EU:n tekoälysäädös (AI Act) tuli ja laukaisi asteittaisen siirtymäajan. Olemme listanneet tärkeät päivämäärät vaatimustenmukaisuuden tavoittamiseen edellisessä kirjoituksessamme Tekoälysäädös tuli, oletko valmis? Nyt kun viimeistelty versio on julkaistu, on organisaatioiden syytä tunnistaa ja luokitella käytössä olevat tekoälyjärjestelmät. Lopuksi pitää vielä varmistaa, että ne täyttävät säädöksen riskiluokkien vaatimukset. Tunnistamisessa ja luokittelussa on omat haasteensa, sillä myös käyttökontekstilla on väliä. Tämänkertaisen tarkastelun kontekstina on organisaatioiden arkaluonteisen henkilötiedon kehto – HR.
Säädöksen ensimmäinen määräaika on nurkan takana – jo helmikuussa 2025. Organisaatioilla on neljä kuukautta aikaa varmistaa henkilöstön riittävä tekoälyn ymmärrys eli tekoälyn lukutaito (AI literacy). Tämä tulee vaatimaan henkilöstön koulutusta. Mikäli koulutus on HR:n tontilla, on syytä ryhtyä laatimaan koulutussuunnitelmaa. Koko henkilöstön yleisen tietoisuuden lisäämisen lisäksi suosittelemme HR-henkilöstölle räätälöityä koulutusta ja ohjeistusta.
HR-näkökulmasta tekoälyä voi valjastaa moneen käyttötarkoitukseen. Käytännössä sillä nopeutetaan prosesseja ja voidaan esimerkiksi tehdä automaattisia päätöksiä osana rekrytointiprosessia. Organisaatioilla ei välttämättä aina ole erillistä tekoälytyökalua, vaan monet AI-toiminnallisuudet on sisäänrakennettu HR-järjestelmiin. Näiden toiminnallisuuksien hyötyjen valossa tulisi aina muistaa kolikon toinen puoli: yksityisyydensuoja, henkilötiedot ja tietoturva, joita edustaa tuttu ystävämme GDPR.
Kertauksena todettakoon, että sekä tekoälysäädös että yleinen tietosuoja-asetus (GDPR) ovat itsessään sovellettavaa lainsäädäntöä, johon on rakennettu riskilähtöisyysnäkökulma. Se, mihin riskiluokkaan tekoälyjärjestelmä tai -toiminallisuus kuuluu, määrittää säädöksen vaatimat jatkotoimenpiteet. HR-mielessä tekoälyjärjestelmät osuvat luokittelun suhteen useimmiten ”korkean riskin” järjestelmiin, vaikka muitakin tapauksia löytyy.
Kertauksena todettakoon, että sekä tekoälysäädös että yleinen tietosuoja-asetus (GDPR) ovat itsessään sovellettavaa lainsäädäntöä, johon on rakennettu riskilähtöisyysnäkökulma. Se, mihin riskiluokkaan tekoälyjärjestelmä tai -toiminallisuus kuuluu, määrittää säädöksen vaatimat jatkotoimenpiteet. HR-mielessä tekoälyjärjestelmät osuvat luokittelun suhteen useimmiten ”korkean riskin” järjestelmiin, vaikka muitakin tapauksia löytyy.
”Organisaatio on palkkaamassa työntekijää asiakaspalveluun. HR hyödyntää rekrytoinnissa tekoälyä prosessin tehostamiseksi. Tekoäly luo tiivistelmän työnhakijan työkokemuksesta sekä kielitaidosta ja arvioi tiivistelmän perusteella, onko työnhakijalla riittävä kokemus ja kielitaito avoimeen positioon. Lopuksi tekoäly hylkää hakijat, joilla ei ole riittävää englannin kielen taitoa, ja joilla on alle kolme vuotta työkokemusta asiakaspalvelusta. Hylätyille työnhakijoille lähtee automaattisesti viesti, jossa todetaan, ettei organisaatio etene prosessissa heidän kanssaan.”
Organisaatioiden tulee ottaa AI-sovelluksissa huomioon niin tekoälysäädös kuin myös GDPR. Jälkimmäisen merkitys korostuu etenkin HR:ssä, jossa käsitellään myös arkaluonteisia henkilötietoja. Mitä HR:ssä tulisi siis tehdä?
Useaan tekoälysovellukseen ja -toiminnallisuuteen liittyy automaattista päätöksentekoa. Tietosuojamielessä, yksilöllä on oikeus kieltäytyä automaattisesta päätöksenteosta eli käytännössä vaatia ihmistä tekemään häntä koskevat päätökset. Tämän vaikutuksia HR-prosesseihin on myös syytä arvioida.
Oona työskentelee Deloitten riskienhallintayksikössä ja on vastuussa tietosuojapalveluiden tarjonnasta Suomessa. Hänellä on kokemusta niin julkisen kuin yksityisen sektorin tietosuojan kehittämiseen ja arviointiin liittyvistä toimeksiannoista yli 20 organisaatiossa. Konsultoinnin lisäksi Oona on toiminut kaksi vuotta in-house tietosuojapäällikkönä, ja vastasi työntekijöiden ja työnhakijoiden tietosuojasta metsäalan yrityksessä. Hän vastasi tietosuojahallinnon kehittämisestä yhtiön globaalissa HR:ssä, johti DPIA- ja PIA-prosesseja sekä osallistui uuden tietosuojanhallintatyökalun käyttöönottoon. Briefly in English: Oona is part of the Deloitte Risk Advisory's Cyber Risk team in Finland. At Deloitte Oona is responsible for the data privacy service offering in the Finnish market and advises clients on diverse privacy matters. During her time at Deloitte, Oona has worked in projects ranging from Data Protection Impact Assessments (DPIAs), GDPR internal audits, data inventory and was a team member in a cyber culture change and awareness program. In addition to consulting, Oona has experience in data privacy in an in-house role from the forest industry where she worked for 2 years. She was responsible for developing data privacy governance within the company’s global HR, lead DPIA and PIA processes and took part in implementation of a new data privacy management tool.
Hannu Kasanen toimii partnerina Risk Advisory -yksikössä, missä hän johtaa Deloitten kyberpalveluita Suomessa. Hannulla on yli kahdenkymmenen vuoden kokemus IT- ja tietoturvakonsultoinnista. Hän on onnistuneesti johtanut Suomen merkittävimpien yritysten ja julkisen sektorin organisaatioiden kehityshankkeita. Hannu on erikoistunut identiteetinhallintaan ja tietosuojaan, mutta hän auttaa asiakkaitaan laajalla skaalalla kyberturvallisuusaiheissa. Briefly in English: Hannu leads Deloitte’s Cyber Risk service offering in Finland. He has more than twenty years of IT and security consulting experience with a proven track record of delivering substantial results. Hannu has successfully led complex projects with some of the most iconic brands and the biggest public-sector organizations in Finland. Hannu specializes in digital identity and data privacy but advises his clients on a broad spectrum of cybersecurity topics.