Tekoälyasetuksen vaatimukset: soveltamisala

TekoälyTeknologiaTekoälyasetus
Kirjoittaja: Atte Kuismin-Raerinne

Edellisessä blogitekstissämme perkasimme tekoälyasetuksen (eli kotoisasti AI Actin) neljä eri riskiluokkaa. Seuraava looginen kysymys kuuluu: koskeeko tämä sääntely meitä, teitä vai pelkästään Piilaakson teknologiajättejä?

Vastaus löytyy tekoälyasetuksen ensimmäisestä luvusta, jossa määritellään asetuksen soveltamisala. Juridisessa tekstissä soveltamisala jaetaan perinteisesti kolmeen ulottuvuuteen: asialliseen, alueelliseen ja ajalliseen. Katsotaanpa ylätasolla, mistä näissä on kyse ja keneen sääntely kohdistuu.

Asiallinen soveltamisala: Mikä määritellään tekoälyksi?

Asetuksen ensimmäinen luku pureutuu siihen, mitä teknologiaa sääntely koskee. EU halusi luoda määritelmän, joka ei vanhene käsiin heti seuraavan teknologisen läpimurron myötä. Siksi määritelmä mukaili pitkälti talousjärjestö OECD:n laajaa muotoilua.

Asetuksen silmissä tekoälyjärjestelmä on konepohjainen järjestelmä, joka:

  • Toimii vaihtelevilla itsenäisyyden asteilla (autonomia).

  • Saattaa olla mukautuva käyttöönoton jälkeen.

  • Päättelee saamastaan syötteestä (datasta), miten se voi tuottaa tuotoksia, kuten ennusteita, sisältöä, suosituksia tai päätöksiä, jotka voivat vaikuttaa ympäristöön.

Määritelmä on tarkoituksella laaja, mutta se rajaa ulkopuolelleen perinteiset, täysin sääntöpohjaiset ohjelmistot (kuten perinteiset Excel-makrot).

Tärkeät rajaukset: Sääntelyä ei sovelleta järjestelmiin, joita käytetään yksinomaan sotilaalliseen tarkoitukseen, puolustukseen tai kansalliseen turvallisuuteen. Myös puhtaasti tieteellinen tutkimus- ja kehitystyö sekä harrastustoiminta (ennen kuin järjestelmä tuodaan markkinoille) on rajattu soveltamisalan ulkopuolelle.

Alueellinen soveltamisala: Ulottuuko EU-laki Piilaaksoon?

Lyhyt vastaus: Kyllä ulottuu, ja hyvinkin pitkälle. Tätä kutsutaan usein "Brysselin efektiksi". Tekoälyasetuksen alueellinen soveltamisala on laadittu niin, ettei sitä pääse karkuun siirtämällä palvelimia EU:n rajojen ulkopuolelle.

Sääntöä sovelletaan, jos jokin seuraavista ehdoista täyttyy:

  1. Tekoälyjärjestelmä tai yleiskäyttöinen tekoälymalli (kuten suuri kielimalli) tuodaan EU:n markkinoille tai otetaan käyttöön EU:ssa – riippumatta siitä, missä kehittäjä sijaitsee.

  2. Järjestelmän tarjoajalla tai käyttöönottajalla on toimipaikka EU:n alueella.

  3. Järjestelmän tarjoaja tai käyttöönottaja sijaitsee EU:n ulkopuolella (esim. USA:ssa tai Intiassa), mutta järjestelmän tuottamaa tulosta (output) käytetään EU:ssa.

Esimerkki: Jos yhdysvaltalainen yritys käyttää tekoälyä analysoidakseen suomalaisten kuluttajien käyttäytymistä ja tekee sen pohjalta luottoluokituksia, järjestelmän on noudatettava tekoälyasetusta.

Ajallinen soveltamisala: Koska säännöt alkavat painaa?

Tekoälyasetus astui virallisesti voimaan elokuussa 2024, mutta sen velvoitteet on porrastettu siirtymäajoilla, jotta yritykset ehtivät sopeutua. Tässä hetkessä eläessämme tilanne näyttää seuraavalta:

  • Helmikuu 2025 (Voimassa): Ei-hyväksyttävän riskin järjestelmät (kuten sosiaalinen pisteytys) tulivat laittomiksi, ja henkilöstön tekoälylukutaitoa koskevat vaatimukset astuivat voimaan.

  • Elokuu 2025 (Voimassa): Yleiskäyttöisiä tekoälymalleja (GPAI) ja hallinnollisia elimiä koskevat säännöt tulivat sovellettaviksi.

  • Elokuu 2026 (Aivan nurkan takana!): Suurin osa suuririskisten tekoälyjärjestelmien (esim. rekrytointiin ja kriittiseen infrastruktuuriin liittyvät järjestelmät) tiukoista compliance-velvoitteista astuu voimaan.

  • Elokuu 2027: Viimeisetkin säädökset, jotka koskevat säänneltyjen tuotteiden (kuten lääkinnällisten laitteiden tai hissien) sisäänrakennettuja tekoälyjärjestelmiä, astuvat voimaan.

    HUOM! EU:n Digiomnibus hanke pyrkii vähentämään sääntelyä mm. tekoälyasetuksessa. Alustavasti tekoälyasetusta koskevat muutokset on hyväksytty ja elokuun 2026 ja 2027 soveltamisaikoja ehdotetaan siirrettäväksi vuodella eteenpäin korkean riskin tekoälyn osalta. Läpinäkyvyysvelvoite tulee näillä näkymin yhä elokuussa 2026 voimaan!

Keskeiset termit: Keneen sääntely kohdistuu?

Asetuksessa ei puhuta vain geneerisesti "yrityksistä", vaan vastuut on jaettu tarkasti eri roolien mukaan. Ensimmäisen luvun tärkeimmät toimijat ovat:

  • Tarjoaja (Provider): Se taho (luonnollinen henkilö tai oikeushenkilö), joka kehittää tekoälyjärjestelmän (tai luovuttaa sen kehitystyön toiselle) ja saattaa sen markkinoille omalla nimellään tai tavaramerkillään. Tarjoajalla on aina suurin vastuutaakka ja velvollisuus varmistaa vaatimustenmukaisuus.

  • Käyttöönottaja (Deployer): Organisaatio tai ammatinharjoittaja, joka käyttää tekoälyjärjestelmää omassa ammattitoiminnassaan. Huom! Tämä ei tarkoita yksityistä kuluttajaa, vaan esimerkiksi yritystä, joka ostaa ulkopuolisen HR-järjestelmän ja käyttää sitä rekrytoinnissa. Käyttöönottajan vastuulla on käyttää järjestelmää ohjeiden mukaan ja valvoa sen toimintaa.

  • Maahantuojat ja jakelijat (Importers and Distributors): Toimitusketjun osat, jotka huolehtivat siitä, että EU:n ulkopuolelta tulevat järjestelmät kantavat vaadittavia CE-merkintöjä ja dokumentteja.

Tiivistys

Tekoälyasetuksen verkko on heitetty laajalle. Jos organisaatiosi toimii EU:ssa, kehittää ohjelmistoja EU-markkinalle tai edes hyödyntää tekoälypohjaisia työkaluja liiketoiminnassaan, kuulut erittäin suurella todennäköisyydellä asetuksen soveltamisalaan. Ensimmäinen askel on tunnistaa oma roolinsa – oletteko tekoälyn tarjoaja vai käyttöönottaja – sillä se määrittää sen, kuinka pitkäksi kotitehtävälistanne muodostuu ennen tulevia takarajoja.

Me autamme mielellään tekoälyjärjestelmän kehittäjiä tekoälyasetuksen kiemuroiden kanssa. Ole yhteydessä!

Atte Kuismin-Raerinne
Edellinen

Milloin saan oikeusapua huostaanottoa koskevassa asiassa ?
Seuraava

Tekoälyasetuksen vaatimukset: riskiluokittelu