AI-rekrytering och EU AI Act
AI-system som används för att rekrytera, filtrera ansökningar eller rangordna kandidater klassas som högrisk enligt bilaga III punkt 4 i förordning (EU) 2024/1689 ("AI Act"). Det gäller oavsett om systemet är ett dedikerat ATS-tillägg, ett generativt språkmodellsystem eller ett poängsättningsverktyg inbyggt i en befintlig HR-plattform.
Som tillhandahållare — den organisation som faktiskt driftsätter systemet i sin rekryteringsprocess — bär ni specifika skyldigheter enligt artikel 26. Dessa skyldigheter är separata från leverantörens (det vill säga HR-tech-plattformens) ansvar och kan inte avtalas bort eller delegeras.
Varför rekryterings-AI är högrisk
Bilaga III punkt 4 omfattar AI-system som "används för rekrytering eller urval av fysiska personer, i synnerhet för annonsering av lediga tjänster, urval eller filtrering av ansökningar, utvärdering av kandidater vid anställningsintervjuer eller tester".
Även om artikel 6.3 ger en begränsad möjlighet att utesluta system med låg risk från högriskregimen gäller undantaget inte när systemet utför profilering av individer. I rekryteringssammanhang — där poängsättning, rangordning eller gallring av ansökningar typiskt sett är kärnan — är profilering i praktiken alltid inblandad.
Resultatet: de flesta AI-baserade rekryteringsverktyg är högrisk, och era dokumentationsskyldigheter aktiveras.
Vad gäller för er som tillhandahållare (artikel 26)
Artikel 26 ålägger er som driftsätter ett högrisk-AI-system att:
- Använda systemet i enlighet med leverantörens bruksanvisning — den dokumentation som leverantören tillhandahåller sätter ramarna för tillåten användning. Avvikelse innebär att ni kan bli ansvariga som leverantör.
- Genomföra mänsklig tillsyn (artikel 14) — tillse att utbildad personal faktiskt kan granska, ifrågasätta och vid behov åsidosätta systemets rekommendationer. Det räcker inte med att ha en "mänsklig i loopen" om den personen saknar reell möjlighet att agera.
- Övervaka driftens tillförlitlighet — identifiera och rapportera allvarliga incidenter eller väsentliga avvikelser till leverantören och, i förekommande fall, till tillsynsmyndigheten.
- Bevara loggar — förvara de loggar som systemet genererar under driftstid i den utsträckning detta är under er kontroll, i minst sex månader (artikel 26.6) eller den längre period som nationell rätt eller GDPR kräver.
- Informera berörda arbetstagare och representanter — innan systemet tas i bruk för att övervaka eller fatta beslut som påverkar anställda, ska ni informera dem om att ett högrisk-AI-system används (artikel 26.7). I Sverige gäller dessutom MBL-förhandlingsregler vid beslut med väsentlig inverkan på anställningsförhållanden.
- Genomföra konsekvensbedömning för grundläggande rättigheter (artikel 27) — skyldigheten gäller uttryckligen offentliga organ och leverantörer av offentliga tjänster. För privata arbetsgivare krävs det inte formellt, men en strukturerad bedömning av diskriminerings- och integritetsskyddsrisker är god praxis och kan underlätta DPIA enligt GDPR.
AI-läskunnighet (artikel 4, i kraft sedan 2 februari 2025)
Artikel 4 kräver att ni säkerställer att personal som arbetar med eller fattar beslut utifrån AI-systemet har tillräckliga kunskaper för att förstå systemets kapacitet, begränsningar och risker. Kravet är teknikneutralt och gäller redan nu — det väntar inte på 2026 eller 2027.
Tidslinje
- 2 februari 2025 — artikel 4 (AI-läskunnighet) och förbuden i artikel 5 är tillämpliga.
- 2 augusti 2026 — AI Act blir fullt tillämplig, inklusive sanktionsregimen. Tillsynsmyndigheter kan utfärda böter på upp till 3 % av global omsättning (artikel 101.3) för brott mot högrisk-skyldigheterna.
- 2 december 2027 (föreslagen) — Digital Omnibus-paketet (politisk överenskommelse 7 maj 2026) föreslår att bilaga III-skyldigheterna skjuts upp till detta datum. Förslaget är ännu inte formellt antaget. Planeringen bör utgå från 2 augusti 2026 som gällande datum.
Hur ni dokumenterar
Dokumentationen som krävs för högrisk-AI i rekryteringssammanhang inkluderar minst: ett dokumenterat riskhanteringsflöde per system, ett register över vilka beslut systemet stöder och hur mänsklig tillsyn ser ut i praktiken, bevis på personalutbildning (AI-läskunnighet), och logglagringspolicyer som adresserar artikel 26.6 och GDPR artikel 5.1.e.
PowerQuant levererar strukturerade bevispaket per artikel — inte konsulttimmar, utan färdiga underlag med källhänvisning till förordningstexten.