Is CCTV in the workplace legal under GDPR?

Yes, but only with a documented lawful basis (typically Article 6(1)(f) legitimate interest), a Data Protection Impact Assessment (DPIA) under Article 35 because workplace CCTV is systematic monitoring on a large scale, employee transparency under Articles 13–14, defined retention (typically 7–30 days), visible pictogram signage at every entry point, and — in jurisdictions with strong worker representation (Germany, France, Italy, the Netherlands) — formal consultation with the works council or trade union before deployment.

Where can workplace CCTV NOT be installed under EU law?

Toilets, locker rooms, changing areas, dedicated rest areas, designated breastfeeding rooms and any space where employees have a reasonable expectation of privacy. Multiple DPAs have fined employers six-figure sums for cameras in these zones, even when the recording was claimed to be 'mistakenly active'. The minimisation principle (Article 5(1)(c)) makes these installs unlawful by default, regardless of consent.

Do I need works council approval before installing workplace CCTV?

In Germany under BetrVG §87(1)(6), workplace surveillance technology requires the works council's co-determination — the employer cannot install or expand it without works council consent. France (Article L2312-38 Code du travail) requires consultation. Poland's RODO regime requires regulation in the workplace rules of order. The UK ICO Employment Practices Code recommends but does not legally require consultation. Failing to consult where required can void the entire deployment retroactively.

How long can I keep workplace CCTV recordings?

EU DPA guidance converges on 30 days as the default cap unless a specific incident triggers extended retention for investigation. Anything beyond 30 days requires explicit justification in the DPIA. Polish UODO has fined employers for indefinite retention; Italian Garante for 90-day defaults without specific basis. The German Länder DPAs treat 72 hours as the generic ceiling absent a documented stronger interest.

GDPR / Tuân thủ · Cập nhật 2026-05-05

Giám sát CCTV tại nơi làm việc theo GDPR / RODO / DSGVO

Lộ trình tuân thủ năm 2026 dành cho các nhà lãnh đạo nhân sự, vận hành và an ninh triển khai giám sát nơi làm việc tại EU. Mức tối thiểu về mặt pháp lý là GDPR ; mức tối đa là luật lao động quốc gia và quyền đồng quyết định của hội đồng người lao động, vốn rất khác nhau giữa các quốc gia thành viên.

Bảy nghĩa vụ lắp đặt camera giám sát tại nơi làm việc theo GDPR

Cơ sở pháp lý. Điều 6(1)(f) lợi ích hợp pháp là lựa chọn thực tế duy nhất — sự đồng ý không thành công vì người lao động không thể tự do từ chối, và Điều 6(1)(b) (thực hiện hợp đồng) quá hẹp. Bài kiểm tra cân bằng lợi ích hợp pháp phải được ghi chép và xem xét hàng năm.
Đánh giá tác động bảo vệ dữ liệu (Điều 35). Hệ thống camera giám sát tại nơi làm việc là "hoạt động giám sát có hệ thống trên quy mô lớn" và yêu cầu phải thực hiện Đánh giá Tác động Bảo vệ Dữ liệu (DPIA) bắt buộc ở mọi quốc gia thuộc Liên minh Châu Âu. DPIA ghi lại mục đích, bài kiểm tra tính tương xứng, các phương án thay thế đã được xem xét (và lý do bị từ chối), và các biện pháp đã thực hiện để giảm thiểu tác động.
Tính minh bạch (Điều 13–14). Trước khi bắt đầu công việc, mọi nhân viên phải được thông báo về những thông tin nào được ghi lại, ở đâu, tại sao, do ai ghi, trong bao lâu và cách thực hiện quyền của họ. Thông báo về quyền riêng tư trong sổ tay nhân viên cùng với biển báo ở khu vực xung quanh sẽ đáp ứng yêu cầu này.
Giữ chân khách hàng. Thời gian tối thiểu cần thiết thường là 7-30 ngày. Hầu hết các thỏa thuận hoãn nợ (DPA) coi 30 ngày là thời điểm mặc định không quá hạn; thời gian dài hơn cần có lý do cụ thể.
Biển báo dễ nhìn thấy. Biểu tượng + tên bộ điều khiển + thông tin liên hệ + cơ sở pháp lý + thời gian lưu trữ + thông tin liên hệ của DPO. Đặt tại mọi điểm vào và mọi tầng của các tòa nhà nhiều tầng.
Quyền truy cập chủ đề. Bất kỳ nhân viên nào cũng có thể yêu cầu bản sao đoạn phim có hình ảnh của họ. Thời hạn phản hồi là 30 ngày.
Giảm thiểu. FOV của camera phải hẹp nhất có thể mà vẫn đảm bảo mục đích an ninh. Camera hướng vào bàn làm việc, khu vực nghỉ ngơi riêng hoặc bao phủ không gian công cộng rộng hơn mức cần thiết cho mục tiêu an ninh sẽ không đáp ứng được yêu cầu này.

Các tiện ích bổ sung dành riêng cho từng quốc gia

Đức (DSGVO + BDSG + BetrVG). Quyết định chung của hội đồng công nhân theo BetrVG §87(1)(6) là bắt buộc đối với bất kỳ công nghệ giám sát nhân viên nào, bao gồm cả CCTV. Người sử dụng lao động không thể lắp đặt, mở rộng hoặc sửa đổi hệ thống mà không có sự đồng ý của hội đồng công nhân. Các cơ quan bảo vệ dữ liệu cấp tiểu bang (16 tiểu bang) thường xuyên phạt vì không tham vấn. BDSG §26 đặt ra các mặc định lưu giữ nghiêm ngặt hơn so với GDPR chung — 72 giờ là mức tối đa điển hình.

Ba Lan ( RODO + Kodeks pracy). Điều 22² của Bộ luật Lao động cho phép lắp đặt camera giám sát tại nơi làm việc nhưng chỉ nhằm mục đích đảm bảo an toàn, bảo vệ tài sản, giám sát sản xuất hoặc bảo mật thông tin. Việc lắp đặt phải được quy định trong nội quy nơi làm việc (regulamin pracy) và thông báo cho người lao động ít nhất 14 ngày trước khi kích hoạt. Cơ quan Quản lý Nhà ở và Lao động (UODO) ngày càng tích cực giám sát – việc phạt tiền đối với biển báo không đầy đủ và việc lưu giữ camera không chính đáng diễn ra thường xuyên.

Pháp (Hướng dẫn của CNIL + Code du travail). Việc tham vấn hội đồng công nhân theo Điều L2312-38 là bắt buộc. CNIL đã ban hành hướng dẫn ràng buộc giới hạn thời gian lưu trữ tối đa 30 ngày trừ các sự cố cụ thể. Camera không được quay phim liên tục tại khu vực làm việc của nhân viên và phải tránh hoàn toàn khu vực phòng nghỉ. Mức phạt của CNIL đối với các vi phạm về camera giám sát tại nơi làm việc dao động từ 1.000 € đến hơn 600.000 €.

Ý (Garante + Statuto dei Lavoratori Điều 4). Một trong những chế độ quản lý nghiêm ngặt nhất. Điều 4 của luật lao động cấm lắp đặt thiết bị giám sát để theo dõi trực tiếp người lao động và yêu cầu phải có thỏa ước tập thể (với hội đồng công nhân hoặc, nếu không có, phải được sự cho phép của Thanh tra Lao động khu vực) trước khi bất kỳ hệ thống nào vô tình ghi lại hoạt động của người lao động được triển khai.

Vương quốc Anh ( GDPR của Vương quốc Anh + Đạo luật Bảo vệ Dữ liệu năm 2018 + Bộ quy tắc thực hành việc làm của ICO). Việc tham vấn hội đồng công nhân được khuyến nghị nhưng không bắt buộc. Bộ luật Thực tiễn Việc làm của ICO được coi là hướng dẫn có tính chất tham khảo và việc thực thi DPA thường xuyên viện dẫn bộ luật này. Thời gian lưu giữ mặc định là 30 ngày; thời gian dài hơn cần có bằng chứng ghi lại sự việc.

Những lỗi vi phạm quy định thường gặp (và chi phí khắc phục)

Lắp đặt camera trong nhà vệ sinh, phòng thay đồ hoặc khu vực nghỉ ngơi — sẽ bị phạt ngay lập tức với mức phạt lên đến hàng trăm nghìn đô la trên toàn EU.
Lưu giữ vô thời hạn hoặc trên 90 ngày mà không có lý do chính đáng được ghi chép lại — thường xuyên bị phạt ở mức vài chục nghìn đô la.
Không có biển báo hoặc biển báo chỉ có một ngôn ngữ tại nơi làm việc đa ngôn ngữ — chi phí điển hình từ 5.000 đến 25.000 euro.
Không có báo cáo đánh giá tác động bảo vệ dữ liệu (DPIA) nào được lưu trữ — điều này ngày càng được xem là một yếu tố làm tăng nặng hình phạt.
Không có cuộc tham vấn hội đồng công nhân nào ở Đức/Pháp/Ý — toàn bộ quá trình triển khai có thể bị hủy bỏ hồi tố.
Quản lý có thể truy cập luồng phát trực tiếp mà không cần ghi nhật ký truy cập — điều này vi phạm cả nguyên tắc giảm thiểu rủi ro và nguyên tắc trách nhiệm giải trình.
Ghi âm mà không có lý do chính đáng riêng biệt — việc ghi âm các cuộc trò chuyện tại nơi làm việc được xử lý nghiêm ngặt hơn so với video.

Một danh sách kiểm tra trước khi triển khai có hiệu quả

Trước khi kéo sợi cáp đầu tiên: (1) soạn thảo DPIA bao gồm mục đích, tính tương xứng, các phương án thay thế, giảm thiểu FOV, lưu giữ; (2) cập nhật thông báo về quyền riêng tư và sổ tay nhân viên với quy trình xử lý mới; (3) tham khảo ý kiến hội đồng công nhân / công đoàn nếu có và nhận được thỏa thuận bằng văn bản; (4) thiết kế bản đồ FOV hiển thị phạm vi phủ sóng chính xác với bài kiểm tra tính tương xứng được chú thích cho mỗi camera; (5) tạo biển báo bằng mọi ngôn ngữ tại nơi làm việc; (6) xác định các quy tắc lưu giữ và biện pháp kiểm soát kỹ thuật để thực thi chúng; (7) chỉ định người quản lý nhật ký truy cập; (8) đào tạo đội ngũ an ninh về quy trình truy cập đối tượng.

CCTVplanner tạo ra (4) trực tiếp — thả vị trí camera lên sơ đồ mặt bằng, khóa các hình nón FOV, xuất PDF có nhãn với chú thích kiểm tra tỷ lệ cho mỗi camera và đính kèm vào phụ lục DPIA. Người đánh giá DPA đọc cùng một tài liệu mà bạn đã xem xét.

Xây dựng bản đồ trường FOV nơi làm việc cho đánh giá tác động bảo vệ dữ liệu (DPIA) của bạn.

Đặt camera lên sơ đồ mặt bằng, khóa các vùng FOV cones), xuất PDF để đưa vào phụ lục DPIA. Gói miễn phí bao gồm 1 địa điểm.

Tham chiếu RODO / GDPR →

Tài liệu tham khảo đầy đủ của chúng tôi dành cho các nhà điều hành hệ thống camera giám sát tại EU.

Ứng dụng camera quan sát công nghiệp →

Hệ thống camera quan sát cấp nhà máy với tính năng tối thiểu hóa trường nhìn FOV phù hợp với quy định của hội đồng công nhân.