EU:n tekoälyasetus (AI Act) pk-yritykselle: mitä sääntely tarkoittaa käytännössä
EU:n tekoälyasetus koskee yhä useampaa yritystä, joka käyttää tai kehittää tekoälyä. Tässä oppaassa selitetään riskiluokat, keitä sääntely koskee ja miten yritys valmistautuu käytännössä.
EU:n tekoälyasetus, tunnetaan myös nimellä AI Act, on maailman ensimmäinen kattava tekoälyä koskeva sääntelykehikko. Se koskee yhä useampaa yritystä sitä mukaa kun tekoälyä otetaan käyttöön liiketoiminnan eri osissa. Tässä oppaassa käydään läpi asetuksen perusperiaatteet yleistajuisesti ja annetaan käytännön askeleet, joilla pk-yritys voi valmistautua siihen – ilman juridista jargonia.
Mikä EU:n tekoälyasetus on
AI Act on EU-tason lainsäädäntö, joka luokittelee tekoälyjärjestelmät niiden aiheuttaman riskin mukaan ja asettaa vaatimuksia sen perusteella. Ajatuksena on, että mitä suurempi riski järjestelmästä voi aiheutua ihmisten oikeuksille, turvallisuudelle tai perusvapauksille, sitä tiukemmat vaatimukset sille asetetaan. Sääntely astuu voimaan vaiheittain useamman vuoden aikana, mikä antaa yrityksille aikaa sopeutua – mutta myös tarkoittaa, että yksityiskohdat ja aikataulut tarkentuvat matkan varrella. Tästä syystä ajantasaiset yksityiskohdat kannattaa aina tarkistaa virallisista lähteistä, kuten Euroopan komission ja kansallisten valvontaviranomaisten sivuilta.
Riskiluokat pähkinänkuoressa
AI Act jakaa tekoälyjärjestelmät karkeasti neljään luokkaan:
- Kielletyt käytännöt. Tietyt käyttötarkoitukset, kuten ihmisten manipulointiin tähtäävät tai laaja-alaiseen kansalaisten luokitteluun (niin sanottu "social scoring") perustuvat järjestelmät, on kielletty kokonaan.
- Korkean riskin järjestelmät. Tähän luokkaan kuuluvat esimerkiksi rekrytoinnissa, luottopäätöksissä, koulutuksessa tai kriittisessä infrastruktuurissa käytettävät tekoälyjärjestelmät. Näille asetetaan tiukimmat vaatimukset: riskienhallinta, dokumentaatio, ihmisen valvonta ja läpinäkyvyys.
- Rajoitetun riskin järjestelmät. Esimerkiksi chatbotit tai muut järjestelmät, joiden kanssa käyttäjä on suorassa vuorovaikutuksessa. Näille riittää yleensä avoimuusvelvoite: käyttäjän on tiedettävä, että hän keskustelee tekoälyn kanssa.
- Minimaalisen riskin järjestelmät. Suurin osa nykyisistä tekoälysovelluksista, kuten pelien tekoälyt tai yksinkertaiset suositusjärjestelmät, kuuluu tähän luokkaan eikä niille aseteta erityisvaatimuksia.
Useimmat pk-yrityksen käyttämät tekoälytyökalut – kuten yleiskäyttöiset kielimallit tekstin kirjoittamiseen – eivät todennäköisesti kuulu korkean riskin luokkaan, mutta se riippuu aina siitä, mihin tarkoitukseen työkalua käytetään.
Ketä sääntely koskee
AI Act koskee sekä tekoälyjärjestelmien kehittäjiä että niiden käyttöönottajia (deployer). Tämä tarkoittaa, että velvoitteita voi syntyä myös yritykselle, joka ei itse kehitä tekoälyä, vaan ottaa käyttöön kolmannen osapuolen tarjoaman järjestelmän – esimerkiksi rekrytointiin tai luottokelpoisuuden arviointiin liittyvän työkalun. Vastuu ei siis automaattisesti siirry kokonaan järjestelmän toimittajalle.
Kansallisella tasolla EU-jäsenmaat, Suomi mukaan lukien, nimeävät valvontaviranomaiset, jotka vastaavat asetuksen noudattamisen valvonnasta ja voivat antaa tarkempaa kansallista ohjeistusta. Koska kansalliset yksityiskohdat ja toimeenpanon aikataulu voivat muuttua, yrityksen kannattaa seurata oman toimialansa liittojen ja kansallisen valvontaviranomaisen tiedotusta.
Käytännön askeleet pk-yritykselle
Sääntelyyn valmistautuminen ei vaadi juristiarmeijaa – useimmalle pk-yritykselle riittää järjestelmällinen perustyö:
- Tee inventaario. Listaa kaikki yrityksessä käytössä olevat tekoälyjärjestelmät ja -työkalut: sekä ostetut palvelut että itse rakennetut ratkaisut.
- Arvioi riskiluokka jokaiselle. Mieti kunkin järjestelmän käyttötarkoitusta suhteessa edellä kuvattuihin luokkiin. Erityistä huomiota kannattaa kiinnittää järjestelmiin, jotka vaikuttavat rekrytointiin, luottopäätöksiin tai muihin ihmisiin kohdistuviin merkittäviin päätöksiin.
- Dokumentoi käyttö. Kirjaa ylös, mihin tarkoitukseen järjestelmää käytetään, kuka vastaa sen valvonnasta ja miten lopputulokset tarkistetaan.
- Varmista läpinäkyvyys käyttäjille. Jos asiakas tai työntekijä on vuorovaikutuksessa tekoälyjärjestelmän kanssa, hänen on tiedettävä siitä.
- Seuraa kehitystä. Sääntelyn yksityiskohdat ja aikataulut tarkentuvat, joten kannattaa seurata sekä EU-tason että kansallisen valvontaviranomaisen tiedotusta säännöllisesti.
Sääntely ja liiketoimintamahdollisuudet kulkevat käsi kädessä
On helppo ajatella sääntelyä pelkkänä rasitteena, mutta sillä on myös toinen puoli: selkeät pelisäännöt voivat lisätä asiakkaiden luottamusta tekoälyä hyödyntäviin palveluihin. Yritys, joka pystyy osoittamaan käyttävänsä tekoälyä vastuullisesti ja läpinäkyvästi, voi kääntää tämän kilpailueduksi erityisesti aloilla, joilla luottamus on keskeistä, kuten terveydenhuollossa, finanssialalla tai julkishallinnon kumppanuuksissa.
Samaan aikaan Suomeen ja muualle Eurooppaan on rakentunut kasvava tekoälyinfrastruktuuri ja -ekosysteemi – datakeskuksia, pilvipalveluita ja paikallisia asiantuntijayrityksiä. Tämä tarkoittaa käytännössä, että tekoälyn hyödyntäminen sääntöjen mukaisesti on entistä helpompaa myös pienemmille toimijoille, kun tarjolla on valmiita, vaatimustenmukaisia ratkaisuja itse rakentamisen sijaan.
Yhteenveto
EU:n tekoälyasetus rakentuu riskiperusteiselle luokittelulle: mitä suurempi vaikutus järjestelmällä voi olla ihmisiin, sitä tiukemmat vaatimukset sille asetetaan. Useimmalle pk-yritykselle käytännön valmistautuminen tarkoittaa tekoälyjärjestelmien inventointia, riskien arviointia ja perusdokumentaation kuntoon laittamista – ei massiivista juridista projektia. Koska sääntely ja sen toimeenpano kehittyvät jatkuvasti, ajantasaisin tieto kannattaa aina hakea virallisista lähteistä.
Usein kysyttyä
Koskeeko AI Act pientä yritystä, joka vain käyttää valmiita tekoälytyökaluja? Kyllä, velvoitteita voi syntyä myös käyttöönottajalle, ei vain kehittäjälle – erityisesti jos työkalua käytetään korkean riskin tarkoitukseen, kuten rekrytointipäätösten tukena.
Mistä saa ajantasaisimman tiedon Suomen kansallisesta toimeenpanosta? Kannattaa seurata Euroopan komission virallisia AI Act -sivuja sekä Suomen nimeämän kansallisen valvontaviranomaisen ja oman toimialan edunvalvontajärjestön tiedotusta, sillä yksityiskohdat tarkentuvat sääntelyn edetessä.