AI Act 2025: vaikutus suomalaisiin yrityksiin

EU:n tekoälyasetus (AI Act) on maailman ensimmäinen kattava tekoälylainsäädäntö. Se astui voimaan 1.8.2024, ja sen velvoitteita sovelletaan vaiheittain vuosien 2025-2027 aikana. Helmikuussa 2025 tulivat voimaan ensimmäiset merkittävät velvoitteet – mukaan lukien tekoälylukutaitovaatimus, joka koskee kaikkia tekoälyä hyödyntäviä organisaatioita.

Mikä AI Act on?

AI Act on EU:n asetus, jonka tavoitteena on varmistaa, että tekoälyjärjestelmät ovat turvallisia eivätkä vaaranna perusoikeuksia. Säädös luo yhtenäisen kehyksen koko EU:hun ja perustuu riskiperusteiseen lähestymistapaan.

Käytännössä tämä tarkoittaa, että mitä suurempi riski tekoälyjärjestelmään liittyy, sitä tiukemmat vaatimukset sitä koskevat.

Neljä riskitasoa

1. Ei-hyväksyttävä riski – KIELLETTY

Nämä tekoälyjärjestelmät ovat kokonaan kiellettyjä 2.2.2025 alkaen:

  • Sosiaalinen pisteytys (social scoring)
  • Tunteiden tunnistaminen työpaikalla (poikkeuksia lääketieteellisissä ja turvallisuuskäytöissä)
  • Biometrinen etätunnistus reaaliaikaisesti julkisilla paikoilla
  • Alitajuinen manipulointi
  • Haavoittuvuuksien hyväksikäyttö

2. Korkea riski – tiukat vaatimukset

Näihin kuuluvat mm. tekoälyjärjestelmät, joita käytetään:

  • Rekrytoinnissa ja henkilöstöhallinnossa
  • Luottokelpoisuuden arvioinnissa
  • Koulutuksessa ja ammattikoulutuksessa
  • Kriittisissä infrastruktuureissa

Korkean riskin järjestelmiltä vaaditaan CE-merkintä, riskienhallinta, dokumentointi ja ihmisen valvonta. Nämä vaatimukset tulevat voimaan 2.8.2026.

3. Rajoitettu riski – avoimuusvelvoitteet

Tähän kuuluvat esimerkiksi chatbotit ja deepfake-järjestelmät. Käyttäjille on kerrottava, että he ovat tekemisissä tekoälyn kanssa. Voimaan 2.8.2025.

4. Minimaalinen riski – ei erityissääntelyä

Suurin osa tekoälysovelluksista kuuluu tähän kategoriaan. Vapaaehtoisia käytännesääntöjä kannustetaan noudattamaan.

Aikataulu: milloin velvoitteet tulevat voimaan?

  • 2.2025: Kielletyt käytännöt ja tekoälylukutaitovelvoite
  • 8.2025: Yleiskäyttöisten tekoälymallien (GPAI) säännöt
  • 8.2026: Suurin osa velvoitteista, ml. korkean riskin järjestelmät
  • 8.2027: Korkean riskin järjestelmät säännellyissä tuotteissa

Tekoälylukutaito – koskee kaikkia

Yksi AI Actin merkittävimmistä velvoitteista on tekoälylukutaito (artikla 4), joka tuli voimaan jo 2.2.2025. Se koskee kaikkia tekoälyä hyödyntäviä organisaatioita riskiluokasta riippumatta.

Käytännössä tämä tarkoittaa, että:

  • Henkilöstöllä on oltava riittävä ymmärrys tekoälyjärjestelmien toiminnasta
  • Erityisesti tekoälyä kehittävien ja hyödyntävien tulee ymmärtää sekä hyödyt että riskit
  • Organisaation on järjestettävä koulutusta, jos osaaminen ei ole riittävää

Tekoälylukutaito ei ole kertaluonteinen projekti, vaan jatkuva prosessi.

Sanktiot ovat tuntuvia

AI Actin rikkomisesta voidaan määrätä merkittäviä sakkoja:

  • Kielletyt käytännöt: jopa 35 miljoonaa euroa tai 7 % globaalista liikevaihdosta
  • Muut rikkomukset: jopa 15 miljoonaa euroa tai 3 % liikevaihdosta
  • Virheelliset tiedot viranomaisille: jopa 7,5 miljoonaa euroa tai 1 % liikevaihdosta

Mitä pk-yrityksen tulee tehdä?

  1. Kartoita tekoälyn käyttö – missä prosesseissa ja palveluissa tekoälyä hyödynnetään?
  2. Luokittele järjestelmät – mihin riskiluokkaan ne kuuluvat?
  3. Varmista tekoälylukutaito – kouluta henkilöstö
  4. Dokumentoi – pidä kirjaa käytössä olevista järjestelmistä ja niiden tarkoituksista
  5. Arvioi toimittajat – varmista, että kolmannen osapuolen AI-työkalut täyttävät vaatimukset
  6. Seuraa kehitystä – säädös ja sen tulkinta elävät vielä

Erityishuomio: HR ja rekrytointi

AI Act luokittelee henkilöstöhallintoon käytettävät tekoälyjärjestelmät suuririskisiksi. Tämä tarkoittaa, että jos käytät tekoälyä esimerkiksi:

  • CV:iden seulonnassa
  • Haastattelujen arvioinnissa
  • Henkilöstön suorituskyvyn seurannassa

…sinun on noudatettava tiukempia vaatimuksia vuodesta 2026 alkaen. Lisäksi tunteiden tunnistaminen työpaikalla on kielletty.

Yhteenveto

AI Act ei estä tekoälyn hyödyntämistä – se luo pelisäännöt vastuulliselle käytölle. Suomalaisille yrityksille tämä on mahdollisuus olla edelläkävijöitä turvallisen ja luotettavan tekoälyn käytössä.

Tärkeintä on aloittaa valmistautuminen nyt: kartoittaa nykyinen tekoälyn käyttö, kouluttaa henkilöstö ja rakentaa prosessit vaatimustenmukaisuuden varmistamiseksi.

Tarvitsetko apua AI Actin vaatimusten kartoittamisessa? Ota yhteyttä: info@3nfocus.fi