EU:n tekoälysäädös (AI Act) tuli ja laukaisi asteittaisen siirtymäajan. Olemme listanneet tärkeät päivämäärät vaatimustenmukaisuuden tavoittamiseen edellisessä kirjoituksessamme Tekoälysäädös tuli, oletko valmis? Nyt kun viimeistelty versio on julkaistu, on organisaatioiden syytä tunnistaa ja luokitella käytössä olevat tekoälyjärjestelmät. Lopuksi pitää vielä varmistaa, että ne täyttävät säädöksen riskiluokkien vaatimukset. Tunnistamisessa ja luokittelussa on omat haasteensa, sillä myös käyttökontekstilla on väliä. Tämänkertaisen tarkastelun kontekstina on organisaatioiden arkaluonteisen henkilötiedon kehto – HR.
Säädöksen ensimmäinen määräaika on nurkan takana – jo helmikuussa 2025. Organisaatioilla on neljä kuukautta aikaa varmistaa henkilöstön riittävä tekoälyn ymmärrys eli tekoälyn lukutaito (AI literacy). Tämä tulee vaatimaan henkilöstön koulutusta. Mikäli koulutus on HR:n tontilla, on syytä ryhtyä laatimaan koulutussuunnitelmaa. Koko henkilöstön yleisen tietoisuuden lisäämisen lisäksi suosittelemme HR-henkilöstölle räätälöityä koulutusta ja ohjeistusta.
HR-näkökulmasta tekoälyä voi valjastaa moneen käyttötarkoitukseen. Käytännössä sillä nopeutetaan prosesseja ja voidaan esimerkiksi tehdä automaattisia päätöksiä osana rekrytointiprosessia. Organisaatioilla ei välttämättä aina ole erillistä tekoälytyökalua, vaan monet AI-toiminnallisuudet on sisäänrakennettu HR-järjestelmiin. Näiden toiminnallisuuksien hyötyjen valossa tulisi aina muistaa kolikon toinen puoli: yksityisyydensuoja, henkilötiedot ja tietoturva, joita edustaa tuttu ystävämme GDPR.
Kertauksena todettakoon, että sekä tekoälysäädös että yleinen tietosuoja-asetus (GDPR) ovat itsessään sovellettavaa lainsäädäntöä, johon on rakennettu riskilähtöisyysnäkökulma. Se, mihin riskiluokkaan tekoälyjärjestelmä tai -toiminallisuus kuuluu, määrittää säädöksen vaatimat jatkotoimenpiteet. HR-mielessä tekoälyjärjestelmät osuvat luokittelun suhteen useimmiten ”korkean riskin” järjestelmiin, vaikka muitakin tapauksia löytyy.
Kertauksena todettakoon, että sekä tekoälysäädös että yleinen tietosuoja-asetus (GDPR) ovat itsessään sovellettavaa lainsäädäntöä, johon on rakennettu riskilähtöisyysnäkökulma. Se, mihin riskiluokkaan tekoälyjärjestelmä tai -toiminallisuus kuuluu, määrittää säädöksen vaatimat jatkotoimenpiteet. HR-mielessä tekoälyjärjestelmät osuvat luokittelun suhteen useimmiten ”korkean riskin” järjestelmiin, vaikka muitakin tapauksia löytyy.
”Organisaatio on palkkaamassa työntekijää asiakaspalveluun. HR hyödyntää rekrytoinnissa tekoälyä prosessin tehostamiseksi. Tekoäly luo tiivistelmän työnhakijan työkokemuksesta sekä kielitaidosta ja arvioi tiivistelmän perusteella, onko työnhakijalla riittävä kokemus ja kielitaito avoimeen positioon. Lopuksi tekoäly hylkää hakijat, joilla ei ole riittävää englannin kielen taitoa, ja joilla on alle kolme vuotta työkokemusta asiakaspalvelusta. Hylätyille työnhakijoille lähtee automaattisesti viesti, jossa todetaan, ettei organisaatio etene prosessissa heidän kanssaan.”
Organisaatioiden tulee ottaa AI-sovelluksissa huomioon niin tekoälysäädös kuin myös GDPR. Jälkimmäisen merkitys korostuu etenkin HR:ssä, jossa käsitellään myös arkaluonteisia henkilötietoja. Mitä HR:ssä tulisi siis tehdä?
Useaan tekoälysovellukseen ja -toiminnallisuuteen liittyy automaattista päätöksentekoa. Tietosuojamielessä, yksilöllä on oikeus kieltäytyä automaattisesta päätöksenteosta eli käytännössä vaatia ihmistä tekemään häntä koskevat päätökset. Tämän vaikutuksia HR-prosesseihin on myös syytä arvioida.