Firma technologiczna z siedzibą w Warszawie – około 400 pracowników, dynamiczny wzrost, rekrutacja przez cały rok – wdrożyła narzędzie do automatycznego selekcjonowania CV. System rankingował kandydatów na podstawie modelu uczenia maszynowego. Nikt w organizacji nie zapytał, czy to narzędzie podlega AI Act.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 – AI Act – weszło w życie 1 sierpnia 2024 roku. Systemy AI stosowane w rekrutacji i zarządzaniu pracownikami zostały zakwalifikowane jako systemy wysokiego ryzyka. Oznacza to obowiązek oceny zgodności przed wdrożeniem, prowadzenia dokumentacji technicznej oraz zapewnienia nadzoru ludzkiego nad każdą decyzją dotyczącą kandydata.
Ten artykuł opisuje anonimizowaną sprawę z polskiej praktyki. Pokazuje, jak firma odkryła problem, jaką strategię przyjęto i jakie wnioski można wyciągnąć na przyszłość. Sprawa dotyczy bezpośrednio każdego pracodawcy korzystającego z algorytmicznej selekcji kandydatów.
Tło sprawy – jak firma odkryła problem?
Klient wdrożył narzędzie rekrutacyjne od zewnętrznego dostawcy SaaS. System analizował treść CV, oceniał dopasowanie do stanowiska i generował ranking kandydatów. Decyzja o zaproszeniu na rozmowę kwalifikacyjną była podejmowana na podstawie tego rankingu – bez systematycznej weryfikacji przez człowieka.
Problem ujawnił się przy okazji audytu wewnętrznego działu HR. Audytorzy zauważyli, że system konsekwentnie preferował kandydatów z określonych uczelni i regionów. Dział prawny firmy zwrócił się do KORDECKI & Partners z pytaniem: czy to naruszenie RODO? Odpowiedź była szersza – problem dotyczył jednocześnie AI Act, Rozporządzenia (UE) 2016/679 oraz potencjalnych naruszeń przepisów antydyskryminacyjnych prawa pracy.
Zgodnie z AI Act, systemy AI stosowane do rekrutacji – w tym selekcji CV, oceny kandydatów i podejmowania decyzji o zatrudnieniu – są systemami wysokiego ryzyka wymienionymi w Załączniku III do Rozporządzenia. Firma nie przeprowadziła oceny zgodności przed wdrożeniem. Nie prowadziła też dokumentacji technicznej wymaganej przez art. 11 AI Act. To był punkt wyjścia dla całego projektu compliance.
Warto zaznaczyć, że dostawca narzędzia był podmiotem spoza UE. Kwestia odpowiedzialności między dostawcą a operatorem wymagała osobnej analizy – w szczególności w kontekście mechanizmów przekazywania danych, które omawia analiza dotycząca transferu danych z Polski do Szwajcarii.
Jaką strategię compliance przyjęto?
Strategia opierała się na trzech filarach. Pierwszy – ustalenie, kto jest operatorem systemu wysokiego ryzyka w rozumieniu AI Act. Drugi – ocena zgodności z RODO w zakresie zautomatyzowanego podejmowania decyzji. Trzeci – wdrożenie mechanizmów nadzoru ludzkiego wymaganych przez AI Act przed kolejnym cyklem rekrutacyjnym.
Ustalenie operatora miało decydujące znaczenie. Firma – jako pracodawca korzystający z narzędzia w procesach rekrutacyjnych – spełniała definicję „deployer" (podmiotu wdrażającego) z art. 3 pkt 4 AI Act. To na niej spoczywały obowiązki compliance, niezależnie od tego, że system dostarczał zewnętrzny dostawca. Dostawca mógł być „provider" (dostawcą) – ale firma odpowiadała za sposób użycia.
Równolegle przeprowadzono ocenę skutków dla ochrony danych (DPIA) zgodnie z art. 35 RODO. Zautomatyzowane profilowanie kandydatów spełniało przesłanki przetwarzania wysokiego ryzyka. PUODO – jako polski organ nadzorczy – wymaga przeprowadzenia DPIA przed uruchomieniem takich systemów. Firma tego nie zrobiła. Ryzyko kary administracyjnej do 20 mln EUR lub 4% globalnego obrotu było realne.
W ramach projektu przeanalizowano również, czy narzędzie spełnia wymogi dotyczące przejrzystości i wyjaśnialności decyzji. Kandydaci mają prawo do uzyskania wyjaśnienia, dlaczego nie zostali zaproszeni na rozmowę. Bez mechanizmu „explainability" firma nie mogła tego obowiązku wykonać.
Jak przebiegał proces wdrożenia zgodności?
Projekt trwał 11 tygodni. Podzielono go na cztery etapy. Pierwszy etap – inwentaryzacja systemów AI używanych w HR. Drugi – klasyfikacja ryzyka zgodnie z AI Act. Trzeci – wdrożenie wymaganych środków technicznych i organizacyjnych. Czwarty – szkolenie zespołu HR i aktualizacja polityk wewnętrznych.
Inwentaryzacja ujawniła, że firma używała nie jednego, lecz trzech narzędzi AI w procesach HR. Oprócz systemu selekcji CV był chatbot do wstępnej rozmowy z kandydatami oraz narzędzie do analizy nagrań wideo z rozmów kwalifikacyjnych. To ostatnie – analiza mimiki i mowy ciała – stanowiło szczególnie poważny problem. AI Act traktuje systemy biometryczne z najwyższą ostrożnością. Narzędzie zostało natychmiast zawieszone.
Dla systemu selekcji CV opracowano dokumentację techniczną zgodną z wymaganiami AI Act: opis architektury modelu, dane treningowe, metryki dokładności, ograniczenia i znane błędy. Wdrożono mechanizm nadzoru ludzkiego – żadna decyzja o odrzuceniu kandydata nie mogła być podjęta wyłącznie przez algorytm. Recruiter musiał zatwierdzić lub odrzucić ranking w systemie, zostawiając ślad audytowy.
Projekt dotknął też kwestii ochrony własności intelektualnej dostawcy – model był objęty ochroną jako tajemnica przedsiębiorstwa. Negocjacje z dostawcą w zakresie dostępu do dokumentacji technicznej wymagały precyzyjnych klauzul umownych. Analogiczne wyzwania pojawiają się przy ochronie IP firm technologicznych działających transgranicznie, co opisuje opracowanie o strategii ochrony IP dla firm technologicznych w Polsce.
Na zakończenie projektu zaktualizowano umowę z dostawcą SaaS. Wprowadzono klauzule dotyczące odpowiedzialności za incydenty związane z systemem AI, obowiązki informacyjne dostawcy wobec firmy jako operatora oraz mechanizm audytu modelu co 12 miesięcy. Firma uniknęła postępowania przed PUODO – dzięki temu, że działała proaktywnie, przed złożeniem jakiejkolwiek skargi przez kandydata.
Jakie wnioski można zastosować w Państwa firmie?
Pierwsza lekcja jest prosta: każde narzędzie AI używane w HR wymaga klasyfikacji ryzyka przed wdrożeniem. Nie po audycie. Nie po skardze kandydata. Przed. AI Act nie przewiduje okresu przejściowego dla systemów wysokiego ryzyka w rekrutacji – obowiązki stosuje się od 2 sierpnia 2026 roku, ale firmy wdrażające systemy już teraz powinny działać zgodnie z nowymi standardami.
Druga lekcja dotyczy rozdziału ról. Bycie „deployer" – podmiotem wdrażającym – nie zwalnia z odpowiedzialności tylko dlatego, że system dostarczył zewnętrzny dostawca. W praktyce wiele firm o tym zapomina, podpisując umowy SaaS bez analizy, kto ponosi obowiązki compliance wynikające z AI Act. To błąd, który może kosztować do 15 mln EUR kary lub 3% globalnego obrotu.
Trzecia lekcja to wartość dokumentacji. Firmy, które prowadzą rzetelną dokumentację techniczną i ślad audytowy decyzji, są w znacznie lepszej pozycji w razie kontroli. PUODO i przyszłe organy nadzoru AI będą weryfikować właśnie dokumentację – nie tylko wyniki procesu rekrutacyjnego.
Czwarta lekcja – nadzór ludzki nie jest formalnością. Mechanizm „human in the loop" musi być realny: recruiter musi mieć możliwość zakwestionowania decyzji algorytmu i musi z niej korzystać. Fikcyjny nadzór – gdzie człowiek zatwierdza decyzje algorytmu bez refleksji – nie spełnia wymogów AI Act. Przy kolejnych kontrolach organy będą sprawdzać, czy nadzór był faktyczny.
Firmy z sektora finansowego powinny pamiętać, że narzędzia HR mogą jednocześnie podlegać DORA – Rozporządzeniu (UE) 2022/2554 – jeśli są zintegrowane z systemami ICT instytucji finansowej. W takim przypadku incydent związany z narzędziem rekrutacyjnym może wymagać zgłoszenia do KNF. Analogiczne ryzyki pojawiają się przy due diligence aktywów cyfrowych, co warto uwzględnić w szerszej analizie ryzyka – podobnie jak przy due diligence nieruchomości w Polsce, gdzie systematyczna inwentaryzacja ryzyk poprzedza każdą decyzję inwestycyjną.
Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie audytu AI przed kolejnym cyklem rekrutacyjnym – nie po pierwszej skardze kandydata lub wszczęciu postępowania przez PUODO. Okno na działanie proaktywne jest wciąż otwarte.
Konkretna sytuacja Państwa firmy wymaga oceny, które narzędzia AI podlegają obowiązkom compliance wynikającym z AI Act i RODO. Brak tej oceny przed kolejnym cyklem rekrutacyjnym może zamknąć drogę do ugodowego zakończenia ewentualnego postępowania przed PUODO.
Jeśli Państwa firma korzysta z narzędzi AI w rekrutacji lub zarządzaniu pracownikami – przeprowadzimy klasyfikację ryzyka, ocenę zgodności z AI Act i RODO oraz aktualizację umów z dostawcami SaaS: info@kordeckipartners.com.
Często zadawane pytania
P: Od kiedy systemy AI w rekrutacji muszą spełniać wymogi AI Act?
O: Pełne obowiązki dla systemów wysokiego ryzyka stosuje się od 2 sierpnia 2026 roku. Jednak firmy wdrażające systemy AI w HR już teraz powinny przeprowadzić klasyfikację ryzyka i przygotować dokumentację techniczną. Organy nadzoru będą oceniać działania podjęte przed tą datą jako element dobrej wiary i proaktywnego podejścia do zgodności.
P: Czy zewnętrzny dostawca narzędzia AI przejmuje odpowiedzialność compliance od pracodawcy?
O: Nie. Pracodawca jako „deployer" w rozumieniu artykułu 3 punkt 4 AI Act odpowiada za zgodność z wymogami rozporządzenia niezależnie od tego, kto dostarczył system. Dostawca jako „provider" ma własne obowiązki – ale nie zwalnia to pracodawcy z obowiązku przeprowadzenia oceny zgodności, wdrożenia nadzoru ludzkiego i prowadzenia dokumentacji. Podział odpowiedzialności powinien być uregulowany umownie.
P: Jakie kary grożą za brak zgodności narzędzi rekrutacyjnych z AI Act?
O: Za naruszenia dotyczące systemów wysokiego ryzyka AI Act przewiduje karę do 15 mln EUR lub 3% całkowitego rocznego obrotu – w zależności od tego, która kwota jest wyższa. Równolegle RODO przewiduje karę do 20 mln EUR lub 4% globalnego obrotu za naruszenia związane z zautomatyzowanym przetwarzaniem danych osobowych kandydatów. Oba reżimy mogą być stosowane jednocześnie.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, ochrony danych i prawa technologicznego. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.