Akt o AI: Twoje narzędzia rekrutacyjne są teraz systemem wysokiego ryzyka

Tak — AI, która przesiewa, układa w rankingu lub ocenia kandydatów do pracy, to system „wysokiego ryzyka” w rozumieniu unijnego Aktu o AI. Załącznik III, punkt 4 lit. a wprost wymienia systemy do rekrutacji i selekcji, co uruchamia cały zestaw obowiązków prawnych: nadzór człowieka, dane sprawdzone pod kątem stronniczości, transparentność wobec kandydatów, automatyczne rejestrowanie zdarzeń oraz minimum sześciomiesięczne przechowywanie logów. Wysokie ryzyko nie oznacza zakazu. Oznacza: dozwolone, ale ściśle regulowane — a jeśli rekrutujesz kandydatów z UE, to w dużej mierze właśnie Ty odpowiadasz. Naruszenia mogą kosztować do 15 mln euro lub 3% globalnego obrotu, w zależności od tego, która kwota jest wyższa.

Ten przewodnik przebija się przez szum wokół dat i kar — a obie te kwestie są szeroko podawane błędnie. Wyjaśnia, czego prawo faktycznie wymaga, kto ponosi odpowiedzialność, jaki jest realny termin po jego przesunięciu przez UE oraz jak w praktyce wygląda infrastruktura rekrutacyjna, którą da się obronić.

Ten artykuł to ogólna informacja, a nie porada prawna. O swojej konkretnej sytuacji porozmawiaj z prawnikiem od prawa pracy i ze swoim inspektorem ochrony danych.

Twoja rekrutacyjna AI jest teraz „wysokiego ryzyka”. Co to naprawdę znaczy

W rozumieniu Aktu o AI system AI wykorzystywany „do rekrutacji lub selekcji osób fizycznych” jest klasyfikowany jako system wysokiego ryzyka. Obejmuje to narzędzia, które zamieszczają ukierunkowane ogłoszenia o pracę, analizują i filtrują aplikacje oraz oceniają lub układają kandydatów w rankingu. Ta sama kategoria z załącznika III (punkt 4 lit. b) obejmuje AI używaną do awansów, zwolnień, przydzielania zadań i monitorowania wyników już po zatrudnieniu.

Największe nieporozumienie polega na tym, że „wysokie ryzyko” to to samo co „zakazane”. Otóż nie. Akt ma trzy poziomy: niewielki zbiór praktyk zakazanych, szerszą grupę systemów wysokiego ryzyka oraz całą resztę. Rekrutacyjna AI mieści się w grupie wysokiego ryzyka, co znaczy, że jej używanie jest legalne — ale tylko wtedy, gdy spełnia ona zestaw wymogów, a Ty jako pracodawca bierzesz na siebie obowiązki po stronie użytkownika.

Wprost zakazana jest tylko wąska grupa praktyk powiązanych z rekrutacją — i obowiązuje to już od 2 lutego 2025 r. Najistotniejsze dla działów HR jest rozpoznawanie emocji w miejscu pracy, które Akt zakazuje poza wąskimi wyjątkami medycznymi lub bezpieczeństwa. Jeśli dostawca sprzedaje Ci narzędzie do rozmów rekrutacyjnych, które wnioskuje o stanie emocjonalnym kandydata z jego twarzy lub głosu, to nie jest to system wysokiego ryzyka, którym da się zarządzić za pomocą zabezpieczeń. To praktyka zakazana, kropka.

Praktyczne pytanie nie brzmi więc „czy mogę używać AI w rekrutacji?”. Brzmi: „czy umiem udowodnić, że moje użycie AI spełnia wymogi dla systemów wysokiego ryzyka?”.

Kiedy zaczyna obowiązywać? Termin z sierpnia 2026, który się przesunął

Pierwotny termin obowiązków dla samodzielnych systemów z załącznika III, w tym rekrutacyjnych, przypadał na 2 sierpnia 2026 r. Ta data jest już nieaktualna, a większość artykułów, które ją podają, nie nadążyła za zmianami.

19 listopada 2025 r. Komisja Europejska opublikowała „Cyfrowy Omnibus w sprawie AI”, w którym zaproponowała odroczenie terminu zgodności dla systemów wysokiego ryzyka z załącznika III z 2 sierpnia 2026 r. na 2 grudnia 2027 r. Komisje IMCO i LIBE Parlamentu Europejskiego poparły to odroczenie w marcu 2026 r., a Parlament i Rada osiągnęły wstępne porozumienie polityczne w sprawie pakietu w maju 2026 r.

W połowie 2026 r. odroczenie ma charakter wstępny. Jest uzgodnione co do zasady, ale jeszcze nie zostało formalnie przyjęte i opublikowane w Dzienniku Urzędowym — przyjęcia spodziewamy się przed pierwotną datą sierpniową. Uczciwa odpowiedź na pytanie „kiedy zaczyna obowiązywać?” składa się więc z trzech części:

• 2 lutego 2025 r.: praktyki zakazane (w tym rozpoznawanie emocji w miejscu pracy) już obowiązują. To nie przyszłość. To przeszłość.
• W dużej mierze według pierwotnego harmonogramu: obowiązek znajomości AI (art. 4) i część obowiązków informacyjnych (art. 50) nie są objęte odroczeniem dla systemów wysokiego ryzyka.
• 2 grudnia 2027 r. (do czasu ostatecznego przyjęcia): pełny zestaw obowiązków dla systemów rekrutacyjnych wysokiego ryzyka, czyli to, co wszyscy nazywają „terminem”.

Potraktuj dodatkowy czas jako prezent na zbudowanie tego porządnie, a nie jako pretekst, żeby zignorować temat. UE przesunęła własny sztandarowy termin po części dlatego, że nie były gotowe normy techniczne — co dobitnie pokazuje, ile jest tu do ogarnięcia. Zespoły, które zaczną dopiero pod koniec 2027 r., będą dorabiać nadzór i logowanie do narzędzi, których nigdy pod tym kątem nie projektowano.

Jesteś dostawcą czy podmiotem stosującym?

Akt o AI dzieli odpowiedzialność między dwie role i ustalenie, którą z nich jesteś, to pierwsza rzecz do rozstrzygnięcia. Jeśli rekrutujesz, to niemal na pewno jesteś podmiotem stosującym.

Dostawca to podmiot, który tworzy system AI lub zleca jego stworzenie i wprowadza go do obrotu pod własną nazwą. W rekrutacji jest to dostawca Twojego ATS albo twórca narzędzia do przesiewania kandydatów przez AI. To na dostawcach spoczywa główny ciężar zgodności: ocena zgodności, oznakowanie CE, dokumentacja techniczna i rejestracja w bazie danych UE.

Podmiot stosujący to ten, kto używa systemu we własnym imieniu, w ramach swojej działalności zawodowej. To Ty, pracodawca. Twoje obowiązki są inne, ale jak najbardziej realne — opisuje je art. 26.

Jest tu jedna pułapka, którą warto nazwać. Podmiot stosujący może stać się dostawcą i przejąć cały jego ciężar, jeśli istotnie modyfikuje system wysokiego ryzyka albo używa go do celu, którego dostawca nie przewidział. Dotrenuj model przesiewający na własnych danych albo wepnij ogólnego asystenta AI w proces automatycznego odrzucania, do którego nigdy go nie sprzedano — a możesz awansować się do roli z większymi obowiązkami. Kupuj narzędzia stworzone do tego zadania, zamiast improwizować własne.

Obowiązki, które musi spełnić każdy zespół rekrutacyjny mający styczność z UE

Art. 26 i powiązane wymogi przekładają się na konkretną listę kontrolną. Potraktuj te punkty jak wymagania produktowe, których możesz egzekwować od dostawcy, a nie jak abstrakcyjne zasady prawne.

Nadzór człowieka: żadnych w pełni automatycznych odrzuceń

Art. 14 wymaga, by systemy wysokiego ryzyka były tak zaprojektowane, żeby ludzie mogli nad nimi skutecznie czuwać, a art. 26 ust. 2 nakłada na podmioty stosujące obowiązek powierzenia nadzoru osobom fizycznym, które są kompetentne, przeszkolone i upoważnione do jego sprawowania. W języku rekrutacji: człowiek musi umieć zrozumieć wynik AI, poprawnie go zinterpretować, zdecydować o jego nieużyciu i go nadpisać.

To, w co wymierzony jest ten przepis, to potok automatycznego odrzucania, który kasuje CV, zanim spojrzy na nie jakikolwiek człowiek. Jeśli Twoje narzędzie odsiewa kandydatów i nikt z odpowiednimi uprawnieniami tych decyzji nie weryfikuje ani nie może ich cofnąć, to nie masz nadzoru człowieka. Masz czarną skrzynkę z pieczątką „przyklepane”.

Testowanie pod kątem stronniczości i zarządzanie danymi

Art. 10 wymaga, by dane treningowe, walidacyjne i testowe były odpowiednie, reprezentatywne i sprawdzone pod kątem stronniczości. W rekrutacji to sedno ryzyka dyskryminacji. Model wytrenowany na dekadzie historycznie skrzywionych danych rekrutacyjnych odtworzy to skrzywienie na masową skalę. Powinieneś móc zapytać dostawcę, jak jego system był testowany pod kątem nierównego traktowania (disparate impact) — i otrzymać konkretną odpowiedź.

Automatyczne rejestrowanie zdarzeń

Art. 12 wymaga, by systemy wysokiego ryzyka technicznie umożliwiały automatyczne rejestrowanie zdarzeń (logów) przez cały okres działania systemu — w stopniu wystarczającym do identyfikacji sytuacji ryzyka i wsparcia monitorowania po wprowadzeniu do obrotu. To wymóg dotyczący samej konstrukcji systemu. Jeśli narzędzie nie potrafi wytworzyć zapisu tego, co zrobiło i dlaczego, nie spełnia art. 12.

Sześciomiesięczne przechowywanie logów

Art. 26 ust. 6 nakłada obowiązek przechowywania na Ciebie: podmioty stosujące muszą przechowywać automatycznie generowane logi przez co najmniej sześć miesięcy, chyba że inne przepisy (np. RODO) wymagają dłużej. Sześć miesięcy to podłoga, a nie sufit. Praktyczny test brzmi: czy pół roku po decyzji rekrutacyjnej jesteś w stanie wyciągnąć zapis tego, jak została podjęta?

Transparentność wobec kandydatów i pracowników

Obowiązują dwa wymogi. Art. 26 ust. 7 nakłada na pracodawców obowiązek poinformowania przedstawicieli pracowników i pracowników, których to dotyczy, przed wdrożeniem systemu wysokiego ryzyka w miejscu pracy. Art. 26 ust. 11 wymaga poinformowania osób, których dotyczą decyzje podejmowane przez system. Art. 50 dokłada szersze obowiązki informacyjne dotyczące interakcji z AI. Krótko mówiąc: kandydaci i pracownicy mają prawo wiedzieć, że w grze jest AI.

Prawo do wyjaśnienia dla odrzuconych kandydatów

To ten przepis, który zaskakuje. Art. 86 daje każdej osobie, której dotyczy decyzja podjęta na podstawie wyniku systemu wysokiego ryzyka i wywołująca skutki prawne lub podobnie istotne, prawo do „jasnych i zrozumiałych wyjaśnień dotyczących roli systemu AI w procedurze podejmowania decyzji oraz głównych elementów podjętej decyzji”. Odrzucony kandydat może zapytać, jak AI wpłynęła na jego odrzucenie — a Ty musisz umieć odpowiedzieć. „Algorytm powiedział nie” to nie jest odpowiedź.

DPIA i nakładanie się z RODO

Akt o AI nie zastępuje RODO. Nakłada się na nie. Decyzje zautomatyzowane o istotnych skutkach już teraz uruchamiają art. 22 RODO, a przetwarzanie wysokiego ryzyka zwykle wymaga oceny skutków dla ochrony danych (DPIA). Jeśli już prowadzisz DPIA dla danych kandydatów, rozszerz ją o system AI. Jeśli nie prowadzisz, to luka starsza niż Akt o AI — i warto ją zamknąć już teraz.

Jakie naprawdę są kary i mit o 35 mln euro w rekrutacji

Najczęstszym błędem w relacjach o Akcie o AI jest kwota kary. Zobaczysz „do 35 mln euro lub 7% obrotu” przypięte do rekrutacji. W przypadku zwykłych naruszeń dotyczących rekrutacji wysokiego ryzyka jest to błędne.

Art. 99 wprowadza kary stopniowane:

W każdym przypadku organ wybiera kwotę wyższą. Poziom 35 mln euro / 7% jest zarezerwowany dla praktyk zakazanych, a nie za to, że nie przechowujesz logów albo pominąłeś informację dla kandydata. Realna ekspozycja przy niezgodnej z prawem rekrutacji wysokiego ryzyka to 15 mln euro lub 3%.

Dla mniejszych firm przewidziano ulgę. Art. 99 ogranicza kary dla MŚP i startupów do niższej z dwóch wartości — procentu lub kwoty stałej — zamiast do wyższej. Ekspozycja jest realna, ale skaluje się z wielkością firmy, a nie wymazuje spółkę na etapie seed za potknięcie z papierologią.

Problem starych ATS-ów: automatyczne odsiewacze, które odrzucają, zanim spojrzy człowiek

Wzorcowy scenariusz „wysokie ryzyko bez zabezpieczeń” to stary ATS, który automatycznie odrzuca na podstawie dopasowania słów kluczowych albo pytań eliminujących, zanim kandydata zobaczy człowiek. Łączy on naraz trzy rzeczy, w które wymierzony jest Akt: decyzję zautomatyzowaną, brak nadzoru człowieka i brak wyjaśnienia.

To nie jest scenariusz hipotetyczny. Ten sam wzorzec konstrukcyjny jest w centrum sporu sądowego w USA. W sprawie Mobley przeciwko Workday sąd federalny dopuścił do rozpoznania roszczenia o dyskryminację przeciwko dostawcy rekrutacyjnej AI jako „agentowi” pracodawców, którzy z niego korzystają — i to dokładnie z powodu takiego automatycznego odsiewu. Akt o AI i sądy w USA dochodzą do tego samego wniosku z różnych kierunków: ryzykiem jest nieprzejrzyste, pozbawione człowieka automatyczne odrzucanie, a nie AI w rekrutacji jako taka. (Stronę amerykańską omówiliśmy w co pozew o rekrutacyjną AI przeciwko Workday oznacza dla każdego ATS-a.)

Jeśli Twoje obecne narzędzie nie potrafi powiedzieć, których kandydatów odrzuciło automatycznie, dlaczego i kto mógł to cofnąć, to odtwarzasz dokładnie ten układ faktów, którego szukają zarówno unijny regulator, jak i amerykańscy prawnicy powodów.

Akt o AI a nowojorska Local Law 144

Zespoły z USA często pytają, jak to się ma do regulacji, którą już znają. Nowojorska Local Law 144 od 2023 r. wymaga corocznych, niezależnych audytów stronniczości zautomatyzowanych narzędzi decyzji kadrowych oraz powiadomienia kandydatów. To przydatny punkt odniesienia, ale reżim UE jest znacznie szerszy.

Local Law 144 to ustawa o audycie stronniczości. Akt o AI to reżim zarządzania całym cyklem życia z karami o dwa rzędy wielkości większymi. Jeśli zbudowałeś swój proces wokół Local Law 144, potraktuj to jako punkt startowy, a nie metę.

Twoja lista kontrolna zgodności z Aktem o AI w rekrutacji

Oto, co zespół rekrutacyjny mający styczność z UE powinien umieć zrobić i udowodnić. Skopiuj ją, przekaż dostawcy i odhacz to, co Twój obecny stos już pokrywa.

1. Ustal swoją rolę. Niemal na pewno jesteś podmiotem stosującym. Nie stań się przypadkiem dostawcą przez mocne modyfikowanie narzędzia albo używanie go niezgodnie z przeznaczeniem.
2. Zmapuj swoją AI. Wypisz każde narzędzie, które przesiewa, układa w rankingu, punktuje lub ocenia kandydatów. Każde z nich jest domyślnie traktowane jako wysokiego ryzyka.
3. Zlikwiduj w pełni automatyczne odrzucenia. Zadbaj, by kompetentny, przeszkolony i upoważniony człowiek weryfikował i mógł nadpisać każdą decyzję o odrzuceniu lub awansie (art. 14, 26 ust. 2).
4. Zweryfikuj testowanie stronniczości. Zapytaj każdego dostawcę, jak jego system był testowany pod kątem nierównego traktowania, i miej to na piśmie (art. 10).
5. Potwierdź rejestrowanie zdarzeń. System musi automatycznie zapisywać, co zrobił przy każdej decyzji (art. 12).
6. Przechowuj logi co najmniej sześć miesięcy. Dłużej, jeśli wymaga tego RODO lub inne przepisy (art. 26 ust. 6).
7. Poinformuj pracowników i kandydatów. Powiadom przedstawicieli pracowników przed wdrożeniem oraz osoby, których dotyczą decyzje (art. 26 ust. 7 i 11, art. 50).
8. Bądź gotów wyjaśnić. Dla każdego odrzuconego kandydata musisz umieć przedstawić jasny, zrozumiały opis tego, jak wpłynęła na to AI (art. 86).
9. Przeprowadź DPIA. Uwzględnij system AI w ocenie skutków dla ochrony danych i w analizie art. 22 RODO.
10. Zaznacz datę w kalendarzu. Zaplanuj, że obowiązki dla systemów wysokiego ryzyka zaczną gryźć 2 grudnia 2027 r. (do czasu ostatecznego przyjęcia), a zakazy praktyk zabronionych obowiązują już od lutego 2025 r.

Jak wygląda zgodna infrastruktura rekrutacyjna — na przykładzie Kit

Najczystszy sposób spełnienia tych obowiązków to używanie systemu rekrutacyjnego, w którym są one produktem ubocznym normalnego korzystania, a nie funkcjami doczepianymi na siłę. Właściwa postawa jest prosta do opisania: AI asystuje, ludzie decydują, a system zapisuje. Kit jest zbudowany dokładnie wokół tego podziału pracy.

Nadzór człowieka jest wbudowany w strukturę, nie opcjonalny. Każda akcja zmieniająca stan aplikacji wymaga działania człowieka. Odrzucenie, awans, decyzja po ocenie i złożenie oferty — wszystko jest przypisane do konkretnej osoby. Nawet narzędzia AI w Kit nie mogą samodzielnie odrzucić kandydata; ścieżka odrzucenia przez AI wymaga zalogowanego użytkownika, sprawdzenia uprawnień i wyraźnego potwierdzenia. Nie istnieje ścieżka w kodzie, w której AI po cichu odrzuca kandydata — a to właśnie ta różnica, której szukają art. 14 i 26 ust. 2.

Ścieżka audytu jest automatyczna. Kit modeluje proces jako przypisane do osób zapisy postępu na etapach, z których każdy jest połączony z decyzją wymagającą pisemnego uzasadnienia i odnotowującą, kto ją podjął. Oś czasu kandydata renderuje to jako czytelną dla człowieka historię zdarzeń. To właśnie „automatyczne rejestrowanie zdarzeń przez cały okres działania” z art. 12 — wytwarzane jako efekt uboczny rekrutacji, a nie osobny projekt logowania.

Przechowywanie jest domyślne, nie jest obowiązkiem do odhaczenia. Ponieważ decyzje i historia etapów to pełnoprawne rekordy w bazie danych, a nie ulotne logi, które się przedawniają, utrzymują się one długo po sześciomiesięcznej podłodze z art. 26 ust. 6. Ciężar odwraca się z „jak utrzymać logi przez sześć miesięcy” na „mam już pełną, przeszukiwalną historię”.

Pochodzenie i wyjaśnienie są wbudowane. Kit oznacza, czy dany sygnał pochodzi od AI, czy od człowieka, więc system wie i potrafi ujawnić, które dane wejściowe pochodziły od AI — co wspiera obowiązki informacyjne z art. 26 ust. 11 i art. 50. A ponieważ każda decyzja ma przypisaną osobę i uzasadnienie, a oceny zawierają punkty wobec nazwanych kryteriów, Kit potrafi wytworzyć „jasne i zrozumiałe wyjaśnienie”, które art. 86 przyznaje odrzuconym kandydatom.

Żeby było jasno co do zakresu: używanie Kit nie czyni Cię automatycznie zgodnym z prawem. Nadal odpowiadasz za swoją DPIA, za powiadomienia dla pracowników i za kompetencje ludzi sprawujących nadzór. Kit sprawia natomiast, że trudne, łatwe do pominięcia elementy są domyślnie włączone — więc zapisy i zabezpieczenia, których oczekuje Akt o AI, już istnieją, gdy zapyta o nie regulator, kandydat albo Twój zarząd.

Akt o AI nie sprawił, że rekrutacja z udziałem AI stała się nielegalna. Sprawił, że nieudokumentowana, pozbawiona człowieka rekrutacja z AI stała się źródłem odpowiedzialności. Na prowadzenie wyjdą nie te zespoły, które wyrwą AI z rekrutacji. Wyjdą te, które potrafią pokazać, jak pracują: kto zdecydował, na jakiej podstawie i z jakim zapisem. Zbuduj to teraz, póki termin daje Ci przestrzeń, zamiast dorabiać to pod presją pod koniec 2027 r.

Chcesz zobaczyć, jak wygląda dający się obronić proces rekrutacyjny z człowiekiem w pętli? Rozpocznij darmowy okres próbny albo przeczytaj, czym tak naprawdę jest ATS natywnie zbudowany wokół AI.