Aktualności AI

UODO publikuje wytyczne dotyczące użycia AI w rekrutacji – nowe obowiązki dla pracodawców

Autor: Maciej 4 min czytania Brak komentarzy
UODO publikuje wytyczne dotyczące użycia AI w rekrutacji – nowe obowiązki dla pracodawców

UODO opublikował oficjalne wytyczne dotyczące wykorzystania systemów opartych na sztucznej inteligencji w procesach rekrutacyjnych. Dokument wskazuje, jakie obowiązki spoczywają na pracodawcach i dostawcach narzędzi HR, kiedy stosowanie automatyzacji wymaga dodatkowych analiz ryzyka oraz jakie praktyki minimalizują zagrożenia dla praw kandydatów.

Wytyczne dotyczą zarówno firm korzystających z gotowych produktów vendorów, jak i organizacji wdrażających rozwiązania wewnętrzne. Poniżej przedstawiamy najważniejsze elementy zmian oraz konkretny plan działań dla działów HR i IT.

Zakres wytycznych UODO

UODO grupuje rekomendacje wokół kilku obszarów: identyfikacji przypadków automatycznego przetwarzania, oceny ryzyka naruszeń praw osób, obowiązku informacyjnego wobec kandydatów, zasad human in the loop oraz wymogów dokumentacyjnych i audytowych.

W dokumencie akcentowane jest szczególne ryzyko w sytuacjach, gdy systemy dokonują profilowania kandydatów lub podejmują decyzje mające istotne skutki prawne lub faktyczne dla osób (np. odrzucenie kandydatury). W takich przypadkach UODO rekomenduje stosowanie oceny wpływu na ochronę danych osobowych oraz dodatkowych środków ograniczających ryzyko dyskryminacji.

Kogo dotyczą wytyczne UODO?

Wytyczne adresowane są do pracodawców i rekruterów wykorzystujących algorytmy do preselekcji, ocen kompetencji, analiz wideo rozmów czy testów zdolności oraz do firm dostarczających takie narzędzia jako usługę. Obejmują zarówno sektor prywatny, jak i podmioty publiczne prowadzące rekrutacje.

Jakie obowiązki mają pracodawcy?

Pracodawca pełni rolę administratora danych i musi określić podstawę prawną przetwarzania danych kandydatów, zdefiniować cele przetwarzania oraz zapewnić przejrzystość informacji przekazywanych osobom, których dane dotyczą.

UODO nakłada też oczekiwania dotyczące minimalizacji danych, ograniczenia retencji oraz wdrożenia procedur umożliwiających interwencję człowieka w procesie podejmowania decyzji. W praktyce oznacza to dokumentowanie konfiguracji modelu, testy na obecność uprzedzeń oraz mechanizmy odwoławcze dla kandydatów.

W przypadku korzystania z zewnętrznych dostawców, pracodawca musi wykazać, że dobiera partnerów i klauzule umowne w taki sposób, by zapewnić odpowiedni poziom ochrony danych i możliwości kontroli nad przetwarzaniem.

Co trzeba zrobić przy ocenie ryzyka i DPIA?

UODO przypomina o obowiązku przeprowadzenia oceny skutków przetwarzania (DPIA) tam, gdzie zastosowanie AI w rekrutacji może skutkować wysokim ryzykiem dla praw i wolności osób. Przykłady to automatyczne odrzucanie kandydatów, profilowanie wpływające na dostęp do pracy czy wykorzystanie danych wrażliwych.

Ocena powinna zawierać opis operacji przetwarzania, analizę prawdopodobieństwa i ciężaru ryzyka, wymienione środki ograniczające ryzyko oraz plan monitorowania skuteczności tych środków. UODO wskazuje również konieczność uwzględnienia ryzyka uprzedzeń wynikających z danych treningowych i sposobu projektowania modelu.

Wpływ na narzędzia i relacje z dostawcami AI

Firmy oferujące narzędzia rekrutacyjne muszą być przygotowane na udostępnienie zamawiającym informacji niezbędnych do wypełnienia obowiązków administratora danych, takich jak opis działania systemu, rodzaje danych używanych do treningu oraz mechanizmy ograniczające błędy i uprzedzenia.

UODO podkreśla konieczność zawierania w umowach z dostawcami konkretnych gwarancji: zakresów odpowiedzialności, standardów bezpieczeństwa, procedur audytowych i możliwości weryfikacji modelu. Kontrola nad przetwarzaniem pozostaje po stronie pracodawcy, nawet gdy operacje są realizowane przez podmioty zewnętrzne.

Sankcje i nadzór

Wytyczne przypominają, że naruszenia zasad ochrony danych przy wykorzystaniu AI w rekrutacji mogą skutkować działaniami nadzorczymi, w tym nakazami korekty przetwarzania oraz sankcjami administracyjnymi przewidzianymi w przepisach o ochronie danych osobowych.

UODO wskazuje także na możliwość wymogów audytów i kontroli dokumentacji dotyczącej wdrożenia systemów, a przypadki systematycznego naruszania zasad mogą skończyć się formalnymi decyzjami nadzorczymi wobec administratorów danych.

Praktyczny plan działań dla HR i IT

Poniżej zbiór konkretnych kroków, które pracodawca powinien wprowadzić, aby dostosować rekrutacje z elementami AI do wymagań wskazanych przez UODO.

  • Mapowanie procesów: zidentyfikować, które elementy rekrutacji są automatyzowane i jakie dane są przetwarzane.
  • Podstawa prawna: wybrać i udokumentować legalny tytuł przetwarzania danych kandydatów.
  • DPIA: przeprowadzić ocenę skutków dla ochrony danych tam, gdzie występuje wysokie ryzyko.
  • Przejrzystość: zaktualizować polityki prywatności i formularze informacyjne, informując kandydatów o użyciu AI.
  • Human in the loop: zapewnić mechanizmy weryfikacji i nadzoru ludzkiego nad decyzjami automatycznymi.
  • Testy i walidacja: przeprowadzić testy pod kątem uprzedzeń i skuteczności modeli oraz dokumentować wyniki.
  • Umowy z dostawcami: uzupełnić kontrakty o klauzule dotyczące bezpieczeństwa, audytów i dostępu do informacji o modelu.
  • Retencja i minimalizacja: ograniczyć zakres gromadzonych danych i okres ich przechowywania.
  • Mechanizmy odwoławcze: wdrożyć procedury umożliwiające kandydatom kwestionowanie decyzji.
  • Monitorowanie: prowadzić rejestry działań, testować rozwiązania okresowo i aktualizować DPIA przy zmianach w systemie.

Autor artykułu

Maciej

Redaktor w Newsy-ai.pl. Pisze o sztucznej inteligencji, nowych technologiach i przyszłości cyfrowego świata.

Komentarze

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola wymagane są oznaczone *