Konieczność minimalizowania strat wynikających z wycieku informacji poufnych i przestępstw finansowych popełnianych wewnątrz firm powoduje, że pracodawcy coraz częściej poszukują sposobów na taki dobór kandydatów do pracy, który sprawi, że będą dysponowali uczciwym i solidnym personelem. Chęć zapewnienia firmie bezpieczeństwa rodzi nierzadko pokusę sprawdzania przeszłości kandydatów do pracy, a także kontrahentów i ich pracowników, w szczególności pod kątem karalności, sytuacji finansowej (credit check) czy skłonności do nałogów. Powstaje więc pytanie, czy zbieranie przez firmę takich informacji jest dopuszczalne.
Kodeks pracy wraz z przepisami wykonawczymi np. dotyczącymi prowadzenia akt osobowych pracowników, bardzo precyzyjnie określa, jakich danych może żądać pracodawca od kandydata do pracy oraz od pracownika. Są to podstawowe dane obejmujące np. imię, nazwisko, adres, historię zatrudnienia, wykształcenie oraz inne informacje niezbędne do wypłaty wynagrodzenia, odprowadzania zaliczki na podatek dochodowy i świadczeń socjalnych. Wśród tych danych nie znajdują się informacje o niekaralności, statusie finansowym, czy uzależnieniach. Z kolei z tymi właśnie informacjami niektórzy pracodawcy chcieliby się zapoznać w przypadku rekrutowania na stanowiska związane np. z dostępem do finansów firmy. Kodeks pracy jednak wyraźnie stanowi, że żądanie dodatkowych informacji o pracowniku jest dopuszczalne wyłącznie wówczas, gdy obowiązek ich podania wynika z odrębnych przepisów (art. 221 §4 Kodeksu pracy). Rozpowszechniająca się praktyka polegająca na pozyskiwaniu od kandydatów do pracy dodatkowych informacji ponad te wyraźnie wskazane w przepisach, w tym tzw. danych wrażliwych (np. niewymaganych przepisami danych o karalności), jest nie tylko niezgodna z przepisami prawa pracy, ale także z przepisami o ochronie danych osobowych (np. regulującymi przetwarzanie danych wrażliwych) i w konsekwencji może się spotkać ze stanowczą reakcją GIODO.
Powyższy problem dobrze ilustruje kontrola wszczęta przez GIODO wobec banku, który zbierał dane dotyczące agentów i partnerów sprzedaży (osób reprezentujących te podmioty) oraz ich pracowników mających docelowo wykonywać czynności na rzecz banku (Sprawozdanie GIODO za rok 2014, s. 29). W toku kontroli okazało się, że bank, powołując się m.in. na konieczność zapewnienia bezpieczeństwa środków pieniężnych, zbierał od ww. osób zaświadczenia o niekaralności wydane przez Krajowy Rejestr Karny oraz pochodzące z Biura Informacji Kredytowej informacje o zobowiązaniach kredytowych. Zdaniem GIODO w wyniku zbierania takich informacji od pracowników podmiotów współpracujących z bankiem, doszło do naruszenia przepisów Kodeksu pracy oraz przepisów o dopuszczalności przetwarzania danych wrażliwych (danych o niekaralności). W odniesieniu do osób reprezentujących agentów i partnerów, GIODO uznał, że zbieranie ww. danych przez bank nie było adekwatne do celów ich przetwarzania, tj. przetwarzanie danych w takim zakresie w celach bezpieczeństwa nie było uzasadnione.
Tym samym GIODO potwierdził, że pracodawcy nie mogą wymagać od pracowników większego zakresu danych osobowych ponad ten określony wyraźnie w przepisach. Natomiast żądanie informacji osobistych od innych osób współpracujących z pracodawcą, takich jak dane o niekaralności, jest negatywnie oceniane przez GIODO z punktu widzenia adekwatności przetwarzania danych osobowych w stosunku do celu ich przetwarzania. Pracodawcy powinni więc zachować wstrzemięźliwość w zbieraniu danych osobowych od pracowników i współpracowników, a weryfikowanie np. karalności przeprowadzać tylko wtedy gdy pozwalają na to przepisy prawa.