Siirry pääsivulle

Joulu 2.0 – tonttupartio ja tekoälysääntelyä

Vuosi lähenee loppuaan ja keskustelu tekoälystä käy kiivaana. Tiedotteessamme, Tekoäly on hyvä renki mutta huono isäntä, kävimme laajemmin läpi tekoälyä ja sen käyttöön liittyviä riskejä yleisellä tasolla. Tähän asti yleinen tietosuoja-asetus, GDPR, on tuntunut pitävän huolta EU:n kansalaisten yksityisyyden suojasta. Erityisesti generatiivisten tekoälyjen räjähdysmäinen käyttö sekä niiden mahdollistamat innovaatiot ja käyttötarkoitukset saavat kuitenkin pohtimaan: onko GDPR enää riittävä?

 

Joululahjaksi tekoälysääntelyä
 

Vastauksena tähän on EU:n tekoälysäädös (AI Act), joka on maailman mittakaavalla ensimmäinen laatuaan. Sen tarkoituksena on luoda tekoälyjärjestelmien kehittäjille innovaatiolähtöinen viitekehys sekä taata loppukäyttäjille turvalliset, perusoikeuksien ja EU:n arvojen mukaiset järjestelmät.

Lyhykäisyydessään tekoälysäädös on riskilähtöinen asetus. Konkreettisin esimerkki on sen luokitus tekoälyjärjestelmien riskitasoista:

  1. Riski, jota ei voida hyväksyä
  2. Suuri riski
  3. Vähäinen riski
  4. Minimaalinen riski tai ei riskiä

Säädöksen oli määrä jo tulla täytäntöön, mutta ChatGPT:n mullistava julkaisu vuoden 2022 syksyllä laittoi asiat uusiksi. Asetuksen sisällöstä on käyty kiivaita keskusteluja, kunnes 8. joulukuuta EU:ssa päästiin vihdoin yhteisymmärrykseen, ja lainsäädäntötyö voi jatkua. Seuraavaksi EU:n sidosryhmien on päivitettävä ja hyväksyttävä uudistettu teksti, ja saamme näillä näkymin kuulla uutisia ennen vuoden 2024 EU-vaaleja uunituoreesta tekoälysäädöksestä.

 

Tonttu tuo tekoälysäädöksen tietosuoja-ammattilaisten työpöydille
 

Euroopan tietosuojavaltuutettu (European Data Protection Supervisor, EDPS) on kommentoinut tietosuojaviranomaisten olevan oiva taho tekoälysäädöksen kansalliseen valvontaan. Säädöksen tullessa voimaan, organisaatioilla on kaksi vuotta aikaa toteuttaa asetuksen vaatimukset. Kulisseissa kuitenkin huhutaan poikkeuksista, jotka toisivat organisaatioille velvoitteita jo 6–12 kuukauden sisällä asetuksen voimaantulosta. Uusi säädös tarkoittaa joka tapauksessa GDPR:n kaltaista projektia tietosuoja-ammattilaisten pöydälle. Kutsutaanko tonttupartio paikalle?

Tekoälysäädös tulee vaatimaan organisaatioissa eri tiimien rajat ylittävää yhteistyötä. Tietosuojatiimit eivät voi yksinään tehdä päätöksiä tekoälyn käyttöönotoista, vaan teknologian monimuotoisuus ja kompleksisuus vaatii muun muassa laajaa tietoturvaosaamista.

 

Vinkit pukinkonttiin
 

Vaikka säädös ei olekaan valmis, siihen kannattaa alkaa jo varautua. Tässä tärkeimmät vinkit onnistuneeseen vuoden aloitukseen ja vaatimustenmukaisuuden valmistautumiseen:

  1. Tarkista, että henkilötietojen käsittelytarkoitukset (”prosessiaktiviteetit”) ovat ajan tasalla ja tunnista prosessit, joissa hyödynnetään tekoälyä.
  2. Luokittele tekoälyjärjestelmät asetuksen riskiluokkiin.
  3. Ota keskeiset sidosryhmät mukaan EU AI Act -projektin suunnitteluun.
  4. Varmista että GDPR:n vaatimat tietosuojaa koskevat vaikutustenarvioinnit ("DPIA:t") on tehty.

Tämän tekoälysääntelyyn keskittyvän blogisarjan seuraavassa osiossa perehdymme tarkemmin itse säädökseen. Pysy siis kuulolla!

Näkemyksemme