Sztuczna Inteligencja w rekrutacji
Sztuczna Inteligencja w rekrutacji a wymogi RODO – zautomatyzowane podejmowanie decyzji w procesie rekrutacji. Jakie warunki muszą zostać spełnione, aby proces rekrutacji mógł być procesem, w ramach którego podejmowane są decyzje w sposób w pełni zautomatyzowany, w których decyzje o zatrudnieniu opierają się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu.
Wprowadzenie - przepisy prawa
Zautomatyzowane podejmowanie decyzji w indywidualnych przypadkach, w tym profilowanie
Artykuł 22 RODO
1. Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
2. Ust. 1 nie ma zastosowania, jeżeli ta decyzja:
a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
3. W przypadkach, o których mowa w ust. 2 lit. a) i c), administrator wdraża właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą, a co najmniej prawa do uzyskania interwencji ludzkiej ze strony administratora, do wyrażenia własnego stanowiska i do zakwestionowania tej decyzji.
4. Decyzje, o których mowa w ust. 2, nie mogą opierać się na szczególnych kategoriach danych osobowych, o których mowa w art. 9 ust. 1, chyba że zastosowanie ma art. 9 ust. 2 lit. a) lub g) i istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.
Analiza
cyt.: „Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa”
W przepisie mowa jest osobie fizycznej, której dotyczą konkretne dane osobowe, czyli konkretne informacje o tej osobie.
cyt.: „Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa”
Osoba, o jakiej mowa w przepisie, ma określone prawo.
cyt.: „Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa”
Prawem, jakie przysługuje osobie, której dane dotyczą, jest prawo do nie podlegania określonemu rodzajowi decyzji. Innymi słowy obowiązkiem, jaki wynika z ww. prawa, jest obowiązek powstrzymania się od podejmowania decyzji, określonego rodzaju względem konkretnej osoby fizycznej, której dane dotyczą.
cyt.: „Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa”
Decyzje, o jakich mowa w przepisie, to decyzje, których rozstrzygnięcia opierają się wyłącznie na zautomatyzowanym przetwarzaniu. Innymi słowy w przepisie mowa jest o sytuacji, w której dana decyzja, jest decyzją, jaka zapada wyłącznie na podstawie zautomatyzowanego przetwarzania, danych osobowych, osoby której one dotyczą, względem której decyzja jest wydawana. Kiedy rozstrzygnięcie zapada bez interwencji ludzkiej w proces decyzyjnym[1], wówczas mamy do czynienia ze zautomatyzowanym przetwarzaniem, na którym opiera się wyłącznie decyzja. Przyjmuje się, iż interwencją ludzką, której współwystąpienie w zautomatyzowanym przetwarzaniu, pozbawia go cechy przetwarzania na którym wyłącznie opiera się dana decyzja, jest taka interwencja, która przejawia się w konkretnym uprawnieniu, uprawnieniu do sprawowania istotnego nadzoru nad podejmowaniem decyzji, przez osobę, która ma przyznane przez administratora danych osobowych kompetencje i uprawnienia do tego, aby nie tylko móc przeprowadzić kontrolę i analizę, stanu faktycznego z uwzględnieniem wszystkich istotnych danych, istotnych dla osoby, której dane dotyczą, ale także, która ma uprawnienia i kompetencje do tego, aby decyzję zmieniać[2]. cyt.: „(…) Aby działanie administratora mogło być uznane za interwencję ludzką, musi on zapewnić, aby nadzór nad podejmowaniem decyzji był istotny, a nie jedynie symboliczny. Takie działanie musi podejmować osoba, która ma uprawnienia i kompetencje do zmiany decyzji. Przeprowadzając analizę, taka osoba musi uwzględnić wszystkie istotne dane. W ramach oceny skutków dla ochrony danych administrator powinien określić i udokumentować stopień interwencji ludzkiej w proces podejmowania decyzji oraz etap, na którym zachodzi taka interwencja ludzka. (…)”.
[1] Grupa Robocza 29, Wytyczne w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE, 3 października 2017r., s. 23
[2] Grupa Robocza 29, Wytyczne w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE, 3 października 2017r., s. 24
cyt.: „Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa”
Prawem, jakie przysługuje osobie, której dane dotyczą, jest prawo do nie podlegania decyzji, jakie opierają się wyłącznie zautomatyzowanym przetwarzaniu w oparciu o profilowanie. Innymi słowy obowiązkiem, jaki wynika z ww. prawa, jest obowiązek powstrzymania się od wydawania decyzji, jakie opierają się wyłącznie na zautomatyzowanym przetwarzaniu danych osobowych, osoby której dane dotyczą, o jakiej mowa jest w przepisie, przetwarzaniu polegającym na wykorzystaniu tych danych osobowych do oceny niektórych czynników osobowych tej osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się[3].
Jak podkreśla Grupa Robocza 29 w sowim opracowaniu zautomatyzowane podejmowanie decyzji może, ale nie musi, obejmować profilowanie, natomiast profilowanie może mieć miejsce bez podejmowania zautomatyzowanych decyzji. Zwracam jeszcze uwagę na jeden wariant, otóż decyzje, jakie nie opierają się wyłącznie na zautomatyzowanym przetwarzaniu, także mogą zapadać przy wykorzystaniu przetwarzania, jakim jest profilowanie[4].
[3] art. 4 pkt 4 RODO „profilowanie” oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
[4] Grupa Robocza 29, Wytyczne w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE, 3 października 2017r., s. 8-9.
W przepisie mowa jest zatem o dwóch kategoriach decyzji:
- decyzje podejmowane wyłącznie w sposób zautomatyzowany, czyli są one podejmowane z wykorzystaniem rozwiązań technicznych i bez interwencji ludzkiej, oraz
- decyzje podejmowane wyłącznie w sposób zautomatyzowany w oparciu o profilowanie.
Poza zakresem regulacji omawianego przepisu leżą sytuacje, w których
- decyzje podejmowane są w sposób niezautomatyzowany, oraz
- decyzje podejmowane są w sposób zautomatyzowany jednak nie wyłącznie, bez oparcia o profilowanie oraz
- decyzje podejmowane są w sposób zautomatyzowany jednak nie wyłącznie, w oparciu o profilowanie,
cyt.: „Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa”
Warunkiem, jaki musi zostać spełniony jest to, aby podejmowana decyzja, o jakiej mowa w przepisie, wywoływała wobec osoby, której dane dotyczą, której dane są przetwarzana, skutki prawne. Innymi słowy, decyzja, która wywołuje skutek prawny wobec osoby, której dane są przetwarzane, to decyzja, które wywołuje następstwa polegające na powstaniu, zmianie, wygaśnięciu stosunku prawnego, to decyzja oddziałowująca na prawa tej osoby fizycznej.
cyt.: „Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa”
Warunkiem, jaki musi zostać spełniony jest to, aby podejmowana decyzja, o jakiej mowa w przepisie, w podobny sposób oraz istotnie wpływała na osobę, której dane dotyczą, której dane są przetwarzana. Innymi słowy, mowa jest o decyzji, która nie wywołuje skutku prawnego wobec osoby, której dane są przetwarzane, ale mowa jest o decyzji, która w podobny sposób, ale nie identyczny, wpływa w sposób istotny, na osobę fizyczną, jakiej decyzja dotyczy.
cyt.: „Osoba, której dane dotyczą, ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa”
Podsumowując zatem w przepisie mowa jest o decyzjach albo wywołujących skutek prawny, albo istotnie wpływających na daną osobę fizyczną, albo jednocześnie o decyzjach zarówno wywołujących skutek prawny oraz jednocześnie istotnie wpływających na osobę fizyczną.
Analiza
a) jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
b) jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
c) opiera się na wyraźnej zgodzie osoby, której dane dotyczą.
cyt.: „Ust. 1 nie ma zastosowania, jeżeli ta decyzja:
- jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
- jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
- opiera się na wyraźnej zgodzie osoby, której dane dotyczą.”
Zakaz wydawania decyzji, o jakiej mowa w art. 22 ust. 1 RODO, nie obowiązuje w określonych w przepisie sytuacjach. Innymi słowu, prawnie dopuszczalne jest wydanie decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, albo która opiera się wyłącznie na zautomatyzowanym przetwarzaniu w tym profilowaniu, i wywołuje wobec określonej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa, w przypadkach, jakie wskazano w przepisie.
cyt.: „Ust. 1 nie ma zastosowania, jeżeli ta decyzja:
- jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
- jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
- opiera się na wyraźnej zgodzie osoby, której dane dotyczą.”
Drugim przypadkiem, w którym prawnie dopuszczalne jest wydanie decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, albo która opiera się wyłącznie na zautomatyzowanym przetwarzaniu w tym profilowaniu, jest sytuacja, w której jest to decyzja która ma charakter decyzji niezbędnej. Innymi słowy, bez wydania decyzji o jakiej mowa w art. 22 ust. 1 RODO, obiektywnie nie zostanie osiągnięty określony cel działania. Czyli, bez wydania decyzji polegającej wyłącznie na zautomatyzowanym przetwarzaniu w tym profilowaniu, wywierającej określone skutki prawne, lub w inny istotny sposób wpływającej na osobę fizyczną, osiągnięcie określonego w przepisie rezultatu nie jest możliwe. Grupa Robocza 29 wskazuje na fakt, iż jeżeli w danej sytuacji istnieją inne skuteczne sposoby – inne niż wydanie kategorii decyzji, których zakaz wydawania wynika z art. 22 ust. 1 RODO – sposoby osiągnięcia tego samego celu i których zastosowanie wiązałoby się z mniejszą ingerencją w prywatność, zastosowania tego rodzaju przetwarzania nie można byłoby uznać za „niezbędne”[1].
Uwzględniając role, jaką w procesie przetwarzania danych realizuje administrator, uznaję, iż dokonanie oceny niezbędności wydania określonej kategorii decyzji, leży po jego stronie. Oczywiście konsekwencją takiego stanu rzeczy jest możliwość kontroli zapadłego rozstrzygnięcia w zakresie wykonanej oceny niezbędności.
Decyzja podejmowane wyłącznie w sposób zautomatyzowany, w tym decyzja podejmowana wyłącznie w sposób zautomatyzowany w oparciu o profilowanie, jest niezbędna do wykonania umowy. Innymi słowy osiągnięcie celu, jakim jest zawarcie umowy nie jest możliwe bez wydania odpowiednio ww. kategorii decyzji. Umowa której wykonanie wymaga wydania określonych kategorii decyzji, o jakich mowa w przepisie, to umowa, pomiędzy osobą, której dane dotyczą, a administratorem danych osobowych.
[1] Grupa Robocza 29, Wytyczne w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE, 3 października 2017r., s. 26.
cyt.: „Ust. 1 nie ma zastosowania, jeżeli ta decyzja:
- jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
- jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
- opiera się na wyraźnej zgodzie osoby, której dane dotyczą.”
Pierwszym przypadkiem, w którym prawnie dopuszczalne jest wydanie decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, albo która opiera się wyłącznie na zautomatyzowanym przetwarzaniu w tym profilowaniu, jest sytuacja, w której jest to decyzja która ma charakter decyzji niezbędnej. Innymi słowy, bez wydania decyzji o jakiej mowa w art. 22 ust. 1 RODO, obiektywnie nie zostanie osiągnięty określony cel działania. Czyli, bez wydania decyzji polegającej wyłącznie na zautomatyzowanym przetwarzaniu w tym profilowaniu, wywierającej określone skutki prawne, lub w inny istotny sposób wpływającej na osobę fizyczną, osiągnięcie określonego w przepisie rezultatu nie jest możliwe. Grupa Robocza 29 wskazuje na fakt, iż jeżeli w danej sytuacji istnieją inne skuteczne sposoby – inne niż wydanie kategorii decyzji, których zakaz wydawania wynika z art. 22 ust. 1 RODO – sposoby osiągnięcia tego samego celu i których zastosowanie wiązałoby się z mniejszą ingerencją w prywatność, zastosowania tego rodzaju przetwarzania nie można byłoby uznać za „niezbędne”[1].
Uwzględniając role, jaką w procesie przetwarzania danych realizuje administrator, uznaję, iż dokonanie oceny niezbędności wydania określonej kategorii decyzji, leży po jego stronie. Oczywiście konsekwencją takiego stanu rzeczy jest możliwość kontroli zapadłego rozstrzygnięcia w zakresie wykonanej oceny niezbędności.
Grupa Robocza 29 w opracowanych materiałach wskazuje przykład sytuacji, w jakiej administrator danych osobowych, dokonuje oceny niezbędności podjęcia decyzji zapadającej wyłącznie na podstawie zautomatyzowanego przetwarzania, lub profilowania
cyt.: „Przedsiębiorstwo publikuje ogłoszenie o wakacie. Z uwagi na duże zainteresowanie pracą dla tego przedsiębiorstwa na ogłoszenie odpowiadają dziesiątki tysięcy osób. Biorąc pod uwagę wyjątkowo dużą liczbę zgłoszeń, przedsiębiorstwo może uznać, że zidentyfikowanie odpowiednich kandydatów bez wcześniejszego przetworzenia danych w sposób zautomatyzowany, aby odsiać nieodpowiednie zgłoszenia, może okazać się niemożliwe ze względów praktycznych. W tej sytuacji zautomatyzowane podejmowanie decyzji może okazać się niezbędne do wyłonienia ograniczonej liczby potencjalnych kandydatów, z którymi przedsiębiorstwo mogłoby zawrzeć umów.”
Decyzja podejmowane wyłącznie w sposób zautomatyzowany, w tym decyzja podejmowana wyłącznie w sposób zautomatyzowany w oparciu o profilowanie, jest niezbędna do zawarcia umowy. Innymi słowy osiągnięcie celu, jakim jest zawarcie umowy nie jest możliwe bez wydania odpowiednio ww. kategorii decyzji. Umowa której zawarcie wymaga wydania określonych kategorii decyzji, o jakich mowa w przepisie, to umowa, pomiędzy osobą, której dane dotyczą, a administratorem danych osobowych.
[1] Grupa Robocza 29, Wytyczne w sprawie zautomatyzowanego podejmowania decyzji w indywidualnych przypadkach i profilowania do celów rozporządzenia 2016/679/UE, 3 października 2017r., s. 26.
cyt.: „Ust. 1 nie ma zastosowania, jeżeli ta decyzja:
- jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
- jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
- opiera się na wyraźnej zgodzie osoby, której dane dotyczą.”
Trzecim przypadkiem, w którym prawnie dopuszczalne jest wydanie decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, albo która opiera się wyłącznie na zautomatyzowanym przetwarzaniu w tym profilowaniu, jest sytuacja, w której przepisy prawa Unii Europejskiej, którym administrator podlega pozwalają na to.
Czwartym przypadkiem, w którym prawnie dopuszczalne jest wydanie decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, albo która opiera się wyłącznie na zautomatyzowanym przetwarzaniu w tym profilowaniu, jest sytuacja, w której przepisy państwa członkowskiego, którym administrator podlega pozwalają na to.
cyt.: „Ust. 1 nie ma zastosowania, jeżeli ta decyzja:
- jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
- jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
- opiera się na wyraźnej zgodzie osoby, której dane dotyczą.”
Trzecim przypadkiem, w którym prawnie dopuszczalne jest wydanie decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, albo która opiera się wyłącznie na zautomatyzowanym przetwarzaniu w tym profilowaniu, jest sytuacja, w której przepisy prawa Unii Europejskiej, którym administrator podlega pozwalają na to.
Czwartym przypadkiem, w którym prawnie dopuszczalne jest wydanie decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, albo która opiera się wyłącznie na zautomatyzowanym przetwarzaniu w tym profilowaniu, jest sytuacja, w której przepisy państwa członkowskiego, którym administrator podlega pozwalają na to.
cyt.: „Ust. 1 nie ma zastosowania, jeżeli ta decyzja:
- jest niezbędna do zawarcia lub wykonania umowy między osobą, której dane dotyczą, a administratorem;
- jest dozwolona prawem Unii lub prawem państwa członkowskiego, któremu podlega administrator i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą; lub
- opiera się na wyraźnej zgodzie osoby, której dane dotyczą.”
Piątym przypadkiem, w którym prawnie dopuszczalne jest wydanie decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, albo która opiera się wyłącznie na zautomatyzowanym przetwarzaniu w tym profilowaniu, jest sytuacja, w której decyzja wydana została za zgodą, na podstawie zgody, wyraźnej zgody, osoby, której dana decyzja dotyczy.
Sztuczna Inteligencja w rekrutacji - Część 2
W kolejnej części opracowania poświęconego tematyce głównej, jaką jest wykorzystywanie sztucznej inteligencji w procesie rekrutacji – omówię warunki, jakie muszą zostać spełnione na gruncie RODO, aby zakaz o którym mowa w art. 22 ust. 1 RODO został zgodnie z prawem uchylony, aby wydawanie decyzji o jakich mowa w ww. przepisie było legalne.