Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

GDPR / Conformitate · Actualizat 2026-05-05

Monitorizarea supraveghere video CCTV la locul de muncă conform GDPR / RODO / DSGVO

O foaie de parcurs pentru conformitate 2026 pentru responsabilii HR, operațiuni și securitate care implementează supravegherea la locul de muncă în UE. Baza legală este GDPR; tavanul este dreptul muncii național și co-determinarea consiliilor de întreprindere, care variază dramatic între statele membre.

Cele șapte obligații GDPR pentru CCTV la locul de muncă

Bază legală. Articolul 6 alineatul (1) litera (f) interesul legitim este singura opțiune realistă — consimțământul eșuează deoarece angajații nu pot refuza liber, iar articolul 6 alineatul (1) litera (b) (executarea contractului) este prea restrâns. Testul de echilibrare a interesului legitim trebuie documentat și revizuit anual.
DPIA (Articolul 35). CCTV-ul la locul de muncă este „monitorizare sistematică pe scară largă” și declanșează o evaluare obligatorie a impactului asupra protecției datelor în fiecare jurisdicție UE. DPIA documentează scopul, testul de proporționalitate, alternativele luate în considerare (și de ce au fost respinse) și măsurile luate pentru a minimiza impactul.
Transparență (Articolele 13–14). Fiecare angajat trebuie informat înainte de implementare ce este înregistrat, unde, de ce, de către cine, pentru cât timp și cum să își exercite drepturile. O notă de confidențialitate în manualul personalului plus semnalizarea la perimetru satisface acest lucru.
Retenție. Minimul necesar, tipic 7–30 zile. Majoritatea DPA-urilor tratează 30 zile ca implicit moale; mai lung necesită justificare specifică.
Semnalizare vizibilă. Pictogramă + nume operator + contact + temei legal + perioadă de păstrare + contact DPO. Poziționați la fiecare punct de intrare și la fiecare etaj al implementărilor cu mai multe etaje.
Acces al persoanei vizate. Orice angajat poate solicita o copie a înregistrărilor în care apare. Se aplică fereastra de răspuns de 30 de zile.
Minimizare. Câmpul vizual al camerei trebuie să fie cel mai îngust care îndeplinește scopul de securitate. Camerele îndreptate spre birouri, în zone dedicate de odihnă sau care acoperă mai mult spațiu public decât cere obiectivul de securitate eșuează acest test în mod implicit.

Add-on-uri specifice țării

Germania (DSGVO + BDSG + BetrVG). Co-determinarea consiliului de muncă conform BetrVG §87(1)(6) este obligatorie pentru orice tehnologie de monitorizare a angajaților inclusiv CCTV. Angajatorul nu poate instala, extinde sau modifica sistemul fără consimțământul consiliului de muncă. DPA-urile la nivel de stat (16 Länder) amendează regulat pentru lipsa consultării. BDSG §26 stabilește valori implicite de retenție mai stricte decât GDPR-ul generic — 72 de ore este plafonul tipic.

Polonia (RODO + Kodeks pracy). Articolul 22² din Codul Muncii permite CCTV la locul de muncă, dar numai pentru asigurarea siguranței, protejarea proprietății, monitorizarea producției sau păstrarea confidențialității. Implementarea trebuie reglementată în regulamentul intern (regulamin pracy) și anunțată angajaților cu cel puțin 14 zile înainte de activare. UODO este din ce în ce mai activ — amenzile pentru semnalizare inadecvată și retenție nejustificată sunt frecvente.

Franța (ghid CNIL + Code du travail). Consultarea consiliului muncitorilor conform articolului L2312-38 este obligatorie. CNIL a publicat orientări obligatorii care limitează păstrarea la 30 de zile în absența incidentelor specifice. Camerele nu trebuie să filmeze continuu stațiile de lucru ale angajaților și trebuie să evite complet zonele de pauză. Amenzile CNIL pentru încălcările CCTV la locul de muncă variază de la 1 000 € la 600 000+ €.

Italia (Garante + Statuto dei Lavoratori Articolul 4). Unul dintre cele mai stricte regimuri. Articolul 4 din statutul lucrătorilor interzice instalarea de echipamente de supraveghere pentru monitorizarea directă a angajaților și impune un acord colectiv (cu comitetul de întreprindere sau, în lipsa acestuia, autorizarea Inspectoratului regional de muncă) înainte de a putea fi implementat orice sistem care surprinde incidental activitatea angajaților.

Marea Britanie (UK GDPR + Data Protection Act 2018 + ICO Employment Practices Code). Consultarea comitetului de întreprindere este recomandată, dar nu obligatorie. Codul de practici de angajare al ICO este tratat ca îndrumare autoritară și executarea DPA îl citează frecvent. Retenția implicită este de 30 de zile; mai mult necesită un incident documentat.

Eșecuri comune de conformitate (și ce costă)

Camere în toalete, vestiare sau zone de odihnă — amenzi automate de șase cifre în toată UE.
Păstrare nedefinită sau peste 90 de zile fără justificare documentată — amenzi frecvente la cinci cifre joase.
Fără semnalizare sau semnalizare doar într-o limbă la locuri de muncă multilingve — 5 000 € – 25 000 € tipic.
Niciun DPIA în dosar — văzut din ce în ce mai mult ca un factor agravant care multiplică pedeapsa subiacentă.
Fără consultare cu consiliul muncii în DE / FR / IT — întreaga implementare poate fi anulată retroactiv.
Stream live accesibil de manageri fără înregistrarea accesului — încalcă atât principiile de minimizare, cât și de responsabilitate.
Capturare audio fără justificare separată — audio conversațiilor de la locul de muncă este tratat mai strict decât video.

O listă de verificare pre-implementare care rezistă

Înainte de tragerea primului cablu: (1) elaborați DPIA care să acopere scopul, proporționalitatea, alternativele, minimizarea FOV, păstrarea; (2) actualizați notificarea de confidențialitate și manualul personalului cu noua prelucrare; (3) consultați consiliul muncitorilor / sindicatul unde se aplică și obțineți acord scris; (4) proiectați harta FOV care să arate acoperirea exactă cu testul de proporționalitate adnotat per cameră; (5) produceți semnalizare în fiecare limbă a locului de muncă; (6) definiți regulile de păstrare și controlul tehnic care le impune; (7) numiți custodele jurnalului de acces; (8) instruiți echipa de securitate cu privire la fluxul de acces al persoanelor vizate.

CCTVplanner produce (4) direct — plasați pozițiile camerelor pe planul etajului, blocați conurile FOV, exportați un PDF etichetat cu adnotarea testului de proporționalitate per cameră și atașați-l la anexa DPIA. Recenzentul APD citește același artefact pe care l-ați revizuit și dumneavoastră.

Construiți harta FOV pentru locul de muncă pentru DPIA

Plasați camere pe planul de etaj, blocați conurile FOV, exportați PDF-ul care intră în anexa DPIA. Planul gratuit acoperă 1 sit.

Referință RODO / GDPR →

Referința noastră completă pentru operatorii CCTV din UE.

Caz de utilizare CCTV industrial →

CCTV la nivel de uzină cu minimizare FOV conștientă de comitetul de întreprindere.