1. Strona główna
  2. Jak legalnie wykorzystywać systemy AI w rekrutacji pracowników? RODO, Kodeks pracy i obowiązki pracodawcy
Wyszukiwanie...

Jak legalnie wykorzystywać systemy AI w rekrutacji pracowników? RODO, Kodeks pracy i obowiązki pracodawcy

Spis treści

Wykorzystanie systemów sztucznej inteligencji (AI) w procesie rekrutacji staje się coraz powszechniejsze – zarówno w dużych korporacjach, jak i mniejszych firmach technologicznych. Kuszące są korzyści: oszczędność czasu, eliminacja błędów ludzkich, szybszy dobór kandydatów. Jednak każdy pracodawca musi pamiętać, że wdrażając takie rozwiązania, wchodzi na grunt ściśle regulowany przepisami o ochronie danych osobowych – przede wszystkim RODO i Kodeksu pracy. W tym poradniku przedstawiamy, jak zgodnie z prawem korzystać z systemów AI w rekrutacji – by nie narazić się na kary i nieprawidłowości.

🧠 Jak AI wspiera rekrutację? Przykłady zastosowań

Systemy AI mogą wspomagać pracodawcę na każdym etapie rekrutacji:

  • Tworzenie profilu idealnego kandydata na podstawie wcześniejszych danych (np. CV zatrudnionych pracowników),
  • Selekcja kandydatów – porównywanie CV z profilem idealnym,
  • Chatboty i testy predykcyjne, które analizują odpowiedzi i zachowania,
  • Analiza głosu, mimiki, emocji kandydatów podczas rozmów,
  • Wybór najlepszego kandydata, a niekiedy nawet całkowicie zautomatyzowane decyzje o odrzuceniu pozostałych,
  • Zachowanie profili kandydatów na potrzeby przyszłych rekrutacji.

Wszystkie powyższe działania opierają się na przetwarzaniu danych osobowych, a więc podlegają rygorom RODO i przepisów krajowych.

Status pracodawcy w świetle RODO – administrator czy podmiot przetwarzający?

Nie ma jednego, uniwersalnego modelu – status pracodawcy zależy od tego, kto decyduje o celach i sposobach przetwarzania danych.

🧩 Możliwe scenariusze:

  1. Pracodawca sam tworzy i obsługuje system AI → jest administratorem danych (art. 4 pkt 7 RODO).
  2. Pracodawca korzysta z gotowego systemu dostarczanego przez firmę zewnętrzną → zwykle nadal pozostaje administratorem, a dostawca jest podmiotem przetwarzającym (art. 4 pkt 8 RODO).
  3. Wspólna rekrutacja z agencją zatrudnienia wykorzystującą własny system AI → możliwe jest współadministracja (art. 26 RODO).

📝 WAŻNE: Jeżeli system AI analizuje dane kandydatów w imieniu pracodawcy, musi istnieć:

  • umowa powierzenia przetwarzania danych (jeśli dostawca działa jako procesor – art. 28 RODO),
  • lub porozumienie o współadministrowaniu (jeśli obie strony mają wpływ na cel i sposób przetwarzania – art. 26 RODO).

🛡️ Jakie dane można przetwarzać w rekrutacji? Zakres z Kodeksu pracy

Zgodnie z art. 221 § 1 i 2 Kodeksu pracy, pracodawca może żądać od kandydata następujących danych:

  • imię i nazwisko,
  • data urodzenia,
  • dane kontaktowe,
  • informacje o wykształceniu, kwalifikacjach i dotychczasowym zatrudnieniu (jeśli są niezbędne).

Każde rozszerzenie tego zakresu – np. dane o stanie zdrowia, emocjach, cechach psychologicznych – musi być uzasadnione dodatkową podstawą prawną.

📌 Podstawy prawne przetwarzania danych w rekrutacji

Pracodawca musi każdorazowo wskazać konkretną podstawę prawną dla przetwarzania danych. W praktyce najczęściej będą to:

✅ Art. 6 ust. 1 lit. c RODO – obowiązek prawny

  • Dotyczy danych wymaganych przez Kodeks pracy (art. 221 § 1 k.p.).

✅ Art. 6 ust. 1 lit. f RODO – uzasadniony interes pracodawcy

  • Dotyczy np. oceny dopasowania kandydata do stanowiska, optymalizacji procesu rekrutacji.
  • Wymaga testu równowagi: pracodawca musi wykazać, że jego interes przeważa nad prawami i wolnościami kandydata.

⚠️ Art. 6 ust. 1 lit. a RODO – zgoda

  • Zgoda kandydata może być podstawą tylko dla danych dodatkowych, których nie można żądać z mocy prawa (art. 221a § 1 k.p.).
  • Zgoda musi być dobrowolna – nie może warunkować udziału w rekrutacji (221a § 2 k.p.).
  • EROD i organy nadzorcze podkreślają, że zgoda w relacji pracodawca–kandydat często nie spełnia kryterium dobrowolności.

❌ Dane wrażliwe (np. biometryczne, zdrowotne)

  • Przetwarzanie ich wymaga wyraźnej zgody z art. 9 ust. 2 lit. a RODO udzielonej z inicjatywy kandydata (221b § 1 k.p.).
  • Pracodawca nie może zmuszać do ich udostępnienia.

📍 Praktyczne przykłady

🔹 Przykład 1:

Firma TechSol sp. z o.o. wdrożyła system AI analizujący sposób wypowiedzi kandydata i jego emocje w czasie rozmowy online. System podejmuje decyzje, kogo zaprosić do dalszego etapu.

➡️ Firma nie informuje kandydatów o działaniu systemu, a analiza emocji dotyczy danych szczególnej kategorii (biometrycznych). Kandydat nie ma możliwości odmowy, nie tracąc szansy na udział w procesie.

Naruszenia:

  • Brak dobrowolnej zgody (wymuszona),
  • Brak informacji o przetwarzaniu,
  • Nieprawidłowa podstawa prawna (analiza emocji to dane biometryczne),
  • Możliwe naruszenie art. 22 RODO (automatyczne decyzje).

🔹 Przykład 2:

Firma RekruitAI S.A. korzysta z zewnętrznego systemu do wstępnej selekcji CV na podstawie określonych słów kluczowych. System nie podejmuje decyzji ostatecznej – zawsze robi to rekruter. Firma informuje o wykorzystaniu AI i przeprowadziła DPIA.

Zgodne z RODO:

  • Brak automatycznej decyzji,
  • Właściwa podstawa prawna: uzasadniony interes (art. 6 ust. 1 lit. f RODO),
  • Zapewniona transparentność i środki ochrony.

Automatyczne decyzje rekrutacyjne – czego zabrania RODO?

Czym jest decyzja oparta wyłącznie na zautomatyzowanym przetwarzaniu?

Zgodnie z art. 22 ust. 1 RODO, osoba, której dane dotyczą (czyli kandydat), ma prawo do tego, aby nie podlegać decyzji, która:

  • jest podejmowana wyłącznie w sposób zautomatyzowany (bez udziału człowieka),
  • wywołuje wobec niej skutki prawne lub w podobny sposób istotnie na nią wpływa (np. odrzucenie kandydata).

📌 Przykład: System AI sam decyduje, że kandydat nie przejdzie dalej, bo jego emocje na nagraniu rozmowy wideo zostały ocenione jako „niepewność” → mamy zautomatyzowaną decyzję.

Kiedy automatyzacja jest dozwolona? (art. 22 ust. 2 RODO)

Tylko w trzech przypadkach:

  1. Gdy jest niezbędna do zawarcia lub wykonania umowy z kandydatem,
  2. Gdy wynika z przepisów prawa (nie ma takich w Polsce),
  3. Gdy kandydat wyraził wyraźną zgodę.

📉 Praktycznie: tylko przypadek nr 1 lub 3 może mieć zastosowanie. Ale…

  • Przesłanka niezbędności do zawarcia umowy działa wyjątkowo – np. gdy pracodawca ma setki CV dziennie i nie da się inaczej dokonać wstępnej selekcji.
  • Przesłanka zgody – jak wskazywaliśmy wcześniej – jest wątpliwa z uwagi na brak równowagi między kandydatem a pracodawcą.

Wymogi przy zautomatyzowanych decyzjach

Jeśli pracodawca opiera się na art. 22 ust. 2 RODO, musi wdrożyć dodatkowe środki ochrony, w tym:

  • prawo do interwencji człowieka,
  • możliwość wyrażenia swojego stanowiska,
  • prawo do zakwestionowania decyzji (art. 22 ust. 3 RODO).

🧾 Obowiązki informacyjne – jak informować kandydata?

Zgodnie z art. 13 ust. 2 lit. f oraz art. 14 ust. 2 lit. g RODO, kandydat musi zostać poinformowany o:

  • fakcie podejmowania decyzji w sposób zautomatyzowany,
  • zasadach jej podejmowania,
  • znaczeniu i przewidywanych skutkach takiego przetwarzania.

📣 Pracodawca powinien to zrobić:

  • już na etapie ogłoszenia o pracę (jeśli sam je publikuje),
  • lub przy pierwszym kontakcie z kandydatem (np. zaproszenie do rekrutacji).

Informacje te powinny być czytelne i zrozumiałe – nie mogą być ukryte w 10. punkcie polityki prywatności.

DPIA – obowiązkowa ocena skutków przetwarzania (art. 35 RODO)

Jeżeli system AI może powodować wysokie ryzyko dla praw kandydatów, pracodawca musi przeprowadzić DPIA (ang. Data Protection Impact Assessment).

DPIA jest obowiązkowa, gdy:

  • używana jest nowa technologia (np. system AI do rekrutacji),
  • przetwarzanie ma charakter systematyczny i kompleksowy,
  • odbywa się profilowanie lub analiza zachowania,
  • może prowadzić do istotnych skutków dla kandydata (np. decyzja o zatrudnieniu).

🔎 Zgodnie z wykazem Prezesa UODO, DPIA jest konieczna m.in. dla:

  • systemów automatycznej oceny kandydatów,
  • oceny cech psychologicznych i behawioralnych,
  • przetwarzania danych biometrycznych.

🧾 Realizacja praw kandydatów jako podmiotów danych

Kandydaci mają prawo do:

  • dostępu do danych (art. 15 RODO),
  • sprostowania danych (art. 16),
  • usunięcia danych („prawo do bycia zapomnianym” – art. 17),
  • ograniczenia przetwarzania (art. 18),
  • przenoszenia danych (art. 20),
  • sprzeciwu wobec przetwarzania (art. 21),
  • wycofania zgody (art. 7 ust. 3).

Problemy praktyczne:

  • System AI może generować dane pośrednie (np. oceny, profile), które trudno przypisać konkretnej osobie,
  • Niektóre dane są „ukryte” w modelu (np. dane treningowe),
  • Dane wygenerowane przez AI mogą być nieprawdziwe („halucynacje AI”) – co narusza zasadę prawidłowości danych (art. 5 ust. 1 lit. d RODO).

🛑 Jeżeli system AI nie pozwala na sprostowanie, usunięcie lub udostępnienie danych w przejrzystej formie, nie powinien być stosowany w rekrutacji.

🧩 Podsumowanie

Legalne stosowanie AI w rekrutacji wymaga:

✔ Jasnego określenia ról – kto jest administratorem, kto procesorem
✔ Wybrania odpowiedniej podstawy prawnej przetwarzania
✔ Rezygnacji z przetwarzania danych biometrycznych bez inicjatywy kandydata
Unikania automatycznych decyzji bez udziału człowieka (chyba że są dopuszczalne)
Rzetelnej informacji dla kandydatów o działaniu systemu
Oceny skutków DPIA jeszcze przed wdrożeniem systemu
✔ Zapewnienia możliwości realizacji praw kandydatów

🧾 Podstawa prawna

  • art. 221–221b – Kodeks pracy
  • art. 4 pkt 7, 8, art. 6 ust. 1 lit. a, c, f, art. 7, 9, 13–15, 18, 20–22, 35 – Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO)
  • art. 6 ust. 2, załącznik III – Akt w sprawie sztucznej inteligencji (AIA)

🔎 Tematy porad zawartych w poradniku

  • rekrutacja a RODO 2025
  • AI w procesie rekrutacji
  • zgoda kandydata na przetwarzanie danych
  • automatyczne decyzje a prawo
  • DPIA w rekrutacji z AI
Ostatnia aktualizacja: 22.05.2025
Powiązane porady:
Czy ta porada była dla Ciebie pomocna?
Yes No