Scenka otwierająca: kandydat odrzucony przez „czarną skrzynkę”
Doświadczona menedżerka HR wysyła CV na stanowisko, które zna od podszewki, bo kiedyś sama takie osoby rekrutowała. Po kilku minutach dostaje automatyczną wiadomość: „Po wstępnej analizie aplikacji nie zakwalifikowano Pani do dalszego etapu”. Bez kontaktu z rekruterem, bez uzasadnienia, bez szansy na rozmowę.
Gdy pyta firmę o powód, słyszy: „Decyzję podjął system, my tylko korzystamy z narzędzia do preselekcji kandydatów”. Po drugiej stronie ekranu zapada cisza – dział HR nie potrafi wyjaśnić, dlaczego algorytm uznał ją za „niewłaściwą”. Kandydatka składa skargę do UODO i rozważa pozew o dyskryminację ze względu na wiek i przerwę w zatrudnieniu.
W takim scenariuszu nie broni ani argument „to decyzja algorytmu”, ani „tak działa narzędzie dostawcy”. Pracodawca ponosi odpowiedzialność za skutki użycia AI w rekrutacji dokładnie tak samo, jak za decyzje podjęte ręcznie. Algorytm nie jest tarczą przed prawem, tylko kolejnym elementem, który może to prawo naruszać.
Źródło: Pexels | Autor: Markus Winkler
Podstawy prawne: jakie przepisy „łapie” rekrutacyjna AI
Prawo pracy: równe traktowanie i zakaz dyskryminacji w rekrutacji
Polski Kodeks pracy jasno wskazuje, że zasada równego traktowania obejmuje nie tylko pracowników, ale także osoby ubiegające się o zatrudnienie. Oznacza to, że już na etapie preselekcji CV – niezależnie od tego, czy dokonuje jej człowiek, czy algorytm – pracodawca musi stosować obiektywne i uzasadnione kryteriami stanowiska zasady naboru.
Dyskryminacja w rekrutacji może dotyczyć m.in. takich cech jak:
rodzaj zatrudnienia (np. wcześniejsza umowa cywilnoprawna vs. etat), wymiar czasu pracy.
Jeśli algorytm selekcji kandydatów wprost wykorzystuje takie cechy jako zmienne (feature’y), mamy do czynienia z klasyczną dyskryminacją bezpośrednią. Jeśli zaś używa kryteriów na pozór neutralnych, które w praktyce eliminują głównie określone grupy (np. długie przerwy w zatrudnieniu, określony przedział wieku ukończenia studiów), powstaje ryzyko dyskryminacji pośredniej.
Pracodawca musi być w stanie wykazać, że:
użyte kryteria są powiązane z wymaganiami stanowiska,
są proporcjonalne do celu (nie „przy okazji” eliminują nadmiernie całych grup),
były stosowane konsekwentnie wobec wszystkich kandydatów.
Jeśli tego nie potrafi, a kandydat wskaże uprawdopodobnione nierówne traktowanie, ciężar dowodu w praktyce przesuwa się na pracodawcę. I tu algorytm jest problemem: wyjaśnienie, na jakiej podstawie „utożsamiono” kandydata z niższą przydatnością, staje się kluczowym elementem obrony.
RODO: automatyczne decyzje, profilowanie i prawa kandydata
Rekrutacja z użyciem AI niemal zawsze wiąże się z przetwarzaniem danych osobowych. RODO wprowadza szczególny reżim dla zautomatyzowanego podejmowania decyzji, w tym profilowania (art. 22 RODO), jeśli decyzja wywołuje wobec osoby skutki prawne lub w podobny istotny sposób na nią wpływa.
W praktyce proces rekrutacyjny spełnia te kryteria, bo:
odrzucenie z rekrutacji pozbawia kandydata realnej szansy na zatrudnienie,
decyzja może wpływać na jego sytuację ekonomiczną i zawodową,
często nie ma alternatywnej ścieżki (np. brak możliwości złożenia CV innym kanałem).
Jeżeli decyzja o odrzuceniu następuje wyłącznie w sposób zautomatyzowany (bez rzeczywistej możliwości ingerencji człowieka), pracodawca musi liczyć się z dodatkowymi wymaganiami:
obowiązek poinformowania kandydata o stosowaniu zautomatyzowanego podejmowania decyzji i profilowania,
udzielenie „istotnych informacji o zasadach ich podejmowania”,
umożliwienie uzyskania interwencji człowieka, wyrażenia własnego stanowiska i zakwestionowania decyzji.
Dochodzi do tego obowiązek minimalizacji danych (art. 5 RODO) – system rekrutacyjny nie może przetwarzać więcej danych, niż jest to niezbędne do oceny przydatności na dane stanowisko. Przetwarzanie np. nagrań twarzy do oceny emocji podczas wideo-rozmowy budzi poważne wątpliwości co do niezbędności i proporcjonalności.
Naruszenie tych zasad może prowadzić do skarg do UODO, nakazów wstrzymania przetwarzania, a nawet do administracyjnych kar finansowych. Co istotne – odpowiedzialność ponosi administrator danych (pracodawca), nawet jeśli narzędzie zapewnia zewnętrzny dostawca.
Odpowiedzialność cywilna i przepisy antydyskryminacyjne poza Kodeksem pracy
Jeśli algorytm rekrutacyjny doprowadzi do dyskryminacji, kandydat może dochodzić roszczeń nie tylko na gruncie prawa pracy. W grę wchodzą również:
kodeks cywilny – odpowiedzialność odszkodowawcza za naruszenie dóbr osobistych (np. godności, dobrego imienia) czy interesu majątkowego,
przepisy antydyskryminacyjne spoza Kodeksu pracy, obejmujące szerszy katalog sytuacji i form nierównego traktowania,
ewentualne roszczenia zbiorowe, jeśli narzędzie było używane masowo i systemowo dyskryminowało określone grupy.
Co ważne, w sporze cywilnym sąd może powołać biegłych z zakresu analizy danych czy sztucznej inteligencji, aby ustalić, czy algorytm faktycznie dyskryminował. Dla działu HR oznacza to konieczność zachowania dokumentacji konfiguracji systemu, parametrów modeli i zmian wprowadzanych w czasie.
AI Act: systemy HR jako obszar wysokiego ryzyka
Europejski AI Act klasyfikuje narzędzia AI wykorzystywane m.in. przy rekrutacji i doborze pracowników jako systemy wysokiego ryzyka. To nie jest tylko etykietka – za tą kategorią idą daleko idące obowiązki dla dostawców i użytkowników systemów.
Dla pracodawcy istotne są w szczególności:
wymóg rzetelnej oceny ryzyka związanego z użyciem systemu,
obowiązek zapewnienia nadzoru człowieka nad działaniem AI,
konieczność prowadzenia dokumentacji technicznej i rejestru zdarzeń związanych z systemem,
wymóg transparentnej komunikacji wobec osób, których dotyczą decyzje AI (czyli kandydatów).
AI Act będzie działał równolegle do RODO i krajowego prawa pracy, co oznacza, że rekrutacyjna AI stanie w centrum trzech różnych reżimów prawnych. To już nie jest „zwykła aplikacja HR”, ale regulowany system o podwyższonym ryzyku, podlegający kontrolom i potencjalnie znaczącym sankcjom.
Wniosek z poziomu przepisów: AI w rekrutacji nie jest zwykłym narzędziem IT
Systemy AI wykorzystywane do selekcji kandydatów funkcjonują na skrzyżowaniu: prawa pracy, prawa ochrony danych osobowych oraz regulacji dotyczących sztucznej inteligencji. Traktowanie ich jak kolejnego modułu ATS-a (systemu do rekrutacji) to przepis na problemy. Każda decyzja, którą dziś podejmuje algorytm, jutro może być przedmiotem sporu sądowego lub kontroli organu.
Źródło: Pexels | Autor: Markus Winkler
Jak działają algorytmy w rekrutacji – bez mitów i marketingu
Najczęstsze zastosowania algorytmów w procesie rekrutacji
Marketing vendorów oprogramowania HR często obiecuje „neutralną, obiektywną, szybką selekcję talentów”. Technicznie rzecz biorąc, algorytmy w rekrutacji najczęściej robią kilka konkretnych rzeczy:
Screening CV – automatyczne skanowanie treści CV, dopasowywanie słów kluczowych do opisu stanowiska, wyciąganie strukturalnych danych (doświadczenie, technologie, języki obce).
Analiza wideo – ocena nagrań rozmów (czasem także mikroekspresji, tonu głosu, słownictwa) w poszukiwaniu cech osobowości lub kompetencji miękkich.
Chatboty rekrutacyjne – prowadzenie wstępnych wywiadów, odpowiadanie na pytania kandydatów, zbieranie danych o preferencjach i doświadczeniu.
Testy kompetencyjne oparte na uczeniu maszynowym – dynamiczne dostosowywanie trudności zadań, analiza stylu rozwiązywania problemów.
Na pierwszy rzut oka brzmi to niewinnie: „maszyna tylko pomaga”. Problem pojawia się wtedy, gdy to właśnie wynik algorytmu decyduje, kto zostanie zaproszony na rozmowę, a kto zostanie „odfiltrowany”. W praktyce znaczna część kandydatów kończy swoją przygodę z firmą na etapie, którego nikt po stronie pracodawcy nie jest w stanie wytłumaczyć.
Jakie dane „zjada” rekrutacyjna AI i jak to wpływa na ryzyko prawne
Algorytmy działają na danych wejściowych. W rekrutacji chodzi głównie o:
CV i listy motywacyjne – klasyczne dane tekstowe, często nieustrukturyzowane, z których wyciąga się informacje o doświadczeniu, wykształceniu, umiejętnościach.
Profile z mediów zawodowych (np. LinkedIn) – dodatkowe informacje o projektach, rekomendacjach, aktywności w branży.
Wyniki testów – zarówno kompetencje twarde (np. zadania programistyczne), jak i miękkie (testy osobowości, stylu pracy).
Materiały wideo i audio – nagrania odpowiedzi na pytania, rozmowy wstępne przez wideo-chat, czasem nagrywane za zgodą kandydata w aplikacji mobilnej.
Dane behawioralne – sposób wypełniania formularzy, czas odpowiedzi, nawigacja po platformie rekrutacyjnej.
Każda z tych kategorii może zawierać informacje wrażliwe lub pośrednio do nich prowadzące. Z nagrania wideo łatwo odczytać wiek, płeć, możliwą niepełnosprawność. Z przerw w zatrudnieniu – wnioskować o macierzyństwie, problemach zdrowotnych czy sytuacji rodzinnej. Z miejsca zamieszkania – o statusie materialnym lub przynależności etnicznej.
Jeżeli model machine learning został wytrenowany tak, że te cechy wpływają na wynik scoringu, mówimy o dyskryminującym algorytmie, nawet jeśli nikt nie wprowadził wprost zmiennej „wiek” czy „płeć”. Bias pojawia się wtedy w danych, a model tylko utrwala istniejące wzorce.
Uczenie na danych historycznych – jak przeszłe decyzje kodują się w modelu
Wielu dostawców narzędzi AI w HR chwali się, że ich modele są „uczone na danych z tysięcy rekrutacji”. Tylko że te rekrutacje prowadzone były przez ludzi z ich własnymi schematami i uprzedzeniami. Jeśli w danej firmie przez lata zatrudniano głównie młodych mężczyzn z dużych miast, to właśnie taki profil będzie uznawany przez model za „sukces rekrutacyjny”.
Mechanizm wygląda tak:
Algorytm dostaje dane o kandydatach i wynikach (np. kto został zatrudniony, kto awansował, kto został uznany za „top performer”).
Model „szuka wzorców” – cech wspólnych osób uznanych za „dobrych pracowników”.
Wzorce te obejmują nie tylko kompetencje, ale też cechy całkowicie poboczne (np. rodzaj uczelni, styl językowy, długość dojazdu).
W kolejnych rekrutacjach algorytm będzie premiował kandydatów, którzy „przypominają” tych historycznych.
Jeśli do zbioru uczącego nie trafi wystarczająco dużo przykładów z różnych grup (np. kobiet po przerwie macierzyńskiej, osób 50+), algorytm praktycznie „uzna”, że tacy kandydaci są rzadko sukcesem – i zacznie ich systemowo odrzucać. Tak powstaje dyskryminacja pośrednia zakodowana w modelu.
Feature’y, ważenie cech i modele black-box vs. interpretable
Z punktu widzenia prawa i etyki kluczowe jest to, jak model przetwarza dane wejściowe w wynik. W uproszczeniu algorytm bazuje na:
cechach (feature’ach) – wyciągniętych z danych elementach, takich jak: liczba lat doświadczenia, rodzaj branży, częstotliwość zmiany pracy, nazwisko uczelni, średnia długość wypowiedzi.
Jak algorytm „waży” kandydata: od cech do finalnego wyniku
Rekruter widzi tylko końcowy wynik: 82 punkty, „strong fit”. Kandydat dostaje lakoniczne „dziękujemy za udział w procesie”. Tymczasem pod spodem dzieje się czysto matematyczna operacja przypisywania wag do poszczególnych cech.
W klasycznych modelach scoringowych schemat wygląda następująco:
każdej cesze (feature’owi) przypisuje się wagę – liczbę opisującą, jak silnie wpływa ona na wynik,
wynik kandydata to suma lub bardziej złożona funkcja tych cech pomnożonych przez wagi,
na koniec model „przycina” wynik do ustalonej skali (np. 0–100) i porównuje z progiem decyzyjnym.
W prostym, liniowym modelu da się jeszcze powiedzieć: „dodatkowy rok doświadczenia podnosi wynik o 5 punktów”. W złożonych sieciach neuronowych czy gradient boosting takie relacje są już niejawne, nieintuicyjne i zależne od kombinacji wielu cech naraz. Dla prawnika i HR jest to kluczowe: im trudniej wytłumaczyć, dlaczego kandydat dostał taki, a nie inny wynik, tym większy problem z wykazaniem braku dyskryminacji.
Modele określane jako black-box (np. głębokie sieci neuronowe) są bardzo wydajne, ale praktycznie nieprzejrzyste. Z kolei modele interpretable (np. regresja logistyczna, drzewa decyzyjne o ograniczonej głębokości) pozwalają pokazać, które cechy i w jakim stopniu zaważyły na decyzji. Przy rekrutacji to nie jest czysto techniczny detal, tylko pytanie: czy pracodawca jest w stanie realnie wyjaśnić kandydatowi decyzję, jeśli ten złoży odwołanie lub pozew.
Jeżeli dostawca narzędzia AI nie jest w stanie wygenerować choćby uproszczonego raportu wpływu cech (np. top 5 czynników, które obniżyły wynik danego kandydata), pracodawca wchodzi w obszar podwyższonego ryzyka prawnego. Organ nadzorczy lub sąd mogą uznać, że dochodzi do niedopuszczalnego „automatyzmu” bez realnego nadzoru człowieka.
„Neutralne” cechy, które de facto zastępują dane wrażliwe
W jednej z polskich firm technologicznych algorytm scoringowy formalnie nie brał pod uwagę płci ani wieku. Mimo to po kilku miesiącach okazało się, że zatrudniano głównie mężczyzn przed 35. rokiem życia. Gdy zespół danych rozebrał model na czynniki pierwsze, wyszło, że system silnie premiował: ukończenie określonych uczelni technicznych, bardzo intensywną aktywność na GitHubie i gotowość do relokacji.
Takie cechy są prawnie „neutralne”, ale w praktyce pełnią rolę proksów (proxy) dla cech prawnie chronionych. Kilka przykładów z praktyki:
rok ukończenia studiów – bardzo silnie koreluje z wiekiem; model może zacząć preferować „młode roczniki”, nawet jeśli kolumna „wiek” formalnie nie istnieje,
częstotliwość zmiany pracy i przerwy w zatrudnieniu – mogą pośrednio „karać” osoby po urlopach rodzicielskich, dłuższych chorobach czy opiece nad bliskimi,
adres zamieszkania lub kod pocztowy – bywa proxy dla statusu majątkowego, dzielnic kojarzonych z mniejszościami lub obszarów wiejskich,
akcent i płynność wypowiedzi w wideo – algorytm szkolony na wąskiej grupie użytkowników może gorzej oceniać osoby mówiące z obcym akcentem, z wadą wymowy lub z powodu niepełnosprawności.
Z perspektywy prawa pracy i przepisów antydyskryminacyjnych nie ma znaczenia, że pracodawca „nie widzi” płci czy wieku w danych wejściowych. Jeśli efekt działania systemu powoduje, że dana grupa jest systemowo w gorszym położeniu w porównywalnej sytuacji, mówimy o dyskryminacji pośredniej. Tu właśnie algorytmy są szczególnie zdradliwe – potrafią bardzo skutecznie ukryć źródło nierównego traktowania za pozornie technicznymi zmiennymi.
„Optymalizacja” kontra równe traktowanie – napięcie wpisane w algorytm
Zespół HR chce procesu „szybkiego i przewidywalnego”. Zespół data science słyszy brief: „maksymalizujemy zatrudnienia osób, które osiągną target w 6 miesięcy”. Algorytm dostaje więc sygnał: najważniejsza jest efektywność biznesowa. Problem w tym, że historycznie lepiej radziły sobie osoby bez przerw w karierze, z pełną dyspozycyjnością i bez zobowiązań opiekuńczych.
Model, dążąc do maksymalizacji wskaźnika sukcesu, automatycznie uczy się preferować kandydatów, których profil pasuje do takiego „idealnego pracownika”. Nie uwzględnia natomiast celów prawnych i społecznych, takich jak:
równe szanse dla kobiet i mężczyzn,
szerszy dostęp do zatrudnienia dla osób 50+,
inkluzja osób z niepełnosprawnościami,
konieczność unikania dyskryminacji pośredniej.
Jeśli projekt algorytmu nie zawiera wprost ograniczeń lub reguł sprawiedliwości (fairness constraints), model będzie optymalizował wyłącznie pod kątem celu biznesowego. Z punktu widzenia prawa to prosta droga do systemowego, ale „niewidocznego” na pierwszy rzut oka, naruszania zasady równego traktowania.
Gdzie w praktyce algorytmy rekrutacyjne najczęściej naruszają równe traktowanie
W pewnej sieci handlowej wdrożono automatyczny screening CV dla pracowników sklepów. Po kilku miesiącach związek zawodowy zgłosił, że niemal przestano zatrudniać osoby 50+, co w poprzednich latach było standardem. Po analizie okazało się, że system mocno premiował „dynamiczne środowisko start-upowe” i „doświadczenie w pracy projektowej” – cechy znacznie częściej spotykane w CV młodszych kandydatów z dużych miast.
Takie sytuacje powtarzają się w różnych konfiguracjach. Najczęstsze obszary konfliktu z zasadą równego traktowania to:
Wiek – algorytmy „uczą się”, że kandydaci z dłuższym doświadczeniem, ale też z dłuższymi przerwami, rzadziej są zatrudniani czy awansują. W efekcie osoby 45+ lub 50+ systemowo trafiają niżej w rankingach.
Płeć – modele scoringowe w branżach z historyczną przewagą jednej płci (np. IT, budownictwo, opieka) reprodukują dotychczasowe wzorce. Kobiety po przerwach rodzicielskich lub mężczyźni aplikujący do zawodów „sfeminizowanych” mogą być niejawnie penalizowani.
Niepełnosprawność – algorytmy analizujące wideo, mowę czy tempo pisania mogą obniżać oceny kandydatów z niepełnosprawnościami ruchowymi, słuchu czy mowy, choć kryteria te nie mają związku z faktycznymi wymaganiami stanowiska.
Pochodzenie i status społeczno-ekonomiczny – filtry oparte na uczelni, adresie, typie poprzednich pracodawców czy „prestiżu” doświadczenia preferują osoby z większych miast i z określonych środowisk.
Sytuacja rodzinna – cechy takie jak elastyczność czasowa, gotowość do częstych delegacji czy relokacji, połączone z historią przerw w zatrudnieniu, mogą de facto eliminować osoby wychowujące dzieci lub opiekujące się bliskimi.
W wielu przypadkach pracodawca nawet nie zauważa problemu, bo algorytm jest przedstawiany jako „obiektywny”. Statystyki demograficzne kandydatów na poszczególnych etapach selekcji rzadko są monitorowane systematycznie, a właśnie tam widać pierwsze sygnały dyskryminacji pośredniej.
Analiza wideo i głosu – szczególnie śliski grunt
Wyobraźmy sobie młodą osobę z lekką wadą wymowy, która świetnie programuje, ale nie wypada „teatralnie” przed kamerą. System wideo-rekrutacji analizuje długość pauz, tempo wypowiedzi, kontakt wzrokowy i „poziom entuzjazmu”. Wynik: „niska komunikatywność”, kandydat odpada przed rozmową z menedżerem.
Algorytmy przetwarzające obraz i dźwięk niosą kilka szczególnych zagrożeń:
automatyczne „czytanie” cech wrażliwych – wiek, płeć, potencjalna niepełnosprawność, kolor skóry czy cechy kulturowe mogą być w praktyce odgadywane z dużą dokładnością, nawet jeśli system nie pokazuje tego użytkownikowi,
brak związku z wymaganiami stanowiska – model premiuje „pewność siebie na wideo” dla roli, w której kluczowe są umiejętności analityczne, a nie wystąpienia publiczne,
utrwalanie stereotypów – jeśli dane treningowe składają się głównie z nagrań osób z jednego kręgu kulturowego, styl komunikacji innych grup będzie oceniany jako „gorszy” lub „mniej profesjonalny”,
trwały ślad danych biometrycznych – nagrania wideo i audio to dane, które bardzo trudno „odanonimizować”, co zwiększa ryzyko naruszeń RODO.
W prawie pracy i RODO obowiązuje zasada minimalizacji danych. Jeżeli można przeprowadzić rzetelną ocenę kandydata bez analizy jego twarzy i głosu przez algorytm, stosowanie takich narzędzi staje się trudne do obrony – szczególnie gdy brak jest mocnego, uzasadnionego interesu pracodawcy i środków zabezpieczających przed dyskryminacją.
„Cicha” dyskryminacja na etapie zaproszeń na rozmowę
W praktyce najwięcej nieprawidłowości pojawia się nie na etapie finalnego wyboru, lecz w selekcji do pierwszej rozmowy. Kandydaci, którzy zostali „ucięci” przez algorytm na samym początku, często nawet nie wiedzą, że rywalizowali z maszyną, a nie z rekruterem.
Typowy scenariusz wygląda tak:
system przyznaje kandydatom oceny dopasowania do stanowiska,
HR ustala próg (np. tylko top 20% trafia do rekrutera),
reszta jest automatycznie odrzucana, często z ogólną informacją e-mailową.
Jeżeli próg ustawia się bezrefleksyjnie, a sam model jest obciążony stronniczością, w praktyce oznacza to automatyczne zamknięcie drzwi przed całymi grupami kandydatów. Co więcej, na tym etapie kandydatowi trudniej jest dochodzić swoich praw – nie zna uzasadnienia odrzucenia, nie ma kontaktu z podejmującym decyzję człowiekiem, nie wie nawet, jakie narzędzie zostało zastosowane.
Z perspektywy prawa pracy mało który przepis rozróżnia „wstępne” i „końcowe” etapy rekrutacji. Zasada równego traktowania obowiązuje na każdym etapie – od publikacji ogłoszenia, przez screening, po ofertę pracy. Jeśli właśnie na wczesnym etapie działają algorytmy, to tam kumuluje się ryzyko naruszenia.
Kiedy automatyczna decyzja w rekrutacji staje się nielegalna
Automatyczne podejmowanie decyzji w rozumieniu RODO
Wyobraźmy sobie kandydata, który po raz trzeci z rzędu jest odrzucany przez dużą korporację, mimo że za każdym razem spełnia wszystkie kryteria formalne. Pisze więc do działu HR z prośbą o informację, kto podjął decyzję o jego odrzuceniu. Odpowiedź: „decyzję podjął system rekrutacyjny w oparciu o analizę Pana profilu”. To dokładnie sytuacja, w której włącza się art. 22 RODO.
Zgodnie z RODO zautomatyzowane podejmowanie decyzji to sytuacja, w której decyzja wywołująca skutki prawne wobec osoby lub w podobny sposób istotnie na nią wpływająca jest podejmowana wyłącznie automatycznie, bez znaczącego udziału człowieka. W rekrutacji taki skutek to m.in. odmowa zatrudnienia lub brak dopuszczenia do dalszych etapów.
Kluczowe elementy z art. 22 RODO w kontekście rekrutacji:
zakaz opierania na takiej decyzji procesu wobec osoby, chyba że zachodzi jeden z wyjątków (np. jest to niezbędne do zawarcia umowy, przewiduje to prawo lub osoba wyraziła wyraźną zgodę),
w każdym przypadku trzeba zapewnić osobie prawo do interwencji człowieka, do wyrażenia swojego stanowiska i zakwestionowania decyzji,
osoba powinna otrzymać istotne informacje o zasadach podejmowania decyzji – w praktyce przynajmniej ogólne wyjaśnienie logiki systemu.
Jeżeli system rekrutacyjny „sam” decyduje, że kandydat nie przechodzi dalej, a człowiek tylko akceptuje listę wyników bez realnej weryfikacji, to trudno mówić o „znaczącym udziale człowieka”. Z punktu widzenia RODO taka praktyka może zostać zakwalifikowana jako niedopuszczalne zautomatyzowane podejmowanie decyzji.
„Znaczący udział człowieka” – co to naprawdę znaczy w procesie rekrutacji
Nie wystarczy, że rekruter „rzuci okiem” na listę wygenerowaną przez system i kliknie „zaakceptuj”. Organ nadzorczy patrzy na to, czy człowiek:
ma realną możliwość zmiany wyniku algorytmu,
rozumie, co oznaczają poszczególne oceny i skąd się biorą,
Granica między „wsparciem” a „decyzją” człowieka
Rekruter dostaje listę 200 kandydatów, z czego system oznacza zielonym kolorem 30 „najlepszych”. Czas na selekcję: 40 minut między jedną a drugą rozmową. W takiej sytuacji algorytm de facto wyznacza kierunek, a człowiek tylko dopisuje się pod decyzją.
„Znaczący udział człowieka” w rozumieniu RODO zaczyna się tam, gdzie osoba decydująca:
ma czas i narzędzia, żeby faktycznie przeanalizować kandydatury, a nie tylko przejrzeć top‑listę,
potrafi świadomie skorygować wynik algorytmu (np. dodać kandydata o niskim score, jeśli jego profil odpowiada wymaganiom),
dostaje wystarczająco zrozumiałe informacje o tym, jak model oceniał kandydatów, zamiast jednego „magicznego” wyniku punktowego.
Jeśli proces jest zorganizowany tak, że rekruter praktycznie nie ma możliwości wyjścia poza sugestie systemu, mówimy raczej o pozornym udziale człowieka. To właśnie takie konfiguracje budzą największe zastrzeżenia organów nadzorczych: człowiek jest „twarzą” decyzji, ale faktycznym decydentem pozostaje algorytm.
Bez realnej przestrzeni na krytyczne spojrzenie, odchylenie od rekomendacji lub jej podważenie trudno obronić tezę, że automatyzacja ma charakter wyłącznie pomocniczy.
Kiedy wyjątki z art. 22 RODO nie działają w rekrutacji
W jednej z firm technologicznych system ATS ustawiono tak, że kandydat, zaznaczając checkbox w formularzu, miał „wyrazić zgodę na automatyczne podejmowanie decyzji w procesie rekrutacji”. Brzmiało prawidłowo, ale gdy doszło do skargi, okazało się, że zgoda nie spełnia żadnych wymogów RODO.
Wyjątki z art. 22 RODO – takie jak niezbędność do zawarcia umowy czy wyraźna zgoda – w praktyce rzadko naprawdę uzasadniają pełne powierzenie decyzji algorytmowi. Powody są dość przyziemne:
trudno dowieść, że odmowa zatrudnienia musi być zautomatyzowana, aby móc w ogóle zawrzeć umowę – w większości przypadków rekrutacja może być wspierana przez AI, ale nie w pełni automatyczna,
„zgoda” kandydata jest często warunkiem udziału w procesie, czyli nie jest ani dobrowolna, ani realnie odwoływalna,
kandydat nie dostaje zrozumiałego wyjaśnienia, na co właściwie się godzi – wie, że „analizuje go system”, ale nie ma pojęcia, co to znaczy w praktyce.
W efekcie powoływanie się na wyjątki częściej przypomina próbę „przykrycia” automatycznej decyzji niż rzetelne spełnienie warunków z RODO. Taka strategia krótkoterminowo upraszcza życie HR, ale długoterminowo zwiększa ryzyko sporów i interwencji organu nadzorczego.
Zakazane kryteria i pytania, nawet jeśli zadaje je algorytm
W jednym z narzędzi rekrutacyjnych opcja filtrowania kandydatów po „długości dojazdu do pracy” była sprzedawana jako funkcja pro‑wellbeing. W praktyce sprowadzało się to do masowego odrzucania osób spoza miasta – często z mniejszych miejscowości, o niższym statusie społeczno‑ekonomicznym.
Polskie prawo pracy i przepisy antydyskryminacyjne jasno określają, które kryteria są niedopuszczalne jako podstawa decyzji o zatrudnieniu. Obejmuje to m.in. płeć, wiek, niepełnosprawność, rasę, religię, narodowość, przekonania polityczne, przynależność związkową, pochodzenie etniczne, wyznanie czy orientację seksualną. Problem pojawia się wtedy, gdy narzędzie:
pozwala świadomie filtrować kandydatów po kryteriach proxy (np. rok ukończenia szkoły jako substytut wieku),
samodzielnie „nauczy się”, że pewne cechy są „lepsze” – choć w rzeczywistości są wyłącznie skorelowane z cechami chronionymi,
podsuwa rekruterowi gotowe rankingi, które w efekcie prowadzą do selekcji na tle zakazanych przesłanek.
To, że dyskryminujący wybór wynika z działania algorytmu, nie zmienia faktu, że odpowiedzialność ponosi pracodawca. System może być „czarną skrzynką”, ale prawo pracy nie zna kategorii „winny: oprogramowanie”. Jeżeli decyzja jest oparta na kryteriach sprzecznych z zasadą równego traktowania, pozostaje bezprawna niezależnie od tego, kto – człowiek czy model – ją technicznie wyliczył.
Profilowanie a prawo pracy – gdzie przebiega linia
Kandydat aplikuje na stanowisko analityka, a system – poza danymi z CV – pobiera publiczne informacje z jego profilu w mediach społecznościowych. Na tej podstawie tworzy „profil osobowościowy”, który ma przewidzieć „stabilność w organizacji” i „poziom zaangażowania”. Wynik poniżej progu – automatyczne odrzucenie.
RODO definiuje profilowanie jako każdą formę zautomatyzowanego przetwarzania danych osobowych polegającą na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej. W rekrutacji w grę wchodzą głównie:
ocena kompetencji i „dopasowania kulturowego”,
prognoza „ryzyka odejścia” lub „przyszłej efektywności”,
ocena „wiarygodności” na podstawie historii zawodowej i zachowań online.
Sam fakt profilowania nie jest zakazany, ale zestaw obowiązków po stronie pracodawcy rośnie. Pojawia się m.in. konieczność:
jasnego poinformowania kandydata, że jest profilowany i w jakim celu,
zapewnienia, że profilowanie nie prowadzi do automatycznej decyzji bez udziału człowieka, chyba że zachodzą wyjątki z art. 22,
oceny, czy używane kryteria są adekwatne do stanowiska, a nie tylko „miłe do posiadania” z punktu widzenia marketingu HR.
Jeśli profilowanie dotyczy obszarów silnie powiązanych z cechami wrażliwymi (np. zdrowie psychiczne, przekonania, poglądy), granica legalności jest wyjątkowo cienka. Tym cieńsza, im bardziej rekrutacja przypomina „polowanie na idealny charakter” zamiast sprawdzania realnych kwalifikacji.
Obowiązki informacyjne wobec kandydata – co trzeba ujawnić
Kandydatka dostała lakonicznego maila: „Dziękujemy za udział, obecnie nie możemy zaproponować współpracy”. Czuła, że coś jest nie tak – wszystkie kryteria formalne spełnione, mocne rekomendacje – ale na pytanie o powód usłyszała jedynie, że „firma nie udziela informacji o szczegółach wewnętrznych procesów”. W tle – automatyczny screening.
RODO, a także krajowe przepisy o ochronie danych, nakładają na pracodawcę konkretne obowiązki informacyjne. Kandydat powinien wiedzieć co najmniej:
że jego dane są przetwarzane w systemach wykorzystujących algorytmy lub profilowanie,
jaki jest cel tego przetwarzania (np. wstępna selekcja kandydatów, ranking dopasowania),
jakie ma prawa – w tym prawo do sprzeciwu wobec określonych form przetwarzania, prawo do interwencji człowieka i zakwestionowania decyzji,
skąd pochodzą jego dane (np. z CV, z testów online, z profilów publicznych), jeśli nie wszystkie dostarczył sam.
W praktyce oznacza to, że klauzule informacyjne w ogłoszeniu czy formularzu aplikacyjnym trzeba zaktualizować – uwzględnić AI, a nie udawać, że proces wygląda jak 10 lat temu. „Ogólny” zapis o przetwarzaniu danych osobowych nie wystarcza, gdy system podejmuje lub współkształtuje decyzje o dalszym losie kandydata.
Prawa kandydata do wglądu, sprzeciwu i „drugiej opinii”
Kandydatka po nieudanej rekrutacji poprosiła o weryfikację decyzji przez innego rekrutera, powołując się na art. 22 RODO. Firma zareagowała zdziwieniem – wcześniej nikt nie domagał się „drugiej opinii” po wyniku algorytmu.
Jeżeli w procesie rekrutacji stosuje się zautomatyzowane podejmowanie decyzji lub profilowanie, osoba, której dane dotyczą, ma prawo:
uzyskać wyjaśnienie logiki działania systemu w zakresie, w jakim jest to możliwe bez naruszania tajemnicy przedsiębiorstwa lub praw innych osób,
domagać się interwencji człowieka – realnego przeanalizowania jej sytuacji i ewentualnego skorygowania automatycznego wyniku,
wyrazić własne stanowisko i przedstawić dodatkowe informacje, które system mógł pominąć lub źle zinterpretować,
zakwestionować decyzję – również w drodze skargi do organu nadzorczego lub sądu pracy, jeśli uważa ją za dyskryminującą.
Dla pracodawcy oznacza to konieczność przygotowania procedury „odwoławczej”: określenia, kto i w jakim trybie weryfikuje zakwestionowane decyzje, jak dokumentuje przebieg sprawy oraz jak długo przechowuje dane potrzebne do takiej analizy. Bez tego prawo do interwencji człowieka pozostaje martwe – istnieje na papierze, ale nie da się go skutecznie zrealizować.
Ocena skutków dla ochrony danych (DPIA) jako obowiązek przy bardziej inwazyjnych narzędziach
W pewnej międzynarodowej firmie przed wdrożeniem systemu analizy wideo przeprowadzono testy wyłącznie pod kątem UX i szybkości działania. Dopiero po kilku miesiącach, gdy jedna z organizacji pracowniczych zgłosiła zastrzeżenia, ktoś zadał pytanie: „Czy ktoś robił ocenę skutków dla ochrony danych?”. Odpowiedź była wymowna – cisza na sali.
RODO przewiduje instytucję oceny skutków dla ochrony danych (DPIA) w sytuacjach, gdy określony rodzaj przetwarzania, zwłaszcza z użyciem nowych technologii, może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Algorytmiczne systemy rekrutacyjne – szczególnie te analizujące wideo, głos czy dane biometryczne – najczęściej mieszczą się w tej kategorii.
DPIA w rekrutacji powinna obejmować m.in.:
opis planowanego systemu i tego, na jaką decyzję wpływa,
ocenę niezbędności i proporcjonalności – czy bez danego narzędzia nie można osiągnąć celu w mniej inwazyjny sposób,
identyfikację ryzyk: dyskryminacja pośrednia, błędne oceny, wyciek danych wrażliwych, profilowanie bez wiedzy osoby,
konkretne środki ograniczające ryzyko – od audytów algorytmu, przez ręczną weryfikację wyników, po ograniczenia dostępu do danych.
Dobrze przeprowadzona ocena skutków nie jest tylko formalnością dla działu compliance. To praktyczny moment, w którym można zatrzymać się i zadać pytanie: „Czy ten system pomaga nam rekrutować uczciwie, czy tylko wygodnie?”. Odpowiedź często prowadzi do modyfikacji lub wręcz rezygnacji z niektórych funkcji, zanim staną się źródłem poważnego sporu.
Odpowiedzialność pracodawcy i dostawcy narzędzia – kto za co odpowiada
HR kupuje „chmurowe” rozwiązanie do rekrutacji, sprzedawca zapewnia: „system jest zgodny z RODO, korzystają z niego największe firmy na rynku”. Parę miesięcy później pojawia się skarga kandydata na dyskryminację algorytmiczną. Odpowiedź dostawcy: „to pracodawca ustala kryteria i progi, my tylko dostarczamy technologię”.
RODO i prawo pracy wychodzą z założenia, że pracodawca jest administratorem danych kandydatów w procesie rekrutacji. To on odpowiada za zgodność całości procesu z przepisami, również wtedy, gdy korzysta z usług zewnętrznych dostawców. Jednocześnie:
dostawca narzędzia zwykle pełni rolę podmiotu przetwarzającego (procesora) i także ma swoje obowiązki, w tym związane z bezpieczeństwem i wsparciem klienta w realizacji praw osób,
w niektórych konfiguracjach, np. przy platformach pośredniczących, może dojść do współadministracji, co wymaga jasnego podziału ról i odpowiedzialności,
standardowe umowy powierzenia często są zbyt ogólne, by objąć specyfikę algorytmicznej selekcji – brakuje w nich odniesienia do badań nad stronniczością modeli, częstotliwości audytów czy procedur reagowania na skargi kandydatów.
Dla działów HR praktyczny wniosek jest prosty: „system zgodny z RODO” w folderze marketingowym nie zwalnia z pytania dostawcy o testy niedyskryminacyjne, sposób uczenia modelu, możliwość wyłączenia niektórych funkcji czy dostępu do logów decyzji. Bez tego firma bierze na siebie ryzyko za proces, którego nie rozumie i nad którym faktycznie nie panuje.
Najczęściej zadawane pytania (FAQ)
Czy pracodawca może zrzucić odpowiedzialność na algorytm, jeśli AI kogoś odrzuci w rekrutacji?
Wyobraź sobie, że dostajesz maila: „System odrzucił Panią/Pana na etapie preselekcji” i nikt nie potrafi powiedzieć dlaczego. Dla kandydata to „czarna skrzynka”, ale dla prawa – w pełni odpowiedzialna decyzja pracodawcy.
Pracodawca nie może zasłaniać się dostawcą systemu ani samym algorytmem. Z punktu widzenia prawa pracy i RODO to on odpowiada za kryteria, konfigurację narzędzia, sposób korzystania z niego i skutki decyzji. Algorytm jest tylko środkiem technicznym – jeśli prowadzi do dyskryminacji czy naruszenia RODO, roszczenia kierowane są przede wszystkim do firmy rekrutującej, a nie do producenta oprogramowania.
Kiedy AI w rekrutacji może zostać uznana za dyskryminującą?
Typowy scenariusz: system automatycznie odrzuca kandydatów po 50. roku życia albo osoby z dłuższymi przerwami w zatrudnieniu. Nikt tego wprost nie zaprogramował, ale tak wyszło z „uczenia na danych historycznych”.
Do dyskryminacji dochodzi, gdy algorytm:
wprost wykorzystuje cechy chronione (np. płeć, wiek, niepełnosprawność, wyznanie) jako kryterium decyzji – to dyskryminacja bezpośrednia,
lub stosuje neutralne z pozoru kryteria (np. rok ukończenia studiów, ciągłość zatrudnienia), które w praktyce ponadprzeciętnie eliminują określone grupy – to ryzyko dyskryminacji pośredniej.
Pracodawca musi być w stanie pokazać, że każde użyte kryterium jest związane z wymaganiami stanowiska, proporcjonalne i stosowane jednakowo wobec wszystkich. Brak takiego uzasadnienia przy uprawdopodobnieniu nierównego traktowania działa na niekorzyść firmy.
Czy AI w rekrutacji podlega RODO i przepisom o automatycznym podejmowaniu decyzji?
Gdy system sam „wycina” kandydatów z dalszych etapów, de facto podejmuje decyzję wpływającą na ich sytuację zawodową. To klasyczny przykład zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 RODO.
W takiej sytuacji pracodawca musi:
poinformować kandydata, że podlega zautomatyzowanej decyzji i profilowaniu,
wyjaśnić w zrozumiały sposób ogólne zasady działania systemu oraz kryteria decyzji,
umożliwić kandydatowi uzyskanie interwencji człowieka, przedstawienie własnego stanowiska i zakwestionowanie decyzji.
Dodatkowo obowiązuje zasada minimalizacji danych – algorytm nie może „dla wygody” przetwarzać wszystkiego, co się da (np. analizy mimiki twarzy z wideo), jeśli nie jest to niezbędne do oceny kandydata na dane stanowisko.
Jakie prawa ma kandydat, którego odrzucił algorytm rekrutacyjny?
Najczęstsza reakcja kandydatów to poczucie bezsilności: „system mnie skreślił, nic nie mogę”. Z perspektywy prawa sytuacja wygląda inaczej – katalog uprawnień jest całkiem szeroki.
Kandydat może:
żądać informacji, czy jego sprawa była przedmiotem wyłącznie zautomatyzowanej decyzji i na jakich zasadach,
domagać się interwencji człowieka i ponownego rozpatrzenia aplikacji,
wystąpić do pracodawcy lub do UODO o wyjaśnienia dotyczące przetwarzania danych i podstaw prawnych,
podnieść zarzut dyskryminacji (np. ze względu na wiek, płeć, niepełnosprawność) i dochodzić odszkodowania – zarówno na gruncie prawa pracy, jak i przepisów cywilnych o ochronie dóbr osobistych.
W sporze to pracodawca musi zwykle wykazać, że zastosowane kryteria były obiektywne i niedyskryminujące, a algorytm nie działał w sposób krzywdzący dla konkretnych grup.
Czy używanie AI w rekrutacji jest legalne w Polsce i UE?
Firmy mogą korzystać z AI w rekrutacji, ale nie „na dziko”. Narzędzia tego typu są obudowane trzema reżimami prawnymi: prawem pracy (równe traktowanie), RODO (ochrona danych osobowych, automatyczne decyzje) oraz unijnym AI Act (systemy wysokiego ryzyka).
Legalne korzystanie wymaga m.in.:
ustalenia i udokumentowania niedyskryminujących kryteriów naboru,
zapewnienia przejrzystości wobec kandydatów i możliwości odwołania od decyzji algorytmu,
oceny i zarządzania ryzykiem (AI Act), nadzoru człowieka, dokumentacji technicznej i rejestru zdarzeń systemu.
Samo kupienie „modnego” narzędzia HR nie wystarczy – firma musi umieć obronić przed sądem każdy krok procesu rekrutacyjnego wspieranego przez AI.
Jak pracodawca może ograniczyć ryzyko prawne związane z AI w rekrutacji?
Częsta pułapka: wdrożenie systemu, bo „tak robią inni”, bez analizy danych, na których działa, i kryteriów, które faktycznie stosuje. Problemy wychodzą dopiero przy pierwszej skardze lub kontroli.
Aby zmniejszyć ryzyko, pracodawca powinien:
zdefiniować i udokumentować kryteria oceny kandydatów oraz ich związek z wymaganiami stanowiska,
sprawdzić, jakie dane zbiera i wykorzystuje system (w tym dane wrażliwe, pośrednie wskaźniki wieku, płci itp.),
zapewnić realny nadzór człowieka – algorytm ma wspierać, a nie zastępować ostateczną decyzję bezrefleksyjnie,
regularnie audytować wyniki (np. czy nie ma nieuzasadnionych różnic w traktowaniu konkretnych grup),
mieć przygotowaną procedurę obsługi żądań kandydatów (wyjaśnienia, odwołania, skargi).
Dobrze prowadzona dokumentacja konfiguracji i zmian w systemie często decyduje o tym, czy firma jest w stanie obronić się przed zarzutami dyskryminacji.
Czym jest AI Act i co oznacza dla systemów rekrutacyjnych?
W unijnym AI Act narzędzia używane m.in. do rekrutacji i doboru pracowników zostały zaliczone do kategorii „wysokiego ryzyka”. To sygnał dla firm: tego typu systemy są traktowane podobnie jak rozwiązania stosowane np. w ochronie zdrowia czy infrastrukturze krytycznej.
Dla pracodawców i dostawców oznacza to obowiązek:
przeprowadzenia formalnej oceny ryzyka związanego z użyciem systemu,
wprowadzenia nadzoru człowieka nad działaniem algorytmu,
utrzymywania dokumentacji technicznej, rejestru zdarzeń i mechanizmów monitorowania,
przejrzystej komunikacji wobec kandydatów o użyciu AI i jej roli w decyzji.
