HR i rekrutacja — zgodność z Aktem o AI UE

Obowiązki wynikające z Aktu o AI UE dotyczące AI stosowanej w rekrutacji, monitorowaniu pracowników i ocenie wyników. Kategoria 4 załącznika III obejmuje wszystkie systemy AI w obszarze zatrudnienia.

Dlaczego Akt o AI UE ma kluczowe znaczenie dla technologii HR

Sztuczna inteligencja jest głęboko zakorzeniona w praktykach zatrudnienia w całej UE — od zautomatyzowanego parsowania aplikacji w systemach śledzenia kandydatów po pulpity wyników w czasie rzeczywistym i analizę behawioralną w centrach obsługi klienta. Akt o AI UE, obowiązujący od 1 sierpnia 2024 r. — przy czym obowiązki dotyczące systemów AI wysokiego ryzyka stosuje się od 2 sierpnia 2026 r. — traktuje AI w zatrudnieniu jako obszar wrażliwy z punktu widzenia praw podstawowych, wymagający najwyższego poziomu kontroli regulacyjnej.

Załącznik III, kategoria 4 Rozporządzenia identyfikuje systemy AI stosowane w zatrudnieniu, zarządzaniu pracownikami i dostępie do samozatrudnienia jako systemy wysokiego ryzyka w ramach trzech odrębnych podkategorii: rekrutacji i selekcji (kat. 4(a)), decyzji dotyczących awansu, przydziału zadań i monitorowania obowiązków umownych (kat. 4(b)) oraz monitorowania w czasie rzeczywistym stanów emocjonalnych lub behawioralnych pracowników (kat. 4(c)). Klasyfikacja ta ma charakter kategoryczny — nie istnieje żaden próg istotności, żadne wyłączenie dla małych wdrożeń ani żadne rozróżnienie oparte na tym, czy narzędzie jest własne, czy nabyte od zewnętrznego dostawcy.

Sektor ten sytuuje się na przecięciu trzech ram regulacyjnych: Aktu o AI, GDPR (w szczególności art. 22 dotyczącego zautomatyzowanego podejmowania decyzji) oraz krajowego prawa pracy — w tym prawa współdecydowania w zakresie technologii stosowanych w miejscu pracy. Zapewnienie zgodności wymaga skoordynowanego podejścia obejmującego działy prawny, HR, IT oraz współpracę z radami pracowników.

Przypadki użycia wysokiego ryzyka — wszystkie systemy z kategorii 4 załącznika III

Rekrutacja i selekcja (kat. 4(a))

Systemy AI stosowane w procesie rekrutacji są bez wyjątku systemami wysokiego ryzyka. Obejmuje to:

Narzędzia do selekcji CV i aplikacji zintegrowane z platformami ATS (Workday, SAP SuccessFactors, Greenhouse, Lever, SmartRecruiters). Logika rankingowania, krótkiego listowania i odrzucania kandydatów oparta na AI wchodzi bezpośrednio w zakres kat. 4(a).
Narzędzia do analizy rozmów kwalifikacyjnych wideo oceniające mimikę twarzy, ton głosu, wzorce mowy lub mikrowyrazy w celu wnioskowania o przydatności kandydata lub cechach osobowości (np. narzędzia typu HireVue). Mogą one również uruchamiać obowiązki dotyczące przejrzystości wynikające z art. 50(2), jeśli zawierają rozpoznawanie emocji.
Algorytmy ukierunkowanej reklamy ofert pracy decydujące o tym, którym osobom wyświetlane są ogłoszenia o pracę na podstawie wnioskowanych cech — w tym wieku, płci lub wskaźników geograficznych — są wyraźnie wymienione w kat. 4(a) i stwarzają szczególne ryzyko dyskryminacyjnego targetowania.

Zarządzanie personelem i monitorowanie (kat. 4(b))

AI stosowana do zarządzania stosunkiem pracy po zatrudnieniu jest równie wysokiego ryzyka:

AI do oceny wyników generująca wyniki, oceny lub rankingi służące do podejmowania decyzji o awansach, premiach lub zwolnieniach.
Algorytmy przydziału zadań na platformach gospodarki gig (Uber, Deliveroo, Amazon Flex) przydzielające pracę, ustalające stawki wynagrodzenia i decydujące o dezaktywacji. Są one systemami wysokiego ryzyka na podstawie kat. 4(b), niezależnie od klasyfikacji pracowniczej danej osoby.
Oprogramowanie do monitorowania produktywności agregujące aktywność na klawiaturze, użycie aplikacji, metadane komunikacji lub dane lokalizacyjne w celu generowania wskaźników wydajności. Gdy wyniki wpływają na decyzje dotyczące umów, stosuje się kat. 4(b).

Monitorowanie stanów emocjonalnych i behawioralnych w czasie rzeczywistym (kat. 4(c))

Kat. 4(c) załącznika III jest skierowana konkretnie do systemów monitorujących stan emocjonalny lub behawioralny pracowników w czasie rzeczywistym. Do powszechnych wdrożeń objętych zakresem należą:

Analityka emocji w call center oceniająca nastrój rozmówcy i agenta podczas połączeń na żywo oraz generująca flagi wydajności.
Biometryczne platformy dobrostanu wnioskujące o poziomie stresu, zmęczeniu lub zaangażowaniu na podstawie sygnałów fizjologicznych lub behawioralnych.
Monitorowanie uwagi i zaangażowania podczas pracy zdalnej z wykorzystaniem wnioskowania opartego na kamerze internetowej.

Systemy te dodatkowo uruchamiają art. 50(2): każdy podmiot stosujący AI do rozpoznawania emocji wobec pracowników musi poinformować tych pracowników o podleganiu danemu systemowi. Obowiązek ten ma zastosowanie niezależnie od tego, czy spełniony został szerszy harmonogram zgodności dla systemów wysokiego ryzyka.

Obowiązki dostawcy a obowiązki podmiotu stosującego — pozycja pracodawcy

Na podstawie Aktu o AI większość pracodawców pełni rolę podmiotu stosującego — pozyskuje systemy AI wysokiego ryzyka od dostawców (dostawców oprogramowania) i wdraża je w swoich procesach HR. Rozróżnienie między dostawcą a podmiotem stosującym jest istotne prawnie, ponieważ obowiązki obu stron różnią się.

Obowiązki dostawcy (odpowiedzialność sprzedawcy oprogramowania)

Dostawcy — dostawcy oprogramowania HR — muszą przed wprowadzeniem systemów wysokiego ryzyka na rynek UE:

Ustanowić i utrzymywać system zarządzania jakością (art. 9) obejmujący zarządzanie ryzykiem, zarządzanie danymi, dokumentację techniczną i monitorowanie po wprowadzeniu do obrotu.
Przygotować dokumentację techniczną zgodnie z załącznikiem IV wykazującą projekt systemu, zamierzone przeznaczenie, wskaźniki wydajności, dane treningowe i znane ograniczenia.
Przeprowadzić ocenę zgodności na podstawie art. 43 i zarejestrować system w bazie danych UE (art. 49).
Umieścić oznakowanie CE i wydać deklarację zgodności UE.
Dostarczyć podmiotom stosującym instrukcje użytkowania (art. 13) zawierające informacje o ograniczeniach, docelowych profilach użytkowników i wymogach dotyczących nadzoru.

Obowiązki podmiotu stosującego (odpowiedzialność pracodawcy)

Pracodawcy muszą:

Weryfikować zgodność dostawcy przed wdrożeniem: sprawdzać oznakowanie CE, deklarację zgodności i odpowiednie instrukcje użytkowania.
Wdrażać system zgodnie z instrukcjami: podmioty stosujące nie mogą używać systemu do celów wykraczających poza jego deklarowane zamierzone zastosowanie (art. 25(1)).
Zapewnić istotny nadzór ludzki (art. 25(2)): pracownicy wyznaczeni do nadzorowania wyników AI muszą mieć uprawnienia, kompetencje techniczne i czas niezbędny do zrozumienia wyników systemu i ich zastąpienia, gdy jest to właściwe. Nominalny przegląd przez człowieka — zaznaczenie pola wyboru bez rzeczywistej oceny — nie spełnia tego wymogu.
Przeprowadzić ocenę skutków dla praw podstawowych (FRIA) (art. 27): obowiązkową dla podmiotów stosujących z sektora publicznego; zdecydowanie zalecaną dla pracodawców z sektora prywatnego wdrażających systemy z kat. 4, w szczególności gdy wyniki dotyczą chronionych cech.
Monitorować ryzyka po wdrożeniu: jeżeli podmiot stosujący identyfikuje ryzyka, których dostawca nie przewidział, musi powiadomić dostawcę i, w stosownych przypadkach, organ nadzoru rynku.
Zawiesić używanie w przypadku poważnych incydentów lub stwierdzenia niezgodności systemu podczas eksploatacji.

Interakcja z art. 22 GDPR i prawem pracy

Art. 22 GDPR — zautomatyzowane podejmowanie decyzji

Art. 22 GDPR pozostaje w pełni operacyjny obok Aktu o AI i ma bezpośrednie zastosowanie do AI w HR. Zakazuje podejmowania decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, gdy decyzje te wywołują skutki prawne lub podobnie istotne skutki dla osoby, której dane dotyczą. W kontekście zatrudnienia następujące decyzje w sposób jednoznaczny wchodzą w zakres tego przepisu: zatrudnienie i odrzucenie, rozwiązanie stosunku pracy, awans i degradacja, ustalenie wynagrodzenia oraz działania dyscyplinarne.

Zapewnienie zgodności wymaga:

Istotnej interwencji człowieka przed podjęciem jakiejkolwiek decyzji o znaczących konsekwencjach — osoba dokonująca przeglądu musi mieć dostęp do danych źródłowych i logiki, a nie jedynie do podsumowania rekomendacji.
Prawa do uzyskania przeglądu przez człowieka każdej zautomatyzowanej decyzji na wniosek, z realną zdolnością do ponownego rozpatrzenia.
Podstawy prawnej przetwarzania na podstawie art. 6 oraz, w przypadku danych szczególnych kategorii (dane dotyczące zdrowia, pochodzenia etnicznego, danych biometrycznych wnioskowanych z analizy twarzy) — na podstawie art. 9.

Akt o AI i GDPR są uzupełniające, nie wzajemnie wykluczające się. Art. 2(7) Aktu o AI potwierdza, że ma on zastosowanie bez uszczerbku dla GDPR. Pracodawcy muszą spełniać oba reżimy regulacyjne jednocześnie.

Krajowe prawo pracy — rady pracowników i współdecydowanie

W kilku państwach członkowskich UE krajowe prawo pracy przyznaje prawa współdecydowania w zakresie technologii stosowanych w miejscu pracy, które mają zastosowanie do systemów AI niezależnie od Aktu o AI:

Niemcy — Betriebsverfassungsgesetz §87(1) pkt 6: rada zakładowa ma wiążące prawo współdecydowania w sprawie wprowadzenia urządzeń technicznych zaprojektowanych do monitorowania zachowania lub wyników pracowników. Wdrożenie narzędzi AI do monitorowania lub oceny bez uprzedniego porozumienia z radą zakładową może być zaskarżone przed sądem pracy (Arbeitsgericht) i zablokowane.
Niderlandy — Wet op de ondernemingsraden (WOR) art. 27: ondernemingsraad ma prawa zgody w zakresie systemów personalnych i rozwiązań monitorujących.
Austria — Arbeitsverfassungsgesetz §96: wiążące współdecydowanie w zakresie środków monitorowania wpływających na godność osobistą.
Francja — Code du Travail L. 2312-38: Comité Social et Économique musi być informowany i konsultowany przed wdrożeniem zautomatyzowanych narzędzi wpływających na warunki pracy.

Prawa rad pracowników wymagają zazwyczaj uprzedniego powiadomienia, dokumentacji dotyczącej funkcjonowania systemu, a w wielu przypadkach formalnego porozumienia lub układu zakładowego (Betriebsvereinbarung) przed wdrożeniem. Obowiązki te są uruchamiane przed harmonogramem zgodności z Aktem o AI i nie mogą być odraczane.

Dyrektywa 2002/14/WE w sprawie informowania i konsultowania pracowników stanowi również ramy dla Europejskich Rad Zakładowych w grupach wielonarodowych wdrażających narzędzia AI w różnych państwach członkowskich.

Egzekwowanie — organy ochrony danych, organy ds. równości i inspekcje pracy

Egzekwowanie obowiązków wynikających z Aktu o AI w sektorze HR będzie angażować wiele właściwych organów:

Organy ochrony danych (DPA): w wielu państwach członkowskich wyznaczenie jako główny organ nadzoru rynku będzie spoczywać na organie ochrony danych lub obok niego. DPA mają współbieżne kompetencje na podstawie art. 22 GDPR w zakresie naruszeń dotyczących zautomatyzowanego podejmowania decyzji. Wytyczne EDPB w sprawie AI i zatrudnienia pozostają miarodajną wykładnią na poziomie UE.
Krajowe organy ds. równości: w przypadku gdy systemy AI powodują dyskryminacyjne wyniki w rekrutacji lub awansach — na przykład nieproporcjonalne skutki dla kobiet, mniejszości etnicznych lub starszych pracowników — organy ds. równości (np. ECRI, Défenseur des droits, członkowie Equinet) mają uprawnienia dochodzeniowe i egzekucyjne na podstawie dyrektyw o równym traktowaniu (2000/43/WE, 2000/78/WE, 2006/54/WE).
Inspekcje pracy: w państwach członkowskich z silnym systemem inspekcji pracy inspektorzy mogą prowadzić dochodzenia w sprawie naruszeń warunków pracy, ograniczeń monitorowania i praw rad pracowników związanych z AI. Przykładami aktywnych organów egzekwowania są Francja (DREETS), Niemcy (Gewerbeaufsicht) i Hiszpania (Inspección de Trabajo).

Kary na podstawie Aktu o AI sięgają 30 mln EUR lub 6% globalnego rocznego obrotu za zakazane praktyki, oraz 15 mln EUR lub 3% obrotu za inne naruszenia dotyczące systemów wysokiego ryzyka. Kary GDPR na podstawie art. 83 stosuje się kumulatywnie. Dodatkowe narażenie stanowią ryzyko reputacyjne i spory sądowe pracownicze na podstawie krajowego prawa pracy.

Plan działań dla specjalistów HR

Ustrukturyzowany program zapewnienia zgodności dla pracodawców wdrażających AI w HR powinien obejmować następujące kroki w kolejności:

1. Inwentaryzacja systemów AI: zewidencjonowanie wszystkich narzędzi AI stosowanych w całym cyklu zatrudnienia — rekrutacji, onboardingu, zarządzaniu wynikami, planowaniu personelu i rozstaniu z pracownikiem. Dla każdego narzędzia należy zidentyfikować kategorię z załącznika III i potwierdzić klasyfikację jako system wysokiego ryzyka.

2. Należyta staranność wobec dostawców: przed 2 sierpnia 2026 r. (lub przy następnym odnowieniu umowy) należy żądać od każdego dostawcy: oznakowania CE, deklaracji zgodności UE, podsumowania dokumentacji technicznej i instrukcji użytkowania. Dostawcy, którzy nie są w stanie ich dostarczyć, powinni być traktowani jako niezgodni z przepisami.

3. Konsultacje z radami pracowników: wszczęcie procedur współdecydowania lub konsultacji na podstawie właściwego prawa krajowego dla wszystkich systemów AI nieobjętych jeszcze formalnym porozumieniem. Dokumentowanie wyników w układzie zakładowym lub równoważnym instrumencie.

4. Audyt art. 22 GDPR: mapowanie wszystkich decyzji HR wywołujących skutki prawne lub istotne skutki oraz weryfikacja, że żadna decyzja nie opiera się wyłącznie na zautomatyzowanym wyniku. Wdrożenie protokołów nadzoru ludzkiego z udokumentowanymi kompetencjami recenzenta i zapisami interwencji.

5. Ocena skutków dla praw podstawowych: przeprowadzenie FRIA na podstawie art. 27 dla wszystkich wdrożeń z kat. 4 załącznika III. Dla pracodawców z sektora publicznego jest ona obowiązkowa; dla pracodawców z sektora prywatnego stanowi oczekiwany standard należytej staranności i argument obronny w postępowaniu egzekucyjnym.

6. Obowiązki dotyczące przejrzystości: wdrożenie powiadomień pracowników na podstawie art. 50(2) dla każdego systemu rozpoznawania emocji. Zapewnienie informowania kandydatów do pracy o wspomaganej przez AI selekcji zgodnie z wymogami przejrzystości GDPR (art. 13–14).

7. Zdolność nadzoru ludzkiego: weryfikacja, że personel wyznaczony do przeglądu wyników AI w HR ma rzeczywiste uprawnienia do zastępowania rekomendacji, wystarczający czas na przeprowadzenie rzetelnego przeglądu oraz udokumentowane szkolenie odpowiednie do złożoności systemu.

8. Procedury reagowania na incydenty: ustanowienie procedur rejestrowania, badania i zgłaszania poważnych incydentów związanych z systemami AI HR, zgodnie z obowiązkami dostawcy wynikającymi z art. 73, przekazanymi podmiotom stosującym poprzez ustalenia umowne.

Zapewnienie zgodności w tym sektorze nie jest jednorazowym projektem. Połączenie obowiązków wynikających z Aktu o AI, ewoluujących wytycznych DPA dotyczących art. 22 GDPR oraz aktywnego zaangażowania rad pracowników wymaga stałej struktury zarządzania z dedykowaną odpowiedzialnością w ramach funkcji HR, prawnej i ochrony danych.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Czy AI do selekcji CV jest automatycznie wysokiego ryzyka na podstawie Aktu o AI UE?

Tak. **Załącznik III, kategoria 4(a)** wyraźnie wymienia AI stosowaną w rekrutacji i selekcji — w tym selekcję CV, ranking aplikacji i ukierunkowane reklamy ofert pracy — jako systemy wysokiego ryzyka. Nie istnieje żaden próg de minimis. Każde narzędzie do selekcji zintegrowane z systemem ATS i wdrożone w UE podlega pełnemu zakresowi obowiązków dla systemów wysokiego ryzyka określonych w **art. 9–15** i **art. 25–27**, niezależnie od wielkości dostawcy ani stopnia zaawansowania modelu.

Czy pracodawcy muszą konsultować się z radami pracowników przed wdrożeniem narzędzi AI do rekrutacji lub monitorowania?

W Niemczech **Betriebsverfassungsgesetz §87(1) pkt 6** przyznaje radom zakładowym wiążące prawa współdecydowania w zakresie technicznych urządzeń nadzorczych, co obejmuje systemy AI monitorujące zachowanie lub wyniki pracowników. Równoważne prawa konsultacyjne obowiązują w Niderlandach (OR), Austrii (Betriebsrat) i Francji (Comité Social et Économique). Brak uprzedniego porozumienia może skutkować uznaniem wdrożenia za niezgodne z prawem na podstawie krajowego prawa pracy, niezależnie od zgodności z Aktem o AI.

W jaki sposób art. 22 GDPR wchodzi w interakcję z Aktem o AI w kontekście HR?

**Art. 22 GDPR** zakazuje podejmowania decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywołują skutki prawne lub podobnie istotne skutki dla osób fizycznych. W obszarze HR decyzje o zatrudnieniu, rozwiązaniu stosunku pracy i awansie w oczywisty sposób wchodzą w zakres tego przepisu. Akt o AI nie zastępuje art. 22 — nakłada na niego dodatkowe obowiązki. Pracodawcy muszą zapewnić **istotny przegląd przez człowieka** przed podjęciem jakiejkolwiek decyzji o znaczących konsekwencjach, prowadzić dokumentację tego przeglądu oraz zapewnić, że osoba dokonująca przeglądu ma kompetencje i uprawnienia do zastąpienia wyników AI.

Czy AI do rozpoznawania emocji może być stosowana podczas rozmów kwalifikacyjnych?

AI do rozpoznawania emocji nie jest zakazana w kontekście rekrutacji, jednak **art. 50(2)** Aktu o AI nakłada obowiązkowy obowiązek przejrzystości: podmioty stosujące muszą informować osoby fizyczne o tym, że podlegają systemowi rozpoznawania emocji. Ponadto, ponieważ takie systemy stanowią AI wysokiego ryzyka w kategorii 4(a) załącznika III, mają zastosowanie wszystkie wymogi dotyczące systemów wysokiego ryzyka — ocena zgodności, dokumentacja techniczna, nadzór ludzki i ocena skutków dla praw podstawowych. Naukowa zasadność rozpoznawania emocji w rekrutacji jest powszechnie kwestionowana, co rodzi dodatkowe obawy związane z proporcjonalnością na gruncie GDPR.

Co musi zrobić pracodawca, korzystając z zewnętrznego narzędzia AI do rekrutacji (np. Workday lub SAP SuccessFactors)?

Pracodawcy są **podmiotami stosującymi** na podstawie Aktu o AI (**art. 3(4)**) i ponoszą szczególne obowiązki wynikające z **art. 25–27**. Muszą: weryfikować, czy dostawca dostarczył deklarację zgodności, dokumentację techniczną UE i instrukcje użytkowania; wdrażać system zgodnie z tymi instrukcjami; zapewniać, że wyznaczony personel nadzorujący AI ma uprawnienia, kompetencje i czas niezbędne do interwencji; przeprowadzać **ocenę skutków dla praw podstawowych** (obowiązkową dla podmiotów sektora publicznego; zalecaną dla sektora prywatnego); oraz zawieszać używanie systemu w przypadku wystąpienia ryzyk. Podmioty stosujące nie mogą obchodzić ograniczeń nałożonych przez dostawcę ani używać systemu do celów wykraczających poza jego zamierzone zastosowanie.

Czy Akt o AI ma zastosowanie do AI stosowanej przy przydziale zadań w gospodarce gig?

Tak. **Załącznik III, kategoria 4(b)** obejmuje AI stosowaną do przydziału zadań i monitorowania obowiązków umownych pracowników, co bezpośrednio dotyczy systemów zarządzania algorytmicznego stosowanych przez platformy gospodarki gig, takie jak platformy dostaw, przewozów i usług na żądanie. Systemy te są systemami wysokiego ryzyka. Pracownicy na tych platformach mają prawo do istotnego nadzoru ludzkiego nad decyzjami dotyczącymi ich dostępu do pracy, stawek wynagrodzenia i dezaktywacji konta.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.