Te­ko­ä­ly­ase­tus - Mi­tä työ­nan­ta­jien on tar­peen huo­mioi­da?

EU:n tekoälyasetus (AI Act) tuli voimaan 1. elokuuta 2024 ja sitä aletaan soveltaa vaiheittain vuosien 2025–2027 aikana. Sen tarkoituksena on säädellä tekoälyn käyttöä ja kehitystä EU:ssa ja sen vaatimukset koskevat tekoälyn tarjoajia ja käyttäjiä. Asetuksella pyritään varmistamaan tekoälyjärjestelmien turvallisuus, eettisyys, läpinäkyvyys ja luotettavuus sekä tekoälyn vastuullinen kehittäminen ja käyttö. Keskeisenä tavoitteena on turvata yksilöiden terveys, turvallisuus ja perusoikeudet, kuten yksityisyyden suoja. Asetus luokittelee tekoälysovellukset riskitasoihin ja vaatimukset vaihtelevat niiden mukaan. Merkittävimmät jo voimaan tulleet määräykset koskevat kiellettyjä tekoälyjärjestelmiä sekä tekoälylukutaitoa. Pääosa sääntelystä astuu voimaan 2.8.2026.

Työnantajat, joiden toiminnassa käytetään tekoälyä, ovat tekoälyjärjestelmän käyttöönottajia ja siis asetuksen soveltamisalan piirissä. Tekoälyn käyttöä koskevat velvoitteet kohdistuvat käytännössä yrityksen omaan henkilöstöön sekä muihin henkilöihin, jotka käyttävät tekoälyjärjestelmiä yrityksen puolesta. Vaatimukset koskevat siis myös ulkoistettuja palveluntarjoajia, vuokratyövoimaa ja muita ulkoistettuja järjestelyjä.

Mitä tekoälyjärjestelmiä käyttävien työnantajien on syytä tietää ja tehdä?

1. Työnantajien tekoälyn käyttöönottajana tulee ensi vaiheessa arvioida käyttöön otettujen tekoälyjärjestelmien riskiluokat. Tämä määrittää kuhunkin järjestelmään soveltuvat tekoälyasetuksen vaatimukset.
2. Tekoälyasetus vaatii informoimaan työntekijöitä korkean riskin tekoälyn soveltamisesta heihin. Lisäksi työntekijöitä ja työnhakijoita on informoitava heihin kohdistuvien päätösten tekemisessä auttavista tai päätöksiä tekevistä korkean riskin tekoälyjärjestelmistä. Näiltä osin on annettava tieto käyttötarkoituksesta, päätösten tyypistä ja oikeudesta saada selvitys päätöstä koskien.
3. Tekoälyasetus vaatii toimittamaan tekoälyjärjestelmän tarjoajalle tietoja järjestelmän suorituskyyn ja vaatimustenmukaisuuden arvioinnin tueksi. Mikäli tekoälyjärjestelmän käyttöohjeiden mukainen käyttö voisi aiheuttaa riskin ihmisten terveydelle, turvallisuudelle tai perusoikeuksille, käyttäjän on ilmoitettava viivytyksettä tarjoajalle ja valvontaviranomaiselle, ja lopetettava käyttö. Havaitessaan vakavan vaaratilanteen ihmisten terveydelle, turvallisuudelle tai perusoikeuksille, käyttäjän on välittömästi tehtävä ilmoitus tarjoajalle, maahantuojalle/jakelijalle ja valvontaviranomaiselle.
4. EU:n yleinen tietosuoja-asetus (”GDPR”, 2016/679) koskee myös tekoälyjärjestelmien käyttöä siltä osin kuin järjestelmissä käsitellään henkilötietoja. Työnantajan tulee siis noudattaa kaikkia GDPR:n velvoitteita käyttöyhteyksissä, joissa tekoälyjärjestelmässä käsitellään henkilötietoja.
5. Tekoälyä toiminnassaan käyttävien työnantajien tulee huolehtia henkilöstönsä ja muiden toiminnassaan tekoälyä käyttävien tekoälylukutaidosta, mikä käytännössä tarkoittaa velvollisuutta kouluttaa näille riittävät taidot, tiedot ja ymmärrys tekoälyn tehokkaaseen ja vastuulliseen käyttöön. Osana velvoitteen toteuttamista työnantajan on suositeltavaa laatia tekoälypolitiikka, jossa kuvataan tekoälyn käytön periaatteet ja käytännöt kyseissä yrityksessä. Politiikan tarkoituksena on dokumentoida tekoälyn vastuullisen käytön tavat teknisellä, oikeudellisella ja eettisellä tasolla ja hallita samalla tekoälyn käytöstä aiheutuvia riskejä.

Tekoälyasetus lisää työnantajien velvoitteita, mutta monelta osin velvoitteet täydentävät jo olemassa olevaa työsuhteita ja tietosuojaa koskevaa lainsäädäntöämme, josta seuraa paikoin asetusta pidemmällekin meneviä vaatimuksia tekoälyä käytettäessä. Työnantajien tuleekin varmistaa tekoälyjärjestelmiä käyttöönottaessaan noudattavansa tekoälyasetuksen lisäksi muuta lainsäädäntöämme myös tekoälyn osalta.

Anne Hirsiniemi

työoikeus- ja tietosuojajuristi