Zdecydowana większość z nas korzysta z możliwości, jakie daje nam sztuczna inteligencja, w jednym celu: przyspieszenia naszej codziennej pracy. Nie budzi więc wątpliwości, że AI rewolucjonizuje także obszar HR, upraszczając procesy rekrutacyjne do absolutnego minimum.

Choć jednak dostępne na rynku narzędzia obiecują automatyzację rekrutacji poprzez szybką ocenę kompetencji kandydatów oraz prognozowanie ich dopasowania do zespołu, to jednak w świetle coraz to nowszych regulacji unijnych pojawiają się pytania o legalność takich narzędzi. W obliczu AI Act oraz RODO, korzystanie z narzędzi opartych o funkcjonalności sztucznej inteligencji nie jest już wyłącznie kwestią technologiczną. To również temat prawny i etyczny.

Pracodawca, który decyduje się na wdrożenie narzędzia AI w celu usprawnienia procesów rekrutacyjnych – zwłaszcza we współpracy z zewnętrznym dostawcą takiego rozwiązania – musi działać odpowiedzialnie. Jego odpowiedzialność nie ogranicza się wyłącznie do przestrzegania przepisów o ochronie danych osobowych. To także szereg obowiązków prawnych wynikających z AI Act, których celem jest zapewnienie, że decyzje podejmowane z udziałem AI pozostają transparentne, pod kontrolą człowieka, niedyskryminujące i nienaruszające praw kandydatów.

Choć każda sytuacja niewątpliwie wymagać będzie indywidualnej analizy, warto poznać kluczowe obowiązki, które – niezależnie od kontekstu – powinny stanowić punkt wyjścia dla każdego pracodawcy wdrażającego AI do swoich procesów HR-owych:

 

  1. Weryfikacja, czy proponowane narzędzie nie stanowi systemu charakteryzującego się niedozwolonym poziomem ryzyka.

Zgodnie z obowiązującym już art. 5 AI Act zabronione jest stosowanie systemów sztucznej inteligencji charakteryzujących się niedozwolonym poziomem ryzyka. Są to m.in. takie systemy, które dokonują oceny lub klasyfikacji osób fizycznych na podstawie ich zachowania społecznego lub znanych, wywnioskowanych lub przewidywanych cech osobistych lub cech osobowości (a które to cechy zazwyczaj są przedstawiane w CV) – o ile takie oceny prowadzić mogą do krzywdzącego lub niekorzystnego traktowania tych osób.

Pracodawca powinien zatem przed rozpoczęciem stosowania danego narzędzia dokładnie przeanalizować klasyfikację systemu i potwierdzić z dostawcą, że nie wchodzi on w zakres zakazanych zastosowań. W praktyce rekomendowane będzie pozyskanie od dostawcy oświadczenia o braku cech systemu niedozwolonego.

  1. Weryfikacja dostawcy pod kątem ryzyka dyskryminacji algorytmicznej.

Jak pokazał casus Amazona, w przypadku wykorzystywania sztucznej inteligencji do celów automatyzacji procesów rekrutacyjnych, pojawia się istotne ryzyko dyskryminacji algorytmicznej, czyli wadliwego sposobu działania algorytmu, którego przyczyną jest brak równowagi danych treningowych modelu. Pracodawca wdrażający narzędzie AI do procesów rekrutacji powinien upewnić się, że jego dostawca zadbał o obszar zapewnienia równości oraz niedyskryminacji (co jest przecież istotne także z perspektywy polskiego prawa pracy). Warto upewnić się, czy dostawca udostępnia dokumentację techniczną opisującą procesy walidacji modelu, stosuje zróżnicowane dane treningowe oraz czy w razie stwierdzonych nieprawidłowości wdraża stosowne korekty.

(Więcej o dyskryminacji algorytmicznej pisaliśmy tutaj: https://www.linkedin.com/pulse/algorytmiczne-uprzedzenia-i-dyskryminacje-dgtllaw-ugddc/?trackingId=62hTSMBostGiYosqZ3sanw==)

  1. Weryfikacja zgodności środków bezpieczeństwa z uznawanymi standardami

Nie ulega wątpliwości, że narzędzie AI do procesów rekrutacji będzie przetwarzało dane osobowe w rozumieniu RODO – i to liczne dane, bo przecież CV kandydatów zawierają całą metrykę ich danych. Wybrane przez pracodawcę narzędzie powinno zatem być zabezpieczone zgodnie z aktualnymi standardami cyberbezpieczeństwo. Zalecane jest zatem, by wybrać takiego dostawcę technologii, który na poważnie bierze rekomendacje ENISA oraz wdrożył certyfikację ISO 27001. Dbający o szczegóły pracodawca może również wystąpić z zapytaniem o przedstawienie przez dostawcę odpowiednich dowodów zgodności z najwyższymi standardami – np. raportów z audytów, polityk bezpieczeństwa czy ocen podatności.

  1. Zapewnienie zgodności wymagań rekrutacyjnych z przepisami prawa pracy

W przypadku, gdy nasze narzędzie będzie pozwalało zdefiniować oczekiwane przez pracodawcę cechy lub kompetencje kandydatów, wprowadzane manualnie wymagania muszą być zgodne z przepisami Kodeksu pracy. Niedopuszczalne jest określenie kryteriów opartych na cechach chronionych, takich jak płeć, wiek, wyznanie czy narodowość. Aby wykazać się najwyższą starannością, pracodawca może rozważyć udokumentowanie uzasadnienia poszczególnych wymagań w kontekście konkretnego stanowiska i wykazać ich proporcjonalność.

  1. Nie tylko umowa współpracy – pamiętaj o powierzeniu danych!

Zgodnie z art. 28 RODO, jeśli dostawca narzędzia AI będzie przetwarzał dane osobowe kandydatów w imieniu pracodawcy, konieczne będzie zawarcie umowy powierzenia przetwarzania danych. Umowa ta powinna wskazywać zakres i cel przetwarzania, kategorie przetwarzanych danych, przyjęte środki bezpieczeństwa oraz warunki ewentualnego dalszego powierzenia danych (przy czym przy dalszym powierzeniu zalecana jest szczególna ostrożność!). Niewątpliwie umowa ta powinna także zawierać postanowienia odnoszące się do obowiązku zachowania poufności oraz pomocy administratorowi w realizacji praw osób, których dane dotyczą.

  1. Przeprowadzenie DPIA (oceny skutków dla ochrony danych)

Zgodnie z art. 35 RODO, przed rozpoczęciem przetwarzania danych osobowych za pomocą nowych technologii (AI), pracodawca powinien przeprowadzić ocenę skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Ocena ta powinna zawierać analizę ryzyk dla praw i wolności kandydatów, opisy technicznych środków ograniczających te ryzyka oraz ocenę proporcjonalności operacji przetwarzania. Co istotne, DPIA powinna być aktualizowana w razie zmian w systemie lub jego konfiguracji.

  1. Zapewnienie przejrzystości wobec kandydatów

Kandydaci powinni zostać poinformowani o zastosowaniu sztucznej inteligencji w procesie rekrutacyjnym. Jak to zrobić? Najlepiej połączyć to z klauzulą informacyjną wymaganą na podstawie art. 13 i 14 RODO. Klauzule informacyjne powinny w jasny sposób wyjaśniać, w jakim zakresie system podejmuje decyzje, jakie dane są przetwarzane oraz jakie prawa przysługują kandydatom. Dodatkowy plus dla pracodawcy, który podkreśli, że nad działaniem algorytmu czuwa człowiek!

  1. Zapewnienie nadzoru człowieka i przestrzeganie ograniczeń zautomatyzowanego podejmowania decyzji

Pracodawca powinien wyznaczyć osoby odpowiedzialne za bieżące monitorowanie działania systemu, analizę wyników oraz podejmowanie interwencji w razie błędów lub nieprawidłowości. Trudno nie wspomnieć w tym zakresie o motywie 71 RODO, zgodnie z którym decyzje wywołujące skutki prawne lub istotnie wpływające na kandydatów nie mogą być podejmowane wyłącznie w sposób zautomatyzowany. Motyw ten wprost wspomina o „elektronicznych metodach rekrutacji bez interwencji ludzkiej” (!). W praktyce oznacza to konieczność zapewnienia realnej interwencji człowieka w proces decyzyjny oraz umożliwienie kandydatowi zakwestionowania decyzji.

  1. Przeszkolenie pracowników

Wiedza to podstawa. Pracodawca powinien zorganizować szkolenia dostosowane do roli danej osoby w procesie rekrutacji z wykorzystaniem narzędzia AI. Zakres szkolenia powinien obejmować nie tylko obsługę systemu, ale również świadomość ryzyk etycznych i regulacyjnych, w tym dyskryminacji, błędów predykcyjnych i ochrony danych osobowych.

  1. Udokumentowanie zgodności i gotowość na (ewentualny) audyt

Zarówno RODO, jak i AI Act przewidują obowiązki dokumentacyjne – w tym prowadzenie rejestru czynności przetwarzania (RODO) oraz dokumentacji technicznej i oceny zgodności (AI Act). Pracodawca powinien dysponować pełnym zestawem dowodów potwierdzających legalność, rzetelność i przejrzystość zastosowanego narzędzia AI.

 

* * *

 

Przestrzeganie powyższych 10 kroków stanowi solidny punkt wyjścia do zgodnego z prawem, etycznego wdrożenia AI w procesach rekrutacyjnych. Należy jednak pamiętać, że każdy przypadek wymaga indywidualnej analizy. Kluczowe jest zrozumienie, jak rzeczywiście wygląda przebieg rekrutacji u konkretnego pracodawcy, jakie dane są przetwarzane i na jakim etapie podejmowane są decyzje.

Aleksandra Bielat
zobacz inne wpisy tego autora