Vastuullinen ja oikeudellisesti kestävä tekoälyn käyttö yritystoiminnassa

Tekoälyn lukutaito keskiössä

Tekoäly on tullut rytinällä osaksi liiketoimintaa ja ihmisten arkea. Tekoäly voi parhaimmillaan tehostaa työskentelyä ja jopa luoda kilpailuetua. Tekoälyn käyttö ei kuitenkaan saa olla vain teknologian hyödyntämistä, vaan myös sitä koskevan lainsäädännön ymmärtämistä, ris-kienhallintaa ja vastuukysymyksiä, jotka jokaisen liiketoiminnassaan tekoälyä tavalla tai toi-sella käyttävän on hahmotettava.

Yksi keskeinen tekoälyasetuksen (EU) 2024/1689 yrityksille asettama velvoite on henkilös-tönsä riittävästä tekoälylukutaidosta huolehtiminen. Käytännössä henkilöstön tekoälyluku-taidosta huolehtiminen tarkoittaa muun muassa henkilöstön kattavaa kouluttamista ja oh-jeistamista siten, että jokainen tekoälyä työssään käyttävä osaa käyttää tekoälyä sen riskit, mahdollisuudet, lainsäädännön asettamat reunaehdot ja tekoälyn käyttöön liittyvät vastuut tiedostaen. Koulutusvelvollisuus ei ole kertaluonteinen, vaan teknologian ja käytettävien jär-jestelmien kehittyessä sekä henkilöstön vaihtuessa on henkilöstön kouluttamisen oltava osa yrityksen jatkuvaa toimintaa.

Tekoälyn käytön osalta keskeinen periaate on varsin yksinkertainen: tekoäly ei kanna vas-tuuta – ihminen ja organisaatio kantavat. Lainsäädännön asettamien vaatimusten, kuten henkilöstön riittävän tekoälylukutaidon varmistamisen laiminlyönti, voi johtaa mittaviin talou-dellisiin sanktioihin, joten asiaan kannattaa suhtautua jo heti tekoälyn käyttöönottovaiheessa vakavasti.

Tekoälyn kehittämistä ja käyttöä ei säännellä pelkästään tekoälylainsäädännön voimin, vaan huomioon on otettava myös muuta meillä jo pitkään sovellettavana ollutta lainsäädän-töä. Keskeiseksi nousevat etenkin tietosuojalainsäädäntö, työlainsäädäntö ja tekijänoikeu-delliset näkökulmat.

Tekoäly ja lainsäädännön vaatimukset

Tekoälysääntely rakentuu riskiperusteiselle lähestymistavalle, mikä tarkoittaa, että erilaisille tekoälyjärjestelmille asetetaan lainsäädännössä velvoitteita sen mukaan, millainen riski jär-jestelmistä ja niiden käytöstä voi aiheutua. Tekoälyasetus rakentuu neljän eri riskitason ym-pärille: kielletyt tekoälyjärjestelmät ovat nimensä mukaisesti kiellettyjä, korkean riskin järjes-telmiin taas kohdistuu enemmän velvoitteita kuin rajoitetun ja vähäisen riskin järjestelmiin. Jotta tekoälyjärjestelmän kehittäjä ja käyttäjä voi hahmottaa häneen kohdistuvat lainsää-dännölliset vaatimukset, on hänen ensin kyettävä asemoimaan itsensä johonkin tekoälyase-tuksen neljästä riskitasosta.

_____________________

Korkeariskiseksi tekoälyjärjestelmäksi lasketaan esimerkiksi

tietyt henkilöstöhallintoon ja rekrytointiin käytettävät tekoälyjärjestelmät.

_____________________

Kielletyn riskin järjestelmiin lukeutuvat esimerkiksi manipuloivat tai sosiaalista pisteytystä harjoittavat järjestelmät. Korkeariskiseksi taas lasketaan esimerkiksi tietyt henkilöstöhallin-toon ja rekrytointiin liittyvät tekoälyjärjestelmät. Rajoitettua riskitasoa edustavat esimerkiksi chatbotit ja vähäisen riskin järjestelmäksi voidaan katsoa esimerkiksi sähköpostin roskapos-tisuodatintoiminto.

Tietosuoja (GDPR) ja tekoäly

EU:n tekoälyasetuksen yksi lähtökohdista on, että oikeus yksityisyyteen ja henkilötietojen suojaan on taattava tekoälyjärjestelmän koko elinkaaren ajan. Näin ollen tekoälyjärjestelmiä kehittävien tahojen, niitä käyttävien ja valmiita tekoälyjärjestelmiä omiin jo käytössä oleviin järjestelmiinsä integroivien yritysten on noudatettava tietosuojalainsäädäntöä. Käytännössä tämä tarkoittaa muun muassa, että tietoja käsitellään asianmukaisesti ja lainmukaisesti tiet-tyä ja laillista tarkoitusta varten. Lisäksi on huolehdittava asianmukaisten tietosuojaselostei-den laatimisesta, huomioitava automaattisen päätöksenteon rajoitukset sekä tarvittaessa tehtävä vaikutustenarviointi (DPIA) ja laadittava tietojenkäsittelysopimukset.

Lisäksi työelämässä sovelletaan erikseen työelämän tietosuojalainsäädäntöä, joka rajoittaa työntekijätietojen käsittelyä ja edellyttää tiettyjä toimenpiteitä työntekijöiden henkilötietojen käsittelyn osalta.

HR ja työelämä

Sen lisäksi, että tekoälyn käyttöön työelämässä liittyy edellä mainittu tietosuojalainsäädäntö, on tekoälyn käytön tarvetta ja käyttötapaa henkilöstöhallinnossa ja rekrytoinneissa aina har-kittava tarkasti. Tietyt HR-liitännäiset tekoälyjärjestelmät kuuluvat EU:n tekoälyasetuksen korkeariskisten järjestelmien piiriin, mikä tietää lisävelvoitteita niin käyttäjille kuin tekoälyjär-jestelmän kehittäjille.

Lisäksi tietynlaisten tekoälyjärjestelmien käyttöönotto voi johtaa yhteistoimintamenettelyi-den tarpeeseen. Näin voi olla esimerkiksi silloin, jos aikaisemmin ihmisen tekemä asiakas-palvelu korvataan chatbotilla. Tekoälyn käyttöönoton vaikutukset henkilöstöön ja henkilös-tön henkilötietojen suojaan on näin ollen aina kyettävä arvioimaan ennen kuin tekoälyjärjes-telmiä otetaan käyttöön.

Tekijänoikeudet – kuka omistaa tekoälyn tuotoksen?

Tekoälyllä ei ole tekijänoikeuksia eikä tekoälyn käyttäjäkään automaattisesti saa tekijänoi-keutta tekoälyavusteisesti tekemäänsä tuotokseen – pitipä tekijä tekelettään kuinka

uniikkina tahansa. Tekijänoikeussuojaa tekoälyavusteisesti tehty tuotos nauttii vain, jos mu-kana on riittävästi ihmisen omaa luovaa panosta.

Luovan työn tekijöille tekoälyn käyttäminen luo tarpeen pohtia tekijänoikeudellisia näkökul-mia, jotta luovan työn tulos ei päädy vapaasti kaikkien käytettäväksi. Saadakseen tuotok-selleen tekijänoikeussuojaa, on tekijä oma ja riittävä luova panos pystyttävä osoittamaan, ja tämän takia tekijän on syytä dokumentoida tekoälyn avulla tehdyn tuotoksen luomiseen liit-tyvä prosessi käytettyine kehotteineen (promptit) tarkasti.

Mikäli tekoälyllä tehtyjä tuotoksia taas käytetään markkinoinnissa, on syytä tarkistaa, että tuotoksen sisältö ja ulkoasu täyttää lainsäädännön vaatimukset eikä ole esimerkiksi hyvän markkinointitavan vastainen.

Mitä tekoälyä yritystoiminnassaan käyttävän kannattaa tehdä nyt?

Vastuullinen tekoälyn käyttö ei synny sattumalta, vaan se vaatii rakenteita ja henkilöstön kouluttamista. Kerralla ei tarvitse tulla valmista, mutta toimeen on jokaisen tekoälyä yritys-toiminnassa käyttävän kuitenkin ryhdyttävä.

Aloita näistä:

1. Laadi yrityksenne tekoälypolitiikka

· Mihin tekoälyä saa käyttää

· Mitä dataa saa tekoälylle syöttää

· Millainen tekoälyn käyttö on kielletty

· Millaisia järjestelmiä on käytössä

· Mille riskitasolle järjestelmät kuuluvat

· Kuinka usein henkilöstöä koulutetaan

· Kuka vastaa valvonnasta, jne.

2. Kouluta henkilöstö

EU:n tekoälyasetus edellyttää tekoälylukutaitoa, josta työnantajan on henkilöstönsä osalta huolehdittava. Huolehdi riittävästä ja säännöllisesti kouluttamisesta. Osoita täyttäneesi te-koälyasetuksen koulutusvelvoite.

3. Tarkista sopimukset

· Tutustu käyttämäsi tekoälyjärjestelmän sopimusehtoihin:

o Mitä tapahtuu datalle, jota syötätte järjestelmään?

o Käytetäänkö dataa koulutusmateriaalina?

o Kauanko dataa säilytetään?

o Salataanko järjestelmään syöttämäänne dataa?

o Mitä sopimusehdoissa ylipäätään sanotaan?

4. Hahmota tekoälyn käyttöön liittyvä henkilötietojen käsittely ja päivitä tietosuojado-kumentaatio

· Mitä henkilötietoja tekoälyavusteisesti käsitellään?

· Onko käsittelylle lainmukainen käsittelyperuste?

· Mitä riskejä henkilötietojen käsittelyyn liittyy?

· Päivitä tietosuojaselosteet

· Päivitä käsittelytoimien kuvaukset

· Päivitä tietojen käsittelysopimukset

· Dokumentoi tietoturvakäytännöt

5. Pidä ihminen päätöksenteossa

· Tekoäly on työkalu, mutta se ei saa tehdä päätöksiä.

· Ihminen on aina vastuussa.

Lopuksi

Tekoäly tarjoaa valtavia mahdollisuuksia, mutta myös uudenlaisia riskejä, velvoitteita ja vas-tuita. Yrityksessä keskeinen kysymys ei saa olla: “Voimmeko käyttää tekoälyä?”, vaan “Käy-tämmekö sitä oikein, turvallisesti ja lainmukaisesti?”

© Niina Kosunen, niina.kosunen@luckylaki.fi

Kirjoittaja toimii Asianajotoimisto Luckylaki Oy:n osakkaana ja asianajajana. Kosunen kou-luttaa yrityksiä tekoälyn vastuullisesta käytöstä sekä tietosuojalainsäädännön velvoitteista.