Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

GDPR / Atitiktis · Atnaujinta 2026-05-05

Darbo vietos vaizdo stebėjimas pagal GDPR / RODO / DSGVO

2026 m. atitikties veiksmų planas žmogiškųjų išteklių, operacijų ir saugumo vadovams, diegiantiems darbo vietos stebėjimą ES. Teisinis pagrindas yra GDPR ; lubos – nacionalinė darbo teisė ir darbo tarybų bendras sprendimas, kurie labai skiriasi skirtingose valstybėse narėse.

Septynios darbo vietos vaizdo stebėjimo sistemos prievolės pagal GDPR

Teisinis pagrindas. 6(1)(f) straipsnio teisėtas interesas yra vienintelė reali galimybė – sutikimas neįmanomas, nes darbuotojai negali laisvai atsisakyti, o 6(1)(b) straipsnis (sutarties vykdymas) yra per siauras. Teisėto intereso pusiausvyros testas turi būti dokumentuojamas ir kasmet peržiūrimas.
DPAV (35 straipsnis). Darbo vietos vaizdo stebėjimas yra „sistemingas didelio masto stebėjimas“ ir kiekvienoje ES jurisdikcijoje reikalauja privalomo poveikio duomenų apsaugai vertinimo. DPAV dokumentuojamas tikslas, proporcingumo testas, svarstytos alternatyvos (ir jų atmetimo priežastys) bei priemonės, kurių imtasi poveikiui sumažinti.
Skaidrumas (13–14 straipsniai). Prieš dislokavimą kiekvienam darbuotojui turi būti pranešta, kas įrašoma, kur, kodėl, kas įrašo, kiek laiko įrašinėjama ir kaip pasinaudoti savo teisėmis. Tai užtikrina privatumo pranešimas darbuotojų vadove ir ženklai ant perimetro.
Išlaikymas. Būtinas minimumas, paprastai 7–30 dienų. Dauguma duomenų apsaugos institucijų 30 dienų laiko numatytuoju terminu; ilgesniam laikotarpiui reikalingas konkretus pagrindimas.
Matomas iškabos ženklas. Piktograma + duomenų valdytojo vardas, pavardė + kontaktinis asmuo + teisinis pagrindas + saugojimo laikotarpis + duomenų apsaugos pareigūno kontaktinis asmuo. Vieta kiekviename įėjimo taške ir kiekviename daugiaaukščių pastatų aukšte.
Prieiga prie dalyko. Bet kuris darbuotojas gali paprašyti vaizdo įrašo, kuriame jis matomas, kopijos. Taikomas 30 dienų atsakymo laikotarpis.
Minimizavimas. Kameros FOV turi būti siauriausias, kad būtų pasiektas saugumo tikslas. Kameros, nukreiptos į stalus, į specialiai tam skirtas poilsio zonas arba apimančios didesnę viešąją erdvę, nei reikalauja saugumo tikslas, pagal nutylėjimą šio testo neatitinka.

Konkrečioms šalims skirti priedai

Vokietija (DSGVO + BDSG + BetrVG). Bendras darbo tarybos sprendimas pagal BetrVG §87(1)(6) yra privalomas bet kokiai darbuotojų stebėjimo technologijai, įskaitant vaizdo stebėjimo sistemas. Darbdavys negali įdiegti, išplėsti ar modifikuoti sistemos be darbo tarybos sutikimo. Valstybių lygmens duomenų apsaugos institucijos (16 žemių) reguliariai skiria baudas už nesikonsultavimą. BDSG §26 nustato griežtesnius numatytuosius saugojimo reikalavimus nei bendrasis GDPR – įprasta riba yra 72 valandos.

Lenkija ( RODO + Kodeks pracy). Darbo kodekso 22² straipsnis leidžia naudoti vaizdo stebėjimo kameras darbe, tačiau tik siekiant užtikrinti saugą, apsaugoti turtą, stebėti gamybą arba išsaugoti konfidencialumą. Vaizdo stebėjimo kamerų diegimas turi būti reglamentuotas darbo vietos tvarkos taisyklėse (šv. regulamin pracy) ir apie jį turi būti pranešta darbuotojams ne vėliau kaip 14 dienų iki aktyvavimo. UODO tampa vis aktyvesnė – dažnai skiriamos baudos už netinkamą iškabų laikymą ir nepagrįstą laikymą.

Prancūzija (CNIL gairės + Code du travail). Būtina konsultuotis su darbo taryba pagal L2312-38 straipsnį. CNIL paskelbė privalomas gaires, ribojančias duomenų saugojimą iki 30 dienų dėl konkrečių nedalyvavimo atvejų. Kameros neturi filmuoti darbuotojų darbo vietų nuolat ir turi būti visiškai vengiamos poilsio kambarių zonos. CNIL baudos už vaizdo stebėjimo sistemos pažeidimus darbo vietoje svyruoja nuo 1 000 iki 600 000 eurų ir daugiau.

Italija (Garante + Statuto dei Lavoratori 4 straipsnis). Vienas griežčiausių režimų. Darbuotojų statuto 4 straipsnis draudžia įrengti stebėjimo įrangą tiesioginei darbuotojų stebėsenai ir reikalauja kolektyvinės sutarties (su darbo taryba arba, jei tokios nėra, regioninės darbo inspekcijos leidimo) prieš diegiant bet kokią sistemą, kuri atsitiktinai fiksuoja darbuotojų veiklą.

JK (JK GDPR + 2018 m. Duomenų apsaugos įstatymas + ICO įdarbinimo praktikos kodeksas). Rekomenduojama, bet nebūtina, konsultuotis su darbo taryba. ICO Darbo praktikos kodeksas laikomas autoritetingomis gairėmis, ir DPA vykdymo užtikrinimo institucijos jį dažnai cituoja. Numatytasis saugojimo laikotarpis yra 30 dienų; ilgesniam saugojimui reikalingas dokumentuotas incidentas.

Dažniausios atitikties klaidos (ir jų kaina)

Kameros tualetuose, persirengimo kambariuose ar poilsio zonose – automatiškai skiriamos šešiaženklės baudos visoje ES.
Neribotas arba daugiau nei 90 dienų saugojimas be dokumentuoto pateisinimo – dažnos nedidelės penkiaženklės baudos.
Daugiakalbėse darbo vietose nėra iškabų arba iškabos yra tik viena kalba – įprasta kaina 5 000–25 000 eurų.
Nėra pateiktas poveikio duomenų apsaugai vertinimo tyrimas – tai vis dažniau laikoma sunkinančia aplinkybe, kuri padidina pagrindinę bausmę.
Darbo tarybos konsultacijos DE / FR / IT šalyse nėra – visas dislokavimas gali būti anuliuotas atgaline data.
Tiesioginė transliacija, prieinama vadovams be prieigos registravimo, pažeidžia ir duomenų kiekio mažinimo, ir atskaitomybės principus.
Garso įrašymas be atskiro pagrindimo – darbovietės pokalbių garsas traktuojamas griežčiau nei vaizdo įrašas.

Kontrolinis sąrašas prieš dislokavimą, kuris yra tinkamas

Prieš pradedant pirmąjį bandymą: (1) parengti poveikio duomenų apsaugai vertinimo projektą, apimantį tikslą, proporcingumą, alternatyvas, FOV mažinimą ir saugojimą; (2) atnaujinti privatumo pranešimą ir darbuotojų vadovą su nauju tvarkymu; (3) prireikus pasikonsultuoti su darbo taryba / profesine sąjunga ir gauti raštišką sutikimą; (4) sukurti FOV žemėlapį, kuriame būtų nurodyta tiksli aprėptis su kiekviena kamera anotuotu proporcingumo testu; (5) parengti ženklus visomis darbo vietos kalbomis; (6) apibrėžti saugojimo taisykles ir techninę kontrolę, skirtą jų vykdymui; (7) paskirti prieigos žurnalo saugotoją; (8) apmokyti saugumo komandą duomenų prieigos darbo eigos klausimais.

„CCTVplanner“ tiesiogiai sukuria (4) – įterpia kamerų pozicijas į grindų planą, užfiksuoja FOV kūgius, eksportuoja pažymėtą PDF su kiekvienos kameros proporcingumo testo anotacija ir prideda prie DPIA priedo. DPA recenzentas nuskaito tą patį artefaktą, kurį peržiūrėjote jūs.

Sukurkite darbo vietos FOV žemėlapį savo duomenų apsaugos poveikio vertinimui

Nukreipkite kameras į savo aukšto planą, užfiksuokite FOV kūgius, eksportuokite PDF , kuris bus įtrauktas į DPIA priedą. Nemokamas paketas galioja 1 objektui.

RODO / GDPR nuoroda →

Mūsų išsami nuoroda vaizdo stebėjimo operatoriams ES.

Pramoninės vaizdo stebėjimo sistemos naudojimo atvejis →

Gamyklos lygio vaizdo stebėjimo sistema su darbo tarybos atsižvelgimu FOV mažinimą.