Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

GDPR /규정 준수 · 업데이트됨 2026-05-05

GDPR / RODO /DSGVO에 따른 직장 내 CCTV 모니터링

EU 내 직장 감시 시스템을 구축하는 인사, 운영 및 보안 담당자를 위한 2026년 규정 준수 로드맵입니다. 법적 최저 기준은 GDPR 이며, 최고 기준은 회원국별로 크게 다른 국가 노동법 및 노사협의회 공동결정권입니다.

GDPR 에 따른 직장 내 CCTV 관련 7가지 의무 사항

법적 근거. 제6조(1)(f)항의 정당한 이익만이 유일하게 현실적인 선택지이다. 동의는 근로자가 자유롭게 거부할 수 없기 때문에 성립하지 않으며, 제6조(1)(b)항(계약 이행)은 너무 협소하다. 정당한 이익 균형 테스트는 문서화되어야 하며 매년 검토되어야 한다.
DPIA(제35조). 직장 내 CCTV는 "대규모의 체계적인 감시"에 해당하며, 모든 EU 관할 지역에서 의무적인 데이터 보호 영향 평가(DPIA)를 받아야 합니다. DPIA에는 목적, 비례성 원칙, 고려된 대안(및 거부 이유), 그리고 영향을 최소화하기 위해 취해진 조치가 문서화됩니다.
투명성 (제13조~제14조). 모든 직원은 배치 전에 무엇이 기록되는지, 어디서 기록되는지, 왜 기록하는지, 누가 기록하는지, 얼마나 오래 보관하는지, 그리고 자신의 권리를 어떻게 행사하는지에 대해 고지받아야 합니다. 직원 핸드북에 개인정보 보호 관련 안내문을 포함하고 사업장 주변에 안내판을 설치하는 것으로 충분합니다.
보유. 최소한의 필요 기간은 일반적으로 7~30일입니다. 대부분의 DPA(지연 기소 합의)에서는 30일을 기본 기간으로 간주하며, 그보다 긴 기간은 특별한 정당한 사유가 필요합니다.
눈에 잘 띄는 표지판. 픽토그램 + 관리자 이름 + 연락처 + 법적 근거 + 보존 기간 + 데이터 보호 책임자(DPO) 연락처. 다층 건물 시설의 모든 출입구와 각 층에 배치해야 합니다.
개인정보 접근. 모든 직원은 자신이 출연하는 영상의 사본을 요청할 수 있습니다. 요청 시 30일 이내에 답변해야 합니다.
최소화. 카메라의 FOV 보안 목적을 달성하는 데 필요한 최소한의 범위여야 합니다. 책상을 향하거나, 지정된 휴식 공간을 향하거나, 보안 목표에 필요한 것보다 더 넓은 공공 공간을 촬영하는 카메라는 기본적으로 이 기준을 충족하지 못합니다.

국가별 추가 기능

독일(DSGVO + BDSG + BetrVG). BetrVG §87(1)(6)에 따른 노사협의회 공동결정은 CCTV를 포함한 모든 직원 모니터링 기술에 대해 의무적입니다. 고용주는 노사협의회의 동의 없이 시스템을 설치, 확장 또는 수정할 수 없습니다. 주 차원의 데이터보호기관(16개 주)은 협의를 거치지 않은 경우 정기적으로 벌금을 부과합니다. BDSG §26은 일반 GDPR 보다 더 엄격한 보존 기준을 설정하며, 일반적인 상한선은 72시간입니다.

폴란드( RODO + Kodeks pracy). 노동법 제22조 2항은 직장 내 CCTV 설치를 허용하지만, 안전 확보, 재산 보호, 생산 모니터링 또는 기밀 유지 목적으로만 허용합니다. 설치는 직장 내 질서 유지 규정(regulamin pracy)에 명시되어야 하며, 가동 최소 14일 전에 직원들에게 공지해야 합니다. 산업안전보건법(UODO)에 따른 단속이 강화되고 있으며, 부적절한 안내 표지판 설치 및 정당한 사유 없는 CCTV 보관에 대한 벌금 부과 사례가 빈번합니다.

프랑스(CNIL 지침 + 노동법). 제 L2312-38조에 따라 노사협의회 협의가 필수적입니다. 프랑스 개인정보보호위원회(CNIL)는 특정 사건이 없는 한 영상 보관 기간을 30일로 제한하는 구속력 있는 지침을 발표했습니다. 카메라는 직원 작업 공간을 지속적으로 촬영해서는 안 되며, 휴게실 구역은 절대 촬영해서는 안 됩니다. 직장 내 CCTV 관련 규정 위반 시 CNIL은 1,000유로에서 600,000유로 이상의 벌금을 부과할 수 있습니다.

이탈리아(Garante + Statuto dei Lavoratori 조항 4). 가장 엄격한 제도 중 하나입니다. 근로자법 제4조는 근로자를 직접 감시하기 위한 감시 장비 설치를 금지하고 있으며, 근로자의 활동을 우연히 포착하는 모든 시스템을 설치하기 전에 단체협약(노조 협의회와의 협약 또는 협약이 없을 경우 지역 노동감독청의 승인)을 체결해야 한다고 규정하고 있습니다.

영국 (영국 GDPR + 2018년 데이터 보호법 + ICO 고용 관행 규정). 노사협의회와의 협의는 권장되지만 의무 사항은 아닙니다. 정보위원회(ICO)의 고용 관행 규정은 권위 있는 지침으로 간주되며, 개인정보보호법(DPA) 집행 시 자주 인용됩니다. 기본 보존 기간은 30일이며, 그 이상 보존하려면 사건 발생을 입증하는 문서가 필요합니다.

흔히 발생하는 규정 준수 실패 사례(및 그로 인한 비용)

화장실, 탈의실 또는 휴게실에 카메라를 설치하는 경우 EU 전역에서 자동으로 수십만 파운드의 벌금이 부과됩니다.
정당한 사유 없이 무기한 또는 90일 이상 보관하는 경우, 수만 달러에 달하는 벌금이 부과되는 경우가 빈번합니다.
다국어 사용 사업장에서 안내판이 없거나 한 가지 언어로만 안내판이 설치된 경우 - 일반적인 비용은 5,000유로~25,000유로입니다.
개인정보 영향평가서(DPIA)가 제출되지 않은 것은 점점 더 가중 처벌 요인으로 여겨지고 있습니다.
독일/프랑스/이탈리아에서는 노사협의회 협의가 이루어지지 않아 전체 배포가 소급적으로 무효화될 수 있습니다.
관리자가 접근 기록 없이 실시간 스트림에 접근할 수 있다는 것은 정보 최소화 및 책임 원칙을 모두 위반하는 것입니다.
별도의 근거 없이 음성을 캡처하는 경우, 직장 내 대화 음성은 영상보다 더 엄격하게 처리됩니다.

배포 전 점검 목록은 다음과 같은 상황에서도 유용합니다.

첫 번째 케이블을 설치하기 전에: (1) 목적, 비례성, 대안, FOV 최소화, 보존을 포함하는 DPIA 초안을 작성합니다. (2) 새로운 처리 내용을 반영하여 개인정보 보호 고지 및 직원 핸드북을 업데이트합니다. (3) 해당되는 경우 노사협의회/노동조합과 협의하고 서면 동의를 얻습니다. (4) 카메라별로 비례성 테스트가 주석으로 표시된 정확한 범위를 보여주는 FOV 맵을 설계합니다. (5) 모든 작업장 언어로 안내판을 제작합니다. (6) 보존 규칙과 이를 시행하는 기술적 제어를 정의합니다. (7) 접근 로그 관리자를 지정합니다. (8) 보안 팀에게 정보 접근 워크플로에 대한 교육을 실시합니다.

CCTVplanner는 (4)를 직접 생성합니다. 평면도에 카메라 위치를 드롭하고 FOV 콘을 잠그고 카메라별 비례성 테스트 주석이 포함된 레이블이 지정된 PDF 내보내고 DPIA 부록에 첨부합니다. DPA 검토자는 귀하가 검토한 것과 동일한 아티팩트를 읽습니다.

DPIA를 위한 작업장 FOV 지도를 작성하세요.

평면도에 카메라를 배치하고, FOV 범위를 설정한 다음, DPIA 부록에 첨부할 PDF 을 내보내세요. 무료 플랜은 사이트 1곳에 적용됩니다.

RODO / GDPR 참조 →

EU 내 CCTV 운영자를 위한 전체 참고 자료입니다.

산업용 CCTV 활용 사례 →

노사협의회 규정을 고려한 FOV 최소화 기능을 갖춘 공장 내 CCTV 시스템.