Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

GDPR / การปฏิบัติตามกฎระเบียบ · อัปเดตแล้ว 2026-05-05

การตรวจสอบสถานที่ทำงานด้วยกล้องวงจรปิดภายใต้ GDPR / RODO / DSGVO

แผนงานด้านการปฏิบัติตามกฎระเบียบปี 2026 สำหรับฝ่ายทรัพยากรบุคคล ฝ่ายปฏิบัติการ และฝ่ายรักษาความปลอดภัยที่นำระบบเฝ้าระวังในสถานที่ทำงานมาใช้ในสหภาพยุโรป กฎหมายพื้นฐานคือ GDPR ส่วนกฎหมายขั้นสูงสุดคือ กฎหมายแรงงานระดับชาติและการมีส่วนร่วมของสภาแรงงาน ซึ่งแตกต่างกันอย่างมากในแต่ละประเทศสมาชิก

ข้อกำหนด 7 ประการเกี่ยวกับการติดตั้งกล้องวงจรปิดในสถานที่ทำงานภายใต้ GDPR

หลักเกณฑ์ทางกฎหมาย ผลประโยชน์ที่ชอบด้วยกฎหมายตามมาตรา 6(1)(f) เป็นทางเลือกที่เป็นไปได้จริงเพียงอย่างเดียว — การยินยอมไม่เป็นผลสำเร็จเพราะพนักงานไม่สามารถปฏิเสธได้อย่างอิสระ และมาตรา 6(1)(b) (การปฏิบัติตามสัญญา) นั้นแคบเกินไป การทดสอบความสมดุลของผลประโยชน์ที่ชอบด้วยกฎหมายจะต้องได้รับการบันทึกและทบทวนเป็นประจำทุกปี
DPIA (มาตรา 35) การติดตั้งกล้องวงจรปิดในที่ทำงานถือเป็น "การเฝ้าระวังอย่างเป็นระบบในวงกว้าง" และส่งผลให้ต้องมีการประเมินผลกระทบด้านการคุ้มครองข้อมูล (Data Protection Impact Assessment: DPIA) ในทุกเขตอำนาจศาลของสหภาพยุโรป รายงาน DPIA จะระบุถึงวัตถุประสงค์ การทดสอบความเหมาะสม ทางเลือกที่พิจารณา (และเหตุผลที่ถูกปฏิเสธ) และมาตรการที่ดำเนินการเพื่อลดผลกระทบให้เหลือน้อยที่สุด
ความโปร่งใส (มาตรา 13–14) พนักงานทุกคนต้องได้รับแจ้งก่อนการปฏิบัติงานว่ามีการบันทึกข้อมูลอะไรบ้าง ที่ไหน ทำไม ใครเป็นผู้บันทึก บันทึกนานแค่ไหน และวิธีการใช้สิทธิ์ของตน การแจ้งเรื่องความเป็นส่วนตัวในคู่มือพนักงานและการติดป้ายบริเวณรอบนอกก็เพียงพอแล้ว
การรักษาฐานลูกค้า ระยะเวลาขั้นต่ำที่จำเป็น โดยทั่วไปคือ 7-30 วัน DPA ส่วนใหญ่ถือว่า 30 วันเป็นระยะเวลามาตรฐาน หากต้องการระยะเวลานานกว่านั้น ต้องมีเหตุผลเฉพาะเจาะจง
ป้ายบอกทางที่มองเห็นได้ชัดเจน สัญลักษณ์ภาพ + ชื่อผู้ควบคุม + ข้อมูลติดต่อ + หลักเกณฑ์ทางกฎหมาย + ระยะเวลาการเก็บรักษา + ข้อมูลติดต่อเจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (DPO) ติดตั้งในตำแหน่งที่กำหนด ณ จุดทางเข้าทุกจุดและทุกชั้นของอาคารหลายชั้น
การเข้าถึงข้อมูลส่วนบุคคล พนักงานทุกคนสามารถขอสำเนาภาพวิดีโอที่ตนเองปรากฏอยู่ได้ โดยต้องตอบกลับภายใน 30 วัน
การลดขนาดให้เหลือน้อยที่สุด FOV ของกล้องต้องแคบที่สุดเท่าที่จะบรรลุวัตถุประสงค์ด้านความปลอดภัยได้ กล้องที่หันไปทางโต๊ะทำงาน เข้าไปในพื้นที่พักผ่อนโดยเฉพาะ หรือครอบคลุมพื้นที่สาธารณะมากกว่าที่เป้าหมายด้านความปลอดภัยต้องการ จะไม่ผ่านเกณฑ์นี้โดยอัตโนมัติ

ส่วนเสริมเฉพาะประเทศ

เยอรมนี (DSGVO + BDSG + BetrVG) การร่วมตัดสินใจของสภาแรงงานภายใต้ BetrVG §87(1)(6) เป็นข้อบังคับสำหรับเทคโนโลยีการตรวจสอบพนักงานใดๆ รวมถึง CCTV นายจ้างไม่สามารถติดตั้ง ขยาย หรือแก้ไขระบบได้หากไม่ได้รับความยินยอมจากสภาแรงงาน หน่วยงานคุ้มครองข้อมูลส่วนบุคคลระดับรัฐ (16 รัฐ) มักจะปรับเงินสำหรับการไม่ปรึกษาหารือ BDSG §26 กำหนดค่าเริ่มต้นการเก็บรักษาที่เข้มงวดกว่า GDPR ทั่วไป — 72 ชั่วโมงเป็นค่าสูงสุดโดยทั่วไป

โปแลนด์ ( RODO + Kodeks pracy) มาตรา 22² ของประมวลกฎหมายแรงงานอนุญาตให้ติดตั้งกล้องวงจรปิดในที่ทำงานได้ แต่เฉพาะเพื่อความปลอดภัย การปกป้องทรัพย์สิน การตรวจสอบการผลิต หรือการรักษาความลับเท่านั้น การติดตั้งต้องระบุไว้ในระเบียบปฏิบัติในที่ทำงาน (ระเบียบปฏิบัติ) และแจ้งให้พนักงานทราบล่วงหน้าอย่างน้อย 14 วันก่อนเริ่มใช้งาน หน่วยงาน UODO กำลังดำเนินการอย่างเข้มงวดมากขึ้น โดยมีการปรับเงินบ่อยครั้งเนื่องจากป้ายประกาศไม่เพียงพอและการเก็บรักษาโดยไม่มีเหตุผล

ฝรั่งเศส (แนวทาง CNIL + Code du travail) ต้องมีการปรึกษาหารือกับสภาแรงงานตามมาตรา L2312-38 CNIL ได้เผยแพร่แนวทางปฏิบัติที่มีผลผูกพัน โดยจำกัดการเก็บรักษาภาพไว้ไม่เกิน 30 วัน เว้นแต่จะมีเหตุการณ์เฉพาะเจาะจง กล้องต้องไม่บันทึกภาพบริเวณที่ทำงานของพนักงานอย่างต่อเนื่อง และต้องหลีกเลี่ยงพื้นที่พักผ่อนโดยสิ้นเชิง ค่าปรับของ CNIL สำหรับการฝ่าฝืนกฎหมายเกี่ยวกับกล้องวงจรปิดในที่ทำงานมีตั้งแต่ 1,000 ยูโร ถึง 600,000 ยูโรขึ้นไป

อิตาลี (การองเต + Statuto dei Lavoratori ข้อ 4) เป็นหนึ่งในระเบียบที่เข้มงวดที่สุด มาตรา 4 ของกฎหมายแรงงานห้ามการติดตั้งอุปกรณ์สอดแนมเพื่อตรวจสอบพนักงานโดยตรง และกำหนดให้ต้องมีข้อตกลงร่วมกัน (กับสภาแรงงาน หรือหากไม่มี ต้องได้รับอนุญาตจากสำนักงานตรวจแรงงานระดับภูมิภาค) ก่อนที่จะนำระบบใดๆ ที่บันทึกกิจกรรมของพนักงานโดยบังเอิญมาใช้งานได้

สหราชอาณาจักร ( GDPR ของสหราชอาณาจักร + พระราชบัญญัติคุ้มครองข้อมูลปี 2018 + ประมวลจริยธรรมการจ้างงานของ ICO) แนะนำให้ปรึกษาหารือกับสภาแรงงาน แต่ไม่บังคับ ประมวลจริยธรรมการจ้างงานของ ICO ถือเป็นแนวทางที่เชื่อถือได้ และการบังคับใช้กฎหมาย DPA มักอ้างอิงถึงประมวลจริยธรรมนี้ ระยะเวลาการเก็บรักษาข้อมูลเริ่มต้นที่ 30 วัน หากต้องการเก็บรักษานานกว่านั้นต้องมีเหตุการณ์ที่ได้รับการบันทึกไว้

ข้อผิดพลาดด้านการปฏิบัติตามกฎระเบียบที่พบบ่อย (และค่าใช้จ่ายที่เกิดขึ้น)

ติดตั้งกล้องวงจรปิดในห้องน้ำ ห้องล็อกเกอร์ หรือจุดพักผ่อน — ปรับเงินจำนวนมากถึงหลักแสนปอนด์ทั่วสหภาพยุโรป
การเก็บรักษาข้อมูลโดยไม่มีกำหนด หรือนานกว่า 90 วัน โดยไม่มีเหตุผลที่บันทึกไว้ ส่งผลให้ถูกปรับเป็นจำนวนเงินหลักหมื่นดอลลาร์บ่อยครั้ง
สถานที่ทำงานที่มีหลายภาษา หากไม่มีป้ายหรือมีป้ายเพียงภาษาเดียว ค่าใช้จ่ายโดยทั่วไปอยู่ที่ 5,000 – 25,000 ยูโร
ไม่มีรายงานการประเมินผลกระทบด้านความเป็นส่วนตัว (DPIA) อยู่ในระบบ ซึ่งนับวันยิ่งถูกมองว่าเป็นปัจจัยที่ทำให้โทษหนักขึ้นเป็นทวีคูณ
ไม่มีการปรึกษาหารือกับสภาแรงงานในเยอรมนี/ฝรั่งเศส/อิตาลี — การดำเนินการทั้งหมดอาจถูกยกเลิกย้อนหลังได้
การถ่ายทอดสดที่ผู้จัดการสามารถเข้าถึงได้โดยไม่ต้องมีการบันทึกการเข้าถึงนั้น ถือเป็นการละเมิดทั้งหลักการลดผลกระทบและความรับผิดชอบ
การบันทึกเสียงโดยไม่มีเหตุผลเฉพาะเจาะจง — การบันทึกเสียงการสนทนาในที่ทำงานจะถูกพิจารณาอย่างเข้มงวดกว่าการบันทึกวิดีโอ

รายการตรวจสอบก่อนการใช้งานที่น่าเชื่อถือ

ก่อนที่จะดึงสายเคเบิลเส้นแรก: (1) ร่าง DPIA ครอบคลุมวัตถุประสงค์ ความได้สัดส่วน ทางเลือก การลด FOV การเก็บรักษา; (2) ปรับปรุงประกาศความเป็นส่วนตัวและคู่มือพนักงานด้วยการประมวลผลใหม่; (3) ปรึกษาสภาแรงงาน/สหภาพแรงงานตามความเหมาะสมและขอความยินยอมเป็นลายลักษณ์อักษร; (4) ออกแบบแผนที่ FOV ที่แสดงขอบเขตการครอบคลุมที่แน่นอนพร้อมคำอธิบายประกอบการทดสอบความได้สัดส่วนสำหรับกล้องแต่ละตัว; (5) จัดทำป้ายในทุกภาษาของสถานที่ทำงาน; (6) กำหนดกฎการเก็บรักษาและการควบคุมทางเทคนิคที่บังคับใช้กฎเหล่านั้น; (7) แต่งตั้งผู้ดูแลบันทึกการเข้าถึง; (8) ฝึกอบรมทีมรักษาความปลอดภัยเกี่ยวกับขั้นตอนการทำงานของการเข้าถึงข้อมูลส่วนบุคคล

CCTVplanner ผลิต (4) โดยตรง — วางตำแหน่งกล้องลงบนแผนผังพื้น ล็อกกรวย FOV ส่งออก PDF ที่มีป้ายกำกับพร้อมคำอธิบายประกอบการทดสอบสัดส่วนต่อกล้องแต่ละตัว และแนบไปกับภาคผนวก DPIA ผู้ตรวจสอบ DPA อ่านสิ่งประดิษฐ์เดียวกันกับที่คุณตรวจสอบ

สร้างแผนที่ FOV พื้นที่ทำงานสำหรับการประเมินผลกระทบด้านความเป็นส่วนตัว (DPIA) ของคุณ

วางกล้องลงบนแบบแปลนพื้นของคุณ ล็อกขอบเขตการมอง FOV cones) และส่งออกเป็น PDF เพื่อใช้ในภาคผนวกของ DPIA แพ็กเกจฟรีครอบคลุม 1 สถานที่

เอกสารอ้างอิง RODO / GDPR →

เอกสารอ้างอิงฉบับสมบูรณ์ของเราสำหรับผู้ให้บริการกล้องวงจรปิดในสหภาพยุโรป

กรณีศึกษาการใช้งานกล้องวงจรปิดในภาคอุตสาหกรรม →

กล้องวงจรปิดระดับโรงงาน พร้อมระบบปรับมุมมอง FOV อัตโนมัติตามข้อกำหนดของสภาเทศบาล