AI som gallrar CV:n, rangordnar sökande, riktar jobbannonser eller bistår vid urvalsbeslut är högrisk enligt EU AI Act Bilaga III punkt 4(a). När högriskordningen börjar gälla den 2 augusti 2026 bär HR-teamet som använder verktyget — inte bara leverantören — tillhandahållarens skyldigheter enligt artikel 26.
Varför rekryterings-AI är högrisk
Bilaga III punkt 4 i förordning (EU) 2024/1689 listar anställning, personalledning och tillgång till egenföretagande som högrisk-användningsområden. Punkt 4(a) omfattar AI-system avsedda för rekrytering eller urval av fysiska personer, i synnerhet system för att placera riktade jobbannonser, analysera och filtrera jobbansökningar samt utvärdera kandidater. Punkt 4(b) omfattar AI som används för att fatta eller väsentligt påverka beslut om befordran, uppsägning, uppgiftsfördelning och prestandaövervakning.
Artikel 6(3) tillåter ett snävt undantag när ett Bilaga III-system inte utgör en betydande risk för skada på grundläggande rättigheter och inte väsentligt påverkar beslutsfattandet. Profilering av fysiska personer är alltid högrisk och kan inte använda undantaget. CV-gallring och kandidatrangordning kvalificerar sig nästan aldrig eftersom de direkt påverkar anställningsresultatet.
Tillhandahållarens skyldigheter enligt artikel 26
- Art. 26(1) — Använd systemet i enlighet med leverantörens instruktioner för användning.
- Art. 26(2) — Tilldela mänsklig tillsyn till fysiska personer med nödvändig kompetens, utbildning och befogenhet.
- Art. 26(4) — Säkerställ att indata är relevanta och tillräckligt representativa för det avsedda ändamålet, i den mån den tillhandahållaren utövar kontroll över indata.
- Art. 26(5) — Övervaka driften på grundval av instruktionerna för användning och informera leverantören om allvarliga incidenter.
- Art. 26(6) — Spara loggar som automatiskt genereras av systemet under en lämplig period, i vilket fall som helst minst sex månader.
- Art. 26(7) — Informera arbetstagarrepresentanter och berörda arbetstagare innan ett högrisk-AI-system tas i drift eller används på arbetsplatsen.
- Art. 26(11) — Informera fysiska personer som berörs av ett beslut som fattats eller biståtts av ett högrisk-system om att de är föremål för det.
Mänsklig tillsyn enligt artikel 14 i praktiken
Den tillhandahållaren måste kunna åsidosätta, bortse från eller ändra en rekommendation från AI-systemet. En "rubber-stamp"-granskning där rekryteraren enbart bekräftar AI-rangordningen uppfyller inte artikel 14. Dokumentera vem som utövar tillsyn, hur granskare utbildas och vilka beslutspunkter som är reversibla.
Bedömning av påverkan på grundläggande rättigheter enligt artikel 27
Offentligrättsliga organ, privata aktörer som tillhandahåller offentliga tjänster, och tillhandahållare för de system för kreditbedömning och försäkring som anges i Bilaga III (punkterna 5(b)–(c)) måste genomföra en bedömning av påverkan på grundläggande rättigheter (FRIA) innan första driftsättning. En privat arbetsgivare faller normalt utanför denna omfattning. Privata arbetsgivare bör ändå genomföra en motsvarande bedömning som bevis på tillbörlig aktsamhet och som underlag för den GDPR artikel 35 DPIA som nästan alltid krävs vid automatiserad kandidatutvärdering.
AI-kompetens enligt artikel 4 (gäller redan)
Sedan den 2 februari 2025 måste tillhandahållare säkerställa en tillräcklig nivå av AI-kompetens för personal och andra personer som hanterar driften och användningen av AI-system, med beaktande av deras tekniska kunskaper, erfarenhet, utbildning och det sammanhang i vilket AI-systemen används. Upprätthåll ett register över utbildning som levererats till rekryterare, rekryterande chefer och HR-affärspartners.
Transparens gentemot kandidater enligt artikel 50
Från och med den 2 augusti 2026 måste tillhandahållare informera kandidater om att de interagerar med ett AI-system, såvida detta inte är uppenbart utifrån sammanhanget. AI-genererat innehåll som används i kommunikation med kandidater (utkast till erbjudanden, gallringssammanfattningar, syntetiska intervjuavatarer) omfattas av märknings- och upplysningsreglerna i artikel 50(2) och 50(4). Se guiden om transparens enligt artikel 50 för en fullständig genomgång.
Checklista för bevis
- AI-inventeringspost per rekryteringssystem med leverantör, version, syfte och riskklass.
- Kopia av leverantörens instruktioner för användning och CE-märkningsdokumentation.
- SOP för mänsklig tillsyn med namngivna roller, eskaleringsstigar och mekanism för att ändra beslut.
- Informationsmeddelanden till arbetstagare och kandidater (art. 26(7), art. 26(11), art. 50).
- Logglagringspolicy som åtar sig minst 6 månader (art. 26(6)).
- Utbildningslogg för AI-kompetens enligt art. 4.
- FRIA (art. 27) eller motsvarande bedömning av grundläggande rättigheter, plus GDPR art. 35 DPIA.
Relaterade EU-guider
- Tillhandahållare kontra leverantör enligt EU AI Act
- Krav på AI-inventering
- Böter enligt EU AI Act (artikel 99)
- NIS2 för HR-system
Källor
- Förordning (EU) 2024/1689, Bilaga III punkt 4 och artiklarna 4, 14, 26, 27, 50, 99 — EUR-Lex: eur-lex.europa.eu/eli/reg/2024/1689/oj
Observera: EU AI Act gäller i faser. PowerQuant tillhandahåller programvara och dokumentation för användning i er interna efterlevnadsprocess — inte juridisk rådgivning.