EU:n tekoälyasetus – mitä yritysten on hyvä tietää tarjoajan ja käyttöönottajan velvoitteista

Euroopan unionin tekoälyasetus (EU Artificial Intelligence Act, 2024/1689) on historian ensimmäinen tekoälyä koskeva lainsäädäntö. Sen tavoitteena on varmistaa, että Euroopassa käytettävät tekoälyjärjestelmät ovat turvallisia, läpinäkyviä ja ihmisen hallinnassa.

Asetus perustuu riskiperusteiseen lähestymistapaan (risk-based approach) ja sen ytimessä on ajatus siitä, että tekoäly on kuin mikä tahansa tuote, sen turvallisuudesta ja toimivuudesta vastaa se, joka sen tuo markkinoille tai ottaa käyttöön.

Tekoälyasetus on siis tuoteturvallisuuslaki tekoälylle. Se koskee kaikkia tekoälyjärjestelmiä, jotka toimivat jollakin autonomian ja oppimisen tasolla ja voivat vaikuttaa ihmisten elämään, työhön tai oikeuksiin.

Tekoälyn riskitasot – neljä porrasta

Asetuksessa tekoälyjärjestelmät jaotellaan neljään riskitasoon sen perusteella, kuinka paljon ne voivat vaikuttaa ihmisiin ja yhteiskuntaan.

1. Riski, jota ei voida hyväksyä (unacceptable risk)

Kaikki tekoälyjärjestelmät, jotka uhkaavat ihmisten turvallisuutta, toimeentuloa tai perusoikeuksia, ovat kiellettyjä.
Kiellettyjä käytäntöjä ovat esimerkiksi:

haitallinen tekoälyyn perustuva manipulointi ja petos
tekoälyn käyttö haavoittuvuuksien hyväksikäyttöön
sosiaalinen pisteytys
yksittäisen rikoksen riskin arviointi tai ennustaminen
kasvojentunnistustietokantojen luominen laajamittaisella verkkokaavinnalla
tunteiden tunnistaminen työpaikoilla ja oppilaitoksissa
biometrinen luokittelu suojattujen ominaisuuksien määrittämiseksi
reaaliaikainen biometrinen etätunnistus lainvalvontatarkoituksessa julkisissa tiloissa

2. Suuri riski (high risk)

Suuririskisiä ovat tekoälyratkaisut, jotka voivat vaikuttaa merkittävästi ihmisten elämään tai oikeuksiin.
Tällaisia ovat esimerkiksi:

tekoälyn turvakomponentit kriittisissä infrastruktuureissa (esim. liikenteessä)
tekoälysovellukset, jotka vaikuttavat koulutukseen, työllistymiseen tai terveyteen
lainan, sosiaalietuuksien tai oikeudellisten päätösten tekoälypohjainen käsittely
biometrinen tunnistus, tunteiden tunnistaminen ja luokittelu
tekoälyn käyttö lainvalvonnassa tai rajavalvonnassa

Suuririskisille tekoälyjärjestelmille asetetaan tiukat vaatimukset ennen markkinoille tuontia.
Tarvitaan muun muassa:

riskienhallintajärjestelmä ja riskienvähentämistoimet
laadukas ja syrjimätön koulutusdata
toiminnan kirjaaminen ja jäljitettävyys
dokumentaatio ja käyttöohjeet
ihmisen valvonta ja pysäytettävyys
korkea tarkkuus ja kyberturvallisuus

3. Vähäinen riski (limited risk)

Näissä järjestelmissä korostuu läpinäkyvyys.
Esimerkiksi chatbotin tai generatiivisen tekoälyn on kerrottava käyttäjälle, että hän on vuorovaikutuksessa tekoälyn kanssa.
Generatiivisen tekoälyn tarjoajien (providers) on myös varmistettava, että tekoälyn tuottama sisältö on tunnistettavissa ja tarvittaessa merkitty, erityisesti syväväärennösten osalta.

4. Minimaalinen tai olematon riski (minimal or no risk)

Tähän luokkaan kuuluu valtaosa nykyisistä tekoälysovelluksista, kuten tekoälyä hyödyntävät videopelit tai roskapostisuodattimet.
Näihin ei kohdistu erityisiä velvoitteita.

Tarjoaja ja käyttöönottaja – eri roolit, eri vastuut

Asetus erottaa selvästi kaksi päätoimijaa:

Tarjoaja (provider)	Käyttöönottaja (deployer)
Organisaatio, joka kehittää tekoälyjärjestelmän tai tuo sen markkinoille omalla nimellään tai tavaramerkillään. Tarjoajan velvollisuuksia ovat muun muassa: riskienhallinnan ja teknisen dokumentaation laatiminen koulutusdatan laadun varmistaminen käyttöohjeiden ja varoitusten laatiminen läpinäkyvyyden ja ihmisen valvonnan varmistaminen markkinoille saattamisen jälkeinen seuranta ja viranomaisyhteistyö Tarjoaja vastaa siis siitä, että tekoälyjärjestelmä on turvallinen ja asetuksen mukainen ennen markkinoille tuloa.	Organisaatio, joka ottaa tekoälyjärjestelmän käyttöön omassa toiminnassaan. Sen velvollisuuksia ovat: käyttöohjeiden ja valvontamenettelyjen noudattaminen perusoikeusvaikutusten arviointi (Fundamental Rights Impact Assessment, FRIA), jos tekoäly vaikuttaa ihmisiin suoraan työntekijöiden ja asiakkaiden informointi tekoälyn käytöstä ihmisen jatkuva valvonta tekoälyn toiminnoissa poikkeamista ja vaaratilanteista ilmoittaminen viranomaisille ja tarjoajalle

Tarjoaja (provider)

Käyttöönottaja (deployer)

Organisaatio, joka kehittää tekoälyjärjestelmän tai tuo sen markkinoille omalla nimellään tai tavaramerkillään.
Tarjoajan velvollisuuksia ovat muun muassa:

riskienhallinnan ja teknisen dokumentaation laatiminen
koulutusdatan laadun varmistaminen
käyttöohjeiden ja varoitusten laatiminen
läpinäkyvyyden ja ihmisen valvonnan varmistaminen
markkinoille saattamisen jälkeinen seuranta ja viranomaisyhteistyö

Tarjoaja vastaa siis siitä, että tekoälyjärjestelmä on turvallinen ja asetuksen mukainen ennen markkinoille tuloa.

Organisaatio, joka ottaa tekoälyjärjestelmän käyttöön omassa toiminnassaan.
Sen velvollisuuksia ovat:

käyttöohjeiden ja valvontamenettelyjen noudattaminen
perusoikeusvaikutusten arviointi (Fundamental Rights Impact Assessment, FRIA), jos tekoäly vaikuttaa ihmisiin suoraan
työntekijöiden ja asiakkaiden informointi tekoälyn käytöstä
ihmisen jatkuva valvonta tekoälyn toiminnoissa
poikkeamista ja vaaratilanteista ilmoittaminen viranomaisille ja tarjoajalle

Toisin sanoen: tarjoaja huolehtii siitä, että tekoäly on turvallinen tuote, ja käyttöönottaja siitä, että sitä käytetään oikein ja vastuullisesti.

Yleiskäyttöinen tekoäly (General Purpose AI, GPAI)

Yleiskäyttöiset tekoälymallit, kuten ChatGPT tai Copilot, voivat toimia monissa eri sovelluksissa ja tehtävissä.Koska tällaiset mallit voivat muodostaa perustan lukuisille järjestelmille, niihin liittyy järjestelmäriskejä (systemic risks).

Elokuusta 2025 alkaen myös GPAI-mallien tarjoajia koskevat omat sääntönsä, jotka liittyvät avoimuuteen, tekijänoikeuksiin ja turvallisuuteen.

Euroopan komissio julkaisi heinäkuussa 2025 kolme työkalua GPAI-mallien vastuullisen kehityksen tukemiseksi:

Ohjeet (Guidelines), jotka selventävät GPAI-velvoitteiden soveltamisalaa
Käytännesäännöt (Code of Practice), joissa annetaan käytännön ohjeita avoimuudesta ja turvallisuudesta
Koulutusdatan yhteenvedon malli (Training Data Summary Model), jossa tarjoajat antavat yleiskuvan käytetystä datasta ja sen käsittelystä

Nämä työkalut tukevat turvallista ja innovatiivista tekoälykehitystä sekä vahvistavat kansalaisten luottamusta tekoälyyn.

Tekoälylukutaito (AI literacy) ja osaamisvelvoite

Tekoälyasetuksen 4 artikla edellyttää, että sekä tarjoajat että käyttöönottajat huolehtivat omasta ja henkilöstönsä tekoälylukutaidosta.
Tämä tarkoittaa riittävää ymmärrystä tekoälyn toiminnasta, riskeistä ja vaikutuksista, jotta järjestelmiä voidaan käyttää tietoon perustuen ja vastuullisesti.

Kyse on osaamisesta, ei vain koulutuksesta. Ilman ymmärrystä ei voi kantaa vastuuta.

Mitä yritysten kannattaa tehdä nyt?

Selvitä roolisi – oletko tarjoaja, käyttöönottaja vai molempia?
Arvioi riskit – missä tekoäly vaikuttaa ihmisten oikeuksiin ja elämään?
Dokumentoi ja seuraa – vaatimustenmukaisuus on osoitettava kirjallisesti.
Kouluta henkilöstöä – tekoälylukutaito on osa yrityksen compliance-työtä.
Seuraa kansallista täytäntöönpanoa – tulkintaohjeet ja tarkennukset.

Yhteenveto

EU:n tekoälyasetus on merkittävä askel kohti turvallisempaa, läpinäkyvämpää ja ihmiskeskeisempää tekoälyä. Se ei estä innovaatioita, vaan varmistaa, että tekoäly toimii ihmisen ehdoilla.

Tekoälyä saa käyttää, kunhan se tapahtuu vastuullisesti.

Lähteet

Euroopan komissio: EU Artificial Intelligence Act – Regulatory Framework for AI, Digital Strategy, 2025
Työ- ja elinkeinoministeriö: EU:n tekoälyasetus: tekoälykäytäntöjen kiellot astuvat voimaan 2.2.2025 (31.1.2025)
Helsingin yliopisto / HY+: Fundamentals of the AI Act (Anna-Mari Wallenberg, Tuomas Mattila, 2025)
HY+: Tietoisku – Tekoälylukutaito (AI Literacy, Article 4)

Kirjoittajasta

Markus Aho
Mainostoimistoyrittäjä +15 vuotta
YAMK, ammatillinen opettaja, väitöskirjatutkija
markus.aho@funlus.fi
050 585 6005
www.funlus.fi
https://www.linkedin.com/in/markusaho