HR & Rekrytering — EU AI Act-efterlevnad

EU AI Act-skyldigheter för AI som används vid rekrytering, personalövervakning och prestationsbedömning. Bilaga III, kategori 4 omfattar alla AI-system för anställning.

Varför EU AI Act är central för HR-teknik

Artificiell intelligens har blivit djupt inbäddad i anställningspraxis inom hela EU — från automatiserad tolkning av meritförteckningar i ansökningsspårningssystem till realtidspaneler för prestationsuppföljning och beteendeanalyser i kundtjänstcentrum. EU AI Act, som trädde i kraft den 1 augusti 2024 med skyldigheter för högrisk-AI-system tillämpliga från och med 2 augusti 2026, betraktar AI inom anställning som ett område av grundläggande rättighetskänslighet som kräver den högsta nivån av regulatorisk granskning.

Bilaga III, kategori 4 i förordningen identifierar AI-system som används inom anställning, personalhantering och tillgång till egenföretagande som högrisk inom tre distinkta underkategorier: rekrytering och urval (kat. 4(a)), beslut om befordran, uppgiftstilldelning och övervakning av kontraktuella skyldigheter (kat. 4(b)), samt realtidsövervakning av arbetstagares emotionella eller beteendemässiga tillstånd (kat. 4(c)). Denna klassificering är kategorisk — det finns ingen väsentlighetströskel, inget undantag för småskalig driftsättning och ingen distinktion baserad på om verktyget är egenutvecklat eller anskaffat från en tredjepartsleverantör.

Sektorn befinner sig i skärningspunkten mellan tre regulatoriska ramverk: AI Act, GDPR (i synnerhet Art. 22 om automatiserat beslutsfattande) och nationell arbetsrätt — inklusive medbeslutanderättigheter avseende arbetsplatsteknik. Efterlevnad kräver ett samordnat angreppssätt som spänner över rättsliga, HR-, IT- och personalrådsfunktioner.

Högrisk-användningsfall — Alla system under Bilaga III Kategori 4

Rekrytering och urval (kat. 4(a))

AI-system som används i rekryteringsprocessen är högrisk utan undantag. Detta omfattar:

CV- och meritförteckningsgranskningsverktyg integrerade i ATS-plattformar (Workday, SAP SuccessFactors, Greenhouse, Lever, SmartRecruiters). Rangordning, urval och avslagslogik driven av AI faller helt och hållet inom kat. 4(a).
Analysverktyg för videointervjuer som bedömer ansiktsuttryck, röstton, talmmönster eller mikrouttryck för att bedöma kandidaters lämplighet eller personlighetsdrag (t.ex. verktyg av typen HireVue). Dessa kan även utlösa transparensskyldigheter enligt Art. 50(2) om de inkorporerar känsloigenkänning.
Algoritmer för riktad jobbannonsering som avgör vilka individer som exponeras för jobbannonser baserat på härledda egenskaper — inklusive ålder, kön eller geografiska indikatorer — är uttryckligen uppräknade i kat. 4(a) och innebär särskild risk för diskriminerande målsättning.

Personalhantering och övervakning (kat. 4(b))

AI som används för att hantera anställningsförhållandet efter rekrytering är på samma sätt högrisk:

AI för prestationsbedömning som genererar poäng, betyg eller rangordningsutdata som används som underlag för beslut om befordran, bonus eller uppsägning.
Uppgiftstilldelningsalgoritmer inom gigekonomins plattformar (Uber, Deliveroo, Amazon Flex) som tilldelar arbete, fastställer lönenivåer och beslutar om kontostängning. Dessa är högrisk enligt kat. 4(b) oavsett arbetstagarens anställningsklassificering.
Programvara för produktivitetsövervakning som aggregerar tangentbordsaktivitet, applikationsanvändning, kommunikationsmetadata eller platsdata för att generera prestationsmått. När utdata matas in i kontraktuella beslut gäller kat. 4(b).

Realtidsövervakning av emotionellt och beteendemässigt tillstånd (kat. 4(c))

Bilaga III kat. 4(c) riktar sig specifikt mot system som i realtid övervakar arbetstagares emotionella eller beteendemässiga tillstånd. Vanliga driftsättningar i tillämpningsområdet:

Känsloanalys i kundtjänstcentrum som bedömer kundernas och agenternas sentiment under pågående samtal och genererar prestandaflaggor.
Biometriska välbefinnandesplattformar som härleder stress, trötthet eller engagemangsnivåer från fysiologiska eller beteendemässiga signaler.
Uppmärksamhets- och engagemangsövervakning under distansarbete med hjälp av webkamerabaserad inferens.

Dessa system utlöser dessutom Art. 50(2): varje driftsättare som använder känsloigenkänning på arbetstagare måste underrätta dessa arbetstagare om att de är föremål för systemet. Denna underrättelseskyldighet gäller oavsett om den övergripande tidsfristen för högriskefterlevnad har iakttagits.

Leverantörers och driftsättares skyldigheter — Arbetsgivarens ställning

Enligt AI Act intar de flesta arbetsgivare rollen som driftsättare — de anskaffar högrisk-AI-system från leverantörer (programvaruleverantörer) och driftsätter dem i sina HR-processer. Distinktionen leverantör/driftsättare är juridiskt betydelsefull eftersom skyldigheterna skiljer sig åt.

Leverantörers skyldigheter (leverantörernas ansvar)

Leverantörer — HR-programvaruleverantörer — måste, innan de placerar högrisk-system på EU-marknaden:

Upprätta och upprätthålla ett kvalitetsledningssystem (Art. 9) som omfattar riskhantering, datastyrning, teknisk dokumentation och marknadsövervakning i efterhand.
Utarbeta teknisk dokumentation enligt Bilaga IV som påvisar systemets utformning, avsett ändamål, prestandamått, träningsdata och kända begränsningar.
Genomföra en konformitetsbedömning enligt Art. 43 och registrera systemet i EU-databasen (Art. 49).
Anbringa CE-märkning och utfärda en EU-konformitetsförklaring.
Förse driftsättare med bruksanvisningar (Art. 13) inklusive information om begränsningar, avsedda användarprofiler och tillsynskrav.

Driftsättares skyldigheter (arbetsgivarens ansvar)

Arbetsgivare måste:

Kontrollera leverantörens efterlevnad innan driftsättning: verifiera CE-märkning, konformitetsförklaring och tillräckliga bruksanvisningar.
Driftsätta i enlighet med anvisningarna: driftsättare får inte använda systemet för ändamål utanför dess angivna avsedda användning (Art. 25(1)).
Säkerställa meningsfull mänsklig tillsyn (Art. 25(2)): anställda utsedda att övervaka AI-utdata måste ha den befogenhet, tekniska kompetens och tid som krävs för att förstå systemets utdata och åsidosätta dem när så är lämpligt. Nominell mänsklig granskning — ett formellt godkännande utan genuin utvärdering — uppfyller inte detta krav.
Genomföra en konsekvensbedömning avseende grundläggande rättigheter (FRIA) (Art. 27): obligatorisk för offentliga driftsättare; starkt rekommenderad för privata arbetsgivare som driftsätter kat. 4-system, särskilt när utdata påverkar skyddade egenskaper.
Övervaka risker efter driftsättning: om en driftsättare identifierar risker som leverantören inte förutsåg måste driftsättaren underrätta leverantören och, där relevant, marknadstillsynsmyndigheten.
Upphöra med användningen om allvarliga incidenter inträffar eller om systemet befinns vara icke-kompatibelt i drift.

Samspelet med GDPR Artikel 22 och arbetsrätten

GDPR Artikel 22 — Automatiserat beslutsfattande

GDPR Art. 22 gäller fullt ut parallellt med AI Act och är direkt tillämplig på AI i HR-sammanhang. Den förbjuder beslut som uteslutande grundas på automatiserad behandling när dessa beslut medför rättsliga eller liknande väsentliga effekter för den registrerade. I anställningssammanhang är följande beslut otvetydigt i tillämpningsområdet: anställning och avslag, uppsägning, befordran och degradering, lönebestämning samt disciplinära åtgärder.

Efterlevnad kräver:

Meningsfull mänsklig intervention innan varje konsekvensgrundande beslut fattas — den granskande personen måste ha tillgång till underliggande data och logik, inte enbart en sammanfattande rekommendation.
Rätt att begära mänsklig granskning av varje automatiserat beslut, med genuin kapacitet för omprövning.
En rättslig grund för behandling enligt Art. 6 och, där känsliga personuppgifter är inblandade (hälsa, etnicitet, biometriska uppgifter härledda från ansiktsanalys), enligt Art. 9.

AI Act och GDPR är kompletterande, inte ömsesidigt uteslutande. Art. 2(7) i AI Act bekräftar att den tillämpas utan att det påverkar tillämpningen av GDPR. Arbetsgivare måste uppfylla båda regelverken samtidigt.

Nationell arbetsrätt — Personalråd och medbeslutande

I flera EU-medlemsstater ger nationell arbetsrätt medbeslutanderättigheter avseende arbetsplatsteknik som gäller för AI-system oberoende av AI Act:

Tyskland — Betriebsverfassungsgesetz §87(1) nr. 6: personalrådet har en bindande medbeslutanderätt vid införandet av tekniska anordningar utformade för att övervaka anställdas beteende eller prestationer. Driftsättning av AI-övervaknings- eller utvärderingsverktyg utan föregående personalrådsöverenskommelse kan överklagas till arbetsdomstolen (Arbeitsgericht) och förbjudas.
Nederländerna — Wet op de ondernemingsraden (WOR) Art. 27: ondernemingsraad har samtyckesrättigheter avseende personalsystem och övervakningsarrangemang.
Österrike — Arbeitsverfassungsgesetz §96: bindande medbeslutande vid övervakningsåtgärder som påverkar personlig värdighet.
Frankrike — Code du Travail L. 2312-38: Comité Social et Économique måste informeras och rådfrågas innan automatiserade verktyg som påverkar arbetsvillkoren driftsätts.

Personalrådens rättigheter kräver vanligen förhandsbesked, dokumentation av systemets funktionssätt och i många fall ett formellt avtal eller en personalöverenskommelse (Betriebsvereinbarung) innan driftsättning. Dessa skyldigheter utlöses före AI Acts efterlevnadstidsfrist och kan inte skjutas upp.

Direktiv 2002/14/EG om information och samråd med anställda utgör dessutom ett ramverk för europeiska företagsråd i multinationella koncerner som driftsätter AI-verktyg inom flera medlemsstater.

Tillsyn — Dataskyddsmyndigheter, jämlikhetsorgan och arbetsinspektioner

Tillsyn av AI Act-skyldigheter inom HR-sektorn kommer att involvera flera behöriga myndigheter:

Dataskyddsmyndigheter (DPA:er): i många medlemsstater kommer den primära marknadstillsynsmyndighetens roll att ligga hos eller tillsammans med DPA. DPA:er har parallell behörighet enligt GDPR Art. 22 för överträdelser av reglerna om automatiserat beslutsfattande. EDPB:s riktlinjer om AI och anställning utgör den auktoritativa tolkningen på EU-nivå.
Nationella jämlikhetsorgan: där AI-system producerar diskriminerande utfall vid rekrytering eller befordran — till exempel oproportionerlig påverkan på kvinnor, etniska minoriteter eller äldre arbetstagare — har jämlikhetsorgan (t.ex. ECRI, Défenseur des droits, Equinet-medlemmar) utrednings- och tillsynsbefogenheter enligt likabehandlingsdirektiven (2000/43/EG, 2000/78/EG, 2006/54/EG).
Arbetsinspektioner: i medlemsstater med starka arbetsinspektionsregimer kan inspektörer utreda AI-relaterade överträdelser avseende arbetsvillkor, begränsningar av övervakning och personalrådens rättigheter. Frankrike (DREETS), Tyskland (Gewerbeaufsicht) och Spanien (Inspección de Trabajo) är exempel på aktiva tillsynsorgan.

Sanktioner enligt AI Act uppgår till 30 miljoner euro eller 6 % av den globala årsomsättningen för förbjudna metoder, och 15 miljoner euro eller 3 % av omsättningen för andra högrisköverväganden. GDPR-böter enligt Art. 83 tillkommer kumulativt. Ryktesrisker och talan från anställda enligt nationell arbetsrätt utgör ytterligare exponering.

Efterlevnadsplan för HR-professionella

Ett strukturerat efterlevnadsprogram för arbetsgivare som driftsätter AI inom HR bör i sekvens adressera följande:

1. Inventering av AI-system: katalogisera alla AI-verktyg som används i anställningsprocessens samtliga faser — rekrytering, introduktion, prestationshantering, personalplanering och avslut. Identifiera Bilaga III-kategorin för varje verktyg och bekräfta högriskklassificeringen.

2. Leverantörsgranskning: innan den 2 augusti 2026 (eller vid nästa avtalsförnyelse), begär från varje leverantör: CE-märkning, EU-konformitetsförklaring, sammanfattning av teknisk dokumentation och bruksanvisningar. Leverantörer som inte kan tillhandahålla dessa bör behandlas som icke-kompatibla.

3. Samråd med personalråd: inled medbeslutande- eller samrådsförfaranden enligt tillämplig nationell rätt för alla AI-system som ännu inte är föremål för formellt avtal. Dokumentera utfallen i en personalöverenskommelse eller motsvarande instrument.

4. Granskning av GDPR Art. 22: kartlägg alla HR-beslut med rättsliga eller väsentliga effekter och verifiera att inget beslut uteslutande vilar på automatiserat utdata. Implementera protokoll för mänsklig tillsyn med dokumenterad granskarskompetens och interventionsregister.

5. Konsekvensbedömning avseende grundläggande rättigheter: genomför FRIA enligt Art. 27 för alla Bilaga III kat. 4-driftsättningar. För offentliga arbetsgivare är detta obligatoriskt; för privata arbetsgivare utgör det den förväntade standarden för aktsamhet och ett försvar mot tillsynsåtgärder.

6. Transparensskyldigheter: implementera underrättelse till anställda enligt Art. 50(2) för alla känsloigenkänningssystem. Säkerställ att jobbsökande informeras om AI-assisterad granskning enligt GDPR:s transparenskrav (Art. 13–14).

7. Kapacitet för mänsklig tillsyn: verifiera att personal utsedd att granska AI-utdata inom HR har genuin befogenhet att åsidosätta rekommendationer, tillräcklig tid för meningsfull granskning och dokumenterad utbildning anpassad till systemets komplexitet.

8. Rutiner för incidenthantering: upprätta rutiner för loggning, utredning och rapportering av allvarliga incidenter som involverar AI-system inom HR, i enlighet med leverantörsskyldigheter enligt Art. 73 som vidarebefordras till driftsättare via avtalsmässiga arrangemang.

Efterlevnad inom denna sektor är inte ett engångsprojekt. Kombinationen av AI Act-skyldigheter, DPA:ers fortlöpande vägledning om GDPR Art. 22 och aktivt personalrådsengagemang kräver en löpande styrningsstruktur med dedikerat ägarskap inom HR-, rättsliga och dataskyddsfunktioner.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Är AI för CV-granskning automatiskt högrisk enligt EU AI Act?

Ja. **Bilaga III, kategori 4(a)** listar uttryckligen AI som används för rekrytering och urval — inklusive CV-granskning, rangordning av meritförteckningar och riktad jobbannonsering — som högrisk. Det finns ingen minimitröskel. Varje granskningsverktyg integrerat i ett ATS som driftsätts inom EU omfattas av hela uppsättningen högriskåtaganden enligt **Art. 9–15** och **Art. 25–27**, oavsett leverantörens storlek eller modellens komplexitet.

Måste arbetsgivare samråda med personalrepresentanter innan AI-baserade rekryterings- eller övervakningsverktyg driftsätts?

I Tyskland ger **Betriebsverfassungsgesetz §87(1) nr. 6** personalråd bindande medbeslutanderätt över tekniska övervakningsanordningar, vilket inkluderar AI-system som övervakar anställdas beteende eller prestationer. Motsvarande samrådsrättigheter gäller i Nederländerna (OR), Österrike (Betriebsrat) och Frankrike (Comité Social et Économique). Att inte inhämta förhandsgodkännande kan göra driftsättningen rättsstridig enligt nationell arbetsrätt, oberoende av efterlevnad av AI Act.

Hur samverkar GDPR Artikel 22 med AI Act i HR-sammanhang?

**GDPR Art. 22** förbjuder beslut som uteslutande grundas på automatiserad behandling och som medför rättsliga eller liknande väsentliga effekter för den enskilde. I HR-sammanhang är beslut om anställning, uppsägning och befordran utan tvekan i tillämpningsområdet. AI Act ersätter inte Art. 22 — den tillfogar skyldigheter ovanpå de befintliga. Arbetsgivare måste säkerställa **meningsfull mänsklig granskning** innan varje konsekvensgrundande beslut fattas, dokumentera denna granskning och se till att den granskande personen har kompetens och befogenhet att åsidosätta AI-systemets utdata.

Kan AI för känsloigenkänning användas vid jobbintervjuer?

AI för känsloigenkänning är inte förbjuden i rekryteringssammanhang, men **Art. 50(2)** i AI Act ålägger en obligatorisk transparensskyldighet: den som driftsätter systemet måste informera individerna när de är föremål för ett känsloigenkänningssystem. Eftersom sådana system utgör högrisk-AI enligt Bilaga III kat. 4(a) gäller dessutom alla högriskskrav — konformitetsbedömning, teknisk dokumentation, mänsklig tillsyn och konsekvensbedömning avseende grundläggande rättigheter. Den vetenskapliga giltigheten hos känsloigenkänning i rekryteringssammanhang är mycket omtvistad, vilket ger upphov till ytterligare proportionalitetsproblem under GDPR.

Vad måste en arbetsgivare göra när ett tredjeparts AI-rekryteringsverktyg används (t.ex. från Workday eller SAP SuccessFactors)?

Arbetsgivare är **driftsättare** enligt AI Act (**Art. 3(4)**) och bär specifika åtaganden enligt **Art. 25–27**. De måste: kontrollera att leverantören har tillhandahållit en konformitetsförklaring, EU-teknisk dokumentation och bruksanvisningar; driftsätta systemet i enlighet med dessa anvisningar; säkerställa att utsedd personal med tillsynsansvar har befogenhet, kompetens och tid att ingripa; genomföra en **konsekvensbedömning avseende grundläggande rättigheter** (obligatorisk för offentliga driftsättare; rekommenderas för privata); och tillfälligt upphöra med användningen om risker uppstår. Driftsättare får inte kringgå leverantörens begränsningar eller använda systemet för ändamål utanför dess avsedda användningsområde.

Gäller AI Act för AI som används för uppgiftstilldelning inom gigekonomin?

Ja. **Bilaga III, kategori 4(b)** omfattar AI som används för uppgiftstilldelning och övervakning av arbetstagares kontraktuella skyldigheter, vilket direkt inbegriper algoritmiska managementsystem som används av plattformar inom gigekonomin såsom budtjänster, taxitjänster och tjänster på begäran. Dessa system är högrisk. Arbetstagare på dessa plattformar har rätt till meningsfull mänsklig tillsyn över beslut som påverkar deras tillgång till arbete, lönenivåer och kontostängning.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.