AI Act w HR: praktyczne wnioski i wskazówki dla rekruterów i branży HR

Webinar z prawniczką Dominiką Dörre-Kolasą z kancelarii Raczkowski oraz Sylwią Chmielewską, Marketing Managerką z Traffit ujawnił, iż polskie firmy muszą działać już dziś, by uniknąć ryzyka dyskryminacji i wysokich kar. Tutaj naranie całego spotkania:

Najważniejsze ryzyko kar wynika z niewłaściwego użycia lub braku nadzoru nad systemem high-risk. Kara może obejmować zarówno dostawcę, jak i użytkownika systemu.

Za naruszenia wymagań dla systemów wysokiego ryzyka przewidziano kary do 15 mln EUR lub 3% globalnego obrotu
– m.in. brak nadzoru człowieka, brak testów jakości danych, brak logów, brak monitorowania, nieużywanie systemu zgodnie z instrukcją.

Nowe unijne przepisy, choć skomplikowane, stanowią fundament dla etycznego i zgodnego z prawem korzystania ze sztucznej inteligencji w rekrutacji.

AI Act a RODO – dwa rozporządzenia, jeden obowiązek

Najważniejsza zasada, jaką należy przyswoić: AI Act i RODO muszą być stosowane równolegle. Projekt Rozporządzenia w sprawie Sztucznej Inteligencji (AI Act), przyjęty przez Parlament Europejski, jest aktem unijnym, który będzie stosowany bezpośrednio, a jego wdrożenie rusza etapami już w 2025 roku.

Prawniczka Dominika Dörre-Kolasa z Kancelarii Raczkowski jasno stawia sprawę:

„Jeżeli ktoś nie odrobił lekcji i nie rozumie RODO, nie stosuje go dobrze w organizacji… to niech się nie zabiera za AI Act, ponieważ obydwa te akty prawne są ze sobą mocno powiązane.”

AI Act kładzie szczególny nacisk na przejrzystość, minimalizację i ochronę osób przed decyzjami opartymi wyłącznie na zautomatyzowanym przetwarzaniu.

„Podmiot stosujący” oznacza:

• osobę fizyczną lub prawną,
• organ publiczny,
• agencję lub inny podmiot,
• które wykorzystują system AI, nad którym sprawują kontrolę, z wyjątkiem sytuacji, gdy system AI jest wykorzystywany w ramach osobistej działalności pozazawodowej.

Systemy HR jako systemy wysokiego ryzyka

Zgodnie z Art. 6 ust. 2 oraz Załącznikiem III (pkt 4) AI Act, szereg działań HR jest domyślnie klasyfikowanych jako systemy wysokiego ryzyka:

• rekrutacja, selekcja kandydatów,
• targetowanie ogłoszeń,
• analiza, filtrowanie CV (np. scoring kandydatów),
• decyzje dotyczące warunków zatrudnienia, awansów i rozwiązania umowy.

Klasyfikacja ta oznacza, iż organizacje stosujące AI w tych obszarach muszą spełnić szereg ścisłych obowiązków.

„Nie kara finansowa jest dla nas największym, można powiedzieć, ryzykiem, ale wstyd związany właśnie z później opowiadaniem przez takie osoby jak ja, czy innych na szkoleniach… i taka łatka, uważajcie na nich, bo oni tam szaleją z AI, a nie mają o tym pojęcia.”

Unikaj biasu – dlaczego jakość danych ma znaczenie

Bias to systematyczne odchylenie wyników modelu AI od rzeczywistości, wynikające z:

• błędów w danych,
• nierównych reprezentacji grup,
• sposobu trenowania modelu,
• strukturalnych nierówności świata odwzorowanego w danych.

Bias = zniekształcenie modelu, które powoduje, iż system stale faworyzuje jedne wyniki i zaniża inne – bez racjonalnego, merytorycznego powodu.

Bias nie musi oznaczać dyskryminacji, ale dysproporcje algorytmiczne bardzo łatwo w nią przechodzą.

Kluczową różnicą między prostą automatyzacją (np. sortowaniem po dacie) a systemem AI jest zdolność tego drugiego do uczenia się, wnioskowania i autonomii działania. System AI nie tylko sortuje, ale może np. sam wywnioskować, iż kandydat z Gdańska, aplikujący do Gdyni, będzie miał problem z relokacją, bo zna mapę Polski.

Jednak ta autonomia wiąże się z największym zagrożeniem: biasem algorytmicznym. Powstaje on, gdy system jest uczony na historycznie skrzywionych lub nieadekwatnych danych.

„To jest akurat incydent. To nie jest taki incydent jak w RODO, iż się wyśle maila nie do tej osoby, co potrzeba… Tylko to jest taki incydent, który powoduje właśnie skrzywienie systemu, odrzucanie jakichś osób, tworzenie profili tam, gdzie nie wolno ich na przykład w taki sposób scorować.”

Ryzyko jest ogromne: wykorzystanie historycznych danych (np. o płci lub miejscu zamieszkania) może prowadzić do systemowego wykluczenia społeczno-ekonomicznego, czego przykładem był system Amazon, który dyskryminował kobiety, bo był uczony na profilach młodych mężczyzn zatrudnianych wcześniej na stanowiskach technicznych.

Praktyki niedopuszczalne – Art. 5 AI Act

Niedopuszczalne są m.in. systemy, które analizują dane biometryczne (np. twarz, głos) w celu przypisania ludzi do kategorii związanych z:

• rasą,
• religią,
• orientacją seksualną,
• zdrowiem,
• poglądami politycznymi
• lub innymi danymi szczególnej kategorii.

Przykład:
AI oceniające nagrania z rozmów z kandydatami i „zgadujące” ich orientację seksualną, religię, pochodzenie etniczne czy poglądy polityczne.

AI Act a rekrutacja

Obowiązki użytkownika / podmiotu stosującego system AI wysokiego ryzyka

• prowadzenie ewidencji wykorzystania systemu,
• zapewnienie nadzoru człowieka nad systemem,
• szkolenia dla osób korzystających z AI,
• weryfikacja dostawcy (certyfikacja, dokumentacja techniczna),
• monitorowanie działania systemu i zgłaszanie incydentów,
• ocenianie ryzyka i wdrażanie środków minimalizujących bias.

Zarówno RODO, jak i AI Act wymagają, aby w procesie decyzyjnym brał udział człowiek.

Art. 22 RODO:
Kandydat ma prawo nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu (w tym profilowaniu) i wywołuje skutki prawne.

W HR każda decyzja (wybór lub odrzucenie) wywołuje skutki prawne. Oznacza to, iż nie tylko negatywny, ale choćby pozytywny filtr (wybranie tylko części kandydatów) jest zautomatyzowaną decyzją, która wymaga nadzoru człowieka.

Realny nadzór (human touch) w procesie rekrutacji

AI Act stawia na realny, ludzki nadzór (human touch), który musi być obecny w całym procesie, a nie tylko polegać na „odklikaniu” na samym końcu.

Osoba sprawująca nadzór nad systemem:

• musi mieć niezbędne kompetencje, przeszkolenie i uprawnienia,
• musi wiedzieć, kiedy system zatrzymać (stwierdzić błąd) i mieć do tego uprawnienia,
• należy ją wesprzeć (np. o IOD, prawnika) i oczekiwać od niej aktywnej roli.

Trzy kroki do zgodności – checklista obowiązków

Zgodność z AI Act i RODO wymaga gruntownego audytu i wdrożenia procedur.

Krok 1: Sprawdź dostawcę i instrukcję

Kluczem jest Instrukcja Obsługi Systemu AI (którą musi dostarczyć dostawca), stanowiąca „duszę systemu”. Musisz się o nią upomnieć i ją przeczytać.

Instrukcja powinna precyzyjnie określać:

• logikę działania systemu – jak system wnioskuje i generuje wyniki,
• przeznaczenie systemu – do jakich działań go używać, a do jakich nie wolno (np. ATS do scoringu kandydatów, a nie do predykcji cech osobowości),
• dane wejściowe – jakimi danymi należy karmić system, aby uniknąć błędów i biasu,
• opis nadzoru człowieka – kiedy musi interweniować, jakie ma kompetencje, jakie sygnały świadczą o konieczności zatrzymania systemu.

Ponadto należy weryfikować dostawcę (Providera) i dopytać, na jakich danych uczył swój model AI.

Jak czytać instrukcję systemu AI – checklista dla HR / pracodawcy

1. Sprawdź przeznaczenie — czy używamy systemu do tego, do czego został zaprojektowany?
   • Czy system ma służyć do preselekcji CV?
   • Czy nie próbujemy używać go np. do oceny osobowości lub analizy emocji?
     → AI Act zabrania użycia poza przeznaczeniem.
2. Zwróć uwagę na „zakazane scenariusze użycia”
   Dostawca musi je wskazać – to są sytuacje, które automatycznie łamią AI Act.
   → jeżeli HR to zignoruje, pracodawca ponosi odpowiedzialność.
3. Przetestuj wymagania dotyczące danych
   • Czy mamy takie dane?
   • Czy są zgodne z RODO?
   • Czy są aktualne?
   • Czy mamy dane dobrej jakości?
   • Czy nie przemycamy biasu (np. daty urodzenia, kodu pocztowego, zdjęcia)?
4. Czytamy rozdział o nadzorze człowieka
   • W jakich sytuacjach człowiek musi przejąć decyzję?
   • Kto jest wyznaczonym operatorem?
   • Jak ma wyglądać weryfikacja manualna?
   • Czy mamy kompetencje, żeby oceniać wynik AI?
5. Sprawdzamy procedury monitoringu
   • Jak często monitorujemy wyniki?
   • Kto analizuje odchylenia?
   • Jak zgłaszamy incydenty?
   • Czy wiemy, jak wygląda „poważny incydent AI”?
   • Czy mamy obowiązek czasowego wyłączenia systemu?
6. Porównaj instrukcję z procesami RODO
   • Czy obowiązek informacyjny obejmuje użycie AI?
   • Czy zakres danych jest legalny?
   • Czy mamy procedury rozliczalności?
   • Jeśli nie – trzeba zaktualizować proces RODO przed wdrożeniem AI.

Krok 2: Wprowadź przejrzystość i dokumentację

Brak przejrzystego informowania jest ogromnym ryzykiem. Kandydaci mają prawo wiedzieć, iż są poddawani działaniu AI.

Aktualizacja obowiązków informacyjnych (RODO + AI Act):
W klauzuli informacyjnej musi znaleźć się zapis o stosowaniu systemu wysokiego ryzyka i logice jego działania. Język musi być prosty i zrozumiały. Obowiązek informowania musi być realizowany najpóźniej w momencie pierwszej interakcji.

Przechowywanie logów: należy przechowywać co najmniej przez 6 miesięcy logi generowane przez system (wejścia, wyjścia, decyzje, interwencje człowieka), by móc się rozliczyć i wytłumaczyć decyzje.

Dokumentowanie decyzji: wymagana jest procedura, w której rekruter dokumentuje swoją ocenę i wagi przydzielone przez niego (nie tylko przez system), aby móc udowodnić realny udział człowieka i obronić decyzję rekrutacyjną.

Krok 3: Reagowanie na ryzyko

Organizacja musi mieć procedurę reagowania na incydenty AI – sytuacje, w których system działa nie tak (np. błędny scoring, dyskryminacja). Wymaga to monitorowania działania systemu oraz losowego prześwietlania procesów rekrutacyjnych.

Co trzeba zrobić w organizacji przed rozpoczęciem korzystania z AI w HR

Jak przygotować organizację?

• Audyt narzędzi rekrutacyjnych – lista systemów, sprawdzenie, które są AI.
• Pytania do dostawców – czy ich system spełnia AI Act, jakie modele wykorzystuje.
• Polityka AI w HR – zasady korzystania z systemów, nadzoru, dokumentacji.
• Szkolenia dla rekruterów – jak rozumieć AI, jak kontrolować, jak tłumaczyć kandydatom.
• Dokumentacja decyzji – zwłaszcza tam, gdzie AI rekomenduje kandydatów.
• Aktualizacja obowiązków informacyjnych dla kandydatów / pracowników – rozbudowane przejrzyste informowanie.
• Wdrożenie procedur reagowania na incydenty – np. sytuacje, gdy system błędnie odrzuca kandydatów.

Jakich „nawyków” z RODO potrzebujesz, żeby wdrożyć AI Act w HR

1. Nawyki przejrzystości – mówimy, co robimy z danymi
   • Zawsze potrafisz prostym językiem wyjaśnić, jakie dane zbierasz, po co i jak je przetwarzasz.
   • Komunikaty informacyjne są realnym wyjaśnieniem dla kandydata / pracownika.

   Bez tego nie wyjaśnimy, jak działa system AI i kiedy wpływa na decyzję (AI Act).

2. Nawyki minimalizacji danych – „tylko to, co niezbędne”
   • Zadajemy sobie pytanie: czy naprawdę potrzebuję tych informacji do decyzji HR?
   • Wyrzucamy zbędne pola w formularzach, bazach, raportach.

   Bez tego możemy „nakarmić” AI danymi zbędnymi lub szczególnej kategorii – wbrew RODO i AI Act.

3. Nawyki jakości danych – sprzątanie, korygowanie, aktualizowanie
   • Dane w systemach HR są regularnie poprawiane, dublujące rekordy łączone, zbędne dane usuwane.

   AI Act wymaga jakości i reprezentatywności danych – jak masz „śmieci”, to AI tylko je wzmocni.

4. Nawyki realnego „human-in-the-loop”
   • Decyzje (odrzucenie kandydata, brak awansu, zwolnienie) naprawdę są podejmowane przez człowieka, nie tylko automatycznie akceptowane.
   • Ktoś potrafi zakwestionować wynik, wstrzymać działanie systemu, a nie ślepo ufa temu „co wyszło”.

   AI Act wymaga rzeczywistego nadzoru człowieka, nie bezrefleksyjnego zaakceptowania decyzji algorytmu.

5. Nawyki DPIA
   • Ocena skutków dla ochrony danych (DPIA) ma być realnym procesem, a nie wypełnieniem tabelki wg wzoru z Internetu.
   • Zastanawiamy się: kto może ucierpieć i w jaki sposób?

   AI Act dorzuca FRIA (raczej nie dotyczy), ale DPIA musimy robić na podstawie RODO.

6. Nawyki rozliczalności
   • Prowadzimy rejestry czynności, rejestrujemy logi, mamy notatki z decyzji – da się odtworzyć „kto, co, kiedy i dlaczego”.
   • Mamy pomapowane procesy przetwarzania.

   AI Act wymaga prowadzenia logów i dokumentowania nadzoru – to jest rozbudowana wersja rozliczalności z RODO.

7. Nawyki reagowania na incydenty – nie zamiatamy ich pod dywan
   • Nasi pracownicy wiedzą, jak zgłosić błąd systemu, naruszenie danych czy dyskryminującą decyzję.
   • Z otwartą przyłbicą nie boimy się przyznać: „system się myli, wstrzymujemy użycie”.

   AI Act wymaga wstrzymywania systemu i zgłaszania incydentów – bez praktyki z RODO nie da się tego zrobić.

AI Act w HR – sesja Q&A

Odpowiedzi Dominiki na najważniejsze pytania z sesji Q&A.

Czy incydent z AI Act może być równocześnie naruszeniem RODO?

Tak. Naruszenia związane z systemem AI (np. dyskryminacja lub niewłaściwe profilowanie) mogą jednocześnie stanowić naruszenie zasad RODO, co wymaga podwójnego obowiązku zgłoszenia i reakcji.

Czy w obowiązku informacyjnym musimy informować o okresie przechowywania logów ATS?

Tak. Informacja o okresie przechowywania logów (zgodnie z AI Act min. 6 miesięcy) musi być zawarta w klauzuli informacyjnej dla kandydatów, ponieważ jest to element przetwarzania danych osobowych.

Co w sytuacji, gdy logi przechowuje dostawca, a nie my (podmiot stosujący)?

Jest to dozwolone, ale w umowie powierzenia przetwarzania danych (lub innej umowie z dostawcą) należy zapewnić sobie prawo dostępu do logów na żądanie (np. na potrzeby kontroli lub w przypadku incydentu).

Czy możemy używać systemu AI do filtru pozytywnego, tj. aby wybrać osoby pasujące do roli (z puli kandydatów) choćby jeżeli w procesie nie ma udziału człowieka?

Nie. choćby pozytywny filtr (wybranie kandydata) jest zautomatyzowaną decyzją i wywołuje skutki prawne, ponieważ automatycznie odrzuca pozostałych. Wymagana jest interwencja człowieka (human-on-the-loop), aby spełnić wymogi Art. 22 RODO.

Jak w świetle AI Act i RODO rozumieć prawo kandydata do sprawiedliwej oceny i wyjaśnienia decyzji rekrutacyjnej, jeżeli używamy AI?

Kandydat ma prawo do przejrzystej i jednoznacznej odpowiedzi, dlaczego został odrzucony. Wymaga to, aby proces był zaprojektowany tak, by każdy etap był obiektywny, co pozwoli na wytłumaczenie, jakie obiektywne kryteria (np. wagi scoringu) zadecydowały o decyzji.