Mitä velvoitteita tekoälysäädös asettaa tarjoajille ja käyttöönottajille?
Tekoälysäädös on ensimmäinen kattava tekoälyn käyttöä säätelevä asetus, jossa asetetaan velvoitteita tekoälyjärjestelmien tarjoajille ja käyttöönottajille riippuen niiden aiheuttaman riskin suuruudesta. Osittain tekoälysäädöstä sovelletaan jo ensi vuodesta lukien.
EU:n tuoreen tekoälysäädöksen (EU) 2024/1689 soveltaminen alkaa vaiheittain vuoden 2025 alusta lähtien. Pääasiassa asetusta sovelletaan kuitenkin vasta elokuusta 2026 alkaen. Mitä asetuksesta pitäisi tietää ja miten sen soveltamiseen tulisi varautua?
Tässä artikkelissa keskitymme asetuksen sisältämiin vaatimuksiin yrityksille, jotka tarjoavat tai ottavat käyttöön tekoälyjärjestelmiä. Lisäksi maahantuojille ja jakelijoille on asetettu tekoälysäädöksessä velvoitteita. Aiemmassa artikkelissamme kerroimme tekoälysäädöksen soveltamisalasta ja riskiperusteisesta näkökulmasta.
Varmista, että tekoälyjärjestelmä ei sisällä kiellettyjä käytäntöjä
Tekoälyn monien hyödyllisten käyttötarkoitusten lisäksi sitä voidaan myös käyttää väärin. Väärinkäyttö voi tarjota uusia ja tehokkaita välineitä käytäntöihin, joihin liittyy manipulointia, hyväksikäyttöä ja sosiaalista valvontaa. Varmista, että tarjoamasi tekoälyjärjestelmä ei sisällä tekoälyasetuksen 5 artiklassa säädettyjä kiellettyjä käytäntöjä.
Kiellettynä käytänteenä pidetään mm. tekoälyjärjestelmää, jonka tarkoitus on vääristää olennaisesti ihmisten käyttäytymistä, hyödyntää tietyn henkilöryhmän haavoittuvuuksia, luokitella luonnollisten henkilöiden sosiaalista käyttäytymistä tiettynä ajanjaksona henkilökohtaisten ominaisuuksiensa perusteella tai henkilön profilointi, kun sillä ennustetaan rikosherkkyyttä.
Tarkista, täyttääkö suuririskinen tekoälyjärjestelmä sille asetetut tekniset vaatimukset
Suuririskisenä tekoälyjärjestelmänä pidetään sellaista tekoälyjärjestelmää, joka täyttää molemmat seuraavista edellytyksistä:
a) tekoälyjärjestelmä on tarkoitettu käytettäväksi tuotteen turvakomponenttina tai tekoälyjärjestelmä on itse tuote, joka kuuluu liitteessä I luetellun unionin yhdenmukaistamislainsäädännön soveltamisalaan, sekä
b) tuotteelle on tehtävä kolmannen osapuolen suorittama vaatimustenmukaisuuden arviointi kyseisen tuotteen saattamiseksi markkinoille tai käyttöön ottamiseksi liitteessä I luetellun unionin yhdenmukaistamislainsäädännön mukaisesti.
Lisäksi tekoälyasetuksen liitteessä III mainitut tekoälyjärjestelmät (kuten tekoälyjärjestelmät, jotka on tarkoitettu tunteiden tunnistamiseen) luokitellaan suuririskisiksi tekoälyjärjestelmiksi.
Suuririskisten tekoälyjärjestelmien tulee täyttää tekoälyasetuksen tekniset vaatimukset, joista säädetään asetuksen 8–15 artikloissa. Artiklojen vaatimukset koskevat suuririskisten tekoälyjärjestelmien vaatimustenmukaisuutta, riskinhallintajärjestelmää, datan keräämistä, säilyttämistä ja dokumentaatiota, avoimuutta sekä ihmisen suorittamaa valvontaa.
Suuririskisen tekoälyjärjestelmän tarjoajan velvollisuudet
Suuririskisten tekoälyjärjestelmien tarjoajien velvollisuutena on varmistaa, että suuririskiset tekoälyjärjestelmät täyttävät niille asetetut tekniset vaatimukset. Tarjoajan tulee ilmoittaa suuririskisessä tekoälyjärjestelmässä nimensä, rekisteröity tuotenimensä sekä osoite. Lisäksi tarjoajalla tulee olla käytössään laadunhallintajärjestelmä, jolla varmistetaan asetuksen velvoitteiden noudattaminen.
Tarjoajan tulee säilyttää asetuksen 18 artiklan mukainen dokumentaatio 10 vuoden ajan sekä suuririskisten tekoälyjärjestelmiensä automaattisesti tuottamat lokitiedot vähintään kuuden kuukauden ajan. Suuririskiselle tekoälyjärjestelmälle tulee tehdä vaatimustenmukaisuuden arviointimenettely ennen sen markkinoille saattamista tai käyttöönottoa. Tarjoajan vastuulla on varmistaa, että arviointimenettely on toteutettu.
Tarjoajan on laadittava suuririskisestä tekoälyjärjestelmästä EU-vaatimustenmukaisuusvakuutus. EU-vaatimustenmukaisuusvakuutuksessa on yksilöitävä suuririskinen tekoälyjärjestelmä, jota varten se on laadittu, ja sen jäljennös on pyynnöstä toimitettava asiaankuuluville kansallisille toimivaltaisille viranomaisille. EU-vaatimustenmukaisuusvakuutuksessa on ilmoitettava, että kyseinen suuririskinen tekoälyjärjestelmä täyttää tekoälyjärjestelmälle vahvistetut vaatimukset. Tarjoajan on kiinnitettävä suuririskiseen tekoälyjärjestelmään tai sen mukana olevaan dokumentaatioon CE-merkintä osoittaakseen, että tekoälyjärjestelmä on tekoälyasetuksen mukainen.
Suuririskisen tekoälyjärjestelmän käyttäminen käyttöohjeiden mukaisesti – käyttöönottajien velvollisuudet
Tekoälysäädöksessä käyttöönottajalla tarkoitetaan luonnollista henkilöä tai oikeushenkilöä, viranomaista, virastoa tai muuta tahoa, joka käyttää valvonnassaan olevaa tekoälyjärjestelmää ammattitoiminnassa.
Käyttöönottajien on toteutettava teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, että ne käyttävät suuririskisiä tekoälyjärjestelmiä käyttöohjeiden mukaisesti. Käyttöönottajien on seurattava suuririskisen tekoälyjärjestelmän toimintaa käyttöohjeiden perusteella ja tarvittaessa ilmoitettava tekoälyjärjestelmän käytön riskeistä tarjoajille. Käyttöönottajien on nimettävä pätevä henkilö suorittamaan käytön valvontaa. Lisäksi käyttöönottajien on säilytettävä suuririskisen tekoälyjärjestelmän automaattisesti tuottamat lokitiedot vähintään kuuden kuukauden ajan.
Ennen kuin suuririskinen tekoälyjärjestelmä otetaan käyttöön työpaikalla, työnantajan on ilmoitettava työntekijöiden edustajille ja asianomaisille työntekijöille, että heihin sovelletaan suuririskistä tekoälyjärjestelmää.
Muista rekisteröityä EU:n tietokantaan ennen tekoälyjärjestelmän markkinoille saattamista tai käyttöönottoa
Suuririskinen tekoälyjärjestelmän tarjoajan sekä sellaisen tekoälyjärjestelmän tarjoajan, joka on arvioinut, että tekoälyjärjestelmä ei aiheuta merkittävää vahingon riskiä luonnollisten henkilöiden terveydelle, turvallisuudelle tai perusoikeuksille, on rekisteröidyttävä EU:n tietokantaan ennen kyseessä olevan tekoälyjärjestelmän markkinoille saattamista tai käyttöönottoa (art. 49).
Tarjoajan on rekisteröitävä itsensä sekä tekoälyjärjestelmänsä EU:n suuririskisiä tekoälyjärjestelmiä koskevaan EU:n tietokantaan (engl. EU Database for High-Risk AI Systems). EU:n tietokannasta säädetään asetuksen artiklassa 71. EU:n tietokantaan tulee tallentaa asetuksen liitteen VIII kohtien A ja B mukaiset tiedot, kuten tarjoajan nimi, osoite ja yhteystiedot, tekoälyjärjestelmän tuotenimi ja kuvaus tekoälyjärjestelmän käyttötarkoituksesta sekä yleisluontoinen ja lyhyt kuvaus järjestelmän käyttämistä tiedoista.
Tarjoajan ja käyttöönottajan avoimuusvelvoite tiettyjen tekoälyjärjestelmien osalta
Tarjoajilla, jotka saattavat markkinoille luonnollisten henkilöiden kanssa suoraan vuorovaikutukseen tarkoitettuja tekoälyjärjestelmiä on velvollisuus suunnitella ja toteuttaa tekoälyjärjestelmät siten, että luonnollisille henkilöille ilmoitetaan, että he ovat vuorovaikutuksessa tekoälyjärjestelmän kanssa (art. 50).
Velvoite koskee seuraavia tekoälyjärjestelmän tarjoajia ja käyttöönottajia:
- Suoraan luonnollisten henkilöiden kanssa vuorovaikutuksessa olevien tekoälyjärjestelmien tarjoajat.
- Synteettistä ääni-, kuva-, video- tai tekstisisältöä tuottavien tekoälyjärjestelmien tarjoajat.
- Tunteentunnistusjärjestelmän tai biometrisen luokitusjärjestelmän käyttöönottajat.
- Sellaisen tekoälyjärjestelmän, joka tuottaa tai manipuloi syväväärennöksen muodostavaa kuva-, ääni- tai videosisältöä, käyttöönottajat.
- Tekoälyjärjestelmän, joka tuottaa tai manipuloi tekstiä, jonka julkaisemisen tarkoituksena on tiedottaa yleisölle yleistä etua koskevista asioista, käyttöönottajat.
Asetuksen 50 artiklan velvoitteita ei sovelleta biometriseen luokitteluun ja tunteentunnistamiseen käytettyihin tekoälyjärjestelmiin, joita on lain mukaan, luvallista käyttää rikosten paljastamiseen, estämiseen tai tutkimiseen.
Varmista, että toteutatte markkinoille saattamisen jälkeistä seurantaa
Tekoälyjärjestelmän tarjoajalla on velvollisuus perustaa seurantajärjestelmä, johon kerätään tietoja suuririskisten tekoälyjärjestelmien suorituskyvystä niiden koko elinkaaren ajan (art. 72). Seurantajärjestelmän avulla tarjoajalla tulee olla mahdollisuus arvioida, täyttävätkö tekoälyjärjestelmät jatkuvasti tekoälyjärjestelmälle asetetut tekniset vaatimukset (asetuksen III luvun 2 jakso).
Seurantajärjestelmä tulee dokumentoida tavalla, joka on oikeassa suhteessa tekoälyteknologioiden luonteeseen ja suuririskisen tekoälyjärjestelmän aiheuttamiin riskeihin nähden. Seurantajärjestelmässä tulee aktiivisesti ja järjestelmällisesti kerätä, dokumentoida ja analysoida asiaankuuluvia tietoja, jotka koskevat suuririskisten tekoälyjärjestelmien suorituskykyä niiden koko elinkaaren ajan.
Koskeeko EU:n uusi tekoälysäädös toimintaanne? Oletteko ottamassa käyttöön tekoälyjärjestelmää työpaikallanne? Löydät kaikki tekoälysäädöksen vaatimuskohdat kätevästi Linnunmaa Lexin legal compliance -palvelusta kätevästi. Pyydä tarjous Legal compliance -palvelusta tai sen ICT & Kyberturvallisuus -sisällöstä.
Milla Martin
Lakiasiantuntija
+358 44 736 6633
milla.martin(at)linnunmaalex.fi