Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

GDPR / Efterlevnad · Uppdaterad 2026-05-05

Kamerabevakning på arbetsplatsen enligt GDPR / RODO / DSGVO

En efterlevnadsfärdplan för 2026 för HR-, drifts- och säkerhetsansvariga som driftsätter övervakning på arbetsplatsen i EU. Det rättsliga golvet är GDPR; taket är nationell arbetsrätt och företagsråds medbestämmande, vilket varierar dramatiskt mellan medlemsstaterna.

De sju skyldigheterna för kamerabevakning på arbetsplatsen enligt GDPR

Laglig grund. Artikel 6(1)(f) berättigat intresse är det enda realistiska alternativet — samtycke fungerar inte eftersom anställda inte fritt kan vägra, och artikel 6(1)(b) (fullgörande av avtal) är för snäv. Intresseavvägningstestet för berättigat intresse måste dokumenteras och ses över årligen.
DPIA (artikel 35). Kamerabevakning på arbetsplatsen är "systematisk övervakning i stor omfattning" och utlöser en obligatorisk konsekvensbedömning avseende dataskydd i alla EU-jurisdiktioner. DPIA:n dokumenterar syftet, proportionalitetstestet, de alternativ som övervägts (och varför de förkastats) samt de åtgärder som vidtagits för att minimera påverkan.
Transparens (artiklarna 13–14). Varje anställd måste före driftsättning få veta vad som spelas in, var, varför, av vem, hur länge och hur de utövar sina rättigheter. En integritetsinformation i personalhandboken plus skyltning vid ingångarna uppfyller detta.
Lagringstid. Det minimum som är nödvändigt, vanligtvis 7–30 dagar. De flesta dataskyddsmyndigheter behandlar 30 dagar som det mjuka standardvärdet; längre kräver specifik motivering.
Synlig skyltning. Piktogram + den personuppgiftsansvariges namn + kontakt + laglig grund + lagringstid + kontakt till dataskyddsombud. Placera vid varje ingångspunkt och på varje våningsplan vid driftsättning i flera våningar.
Registrerades åtkomst. Varje anställd kan begära en kopia av inspelningar där de förekommer. Svarsfristen på 30 dagar gäller.
Dataminimering. Kamerans FOV måste vara det smalaste som uppnår säkerhetssyftet. Kameror som pekar mot skrivbord, in i dedikerade vilrum eller täcker mer offentligt utrymme än säkerhetsmålet kräver, klarar inte detta test som standard.

Landsspecifika tillägg

Tyskland (DSGVO + BDSG + BetrVG). Medbestämmande för företagsråd enligt BetrVG §87(1)(6) är obligatoriskt för all teknik för medarbetarövervakning, inklusive kamerabevakning. Arbetsgivaren får inte installera, utvidga eller ändra systemet utan företagsrådets samtycke. Delstatliga dataskyddsmyndigheter (16 delstater) bötfäller regelbundet för utebliven konsultation. BDSG §26 sätter striktare standardvärden för lagringstid än generell GDPR — 72 timmar är det typiska taket.

Polen (RODO + Kodeks pracy). Artikel 22² i arbetslagen tillåter kamerabevakning på arbetsplatsen, men endast för att säkerställa säkerhet, skydda egendom, övervaka produktion eller bevara sekretess. Användningen måste regleras i arbetsplatsens ordningsregler (regulamin pracy) och meddelas medarbetarna minst 14 dagar före aktivering. UODO blir alltmer aktiv — böter för bristfällig skyltning och oberättigad lagringstid är frekventa.

Frankrike (CNIL-vägledning + Code du travail). Konsultation med företagsrådet enligt artikel L2312-38 krävs. CNIL har publicerat bindande vägledning som begränsar lagringstiden till 30 dagar i avsaknad av specifika incidenter. Kameror får inte kontinuerligt filma medarbetarnas arbetsstationer och måste helt undvika pausrum. CNIL:s böter för överträdelser av kamerabevakning på arbetsplatsen sträcker sig från 1 000 € till 600 000 €+.

Italien (Garante + Statuto dei Lavoratori artikel 4). En av de striktaste regimerna. Artikel 4 i arbetstagarstadgan förbjuder installation av övervakningsutrustning för direkt övervakning av anställda och kräver ett kollektivavtal (med företagsrådet eller, om sådant saknas, tillstånd från det regionala arbetsinspektoratet) innan något system som tillfälligtvis fångar medarbetares aktivitet kan tas i bruk.

Storbritannien (UK GDPR + Data Protection Act 2018 + ICO Employment Practices Code). Konsultation med företagsrådet rekommenderas men är inte obligatorisk. ICO Employment Practices Code behandlas som auktoritativ vägledning och tillsynsmyndighetens beslut hänvisar ofta till den. Lagringstiden är som standard 30 dagar; längre kräver en dokumenterad incident.

Vanliga efterlevnadsbrister (och vad de kostar)

Kameror på toaletter, i omklädningsrum eller vilrum — automatiska böter på sexsiffriga belopp över hela EU.
Obegränsad eller 90+ dagars lagringstid utan dokumenterad motivering — frekventa böter på låga femsiffriga belopp.
Ingen skyltning eller skyltning på endast ett språk på flerspråkiga arbetsplatser — 5 000 € – 25 000 € typiskt.
Ingen DPIA på plats — ses alltmer som en försvårande faktor som multiplicerar den underliggande sanktionen.
Ingen konsultation med företagsrådet i DE / FR / IT — hela användningen kan ogiltigförklaras retroaktivt.
Livesändning tillgänglig för chefer utan åtkomstloggning — bryter mot både principerna om dataminimering och ansvarsskyldighet.
Ljudinspelning utan separat motivering — ljud från samtal på arbetsplatsen behandlas strängare än video.

En checklista före driftsättning som håller

Innan den första kabeln dras: (1) ta fram en DPIA som täcker syfte, proportionalitet, alternativ, FOV-minimering och lagringstid; (2) uppdatera integritetsinformationen och personalhandboken med den nya behandlingen; (3) konsultera företagsrådet / facket där det är tillämpligt och inhämta skriftligt avtal; (4) ta fram FOV-kartan som visar exakt täckning med proportionalitetstestet noterat per kamera; (5) ta fram skyltning på varje språk på arbetsplatsen; (6) definiera regler för lagringstid och den tekniska kontroll som verkställer dem; (7) utse den ansvarige för åtkomstloggen; (8) utbilda säkerhetsteamet i arbetsflödet för registrerades åtkomst.

CCTVplanner tar fram (4) direkt — släpp kamerapositionerna på planritningen, lås FOV-konerna, exportera en märkt PDF med proportionalitetstestets notering per kamera och bifoga den till DPIA-bilagan. Granskaren på dataskyddsmyndigheten läser samma underlag som du granskade.

Bygg FOV-kartan för arbetsplatsen till din DPIA

Släpp kameror på din planritning, lås FOV-konerna och exportera den PDF som hamnar i DPIA-bilagan. Gratisnivån täcker 1 anläggning.

RODO / GDPR-referens →

Vår fullständiga referens för operatörer av kamerabevakning i EU.

Användningsfall för industriell kamerabevakning →

Kamerabevakning på anläggningsnivå med FOV-minimering anpassad till företagsrådet.