AI w rekrutacji · Warsztat 9

RODO, AI Act i etyka — bezpieczne AI w rekrutacji

Co wolno, czego nie wolno i jak korzystać z modeli językowych tak, żeby nie tłumaczyć się przed UODO ani przed kandydatem.

Dlaczego ten moduł jest ważniejszy, niż brzmi

Wszystkie techniki z poprzednich modułów — streszczanie CV, chatboty, automatyczne odpowiedzi — dotykają danych osobowych kandydatów. To znaczy, że każda z nich podlega RODORODO — rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 o ochronie danych osobowych, stosowane od 25 maja 2018 r. W Polsce organem nadzorczym jest Prezes Urzędu Ochrony Danych Osobowych (UODO)., a od niedawna także unijnemu AI Act. Dobra wiadomość: żaden z tych przepisów nie zakazuje używania AI w rekrutacji. Zła: oba wymagają, żebyś wiedział, co robisz — i umiał to wykazać.

W tym module przechodzimy przez trzy warstwy: RODO (dane kandydatów), AI Act (sam system AI) i etykę (to, czego przepisy nie łapią, a co kandydaci czują natychmiast). Na końcu dostajesz komplet promptów, które robią za ciebie większość papierologii — od klauzuli informacyjnej po pytania do dostawcy ATS. Ten moduł nie zastępuje porady prawnej. Daje ci mapę i gotowe półprodukty, które twój prawnik lub IOD zweryfikuje w godzinę zamiast pisać od zera przez tydzień.

RODO w rekrutacji — cztery zasady, które załatwiają 90% przypadków

Zasada 1: minimalizacja. Do oceny dopasowania kandydata nie potrzebujesz jego imienia, adresu ani numeru telefonu. Zanim wkleisz CV do zewnętrznego modelu, usuń dane identyfikujące — model oceni kompetencje równie dobrze na zanonimizowanym dokumencie. Zakres danych, których w ogóle możesz żądać od kandydata, wyznacza Kodeks pracyArt. 221 § 1 Kodeksu pracy: imię i nazwisko, data urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe i przebieg dotychczasowego zatrudnienia. Więcej — tylko gdy jest to niezbędne albo wynika z odrębnych przepisów..

Zasada 2: retencja. Dane kandydata przetwarzasz na czas rekrutacji, do której aplikował. Po jej zakończeniu dane usuwasz — chyba że kandydat wyraził odrębną, dobrowolną zgodę na udział w przyszłych rekrutacjachTakie jest stanowisko UODO. Zgoda na przyszłe rekrutacje powinna mieć określony horyzont — w praktyce przyjmuje się zwykle 12 miesięcy — i musi dać się wycofać równie łatwo, jak została udzielona.. „Trzymamy wszystko w bazie, bo może się przydać" to najczęstsze naruszenie w działach HR.

Zasada 3: obowiązek informacyjny. Kandydat musi wiedzieć, kto przetwarza jego dane, po co, jak długo i jakie ma prawa (art. 13 RODO). Jeśli w procesie używasz AI do wstępnej selekcji, napisz to wprost — ukrywanie tego jest i ryzykowne, i nieeleganckie.

Zasada 4: człowiek decyduje. Art. 22 RODO zabrania podejmowania wobec kandydata decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, jeśli decyzja istotnie na niego wpływa — a odrzucenie aplikacji istotnie wpływa. Model może porządkować, streszczać i podpowiadać. Odrzuca i zaprasza człowiek, który realnie patrzy na kandydata, a nie tylko klika „zatwierdź".

Drzewko decyzyjne: czy możesz wkleić te dane do zewnętrznego modelu AI Chcesz wkleić dokument do modelu Czy są w nim dane osobowe (imię, kontakt, zdjęcie)? tak nie Zanonimizuj: usuń dane, zostaw kompetencje Możesz wkleić — sprawdź jeszcze politykę firmy Anonimizacja przed wklejeniem to najtańszy środek bezpieczeństwa, jaki istnieje
Jedno pytanie przed każdym wklejeniem. Po anonimizacji lewa ścieżka wraca do prawej.
Najczęstsze operacje na danych kandydatów i ich podstawa prawna.
Operacja Podstawa prawna Na co uważać
Zbieranie CV w bieżącej rekrutacji art. 221 k.p. + art. 6 ust. 1 lit. b i c RODO tylko zakres z Kodeksu pracy
Zapisanie CV do przyszłych rekrutacji zgoda (art. 6 ust. 1 lit. a RODO) odrębna, dobrowolna, z terminem
Streszczanie CV w modelu AI jak wyżej + umowa powierzenia z dostawcą anonimizacja, wyłączony trening na danych
Automatyczna preselekcja dozwolona tylko z realnym udziałem człowieka art. 22 RODO — człowiek decyduje

AI Act — gdzie na mapie ryzyka jest rekrutacja

AI ActRozporządzenie (UE) 2024/1689, weszło w życie 1 sierpnia 2024 r. Obowiązuje etapami: zakazane praktyki od 2 lutego 2025 r., obowiązki dla modeli ogólnego przeznaczenia od 2 sierpnia 2025 r., a obowiązki dla systemów wysokiego ryzyka — w tym rekrutacyjnych — od 2 sierpnia 2026 r. dzieli systemy AI według ryzyka. Systemy używane do rekrutacji — publikowania celowanych ogłoszeń, filtrowania aplikacji, oceniania kandydatów — są wprost wymienione w załączniku III jako wysokie ryzyko. To nie zakaz. To lista obowiązków: nadzór człowieka, przejrzystość wobec kandydatów, monitorowanie działania systemu i dokumentacja.

Piramida ryzyka AI Act: od praktyk zakazanych po ryzyko minimalne, rekrutacja w warstwie wysokiego ryzyka Zakazane Wysokie ryzyko tu jest rekrutacja Ograniczone ryzyko Ryzyko minimalne np. rozpoznawanie emocji w pracy selekcja CV, ocena kandydatów np. chatboty — obowiązek informowania np. filtr spamu
Im wyżej, tym więcej obowiązków. Narzędzia rekrutacyjne siedzą w drugiej warstwie od góry — legalne, ale pod nadzorem.

Trzy rzeczy, które musisz wiedzieć już teraz:

Po pierwsze, od 2 lutego 2025 r. obowiązuje zakaz systemów rozpoznających emocje w miejscu pracy — w tym podczas rozmów rekrutacyjnych. Jeśli dostawca oferuje ci „analizę emocji kandydata z wideo", to oferuje ci praktykę zakazaną.

Po drugie, od 2 sierpnia 2026 r. wchodzą obowiązki dla systemów wysokiego ryzyka. Jako firma korzystająca z takiego systemu (w terminologii AI Act: „podmiot stosujący") musisz m.in. zapewnić nadzór człowieka nad systemem, używać go zgodnie z instrukcją dostawcy, monitorować jego działanie i poinformować kandydatów oraz pracowników, że system jest wobec nich stosowanyWiększość obowiązków konstrukcyjnych (dokumentacja techniczna, zarządzanie ryzykiem, oznakowanie CE) spoczywa na dostawcy systemu. Twoja rola to wybrać dostawcę, który je spełnia — stąd prompt z pytaniami do dostawcy w dalszej części modułu..

Po trzecie, już od 2 lutego 2025 r. obowiązuje wymóg „kompetencji w zakresie AI" (AI literacy): osoby obsługujące systemy AI w twojej firmie mają rozumieć, jak te systemy działają i jakie mają ograniczenia. Ten warsztat jest częścią spełniania tego wymogu — zapisz to sobie w dokumentacji szkoleń.

Etyka — to, czego przepisy nie łapią

Modele językowe uczą się na tekstach pisanych przez ludzi, więc dziedziczą ludzkie uprzedzenia. Model może systematycznie niżej oceniać CV z przerwami w zatrudnieniu (macierzyństwo, choroba), faworyzować absolwentów znanych uczelni albo reagować na brzmienie nazwiskaKlasyczny przykład: eksperymentalny system rekrutacyjny Amazona, porzucony w 2018 r., nauczył się na historycznych danych obniżać ocenę CV zawierających słowo „women's" — bo historycznie zatrudniano głównie mężczyzn.. Anonimizacja, którą robisz dla RODO, przy okazji tnie część tych uprzedzeń — ale nie wszystkie.

Praktyczna reguła: testuj swoje prompty na parach CV. Weź to samo CV, zmień tylko płeć, wiek albo ciągłość zatrudnienia i sprawdź, czy ocena się zmienia. Jeśli tak — poprawiaj prompt, nie kandydata. I nigdy nie proś modelu o rzeczy, o które nie wolno pytać na rozmowie: wiek, plany rodzinne, stan zdrowia, wyznanie.

Prompty: papierologia zgodności w godzinę zamiast tygodnia

Osiem gotowych kart. Żółte pola podmień pod swoją firmę, wynik zawsze pokaż prawnikowi lub IOD — te prompty produkują solidne projekty dokumentów, nie ostateczne wersje.

Prompt · anonimizacja CV przed analizą
Jesteś asystentem rekrutera dbającym o ochronę danych osobowych.

Kontekst: zanim przekażę CV do dalszej analizy, muszę usunąć z niego dane
osobowe zgodnie z zasadą minimalizacji z RODO.

Zadanie: przepisz poniższe CV, usuwając lub zastępując ogólnym opisem:
imię i nazwisko (zastąp: „Kandydat/ka"), adres, telefon, e-mail, datę
urodzenia i wiek, zdjęcie (pomiń), linki do profili społecznościowych,
nazwiska osób polecających. ZACHOWAJ bez zmian: doświadczenie zawodowe,
umiejętności, wykształcenie (bez dat urodzenia), certyfikaty, języki.

Format wyjścia: zanonimizowane CV w tej samej strukturze co oryginał,
a pod spodem lista „Usunięto:" z wyliczeniem kategorii usuniętych danych.

CV do anonimizacji:
WKLEJ TREŚĆ CV
Prompt · klauzula informacyjna dla kandydatów
Jesteś specjalistą ds. ochrony danych osobowych piszącym prostym językiem.

Kontekst: prowadzę rekrutacje w firmie NAZWA FIRMY, ADRES SIEDZIBY.
W procesie rekrutacji używamy narzędzi AI do wstępnego porządkowania
i streszczania aplikacji; ostateczne decyzje podejmuje człowiek.

Zadanie: napisz klauzulę informacyjną dla kandydatów zgodną z art. 13 RODO.
Uwzględnij: administratora danych, cel i podstawę prawną przetwarzania
(art. 22¹ Kodeksu pracy, art. 6 ust. 1 lit. a, b i c RODO), informację
o wykorzystaniu narzędzi AI jako wsparcia (bez zautomatyzowanego
podejmowania decyzji w rozumieniu art. 22 RODO), okres przechowywania:
do zakończenia rekrutacji / 12 miesięcy za zgodą, prawa kandydata,
dane kontaktowe IOD: E-MAIL IOD LUB „nie powołano".

Format wyjścia: dwie wersje — pełna (do formularza aplikacyjnego)
i skrócona do 3 zdań (do stopki ogłoszenia), obie po polsku, bez żargonu.
Prompt · audyt zgodności procesu rekrutacji
Jesteś audytorem ochrony danych specjalizującym się w procesach HR w Polsce.

Kontekst: opiszę ci krok po kroku, jak wygląda nasz proces rekrutacji
i gdzie używamy narzędzi AI. Chcę znaleźć słabe punkty, zanim znajdzie je
UODO albo kandydat.

Zadanie: przeanalizuj proces pod kątem RODO (minimalizacja, retencja,
obowiązek informacyjny, art. 22) oraz AI Act (rekrutacja jako system
wysokiego ryzyka, nadzór człowieka, przejrzystość). Dla każdego ryzyka
podaj: na czym polega, jaki przepis narusza, jak je usunąć.

Format wyjścia: tabela z kolumnami: Etap procesu | Ryzyko | Przepis |
Priorytet (wysoki/średni/niski) | Rekomendacja. Na końcu: trzy rzeczy
do naprawienia w pierwszej kolejności.

Nasz proces: OPISZ ETAPY: skąd spływają CV, kto je czyta, gdzie używacie AI, gdzie trzymacie dane i jak długo
Prompt · test uprzedzeń na parach CV
Jesteś badaczem sprawiedliwości algorytmicznej (algorithmic fairness).

Kontekst: używam modelu językowego do wstępnej oceny CV i chcę sprawdzić,
czy mój prompt oceniający nie dyskryminuje. Poniżej wklejam swój prompt
oceniający oraz jedno przykładowe CV.

Zadanie: 1) wygeneruj 4 warianty tego CV różniące się WYŁĄCZNIE jedną
cechą: wariant A — imię żeńskie zamiast męskiego, wariant B — wiek
sugerujący 50+ (daty ukończenia szkół), wariant C — dwuletnia przerwa
w zatrudnieniu, wariant D — uczelnia spoza wielkich miast;
2) oceń każdy wariant moim promptem oceniającym; 3) porównaj oceny.

Format wyjścia: tabela Wariant | Ocena | Różnica względem oryginału,
a pod nią wnioski: czy oceny się różnią, co w moim promptcie oceniającym
poprawić, żeby oceniał wyłącznie kompetencje.

Mój prompt oceniający: WKLEJ SWÓJ PROMPT
CV bazowe (zanonimizowane): WKLEJ CV
Prompt · polityka używania AI w zespole HR
Jesteś doświadczonym menedżerem HR wdrażającym narzędzia AI zgodnie z prawem.

Kontekst: mój zespół rekrutacji (LICZBA OSÓB osób) zaczyna korzystać
z narzędzi AI: NP. ChatGPT, Claude, moduł AI w naszym ATS.
Potrzebuję krótkiej, praktycznej polityki wewnętrznej — takiej, którą
ludzie naprawdę przeczytają.

Zadanie: napisz politykę używania AI w rekrutacji obejmującą: jakie dane
wolno wklejać do modeli (tylko zanonimizowane), jakie narzędzia są
zatwierdzone, zasadę „AI proponuje — człowiek decyduje", zakaz analizy
emocji i cech chronionych, obowiązek oznaczania treści generowanych przez
AI w komunikacji z kandydatami, ścieżkę zgłaszania wątpliwości.

Format wyjścia: maksymalnie 1 strona A4, sekcje z nagłówkami, każda zasada
jako jedno zdanie + jeden przykład „tak rób / tak nie rób". Ton: konkretny,
bez prawniczego żargonu.
Prompt · pytania do dostawcy narzędzia AI
Jesteś doradcą ds. zakupów technologii HR znającym RODO i AI Act.

Kontekst: rozważamy zakup narzędzia NAZWA NARZĘDZIA / OPIS: np. moduł AI do preselekcji w ATS,
które będzie wspierać selekcję kandydatów — czyli wejdzie w kategorię
wysokiego ryzyka według załącznika III AI Act (obowiązki od 2 sierpnia 2026 r.).

Zadanie: przygotuj listę pytań do dostawcy, które pozwolą ocenić, czy
narzędzie kupować. Pokryj: zgodność z AI Act (dokumentacja techniczna,
rejestracja systemu, oznakowanie, instrukcja stosowania), RODO (umowa
powierzenia, lokalizacja danych, czy dane trenują model, retencja),
audytowalność (logi decyzji, możliwość wyjaśnienia oceny kandydata),
nadzór człowieka (czy da się nadpisać ocenę systemu).

Format wyjścia: pytania pogrupowane w 4 sekcje, przy każdym pytaniu
jedno zdanie: jaka odpowiedź jest sygnałem ostrzegawczym.
Prompt · odpowiedź na wniosek kandydata (prawa z RODO)
Jesteś specjalistą HR odpowiadającym na wnioski z zakresu ochrony danych.

Kontekst: kandydat napisał do nas w sprawie swoich danych osobowych.
Mamy miesiąc na odpowiedź (art. 12 RODO), a odpowiedź ma być konkretna
i uprzejma — ta osoba może kiedyś znów u nas aplikować.

Zadanie: przygotuj projekt odpowiedzi na wniosek kandydata. Ustal, którego
prawa dotyczy (dostęp — art. 15, sprostowanie — art. 16, usunięcie —
art. 17, sprzeciw — art. 21), potwierdź realizację albo wyjaśnij podstawę
odmowy, podaj termin wykonania i poinformuj o prawie skargi do Prezesa UODO.

Format wyjścia: gotowy e-mail po polsku, maksymalnie 150 słów, ton
uprzejmy i rzeczowy, bez kopiowania treści przepisów. Pod e-mailem:
lista kroków do wykonania wewnętrznie (np. usunięcie z ATS, powiadomienie
podmiotów przetwarzających).

Wniosek kandydata: WKLEJ TREŚĆ WIADOMOŚCI OD KANDYDATA
Prompt · wpis do rejestru czynności przetwarzania
Jesteś inspektorem ochrony danych dokumentującym procesy HR.

Kontekst: wdrożyliśmy wsparcie AI w rekrutacji i muszę zaktualizować
rejestr czynności przetwarzania (art. 30 RODO) o tę czynność.

Zadanie: przygotuj projekt wpisu do rejestru dla czynności „rekrutacja
pracowników ze wsparciem narzędzi AI". Uwzględnij: cel przetwarzania,
kategorie osób i danych, podstawy prawne, odbiorców danych (w tym
dostawcę narzędzia AI: NAZWA DOSTAWCY, NP. Anthropic / OpenAI / dostawca ATS),
informację o ewentualnym transferze poza EOG, planowane terminy usunięcia
(np. 30 dni po zakończeniu rekrutacji), ogólny opis środków
bezpieczeństwa (anonimizacja przed analizą, kontrola dostępu, umowa
powierzenia).

Format wyjścia: tabela zgodna ze strukturą art. 30 ust. 1 RODO — pole |
treść wpisu. Na końcu: pytania, na które musi odpowiedzieć IOD przed
zatwierdzeniem.
Prompt · szkic oceny skutków (DPIA)
Jesteś doświadczonym inspektorem ochrony danych prowadzącym oceny skutków
dla ochrony danych (DPIA, art. 35 RODO).

Kontekst: planujemy użycie narzędzia AI do OPISZ: np. wstępnej oceny dopasowania CV do wymagań stanowiska
w rekrutacjach obejmujących ok. LICZBA kandydatów rocznie.
Systematyczna ocena osób z użyciem nowych technologii to typowy przypadek
wymagający DPIA.

Zadanie: przygotuj szkic DPIA: opis operacji przetwarzania, ocena
niezbędności i proporcjonalności, zidentyfikowane ryzyka dla kandydatów
(błędna ocena, dyskryminacja, wyciek danych, brak przejrzystości) z oceną
prawdopodobieństwa i wagi, oraz środki zaradcze dla każdego ryzyka.

Format wyjścia: dokument z numerowanymi sekcjami 1–4, ryzyka w tabeli:
Ryzyko | Prawdopodobieństwo | Waga | Środki zaradcze | Ryzyko rezydualne.
Zakończ listą punktów, które wymagają decyzji zarządu lub opinii IOD.

Ćwiczenie

Weź jeden prompt, którego naprawdę używasz w pracy (z modułu 3 lub 5, albo własny), i przepuść go przez kartę „Test uprzedzeń na parach CV" powyżej. Sprawdź, czy warianty A–D dostają tę samą ocenę.

Potem otwórz swoje ostatnie ogłoszenie o pracę i policz, ile danych żądacie od kandydata w formularzu. Porównaj z katalogiem z art. 221 Kodeksu pracy — wszystko, co ponad katalog, wypisz na kartce.

Masz 15 minut. Wyniki omawiamy na forum: kto znalazł różnicę w ocenach i kto zbiera za dużo danych.

Wdrożenie w poniedziałek

Nie musisz w tydzień zbudować pełnej zgodności. Musisz zacząć od rzeczy, które są tanie i zamykają największe ryzyka: