Agent selekcji kandydatów - CV-parsing, AGG-zgodna selekcja, EU AI Act Aneks III, RODO art. 22

Selekcja kandydatów w polskiej firmie nie zawodzi z powodu braku aplikacji. Przy 200, 400, czasem 800 CV na jedno stanowisko problem jest odwrotny - rekruterzy, którzy po pięćdziesiątym CV nie stosują już tych samych kryteriów co przy pierwszym, działy merytoryczne pytające po trzech tygodniach o shortlistę, ATS-y wypełnione zduplikowanymi profilami z Pracuj.pl, OLX Praca i LinkedIn. Pokusa, aby tę masę przepuścić przez ML-screening, jest oczywista - i regulacyjnie najbardziej ryzykowna decyzja, jaką polski dział HR może obecnie podjąć.

Od 2 sierpnia 2026 każdy automat rekrutacyjny w Polsce to system wysokiego ryzyka EU AI Act

EU AI Act 2024/1689 sklasyfikował systemy AI do rekrutacji i selekcji kandydatów jako wysokie ryzyko - Aneks III pkt 4 lit. a. Egzekwowanie zaczyna się 2 sierpnia 2026. Kto do tego czasu nie będzie mógł wykazać udokumentowanej architektury decyzyjnej, oceny zgodności (art. 43), wpisu do rejestru EU (art. 49), oceny skutków praw podstawowych FRIA (art. 27), polityki zarządzania ryzykiem (art. 9), testowania jakości danych pod kątem uprzedzeń (art. 10), automatycznego logowania minimum 6 miesięcy (art. 12), przejrzystości wobec kandydatów (art. 13), Human-in-the-Loop (art. 14) oraz konsultacji z organizacją związkową (art. 26 ust. 7) - musi wyłączyć automat. Sankcje sięgają 35 mln EUR lub 7% obrotu globalnego.

Polski Kodeks Pracy dokłada osobny wektor ryzyka. Art. 18-3a stanowi zakaz dyskryminacji bezpośredniej i pośredniej z odwróconym ciężarem dowodu - przy zarzucie dyskryminacji to pracodawca musi udowodnić, że kierował się obiektywnymi kryteriami. Art. 22-1 zawiera zamknięty katalog danych osobowych kandydata: imię, nazwisko, data urodzenia, dane kontaktowe, wykształcenie, kwalifikacje zawodowe, przebieg zatrudnienia. Wszystko poza tym katalogiem - zdjęcie, stan cywilny, narodowość, wyznanie, dane biometryczne - wymaga wyraźnej zgody i powinno zostać zanonimizowane przed scoringiem ML. PIP może nałożyć grzywnę do 30 000 zł za każde naruszenie (art. 281 KP), UODO sięga 4% obrotu globalnego lub 20 mln EUR za naruszenia RODO art. 22 (zakaz wyłącznie zautomatyzowanych decyzji), RPO i Sądy Pracy prowadzą postępowania antydyskryminacyjne, a Pełnomocnik Rządu ds. Równego Traktowania nadzoruje implementację Ustawy o równym traktowaniu z 3.12.2010.

Dochodzi specyfika 2026: dyrektywa Pay Transparency 2023/970/UE od 7 czerwca 2026 wprowadza obowiązek widełek płacowych w ogłoszeniach i zakaz pytania kandydata o dotychczasowe wynagrodzenie. Ustawa o sygnalistach z 14 czerwca 2024 chroni kandydatów zgłaszających dyskryminację. Ustawa o rehabilitacji zawodowej z 27 sierpnia 1997 obliguje pracodawców >25 pracowników do 6% wskaźnika zatrudnienia osób z niepełnosprawnością - niewypełnienie generuje miesięczną składkę sankcyjną PFRON. AI Literacy (EU AI Act art. 4) jest obowiązkowy dla rekruterów już od 2 lutego 2025.

Dlaczego sprawa Mobley v. Workday i badanie UW 2024 są w polskim kontekście kluczowe

Sprawa Mobley v. Workday (Sąd Federalny USA, 2024) dopuściła pozew zbiorowy przeciwko dostawcy AI rekrutacyjnego - nie pracodawcy, lecz dostawcy oprogramowania - za systematyczną dyskryminację ze względu na wiek, pochodzenie i niepełnosprawność. Badanie University of Washington (Bertsimas et al., 2024) wykazało, że w ML-screeningu CV nazwiska kojarzone z białym pochodzeniem były faworyzowane w 85% przypadków, a w niektórych grupach zawodowych czarnoskórzy mężczyźni byli poszkodowani w 100% przypadków testowych. To nie są hipotetyczne scenariusze - to toczące się postępowania i opublikowane wyniki badań. W polskim kontekście Kodeks Pracy art. 18-3b dodaje odwrócony ciężar dowodu: kandydat zgłaszający dyskryminację musi tylko uprawdopodobnić zarzut, pracodawca musi go skutecznie obalić.

Większość firm stosujących AI w screeningu nie wie, jak ich algorytmy oceniają. Nie zna wag. Nie potrafi wyjaśnić, dlaczego kandydat A jest na shortliście, a kandydat B nie. Gdy score mówi 72 i nikt nie wie, czy to z powodu brakujących kompetencji językowych, przerwy w CV, czy niedopasowania do nazwy szkoły - system jest regulacyjnie bezwartościowy. Przed Sądem Pracy z odwróconym ciężarem dowodu firma nie udowodni obiektywnych kryteriów, jeśli nie potrafi prześledzić, dlaczego model dał taki, a nie inny score.

Selekcja kandydatów PL przechodzi 15 etapów deterministycznych

W odróżnieniu od standardowego ML-screeningu, polska selekcja kandydatów zgodna z Kodeksem Pracy, RODO i EU AI Act wymaga 15 etapów deterministycznych. Pierwszy etap - walidacja zgodności ogłoszenia z dyrektywą Pay Transparency 2023/970 (widełki płacowe, brak pytań o dotychczasowe zarobki). Drugi - parsing CV z mapowaniem na zamknięty katalog danych KP art. 22-1 (wszystko poza katalogiem zostaje zanonimizowane lub wymaga wyraźnej zgody). Trzeci - walidacja podstawy prawnej przetwarzania (RODO art. 6 + art. 9). Czwarty - blind screening: anonimizacja imienia, nazwiska, zdjęcia, daty urodzenia, płci, narodowości, adresu przed scoringiem. Piąty - silnik reguł filtruje kryteria K.O. (uprawnienia, języki, wykształcenie, doświadczenie minimalne) - bez ML, bez czarnej skrzynki. Szósty - dopiero teraz wchodzi parsing AI z 6-8 udokumentowanymi ocenami cząstkowymi per wymaganie (kompetencje techniczne, języki, doświadczenie sektorowe, certyfikaty). Każda ocena uzasadniona osobno z odniesieniem do konkretnego kryterium z ogłoszenia.

Konkretny scenariusz w polskiej operacji: zakład produkcyjny z 1500 pracownikami w Wielkopolsce, otwarte 12 stanowisk inżynierskich, 600 aplikacji w 4 tygodnie z Pracuj.pl, OLX Praca i LinkedIn. HR ma 3 tygodnie na: walidację zgodności ogłoszeń z Pay Transparency, parsing 600 CV, anonimizację, deterministyczny filtr kryteriów K.O. (uprawnienia SEP, certyfikaty branżowe), AI-scoring z uzasadnieniem cząstkowym, statystyczny monitoring uprzedzeń (4/5-Rule, statistical parity, disparate impact), walidację kwoty 6% osób z niepełnosprawnością (PFRON), shortlistę z 30 kandydatami, decyzje rekruterów z udokumentowanym uzasadnieniem, powiadomienia o odrzuceniu zgodne z RODO art. 13-14, retencję 6 miesięcy, pakiet dowodowy dla ewentualnej kontroli PIP, UODO, RPO, EU AI Office.

W Decision Layer każdy z tych 15 etapów to decyzja regułowa (poziom R), automatyczna z parsing AI (poziom A) lub ludzka (poziom H). Filtr kryteriów K.O. jest deterministyczny - silnik reguł, nie ML. Walidacja zamkniętego katalogu KP art. 22-1 jest deterministyczna. Anonimizacja zmiennych dyskryminujących jest deterministyczna. Statystyczny monitoring uprzedzeń jest deterministyczny - 4/5-Rule daje binarny próg. Tylko dwie decyzje są ludzkie (poziom H): przegląd shortlisty przez rekrutera z możliwością modyfikacji wagi kryteriów oraz dokumentacja decyzji z uzasadnieniem dla każdego kandydata. Reszta jest maszynowo odtwarzalna i audytowalna przez PIP, UODO, RPO, EU AI Office i Sądy Pracy.

Integracja z polskim ekosystemem: eRecruiter, Pracuj.pl, Comarch, Symfonia, enova365

Logika agenta integruje się z polskimi systemami ATS i HR przez API: eRecruiter (HRtec) jako lider polskiego rynku z natywną integracją Pracuj.pl + OLX Praca, HRappka i Tetka HR Rekrutacja dla MŚP, JoinPro Polska dla średnich i dużych firm, Comarch ERP HR + Comarch Optima HR Rekrutacja (lider w MŚP), Symfonia ERP HR + Symfonia Rekrutacja, enova365 Kadry i Płace + enova365 Rekrutacja (Soneta - przemysł i handel), Asseco WAPRO HR. Dla polskich oddziałów grup międzynarodowych: SAP SuccessFactors Recruiting Polish Localization (Volkswagen Poznań, Stellantis Tychy, BMW Wrocław, Bosch Wrocław), Workday HCM Polska, Personio Polska. Po stronie kanałów sourcingu: Pracuj.pl ATS API jako dominująca platforma rekrutacji w Polsce, OLX Praca, LinkedIn Talent Solutions Polska, Indeed Polska.

Pakiety dowodowe są generowane ze znacznikiem czasu, hashem źródłowym i pełną identyfikowalnością do dokumentu źródłowego - rewizyjność jest produktem ubocznym czystego procesu, nie dodatkową warstwą kontroli. Każda decyzja rekrutera jest powiązana z konkretnym kryterium z ogłoszenia (a nie generycznym “brak dopasowania”), wersja modelu AI + prompt + parametry są logowane wraz z ocenami cząstkowymi i wynikiem monitoringu uprzedzeń. Dla kontroli PIP (art. 281 KP - do 30 000 zł), UODO (do 4% obrotu lub 20 mln EUR), RPO (postępowania antydyskryminacyjne), Sądów Pracy (odwrócony ciężar dowodu - Kodeks Pracy art. 18-3b), EU AI Office (od 2.08.2026) i PFRON (kwota 6% osób z niepełnosprawnością): pakiet dowodowy gotowy w 4 godziny zamiast 3 tygodni.

Candidate Screening Agent jest często pierwszym agentem wysokiego ryzyka, którego polska firma uruchamia produkcyjnie. Tym samym wymusza budowę infrastruktury, której żaden agent sam nie uzasadniłby, ale z której korzysta każdy kolejny agent wysokiego ryzyka - Performance Review Documentation Agent, Merit Cycle Governance Agent, Promotion Process Agent. Silnik monitoringu uprzedzeń (4/5-Rule, statistical parity, disparate impact) jest reużywany. Udokumentowana procedura scoringu z uzasadnieniem cząstkowym staje się standardem. Komunikacja odmowna zgodna z RODO art. 13-14 i Kodeksem Pracy art. 18-3a ustanawia szablony stosowane w całej komunikacji z pracownikami i kandydatami.

Dla działu HR i Compliance Officera zmienia się rola: mniej operacyjnego skanowania CV, więcej strategicznego sterowania portfelem rekrutacyjnym. Pytanie przesuwa się z “Czy zdążymy ze shortlistą do końca tygodnia?” na “Czy nasza struktura selekcji wytrzyma kontrolę PIP, UODO, RPO i EU AI Office, czy 6% wskaźnik PFRON jest spełniony, czy widełki płacowe odzwierciedlają obiektywne kryteria niezwiązane z płcią?”. To są pytania, które zarząd, Inspektor Ochrony Danych i biegły rewident ESRS S1 naprawdę chcą zadać - i na które polska firma powinna umieć odpowiedzieć bez trzytygodniowego pośpiechu i ryzyka grzywny PIP do 30 000 zł, sankcji UODO do 4% obrotu lub 20 mln EUR, odpowiedzialności cywilnej za dyskryminację (Kodeks Cywilny art. 471) plus sankcji EU AI Act do 35 mln EUR lub 7% obrotu globalnego za naruszenia praktyk obowiązkowych dla systemów wysokiego ryzyka.