Opas

EU AI Act selkosuomeksi

EU AI Act on monimutkainen laki täynnä artiklaviittauksia. Tässä oppaassa selitämme mitä ne tarkoittavat käytännössä — ilman lakikieltä.

Sisältö
  1. Mikä EU AI Act on?
  2. Ketä laki koskee?
  3. Neljä riskiluokkaa selitettynä
  4. Kehittäjä vai käyttäjä — mikä ero?
  5. Mitä artiklat tarkoittavat?
  6. Deadline ja sanktiot

Mikä EU AI Act on?

EU AI Act (virallisesti asetus 2024/1689) on Euroopan unionin laki joka sääntelee tekoälyn käyttöä. Se tuli voimaan elokuussa 2024 ja velvoittaa kaikkia EU-alueella toimivia yrityksiä — riippumatta siitä onko yritys suomalainen vai ulkomainen.

Lain idea on yksinkertainen: mitä suurempi vahinko AI:sta voi seurata, sitä tiukemmat säännöt. Esimerkiksi sairaalan diagnostiikka-AI on tiukemman valvonnan alla kuin yrityksen sisäinen tekstinkirjoitusapuri.

Ketä laki koskee?

Laki koskee kaikkia yrityksiä jotka käyttävät tai tarjoavat tekoälyjärjestelmiä EU:n alueella. Tähän kuuluu:

  • Yritys joka käyttää ChatGPT:tä rekrytoinnissa
  • Yritys jonka verkkosivulla on AI-chatbot
  • Yritys joka on rakentanut oman algoritmin luottopäätöksiin
  • Yritys joka käyttää automaattista laskujen käsittelyä
Huom: Pelkkä ChatGPT:n käyttö tekstien kirjoittamiseen sisäisesti ei yleensä vaadi erityistoimia. Vaatimukset kasvavat kun AI tekee päätöksiä jotka vaikuttavat ihmisiin.

Neljä riskiluokkaa selitettynä

Kielletty — ei sallittu ollenkaan

Järjestelmät jotka laki kieltää kokonaan. Käytännössä: sosiaalinen pisteytys (kuten Kiinan pisteytysjärjestelmä), alitajuinen manipulointi tai kasvojentunnistus julkisissa tiloissa reaaliajassa.

Korkea riski — tiukat vaatimukset

AI joka käytetään rekrytoinnissa, lainansaannissa, terveydenhuollossa, koulutuksessa tai julkisissa palveluissa. Näiltä vaaditaan dokumentaatio, lokitus, ihmisvalvonta ja rekisteröinti EU:hun.

Rajattu riski — avoimuusvaatimukset

Chatbotit ja AI joka tuottaa sisältöä. Vaatimus: käyttäjille pitää kertoa selvästi että he juttelevat AI:n kanssa — ei saa esittää olevansa ihminen.

Minimiriski — ei pakollisia vaatimuksia

Esim. roskapostisuodattimet, hakukoneet, sisäiset kirjoitusapurit. Ei erityisiä lakisääteisiä vaatimuksia, hyvät käytännöt suositeltavia.

Kehittäjä vai käyttäjä — mikä ero?

Laki erottelee kaksi roolia joilla on eri velvoitteet:

Kehittäjä (Provider)

Yritys joka on itse rakentanut tai teettänyt AI-järjestelmän. Vastuu on suurin — kaikki tekniset vaatimukset, dokumentaatio ja EU-rekisteröinti kuuluvat heille.

Käyttäjä (Deployer)

Yritys joka käyttää valmista AI-työkalua (esim. ChatGPT, Copilot, ostettu sovellus). Velvoitteet ovat kevyemmät — päävastuut ovat toimittajalla.

Suurin osa pk-yrityksistä on käyttäjiä — he käyttävät valmiita työkaluja eivätkä kehitä omia. Tämä tarkoittaa merkittävästi kevyempiä velvoitteita.

Mitä artiklat tarkoittavat?

EU AI Act käyttää artiklaviittauksia (Art. 5, Art. 11 jne.). Tässä ne selitettynä selkosuomeksi:

Art. 5
Kielletyt järjestelmät

Lista AI-järjestelmistä joita ei saa käyttää ollenkaan EU:ssa. Käytännössä: sosiaalinen pisteytys, alitajuinen manipulointi, reaaliaikainen biometrinen tunnistus julkisissa tiloissa.

Art. 9
Riskinarviointi

Korkean riskin järjestelmille pitää tehdä kirjallinen riskinarviointi: mitä voi mennä pieleen, kuinka todennäköistä se on ja miten riskit hallitaan. Ei tarvitse olla monimutkainen — selkeä Word-dokumentti riittää.

Art. 10
Datan laatu

Jos AI on koulutettu datalla, se data pitää dokumentoida: mistä se on peräisin, onko se tasapuolista, miten se on käsitelty. Tärkeä varsinkin omia malleja kehittäville yrityksille.

Art. 11
Tekninen dokumentaatio

Järjestelmästä pitää olla kirjallinen kuvaus: mitä se tekee, miten se toimii, mihin se on tarkoitettu ja mitkä ovat sen rajoitukset. Viranomainen voi pyytää tämän tarkastuksessa.

Art. 12
Lokitiedostot

Järjestelmän toiminnasta pitää jäädä lokeja vähintään 6 kuukauden ajalta. Näistä pitää näkyä mitä päätöksiä on tehty, milloin ja millä syötteillä. Pilvipalveluissa tämä hoituu usein automaattisesti.

Art. 14
Ihmisvalvonta

Korkean riskin AI:lla pitää olla nimetty henkilö joka seuraa sen toimintaa ja voi tarvittaessa puuttua tai pysäyttää järjestelmän. Ei tarvita erityistä teknistä osaamista — riittää että joku vastaa valvonnasta.

Art. 17
Laadunhallinta (QMS)

Yrityksellä pitää olla kirjallinen prosessi: miten AI-järjestelmiä hankitaan, otetaan käyttöön, seurataan ja päivitetään. Ei vaadita ISO-sertifiointia — selkeä sisäinen ohje riittää.

Art. 26
Käyttäjäyrityksen velvoitteet

Jos käytätte valmista AI-työkalua (ette ole kehittäjä), tämä artikla koskee teitä. Velvoitteet: järjestä ihmisvalvonta, säilytä lokit, arvioi käyttöriskit omassa kontekstissanne ja kerro työntekijöille AI:n käytöstä.

Art. 43
Vaatimustenmukaisuusarviointi

Korkean riskin järjestelmä pitää virallisesti arvioida ennen käyttöönottoa ja aina kun siihen tehdään merkittäviä muutoksia. Tämä kartoitustyökalu auttaa pohjatyön tekemisessä.

Art. 49
EU-rekisteröinti

Korkean riskin järjestelmät pitää rekisteröidä EU:n yhteiseen AI-tietokantaan. Rekisteröinti tapahtuu EU:n virallisen portaalin kautta. Kehittäjä on ensisijaisesti vastuussa, mutta käyttäjäyrityskin voi joutua rekisteröimään jos kehittäjä on EU:n ulkopuolella.

Art. 50
Avoimuus chatboteissa ja AI-sisällössä

Jos teillä on chatbot tai AI joka kommunikoi asiakkaiden kanssa, pitää selvästi kertoa että kyseessä on AI — ei ihminen. Lisäksi tekoälyn generoima sisältö (kuvat, tekstit, videot) pitää merkitä tunnistettavasti.

Annex III
Korkean riskin toimialat

Lain liite III listaa toimialat joilla AI automaattisesti luokitellaan korkean riskin järjestelmäksi: rekrytointi ja HR, luottopäätökset ja vakuutukset, terveydenhuolto, koulutus, kriittinen infrastruktuuri, lainvalvonta, maahanmuutto ja julkiset palvelut.

Deadline ja sanktiot

2.8.2026
Korkean riskin järjestelmien täysi compliance-deadline
15M€ / 3%
Maksimisankio — 15 miljoonaa euroa tai 3% vuotuisesta liikevaihdosta

Suomen valvontaviranomainen on Liikenne- ja viestintävirasto Traficom. Sankiot astuvat voimaan deadlinen jälkeen.

Tärkeää: Tämä opas on yleinen tietopaketti eikä korvaa juridista neuvontaa. Suosittelemme tarkistuttamaan compliance-dokumentit lakimiehellä ennen viranomaisten kanssa asiointia.

Valmis tarkistamaan yrityksesi tilanteen?

Tee ilmainen kartoitus — 10 minuuttia, ei luottokorttia.

Aloita ilmainen kartoitus