Huomioi tietosuojaperiaatteet

Myös tekoälyjärjestelmien yhteydessä tietosuojasääntelyä on noudatettava kokonaisuudessaan. Pelkkä henkilötietojen käsittelyperusteen olemassaolo ei vielä riitä, vaan lisäksi on huomioitava tietosuoja-asetuksen mukaiset tietosuojaperiaatteet ja niihin liittyvät velvoitteet. Tietosuojaperiaatteista säädetään tietosuoja-asetuksen 5 artiklassa.

Lue lisää tietosuojaperiaatteista

Kerro avoimesti henkilötietojen käsittelystä

Henkilötietoja on käsiteltävä läpinäkyvästi ja asianmukaisesti siihen tarkoitukseen, johon ne on kerätty. Henkilötietojen käsittelystä on kerrottava ihmisille avoimesti ja ymmärrettävästi, eikä annettu tieto saa olla harhaanjohtavaa. Tietoja ei saa myöskään käsitellä tavalla, joka on henkilöille ennalta-arvaamatonta ja odottamatonta.

Kun henkilötietoja käsitellään tekoälyjärjestelmän kehittämisen tai käytön yhteydessä, henkilölle on kerrottava ainakin

  • mitä henkilötietoja hänestä kerätään,
  • mihin tarkoitukseen hänen henkilötietojaan käsitellään,
  • miten pitkään kerättäviä henkilötietoja säilytetään,
  • jaetaanko tai myydäänkö kerättyjä henkilötietoja kolmansille osapuolille,
  • millä tavoin hänen henkilötietojaan käsitellään,
  • millaisia tietosuojaoikeuksia hänellä on ja miten hän voi käyttää niitä.

Tekoälyasetus edellyttää, että käyttäjälle kerrotaan avoimesti järjestelmästä. Tekoälyasetuksessa on myös erityisiä avoimuusvelvoitteita tietyille tekoälyjärjestelmille, jolloin käyttäjille on kerrottava esimerkiksi, milloin he ovat vuorovaikutuksessa tekoälyjärjestelmän kanssa. Lisäksi organisaatiolla on velvollisuus antaa kuvaus automaattisen päätöksenteon taustalla olevasta mekanismista.

Milloin henkilötietojen käsittelystä ei tarvitse informoida?

On olemassa tiettyjä poikkeustilanteita, jolloin informointivelvollisuutta ei ole. Näitä poikkeusperusteita on tulkittava suppeasti. Henkilöiden kattava informointi on edellytys sille, että he voivat varmistua henkilötietojensa käsittelyn asianmukaisuudesta.

Jos tekoälyjärjestelmän kehittämistä varten aiotaan kerätä henkilötietoja julkisista lähteistä tai muulla tavalla niin, että tiedot saadaan muualta kuin henkilöltä itseltään, voidaan informointivelvoitteesta poiketa, jos tietojen hankkimisesta tai luovuttamisesta säädetään laissa tai jos tietoja ei voida antaa lakisääteisen salassapitovelvollisuuden vuoksi. Henkilölle ei tarvitse toimittaa sellaisia tietoja, jotka hän on jo aiemmin saanut.

Informointivelvollisuudesta voidaan poiketa myös tietyin edellytyksin silloin, kun henkilötietoja käsitellään yleisen edun mukaisiin arkistointitarkoituksiin, tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, jos tietojen toimittaminen on mahdotonta tai vaatisi kohtuutonta vaivaa. Tällöinkin rekisterinpitäjän on saatettava informaatio julkisesti saataville.

Määrittele henkilötietojen käyttötarkoitus ja käytä tietoja yhteensopivasti tarkoituksen kanssa

Ennen kuin henkilötietojen käsittely aloitetaan, on suunniteltava ja määriteltävä selkeästi, mihin tarkoitukseen tietoja käytetään. Henkilötiedot on kerättävä tätä tiettyä tarkoitusta varten. Tarkoituksen pitää olla laillinen.

Tekoälyjärjestelmää kehittävä tai käyttävä organisaatio vastaa tietojen käyttötarkoituksen määrittelystä. Järjestelmän kehittämiseen tai käyttämiseen voi myös osallistua useampia organisaatioita eri vaiheissa. Tällöin kyse voi olla yhteisrekisterinpitäjyydestä, jolloin organisaatiot ovat yhteisesti vastuussa käyttötarkoitusten määrittelystä ja tietojen käsittelystä.