Tekoälytyökalut kehittyvät huimaa vauhtia. Vielä jokin aika sitten tekoälyllä tuotetun kuvan tunnisti helposti, mutta parhaimmillaan tekoälyn luomat kuvat ovat nykyään niin uskottavia, ettei niitä erota aidosta. Tekoälyllä voidaan tuottaa myös tekstiä, ääntä ja videota, ja se tarjoaa luovan alan toimijoille merkittäviä mahdollisuuksia nopeuttaa sisällöntuotantoa ja kehittää uusia ilmaisun muotoja.
Samalla tekoälyn käyttö herättää monia oikeudellisia kysymyksiä. Tässä blogissa käyn läpi, mitä juridisia näkökohtia luovien alojen yritysten kannattaa huomioida ennen tekoälytyökalujen käyttöönottoa ja niiden hyödyntämistä osana luovaa työtä.
Kuka omistaa tekoälyn avulla syntyneen sisällön ja miten sitä voi suojata?
Keskeinen kysymys on, saako tekijä yksinoikeuden käyttää tekoälyn avulla syntynyttä materiaalia ja myöntää siihen lisenssejä, vai jääkö lopputulos vapaasti kaikkien hyödynnettäväksi. Vastaus ei ole yksiselitteinen, vaan riippuu siitä, kuinka suuri ihmisen oma luova panos teoksen syntymisessä on ollut.
Tekijänoikeus syntyy sille, joka luo teoksen, edellyttäen että teos on riittävän itsenäinen ja omaperäinen. Tekijänoikeuden syntyminen edellyttää aina ihmisen tekemää luovaa panosta, ja arviointi tehdään tapauskohtaisesti. Tekijänoikeus ei koskaan suojaa pelkkää ideaa, vaan ainoastaan idean konkreettista ilmenemismuotoa.
Kun luovan alan ammattilainen käyttää tekoälyä työnsä apuna, tekijänoikeuden syntymistä arvioidaan näiden samojen periaatteiden mukaisesti. Tekijänoikeutta ei synny tilanteessa, jossa henkilö antaa tekoälylle vain yleisluonteisen ohjeen ja tekoäly muodostaa lopullisen sisällön kokonaan ilman käyttäjän omaa luovaa panosta.
Tilanne on toinen, jos tekoäly toimii osana laajempaa luovaa prosessia. Jos tekijä käyttää tekoälyä esimerkiksi ideoinnin tukena, luo sisältöä sen jälkeen itse ja hyödyntää tekoälyä lopuksi vain viimeistelyyn, teoksen luomisessa on todennäköisesti käytetty riittävästi omaa luovaa panosta tekijänoikeuden syntymiseksi.
Tekoälyn käyttöä kannattaa myös dokumentoida mahdollisten riitatilanteiden varalta. Omien luonnosten ja käytettyjen kehotteiden tallentaminen helpottaa sen osoittamista, mikä osuus lopputuloksesta perustuu ihmisen luovaan työhön.
Jos sisältöä luodaan generatiivisella tekoälyllä eikä lopputulokseen synny tekijänoikeutta, suojaa voidaan joissain tapauksissa hakea myös tavaramerkkien avulla. Esimerkiksi Moomin Characters on suojannut muumihahmoja tavaramerkkeinä. On kuitenkin tärkeää huomata, että tavaramerkki suojaa vain tietyissä tavara- ja palveluluokissa ja tietyllä maantieteellisellä alueella, ei luovaa sisältöä sinänsä. Se on siis kattavuudeltaan ja tarkoitukseltaan erilainen suojamuoto kuin tekijänoikeus.
Jos suunnitteilla on luova projekti, jossa generatiivista tekoälyä hyödynnetään laajasti, tavaramerkkisuojausta kannattaa kuitenkin harkita tekijänoikeuden rinnalla täydentävänä suojamuotona.
Voiko tekoälyllä luotua materiaalia käyttää vapaasti?
Tekoälyn avulla luotu materiaali ei automaattisesti ole vapaata muiden oikeuksista. Ratkaisevaa on se, millä tekoälypalvelulla materiaali on tuotettu ja mitä palvelun käyttöehdoissa on sovittu vastuunjaosta.
Osa tekoälypalveluista käyttää ainoastaan lisensoitua tai muutoin tekijänoikeuksista vapaata koulutusdataa ja ottaa sopimuksellisesti vastuun siitä, etteivät tekoälyn tuottamat materiaalit loukkaa kolmansien tekijänoikeuksia. Tällaisissa tapauksissa palveluntarjoaja kantaa vastuun tuotoksesta siltä osin kuin asiasta on käyttöehdoissa sovittu, ja käyttäjään kohdistuva oikeudellinen riski on olennaisesti pienempi.
Monet yleisesti käytössä olevat palvelut on sen sijaan koulutettu laajasti internetistä kerätyllä aineistolla, joka voi sisältää myös tekijänoikeudella suojattua materiaalia. Suurimmassa osassa palveluista palveluntarjoaja ei ota sopimuksellista vastuuta siitä, ettei generoitu sisältö loukkaa kolmansien oikeuksia, vaan vastuu sisällön käytöstä jää käyttäjälle. Tämän vuoksi tällaisilla palveluilla tuotettu materiaali edellyttää huolellista ennakkotarkastusta ennen sen julkaisemista.
Tiivistetysti voidaan todeta, ettei tekoälyn tuottamien materiaalien vapaaseen käyttöön ole yhtä yleispätevää vastausta. Vastuunjakoon vaikuttavat ennen kaikkea käytetty palvelu ja sen käyttöehdot, jotka on syytä katsoa läpi ennen kuin tekoälyä ryhdytään hyödyntämään osana sisällöntuotantoa.
Voiko tekoälypalveluun syöttää luottamuksellisia tietoja?
Lähtökohtaisesti luottamuksellisia tietoja ei tule syöttää tekoälypalveluihin, ellei palvelu ole nimenomaisesti tarkoitettu yrityskäyttöön ja sen ehdot ja tietoturva arvioitu huolellisesti.
Yrityskäytössä generatiivisista tekoälypalveluista tulisi käyttää business- tai enterprise-versioita, jos yrityksellä ei ole omalla palvelimella toimivaa paikallista tekoälyratkaisua. Kuluttajille tarkoitetuissa palveluissa, kuten ChatGPT:n ilmaisessa ja Plus-versiossa, palveluun syötettyjä materiaaleja ja kehotteita voidaan käyttöehtojen mukaisesti hyödyntää tekoälymallin kouluttamiseen. Lisäksi palveluntarjoaja saattaa pidättää laajoja oikeuksia käyttää ja jopa jakaa käyttäjän palveluun lataamaa aineistoa muuhunkin kuin tekoälymallin kouluttamiseen.
Tämä tarkoittaa, että jos yrityksen työntekijät käyttävät työssään kuluttajalisenssejä, he saattavat vaarantaa tietojen luottamuksellisuuden syöttäessään palveluun salassapidettävää tietoa.
Käytännön riski konkretisoituu esimerkiksi tilanteessa, jossa käsikirjoittaja tai copywriter käyttää ilmaista, kuluttajille tarkoitettua tekoälypalvelua tekstin hiomiseen ja syöttää palveluun esimerkiksi vielä julkaisemattoman käsikirjoituksen tai kampanjakonseptin. Kuluttajalisensseihin perustuvissa palveluissa sisältöä voidaan käyttöehtojen mukaan hyödyntää tekoälymallien kehittämiseen, jolloin aineisto ei enää ole yksinomaan yrityksen hallinnassa. Vaikka sisältö ei ilmestyisi identtisenä muualla, riski sen tunnistettavien piirteiden hyödyntämisestä osana muiden käyttäjien tuotoksia on olemassa.
On myös hyvä huomioida, että vaikka palvelun asetuksissa tai käyttöehdoissa koulutuskäyttö voitaisiin erikseen kieltää, muut riskit eivät poistu. Kuluttajalisensseissä palveluntarjoajat eivät useinkaan anna sitovia takuita palvelun tietoturvasta, jolloin palveluun syötetyt tiedot voivat olla alttiita esimerkiksi tietomurroille tai muille tietoturvaloukkauksille. Luottamuksellisten tietojen suojaaminen edellyttääkin yrityskäyttöön soveltuvan lisenssin valintaa sekä palvelun ehtojen ja tietoturvan arviointia ennen tekoälyn käyttöönottoa.
Voiko tekoälypalveluun syöttää henkilötietoja?
Jos tekoälypalveluun syötetään henkilötietoja, kuten henkilön kuvaa, ääntä tai nimiä, sovellettavaksi tulee yleinen tietosuoja-asetus eli GDPR.
Yrityksen vastuulla on huolehtia siitä, että käytettävän tekoälypalvelun lisenssiehdot on arvioitu huolellisesti. Yrityksen on osana yleisen tietosuoja-asetuksen noudattamista varmistettava muun muassa, ettei palveluun ladattua materiaalia käytetä tekoälyn kouluttamiseen, että palveluntarjoajan kanssa on mahdollista tehdä GDPR:n edellyttämä tietojenkäsittelysopimus sekä että käytettävä tekoälypalvelu tarjoaa asianmukaisen tietoturvan henkilötietojen suojaamiseksi. Käytännössä tekoälypalvelun käyttö edellyttää lähtökohtaisesti myös tietosuojan vaikutusten arvioinnin tekemistä.
Kuluttajille tarkoitetuilla ilmaisilla lisensseillä toimivien tekoälypalveluiden käyttö ei yleensä ole yleisen tietosuoja-asetuksen mukaista, sillä palveluntarjoajat käyttävät niihin ladattua aineistoa usein myös omiin tarkoituksiinsa.
Onko sallittua generoida tekoälyllä kuvia tai ääntä todellisesta henkilöstä?
Erityistä huomiota vaativat myös tilanteet, joissa tekoälyä käytetään tuottamaan kuvia todellisista henkilöistä tai luomaan tekoälyllä kopioita oikean henkilön puheäänestä. Henkilön kuva, ääni ja muut yksilöivät piirteet ovat henkilötietoja, ja myös tekoälyn generoima materiaali voidaan katsoa henkilötiedoksi, jos siitä on mahdollista tunnistaa tietty henkilö. Tällöin sovellettavaksi tulevat kaikki yleisen tietosuoja-asetuksen vaatimukset, kuten vaatimus informoida henkilöä hänen henkilötietojensa käsittelystä ja vaatimus laillisesta käsittelyperusteesta.
Sisällöntuotannossa on lisäksi tärkeää huomioida, että henkilön kuvan tai äänen käyttäminen kaupallisessa tarkoituksessa edellyttää kyseisen henkilön suostumusta. Vuonna 2025 Helsingin hovioikeus velvoitti alusvaateyrityksen korvaamaan Jasper Pääkköselle 300 000 euroa tämän nimen, kuvan ja äänen luvattomasta käyttämisestä laajassa mainoskampanjassa. Tuomio ei ole vielä lainvoimainen ja korkein oikeus on myöntänyt sille valitusluvan. Velvollisuus pyytää suostumus koskee myös tilanteita, joissa henkilön kuva tai ääni on generoitu tekoälyn avulla.
Milloin tekoälyllä tuotettu sisältö on merkittävä deepfakeksi?
EU:n uusi tekoälyasetus tuo mukanaan avoimuusvaatimuksia syväväärennöksiä eli niin sanottuja deepfakeja koskien. Asetusta aletaan soveltaa asteittain, ja syväväärennöksiä koskevat säännökset tulevat voimaan 2.8.2026.
Syväväärennöksillä tarkoitetaan tekoälyllä tuotettua tai käsiteltyä kuva-, ääni- tai videosisältöä, joka muistuttaa olemassa olevia henkilöitä, esineitä, paikkoja, toimijoita tai tapahtumia ja joka voi antaa vastaanottajalle virheellisen käsityksen sisällön aitoudesta tai totuudenmukaisuudesta. Avoimuusvelvoite ei siis rajoitu vain ihmisiä esittäviin deepfakeihin.
Tekoälyasetuksen mukaan syväväärennöksistä on ilmoitettava selkeästi, että sisältö on tuotettu keinotekoisesti tai että sitä on manipuloitu. Asetus sisältää kuitenkin luovaa alaa koskevan poikkeuksen. Jos sisältö on osa selvästi taiteellista, luovaa, satiirista, fiktiivistä tai muuta vastaavaa teosta tai ohjelmaa, informointi voidaan toteuttaa tavalla, joka ei haittaa teoksen esittämistä tai käyttöä.
Esimerkiksi dokumenttityylisessä tv-tuotannossa historiallisia tapahtumia voidaan havainnollistaa tekoälyn avulla tuotetuilla erittäin realistisilla kuva- tai videomateriaaleilla. Jos katsojalle ei anneta asiayhteydestä muuta vihjettä, sisältö voi vaikuttaa aidolta arkistomateriaalilta. Tällöin tekoälyasetuksen avoimuusvelvoite tulee lähtökohtaisesti arvioitavaksi. Luovaa alaa koskeva poikkeus mahdollistaa kuitenkin sen, että tekoälyn käytöstä voidaan informoida teoksen luonne huomioon ottaen, esimerkiksi ohjelman lopputeksteissä, kunhan yleisölle ei jää virheellistä käsitystä sisällön aitoudesta.
Syväväärennöksiä koskevan avoimuusvelvoitteen rikkominen voi johtaa tekoälyasetuksen mukaiseen hallinnolliseen seuraamusmaksuun.
Checklist luovan alan toimijoille:
Oikeudet: varmista, että oma luova panoksesi on riittävä, jos tavoittelet tekijänoikeussuojaa lopputulokseen
Dokumentointi: dokumentoi tekoälyn käyttö ja oma luova panoksesi
Käyttöehdot: lue palvelun ehdot ja selvitä, mitä oikeuksia saat tuotettuun sisältöön ja kuka vastaa mahdollisista loukkauksista
Yritystason lisenssit: käytä työssä vain yritystason lisenssejä ja tee tarvittaessa tietojenkäsittelysopimus
GDPR ja suostumukset: henkilön kuvan tai äänen käyttö edellyttää tietosuojan huomioimista ja kaupallisessa käytössä myös suostumusta
Deepfaket: jos sisältö on keinotekoisesti tuotettua tai manipuloitua, huolehdi tekoälyasetuksen edellyttämästä informoinnista
Kaipaatko sparrausta tekoälyn juridisiin kysymyksiin? Autamme arvioimaan tekoälyn käyttöön liittyviä oikeudellisia riskejä ja mahdollisuuksia luovilla aloilla ja muissa tekoälyä hyödyntävissä liiketoiminnoissa.
Lila Kallio Counsel
+358 41 465 1365
Katri Aarnio Counsel
+358 50 306 2031
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Tekoäly on monessa organisaatiossa arkipäivää. Osassa yrityksistä implementoidaan jo johdonmukaisesti tekoälystrategiaa, ja osa on matkalla vasta alkuvaiheessa. Todellisuus on kuitenkin se, että monissa organisaatioissa tekoälyä hyödynnetään laajasti eri toiminnoissa joko yrityksen valitsemilla työkaluilla tai henkilöstön itse käyttöönottamilla versioilla.
Moni yritys on tilanteessa, jossa yhtenäistä ohjeistusta tekoälyn käyttämisestä ei ole ehditty rakentamaan. Toisinaan ohjeistusta on olemassa, mutta se on laadittu ennen kuin EU:n tekoälyasetuksen vaatimukset ovat tulleet ajankohtaisiksi. Viimeistään nyt on oikea hetki varmistaa, että yrityksen omat tekoälykäytännöt ja osaaminen ovat ajan tasalla. Tämä on kriittistä myös sen varmistamiseksi, että henkilöstöllä on tekoälyasetuksen edellyttämä riittävä tekoälylukutaito.
Mihin tekoälyohjeistusta tarvitaan?
Tekoälyohjeistus ei ole pelkkä muodollisuus, vaan käytännön väline, jolla yritys varmistaa tekoälyn vastuullisen ja turvallisen hyödyntämisen. Se on samalla keino vastata uusiin sääntelyvaatimuksiin ja luoda edellytykset tehokkaalle innovoinnille.
Tekoälylukutaidon varmistaminen: Ensinnäkin ohjeistus tukee tekoälyasetuksen edellyttämää riittävää tekoälylukutaitoa. Helmikuusta 2025 alkaen jokaisella tekoälyä hyödyntävällä organisaatiolla on ollut velvollisuus parhaansa mukaan huolehtia siitä, että henkilöstöllä on riittävä ymmärrys tekoälyn riskeistä, mahdollisuuksista ja sen mahdollisesti aiheuttamista vahingoista. Hyvin laadittu tekoälyohjeistus on keskeinen osa tätä organisatorista ja koulutuksellista velvoitetta. Euroopan komissio on myös vihjannut, että tekoälyasetuksen rikkomistilanteissa sanktioita ja muita seuraamuksia voidaan todennäköisemmin määrätä, jos tekoälylukutaitovelvoitetta on laiminlyöty.
Kannustava vaikutus: Selkeät pelisäännöt rohkaisevat henkilöstöä käyttämään tekoälyä. Kun työntekijöillä on varmuus siitä, mikä on sallittua ja mikä ei, tekoälyn käyttö muuttuu varovaisesta kokeilusta suunnitelmalliseksi toiminnan kehittämiseksi. Ohjeistus luo turvaa, joka kannustaa kokeilemaan ja löytämään uusia tapoja tehostaa työtä ilman pelkoa siitä, että tekoälyn käyttö voisi vahingossa johtaa sopimus- tai sääntelyvelvoitteiden rikkomiseen tai muiden riskien realisoitumiseen. Näin ohjeistus toimii paitsi riskienhallinnan myös innovoinnin välineenä.
Piilokäytön hallinta: Tekoälyohjeistus auttaa tunnistamaan ja hallitsemaan piilokäyttöä ja varjo-IT:tä. Monessa organisaatiossa tekoälytyökalut ovat tulleet käyttöön työntekijöiden omatoimisesti valitsemien sovellusten kautta. Kun käyttöä ei tunnisteta, sen riskejä ei voida myöskään hallita. Ohjeistus tekee tekoälyn käytön näkyväksi ja mahdollistaa henkilöstön ohjeistamisen myös sellaisten työkalujen osalta, joita työntekijät ottavat omatoimisesti käyttöön ilman erillistä hyväksyntää. Sen sijaan tekoälyn yksiselitteinen kieltäminen ei välttämättä vähennä riskejä – vaan päinvastoin – sillä tällöin henkilöstöä ei voida luontevasti ohjeistaa tarkemmista toimintamalleista.
Liikesalaisuuksien ja henkilötietojen suojaaminen: Yksi tekoälyohjeistuksen tärkeimmistä tehtävistä on luoda selkeät rajat sille, miten liikesalaisuuksia ja henkilötietoja saa hyödyntää tekoälyn yhteydessä. Kun työntekijä syöttää tekoälytyökaluun asiakasdataa, sisäisiä suunnitelmia tai henkilötietoja, voi seurauksena olla tietojen leviäminen organisaation kontrollin ulkopuolelle. Ohjeistus määrittää käytännön säännöt sille, mitä tietoa saa käyttää, millä ehdoilla ja missä ympäristöissä. Näin se suojaa sekä yrityksen että sen sidosryhmien intressejä.
Tekoälysäädöksen vaatimusten toteuttaminen: Tekoälyohjeistus auttaa jalkauttamaan tekoälysääntelyn edellyttämät toimintamallit ja rajoitukset organisaatioon. Tekoälyasetus asettaa erityisesti suuririskisten käyttötapausten osalta velvoitteita esimerkiksi datan hallinnasta, lokitietojen säilyttämisestä sekä käytön seurannasta ja valvonnasta. Pelkkä tieto velvoitteista ei riitä, vaan ne on vietävä käytäntöön siten, että ne näkyvät päivittäisissä prosesseissa ja päätöksenteossa. Ohjeistus toimii tässä sillanrakentajana juridiikan ja käytännön työn välillä.
Luottamuksen rakentaminen sidosryhmiin: Tekoälyohjeistus on myös viesti ulospäin. Kun yritys pystyy osoittamaan, että tekoälyä käytetään harkitusti ja vastuullisesti, se rakentaa luottamusta asiakkaisiin, yhteistyökumppaneihin ja viranomaisiin. Luottamus puolestaan vahvistaa yrityksen mainetta ja erottaa sen positiivisesti kilpailijoista. Tekoälyohjeistus on siten yhtä aikaa riskienhallintatyökalu, koulutusväline ja strateginen viesti vastuullisesta toiminnasta.
Tekoälyohjeistus on investointi kestävään tulevaisuuteen
Tekoälyn hyödyntäminen tuo mukanaan uudenlaisia riskejä, mutta myös valtavasti mahdollisuuksia. Selkeä tekoälyohjeistus auttaa tekemään tekoälystä aidosti liiketoiminnan vahvuuden, sillä se mahdollistaa uudenlaisen innovoinnin varmistaen samalla, että riskit hallitaan asianmukaisesti.
Olipa tekoäly olennainen osa yrityksen arkea tai vasta kokeilun tasolla, nyt on oikea aika varmistaa, että ohjeistus ja koulutus ovat ajan tasalla.
Katri Aarnio
Counsel
050 306 2031
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
- Anna Paimela
- 18.12.2024
Miltä kulunut vuosi näytti lainsäädäntötrendien osalta? Yritysvastuusääntely tiukkeni niin ympäristöön kuin ihmisoikeuksiin liittyvissä kysymyksissä, kun taas digisääntely kehittyi tekoälyn, alustatalouden ja kyberturvallisuuden haasteiden myötä. Työmarkkinoilla tapahtui muutoksia erityisesti joustavuuden lisäämiseksi työpaikoilla. Samalla tietosuojasakot nousivat entistä näkyvämpään rooliin, mikä korostaa organisaatioiden velvollisuutta huolehtia henkilötietojen käsittelystä.
Lue alta Folksin tarkempi koonti kuluneesta vuodesta.
Yhtiöoikeudellisen sääntelyn keskiössä kestävyys ja vastuullisuus
Kuluneen vuoden teema yhtiöoikeudellisessa sääntelyssä on ollut vastuullisuus. Keväällä saavutettiin EU-tason sovinto yritysvastuudirektiivistä. Direktiivi tulee panna täytäntöön Suomessa kesään 2026 mennessä. Lisäksi kestävyysraportointidirektiiviin liittyvät raportointivelvollisuudet alkavat vaikuttaa jo tulevan vuoden osalta suurimpiin pörssiyhtiöihin. Vaikka molempien direktiivien pääasiallinen kohderyhmä ovat suuret yritykset, tulevat sääntelyn heijastevaikutukset näkymään todennäköisesti myös suurten yritysten alihankkijoissa, koska raportointivelvoitteet kattavat yrityksen lisäksi niiden toimitusketjua. Tämän vuoksi uudella sääntelyllä tulee todennäköisesti olemaan heijastevaikutuksia yleisiin sopimuskäytäntöihin ja esimerkiksi due diligence –tarkastuksiin, joissa tulee tunnistaa edellä tarkoitetusta sääntelystä johtuvat velvoitteet osana toimitusketjua.
Myös osakeyhtiölakia uudistettiin hallituskokoonpanoihin liittyvien vaatimusten osalta. Osakeyhtiölaki sisältää nyt raja-arvot ylittäviä pörssiyhtiöitä koskevan sukupuolikiintiön yhtiön hallituksen jäsenten osalta. Tämän muutoksen ja kestävyysraportointidirektiivin täytäntöönpanon johdosta myös pörssiyhtiöitä koskevaa hallinnointikoodia päivitettiin vastaamaan sukupuolikiintiövaatimusta sekä kestävyysraportointisääntelyä.
Pörssiyhtiöitä koskeva markkinoiden väärinkäyttöasetus päivittyi joulukuun alussa. Päivityksen johdosta johtohenkilöiden liiketoimien ilmoittamisen kynnystä nostettiin Suomessa aiemmasta 5 000 eurosta 20 000 euroon.
Yrityskaupparintamaa leimaa edelleen yleisen kustannustason noususta johtuva epävarmuus, joka näkyy pitkittyneinä prosesseina. Vuoden loppua kohden on havaittavissa pientä kajoa tunnelin päässä ja toivon mukaan ensi vuonna yrityskauppojen tahti vilkastuu entiselle tasolleen.
Kohti tiukempaa digitaalista vastuullisuutta
Vuosi 2024 toi mukanaan merkittäviä edistysaskeleita EU:n digitaalisen sääntelyn kentällä. Erityisen huomion kohteena oli elokuussa voimaantullut tekoälyasetus (AI Act). Tekoälyasetus asettaa globaalisti tarkastellen ainutlaatuiset raamit tekoälyjärjestelmien kehittämiselle, käyttöönotolle ja valvonnalle. Riskiperusteinen lähestymistapa määrittelee tekoälyn käytön sallittavuuden ja sovellettavat vaatimukset tekoälyjärjestelmän potentiaalisten vaikutusten perusteella.
Digipalvelusäädöksen (Digital Services Act, DSA) vaikutukset laajenivat vuonna 2024, kun säädöstä alettiin alkuvuodesta soveltaa täysimääräisesti. Digipalvelusäädös on vaikuttanut laajamittaisesti digipalveluntarjoajien toimintamalleihin asettamalla velvoitteita esimerkiksi käyttäjien toimittaman sisällön moderointiin liittyen. Alkuvuodesta voimaan tuli myös datasäädös (Data Act), jonka tarkoituksena on mahdollistaa datan oikeudenmukainen jakautuminen vahvistamalla selkeät ja oikeudenmukaiset säännöt dataan pääsylle ja sen käytölle.
Vuoden aikana myös kyberturvallisuus nousi entistä enemmän keskiöön NIS2-direktiivin myötä, jota sovelletaan laajasti erilaisiin toimialoihin. Vaikka NIS2-direktiivin kansallinen toimeenpano viivästyi, velvoitteisiin varautuminen on monessa yrityksessä jo aloitettu muun muassa riskienhallintaa, tietoturvapoikkeamien raportointia ja kyberturvallisuusstrategioita koskevien prosessien läpikäynnillä. Toisena merkittävänä kyberturvallisuussäädöksenä vuonna 2024 tuli voimaan DORA-asetus, jonka tavoitteena on suojella EU:n finanssijärjestelmää kasvavilta kyberuhilta ja vahvistaa luottamusta digitaalisiin palveluihin kriittisellä sektorilla. Finanssialan toimijoiden lisäksi DORA-asetus vaikuttaa myös ICT-palveluntarjoajiin, jotka tuottavat palveluita finanssialan toimijoille.
Vuosi 2024 osoitti, että EU:ssa sääntelyä kehitetään kiihtyvällä tahdilla vastaamaan nopeasti muuttuvaa teknologista ympäristöä. Tasapainon löytäminen tarpeettoman raskaiden velvoitteiden ja vastuullisen liiketoiminnan turvaamiseksi tarpeellisen sääntelyn välillä on osoittautunut ajoittain haastavaksi. Uuteen sääntelyyn liittyvät epäselvyydet tulevat toivottavasti lähivuosina selkeytymään, kun tulkintakäytäntöä alkaa muodostua.
Tavoitteena ketterämmät työmarkkinat
Vuosi 2024 on pitänyt sisällään useita, erityisesti kollektiivista työlainsäädäntöä koskevia muutoshankkeita. Kuluvan vuoden kevättä värittivätkin laajat poliittiset lakot eri työpaikoilla, joilla työntekijäpuoli vastusti hallituksen kaavailemia uudistuksia.
Toukokuussa tuli voimaan rajoituksia perinteiseen työtaisteluoikeuteen. Jatkossa myötätuntolakoilla, eli varsinaisen työehtosopimusriidan työntekijöitä tukevilla lakoilla ei saisi olla suhteettomia vaikutuksia kohteena olevan työnantajan liiketoimintaan. Samoin poliittisten työnseisausten kestoa rajoitettiin vuorokauteen ja muiden poliittisten työtaistelutoimien kestoa kahteen viikkoon.
Työehtosopimuksiin perustuva paikallinen sopiminen laajenee myös järjestäytymättömille työpaikoille, jolloin paikallisen sopimisen joustot ovat jatkossa mahdollisia kaikilla kyseisen työehtosopimuksen velvoittamilla työpaikoilla. Uusi sääntely tuo siten yleissitovuuden nojalla työehtosopimusta soveltavat työpaikat samalle viivalle kuin liittoon kuuluvat, ja lisäksi jatkossa paikallista sopimista voitaisi hyödyntää myös yrityskohtaisissa työehtosopimuksissa.
Myös yhteistoimintalakiin esitetään huomionarvoisia muutoksia, jotka höllentäisivät pienten ja keskisuurten työnantajien yhteistoimintavelvoitteita. Lain yleisen soveltamisalan nosto tarkoittaisi selkeitä kevennyksiä alle 50 työntekijän työpaikoille, kun esimerkiksi vuoropuhelua voitaisiin käydä nykyistä työpaikkakohtaisemmin, ja samoin muutosneuvotteluita tulisi käydä huomattavasti rajatummissa tilanteissa. Myös työvoiman vähentämistä koskevien vähimmäisneuvotteluaikojen rajaaminen puoleen nykyisistä olisi merkittävä muutos nykyiseen sääntelyyn, jonka myötä työpaikat voivat reagoida ripeämmin mahdollisiin muutostilanteisiin. Lakimuutosten olisi tarkoitus tulla voimaan 2025 kesällä.
Kiistanalainen vientivetoinen palkkamalli etenee parhaillaan eduskunnassa. Lailla on tarkoitus säätää valtakunnan sovittelijan toimintavaltuuksista tilanteessa, jossa työmarkkinaosapuolet eivät pääse keskenään sopuun sopimuskauden palkankorotuksista. Tämä tarkoittaisi sovittelijan ehdottamien palkankorotusten sitouttamista niin sanottuun yleiseen linjaan, jossa palkankorotusten taso on melko vakiintuneesti määrittynyt isojen vientialojen palkkaratkaisujen mukaan.
Kuluneena vuonna työmarkkinakentällä on myllertänyt ja suomalaisen työelämän nykytilasta ja tulevaisuudesta on käyty laajaa poliittista keskustelua. Alkavana vuonna myöskään tuskin vältytään työmarkkinaväännöiltä, kun hallituksen lakihankkeet muun muassa henkilöperusteisen irtisanomisen osalta etenevät ja kevään työehtosopimuskierros pääsee kunnolla vauhtiin.
Tietosuojassa puhuttaa evästeet ja generatiivinen tekoäly
Tietosuojakentän vuotta 2024 on leimannut jälleen evästeiden käyttö ja kohdennettu mainonta. Suomessa Traficom on useissa päätöksissään tehnyt selväksi, että vapaaehtoisten evästeiden asettaminen edellyttää aktiivista suostumusta, joka on pystyttävä antamaan helposti jo evästebannerin ensimmäisellä ruudulla. Euroopan tietosuojaneuvosto (EDPB) on tarkastellut erityisesti suurten verkkoalustojen ”maksa tai suostu” -malleja, ja todennut, etteivät ne yleensä täytä pätevän suostumuksen vaatimuksia, jos käyttäjien annetaan valita ainoastaan kahdesta vaihtoehdosta, eli siitä, suostuvatko he henkilötietojen käsittelyyn kohdennettua mainontaa varten vai maksavatko he siitä, että heidän henkilötietojaan ei käytetä tällaiseen mainontaan. Elinkeinoelämä on kritisoinut linjausta todeten, että se jättää yksityisyydensuojan rinnalla se toisen perusoikeuden, elinkeinovapauden, huomioimatta. EDPB on julkaisemassa seuraavaksi muita kuin suuria verkkoalustoja koskevan ohjeistuksen ”maksa tai suostu” -malleihin liittyen.
Myös generatiivinen tekoäly on puhuttanut tietosuojayhteisöä. Keskeinen kysymys on ollut, mitä GDPR:n mukaista oikeusperustetta voidaan käyttää, kun käsitellään henkilötietoja tekoälymallien koulutusta varten, esim. kun tietoja crawlataan verkkosivustoilta tai sosiaalisen median palveluista. Iso-Britannin tietosuojaviranomainen ICO ja Ranskan tietosuojaviranomainen CNIL ovat julkaisseet ohjeistuksia, joissa viitataan oikeutettuun etuun käsittelyperusteena edellyttäen, että tavoiteltu etu on lainmukainen, ja käsittely on tarpeen tuon laillisen tarkoituksen toteuttamiseksi, eivätkä rekisteröidyn perusoikeudet ja -vapaudet syrjäytä tavoiteltua oikeutettua etua. EPDB:n ChatGPT työryhmä ei ottanut käsittelyn oikeusperusteeseen selkeää kantaa raportissaan, mutta linjaa yleisesti oikeutettua edun käyttämistä käsittelyperusteena lokakuussa julkaistussa ohjeistuksessaan.
Tietosuojasakot eivät jääneet tänäkään vuonna vähäisiksi. Irlannin tietosuojaviranomainen antoi LinkedInille 310 MEUER sakot, sillä LinkedIn ei ollut pyytänyt käyttäjiltään pätevää suostumusta mainonnan kohdentamiseen. Hollannin tietosuojaviranomainen taas antoi Uberille 290 MEUR sakot sen siirrettyä henkilötietoja Yhdysvaltoihin ilman asianmukaista perustetta. Meta sai 91 MEUR sakot käsiteltyään käyttäjien salasanoja huolimattomasti selkokielisenä sisäisissä järjestelmissään. Komission raportti GDPR:n soveltamisesta ja toimivuudesta kertoo, että Suomessa sakkoja on annettu jäsenmaista kolmanneksi vähiten. Raportti myös nostaa esiin, että tietosuojalainsäädännön soveltamisessa on yhä havaittu hajanaisuutta EU-maiden välillä, että tulevina vuosina tulisi keskittyä lisäämään tietosuoja-asetuksen yhdenmukaista tulkintaa entisestään. Myös EU:n uuden digi- ja datasääntelyn yhtenäinen soveltaminen edellyttää viranomaisten toimivaa yhteistyötä.
Tervetuloa 2025!
Digitalisaatio ja globalisaatio haastoivat lainsäätäjiä kuluneena vuonna, ja näemme varmasti saman trendin jatkuvan myös tulevina vuosina. Tilaa Folks Fokus ja Folksin uutiskirje, niin pysyt jatkossakin kartalla keskeisistä organisaatioihin vaikuttavista muutoksista. Pääset tilaamaan uutiskirjeen täältä.
Folks toivottaa kaikille rentouttavaa joulunaikaa ja iloista uutta vuotta!
