Rekrutacja wspierana przez AI – studium przypadku naruszenia danych
Pracownik HR, dążąc do usprawnienia procesu rekrutacyjnego, przekazał CV kandydatów do publicznie dostępnego narzędzia AI. Nie zweryfikował jednak zasad przetwarzania danych osobowych, co doprowadziło do nieuprawnionego ujawnienia tych danych.
Jak doszło do wycieku danych?
W firmie X, zatrudniającej 150 pracowników, dział HR skorzystał z generatywnej AI, aby przyspieszyć prace rekrutacyjne. Jeden z pracowników wkleił, bez konsultacji z pracodawcą, do ogólnodostępnego narzędzia AI, kilkanaście kompletnych CV, prosząc o automatyczne porównanie kandydatów.
Wyróżnienie: W firmie X nie istniała polityka korzystania z AI ani ocena ryzyka. Pracownicy nie byli również w wyraźny sposób pouczeni, czy i w jaki sposób mogą korzystać z narzędzi AI do celów służbowych.
Kilka dni później firma otrzymała od jednego z kandydatów pytanie, czy jego CV lub dane w nim zawarte zostały udostępnione osobom trzecim. Po wewnętrznej analizie ustalono, że pracownik wprowadził kompletne CV do ogólnodostępnego narzędzia AI bez uprzedniej weryfikacji zasad przetwarzania danych przez dostawcę i bez wdrożonych zasad wewnętrznych. W konsekwencji doszło do nieuprawnionego ujawnienia danych osobowych.
Dlaczego się to wydarzyło?
To klasyczny przykład shadow AI – nieformalnego używania narzędzi AI przez pracowników.
Incydent odzwierciedla cztery kluczowe problemy:
- Brak świadomości:
- jak działają usługi AI i jakie mają tryby prywatności (np. logowanie rozmów, udostępnienia w ramach konta, retencja danych);
- że dostawca może wykorzystywać treści wprowadzane do usługi do świadczenia/ulepszania usługi (np. do trenowania modeli), a organizacja może nie mieć nad tym kontroli;
- że CV to dane osobowe;
- Brak regulacji (wewnętrznych reguł dotyczących AI): co może rodzić trudności w wyciąganiu konsekwencji z uwagi na brak wyraźnych reguł (polityki/procedury/wytycznych);
- Brak kompetencji: organizacje potrzebują wiedzy operacyjnej i praktycznej, a nie ogólnej;
- Brak ekspertów: w organizacji często nie ma specjalistów zdolnych do oceny ryzyka AI, a także do technicznego zabezpieczenia pewnych niepożądanych działań.
Wniosek dla HR
To krótkie studium przypadku pokazuje, że największym zagrożeniem nie jest sama technologia, lecz brak świadomości, w jaki sposób działa, a także brak procedur i nadzoru.
W świecie, w którym AI staje się codziennym narzędziem pracy, organizacje muszą budować kompetencje prawne, techniczne i organizacyjne – inaczej podobne incydenty staną się normą, a nie wyjątkiem.
Działania naprawcze (rekomendowane)
- natychmiastowa informacja do działu HR o wstrzymaniu używania narzędzia oraz ustalenie, co zostało do niego wprowadzone;
- ocena, czy zachodzi obowiązek zgłoszenia do UODO w ciągu 72 godzin i dokonanie ewentualnego zgłoszenia;
- wdrożenie dodatkowych środków organizacyjnych i technicznych, w tym polityki korzystania z generatywnej AI;
- wdrożenie oceny ryzyka oraz (jeśli wymagane) DPIA dla narzędzi HR,
- szkolenia dla pracowników.
