EU:n tekoälysäädös (AI Act) yrityksille: vaatimukset ja velvoitteet Suomessa

Sisällysluettelo
Tarkistanut Noora Lehtonen

EU:n tekoälysäädös, viralliselta nimeltään Artificial Intelligence Act, astui voimaan 1. elokuuta 2024 ja tulee sovellettavaksi portaittain vuoteen 2027 mennessä. Kyseessä on maailman ensimmäinen laaja tekoälyn sääntely-ympäristö, joka asettaa yrityksille konkreettisia velvoitteita sen perusteella, minkälaisia riskejä niiden käyttämät tekoälyjärjestelmät aiheuttavat. Suomalaisille yrityksille tämä tarkoittaa, että ajantasainen vaatimustenmukaisuustyö on aloitettava nyt, ei vasta sakkopäätösten lähestyessä.

LyhyestiEU:n tekoälysäädös luokittelee tekoälyjärjestelmät neljään riskiluokkaan ja asettaa tiukimmat vaatimukset korkean riskin sovelluksille, kuten rekrytointitekoälylle tai terveydenhuollon päätöksentekojärjestelmille. Yritysten on tunnistettava käyttämiensä järjestelmien riskiluokka viimeistään 2025 loppuun mennessä, ja laiminlyönneistä voidaan määrätä jopa 35 miljoonan euron tai 7 prosentin globaalin liikevaihdon sakko.

Mikä on EU:n tekoälysäädös ja miksi se koskee Suomen yrityksiä?

EU:n tekoälysäädös (AI Act, asetus 2024/1689) on Euroopan unionin lainsäädäntö, joka luo yhtenäisen oikeudellisen kehyksen tekoälyjärjestelmien kehittämiselle, käyttöönotolle ja käytölle EU:n alueella. Säädös koskee kaikkia yrityksiä, jotka joko kehittävät tekoälyjärjestelmiä EU-markkinoille tai käyttävät niitä liiketoiminnassaan – myös yrityksiä, joiden kotipaikka on EU:n ulkopuolella, mutta joiden tuotteet tai palvelut vaikuttavat EU:n alueella.

Suomalaisille yrityksille säädös on erityisen ajankohtainen, sillä Suomessa on Tilastokeskuksen mukaan merkittävä digitaalitalous ja korkea teknologian omaksumisaste. Suomi sijoittuu EU:n digitaaliset talous- ja yhteiskuntaindeksit (DESI) -vertailussa jatkuvasti kärkisijoille, mikä tarkoittaa, että tekoälyjärjestelmien käyttö on jo laajaa monilla toimialoilla.

AI Act:n enimmäissakko (korkein riskiluokka)35 milj. € tai 7 % liikevaihdosta (EU:n virallinen asetus 2024/1689)
Säädöksen voimaantulopäivä1.8.2024 (EUR-Lex, virallinen EU-lehti)
Korkean riskin säädösten soveltamispäiväElokuu 2026 (Euroopan komissio)
Kiellettyjen tekoälykäyttöjen soveltamispäivä2.2.2025 (Euroopan komissio)

Tekoälysäädöksen historiallinen tausta ja synty

Euroopan komissio julkisti ehdotuksensa tekoälysäädökseksi huhtikuussa 2021. Ehdotus oli seurausta monivuotisesta strategisesta työstä, jonka pohja luotiin vuoden 2018 tekoälystrategialla ja sitä seurannella vuoden 2019 tekoälyn etiikkasuuntaviivoilla. Asiantuntijaryhmä High-Level Expert Group on AI kehitti luottettavalle tekoälylle seitsemän keskeistä vaatimusta, jotka muodostivat sääntelyn pohjan.

Lainsäätämisprosessi kesti kolme vuotta. Euroopan parlamentti, neuvosto ja komissio neuvottelivat pitkään erityisesti siitä, miten säädellä yleiskäyttöisiä tekoälymalleja kuten GPT-4 ja Gemini, joiden vaikutukset ovat laaja-alaisia mutta vaikeat ennustaa. Sopimus syntyi joulukuussa 2023, ja Euroopan parlamentti hyväksyi asetuksen maaliskuussa 2024. Lopullinen asetus julkaistiin Euroopan unionin virallisessa lehdessä heinäkuussa 2024 ja se tuli voimaan 1. elokuuta 2024.

Riskiluokittelu: neljä tasoa yrityksille

Tekoälysäädöksen ydin on riskipohjainen lähestymistapa. Järjestelmät luokitellaan neljään riskiluokkaan, ja vaatimukset kasvavat luokan mukana. Tämä tarkoittaa käytännössä sitä, että yrityksen on ensin selvitettävä, mihin luokkaan sen käyttämät järjestelmät kuuluvat.

Hyvä tietääUseimmat arkipäiväiset tekoälysovellukset, kuten roskapostisuodattimet, musiikin suosittelijat tai yksinkertaiset chatbotit, jäävät joko minimimääriteltyjen vaatimusten tai ei-lainkaan-sovellettavien säädösten piiriin. Tiukat velvoitteet kohdistuvat erityisesti kriittiseen infrastruktuuriin, henkilöstöpäätöksiin ja kansalaisten perusoikeuksiin vaikuttaviin järjestelmiin.
RiskiluokkaEsimerkkejäVelvoitteet
KiellettySosiaalinen pisteytysjärjestelmä, lapsiin kohdistuva manipuloiva tekoäly, reaaliaikainen biometrinen etävalvonta julkisilla paikoilla (rajoituksin)Täyskielto 2.2.2025 alkaen
Korkea riskiRekrytointitekoäly, luottopäätökset, lääketieteellinen diagnostiikka, kriittinen infrastruktuuri, poliisi ja oikeuslaitosVaatimustenmukaisuusarviointi, rekisteri, dokumentaatio, ihmisvalvonta
Rajattu riskiChatbotit, deepfake-sisältö, tunteentunnistusLäpinäkyvyysvaatimukset, käyttäjän informointi
Minimaalinen / ei riskiäRoskapostisuodattimet, suosittelualgoritmit, pelitEi pakollisia vaatimuksia (vapaaehtoinen käytännesäännöstö)
EU:n tekoälysäädöksen neljä riskiluokkaa visuaalisena kaaviona

Korkean riskin tekoälyjärjestelmät: mitä vaatimuksia yrityksille kohdistuu?

Korkean riskin kategoria on käytännön kannalta tärkein suomalaisille yrityksille. Tekoälysäädöksen liitteissä I ja III luetellaan tarkkaan, mitkä sovellukset kuuluvat tähän luokkaan. Rekrytointijärjestelmät ovat keskeinen esimerkki: jos yritys käyttää tekoälyä työnhakijoiden seulontaan, haastattelukutsujen lähettämiseen tai palkkauspäätöksiin, järjestelmä todennäköisesti kuuluu korkean riskin luokkaan.

Korkean riskin järjestelmille asetetaan seuraavat velvoitteet: riskinhallintajärjestelmä on rakennettava ja ylläpidettävä koko järjestelmän elinkaaren ajan, käytettyjen koulutusdatan osalta on varmistettava riittävä laatu ja edustavuus, tekninen dokumentaatio on laadittava ennen järjestelmän markkinoille saattamista, automaattiset lokimerkinnät on pidettävä tallessa valvontaa varten, järjestelmästä on annettava käyttäjille selkeä informaatio, ihmisvalvonta on järjestettävä asianmukaisesti ja kybervastustuskyky sekä tarkkuus on varmistettava.

Lisäksi korkean riskin järjestelmät on rekisteröitävä EU:n tekoälyrekisteriin ennen käyttöönottoa. Rekisteri on julkinen tietokanta, jonka kautta kansalaiset ja viranomaiset voivat tarkistaa, mitä järjestelmiä on käytössä ja mitä vaatimustenmukaisuusdokumentaatiota niistä on laadittu.

Yleiskäyttöiset tekoälymallit (GPAI): erityissäädökset suurille toimijoille

Tekoälysäädökseen sisältyy erityinen osio yleiskäyttöisille tekoälymalleille, joista käytetään lyhennettä GPAI (General-Purpose AI). Näitä ovat suuret kielimallit kuten OpenAI:n GPT-4o, Anthropicin Claude tai Googlen Gemini sekä niihin perustuvat sovellukset. Tämä osio on erityisen tärkeä, koska lähes kaikki modernit tekoälyratkaisut rakentuvat tällaisten perusmallien päälle.

GPAI-mallin tarjoajille, joiden mallin laskentatehokäyttö ylittää 1025 FLOP kynnysarvon (ns. systeeminen riski), asetetaan erityisiä velvoitteita: riski-arvioinnit on tehtävä, kyberturvallisuustoimenpiteet on otettava käyttöön, vakavat tapaukset on raportoitava Euroopan komissiolle ja sisällön tekijänoikeussuoja on varmistettava. Euroopan tekoälyvirasto (AI Office) valvoo GPAI-sääntelyn noudattamista suoraan EU-tasolla, ei kansallisten viranomaisten kautta.

Miksi tämä on tärkeääJos yrityksesi rakentaa tuotteen ChatGPT:n, Claude Sonnet 4.5:n tai vastaavan mallin API:n päälle, olet teknisesti järjestelmän käyttöönottaja. Tämä tarkoittaa, että sinulla on omat velvoitteesi riippumatta siitä, mitä perusmallin tarjoaja tekee. Pilvipohjaisia GPAI-palveluja käyttävät yritykset eivät voi ulkoistaa vastuuta kokonaan palveluntarjoajalle.

Aikataulu: milloin säädökset astuvat voimaan?

AI Act:n toteutusaikataulu on porrastettu, mikä antaa yrityksille sopeutumisaikaa. Siirtymäajat on syytä merkitä heti kalenteriin, sillä valmistautuminen vaatii aikaa etenkin dokumentaation ja sisäisten prosessien osalta.

PäivämääräMitä astuu voimaanKenelle relevantti
1.8.2024Asetus voimaan, yleissäännökset ja määritelmätKaikki yritykset
2.2.2025Kiellettyjen tekoälykäyttöjen kieltoSosiaalinen pisteytysjärjestelmä, manipuloiva tekoäly
2.5.2025GPAI-mallien velvoitteet ja käytännesäännötSuuret tekoälymallit, API-käyttö
2.8.2026Korkean riskin järjestelmien velvoitteet (liite III)Rekrytointitekoäly, luottopäätökset, terveydenhuolto
2.8.2027Korkean riskin järjestelmät (liite I, CE-merkintä)Tuoteturvallisuusdirektiivin alaiset järjestelmät

Kansalliset viranomaiset Suomessa: kuka valvoo?

Suomessa AI Act:n kansallisesta valvonnasta vastaa Liikenne- ja viestintävirasto Traficom, joka on nimitetty kansalliseksi toimivaltaiseksi viranomaiseksi. Traficom koordinoi yhteistyötä muiden viranomaisten kanssa, joihin kuuluvat tietosuojavaltuutetun toimisto (GDPR-leikkauspinnat), Finanssivalvonta (finanssisektori) sekä Sosiaali- ja terveysalan lupa- ja valvontavirasto Valvira (terveydenhuollon tekoäly).

Traficom tekee yhteistyötä eurooppalaisen tekoälyviraston (AI Office) kanssa, joka toimii Euroopan komissiossa ja vastaa erityisesti GPAI-mallien valvonnasta. Kansallinen markkinavalvontaviranomainen tarkistaa, että markkinoilla olevat korkean riskin järjestelmät täyttävät asetetut vaatimukset, ja voi poistaa sääntöjenvastaiset tuotteet markkinoilta.

Vaatimustenmukaisuuden käytännön vaiheet suomalaiselle yritykselle

Vaatimustenmukaisuustyö kannattaa aloittaa tekoäly-inventaariolla: selvitetään, mitä tekoälyjärjestelmiä yrityksessä on käytössä tai kehitteillä. Tähän kuuluvat sekä itse kehitetyt järjestelmät että ostetut tai vuokratut ratkaisut. Erityistä huomiota vaativat pilvipohjaisten palvelujen kautta saatavat järjestelmät, joita saatetaan käyttää osana suurempia ohjelmistoja.

Inventaarion jälkeen tehdään riskiluokittelu. Useimmat järjestelmät osoittautuvat todennäköisesti minimaalisen tai rajatun riskin luokkaan, mutta korkean riskin tapaukset on tunnistettava huolella. Apuna voi käyttää Euroopan komission julkaisemaa itsearvioinnin tarkistuslistaa tai tekoälyasiantuntijaa.

Seuraava askel on dokumentaation rakentaminen korkean riskin järjestelmille. Tekninen dokumentaatio, riskinhallintajärjestelmä ja ihmisvalvonnan prosessit on kuvattava kirjallisesti. Tarvittaessa on tehtävä ulkopuolinen vaatimustenmukaisuusarviointi (conformity assessment). Hankkeen vaiheistuksesta ja aikataulusta voi lukea lisää artikkelista Tekoälyprojektin vaiheet ja aikataulu.

AI Act ja GDPR: miten säädökset liittyvät toisiinsa?

AI Act ja yleinen tietosuoja-asetus (GDPR) täydentävät toisiaan, mutta niiden vaatimukset eivät ole täysin päällekkäiset. GDPR keskittyy henkilötietojen käsittelyyn, kun taas AI Act koskee tekoälyjärjestelmien rakentamista ja käyttöä laajemmin. Monet korkean riskin tekoälyjärjestelmät käsittelevät kuitenkin henkilötietoja, jolloin molempia säädöksiä sovelletaan samanaikaisesti.

Käytännössä tämä tarkoittaa, että esimerkiksi rekrytointitekoäly on sekä AI Act:n korkean riskin järjestelmä että henkilötietojen käsittelyjärjestelmä GDPR:n näkökulmasta. Yrityksellä on oltava sekä AI Act:n mukainen tekninen dokumentaatio ja riskinhallinta että GDPR:n mukainen tietosuojaseloste ja käsittelyperuste. Nämä vaatimukset kannattaa integroida yhteen prosessiin, jotta ne eivät kuormita organisaatiota kohtuuttomasti.

Tietosuojan ja tekoälyn tietoturvariskien hallinta kulkevat myös käsi kädessä – tutustu aiheeseen tarkemmin artikkelissa Tekoälyn tietoturva ja riskit yrityksissä 2026.

Sanktiot ja seuraamusmaksut: mitä laiminlyönneistä seuraa?

AI Act:n sanktiorakenne on kolmiportainen. Vakavimmissa rikkeissä, eli kiellettyjen tekoälyjärjestelmien käytössä, maksimisakko on 35 miljoonaa euroa tai 7 prosenttia yrityksen koko maailmanlaajuisesta vuosiliikevaihdosta, sen mukaan kumpi on suurempi. Korkean riskin velvoitteiden rikkomisesta voidaan määrätä enintään 15 miljoonan euron tai 3 prosentin liikevaihdon sakko. Virheellisten tai harhaanjohtavien tietojen antamisesta viranomaisille sakko on enintään 7,5 miljoonaa euroa tai 1,5 prosenttia liikevaihdosta.

Pienyrityksille ja startup-yrityksille sovelletaan alennettuja sakkoja – maksimisakot ovat puolet edellä mainituista, jotta säädös ei kohtuuttomasti rasita pieniä toimijoita. Valvontaviranomainen harkitsee sanktioissa muun muassa rikkomuksen vakavuuden, jatkuvuuden, laiminlyönnin laajuuden sekä yrityksen pyrkimykset korjata tilanne.

AI Act:n sanktiorakenne on suunniteltu riittävän pelottavaksi, jotta sen noudattaminen on aina halvempaa kuin laiminlyönti – myös suurimmille teknologiajäteille.

Toimialakohtainen tarkastelu: ketkä ovat suurimmassa vastuussa?

Tekoälysäädöksen vaikutukset vaihtelevat huomattavasti toimialan mukaan. Finanssisektorilla luottopisteytysjärjestelmät, petostentorjunta-algoritmit ja sijoitusneuvontatekoäly kuuluvat usein korkean riskin kategoriaan. Suomen finanssivalvonta on jo tiedottanut odottavansa alan toimijoilta proaktiivista vaatimustenmukaisuustyötä.

Terveydenhuollossa lääketieteellisen diagnostiikan ja hoidon päätöksenteon tekoälyjärjestelmät kuuluvat korkean riskin luokkaan. Tekoälyn kustannuksia yritykselle – myös vaatimustenmukaisuuden kustannuksia – voi laskea tarkemmin artikkelissa Tekoälyn kustannukset yritykselle.

HR-teknologiassa rekrytointijärjestelmät, osaamisen arviointi ja suorituksen seuranta ovat erityisen tarkan sääntelyn kohteena. Tämä koskee suoraan työnantajia, jotka hyödyntävät moderneja HR-järjestelmiä. Koulutussektorilla oppijoiden arviointiin käytettävät tekoäly-järjestelmät kuuluvat myös korkean riskin alaisuuteen.

Tekoälylukutaito ja henkilöstökoulutus: uusi velvoite kaikille työnantajille

Yksi AI Act:n usein unohdetuista kohdista on artikla 4, joka velvoittaa tarjoajia ja käyttöönottajia varmistamaan, että niiden henkilöstöllä on riittävä tekoälylukutaito (AI literacy). Tämä tarkoittaa, että yrityksen on aktiivisesti koulutettava henkilöstöään ymmärtämään tekoälyjärjestelmien periaatteet, rajoitukset ja riskit.

Vaatimus ei määrittele tarkkaan, millainen koulutus riittää, mutta lähtökohtana on, että tekoälyjärjestelmiä käyttävien ja valvovien henkilöiden on kyettävä arvioimaan järjestelmän päätöksiä kriittisesti. Käytännössä tämä tarkoittaa esimerkiksi rekrytoijien kouluttamista ymmärtämään, miten tekoälytyökalu pisteyttää hakijoita ja millä ehdoilla päätöksiin voi luottaa.

Yhdenmukaisuusmerkit ja vapaaehtoiset käytännesäännöstöt

AI Act kannustaa alan toimijoita kehittämään vapaaehtoisia käytännesäännöstöjä (codes of practice) myös pienemmän riskin järjestelmille. Euroopan tekoälyvirasto on käynnistänyt prosessin, jossa yritykset, tutkijat ja kansalaisjärjestöt voivat yhdessä kehittää käytännesäännöstöjä erityisesti GPAI-malleille. Ensimmäiset käytännesäännöstöluonnokset julkistettiin vuoden 2025 alkupuolella.

Korkean riskin järjestelmille on mahdollista saada CE-merkintä, joka osoittaa vaatimustenmukaisuuden. Merkintä edellyttää joko omaa vaatimustenmukaisuusarviointia tai akkreditoidun ilmoitetun laitoksen (notified body) suorittamaa arviointia. Suomessa ilmoitettuja laitoksia hyväksyy FINAS-akkreditointipalvelu Turvallisuus- ja kemikaaliviraston (Tukes) yhteydessä.

Suomalainen yrityspäättäjä tarkastelee EU:n tekoälysäädöksen vaatimustenmukaisuusdokumentaatiota

AI Act:n vaikutukset tekoälyhankintoihin ja toimittajasopimuksiin

Tekoälysäädös muuttaa merkittävästi sitä, miten yritykset hankkivat tekoälyratkaisuja ja mitä sopimuksiin on kirjattava. Käyttöönottajana yritys vastaa siitä, että hankittu järjestelmä täyttää AI Act:n vaatimukset, vaikka järjestelmän olisi kehittänyt ulkopuolinen toimittaja. Tämä tarkoittaa, että hankintaprosesseihin on lisättävä uusia tarkistuspisteitä.

Sopimuksiin on syytä kirjata, minkä riskiluokan järjestelmästä on kyse, mitä dokumentaatiota toimittaja toimittaa, miten vaatimustenmukaisuusarviointi on tehty tai tehdään, miten järjestelmää koskevat muutokset ilmoitetaan ja kuka vastaa rekisteröinnistä EU:n tekoälyrekisteriin. Monet tekoälyä hyödyntävät markkinointiratkaisut ja asiakaspalvelutyökalut vaativat tarkkaa sopimuksellista läpinäkyvyyttä. Tekoälyn hyötyjä yrityksissä käsitellään laajemmin artikkelissa Tekoälyn hyödyt yrityksille: 12 mitattavaa etua.

Asiakaspalvelun tekoälysovellukset säädösten valossa

Chatbotit ja asiakaspalvelun automaatioratkaisut kuuluvat pääosin rajatun riskin kategoriaan, jossa keskeisin vaatimus on läpinäkyvyys. Käyttäjälle on selkeästi ilmoitettava, kun hän kommunikoi tekoälyjärjestelmän, ei ihmisen kanssa. Tämä koskee sekä tekstipohjaisia chatbotteja, esimerkiksi Intercomin, Zendeski AI:n tai Salesforce Einstein -pohjaisia ratkaisuja, että puheentunnistukseen perustuvia virtuaaliassistentteja.

Deepfake-sisällön luomiseen tai synteettiseen ääneen perustuvat asiakaspalveluratkaisut vaativat erityistä huolellisuutta. Jos asiakaspalvelussa käytetään äänitekoälyä, joka jäljittelee ihmisääntä, on tästä informoitava asiakasta selkeästi. Tekoälyn asiakaspalvelukäyttöä on käsitelty yksityiskohtaisesti artikkelissa Tekoäly asiakaspalvelussa: chatbotit, automaatio ja parhaat käytännöt.

Markkinointitekoäly ja personointi: rajat ja mahdollisuudet

Markkinoinnissa käytettävä tekoäly sijoittuu useimmiten minimaalisen tai rajatun riskin kategoriaan. Suosittelualgoritmit, sisällöntuotantotyökalut ja kampanjoiden optimointiratkaisut eivät tyypillisesti kuulu korkean riskin alaisuuteen. Kuitenkin alaikäisiin kohdistuva behavioraalinen kohdentaminen tai manipuloivat algoritmit voivat täyttää jopa kielletyn tekoälykäytön tunnusmerkit.

Markkinointiyritysten on pidettävä silmällä myös GDPR:n ja AI Act:n yhdyspintaa: profilointi ja automaattinen päätöksenteko markkinointiviestinnässä koskevat molempia säädöksiä. Käytännön toteutuksessa on varmistettava, että personoinnin pohjana olevat algoritmit eivät syrji suojattuja ryhmiä. Markkinoinnin tekoälymahdollisuuksista löydät lisää artikkelista Tekoäly markkinoinnissa: sisällöntuotanto, personointi ja kampanja-automaatio.

Säädösten noudattaminen ei ole pelkästään oikeudellinen velvollisuus, vaan kilpailuetu: asiakkaat ja kumppanit arvostavat yhä enemmän läpinäkyvyyttä siinä, miten tekoälyä käytetään.

Tekoälysäädöksen vaikutus innovaatioihin ja startup-yrityksiin

AI Act on herättänyt kritiikkiä erityisesti innovaatioympäristöissä, joissa pelätään sääntelyn jarruttavan tekoälyn kehitystä Euroopassa. Säädökseen sisältyy kuitenkin useita mekanismeja, joilla pyritään tasapainottamaan vaatimustenmukaisuus ja innovointi. Sääntelyhiekkalaatikot (regulatory sandboxes) antavat startup-yrityksille mahdollisuuden testata uusia tekoälyratkaisuja valvotussa ympäristössä ennen täyden vaatimustenmukaisuuden edellyttämistä.

Suomessa Traficom on vastuussa kansallisen sääntelyhiekkalaatikon perustamisesta. Hiekkalaatikkoihin pääseminen edellyttää hakemusta ja osoitusta siitä, että innovaatio hyödyttää yleistä etua tai edistää merkittävästi teknologista kehitystä. Hakuprosessin on tarkoitus olla kevyempi kuin täysimittainen vaatimustenmukaisuusarviointi, mutta hiekkalaatikkoon pääseminen ei takaa automaattisesti tulevaa markkinaluvan saantia.

Huomio pk-yrityksilleAI Act sisältää useita pk-yrityksille suunnattuja helpotuksia: alennetut sanktiot, oikeus saada selkeät ja ymmärrettävät ohjeet kansallisilta viranomaisilta sekä mahdollisuus osallistua sääntelyhiekkalaatikoihin. Suomalaiset pk-yritykset voivat hakea tukea myös Business Finlandilta, joka on käynnistänyt ohjelmia tekoälyn vastuullisen käyttöönoton tukemiseksi.

Kansainvälinen vertailu: miten EU:n lähestymistapa eroaa muista maista?

EU:n AI Act on maailman ensimmäinen laaja tekoälysäädös, mutta se ei ole ainoa. Yhdysvalloissa presidentti Bidenin toimeenpanomääräys tekoälystä (Executive Order on AI) lokakuussa 2023 asetti velvoitteita liittovaltion virastoille, mutta ei luonut samanlaista sitovaa sääntely-ympäristöä kuin EU. Yhdistyneen kuningaskunnan lähestymistapa on puolestaan sektorikohtainen ja kevyempi, luottaen olemassa oleviin toimialaviranomaisiin.

Kiinassa on puolestaan säädetty erillisiä asetuksia generatiivisesta tekoälystä, suosittelualgoritmeista ja deepfake-sisällöstä. Kanadan AIDA-laki (Artificial Intelligence and Data Act) on edelleen parlamentaarisessa käsittelyssä. Globaalit standardointiorganisaatiot ISO ja IEC ovat kehittämässä kansainvälisiä tekoälyn hallintostandardeja, joista ISO/IEC 42001 tekoälynhallintajärjestelmille julkaistiin vuonna 2023 ja se on suoraan yhteensopiva AI Act:n vaatimusten kanssa.

Käytännön tarkistuslista: AI Act -vaatimustenmukaisuuden aloittaminen

Vaatimustenmukaisuustyö voi tuntua monimutkaiselta, mutta se kannattaa aloittaa systemattisella lähestymistavalla. Seuraava tarkistuslista auttaa suomalaista yritystä pääsemään alkuun:

  • Tee tekoäly-inventaario: listaa kaikki käytössä olevat tekoälyjärjestelmät, mukaan lukien pilvipalvelut ja API-integraatiot
  • Luokittele järjestelmät riskiluokkiin AI Act:n kriteerien mukaisesti
  • Tunnista korkean riskin järjestelmät ja laadi niille toimintasuunnitelma
  • Tarkista, onko yrityksellä käytössä kiellettyjä tekoälykäyttöjä (2.2.2025 kielto)
  • Arvioi GPAI-mallien käyttö ja siihen liittyvät velvoitteet
  • Laadi tai päivitä tekoälyn käyttöpolitiikka ja sisäiset ohjeet
  • Käynnistä henkilöstön tekoälylukutaitokoulutus
  • Tarkista toimittajasopimukset vaatimustenmukaisuuden osalta
  • Ota yhteys Traficomiin tai oikeudelliseen neuvonantajaan tarvittaessa
  • Seuraa AI Officen ja Traficomin ohjeistuksia aktiivisesti

Tekoälyjärjestelmien laajuuden ja käyttötapojen kartoittamiseen liittyy myös strategisia kysymyksiä – lisää aiheesta löytyy pillarista Tekoäly yrityskäytössä: työkalut ja strategiat 2026.

Usein kysytyt kysymykset (UKK)

Milloin EU:n tekoälysäädös koskee minua?

AI Act koskee kaikkia yrityksiä, jotka joko kehittävät, tuovat markkinoille, ottavat käyttöön tai käyttävät tekoälyjärjestelmiä EU:n alueella. Tämä tarkoittaa, että myös pienyrittäjä, joka käyttää tekoälypohjaista rekrytointityökalua tai asiakaspalveluchatbottia, on säädöksen piirissä käyttöönottajan roolissa. Ensimmäinen konkreettinen takaraja oli 2. helmikuuta 2025, jolloin kiellettyjen tekoälykäyttöjen kielto astui voimaan. Korkean riskin järjestelmien laajemmat vaatimukset tulevat voimaan elokuussa 2026. Mitä aiemmin vaatimustenmukaisuustyön aloittaa, sitä enemmän aikaa jää dokumentaation ja prosessien rakentamiseen ilman kiirettä tai sanktioiden uhkaa.

Mitä tarkoittaa korkean riskin tekoälyjärjestelmä?

Korkean riskin tekoälyjärjestelmät ovat sovelluksia, jotka voivat merkittävästi vaikuttaa ihmisten terveyteen, turvallisuuteen tai perusoikeuksiin. AI Act:n liitteessä III luetellaan kahdeksan aluetta, joilla toimivat järjestelmät kuuluvat automaattisesti korkean riskin kategoriaan: biometrinen tunnistaminen, kriittinen infrastruktuuri, koulutus, työllisyys, perusoikeuksien kannalta tärkeät palvelut, lainvalvonta, maahanmuutto ja oikeuslaitos. Käytännössä suomalaisessa yritysmaailmassa yleisimpiä esimerkkejä ovat rekrytointitekoäly, luottopisteytysjärjestelmät ja terveydenhuollon diagnostiikkatyökalut. Korkean riskin status ei tarkoita, että järjestelmä on kielletty – se tarkoittaa, että sille asetetaan tiukat dokumentaatio-, arviointi- ja valvontavaatimukset ennen käyttöönottoa.

Kuinka suuret sakot AI Act:n rikkomisesta voidaan määrätä?

Sakot on porrastettu rikkomuksen vakavuuden mukaan kolmeen tasoon. Kiellettyjen tekoälyjärjestelmien käyttämisestä voidaan määrätä jopa 35 miljoonan euron tai 7 prosentin sakko yrityksen koko maailmanlaajuisesta vuosiliikevaihdosta – sen mukaan kumpi on suurempi. Korkean riskin velvoitteiden rikkomisesta maksimisakko on 15 miljoonaa euroa tai 3 prosenttia liikevaihdosta. Virheellisten tai harhaanjohtavien tietojen toimittamisesta viranomaisille maksimisakko on 7,5 miljoonaa euroa tai 1,5 prosenttia liikevaihdosta. Pienille ja keskisuurille yrityksille sekä startup-yrityksille sakot ovat puolet edellä mainituista. Valvontaviranomainen ottaa arvioinnissa huomioon rikkomuksen vakavuuden, laajuuden ja keston, mahdolliset korjaavat toimenpiteet sekä yrityksen yhteistyön viranomaisten kanssa.

Pitääkö ChatGPT:n tai Claudin käytöstä huolehtia AI Act:n osalta?

ChatGPT:n kuten OpenAI:n GPT-4o:n, Anthropicin Claudin tai Google Geminin käyttö yrityksen sisällä tyypilliseen tietotyöhön, kuten tekstin kirjoittamiseen, koodaamiseen tai analyysiin, ei yleensä aseta yritykselle suoria AI Act -velvoitteita. Nämä palvelut ovat GPAI-malleja, joita koskevat säädökset velvoittavat ensisijaisesti niiden kehittäjiä. Jos yritys kuitenkin rakentaa näiden mallien API:en päälle oman tuotteen tai palvelun, yritys on käyttöönottajan roolissa ja vastuulla. Erityistä huomiota vaatii tilanne, jossa API-pohjainen ratkaisu käytetään korkean riskin päätöksentekoon, esimerkiksi rekrytoinnissa tai luottopäätöksissä. Tällöin vaatimustenmukaisuusvastuu on selkeästi palvelun rakentajalla ja käyttöönottajalla.

Mitä on tekoälylukutaito ja miten vaatimus täytetään?

AI Act:n artikla 4 edellyttää, että tekoälyjärjestelmien tarjoajat ja käyttöönottajat varmistavat henkilöstönsä riittävän tekoälylukutaidon. Käytännössä tämä tarkoittaa, että tekoälyratkaisuja käyttävillä tai valvovilla henkilöillä on oltava riittävä ymmärrys siitä, miten järjestelmä toimii, mitkä ovat sen rajoitukset ja miten sen tuottamia tuloksia arvioidaan kriittisesti. Vaatimus ei määrittele täsmällisesti, millainen koulutus riittää, mutta sen tason on oltava suhteutettu henkilön rooliin ja käyttämiin järjestelmiin. Käytännön toteutus voi tarkoittaa esimerkiksi sisäistä koulutusta, verkkokursseja tai yhteistyötä tekoälykouluttajien kanssa. Business Finlandin ja Teknologiateollisuus ry:n kautta on saatavilla tukea koulutuksen rakentamiseen.

Miten AI Act vaikuttaa terveydenhuollon tekoälyratkaisuihin?

Terveydenhuollossa tekoälysäädös vaikuttaa erityisesti lääketieteellisiin laitteisiin ja diagnostiikkajärjestelmiin, jotka jo ennestään kuuluvat tiukan sääntelyn piiriin EU:n lääkinnällisten laitteiden asetuksen (MDR 2017/745) nojalla. AI Act lisää tähän ympäristöön uuden kerroksen vaatimuksia. Korkean riskin tekoälyjärjestelmät terveydenhuollossa vaativat vaatimustenmukaisuusarvioinnin, joka voi edellyttää ilmoitetun laitoksen osallistumista. Potilaiden hoitoon suoraan vaikuttavat tekoälyjärjestelmät, kuten diagnostiikka-algoritmit tai hoitosuositukset, ovat erityisen tarkan tarkastelun kohteena. Valvira koordinoi terveydenhuollon tekoälyn valvontaa Suomessa yhteistyössä Traficomin kanssa. Erillinen haaste on potilastietojen käytön yhteensovittaminen GDPR:n ja AI Act:n vaatimusten kanssa.

Onko AI Actiin valmistautumiseen saatavilla tukea tai rahoitusta Suomessa?

Suomessa on useita tukiväyliä AI Act -valmistautumiseen. Business Finland rahoittaa tekoälyn vastuulliseen käyttöönottoon liittyviä hankkeita sekä innovaatio- ja tutkimustoimintaa. Teknologiateollisuus ry ja Kauppakamari ovat julkaisseet ohjeistuksia ja järjestäneet koulutustilaisuuksia. Euroopan komissio on perustanut Enterprise Europe Network -palvelun, jonka kautta pk-yritykset voivat saada ohjausta AI Act -vaatimustenmukaisuuteen. Lisäksi Traficom tarjoaa ohjeistusta ja neuvontaa kansallisena valvontaviranomaisena. Horizon Europe -tutkimusrahoitus tukee tekoälyn vastuullisen kehittämisen tutkimushankkeita, ja useilla yliopistoilla on tarjolla koulutusta tekoälyn etiikasta ja sääntelystä.

Miten AI Act liittyy kyberturvallisuussääntelyyn?

AI Act ja NIS2-direktiivi (verkko- ja tietojärjestelmien turvallisuus) täydentävät toisiaan, koska tekoälyjärjestelmät ovat yhä useammin osa kriittistä infrastruktuuria. NIS2 velvoittaa merkittäviä toimijoita hallitsemaan kyberturvallisuusriskejä, ja tekoälyjärjestelmät lisäävät tähän uuden ulottuvuuden. AI Act edellyttää korkean riskin järjestelmiltä kyberturvallisuuden huomioimista teknisessä suunnittelussa ja testauksessa. Käytännössä yrityksen kannattaa yhdistää AI Act -vaatimustenmukaisuustyö olemassa oleviin kyberturvallisuusprosesseihin. Lisätietoa kyberturvallisuuslainsäädännön kokonaisuudesta löydät artikkelista Kyberturvallisuuslainsäädäntö Suomessa ja EU:ssa 2026.

Aiheeseen liittyvät artikkelit

Lähteet

IT-insinööri palkka: palkkatasot ja vaikuttavat tekijät 2025