Rekrutacja przeprowadzana przez (ro)bota a zautomatyzowane przetwarzanie danych
2019-10-17
Przeprowadzane nie tak dawno badania wskazują, że w ostatnich latach liczba organizacji korzystających z różnych form automatyzacji, w tym sztucznej inteligencji, wzrosła o blisko 270%.
Coraz częściej możemy spotkać się także z sytuacją, w której podczas rekrutacji kandydat do pracy nie jest witany przez rekrutera ,,z krwi i kości”, a przez… (ro)bota. Dlaczego? Ponieważ tradycyjny proces rekrutacyjny jest za długi, zbyt żmudny i nie zawsze efektywny, a czas rekrutera jest cenniejszy niż złoto. Zdecydowanie bardziej korzystnym rozwiązaniem są boty – czyli system, który może prowadzić rozmowę kwalifikacyjną bądź dokonywać samodzielnego procesu selekcyjnego kandydatów i na podstawie swoich przeliczeń wyłaniać odpowiednią osobę na dane stanowisko.
Jak to wygląda w praktyce? Jeden z brytyjskich koncernów specjalizujący się m. in. w produkcji artykułów żywnościowych – Uniliver wprowadził właśnie rekrutację, której przeprowadzenie w sposób kompleksowy zostało powierzone botom. Rozwiązanie to zostało przygotowane przez amerykańskich konstruktorów dostarczających platformę HireVue. System opiera się na analizie 25 tysięcy dotychczas przeprowadzonych rozmów kwalifikacyjnych. Proces rekrutacyjny ma odbywać się w ten sposób, że kandydat do pracy przy użyciu telefonu komórkowego lub laptopa powinien odpowiedzieć na przygotowane wcześniej pytania, następnie bot przeanalizuje jego tembr głosu, język ciała oraz zasób i dobór słownictwa, a także mimikę twarzy i na tej podstawie ustali, czy kandydat spełnia oczekiwania i wymogi pracodawcy. W procesie rekrutacyjnym każdy kandydat otrzymuje punkty w skali od 1 do 100. Tym samym bot porównuje wypowiedzi z innymi – wzorcowymi kandydatów, którzy w rozmowach na dane stanowisko wypadli najlepiej. Analiza mimiki twarzy kandydata, jego zachowania oraz tonu głosu, pozwala na ocenę jego osobowości. System HireVue daje zatem możliwość zdalnego prowadzenia rekrutacji, co automatycznie pozwala na zminimalizowanie kosztów i zaoszczędzenie czasu.
Brytyjski potentat nie jest odosobniony we wprowadzaniu tego rodzaju rozwiązań. Amerykański Citybank oraz Mars także pracują nad wdrożeniem podobnych rozwiązań, natomiast sieć hotelarska Hilton oraz korporacja ubezpieczeniowa Allstate takie rozwiązania już stosują. Zjawisko widoczne jest także wśród rodzimych firm. Jeden z polskich banków (PKO Bank Polski) zainwestował w tego typu rozwiązania i do procesu rekrutacji postanowił wykorzystać chatbota dostarczonego przez polski start-up Emplocity.
Rekrutacja prowadzona przy użyciu sztucznej inteligencji na pewno jest ciekawym i nowoczesnym rozwiązaniem, które polega jednak na przetwarzaniu danych – niejednokrotnie w sposób całkowicie zautomatyzowany. Czy ma to jakikolwiek znaczenie? Otóż ma i to znaczne!
Zgodnie z art. 22 ust. 1 RODO [1] osoba, której dane dotyczą ma prawo do tego, by nie podlegać decyzji, która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i wywołuje wobec tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływa.
Co oznacza zautomatyzowane przetwarzanie danych? Czy wobec powyższego danych osobowych nie wolno przetwarzać w sposób automatyczny?
Zautomatyzowane przetwarzanie a profilowanie
RODO nie zawiera definicji zautomatyzowanego przetwarzania, możemy jednak za takie uznać przetwarzanie, które w całości, tj. na każdym jego etapie, wykonywane jest bez pomocy/wparcia człowieka. W przypadku pełnej automatyzacji przetwarzania podmiot danych nie ma możliwości oddziaływania na przebieg tego procesu (nie może zwrócić się do osoby, która podejmuje decyzję, ponieważ rozstrzygnięcie podejmowane jest „przez komputer”), a procedury zautomatyzowane mogą nie uwzględniać okoliczności istotnych dla oceny podmiotu danych (algorytmy, w oparciu o które dokonywane jest przetwarzanie, mogą nie przewidywać sytuacji szczególnych, wyjątkowych). Dlatego podejmowanie decyzji, które opierają się wyłącznie na pełnej automatyzacji budzi szereg obaw wiążących się z możliwością dyskryminacji, naruszenia prawa do prywatności czy podważenia autonomii informacyjnej jednostki [2].
Co do zasady nie należy utożsamiać pojęć „profilowania” ze „zautomatyzowanym przetwarzaniem”. Profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej […] [3]. Zautomatyzowane przetwarzanie jest natomiast pojęciem szerszym i nie dokonuje oceny czynników osobowych podmiotu danych [4].
Wbrew pozorom RODO nie zakazuje stosowania zautomatyzowanego przetwarzania danych, a jedynie podwyższa poprzeczkę dla Administratora w zakresie przetwarzania, które wywołuje wobec podmiotu danych skutki prawne lub w podobny sposób istotnie na podmiot danych wpływa. Oznacza to tyle, że jeżeli nie wystąpi jedna z przesłanek zawartych w art. 22 ust. 2 RODO [5] i przykładowo podmiot danych nie wyrazi zgody na taki rodzaj przetwarzania, a Administrator nie zapewni możliwości korzystania z przysługujących podmiotowi uprawnień – wówczas zautomatyzowane przetwarzanie danych będzie wykluczone.
Skutki prawne zautomatyzowanego przetwarzania
Kluczowa dla interpretacji art. 22 RODO jest odpowiedź na pytanie, co oznacza pojęcie „wywołuje skutki prawne” oraz „istotnie wpływa w podobny sposób”.
W polskim ustawodawstwie skutkiem prawnym jest następstwo określonych przepisami prawa okoliczności polegające na powstaniu, zmianie lub wygaśnięciu stosunku prawnego. Wydaje się jednak, że pojęcie to może mieć szersze znaczenie i odnosić się także do sytuacji, w których ma miejsce jakiekolwiek oddziaływanie na sytuację prawną danej osoby, w tym przysługujące jej prawa. O skutkach prawnych można mówić wówczas, gdy rezultatem decyzji jest powstanie, zmiana lub wygaśnięcie określonego stosunku prawnego (rozumianego jako relacja między podmiotami regulowana normami prawnymi), np. rozwiązanie umowy, odmowa wyjazdu na terytorium danego kraju.
Drugie z pojęć można interpretować w ten sposób, że istotny wpływ będą wywierały decyzje, których skutkiem będzie np. dyskryminacja czy reklama behawioralna oparta na zaobserwowanych preferencjach podmiotu danych. Prawodawca unijny nie ograniczył zatem omawianego uprawnienia wyłącznie do skutków prawnych, ale uznaje, iż wystarczającą przesłanką jest tu istotny wpływ, jaki decyzja może wywierać na osobę, której dane dotyczą. Negatywne konsekwencje, jakie wynikać mogą ze zautomatyzowanego przetwarzania danych, dotyczą często odmowy przyznania określonych korzyści podmiotowi danych. Motyw 71 RODO wskazuje dwa typowe przykłady takich sytuacji, tj. automatyczne odrzucenie elektronicznego wniosku kredytowego oraz elektroniczne metody rekrutacji bez interwencji ludzkiej.
Obowiązki administratora
Aby zautomatyzowane przetwarzanie danych, które wywiera skutek prawny lub znacząco wpływa na podmiot danych było możliwe, Administrator zobligowany jest spełnić kilka warunków, albowiem o podejmowaniu decyzji tego rodzaju podmiot danych – w omawianym przypadku kandydat do pracy – powinien zostać poinformowany podczas zbierania danych osobowych[6]. Najbardziej dogodnym momentem będzie zatem zamieszczenie wyraźnej adnotacji w treści ogłoszenia o pracy lub w klauzuli informacyjnej. Administrator powinien udzielić zatem jak najwięcej informacji dotyczących zasad podejmowania decyzji oraz branych pod uwagę kryteriach ocennych. Po zapoznaniu się z taką wiadomością kandydat musi podjąć decyzję o uczestniczeniu w tego rodzaju rekrutacji i jeżeli się zdecyduje – wyrazić wobec przyszłego pracodawcy dobrowolne, konkretne, świadome i jednoznaczne okazanie woli, w formie oświadczenia lub wyraźnego działania potwierdzającego, że przyzwala na przetwarzanie dotyczących jej danych osobowych[7]. Pracodawca powinien przy tej okazji poinformować kandydata, że w każdym momencie udzieloną zgodę może wycofać, natomiast nie odniesie to żadnego wpływu na uprzednio podjęty proces przetwarzania danych osobowych. Warto zaznaczyć, że podmiot danych nie będzie proszony o wyrażenie zgody na profilowanie, które nie będzie skutkowało podjęciem decyzji w sposób w pełni zautomatyzowany, ze skutkiem ujętym w art. 22 ust. 1 RODO.
Pracodawca powinien także w sposób wyraźny poinformować kandydata o jego prawie do dostępu do danych, złożenia sprzeciwu wobec ich przetwarzania, prawie do ludzkiej interwencji, do wyrażenia własnego stanowiska oraz zakwestionowania podjętej decyzji. Oznacza to, że Administrator powinien zapewnić osobie, której dane dotyczą, możliwość odwołania się od zautomatyzowanej decyzji podjętej w jego sprawie, a cały proces decyzyjny powinien zostać przeanalizowany przez Administratora (interwencja człowieka), a nie algorytm.
Przetwarzanie zgodne z rodo
Z pewnością zarówno Uniliver jak i wszystkie podmioty wykorzystujące w postępowaniach rekrutacyjnych (ro)boty dokonują zautomatyzowanego przetwarzania danych – pytanie tylko, czy w sposób prawidłowy, tj. zgodny z przepisami o ochronie danych osobowych? Bowiem konsekwencją naruszenia przepisu dotyczących przetwarzania danych w omawiany sposób może być odpowiedzialność w postaci nałożenia na Administratora kary pieniężnej w wysokości do 20 mln euro, a w przypadku przedsiębiorstwa – w wysokości do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego, przy czym zastosowanie ma kwota wyższa.
Przed podjęciem decyzji o zastosowaniu tych jakże innowacyjnych metod rekrutacji, warto zatem pomyśleć o ochronie danych osobowych i odpowiednim ich zabezpieczeniu.
[1] Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
[2] W. Chomiczewski, Profilowanie w ogólnym rozporządzeniu o ochronie danych [w:] Polska i europejska reforma…, red. E. Bielak-Jomaa, D. Lubasz, Warszawa 2016, s. 128.
[3] Artykuł 4 pkt 4 RODO.
[4] M. Ciechomska, Prawne aspekty profilowania…, s. 38.
[5] Zakaz zautomatyzowanego podejmowania decyzji nie ma zastosowania, jeżeli podjęta decyzja: a) jest niezbędna do zawarcia lub wykonania umowy, b) jeżeli jest dozwolona prawem, c) opiera się na wyraźnej zgodzie.
[6] Artykuł 13 ust. 2 lit. f RODO, artykuł 14 ust. 2 lit. g RODO.
[7] Artykuł 4 pkt 11 RODO.
Artykuł ukazał się w internetowym wydaniu dziennika „Rzeczpospolita” dnia 17-10-2019 r.