Commoditech Porozmawiajmy
← Powrót do Bloga

AI w rekrutacji a RODO

22 czerwca 2026

Wkraczamy w erę, w której sztuczna inteligencja rewolucjonizuje działy HR. Narzędzia oparte na dużych modelach językowych (LLM), takie jak ChatGPT czy zaawansowane systemy ATS wspierane algorytmami AI, pozwalają na błyskawiczne selekcjonowanie aplikacji, pisanie ogłoszeń czy analizowanie profili kandydatów. Jednak ta rewolucja kryje ogromne ryzyko prawne. **Wrzucanie CV kandydatów w publiczne modele AI bez odpowiednich zabezpieczeń to prosta droga do gigantycznych kar finansowych za złamanie przepisów RODO.**

W tym artykule szczegółowo przeanalizujemy, jak wygląda relacja na linii **AI w rekrutacji a RODO**, wskażemy najczęstsze błędy popełniane przez rekruterów oraz przedstawimy praktyczne i bezpieczne metody wdrażania nowoczesnych technologii w procesach HR bez narażania firmy na odpowiedzialność prawną.

1. Nowa rzeczywistość HR – jak sztuczna inteligencja pomaga rekrutować?

Działy rekrutacji na całym świecie zmagają się z zalewem aplikacji na popularne stanowiska. Ręczne przeglądanie setek dokumentów aplikacyjnych zajmuje cenny czas rekruterów. Nic dziwnego, że **automatyzacja rekrutacji** stała się jednym z najważniejszych trendów technologicznych. Dzisiejsze algorytmy potrafią wykonać zadania, które jeszcze kilka lat temu wymagały wielogodzinnej pracy człowieka:

  • Automatyczny screening CV – szybka ocena nadesłanych aplikacji pod kątem słów kluczowych, technologii i doświadczenia.
  • Generowanie pytań rekrutacyjnych – tworzenie dedykowanych zestawów pytań technicznych i behawioralnych na podstawie wymagań z ogłoszenia.
  • Analiza dopasowania (matching) – matematyczne określenie stopnia zgodności profilu kandydata ze specyfikacją stanowiska.
  • Pisanie angażujących treści – szybkie przygotowywanie ogłoszeń o pracę, maili zapraszających na rozmowę czy informacji zwrotnych (feedbacku).

Mimo ogromnych zalet związanych z produktywnością, każdy rekruter korzystający z tych ułatwień musi pamiętać, że **dane osobowe zawarte w dokumentach aplikacyjnych podlegają ścisłej ochronie prawnej**. Prawo to reguluje przede wszystkim unijne rozporządzenie RODO (GDPR), a niedługo także nowo wchodzące przepisy EU AI Act (Akt o sztucznej inteligencji), które kwalifikują systemy rekrutacyjne oparte na sztucznej inteligencji jako systemy **wysokiego ryzyka**.

Ważna informacja: AI Act a rekrutacja

Unijne przepisy AI Act oficjalnie kwalifikują sztuczną inteligencję wykorzystywaną w zatrudnieniu, zarządzaniu pracownikami oraz rekrutacji jako systemy wysokiego ryzyka (High-Risk AI Systems). Oznacza to, że systemy te muszą spełniać restrykcyjne wymogi dotyczące przejrzystości, nadzoru ludzkiego, dokładności oraz cyberbezpieczeństwa.

2. Podstawowe zasady RODO a algorytmy sztucznej inteligencji

Aby zrozumieć, dlaczego tradycyjne podejście do używania darmowych narzędzi AI w HR jest niebezpieczne, musimy przypomnieć sobie kluczowe zasady **ochrony danych osobowych**. RODO nie zakazuje technologii, ale narzuca ramy, w których musimy się poruszać. Oto jak podstawowe zasady rozporządzenia mają się do algorytmów AI:

Zasada minimalizacji danych (Art. 5 ust. 1 lit. c RODO)

Administrator danych (czyli firma rekrutująca lub agencja) może przetwarzać tylko te dane, które są niezbędne do realizacji określonego celu (rekrutacji). Tymczasem CV kandydatów często zawierają nadmiarowe informacje – np. zainteresowania, dokładny adres zamieszkania, a niekiedy nawet stan cywilny czy zdjęcie. Wrzucanie całej treści dokumentu do zewnętrznych baz danych modeli językowych narusza tę zasadę, ponieważ przekazujemy dane wykraczające poza minimalny, niezbędny zakres.

Zasada integralności i poufności (Art. 5 ust. 1 lit. f RODO)

Dane osobowe muszą być przetwarzane w sposób zapewniający odpowiednie bezpieczeństwo, w tym ochronę przed niedozwolonym lub niezgodnym z prawem przetwarzaniem oraz przypadkową utratą czy zniszczeniem. Korzystając z darmowych, konsumenckich wersji narzędzi AI, wysyłamy dane na serwery dostawców (często zlokalizowane poza Europejskim Obszarem Gospodarczym, np. w USA), nad którymi nie mamy żadnej kontroli technicznej ani prawnej.

„Przekazanie danych osobowych kandydata do systemu AI, który nie gwarantuje poufności i nad którym administrator nie sprawuje pełnej kontroli, stanowi bezpośrednie naruszenie art. 32 RODO, nakładającego obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający ryzyku.”

Przewodnik UODO ds. ochrony danych w zatrudnieniu

Zautomatyzowane podejmowanie decyzji i profilowanie (Art. 22 RODO)

To jeden z najważniejszych artykułów RODO w kontekście rekrutacji. Zgodnie z art. 22, **kandydat ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu**, i wywołuje wobec niego skutki prawne lub w podobny sposób istotnie na niego wpływa.

Jeśli system ATS oparty o AI automatycznie odrzuci kandydata (tzw. auto-rejection) bez fizycznego udziału rekrutera (człowieka), który zweryfikowałby tę decyzję, dochodzi do jawnego naruszenia prawa. Aby taki proces był legalny, kandydat musi zostać o tym poinformowany, wyrazić na to wyraźną zgodę i mieć zagwarantowaną możliwość odwołania się od decyzji maszyny do żywego pracownika działu HR (tzw. mechanizm human-in-the-loop).

3. Kardynalny błąd: Wrzucanie CV do darmowego ChatGPT i innych publicznych modeli

Przyjrzyjmy się najczęstszemu scenariuszowi w pracy rekrutera. Rekrutujesz programistę Java i otrzymujesz 50 aplikacji. Chcąc zaoszczędzić czas, otwierasz darmową wersję ChatGPT, wklejasz treść otrzymanego CV i piszesz prompt: „Oceń, czy ten kandydat pasuje do wymagań z tego ogłoszenia i napisz jego mocne strony”.

Z punktu widoków efektywności – świetny ruch. Z punktu widzenia prawa – **popełniłeś właśnie poważny delikt prawny**. Dlaczego?

UWAGA! Dlaczego darmowy ChatGPT i RODO się wykluczają?

  • Brak umowy powierzenia przetwarzania danych (DPA): Korzystając z darmowych narzędzi konsumenckich, akceptujesz regulamin przeznaczony dla osób prywatnych. Twoja firma nie ma podpisanej z OpenAI (lub innym dostawcą) umowy powierzenia przetwarzania danych (Data Processing Agreement). Bez DPA każde przekazanie danych osobowych podmiotu trzeciego jest nielegalne.
  • Wykorzystanie danych do trenowania modelu: Wersje darmowe domyślnie wykorzystują wpisywane dane (prompty oraz wklejone załączniki, w tym pliki PDF z CV) do dalszego uczenia i ulepszania modelu. Oznacza to, że dane osobowe Twojego kandydata stają się częścią globalnej bazy wiedzy sztucznej inteligencji. Istnieje ryzyko, że inny użytkownik na świecie zadając odpowiednie pytanie, otrzyma fragmenty danych Twojego kandydata.
  • Transfer danych poza EOG: OpenAI przetwarza dane głównie na serwerach w USA. RODO nakłada restrykcyjne wymogi na transfer danych poza EOG. Bez wdrożenia odpowiednich mechanizmów (takich jak Standardowe Klauzule Umowne – SCCs) transfer ten jest bezprawny.

Co znajduje się w CV, co czyni je danymi wrażliwymi?

CV to zbiór danych osobowych bezpośrednich i pośrednich. Oprócz imienia, nazwiska, adresu e-mail i numeru telefonu, zawiera szczegółową historię zatrudnienia, edukacji oraz informacje o lokalizacji. Czasami kandydaci umieszczają w CV informacje o niepełnosprawności (np. w celu uzyskania uprawnień) czy przynależności do organizacji, co kwalifikuje się jako **dane szczególnej kategorii** (Art. 9 RODO), których przetwarzanie wymaga jeszcze większego rygoru prawnego.

4. Jakie kary grożą za nielegalne przetwarzanie CV przez AI?

Konsekwencje prawne i finansowe dla firm ignorujących wytyczne ochrony danych są bardzo dotkliwe. Kary administracyjne nakładane przez Urząd Ochrony Danych Osobowych (UODO) mogą wynieść:

  • Do 20 000 000 EUR lub do 4% całkowitego rocznego światowego obrotu przedsiębiorstwa z poprzedniego roku obrotowego (w zależności od tego, która kwota jest wyższa).
  • Utrata reputacji i zaufania na rynku pracy – wyciek danych kandydatów lub informacja o karze UODO skutecznie zniechęca specjalistów, zwłaszcza z branży IT, do aplikowania do danej firmy.
  • Roszczenia cywilne kandydatów – kandydat, którego dane zostały bezprawnie przetworzone, może żądać od firmy zadośćuczynienia na drodze sądowej za naruszenie jego dóbr osobistych.
Działanie rekrutera Status prawny (RODO) Ryzyko / Konsekwencja
Wklejenie pełnego CV kandydata do darmowego ChatGPT w celu analizy. NIELEGALNE Wykorzystanie danych do trenowania modelu, brak DPA, transfer danych do USA bez zabezpieczeń, ryzyko wycieku.
Użycie certyfikowanego systemu ATS z wbudowanym modułem AI i podpisaną umową DPA. LEGALNE Niskie ryzyko, o ile system nie podejmuje samodzielnych decyzji o odrzuceniu kandydata (brak automatycznego profilowania).
Przesłanie zanonimizowanego profilu kandydata (bez danych osobowych) do AI w celu oceny kompetencji. LEGALNE Brak przetwarzania danych osobowych. AI ocenia jedynie „suche” umiejętności techniczne. Metoda w pełni bezpieczna.
Automatyczne odrzucanie aplikacji przez algorytm AI bez weryfikacji przez rekrutera. NIELEGALNE (z wyjątkami) Naruszenie art. 22 RODO (zautomatyzowane podejmowanie decyzji). Kandydat może zaskarżyć proces do UODO.

5. Bezpieczna rekrutacja z AI – jak wdrożyć sztuczną inteligencję zgodnie z RODO?

Czy to oznacza, że musisz zrezygnować z nowoczesnych narzędzi i wrócić do tradycyjnego, ręcznego przeglądania plików? Absolutnie nie! W Commoditech od lat pomagamy firmom wdrażać zaawansowane systemy technologiczne, w tym systemy CRM i ATS open-source oraz rozwiązania dedykowane. Kluczem jest przestrzeganie procedur i wybór odpowiednich narzędzi.

Oto checklist dla działów HR, jak bezpiecznie korzystać z AI w rekrutacji:

Checklista: Legalne i bezpieczne AI w HR

  • Zawsze podpisuj DPA (Data Processing Agreement): Korzystaj wyłącznie z narzędzi w wersjach Enterprise lub API, które gwarantują podpisanie umowy powierzenia przetwarzania danych osobowych. OpenAI w swoich planach płatnych dla firm (ChatGPT Team, Enterprise, OpenAI API) gwarantuje, że wprowadzane dane nie są wykorzystywane do uczenia modeli.
  • Wdrażaj pełną anonimizację przed analizą: Zanim prześlesz tekst CV do modelu AI, usuń z niego wszelkie identyfikatory osobowe. Możesz to zrobić ręcznie lub za pomocą skryptów automatycznie wycinających imiona, nazwiska, adresy e-mail, numery telefonów oraz nazwy poprzednich pracodawców.
  • Zapewnij nadzór ludzki (Human-in-the-loop): Algorytm AI może służyć jako narzędzie pomocnicze (np. sortujące CV według punktacji lub generujące podsumowanie), ale ostateczną decyzję o zaproszeniu kandydata na rozmowę lub jego odrzuceniu zawsze musi podjąć człowiek.
  • Aktualizuj klauzule informacyjne i zgody: W stopce ogłoszeń o pracę oraz w formularzu aplikacyjnym umieść jasną informację, że w procesie rekrutacji mogą być wykorzystywane narzędzia automatycznej analizy danych, opisując cele, zakres i sposób działania tych algorytmów.
  • Wykonaj analizę DPIA (Data Protection Impact Assessment): Przed wdrożeniem nowego narzędzia AI w firmie, Inspektor Ochrony Danych (IOD) powinien przeprowadzić ocenę skutków dla ochrony danych, aby zidentyfikować i zminimalizować ryzyka.

6. Scenariusze z życia wzięte – studium przypadku (Case Studies)

Aby lepiej zilustrować omawiany problem, przedstawiamy dwa scenariusze pokazujące różnicę między lekkomyślnym a profesjonalnym podejściem do technologii w rekrutacji.

Scenariusz A: Wyciek danych i kontrola UODO (Jak nie robić)

Rekruterka w firmie produkcyjnej otrzymała polecenie szybkiego obsadzenia stanowiska Dyrektora Finansowego. Chcąc precyzyjnie porównać profile 5 kandydatów, wkleiła ich pełne CV do darmowego okna czatu internetowego. Miesiąc później jeden z kandydatów wpisał swoje nazwisko w wyszukiwarkę i odkrył, że darmowy chatbot w generowanych odpowiedziach dla innych użytkowników cytuje fragmenty jego historii zatrudnienia wraz z unikalnymi szczegółami projektów biznesowych. Kandydat złożył skargę do UODO. Firma nie posiadała umowy DPA z dostawcą narzędzia ani zgody kandydata na profilowanie. UODO nałożył na firmę dotkliwą karę finansową oraz nakazał wstrzymanie rekrutacji.

Scenariusz B: Bezpieczny screening oparty o API (Jak robić)

Agencja rekrutacyjna współpracująca z Commoditech wdrożyła bezpieczny system screeningowy. Gdy CV trafia do systemu ATS, skrypt automatycznie usuwa z pliku dane kontaktowe i identyfikacyjne, zastępując je unikalnym tokenem (np. Kandydat_ID_8842). Tak zanonimizowany tekst jest wysyłany za pomocą dedykowanego połączenia API (z podpisaną umową DPA Enterprise) do modelu językowego, który ocenia wyłącznie dopasowanie techniczne do wymagań projektu. Wynik wraca do systemu, a rekruter widzi ocenę punktową przypisaną do zanonimizowanego profilu. Dopiero po decyzji rekrutera o przejściu do kolejnego etapu, dane kandydata są ponownie łączone z jego tożsamością w lokalnej, bezpiecznej bazie danych. Proces jest w 100% zgodny z RODO.

7. Rola technologii open-source w bezpieczeństwie danych HR

Jednym z najskuteczniejszych sposobów na pełną kontrolę nad danymi w rekrutacji jest korzystanie z systemów **open-source** hostowanych na własnych, fizycznych serwerach wewnątrz EOG. W Commoditech często rekomendujemy to rozwiązanie naszym klientom.

Wdrażając dedykowany system rekrutacyjny na własnej infrastrukturze (np. oparty o opensource CRM/ATS), zyskujesz pewność, że żadne dane osobowe nie opuszczą Twojej strefy bezpieczeństwa bez Twojej wiedzy. Co więcej, nowoczesne, lokalne modele językowe (Llama, Mistral) mogą być uruchamiane bezpośrednio na Twoim serwerze (tzw. *on-premise* lub *private cloud*), co całkowicie eliminuje problem transferu danych do podmiotów trzecich i gwarantuje 100% zgodności z przepisami RODO.

Jeśli Twoja agencja lub dział HR szuka sprawdzonych, bezpiecznych rozwiązań technologicznych, zachęcamy do zapoznania się z naszymi usługami rekrutacji programistów IT, dedykowanym leasingiem pracowników IT (contracting) oraz naszą własną, bezpieczną wyszukiwarką kandydatów IT.

Podsumowanie – innowacja tak, ale z głową

Sztuczna inteligencja w rekrutacji to potężne narzędzie, które pozwala wyprzedzić konkurencję w walce o talenty. Jednak pogoń za efektywnością nie może odbywać się kosztem prywatności kandydatów. Działy HR muszą ściśle współpracować z działami IT oraz Inspektorami Ochrony Danych w celu wypracowania procedur korzystania z AI.

Zapamiętaj: darmowe narzędzia konsumenckie są przeznaczone do zabawy lub pracy na danych publicznych. Praca na danych osobowych, CV i historii zatrudnienia kandydatów wymaga profesjonalnych narzędzi, podpisanych umów DPA oraz absolutnego nadzoru człowieka nad każdą decyzją rekrutacyjną.

Chcesz wdrożyć bezpieczne narzędzia AI w swojej firmie?

Pomagamy w budowie dedykowanych systemów ATS/CRM, integracji bezpiecznych modeli AI (OpenAI API, LLM on-premise) oraz audytowaniu bezpieczeństwa systemów rekrutacyjnych.

Skonsultuj się z nami
Sztuczna InteligencjaRODORekrutacja ITCyberbezpieczeństwoHR Tech