AI v náboru a AI Act: co je zakázané, co je „high risk" a čemu se vyhnout

Využití AI v náboru dnes dává smysl – právě nad velkým množstvím dat může mít ohromnou přidanou hodnotu. Má to ale dva regulátory. Prvním je GDPR: řeší, kde data kandidáta leží a jaké máte oprávnění je vůbec zadávat mimo kontrolu firmy. Druhým, a mnohem důležitějším, je AI Act: ten řeší, co AI v procesu náboru vyhodnocuje. Některé použití je vyloženě zakázané, většina užitečných funkcí spadá do kategorie vysokého rizika (high risk) – smíte je použít, ale za konkrétních podmínek. A některé věci, typicky práce s inzeráty nebo reporting nad anonymizovanými daty, do high risk zpravidla nespadají.

GDPR: kde ta data vlastně leží

Data kandidáta nemůžete jen tak nahrát do nějakého GPT, které máte za dvacet dolarů, a požádat ho o shrnutí. Ani do něj vložit deset kandidátů v Excelu a nechat vyhodnotit, kdo z nich je nejlepší. Vyhodnocování kandidátů chatbotem navíc podle AI Actu není zakázané, ale vysoce rizikové – k tomu se dostaneme.

Z pohledu GDPR jde o dvě otázky: kde ta data ukládáte a jaké máte oprávnění je zadávat mimo firemní kontrolu. Ukládají je bez debat všichni běžní chatboti. Jinak jsou na tom firmy, které používají například Copilot v rámci vlastního tenantu, nebo mají vlastní servery, kde smějí firemní data zpracovávat a kde je uložení dat v souladu s GDPR. Pokud to interní směrnice firmy dovoluje, může to být v pořádku.

Občas zaznívá názor, že kandidátovi přece nemůže vadit, když jeho data někam nahrajete. To ale neplatí.

Vy jako správce dat kandidáta máte povinnosti, které vám ukládá GDPR. Nemůžete svévolně ukládat jeho data v místě, které nemáte pod kontrolou a u něhož nedokážete doložit, kde a za jakých podmínek se zpracovávají.

GDPR přitom nevyžaduje, aby data ležela výhradně v EU – předání do třetí země je možné na základě rozhodnutí o odpovídající úrovni ochrany, standardních smluvních doložek nebo závazných podnikových pravidel. Jádro problému není „EU versus mimo EU", ale doložený režim zpracování. A ten vám běžný chatbot za dvacet dolarů nedá.

Související funkce: GDPR compliance a úložiště v EU · Automatická anonymizace

Co je cílem AI Actu

Formálně je cílem AI Actu ochrana zdraví, bezpečnosti a základních práv. V náboru se to promítá velmi konkrétně. Než se pustíte do čehokoli s AI, zhmotněte si proto jednu větu – je to teze, ke které se budete vracet u každé jednotlivé funkce:

AI Act má za cíl ochránit kandidáta před tím, aby si o něm AI vymyslela – tedy halucinovala – informaci, která ho v procesu náboru bude diskriminovat.

Právní rámec: nečekejte na pokutu

AI Act je přímo použitelné nařízení Evropské unie. Jeho povinnosti nenabíhají naráz a část z nich byla v roce 2026 odložena (tzv. Digital Omnibus). Aktuálně platí:

  • 1. srpna 2024 – nařízení vstoupilo v platnost
  • 2. února 2025 – začaly platit zákazy vyloženě zakázaných praktik
  • 2. srpna 2025 – pravidla pro obecné AI modely (už platí)
  • 2. prosince 2027 – povinnosti pro vysoce rizikové systémy podle Přílohy III, kam nábor a výběr uchazečů patří (posunuto z původního srpna 2026)

Data použitelnosti stanoví článek 113 ve znění po odkladu schváleném Radou EU v červnu 2026. Pro nábor tedy máte čas do 2. prosince 2027 – zákazy z článku 5 ale platí už teď.

A jak je to s přijetím v Česku? Protože AI Act je nařízení, netransponuje se do českého zákona jako směrnice a platí přímo. ČR ale musí přijmout doprovodný adaptační zákon o umělé inteligenci, který určí národní dozorový orgán (podle návrhu Ministerstva průmyslu a obchodu má být jednotným kontaktním místem Český telekomunikační úřad) a pravidla sankcí. Ten k létu 2026 stále procházel legislativním procesem; účinnost se očekává v průběhu roku 2026. Samotné povinnosti z nařízení tím ale nejsou podmíněné – platí podle evropských termínů výše bez ohledu na český zákon.

Lze samozřejmě legitimně namítnout, že dnes není úplně jasné, kdo by dodržování kontroloval a kdo by za porušení uděloval pokutu. Jenže pokud jste firma, která s daty kandidátů pracuje seriózně, budete se chtít zamyslet dřív, než vám někdo bude moci dát pokutu.

Většina firem k dnešnímu dni nemá vyhotovené žádné směrnice ani postupy, jak nabírat v souladu s AI Actem. Pokud jste střední až velká firma, zeptejte se nejprve svých právníků, jakým způsobem to dělat správně.

Co je vyloženě zakázané

AI Act zakazuje jen úzký, taxativní výčet praktik (článek 5). Pro nábor je z nich relevantních několik:

Zakázaná praktikaJak by vypadala v náboru
Rozpoznávání emocí na pracovišti
čl. 5 odst. 1 písm. f)
AI vyhodnocující emoce, mikrovýrazy, tón hlasu nebo „nadšení“ kandidáta z videopohovoru. Nejsilnější přímý zákaz pro nábor. Výjimkou jsou zdravotní a bezpečnostní důvody.
Biometrická kategorizace chráněných znaků
čl. 5 odst. 1 písm. g)
Nástroj, který z fotografie nebo videa kandidáta odvozuje rasu, náboženské přesvědčení, politické názory, členství v odborech nebo sexuální orientaci.
Podprahové a manipulativní techniky
čl. 5 odst. 1 písm. a)
Chatbot nebo assessment, který kandidáta manipulativně dotlačí k rozhodnutí, jež by jinak neučinil, a způsobí mu tím významnou újmu.
Zneužití zranitelnosti
čl. 5 odst. 1 písm. b)
Nábor cílený na zranitelné skupiny – například mladistvé nebo lidi v tíživé ekonomické situaci – který jejich zranitelnost manipulativně zneužívá.
Necílený scraping obličejů
čl. 5 odst. 1 písm. e)
Sourcingový nástroj, který buduje databázi pro rozpoznávání obličejů necíleným stahováním fotografií z internetu. Běžný sourcing textových profilů sem nepatří – ten se řídí GDPR.

Hraniční je sociální skórování (písm. c). Čistý nábor jím obvykle není, ale kdyby nástroj hodnotil uchazeče podle nesouvisejícího chování – třeba skóre ze sociálních sítí – a vedlo to k jejich znevýhodnění, posuzuje se to případ od případu.

Rozlišujte proto dvě odlišné kategorie: zakázané praktiky (nesmíte je vůbec) a vysoké riziko (smíte, ale s povinnostmi). Většina toho, co se dnes v náboru s AI dělá, spadá do té druhé.

Co je dovolené, ale spadá do vysokého rizika

High risk neznamená, že to nesmíte použít. Znamená to, že jsou s tím spojené povinnosti – za jakých podmínek to použít smíte a co pro to všechno musíte udělat.

Základní povinnosti už nařízení stanoví; dopřesňují se hlavně technické standardy, metodiky a výklad dozoru. Prakticky to znamená, že budete muset od poskytovatele AI chtít návody, jak systém používat, a mít vlastní firemní směrnice k tomu, jak je používat, kontrolovat a jak nad nimi dohlížet.

Počítejte ale i s tím, co nařízení vyžaduje výslovně:

  • Řízení rizik – u vysoce rizikového systému musí existovat systém řízení rizik po celou dobu jeho životního cyklu (čl. 9); to je povinnost poskytovatele, ale jako provozovatel po ní budete chtít doklad.
  • Prokazatelný lidský dohled – dohled musíte svěřit kompetentním osobám (čl. 26 odst. 2); systém sám k němu musí být navržen (čl. 14).
  • Monitorování provozu, uchovávání logů a kontrola vstupních dat (čl. 26).
  • Informovat kandidáta, že vůči němu vysoce rizikový systém používáte (čl. 26 odst. 11), a jako zaměstnavatel také informovat zástupce zaměstnanců a dotčené pracovníky (čl. 26 odst. 7).
  • Od poskytovatele můžete očekávat systém s doloženou přesností, robustností a kybernetickou bezpečností (čl. 15).

Posouzení dopadů na základní práva (FRIA, čl. 27) se naopak neuplatní plošně. Vztahuje se na veřejnoprávní subjekty, na soukromé subjekty poskytující veřejné služby a na některé další provozovatele. Běžný soukromý zaměstnavatel, který náborový systém používá sám pro sebe, povinnost FRIA zpravidla nemá – tohle je časté nedorozumění.

Ultimátní přání: „pomoz mi vybrat kandidáta"

To je to, co si všichni přejeme. AI by ale neměla dělat samotné rozhodnutí. Měla by vám pouze pomáhat a poskytnout data. Vy musíte být schopni verifikovat, že si AI nevymýšlí, a teprve vy jako lidé rozhodujete, který kandidát to bude.

Příklad, na kterém to uvidíte

Řekněme, že AI dokáže deset kandidátů otagovat štítky technologií, které ovládají. Asi si řeknete, že to přece není nic složitého – a že to rozhodně nebude spadat do kategorie vysokého rizika. Umíme si ale představit situaci, kdy u devíti z nich technologii označí správně a u desátého ne.

Totéž by se samozřejmě mohlo stát člověku. Jenže tady se nebavíme o člověku.

Bavíme se o AI, která má automatizovat a rozhodovat za nás. A ta se v tomhle podání splést nesmí. Člověk ano.

Právně vzato AI Act bezchybnost nepožaduje – požaduje řízení rizik, doloženou úroveň přesnosti, robustnosti a kybernetické bezpečnosti (čl. 15), lidský dohled a možnost výstup odmítnout nebo zvrátit (čl. 14). Prakticky to ale vychází nastejno: pokud výstup neověříte, přebíráte jeho chybu za svou.

A teď si představte, že vy toho jednoho kandidáta z deseti vyloučíte, protože ho štítkem neoznačilo. Přesně tady i drobná funkcionalita zasahuje do diskriminace při výběru. Je proto potřeba data verifikovat.

A tady se selským rozumem nabízí otázka: proč používat AI na něco, co stejně budu muset jít zkontrolovat, jestli to vyhodnotila správně?

Profilování kandidátů

Jakékoli profilování kandidátů spadá do kategorie vysokého rizika. Nařízení to říká výslovně: systém uvedený v Příloze III, který provádí profilování fyzických osob, je vždy vysoce rizikový (čl. 6 odst. 3). Sám nábor a výběr uchazečů je pak vyjmenován v Příloze III, bodu 4 písm. a). Typicky jde o:

  • „Vyhodnoť mi na základě jeho CV a job description jeho vhodnost pro tuto pozici."
  • „Vyhodnoť mi jeho CV."
  • „Porovnej mi CV kandidátů v rámci náboru."

To všechno bez debat profilování je. Ať už tomu říkáte AI screening, nebo automatický předvýběr kandidátů, jde o vyhodnocování lidí – tedy profilování, a tím pádem vysoké riziko, ne zakázaná praktika.

Související funkce: Doporučení kandidátů na novou pozici · Skóring kandidátů · Analýza kandidáta · AI sourcing na LinkedInu

Co do vysokého rizika zpravidla nespadá

Existují naopak využití AI v náboru, která do high risk kategorie zpravidla nepatří.

Práce s inzeráty

Vyhodnocování překladů, kontrola chyb a překlepů, přepisování a vymýšlení inzerátů nebo třeba analýza konkurenceschopnosti vašeho inzerátu.

Reporting nad anonymizovanými daty

Můžete si s AI povídat nad svými daty z náboru. I tady je samozřejmě otázka, kde se ta data procesují. Samotný AI Act ale nemá problém s tím, abyste se bavili o anonymizovaných datech z náboru: aby vám poradilo, jak nábor zlepšit, kde je podle posledních průzkumů potřeba změnit candidate experience, nebo abyste si nechali udělat vlastní tabulku reportu.

Prosté vytěžení informací

Typicky parsing životopisu: zjistit, kde je jméno, příjmení, telefon nebo e-mail. To bych nepovažoval za profilování kandidáta, ale jen za vyhledání informací, které v CV už jsou – nic se k nim nepřidává.

Přepis pohovoru – ale pozor

Do vysokého rizika zpravidla nespadá ani čistý přepis informací, třeba z pohovoru. Tady je ale potřeba dát si pozor: může tam být část, která už není jen přepisem, ale kde si AI model něco „dovymyslí" nebo přidá – a tím se to do vysokého rizika vrací.

Proto je nutné u každé jednotlivé funkce zabývat se jejím konkrétním využitím – a nechat vaše firemní právníky kvalifikovat, zda jde o high risk, nebo ne.

Související funkce: AI překlad inzerátu · Analýza konkurenceschopnosti inzerátu · AI parsování CV · AI chatbot nad reportingem · Přepis online pohovoru

Zeptejte se, jestli jdou AI funkce vypnout

Tohle je praktická otázka, na kterou se při výběru ATS zapomíná. Ptejte se dodavatele, jestli AI funkce, na kterých se domluvíte, umí úplně vypnout – tak, aby je vaši recruiteři vůbec nemohli použít.

Dokud nemáte firemní směrnice k tomu, jak AI v náboru používat, je možnost funkci deaktivovat nejjednodušší způsob, jak riziko odříznout. A až směrnice mít budete, chcete rozhodovat vy – ne dodavatel za vás tím, že funkci zapne všem.

Doporučení na závěr

V této úvodní fázi bych všem recruiterům, kteří chtějí AI v náboru používat, doporučil být velmi obezřetní. Neříkám, že nemají technologie zkoušet a používat je v náboru. Říkám, že to mají dělat s velkou obezřetností – právě kvůli AI Actu.

Kde si AI Act přečíst

Nespoléhejte na shrnutí, ani na tohle. Text nařízení je veřejný:

Fakta o Recruitisu

Tohoto průvodce vydává Recruitis.io, český ATS. Naše AI funkce spadají podle výše uvedeného členění do různých kategorií a je férové to říct nahlas:

  • Zpravidla mimo vysoké riziko: tvorba a překlad inzerátu, analýza jeho konkurenceschopnosti, parsování údajů z CV a chatbot nad anonymizovanými daty z reportingu.
  • Profilování, tedy vysoké riziko: doporučení kandidátů z talent poolu, AI sourcing na LinkedInu, skóring a analýza kandidáta.

Neznamená to, že je nesmíte použít. Znamená to, že s nimi jsou spojené povinnosti – a že rozhodnutí o kandidátovi musí vždy udělat člověk, ne systém. Data, která vám AI předloží, musíte umět ověřit.

Máte to pod kontrolou: všechny vysoce rizikové AI funkce jdou u nás vypnout – respektive naopak, zapínají se jen na vaše vyžádání. Ve výchozím stavu tedy žádnou z nich recruiteři nepoužijí, dokud si ji vědomě nezapnete.

Na rovinu: tento článek není právní poradenství a my nejsme právníci. Před nasazením AI do náboru si nechte konkrétní využití posoudit vlastním právním oddělením.

Časté otázky

Smím nahrát životopis kandidáta do ChatGPT?

Data kandidáta nemůžete jen tak nahrát do běžného chatbota a požádat ho o shrnutí, ani do něj vložit deset kandidátů v tabulce a nechat vyhodnotit, kdo je nejlepší. Z pohledu GDPR jde o to, kde se data zpracovávají a jaké máte oprávnění je zadávat mimo kontrolu firmy. Běžní chatboti data ukládají. Jinak jsou na tom firmy, které používají AI v rámci vlastního tenantu nebo na vlastních serverech, kde interní směrnice takové zpracování dovoluje. Jako správce dat kandidáta máte povinnosti podle GDPR a nemůžete svévolně ukládat jeho data v místě, které nemáte pod kontrolou a u něhož nedokážete doložit, kde a za jakých podmínek se zpracovávají. GDPR přitom uložení dat mimo EU nezakazuje, vyžaduje ale doložený mechanismus předání. Vyhodnocování kandidátů chatbotem navíc podle AI Actu není zakázané, ale je to vysoce rizikové použití, se kterým jsou spojené povinnosti.

Co je podle AI Actu v náboru zakázané?

AI Act zakazuje jen úzký, taxativní výčet praktik uvedený v článku 5. Pro nábor jsou relevantní tyto: rozpoznávání emocí na pracovišti (čl. 5 odst. 1 písm. f), tedy AI odhadující emoční stav kandidáta například z videopohovoru – to je nejsilnější přímý zákaz pro nábor; biometrická kategorizace odvozující chráněné znaky jako rasa, náboženství, politické názory nebo sexuální orientace (písm. g); podprahové a manipulativní techniky (písm. a); zneužití zranitelnosti, například u mladistvých nebo lidí v tíživé ekonomické situaci (písm. b); a necílený scraping fotografií obličejů pro tvorbu databází rozpoznávání obličejů (písm. e), což může dopadnout na některé sourcingové nástroje. Hraniční je sociální skórování (písm. c). Naopak situace, kdy necháte AI odhadovat nebo domýšlet, jak by se kandidát choval, není zakázanou praktikou, ale spadá do kategorie vysokého rizika, protože jde o profilování. Je nutné rozlišovat dvě odlišné kategorie: zakázané praktiky, které nesmíte vůbec, a vysoké riziko, které smíte, ale se stanovenými povinnostmi.

Které AI funkce v náboru spadají do kategorie vysokého rizika (high risk)?

Do vysokého rizika spadá jakékoli profilování kandidátů: vyhodnocení vhodnosti kandidáta pro pozici na základě CV a job description, vyhodnocení jeho životopisu nebo porovnávání CV kandidátů mezi sebou. Vysoké riziko neznamená zákaz. Znamená, že jsou s použitím spojené povinnosti: budete potřebovat manuály od poskytovatele AI a vlastní firemní směrnice k tomu, jak je používat, kontrolovat a dohlížet na ně. AI by neměla dělat samotné rozhodnutí, jen poskytnout data. Nábor a výběr uchazečů je vyjmenován v Příloze III bodu 4 písm. a) a podle čl. 6 odst. 3 je systém z Přílohy III provádějící profilování vždy vysoce rizikový. Kromě toho nařízení vyžaduje prokazatelný lidský dohled (čl. 26 odst. 2 a čl. 14), monitorování provozu a uchovávání logů, kontrolu vstupních dat a povinnost informovat kandidáta, že vůči němu vysoce rizikový systém používáte (čl. 26 odst. 11), a jako zaměstnavatel informovat i zástupce zaměstnanců (čl. 26 odst. 7). Posouzení dopadů na základní práva (FRIA, čl. 27) se naopak neuplatní plošně: běžný soukromý zaměstnavatel používající náborový systém sám pro sebe povinnost FRIA zpravidla nemá. Musíte být schopni ověřit, že si AI nevymýšlí, a rozhodnutí o kandidátovi musí vždy udělat člověk. I drobná chyba, například chybějící štítek technologie u jednoho z deseti kandidátů, může vést k jeho vyloučení, a tedy k diskriminaci. Povinnosti pro vysoce rizikové systémy v náboru byly odloženy a platí od 2. prosince 2027 (posun z původního srpna 2026), zákazy z článku 5 ale platí už teď.

Které využití AI v náboru do vysokého rizika nespadá?

Zpravidla sem patří práce s inzeráty: vyhodnocování překladů, kontrola chyb a překlepů, přepisování a vymýšlení inzerátů nebo analýza konkurenceschopnosti inzerátu. Dále reporting, kdy si s AI povídáte nad anonymizovanými daty z náboru, například abyste zjistili, jak nábor zlepšit nebo kde změnit candidate experience. A také prosté vytěžení informací, typicky parsing životopisu, kdy AI jen najde jméno, příjmení, telefon nebo e-mail, které v CV už jsou, a nic k nim nepřidává. Jakmile by ale AI cokoli odvozovala, například odhadovala pohlaví ze jména nebo kandidáta hodnotila, jde už o profilování a spadá to do vysokého rizika. Čistý přepis pohovoru také ne, ale pozor: může obsahovat část, kde si model něco dovymyslí. U každé funkce je proto nutné posoudit konkrétní využití a nechat je kvalifikovat firemními právníky.

← Zpět na průvodce výběrem ATS

Nechte si ukázat Recruitis a získejte 1 měsíc zdarma

Ukážeme vám, jak intuitivní je s Recruitisem pracovat a zodpovíme vaše otázky.

Formulář byl úspěšně odeslán.
Nepodařilo se odeslat formulář.

Odesláním tohoto formuláře potvrzujete, že jste si přečetli Zásady ochrany osobních údajů.