EU AI Act (tekoälyasetus) – mitä yrityksen kannattaa tietää ja tehdä nyt

Kirjoittaja: Tommi Kumpuniemi

EU AI Act on ensimmäinen laaja EU-tason tekoälysäädös. Se tuo riskiperusteiset velvoitteet sekä tekoälyä kehittäville että sitä käyttäville organisaatioille. Tärkein käytännön viesti yrityksille: selvitä, missä tekoälyä käytetään, luokittele käyttötavat riskin mukaan ja rakenna perusprosessit (osaaminen, hankinta, läpinäkyvyys ja valvonta).

Mikä EU AI Act on?

EU AI Act (asetuksena suoraan sovellettava sääntely) asettaa yhtenäiset vaatimukset tekoälyjärjestelmien kehittämiselle, markkinoille saattamiselle ja käytölle EU:ssa. Asetuksen logiikka on riskiperusteinen: mitä suurempi riski ihmisten turvallisuudelle ja perusoikeuksille, sitä tiukemmat vaatimukset. Suurin osa velvoitteista kohdistuu korkeaan riskiin luokiteltuihin tekoälyjärjestelmiin.

Miksi tämä koskee myös ”tavallista” yritystä?

Tekoälyasetus ei koske vain tekoälyä kehittäviä yrityksiä. Jos organisaatio ottaa tekoälytyökaluja käyttöön esimerkiksi rekrytoinnissa, asiakaspalvelussa, sisällöntuotannossa tai päätöksenteon tukena, se on usein asetuksen näkökulmasta käyttöönottaja (deployer). Velvoitteet syntyvät siitä, miten tekoälyä käytetään ja mihin tarkoitukseen – ei siitä, onko kyseessä ”AI-yhtiö”.

Roolit käytännössä: provider vs. deployer

Asetus tunnistaa useita toimijarooleja. Yrityksen näkökulmasta olennaisimmat ovat yleensä kaksi: Tarjoaja (provider) kehittää tekoälyjärjestelmän tai saattaa sen EU-markkinoille omalla nimellään. Käyttöönottaja (deployer) käyttää järjestelmää omassa toiminnassaan – myös silloin, kun työkalu on ostettu ulkopuoliselta toimittajalta. Moni organisaatio on käytännössä molempia: se käyttää valmista työkalua, mutta rakentaa sen päälle omia käyttötapauksia, integraatioita tai sääntöjä.

Riskimalli neljällä tasolla

EU AI Act jakaa tekoälyjärjestelmät karkeasti neljään riskitasoon. Kiellettyihin (unacceptable risk) kuuluvat tietyt käyttötavat, joita ei saa tehdä lainkaan. Korkean riskin (high-risk) järjestelmät ovat sallittuja, mutta niiden käyttöönotto edellyttää laajaa riskienhallintaa, dokumentaatiota, seurantaa ja ihmisen valvontaa. Rajoitetun riskin (limited risk) tapauksissa keskiössä on läpinäkyvyys: ihmiselle kerrotaan, että hän on tekemisissä tekoälyn kanssa tai että sisältö on tekoälyn tuottamaa/muokkaamaa. Vähäisen riskin (minimal risk) järjestelmiin ei yleensä liity erityisiä AI Act -velvoitteita, mutta muut lait (esim. tietosuoja ja kuluttajansuoja) voivat silti rajoittaa käyttöä.

Läpinäkyvyys: chatbotit, AI-sisältö ja deepfaket

Monessa yrityksessä ensimmäinen konkreettinen muutos on läpinäkyvyys. Jos asiakas asioi chatbotin kanssa, hänen pitää yleensä saada tieto siitä, että kyse on tekoälystä. Jos tuotetaan tai muokataan kuvaa, ääntä tai videota siten, että lopputulos on deepfake, sisältö on lähtökohtaisesti merkittävä. Sama ajattelu näkyy myös tilanteissa, joissa tekoälyllä tuotettua sisältöä julkaistaan yleisölle: yrityksen on hyvä sopia yhteiset pelisäännöt siitä, milloin ja miten tekoälyn käyttö kerrotaan.

AI literacy: osaamisvelvoite on jo voimassa

AI Actin käytännöllisin velvoite monelle organisaatiolle on tekoälylukutaito (AI literacy). Komission mukaan tarjoajien ja käyttöönottajien tulee toteuttaa toimenpiteitä, joilla varmistetaan henkilöstölle ja muille järjestelmän käyttöön osallistuville riittävä osaamistaso (huomioiden henkilön tausta sekä se konteksti, jossa järjestelmää käytetään ja keihin vaikutetaan).

GPAI-mallit ja 2.8.2025: mitä muuttui?

Yleiskäyttöiset tekoälymallit (GPAI) – esimerkiksi suuret generatiiviset mallit – saivat AI Actissa oman velvoitekokonaisuutensa. Suomen valtioneuvoston mukaan GPAI-malleja koskevat toimijavelvoitteet tulevat sovellettaviksi 2.8.2025, ja EU-tason valvonnasta vastaa komission alainen AI Office. Käyttöönottajalle tämä näkyy käytännössä hankinnassa ja sopimuksissa: toimittajalta pitää saada riittävästi tietoa, jotta yritys voi arvioida riskit, käyttöehdot, tietoturvan ja omat velvoitteensa.

Aikataulu tiiviisti

Komission mukaan AI Act tuli voimaan 1.8.2024 ja on täysimääräisesti sovellettava 2.8.2026, mutta tietyt osat tulevat voimaan aiemmin tai myöhemmin. Käytännön kannalta tärkeät etapit ovat: 2.2.2025 (kielletyt käytännöt ja AI literacy), 2.8.2025 (GPAI-velvoitteet ja hallintamalli) ja 2.8.2027 (pidempi siirtymä osa-alueille, joissa korkean riskin tekoäly on sisäänrakennettu säänneltyihin tuotteisiin).

Seuraamukset: miksi tämä kannattaa hoitaa kuntoon?

Asetus edellyttää jäsenvaltioilta tehokkaita ja varoittavia seuraamuksia. Komission AI Act -palvelusivuston mukaan kiellettyjen käytäntöjen rikkomisesta voidaan määrätä hallinnollinen seuraamusmaksu enintään 35 000 000 euroa tai 7 % maailmanlaajuisesta liikevaihdosta (sen mukaan, kumpi on suurempi).

Toimintaohje yritykselle: selkeä etenemismalli

Alla on käytännöllinen malli, joka toimii useimmille organisaatioille. Se ei vaadi raskasta byrokratiaa, mutta tekee vastuut ja perustekemisen näkyväksi.

  1. Tee AI-inventaario: listaa tekoälytyökalut ja käyttötapaukset (myös kokeilut, lisäosat ja ”pienet” automaatiot).

  2. Määritä roolit: missä olet käyttöönottaja, missä mahdollisesti tarjoaja (esim. oma tuote tai asiakaskohtainen AI-ratkaisu).

  3. Luokittele riskit: tunnista kielletyt käyttötavat, korkean riskin tapaukset ja läpinäkyvyyttä vaativat käyttötavat.

  4. Päivitä hankinta ja sopimukset: vaadi toimittajalta dokumentaatio, käyttörajat, tietoturvatiedot ja tuki auditointeihin.

  5. Sovi sisäiset pelisäännöt: hyväksyntäkynnys (kuka päättää), käyttötarkoitusrajaukset ja kielletyt käyttötavat.

  6. Toteuta AI literacy: lyhyt peruskoulutus kaikille + syventävä koulutus niille, jotka rakentavat/konfiguroivat AI-ratkaisuja.

  7. Rakenna läpinäkyvyys käytäntöön: chatbot-ilmoitukset, deepfake-merkinnät ja julkaisuprosessi AI-sisällölle.

  8. Luo seuranta: miten arvioit laatua, harhoja, tietoturvaa ja poikkeamia – ja milloin käyttö keskeytetään.

Lähteet

  • European Commission: AI Act – Shaping Europe’s digital future (soveltamisaikataulu).

  • European Commission: AI literacy – Questions & Answers (AI Act, Article 4).

  • Finnish Government / Valtioneuvosto: Application of EU Artificial Intelligence Act to begin on 2 August 2025 (GPAI ja AI Office).

  • European Parliament: EU AI Act – first regulation on artificial intelligence (yleiskuva tavoitteista).

  • European Commission AI Act Service Desk: Article 99 (seuraamusmaksujen enimmäistasot).

  • Regulation (EU) 2024/1689 (Artificial Intelligence Act), EUR-Lex.

Tommi Kumpuniemi
Seuraava

Verovapaat matkakustannusten korvaukset vuonna 2026