AI w HR – jak rekrutować skutecznie i zgodnie z prawem

Cyfrowa transformacja napędzana przez duże modele językowe (LLM), takie jak ChatGPT czy Google Gemini staje się coraz bardziej powszechna. Narzędzia te obiecują znaczące usprawnienia: od selekcji kandydatów, przez generowanie wiadomości, aż po tworzenie podsumowań i raportów. Jednak skuteczne i bezpieczne wdrożenie sztucznej inteligencji w obszarze rekrutacji wymaga nie tylko technologicznej otwartości, ale i świadomości konsekwencji prawnych oraz etycznych – zwłaszcza w kontekście przepisów RODO i AI Actu. Bowiem zastosowanie AI w procesach rekrutacyjnych wpływa bezpośrednio na ludzi – na ich szanse zawodowe, poczucie sprawiedliwości, czy zaufania – co wiąże się z odpowiedzialnością za ochronę i bezpieczeństwo danych osobowych kandydatów. 

Od maila do briefingu – pułapki na starcie

Proces rekrutacyjny często zaczyna się od maila z ogólnym opisem potrzeb rekrutacyjnych, np. konieczności zatrudnienia inżyniera. Czy taki mail można od razu przekazać do modelu LLM w celu wygenerowania pytań do briefingu? W teorii tak, ale tylko z zachowaniem odpowiednich środków ostrożności.

Jeśli wiadomość zawiera np. imię i nazwisko osoby, którą kandydat ma zastąpić, to już na tym etapie mamy do czynienia z przetwarzaniem danych osobowych. Najbezpieczniejszym rozwiązaniem jest anonimizacja, szczególnie jeśli korzystamy z zewnętrznych modeli, które mogą przekazywać dane poza Europejski Obszar Gospodarczy. W takiej sytuacji należy zadbać o zgodność z przepisami np. przez zastosowanie Standardowych Klauzul Umownych (SCCs). Nawet jeśli w wiadomości nie padają imiona, ale informacje pozwalają na identyfikację osoby – mamy  do czynienia z danymi osobowymi.

Umawianie spotkań i nagrywanie rozmów

Planowanie nagrania rozmowy – zwłaszcza online – wymaga dużej uważności. Przepisy RODO nakładają obowiązek poinformowania kandydata o rejestrowaniu, a jego zgoda w takim przypadku jest konieczna. Szczególnie jeśli rozmowa ma być transkrybowana lub może zawierać dane wrażliwe. Zgoda kandydata na nagranie może mieć formę ustną, np. krótkiego potwierdzenia w trakcie rozmowy („tak, zgadzam się”), ale zgodnie z zasadą rozliczalności najlepiej mieć ją w formie trwałej – chociażby w e-mailu. Nagrywanie bez wiedzy kandydata może zostać uznane za naruszenie jego dóbr osobistych, a w tym prawa do prywatności. 

Rejestrowanie rozmów z wykorzystaniem narzędzi takich jak Fireflies czy Otter może znacznie usprawnić procesy rekrutacyjne, ale tylko pod warunkiem spełnienia kilku ważnych warunków. Przede wszystkim warto upewnić się, że dostawca narzędzia oferuje umowę powierzenia przetwarzania danych (DPA),  która stanowi absolutną podstawę zgodności z RODO. Ważne jest również, by takie narzędzie zostało zatwierdzone przez dział IT – chodzi bowiem nie tylko o bezpieczeństwo infrastruktury, ale też o zgodność z wewnętrznymi zasadami ochrony danych. Przed wdrożeniem jakiegokolwiek rozwiązania warto również sprawdzić obowiązującą w firmie politykę przetwarzania danych osobowych. Pozornie oczywisty krok, który jednak pozwala zminimalizować ryzyko błędów, niedopatrzeń i ewentualnych naruszeń przepisów.

Transkrypcje i podsumowania – co można, a co trzeba zabezpieczyć

Po spotkaniu z menedżerem rekruterzy mogą chcieć wykorzystać LLM do sporządzenia podsumowania rozmowy. Tu znów pojawia się pytanie – czy transkrypcja nie jest przypadkiem zbiorem danych osobowych? Jeśli została zanonimizowana – nie. W przypadku gdy zawiera nazwiska, opinie czy oceny – jak najbardziej i wtedy też podlega przepisom  RODO.

W niektórych płatnych wersjach modeli językowych możliwe jest wyłączenie wykorzystania danych użytkownika do trenowania modelu. Dzięki temu zmniejsza się ryzyko nieuprawnionego wykorzystywania przekazywanych informacji. Jeśli jednak przetwarzamy dane osobowe, to musimy mieć do tego odpowiednią podstawę prawną i spełnić wszystkie obowiązki określone w przepisach.

Ogłoszenia i kreatywne wsparcie – bezpieczna przestrzeń dla AI

LLM dobrze sobie radzą z tworzeniem opisów stanowisk, pod warunkiem że rekruter dostarczy modelowi wystarczająco precyzyjne informacje. Na tym etapie ryzyko prawne jest niewielkie. Większą uwagę warto natomiast poświęcić kwestiom jakości działania oraz potencjalnemu wpływowi na wizerunek organizacji. Modele LLM mogą pomóc w tworzeniu ogłoszeń o pracę i wyborze miejsc ich publikacji (np. GitHub, LinkedIn, Pracuj.pl), a także w przygotowaniu fraz wyszukiwania, które można wykorzystać w narzędziach do znajdowania kandydatów, takich jak LinkedIn Navigator czy Google. W tym przypadku ryzyko nie jest wysokie, pod warunkiem sprawdzenia regulaminów serwisów i unikania działań masowych (np. scrapingu). Warto zadbać o to, aby przy tworzeniu fraz brał udział człowiek. Frazy te powinny być inkluzywne, neutralne płciowo, by unikać wyników dyskryminacyjnych.

CV a AI – pole wysokiego ryzyka

Analiza CV kandydatów przy pomocy modeli  AI wiąże się z przetwarzaniem danych osobowych, a ich analiza może prowadzić do profilowania, czyli oceny osób na podstawie ich życiorysów. Zgodnie z przepisami RODO, nie wolno podejmować decyzji wyłącznie na podstawie działania systemu AI  np. automatyczne odrzucenie aplikacji na dane stanowisko bez udziału człowieka.

Warto mieć świadomość, że zgodnie z AI Actem, wykorzystywanie systemów AI do oceny kandydatów w procesie rekrutacyjnym kwalifikuje się jako tzw. „system wysokiego ryzyka” (high-risk AI system). To z kolei nakłada szereg dodatkowych obowiązków na pracodawcę, np. rejestrowanie i dokumentowanie działania systemu, zapewnienie nadzoru człowieka (human oversight), stosowanie odpowiednich środków technicznych i organizacyjnych oraz transparentność wobec kandydatów. Kandydaci muszą wiedzieć, że ich dane są analizowane przez AI, a ich zgoda lub przynajmniej informacja o takiej praktyce powinna znaleźć się w polityce prywatności firmy.

Równie istotna w procesie rekrutacji jest zasada minimalizacji danych: należy unikać przetwarzania informacji, które nie są niezbędne do oceny kandydata – takich jak zdjęcia, wiek czy stan cywilny. Tam, gdzie to możliwe, dane warto odpowiednio zabezpieczać, poprzez zastosowanie pseudonimizacji lub anonimizacji. Ta pierwsza polega na takim przekształceniu danych, które uniemożliwia ich bezpośrednie powiązanie z konkretną osobą, lecz pozwala na odtworzenie tożsamości przy użyciu np. klucza identyfikacyjnego. Ta druga  z kolei  oznacza trwałe usunięcie wszystkich informacji, które umożliwiają identyfikację. Sprawia też, że dane nie mogą być już przypisane do żadnej osoby fizycznej, nawet po zestawieniu z innymi zbiorami. W efekcie przestają one być uznawane za dane osobowe i nie podlegają dalszym obowiązkom wynikającym z przepisów o ochronie danych.

Czy AI może zadecydować o odrzuceniu albo przyjęciu kandydata?

Wykorzystanie modeli językowych (LLM) do wspomagania procesu rekrutacyjnego – np. do generowania pytań do rozmowy kwalifikacyjnej, analizy transkrypcji wywiadów czy tworzenia raportów o dopasowaniu kandydata do roli jest dopuszczalne, o ile proces ten nie jest w pełni zautomatyzowany. Ocena kandydata, która prowadzi do decyzji o jego zatrudnieniu lub odrzuceniu, powinna należeć do człowieka. Także przy tworzeniu spersonalizowanych wiadomości z informacją o wyniku rekrutacji możemy wspomóc się AI, ale warto pamiętać, że to w dalszym ciągu rekruter odpowiada za ich treść, poprawność oraz ostateczne przesłanie. Osoba aplikująca ma też prawo wiedzieć, że jej dane są analizowane przez narzędzie AI i zrozumieć, na jakiej podstawie powstała końcowa ocena. Jeśli kandydat zapyta o przyczyny decyzji rekrutacyjnej, rekruter musi być w stanie udzielić konkretnego, zrozumiałego wyjaśnienia. Nie można ograniczyć się do odpowiedzi, że „AI tak wybrało”. Sztuczna inteligencja może wspierać rekrutację, ale nie zastępować ludzi, zwłaszcza w procesie oceny kompetencji drugiego człowieka.

Aby legalnie i bezpiecznie korzystać z AI w HR, warto pamiętać o kilku kluczowych regułach:

• Anonimizuj lub pseudonimizuj dane przed wprowadzeniem ich do modelu AI.
• Określ podstawę prawną przetwarzania, np. zgodę kandydata lub uzasadniony interes pracodawcy.
• Zadbaj o transparentność – poinformuj kandydatów o wykorzystaniu AI w procesie. Możesz to zrobić za pomocą klauzul informacyjnych.
• Zachowuj czynnik ludzki – AI nie może samodzielnie, automatycznie podejmować decyzji o zatrudnieniu czy odrzuceniu.
• Unikaj dyskryminacji i biasu – kontroluj dane wejściowe i oceniaj wyniki pod kątem uprzedzeń.
• Zadbaj o prawo do odwołania – każdy kandydat ma prawo zakwestionować decyzję opartą na automatycznej analizie.
• Legalnie przekazuj dane poza EOG, poprzez stosowanie odpowiednie zabezpieczenia prawne.
• Dokumentuj działania – prowadź rejestr czynności przetwarzania danych.
• Wybieraj sprawdzone narzędzia – korzystaj z rozwiązań zatwierdzonych przez dział IT.

AI z ludzką twarzą? 

Wdrożenie Ai do procesów HR może usprawniać wiele procesów, ale wiąże się też z odpowiedzialnością, szczególnie w obszarze danych osobowych i podejmowania decyzji. Dlatego tak ważne jest, aby wykorzystywać tą technologię świadomie i zgodnie z obowiązującymi przepisami. AI z „ludzką twarzą” to takie AI, które wspiera procesy decyzyjne, ale pozostawia kluczowe decyzje ludzkiej stronie szczególnie tam, gdzie w grę wchodzi drugi człowiek, jego dane i przyszłość.