consulting@tuuppa.fi
+358 400 944 282

Tekoälyasetus yrityksen toiminnassa

10/05/2026

EU:n tekoälyasetus (AI Act, asetus 2024/1689) on maailman ensimmäinen kattava tekoälylaki. Se koskee jokaista yritystä, joka käyttää tai kehittää tekoälyä EU:n alueella. Asetus jakaa tekoälyjärjestelmät neljään riskiluokkaan — kielletty, korkea riski, rajallinen riski ja vähäinen riski — ja asettaa kullekin luokalle omat velvoitteensa. Suurin osa velvoitteista astuu voimaan 2.8.2026, mutta tämän tekstin kirjoittamisen aikaan laadinnassa oleva Digital Omnibus -muutos tulee todennäköisesti siirtämään suuririskisten järjestelmien käyttöönottajia ja tarjoajia koskevia velvoitteita. Seuraamukset rikkomuksista voivat olla enintään 35 miljoonaa euroa tai 7 % yrityksen maailmanlaajuisesta liikevaihdosta (99 artikla), mutta tekoälyasetuksen noudattaminen on olennaista myös yrityksen oman riskienhallinan ja tietoturvan varmistamiseksi.

Tässä kirjoituksessa juristi Perttu Tuuppa (OTM, CIPP/E) selventää, mitä yritysten tulee tietää tekoälyasetuksesta: mihin se perustuu, mitä se vaatii ja miten siihen valmistaudutaan.

Mikä on EU:n tekoälyasetus (AI Act)?

EU:n tekoälyasetus on Euroopan unionin asetus (2024/1689), joka säätelee tekoälyjärjestelmien kehittämistä, tarjoamista ja käyttöä EU:n alueella. Se on suoraan sovellettavaa oikeutta kaikissa EU-jäsenvaltioissa ilman erillistä kansallista täytäntöönpanoa — aivan kuten GDPR.  Sen velvoitteet tulevat sovellettaviksi vaiheittain vuosien 2025–2027 aikana.

Asetuksen tavoitteena on varmistaa, että EU:n alueella käytettävät tekoälyjärjestelmät ovat turvallisia, läpinäkyviä ja perusoikeuksia kunnioittavia. Se koskee sekä yksittäisiä tekoälysovelluksia että yleiskäyttöisiä tekoälymalleja, kuten suuria kielimalleja.

Tekoälyasetuksen riskiluokat

Tekoälyasetus perustuu riskipohjaiseen luokitteluun. Tekoälyjärjestelmät jaetaan neljään riskiluokkaan, ja sääntelyn tiukkuus kasvaa riskin mukana.

Kielletty riski (5 artikla)

Kielletyn riskin tekoälyjärjestelmiä ei saa käyttää lainkaan EU:n alueella. Kiellot tulivat voimaan 2.2.2025. Kiellettyjä ovat esimerkiksi:

- Ihmisten käyttäytymisen tiedostamaton manipulointi tekoälyn avulla

- Reaaliaikainen biometrinen tunnistaminen julkisilla paikoilla (tietyin poikkeuksin)

- Tunteiden tunnistaminen työpaikalla ja oppilaitoksissa

Korkea riski (III luku, 6–27 artikla)

Korkean riskin järjestelmät ovat asetuksen laajin ja yritysten kannalta merkittävin kategoria. Tähän luokkaan kuuluvat tekoälyjärjestelmät, jotka tekevät tai avustavat merkittäviä päätöksiä ihmisten elämästä. Esimerkkejä:

- **Rekrytointi:** CV-seulonta, haastatteluanalyysit, suoritusarvioinnit

- **Rahoitus:** Luottopäätökset ja luottokelpoisuuden arviointi

- **Terveydenhuolto:** Diagnostiikkatyökalut

- **Koulutus:** Oppilaitosten arviointijärjestelmät

- **Kriittinen infrastruktuuri:** Turvakomponenttien tekoälyjärjestelmät

- **Oikeudenhoito:** Päätöksentekoa avustavat järjestelmät

Korkean riskin järjestelmien vaatimukset astuvat voimaan 2.8.2026. Vaatimuksista kerrotaan tarkemmin alla.

Rajallinen riski (50 artikla)

Rajallisen riskin järjestelmiin kohdistuu pääasiassa läpinäkyvyysvelvoitteita:

- Chatbottien käyttäjille on kerrottava, että he ovat vuorovaikutuksessa tekoälyn kanssa

- Deepfake-sisältö ja tekoälyllä tuotettu teksti on merkittävä asianmukaisesti

- Vähäinen riski

Vähäisen riskin järjestelmiin ei kohdistu erityisiä velvoitteita. Suurin osa arkisista tekoälysovelluksista — kuten roskapostisuodattimet tai suosittelualgoritmit — kuuluu tähän luokkaan.

On tärkeää huomioida, että tekoälyasetuksen mukaan riskiluokan määrittää käyttötarkoitus, ei työkalu itsessään. Esimerkiksi ChatGPT yleiskäyttöisenä apuvälineenä on rajallisen riskin järjestelmä, mutta jos sitä käytetään työnhakemusten seulontaan, se voi siirtyä korkean riskin luokkaan.


Mitä korkean riskin järjestelmiltä vaaditaan?

Korkean riskin tekoälyjärjestelmien vaatimukset muodostavat asetuksen ytimen. Ne astuvat voimaan 2.8.2026. Keskeisimmät velvoitteet ovat:

  • Riskienhallintajärjestelmä: Jatkuva riskiarviointi- ja hallintaprosessi koko järjestelmän elinkaaren ajan 
  • Datan laadunhallinta: Koulutus-, validointi- ja testausaineistojen laatu ja edustavuus 
  • Tekninen dokumentaatio: Järjestelmän toiminta, suunnitteluratkaisut, testaustulokset ja rajoitukset 
  • Lokikirjanpito: Automaattinen kirjanpito järjestelmän toiminnasta
  • Läpinäkyvyys käyttäjille: Riittävät tiedot järjestelmän toiminnasta ja rajoituksista 
  • Ihmisen suorittama valvonta: Mekanismit ihmisen valvonnalle ja puuttumiselle 
  • Jatkuva seuranta: Suorituskyvyn ja turvallisuuden seuranta käyttökauden ajan 

Seuraamukset asetuksen rikkomisesta (99 artikla)

Seuraamukset ovat porrastetut rikkomuksen vakavuuden mukaan:

  • Rikkomus | Enimmäissakko | Osuus liikevaihdosta edeltävältä vuodelta
  • Kiellettyjen järjestelmien käyttö | 35 milj. € | 7 % 
  • Muiden velvoitteiden rikkominen | 15 milj. € | 3 % 
  • Virheellisten tietojen antaminen viranomaisille | 7,5 milj. € | 1 % 

Pk-yrityksiin ja startup-yrityksiin sovelletaan edellä mainituista summista pienempää. Seuraamukset ovat vertailukelpoisia GDPR:n sakkojen kanssa ja suunniteltu riittävän suuriksi toimiakseen tehokkaana kannustimena sääntöjen noudattamiseen.

Käytännön toimenpiteet yrityksille — mistä aloittaa?

Jos yrityksesi käyttää tekoälyä, seuraavat toimenpiteet kannattaa käynnistää viimeistään nyt:

1. Kartoita tekoälyjärjestelmät. Selvitä, mitä tekoälyä organisaatiossasi käytetään. On hyvin todennäköistä, että tekoälyjärjestelmiä hyödynnetään sekä itsenäisinä työkaluina, mutta myös suuressa osassa eri ohjelmistoja sisäänleivottuna toimintona.  Monessa yrityksessä tekoäly on käytössä laajemmin kuin johto todellisuudessa tiedostaa.

2. Arvioi riskiluokat. Mihin riskiluokkaan kukin järjestelmä kuuluu? Nyrkkisääntö: jos tekoäly tekee tai merkittävästi avustaa päätöksiä, jotka vaikuttavat ihmisten oikeuksiin, terveyteen, turvallisuuteen tai taloudelliseen asemaan, kyseessä on todennäköisesti korkean riskin järjestelmä.

3. Vaadi dokumentaatiota toimittajilta. Jos käytät kolmannen osapuolen tekoälytyökaluja, pyydä toimittajilta tietoa siitä, miten heidän järjestelmänsä täyttää asetuksen vaatimukset. Esimerkiksi Microsoftin ja Googlen yritystuotteet (Copilot, Gemini) noudattavat asetuksen vaatimuksia tarjoajan osalta, mutta käyttöönottaja vastaa omasta osuudestaan.

4. Dokumentoi toiminta. Asetuksessa korostuu dokumentointiperiaate: jokainen riskiarviointi, koulutus ja toimenpide kannattaa kirjata ylös. Valvontaviranomainen odottaa aikaleimoja, vastuuhenkilöitä ja todisteita toimenpiteistä. Mitä paremmin pystytään osoittamaan toimet asetuksen noudattamiseksi sen parempi.

5. Laadi malli tekoälyn hallintaan. Tekoälyasetuksen noudattaminen on jatkuva prosessi, ei kertaluontoinen projekti. Nimeä organisaatiosta vastuuhenkilö ja laadi aikataulu, jossa huomioidaan voimaantuloaikataulun seuraavat vaiheet.

Usein kysytyt kysymykset tekoälyasetuksesta

Koskeeko tekoälyasetus pk-yrityksiä?

Kyllä. Tekoälyasetus koskee kaikkia organisaatioita, jotka kehittävät, tarjoavat tai käyttävät tekoälyjärjestelmiä EU:n alueella — koosta riippumatta. Pk-yrityksiin sovelletaan kuitenkin pienempiä sakkoja.

Onko ChatGPT:n/Copilotin/Clauden käyttö sallittua AI Actin mukaan?

Kyllä. ChatGPT ja vastaavat yleiset tekoälychatbotit ovat laillisia ja kuuluvat yleensä rajallisen riskin luokkaan. Käyttäjille on kuitenkin kerrottava, että sisältö on tuotettu tekoälyn avustuksella (läpinäkyvyysvelvoite). Jos tekoälychatbottia käytetään korkean riskin päätöksiin, kuten rekrytointiin, riskiluokka voi muuttua.

Miten tunnistan, onko tekoälyjärjestelmäni korkean riskin?

Nyrkkisääntö: jos tekoälyjärjestelmä tekee tai merkittävästi avustaa päätöksiä, jotka vaikuttavat ihmisten oikeuksiin, terveyteen, turvallisuuteen tai taloudelliseen asemaan, kyseessä on todennäköisesti korkean riskin järjestelmä. Työkalu itsessään ei määritä riskiluokkaa vaan käyttötarkoitus ratkaisee. Epäselvissä tilanteissa suosittelemme oikeudellista arviointia.

Tarvitsetko apua tekoälyasetuksen soveltamisessa?

EU:n tekoälyasetus on laajuudeltaan ja muodoltaan eräs haastavimmista EU:n säädöksistä viime vuosilta. Sen soveltumisen selvittäminen yksittäisen yrityksen tilanteeseen edellyttää usein sekä juridista että teknistä asiantuntemusta. Lakitoimisto Tuuppa auttaa yrityksiä tekoälysääntelyn tulkinnassa, riskiluokittelussa, sisäisten ohjeistusten laadinnassa ja tekoälyyn liittyvien sopimusten tarkastamisessa.

Juristi Perttu Tuuppa (OTM, CIPP/E) on erikoistunut tekoälyjuridiikkaan, tietosuojaan ja yritysjuridiikkaan. Hän toimii myös teknologian ja tekoälyn alan tutkimushankkeiden oikeudellisena neuvonantajana.

Ota yhteyttä — alkukartoitus on maksuton.

Lue lisää palveluistamme

VARAA AIKA


Tämä kirjoitus tarjoaa yleiskatsauksen EU:n tekoälyasetuksen keskeisistä piirteistä ja se on tarkoitettu yleisluontoiseksi tiedoksi, ei oikeudelliseksi neuvonnaksi yksittäistapauksessa. Asetuksen soveltaminen konkreettiseen tilanteeseen edellyttää aina tapauskohtaista arviointia.


Share