Α. Σύμφωνα με το άρθρο 27 ν. 4624/2019, με τον οποίο ενσωματώθηκε στην εθνική νομοθεσία ο Νέος Γενικός Κανονισμός Προστασίας Δεδομένων (Κανονισμός (ΕΕ) 2016/679 (GDPR) δεδομένα προσωπικού χαρακτήρα των εργαζομένων μπορούν να υποβάλλονται σε επεξεργασία για σκοπούς της σύμβασης εργασίας, εφ όσον είναι απολύτως απαραίτητο για την απόφαση σύναψης σύμβασης εργασίας, ή μετά την σύναψη της σύμβασης εργασίας για την εκτέλεσή της.

Β. Η επεξεργασία γίνεται χωρίς την συγκατάθεση του εργαζομένου, εάν είναι απαραίτητη για την άσκηση των δικαιωμάτων, ή την εκπλήρωση νόμιμων υποχρεώσεων που απορρέουν από το εργατικό δίκαιο, το δίκαιο της κοινωνικής ασφάλισης και της κοινωνικής προστασίας, ή για τους σκοπούς της σύμβασης εργασίας βάσει συλλογικών συμβάσεων εργασίας. Στην περίπτωση αυτή τα διαπραγματευόμενα μέρη πρέπει να συμμορφωθούν με το άρθρο 88 παρ.2 του GDPR.

Γ. Σε κάθε άλλη περίπτωση ο νόμος προβλέπει την συγκατάθεση του εργαζομένου, η οποία πρέπει να είναι αποτέλεσμα ελεύθερης επιλογής. Το κατά πόσο η  συγκατάθεση του εργαζομένου είναι αποτέλεσμα ελεύθερης επιλογής του λαμβάνονται υπόψη κυρίως, α) η υφιστάμενη στη σύμβαση εργασίας εξάρτηση του εργαζομένου και β) οι περιστάσεις κάτω από τις οποίες χορηγήθηκε η συγκατάθεση.

Δ. Η συγκατάθεση παρέχεται, είτε σε έγγραφη, είτε σε ηλεκτρονική μορφή και πρέπει να διακρίνεται σαφώς από την σύμβαση εργασίας. Ο εργοδότης πρέπει να ενημερώσει τον εργαζόμενο, είτε σε έγγραφη, είτε σε ηλεκτρονική μορφή, σχετικά με τον σκοπό της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και το δικαίωμά του να ανακαλέσει την συγκατάθεση σύμφωνα με το άρθρο 7 παρ. 3 του GDPR.

Ε. Σημειώνεται ότι η βαρύτητα της συγκατάθεσης του εργαζομένου για μια τέτοια επεξεργασία, λόγω της σχέσης εξάρτησης του εργαζόμενου με τον εργοδότη, αποδυναμώνεται, σύμφωνα δε με την Γνώμη 8/2001 της Ομάδας εργασίας του άρθρου 29 της Επιτροπής των Ευρωπαϊκών Κοινοτήτων είναι πολύ δύσκολο να διασφαλιστεί ότι μια τέτοια συγκατάθεση είναι ελεύθερη.

ΣΤ. Ο υπεύθυνος επεξεργασίας πρέπει να λαμβάνει τα ενδεδειγμένα μέτρα για να εξασφαλίσει ότι τηρούνται οι αρχές για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που ορίζονται στο άρθρο 5 του GDPR.

Ζ. Ο εργαζόμενος που βλάπτεται από την επεξεργασία των προσωπικών του δεδομένων μπορεί να ασκήσει τα δικαιώματα της πρόσβασης και της εναντίωσης. Ο εργοδότης είναι υποχρεωμένος βάσει του GDPR να απαντήσει εγγράφως. Εάν δεν απαντήσει, ή αν η απάντηση δεν είναι ικανοποιητική, μπορεί να υποβληθεί καταγγελία στην Αρχή Προστασίας Προσωπικών Δεδομένων, είτε μέσω συλλογικού οργάνου, είτε ατομικά.

Η. Σε κάθε περίπτωση ο εργαζόμενος μπορεί να ασκήσει τα δικαιώματα από το άρθρο 57 ΑΚ, περί προσβολής της προσωπικότητας, και να αξιώσει  χρηματική ικανοποίηση λόγω ηθικής βλάβης, εφ όσον συντρέχουν οι προϋποθέσεις της αδικοπραξίας του Αστικού Κώδικα, δεδομένου ότι ο GDPR προβλέπει ότι σε κάθε παραβίαση στην επεξεργασία των προσωπικών δεδομένων, ο υπαίτιος υποχρεούται σε πλήρη αποζημίωση, αν δε προκάλεσε ηθική βλάβη, υποχρεούται σε χρηματική ικανοποίηση. Η ευθύνη σε αποζημίωση υπάρχει και όταν ο εργοδότης όφειλε να γνωρίζει την πιθανότητα να επέλθει βλάβη στον εργαζόμενο (ΑΠ 2244/2013, ΑΠ 163/2020).