Ettevõtted tunnevad üha suuremat survet kasutada tehisaru, et tõsta efektiivsust ja säilitada konkurentsivõimet. Personalitöös kaasnevad sellega aga olulised andmekaitsealased riskid ja kohustused. Esmalt tuleb tööandja ning töötaja suhtes arvestada eripäraga, et tegemist on alluvussuhtega. Tööandja on jõupositsioonil ning seetõttu käsitletakse töötajaid andmekaitse vaatest haavatava sihtgrupina, sarnaselt laste ja eakatega. See tähendab, et töötajate isikuandmete käitlemisel kehtivad kõrgendatud ootused läbipaistvusele, õiguspärasusele ning riskide maandamisele.
AI kasutamist personalitöö valdkonnas mõjutavad eelkõige kaks Euroopa Liidu määrust. Isikuandmete kaitse üldmäärus ehk GDPR, mis kehtib alates 2018. aastast, ning samuti tehisintellekti määrus ehk AI Act, mis jõustus 2024. aastal. Praktikas võivad need kaks regulatsiooni aga tekitada olukordi, kus ühe määruse eesmärgid ei haaku täielikult teise omadega. Kui tehisaru määrus soosib innovatsiooni ja tehnoloogia kasutuselevõttu, siis GDPR seab ranged piirid isikuandmete töötlemisele ning automatiseeritud otsustele. Just seetõttu peab ettevõte tehisaru kasutamisel mõistma mõlema regulatsiooni nõudeid tervikuna. Seetõttu eeldab AI kasutamine personalitöös lisaks tehnoloogilistele võimalustele ka teadlikku ja läbimõeldud lähenemist andmekaitsele, töötajate õigustele ning ettevõtte vastutusele.
Privaatsuskaitse põhimõtteid on kõige lihtsam selgitada värbamisprotsessi näitel, millega puutub kokku pea iga tööandja. Andmekaitse puhul üks keskseid põhimõtteid on eesmärgipiirang. Nimelt võib isikuandmeid töödelda vaid selgelt määratletud eesmärgi alusel. Värbamise puhul on eesmärk üldjuhul leida sobiv kandidaat ning selleks kogutakse kandidaatidelt CV-sid, motivatsioonikirju ja muid kandidaadi välja selgitamiseks vajalikke andmeid. Väljakutse tekib aga siis, kui sobivate kandidaatide leidmise, intervjueerimise ja tööle võtmise tõhusamaks muutmisel kasutatakse tehisintellekti. Hetk, mil värvatava andmed sisestatakse AI-tööriista, võib sellega kaasneda kõrvaleesmärgina hoopis tehisaru mudeli treenimine. Täpsemalt tähendab see seda, et kandidaadi resümee või muu isiklik infokild ei pruugi olla kasutusel ainult konkreetse värbamisotsuse tegemiseks, vaid ka tehisintellekti süsteemi ning potentsiaali edasiarendamiseks. Sellisel juhul peab see olema inimesele selgelt kommunikeeritud ning olemas peab olema õiguslik alus.
Silmas tasub pidada samuti minimaalsust. Andmeid tohib säilitada ainult nii kaua, kui see on eesmärgi saavutamiseks vajalik. Näiteks peetakse värbamisprotsessis mõistlikuks kandidaatide andmete säilitamist kuni ühe aasta jooksul pärast värbamisotsust, kuna tööle pürgija saab selle aja jooksul esitada tööandja vastu nõudeid. Tehisintellekti kasutamise puhul tekib aga küsimus, kas ettevõte tegelikult ka teab, kui kaua AI-süsteemi sisestatud andmeid säilitatakse. Keerulisemaks muutub olukord siis, kui neid andmeid kasutatakse mudelite treenimiseks ka edaspidi. Kui tööandja ei suuda säilitamistähtaegu kontrollida ega selgitada, võib see langeda vastuollu GDPR-i minimaalsuse põhimõttega.
Personalitöös on üheks suuremaks AI kasutamise riskiks automatiseeritud otsuste tegemine. Traditsiooniliselt profileeritakse kandidaate värbamise käigus erinevate kriteeriumite alusel, nagu varasem kogemus, keeleoskus, testitulemused, intervjuu mulje ja muud taolised asjaolud. Tehisaru ülesanne on seda teekonda mugavamaks muuta ja kiirendada. See tähendab aga olukorda, kus masin teeb inimese kohta otsuseid või vähemalt mõjutab neid otsuseid väga tugevalt. Sellisel juhul võib tekkida otsene mõju inimese elule, näiteks ei pääse kandidaat töövestlusele või jääb töökohast ilma. Isikuandmete kaitse vaatest on muret tekitav asjaolu selles, et sageli võib AI tehtud otsuste põhjendamine olla väga keeruline.
Lisaks võivad tehisintellekti mudelid kaasa tuua diskrimineerivaid tulemusi. Näiteks on täiesti võimalik, et arendajate värbamisel hakkab tehisaru eelistama meeskandidaate, kui mudel on treenitud ajalooliste andmete põhjal, kus arendaja rollis on olnud valdavalt mehed. Just seetõttu tuleb hinnata alati ka seda, kas AI kasutamisest saadav kasu kaalub üles võimalikud riskid inimese õigustele ja vabadusele. Tähtis on mõista, et töötajate ja kandidaatide isikuandmete eest vastutab alati tööandja, kes on vastutav töötleja. Kui organisatsioon või ettevõte kasutab tehisintellektil põhinevat lahendust, siis üldjuhul tegutseb AI teenusepakkuja volitatud töötlejana.
Kui personalitöös kasutatakse tehisaru töötajate isikuandmete töötlemiseks, kaasneb sageli kohustus teha andmekaitsealane mõjuhindamine ehk DPIA. Selle eesmärk on hinnata, milliseid riske AI kasutamine inimese privaatsusele kaasa toob, kas selline töötlemine on proportsionaalne ning kuidas seejuures võimalikke riske maandada. Mõjuhindamine tuleb teha enne tehisintellekti kasutuselevõttu, mitte tagantjärele. Samas tasub tähele panna, et AI kasutamine sellise analüüsi koostamisel võib olla küsitav. Juhul, kui hinnatakse tehisaru kasutamise riske, võib sama tehnoloogia kasutamine hinnangu koostamisel tekitada huvide konflikti.
Riske saab vähendada isikuandmete anonümiseerimisega, tehisaru kasutamise piiramisega kindlate tööülesannete või etappidega ning selliste lahenduste eelistamisega, mis ei kasuta andmeid mudelite treenimiseks. Samuti peab lõplik otsustusõigus töötajate küsimustes jääma inimesele, mitte tehisintellektile. Lisaks peab tööandja suutma selgitada, kuidas AI andmeid töötleb, kellel on neile ligipääs, kui kaua neid säilitatakse ja kas teavet kasutatakse mudelite treenimiseks. Tavaliselt esitatakse see info privaatsusteadetes, kus kirjeldatakse andmete töötlemise eesmärke, õiguslikku alust ja näiteks seda, mis isikuandmeid kasutatakse. Tehismõistuse kasutamisel võib see aga muutuda keerulisemaks, sest tööandjal võib olla raske saada täielikku ülevaadet AI süsteemi toimimisest ja tagada selle piisav läbipaistvus.
Tehisintellekt võib personalitöös olla väärtuslik tööriist, kuid selle kasutamine eeldab teadlikku, vastutustundlikku ja läbipaistvat lähenemist. Kuna AI mõjutab üha enam inimeste tööelu ja isikuandmete töötlemist, peab lõplik otsustusõigus jääma inimesele ning tööandja vastutada on õiguspärase ja turvalise andmetöötluse tagamine. Võimalike ohtude teadliku maandamise korral võib tehisaru olla tööandjale väärtuslik abivahend, mitte andmekaitserisk.