AI Act: Działy HR będą miały więcej czasu na zastosowanie się do regulacji

Unijny Akt o sztucznej inteligencji (AI Act) znalazł się w centrum poważnego zwrotu regulacyjnego. W ramach nowego pakietu Digital Omnibus Bruksela zdecydowała o przesunięciu terminu wejścia w życie najbardziej restrykcyjnych obowiązków dla systemów wysokiego ryzyka – w tym rozwiązań stosowanych w obszarze zasobów ludzkich. Przedsiębiorstwa zyskują dodatkowe 16 miesięcy, jednak eksperci ostrzegają przed bagatelizowaniem problemu: dane HR stanowią dziś główny cel cyberataków.

Dodatkowy czas na audyt systemów HR Tech

Pierwotny harmonogram zakładał, że surowe przepisy dotyczące systemów klasyfikowanych jako „high-risk” wejdą w życie w sierpniu 2026 roku. Zgodnie z najnowszymi modyfikacjami Brukseli, termin ten został przesunięty na grudzień 2027 roku. Decyzja ta daje sektorowi zarządzania zasobami ludzkimi niezbędny czas na głęboką weryfikację algorytmów. Do systemów wysokiego ryzyka Komisja Europejska zalicza bowiem narzędzia AI służące do targetowania ogłoszeń rekrutacyjnych, automatycznego filtrowania aplikacji, selekcji CV oraz bieżącej oceny pracowników.

Wiceminister cyfryzacji Dariusz Standerski pozytywnie ocenia dążenie do uporządkowania przepisów i eliminacji chaosu prawnego:

Dobre prace nad Aktem o sztucznej inteligencji – oznaczanie treści wygenerowanych przez AI jeszcze w tym roku, piaskownice regulacyjne będą tworzone również dla całej Unii Europejskiej. Teraz zajmujemy się uproszczeniami w pakiecie cyfrowym. Krok po kroku, w drodze do spójnego i przyjaznego prawa unijnego.

Z kolei Zuzanna Spaltenstein-Kotas, prawniczka i ekspertka ds. ochrony danych osobowych i compliance w Gi Group Holding, precyzuje przyczyny wdrożenia pakietu korygującego:

Projekt Digital Omnibus przewiduje przesunięcie części obowiązków z AI Act do czasu przygotowania odpowiednich norm i wytycznych. Dla firm oznacza to więcej czasu na dostosowanie systemów AI, w tym sześć miesięcy na wdrożenie wymogów transparentności dla generatywnej AI, a także uproszczenia w zakresie dokumentacji i zarządzania jakością. Nie zmienia się jednak to, że część przepisów AI Act już obowiązuje i przedsiębiorcy muszą je stosować.

Plaga wycieków: Dane kadrowe na celowniku

Potrzebę natychmiastowego uszczelnienia systemów rekrutacyjnych potwierdzają alarmujące dane telemetryczne. Z opublikowanego raportu Metomic wynika, że aż 68% organizacji doświadczyło incydentów bezpieczeństwa, w których pracownicy nieświadomie udostępnili poufne lub wrażliwe informacje zewnętrznym narzędziom generatywnej sztucznej inteligencji (takim jak ChatGPT). Sytuację pogarszają analizy rynkowe, według których dane z departamentów HR zidentyfikowano w niemal 82% wszystkich zbadanych wycieków, co czyni te działy idealnym celem dla ataków hakerskich wspomaganych przez AI.

Grzegorz Sadziak, Cloud Solution Architect i ekspert ds. cyberbezpieczeństwa z Supremo, zwraca uwagę na specyfikę danych przetwarzanych przez rekruterów i związane z tym ryzyka etyczne:

HR to nie jest marketing, tylko specyficzny obszar w działaniu każdego przedsiębiorstwa, który pracuje głównie na materiale ludzkim. Sztuczna inteligencja w HR nie analizuje tylko procesów czy wyników, ale wpływa bezpośrednio na ludzi – ich karierę, dochody, poczucie własnej wartości i dalsze życie. Właśnie dlatego wymagania dotyczące cyberbezpieczeństwa i ochrony danych, muszą być tutaj wyjątkowo wysokie. To nie jest tak, że sztuczna inteligencja należy do jednego człowieka, czy do jednego zespołu w danej firmie. Jest to wspólna odpowiedzialność organizacyjna, dlatego że jest to dosyć złożony system, jeśli chodzi o jego warstwę technologiczną. Niebezpieczeństwo tak naprawdę zaczyna się w momencie, kiedy sztuczna inteligencja widzi więcej niż powinna, więcej niż my jej powiemy. Czyli jeżeli podamy jej imię i nazwisko, kraj pochodzenia, kolor skóry to ciągle będą to czynniki, na podstawie których zostanie podjęta jakaś decyzję. I my tak naprawdę nie wiemy, jak zachowa się model. Czy on nie uzna nagle, że być może należy pozytywnie rekomendować tylko ludzi o jasnej karnacji. To jest realne zagrożenie.

Koniec ery eksperymentów – nadzór człowieka bezwzględnym wymogiem

Nowe przepisy jednoznacznie wzmacniają zasadę nadrzędności człowieka nad decyzjami algorytmów. Zgodnie z wytycznymi Komisji Europejskiej zawartymi w opracowaniu „Navigating the AI Act”, pracodawca wdrażający systemy wysokiego ryzyka musi zapewnić transparentność, cyberbezpieczeństwo oraz możliwość wyjaśnienia, jak doszło do danej rekomendacji. Co więcej, jeśli system AI ma posłużyć do podjęcia decyzji wywołującej skutki prawne wobec kandydata lub pracownika, organizacja ma prawny obowiązek go o tym poinformować.

Kamil Jankowski, Dyrektor Marketingu i Komunikacji w Gi Group Holding, porównuje nadchodzące zmiany do rewolucji, jaką przed laty wywołało wprowadzenie ogólnego rozporządzenia o ochronie danych:

AI Act to dla firm moment porównywalny z wejściem RODO – kończy się etap eksperymentów z AI bez jasnych zasad. Firmy będą zmieniać nie tylko to, z jakich narzędzi sztucznej inteligencji korzystają pracownicy, ale też dbać o transparentność, bezpieczeństwo danych i odpowiedzialność procesów. Dla działów HR to szczególnie istotne, bo AI coraz częściej wspiera rekrutację, ocenę kandydatów czy zarządzanie personelem. Firmy, które przygotują się odpowiednio wcześnie, zyskają przewagę nie tylko regulacyjną, ale również reputacyjną.

W dobie zaawansowanej automatyzacji rynkową przewagę zyskają ci pracodawcy, którzy potrafią zbalansować cyfrową efektywność z odpowiedzialnością. Sztuczna inteligencja powinna pozostać narzędziem wspierającym analizę kompetencji, podczas gdy ostateczna ocena niuansów oraz kontekstu ludzkiego musi należeć do człowieka.

Zuzanna Spaltenstein-Kotas podsumowuje nowy paradygmat odpowiedzialnego biznesu:

Im większy wpływ narzędzia AI na ocenę kandydatów, tym ważniejsze staje się zachowanie proporcji między technologią a odpowiedzialnością człowieka. Dobrze zaprojektowany proces powinien wykorzystywać sztuczną inteligencję do wsparcia analizy, ale jednocześnie pozostawiać przestrzeń na ocenę kontekstu, niuansów i czynników, których system nie jest w stanie właściwie odczytać. Pokazuje to jednak, że w tak wrażliwym obszarze przewagę zyskają nie te podmioty, które wdrożą najwięcej automatyzacji, lecz te, które zrobią to odpowiedzialnie. To właśnie zdolność połączenia efektywności technologii z przejrzystością procesu może stać się jednym z najważniejszych wyróżników dojrzałych pracodawców.