EU:n tekoälysäädös, viralliselta nimeltään Artificial Intelligence Act, astui voimaan 1. elokuuta 2024 ja tulee sovellettavaksi portaittain vuoteen 2027 mennessä. Kyseessä on maailman ensimmäinen laaja tekoälyn sääntely-ympäristö, joka asettaa yrityksille konkreettisia velvoitteita sen perusteella, minkälaisia riskejä niiden käyttämät tekoälyjärjestelmät aiheuttavat. Suomalaisille yrityksille tämä tarkoittaa, että ajantasainen vaatimustenmukaisuustyö on aloitettava nyt, ei vasta sakkopäätösten lähestyessä.
Mikä on EU:n tekoälysäädös ja miksi se koskee Suomen yrityksiä?
EU:n tekoälysäädös (AI Act, asetus 2024/1689) on Euroopan unionin lainsäädäntö, joka luo yhtenäisen oikeudellisen kehyksen tekoälyjärjestelmien kehittämiselle, käyttöönotolle ja käytölle EU:n alueella. Säädös koskee kaikkia yrityksiä, jotka joko kehittävät tekoälyjärjestelmiä EU-markkinoille tai käyttävät niitä liiketoiminnassaan – myös yrityksiä, joiden kotipaikka on EU:n ulkopuolella, mutta joiden tuotteet tai palvelut vaikuttavat EU:n alueella.
Suomalaisille yrityksille säädös on erityisen ajankohtainen, sillä Suomessa on Tilastokeskuksen mukaan merkittävä digitaalitalous ja korkea teknologian omaksumisaste. Suomi sijoittuu EU:n digitaaliset talous- ja yhteiskuntaindeksit (DESI) -vertailussa jatkuvasti kärkisijoille, mikä tarkoittaa, että tekoälyjärjestelmien käyttö on jo laajaa monilla toimialoilla.
Tekoälysäädöksen historiallinen tausta ja synty
Euroopan komissio julkisti ehdotuksensa tekoälysäädökseksi huhtikuussa 2021. Ehdotus oli seurausta monivuotisesta strategisesta työstä, jonka pohja luotiin vuoden 2018 tekoälystrategialla ja sitä seurannella vuoden 2019 tekoälyn etiikkasuuntaviivoilla. Asiantuntijaryhmä High-Level Expert Group on AI kehitti luottettavalle tekoälylle seitsemän keskeistä vaatimusta, jotka muodostivat sääntelyn pohjan.
Lainsäätämisprosessi kesti kolme vuotta. Euroopan parlamentti, neuvosto ja komissio neuvottelivat pitkään erityisesti siitä, miten säädellä yleiskäyttöisiä tekoälymalleja kuten GPT-4 ja Gemini, joiden vaikutukset ovat laaja-alaisia mutta vaikeat ennustaa. Sopimus syntyi joulukuussa 2023, ja Euroopan parlamentti hyväksyi asetuksen maaliskuussa 2024. Lopullinen asetus julkaistiin Euroopan unionin virallisessa lehdessä heinäkuussa 2024 ja se tuli voimaan 1. elokuuta 2024.
Riskiluokittelu: neljä tasoa yrityksille
Tekoälysäädöksen ydin on riskipohjainen lähestymistapa. Järjestelmät luokitellaan neljään riskiluokkaan, ja vaatimukset kasvavat luokan mukana. Tämä tarkoittaa käytännössä sitä, että yrityksen on ensin selvitettävä, mihin luokkaan sen käyttämät järjestelmät kuuluvat.
| Riskiluokka | Esimerkkejä | Velvoitteet |
|---|---|---|
| Kielletty | Sosiaalinen pisteytysjärjestelmä, lapsiin kohdistuva manipuloiva tekoäly, reaaliaikainen biometrinen etävalvonta julkisilla paikoilla (rajoituksin) | Täyskielto 2.2.2025 alkaen |
| Korkea riski | Rekrytointitekoäly, luottopäätökset, lääketieteellinen diagnostiikka, kriittinen infrastruktuuri, poliisi ja oikeuslaitos | Vaatimustenmukaisuusarviointi, rekisteri, dokumentaatio, ihmisvalvonta |
| Rajattu riski | Chatbotit, deepfake-sisältö, tunteentunnistus | Läpinäkyvyysvaatimukset, käyttäjän informointi |
| Minimaalinen / ei riskiä | Roskapostisuodattimet, suosittelualgoritmit, pelit | Ei pakollisia vaatimuksia (vapaaehtoinen käytännesäännöstö) |

Korkean riskin tekoälyjärjestelmät: mitä vaatimuksia yrityksille kohdistuu?
Korkean riskin kategoria on käytännön kannalta tärkein suomalaisille yrityksille. Tekoälysäädöksen liitteissä I ja III luetellaan tarkkaan, mitkä sovellukset kuuluvat tähän luokkaan. Rekrytointijärjestelmät ovat keskeinen esimerkki: jos yritys käyttää tekoälyä työnhakijoiden seulontaan, haastattelukutsujen lähettämiseen tai palkkauspäätöksiin, järjestelmä todennäköisesti kuuluu korkean riskin luokkaan.
Korkean riskin järjestelmille asetetaan seuraavat velvoitteet: riskinhallintajärjestelmä on rakennettava ja ylläpidettävä koko järjestelmän elinkaaren ajan, käytettyjen koulutusdatan osalta on varmistettava riittävä laatu ja edustavuus, tekninen dokumentaatio on laadittava ennen järjestelmän markkinoille saattamista, automaattiset lokimerkinnät on pidettävä tallessa valvontaa varten, järjestelmästä on annettava käyttäjille selkeä informaatio, ihmisvalvonta on järjestettävä asianmukaisesti ja kybervastustuskyky sekä tarkkuus on varmistettava.
Lisäksi korkean riskin järjestelmät on rekisteröitävä EU:n tekoälyrekisteriin ennen käyttöönottoa. Rekisteri on julkinen tietokanta, jonka kautta kansalaiset ja viranomaiset voivat tarkistaa, mitä järjestelmiä on käytössä ja mitä vaatimustenmukaisuusdokumentaatiota niistä on laadittu.
Yleiskäyttöiset tekoälymallit (GPAI): erityissäädökset suurille toimijoille
Tekoälysäädökseen sisältyy erityinen osio yleiskäyttöisille tekoälymalleille, joista käytetään lyhennettä GPAI (General-Purpose AI). Näitä ovat suuret kielimallit kuten OpenAI:n GPT-4o, Anthropicin Claude tai Googlen Gemini sekä niihin perustuvat sovellukset. Tämä osio on erityisen tärkeä, koska lähes kaikki modernit tekoälyratkaisut rakentuvat tällaisten perusmallien päälle.
GPAI-mallin tarjoajille, joiden mallin laskentatehokäyttö ylittää 1025 FLOP kynnysarvon (ns. systeeminen riski), asetetaan erityisiä velvoitteita: riski-arvioinnit on tehtävä, kyberturvallisuustoimenpiteet on otettava käyttöön, vakavat tapaukset on raportoitava Euroopan komissiolle ja sisällön tekijänoikeussuoja on varmistettava. Euroopan tekoälyvirasto (AI Office) valvoo GPAI-sääntelyn noudattamista suoraan EU-tasolla, ei kansallisten viranomaisten kautta.
Aikataulu: milloin säädökset astuvat voimaan?
AI Act:n toteutusaikataulu on porrastettu, mikä antaa yrityksille sopeutumisaikaa. Siirtymäajat on syytä merkitä heti kalenteriin, sillä valmistautuminen vaatii aikaa etenkin dokumentaation ja sisäisten prosessien osalta.
| Päivämäärä | Mitä astuu voimaan | Kenelle relevantti |
|---|---|---|
| 1.8.2024 | Asetus voimaan, yleissäännökset ja määritelmät | Kaikki yritykset |
| 2.2.2025 | Kiellettyjen tekoälykäyttöjen kielto | Sosiaalinen pisteytysjärjestelmä, manipuloiva tekoäly |
| 2.5.2025 | GPAI-mallien velvoitteet ja käytännesäännöt | Suuret tekoälymallit, API-käyttö |
| 2.8.2026 | Korkean riskin järjestelmien velvoitteet (liite III) | Rekrytointitekoäly, luottopäätökset, terveydenhuolto |
| 2.8.2027 | Korkean riskin järjestelmät (liite I, CE-merkintä) | Tuoteturvallisuusdirektiivin alaiset järjestelmät |
Kansalliset viranomaiset Suomessa: kuka valvoo?
Suomessa AI Act:n kansallisesta valvonnasta vastaa Liikenne- ja viestintävirasto Traficom, joka on nimitetty kansalliseksi toimivaltaiseksi viranomaiseksi. Traficom koordinoi yhteistyötä muiden viranomaisten kanssa, joihin kuuluvat tietosuojavaltuutetun toimisto (GDPR-leikkauspinnat), Finanssivalvonta (finanssisektori) sekä Sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira (terveydenhuollon tekoäly).
Traficom tekee yhteistyötä eurooppalaisen tekoälyviraston (AI Office) kanssa, joka toimii Euroopan komissiossa ja vastaa erityisesti GPAI-mallien valvonnasta. Kansallinen markkinavalvontaviranomainen tarkistaa, että markkinoilla olevat korkean riskin järjestelmät täyttävät asetetut vaatimukset, ja voi poistaa sääntöjenvastaiset tuotteet markkinoilta.
Vaatimustenmukaisuuden käytännön vaiheet suomalaiselle yritykselle
Vaatimustenmukaisuustyö kannattaa aloittaa tekoäly-inventaariolla: selvitetään, mitä tekoälyjärjestelmiä yrityksessä on käytössä tai kehitteillä. Tähän kuuluvat sekä itse kehitetyt järjestelmät että ostetut tai vuokratut ratkaisut. Erityistä huomiota vaativat pilvipohjaisten palvelujen kautta saatavat järjestelmät, joita saatetaan käyttää osana suurempia ohjelmistoja.
Inventaarion jälkeen tehdään riskiluokittelu. Useimmat järjestelmät osoittautuvat todennäköisesti minimaalisen tai rajatun riskin luokkaan, mutta korkean riskin tapaukset on tunnistettava huolella. Apuna voi käyttää Euroopan komission julkaisemaa itsearvioinnin tarkistuslistaa tai tekoälyasiantuntijaa.
Seuraava askel on dokumentaation rakentaminen korkean riskin järjestelmille. Tekninen dokumentaatio, riskinhallintajärjestelmä ja ihmisvalvonnan prosessit on kuvattava kirjallisesti. Tarvittaessa on tehtävä ulkopuolinen vaatimustenmukaisuusarviointi (conformity assessment). Hankkeen vaiheistuksesta ja aikataulusta voi lukea lisää artikkelista Tekoälyprojektin vaiheet ja aikataulu.
AI Act ja GDPR: miten säädökset liittyvät toisiinsa?
AI Act ja yleinen tietosuoja-asetus (GDPR) täydentävät toisiaan, mutta niiden vaatimukset eivät ole täysin päällekkäiset. GDPR keskittyy henkilötietojen käsittelyyn, kun taas AI Act koskee tekoälyjärjestelmien rakentamista ja käyttöä laajemmin. Monet korkean riskin tekoälyjärjestelmät käsittelevät kuitenkin henkilötietoja, jolloin molempia säädöksiä sovelletaan samanaikaisesti.
Käytännössä tämä tarkoittaa, että esimerkiksi rekrytointitekoäly on sekä AI Act:n korkean riskin järjestelmä että henkilötietojen käsittelyjärjestelmä GDPR:n näkökulmasta. Yrityksellä on oltava sekä AI Act:n mukainen tekninen dokumentaatio ja riskinhallinta että GDPR:n mukainen tietosuojaseloste ja käsittelyperuste. Nämä vaatimukset kannattaa integroida yhteen prosessiin, jotta ne eivät kuormita organisaatiota kohtuuttomasti.
Tietosuojan ja tekoälyn tietoturvariskien hallinta kulkevat myös käsi kädessä – tutustu aiheeseen tarkemmin artikkelissa Tekoälyn tietoturva ja riskit yrityksissä 2026.
Sanktiot ja seuraamusmaksut: mitä laiminlyönneistä seuraa?
AI Act:n sanktiorakenne on kolmiportainen. Vakavimmissa rikkeissä, eli kiellettyjen tekoälyjärjestelmien käytössä, maksimisakko on 35 miljoonaa euroa tai 7 prosenttia yrityksen koko maailmanlaajuisesta vuosiliikevaihdosta, sen mukaan kumpi on suurempi. Korkean riskin velvoitteiden rikkomisesta voidaan määrätä enintään 15 miljoonan euron tai 3 prosentin liikevaihdon sakko. Virheellisten tai harhaanjohtavien tietojen antamisesta viranomaisille sakko on enintään 7,5 miljoonaa euroa tai 1,5 prosenttia liikevaihdosta.
Pienyrityksille ja startup-yrityksille sovelletaan alennettuja sakkoja – maksimisakot ovat puolet edellä mainituista, jotta säädös ei kohtuuttomasti rasita pieniä toimijoita. Valvontaviranomainen harkitsee sanktioissa muun muassa rikkomuksen vakavuuden, jatkuvuuden, laiminlyönnin laajuuden sekä yrityksen pyrkimykset korjata tilanne.
AI Act:n sanktiorakenne on suunniteltu riittävän pelottavaksi, jotta sen noudattaminen on aina halvempaa kuin laiminlyönti – myös suurimmille teknologiajäteille.
Toimialakohtainen tarkastelu: ketkä ovat suurimmassa vastuussa?
Tekoälysäädöksen vaikutukset vaihtelevat huomattavasti toimialan mukaan. Finanssisektorilla luottopisteytysjärjestelmät, petostentorjunta-algoritmit ja sijoitusneuvontatekoäly kuuluvat usein korkean riskin kategoriaan. Suomen finanssivalvonta on jo tiedottanut odottavansa alan toimijoilta proaktiivista vaatimustenmukaisuustyötä.
Terveydenhuollossa lääketieteellisen diagnostiikan ja hoidon päätöksenteon tekoälyjärjestelmät kuuluvat korkean riskin luokkaan. Tekoälyn kustannuksia yritykselle – myös vaatimustenmukaisuuden kustannuksia – voi laskea tarkemmin artikkelissa Tekoälyn kustannukset yritykselle.
HR-teknologiassa rekrytointijärjestelmät, osaamisen arviointi ja suorituksen seuranta ovat erityisen tarkan sääntelyn kohteena. Tämä koskee suoraan työnantajia, jotka hyödyntävät moderneja HR-järjestelmiä. Koulutussektorilla oppijoiden arviointiin käytettävät tekoäly-järjestelmät kuuluvat myös korkean riskin alaisuuteen.
Tekoälylukutaito ja henkilöstökoulutus: uusi velvoite kaikille työnantajille
Yksi AI Act:n usein unohdetuista kohdista on artikla 4, joka velvoittaa tarjoajia ja käyttöönottajia varmistamaan, että niiden henkilöstöllä on riittävä tekoälylukutaito (AI literacy). Tämä tarkoittaa, että yrityksen on aktiivisesti koulutettava henkilöstöään ymmärtämään tekoälyjärjestelmien periaatteet, rajoitukset ja riskit.
Vaatimus ei määrittele tarkkaan, millainen koulutus riittää, mutta lähtökohtana on, että tekoälyjärjestelmiä käyttävien ja valvovien henkilöiden on kyettävä arvioimaan järjestelmän päätöksiä kriittisesti. Käytännössä tämä tarkoittaa esimerkiksi rekrytoijien kouluttamista ymmärtämään, miten tekoälytyökalu pisteyttää hakijoita ja millä ehdoilla päätöksiin voi luottaa.
Yhdenmukaisuusmerkit ja vapaaehtoiset käytännesäännöstöt
AI Act kannustaa alan toimijoita kehittämään vapaaehtoisia käytännesäännöstöjä (codes of practice) myös pienemmän riskin järjestelmille. Euroopan tekoälyvirasto on käynnistänyt prosessin, jossa yritykset, tutkijat ja kansalaisjärjestöt voivat yhdessä kehittää käytännesäännöstöjä erityisesti GPAI-malleille. Ensimmäiset käytännesäännöstöluonnokset julkistettiin vuoden 2025 alkupuolella.
Korkean riskin järjestelmille on mahdollista saada CE-merkintä, joka osoittaa vaatimustenmukaisuuden. Merkintä edellyttää joko omaa vaatimustenmukaisuusarviointia tai akkreditoidun ilmoitetun laitoksen (notified body) suorittamaa arviointia. Suomessa ilmoitettuja laitoksia hyväksyy FINAS-akkreditointipalvelu Turvallisuus- ja kemikaaliviraston (Tukes) yhteydessä.

AI Act:n vaikutukset tekoälyhankintoihin ja toimittajasopimuksiin
Tekoälysäädös muuttaa merkittävästi sitä, miten yritykset hankkivat tekoälyratkaisuja ja mitä sopimuksiin on kirjattava. Käyttöönottajana yritys vastaa siitä, että hankittu järjestelmä täyttää AI Act:n vaatimukset, vaikka järjestelmän olisi kehittänyt ulkopuolinen toimittaja. Tämä tarkoittaa, että hankintaprosesseihin on lisättävä uusia tarkistuspisteitä.
Sopimuksiin on syytä kirjata, minkä riskiluokan järjestelmästä on kyse, mitä dokumentaatiota toimittaja toimittaa, miten vaatimustenmukaisuusarviointi on tehty tai tehdään, miten järjestelmää koskevat muutokset ilmoitetaan ja kuka vastaa rekisteröinnistä EU:n tekoälyrekisteriin. Monet tekoälyä hyödyntävät markkinointiratkaisut ja asiakaspalvelutyökalut vaativat tarkkaa sopimuksellista läpinäkyvyyttä. Tekoälyn hyötyjä yrityksissä käsitellään laajemmin artikkelissa Tekoälyn hyödyt yrityksille: 12 mitattavaa etua.
Asiakaspalvelun tekoälysovellukset säädösten valossa
Chatbotit ja asiakaspalvelun automaatioratkaisut kuuluvat pääosin rajatun riskin kategoriaan, jossa keskeisin vaatimus on läpinäkyvyys. Käyttäjälle on selkeästi ilmoitettava, kun hän kommunikoi tekoälyjärjestelmän, ei ihmisen kanssa. Tämä koskee sekä tekstipohjaisia chatbotteja, esimerkiksi Intercomin, Zendeski AI:n tai Salesforce Einstein -pohjaisia ratkaisuja, että puheentunnistukseen perustuvia virtuaaliassistentteja.
Deepfake-sisällön luomiseen tai synteettiseen ääneen perustuvat asiakaspalveluratkaisut vaativat erityistä huolellisuutta. Jos asiakaspalvelussa käytetään äänitekoälyä, joka jäljittelee ihmisääntä, on tästä informoitava asiakasta selkeästi. Tekoälyn asiakaspalvelukäyttöä on käsitelty yksityiskohtaisesti artikkelissa Tekoäly asiakaspalvelussa: chatbotit, automaatio ja parhaat käytännöt.
Markkinointitekoäly ja personointi: rajat ja mahdollisuudet
Markkinoinnissa käytettävä tekoäly sijoittuu useimmiten minimaalisen tai rajatun riskin kategoriaan. Suosittelualgoritmit, sisällöntuotantotyökalut ja kampanjoiden optimointiratkaisut eivät tyypillisesti kuulu korkean riskin alaisuuteen. Kuitenkin alaikäisiin kohdistuva behavioraalinen kohdentaminen tai manipuloivat algoritmit voivat täyttää jopa kielletyn tekoälykäytön tunnusmerkit.
Markkinointiyritysten on pidettävä silmällä myös GDPR:n ja AI Act:n yhdyspintaa: profilointi ja automaattinen päätöksenteko markkinointiviestinnässä koskevat molempia säädöksiä. Käytännön toteutuksessa on varmistettava, että personoinnin pohjana olevat algoritmit eivät syrji suojattuja ryhmiä. Markkinoinnin tekoälymahdollisuuksista löydät lisää artikkelista Tekoäly markkinoinnissa: sisällöntuotanto, personointi ja kampanja-automaatio.
Säädösten noudattaminen ei ole pelkästään oikeudellinen velvollisuus, vaan kilpailuetu: asiakkaat ja kumppanit arvostavat yhä enemmän läpinäkyvyyttä siinä, miten tekoälyä käytetään.
Tekoälysäädöksen vaikutus innovaatioihin ja startup-yrityksiin
AI Act on herättänyt kritiikkiä erityisesti innovaatioympäristöissä, joissa pelätään sääntelyn jarruttavan tekoälyn kehitystä Euroopassa. Säädökseen sisältyy kuitenkin useita mekanismeja, joilla pyritään tasapainottamaan vaatimustenmukaisuus ja innovointi. Sääntelyhiekkalaatikot (regulatory sandboxes) antavat startup-yrityksille mahdollisuuden testata uusia tekoälyratkaisuja valvotussa ympäristössä ennen täyden vaatimustenmukaisuuden edellyttämistä.
Suomessa Traficom on vastuussa kansallisen sääntelyhiekkalaatikon perustamisesta. Hiekkalaatikkoihin pääseminen edellyttää hakemusta ja osoitusta siitä, että innovaatio hyödyttää yleistä etua tai edistää merkittävästi teknologista kehitystä. Hakuprosessin on tarkoitus olla kevyempi kuin täysimittainen vaatimustenmukaisuusarviointi, mutta hiekkalaatikkoon pääseminen ei takaa automaattisesti tulevaa markkinaluvan saantia.
Kansainvälinen vertailu: miten EU:n lähestymistapa eroaa muista maista?
EU:n AI Act on maailman ensimmäinen laaja tekoälysäädös, mutta se ei ole ainoa. Yhdysvalloissa presidentti Bidenin toimeenpanomääräys tekoälystä (Executive Order on AI) lokakuussa 2023 asetti velvoitteita liittovaltion virastoille, mutta ei luonut samanlaista sitovaa sääntely-ympäristöä kuin EU. Yhdistyneen kuningaskunnan lähestymistapa on puolestaan sektorikohtainen ja kevyempi, luottaen olemassa oleviin toimialaviranomaisiin.
Kiinassa on puolestaan säädetty erillisiä asetuksia generatiivisesta tekoälystä, suosittelualgoritmeista ja deepfake-sisällöstä. Kanadan AIDA-laki (Artificial Intelligence and Data Act) on edelleen parlamentaarisessa käsittelyssä. Globaalit standardointiorganisaatiot ISO ja IEC ovat kehittämässä kansainvälisiä tekoälyn hallintostandardeja, joista ISO/IEC 42001 tekoälynhallintajärjestelmille julkaistiin vuonna 2023 ja se on suoraan yhteensopiva AI Act:n vaatimusten kanssa.
Käytännön tarkistuslista: AI Act -vaatimustenmukaisuuden aloittaminen
Vaatimustenmukaisuustyö voi tuntua monimutkaiselta, mutta se kannattaa aloittaa systemattisella lähestymistavalla. Seuraava tarkistuslista auttaa suomalaista yritystä pääsemään alkuun:
- Tee tekoäly-inventaario: listaa kaikki käytössä olevat tekoälyjärjestelmät, mukaan lukien pilvipalvelut ja API-integraatiot
- Luokittele järjestelmät riskiluokkiin AI Act:n kriteerien mukaisesti
- Tunnista korkean riskin järjestelmät ja laadi niille toimintasuunnitelma
- Tarkista, onko yrityksellä käytössä kiellettyjä tekoälykäyttöjä (2.2.2025 kielto)
- Arvioi GPAI-mallien käyttö ja siihen liittyvät velvoitteet
- Laadi tai päivitä tekoälyn käyttöpolitiikka ja sisäiset ohjeet
- Käynnistä henkilöstön tekoälylukutaitokoulutus
- Tarkista toimittajasopimukset vaatimustenmukaisuuden osalta
- Ota yhteys Traficomiin tai oikeudelliseen neuvonantajaan tarvittaessa
- Seuraa AI Officen ja Traficomin ohjeistuksia aktiivisesti
Tekoälyjärjestelmien laajuuden ja käyttötapojen kartoittamiseen liittyy myös strategisia kysymyksiä – lisää aiheesta löytyy pillarista Tekoäly yrityskäytössä: työkalut ja strategiat 2026.
Usein kysytyt kysymykset (UKK)
Milloin EU:n tekoälysäädös koskee minua?
AI Act koskee kaikkia yrityksiä, jotka joko kehittävät, tuovat markkinoille, ottavat käyttöön tai käyttävät tekoälyjärjestelmiä EU:n alueella. Tämä tarkoittaa, että myös pienyrittäjä, joka käyttää tekoälypohjaista rekrytointityökalua tai asiakaspalveluchatbottia, on säädöksen piirissä käyttöönottajan roolissa. Ensimmäinen konkreettinen takaraja oli 2. helmikuuta 2025, jolloin kiellettyjen tekoälykäyttöjen kielto astui voimaan. Korkean riskin järjestelmien laajemmat vaatimukset tulevat voimaan elokuussa 2026. Mitä aiemmin vaatimustenmukaisuustyön aloittaa, sitä enemmän aikaa jää dokumentaation ja prosessien rakentamiseen ilman kiirettä tai sanktioiden uhkaa.
Mitä tarkoittaa korkean riskin tekoälyjärjestelmä?
Korkean riskin tekoälyjärjestelmät ovat sovelluksia, jotka voivat merkittävästi vaikuttaa ihmisten terveyteen, turvallisuuteen tai perusoikeuksiin. AI Act:n liitteessä III luetellaan kahdeksan aluetta, joilla toimivat järjestelmät kuuluvat automaattisesti korkean riskin kategoriaan: biometrinen tunnistaminen, kriittinen infrastruktuuri, koulutus, työllisyys, perusoikeuksien kannalta tärkeät palvelut, lainvalvonta, maahanmuutto ja oikeuslaitos. Käytännössä suomalaisessa yritysmaailmassa yleisimpiä esimerkkejä ovat rekrytointitekoäly, luottopisteytysjärjestelmät ja terveydenhuollon diagnostiikkatyökalut. Korkean riskin status ei tarkoita, että järjestelmä on kielletty – se tarkoittaa, että sille asetetaan tiukat dokumentaatio-, arviointi- ja valvontavaatimukset ennen käyttöönottoa.
Kuinka suuret sakot AI Act:n rikkomisesta voidaan määrätä?
Sakot on porrastettu rikkomuksen vakavuuden mukaan kolmeen tasoon. Kiellettyjen tekoälyjärjestelmien käyttämisestä voidaan määrätä jopa 35 miljoonan euron tai 7 prosentin sakko yrityksen koko maailmanlaajuisesta vuosiliikevaihdosta – sen mukaan kumpi on suurempi. Korkean riskin velvoitteiden rikkomisesta maksimisakko on 15 miljoonaa euroa tai 3 prosenttia liikevaihdosta. Virheellisten tai harhaanjohtavien tietojen toimittamisesta viranomaisille maksimisakko on 7,5 miljoonaa euroa tai 1,5 prosenttia liikevaihdosta. Pienille ja keskisuurille yrityksille sekä startup-yrityksille sakot ovat puolet edellä mainituista. Valvontaviranomainen ottaa arvioinnissa huomioon rikkomuksen vakavuuden, laajuuden ja keston, mahdolliset korjaavat toimenpiteet sekä yrityksen yhteistyön viranomaisten kanssa.
Pitääkö ChatGPT:n tai Claudin käytöstä huolehtia AI Act:n osalta?
ChatGPT:n kuten OpenAI:n GPT-4o:n, Anthropicin Claudin tai Google Geminin käyttö yrityksen sisällä tyypilliseen tietotyöhön, kuten tekstin kirjoittamiseen, koodaamiseen tai analyysiin, ei yleensä aseta yritykselle suoria AI Act -velvoitteita. Nämä palvelut ovat GPAI-malleja, joita koskevat säädökset velvoittavat ensisijaisesti niiden kehittäjiä. Jos yritys kuitenkin rakentaa näiden mallien API:en päälle oman tuotteen tai palvelun, yritys on käyttöönottajan roolissa ja vastuulla. Erityistä huomiota vaatii tilanne, jossa API-pohjainen ratkaisu käytetään korkean riskin päätöksentekoon, esimerkiksi rekrytoinnissa tai luottopäätöksissä. Tällöin vaatimustenmukaisuusvastuu on selkeästi palvelun rakentajalla ja käyttöönottajalla.
Mitä on tekoälylukutaito ja miten vaatimus täytetään?
AI Act:n artikla 4 edellyttää, että tekoälyjärjestelmien tarjoajat ja käyttöönottajat varmistavat henkilöstönsä riittävän tekoälylukutaidon. Käytännössä tämä tarkoittaa, että tekoälyratkaisuja käyttävillä tai valvovilla henkilöillä on oltava riittävä ymmärrys siitä, miten järjestelmä toimii, mitkä ovat sen rajoitukset ja miten sen tuottamia tuloksia arvioidaan kriittisesti. Vaatimus ei määrittele täsmällisesti, millainen koulutus riittää, mutta sen tason on oltava suhteutettu henkilön rooliin ja käyttämiin järjestelmiin. Käytännön toteutus voi tarkoittaa esimerkiksi sisäistä koulutusta, verkkokursseja tai yhteistyötä tekoälykouluttajien kanssa. Business Finlandin ja Teknologiateollisuus ry:n kautta on saatavilla tukea koulutuksen rakentamiseen.
Miten AI Act vaikuttaa terveydenhuollon tekoälyratkaisuihin?
Terveydenhuollossa tekoälysäädös vaikuttaa erityisesti lääketieteellisiin laitteisiin ja diagnostiikkajärjestelmiin, jotka jo ennestään kuuluvat tiukan sääntelyn piiriin EU:n lääkinnällisten laitteiden asetuksen (MDR 2017/745) nojalla. AI Act lisää tähän ympäristöön uuden kerroksen vaatimuksia. Korkean riskin tekoälyjärjestelmät terveydenhuollossa vaativat vaatimustenmukaisuusarvioinnin, joka voi edellyttää ilmoitetun laitoksen osallistumista. Potilaiden hoitoon suoraan vaikuttavat tekoälyjärjestelmät, kuten diagnostiikka-algoritmit tai hoitosuositukset, ovat erityisen tarkan tarkastelun kohteena. Valvira koordinoi terveydenhuollon tekoälyn valvontaa Suomessa yhteistyössä Traficomin kanssa. Erillinen haaste on potilastietojen käytön yhteensovittaminen GDPR:n ja AI Act:n vaatimusten kanssa.
Onko AI Actiin valmistautumiseen saatavilla tukea tai rahoitusta Suomessa?
Suomessa on useita tukiväyliä AI Act -valmistautumiseen. Business Finland rahoittaa tekoälyn vastuulliseen käyttöönottoon liittyviä hankkeita sekä innovaatio- ja tutkimustoimintaa. Teknologiateollisuus ry ja Kauppakamari ovat julkaisseet ohjeistuksia ja järjestäneet koulutustilaisuuksia. Euroopan komissio on perustanut Enterprise Europe Network -palvelun, jonka kautta pk-yritykset voivat saada ohjausta AI Act -vaatimustenmukaisuuteen. Lisäksi Traficom tarjoaa ohjeistusta ja neuvontaa kansallisena valvontaviranomaisena. Horizon Europe -tutkimusrahoitus tukee tekoälyn vastuullisen kehittämisen tutkimushankkeita, ja useilla yliopistoilla on tarjolla koulutusta tekoälyn etiikasta ja sääntelystä.
Miten AI Act liittyy kyberturvallisuussääntelyyn?
AI Act ja NIS2-direktiivi (verkko- ja tietojärjestelmien turvallisuus) täydentävät toisiaan, koska tekoälyjärjestelmät ovat yhä useammin osa kriittistä infrastruktuuria. NIS2 velvoittaa merkittäviä toimijoita hallitsemaan kyberturvallisuusriskejä, ja tekoälyjärjestelmät lisäävät tähän uuden ulottuvuuden. AI Act edellyttää korkean riskin järjestelmiltä kyberturvallisuuden huomioimista teknisessä suunnittelussa ja testauksessa. Käytännössä yrityksen kannattaa yhdistää AI Act -vaatimustenmukaisuustyö olemassa oleviin kyberturvallisuusprosesseihin. Lisätietoa kyberturvallisuuslainsäädännön kokonaisuudesta löydät artikkelista Kyberturvallisuuslainsäädäntö Suomessa ja EU:ssa 2026.
Aiheeseen liittyvät artikkelit
- Tekoäly yrityskäytössä: työkalut ja strategiat 2026 (Pääartikkeli)
- Tekoäly asiakaspalvelussa: chatbotit, automaatio ja parhaat käytännöt
- Tekoäly markkinoinnissa: sisällöntuotanto, personointi ja kampanja-automaatio
- Tekoälyn hyödyt yrityksille: 12 mitattavaa etua
- Tekoälyn kustannukset yritykselle: hinnoittelu, ROI ja budjetointi 2026
- Tekoälyn tietoturva ja riskit yrityksissä 2026
- Tekoälyprojektin vaiheet ja aikataulu: kuinka kauan AI-käyttöönotto kestää?
Lähteet
- Euroopan parlamentin ja neuvoston asetus (EU) 2024/1689, EUR-Lex – https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=CELEX%3A32024R1689
- Euroopan komissio, AI Act -sivusto – https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
- Euroopan tekoälyvirasto (AI Office) – https://digital-strategy.ec.europa.eu/en/policies/ai-office
- Traficom, kansallinen tekoälyvalvonta – https://www.traficom.fi/fi/viestinta/digitaaliset-palvelut/tekoaly
- Tilastokeskus, Suomen digitaalitalous – https://www.stat.fi/
- Wikipedia, Artificial Intelligence Act – https://en.wikipedia.org/wiki/Artificial_Intelligence_Act
IT-insinööri palkka: palkkatasot ja vaikuttavat tekijät 2025





