Czy tak niewinna sprawa, jak rekrutacja, może być zagrożeniem dla osób biorących w niej udział? Okazuje się, że jak najbardziej. Zarówno generalny inspektor ochrony danych osobowych, jak i eksperci przestrzegają przed lekkomyślnym udostępnianiem informacji o sobie – zwłaszcza gdy chodzi o rekrutacje ukryte, czyli takie, w których tożsamość pracodawcy poszukującego pracownika nie jest znana (a przynajmniej nie od początku). Mogą one bowiem służyć do wyłudzania danych, a te w konsekwencji mogą być użyte do zaciągania zobowiązań bez wiedzy osoby, do której należą, czy nawet popełnienia przestępstwa.
To niejedyny problem z rekrutacjami ukrytymi. Okazuje się, że w większości przypadków można mieć wątpliwości co do ich legalności. Do zbierania danych osobowych bez ujawniania nazw i adresów pracodawców, do których miałyby one trafić, można nie mieć zastrzeżeń właściwie tylko w jednym przypadku – gdy gromadzi je firma rekrutacyjna na potrzeby przyszłych rekrutacji. W tej sytuacji pracodawcy, do których miałyby one trafić, nie są jeszcze znani, a agencja HR działa jako administrator danych osobowych (na tym etapie tylko ona musi się ujawnić). Sprawa jest jednak dużo bardziej skomplikowana, gdy taka firma działa na zlecenie konkretnego pracodawcy albo gdy portal rekrutacyjny służy wyłącznie jako tablica ogłoszeń dla oferty zatrudniającego. W takich sytuacjach tajne rekrutacje mogą być uznane za niezgodne z przepisami o ochronie danych osobowych. W obydwu tych przypadkach co do zasady to pracodawca pozostaje administratorem danych osobowych i – zdaniem części ekspertów – jego dane powinny być jawne już przy składaniu aplikacji. W takiej sytuacji to na pracodawcy ciąży obowiązek ujawnienia swojej tożsamości. Z drugiej zaś strony, gdy agencja HR prowadzi rekrutację (a przynajmniej jej część) dla konkretnego podmiotu jako administrator danych osobowych potencjalnego pracownika, powinna ona poinformować – już w ogłoszeniu – o znanych jej odbiorcach danych.
Kontrowersyjne jest przy tym najnowsze stanowisko generalnego inspektora ochrony danych osobowych, który co do zasady nie kwestionuje możliwości prowadzenia rekrutacji ukrytych. Odnosi się przy tym do modelu, w którym działalność portalu rekrutacyjnego ogranicza się do zapewnienia możliwości publikacji ogłoszenia poprzez udostępnienie do tego odpowiednich narzędzi informatycznych. Tymczasem w tym właśnie przypadku zdaniem ekspertów rekrutacja ukryta jest niedopuszczalna. Obecne stanowisko GIODO jest też w pewnym stopniu niespójne z opinią z 2011 r. – przy czym rozpatrywana w niej sytuacja dotyczyła rekrutacji prowadzonej na zlecenie pracodawcy, w której podmiot ją przeprowadzający uznawany był za administratora danych osobowych. Z tego stanowiska zdaje się wynikać, że rekrutacja bez podania nazwy pracodawcy, który powierzył ją firmie zewnętrznej, jest niedopuszczalna.
Wreszcie wątpliwości co do tajnych rekrutacji wybiegają też w przyszłość. Nie jest bowiem jasne, czy będą one dopuszczalne po wejściu w życie nowych unijnych przepisów o ochronie danych osobowych (co nastąpi już za 1,5 roku). Jest więc potrzeba, by na nowo pochylić się nad tym zagadnieniem przy rewizji i dostosowywaniu przepisów krajowych do europejskich.