PowerQuant

EU AI Act og GDPR Art. 22: Automatiserede afgørelser i HR — dobbeltkravet

PowerQuant · EU AI Act compliance for HR-tech

Bruger din virksomhed AI til at screene ansøgere eller vurdere medarbejdernes performance? Så er du sandsynligvis underlagt to forskellige EU-forordninger på én gang — og de stiller ikke de samme krav. Mange HR-ledere kender til GDPR, men er ikke klar over, at EU AI Act tilføjer et helt nyt lag af pligter. Denne artikel forklarer præcis, hvad dobbeltkravet indebærer, og hvad din dokumentation skal dække.

Hvad er dobbeltkravet?

Når en HR-afdeling anvender et AI-system til at rangere jobansøgere, udpege kandidater til forfremmelse eller markere medarbejdere som risiko for at sige op, aktiveres potentielt to regelsæt:

  • GDPR artikel 22 om retten til ikke at være genstand for udelukkende automatiserede afgørelser med retlig eller tilsvarende virkning.
  • EU AI Act artikel 86 om retten til forklaring for personer berørt af høj-risiko AI-systemer kategoriseret under Annex III.

    • De to forordninger overlapper, men er ikke identiske. De har forskelligt anvendelsesområde, forskellig logik og stiller delvist forskellige dokumentationskrav. At behandle dem som én regel er en fejl — og en fejl der kan koste dyrt, når tilsynsmyndighederne banker på.

    GDPR artikel 22: Hvornår gælder den i HR?

    GDPR artikel 22 giver den registrerede en stærk ret: retten til ikke at blive underlagt en afgørelse der udelukkende er baseret på automatiseret behandling, og som har retlig eller tilsvarende virkning for vedkommende.

    Begge betingelser skal være opfyldt. Det er vigtigt at understrege, fordi mange HR-systemer faktisk ikke falder ind under artikel 22 — selv om de bruger avanceret AI.

    "Udelukkende automatiseret"

    Ordet "udelukkende" er afgørende. Hvis et menneske gennemgår AI-systemets output og træffer den endelige beslutning med reel skønsmæssig mulighed for at afvige, er behandlingen ikke "udelukkende" automatiseret. Det er ikke nok at en person blot godkender systemets anbefaling uden reel prøvelse — den menneskelige involvering skal være meningsfuld.

    Praktiske eksempler:

  • Falder under artikel 22: Et system afviser automatisk alle ansøgere under en bestemt score uden menneskelig gennemgang.
  • Falder sandsynligvis ikke under artikel 22: En recruiter gennemgår AI-genererede shortlister og beslutter selv, hvem der skal til samtale — forudsat at gennemgangen er reel og ikke blot rubber-stamping.
  • Gråzone: En manager godkender AI-systemets performancevurdering uden adgang til underliggende data eller reel mulighed for at betvivle resultatet.

    • "Retlig eller tilsvarende virkning"

    Afgørelsen skal have retlig virkning — f.eks. opsigelse, der kræver juridisk grundlag — eller en virkning af "tilsvarende betydning". Datatilsynet og EDPB har præciseret, at "tilsvarende virkning" dækker situationer, der markant påvirker en persons muligheder, økonomi eller adgang til tjenester.

    I HR-kontekst vil følgende typisk opfylde kriteriet:

  • Afvisning af en jobansøgning
  • Fravalg til forfremmelse
  • Igangsætning af en performance improvement plan
  • Beslutning om afskedigelse

    • En simpel trivselsundersøgelse, der kategoriserer medarbejdere i grupper til HR's orientering, vil derimod typisk ikke opfylde kriteriet — medmindre kategoriseringen bruges direkte til at træffe personalebeslutninger.

    GDPR artikel 13, stk. 2, litra f: Oplysningspligten

    Selv i tilfælde, hvor artikel 22 ikke finder direkte anvendelse, pålægger GDPR artikel 13 dataansvarlige at oplyse om:

  • Forekomsten af automatiseret beslutningstagning, herunder profilering
  • Den anvendte logik
  • Den forventede betydning og konsekvenser for den registrerede

    • Denne oplysningspligt er uafhængig af, om behandlingen er "udelukkende" automatiseret. HR-afdelinger skal altså opdatere privatlivspolitikker og kandidatoplysninger, selv når de blot bruger AI som beslutningsstøtte.

    Undtagelserne i GDPR artikel 22: Hvornår er automatiserede afgørelser lovlige?

    GDPR artikel 22, stk. 2 fastslår, at udelukkende automatiserede afgørelser alligevel er tilladt, hvis én af tre betingelser er opfyldt:

    a) Nødvendig for indgåelse eller opfyldelse af en kontrakt

    Hvis den automatiserede afgørelse er nødvendig for at indgå en ansættelseskontrakt, kan den være tilladt. Men "nødvendig" tolkes snævert — det er ikke nok at det er praktisk bekvemt. Virksomheden skal kunne demonstrere, at formålet ikke kan opnås på en mindre indgribende måde.

    b) Tilladt ved EU- eller national lovgivning

    Visse automatiserede beslutninger kan tillades ved lov, f.eks. i forbindelse med bestemte offentlige ansættelsesbeslutninger. I privat sektor HR er dette sjældent relevant.

    c) Den registrerede har givet udtrykkelig samtykke

    Samtykke er muligt, men kræver at det er informeret, frivilligt og kan tilbagekaldes. I en ansættelses- eller ansøgningssituation er frivillighed ofte tvivlsom — en kandidat der nægter samtykke mister typisk muligheden for jobbet. EDPB har advaret mod overdreven afhængighed af samtykke i ansættelsesforhold.

    Selv når én af disse undtagelser finder anvendelse, bevarer den registrerede retten til menneskelig involvering, til at fremføre sit synspunkt og til at anfægte afgørelsen. Det er ikke en blankocheck til fuld automatisering.

    EU AI Act artikel 86: En ny ret til forklaring

    EU AI Act introducerer en rettighed, der ikke eksisterer i GDPR: retten til forklaring for berørte personer. Artikel 86 er specifikt rettet mod høj-risiko AI-systemer som defineret i Annex III.

    Annex III omfatter eksplicit AI-systemer brugt til:

  • Rekruttering og udvælgelse, herunder CV-screening, rangering af ansøgere og interviews
  • Vurdering og overvågning af medarbejdere, herunder performance-evaluering og adfærdsanalyse

    • Disse systemer er klassificeret som høj-risiko — ikke fordi de nødvendigvis træffer dårlige beslutninger, men fordi de potentielt påvirker adgangen til beskæftigelse markant.

    Hvad giver artikel 86 ret til?

    En berørt person kan anmode om en forklaring på den afgørelse, et høj-risiko AI-system har bidraget til. Forklaringen skal:

  • Beskrive de vigtigste parametre, der har påvirket outputtet
  • Forklare den rolle AI-systemet spillede i den samlede beslutningsproces
  • Gives i klar og forståelig form

    • Det er ikke et krav om teknisk indsigt i modelarkitekturen — men forklaringen skal være meningsfuld nok til, at den berørte person kan forstå, hvordan systemet har evalueret dem.

    Hvornår træder artikel 86 i kraft?

    Forpligtelserne for høj-risiko AI-systemer under Annex III træder i kraft 2. december 2027. Det er den dato, alle HR-tech-leverandører og virksomheder, der anvender sådanne systemer, skal have opfyldt kravene — inklusive den tekniske dokumentation, der understøtter forklaringsretten.

    Forskellen på GDPR og AI Act: To meget forskellige rettigheder

    Det er centralt at forstå, at GDPR artikel 22 og EU AI Act artikel 86 tjener to forskellige formål.

    | Dimension | GDPR artikel 22 | EU AI Act artikel 86 |

    |---|---|---|

    | Hvad giver det ret til? | Retten til ikke at blive underlagt afgørelsen | Retten til en forklaring på afgørelsen |

    | Hvornår gælder det? | Udelukkende automatiseret + retlig/tilsvarende virkning | Alle høj-risiko AI-systemer i Annex III |

    | Krav til menneskelig involvering? | Ja — undtagelse hvis meningsfuld menneskelig kontrol | Nej — gælder uanset menneskelig kontrol |

    | Hvem håndhæver? | Datatilsynet | Markedstilsynsmyndighed |

    | Primær tilgang | Databeskyttelse | Forbrugerbeskyttelse og retfærdig behandling |

    Med andre ord: GDPR artikel 22 giver personen mulighed for at sige fra og kræve menneskelig behandling.

    Klar til at komme i gang?

    PowerQuant leverer AI-inventar, Article 4-register og gap-analyse på 5 arbejdsdage.

    Start med M1 — 10.999 kr