Unijny AI Act znalazł się w centrum regulacyjnego zwrotu. W ramach pakietu Digital Omnibus Bruksela chce przesunąć wejście w życie najbardziej rygorystycznych obowiązków dla systemów wysokiego ryzyka – z sierpnia 2026 roku na grudzień 2027 roku. Eksperci podkreślają jednak, że dodatkowy czas na wdrożenie regulacji nie zwalnia organizacji z konieczności przygotowania procesów, procedur i zabezpieczeń związanych z wykorzystaniem AI w zatrudnieniu.
-To szczególnie istotne dla działów HR i firm wykorzystujących narzędzia sztucznej inteligencji m.in. do rekrutacji, selekcji CV czy oceny pracowników. Wszystko dlatego, że właśnie te zastosowania zostały uznane przez UE za „high-risk”. Wydłużony harmonogram wdrożenia pełnego rozporządzenia AI Act, oznacza, że branża HR zyska więcej czasu na dostosowanie się do nowych regulacji.
Choć sztuczna inteligencja coraz częściej wspiera analizę aplikacji zawodowych, porządkowanie CV i komunikację z kandydatami, jej wykorzystanie w rekrutacji nie zwalnia z odpowiedzialności prawnej i organizacyjnej. Europejski AI Act porządkuje ten obszar i doprecyzowuje zasady stosowania takich narzędzi. Dokument ma formę rozporządzenia, więc jego przepisy obowiązują we wszystkich państwach Unii Europejskiej.
AI Act wszedł w życie 1 sierpnia 2024 roku, ale harmonogram poszczególnych przepisów podzielono na etapy. Od 2 lutego 2025 roku obowiązują już m.in. przepisy dotyczące zakazanych praktyk oraz wymogu odpowiedniego przygotowania osób korzystających z AI. W sierpniu tego roku miały zacząć obowiązywać przepisy dotyczące systemów wysokiego ryzyka, do których zaliczają się także wybrane rozwiązania AI używane w zatrudnieniu i zarządzaniu pracownikami. Wiadomo już jednak, że firmy zyskały dodatkowe 16 miesięcy na audyt używanych narzędzi HR Tech. Dla firm i przedsiębiorców, to czas na renegocjacje umów z dostawcami oprogramowania, aby zapewnić szczelne systemy, zgodne z AI Act do końca 2027 roku.
Ministerstwo cyfryzacji: Teraz zajmujemy się uproszczeniami w pakiecie cyfrowym.
– Dobre prace nad Aktem o sztucznej inteligencji – oznaczanie treści wygenerowanych przez AI jeszcze w tym roku, piaskownice regulacyjne będą tworzone również dla całej Unii Europejskiej. Teraz zajmujemy się uproszczeniami w pakiecie cyfrowym. Krok po kroku, w drodze do spójnego i przyjaznego prawa unijnego – podkreśla wiceminister cyfryzacji Dariusz Standerski, cytowany na stronie Ministerstwa Cyfryzacji.
Dlaczego Bruksela koryguje tempo wdrażania AI Act i co to oznacza dla firm i przedsiębiorstw?
– Projekt Digital Omnibus przewiduje przesunięcie części obowiązków z AI Act do czasu przygotowania odpowiednich norm i wytycznych – komentuje Zuzanna Spaltenstein-Kotas, prawniczka i ekspertka ds. ochrony danych osobowych i compliance, Gi Group Holding. I uzupełnia: – Dla firm oznacza to więcej czasu na dostosowanie systemów AI, w tym sześć miesięcy na wdrożenie wymogów transparentności dla generatywnej AI, a także uproszczenia w zakresie dokumentacji i zarządzania jakością. Nie zmienia się jednak to, że część przepisów AI Act już obowiązuje i przedsiębiorcy muszą je stosować.
Rekrutacja pod szczególną kontrolą. 68% organizacji doświadczyło wycieku danych przez AI.
Według raportu Metomic z 2025 roku, cytowanego przez Security Magazine, 68 % firm zetknęło się z incydentami bezpieczeństwa, w których pracownicy udostępniali wrażliwe informacje narzędziom AI (np. ChatGPT). Z analiz przywoływanych z kolei przez hcamag.com, branżowy serwis internetowy poświęcony tematyce zarządzania zasobami ludzkimi wynika, że dane HR znaleziono w 82% sprawdzonych wycieków danych, czyniąc je idealnym celem dla ataków wspomaganych AI.
Choć korekta tempa wdrażania AI Act daje firmom dodatkowy czas na dostosowanie się do nowych przepisów, już dziś przedsiębiorstwa powinny przyjrzeć się temu, w jaki sposób korzystają z AI w procesach związanych z zatrudnieniem. Jest na to poważna przesłanka. Komisja Europejska w sekcji pytań i odpowiedzi dotyczących AI Act „Navigating the AI Act” wskazuje, że rozwiązania bazujące na AI wykorzystywane do określonych zadań w obszarze HR, takich jak zarządzanie pracownikami i dostępu do samozatrudnienia mogą być uznawane za systemy wysokiego ryzyka. Dotyczy to m.in. narzędzi służących do targetowania ogłoszeń rekrutacyjnych, analizowania i filtrowania aplikacji oraz oceny kandydatów. Organizacje korzystające z takich rozwiązań muszą spełnić obowiązki wynikające z AI Act, odnoszące się do przejrzystości, nadzoru człowieka, jakości danych, cyberbezpieczeństwa i możliwości wyjaśnienia, jak doszło do danej rekomendacji lub decyzji.
W HR zawsze decydujemy o ludziach.
– HR to nie jest marketing, tylko specyficzny obszar w działaniu każdego przedsiębiorstwa, który pracuje głównie na materiale ludzkim – komentuje Grzegorz Sadziak, Cloud Solution Architect i ekspert ds. cyberbezpieczeństwa z Supremo. I tłumaczy: – Sztuczna inteligencja w HR nie analizuje tylko procesów czy wyników, ale wpływa bezpośrednio na ludzi – ich karierę, dochody, poczucie własnej wartości i dalsze życie. Właśnie dlatego wymagania dotyczące cyberbezpieczeństwa i ochrony danych, muszą być tutaj wyjątkowo wysokie.
Przestrzeganie AI Act to nasza wspólna odpowiedzialność.
W tym kontekście ważny jest też wymiar informacyjny. Komisja Europejska w opracowaniu „Navigating the AI Act” podkreśla, że jeżeli system wysokiego ryzyka jest wykorzystywany w miejscu pracy, organizacja musi wcześniej poinformować o tym pracowników i ich przedstawicieli. Jeżeli natomiast system ma służyć do podejmowania lub wspierania decyzji dotyczących osoby fizycznej, należy powiadomić także osobę, której taka decyzja dotyczy. AI Act przewiduje również prawo do uzyskania wyjaśnienia, gdy wynik systemu wysokiego ryzyka został wykorzystany przy decyzji wywołującej skutki prawne.
– To nie jest tak, że sztuczna inteligencja należy do jednego człowieka, czy do jednego zespołu w danej firmie. Jest to wspólna odpowiedzialność organizacyjna, dlatego że jest to dosyć złożony system, jeśli chodzi o jego warstwę technologiczną – tłumaczy Grzegorz Sadziak, ekspert z Supremo.
Najlepiej odwołać się do przykładowego modelu procesu rekrutacji. – Mamy CV, które otrzymaliśmy e-mailem. Są tam dołączone jakieś dokumenty. Często w tych załącznikach pojawiają się dane pośrednie: notatki, stopki z danymi wrażliwymi. To wszystko wpada do narzędzia typu AI. I w tym momencie pojawia się największe ryzyko, co my naprawdę powiemy sztucznej inteligencji, oczekując od niej jakiejś rekomendacji. Jakie są najczęstsze takie scenariusze ryzyka w tym procesie? – pyta Grzegorz Sadziak. – Niebezpieczeństwo tak naprawdę zaczyna się w momencie, kiedy sztuczna inteligencja widzi więcej niż powinna, więcej niż my jej powiemy. Czyli jeżeli podamy jej imię i nazwisko, kraj pochodzenia, kolor skóry to ciągle będą to czynniki, na podstawie których zostanie podjęta jakaś decyzję. I my tak naprawdę nie wiemy, jak zachowa się model. Czy on nie uzna nagle, że być może należy pozytywnie rekomendować tylko ludzi o jasnej karnacji. To jest realne zagrożenie – podsumowuje ekspert ds. cyberbezpieczeństwa.
AI może rekomendować, ale nie powinna decydować.
Dlatego unijny AI Act wzmacnia zasadę nadzoru człowieka nad działaniem technologii. Komisja Europejska wyjaśnia, że firma korzystająca z systemu wysokiego ryzyka musi wyznaczyć osobę lub osoby zdolne do sprawowania kontroli, monitorowania działania systemu oraz reagowania na zidentyfikowane ryzyka.
– AI Act to dla firm moment porównywalny z wejściem RODO – kończy się etap eksperymentów z AI bez jasnych zasad. Firmy będą musiały nie tylko wiedzieć, z jakich narzędzi sztucznej inteligencji korzystają pracownicy, ale też zadbać o transparentność, bezpieczeństwo danych i odpowiedzialność procesów. Dla działów HR to szczególnie istotne, bo AI coraz częściej wspiera rekrutację, ocenę kandydatów czy zarządzanie personelem. Firmy, które przygotują się odpowiednio wcześnie, zyskają przewagę nie tylko regulacyjną, ale również reputacyjną – dodaje Kamil Jankowski, Dyrektor Marketingu i Komunikacji Gi Group Holding
Oznacza to, że sztuczna inteligencja może wspierać rekrutera w porządkowaniu informacji, analizie kompetencji czy przygotowaniu rekomendacji, ale nie powinna przejmować roli osoby odpowiedzialnej za ostateczne rozstrzygnięcie. W rekrutacji zbyt daleko posunięta automatyzacja może oznaczać nie tylko utratę kontroli nad procesem, ale również wzrost ryzyka błędu, uprzedzeń lub decyzji trudnych do uzasadnienia.
– Im większy wpływ narzędzia AI na ocenę kandydatów, tym ważniejsze staje się zachowanie proporcji między technologią a odpowiedzialnością człowieka. Dobrze zaprojektowany proces powinien wykorzystywać sztuczną inteligencję do wsparcia analizy, ale jednocześnie pozostawiać przestrzeń na ocenę kontekstu, niuansów i czynników, których system nie jest w stanie właściwie odczytać – wyjaśnia Zuzanna Spaltenstein-Kotas, ekspertka ds. ochrony danych osobowych i compliance, Gi Group Holding.
Przewagę da nie szybkość, lecz zaufanie.
Wdrażanie AI do rekrutacji nie jest oceniane wyłącznie przez pryzmat oszczędności czasu czy kosztów. Coraz większego znaczenia nabierają wiarygodność procesu, bezpieczeństwo danych i zaufanie kandydatów. To one w praktyce mogą przesądzić o tym, czy technologia stanie się wsparciem dla działów HR, czy źródłem ryzyka prawnego, organizacyjnego i wizerunkowego. Zdaniem prawniczki, Europejski AI Act reguluje i tworzy ramy dla odpowiedzialnego korzystania ze sztucznej inteligencji.
– Pokazuje jednak, że w tak wrażliwym obszarze przewagę zyskają nie te podmioty, które wdrożą najwięcej automatyzacji, lecz te, które zrobią to odpowiedzialnie. To właśnie zdolność połączenia efektywności technologii z przejrzystością procesu może stać się jednym z najważniejszych wyróżników dojrzałych pracodawców – pointuje Zuzanna Spaltenstein-Kotas.
_______________
Gi Group Holding to międzynarodowa agencja pracy należąca do czołówki światowych liderów branży. Jest obecna w 37 krajach, plasując się na 6. miejscu wśród największych europejskich firm rekrutacyjnych i 11. pozycji na świecie. W Polsce działa od 2007 roku, zapewniając kompleksowe usługi doradztwa w obszarze HR, optymalizacji zatrudnienia oraz rekrutacji pracowników wszystkich szczebli w ramach marek: Gi Group (rekrutacja oraz zatrudnienie stałe i czasowe pracowników niższego szczebla, outsourcing), Grafton Recruitment (rekrutacja specjalistów oraz na stanowiska kierownicze), Wyser Executive Search (rekrutacja managerów wyższego i średniego szczebla), Gi BPO Finance (outsourcing procesów bankowych i ubezpieczeniowych oraz Thomas International (narzędzia psychometryczne wspierające rekrutację i rozwój).
