AI w HR — analiza CV vs RODO, jak zrobić to legalnie

Pytanie „możemy puścić CV przez ChatGPT, żeby zrobił ranking?" pojawia się na co trzeciej rozmowie z działem HR. Krótka odpowiedź: tak, ale są warunki. Długa — w tym tekście. Pokazujemy, gdzie kończy się przyspieszenie pracy rekrutera, a zaczyna nielegalna profilowana decyzja.

Co prawo mówi konkretnie

Dwa filary: RODO (art. 22 — zakaz w pełni zautomatyzowanych decyzji wpływających na osobę) i AI Act (klasyfikacja screeningu CV jako high-risk). Razem dają jasny komunikat: AI może wspierać rekrutera, ale nie może go zastępować.

Dwie linie graniczne

• WOLNO: AI generuje ranking lub podsumowanie, decyzję podejmuje człowiek na podstawie pełnego CV.
• NIE WOLNO: AI samodzielnie odrzuca kandydatów, np. „nie spełnia kryteriów" → automatyczny mail z odmową.

Konkretna architektura, którą stawiamy u klientów

W ostatnich 4 wdrożeniach HR (12-180 pracowników) stawiamy ten sam wzorzec:

1. CV trafia do systemu (e-mail lub formularz na stronie).
2. OCR + ekstrakcja struktury (imię, lata doświadczenia, umiejętności, lokalizacja).
3. AI ocenia w 4 wymiarach: dopasowanie do JD (0-10), kluczowe umiejętności (lista), red flagi (np. luki w CV), pytania do rozmowy.
4. Wynik trafia do rekrutera jako podsumowanie. Pełne CV zawsze dostępne pierwszym kliknięciem.
5. Decyzja człowieka. AI nie ma uprawnień do wysłania maila z odmową.

Co musi być w polityce HR

Polityka rekrutacji wspomagana AI powinna odpowiadać na 7 pytań:

1. Kogo informujemy o użyciu AI w procesie? (kandydatów, w ogłoszeniu i polityce prywatności)
2. Jakie dane są przekazywane do modelu? (CV bez danych wrażliwych — wiek/zdjęcie odfiltrowane przed przetwarzaniem)
3. Gdzie modeli się znajduje? (preferowane: prywatna instancja w infrastrukturze firmy)
4. Jak długo trzymamy podsumowania AI? (zgodnie z okresem retencji CV — typowo 12 miesięcy)
5. Kto sprawdza jakość ocen AI? (kwartalny audyt na próbce 50-100 ocen)
6. Jak kandydat może zaprotestować? (kontakt do DPO, prawo do ludzkiej weryfikacji)
7. Jakie kryteria odrzucamy z modelu? (zakaz oceny: płeć, wiek, narodowość, stan zdrowia, religia)

Filtrowanie wrażliwych pól przed wysłaniem

U klienta z branży produkcyjnej (180 osób, 60 rekrutacji rocznie) zbudowaliśmy preprocesor, który przed wysłaniem CV do modelu usuwa: zdjęcie, datę urodzenia, imię (zostaje inicjał), adres zamieszkania (zostaje miasto). Model widzi tylko: doświadczenie, umiejętności, wykształcenie, certyfikaty. To znacznie obniża ryzyko niezamierzonej dyskryminacji.

Audyt biasu — kwartalnie

Co 3 miesiące puszczamy próbkę 50-100 ocen przez analizę: czy AI równo ocenia mężczyzn i kobiety przy tych samych umiejętnościach? Czy nie penalizuje osób z lukami w CV (urlopy macierzyńskie, opieka)? W jednym z wdrożeń wykryliśmy, że model gorzej oceniał CV z 6+ letnimi przerwami — poprawiliśmy prompt, dodając explicite „przerwy w karierze nie są negatywem".

Liczby — ile to oszczędza, ile kosztuje

U klienta produkcyjnego z 60 rekrutacjami rocznie i średnio 40 CV na pozycję oszczędność to 47 godzin pracy rekrutera rocznie (czyli 1 tydzień). Wdrożenie kosztowało 18 400 zł jednorazowo + 740 zł/mies. ROI w 9 miesięcy.

Czego nie robimy

Nie podłączamy do publicznych ChatGPT/Gemini przy CV. Nie pozwalamy na automatyczne wysłanie maila z odmową. Nie używamy AI do prognozowania zachowań pracownika („czy zostanie 2 lata?"). Nie używamy danych z social media bez wiedzy kandydata.

Robimy DPIA i konfigurację na Waszych ogłoszeniach — napiszcie. Przygotujemy też szablon polityki HR (4 strony) dopasowany do Waszej skali.