Wróć do bloga

API detektora AI dla ATS: prywatność, RODO i to, co wysyłasz

Zanim podłączysz API detektora AI do lejka rekrutacyjnego, rozrysuj pytania o dane. RODO, zgoda i umowy powierzenia mają znaczenie.

Autor: Zespół Canvider
api-detektora-ai-atswykrywanie-ai-atsrodo-rekrutacjaprywatnosc-danychcanvider
Postać w kapturze z anonimową maską przy laptopie w ciemnym otoczeniu

Znalazłeś API detektora AI z obietnicą 99% trafności. Integracja wygląda prosto. Ale zanim wyślesz pierwsze CV na ten endpoint, pada pytanie, którego nikt na stronie dostawcy nie zadaje: co dzieje się z danymi kandydata po wysłaniu?

Jeśli przetwarzasz CV przez zewnętrzne API detekcji AI, tworzysz relację przetwarzania danych, do której RODO i inne przepisy mają konkretne oczekiwania.

Co tak naprawdę wysyłasz

Gdy ATS wywołuje API detektora AI, wysyła treść CV — lub jej duży fragment — na serwer trzeciej strony. To dane osobowe: imię, kontakt, historia pracy, wykształcenie, czasem dane demograficzne.

Większość API detekcji nie była projektowana pod dane HR. Powstały pod plagiat w szkolnictwie i marketing treści. Polityki prywatności, retencja i standardy bezpieczeństwa często opisują sprawdzanie esejów, a nie screening kandydatów.

Zanim zintegrujesz, przeczytaj politykę prywatności dostawcy jak inspektor ochrony danych. Bo to on zada pytania, gdy coś pójdzie nie tak.

RODO: podstawy, których nie da się pominąć

Jeśli rekrutujesz w UE/EOG lub przetwarzasz dane mieszkańców UE, RODO dotyczy każdego systemu, który dotyka danych kandydatów. Dla integracji z detektorem AI oznacza to:

Podstawa prawna: potrzebujesz podstawy do przetwarzania danych przez detektor. Typowe opcje to uzasadniony interes (art. 6 ust. 1 lit. f RODO) lub wyraźna zgoda. Uzasadniony interes wymaga udokumentowania, dlaczego detekcja jest konieczna i proporcjonalna. Zgoda wymaga zgody kandydata przed skanowaniem CV — konkretnej, świadomej i cofalnej (GDPR Advisor, 2026).

Transparentność: kandydaci muszą wiedzieć, że dane trafią do zewnętrznej usługi detekcji AI, jakie dane, po co i jak długo są przechowywane. Polityka prywatności musi nazwać cel wprost. Formuła „możemy używać narzędzi zewnętrznych” jest zbyt ogólna.

Umowa powierzenia: art. 28 RODO wymaga pisemnej umowy między Tobą (administratorem) a dostawcą API (procesorem). Musi określać zakres danych, cel, czas przechowywania i środki bezpieczeństwa. Brak DPA to sygnał ostrzegawczy.

Dane słów kluczowych z DataForSEO Labs (USA, angielski) pokazują ok. 390 miesięcznych wyszukiwań na „ai resume screening”. Wielu szuka narzędzi bez warstwy compliance.

USA: nie tylko problem europejski

RODO zbiera nagłówki, ale w USA wymogi prywatności rosną:

  • Kalifornia (CCPA/CPRA): ujawnianie udostępniania danych podmiotom trzecim i prawo do rezygnacji ze „sprzedaży” lub udostępniania.
  • Local Law 144 w Nowym Jorku: audyty stronniczości dla zautomatyzowanych narzędzi zatrudnienia. Detektor wpływający na decyzję może podlegać temu prawu.
  • Illinois (AI Video Interview Act, BIPA): szczególne wymogi wobec biometrii i AI w rekrutacji.

Regulacje idą w stronę większej transparentności, audytów i praw kandydatów. Niezweryfikowane API od trzeciej strony zwiększa powierzchnię ryzyka.

Pięć pytań do dostawcy API

Zanim podpiszesz umowę, uzyskaj pisemne odpowiedzi:

  1. Gdzie są serwery? Infrastruktura poza Twoją jurysdykcją uruchamia zasady transferów międzynarodowych. Dla danych z UE do USA potrzebujesz np. standardowych klauzul umownych lub decyzji o adekwatności.

  2. Jak długo przechowywane są dane? Część API cache’uje tekst do ulepszania modeli. Nieskończone przechowywanie CV na serwerach dostawcy kłóci się z minimalizacją danych.

  3. Czy dane kandydatów służą trenowaniu modeli? Wiele firm używa wejść do ulepszania modeli. Jeśli tekst CV idzie na trening, udostępniasz dane w celu obcym rekrutacji — prawie zawsze poza zakresem podstawy prawnej.

  4. Jakie certyfikaty bezpieczeństwa? SOC 2 Type II, ISO 27001 lub równoważne. Brak audytowalnych standardów oznacza wysyłanie danych osobowych w „czarną skrzynkę”.

  5. Czy podpiszą zgodne z RODO DPA? Jeśli odpowiedź brzmi „nie” albo „nie na tym poziomie cenowym”, odejdź.

Alternatywa: minimalizacja danych

Zasada minimalizacji w RODO mówi: przetwarzaj tylko to, co niezbędne do celu. Skan detekcji AI przetwarza całe CV, żeby odpowiedzieć na jedno pytanie: „Czy to napisało AI?” — dużo danych osobowych przy niskiej wartości sygnału.

Podejście oparte na kryteriach przetwarza mniej danych i daje użyteczniejszy wynik. CriteriaMatch ocenia konkretne kwalifikacje — certyfikaty, prawo do pracy, języki, progi doświadczenia — względem zdefiniowanych wymagań. Screening jest celowany, wynik można działać, a przetwarzanie jest proporcjonalne.

Nie musisz wysyłać całych CV na zewnętrzny serwer, żeby ustalić, czy kandydat spełnia wymagania.

Więcej o workflow szanującym prawa kandydatów i efektywność zespołu: odpowiedzialna AI w rekrutacji.

Najpierw compliance, potem integracja

Rynek API detekcji AI rośnie szybko. Dostawcy sprzedają pilność — „CV z AI zalewają lejek” — bez infrastruktury prywatności potrzebnej do odpowiedzialnego użycia.

Zanim ocenisz trafność, oceń compliance. Integracja techniczna jest prostsza. Tam, gdzie większość zespołów widzi koszt, to governance danych — i często sygnał nie jest wart ceny.

Poznaj CriteriaMatch