Virksomheder kan gennemføre baggrundstjek som led i rekruttering for at beskytte drifts- og forretningshemmeligheder, men behandlingen skal ske i overensstemmelse med databeskyttelsesreglerne. Det retlige grundlag er ofte legitim interesse, fordi samtykke sjældent anses for frivilligt i et ansættelsesforhold. Et baggrundstjek skal være nødvendigt og proportionalt, og kræver en konkret interesseafvejning, hvor datatypen, formålet og mulige konsekvenser for ansøgeren indgår.
I praksis kan tjekket omfatte referencer, straffe- eller børneattest, billedlegitimation, verifikation af uddannelse, oplysninger fra RKI samt offentligt tilgængelige kilder som sociale medier. Oplysninger om lovovertrædelser, følsomme data og fortrolige identifikatorer som CPR-nummer forudsætter særskilt hjemmel og skærpede garantier, og bør kun indhentes, hvis det er strengt nødvendigt.
Ud over retsgrundlaget skal virksomheden overholde oplysningspligten, fastsætte sletningsfrister og sikre dataminimering. Klare interne retningslinjer og en målrettet oplysningsskrivelse til ansøgere bidrager til ensartet praksis. Retningslinjerne bør beskrive hvilke oplysninger der indhentes, på hvilket tidspunkt i processen, til hvilke formål og hvordan dokumentation, adgang og opbevaring håndteres.
