Tekoälytyökalut kehittyvät huimaa vauhtia. Vielä jokin aika sitten tekoälyllä tuotetun kuvan tunnisti helposti, mutta parhaimmillaan tekoälyn luomat kuvat ovat nykyään niin uskottavia, ettei niitä erota aidosta. Tekoälyllä voidaan tuottaa myös tekstiä, ääntä ja videota, ja se tarjoaa luovan alan toimijoille merkittäviä mahdollisuuksia nopeuttaa sisällöntuotantoa ja kehittää uusia ilmaisun muotoja.
Samalla tekoälyn käyttö herättää monia oikeudellisia kysymyksiä. Tässä blogissa käyn läpi, mitä juridisia näkökohtia luovien alojen yritysten kannattaa huomioida ennen tekoälytyökalujen käyttöönottoa ja niiden hyödyntämistä osana luovaa työtä.
Kuka omistaa tekoälyn avulla syntyneen sisällön ja miten sitä voi suojata?
Keskeinen kysymys on, saako tekijä yksinoikeuden käyttää tekoälyn avulla syntynyttä materiaalia ja myöntää siihen lisenssejä, vai jääkö lopputulos vapaasti kaikkien hyödynnettäväksi. Vastaus ei ole yksiselitteinen, vaan riippuu siitä, kuinka suuri ihmisen oma luova panos teoksen syntymisessä on ollut.
Tekijänoikeus syntyy sille, joka luo teoksen, edellyttäen että teos on riittävän itsenäinen ja omaperäinen. Tekijänoikeuden syntyminen edellyttää aina ihmisen tekemää luovaa panosta, ja arviointi tehdään tapauskohtaisesti. Tekijänoikeus ei koskaan suojaa pelkkää ideaa, vaan ainoastaan idean konkreettista ilmenemismuotoa.
Kun luovan alan ammattilainen käyttää tekoälyä työnsä apuna, tekijänoikeuden syntymistä arvioidaan näiden samojen periaatteiden mukaisesti. Tekijänoikeutta ei synny tilanteessa, jossa henkilö antaa tekoälylle vain yleisluonteisen ohjeen ja tekoäly muodostaa lopullisen sisällön kokonaan ilman käyttäjän omaa luovaa panosta.
Tilanne on toinen, jos tekoäly toimii osana laajempaa luovaa prosessia. Jos tekijä käyttää tekoälyä esimerkiksi ideoinnin tukena, luo sisältöä sen jälkeen itse ja hyödyntää tekoälyä lopuksi vain viimeistelyyn, teoksen luomisessa on todennäköisesti käytetty riittävästi omaa luovaa panosta tekijänoikeuden syntymiseksi.
Tekoälyn käyttöä kannattaa myös dokumentoida mahdollisten riitatilanteiden varalta. Omien luonnosten ja käytettyjen kehotteiden tallentaminen helpottaa sen osoittamista, mikä osuus lopputuloksesta perustuu ihmisen luovaan työhön.
Jos sisältöä luodaan generatiivisella tekoälyllä eikä lopputulokseen synny tekijänoikeutta, suojaa voidaan joissain tapauksissa hakea myös tavaramerkkien avulla. Esimerkiksi Moomin Characters on suojannut muumihahmoja tavaramerkkeinä. On kuitenkin tärkeää huomata, että tavaramerkki suojaa vain tietyissä tavara- ja palveluluokissa ja tietyllä maantieteellisellä alueella, ei luovaa sisältöä sinänsä. Se on siis kattavuudeltaan ja tarkoitukseltaan erilainen suojamuoto kuin tekijänoikeus.
Jos suunnitteilla on luova projekti, jossa generatiivista tekoälyä hyödynnetään laajasti, tavaramerkkisuojausta kannattaa kuitenkin harkita tekijänoikeuden rinnalla täydentävänä suojamuotona.
Voiko tekoälyllä luotua materiaalia käyttää vapaasti?
Tekoälyn avulla luotu materiaali ei automaattisesti ole vapaata muiden oikeuksista. Ratkaisevaa on se, millä tekoälypalvelulla materiaali on tuotettu ja mitä palvelun käyttöehdoissa on sovittu vastuunjaosta.
Osa tekoälypalveluista käyttää ainoastaan lisensoitua tai muutoin tekijänoikeuksista vapaata koulutusdataa ja ottaa sopimuksellisesti vastuun siitä, etteivät tekoälyn tuottamat materiaalit loukkaa kolmansien tekijänoikeuksia. Tällaisissa tapauksissa palveluntarjoaja kantaa vastuun tuotoksesta siltä osin kuin asiasta on käyttöehdoissa sovittu, ja käyttäjään kohdistuva oikeudellinen riski on olennaisesti pienempi.
Monet yleisesti käytössä olevat palvelut on sen sijaan koulutettu laajasti internetistä kerätyllä aineistolla, joka voi sisältää myös tekijänoikeudella suojattua materiaalia. Suurimmassa osassa palveluista palveluntarjoaja ei ota sopimuksellista vastuuta siitä, ettei generoitu sisältö loukkaa kolmansien oikeuksia, vaan vastuu sisällön käytöstä jää käyttäjälle. Tämän vuoksi tällaisilla palveluilla tuotettu materiaali edellyttää huolellista ennakkotarkastusta ennen sen julkaisemista.
Tiivistetysti voidaan todeta, ettei tekoälyn tuottamien materiaalien vapaaseen käyttöön ole yhtä yleispätevää vastausta. Vastuunjakoon vaikuttavat ennen kaikkea käytetty palvelu ja sen käyttöehdot, jotka on syytä katsoa läpi ennen kuin tekoälyä ryhdytään hyödyntämään osana sisällöntuotantoa.
Voiko tekoälypalveluun syöttää luottamuksellisia tietoja?
Lähtökohtaisesti luottamuksellisia tietoja ei tule syöttää tekoälypalveluihin, ellei palvelu ole nimenomaisesti tarkoitettu yrityskäyttöön ja sen ehdot ja tietoturva arvioitu huolellisesti.
Yrityskäytössä generatiivisista tekoälypalveluista tulisi käyttää business- tai enterprise-versioita, jos yrityksellä ei ole omalla palvelimella toimivaa paikallista tekoälyratkaisua. Kuluttajille tarkoitetuissa palveluissa, kuten ChatGPT:n ilmaisessa ja Plus-versiossa, palveluun syötettyjä materiaaleja ja kehotteita voidaan käyttöehtojen mukaisesti hyödyntää tekoälymallin kouluttamiseen. Lisäksi palveluntarjoaja saattaa pidättää laajoja oikeuksia käyttää ja jopa jakaa käyttäjän palveluun lataamaa aineistoa muuhunkin kuin tekoälymallin kouluttamiseen.
Tämä tarkoittaa, että jos yrityksen työntekijät käyttävät työssään kuluttajalisenssejä, he saattavat vaarantaa tietojen luottamuksellisuuden syöttäessään palveluun salassapidettävää tietoa.
Käytännön riski konkretisoituu esimerkiksi tilanteessa, jossa käsikirjoittaja tai copywriter käyttää ilmaista, kuluttajille tarkoitettua tekoälypalvelua tekstin hiomiseen ja syöttää palveluun esimerkiksi vielä julkaisemattoman käsikirjoituksen tai kampanjakonseptin. Kuluttajalisensseihin perustuvissa palveluissa sisältöä voidaan käyttöehtojen mukaan hyödyntää tekoälymallien kehittämiseen, jolloin aineisto ei enää ole yksinomaan yrityksen hallinnassa. Vaikka sisältö ei ilmestyisi identtisenä muualla, riski sen tunnistettavien piirteiden hyödyntämisestä osana muiden käyttäjien tuotoksia on olemassa.
On myös hyvä huomioida, että vaikka palvelun asetuksissa tai käyttöehdoissa koulutuskäyttö voitaisiin erikseen kieltää, muut riskit eivät poistu. Kuluttajalisensseissä palveluntarjoajat eivät useinkaan anna sitovia takuita palvelun tietoturvasta, jolloin palveluun syötetyt tiedot voivat olla alttiita esimerkiksi tietomurroille tai muille tietoturvaloukkauksille. Luottamuksellisten tietojen suojaaminen edellyttääkin yrityskäyttöön soveltuvan lisenssin valintaa sekä palvelun ehtojen ja tietoturvan arviointia ennen tekoälyn käyttöönottoa.
Voiko tekoälypalveluun syöttää henkilötietoja?
Jos tekoälypalveluun syötetään henkilötietoja, kuten henkilön kuvaa, ääntä tai nimiä, sovellettavaksi tulee yleinen tietosuoja-asetus eli GDPR.
Yrityksen vastuulla on huolehtia siitä, että käytettävän tekoälypalvelun lisenssiehdot on arvioitu huolellisesti. Yrityksen on osana yleisen tietosuoja-asetuksen noudattamista varmistettava muun muassa, ettei palveluun ladattua materiaalia käytetä tekoälyn kouluttamiseen, että palveluntarjoajan kanssa on mahdollista tehdä GDPR:n edellyttämä tietojenkäsittelysopimus sekä että käytettävä tekoälypalvelu tarjoaa asianmukaisen tietoturvan henkilötietojen suojaamiseksi. Käytännössä tekoälypalvelun käyttö edellyttää lähtökohtaisesti myös tietosuojan vaikutusten arvioinnin tekemistä.
Kuluttajille tarkoitetuilla ilmaisilla lisensseillä toimivien tekoälypalveluiden käyttö ei yleensä ole yleisen tietosuoja-asetuksen mukaista, sillä palveluntarjoajat käyttävät niihin ladattua aineistoa usein myös omiin tarkoituksiinsa.
Onko sallittua generoida tekoälyllä kuvia tai ääntä todellisesta henkilöstä?
Erityistä huomiota vaativat myös tilanteet, joissa tekoälyä käytetään tuottamaan kuvia todellisista henkilöistä tai luomaan tekoälyllä kopioita oikean henkilön puheäänestä. Henkilön kuva, ääni ja muut yksilöivät piirteet ovat henkilötietoja, ja myös tekoälyn generoima materiaali voidaan katsoa henkilötiedoksi, jos siitä on mahdollista tunnistaa tietty henkilö. Tällöin sovellettavaksi tulevat kaikki yleisen tietosuoja-asetuksen vaatimukset, kuten vaatimus informoida henkilöä hänen henkilötietojensa käsittelystä ja vaatimus laillisesta käsittelyperusteesta.
Sisällöntuotannossa on lisäksi tärkeää huomioida, että henkilön kuvan tai äänen käyttäminen kaupallisessa tarkoituksessa edellyttää kyseisen henkilön suostumusta. Vuonna 2025 Helsingin hovioikeus velvoitti alusvaateyrityksen korvaamaan Jasper Pääkköselle 300 000 euroa tämän nimen, kuvan ja äänen luvattomasta käyttämisestä laajassa mainoskampanjassa. Tuomio ei ole vielä lainvoimainen ja korkein oikeus on myöntänyt sille valitusluvan. Velvollisuus pyytää suostumus koskee myös tilanteita, joissa henkilön kuva tai ääni on generoitu tekoälyn avulla.
Milloin tekoälyllä tuotettu sisältö on merkittävä deepfakeksi?
EU:n uusi tekoälyasetus tuo mukanaan avoimuusvaatimuksia syväväärennöksiä eli niin sanottuja deepfakeja koskien. Asetusta aletaan soveltaa asteittain, ja syväväärennöksiä koskevat säännökset tulevat voimaan 2.8.2026.
Syväväärennöksillä tarkoitetaan tekoälyllä tuotettua tai käsiteltyä kuva-, ääni- tai videosisältöä, joka muistuttaa olemassa olevia henkilöitä, esineitä, paikkoja, toimijoita tai tapahtumia ja joka voi antaa vastaanottajalle virheellisen käsityksen sisällön aitoudesta tai totuudenmukaisuudesta. Avoimuusvelvoite ei siis rajoitu vain ihmisiä esittäviin deepfakeihin.
Tekoälyasetuksen mukaan syväväärennöksistä on ilmoitettava selkeästi, että sisältö on tuotettu keinotekoisesti tai että sitä on manipuloitu. Asetus sisältää kuitenkin luovaa alaa koskevan poikkeuksen. Jos sisältö on osa selvästi taiteellista, luovaa, satiirista, fiktiivistä tai muuta vastaavaa teosta tai ohjelmaa, informointi voidaan toteuttaa tavalla, joka ei haittaa teoksen esittämistä tai käyttöä.
Esimerkiksi dokumenttityylisessä tv-tuotannossa historiallisia tapahtumia voidaan havainnollistaa tekoälyn avulla tuotetuilla erittäin realistisilla kuva- tai videomateriaaleilla. Jos katsojalle ei anneta asiayhteydestä muuta vihjettä, sisältö voi vaikuttaa aidolta arkistomateriaalilta. Tällöin tekoälyasetuksen avoimuusvelvoite tulee lähtökohtaisesti arvioitavaksi. Luovaa alaa koskeva poikkeus mahdollistaa kuitenkin sen, että tekoälyn käytöstä voidaan informoida teoksen luonne huomioon ottaen, esimerkiksi ohjelman lopputeksteissä, kunhan yleisölle ei jää virheellistä käsitystä sisällön aitoudesta.
Syväväärennöksiä koskevan avoimuusvelvoitteen rikkominen voi johtaa tekoälyasetuksen mukaiseen hallinnolliseen seuraamusmaksuun.
Checklist luovan alan toimijoille:
Oikeudet: varmista, että oma luova panoksesi on riittävä, jos tavoittelet tekijänoikeussuojaa lopputulokseen
Dokumentointi: dokumentoi tekoälyn käyttö ja oma luova panoksesi
Käyttöehdot: lue palvelun ehdot ja selvitä, mitä oikeuksia saat tuotettuun sisältöön ja kuka vastaa mahdollisista loukkauksista
Yritystason lisenssit: käytä työssä vain yritystason lisenssejä ja tee tarvittaessa tietojenkäsittelysopimus
GDPR ja suostumukset: henkilön kuvan tai äänen käyttö edellyttää tietosuojan huomioimista ja kaupallisessa käytössä myös suostumusta
Deepfaket: jos sisältö on keinotekoisesti tuotettua tai manipuloitua, huolehdi tekoälyasetuksen edellyttämästä informoinnista
Kaipaatko sparrausta tekoälyn juridisiin kysymyksiin? Autamme arvioimaan tekoälyn käyttöön liittyviä oikeudellisia riskejä ja mahdollisuuksia luovilla aloilla ja muissa tekoälyä hyödyntävissä liiketoiminnoissa.
Lila Kallio Counsel
+358 41 465 1365
Katri Aarnio Counsel
+358 50 306 2031
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 5 päivää sitten
Kuvittele tilanne, jossa tekoäly seuloo satoja työhakemuksia muutamassa minuutissa ja ehdottaa parhaat kandidaatit haastatteluun, tai optimoi monimutkaisen työvuorosuunnitelman huomioiden jopa tuhansien työntekijöiden tarpeet ja toiveet. Tämä ei ole enää kaukaista toiveajattelua, vaan todellisuutta jo monissa organisaatioissa – tutkimuksen mukaan 52 % suomalaisista organisaatioista hyödyntää tekoälyratkaisuja HR-tehtävissä. Vaikka käyttö on vielä hajanaista, potentiaali on valtava: tekoäly tehostaa rekrytointia sekä onboarding- ja offboarding-prosesseja, helpottaa työvuorojen ja tehtävien allokointia, tukee suorituksen johtamista ja tuottaa entistä parempaa henkilöstöanalytiikkaa.
Mutta tekoäly on vain niin vahva kuin sen käyttäjät. Älytyökalujen hyödyntäminen edellyttää HR-henkilöstön ja esihenkilöstön kouluttamista ja pelisääntöjen sisäistämistä, jotta hyödyt voidaan saavuttaa vastuullisesti ja kestävästi. Samalla työnantajilta vaaditaan entistä enemmän: tekoälyn käyttöön liittyy juridisia, eettisiä ja käytännön kysymyksiä, jotka eivät ratkea pelkällä AI-strategiapaperilla. Lainsäädäntö asettaa tekoälyn hyödyntämiselle lisääntyviä velvoitteita – tuoreimpana EU:n tekoälyasetus, joka asettaa vaatimuksia sekä tekoälysovellusten tarjoajille että käyttäjille.
Tekoälyn käyttöönotto: tarve, riskit ja yhteistoiminta
Työnantajan on huolehdittava useista tärkeistä seikoista ennen henkilöstöhallinnon tekoälyjärjestelmän käyttöönottoa. Ensimmäinen askel on tunnistaa, mihin tarpeeseen tekoäly halutaan ottaa käyttöön ja arvioida siihen liittyvät riskit. Erityisesti työ- ja tietosuojalainsäädäntö velvoittaa arvioimaan ennakolta uuden teknologian vaikutuksia työntekijöihin. Mikäli käyttöön on tulossa esimerkiksi rekrytointia tukeva tekoälypohjainen työkalu, liikutaan työnhakijoiden henkilötietojen käsittelyn ydinalueella. Työnantajan on tunnistettava ja perusteltava miksi henkilötietoja käsitellään, miten ja missä määrin niitä käytetään, ja mitä muutoksia AI-järjestelmä mahdollisesti vaatii toimintatapoihin tai työnhakijoiden informointiin. Tietosuojalainsäädäntö edellyttää mm. henkilötietojen riskien arviointia (vaikutustenarviointi) ennen uuden teknologian käyttöönottoa riippumatta siitä, hyödynnetäänkö siinä tekoälyä vai ei. Käytännössä henkilöstöhallinnon AI-järjestelmät tarkoittavat lähes automaattisesti, että työntekijöiden yksityisyydensuojaan liittyvät riskit on tunnistettava ja määritettävä tarvittavat suojatoimet etukäteen. Täysin automaattinen päätöksenteko henkilön rekrytoinnissa, kuten työhakemusten seulominen ilman minkäänlaista ihmisen osallistumista lopulliseen päätöksentekoon on tietosuojalainsäännön mukaan pääsääntöisesti kiellettyä, joten rekrytoijan vaikutus on aina säilyttävä osana prosessia.
Työnantajalla on myös yhteistoimintavelvoitteita silloin, kun yrityksen toimintaa kehitetään ottamalla käyttöön uutta teknologiaa. Jokaisen vähintään 20 työntekijää työllistävän organisaation on käytävä henkilöstön kanssa vuoropuhelua, jolla turvataan työntekijöiden vaikutusmahdollisuudet heitä koskevissa asioissa. Tekoälypohjaisten ratkaisujen käyttöönotto HR:ssä on ilman muuta tällainen asia ja siitä on syytä keskustella henkilöstön kanssa hyvissä ajoin. Yli 50 hengen työnantajilla on lisäksi nimenomainen, kevennetty muutosneuvotteluvelvoite uuden teknologian käyttöönoton yhteydessä. Ja jos tekoälyn arvioidaan mahdollisesti vähentävän työvoiman tarvetta tai muuttavan työntekijöiden tehtäviä olennaisesti, on ennen käyttöönottoa käytävä laajemmat muutosneuvottelut henkilöstön kanssa. Kaikki nämä yhteistoimintaprosessit on käytävä oikea-aikaisesti, eli ennen hankintapäätösten tekemistä, jotta yhteistoimintalain vaatimukset täyttyvät.
Myös työturvallisuuslaki koskee tekoälyn käyttöönottoa työpaikoilla. Lain keskeinen ratio on, että työnantajan pitää tunnistaa työhön liittyvät vaaratekijät ja haitat sekä reagoida niihin ennalta. Tekoäly voi tuoda mukanaan uusia ulottuvuuksia perinteiseen työturvallisuusajatteluun: mitä vaaroja ja kuormitusta tekoälyn käyttöönotosta voi seurata, ja miten niitä tulisi ehkäistä? Esimerkiksi uuden teknologian opettelu voi kuormittaa työntekijöitä henkisesti, ja huoli omista oikeuksista voi aiheuttaa stressiä koneälyn osallistuessa HR- ja esihenkilötyöhön. Työnantajan on arvioitava nämäkin riskit ja huolehdittava tarvittavasta perehdytyksestä, työhyvinvoinnista sekä tuesta muutostilanteessa.
On jo laajasti tunnistettu, että tekoälyn käyttö haastaa syrjimättömyyttä työelämässä. Yhdenvertaisuuslain mukaan työnantaja ei saa asettaa työntekijöitä tai työnhakijoita eri asemaan syrjivillä perusteilla, kuten iän, sukupuolen tai muun henkilöön liittyvän syyn takia. Koska tekoäly oppii ja tekee päätelmiä syötetyn datan perusteella, se voi omaksua datassa piileviä ennakkoluuloja. Näin ollen voi käydä esimerkiksi siten, että rekrytointialgoritmi suosii hakijoita ansioiden sijaan sukupuolen perusteella. Jos esimerkiksi aiemmin valtaosa rekrytoiduista on ollut tiettyä sukupuolta, AI voi pitää tätä “menestyksen mallina”. Syrjivien vinoumien kitkeminen tekoälystä on haastavaa, sillä algoritmit ovat usein käyttäjälle läpinäkymättömiä ja päätöksenteko selittämätöntä. Nykyisen hallitusohjelman pohjalta Suomessa on aloitettu julkishallinnossa tutkimushanke, joka tähtää tekoälyyn liittyvien syrjintäriskien tunnistamiseen ja ennaltaehkäisyyn.
EU:n tekoälyasetus kiristää vaatimuksia asteittain
Euroopan unioni on laittanut lusikkansa soppaan tekoälyn sääntelyssä. EU:n tekoälyasetus tuli voimaan kesällä 2024, ja se tuo uusia vaatimuksia tekoälyn hyödyntämiselle. Vuoden 2025 helmikuusta alkaen asetus on jo edellyttänyt organisaatioita opettamaan henkilöstönsä tekoälylukutaitoisiksi. Tekoälylukutaidolla tarkoitetaan työntekijöiden kykyä arvioida tekoälyn tuottamia ratkaisuja kriittisesti sekä käyttää tekoälyä vastuullisesti ja tarkoituksenmukaisella tavalla.
Jatkoa on luvassa elokuusta 2026 alkaen, jolloin asetuksen keskeiset riskiperusteiset velvoitteet astuvat voimaan. Riskiluokituksia on neljä: kokonaan kielletty, suuririskinen, rajoitettu riski sekä vähäriskinen. Tämä on merkittävä etappi tekoälyä hyödyntäville työnantajille, sillä moni HR-prosessien tueksi hankittu järjestelmä luokitellaan asetuksessa korkean riskin tekoälyjärjestelmäksi. Korkea riski tuo mukanaan myös korkeammat lakisääteiset vaatimukset tekoälyä käyttävälle työnantajalle. Tekoälyasetuksen noudattamista tehostavat muhkeat sakkorangaistukset, jotka voivat parhaillaan olla miljoonaluokkaa riippuen yrityksen koosta.
Kokonaan kiellettyjä ovat työntekijöiden tunteiden tunnistukseen käytettävät sovellukset, jotka analysoivat esimerkiksi työntekijän aikomuksia tai työtyytyväisyyttä. Samoin biometristen tunnisteiden käyttäminen luokitteluun etnisen alkuperän, poliittisen mielipiteen, uskonnon tai seksuaalisen suuntautumisen perusteella ei ole sallittua. Niin ikään henkilöiden sosiaalinen pisteyttäminen henkilökohtaisten ominaisuuksien perusteella on kiellettyä, mikäli se johtaa henkilön kannalta haitalliseen kohteluun, kuten rajoittaa tai estää esimerkiksi uralla etenemistä. Myöskään tiedostamaton vaikuttaminen tai haavoittuvuuksien hyväksikäyttö ei ole sallittua.
Asetuksen terminologiassa työnantaja on tyypillisesti järjestelmän käyttöönottaja, kun se hankkii valmiin tekoälyratkaisun HR-tarpeisiin. On kuitenkin mahdollista, että organisaatio muokkaa yleiseen käyttöön kehitettyä tekoälyjärjestelmää omaan tarkoitukseensa, jolloin työnantajasta voikin tulla asetuksen tarkoittama järjestelmän tarjoaja. Ero käyttäjän ja tarjoajan rooleissa on olennainen: tarjoajalla on huomattavasti laajemmat oikeudelliset velvollisuudet (esim. jatkuva laadunvarmistus, tekninen dokumentaatio, järjestelmän sertifiointi ja tarkka viranomaisraportointi) verrattuna pelkkään käyttöönottajaan. Siksi työnantajan kannattaa lähtökohtaisesti hyödyntää mieluummin valmiita, HR-käyttöön suunniteltuja sovelluksia – ja käyttää niitä juuri valmistajan ohjeiden ja tarkoittaman käyttötarkoituksen mukaisesti.
Suuret riskit ja suuremmat vastuut
Millaista tekoälyn käyttöä sitten pidetään suuririskisenä HR-kontekstissa? Automaattinen päätöksenteko ja profilointi henkilön ominaisuuksien perusteella on aina suuririskistä. Asetuksen mukaan korkean riskin tekoälytyökaluja ovat sellaiset järjestelmät, jotka vaikuttavat ihmisten työhön pääsyyn, työehtoihin tai uralla etenemiseen sekä työssä suoriutumista koskevaan päätöksentekoon. Korkeariskisiksi luokitellaan esimerkiksi tekoälyjärjestelmät, joita käytetään rekrytoinnissa, työsuhteen ehtojen ja urakehityksen päätöksenteossa tai vaikkapa työsuhteen päättämisessä. Samassa riskikategoriassa ovat myös järjestelmät, jotka allokoivat työtehtäviä henkilön käyttäytymisen, persoonallisuuden tai muiden henkilökohtaisten ominaisuuksien perusteella, sekä järjestelmät, joilla seurataan ja arvioidaan työntekijöiden suoriutumista työsuhteen aikana. Kaikki nämä ovat tilanteita, joissa tekoäly vaikuttaa suoraan ihmisiin ja heidän kohteluunsa työelämässä. Siis juuri niitä herkkiä tilanteita, joissa riskit on tunnistettava.
Aivan yksiselitteistä rajanveto ei silti ole. Edellä mainitut käyttötarkoitukset voidaan katsoa vähäriskisiksi, jos AI:n käyttö ei aiheuta merkittävää vahinkoa tai vaaraa työntekijöiden terveydelle, turvallisuudelle tai perusoikeuksille eikä vaikuta olennaisesti heitä koskevaan päätöksentekoon. Esimerkiksi järjestelmä, joka seuloo työhakemuksia ja suosittelee rekrytoijalle sopivimmat kandidaatit olisi mitä ilmeisimmin korkean riskin sovellus. Sen sijaan tekoälytyökalu, joka vain luokittelee ja siirtää hakemuksia järjestelmästä toiseen vaikuttamatta hakijoiden jatkoonpääsyyn, tai havaitsee poikkeamia päätöksenteossa ilman varsinaista puuttumista itse päätökseen, kuuluisi vähäisen riskin kategoriaan. Rajoitetun riskin kategoriassa ovat esimerkiksi vuorovaikutteiset tekoälytyökalut, kuten HR-asioissa toimivat virtuaaliset avustajat. Rajoitetun riskin kategoriassa työnantajan on informoitava käyttäjiä tekoälystä.
Kun työnantaja ottaa käyttöön korkeariskisen tekoälyjärjestelmän, asetus edellyttää työnantajaa huolehtimaan useista velvoitteista. Ensinnäkin on varmistettava, että järjestelmää käytetään asianmukaisesti sen käyttöohjeiden ja käyttötarkoituksen mukaisesti. Toiseksi järjestelmälle on nimettävä vastuuhenkilö tai -tiimi, joka valvoo tekoälyn toimintaa. Valvontavastuullisella tulee olla riittävä pätevyys, koulutus ja valtuudet sekä tarvittavat resurssit tehtävän hoitamiseen. Työnantajan on myös kiinnitettävä erityistä huomiota datan hallintaan: varmistettava, että organisaation syöttämät tiedot ovat käyttötarkoitukseen nähden olennaisia ja riittävän edustavia, jotta tekoäly ei johda harhaan. Lisäksi käyttäjäorganisaation on reagoitava mahdollisiin riskeihin käytön aikana ja raportoitava järjestelmän toimittajalle sekä viranomaiselle, mikäli AI:n toiminnassa havaitaan esimerkiksi virheitä tai vinoutunutta päätöksentekoa, sekä tarvittaessa tehtävä yhteistyötä valvontaviranomaisen kanssa.
Läpinäkyvyys korostuu niin ikään asetuksessa: työntekijöille on tiedotettava tekoälyjärjestelmän käyttöönotosta, ja jos he ovat tekoälypohjaisten päätösten kohteena, heillä on oikeus saada selitys heihin vaikuttavasta päätöksestä. Viimeisenä mutta ei vähäisimpänä, työnantajan on säilytettävä tekoälyjärjestelmän lokitiedot vähintään 6 kuukauden ajan, mikäli nämä lokit ovat sen hallinnassa. Lokitietoihin tallentuu esimerkiksi, miten järjestelmä on tehnyt päätöksiä. Tietojen säilyttäminen ja jäljittäminen on keskeistä mahdollisten myöhempien riitatilanteiden selvittämisessä.
Kuten todettu, jo nykyisinkin monet lait edellyttävät työnantajilta samansuuntaista toimintaa. Esimerkiksi työntekijöiden informointi voidaan hoitaa asianmukaisesti yhteistoimintaprosessin kautta, ja henkilötietojen osalta myös tietosuojalainsäädäntö edellyttää tarkoituksenmukaista käsittelyä. EU:n tekoälysääntely kuitenkin täydentää tätä kokonaisuutta tuomalla mukaan aivan uusia, konkreettisia AI-velvoitteita: korkean riskin tekoälyjärjestelmien käytössä on huolehdittava mm. lokitietojen säilyttämisestä sekä jatkuvasta riittävästä valvonnasta koko järjestelmän elinkaaren ajan.
Käyttäjät ja data AI-strategian ytimessä
Vaikka lainsäädäntö asettaa raamit tekoälyn vastuulliselle käytölle, lopullinen menestys ratkaistaan ihmisten toimesta. Yritys voi luoda kunnianhimoisen AI-strategian, mutta mikäli työntekijöillä ei ole kykyä, halua tai luottamusta käyttää järjestelmää, hyödyt voivat jäädä saavuttamatta. Käyttäjien luottamus järjestelmään on ratkaisevassa roolissa ja henkilöstöä koskevissa päätöksissä se on suorastaan kriittistä. Tutkimukset osoittavat, että omiin oikeuksiin tai järjestelmän käyttötarkoitukseen liittyvät huolet vaikuttavat suoraan siihen, hyväksyvätkö työntekijät tekoälyn osaksi työarkeaan. Vastaavasti luottamusta nakertaa ajatus omien vaikutusmahdollisuuksien heikentymisestä sekä epäluottamus järjestelmän todellisia kykyjä kohtaan.
Työnantajien kannattaakin panostaa tekoälyn mahdollisimman avoimeen ja läpinäkyvään käyttöönottoon sekä henkilöstön kattavaan informointiin. Tekoälyn integrointi osaksi HR-toimintoja on aina myös muutosprosessi, joka edellyttää perinteistä muutosjohtamista ja uuden oppimista. Uusi teknologia voi alkuun kuormittaa niin käyttäjiä kuin niitä, joita sen päätökset koskevat riippuen yksilön roolista ja valmiuksista. Siksi johdon on tärkeää kuunnella henkilöstöä, tarjota tarvittavaa tukea ja ennen kaikkea viestiä muutoksesta. Myös jälkikäteiset erimielisyydet ja mahdolliset riitaprosessit ennaltaehkäistään parhaiten, kun panostetaan osaamiseen sekä tekoälylukutaitoon.
Käytettävyys on avainasemassa onnistuneessa tekoälyinvestoinnissa. On havaittu niin sanottu “shadow AI”-ilmiö: jos työnantajan tarjoamat työkalut koetaan hankaliksi tai tehottomiksi, työntekijät saattavat alkaa käyttää organisaation ulkoisia tekoälyratkaisuja organisaation omien työkalujen sijaan. Tämä voi johtaa siihen, että tekoälyinvestoinnin hyödyt valuvat hukkaan ja samalla syntyy konkreettisia tietosuoja- ja tietoturvariskejä, kun dataa käsitellään hallitsemattomissa kanavissa. Organisaation on siis panostettava riittävän tekoälylukutaidon ohella kunnolliseen käyttökoulutukseen, jotta jokainen osaa hyödyntää uusia järjestelmiä. Samalla on tärkeää luoda selkeät ohjeistukset siitä, miten ulkopuolisia AI-työkaluja (esim. yleisiä chatbotteja tai muita palveluja) saa työssä käyttää. Näin turvataan, etteivät henkilötiedot, liikesalaisuudet tai muut luottamukselliset tiedot vaarannu.
Koneälyaikakauden keskeinen fundamentti on, että tekoäly on juuri niin luotettava kuin se data, jota se käyttää. Big datan ohella kiikareiden on oltava organisaation omassa henkilöstödatassa: mikäli se on puutteellista tai virheellistä, tekoäly tekee väistämättä vääriä tai epätarkkoja johtopäätöksiä. Pahimmillaan työnantaja voi tulla syrjineeksi työntekijää tai työnhakijaa tahattomasti, mikäli dataan on historian saatossa pesiytynyt rakenteellista vinoumaa. EU:n tekoälyasetus asettaakin nimenomaisen velvoitteen huolehtia datan laadusta ja luotettavuudesta korkean riskin HR-järjestelmissä. Käytännössä tämä tarkoittaa, että HR-datan keräämiseen, päivittämiseen ja siivoamiseen on syytä kiinnittää jatkuvaa huomiota, jotta tekoälypohjaiset päätökset pohjautuvat vain mahdollisimman edustavaan, totuudenmukaiseen ja merkitykselliseen tietoon. Kyse ei kuitenkaan ole kokonaan uudesta periaatteesta, sillä työnantajilla on ollut jo yli kahdenkymmenen vuoden ajan velvollisuus käsitellä vain työsuhteen kannalta tarpeellisia työntekijätietoja työelämän tietosuojalain nojalla.
Lopuksi
Tekoälyn valtavaa potentiaalia tullaan varmasti hyödyntämään entistä laajemmin myös henkilöstöhallinnon tukena tulevina vuosina. Vaikka sen käyttö ei ole juridisesti tai eettisesti ongelmatonta, voi tekoäly parhaimmillaan tehdä työstä mielekkäämpää ja HR- sekä esihenkilötyöstä tasapuolisempaa, yksilöllisempää ja tehokkaampaa. Tekoälyn käyttö on kuitenkin toteutettava suunnitelmallisesti, jotta potentiaalista saadaan kaikki tehot irti ja samalla varmistetaan työntekijöiden oikeuksien toteutuminen. Lopulta kaiken tämän ytimessä ovat ihmiset: käyttäjät, jotka tekevät strategiasta todellisuutta jokapäiväisessä työssä. Organisaatiot, jotka panostavat aidosti henkilöstönsä tekniseen ja eettiseen osaamiseen sekä helppokäyttöisiin työkaluihin, ovat tekoälyaikakaudella vahvoilla.
Kaisa Salo
Counsel
+35840 168 1418
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Tekoäly on monessa organisaatiossa arkipäivää. Osassa yrityksistä implementoidaan jo johdonmukaisesti tekoälystrategiaa, ja osa on matkalla vasta alkuvaiheessa. Todellisuus on kuitenkin se, että monissa organisaatioissa tekoälyä hyödynnetään laajasti eri toiminnoissa joko yrityksen valitsemilla työkaluilla tai henkilöstön itse käyttöönottamilla versioilla.
Moni yritys on tilanteessa, jossa yhtenäistä ohjeistusta tekoälyn käyttämisestä ei ole ehditty rakentamaan. Toisinaan ohjeistusta on olemassa, mutta se on laadittu ennen kuin EU:n tekoälyasetuksen vaatimukset ovat tulleet ajankohtaisiksi. Viimeistään nyt on oikea hetki varmistaa, että yrityksen omat tekoälykäytännöt ja osaaminen ovat ajan tasalla. Tämä on kriittistä myös sen varmistamiseksi, että henkilöstöllä on tekoälyasetuksen edellyttämä riittävä tekoälylukutaito.
Mihin tekoälyohjeistusta tarvitaan?
Tekoälyohjeistus ei ole pelkkä muodollisuus, vaan käytännön väline, jolla yritys varmistaa tekoälyn vastuullisen ja turvallisen hyödyntämisen. Se on samalla keino vastata uusiin sääntelyvaatimuksiin ja luoda edellytykset tehokkaalle innovoinnille.
Tekoälylukutaidon varmistaminen: Ensinnäkin ohjeistus tukee tekoälyasetuksen edellyttämää riittävää tekoälylukutaitoa. Helmikuusta 2025 alkaen jokaisella tekoälyä hyödyntävällä organisaatiolla on ollut velvollisuus parhaansa mukaan huolehtia siitä, että henkilöstöllä on riittävä ymmärrys tekoälyn riskeistä, mahdollisuuksista ja sen mahdollisesti aiheuttamista vahingoista. Hyvin laadittu tekoälyohjeistus on keskeinen osa tätä organisatorista ja koulutuksellista velvoitetta. Euroopan komissio on myös vihjannut, että tekoälyasetuksen rikkomistilanteissa sanktioita ja muita seuraamuksia voidaan todennäköisemmin määrätä, jos tekoälylukutaitovelvoitetta on laiminlyöty.
Kannustava vaikutus: Selkeät pelisäännöt rohkaisevat henkilöstöä käyttämään tekoälyä. Kun työntekijöillä on varmuus siitä, mikä on sallittua ja mikä ei, tekoälyn käyttö muuttuu varovaisesta kokeilusta suunnitelmalliseksi toiminnan kehittämiseksi. Ohjeistus luo turvaa, joka kannustaa kokeilemaan ja löytämään uusia tapoja tehostaa työtä ilman pelkoa siitä, että tekoälyn käyttö voisi vahingossa johtaa sopimus- tai sääntelyvelvoitteiden rikkomiseen tai muiden riskien realisoitumiseen. Näin ohjeistus toimii paitsi riskienhallinnan myös innovoinnin välineenä.
Piilokäytön hallinta: Tekoälyohjeistus auttaa tunnistamaan ja hallitsemaan piilokäyttöä ja varjo-IT:tä. Monessa organisaatiossa tekoälytyökalut ovat tulleet käyttöön työntekijöiden omatoimisesti valitsemien sovellusten kautta. Kun käyttöä ei tunnisteta, sen riskejä ei voida myöskään hallita. Ohjeistus tekee tekoälyn käytön näkyväksi ja mahdollistaa henkilöstön ohjeistamisen myös sellaisten työkalujen osalta, joita työntekijät ottavat omatoimisesti käyttöön ilman erillistä hyväksyntää. Sen sijaan tekoälyn yksiselitteinen kieltäminen ei välttämättä vähennä riskejä – vaan päinvastoin – sillä tällöin henkilöstöä ei voida luontevasti ohjeistaa tarkemmista toimintamalleista.
Liikesalaisuuksien ja henkilötietojen suojaaminen: Yksi tekoälyohjeistuksen tärkeimmistä tehtävistä on luoda selkeät rajat sille, miten liikesalaisuuksia ja henkilötietoja saa hyödyntää tekoälyn yhteydessä. Kun työntekijä syöttää tekoälytyökaluun asiakasdataa, sisäisiä suunnitelmia tai henkilötietoja, voi seurauksena olla tietojen leviäminen organisaation kontrollin ulkopuolelle. Ohjeistus määrittää käytännön säännöt sille, mitä tietoa saa käyttää, millä ehdoilla ja missä ympäristöissä. Näin se suojaa sekä yrityksen että sen sidosryhmien intressejä.
Tekoälysäädöksen vaatimusten toteuttaminen: Tekoälyohjeistus auttaa jalkauttamaan tekoälysääntelyn edellyttämät toimintamallit ja rajoitukset organisaatioon. Tekoälyasetus asettaa erityisesti suuririskisten käyttötapausten osalta velvoitteita esimerkiksi datan hallinnasta, lokitietojen säilyttämisestä sekä käytön seurannasta ja valvonnasta. Pelkkä tieto velvoitteista ei riitä, vaan ne on vietävä käytäntöön siten, että ne näkyvät päivittäisissä prosesseissa ja päätöksenteossa. Ohjeistus toimii tässä sillanrakentajana juridiikan ja käytännön työn välillä.
Luottamuksen rakentaminen sidosryhmiin: Tekoälyohjeistus on myös viesti ulospäin. Kun yritys pystyy osoittamaan, että tekoälyä käytetään harkitusti ja vastuullisesti, se rakentaa luottamusta asiakkaisiin, yhteistyökumppaneihin ja viranomaisiin. Luottamus puolestaan vahvistaa yrityksen mainetta ja erottaa sen positiivisesti kilpailijoista. Tekoälyohjeistus on siten yhtä aikaa riskienhallintatyökalu, koulutusväline ja strateginen viesti vastuullisesta toiminnasta.
Tekoälyohjeistus on investointi kestävään tulevaisuuteen
Tekoälyn hyödyntäminen tuo mukanaan uudenlaisia riskejä, mutta myös valtavasti mahdollisuuksia. Selkeä tekoälyohjeistus auttaa tekemään tekoälystä aidosti liiketoiminnan vahvuuden, sillä se mahdollistaa uudenlaisen innovoinnin varmistaen samalla, että riskit hallitaan asianmukaisesti.
Olipa tekoäly olennainen osa yrityksen arkea tai vasta kokeilun tasolla, nyt on oikea aika varmistaa, että ohjeistus ja koulutus ovat ajan tasalla.
Katri Aarnio
Counsel
050 306 2031
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.