Tekoälytyökalut ovat muutamassa vuodessa siirtyneet kokeiluista arkeen. Sama chatbot, joka auttaa sinua kotona omien reseptien kanssa, voi yrityksen koneella käsitellä asiakkaiden henkilötietoja ja tarjouslaskelmia. Ja juuri siinä piilee tärkein kysymys, joka liian usein unohtuu innostuksen keskellä: kuka kantaa vastuun?
1. Sama työkalu, kaksi täysin eri maailmaa
Kuvittele kaksi tilannetta. Ensimmäisessä käytät tekoälyä illalla kotona: pyydät sitä tiivistämään artikkelin tai ideoimaan lomamatkaa. Toisessa avaat saman työkalun työpäivän aikana ja syötät siihen asiakkaan sähköpostin, jossa on nimiä, yhteystietoja ja ehkä muita arkaluonteisia tietoja.
Työkalu on molemmille identtinen. Vastuu ei ole. Ero ei synny teknologiasta vaan siitä, kenen tietoja käsitellään ja kuka kantaa seuraukset, jos jokin menee pieleen.
2. Yksityishenkilönä vastaat lähinnä itsellesi
Kun käytät tekoälyä omiin tarpeisiisi, vastuu on pääosin sinulla itselläsi. GDPR:n niin sanottu kotitalouspoikkeus vapauttaa puhtaasti henkilökohtaisen käytön tietosuojalainsäädännön velvoitteista. Silti muutama asia kannattaa pitää mielessä:
- Lue käyttöehdot. Tarkista, käytetäänkö syöttämääsi dataa mallin kouluttamiseen.
- Älä syötä muiden ihmisten tietoja. Tässä kohtaa myös yksityishenkilölle voi syntyä rekisterinpitäjän velvoitteita.
- Varo arkaluonteista omaa dataa ja muista, että tekoäly voi tuottaa virheellistä tietoa.
Tärkeä huomio: kotitalouspoikkeus pätee vain niin kauan kuin käyttö ei liity työhön tai liiketoimintaan. Heti kun avaat tekoälyn työasioissa, olet eri maailmassa.
3. Organisaationa vastaat paljon useammasta
Organisaatiolle tekoälytyökalun käyttöönotto on vastuukysymys, joka ulottuu neljään suuntaan yhtä aikaa. Vastuuta ei voi ulkoistaa työkalun toimittajalle – rekisterinpitäjänä vastaa aina organisaatio itse.
3.1 Juridinen vastuu
Organisaatio vastaa GDPR:n mukaisesti siitä, miten henkilötietoja käsitellään. Jokaiselle käsittelylle tarvitaan oikeusperuste, ja korkean riskin käyttö edellyttää dokumentointia: vaikutustenarviointi (DPIA), käsittelytoimien seloste, tarvittaessa siirtovaikutusten arviointi (TIA) ja oikeutetun edun tasapainotesti (LIA).
3.2 Sopimuksellinen vastuu
Tekoälypalvelun toimittajan kanssa on oltava tietojenkäsittelysopimus (DPA), ja käytössä on oltava yritystason palvelu – ei kuluttajaversio, jossa dataa saatetaan käyttää mallin koulutukseen. On myös tiedettävä, ketkä alikäsittelijät dataa käsittelevät ja missä.
3.3 Tietoturvavastuu
Tekoälytyökalulle annetaan vain tarvittavat oikeudet vähimmän oikeuden periaatteella. Arkaluonteinen data – liikesalaisuudet, terveys- ja talousdata – pidetään poissa työkalun ulottuvilta. Käyttö lokitetaan, ja tietoturvaloukkauksesta on ilmoitettava tietosuojavaltuutetulle 72 tunnin kuluessa.
3.4 Organisatorinen vastuu
Tarvitaan kirjallinen käyttöperiaate siitä, mitä saa syöttää ja mitä ei, sekä henkilöstön koulutus tähän. Tekoälyagentin toimet tarkistetaan ihmisen toimesta ennen hyväksyntää, ja jollakulla on selkeä vastuu käytön valvonnasta. Henkilökunnan pitää myös tietää, jos heidän omia tietoja käsitellään tekoälyllä.
4. Erityishuomio: missä datasi oikeastaan käsitellään?
Moni suosittu tekoälypalvelu käsittelee dataa EU:n ja ETA:n ulkopuolella, tyypillisesti juuri Yhdysvalloissa. Yksityishenkilölle tällä on harvoin merkitystä. Organisaatiolle se voi olla ratkaiseva – etenkin, jos asiakassopimukset tai toimiala edellyttävät, että data pysyy EU:ssa.
Jos data siirtyy EU:n ulkopuolelle, tarvitaan asianmukainen siirtomekanismi ja usein siirtovaikutusten arviointi. Joissain tapauksissa tietty työkalu ei sellaisenaan sovellu käyttöön lainkaan.
5. Vertailu yhdellä silmäyksellä
6. Vastuu ei ole jarru – se on edellytys
On helppo ajatella, että dokumentit ja arvioinnit hidastavat. Todellisuudessa ne ovat juuri se asia, joka tekee tekoälyn käytöstä turvallista ja kestävää. Mitä enemmän muiden ihmisten tietoja käsitellään, sitä enemmän vastuuta – ja sitä arvokkaampaa on ennakointi.
Ydinviesti on yksinkertainen: työkalun helppous ei poista vastuuta. Hyvin valmisteltu käyttöönotto ei ole hidaste vaan edellytys sille, että tekoälyn hyödyt voidaan ottaa turvallisesti käyttöön.
Haluatko ottaa tekoälyn käyttöön hallitusti?
Me Tahdolla autamme organisaatiotasi ottamaan tekoälytyökalut käyttöön niin, että tietosuoja, tietoturva ja vastuukysymykset ovat kunnossa. Ota yhteyttä, niin katsotaan tilanteenne yhdessä. Onnistutaan yhdessä.
7. Sanakirja: kirjoituksessa käytetyt lyhenteet
Tietoturvan ja tietosuojan maailma on täynnä lyhenteitä. Tähän on koottu kirjoituksessa esiintyneet termit selkokielellä.
Lyhenne
Mitä se tarkoittaa
Mitä se käytännössä tarkoittaa
GDPR: General Data Protection Regulation – EU:n yleinen tietosuoja-asetus
Sääntelee henkilötietojen käsittelyä EU:ssa. Asettaa organisaatiolle velvoitteita ja antaa ihmisille oikeuksia omiin tietoihinsa.
DPIA: Data Protection Impact Assessment – tietosuojan vaikutustenarviointi
Arviointi, joka tehdään ennen korkean riskin käsittelyä. Tunnistaa riskit rekisteröidyille ja keinot niiden pienentämiseen.
DPA: Data Processing Agreement – tietojenkäsittelysopimus
Sopimus rekisterinpitäjän ja käsittelijän välillä. Vaaditaan, kun ulkopuolinen toimittaja käsittelee organisaation henkilötietoja.
TIA: Transfer Impact Assessment – siirtovaikutusten arviointi
Arviointi, joka tehdään, kun henkilötietoja siirretään EU:n ulkopuolelle. Varmistaa, että suoja säilyy myös kohdemaassa.
LIA: Legitimate Interest Assessment – oikeutetun edun tasapainotesti
Dokumentoi, että käsittely voi perustua oikeutettuun etuun ilman, että rekisteröidyn oikeudet syrjäytyvät.
SCC: Standard Contractual Clauses – vakiosopimuslausekkeet
EU-komission hyväksymät lausekkeet, joilla henkilötietoja voidaan siirtää EU:n ulkopuolelle lainmukaisesti.
ETA: Euroopan talousalue
EU-maat sekä Norja, Islanti ja Liechtenstein. Tietojen siirto ETA:n sisällä on vapaata.
Rekisterinpitäjä: Käsite GDPR:ssä
Taho, joka määrittää, miksi ja miten henkilötietoja käsitellään. Kantaa päävastuun – yleensä organisaatio itse.
Rekisteröity: Käsite GDPR:ssä
Henkilö, jonka tietoja käsitellään – esimerkiksi asiakas tai työntekijä.
Hallusinaatio: Tekoälyn ominaisuus
Tilanne, jossa tekoäly tuottaa uskottavalta kuulostavaa mutta virheellistä tietoa.
Tämä kirjoitus on yleistä tietoa eikä korvaa oikeudellista neuvontaa. Yksittäistapaukset kannattaa varmentaa suoraan tietosuojan ja tietoturvan asiantuntijoiden kanssa.