1. Η συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων πρέπει να πραγματοποιείται με θεμιτά μέσα και με τρόπο ώστε να διασφαλίζεται ο σεβασμός της αξιοπρέπειας, της προσωπικότητας, της ιδιωτικής ζωής βίου και του δικαιώματος προστασίας προσωπικών δεδομένων των εργαζομένων στο πλαίσιο των σχέσεων απασχόλησης και στον χώρο [της] εργασίας
2. Ως εργαζόμενοι για τις ανάγκες του παρόντος νοούνται οι απασχολούμενοι με οποιαδήποτε σχέση απασχόλησης τόσο στον δημόσιο όσο και στον ιδιωτικό τομέα και οι υπηρετούντες στις ένοπλες δυνάμεις και στα σώματα ασφαλείας. Το κύρος της σχέσης απασχόλησης δεν επηρεάζει τις υποχρεώσεις του υπευθύνου επεξεργασίας ως προς την επεξεργασία και προστασία δεδομένων των εργαζομένων. Ως εργαζόμενοι για τους σκοπούς του παρόντος νοούνται επίσης α) οι υποψήφιοι για εργασία καθώς και β) οι πρώην εργαζόμενοι.
3. Η συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων από τον εργοδότη ως υπεύθυνο επεξεργασίας επιτρέπεται εφόσον:
α) είναι απαραίτητη για την εκπλήρωση των εκατέρωθεν υποχρεώσεων που αφορούν τη σχέση απασχόλησης ή σχετίζονται με αυτή, είτε αυτές πηγάζουν από το νόμο είτε από σύμβαση, ατομική ή συλλογική,
β) είναι απαραίτητη για τη συμμόρφωση με έννομη υποχρέωση του υπευθύνου επεξεργασίας,
γ) είναι απαραίτητη για τη για τη διαφύλαξη ζωτικού συμφέροντος του εργαζομένου ως υποκειμένου των δεδομένων ή άλλου φυσικού προσώπου,
δ) είναι απαραίτητη για την εκπλήρωση των εννόμων συμφερόντων που επιδιώκει ο υπεύθυνος επεξεργασίας ή τρίτος, εκτός εάν έναντι των συμφερόντων αυτών υπερισχύουν το συμφέρον ή τα θεμελιώδη δικαιώματα και οι ελευθερίες του εργαζομένου ως υποκειμένου των δεδομένων
4. Όταν η συλλογή και επεξεργασία δεδομένων θεμελιώνεται στη συγκατάθεση των εργαζομένων ως υποκειμένων των δεδομένων αυτή πρέπει να είναι έγγραφη και να διακρίνεται από τη σύμβαση απασχόλησης. Ο εργοδότης ως υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει ότι έχει ενημερώσει τον εργαζόμενο σύμφωνα με τα οριζόμενα στο άρθρο 7 παράγραφος 3 του Κανονισμού και ότι ο εργαζόμενος έχει μία γνήσια και ελεύθερη επιλογή και είναι σε θέση να αρνηθεί ή να ανακαλέσει τη συγκατάθεσή του χωρίς αρνητικές επιπτώσεις.
5. Η επεξεργασία των ειδικών κατηγοριών δεδομένων που αναφέρονται στο άρθρο 9 παρ. 1 του Κανονισμού επιτρέπεται μόνο εφόσον είναι απαραίτητη για την άσκηση συγκεκριμένων δικαιωμάτων ή και την εκτέλεση των υποχρεώσεων του υπευθύνου επεξεργασίας ή του υποκειμένου των δεδομένων που απορρέουν από τη σύμβαση και το εργατικό δίκαιο, συμπεριλαμβανομένων των υποχρεώσεων για την υγιεινή και ασφάλεια της εργασίας, και του δικαίου κοινωνικής ασφάλισης και κοινωνικής προστασίας
6. Η συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα των εργαζομένων επιτρέπεται αποκλειστικά [είτε] για σκοπούς που συνδέονται άμεσα με τη σχέση απασχόλησης είτε για σκοπούς που προκύπτουν από διάταξη νόμου. Τα δεδομένα προσωπικού χαρακτήρα των εργαζομένων ως υποκειμένων των δεδομένων πρέπει να συλλέγονται και να υφίστανται επεξεργασία από τον εργοδότη ως υπεύθυνο επεξεργασίας για καθορισμένους, ρητούς και νόμιμους σκοπούς. Οι σκοποί της επεξεργασίας θα πρέπει να είναι εκ των προτέρων γνωστοί στους εργαζομένους και κατανοητοί από αυτούς. Η συγκατάθεση των εργαζομένων δεν επιτρέπεται να άρει την απαγόρευση της υπέρβασης του σκοπού.
7. Ο εργοδότης ως υπεύθυνος επεξεργασίας συλλέγει τα δεδομένα προσωπικού χαρακτήρα από τα υποκείμενα των δεδομένων. Συλλογή προσωπικού χαρακτήρα που αφορούν τον εργαζόμενο ή τον υποψήφιο από τρίτους επιτρέπεται μόνον εφόσον είναι απαραίτητη για την εκπλήρωση του επιδιωκόμενου σκοπού και ο εργαζόμενος ενημερώνεται εκ των προτέρων για τη συλλογή αυτή.
8. Τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία στο πλαίσιο της σχέσης απασχόλησης πρέπει να είναι κατάλληλα, συναφή και να περιορίζονται στο αναγκαίο για τους συγκεκριμένους σκοπούς που σχετίζονται με τη σχέση απασχόλησης και για τους οποίους υποβάλλονται σε επεξεργασία («ελαχιστοποίηση των δεδομένων»), λαμβανομένων υπόψη ιδίως της φύσης της απασχόλησης και των δραστηριοτήτων του οργανισμού/ εργοδότη, των ιδιαίτερων εργασιών ή/και καθηκόντων που ανατίθενται στον εργαζόμενο, του τρόπου και τόπου/χώρου που παρέχεται η εργασία.
9. Τα δεδομένα προσωπικού χαρακτήρα που αφορούν την υγεία συλλέγονται απευθείας και μόνον από τους εργαζόμενους και μόνον εφόσον αυτό είναι απολύτως απαραίτητο α) για την αξιολόγηση της καταλληλότητας του εργαζόμενου ή του υποψηφίου για μία συγκεκριμένη θέση ή εργασία, παρούσα ή μελλοντική, β) για την εκπλήρωση των υποχρεώσεων του εργοδότη για υγιεινή και ασφάλεια της εργασίας και γ) για τη θεμελίωση δικαιωμάτων των εργαζομένων και αντίστοιχη απόδοση κοινωνικών παροχών. Διεξαγωγή ιατρικών εξετάσεων και αναλύσεων, όπως τα ψυχολογικά και ψυχομετρικά τεστ, επιτρέπεται μόνο σε ειδικές περιπτώσεις κι εφόσον τα συγκεκριμένα καθήκοντα και οι απαιτήσεις της συγκεκριμένης εργασίας καθιστούν αναγκαία την έρευνα και παρακολούθηση της κατάστασης και της προσωπικότητας του εργαζομένου σε σχέση με τη συγκεκριμένη θέση ή/και κατηγορία απασχόλησης.
10. Δεν επιτρέπεται η επεξεργασία γενετικών δεδομένων των εργαζομένων. Κατ΄εξαίρεση η επεξεργασία αυτή μπορεί να επιτραπεί, εφόσον προβλέπεται ρητά από διάταξη νόμου που ορίζει και τη σχετική διαδικασία και τις ανάλογες εγγυήσεις ή σε όλως εξαιρετικές περιπτώσεις στις οποίες οι γενετικές εξετάσεις και η επεξεργασία των γενετικών δεδομένων επιβάλλονται για την προστασία ζωτικών συμφερόντων των εργαζομένων ή τρίτων και έχει προηγηθεί διαβούλευση με την Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα.
11. Ο εργοδότης ως υπεύθυνος επεξεργασίας δικαιούται να επεξεργαστεί δεδομένα προσωπικού χαρακτήρα που αφορούν ποινικές διώξεις, μέτρα ασφαλείας και καταδίκες των εργαζομένων, εφόσον και στο μέτρο που είναι απολύτως απαραίτητο για την αξιολόγηση της καταλληλότητας του εργαζομένου για συγκεκριμένη θέση ή καθήκοντα εργασίας ή για τη λήψη συγκεκριμένης απόφασης στο πλαίσιο της σχέσης απασχόλησης. Τα δεδομένα αυτά επιτρέπεται να συλλεχθούν αποκλειστικά από τον εργαζόμενο ή από τρίτον ύστερα από έγγραφη συγκατάθεση του εργαζομένου.
12. Η συλλογή και επεξεργασία βιομετρικών δεδομένων στο πλαίσιο της σχέσης απασχόλησης επιτρέπεται μόνο όταν είναι απολύτως απαραίτητη για την προστασία προσώπων και αγαθών, λαμβανομένων υπόψη ιδίως της φύσης των χώρων εργασίας και των δραστηριοτήτων των υπευθύνων επεξεργασίας και των ιδιαίτερων απαιτήσεων ασφαλείας που απορρέουν από αυτές.
13. Η συλλογή και επεξεργασία δεδομένων προσωπικού χαρακτήρα μέσω κλειστού κυκλώματος τηλεόρασης εντός των χώρων εργασίας επιτρέπεται σε ειδικές και εξαιρετικές περιπτώσεις, εφόσον δικαιολογείται από τη φύση και τις συνθήκες εργασίας και είναι απαραίτητο για την προστασία της υγείας και της ασφάλειας των εργαζομένων ή την προστασία κρίσιμων χώρων εργασίας ή κρίσιμων υποδομών/ υποδομών ζωτικής σημασίας.
14. Η χρήση μεθόδων επιτήρησης και παρακολούθησης, όπως μέσω της χρήσης συστημάτων γεωεντοπισμού, επιτρέπεται εφόσον επιβάλλεται για τον σκοπό της προστασίας προσώπων και αγαθών ή τον συντονισμό και έλεγχο της διεκπεραίωσης της εργασίας και αυτό δικαιολογείται από τη φύση αυτής.
15. Οι μέθοδοι ελέγχου και παρακολούθησης και ο σκοπός που εξυπηρετούν δεν επιτρέπεται να προσβάλλουν την αξιοπρέπεια των εργαζομένων. Η συλλογή δεδομένων προσωπικού χαρακτήρα με τη χρήση μεθόδων ελέγχου και παρακολούθησης πρέπει να περιορίζεται στα δεδομένα που συνδέονται άμεσα με τη σχέση απασχόλησης και να μην επεκτείνεται κατά το δυνατόν στην προσωπική συμπεριφορά, στα προσωπικά χαρακτηριστικά ή στις προσωπικές εσωτερικές και εξωτερικές επαφές των εργαζομένων. Τα δεδομένα που συλλέγονται μέσω κλειστού κυκλώματος τηλεόρασης δεν επιτρέπεται να χρησιμοποιηθούν ως αποκλειστικά κριτήρια για την αξιολόγηση της συμπεριφοράς και της αποδοτικότητας των εργαζομένων.
16. Η συλλογή και επεξεργασία δεδομένων, που αφορούν τη χρήση μέσων επικοινωνίας στον χώρο εργασίας ή σε σχέση με αυτή, όπως η τηλεφωνία, το ηλεκτρονικό ταχυδρομείο ή η χρήση διαδικτύου, επιτρέπεται εφόσον είναι απολύτως απαραίτητη για την προστασία προσώπων και αγαθών, την οργάνωση και τον έλεγχο της διεκπεραίωσης της εργασίας ή του κύκλου εργασιών που έχουν ανατεθεί στους εργαζομένους, συμπεριλαμβανομένου του ελέγχου των δαπανών. Τα στοιχεία που καταχωρίζονται και υποβάλλονται σε επεξεργασία πρέπει να περιορίζονται στα απολύτως απαραίτητα και πρόσφορα για την επίτευξη των ανωτέρω σκοπών.
17. Ως προς τα δεδομένα που αναφέρονται στις παραγράφους 9-12 του παρόντος άρθρου ο εργοδότης ως υπεύθυνος επεξεργασίας λαμβάνει πρόσθετα, κατάλληλα και ανάλογα οργανωτικά και τεχνικά μέτρα προστασίας , ιδίως αναφορικά με τα πρόσωπα τα οποία έχουν πρόσβαση και λαμβάνουν γνώση των δεδομένων αυτών.
18. Τα δεδομένα προσωπικού χαρακτήρα που συλλέγονται και υποβάλλονται σε επεξεργασία σύμφωνα με τις προηγούμενες παραγράφους δεν επιτρέπεται να χρησιμοποιηθούν για άλλους σκοπούς, εκτός εάν αυτό επιβάλλεται για την εκπλήρωση υποχρέωσης από τον νόμο ή για την εκπλήρωση προφανώς υπέρτερου εννόμου συμφέροντος του εργοδότη ως υπευθύνου επεξεργασίας ή άλλου εργαζομένου, ιδίως όταν τεκμηριώνεται η ανάγκη εξακρίβωσης συμπεριφορών που απαγορεύονται ρητά από τις ρυθμίσεις που διέπουν τη σχέση εργασίας/απασχόλησης ή από κανονισμούς εργασίας και δεν είναι εφικτό να διακριβωθούν με άλλο ηπιότερο μέσο.
19. Οι εργαζόμενοι πρέπει να ενημερώνονται εγγράφως και ατομικώς για τη συλλογή και την επεξεργασία δεδομένων σύμφωνα με τις προηγούμενες παραγράφους καθώς και την εισαγωγή και χρήση μεθόδων ελέγχου και παρακολούθησης, όπως οι προβλεπόμενες στις παραγράφους 13 και 14 του παρόντος και ιδίως για τον σκοπό για τον οποίο απαιτούνται τα δεδομένα που συλλέγονται με τη χρήση αυτών των μεθόδων, τα βασικά τεχνικά χαρακτηριστικά των μεθόδων, τα πρόσωπα στα οποία τα δεδομένα αυτά διαβιβάζονται ή ενδέχεται να διαβιβαστούν και τα δικαιώματα των εργαζομένων. Τα δεδομένα προσωπικού χαρακτήρα που προκύπτουν από την επεξεργασία δεδομένων προσωπικού χαρακτήρα σύμφωνα με τις προηγούμενες παραγράφους δεν επιτρέπεται να χρησιμοποιηθούν από τον εργοδότη εις βάρος του εργαζομένου στο πλαίσιο της σχέσης απασχόλησης, εάν αυτός δεν έχει προηγουμένως ενημερωθεί σύμφωνα με τα ανωτέρω.
20. Ο εργοδότης ως υπεύθυνος επεξεργασίας υποχρεούται να καταρτίζει κανονισμό χρήσης επικοινωνιακών μέσων και μέσων ηλεκτρονικής επεξεργασίας που χρησιμοποιούν οι εργαζόμενοι στους χώρους ή για τους σκοπούς της εργασίας ή έχουν διατεθεί σε αυτούς από τον εργοδότη. Ο κανονισμός αυτός κοινοποιείται στους εργαζομένους και ο εργοδότης ως υπεύθυνος επεξεργασίας πρέπει να είναι σε θέση να αποδείξει ότι οι εργαζόμενοι έχουν λάβει γνώση του κανονισμού χρήσης καθώς και των τροποποιήσεων αυτού.
21. Οι εργαζόμενοι έχουν δικαίωμα να απευθύνονται στον υπεύθυνο προστασίας δεδομένων και να διατυπώνουν ερωτήματα, παράπονα ή καταγγελίες σε σχέση με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα στο πλαίσιο της απασχόλησης.
22. Η άσκηση του δικαιώματος της προηγούμενης παραγράφου και η άσκηση των δικαιωμάτων που προβλέπονται από τον Γενικό Κανονισμό Προστασίας Δεδομένων (άρθρα 12-22) δεν επιτρέπεται να έχουν δυσμενείς συνέπειες για τον εργαζόμενο.