EU:n tekoälysäädös kuntakentällä

Roolit

Säädös määrittelee erilaisia rooleja tekoälyjärjestelmien kanssa toimiville tahoille. Rooleja on valvontaviranomaisten lisäksi tarjoaja, käyttöönottaja, maahantuoja ja jakelija. Kunnat ovat useissa tapauksissa käyttöönottajia (käyttävät valvonnassaan olevaa tekoälyjärjestelmää), elleivät itse kehitä tai kehitytä tekoälyjärjestelmää markkinoille, muokkaa sitä merkittävästi tai ota omalla nimellään järjestelmää käyttöön (tarjoaja), saata EU:n markkinoille (maahantuoja) tai muutoin aseta saatavaksi (jakelija) tekoälyjärjestelmää esimerkiksi Yhdysvalloista. Rooleista on huomioitava, että vaikka kunta ei itse kehittäisi tai myisi tekoälyjärjestelmää, voi se silti päätyä tarjoajan velvollisuuksien piiriin, jos tekoälypohjainen toiminnallisuus on kunnan nimen alla.

Suuririskisyys

Tekoälysäädöksen liite III määrittää käyttötarkoitukset, jolloin tekoälyjärjestelmä lasketaan suuririskiseksi. Näihin lukeutuvat kriittinen infrastruktuuri, koulutus ja ammatillinen koulutus, työllisyys, keskeiset yksityiset ja julkiset palvelut (esim. terveydenhuolto ja pankkitoiminta), tietyt lainvalvonta-, maahanmuutto- ja rajavalvontajärjestelmät sekä oikeudelliset ja demokraattiset prosessit (esim. vaaleihin vaikuttaminen). Suuririskisenä pidetään siten esimerkiksi arviointiprosessia, jossa määritellään henkilön oikeus julkisiin etuihin tai palveluihin. Käyttökohteen lisäksi merkitystä on tekoälyn käyttötavalla, eli kuinka merkittävästi tekoälyjärjestelmän käyttö vaikuttaa päätöksiin. Tekoälyjärjestelmää ei pidetä suuririskisenä, jos se ei aiheuta merkittävää vahingon riskiä luonnollisten henkilöiden terveydelle, turvallisuudelle tai perusoikeuksille, mukaan lukien se, että se ei vaikuta olennaisesti päätöksenteon tulokseen. 

Tästä on kyse, jos tekoälyjärjestelmän tarkoituksena on

1. suorittaa suppea menettelyllinen tehtävä;
2. parantaa aiemmin suoritetun ihmisen toiminnan tulosta;
3. havaita päätöksentekotapoja tai poikkeamia aiemmista päätöksentekotavoista, eikä sen tarkoituksena ole korvata aiemmin tehtyä ihmisen tekemää arviota tai vaikuttaa siihen ilman asianmukaista ihmisen suorittamaa arviota; tai
4. valmistelutehtävä, joka koskee liitteessä III lueteltujen käyttötapausten kannalta merkityksellistä arviointia.

Tekoälyjärjestelmää on aina pidettävä suuririskisenä, jos tekoälyjärjestelmä suorittaa luonnollisten henkilöiden profilointia.

Komissio tulee antamaan määrittelyyn suuntaviivoja, mutta vasta vuosina 2025–2026, joten sitä ennen joudutaan itse tulkitsemaan suuririskisyyttä asetuksen liitteen III ja 6 artiklan 3 kohdan luetteloiden pohjalta.

Kielletyt käytöt

Kuntien tulee olla tietoisia myös tekoälyn kielletyistä käytöistä, jotka on lueteltu tekoälyasetuksen II luvun 5 artiklassa. Ei hyväksyttävissä oleviin riskeihin sisältyvät muun muassa ihmisten käytöksen haittaa aiheuttava manipuloiminen, sosiaalinen pisteytys, biometrinen tunnistaminen ja luokittelu.

Systeeminen riski

Systeemisen riskin sisältäviin tekoälymalleihin sovelletaan tarjoajia koskevia velvoitteita, joita käsitellään 52–55 artikloissa. Kunnissa tulee arvioida yleiskäyttöisten tekoälymallien käytön vaikutukset kuntien kriittisiin palveluihin, kuten energia- tai vesihuoltoon sekä yleiskäyttöisten tekoälymallien potentiaali johtaa laajamittaisiin yksityisyyden loukkauksiin tai yhteiskunnallisiin ongelmiin.

Rajoitetun riskin tekoälyjärjestelmät, yleiskäyttöiset tekoälymallit ja avoimuusvelvoite

Tekoälysäädöksen 50 artiklassa säädetään tiettyjen tekoälyjärjestelmien tarjoajia ja käyttöönottajia koskevista avoimuusvelvoitteista, jotka koskettavat muun muassa kuntien ja kaupunkien chatbotteja. Avoimuusvelvoitteessa oleellista on, että kuntalaisen tulee olla tietoinen, jos hän asioi tekoälyn kanssa tai tekoäly on luonut esimerkiksi kunnan tiedotteiden sisällön. Kuntien on annettava tietoa tekoälyjärjestelmistä, niiden käyttötarkoituksesta sekä siitä, miten se vaikuttaa kansalaisiin. Tekoälyjärjestelmän avulla tehtyihin päätöksiin liittyen kansalaisilla on oltava mahdollisuus haastaa päätökset ja saada ne tarkistettua ihmisen toimesta.

Suomessa chatbottien sääntelyyn liittyy myös digipalvelulain 6 a §, jossa säädetään palveluautomaation käytöstä neuvonnassa. Tämä kokonaisuus tarkentuu ja kehittyy vuoden aikana, kun valtiovarainministeriön Digitalisaation ja tiedon liikkuvuuden esteiden purkamisen hankkeen työryhmässä tarkastellaan chatbot-kysymystä sääntelyn näkökulmasta laajasti. Tekoälyasetus ei yksin ratkaise kaikkea, mitä tulee tässä kontekstissa pohtia.

Muut vähäisen riskin järjestelmät

Jos käyttö ei ole kielletty, ei lasketa suuririskiseksi tai avoimuusvaatimuksen alaiseksi, eikä ole systeemistä riskiä, niin silloin kyseessä on vähäisen riskin tekoälyjärjestelmä, jota asetus ei sääntele. Tällaisia ovat esimerkiksi roskapostisuodattimet, tekstinmuokkausohjelmat ja käännöstyökalut sekä kuljetusreitin optimointi.
 

Säädös tuli voimaan 1.8.2024 (20 päivää EU:n virallisen lehtijulkaisun jälkeen 12.7.2024).

2/2025 

• kielletyt tekoälyyn liittyvät käytännöt (luvut I ja II)
• tekoälylukutaito (4 artikla)

5/2025

• komission käytännesäännöt valmiit (56 artikla)

8/2025

• vapaaehtoiset komission käytännesäännöt voimaan (56 artikla)
• yleiskäyttöisiä tekoälymalleja koskevia hallintosääntöjä ja velvoitteita (luku V)
• suuririskisten tekoälyjärjestelmien tarjoajien ja käyttöönottajien velvoitteet
• hallinnointi (luku VII)
• seuraamukset ja luottamuksellisuus (luku XII)
• kansallisten toimivaltaisten viranomaisten raportointi viimeistään (70 artikla)

2/2026

• komission suuntaviivat suuririskisyyden määrittelyyn (6 artikla)

8/2026 

• avoimuusvelvollisuudet (art. 50)
• testiympäristön oltava valmiina (57 artikla)

8/2026 asetusta sovellettava kokonaisuudessaan, paitsi:

8/2027 

• säänneltyihin tuotteisiin sisällytettyjä tekoälyjärjestelmiä koskevat säännöt (6 artikla (1))
• ennen 8/2025 markkinoilla tai käytössä olleet yleiskäyttöiset tekoälymallit (111 artikla (3))

8/2028

• Komissio arvioi tekoälytoimiston toimintaa, käytännesääntöjen tehokkuutta ja muutoksentarpeita valvontajärjestelmiin, avoimuusvelvoitteisiin ja suuririskisyyden aihealueita

8/2030 

• markkinoilla tai käytössä ennen elokuuta 2026 olleet suuririskiset tekoälyjärjestelmät (paitsi suuren mittakaavan IT-järjestelmät) (111 artikla (2))

12/2030

• markkinoilla tai käytössä ennen elokuuta 2027 olleet liitteessä X listatut suuren mittakaavan IT-järjestelmät (111 artikla (1))

   

Aikataulusta löytyy kattava englanninkielinen aikajana tekoälysäädöstä käsittelevällä koontisivustolla.

Tekoälyasetuksen 4 artikla kehottaa toteuttamaan toimenpiteitä, joilla varmistetaan henkilöstön ja toimijan puolesta tekoälyjärjestelmien toiminnasta vastaavien henkilöiden riittävä tekoälylukutaito. Tällä tarkoitetaan heidän teknisen tietämyksensä, kokemuksensa, koulutuksensa ja tekoälyjärjestelmien käyttöyhteyden sekä henkilöiden tai henkilöryhmien, joihin tekoälyjärjestelmiä on määrä käyttää, huomioimista tekoälyosaamisen edistämisessä. 

Tekoälylukutaidon edistämistä ei asetuksessa sen tarkemmin määritellä, mutta kohta koskee myös kuntia. Käytännössä artikla ohjaa kuntia jollakin tavalla toiminnassaan varmistamaan niiden henkilöiden tekoälyosaaminen ja -ymmärrys, jotka ovat työssään tekemisissä tekoälyjärjestelmien kanssa. Artiklan muotoilun avoimuuden vuoksi se on lähinnä tavoitteellinen ja ohjaava, eikä seuraamuksia tai valvontaa ole määritetty.

Kunnissa ajankohtaisena esimerkkinä tekoälylukutaidon edistämisestä on Opetushallituksen sekä Opetus- ja kulttuuriministeriön vielä vuoden 2024 aikana julkaistavat suositukset tekoälyn käytölle varhaiskasvatuksessa, perusopetuksessa, vapaassa sivistystyössä ja toisella asteella. 

Tekoälysäädöksen yhteydessä Euroopan komissio on perustanut tekoälytoimiston, joka luotsaa yhteisten käytännesääntöjen luomista tekoälyn kehittämiseen ja käyttöön EU:n alueella. Käytännesäännöissä luodaan ohjeistuksia muun muassa siihen, miten pitää tekoäly ajan tasalla, miten kuvailla tekoälyn koulutukseen käytettyä dataa, miten tunnistaa riskejä sekä miten toimia riskien suhteen. Käytännesääntöjen tarkoitus on siis yhtenäistää toimintatapoja ja toimia ohjeena tekoälymallien kehittäjille. Käytännesääntöjen tulee olla valmiita toukokuun 2025 alussa ja ne tulevat voimaan elokuussa 2025. 

Käytännesääntöjen noudattaminen ei ole pakollista, vaan ne on tarkoitettu lähinnä tekoälyjärjestelmien kehittäjien itsesääntelyyn. Ajatus on, että käytännesääntöjä noudattamalla tulee täyttäneeksi myös asetuksen velvoitteet. Vaikka kunta ei itse kehittäisi tekoälymalleja tai ottaisi käytännesääntöjä käyttöön, kuntien kannattaa pitää niiden valmistelua silmällä ja antaa näiden järjestelmien hyödyntäjien näkökulmaa tarpeista ja huomioista esimerkiksi henkilötietojen käsittelyyn liittyen. Käytännesääntöjen muotoilulla voi olla vaikutusta tekoälyasetuksen tulkintoihin ja soveltamiseen. 

Käytännesäännöistä järjestetään lausuntokierroksia, joiden kautta kunnat voivat tuoda omaa näkökulmaansa esiin. 
 

Jäsenvaltioiden tulee varmistaa, että kansallisella tasolla tarjotaan tosielämää mukaileva tekoälyn sääntelyn testiympäristö elokuuhun 2026 mennessä tekoälysäädöksen 57 artiklan mukaisesti. Testiympäristöt koskevat käytännesääntöjen tapaan lähinnä tekoälymallien kehittäjiä, mutta kunnilla voi olla oleellinen rooli esimerkiksi datan, kuten kuntalaisten henkilötietojen, tarjoajana. Testauksista toimitetaan loppuraportti komissiolle ja tekoälyneuvostolle, joiden kautta kunnat voivat neuvoston tietoalustan kautta saada tietoja testiympäristöjen opeista ja haasteista myös sellaisten testausten osalta, joissa eivät itse ole olleet osallisina.

Testiympäristöjen suunnittelu alkaa Työ- ja elinkeinoministeriössä vuoden 2024 lopulla. Testiympäristöihin liittyvä lausuntokierros on suunnitteilla vuoden 2025 keväälle.

Tekoälysäädöksessä määritellään yrityksille sakkoseuraamuksia asetuksen velvoitteiden laiminlyönnistä yrityksen koosta ja liikevaihdosta riippuen. Seuraamuksista julkishallinnon tahoille ei ole vielä säädetty ja säädöksen osalta tähän on jätetty kansallista liikkumavaraa. Lähtökohtana kansallisessa toimeenpanon työryhmässä on, että viranomaisille ei tästä tulisi seuraamuksia, koskien siten myös kuntia. 

Julkishallinnon seuraamuksista täytyy kansallisella tasolla julkistaa päätös viimeistään elokuussa 2025. Ensiasteen seuraamus on vakiintuneesti varoitus tai huomautus ja mahdollisuus korjata toimintaa. Ajatuksena on tällä hetkellä, että seuraamukset toimisivat samalla tavoin, kuin tietosuoja-asetuksen suhteen. 

Tällä hetkellä seuraamusmaksua ei voi Suomessa määrätä tietosuoja-asetuksen nojalla julkisen sektorin toimijoille. Seuraamusmaksujen ulottaminen myös julkiselle sektorille on kuitenkin kirjattu nykyiseen hallitusohjelmaan. Muissa Pohjoismaissa on säädetty mahdollisuus antaa tietosuoja-asetuksen nojalla sakkoja myös julkisen sektorin toimijoille.

Tekoälysäädös on lähtökohtaisesti markkinavalvontaa, joten kansalliset valvontaviranomaiset koostuvat pitkälti markkinavalvontaviranomaisista. Kansallisten viranomaisten tehtävänä on paitsi valvoa, niin myös neuvoa lain tulkinnassa ja toteutuksessa. Jäsenvaltioiden tulee elokuuhun 2025 mennessä nimetä kansalliset viranomaiset ja kertoa, miten niihin voi olla yhteydessä. Hallituksen esitys kansallisista valvontaviranomaisista on mennyt lausuntokierrokselle syksyllä 2024 sisältäen tarkemman ehdotuksen siitä, keitä valvontaviranomaiset Suomen osalta olisivat. Keskeisiä markkinavalvontaviranomaisia tulevat olemaan Tietosuojavaltuutettu, Liikenne- ja viestintävirasto Traficom, Turvallisuus- ja kemikaalivirasto Tukes, Sosiaali- ja terveysministeriö ja aluehallintovirastojen työsuojelun vastuualueet, Lääkealan turvallisuus- ja kehittämiskeskus, Energiavirasto, Etelä-Savon elinkeino-, liikenne- ja ympäristökeskus, Finanssivalvonta, Sosiaali- ja terveysalanlupavirasto. Tietyissä tilanteissa Kansaneläkelaitoksen valvojina toimivat eduskunnan valitsemat valtuutetut. Kiellettyjen tekoälykäytäntöjen valvonta tulee Tietosuojaviranomaiselle ja avoimuusvelvoitteita valvoo Liikenne- ja viestintävirasto Traficom. Lisäksi Traficom toimii keskitettynä yhteyspisteenä, jolle kuuluu yhteydenpito EU:n toimielimiin ja muiden jäsenvaltioiden toimivaltaisiin viranomaisiin sekä tarjoaa tekoälyjärjestelmiä koskevaa asiantuntijatukea toimivaltaisille kansallisille viranomaisille. Säädöksen mukaiset ilmoitetut laitokset tarkastavat suuririskisten tekoälyjärjestelmien vaatimustenmukaisuuksia. Ilmoittamisesta vastaaviksi viranomaisiksi tulevat työ- ja elinkeinoministeriö TEM, 
Liikenne- ja viestintävirasto, Lääkealan turvallisuus- ja kehittämiskeskus ja sosiaali- ja terveysministeriö, joista TEM toimii ilmoittamisesta vastaavana viranomaisena.

Suurin osa säädöksen velvoitteista tulee voimaan vasta elokuun 2025 jälkeen, joten lakisääteisiä velvoitteita ei ennen viranomaisten nimeämistä ole koko asetuksen painolla, mutta kunnat tarvitsevat tietysti jo ennen sitä neuvoja lain tulkintaan. Euroopan komissio on perustanut tekoälyneuvoston, mutta se neuvoo lähinnä unionin tasolla, joten siitä ei liene kuntien tarpeisiin juurikaan apua. Tekoälyneuvostolla on kuitenkin olemassa erilaisiin kokonaisuuksiin keskittyviä alaryhmiä. Jos kunnille syntyy tarve perustaa kuntia ja julkisen hallinnon toimijoita palveleva alaryhmä, tulee tätä ajatusta viedä kansallisen toimeenpanoryhmän kautta neuvostolle harkittavaksi. Suomessa tekoälyasetuksen kansallisen toimeenpanon työryhmä ja TEM voivat tarvittaessa neuvoa asetuksen soveltamisessa jo ennen valvontaviranomaisten virallista nimeämistä. Euroopan komissiolta on odotettavissa vielä vuoden 2024 aikana suuntaviivoja muun muassa tekoälyjärjestelmän määrittelyyn sekä kieltojen soveltamiseen.

Tällä hetkellä ei ole selkeää kansallista tekoälystrategiaa julkiselle hallinnolle tai Suomelle. Tekoälyyn liittyen on olemassa monenlaisia yleisohjeistuksia ja eettisiä periaatteita, mutta erityisesti kuntanäkökulmaa tekoälyasetuksen tulkintaan on toistaiseksi vähänlaisesti. Eettisiä ohjeistuksia on saatavilla esimerkiksi Digi- ja väestötietoviraston, Euroopan komission sekä valtiovarainministeriön koostamina. Osa kunnista, kuten Tampere ja Helsinki ovat itsekin luoneet tekoälyn käytölle eettiset periaatteet. 

Kuten aiemmin mainittu, tiedonhallintaan liittyvät vaatimukset, tietosuoja-asetus ja hyvän hallinnon periaatteet luovat myös tekoälyasetuksen vaatimusten noudattamiseen vahvan pohjan. Tekoälytoimisto tulee laatimaan mallipohjat perusoikeusvaikutustenarviointiin ja tekniseen dokumentaatioon. Myös Digi- ja väestötietovirastolla on valmisteilla hankintoihin ja vaikutustenarviointeihin liittyviä mallipohjia. Linkitämme jatkossa tietoomme tulevia julkaistuja malleja ”Hyödyllisiä linkkejä” -osioon.

Kuntaliitossa on käynnistynyt vuoteen 2025 kestävä EU:n digi- ja datalainsäädäntöä kuntasektorilla selvittävä projekti. Tekoälyasetus oli ensimmäinen, joka käytiin yhdessä ministeriön edustajan kanssa läpi.

Projektissa tuotetaan selkeyttävää materiaalia myös muista lainsäädännöistä siitä näkökulmasta, mitä kukin EU:n digi- ja datalainsäädäntö tarkoittaa kunnille. Tämän lisäksi järjestetään syksyllä 2024 kuntasektorille haastatteluja ja työpajoja asian tiimoilta. Jos kunnassa tai kaupungissasi on pohdintoja samojen asioiden äärellä, tervetuloa mukaan projektin verkostoon. 

Ohjeet ja lisätietoa löydät sivulta EU:n digi- ja datalainsäädäntö kuntasektorille | Kuntaliitto.fi.

Tietoturva

Digi- ja väestötietoviraston VAHTI-verkostoon kuuluu digitaalisen turvallisuuden kehittämisestä ja ohjauksesta vastaavien organisaatioiden johtoa sekä digiturvasta vastaavia asiantuntijoita.

Tekoälylukutaito ja -osaaminen

• KT:n koonti ”Generatiivisen tekoälyn hyödyntäminen kunta- ja hyvinvointialalla - yli 50 vinkkiä hyvään tekoälytartuntaan”.
• Tampereen kaupunki linjasi eettiset periaatteet tekoälyn käytölle (Tampereen kaupunki)
• Helsinki laati periaatteet datan ja tekoälyn eettiselle käytölle (Helsingin kaupunki)
• Tekoälyn vastuullinen hyödyntäminen (Digi- ja väestötietovirasto)
• Ethics-guidelines-AI_FI.pdf (europa.eu). Euroopan komission eettiset ohjeet.
• Tekoälyn eettinen ohjeistus - Valtiovarainministeriö (vm.fi). Valtiovarainministeriön eettinen ohjeistus.

Tekoälyasetuksesta

• https://artificialintelligenceact.eu/ Kattavaa koontia ja tiivistelmiä asetuksesta englanniksi.
• Asetus - EU - 2024/1689 - EN - EUR-Lex (europa.eu). Suora linkki lakitekstiin.
• Tekoälyn kansallisen toimeenpanon työryhmän tiedot
• Euroopan tekoälytoimisto | Shaping Europe’s digital future (europa.eu). Tekoälytoimiston verkkosivusto

Muita linkkejä

• ICT-hankintojen pelikirja (vm.fi). Valtiovarainministeriön vuonna 2023 julkaisemia ohjeita ICT-hankintoihin.