Tekoäly, data, liikesalaisuudet, tietosuoja yrityksissä 2025: – Mitä nyt pitää ja kannattaa tehdä?

7.5.2025

Tekoäly ja tietosuoja yrityksissä 2025

Tekoälyn (AI) ja datan hyödyntäminen liiketoiminnassa etenee vauhdilla. Edelläkävijäyritykset käyttävät jo tehokkaasti omia räätälöityjä tekoälyjärjestelmiään ja osa yrityksistä ei ole edes miettinyt omassa liiketoiminnassaan käytettävän datan ja tiedon käsittelyä. Yritykset, jotka osaavat yhdistää teknologian ja sääntelyn vaatimukset fiksusti, ottavat merkittävää kilpailuetua. Mutta tekoälyn ja datan käytössä piilee myös riskejä: tietosuojariskit, sopimusongelmat ja tulevat sääntelymuutokset voivat nopeasti yllättää valmistautumattoman yrityksen.

Tässä kirjoituksessa avaamme, mitä jokaisen yrityksen tulisi huomioida ja mihin on syytä valmistautua – erityisesti nyt, kun tekoälyn ja datan sääntely tiukentuu Suomessa ja EU:ssa.

Viisi tärkeää toimenpidettä yrityksille

1. Tee tekoälyn ja datan riskikartoitus

Yritysten tulee tunnistaa:

Missä tekoälyä käytetään ja miten dataa kerätään, käsitellään ja säilytetään. Tämä toiminta on hyvin samanlaisen ponnistus, kuten tehtiin GDPR:n tullessa.
Mahdolliset korkean riskin tekoälyjärjestelmät (esim. automaattinen päätöksenteko, rekrytointi). Into ottaa tekoäly käyttöön saattaa aiheuttaa odottamattomia riskejä, jotka tulee tunnistaa ennen käyttöönottoa.

Miksi: Riskikartoitus auttaa ennaltaehkäisemään vastuukysymyksiä ja tukee vaatimustenmukaisuutta esimerkiksi tulevan AI Act -sääntelyn alla. Tekoäly sellaisenaan riippumatta sen käyttämästä datasta tulee huomioida ja yrityksen asema toiminnassa selvittää. Itse data tulee tunnistaa ja analysoida. Esimerkiksi omaa ja asiakkaiden liikesalaisuuksia tulee suojella ja niiden käyttöön liittyy sopimuksien ja lakien salassapitovelvoitteita ja liiketoiminnallisia syitä salassapitoon. Tämän vuoksi yrityksellä tulee olla prosessit, joissa ymmärretään oikeudet ja velvollisuudet tekoälyn ja datan käytössä ja osataan data eritellä niiden mukaisesti.

2. Laadi tekoälyn käyttöön oma sisäinen ohjeistus

Tekoälyn kehityksessä ja hyödyntämisessä tarvitaan omat pelisäännöt:

Missä tilanteissa tekoälyä saa käyttää ja missä ei. Tekoälyjärjestelmän toimittaja voi käyttää dataa omassa ja muiden toiminnassa. Kaikkea dataa, esimerkiksi asiakkaiden tai niiden asiakkaiden dataa ei saa sopimussyistä tai lain perusteella ehkä käyttää.
Vastuut, auditointikäytännöt ja tiedon hallinta. Sopimusoikeudet oikeudet ja velvollisuudet sekä tietojenkäyttörajoitukset tulee analysoida.
Käyttäjien kouluttaminen (esim. tekoälyn tuottaman sisällön tarkistus). Ohjeistus ja vuosikellon mukainen tietojen päivitys myös virallisen sääntelyn ja tulkintojen muovautuessa.

Miksi: Hyvin ohjeistettu käyttö ehkäisee väärinkäytöksiä ja suojaa brändiä. Tässäkin asiassa ihminen on prosessien heikoin lenkki ja yritysten tulee osoittaa henkilöstönsä ja yhteistyökumppaniensa asianmukaisen toiminnan ja varmistaa etteivät havaitut riskit realisoidu.

3. Varmista datan omistajuus ja sopimuksellinen suoja

Yrityksen käyttämä tai generoima data on arvokasta omaisuutta. On tärkeää varmistaa:

Omistus- ja käyttöoikeudet sopimuksin. Datan hallinnointi tapahtuu paitsi teknisesti, mutta myös sopimuksin. Niissä tulee olla data ja sen oikeudet määritettynä selkeästi tausta- ja tulosdataan sekä niiden parannuksiin.
Mahdollisuus käyttää ja hyödyntää dataa myös tekoälykoulutuksessa, kun se on sallittua ja toisaalta kieltää oman datan ja liikesalaisuuksien käyttö.

Miksi: Selvät sopimusehdot estävät riidat ja tukevat datan kaupallista hyödyntämistä. Tässä vaiheessa tekoälyn ja datan osalta luodaan tulevat toimintamahdollisuudet ja -prosessit. Nyt yritys voi saada omien yhteistyökumppaniensa kanssa läpi itselleen suotuisat ehdot ja käyttötavat sekä estää kannaltaan riskialttiit toiminnot kustannustehokkaasti. Kun datan merkitys ymmärretään, kallistuu datan käyttö ja käyttöoikeuksia myönnetään nihkeämmin, mutta datan käyttö kielletään joskus jopa helpommin.

4. Päivitä tietosuojaselosteet ja sopimukset

Tekoälyllä tuotetut ratkaisut voivat käsitellä henkilötietoja, joihin sovelletaan EU:n yleistä tietosuoja-asetusta (GDPR). Tietosuojaselosteiden ja asiakas- sekä kumppanisopimusten tulisi:

Kuvata selkeästi tekoälyn käyttötarkoitus. Tekoäly ja henkilötieto on hyvä yhdistelmä, mutta siihen sisältyy vastuu ja toimintariskejä.
Tunnistaa henkilötietojen käsittelytarkoitukset ja lailliset perusteet. Vain jos tietojen oikeudellinen peruste on kunnossa ja mahdollistaa tekoälyn hyödyntämisen, voidaan tietoja tehokkaasti käyttää.
Kattaa myös mahdolliset kolmannet osapuolet ja alihankkijat. Tekoälyn käyttö useimmiten tarkoittaa kolmansien osapuolten palveluiden käyttöä, jopa EU:n ulkopuolella. Tämä tulee ajoissa huomioida toimintatapoja luodessa sekä sopimuksia, suostumuksia ja käyttöehtoja laadittaessa.

Miksi: Selkeä dokumentaatio vähentää sanktioriskiä ja lisää asiakasluottamusta. Datan ja henkilötietojen käyttö on osa toimijoiden riskihallintaa ja osoittamista, että toimitaan oikein.

5. Seuraa ja valmistaudu uuteen sääntelyyn

Sääntely tekoälystä ja datasta muuttuu nyt nopeasti. Yritysten kannattaa:

Seurata erityisesti EU-tasoisia tekoäly- ja datasääntelyhankkeita. Tässä asiassa sääntely on kansainvälistä ja nopeaa.
Määrittää vastuuhenkilö tai -tiimi seuraamaan lainsäädäntöä ja kouluttamaan organisaatiota. Kuten tietosuojassa on tämäkin kokonaisuus haastava ja tulee yrityksissä resursoida asianmukaisesti ja riittävästi. Valitettavasti monessa yrityksessä yksittäisen henkilön ei ole mahdollista yksin saada täyttä kuvaa ja varmuutta oman liiketoiminnan tilanteesta, mutta ulkoiset asiantuntijat auttavat tässäkin, kuten mekin Lecklellä.

Miksi: Nopeus ja reagointikyky sääntelymuutoksiin ovat kilpailuetu. Oman liiketoiminnan ja toimintatapojen ymmärrys on tässäkin keskeistä. Nyt jaetaan omien ja muiden toimijoiden dataan ja henkilötietoihin liittyvien oikeuksien ja velvollisuuksien kokonaisuutta. Nopeat saavat parhaat edut käyttöön ja hyödyntämiseen kun huomioivat muuttuvan maailman ja tekniikan sääntelyineen.

Kolme ajankohtaista sääntelyhanketta seurattavaksi:

1. AI Act (EU:n tekoälyasetus)

EU:n AI Act on ensimmäinen laaja säädös tekoälyjärjestelmien sääntelystä. Se jaottelee tekoälyjärjestelmät riskitasojen mukaan:

Korkean riskin tekoäly (esim. työelämässä tai koulutuksessa käytettävät järjestelmät) edellyttävät tiukkoja vaatimuksia ja ennakkohyväksyntöjä.
Kielletyt tekoälykäytännöt (esim. manipuloiva tekoäly) ovat suoraan estettyjä.

Voimaantulo: AI Act hyväksyttiin keväällä 2024 ja alkaa soveltua vaiheittain 2025 alkaen.

Yrityksille: Riskikartoitus ja compliance-projektit on aloitettava ajoissa. Nämä erilaiset tekoälyjärjestelmät tulee yritysten tunnistaa ja ohjeistaa.

2. Data Act (EU:n datasäädös)

Data Act täydentää dataekosysteemiä asettamalla säännöt:

Datanoikeuksista (kuka saa käyttää ja miten)
Dataa tuottavien laitteiden ja palvelujen yhteentoimivuudesta
Datan jakamisesta yritysten ja viranomaisten välillä tietyissä tilanteissa

Voimaantulo: 2025 alussa, soveltaminen täysimääräisesti vuoden 2026 aikana.

Yrityksille: Sopimuksiin ja datan omistajuuteen liittyvät tarkistukset ovat välttämättömiä. Liiketoiminnan prosessit, datavirrat, erilaiset sopimukset, ohjeistukset tulee tarkistaa ja muokata, kuten aikanaan on tehty GDPR-aikaan siirryttäessä. Datan merkitys nyt ja tulevassa liiketoiminnassa tulee sisäistää ja miettiä uudelleen.

3. Suomen kansallinen tekoälystrategia ja AI-osaamiskeskus

Suomi on päivittämässä kansallista tekoälystrategiaansa vastaamaan AI Actin vaatimuksia. Samalla perustetaan uusi AI-osaamiskeskus, joka tukee suomalaisten yritysten ja julkisten toimijoiden tekoälyn turvallista käyttöä ja kehitystä.

Tavoite: Tehdä Suomesta tekoälyn kärkimaa Euroopassa, vastuullisen tekoälyn mallilla.

Yrityksille: Strategiaan liittyvät rahoitus- ja tukimahdollisuudet avautuvat vuosina 2025–2026 – nyt on oikea hetki suunnitella pilotointeja ja kehityshankkeita. Tukea ja rahoitusta erilaisiin hankkeisiin on saatavilla täältä, mutta jo nyt kannattaa aloittaa omat sisäiset hankkeet ulkopuolisen asiantuntijan avulla.

Tekoäly, data, liikesalaisuudet, tietosuoja yrityksissä; enemmän mahdollisuus kuin uhka.

Tekoälyn ja datan hyödyntäminen tarjoaa yrityksille valtavia liiketoiminta- ja kaupallistamismahdollisuuksia, mutta vain jos se tehdään oikein. Sääntely tiukentuu nopeasti, ja vastuullinen datan ja tekoälyn käyttö nousee tulevien vuosien liiketoiminnan ytimeen.

Yritykset, jotka ennakoivat, rakentavat sisäiset prosessinsa kuntoon ja ymmärtävät sääntelyn suunnan, ottavat merkittävän etumatkan. Tekoäly, data ja tietosuoja eivät ole enää "IT-osaston asioita" – ne ovat kaiken liiketoiminnan ydinasioita. Tämä lähtee oman liiketoiminnan, sen sääntelyn, sopimusten, prosessien ja teknisen toteutuksen analyysista. Ymmärretään omien ja muiden liikesalaisuuksien sekä henkilötietojen rooli, vastuut, velvoitteet ja merkitykset osana yrityksen liiketoiminnassa liikkuvaa ja syntyvää dataa. Huomataan tekoälyn ja datan paitsi mahdollisuudet mutta myös riskit.

Tekoäly ja tietosuoja yrityksissä 2025 - Lecklén asiantuntijat auttavat

Haluatko kuulla, miten yrityksesi voi varmistaa tekoälyn, datan ja tietosuojan hallinnan? Ota meihin yhteyttä – rakennetaan yhdessä kestävä ja kilpailukykyinen tulevaisuus!

Ilkka Vuorenmaa

IPR-juristi
Lecklé

Aiheesta lisää:

Työntekijöiden tietosuojaseloste
Oppiiko tekoäly tekemään ratkaisuja riita-asiassa?
Kokenut IPR-juristi Ilkka Vuorenmaa Lecklén tiimiin

Aiheen asiantuntijamme

Ilkka Vuorenmaa

Varatuomari

040 561 8302

mailto:ilkka.vuorenmaa@leckle.fi

Tutustu

Aaro Kuusikoski

Juristi

040 357 9166

aaro.kuusikoski@leckle.fi

Tutustu

Lauri Pyökäri

Varatuomari

040 128 4489

lauri.pyokari@leckle.fi

Tutustu

Hilla Åsvik

Juristi

hilla.asvik@leckle.fi

Tutustu

Lue lisää

08.05.2025

Asiakastarina: Tapparan ja Lecklén yhteistyö – kohti entistä parempaa johtamista

johtaminen HR-asiantuntija Johtamisen kehittäminen HR-palvelut

Lue lisää

02.05.2025

Lecklé myyjien juridisena neuvonantajana kaupassa, jossa Konne Group ja Tarkkalan konserni myytiin Sponsor Capitalille

yrityskaupat yritysjärjestelyt lakipalvelut

Lue lisää

02.05.2025

Sitouta – motivoi – palkitse: avainhenkilöiden sitouttaminen tuo kilpailuetua

Verotus sitouttaminen lakipalvelut Verokonsultti

Lue lisää

Näytä lisää

Cookie	Kesto	Kuvaus
_GRECAPTCHA	6 months	Google Recaptcha service sets this cookie to identify bots to protect the website against malicious spam attacks.
_lfa	1 year	This cookie is set by the provider Leadfeeder to identify the IP address of devices visiting the website, in order to retarget multiple users routing from the same IP address.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Advertisement" category.
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Analytics" category.
cookielawinfo-checkbox-functional	1 year	The GDPR Cookie Consent plugin sets the cookie to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie records the user consent for the cookies in the "Necessary" category.
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie stores user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie stores the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	CookieYes sets this cookie to record the default button state of the corresponding category and the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	1 year	The GDPR Cookie Consent plugin sets the cookie to store whether or not the user has consented to use cookies. It does not store any personal data.

Cookie	Kesto	Kuvaus
_ga	1 year 1 month 4 days	Google Analytics sets this cookie to calculate visitor, session and campaign data and track site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognise unique visitors.
_gid	1 day	Google Analytics sets this cookie to store information on how visitors use a website while also creating an analytics report of the website's performance. Some of the collected data includes the number of visitors, their source, and the pages they visit anonymously.

Cookie	Kesto	Kuvaus
test_cookie	15 minutes	doubleclick.net sets this cookie to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	6 months	YouTube sets this cookie to measure bandwidth, determining whether the user gets the new or old player interface.
VISITOR_PRIVACY_METADATA	6 months	YouTube sets this cookie to store the user's cookie consent state for the current domain.
YSC	session	Youtube sets this cookie to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt-remote-device-id	never	YouTube sets this cookie to store the user's video preferences using embedded YouTube videos.
yt.innertube::nextId	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	YouTube sets this cookie to register a unique ID to store data on what videos from YouTube the user has seen.

Kohderyhmittäin

Aiheittain

Tekoäly, data, liikesalaisuudet, tietosuoja yrityksissä 2025: – Mitä nyt pitää ja kannattaa tehdä?

Tekoäly ja tietosuoja yrityksissä 2025

Viisi tärkeää toimenpidettä yrityksille

1. Tee tekoälyn ja datan riskikartoitus