PowerQuantSESkicka ert frågeformulär

AI-system som utvärderar, poängsätter eller övervakar anställda är bland de känsligaste driftsättningarna som täcks av förordning (EU) 2024/1689. Bilaga III, punkt 4 klassificerar AI för anställningshantering som högrisk, vilket utlöser en uppsättning tillhandahållarskyldigheter som ett HR-team som driftsätter färdiga prestationsverktyg kanske inte förväntar sig. Denna guide kartlägger vad som täcks, vad du måste göra innan driftsättning och vilka löpande bevishandlingar du måste bevara.

Vad Bilaga III(4) täcker

Bilaga III i EU AI Act, punkt 4 (anställning, hantering av arbetstagare och tillgång till egenföretagande) listar följande som högrisk-AI-system:

  • AI avsedd att användas för rekrytering eller urval av fysiska personer, i synnerhet för annonsering av lediga tjänster, screening eller filtrering av ansökningar och utvärdering av kandidater under intervjuer eller tester.
  • AI avsedd att användas för att fatta beslut som påverkar arbetsvillkor, befordran eller avslutande av arbetsrelaterade avtalsförhållanden.
  • AI avsedd att användas för att tilldela uppgifter baserat på individuellt beteende eller personliga egenskaper eller karaktärsdrag, eller för att övervaka och utvärdera prestationer och beteende hos personer i sådana förhållanden.

I praktiken täcker detta: ATS med AI-poängsatt CV-ranking, chattbotbaserade kompetensintervjuer, produktivitetsspårningsprogram som genererar individuella prestationspoäng, arbetskraftsanalysverktyg som flaggar underpresterande och uppgiftstilldelningsplattformar som använder personprofildata.

Tillämpningsdatum

Tillhandahållarskyldigheter för högrisk enligt artikel 26 gäller från 2 augusti 2026. Den provisoriska politiska överenskommelsen om Digital Omnibus (7 maj 2026 — ännu inte antagen eller publicerad i Officiella tidningen) föreslår att fristående högrisk-skyldigheter enligt Bilaga III för system som redan finns på marknaden ska senareläggas till 2 december 2027. Tills det formellt antas är 2 augusti 2026 det bindande datumet. Skyldigheten om AI-läskunnighet enligt artikel 4 har gällt sedan 2 februari 2025.

Tillhandahållarskyldigheter enligt artikel 26 för anställnings-AI

Artikel 26 i förordning (EU) 2024/1689 fastställer följande skyldigheter för tillhandahållare för högrisk-AI-system:

  • Artikel 26(1) — användning inom avsett ändamål. Tillhandahållare måste använda AI-systemet i enlighet med leverantörens bruksanvisningar. Varje användning utanför det dokumenterade avsedda ändamålet kan utlösa skyldigheter om leverantörsskifte enligt artikel 25.
  • Artikel 26(2) — kompetent mänsklig tillsyn. Utse en eller flera fysiska personer med nödvändig kompetens, utbildning och befogenhet att effektivt övervaka AI-systemet, inklusive befogenhet att stoppa, åsidosätta eller bortse från dess utdata. En chef som mottar en AI-prestationspoäng och måste godkänna den utan att kunna ifrågasätta den uppfyller inte detta krav.
  • Artikel 26(4) — indatakvalitet. Där tillhandahållare kontrollerar de indata som matas in i systemet (t.ex. vid val av vilka anställdas data som laddas upp till analysverktyget) måste de säkerställa att dessa data är relevanta och tillräckligt representativa för det avsedda ändamålet.
  • Artikel 26(5) — övervaka och rapportera. Tillhandahållare måste övervaka driften av AI-systemet utifrån bruksanvisningarna och, om nödvändigt, informera leverantören eller distributören om eventuella allvarliga incidenter som observeras.
  • Artikel 26(6) — loggbevarande. Behåll de automatiska loggar som genereras av högrisk-AI-systemet i minst 6 månader, om inte nationell rätt eller GDPR kräver en annan bevarandeperiod. Dessa loggar måste vara tillgängliga och säkrade för eventuell tillsynsgranskning.
  • Artikel 26(7) — avisering av arbetstagare (inga undantag). Där en tillhandahållare avser att ta ett högrisk-AI-system i bruk i anställningssammanhang ska den informera arbetstagarna och arbetstagarrepresentanterna (där sådana representanter finns) innan det tas i bruk. Denna skyldighet gäller oavsett systemets riskbedömningsresultat och före eventuell pilot- eller provkörning.

Artikel 26(7) avisering av arbetstagare i detalj

Aviseringsskyldigheten enligt artikel 26(7) är ovillkorlig: den beror inte på om AI-systemet ger rättsligt bindande utfall, om systemet används under en provperiod eller om berörda arbetstagare har samtyckt. Skyldigheten är att informera före driftsättning. Viktiga praktiska punkter:

  • "Arbetstagarrepresentanter" avser fackliga representanter, företagsråd eller medarbetardelegater där sådana finns enligt tillämplig nationell rätt. Där inga sådana organ finns måste enskilda arbetstagare informeras direkt.
  • Aviseringen måste vara tillräcklig för att arbetstagare ska kunna förstå vad systemet gör, vilka data det behandlar och vilka beslut eller rekommendationer det ger. Ett meddelande om IT-ändring i en mening är troligtvis inte tillräckligt för ett system för prestationspoängsättning.
  • Vissa nationella arbetsrätter ålägger ytterligare konsultationsskyldigheter (inte bara avisering), i synnerhet där lagstiftning om företagsråd gäller (t.ex. Betriebsverfassungsgesetz i Tyskland, Wet op de ondernemingsraden i Nederländerna). Kontrollera nationell rätt i varje jurisdiktion där systemet driftsätts.
  • Bevara dokumentation av aviseringen: datum, metod, mottagargrupp, aviseringsinnehåll. Detta kommer att begäras av varje marknadstillsynsmyndighet som genomför en inspektion.

GDPR artikel 22 automatiserade beslut i anställning

GDPR artikel 22 ger anställda rätt att inte vara föremål för ett beslut som uteslutande grundas på automatiserad behandling och som ger rättsliga eller på liknande sätt väsentliga effekter. Avslutande av anställning, befordran, lönejusteringar och uppgiftstilldelning som uteslutande drivs av AI-poäng utlöser denna rätt. I praktiken:

  • En människa som granskar AI:ns rekommendation men saknar information, tid eller befogenhet att åsidosätta den tillhandahåller inte meningsfull mänsklig granskning för artikel 22-ändamål.
  • Den anställde har rätt att erhålla meningsfull information om den logik som används, rätt att uttrycka sin synpunkt och rätt att få beslutet granskat av en människa.
  • I ett anställningssammanhang är det tillåtet att förlita sig på GDPR artikel 22(2)(a) (nödvändigt för ett kontrakt) där det automatiserade beslutet är genuint nödvändigt; att förlita sig på artikel 22(2)(b) (uttryckligt samtycke) är problematiskt eftersom samtycke i anställning sällan lämnas fritt.

En mänsklig tillsynsperson enligt artikel 26(2) i EU AI Act som har genuina befogenheter och kompetens att åsidosätta AI:n uppfyller i regel också kravet på mänsklig granskning enligt GDPR artikel 22. Att dokumentera samma person och förfarande mot båda skyldigheterna är effektivt.

Bevishandlingar en tillsynsmyndighet kommer att begära

  • AI-inventeringspost för varje anställnings-AI-system: namn, leverantör, version, avsett syfte, Bilaga III-klassificering.
  • Dokumentation av avisering enligt artikel 26(7): datum, mottagargrupp, aviseringsinnehåll, leveransmetod.
  • Utseende av mänsklig tillsyn enligt artikel 26(2): namn och roll för utsedd tillsynsperson, kompetensbevis, dokumenterat åsidosättningsförfarande.
  • Bekräftelse av loggbevarande enligt artikel 26(6): systemnamn, loggtyp, bevarandeperiod, åtkomstkontroller.
  • Dokumentation av indatakvalitet enligt artikel 26(4): vilka data tillhandahållare tillhandahåller systemet, relevansbedömning, genomförda datakvalitetskontroller.
  • Bruksanvisningar från leverantören enligt artikel 13: på fil, under tillhandahållarens kontroll, versionsdaterad.
  • Dokumentation av AI-läskunnighetsutbildning (artikel 4): täckning av personal som hanterar systemet, inklusive HR-chefer som mottar AI-prestationspoäng.
  • GDPR RoPA-post (artikel 30 GDPR): register över behandlingsverksamhet som täcker AI-systemet som en databehandlingsaktivitet.

Sanktioner

Överträdelser av högrisk-tillhandahållarskyldigheter enligt artikel 26 sanktioneras enligt artikel 99(4) med administrativa böter på upp till EUR 15 000 000 eller 3 % av den totala globala årsomsättningen, beroende på vilket belopp som är högst. För SMF och nystartade företag tillämpar artikel 99(6) det lägre av de två beloppen. Överträdelser av GDPR artikel 22 sanktioneras separat av dataskyddsmyndigheten med böter på upp till EUR 20 000 000 eller 4 % av den globala årsomsättningen (GDPR artikel 83(4)).

Relaterade EU-guider

Källor

  • Förordning (EU) 2024/1689, artiklarna 4, 13, 25, 26, 72, 73, 99, Bilaga III(4) — EUR-Lex: eur-lex.europa.eu/eli/reg/2024/1689/oj
  • Förordning (EU) 2016/679 (GDPR), artiklarna 22, 30, 35, 83 — EUR-Lex: eur-lex.europa.eu/eli/reg/2016/679/oj
  • Europeiska AI-kontoret — Vägledning om högrisk-AI-system: digital-strategy.ec.europa.eu

Anmärkning: Aviseringskraven enligt artikel 26(7) samverkar med nationell anställnings- och företagsrättslagstiftning, vilken varierar avsevärt mellan EU:s medlemsstater. PowerQuant levererar programvara och dokumentation för användning i din interna efterlevnadsprocess — inte juridisk rådgivning.