Sztuczna inteligencja coraz śmielej wkracza do księgowości i działów HR, automatyzując procesy analizy danych, rekrutacji czy oceny pracowników. Tam, gdzie algorytmy podejmują decyzje dotyczące ludzi i finansów, istotne stają się jednak kwestie prawne i etyczne. Nowy AI Act oraz obowiązujące RODO nakładają na organizacje obowiązek zachowania przejrzystości, bezpieczeństwa i kontroli nad działaniem systemów AI. W dzisiejszym artykule wyjaśniamy, jak w praktyce łączyć te dwa reżimy prawne oraz jak tworzyć zgodne z nimi klauzule, polityki i procedury, które pozwolą bezpiecznie wykorzystywać sztuczną inteligencję w obszarach księgowości i HR.

Ramy prawne i klasyfikacja ryzyka systemów AI w HR i księgowości

Regulacja AI Act (Regulation (EU) 2024/1689) weszła w życie 1 sierpnia 2024 r. i wprowadziła podejście bazujące na klasyfikacji ryzyka:

• zabronione systemy AI,
• systemy wysokiego ryzyka (high risk),
• systemy wymagające transparentności,
• inne systemy mniej ryzykowne.

W obszarze HR systemy do selekcji, oceny wydajności czy podejmowania decyzji kadrowych AI jest klasyfikowane najczęściej jako high risk, co pociąga za sobą surowe obowiązki takie jak audyt, nadzór człowieka, monitoring i dokumentacja. W praktyce oznacza to, że każda organizacja wdrażająca takie rozwiązania powinna opracować wzór polityki AI, który jasno określa zasady nadzoru, zakres odpowiedzialności i sposób dokumentowania działania systemów sztucznej inteligencji, aby zapewnić pełną zgodność z wymogami regulacyjnymi.

Tymczasem w księgowości AI zazwyczaj nie ingeruje bezpośrednio w prawa osób fizycznych, lecz działa na poziomie procesów finansowych, choć gdy analizuje dane kontrahentów czy dane kadrowe, nadal wchodzi w zakres RODO. W rezultacie organizacje stosujące AI w HR i księgowości muszą równolegle respektować przepisy RODO oraz prawo związane z AI w firmie, obejmujące zarówno zasady przetwarzania danych, prawa osób i oceny skutków, jak i obowiązki wynikające z AI Act, takie jak obowiązek oceny ryzyka, rejestracji i zapewnienia nadzoru człowieka.

AI w HR i księgowości – Zasady zgodności RODO w zastosowaniach AI

RODO a sztuczna inteligencja to obecnie jeden z najważniejszych obszarów regulacyjnych w Unii Europejskiej. RODO (GDPR) nakłada fundamentalne zasady:

• celowość,
• minimalizacja danych,
• przejrzystość,
• ograniczenie przechowywania,
• integralność,
• poufność.

Gdy AI przetwarza dane osobowe w HR, na przykład przy profilowaniu kandydatów lub w księgowości przy przetwarzaniu danych kontrahentów czy pracowników, obowiązują wszystkie te zasady, w tym prawo do informacji, prawo dostępu, prawo sprostowania, ograniczenia i usunięcia danych.

Dodatkowo, jeśli system AI podejmuje automatyczne decyzje mające prawne lub istotne skutki, takie jak odrzucenie kandydata, osoba ma prawo do wyjaśnienia roli AI oraz ingerencji człowieka. W praktyce oznacza to konieczność przygotowania rozszerzonych klauzul informacyjnych uwzględniających wykorzystanie AI, integracji procesu oceny skutków przetwarzania (DPIA) z komponentem AI oraz archiwizacji logów decyzji algorytmicznych i danych wejściowych. Takie działania są kluczowe nie tylko dla zapewnienia zgodności z RODO i AI Act, lecz także dla utrzymania pełnej zgodności stosowania GPT w firmie, szczególnie gdy modele generatywne wspierają procesy analityczne, kadrowe lub rekrutacyjne.

Wymogi AI Act dla systemów wysokiego ryzyka oraz obowiązek nadzoru człowieka

Dla systemów zakwalifikowanych jako high risk, co w obszarze HR jest powszechne, AI Act narzuca obowiązki dotyczące zarządzania ryzykiem przez cały cykl życia systemu, dokumentacji technicznej, rejestrowania logów operacyjnych, bieżącego monitoringu oraz zapewnienia nadzoru człowieka. W praktyce oznacza to konieczność ścisłego przestrzegania zasad, które określa prawo związane z AI w firmie, obejmujących zarówno aspekty techniczne, jak i organizacyjne. Pracodawca musi stale obserwować działanie systemu AI, identyfikować anomalie, wprowadzać korekty i umożliwiać ingerencję człowieka w decyzje algorytmiczne.

Jak tworzyć klauzule i polityki zgodne z RODO i AI Act?

Pierwszym elementem jest klauzula informacyjna, na przykład w procesach rekrutacyjnych i obsługi kadrowej, obejmująca użycie AI, cel przetwarzania, zakres danych, opis mechanizmu AI oraz prawa osób, w tym prawo do wyjaśnienia i żądania interwencji człowieka. Drugą warstwę stanowi wzór polityki AI, czyli dokument określający zasady odpowiedzialnego i zgodnego z prawem korzystania ze sztucznej inteligencji w organizacji.

Kolejnym elementem jest klauzula umowna z dostawcą AI, która czyni dostawcę współodpowiedzialnym i zobowiązuje go do dostarczenia dokumentacji technicznej, umożliwienia audytów, współpracy w usuwaniu błędów oraz respektowania obowiązków wynikających z AI Act i RODO. Zagadnienie RODO a sztuczna inteligencja staje się w tym kontekście kluczowe, ponieważ oba reżimy prawne nakładają na przedsiębiorstwa obowiązek zapewnienia przejrzystości, bezpieczeństwa i kontroli nad przetwarzaniem danych osobowych przez systemy algorytmiczne. Ostatnim filarem jest polityka zarządzania AI (AI governance) obejmująca komitet nadzoru, odpowiedzialność, cykl rewizji i harmonogram audytów.

AI w HR i księgowości – Wyzwania wdrożeniowe, terminy i perspektywy rozwoju

Najistotniejszym wyzwaniem jest synchronizacja terminów wejścia w życie poszczególnych przepisów AI Act z wewnętrznymi procesami organizacji oraz zapewnienie pełnej zgodności stosowania GPT w firmie w kontekście RODO i nowych regulacji unijnych. Niektóre zakazy, takie jak stosowanie systemów do wykrywania emocji w miejscu pracy, obowiązują już od lutego 2025 roku. Pełne obowiązki dla systemów wysokiego ryzyka zaczną obowiązywać od sierpnia 2026 roku. W praktyce wdrożenie AI w HR i księgowości wymaga rozpoczęcia działań na długo przed tymi terminami, obejmujących audyt obecnych rozwiązań, przegląd umów z dostawcami, opracowanie dokumentacji, szkolenia i przygotowanie rejestrów.