Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

GDPR / Відповідність · Оновлено 2026-05-05

Відеонагляд на робочому місці згідно з GDPR / RODO / DSGVO

Дорожня карта дотримання вимог до 2026 року для керівників відділів кадрів, операційної діяльності та безпеки, які впроваджують відеоспостереження на робочому місці в ЄС. Правовим бар'єром є GDPR ; верхньою межею є національне трудове законодавство та співвиборча ухвала з робочими радами, що суттєво відрізняється в різних державах-членах.

Сім зобов'язань щодо відеоспостереження на робочому місці згідно з GDPR

Правова основа. Законний інтерес згідно зі статтею 6(1)(f) є єдиним реалістичним варіантом — згода не надається, оскільки працівники не можуть вільно відмовитися, а стаття 6(1)(b) (виконання договору) є занадто вузькою. Тест на балансування законних інтересів має бути задокументований та щорічно переглядатися.
ВПЗ (стаття 35). Відеоспостереження на робочому місці – це «систематичний моніторинг у великих масштабах» і ініціює обов’язкову Оцінку впливу на захист даних у кожній юрисдикції ЄС. Оцінка впливу на захист даних документує мету, тест на пропорційність, розглянуті альтернативи (і причини їх відхилення), а також заходи, вжиті для мінімізації впливу.
Прозорість (статті 13–14). Кожному працівнику перед відрядженням необхідно повідомити, що записується, де, чому, ким, як довго та як реалізувати свої права. Цього достатньо, щоб у посібнику для персоналу було надано повідомлення про конфіденційність, а також вивіски по периметру.
Утримання. Мінімально необхідний термін, зазвичай 7–30 днів. Більшість служб захисту даних вважають 30 днів м’яким терміном за замовчуванням; для тривалішого терміну потрібні конкретні обґрунтування.
Видимі вивіски. Піктограма + ім'я контролера + контактна особа + законна підстава + термін зберігання + контактна особа відповідальної особи за захист даних. Розташування на кожній точці входу та на кожному поверсі багатоповерхових будівель.
Доступ до суб'єкта. Будь-який співробітник може запросити копію відеозапису, на якому він фігурує. Діє 30-денний термін для відповіді.
Мінімізація. FOV камери має бути найвужчим для досягнення мети безпеки. Камери, спрямовані на столи, у спеціально відведені зони відпочинку або охоплюючі більший громадський простір, ніж вимагається для мети безпеки, за замовчуванням не проходять цей тест.

Додаткові опції для окремих країн

Німеччина (DSGVO + BDSG + BetrVG). Спільне прийняття рішень робочою радою згідно з BetrVG §87(1)(6) є обов’язковим для будь-якої технології моніторингу працівників, включаючи відеоспостереження. Роботодавець не може встановлювати, розширювати або модифікувати систему без згоди робочої ради. Органи захисту даних на рівні землі (16 федеральних земель) регулярно штрафують за відсутності консультацій. BDSG §26 встановлює суворіші стандартні умови зберігання, ніж загальний GDPR — типовою стелею є 72 години.

Польща ( RODO + Kodeks pracy). Стаття 22² Трудового кодексу дозволяє відеоспостереження на робочому місці, але лише для забезпечення безпеки, захисту майна, моніторингу виробництва або збереження конфіденційності. Розгортання має бути врегульовано правилами розпорядку на робочому місці (regulamin pracy) та оголошено працівникам щонайменше за 14 днів до активації. UODO стає дедалі активнішим — штрафи за неналежне розміщення вивісок та необґрунтоване затримання є частим явищем.

Франція (рекомендації CNIL + Code du travail). Необхідні консультації з робочою радою відповідно до статті L2312-38. CNIL опублікувала обов'язкові рекомендації, що обмежують зберігання до 30 днів за винятком конкретних інцидентів. Камери не повинні безперервно знімати робочі місця працівників і повинні повністю уникати зон відпочинку. Штрафи CNIL за порушення правил відеоспостереження на робочому місці коливаються від 1000 до 600 000 євро+.

Італія (Garante + Statuto dei Lavoratori, стаття 4). Один із найсуворіших режимів. Стаття 4 статуту працівників забороняє встановлення обладнання для спостереження для безпосереднього моніторингу працівників і вимагає колективного договору (з робочою радою або, за відсутності такої, дозволу регіональної інспекції праці), перш ніж можна буде розгорнути будь-яку систему, яка випадково фіксує діяльність працівників.

Велика Британія ( GDPR про захист даних Великої Британії + Закон про захист даних 2018 року + Кодекс трудової практики ICO). Консультації з робочою радою рекомендуються, але не є обов'язковими. Кодекс трудової практики ICO вважається авторитетним керівництвом, і DPA часто посилається на нього. За замовчуванням термін зберігання становить 30 днів; для тривалішого терміну потрібен задокументований інцидент.

Поширені порушення вимог (і їх вартість)

Камери в туалетах, роздягальнях або зонах відпочинку — автоматичні шестизначні штрафи по всьому ЄС.
Безстрокове або 90+ днів зберігання без документального підтвердження — часті штрафи у розмірі п’ятизначних сум.
Відсутність вивісок або вивіски лише однією мовою на багатомовних робочих місцях — типова ціна від 5 000 до 25 000 євро.
Відсутність DPIA у файлі — це все частіше розглядається як обтяжуюча обставина, яка множить основне покарання.
Консультації з робочою радою відсутні в Німеччині / Франції / Італії — повне розгортання може бути анульоване ретроактивно.
Пряма трансляція, доступна менеджерам без ведення журналу доступу, порушує принципи мінімізації та підзвітності.
Аудіозапис без окремого обґрунтування — аудіо розмов на робочому місці розглядається суворіше, ніж відео.

Контрольний список перед розгортанням, який містить

Перш ніж буде протягнуто перший кабель: (1) скласти проект ВПД, що охоплює мету, пропорційність, альтернативи, мінімізацію поля FOV, збереження; (2) оновити повідомлення про конфіденційність та посібник для персоналу відповідно до нової обробки; (3) проконсультуватися з робочою радою/профспілкою, де це можливо, та отримати письмову згоду; (4) розробити карту FOV, що показує точне покриття з тестом на пропорційність, анотованим для кожної камери; (5) створити вивіски кожною мовою робочого місця; (6) визначити правила збереження та технічний контроль, який їх забезпечує; (7) призначити відповідального за журнал доступу; (8) навчити команду безпеки робочому процесу доступу суб'єктів.

CCTVplanner створює (4) безпосередньо — розміщує позиції камер на плані поверху, фіксує конуси FOV, експортує позначений PDF з анотацією тесту пропорційності для кожної камери та додає його до додатка DPIA. Рецензент DPA зчитує той самий артефакт, який ви перевірили.

Створіть карту FOV робочого місця для вашої DPIA

Розмістіть камери на плані поверху, зафіксуйте конуси FOV, експортуйте PDF , який буде додано до додатка DPIA. Безкоштовний рівень охоплює 1 об'єкт.

Довідка RODO / GDPR →

Наш повний довідник для операторів систем відеоспостереження в ЄС.

Варіант використання промислового відеоспостереження →

Відеонагляд на рівні заводу з мінімізацією FOV з урахуванням вимог виробничої ради.