Miten huomioida tietosuoja, kun yritys ottaa tekoälytyökaluja käyttöön?

Tekoälymallit tarvitsevat erittäin suuria määriä dataa mallin koulutukseen. Tavanomaisin tilanne on kuitenkin se, että organisaatio on ottamassa käyttöön jonkin palveluntarjoajan valmiin tekoälymallin. Toisessa, harvinaisemmassa tilanteessa, organisaatio kehittää itse tekoälymallia. Kumpikin lähestymistapa tuo mukanaan omat tietosuojahaasteensa:

• Olemassa olevan tekoälymallin käyttöönotto: Kun käytetään valmiiksi koulutettuihin tekoälymalleihin pohjautuvia työkaluja, on käyttöönotosta tärkeää tehdä selkeä suunnitelma. Osana suunnitelmaa on syytä arvioida, mihin tarkoitukseen organisaatio aikoo kyseistä työkalua käyttää, onko tarkoitus käsitellä työkalun avulla henkilötietoja ja miten organisaatiota ohjeistetaan tekoälyn käytöstä. Lisäksi organisaatioiden on hyvä suunnitella, missä kohtaa tekoälyn tehostamia prosesseja tarvitaan ihminen arvioimaan ja validoimaan tekoälyn tuotoksia.

• Uuden tekoälymallin luominen: Kun kehitetään uutta tekoälymallia, organisaatioiden on kerättävä ja käsiteltävä suuria tietomääriä. On tärkeää varmistaa, että käytetty data on hankittu laillisesti, tietosuojasääntelyä noudattaen ja että yksilöiden oikeuksia kunnioitetaan. Organisaation tulee tällöin etenkin huolehtia siitä, että tietojen käytölle – mikäli käytettävä tieto sisältää henkilötietoa – on olemassa pätevä oikeusperuste, tiedot anonymisoidaan mahdollisuuksien mukaan ja tietojen minimoinnin periaatetta sovelletaan. Euroopan tietosuojaneuvosto (EDPB) on ottanut kantaa henkilötietojen hyödyntämiseen tekoälymallien kehittämisessä lausunnollaan 28/2024.

Koska näiden kahden tilanteen tietosuojakysymykset eroavat osin merkittävästi, tässä kirjoituksessa käsitellään etenkin tilannetta, jossa organisaatio ottaa jo valmiin tekoälytyökalun käyttöön.

Kun tekoälytyökalun käyttöönottoa suunnitellaan, on tärkeää arvioida huolellisesti sitä, mihin tarkoitukseen työkalua tullaan käyttämään. Käyttötarkoitusta on syytä arvioida etenkin tekoälyasetusta (AI Act) vasten. Tämä on tärkeää siksi, että tekoälyasetuksen mukaan tietyt käyttötarkoitukset, kuten työntekijöiden valinta, kandidaattien arviointi, päätökset suoriutumisesta ja ylennyksistä, koulutusvalintoihin ja -tuloksiin liittyvä päätöksenteko sekä tietyissä tilanteissa myös biometrinen tunnistaminen ovat asetuksessa listattuja esimerkkejä tekoälyn korkean riskin käyttötavoista. Korkean riskin tekoälyjärjestelmät käsittelevät usein suuria määriä henkilötietoja, mikä lisää niiden tietosuojariskejä. Tietosuojasääntelyn näkökulmasta tietojen minimointi ja tarkoitussidonnaisuus ovat keskeisessä asemassa.

Organisaatiolle tulevat vaatimukset pohjautuvat osin tekoälyasetuksen mukaiseen riskikategorisointiin. Esimerkiksi korkean riskin käyttöön liittyy asetuksen mukaan erityisvaatimuksia koskien mm. tarvittavia ohjeistuksia, perustavanlaatuisten oikeuksien vaikutusten arviointi (”FRIA”), tietojen laadunvarmistusta, asianmukaista dokumentaatiota sekä informointivelvollisuutta, riskienhallinta- ja raportointijärjestelmiä sekä ihmisen tekemää valvontaa. Euroopan Komission tekoälyneuvoston odotetaan tarkentavan korkean riskin käyttötapoja koskevia näkemyksiään sekä tuottavan käytännön esimerkkejä korkean riskin käytöstä helmikuuhun 2026 mennessä.

Tekoälyn käytön tietosuojakysymyksien osalta erityisen määrittävä tekijä on organisaation oma tietosuojaroolitus. Henkilötietojen käsittelijä on sidottu rekisterinpitäjän antamaan ohjeistukseen ja toteuttaa toimia vain rekisterinpitäjän puolesta ja lukuun, kun taas rekisterinpitäjällä on valta määritellä henkilötietojen käsittelyn tarkoitus ja tavat, toki tietysti lainsäädännön asettamissa rajoissa. Ensimmäinen arvioitava asia tekoälyn käyttömahdollisuuksien osalta onkin siten organisaation tietosuojaroolin antamat mahdollisuudet ja niiden rajat.

Arvioinnin pohjana on syytä tutustua myöskin aiotun tekoälytyökalun sopimusehtoihin. Sopimusehdot ovat keskeisessä roolissa sen määrittämisessä, miten työkalu hyödyntää siihen syötettävää materiaalia. Tämän ymmärtäminen auttaa organisaatiota arvioimaan myös tietosuojaan liittyviä riskitekijöitä.

Tietosuoja-asetuksen voimaantulon jälkeen paikkansa vakiinnuttanut tietosuojavaikutusten arviointi (”DPIA”) on keskeinen arviointityökalu niiden riskien tunnistamiseen ja lieventämiseen, jotka liittyvät tietojen käsittelytoimiin, myös tekoälytyökalujen käyttöönotossa. Vaikutustenarviointia edellytetään silloin, kun suunniteltu käsittely todennäköisesti aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille, ja erityisesti, kun henkilötietojen käsittelyssä käytetään uutta teknologiaa. Vaikutustenarviointi auttaa organisaatioita arvioimaan, miten tietoja kerätään, käytetään, säilytetään ja jaetaan, varmistaen soveltuvan tietosuojalainsäädännön, kuten yleisen tietosuoja-asetuksen (”GDPR”), noudattamisen. Vaikutustenarviointi on tehtävä ennen käsittelyn aloittamista ja sitä on päivitettävä tarvittaessa.

Itse pääasiallisen käyttötarkoituksen arvioinnin ja sen mukaisen tietosuojan vaikutustenarvioinnin lisäksi tekoälyn keskeisen tietosuojakysymyksen muodostavat sen käyttötavat.

Usealla organisaatiolla on tarve syöttää tekoälylle myös henkilötietoja osana muita tietoja. Henkilötietojen käytön osalta vaatimukset eivät kuitenkaan poikkea tekoälynkään kohdalla muista niiden käyttöön kohdistuvista vaatimuksista, kuten mm. asianmukaisesta oikeusperusteesta, informointivelvollisuudesta, rekisteröidyn oikeuksien toteuttamisesta sekä etenkin työntekijöiden tietojen kohdalla myös Työelämän tietosuojalain 3 §:n (759/2004) mukaisesta tarpeellisuusvaatimuksesta.

Organisaatioiden on hyvä arvioida tekoälyn käyttötapauksien yhteydessä seuraavia asioita:

• Datan arkaluonteisuus: Tullaanko dataan sisällyttämään arkaluonteisia henkilötietoja, kuten terveystietoja, taloudellisia tietoja tai muita tietoluokkia, jotka vaativat tehostettuja suojaustoimenpiteitä? Voidaanko tällaisten tietojen käyttöä välttää?

• Datan määrä ja datan lähteet: Suuret tietomäärät lisäävät tietomurtojen riskiä, kun taas monimuotoiset datalähteet voivat monimutkaistaa oikeusperusteiden ja datan hallintaprosesseja, sekä rekisteröityjen oikeuksien toteuttamista.

• Datan anonymisointi ja pseudonymisointi: Voidaanko ottaa lisäksi käyttöön tekniikoita datan anonymisoimiseksi tai pseudonymisoimiseksi, mikä vähentäisi uudelleentunnistamisen riskiä ja parantaa tietosuojaa.

• Ohjeistus: Sallittujen käyttötapojen ja henkilötietojen mahdollinen käyttö tekoälytyökalussa on syytä ohjeistaa organisaatiolle selkeästi. Organisaation on hyvä arvioida ohjeistuksen tarvittavaa tasoa

Koska tekoälytyökalujen toimintatavat ovat suhteellisen läpinäkymättömiä, ei niiden käyttö henkilötietojen käsittelyssä ole välttämättä omiaan herättämään luottamusta rekisteröidyissä. Tämän, sekä soveltuvan tietosuojalainsäädännön, vuoksi tekoälyä hyödyntävän yrityksen kannalta tekoälyn käytön läpinäkyvyys ja vastuullisuus ovat keskeisiä luottamuksen rakentamiseksi ja säädösten noudattamisen ylläpitämiseksi. Organisaatioiden tulisi:

• Kommunikoida selkeästi sidosryhmille, miten tekoälytyökalut käyttävät heidän dataansa ja mitkä ovat niihin liittyvät hyödyt ja riskit.

• Luoda vahvat tietohallintakehykset jatkuvan säädösten noudattamisen ja vastuullisuuden varmistamiseksi.

• Tarkistaa säännöllisesti tekoälyjärjestelmiä mahdollisten tietosuojakysymysten tunnistamiseksi ja korjaamiseksi.

Tekoälytyökalujen käyttöönotto organisaatiossa tarjoaa lukuisia etuja, mutta tuo mukanaan myös merkittäviä tietosuojahaasteita. Tekemällä perusteellisia DPIA-arviointeja, arvioimalla datan luonnetta sekä varmistamalla tekoälyn käytön läpinäkyvyys, vastuullisuus ja lainmukaisuus, organisaatiot voivat tehokkaasti navigoida näissä haasteissa. Eettisten näkökulmien ja ennakkoluulojen huomioiminen parantaa entisestään tekoälyjärjestelmien eheyttä ja luotettavuutta. Kun säädökset kehittyvät, tietosuojakäytäntöjen ajan tasalla pitäminen ja ennakoiva toiminta ovat välttämättömiä tekoälyteknologioita hyödyntäville organisaatioille.

Tekoälyn ja tietosuojan kiemuroihin sukelletaan myös Tekoälycast -podcastin viidennessä jaksossa yhdessä Terveystalon Head of Tech & Regulatory Legal Milla Kellerin kanssa. Jaksossa keskustellaan muun muassa tekoälyn käytön tietosuojariskeistä, suostumuksen merkityksestä ja sen peruuttamisen haasteista, sekä siitä, miten tekoäly voi parantaa tietosuojan tasoa. Lisäksi pohditaan, miten tekoälyjärjestelmiin liittyvät vinoumat ja potilastiedot vaikuttavat tietosuojaan.