Firma technologiczna z Mazowsza wdraża nowy system ATS do selekcji CV. Algorytm ocenia kandydatów, filtruje aplikacje i szereguje profile według dopasowania do stanowiska. Brzmi jak rutynowe usprawnienie HR. Tymczasem od 1 sierpnia 2024 roku takie narzędzie może podlegać obowiązkowej ocenie zgodności jako system wysokiego ryzyka na mocy AI Act – unijnego rozporządzenia, które zrewolucjonizowało ramy prawne sztucznej inteligencji w całej Europie.
AI Act (Rozporządzenie UE 2024/1689) klasyfikuje narzędzia rekrutacyjne oparte na AI – systemy do selekcji CV, oceny kandydatów i rankingowania aplikacji – jako systemy wysokiego ryzyka. Oznacza to obowiązek przeprowadzenia oceny zgodności przed wdrożeniem, prowadzenia dokumentacji technicznej oraz zapewnienia nadzoru ludzkiego nad decyzjami. Pełne obowiązki dla systemów wysokiego ryzyka stosowane są od 2 sierpnia 2026 roku, a kary za naruszenia mogą sięgać 30 milionów euro lub 6% globalnego obrotu.
Ten przewodnik wyjaśnia, które narzędzia HR podlegają AI Act, jakie kroki compliance musi podjąć pracodawca, jakich błędów unikać i jak wygląda procedura w praktyce – od pierwszej analizy po bieżący monitoring systemu.
Które narzędzia rekrutacyjne podlegają AI Act jako systemy wysokiego ryzyka?
AI Act klasyfikuje systemy AI używane do rekrutacji i selekcji pracowników jako systemy wysokiego ryzyka. Dotyczy to narzędzi, które automatycznie oceniają, filtrują lub szeregują kandydatów – bez względu na to, czy decyzja finalna należy do człowieka. Regulacja wyprzedza rynek i wielu pracodawców nie zdaje sobie jeszcze sprawy, że ich obecne oprogramowanie HR już mieści się w tej kategorii.
Zakres jest szeroki. Obejmuje systemy ATS z funkcją automatycznego scoringu CV, algorytmy dopasowujące kandydatów do ofert pracy, narzędzia analizy video-rozmów kwalifikacyjnych oraz platformy do testów psychometrycznych z automatycznym przetwarzaniem wyników. Kluczowe kryterium to zastosowanie AI do decyzji mających wpływ na dostęp do zatrudnienia.
Wyjątki istnieją, ale są wąskie. System, który jedynie wyświetla ogłoszenia lub porządkuje aplikacje według daty złożenia, nie jest objęty obowiązkami wysokiego ryzyka. Natomiast każdy algorytm, który przypisuje kandydatowi ocenę lub ranking na podstawie przetworzonych danych, już tak. PUODO – jako organ nadzorczy RODO w Polsce – może dodatkowo badać, czy przetwarzanie danych kandydatów spełnia wymogi Rozporządzenia UE 2016/679.
W praktyce wiele firm z sektora IT i BPO korzysta z narzędzi dostarczanych przez zewnętrznych dostawców. Tutaj pojawia się podział ról: dostawca systemu jest „dostawcą AI" w rozumieniu AI Act, natomiast pracodawca wdrażający system jest „podmiotem stosującym AI" (deployer). Obie strony mają odrębne obowiązki compliance – i żadna nie może zasłaniać się odpowiedzialnością drugiej.
Warto pamiętać o jeszcze jednej kwestii. AI Act zakazuje absolutnie systemów klasyfikujących osoby na podstawie wrażliwych cech biometrycznych lub w sposób prowadzący do dyskryminacji. Narzędzia rekrutacyjne analizujące mimikę twarzy podczas rozmów wideo znalazły się w szczególnym obszarze ryzyka – ich stosowanie wymaga szczegółowej analizy prawnej przed wdrożeniem.
Jakie konkretne obowiązki nakłada AI Act na pracodawcę stosującego systemy HR?
Podmiot stosujący system AI wysokiego ryzyka w rekrutacji – czyli pracodawca – ponosi własne, niezależne obowiązki compliance. Nie wystarczy kupić certyfikowany produkt od dostawcy. AI Act nakłada na deployera szereg obowiązków, których niewykonanie grozi karami do 15 milionów euro lub 3% globalnego obrotu rocznego.
Obowiązki pracodawcy obejmują kilka głównych obszarów:
- Zapewnienie nadzoru ludzkiego – osoba odpowiedzialna za rekrutację musi mieć realną możliwość zakwestionowania lub zignorowania decyzji algorytmu.
- Poinformowanie kandydatów o stosowaniu systemu AI w procesie rekrutacji – obowiązek informacyjny wynika zarówno z AI Act, jak i z RODO.
- Monitorowanie systemu pod kątem ryzyka dyskryminacji i odchyleń od zamierzonego działania.
- Przechowywanie logów i dokumentacji z procesu selekcji przez okres wymagany przepisami.
- Weryfikacja, czy dostawca systemu dostarczył kompletną dokumentację techniczną i instrukcję obsługi.
Szczególnie istotny jest obowiązek szkolenia pracowników HR. AI Act wymaga, aby osoby obsługujące system wysokiego ryzyka miały odpowiednie kompetencje do jego stosowania i interpretacji wyników. Nie chodzi o kurs programowania – chodzi o rozumienie ograniczeń algorytmu i świadome korzystanie z jego wskazań.
Pracodawca zatrudniający ponad 50 osób ma dodatkowo obowiązki wynikające z ustawy o sygnalistach z 14 czerwca 2024 roku – w tym obowiązek prowadzenia kanału zgłoszeń wewnętrznych. Kandydat, który uzna, że system AI naruszył jego prawa, może zgłosić sprawę zarówno do PUODO, jak i do Państwowej Inspekcji Pracy.
Firma produkcyjna z Dolnego Śląska wdrożyła w jesieni 2024 roku platformę do automatycznej selekcji CV. Po trzech miesiącach okazało się, że system systematycznie niżej oceniał kandydatów z niepolsko brzmiącymi nazwiskami. Pracodawca nie miał wdrożonego mechanizmu monitorowania – naruszenie zostało wykryte dopiero po skardze kandydata do PIP. Koszt naprawczy przekroczył 80 000 PLN, nie licząc ryzyka postępowania administracyjnego.
Krok po kroku: procedura compliance dla narzędzi rekrutacyjnych AI
Wdrożenie zgodności z AI Act to proces wieloetapowy. Nie jest jednorazową czynnością, lecz ciągłym cyklem oceny, dokumentowania i monitorowania. Poniżej przedstawiamy praktyczną ścieżkę, którą powinien przejść każdy pracodawca stosujący lub planujący stosowanie systemu AI w rekrutacji.
Etap 1 – Inwentaryzacja narzędzi (termin: natychmiast). Sporządź listę wszystkich narzędzi HR wykorzystujących AI lub uczenie maszynowe. Uwzględnij systemy ATS, platformy do testów, narzędzia do analizy video oraz wszelkie wtyczki i integracje. Sprawdź, czy dostawca każdego z narzędzi sklasyfikował je jako system AI wysokiego ryzyka.
Etap 2 – Analiza klasyfikacji (termin: do 30 dni). Dla każdego narzędzia z listy oceń, czy spełnia definicję systemu AI wysokiego ryzyka z Załącznika III do AI Act. W razie wątpliwości – zasada ostrożności nakazuje traktować system jako wysokiego ryzyka. Konsultacja prawna na tym etapie kosztuje wielokrotnie mniej niż późniejsze postępowanie regulacyjne.
Etap 3 – Weryfikacja dostawcy (termin: do 60 dni). Zażądaj od dostawcy dokumentacji technicznej, deklaracji zgodności i instrukcji wdrożenia. Sprawdź, czy system przeszedł ocenę zgodności. Jeśli dostawca nie jest w stanie dostarczyć tych dokumentów przed 2 sierpnia 2026 roku – to poważny sygnał ostrzegawczy.
Etap 4 – Wdrożenie procedur wewnętrznych (termin: do 90 dni). Opracuj politykę stosowania AI w rekrutacji, procedurę nadzoru ludzkiego, formularz informacyjny dla kandydatów i rejestr logów. Przeprowadź szkolenie dla zespołu HR.
Etap 5 – Monitoring ciągły (termin: od wdrożenia). Ustal harmonogram przeglądów systemu – minimum co 6 miesięcy. Monitoruj wyniki pod kątem dyskryminacji, rejestruj incydenty i aktualizuj dokumentację przy każdej istotnej zmianie systemu.
Koszt wdrożenia compliance dla średniej wielkości pracodawcy (100–500 pracowników) szacujemy na 15 000–45 000 PLN, w zależności od liczby narzędzi i stanu obecnej dokumentacji. To znacznie mniej niż minimalna kara za poważne naruszenie AI Act.
Trzy scenariusze biznesowe – jak AI Act wpływa na różnych pracodawców?
Obowiązki compliance wyglądają inaczej w zależności od skali działalności i modelu korzystania z narzędzi AI. Poniżej trzy typowe scenariusze, z jakimi spotykamy się w praktyce doradczej.
Scenariusz 1: Firma produkcyjna (250 pracowników, rekrutacja sezonowa). Spółka korzysta z popularnej platformy ATS z wbudowanym scoringiem CV. Dostawca to podmiot z USA – platforma jest dostępna jako SaaS. W tym przypadku pracodawca jest deployer, a dostawca jest zobowiązany do oceny zgodności i dostarczenia dokumentacji przed 2 sierpnia 2026 roku. Pracodawca musi: wdrożyć procedurę nadzoru ludzkiego, poinformować kandydatów o stosowaniu AI oraz zweryfikować, czy dostawca wypełnił swoje obowiązki. Ryzyko: brak kontroli nad aktualizacjami algorytmu po stronie dostawcy.
Scenariusz 2: Firma IT (50 pracowników, własne narzędzie do selekcji). Spółka zbudowała wewnętrzny skrypt do rankingowania kandydatów na podstawie słów kluczowych w CV. Tu sytuacja jest bardziej złożona – firma może być jednocześnie dostawcą i podmiotem stosującym AI. Oznacza to pełny zakres obowiązków dostawcy: ocenę zgodności, dokumentację techniczną, rejestrację w unijnej bazie danych systemów AI. Koszt oceny zgodności dla własnego systemu może wynieść od 30 000 do 80 000 PLN, jeśli wymaga zaangażowania jednostki notyfikowanej.
Scenariusz 3: Inwestor zagraniczny wchodzący na rynek polski. Dla zagranicznego inwestora – np. z Niemiec lub Ukrainy – kluczowe jest zrozumienie, że AI Act obowiązuje w Polsce jako rozporządzenie unijne i stosuje się bezpośrednio, bez potrzeby implementacji krajowej. Narzędzia rekrutacyjne używane przez polskie spółki zależne podlegają pełnym wymogom compliance. Dodatkowo, dane kandydatów przetwarzane przez systemy AI mogą być transferowane poza EOG – co wymaga odrębnej analizy zgodności z RODO. W tym zakresie pomocny jest nasz artykuł o transferze danych z Polski do ZEA.
Każdy z tych scenariuszy wymaga innego podejścia i innego zestawu dokumentów. W praktyce – wiele firm o tym zapomina – pierwsze pytanie, które należy zadać, to nie „czy mamy AI Act compliance" lecz „w jakiej roli wobec AI Act jesteśmy".
Dla firm z sektora technologicznego, które równolegle budują własne rozwiązania IP, istotne jest powiązanie strategii AI compliance z ochroną własności intelektualnej. Więcej o tym, jak chronić innowacje technologiczne na rynku polskim, piszemy w naszym artykule o strategii ochrony IP dla firm technologicznych.
Najczęstsze błędy compliance i jak ich uniknąć?
Analiza przypadków z ostatnich 18 miesięcy wskazuje na powtarzające się błędy, które narażają pracodawców na odpowiedzialność regulacyjną. Świadomość tych pułapek pozwala uniknąć kosztownych korekt na późniejszym etapie.
Błąd 1: Założenie, że compliance to wyłącznie obowiązek dostawcy. To najczęstsze nieporozumienie. Pracodawca jako deployer ponosi własną odpowiedzialność – niezależnie od certyfikatów dostawcy. Brak wewnętrznej procedury nadzoru ludzkiego jest naruszeniem AI Act po stronie pracodawcy, nawet jeśli dostawca spełnił wszystkie swoje obowiązki.
Błąd 2: Pominięcie obowiązku informacyjnego wobec kandydatów. RODO nakłada obowiązek informowania o zautomatyzowanym podejmowaniu decyzji już od 2018 roku. AI Act wzmacnia ten wymóg. Klauzula informacyjna w formularzu aplikacyjnym musi explicite wskazywać, że stosowany jest system AI, jaki jest cel jego użycia i jakie prawa przysługują kandydatowi.
Błąd 3: Brak dokumentacji z procesu selekcji. W przypadku sporu sądowego lub postępowania administracyjnego pracodawca musi być w stanie odtworzyć, na jakiej podstawie algorytm ocenił danego kandydata. Brak logów i dokumentacji to poważna luka dowodowa. Koszty sądowe w sporach pracowniczych reguluje art. 13 ust. 1 ustawy o kosztach sądowych w sprawach cywilnych – więcej o mechanizmach odzyskiwania kosztów piszemy w naszym artykule o zasadach zwrotu kosztów w polskim postępowaniu cywilnym.
Błąd 4: Jednorazowe wdrożenie bez monitoringu. Algorytmy uczą się i zmieniają swoje zachowanie w czasie. Firma logistyczna z Małopolski odkryła w lecie 2025 roku, że jej system ATS – działający bez zmian od roku – zaczął faworyzować kandydatów z określonych uczelni po niezamierzonej zmianie wag w modelu. Brak harmonogramu przeglądów sprawił, że odchylenie działało przez 4 miesiące.
Unikanie tych błędów nie wymaga dużych zasobów. Wymaga systematyczności i przypisania konkretnej osoby w organizacji – np. HR Business Partnera lub DPO – odpowiedzialności za monitoring compliance AI.
Konkretna sytuacja Państwa firmy może wymagać indywidualnej oceny ryzyka, zanim zdecydujecie się na wdrożenie lub kontynuację stosowania narzędzi AI w rekrutacji. Brak dokumentacji compliance przed 2 sierpnia 2026 roku może nieodwracalnie zamknąć drogę do korzystania z określonych systemów na rynku polskim i unijnym.
Jeśli Państwa spółka stosuje lub planuje wdrożyć narzędzia AI w procesach HR – przeprowadzimy audyt klasyfikacji systemu, opracujemy dokumentację compliance i przeszkolimy zespół rekrutacyjny: info@kordeckipartners.com.
Często zadawane pytania
P: Od kiedy dokładnie obowiązują wymogi AI Act dla systemów rekrutacyjnych i czy jest jakiś okres przejściowy?
O: Rozporządzenie UE 2024/1689 weszło w życie 1 sierpnia 2024 roku. Pełne obowiązki dla systemów wysokiego ryzyka – w tym narzędzi rekrutacyjnych – stosuje się od 2 sierpnia 2026 roku. Oznacza to, że pracodawcy mają czas na wdrożenie compliance, ale prace powinny rozpocząć się natychmiast – ocena zgodności, dokumentacja i szkolenia wymagają kilku miesięcy przygotowań. Systemy wdrożone przed datą graniczną i niespełniające wymogów będą musiały zostać dostosowane lub wycofane.
P: Czy małe firmy (poniżej 50 pracowników) są zwolnione z obowiązków AI Act w rekrutacji?
O: To powszechne nieporozumienie. AI Act nie przewiduje zwolnienia dla małych pracodawców w zakresie systemów wysokiego ryzyka. Każda firma stosująca narzędzie AI do rekrutacji podlega obowiązkom deployera – bez względu na wielkość zatrudnienia. Pewne uproszczenia dotyczą dostawców będących mikroprzedsiębiorstwami, ale nie zwalniają pracodawcy z obowiązku nadzoru ludzkiego i informowania kandydatów. Rozporządzenie stosuje się bezpośrednio w całej Unii Europejskiej, w tym w Polsce.
P: Co grozi pracodawcy, który nie wdroży compliance AI Act dla narzędzi rekrutacyjnych?
O: Sankcje są zróżnicowane w zależności od rodzaju naruszenia. Za naruszenie obowiązków deployera grożą kary do 15 milionów euro lub 3% całkowitego rocznego obrotu światowego – w zależności od tego, która kwota jest wyższa. Poważniejsze naruszenia – np. stosowanie zakazanych praktyk AI – zagrożone są karą do 35 milionów euro lub 7% obrotu. Niezależnie od kar administracyjnych, pracodawca może ponosić odpowiedzialność cywilną wobec kandydatów, których prawa zostały naruszone przez niezgodny system AI.
KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do regulacji AI, ochrony danych i prawa technologicznego. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji wdrażającymi narzędzia AI w procesach HR. W sprawie Państwa sytuacji: info@kordeckipartners.com.
Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.