Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

GDPR / Uyumluluk · Güncellendi 2026-05-05

GDPR / RODO / DSGVO kapsamında CCTV iş yeri izleme sistemleri

AB'de iş yeri gözetim sistemlerini kullanan İK, operasyon ve güvenlik yöneticileri için 2026 uyumluluk yol haritası. Yasal taban GDPR ; tavan ise üye devletler arasında büyük farklılıklar gösteren ulusal iş hukuku ve işçi temsilcilerinin ortak karar alma yetkisidir.

GDPR kapsamında işyerinde güvenlik kameralarıyla ilgili yedi yükümlülük

Yasal dayanak. Madde 6(1)(f) meşru menfaat tek gerçekçi seçenektir; çalışanların özgürce reddetme hakkı olmadığı için rıza yetersiz kalır ve Madde 6(1)(b) (sözleşme ifası) çok dar kapsamlıdır. Meşru menfaat dengeleme testi belgelenmeli ve yıllık olarak gözden geçirilmelidir.
DPIA (Madde 35). İşyerlerinde kullanılan güvenlik kameraları, "büyük ölçekli sistematik izleme" anlamına gelir ve her AB yargı bölgesinde zorunlu bir Veri Koruma Etki Değerlendirmesi (DPIA) yapılmasını gerektirir. DPIA, amacını, orantılılık testini, değerlendirilen alternatifleri (ve neden reddedildiğini) ve etkiyi en aza indirmek için alınan önlemleri belgelendirir.
Şeffaflık (13-14. Maddeler). Her çalışana, işe başlamadan önce nelerin kaydedildiği, nerede, neden, kim tarafından, ne kadar süreyle kaydedildiği ve haklarını nasıl kullanabileceği bildirilmelidir. Personel el kitabındaki gizlilik bildirimi ve çevre düzenlemelerindeki bilgilendirme levhaları bunu sağlar.
Tutulma. Minimum gerekli süre, genellikle 7-30 gündür. Çoğu veri koruma kurumu 30 günü varsayılan süre olarak kabul eder; daha uzun süre için özel gerekçe gereklidir.
Görünür işaretler. Piktogram + denetleyici adı + iletişim bilgileri + yasal dayanak + saklama süresi + Veri Koruma Sorumlusu (DPO) iletişim bilgileri. Çok katlı binaların her giriş noktasında ve her katında yer almalıdır.
Konuya erişim. Herhangi bir çalışan, kendisinin yer aldığı görüntülerin bir kopyasını talep edebilir. 30 günlük yanıt süresi geçerlidir.
Minimizasyon. Kamera FOV güvenlik amacına ulaşacak en dar alan olmalıdır. Masalara, özel dinlenme alanlarına veya güvenlik hedefinin gerektirdiğinden daha fazla kamusal alanı kapsayan kameralar bu testi otomatik olarak geçemez.

Ülkeye özgü eklentiler

Almanya (DSGVO + BDSG + BetrVG). BetrVG §87(1)(6) uyarınca, CCTV dahil olmak üzere her türlü çalışan izleme teknolojisi için işçi konseyinin ortak kararı zorunludur. İşveren, işçi konseyinin onayı olmadan sistemi kuramaz, genişletemez veya değiştiremez. Eyalet düzeyindeki Veri Koruma Otoriteleri (16 Eyalet), danışma yapılmaması durumunda düzenli olarak para cezası uygulamaktadır. BDSG §26, genel GDPR daha katı saklama varsayılanları belirler - tipik üst sınır 72 saattir.

Polonya ( RODO + Kodeks uygulaması). İş Kanunu'nun 22². maddesi, işyerlerinde güvenlik kameralarının kullanımına izin vermektedir, ancak bu yalnızca güvenliği sağlamak, mülkiyeti korumak, üretimi izlemek veya gizliliği korumak amacıyla olabilir. Kurulum, işyeri yönetmeliklerinde (regulamin pracy) düzenlenmeli ve çalışanlara en az 14 gün önceden duyurulmalıdır. UODO (İşyeri Güvenlik Kontrol Ofisi) giderek daha aktif hale gelmektedir; yetersiz işaretleme ve haksız yere kamera tutma nedeniyle sık sık para cezası kesilmektedir.

Fransa (CNIL rehberliği + Code du travail). Madde L2312-38 uyarınca işçi konseyi ile istişare gereklidir. CNIL, belirli olaylar dışında saklama süresini 30 günle sınırlayan bağlayıcı bir kılavuz yayınlamıştır. Kameralar, çalışanların çalışma alanlarını sürekli olarak kaydetmemeli ve mola alanlarından tamamen uzak durmalıdır. CNIL'in işyeri CCTV ihlalleri için uyguladığı para cezaları 1.000 € ile 600.000 € ve üzeri arasında değişmektedir.

İtalya (Garante + Statuto dei Lavoratori Madde 4). En katı rejimlerden biri. İşçi statüsünün 4. maddesi, çalışanların doğrudan izlenmesi için gözetim ekipmanı kurulmasını yasaklıyor ve çalışanların faaliyetlerini tesadüfen kaydeden herhangi bir sistemin devreye alınabilmesi için (işçi konseyiyle veya bu mümkün değilse bölgesel Çalışma Müfettişliği onayıyla) toplu sözleşme yapılmasını şart koşuyor.

Birleşik Krallık (Birleşik Krallık GDPR + 2018 Veri Koruma Yasası + ICO İstihdam Uygulamaları Kodu). İşçi temsilciliği ile istişare önerilir ancak zorunlu değildir. ICO İstihdam Uygulamaları Kodu yetkili bir rehber olarak kabul edilir ve DPA'nın yaptırım uygulaması sıklıkla buna atıfta bulunur. Saklama süresi varsayılan olarak 30 gündür; daha uzun süre için belgelenmiş bir olay gereklidir.

Yaygın uyumluluk ihlalleri (ve maliyetleri)

Tuvaletlerde, soyunma odalarında veya dinlenme alanlarında kamera bulunması durumunda, AB genelinde otomatik olarak altı haneli rakamlara varan para cezaları uygulanıyor.
Belgelenmiş bir gerekçe olmaksızın süresiz veya 90 günden fazla süreyle veri saklama — genellikle beş haneli rakamlara varan para cezaları.
Çok dilli iş yerlerinde hiç yönlendirme tabelası olmaması veya sadece tek dilde tabela bulunması durumunda maliyet genellikle 5.000 € ile 25.000 € arasındadır.
Dosyada veri gizliliği etki değerlendirmesi (DPIA) bulunmaması, temel cezayı katlayan ağırlaştırıcı bir faktör olarak giderek daha fazla değerlendiriliyor.
Almanya/Fransa/İtalya'da işçi temsilciliği görüşmesi yapılmamıştır; bu nedenle tüm uygulama geriye dönük olarak geçersiz sayılabilir.
Yöneticilerin erişim kaydı tutmadan canlı yayına erişebilmesi, hem risk azaltma hem de hesap verebilirlik ilkelerini ihlal etmektedir.
Ayrı bir gerekçe gösterilmeden ses kaydı alınması — iş yeri konuşmalarının ses kayıtları, video kayıtlarından daha sıkı bir şekilde ele alınmaktadır.

İşe alım öncesi kontrol listesi, geçerliliğini koruyor.

İlk kablo çekilmeden önce: (1) amaç, orantılılık, alternatifler, FOV minimizasyonu ve saklama konularını kapsayan bir DPIA taslağı hazırlayın; (2) gizlilik bildirimini ve personel el kitabını yeni işleme ile güncelleyin; (3) uygun olduğu durumlarda işçi konseyine/sendikasına danışın ve yazılı anlaşma alın; (4) her kamera için orantılılık testi ile işaretlenmiş tam kapsama alanını gösteren FOV haritası tasarlayın; (5) her iş yeri dilinde işaret levhaları hazırlayın; (6) saklama kurallarını ve bunları uygulayan teknik kontrolü tanımlayın; (7) erişim günlüğü sorumlusunu atayın; (8) güvenlik ekibini konu erişim iş akışı konusunda eğitin.

CCTVplanner (4) doğrudan üretir — kamera konumlarını kat planına bırakın, FOV konilerini kilitleyin, her kamera için orantılılık testi açıklamasıyla etiketlenmiş bir PDF dışa aktarın ve DPIA ekine ekleyin. DPA inceleyicisi, sizin incelediğiniz aynı yapıtı okur.

Veri koruma etki analizi (DPIA) için iş yeri görüş alanı FOV haritasını oluşturun.

Kat planınıza kameraları yerleştirin, FOV konilerini kilitleyin, DPIA ekine girecek PDF dosyasını dışa aktarın. Ücretsiz sürüm 1 lokasyonu kapsar.

RODO / GDPR Referansı →

AB'deki CCTV operatörleri için eksiksiz referans kaynağımız.

Endüstriyel CCTV kullanım örneği →

İşyeri konseyinin belirlediği FOV minimizasyonuna sahip, tesis seviyesinde CCTV kamera sistemi.