Saako HR syöttää työnhakijoiden tietoja tekoälylle?

Tekoälyn käyttö rekrytoinnissa on lisääntynyt nopeasti. HR-ammattilaiset hyödyntävät tekoälyä esimerkiksi työnhakemusten analysointiin, tekstien kirjoittamiseen ja hakijamassan jäsentelyyn.

Samalla yhä useampi organisaatio pohtii käytännön kysymystä:

Saako työnhakijoiden tietoja syöttää tekoälypalveluun, kuten ChatGPT:hen?

Vastaus ei ole yksinkertainen kyllä tai ei. Lainsäädäntö ei suoraan kiellä tekoälyn käyttöä rekrytoinnissa tai henkilötietojen syöttämistä tekoälypalveluihin. Sen sijaan ratkaisevaa on mitä tietoja käsitellään ja miten tekoälyä käytetään.

Alla viisi keskeistä näkökulmaa, jotka HR-ammattilaisten on hyvä huomioida.

1. Rekrytoinnin yhteydessä kerättävät tiedot ovat usein henkilötietoja

Jos tekoälypalveluun syötetään esimerkiksi:

• työnhakijan nimi

• yhteystiedot

• CV

• työhistoria

• koulutus

kyse on henkilötietojen käsittelystä.

Tällöin sovellettavaksi tulee EU:n yleinen tietosuoja-asetus (GDPR). GDPR:n mukaan henkilötietojen käsittelylle on oltava laillinen peruste ja käsittelyn on täytettävä tietosuojaperiaatteet, kuten:

• tietojen minimointi

• käyttötarkoitussidonnaisuus

• läpinäkyvyys.

Jos tiedot voidaan anonymisoida niin, ettei yksittäistä henkilöä voi tunnistaa, tietosuojariskit pienenevät merkittävästi.

2. Tekoälyn käyttötapa ratkaisee paljon

HR:n näkökulmasta on suuri ero sillä, käytetäänkö tekoälyä asiantuntijan työkaluna vai käsitteleekö tekoäly hakemuksia automaattisesti.

Esimerkiksi seuraavat käyttötavat voivat olla ongelmallisia:

• tekoäly pisteyttää työnhakijoita

• hakemuksia käsitellään automaattisesti

• hakijoita karsitaan ilman ihmisen arviointia.

Tällaisissa tilanteissa voidaan lähestyä GDPR:n automatisoitua päätöksentekoa koskevaa sääntelyä.

GDPR rajoittaa päätöksiä, jotka perustuvat yksinomaan automaattiseen käsittelyyn ja joilla on oikeudellisia tai muuten merkittäviä vaikutuksia henkilöön. Tähän kieltoon on kuitenkin olemassa poikkeuksia, kuten työnhakijan nimenomainen suostumus automaattiseen päätöksentekoon.

3. Tietosuojariskit on arvioitava ennen käyttöönottoa

Ennen tekoälytyökalujen käyttöönottoa organisaation tulee arvioida henkilötietojen käsittelyn riskit.

Käytännössä tämä voi tarkoittaa esimerkiksi:

• tekoälypalvelun tietosuojakäytäntöjen ja käyttöehtojen tarkistamista

• henkilötietojen käsittelyn riskien arviointia työnhakijoiden näkökulmasta

• tarvittaessa tietosuojan vaikutustenarvioinnin (DPIA) tekemistä.

DPIA on lakisääteinen velvollisuus erityisesti silloin, kun:

• käytetään uutta teknologiaa

• henkilöitä arvioidaan tai pisteytetään järjestelmän avulla.

4. Työnhakijoille on kerrottava tekoälyn käytöstä

GDPR:n keskeinen periaate on läpinäkyvyys.

Työnhakijoille on kerrottava selkeästi, miten heidän henkilötietojaan käsitellään rekrytointiprosessissa. Tämä koskee myös tilanteita, joissa käytetään tekoälyä.

Käytännössä työnhakijoille tulisi kertoa esimerkiksi:

• käytetäänkö rekrytoinnissa tekoälytyökaluja

• mihin tarkoitukseen tietoja käsitellään

• tekeekö lopullisen päätöksen ihminen vai järjestelmä.

Tietoja ei saa käsitellä tavalla, joka on työnhakijalle ennalta-arvaamatonta tai odottamatonta.

5. AI Act tuo uusia velvoitteita rekrytointiin

EU:n tekoälyasetus (AI Act) tuo rekrytointiin liittyvään tekoälyn käyttöön uusia velvoitteita.

Monet rekrytoinnissa käytettävät tekoälyjärjestelmät voivat kuulua suuririskisiin tekoälyjärjestelmiin.

Tällöin organisaatiolle voi tulla velvollisuuksia kuten:

• riskienhallintajärjestelmä

• tekninen dokumentaatio

• ihmisen valvonta tekoälyn käytössä

• järjestelmän toiminnan seuranta.

Nykyisen aikataulun mukaan suuririskisiä tekoälyjärjestelmiä koskevat velvoitteet tulevat voimaan elokuussa 2026.

Yhteenveto: tekoäly rekrytoinnissa vaatii pelisäännöt

Tekoäly voi tuoda rekrytointiin merkittäviä hyötyjä. Se voi auttaa jäsentämään suuria hakemusmääriä ja automatisoida rutiinitehtäviä.

Samalla tekoälyn käyttö edellyttää huolellista arviointia.

HR-organisaatioiden kannattaa erityisesti pohtia:

• mitä tietoja tekoälylle syötetään

• kuinka automatisoitu prosessi on

• onko tietosuojariskit arvioitu

• onko työnhakijoille kerrottu läpinäkyvästi henkilötietojen käsittelystä.

Kun nämä asiat huomioidaan, tekoälyä voidaan hyödyntää rekrytoinnissa vastuullisesti ja lainmukaisesti.

Tarvitsetteko apua tekoälyn ja tietosuojan yhteensovittamisessa?

Lex Futura auttaa organisaatioita muun muassa:

• tekoälyyn liittyvissä tietosuoja-arvioinneissa (DPIA)

• tekoälyn hallintamallien rakentamisessa

• AI Act ja GDPR -velvoitteiden tulkinnassa.

Jos tekoälyn käyttö rekrytoinnissa herättää kysymyksiä, ota yhteyttä. Selvitetään yhdessä, millaisia toimenpiteitä tekoälyn hyödyntäminen edellyttää organisaatiossanne.