EU:ssa viime kesänä hyväksytty tekoälyasetus mullistaa organisaatioiden tekoälyjärjestelmien hyödyntämisen pelisääntöjä merkittävästi. Tekoälyasetuksessa omaksuttu riskiperusteinen lähestymistapa edellyttää tekoälyjärjestelmien riskien arviointia ja kategorisointia. Asetuksessa kielletään tietyt tekoälyjärjestelmien käyttötapaukset, asetetaan reunaehtoja korkean riskin käyttötapauksille ja ihmisten kanssa vuorovaikutuksessa oleville tekoälyjärjestelmille sekä säädellään yleiskäyttöisiä tekoälyjärjestelmiä. On kuitenkin tärkeää huomata, että valtaosa EU:ssa käytössä olevista tekoälyjärjestelmistä ei kuulu kiellettyihin tai korkean riskin kategoriaan.
Uusia velvoitteita
Tekoälyasetuksen I ja II luvun vaatimuksia kiellettyjen tekoälyjärjestelmien osalta aletaan soveltaa 2. helmikuuta 2025.
Asetus erityisesti kieltää tekoälyjärjestelmät, jotka:
- manipuloivat ihmisten käyttäytymistä tavalla, joka aiheuttaa fyysistä tai psyykkistä haittaa,
- käyttävät tietoisuuden ulkopuolisia tekniikoita käyttäytymisen merkittävään vääristämiseen,
- hyödyntävät tiettyjen ryhmien, kuten lasten tai vammaisten, haavoittuvuuksia käyttäytymisen merkittävään vääristämiseen,
- käyttävät reaaliaikaisia biometrisiä tunnistusjärjestelmiä julkisissa tiloissa lainvalvontatarkoituksiin, ellei niissä ole tiukkoja ehtoja.
Organisaatioiden tulee arvioida käytössään olevien tekoälyratkaisujen osalta käyttötarkoitukset ja varmistua, että kielletyt tekoälyratkaisut otetaan pois käytöstä määräaikaan mennessä. Kehitys- ja hankintaprosesseissa tulee myös varmistua, ettei kiellettyjä tekoälyratkaisuja oteta käyttöön.
Tekoälyasetuksen korkean riskin käyttötarkoitusten vaatimukset voimaan vuonna 2026
Tekoälyasetuksessa korkean riskin käyttötarkoituksiksi on määritelty tietyt käyttötarkoitukset esimerkiksi kriittiseen infrastruktuuriin, työllistymiseen ja henkilöstöhallintoon, koulutussektoriin ja välttämättömiin yksityisiin ja julkisiin palveluihin pääsyyn liittyen.
Korkean riskin tekoälyjärjestelmien vastuut jakautuvat tekoälyn arvoketjussa olevien toimijoiden kesken. Raskaimmat velvoitteet kohdistuvat korkean riskin tekoälyratkaisujen kehittäjiin, joiden tulee muun muassa luoda riskien- ja laadunhallinnan järjestelmät ja varmistua syrjimättömyydestä ja läpinäkyvyydestä.
Korkean riskin tekoälyjärjestelmien käyttöönottajaorganisaatioiden tulee muun muassa noudattaa kehittäjien ohjeita, varmistaa ihmistoimijan kontrolli ja monitoroida tekoälyratkaisujen toimivuutta. Käytännössä tekoälyratkaisujen kehittäjät tulevat vyöryttämään osan velvoitteistaan tilaajille, joten tilaajien tulee varmistua siitä, että näiden prosessit ja käytänteet ovat vaatimustenmukaisia.
EU:n yleista tietosuoja-asetusta tulee myös noudattaa
Tekoälyasetuksen lisäksi organisaatioiden tulee noudattaa toiminnassaan dataa koskevaa sääntelyä, kuten EU:n yleistä tietosuoja-asetusta. Olennaista on tunnistaa organisaation rooli ja vastuut tekoälyasetuksessa, mutta myös esimerkiksi tietosuoja-asetuksessa. Tyypillisesti tekoälyratkaisun tilaajana toimiva organisaatio määritellään tietosuoja-asetuksessa rekisterinpitäjäksi, jolle kohdistuvat tietosuojasääntelyn velvoitteet. Henkilötietojen hyödyntäminen tekoälyn elinkaarella tulee kartoittaa ja sääntelyn asettamat vaatimukset toteuttaa.
Toimiva hallintamalli keskeistä
Tekoälyasetuksen tehokas ja tarkoituksenmukainen noudattaminen edellyttää organisaatioilta riippumatta niiden roolista tehokkaan hallintamallin rakentamista. Pyörää ei tarvitse keksiä uudelleen, vaan organisaatioiden kannattaa hyödyntää olemassa olevia vaatimustenmukaisuuden ja riskienhallinnan prosesseja ja dokumentaatiota. Henkilöstön kouluttamisen ja sitouttamisen merkitystä ei voi olla korostamatta, sillä tekoälyasetus asettaa vaatimuksen kouluttaa henkilöstöä tekoälystä, mutta pelkän kepin sijasta koulutus tulisi nähdä porkkanana, jolla työntekijät saadaan innostumaan tekoälyn mahdollisuuksista hallitulla ja organisoidulla tavalla.
