EU:n uusi tekoälyasetus (AI Act) on merkittävä askel kohti turvallisempaa ja eettisesti kestävämpää tekoälyn käyttöä. Järjestimme 9. huhtikuuta 2025 tekoälywebinaarin yhdessä LKOS Law Office Oy:n Liene Kruminan kanssa. Webinaarissa pureuduttiin EU:n tekoälyasetukseen useasta eri näkökulmasta. Tässä artikkelissa harjoittelijamme Sofia ja Emma nostavat esiin kiinnostavimmat oivalluksensa webinaarista. Artikkelin lopusta löytyy tallenne webinaarista.
Ensimmäiset tekoälyasetuksen velvoitteet tulivat voimaan 2. helmikuuta 2025. Näihin kuuluivat muun muassa tekoälyjärjestelmän määritelmä sekä tekoälylukutaitoa koskevat vaatimukset. Lisäksi määriteltiin tekoälyasetuksessa esitetyt kielletyt tekoälyn käyttötapaukset, jotka aiheuttavat hyväksymättömiä riskejä EU:n arvojen ja perusoikeuksien näkökulmasta. Webinaarissa asiantuntijat Jenni Laininen, Tomi Hietala ja Liene Krumina kokosivat yhteen ajankohtaisimman tiedon ja tarjosivat käytännön näkökulmia siihen, mitä asetuksen noudattaminen edellyttää.
Tekoälyasetuksen riskiperusteinen lähestymistapa
Asianajajamme Jenni Laininen aloitti tilaisuuden selkeällä katsauksella tekoälyasetuksen ytimeen, riskiperusteiseen lähestymistapaan. Asetus luokittelee tekoälyjärjestelmät neljään riskitasoon kielletyistä vähäisen riskin sovelluksiin ja määrittää jokaiselle riskitasolle omat noudattamisvelvoitteensa. Kielletyn riskin järjestelmät, kuten sosiaalisen pisteytyksen järjestelmät, ovat kiellettyjä 2.2.2025 alkaen.
Korkean riskin järjestelmät, kuten vaikkapa rekrytoinnissa tai luottopäätöksissä käytettävät tekoälytyökalut, edellyttävät erityistä valvontaa, läpinäkyvyyttä ja dokumentointia. Vähäriskisemmille järjestelmille riittää kevyempi ohjeistus.
Jenni painotti myös organisaation sisäisten valmiuksien merkitystä: onnistuneen toimeenpanon edellytyksiä ovat muun muassa selkeä tekoälystrategia, henkilöstön koulutus, johdonmukaiset ohjeistukset sekä compliance-toiminnon aktiivinen osallistuminen.
Läpinäkyvyys ja tarkoituksenmukaisuus tekoälyratkaisuissa
Legal Counselimme Tomi Hietala muistutti, että tekoäly ei toimi erillään muusta sääntelystä, esimerkiksi GDPR:n periaatteet säilyvät edelleen keskeisinä. Hän korosti erityisesti tietojen minimoinnin ja anonymisoinnin merkitystä, jotta henkilötietoja käsitellään vain siinä laajuudessa kuin on tarpeen. Lisäksi hän painotti, että tekoälyyn perustuvien automaattisten päätösten on oltava ymmärrettäviä sekä niiden taustalla olevan logiikan selitettävissä. Henkilötietojen käsittelyssä tulee myös aina varmistaa, että käyttötarkoitus on perusteltu ja asianmukainen.
Ajankohtaisena esimerkkinä käsiteltiin EU-tuomioistuimen tapausta C‑203/22 (Dun & Bradstreet Austria GmbH), jossa arvioitiin automatisoidun päätöksenteon läpinäkyvyyden ja liikesalaisuuksien suojan välistä tasapainoa. Tuomioistuin totesi, että rekisteröidyllä on oikeus saada selkeä ja ymmärrettävä selitys automatisoidun päätöksenteon taustalla olevista menettelyistä ja periaatteista. Liikesalaisuuden suoja ei oikeuta tietojen täydelliseen salaamiseen, vaan mahdolliset ristiriidat on ratkaistava tapauskohtaisesti toimivaltaisen viranomaisen tai tuomioistuimen toimesta.
Lopuksi Tomi korosti tekoälyn ymmärtämisen ja riskien arvioinnin (kuten tietosuojaa koskevan vaikutustenarvioinnin, DPIAn) tärkeyttä. Tekoälyn nopea kehitys vaatii säännöllisiä päivityksiä arvioinneissa ja tietosuojakäytännöissä.
Strateginen varautuminen on kilpailuetu
Webinaarin loppupuolella keskustelu siirtyi käytännön toimiin, joilla yritykset voivat suojautua riskeiltä ja valmistautua tulevaan sääntelyyn. Asiantuntija Liene Krumina muistutti, että tekoälysääntelyn noudattamatta jättäminen ei ole enää pelkkä teoreettinen riski. Mahdolliset seuraukset – kuten sakot, liiketoiminnan keskeytykset, maineen menetykset ja asiakkaiden luottamuksen heikentyminen – voivat toteutua, jos organisaatio ei ole varautunut uusiin velvoitteisiin.
Liene korosti ennaltaehkäisevän työn merkitystä. Ensimmäinen askel on selvittää, missä ja miten tekoälyä jo nyt käytetään organisaatiossa ja kuinka se vaikuttaa päätöksentekoon. Samalla on tärkeää tarkastella voimassa olevia sopimuksia, käydä aktiivista vuoropuhelua toimittajien kanssa ja varmistaa, että erityisesti avainhenkilöstö ymmärtää tekoälyasetuksen vaikutukset. Vastuullinen tekoälyn käyttö ei voi olla pelkästään IT-osaston tai juristien vastuulla, vaan sen on läpäistävä koko organisaatio ja oltava osa sen strategista johtamista.
Erityisen kiinnostavaa oli Lienen esiin nostama näkökulma tekoälykysymysten asemasta hallitustyöskentelyssä. Tulevaisuudessa tekoälyn hallinta on olennainen osa hyvää hallintotapaa: siihen sisältyy riskienhallintaa, toimittajasuhteiden hallintaa, eettistä arviointia ja strategista päätöksentekoa. Ennakoivilla toimilla organisaatiot eivät pelkästään minimoi riskejä, vaan rakentavat myös kilpailuetua ja vahvistavat luottamusta niin asiakkaiden, viranomaisten kuin työntekijöidenkin silmissä.
Tämä webinaari oli erinomainen muistutus siitä, että tekoäly ei ole enää tulevaisuuden kysymys – se on jo täällä. EU:n tekoälyasetus luo raamit teknologian käytölle, mutta vastuu sen eettisestä ja vastuullisesta hyödyntämisestä jää meille kaikille. Yritykset, jotka tarttuvat toimeen nyt, voivat kääntää sääntelyn edukseen ja rakentaa tulevaisuuden tekoälyratkaisuja avoimuuden ja luottamuksen varaan.
Onko organisaationne jo varautunut tekoälyasetyksen vaatimuksiin?
Jos aiheesta herää kysymyksiä, olethan yhteydessä asiantuntijoihimme Jenni Lainiseen [email protected] tai Tomi Hietalaan [email protected]
Sofia Sormunen, Senior Legal Trainee
