НачалоПубликацииAI в рекрутирането — правни рискове за работодатели в България

AI в рекрутирането — правни рискове за работодатели в България (2026)

Публикувано: 10 април 2026 | Последна актуализация: 10 април 2026

Изкуственият интелект навлиза бързо във всеки етап от процеса по набиране на персонал — от публикуването на обявата, през автоматичния скрининг на автобиографии, до видеоинтервюта с анализ на глас и изражения. От 2 август 2026 г. обаче тази практика е поставена в строга регулаторна рамка: Регламент (ЕС) 2024/1689 (AI Act) класифицира повечето AI инструменти за рекрутиране като „високорискови“ и въвежда задължения, които българските работодатели трябва да поемат незабавно. В настоящата публикация разглеждаме правната рамка, забранените практики, задълженията на работодателите като deployers, правата на кандидатите и санкциите — до EUR 35 милиона.

Правна рамка

Използването на AI в рекрутирането в България е предмет на преплитаща се съвкупност от европейско и национално законодателство. В центъра стои Регламент (ЕС) 2024/1689 на Европейския парламент и на Съвета относно установяване на хармонизирани правила относно изкуствения интелект (AI Act), който беше публикуван в Официален вестник на ЕС на 12 юли 2024 г. и влезе в сила на 1 август 2024 г. Регламентът е директно приложим във всички държави членки и не изисква транспониране.

Паралелно с AI Act, обработването на лични данни при рекрутиране остава под режима на Общия регламент за защита на данните (GDPR), и в частност — чл. 22 относно автоматизираното вземане на индивидуални решения и профилирането. В случаите, когато AI инструмент обработва лични данни на кандидати и генерира решения с правни последици, двата регламента действат кумулативно.

На национално ниво се прилагат Кодексът на труда, Законът за защита от дискриминация, Законът за защита на личните данни (ЗЗЛД) и подзаконовите нормативни актове относно трудовите отношения. Комисията за защита на личните данни (КЗЛД) е компетентен орган по GDPR, а Комисията за защита от дискриминация (КЗД) — по Закона за защита от дискриминация. Българският надзорен орган по AI Act все още не е официално определен към април 2026 г.

Дати за прилагане на AI Act

AI Act се прилага поетапно. Таблицата по-долу обобщава ключовите дати, които имат пряко значение за HR практиките:

Дата Какво се прилага
02.02.2025 Глава I (общи разпоредби) + забранени практики (чл. 5)
02.08.2025 Правила за модели с общо предназначение (GPAI), глави III/V/VII/XII, управление и санкции
02.08.2026 Мнозинството от разпоредбите, включително задълженията за high-risk AI по Приложение III
02.08.2027 Пълно прилагане, включително high-risk AI по Приложение I

ВАЖНО за работодатели: high-risk разпоредбите за рекрутиране се прилагат от 02.08.2026. Към момента на публикуване на настоящата статия, българският бизнес разполага с около 4 месеца до влизането в сила на тези задължения. Това е сравнително кратък срок за провеждане на вътрешен одит, преглед на договорите с доставчици, изготвяне на DPIA и внедряване на процедури за човешки надзор.

Рекрутирането като high-risk — Приложение III, т. 4

Чл. 6, пар. 2 от AI Act определя като „високорискови“ AI системи, посочени в Приложение III. Точка 4 от приложението обхваща заетостта, управлението на работници и достъпа до самостоятелна заетост. Това е широко формулирана категория, която улавя практически целия цикъл на управление на персонала.

(а) Системи за рекрутиране или подбор

Класифицирани са като high-risk AI системите, предназначени да бъдат използвани за наемане или подбор на физически лица, включително:

  • Публикуване на таргетирани обяви за работа — алгоритми, които насочват обявите към определени демографски групи или платформи.
  • Анализ и филтриране на кандидатури — автоматичен скрининг на автобиографии, парсинг на CV, ранжиране на кандидати по съвпадение с позицията.
  • Оценка на кандидати — AI тестове, game-based assessments, анализ на отговори от интервюта, вербални и невербални маркери.

(б) Системи за решения, засягащи трудовите отношения

Втората подкатегория обхваща AI системи, използвани за вземане на решения или съществено повлияване на решения, засягащи условията на трудовото отношение. Това включва:

  • Повишение и прекратяване на трудовия договор;
  • Разпределение на задачи въз основа на индивидуално поведение или лични черти;
  • Наблюдение и оценка на представянето и поведението на работниците.

Като следствие, дори инструмент, който само „подкрепя“ мениджърското решение — без напълно да го автоматизира — попада под high-risk режима, ако значително влияе върху неговия изход.

Забранени практики (чл. 5 AI Act)

Независимо от high-risk класификацията, чл. 5 от AI Act установява списък от AI практики, които са абсолютно забранени. Тези забрани са в сила от 2 февруари 2025 г. и имат най-високата санкция по регламента.

Чл. 5(1)(е) — Разпознаване на емоции на работното място

Най-пряко релевантната забрана за рекрутирането е забраната за пускане на пазара, въвеждане в действие или използване на AI системи за разпознаване на емоции на работното място и в образователни институции, освен когато използването е предназначено за медицински цели или цели, свързани с безопасността.

Тази разпоредба има пряко и широкообхватно въздействие: AI инструменти за видеоинтервюта, които „анализират емоции, ентусиазъм, ангажираност или личностни черти“ от лицеви изражения, тон на гласа или микромимики, са НЕЗАКОННИ в рекрутирането в ЕС. Съображение 44 от преамбюла изрично подчертава дисбаланса на силите между работодател и кандидат и липсата на надеждност на подобни технологии.

Други релевантни забрани

  • Чл. 5(1)(ж) — Биометрична категоризация за извеждане или извод относно раса, политически мнения, синдикална принадлежност, религиозни или философски убеждения, сексуален живот или сексуална ориентация.
  • Чл. 5(1)(в) — Социално оценяване (social scoring) на физически лица въз основа на тяхното социално поведение или лични характеристики, водещо до неблагоприятно третиране.
  • Чл. 5(1)(а) — Манипулативни техники, използващи подсъзнателни, целенасочено манипулативни или подвеждащи техники.

Нарушението на която и да е от забраните по чл. 5 е най-тежкото възможно нарушение по AI Act и носи максималната санкция от EUR 35 000 000 или 7 % от глобалния годишен оборот.

Задължения за deployers (работодатели) — чл. 26

Когато работодател използва high-risk AI система за рекрутиране или управление на персонала, той действа в качеството си на „deployer“ (ползвател) по смисъла на чл. 3, т. 4 от AI Act. Чл. 26 установява следните задължения за deployers:

  1. Използване в съответствие с инструкциите на доставчика — работодателят не може да използва системата извън предназначението, за което е валидирана.
  2. Човешки надзор по смисъла на чл. 14 — осигурява се от компетентни лица с подходяща подготовка, правомощия и ресурси.
  3. Релевантни и представителни входни данни — когато deployer има контрол върху входа, той трябва да осигури данните да бъдат подходящи за предназначението.
  4. Мониторинг на функционирането и незабавно информиране на доставчика, когато съществува риск или възникне сериозен инцидент.
  5. Съхранение на автоматично генерирани логове за минимум 6 месеца (чл. 26, пар. 6), освен ако не е предвиден по-дълъг срок от друго законодателство.
  6. Информиране на работниците и техните представители (синдикати, представители по чл. 7 КТ) ПРЕДИ внедряването на high-risk AI система на работното място — чл. 26, пар. 7.
  7. Информиране на физическите лица, подложени на решения, взети с или подпомогнати от high-risk AI системи — чл. 26, пар. 11. В контекста на рекрутирането това означава, че всеки кандидат трябва да бъде уведомен.
  8. Съдействие на компетентните органи при разследвания и одити.
  9. Оценка на въздействието върху защитата на данни (DPIA) по чл. 35 GDPR — задължителна при систематично и широкомащабно автоматизирано вземане на решения за рекрутиране.
  10. FRIA (Fundamental Rights Impact Assessment — оценка на въздействието върху основните права) по чл. 27 AI Act — задължителна за публичноправни субекти и определени категории частни deployers.

Тежестта на задълженията отразява риска, който high-risk AI системите представляват за основните права на кандидатите и работниците. Неизпълнението на който и да е от тях може да доведе до административни санкции и до граждански искове за обезщетение.

GDPR чл. 22 — автоматизирано вземане на решения

Успоредно с AI Act, чл. 22 от GDPR урежда правото на субекта на данни да не бъде обект на автоматизирано вземане на решения. Разпоредбата постановява:

„Субектът на данните има право да не бъде обект на решение, основано само на автоматизирано обработване, включително профилиране, което поражда правни последици за него или по подобен начин го засяга значително.“

Европейският комитет по защита на данните (EDPB) и националните надзорни органи последователно приемат, че решенията при рекрутиране (отхвърляне, включване в къс списък, предложение за работа, автоматичен отказ) ясно попадат в категорията на решения, които значително засягат субекта на данните.

Изключения по чл. 22(2)

  • Необходимо за сключване или изпълнение на договор между субекта и администратора;
  • Разрешено от правото на ЕС или на държавата членка, при условие че се предвиждат подходящи мерки за защита;
  • Основано на изричното съгласие на субекта.

Дори при наличие на изключение, администраторът е длъжен да осигури подходящи гаранции по смисъла на чл. 22, пар. 3, включително правото на субекта на:

  • Човешка намеса от страна на администратора;
  • Изразяване на гледна точка;
  • Оспорване на решението.

Делото на СЕС SCHUFA (C-634/21)

В решението си от 7 декември 2023 г. по дело C-634/21 (SCHUFA Holding), Съдът на ЕС прие разширителна интерпретация на чл. 22: дори вероятностен скор (scoring), изчислен от трето лице, може да представлява „решение“ по смисъла на чл. 22, ако на него се основава последващото решение на друг администратор. Това тълкуване е пряко релевантно за рекрутиращи скоринг инструменти — например AI платформи, които генерират „culture fit score“ или „employability score“ и предоставят резултата на работодателя.

Рискове от дискриминация

Най-сериозният материалноправен риск при използването на AI в рекрутирането е рискът от дискриминация — пряка или непряка — на основа на защитени характеристики. AI системите не са неутрални: те отразяват данните, върху които са обучени, и включените в тях статистически зависимости.

Риск Описание
Исторически bias Обучение върху минали дискриминационни решения (напр. отхвърленият вътрешен инструмент на Amazon, който санкционира автобиографии, съдържащи думата „women’s“)
Proxy дискриминация Неутрални на пръв поглед признаци, които корелират със защитени характеристики — пощенски код, име, завършено училище, хобита
Обратни връзки (feedback loops) Предубедени изходи подсилват предубедеността във входните данни при следващи итерации на обучение
Език и акцент LLM и системи за анализ на реч, които систематично оценяват по-ниско не-нативни говорители или регионални акценти
Възраст Паузи в автобиографията (свързани с майчинство, грижа за близки, инвалидност) интерпретирани като негативен сигнал
Пол, етническа принадлежност, увреждане Особено засегнати защитени категории, които исторически се откриват в данни за минали решения

Законът за защита от дискриминация забранява както пряката, така и непряката дискриминация по повече от 19 защитени основания, сред които пол, раса, народност, етническа принадлежност, гражданство, произход, религия, увреждане, възраст, сексуална ориентация, имуществено състояние и други. Комисията за защита от дискриминация (КЗД) е компетентният орган за производства по жалби.

Обратна тежест на доказване: съгласно чл. 9 от Закона за защита от дискриминация, когато жалбоподателят представи факти, от които може да се направи извод за наличие на дискриминация, в тежест на ответника (работодателя) е да докаже, че не е нарушил принципа на равно третиране. Това прави AI системите особено рискови: при липса на прозрачност и обяснимост, работодателят може да се окаже в невъзможност да оправдае решенията на модела.

Права на кандидатите

Кандидатите, подложени на AI-базиран подбор, разполагат с редица права, произтичащи от AI Act, GDPR и националното законодателство:

  • Право да бъдат информирани, че спрямо тях се използва AI — AI Act чл. 26, пар. 11 и GDPR чл. 13–14 (информация преди или при събиране на данните);
  • Право на смислен човешки преглед — GDPR чл. 22, пар. 3 и AI Act чл. 14 (човешки надзор);
  • Право на възражение срещу обработването, основано на легитимен интерес — GDPR чл. 21;
  • Право на достъп до личните данни, включително до използваната логика, значението и предвидените последици — GDPR чл. 15, пар. 1, буква „з“;
  • Право на коригиране и изтриване — GDPR чл. 16 и 17;
  • Право на жалба пред КЗЛД (GDPR), КЗД (дискриминация) или Изпълнителна агенция „Главна инспекция по труда“;
  • Право на обезщетение за имуществени и неимуществени вреди по чл. 82 GDPR и по общия ред на българското гражданско право.

Санкции по AI Act (чл. 99)

Чл. 99 от AI Act установява трислойна структура на административните санкции, като максималният размер зависи от тежестта на нарушението:

Нарушение Санкция
Забранени практики (чл. 5) До EUR 35 000 000 или 7 % от общия годишен световен оборот (по-високата сума)
Нарушение на задълженията за high-risk AI (вкл. чл. 26 за deployers) До EUR 15 000 000 или 3 % от общия годишен световен оборот
Предоставяне на невярна, непълна или подвеждаща информация на компетентните органи До EUR 7 500 000 или 1 % от общия годишен световен оборот
МСП и стартъпи По-ниската от двете посочени суми (чл. 99, пар. 6)

GDPR санкциите остават отделни и се прилагат кумулативно: до EUR 20 милиона или 4 % от годишния световен оборот за нарушения на чл. 22 и други основни разпоредби. Работодател, който използва забранен инструмент за разпознаване на емоции в нарушение и на AI Act, и на GDPR, може да понесе санкции и от двата режима.

Практически препоръки

С оглед на близостта на 2 август 2026 г., препоръчваме на българските работодатели следния план за действие:

  1. Инвентаризирайте всички AI инструменти, използвани в HR процеса — публикуване на обяви, скрининг, интервюта, оценка, onboarding.
  2. Класифицирайте всеки инструмент по категориите на AI Act — забранен / high-risk / ограничен риск / минимален риск.
  3. Премахнете незабавно всички инструменти за разпознаване на емоции или анализ на личностни черти от видео или аудио — те са забранени от 2 февруари 2025 г.
  4. Прегледайте договорите с доставчиците — изисквайте декларации за съответствие с AI Act, CE маркировка, техническа документация и съдействие при одити.
  5. Изгответе DPIA по чл. 35 GDPR за всяка високорискова обработка на данни на кандидати — задължително.
  6. Подгответе уведомление за прозрачност — ясна информация към кандидатите още при кандидатстване за това, че се използва AI, каква е логиката и какви са последиците.
  7. Осигурете human-in-the-loop — нито едно отхвърляне не трябва да бъде чисто автоматично; всяко решение минава през компетентно човешко лице.
  8. Провеждайте редовно тестване за bias — независими одити, тестове за статистически паритет, disparate impact анализи.
  9. Консултирайте работниците и техните представители по чл. 26, пар. 7 AI Act — ПРЕДИ внедряването.
  10. Съхранявайте логовете за минимум 6 месеца — проверете дали вашата инфраструктура го позволява.
  11. Изгответе вътрешна политика за използване на AI в рекрутирането, включваща процедури, отговорности и контролни точки.
  12. Обучете HR екипа — мениджъри и рекрутери трябва да познават правната рамка и ограниченията.
  13. Изгответе план за инциденти — реакция при bias, неправомерен отказ, жалба от кандидат или проверка от КЗЛД/КЗД.

Често задавани въпроси

Мога ли да използвам AI за филтриране на автобиографии?
Да, но такава система е класифицирана като high-risk AI по Приложение III, т. 4 от AI Act. Това означава, че работодателят трябва да изпълни всички задължения по чл. 26 — човешки надзор, информиране на кандидатите, съхранение на логове, DPIA и уведомяване на работниците. Не се допускат чисто автоматични откази.
Видеоинтервюта с AI анализ на емоции — разрешени ли са?
НЕ. Разпознаването на емоции на работното място (което включва етапа на подбор) е изрично забранено от чл. 5(1)(е) AI Act, освен при медицински или свързани с безопасността цели. Тази забрана е в сила от 2 февруари 2025 г. и носи максималната санкция от EUR 35 милиона или 7 % от глобалния оборот.
Трябва ли да информирам кандидатите, че използвам AI?
Да, задължително. Чл. 26, пар. 11 AI Act изисква уведомяване на всички физически лица, подложени на решения, взети с или подпомогнати от high-risk AI системи. Успоредно с това, чл. 13 GDPR изисква предоставяне на информация за наличието на автоматизирано вземане на решения и за логиката, значението и последиците от такова обработване.
Кога се прилагат high-risk задълженията?
От 2 август 2026 г. До тази дата работодателите трябва да са завършили вътрешния одит, класификацията на инструментите, DPIA, договорните изменения с доставчиците, внедряването на човешки надзор и обучението на HR екипа.
Какви са санкциите?
До EUR 35 000 000 или 7 % от глобалния годишен оборот за нарушение на забранени практики по чл. 5. До EUR 15 000 000 или 3 % за нарушение на задълженията за high-risk AI (включително чл. 26 за deployers). Тези санкции са независими от санкциите по GDPR, които могат да достигнат EUR 20 милиона или 4 % от оборота.
Имам ли задължение за DPIA?
Да. Чл. 35 GDPR изисква задължителна оценка на въздействието върху защитата на данните при систематично и широкомащабно автоматизирано обработване за оценка на лични аспекти, включително профилиране, което поражда правни или подобно значителни последици. Рекрутиращите AI системи почти винаги попадат в тази категория.
Трябва ли да консултирам работниците и техните представители?
Да. Чл. 26, пар. 7 AI Act изисква работодателите, преди да внедрят high-risk AI система на работното място, да информират представителите на работниците и засегнатите работници, че спрямо тях ще се използва такава система. Това е задължение, което трябва да бъде изпълнено ПРЕДИ внедряването, а не след него.

Нуждаете се от правен анализ на AI инструменти в рекрутирането?

Екипът на Innovires може да Ви помогне с класифицирането на Вашите AI инструменти по AI Act, изготвяне на DPIA и FRIA, преглед на договорите с доставчици, вътрешни политики за използване на AI в HR и подготовка за прилагане на задълженията от 2 август 2026 г.