Tak uważa generalny inspektor ochrony danych osobowych (GIODO).
Wielu pracodawców zleca firmom rekrutacyjnym wyszukanie kandydatów do pracy, ale zastrzega swoją anonimowość. Dlatego osoba, która ubiega się o zatrudnienie i skierowała aplikację do firmy rekrutacyjnej, nie wie, kto będzie jej potencjalnym pracodawcą. Nie wie też, kto będzie administratorem jej danych osobowych. Nie zna także podmiotu, któremu dane będą udostępnione, mimo że rekrutujący o tym wiedzą. Najczęściej kandydaci informowani są jedynie o branży (np. FMCG, informatyka), w której działa przyszły pracodawca.
GIODO uważa, że praktyka taka jest niezgodna z ustawą o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.). Dochodzi bowiem do naruszenia jej art. 24 ust. 1. Mówi on, że w razie zbierania danych od osoby, której one dotyczą, administrator ma obowiązek poinformować ją m.in. o swoim adresie i pełnej nazwie. Ponadto trzeba też powiadomić o celu zbierania danych, a w szczególności o znanych administratorowi (w czasie udzielania informacji) przewidywanych odbiorcach danych lub ich kategoriach. Obowiązku informacyjnego nie ma jedynie wtedy, gdy przepis innej ustawy zezwala przetwarzać dane bez ujawniania faktycznego celu ich zbierania, a także gdy osoba, której dane dotyczą, ma już informacje, które należało jej podać.
Ponieważ przy gromadzeniu danych osobowych na podstawie zamieszczonego w mediach (najczęściej w gazetach) ogłoszenia o zatrudnieniu żadnego z tych wyjątków się nie stosuje, podmiot gromadzący informacje (będący ich administratorem) musi podać nazwę przyszłego pracodawcy, któremu udostępnia te wiadomości.
Także komentatorzy uważają, że zbieranie informacji od osób, których one dotyczą, wymaga powiadomienia o okolicznościach związanych z ich przetwarzaniem. – Przekazanie przez administratora informacji o tych okolicznościach we właściwy sposób pozwala osobie, której dane dotyczą, podjąć świadomą decyzję o ewentualnym ich udostępnieniu. Ponadto zwiększa jej świadomość w zakresie przysługujących jej uprawnień wynikających z przepisów – uważają Dorota Skolimowska i Andrzej Krasuski w książce „Dane osobowe w przedsiębiorstwie” (Wydawnictwo Prawnicze LexisNexis, wyd. I, Warszawa 2007, str. 237).