EU:n tekoälysäädös (AI Act) tuli ja laukaisi asteittaisen siirtymäajan. Nyt kun viimeistelty versio on julkaistu, on organisaatioiden syytä tunnistaa ja luokitella käytössä olevat tekoälyjärjestelmät. Lopuksi pitää vielä varmistaa, että ne täyttävät säädöksen riskiluokkien vaatimukset. Tunnistamisessa ja luokittelussa on omat haasteensa, sillä myös käyttökontekstilla on väliä. Tämänkertaisen tarkastelun kontekstina on organisaatioiden arkaluonteisen henkilötiedon kehto – HR.  

Henkilöstön riittävä tekoälyn lukutaito saattaa tipahtaa HR:n työpöydälle 

Säädöksen ensimmäinen määräaika on nurkan takana – jo helmikuussa 2025. Organisaatioilla on neljä kuukautta aikaa varmistaa henkilöstön riittävä tekoälyn ymmärrys eli tekoälyn lukutaito (AI literacy). Tämä tulee vaatimaan henkilöstön koulutusta. Mikäli koulutus on HR:n tontilla, on syytä ryhtyä laatimaan koulutussuunnitelmaa. Koko henkilöstön yleisen tietoisuuden lisäämisen lisäksi suosittelemme HR-henkilöstölle räätälöityä koulutusta ja ohjeistusta.   

Tekoäly tuo HR:lle tehokkuutta, muttei ilman riskejä 

HR-näkökulmasta tekoälyä voi valjastaa moneen käyttötarkoitukseen. Käytännössä sillä nopeutetaan prosesseja ja voidaan esimerkiksi tehdä automaattisia päätöksiä osana rekrytointiprosessia. Organisaatioilla ei välttämättä aina ole erillistä tekoälytyökalua, vaan monet AI-toiminnallisuudet on sisäänrakennettu HR-järjestelmiin. Näiden toiminnallisuuksien hyötyjen valossa tulisi aina muistaa kolikon toinen puoli: yksityisyydensuoja, henkilötiedot ja tietoturva, joita edustaa tuttu ystävämme GDPR.  

Kertauksena todettakoon, että sekä tekoälysäädös että yleinen tietosuoja-asetus (GDPR) ovat itsessään sovellettavaa lainsäädäntöä, johon on rakennettu riskilähtöisyysnäkökulma. Se, mihin riskiluokkaan tekoälyjärjestelmä tai -toiminallisuus kuuluu, määrittää säädöksen vaatimat jatkotoimenpiteet. HR-mielessä tekoälyjärjestelmät osuvat luokittelun suhteen useimmiten ”korkean riskin” järjestelmiin, vaikka muitakin tapauksia löytyy.  

Kertauksena todettakoon, että sekä tekoälysäädös että yleinen tietosuoja-asetus (GDPR) ovat itsessään sovellettavaa lainsäädäntöä, johon on rakennettu riskilähtöisyysnäkökulma. Se, mihin riskiluokkaan tekoälyjärjestelmä tai -toiminallisuus kuuluu, määrittää säädöksen vaatimat jatkotoimenpiteet. HR-mielessä tekoälyjärjestelmät osuvat luokittelun suhteen useimmiten ”korkean riskin” järjestelmiin, vaikka muitakin tapauksia löytyy. 

”Organisaatio on palkkaamassa työntekijää asiakaspalveluun. HR hyödyntää rekrytoinnissa tekoälyä prosessin tehostamiseksi. Tekoäly luo tiivistelmän työnhakijan työkokemuksesta sekä kielitaidosta ja arvioi tiivistelmän perusteella, onko työnhakijalla riittävä kokemus ja kielitaito avoimeen positioon. Lopuksi tekoäly hylkää hakijat, joilla ei ole riittävää englannin kielen taitoa, ja joilla on alle kolme vuotta työkokemusta asiakaspalvelusta. Hylätyille työnhakijoille lähtee automaattisesti viesti, jossa todetaan, ettei organisaatio etene prosessissa heidän kanssaan.” 

• Tekoälysäädös luokittelee tämän suurriskiseksi, sillä lopputulos vaikuttaa merkittävällä tavalla työnhakijan työllistymiseen.  

• Tietosuoja-asetuksen näkökulmasta toiminnallisuuden käyttöönotto katsottaisiin myös korkeariskiseksi. Ennen tällaisen ominaisuuden käyttöönottoa organisaatioiden tulisi tehdä tietosuojaa koskeva vaikutustenarviointi (DPIA). 

Tuumasta toimeen 

Organisaatioiden tulee ottaa AI-sovelluksissa huomioon niin tekoälysäädös kuin myös GDPR. Jälkimmäisen merkitys korostuu etenkin HR:ssä, jossa käsitellään myös arkaluonteisia henkilötietoja. Mitä HR:ssä tulisi siis tehdä? 

Luo koulutussuunnitelma ja varmista, että koko henkilöstöllä on riittävä ymmärrys tekoälyn hyödyistä ja riskeistä. Räätälöi koulutussisältöä myös HR:lle. 

Kartoita HR-järjestelmien tekoälyominaisuudet ja tarkista säännöllisesti niiden uudet ominaisuudet. 

Varmista, että lainsäädännön vaatimat riskiarvioinnit on tehty ja tarvittavat riskien hallintatoimet toteutettu. 

Useaan tekoälysovellukseen ja -toiminnallisuuteen liittyy automaattista päätöksentekoa. Tietosuojamielessä, yksilöllä on oikeus kieltäytyä automaattisesta päätöksenteosta eli käytännössä vaatia ihmistä tekemään häntä koskevat päätökset. Tämän vaikutuksia HR-prosesseihin on myös syytä arvioida. 

Oona Matinpalo (oona.matinpalo@tietoturva.fi) toimii Tietoturva ry:n hallituksessa. Hän vastaa Deloitten tietosuojapalveluista Suomessa. Jaska Kammerer työskentelee Deloitten tietoturvayksikössä tietosuoja-aiheiden parissa.