AI v nábore a AI Act: čo je zakázané, čo je „high risk" a čomu sa vyhnúť

Využitie AI v nábore dnes dáva zmysel – práve nad veľkým množstvom dát môže mať obrovskú pridanú hodnotu. Má to ale dva regulátory. Prvým je GDPR: rieši, kde dáta kandidáta ležia a aké máte oprávnenie ich vôbec zadávať mimo kontroly firmy. Druhým, a oveľa dôležitejším, je AI Act: ten rieši, čo AI v procese náboru vyhodnocuje. Niektoré použitie je vyslovene zakázané, väčšina užitočných funkcií spadá do kategórie vysokého rizika (high risk) – smiete ich použiť, ale za konkrétnych podmienok. A niektoré veci, typicky práca s inzerátmi alebo reporting nad anonymizovanými dátami, do high risk spravidla nespadajú.

GDPR: kde tie dáta vlastne ležia

Dáta kandidáta nemôžete len tak nahrať do nejakého GPT, ktoré máte za dvadsať dolárov, a požiadať ho o zhrnutie. Ani doň vložiť desať kandidátov v Exceli a nechať vyhodnotiť, kto z nich je najlepší. Vyhodnocovanie kandidátov chatbotom navyše podľa AI Actu nie je zakázané, ale vysoko rizikové – k tomu sa dostaneme.

Z pohľadu GDPR ide o dve otázky: kde tie dáta ukladáte a aké máte oprávnenie ich zadávať mimo firemnej kontroly. Ukladajú ich bez debát všetci bežní chatboti. Inak sú na tom firmy, ktoré používajú napríklad Copilot v rámci vlastného tenantu, alebo majú vlastné servery, kde smú firemné dáta spracúvať a kde je uloženie dát v súlade s GDPR. Ak to interná smernica firmy dovoľuje, môže to byť v poriadku.

Občas zaznieva názor, že kandidátovi predsa nemôže vadiť, keď jeho dáta niekam nahráte. To ale neplatí.

Vy ako prevádzkovateľ dát kandidáta máte povinnosti, ktoré vám ukladá GDPR. Nemôžete svojvoľne ukladať jeho dáta v mieste, ktoré nemáte pod kontrolou a pri ktorom nedokážete doložiť, kde a za akých podmienok sa spracúvajú.

GDPR pritom nevyžaduje, aby dáta ležali výhradne v EÚ – prenos do tretej krajiny je možný na základe rozhodnutia o zodpovedajúcej úrovni ochrany, štandardných zmluvných doložiek alebo záväzných podnikových pravidiel. Jadro problému nie je „EÚ verzus mimo EÚ", ale doložený režim spracovania. A ten vám bežný chatbot za dvadsať dolárov nedá.

Súvisiace funkcie: GDPR compliance a úložisko v EÚ · Automatická anonymizácia

Čo je cieľom AI Actu

Formálne je cieľom AI Actu ochrana zdravia, bezpečnosti a základných práv. V nábore sa to premieta veľmi konkrétne. Než sa pustíte do čohokoľvek s AI, zhmotnite si preto jednu vetu – je to téza, ku ktorej sa budete vracať pri každej jednotlivej funkcii:

AI Act má za cieľ ochrániť kandidáta pred tým, aby si o ňom AI vymyslela – teda halucinovala – informáciu, ktorá ho v procese náboru bude diskriminovať.

Právny rámec: nečakajte na pokutu

AI Act je priamo použiteľné nariadenie Európskej únie. Jeho povinnosti nenabiehajú naraz a časť z nich bola v roku 2026 odložená (tzv. Digital Omnibus). Aktuálne platí:

  • 1. augusta 2024 – nariadenie vstúpilo do platnosti
  • 2. februára 2025 – začali platiť zákazy vyslovene zakázaných praktík
  • 2. augusta 2025 – pravidlá pre všeobecné AI modely (už platia)
  • 2. decembra 2027 – povinnosti pre vysoko rizikové systémy podľa Prílohy III, kam nábor a výber uchádzačov patrí (posunuté z pôvodného augusta 2026)

Dátumy použiteľnosti stanovuje článok 113 v znení po odklade schválenom Radou EÚ v júni 2026. Pre nábor teda máte čas do 2. decembra 2027 – zákazy z článku 5 ale platia už teraz.

A ako je to s uplatňovaním na Slovensku? Keďže AI Act je nariadenie EÚ, netransponuje sa do slovenského zákona ako smernica a platí priamo. Národná úprava, ktorá určí dozorný orgán a pravidlá sankcií, sa v čase písania ešte dokončuje – overte si aktuálny stav. Samotné povinnosti z nariadenia tým ale nie sú podmienené: platia podľa európskych termínov vyššie bez ohľadu na národný zákon.

Dá sa samozrejme legitímne namietnuť, že dnes nie je úplne jasné, kto by dodržiavanie kontroloval a kto by za porušenie udeľoval pokutu. Lenže ak ste firma, ktorá s dátami kandidátov pracuje seriózne, budete sa chcieť zamyslieť skôr, než vám niekto bude môcť dať pokutu.

Väčšina firiem k dnešnému dňu nemá vyhotovené žiadne smernice ani postupy, ako naberať v súlade s AI Actom. Ak ste stredná až veľká firma, opýtajte sa najprv svojich právnikov, akým spôsobom to robiť správne.

Čo je vyslovene zakázané

AI Act zakazuje len úzky, taxatívny výpočet praktík (článok 5). Pre nábor je z nich relevantných niekoľko:

Zakázaná praktikaAko by vyzerala v nábore
Rozpoznávanie emócií na pracovisku
čl. 5 ods. 1 písm. f)
AI vyhodnocujúca emócie, mikrovýrazy, tón hlasu alebo „nadšenie“ kandidáta z videopohovoru. Najsilnejší priamy zákaz pre nábor. Výnimkou sú zdravotné a bezpečnostné dôvody.
Biometrická kategorizácia chránených znakov
čl. 5 ods. 1 písm. g)
Nástroj, ktorý z fotografie alebo videa kandidáta odvodzuje rasu, náboženské presvedčenie, politické názory, členstvo v odboroch alebo sexuálnu orientáciu.
Podprahové a manipulatívne techniky
čl. 5 ods. 1 písm. a)
Chatbot alebo assessment, ktorý kandidáta manipulatívne dotlačí k rozhodnutiu, ktoré by inak neurobil, a spôsobí mu tým významnú ujmu.
Zneužitie zraniteľnosti
čl. 5 ods. 1 písm. b)
Nábor cielený na zraniteľné skupiny – napríklad mladistvých alebo ľudí v ťaživej ekonomickej situácii – ktorý ich zraniteľnosť manipulatívne zneužíva.
Necielený scraping tvárí
čl. 5 ods. 1 písm. e)
Sourcingový nástroj, ktorý buduje databázu na rozpoznávanie tvárí necieleným sťahovaním fotografií z internetu. Bežný sourcing textových profilov sem nepatrí – ten sa riadi GDPR.

Hraničné je sociálne skórovanie (písm. c). Čistý nábor ním obvykle nie je, ale keby nástroj hodnotil uchádzačov podľa nesúvisiaceho správania – napríklad skóre zo sociálnych sietí – a viedlo to k ich znevýhodneniu, posudzuje sa to prípad od prípadu.

Rozlišujte preto dve odlišné kategórie: zakázané praktiky (nesmiete ich vôbec) a vysoké riziko (smiete, ale s povinnosťami). Väčšina toho, čo sa dnes v nábore s AI robí, spadá do tej druhej.

Čo je dovolené, ale spadá do vysokého rizika

High risk neznamená, že to nesmiete použiť. Znamená to, že sú s tým spojené povinnosti – za akých podmienok to použiť smiete a čo pre to všetko musíte urobiť.

Základné povinnosti už nariadenie stanovuje; dopresňujú sa hlavne technické štandardy, metodiky a výklad dozoru. Prakticky to znamená, že budete musieť od poskytovateľa AI chcieť návody, ako systém používať, a mať vlastné firemné smernice k tomu, ako ich používať, kontrolovať a ako nad nimi dohliadať.

Počítajte ale aj s tým, čo nariadenie vyžaduje výslovne:

  • Riadenie rizík – pri vysoko rizikovom systéme musí existovať systém riadenia rizík počas celej doby jeho životného cyklu (čl. 9); to je povinnosť poskytovateľa, ale ako prevádzkovateľ po ňom budete chcieť doklad.
  • Preukázateľný ľudský dohľad – dohľad musíte zveriť kompetentným osobám (čl. 26 ods. 2); systém sám k nemu musí byť navrhnutý (čl. 14).
  • Monitorovanie prevádzky, uchovávanie logov a kontrola vstupných dát (čl. 26).
  • Informovať kandidáta, že voči nemu vysoko rizikový systém používate (čl. 26 ods. 11), a ako zamestnávateľ tiež informovať zástupcov zamestnancov a dotknutých pracovníkov (čl. 26 ods. 7).
  • Od poskytovateľa môžete očakávať systém s doloženou presnosťou, robustnosťou a kybernetickou bezpečnosťou (čl. 15).

Posúdenie vplyvov na základné práva (FRIA, čl. 27) sa naopak neuplatní plošne. Vzťahuje sa na verejnoprávne subjekty, na súkromné subjekty poskytujúce verejné služby a na niektorých ďalších prevádzkovateľov. Bežný súkromný zamestnávateľ, ktorý náborový systém používa sám pre seba, povinnosť FRIA spravidla nemá – toto je časté nedorozumenie.

Ultimátne prianie: „pomôž mi vybrať kandidáta"

To je to, čo si všetci prajeme. AI by ale nemala robiť samotné rozhodnutie. Mala by vám iba pomáhať a poskytnúť dáta. Vy musíte byť schopní verifikovať, že si AI nevymýšľa, a až vy ako ľudia rozhodujete, ktorý kandidát to bude.

Príklad, na ktorom to uvidíte

Povedzme, že AI dokáže desať kandidátov otagovať štítkami technológií, ktoré ovládajú. Asi si poviete, že to predsa nie je nič zložité – a že to rozhodne nebude spadať do kategórie vysokého rizika. Vieme si ale predstaviť situáciu, keď u deviatich z nich technológiu označí správne a u desiateho nie.

To isté by sa samozrejme mohlo stať človeku. Lenže tu sa nebavíme o človeku.

Bavíme sa o AI, ktorá má automatizovať a rozhodovať za nás. A tá sa v tomto podaní zmýliť nesmie. Človek áno.

Právne vzaté AI Act bezchybnosť nepožaduje – požaduje riadenie rizík, doloženú úroveň presnosti, robustnosti a kybernetickej bezpečnosti (čl. 15), ľudský dohľad a možnosť výstup odmietnuť alebo zvrátiť (čl. 14). Prakticky to ale vychádza narovnako: ak výstup neoveríte, preberáte jeho chybu za svoju.

A teraz si predstavte, že vy toho jedného kandidáta z desiatich vylúčite, pretože ho štítkom neoznačilo. Presne tu aj drobná funkcionalita zasahuje do diskriminácie pri výbere. Je preto potrebné dáta verifikovať.

A tu sa sedliackym rozumom núka otázka: prečo používať AI na niečo, čo aj tak budem musieť ísť skontrolovať, či to vyhodnotila správne?

Profilovanie kandidátov

Akékoľvek profilovanie kandidátov spadá do kategórie vysokého rizika. Nariadenie to hovorí výslovne: systém uvedený v Prílohe III, ktorý vykonáva profilovanie fyzických osôb, je vždy vysoko rizikový (čl. 6 ods. 3). Sám nábor a výber uchádzačov je potom vymenovaný v Prílohe III, bode 4 písm. a). Typicky ide o:

  • „Vyhodnoť mi na základe jeho CV a job description jeho vhodnosť pre túto pozíciu."
  • „Vyhodnoť mi jeho CV."
  • „Porovnaj mi CV kandidátov v rámci náboru."

To všetko bez debát profilovanie je. Či už tomu hovoríte AI screening, alebo automatický predvýber kandidátov, ide o vyhodnocovanie ľudí – teda profilovanie, a tým pádom vysoké riziko, nie zakázaná praktika.

Súvisiace funkcie: Odporúčanie kandidátov na novú pozíciu · Skóring kandidátov · Analýza kandidáta · AI sourcing na LinkedIne

Čo do vysokého rizika spravidla nespadá

Existujú naopak využitia AI v nábore, ktoré do high risk kategórie spravidla nepatria.

Práca s inzerátmi

Vyhodnocovanie prekladov, kontrola chýb a preklepov, prepisovanie a vymýšľanie inzerátov alebo napríklad analýza konkurencieschopnosti vášho inzerátu.

Reporting nad anonymizovanými dátami

Môžete sa s AI rozprávať nad svojimi dátami z náboru. Aj tu je samozrejme otázka, kde sa tie dáta procesujú. Samotný AI Act ale nemá problém s tým, aby ste sa bavili o anonymizovaných dátach z náboru: aby vám poradilo, ako nábor zlepšiť, kde je podľa posledných prieskumov potrebné zmeniť candidate experience, alebo aby ste si nechali urobiť vlastnú tabuľku reportu.

Prosté vyťaženie informácií

Typicky parsing životopisu: zistiť, kde je meno, priezvisko, telefón alebo e-mail. To by som nepovažoval za profilovanie kandidáta, ale len za vyhľadanie informácií, ktoré v CV už sú – nič sa k nim nepridáva.

Prepis pohovoru – ale pozor

Do vysokého rizika spravidla nespadá ani čistý prepis informácií, napríklad z pohovoru. Tu je ale potrebné dať si pozor: môže tam byť časť, ktorá už nie je len prepisom, ale kde si AI model niečo „dovymyslí" alebo pridá – a tým sa to do vysokého rizika vracia.

Preto je nutné pri každej jednotlivej funkcii zaoberať sa jej konkrétnym využitím – a nechať vašich firemných právnikov kvalifikovať, či ide o high risk, alebo nie.

Súvisiace funkcie: AI preklad inzerátu · Analýza konkurencieschopnosti inzerátu · AI parsovanie CV · AI chatbot nad reportingom · Prepis online pohovoru

Opýtajte sa, či sa dajú AI funkcie vypnúť

Toto je praktická otázka, na ktorú sa pri výbere ATS zabúda. Pýtajte sa dodávateľa, či AI funkcie, na ktorých sa dohodnete, vie úplne vypnúť – tak, aby ich vaši recruiteri vôbec nemohli použiť.

Kým nemáte firemné smernice k tomu, ako AI v nábore používať, je možnosť funkciu deaktivovať najjednoduchší spôsob, ako riziko odrezať. A keď smernice mať budete, chcete rozhodovať vy – nie dodávateľ za vás tým, že funkciu zapne všetkým.

Odporúčanie na záver

V tejto úvodnej fáze by som všetkým recruiterom, ktorí chcú AI v nábore používať, odporučil byť veľmi obozretní. Nehovorím, že nemajú technológie skúšať a používať ich v nábore. Hovorím, že to majú robiť s veľkou obozretnosťou – práve kvôli AI Actu.

Kde si AI Act prečítať

Nespoliehajte na zhrnutia, ani na toto. Text nariadenia je verejný:

Fakty o Recruitise

Tohto sprievodcu vydáva Recruitis.io, český ATS. Naše AI funkcie spadajú podľa vyššie uvedeného členenia do rôznych kategórií a je férové povedať to nahlas:

  • Spravidla mimo vysoké riziko: tvorba a preklad inzerátu, analýza jeho konkurencieschopnosti, parsovanie údajov z CV a chatbot nad anonymizovanými dátami z reportingu.
  • Profilovanie, teda vysoké riziko: odporúčanie kandidátov z talent poolu, AI sourcing na LinkedIne, skóring a analýza kandidáta.

Neznamená to, že ich nesmiete použiť. Znamená to, že s nimi sú spojené povinnosti – a že rozhodnutie o kandidátovi musí vždy urobiť človek, nie systém. Dáta, ktoré vám AI predloží, musíte vedieť overiť.

Máte to pod kontrolou: všetky vysoko rizikové AI funkcie sa u nás dajú vypnúť – respektíve naopak, zapínajú sa len na vaše vyžiadanie. Vo východiskovom stave teda žiadnu z nich recruiteri nepoužijú, kým si ju vedome nezapnete.

Na rovinu: tento článok nie je právne poradenstvo a my nie sme právnici. Pred nasadením AI do náboru si nechajte konkrétne využitie posúdiť vlastným právnym oddelením.

Časté otázky

Smiem nahrať životopis kandidáta do ChatGPT?

Dáta kandidáta nemôžete len tak nahrať do bežného chatbota a požiadať ho o zhrnutie, ani doň vložiť desať kandidátov v tabuľke a nechať vyhodnotiť, kto je najlepší. Z pohľadu GDPR ide o to, kde sa dáta spracúvajú a aké máte oprávnenie zadávať ich mimo kontroly firmy. Bežní chatboti dáta ukladajú. Inak sú na tom firmy, ktoré používajú AI v rámci vlastného tenantu alebo na vlastných serveroch, kde interná smernica také spracovanie dovoľuje. Ako prevádzkovateľ dát kandidáta máte povinnosti podľa GDPR a nemôžete svojvoľne ukladať jeho dáta v mieste, ktoré nemáte pod kontrolou a pri ktorom nedokážete doložiť, kde a za akých podmienok sa spracúvajú. GDPR pritom uloženie dát mimo EÚ nezakazuje, vyžaduje však doložený mechanizmus prenosu. Vyhodnocovanie kandidátov chatbotom navyše podľa AI Actu nie je zakázané, ale je to vysoko rizikové použitie, s ktorým sú spojené povinnosti.

Čo je podľa AI Actu v nábore zakázané?

AI Act zakazuje len úzky, taxatívny výpočet praktík uvedený v článku 5. Pre nábor sú relevantné tieto: rozpoznávanie emócií na pracovisku (čl. 5 ods. 1 písm. f), teda AI odhadujúca emočný stav kandidáta napríklad z videopohovoru – to je najsilnejší priamy zákaz pre nábor; biometrická kategorizácia odvodzujúca chránené znaky ako rasa, náboženstvo, politické názory alebo sexuálna orientácia (písm. g); podprahové a manipulatívne techniky (písm. a); zneužitie zraniteľnosti, napríklad u mladistvých alebo ľudí v ťaživej ekonomickej situácii (písm. b); a necielený scraping fotografií tvárí na tvorbu databáz rozpoznávania tvárí (písm. e), čo môže dopadnúť na niektoré sourcingové nástroje. Hraničné je sociálne skórovanie (písm. c). Naopak situácia, keď necháte AI odhadovať alebo domýšľať, ako by sa kandidát správal, nie je zakázanou praktikou, ale spadá do kategórie vysokého rizika, pretože ide o profilovanie. Treba rozlišovať dve odlišné kategórie: zakázané praktiky, ktoré nesmiete vôbec, a vysoké riziko, ktoré smiete, ale so stanovenými povinnosťami.

Ktoré AI funkcie v nábore spadajú do kategórie vysokého rizika (high risk)?

Do vysokého rizika spadá akékoľvek profilovanie kandidátov: vyhodnotenie vhodnosti kandidáta pre pozíciu na základe CV a job description, vyhodnotenie jeho životopisu alebo porovnávanie CV kandidátov medzi sebou. Vysoké riziko neznamená zákaz. Znamená, že sú s použitím spojené povinnosti: budete potrebovať manuály od poskytovateľa AI a vlastné firemné smernice k tomu, ako ich používať, kontrolovať a dohliadať na ne. AI by nemala robiť samotné rozhodnutie, len poskytnúť dáta. Nábor a výber uchádzačov je vymenovaný v Prílohe III bode 4 písm. a) a podľa čl. 6 ods. 3 je systém z Prílohy III vykonávajúci profilovanie vždy vysoko rizikový. Okrem toho nariadenie vyžaduje preukázateľný ľudský dohľad (čl. 26 ods. 2 a čl. 14), monitorovanie prevádzky a uchovávanie logov, kontrolu vstupných dát a povinnosť informovať kandidáta, že voči nemu vysoko rizikový systém používate (čl. 26 ods. 11), a ako zamestnávateľ informovať aj zástupcov zamestnancov (čl. 26 ods. 7). Posúdenie vplyvov na základné práva (FRIA, čl. 27) sa naopak neuplatní plošne: bežný súkromný zamestnávateľ používajúci náborový systém sám pre seba povinnosť FRIA spravidla nemá. Musíte byť schopní overiť, že si AI nevymýšľa, a rozhodnutie o kandidátovi musí vždy urobiť človek. Aj drobná chyba, napríklad chýbajúci štítok technológie u jedného z desiatich kandidátov, môže viesť k jeho vylúčeniu, a teda k diskriminácii. Povinnosti pre vysoko rizikové systémy v nábore boli odložené a platia od 2. decembra 2027 (posun z pôvodného augusta 2026), zákazy z článku 5 však platia už teraz.

Ktoré využitie AI v nábore do vysokého rizika nespadá?

Spravidla sem patrí práca s inzerátmi: vyhodnocovanie prekladov, kontrola chýb a preklepov, prepisovanie a vymýšľanie inzerátov alebo analýza konkurencieschopnosti inzerátu. Ďalej reporting, keď sa s AI rozprávate nad anonymizovanými dátami z náboru, napríklad aby ste zistili, ako nábor zlepšiť alebo kde zmeniť candidate experience. A tiež prosté vyťaženie informácií, typicky parsing životopisu, keď AI len nájde meno, priezvisko, telefón alebo e-mail, ktoré v CV už sú, a nič k nim nepridáva. Len čo by však AI čokoľvek odvodzovala, napríklad odhadovala pohlavie z mena alebo kandidáta hodnotila, ide už o profilovanie a spadá to do vysokého rizika. Čistý prepis pohovoru tiež nie, ale pozor: môže obsahovať časť, kde si model niečo dovymyslí. Pri každej funkcii je preto nutné posúdiť konkrétne využitie a nechať ho kvalifikovať firemnými právnikmi.

← Späť na sprievodcu výberom ATS

Nechajte si ukázať Recruitis a získajte 1 mesiac zadarmo

Ukážeme vám, aký intuitívny je práca s Recruitisom a zodpovieme vaše otázky.

Formulár bol úspešne odoslaný.
Nepodarilo sa odoslať formulár.

Odoslaním tohto formulára potvrdzujete, že ste si prečítali Zásady ochrany osobných údajov.