Представьте: вы HR в продуктовой IT-компании. Сотни резюме, а дедлайн «вчера». Предложение: «Подключи ИИ – сам всё сделает». Удобно? Да. Но если бот отсеет сильного кандидата или считает лицо без согласия — ответственность будет на вас.
В 2024 году британский регулятор ICO провёл аудит компаний, использующих ИИ на этапах подбора персонала. Результаты выявили ряд рисков: автоматические отказы без участия человека, отсутствие понятного информирования и сбор чувствительных персональных данных без согласия. Украинское законодательство пока не содержит специальных норм по ИИ, но практика уверенно движется в сторону более ответственного использования.
IT юристы Stalirov&Co поделились практическими наблюдениями – как именно применение рекрутингового ИИ в IT-бизнесе может привести к юридическим осложнениям и как этого избежать.
Ключевые риски: что нужно знать о законности ИИ
Прежде чем доверить ИИ часть рекрутинга, стоит оценить возможные юридические последствия. Вот что советуют учесть юристы для IT-проектов:
Дискриминация и предубеждения
ИИ учится на прошлом. Если раньше нанимали преимущественно мужчин – система это повторит. Так Amazon пришлось отказаться от собственного инструмента найма после сексистского скандала: ИИ систематически снижал рейтинг кандидаток, если в резюме попадались упоминания о женских колледжах или опыт участия в женских сообществах.
Приватность данных
Многие инструменты обрабатывают биометрические данные – мимику, голос, эмоции. В ЕС, Канаде, Австралии, США и Украине такая информация считается чувствительной. Её обработка разрешена только с прямого согласия.
Отсутствие прозрачности (Black Box AI)
«Чёрный ящик» – это алгоритм, решение которого сложно или невозможно объяснить. Если ИИ отказал — вы не сможете объяснить кандидату, почему именно. Но согласно ст. 22 GDPR (Европейского регламента о защите персональных данных), человек имеет право не подпадать под решение, основанное исключительно на автоматизированной обработке, если оно имеет юридические последствия или существенно влияет на него. В Украине подобные принципы закрепляются через судебную практику: кандидат имеет право на пересмотр таких решений – иначе возрастают юридические риски.
Как уменьшить вероятность жалобы
Чтобы минимизировать риски, с которыми на практике сталкиваются юристы в айти, стоит придерживаться таких шагов:
- Оставьте последнее слово за человеком. Не принимайте окончательных решений без участия HR.
- Проведите DPIA (Data Protection Impact Assessment) – оценку влияния на персональные данные. Это важно делать, когда вы внедряете сторонний продукт или заказываете разработку собственного программного обеспечения. В обоих случаях ваша компания выступает «контролером» – именно вы решаете, зачем и как обрабатываются персональные данные.
Часть технических операций по обработке можно делегировать внешнему подрядчику – так называемому «процессору». Впрочем, даже в таком случае основная обязанность по соблюдению требований защиты персональных данных остается за контролером: если инструкции будут нечеткими, уровень безопасности — недостаточным, или данные будут использоваться вне определенной цели, ответственность возлагается именно на вас.
- Just-in-time уведомления. Если ваша ИИ-система использует видеоинтервью или видеофиксацию – она фактически собирает биометрические данные. А это чувствительная информация. Чтобы не заставлять кандидатов листать пять страниц Политики конфиденциальности, дайте короткое сообщение в момент сбора: «Эта часть процесса предусматривает видеозапись. Вы даёте согласие?».
- Формализуйте документы. Условия использования ИИ должны быть описаны в соглашениях, контрактах и публичной оферте.
Выбор поставщика ИИ: надлежащая проверка
Когда компания решает внедрить ИИ-систему для рекрутинга, выбор правильного поставщика не должен основываться только на критериях функционала и цены. Важно учесть юридические риски, прозрачность и соответствие будущим требованиям законодательства. На этапе переговоров с поставщиком обратите внимание на следующее:
- Возможно ли объяснить логику принятых решений?
- Существует ли механизм оспаривания или пересмотра результатов?
- Каковы условия по интеллектуальной собственности? Кто владеет алгоритмом, собранными данными и результатами анализа? В некоторых случаях стандартные условия предусматривают, что всё принадлежит поставщику – а это означает потерю контроля над системой.
- Кто имеет права на код? Без доступа к нему ваша команда не сможет адаптировать инструмент или масштабировать решение в будущем – например, для новой вакансии или в рамках другой внутренней разработки.
Вывод
Рекрутинговые ИИ-системы – это не только экономия времени, но и баланс между автоматизацией и ответственностью. Чрезмерное доверие к алгоритмам без человеческого контроля может обернуться жалобами, штрафами и потерянной репутацией.
Чтобы избежать таких рисков, стоит с самого начала строить процесс на четких принципах:
- с человеческим контролем,
- прозрачным информированием кандидатов,
- оценкой рисков (DPIA),
- юридическим сопровождением IT проектов.
Команды, которые учитывают эти принципы на старте, уменьшают риски и выстраивают доверие – как со стороны кандидатов, так и со стороны регуляторов.
Автор статьи: Валерий Сталиров, CEO компании IT-юристов Stalirov&Co
Новые регуляторные требования в 2025–2026 годах: на что ориентироваться уже сейчас
С 2025 года в ЕС поэтапно вступают в силу положения AI Act, и системы ИИ, применяемые в сфере трудоустройства, прямо отнесены к категории «высокого риска». Это означает обязательность системы управления рисками, документирования логики работы, обеспечения качества данных и человеческого надзора. Компании, которые принимают кандидатов из ЕС или обрабатывают данные соискателей, находящихся в ЕС, подпадают под требования регламента независимо от своей юрисдикции.
Отдельное внимание уделяется обязанностям по прозрачности: кандидат должен быть чётко проинформирован о том, что в процессе используется ИИ, какие именно аспекты оцениваются автоматически и как можно запросить пересмотр решения человеком. Нарушение требований для high-risk систем может повлечь существенные штрафы — по аналогии с GDPR, в процентах от глобального оборота компании.
Даже если бизнес работает преимущественно в Украине, ориентир на европейские стандарты уже становится рыночной нормой. Международные заказчики и инвесторы всё чаще проверяют не только финансовые показатели, но и compliance-процедуры, включая политику ответственного использования ИИ.
Практика 2026: аудит алгоритмов и доказательная база для работодателя
В 2025–2026 годах усилился тренд на алгоритмический аудит. Крупные компании проводят независимую проверку своих HR-алгоритмов на предмет дискриминационных паттернов, устойчивости к искажениям и корректности обучающих выборок. По данным отчётов международных консалтинговых компаний в сфере HR-tech, более половины средних и крупных организаций в Европе уже внедрили или планируют внедрить регулярный аудит ИИ-инструментов подбора персонала.
С юридической точки зрения аудит важен ещё и как доказательная база. Если кандидат оспаривает отказ, компания должна быть способна продемонстрировать: какие критерии применялись, как проводилась валидация модели, были ли исключены чувствительные характеристики (пол, возраст, этническое происхождение), и как обеспечивался человеческий контроль. Отсутствие такой документации существенно ослабляет позицию работодателя в споре.
Практика показывает, что выигрышная стратегия — не только формально «оставить последнее слово за HR», но и зафиксировать процедуру пересмотра: сроки ответа, ответственных лиц, порядок дополнительной оценки кандидата. Такой процесс снижает риск жалоб в инспекции труда, к уполномоченным по защите персональных данных и в суд.
В условиях стремительного развития HR-tech именно управляемость и документированность процессов становятся конкурентным преимуществом. Компании, которые воспринимают ИИ как инструмент, а не как автономного «принимателя решений», формируют более устойчивую и юридически безопасную модель подбора персонала.
Оновлено 16.03.2026
