Vuosi lähenee loppuaan ja keskustelu tekoälystä käy kiivaana. Tiedotteessamme, Tekoäly on hyvä renki mutta huono isäntä, kävimme laajemmin läpi tekoälyä ja sen käyttöön liittyviä riskejä yleisellä tasolla. Tähän asti yleinen tietosuoja-asetus, GDPR, on tuntunut pitävän huolta EU:n kansalaisten yksityisyyden suojasta. Erityisesti generatiivisten tekoälyjen räjähdysmäinen käyttö sekä niiden mahdollistamat innovaatiot ja käyttötarkoitukset saavat kuitenkin pohtimaan: onko GDPR enää riittävä?
Vastauksena tähän on EU:n tekoälysäädös (AI Act), joka on maailman mittakaavalla ensimmäinen laatuaan. Sen tarkoituksena on luoda tekoälyjärjestelmien kehittäjille innovaatiolähtöinen viitekehys sekä taata loppukäyttäjille turvalliset, perusoikeuksien ja EU:n arvojen mukaiset järjestelmät.
Lyhykäisyydessään tekoälysäädös on riskilähtöinen asetus. Konkreettisin esimerkki on sen luokitus tekoälyjärjestelmien riskitasoista:
Säädöksen oli määrä jo tulla täytäntöön, mutta ChatGPT:n mullistava julkaisu vuoden 2022 syksyllä laittoi asiat uusiksi. Asetuksen sisällöstä on käyty kiivaita keskusteluja, kunnes 8. joulukuuta EU:ssa päästiin vihdoin yhteisymmärrykseen, ja lainsäädäntötyö voi jatkua. Seuraavaksi EU:n sidosryhmien on päivitettävä ja hyväksyttävä uudistettu teksti, ja saamme näillä näkymin kuulla uutisia ennen vuoden 2024 EU-vaaleja uunituoreesta tekoälysäädöksestä.
Euroopan tietosuojavaltuutettu (European Data Protection Supervisor, EDPS) on kommentoinut tietosuojaviranomaisten olevan oiva taho tekoälysäädöksen kansalliseen valvontaan. Säädöksen tullessa voimaan, organisaatioilla on kaksi vuotta aikaa toteuttaa asetuksen vaatimukset. Kulisseissa kuitenkin huhutaan poikkeuksista, jotka toisivat organisaatioille velvoitteita jo 6–12 kuukauden sisällä asetuksen voimaantulosta. Uusi säädös tarkoittaa joka tapauksessa GDPR:n kaltaista projektia tietosuoja-ammattilaisten pöydälle. Kutsutaanko tonttupartio paikalle?
Tekoälysäädös tulee vaatimaan organisaatioissa eri tiimien rajat ylittävää yhteistyötä. Tietosuojatiimit eivät voi yksinään tehdä päätöksiä tekoälyn käyttöönotoista, vaan teknologian monimuotoisuus ja kompleksisuus vaatii muun muassa laajaa tietoturvaosaamista.
Vaikka säädös ei olekaan valmis, siihen kannattaa alkaa jo varautua. Tässä tärkeimmät vinkit onnistuneeseen vuoden aloitukseen ja vaatimustenmukaisuuden valmistautumiseen:
Tämän tekoälysääntelyyn keskittyvän blogisarjan seuraavassa osiossa perehdymme tarkemmin itse säädökseen. Pysy siis kuulolla!
Oona työskentelee Deloitten riskienhallintayksikössä ja on vastuussa tietosuojapalveluiden tarjonnasta Suomessa. Hänellä on kokemusta niin julkisen kuin yksityisen sektorin tietosuojan kehittämiseen ja arviointiin liittyvistä toimeksiannoista yli 20 organisaatiossa. Konsultoinnin lisäksi Oona on toiminut kaksi vuotta in-house tietosuojapäällikkönä, ja vastasi työntekijöiden ja työnhakijoiden tietosuojasta metsäalan yrityksessä. Hän vastasi tietosuojahallinnon kehittämisestä yhtiön globaalissa HR:ssä, johti DPIA- ja PIA-prosesseja sekä osallistui uuden tietosuojanhallintatyökalun käyttöönottoon. Briefly in English: Oona is part of the Deloitte Risk Advisory's Cyber Risk team in Finland. At Deloitte Oona is responsible for the data privacy service offering in the Finnish market and advises clients on diverse privacy matters. During her time at Deloitte, Oona has worked in projects ranging from Data Protection Impact Assessments (DPIAs), GDPR internal audits, data inventory and was a team member in a cyber culture change and awareness program. In addition to consulting, Oona has experience in data privacy in an in-house role from the forest industry where she worked for 2 years. She was responsible for developing data privacy governance within the company’s global HR, lead DPIA and PIA processes and took part in implementation of a new data privacy management tool.