Katsaus tekoälyasetukseen
Edellinen blogitekstini käsitteli tietosuojaa ja tässä jatketaan datajuridiikan parissa, keskittyen tekoälyasetukseen. Oletko joskus keskustellut tekoälychatbotin kanssa? Se vastaa sinulle kuin aito ihminen, mutta kyseessä on koulutettu tekoäly, joka vastaa kysymyksiisi aidon tuntuisesti ja usein esittelee myös itsensä tekoälyksi.
Tekoäly tarjoaa mahdollisuuksia parantaa palveluita ja tehostaa liiketoiminnan prosesseja, mutta sen kehittämiseen ja käyttöönottoon liittyy paljon sääntelyä. Sääntely saattaa estää tietyn tekoälyn käytön tai aiheuttaa velvoitteita esimerkiksi dokumentaation, avoimuuden ja riskienhallinnan suhteen.
Tekoälyasetus ja sen vaiheittainen voimaantulo
Keskeinen tekoälyä koskeva sääntely on 1.8.2024 voimaan tullut EU:n tekoälyasetus, jonka tarkoituksena on varmistaa tekoälyyn perustuvien tavaroiden ja palveluiden vapaata liikkuvuutta yli rajojen, tukea innovointia, ja samalla edistää luotettavan tekoälyn käyttöönottoa ja varmistaa ihmisten perusoikeuksien suojelu. Koska kyseessä on EU-asetus, se velvoittaa sellaisenaan jokaisessa jäsenvaltiossa. Tekoälyjärjestelmien ja -mallien tarjoajat, käyttöönottajat, kehittäjät ja käyttäjät sekä muut tekoälyn kanssa toimivat voivat siis luottaa siihen, että jokaisessa jäsenvaltiossa pätevät samat säännöt.
Tekoälyasetus tulee sovellettavaksi vaiheittain kahden vuoden siirtymäajalla. Kiellettyjä tekoälyjärjestelmiä koskevia sääntöjä ja tekoälylukutaitoa koskevia sääntöjä on sovellettava jo keväällä 2025. Yleiskäyttöisiä tekoälymalleja koskevat säännöt tulevat sovellettaviksi elokuussa 2025. Asetuksen vaikutukset ovat jo nyt merkityksellisiä niille, jotka työskentelevät tai suunnittelevat työskentelyä tekoälyn parissa.
Tekoälyasetuksen soveltamista ja oman organisaation velvoitteita voi lähestyä kolmen kysymyksen kautta
Tekoälyasetuksen soveltamisessa omaan organisaatioon erityisiä haasteita luovat asetuksen lukuisat määritelmät, soveltamisala sekä asetuksen suhde muuhun lainsäädäntöön.
Ensimmäinen kysymys liittyy siihen, onko kyseessä tekoälyjärjestelmä. Jos järjestelmä ei ole asetuksen määrittämällä tavalla tekoälyä, asetusta ei sovelleta. Asetus ei sääntele kaikkea tekoälyn käyttöä, vaan lähestyy tekoälyä tekoälyjärjestelmän riskin kautta. Sääntöjä on lähinnä kielletyille ja suuririskisille järjestelmille sekä yleiskäyttöisille tekoälymalleille. Ajatus on se, että kaikkea tekoälyä ei ole tarpeen säännellä vaan pelkästään sellaista, josta voi olla haittaa.
Toinen kysymys liittyy riskinäkökulmaan, eli mihin riskikategoriaan järjestelmä kuuluu? Asetuksessa järjestelmät luokitellaan niiden mahdollisten riskien ja haittojen mukaisesti erilaisiin riskiluokkiin. Eri riskiluokkiin kohdistuu erilaisia sääntöjä. Tietyt riskit on tekoälyasetuksella kielletty kokonaan eikä kiellettyjä järjestelmiä saa käyttää EU:ssa eikä niitä saa tuoda alueelle. Asetus sisältää listan kielletyistä järjestelmistä, joita asetuksessa on kahdeksan.
Tietyt riskit on tekoälyasetuksella kielletty kokonaan eikä kiellettyjä järjestelmiä saa käyttää EU:ssa eikä niitä saa tuoda alueelle.
Suurin osa asetuksen sääntelystä kohdentuu suuririskisiin järjestelmiin. Näihin kohdistuu useita eri sääntöjä ja velvollisuuksia. Tällaisia ovat esimerkiksi vaatimukset riskinhallintajärjestelmistä, datan laadusta, teknisestä dokumentaatiosta, tietojen säilyttämisestä, avoimuudesta sekä ihmisen suorittamasta valvonnasta. On hyvä huomata, että suuririskisten järjestelmien määritelmiin sisältyy myös useita poikkeuksia.
Yleiskäyttöisille tekoälymalleille on omat sääntönsä ja tietyille järjestelmille on asetettu erityiset avoimuusvelvoitteet. Osa tekoälyjärjestelmistä ei asetu mihinkään edellä mainittuihin luokituksiin.
Kolmas kysymys liittyy siihen, missä roolissa toimitaan eli onko kyseessä tekoälyjärjestelmän kehittäjä, tarjoaja, käyttöönottaja vai jokin muu. Suurimmat velvoitteet kohdentuvat tekoälyn tarjoajalle. Sille, joka kehittää tekoälyjärjestelmiä, kohdentuu erityyppisiä velvoitteita mitä tekoälyn käyttäjälle. Keskeistä on tunnistaa se, ollaanko ottamassa käyttöön olemassa olevaa tekoälymallia vai kouluttamassa tekoälymallia. Kannattaa siis tunnistaa oma rooli kussakin käyttötapauksessa ja pohtia, voiko käyttäjän rooli muuttua järjestelmän käyttöönoton jälkeen kehittäjäksi, jolloin myös velvoitteet muuttuvat.
Tekoälylukutaito
Jokaisen tekoälyjärjestelmiä käyttävän organisaation tulee varmistaa, että henkilöstöllä on riittävä tekoälylukutaito. Tämä tarkoittaa, että henkilöstön tulee ymmärtää tekoälyn toimintaa ja osata hyödyntää sitä tarkoituksenmukaisesti ja vastuullisesti. Henkilöstön tulee osata soveltaa tekoälytyökaluja käytännössä, tietää milloin niitä voi käyttää ja milloin ei, sekä kyetä arvioimaan kriittisesti tekoälyn antamia vastauksia ja tulkitsemaan tuloksia oikein. Vastuullinen tekoälyn käyttö tarkoittaa sen turvallista hyödyntämistä ja sen vaikutusten ymmärtämistä ihmisiin. Tekoälylukutaidon velvoite astui voimaan helmikuussa 2025.
Tekoäly ja tietosuoja
Tekoälyasetuksen lisäksi tulee ottaa huomioon, että EU:ssa on säädetty paljon teknologiaa koskevaa lainsäädäntöä, josta esimerkiksi tietosuoja-asetus tulee sovellettavaksi tekoälyasetuksen rinnalla. Tietosuoja-asetusta sovelletaan aina, kun käsitellään henkilötietoja. Tietosuojavaltuutetun toimisto on antanut tarkemmat ohjeet siitä, miten tietosuoja otetaan huomioon tekoälyjärjestelmien kehittämisessä ja käytössä.
Kirjoituksessa on käytetty lähteinä:
Keller, M. 2025. Datajuridiikka – paremmat pelisäännöt datataloudelle. Alma Insights. Helsinki.
Lindroos-Hovinheimo, S., Koivisto, I., Koulu, R. & Sankari, S. 2025. Tekoälyn sääntely. Alma Insights, Helsinki.
Tekoälyasetus (EU) 2024/1689.
Tekoälyjärjestelmät ja tietosuoja | Tietosuojavaltuutetun toimisto
EU:n tekoälyasetus: tekoälykäytäntöjen kiellot astuvat voimaan 2.2.2025 – Valtioneuvosto
Marjaana Rahkola
Juristi-tietosuojavastaava
Kokkola