Firma technologiczna z Warszawy wdrożyła w marcu 2025 roku system do automatycznego skanowania CV. Narzędzie działało sprawnie – do momentu, gdy kandydat odrzucony przez algorytm złożył skargę do Urzędu Ochrony Danych Osobowych. Okazało się, że spółka nie przeprowadziła oceny zgodności, nie poinformowała kandydatów o stosowaniu AI i nie wdrożyła żadnego mechanizmu odwołań. Kara finansowa była tylko jedną z konsekwencji.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 – AI Act – klasyfikuje systemy AI stosowane w rekrutacji i selekcji pracowników jako systemy wysokiego ryzyka. Oznacza to obowiązek przeprowadzenia oceny zgodności, rejestracji w unijnej bazie danych i wdrożenia pełnej dokumentacji technicznej. Przepisy dotyczące systemów wysokiego ryzyka stosuje się od 2 sierpnia 2026 roku.
Ten przewodnik wyjaśnia krok po kroku, jakie obowiązki ciążą na pracodawcach korzystających z narzędzi AI w rekrutacji. Omawia harmonogram wdrożenia, koszty compliance i trzy scenariusze biznesowe. Wskazuje też najczęstsze błędy, które mogą przekreślić całe przygotowanie.
Dlaczego narzędzia rekrutacyjne AI są systemami wysokiego ryzyka?
AI Act dzieli systemy sztucznej inteligencji według poziomu ryzyka. Systemy stosowane do rekrutacji, selekcji kandydatów, oceny kompetencji i podejmowania decyzji o zatrudnieniu trafiają do kategorii wysokiego ryzyka – wprost z Załącznika III do rozporządzenia. To nie jest interpretacja. To literalne brzmienie przepisu.
Uzasadnienie jest proste. Decyzje rekrutacyjne wpływają na dostęp do zatrudnienia – dobra chronionego przez Kartę Praw Podstawowych UE. Algorytm, który odrzuca kandydaturę, może utrwalać dyskryminację z powodów, których sam pracodawca nie jest świadomy. Regulacja wyprzedza rynek – i tym razem celowo.
Systemem wysokiego ryzyka w rozumieniu AI Act jest każde narzędzie, które:
- automatycznie filtruje lub rankinguje aplikacje kandydatów,
- ocenia kompetencje, osobowość lub potencjał zawodowy,
- wspiera decyzję o zaproszeniu na rozmowę lub odrzuceniu,
- analizuje nagrania rozmów rekrutacyjnych w celu oceny kandydata.
W praktyce – wiele firm o tym zapomina – systemy ATS z funkcją scoringu CV, chatboty rekrutacyjne z oceną kandydata i platformy do wideo-rozmów z analizą emocji wchodzą w ten zakres. Nawet jeśli dostawca oprogramowania twierdzi inaczej. Ocena zgodności leży po stronie podmiotu wdrażającego – czyli pracodawcy jako użytkownika systemu.
Równolegle obowiązuje RODO (Rozporządzenie UE 2016/679). Kandydaci mają prawo do wyjaśnienia zautomatyzowanej decyzji na mocy art. 22 RODO. UODO – polska instytucja nadzorcza – może nałożyć karę do 20 milionów euro lub 4% globalnego obrotu. AI Act i RODO działają kumulatywnie, nie wyłączają się wzajemnie.
Jakie obowiązki compliance nakłada AI Act na pracodawców?
Pracodawca stosujący system AI w rekrutacji działa jako „użytkownik" (deployer) w rozumieniu AI Act. Obowiązki użytkownika systemów wysokiego ryzyka są konkretne i mierzalne. Termin ich wdrożenia to 2 sierpnia 2026 roku – i nie ma mechanizmu przedłużenia dla firm, które zaczną późno.
Pierwszym obowiązkiem jest weryfikacja dostawcy. Przed wdrożeniem narzędzia pracodawca musi upewnić się, że dostawca przeprowadził ocenę zgodności i zarejestrował system w unijnej bazie danych AI. Brak tej weryfikacji nie zwalnia użytkownika z odpowiedzialności. Sąd lub organ nadzorczy nie przyjmie argumentu, że „dostawca zapewniał o zgodności".
Drugim obowiązkiem jest wdrożenie nadzoru ludzkiego (human oversight). Każda decyzja rekrutacyjna podjęta z udziałem systemu AI musi podlegać weryfikacji przez człowieka. Algorytm może rekomendować – człowiek musi decydować. Wymagana jest dokumentacja potwierdzająca, że nadzór faktycznie działa, a nie istnieje tylko na papierze.
Trzecim obowiązkiem jest prowadzenie dzienników aktywności systemu (logs). Logi muszą być przechowywane przez okres wystarczający do celów audytowych. Dla rekrutacji – co najmniej przez czas trwania potencjalnego sporu z kandydatem, czyli praktycznie 3 lata.
Czwartym obowiązkiem jest transparentność wobec kandydatów. Kandydaci muszą być poinformowani o stosowaniu systemu AI w procesie selekcji. Informacja ta powinna znaleźć się w ogłoszeniu o pracę lub klauzuli informacyjnej RODO – najpóźniej przed złożeniem aplikacji.
Piątym obowiązkiem jest ocena wpływu na prawa podstawowe. Użytkownicy systemów wysokiego ryzyka w obszarze zatrudnienia muszą przeprowadzić taką ocenę przed wdrożeniem. Dokument ten jest wymagany przez organ nadzorczy na każde żądanie.
Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie pełnego audytu compliance przed 2 sierpnia 2026 roku – a nie reaktywne działanie po pierwszej kontroli.
Konkretna sytuacja Państwa firmy w zakresie wdrożenia AI Act wymaga indywidualnej oceny. Brak dokumentacji przed terminem może zamknąć drogę do legalnego korzystania z narzędzi AI w rekrutacji.
Jeśli Państwa spółka stosuje lub planuje wdrożyć systemy AI w procesach HR – przeprowadzimy audyt zgodności, przygotujemy dokumentację techniczną i ocenę wpływu na prawa podstawowe: info@kordeckipartners.com.
Krok po kroku: harmonogram i koszty wdrożenia compliance
Wdrożenie compliance AI Act dla narzędzi rekrutacyjnych to proces rozłożony na kilka miesięcy. Firmy, które zaczną w pierwszym kwartale 2026 roku, mają szansę zdążyć przed terminem. Te, które zaczną w lipcu 2026 roku – już nie.
Krok 1 – Inwentaryzacja narzędzi AI (4–6 tygodni). Pracodawca mapuje wszystkie narzędzia stosowane w procesach HR. Obejmuje to oprogramowanie ATS, chatboty, platformy do wywiadów wideo, testy kompetencyjne z elementami AI i systemy oceny predykcyjnej. Koszt zewnętrznego doradztwa na tym etapie wynosi zwykle od 8 000 do 20 000 PLN.
Krok 2 – Klasyfikacja ryzyka i weryfikacja dostawców (3–4 tygodnie). Dla każdego narzędzia ustala się, czy jest systemem wysokiego ryzyka. Wysyłane są zapytania do dostawców o dokumentację oceny zgodności i wpis do unijnej bazy danych. W przypadku narzędzi spoza UE – np. platform amerykańskich – weryfikacja jest trudniejsza i trwa dłużej.
Krok 3 – Ocena wpływu na prawa podstawowe (3–5 tygodni). To dokument wymagany przez AI Act od użytkowników systemów wysokiego ryzyka w obszarze zatrudnienia. Musi obejmować analizę ryzyka dyskryminacji, mechanizmy korygujące i opis nadzoru ludzkiego. Koszt przygotowania przez kancelarię: od 12 000 do 30 000 PLN.
Krok 4 – Wdrożenie procedur operacyjnych (4–6 tygodni). Opracowanie wewnętrznych procedur: jak działa nadzór ludzki, kto odpowiada za przegląd decyzji AI, jak są przechowywane logi, jak kandydaci są informowani o stosowaniu AI. Szkolenie działu HR i osób odpowiedzialnych za rekrutację.
Krok 5 – Aktualizacja dokumentacji RODO (2–3 tygodnie). Klauzule informacyjne, rejestry czynności przetwarzania (RCP) i polityki prywatności muszą odzwierciedlać stosowanie AI. Jeśli firma przekazuje dane kandydatów do systemów chmurowych poza EOG – konieczne są standardowe klauzule umowne (SCC). Warto w tym kontekście zapoznać się z mechanizmami transferu danych z Polski na Ukrainę, jeśli część procesów rekrutacyjnych odbywa się z udziałem ukraińskich kandydatów lub dostawców.
Łączny koszt pełnego wdrożenia compliance dla średniej firmy (50–500 pracowników) wynosi od 40 000 do 120 000 PLN – zależnie od liczby stosowanych narzędzi i złożoności procesów rekrutacyjnych.
Trzy scenariusze biznesowe: producent, startup IT i inwestor zagraniczny
Obowiązki AI Act wyglądają inaczej w zależności od profilu pracodawcy. Trzy scenariusze pokazują, gdzie leżą główne ryzyka i jakie działania są priorytetowe.
Scenariusz 1 – Producent przemysłowy z Dolnego Śląska. Firma zatrudnia 800 pracowników i korzysta z platformy ATS z automatycznym scoringiem CV. Dostawca platformy ma siedzibę w USA i nie zarejestrował systemu w unijnej bazie danych AI. Dla tego pracodawcy największym ryzykiem jest właśnie brak dokumentacji po stronie dostawcy – i brak weryfikacji tego faktu przed wdrożeniem. Priorytetem jest natychmiastowy kontakt z dostawcą i ocena, czy system kwalifikuje się jako wysokiego ryzyka. Jeśli dostawca nie spełni wymogów AI Act do 2 sierpnia 2026 roku, pracodawca powinien rozważyć zmianę platformy lub wstrzymanie funkcji scoringu.
Scenariusz 2 – Startup technologiczny z Krakowa. Firma zatrudnia 60 osób i używa własnego narzędzia AI do analizy nagrań rozmów kwalifikacyjnych – zbudowanego wewnętrznie przez zespół deweloperski. W tym przypadku startup jest jednocześnie dostawcą i użytkownikiem systemu. Ciążą na nim obowiązki zarówno z tytułu bycia dostawcą (ocena zgodności, dokumentacja techniczna, rejestracja), jak i użytkownikiem (nadzór, logi, transparentność). Koszt pełnej dokumentacji technicznej dla wewnętrznego systemu wynosi zwykle od 30 000 do 80 000 PLN. Startup odkrył to zbyt późno – w październiku 2025 roku – i musiał przyspieszyć prace o trzy miesiące.
Scenariusz 3 – Inwestor zagraniczny wchodzący na rynek polski. Dla niemieckiego inwestora wchodzącego na rynek polski i wdrażającego globalny system rekrutacji AI kluczowe jest zrozumienie, że AI Act stosuje się do systemów używanych na terytorium UE – niezależnie od siedziby dostawcy. Globalny system zatwierdzony przez centralę w Niemczech musi spełniać wymogi AI Act w Polsce. Dodatkowo, jeśli system przetwarza dane kandydatów z różnych jurysdykcji, konieczna jest analiza przepływów danych. W tym zakresie pomocne są informacje o mechanizmach transferu danych z Polski na Cypr – istotne przy strukturach holdingowych z cypryjskim węzłem.
Każdy z tych scenariuszy prowadzi do tego samego wniosku: compliance AI Act w rekrutacji to nie projekt jednorazowy. To trwały element zarządzania ryzykiem prawnym.
Jakie błędy najczęściej przekreślają compliance AI Act w HR?
Najdroższe błędy compliance to nie te, które są trudne do uniknięcia. To te, które wynikają z fałszywego poczucia bezpieczeństwa. W obszarze AI Act i rekrutacji istnieje kilka powtarzających się wzorców.
Błąd 1 – Delegowanie odpowiedzialności na dostawcę. Pracodawcy często zakładają, że skoro dostawca oprogramowania „jest zgodny z AI Act", to firma nie musi nic robić. To błąd. Obowiązki użytkownika systemu wysokiego ryzyka są niezależne od obowiązków dostawcy. Organ nadzorczy może przeprowadzić kontrolę bezpośrednio u pracodawcy – i sprawdzi, czy użytkownik wdrożył nadzór ludzki, prowadzi logi i informuje kandydatów.
Błąd 2 – Traktowanie AI Act jako projektu IT. Compliance AI Act wymaga zaangażowania działu prawnego, HR i zarządu – nie tylko IT. Ocena wpływu na prawa podstawowe to dokument prawny, nie techniczny. Procedury nadzoru ludzkiego muszą być zatwierdzone przez kierownictwo i faktycznie stosowane.
Błąd 3 – Brak aktualizacji dokumentacji RODO. AI Act i RODO tworzą system naczyń połączonych. Firma, która zaktualizuje dokumentację AI Act, ale zapomni o klauzulach informacyjnych RODO, nadal narusza prawo. UODO może działać niezależnie od organu nadzorczego AI Act.
Błąd 4 – Ignorowanie systemów „pomocniczych". Wiele firm traktuje jako systemy AI wyłącznie narzędzia z etykietą „AI". Tymczasem każdy system, który automatycznie przetwarza dane kandydatów i generuje oceny lub rekomendacje, może podlegać AI Act – niezależnie od tego, jak dostawca go opisuje.
Warto w tym kontekście rozważyć, jak restrukturyzacja procesów HR wpływa na zarządzanie ryzykiem prawnym. Firmy przechodzące przez zmiany organizacyjne – na przykład korzystające z przyspieszonego postępowania układowego – powinny uwzględnić compliance AI Act w planach restrukturyzacyjnych, szczególnie jeśli HR jest obszarem cięć kosztowych.
Pełna lista kontrolna przed wdrożeniem systemu AI w rekrutacji obejmuje:
- weryfikację klasyfikacji ryzyka systemu przez dostawcę,
- sprawdzenie wpisu systemu w unijnej bazie danych AI,
- przygotowanie oceny wpływu na prawa podstawowe,
- wdrożenie procedury nadzoru ludzkiego z dokumentacją,
- aktualizację klauzul informacyjnych RODO dla kandydatów.
Konkretna sytuacja Państwa firmy w zakresie stosowanych narzędzi AI wymaga indywidualnej oceny ryzyka. Brak compliance przed 2 sierpnia 2026 roku może nieodwracalnie zamknąć możliwość legalnego stosowania systemów AI w rekrutacji.
Jeśli Państwa spółka zatrudnia powyżej 50 osób i korzysta z jakiegokolwiek systemu automatyzującego selekcję kandydatów – przeprowadzimy audyt AI Act, ocenę wpływu na prawa podstawowe i szkolenie dla działu HR: info@kordeckipartners.com.
Często zadawane pytania
P: Czy AI Act dotyczy małych firm korzystających z zewnętrznej platformy rekrutacyjnej?
O: Tak. AI Act stosuje się do każdego pracodawcy korzystającego z systemu AI wysokiego ryzyka – niezależnie od wielkości firmy. Małe przedsiębiorstwo używające platformy ATS z funkcją automatycznego scoringu CV jest użytkownikiem systemu wysokiego ryzyka i musi spełnić obowiązki wynikające z rozporządzenia. Nie istnieje próg zatrudnienia zwalniający z tych wymogów. Jedyne różnice dotyczą obowiązków dostawcy, nie użytkownika.
P: Ile czasu zajmuje pełne wdrożenie compliance AI Act dla działu HR?
O: Dla firmy korzystającej z 2–4 narzędzi AI w rekrutacji pełne wdrożenie trwa od 4 do 6 miesięcy przy zaangażowaniu zewnętrznych doradców prawnych. Obejmuje inwentaryzację narzędzi, klasyfikację ryzyka, ocenę wpływu na prawa podstawowe, wdrożenie procedur operacyjnych i aktualizację dokumentacji RODO. Firmy startujące po maju 2026 roku ryzykują, że nie zdążą przed terminem 2 sierpnia 2026 roku.
P: Czy chatbot rekrutacyjny odpowiadający na pytania kandydatów to system wysokiego ryzyka?
O: Zależy od funkcjonalności. Chatbot wyłącznie informacyjny – odpowiadający na pytania o proces rekrutacji – prawdopodobnie nie jest systemem wysokiego ryzyka. Natomiast chatbot, który ocenia kandydata, generuje scoring lub rekomenduje odrzucenie aplikacji, już nim jest. Granica jest płynna i wymaga indywidualnej analizy. Błędna klasyfikacja przez pracodawcę nie jest okolicznością łagodzącą w postępowaniu przed organem nadzorczym.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do prawa własności intelektualnej, technologii i regulacji AI, w tym wymogów AI Act dla systemów HR i rekrutacyjnych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.