Wdrażanie systemów sztucznej inteligencji do procesów rekrutacyjnych wiąże się z istotnymi wyzwaniami prawnymi, w szczególności na gruncie RODO oraz rozporządzenia AI Act. Narzędzia stosowane w obszarze zatrudnienia co do zasady kwalifikowane są jako systemy wysokiego ryzyka, co oznacza konieczność spełnienia podwyższonych wymogów w zakresie nadzoru, dokumentacji, zarządzania ryzykiem oraz transparentności.

Na etapie przedwdrożeniowym konieczna jest weryfikacja, czy dane rozwiązanie nie mieści się w katalogu praktyk zakazanych określonych w art. 5 AI Act, w szczególności w zakresie systemów prowadzących do nieuzasadnionej klasyfikacji lub niekorzystnego traktowania kandydatów na podstawie ich cech osobowych.

Obowiązki informacyjne wynikające z RODO

Z perspektywy ochrony danych osobowych zasadnicze znaczenie mają obowiązki informacyjne wynikające z art. 13 i 14 RODO. Kandydaci powinni zostać w sposób jasny i kompletny poinformowani o wykorzystywaniu systemów AI w procesie selekcji, zakresie przetwarzanych danych, charakterze podejmowanych decyzji oraz przysługujących im prawach, w tym prawie do zakwestionowania rozstrzygnięcia wygenerowanego przez system.

Istotnym ograniczeniem prawnym jest wynikający z art. 22 RODO zakaz wydawania decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywołują skutki prawne lub w podobny sposób istotnie wpływają na kandydata. W praktyce oznacza to konieczność zapewnienia realnej interwencji ludzkiej na każdym etapie rekrutacji, tak aby algorytm pełnił jedynie funkcję pomocniczą, a ostateczne rozstrzygnięcie o zatrudnieniu należało do człowieka. Wykorzystanie systemów w pełni zautomatyzowanych jest dopuszczalne jedynie w ściśle określonych przypadkach, co zazwyczaj wymaga uzyskania wyraźnej i uprzedniej zgody kandydata.

Ryzyko dyskryminacji algorytmicznej

Wśród praktycznych zagrożeń dla organizacji dominuje ryzyko wystąpienia dyskryminacji algorytmicznej, wynikającej z błędów lub braku równowagi w danych treningowych, na których model został wytrenowany. Wadliwe działanie algorytmu może prowadzić do systematycznego i bezprawnego odrzucania aplikacji określonych grup kandydatów ze względu na ich płeć, wiek, pochodzenie czy stan zdrowia, co stanowi bezpośrednie naruszenie przepisów Kodeksu pracy oraz unijnych zasad równego traktowania. Pracodawca jest zobowiązany do przeprowadzania regularnych audytów stosowanych narzędzi oraz pozyskiwania od dostawców technologii dokumentacji potwierdzającej stosowanie zróżnicowanych danych treningowych i mechanizmów korygujących uprzedzenia.

Poważnym zagrożeniem operacyjnym jest również zjawisko tak zwanego Shadow AI, czyli niekontrolowanego wykorzystywania przez pracowników działów HR ogólnodostępnych narzędzi generatywnych do analizy CV bez wiedzy i nadzoru organizacji.

Z perspektywy bezpieczeństwa teleinformatycznego niezbędne jest zawarcie precyzyjnej umowy powierzenia przetwarzania danych osobowych zgodnie z art. 28 RODO, która musi kategorycznie zabraniać wykorzystywania danych kandydatów do uczenia maszynowego modeli dostawcy. Administrator musi zweryfikować, czy dostawca stosuje uznane standardy cyberbezpieczeństwa, takie jak certyfikacja ISO 27001, oraz czy dane nie są transferowane poza Europejski Obszar Gospodarczy bez odpowiednich zabezpieczeń prawnych.

Procedura DPIA, czyli ocena skutków wykorzystania AI dla ochrony danych

Przed wdrożeniem technologii AI pracodawca jest zobligowany do przeprowadzenia oceny skutków dla ochrony danych, czyli procedury DPIA, mającej na celu identyfikację i minimalizację ryzyk dla praw i wolności kandydatów. Analiza ta musi być dokumentowana i regularnie aktualizowana, stanowiąc kluczowy dowód w procesie wykazywania rozliczalności administratora przed organem nadzorczym.

Jak wykazują badania strategiczne opublikowane przez PUODO, największą barierą dla organizacji pozostaje obecnie systemowa luka świadomości dotycząca związku między AI a przetwarzaniem danych osobowych oraz dotkliwy brak wewnętrznych ekspertów zdolnych do przeprowadzenia rzetelnej oceny ryzyka.

Praktyczne zastosowanie systemów AI w procesach rekrutacji powinno być postrzegane przede wszystkim jako instrument wspierający i obiektywizujący procesy decyzyjne, zmierzający do eliminacji subiektywnych uprzedzeń rekrutera.

Kluczowym wymogiem prawnym jest zapewnienie pełnej rozliczalności systemu, co oznacza, że organizacja musi posiadać zdolność do merytorycznego ustosunkowania się do żądań kandydatów zgłaszanych w trybie art. 22 RODO, w tym do wyjaśnienia logiki podjętego rozstrzygnięcia oraz zapewnienia realnej drogi do zakwestionowania decyzji wygenerowanej przez algorytm.

Szanse i zagrożenia związane z wykorzystaniem systemów AI w rekrutacji

Podsumowując, systemy AI wykorzystywane w procesach rekrutacyjnych stanowią dla organizacji jednocześnie istotną szansę na zwiększenie efektywności i obiektywizację decyzji kadrowych, jak i źródło poważnych ryzyk prawnych, regulacyjnych oraz reputacyjnych, wymagających starannego zarządzania i zapewnienia pełnej zgodności z obowiązującymi przepisami.

Poniższe zestawienie wskazuje na kluczowe determinanty wpływające na bezpieczeństwo prawne i efektywność operacyjną organizacji w tym obszarze.

Szanse wynikające z implementacji systemów AI w rekrutacji:

1. Optymalizacja wydajności operacyjnej i czasowej – automatyzacja procesów administracyjnych oraz wstępnej selekcji aplikacji pozwala na radykalne przyspieszenie codziennej pracy rekruterów i redukcję kosztów zarządzania zasobami ludzkimi.
2. Zwiększenie obiektywizmu i merytoryczności selekcji – prawidłowo skonfigurowane algorytmy mogą przyczynić się do eliminacji subiektywnych uprzedzeń ludzkich, koncentrując ocenę na twardych kompetencjach, wykształceniu i doświadczeniu zawodowym kandydatów.
3. Zaawansowana analityka predykcyjna dopasowania kompetencyjnego – wykorzystanie systemów AI umożliwia precyzyjną ocenę potencjału kandydatów oraz prognozowanie ich dopasowania do zespołu na podstawie analizy dużych zbiorów danych, co znacząco podnosi jakość decyzji o zatrudnieniu.

Zagrożenia związane z wykorzystaniem systemów AI w rekrutacji:

1. Ryzyko dyskryminacji algorytmicznej i uprzedzeń – błędy w danych treningowych mogą prowadzić do systematycznego i bezprawnego odrzucania aplikacji określonych grup osób ze względu na płeć, wiek czy pochodzenie, co generuje ryzyko pozwów sądowych i sankcji pieniężnych.
2. Utrata kontroli nad procesem decyzyjnym (naruszenie art. 22 RODO) – istnienie systemów podejmujących decyzje w sposób w pełni zautomatyzowany bez zapewnienia realnej interwencji ludzkiej stanowi bezpośrednie naruszenie unijnych przepisów o ochronie danych osobowych, o ile nie uzyskano wyraźnej zgody kandydata.
3. Naruszenie poufności i bezpieczeństwa danych (zjawisko Shadow AI) – niekontrolowane wykorzystywanie zewnętrznych narzędzi AI przez pracowników oraz transferowanie danych CV do modeli maszynowych dostawców bez odpowiednich zabezpieczeń prawnych naraża organizację na wycieki danych i utratę kontroli nad zasobami informacyjnymi.