ЗмістНатисність на посилання, щоб перейти до потрібного місця
Уявіть: ви HR у продуктовій ІТ-компанії. Сотні резюме – дедлайн "вчора". Пропозиція: «Підключи ШІ – сам усе зробить». Зручно? Так. Але якщо бот відсіє сильного кандидата чи зчитає обличчя без згоди — відповідальність на вас.
У 2024 році британський регулятор ICO провів аудит компаній, які використовують ШІ на етапах добору персоналу. Результати виявили низку ризиків: автоматичні відмови без участі людини, відсутність зрозумілого інформування та збір чутливих персональних даних без згоди. Українське законодавство ще не містить спеціальних норм щодо ШІ, але практика впевнено рухається в бік більш відповідального використання.
ІТ юристи Stalirov&Co поділились практичними спостереженнями – як саме застосування рекрутингового ШІ в ІТ-бізнесі може призвести до юридичних ускладнень і як цього уникнути.
Ключові ризики: що потрібно знати про законність ШІ
Перед тим як довірити ШІ частину рекрутингу, варто оцінити можливі юридичні наслідки. Ось що радять врахувати юристи для ІТ-проєктів:
Дискримінація та упередження
ШІ вчиться на минулому. Якщо раніше наймали переважно чоловіків – система це повторить. Так Amazon довелося відмовитися від власного інструмента найму після сексистського скандалу: ШІ систематично знижував рейтинг кандидаток, якщо в резюме траплялися згадки про жіночі коледжі чи досвід участі у жіночих спільнотах.
Приватність даних
Багато інструментів обробляють біометричні дані – міміку, голос, емоції. У ЄС, Канаді, Австралії, США та Україні така інформація вважається чутливою. Її обробка дозволена лише за прямою згодою.
Відсутність прозорості (Black Box AI)
«Чорна скринька» – це алгоритм, рішення якого складно або неможливо пояснити. Якщо ШІ відмовив — ви не зможете пояснити кандидату, чому саме. Але згідно зі ст. 22 GDPR (Європейського регламенту про захист персональних даних), особа має право не підпадати під рішення, що ґрунтується винятково на автоматизованій обробці, якщо воно має юридичні наслідки або істотно впливає на неї. В Україні подібні принципи закріплюються через судову практику: кандидат має право на перегляд таких рішень — інакше зростають юридичні ризики.
Як зменшити ймовірність скарги
Щоб мінімізувати ризики, з якими на практиці стикаються юристи в айті, варто дотримуватись таких кроків:
- Залиште останнє слово за людиною. Не ухвалюйте остаточних рішень без участі HR.
- Проведіть DPIA (Data Protection Impact Assessment) – оцінку впливу на персональні дані. Це важливо робити, коли ви впроваджуєте сторонній продукт або замовляєте розробку власного програмного забезпечення. В обох випадках ваша компанія виступає «контролером» — саме ви вирішуєте, навіщо і як обробляються персональні дані. Частину технічних операцій з обробки можна делегувати зовнішньому підряднику – так званому «процесору». Втім, навіть у такому разі основний обов’язок щодо дотримання вимог захисту персональних даних залишається за контролером: якщо інструкції будуть нечіткими, рівень безпеки — недостатнім, або дані використовуватимуться поза визначеною метою, відповідальність покладається саме на вас.
- Just-in-time повідомлення. Якщо ваша ШІ-система використовує відеоінтерв’ю чи відеофіксацію — вона фактично збирає біометричні дані. А це – чутлива інформація. Щоб не змушувати кандидатів гортати п’ять сторінок Політики конфіденційності, дайте коротке повідомлення у момент збору: «Ця частина процесу передбачає відеозапис. Надаєте згоду?».
- Формалізуйте документи. Умови використання ШІ мають бути описані в угодах, контрактах та публічній оферті.
- Вибір постачальника ШІ: належна перевірка. Коли компанія вирішує впровадити ШІ-систему для рекрутингу, вибір правильного постачальника не має ґрунтуватися лише на критеріях функціоналу та ціни. Важливо врахувати юридичні ризики, прозорість і відповідність майбутнім вимогам законодавства. На етапі переговорів з постачальником зверніть увагу на таке:
- Чи можливо пояснити логіку прийнятих рішень?
- Чи існує механізм оскарження або перегляду результатів?
- Які умови щодо інтелектуальної власності? Хто володіє алгоритмом, зібраними даними та результатами аналізу? У деяких випадках стандартні умови передбачають, що все належить постачальнику – а це означає втрату контролю над системою.
- Хто має права на код? Без доступу до нього ваша команда не зможе адаптувати інструмент або масштабувати рішення в майбутньому – наприклад, для нової вакансії чи в межах іншої внутрішньої розробки.
Висновок
Рекрутингові ШІ-системи – це не лише про економію часу, а й про баланс між автоматизацією та відповідальністю. Надмірна довіра до алгоритмів без людського контролю може обернутися скаргами, штрафами і втраченою репутацією.
Щоб уникнути таких ризиків, варто з самого початку будувати процес на чітких засадах:
- з людським контролем,
- прозорим інформуванням кандидатів,
- оцінкою ризиків (DPIA),
- юридичним супроводом it проєктів.
Команди, які враховують ці принципи на старті, зменшують ризики й вибудовують довіру – як з боку кандидатів, так і з боку регуляторів.
Автор: Валерій Сталіров, CEO компанії IT-юристів Stalirov&Co
Цей допис поки що не має жодних доповнень від автора/ки.
