Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

GDPR / Zgodność · Zaktualizowano 2026-05-05

Monitoring wizyjny miejsca pracy zgodnie z GDPR / RODO / DSGVO

Plan działania na rok 2026 dotyczący zgodności z przepisami w zakresie HR, operacji i bezpieczeństwa prowadzi do wdrożenia monitoringu w miejscu pracy w UE. Podstawą prawną jest GDPR ; górną granicą jest krajowe prawo pracy i współdecydowanie rad zakładowych, które znacznie różnią się w poszczególnych państwach członkowskich.

Siedem obowiązków związanych z monitoringiem CCTV w miejscu pracy na mocy GDPR

Podstawa prawna. Uzasadniony interes określony w artykule 6(1)(f) jest jedyną realistyczną opcją – zgoda nie wchodzi w grę, ponieważ pracownicy nie mogą swobodnie odmówić, a artykuł 6(1)(b) (wykonanie umowy) jest zbyt wąski. Test równowagi uzasadnionych interesów musi być dokumentowany i corocznie weryfikowany.
Ocena skutków dla ochrony danych (artykuł 35). Monitoring wizyjny w miejscu pracy to „systematyczny monitoring na dużą skalę”, który wymaga przeprowadzenia obowiązkowej oceny skutków dla ochrony danych w każdej jurysdykcji UE. Ocena skutków dla ochrony danych (DPIA) dokumentuje cel, test proporcjonalności, rozważane alternatywy (i powody ich odrzucenia) oraz środki podjęte w celu zminimalizowania wpływu.
Przejrzystość (artykuły 13–14). Każdy pracownik musi zostać poinformowany przed wyjazdem, co jest rejestrowane, gdzie, dlaczego, przez kogo, jak długo i jak korzystać ze swoich praw. Informacja o ochronie prywatności w podręczniku dla pracowników oraz oznakowanie na terenie obiektu spełniają te wymagania.
Zatrzymanie. Minimalny wymagany okres, zazwyczaj 7–30 dni. Większość urzędów ochrony danych traktuje 30 dni jako łagodny okres domyślny; dłuższy okres wymaga szczegółowego uzasadnienia.
Widoczne oznakowanie. Piktogram + nazwa administratora danych + dane kontaktowe + podstawa prawna + okres przechowywania + dane kontaktowe IOD. Umiejscowienie przy każdym wejściu i na każdym piętrze w obiektach wielopiętrowych.
Dostęp podmiotowy. Każdy pracownik może zażądać kopii nagrania, na którym występuje. Obowiązuje 30-dniowy termin na odpowiedź.
Minimalizacja. FOV kamery musi być jak najwęższe, aby spełnić cel bezpieczeństwa. Kamery skierowane na biurka, do wydzielonych miejsc odpoczynku lub obejmujące większy obszar publiczny niż wymaga tego cel bezpieczeństwa, domyślnie nie przechodzą tego testu.

Dodatki specyficzne dla kraju

Niemcy (DSGVO + BDSG + BetrVG). Współdecydowanie rady zakładowej zgodnie z § 87(1)(6) BetrVG jest obowiązkowe dla każdej technologii monitorowania pracowników, w tym monitoringu CCTV. Pracodawca nie może zainstalować, rozbudować ani zmodyfikować systemu bez zgody rady zakładowej. Krajowe organy ochrony danych (16 landów) regularnie nakładają grzywny za brak konsultacji. § 26 BDSG ustanawia bardziej rygorystyczne domyślne okresy przechowywania danych niż ogólne GDPR – typowy limit to 72 godziny.

Polska ( RODO + Kodeks pracy). Artykuł 22² Kodeksu pracy zezwala na stosowanie monitoringu wizyjnego w miejscu pracy, ale wyłącznie w celu zapewnienia bezpieczeństwa, ochrony mienia, monitorowania produkcji lub zachowania poufności. Jego wdrożenie musi być uregulowane w regulaminie pracy i ogłoszone pracownikom co najmniej 14 dni przed jego uruchomieniem. UODO jest coraz bardziej aktywne – kary za nieodpowiednie oznakowanie i nieuzasadnione przechowywanie są częste.

Francja (wytyczne CNIL + Code du travail). Wymagane są konsultacje z radą zakładową zgodnie z artykułem L2312-38. CNIL opublikowała wiążące wytyczne ograniczające przechowywanie danych do 30 dni, chyba że w danym momencie doszło do konkretnego incydentu. Kamery nie mogą nagrywać stanowisk pracy pracowników w sposób ciągły i muszą całkowicie unikać pomieszczeń socjalnych. Kary CNIL za naruszenia monitoringu CCTV w miejscu pracy wahają się od 1000 do ponad 600 000 euro.

Włochy (Garante + Statuto dei Lavoratori art. 4). Jeden z najsurowszych reżimów. Artykuł 4 Kodeksu pracy zabrania instalowania urządzeń monitorujących w celu bezpośredniego monitorowania pracowników i wymaga zawarcia układu zbiorowego (z radą zakładową lub, w razie jej braku, z regionalnym inspektoratem pracy) przed wdrożeniem jakiegokolwiek systemu, który może rejestrować aktywność pracowników.

Wielka Brytania ( GDPR + Ustawa o ochronie danych z 2018 r. + Kodeks praktyk zatrudnienia ICO). Konsultacje z radą zakładową są zalecane, ale nie obowiązkowe. Kodeks Praktyk Zatrudnienia ICO jest traktowany jako wiążący dokument, a organy nadzorujące DPA często się na niego powołują. Domyślny okres przechowywania danych wynosi 30 dni; dłuższy okres wymaga udokumentowanego incydentu.

Typowe uchybienia w przestrzeganiu przepisów (i ich koszty)

Kamery w toaletach, szatniach i miejscach odpoczynku — automatyczne kary w wysokości sześciocyfrowej w całej UE.
Bezterminowe lub 90-dniowe zatrzymanie bez udokumentowanego uzasadnienia — częste kary pieniężne rzędu niskich pięciu cyfr.
Brak oznakowania lub oznakowanie w jednym języku w miejscach pracy wielojęzycznych — typowo 5 000–25 000 euro.
Brak DPIA w aktach — coraz częściej uważany za okoliczność obciążającą, zwiększającą karę.
Brak konsultacji z radą zakładową w Niemczech, Francji i Włoszech — całe wdrożenie może zostać unieważnione z mocą wsteczną.
Transmisja strumieniowa na żywo dostępna dla menedżerów bez rejestrowania dostępu narusza zasady minimalizacji i odpowiedzialności.
Nagrywanie dźwięku bez osobnego uzasadnienia — dźwięk rozmów w miejscu pracy jest traktowany bardziej rygorystycznie niż obraz.

Lista kontrolna przed wdrożeniem, która się sprawdza

Przed pociągnięciem pierwszego kabla: (1) przygotuj projekt oceny skutków dla ochrony danych (DPIA) obejmujący cel, proporcjonalność, alternatywy, minimalizację FOV , przechowywanie; (2) zaktualizuj informację o ochronie prywatności i podręcznik dla pracowników, uwzględniając nowe przetwarzanie; (3) skonsultuj się z radą zakładową/związkiem zawodowym, jeśli ma to zastosowanie, i uzyskaj pisemną zgodę; (4) zaprojektuj mapę FOV przedstawiającą dokładny zasięg wraz z testem proporcjonalności i adnotacjami dla każdej kamery; (5) przygotuj oznakowanie w każdym języku używanym w miejscu pracy; (6) zdefiniuj zasady przechowywania i kontrolę techniczną, która je egzekwuje; (7) mianuj administratora rejestru dostępu; (8) przeszkol zespół ds. bezpieczeństwa w zakresie przepływu pracy dotyczącego dostępu do danych podmiotu.

CCTVplanner generuje (4) bezpośrednio — upuść pozycje kamer na planie piętra, zablokuj stożki FOV , wyeksportuj oznaczony plik PDF z adnotacją testu proporcjonalności dla każdej kamery i dołącz do dodatku DPIA. Recenzent DPA odczytuje ten sam artefakt, który Ty przeglądałeś.

Utwórz mapę FOV w miejscu pracy na potrzeby oceny skutków dla ochrony danych (DPIA)

Umieść kamery na planie piętra, zablokuj stożki FOV i wyeksportuj PDF do dodatku DPIA. Bezpłatny pakiet obejmuje 1 witrynę.

Odniesienie do RODO / GDPR →

Nasze pełne zestawienie operatorów monitoringu CCTV w UE.

Przypadek użycia przemysłowego monitoringu CCTV →

Monitoring CCTV na poziomie zakładu z minimalizacją FOV widzenia z uwzględnieniem wytycznych rady zakładowej.