Julkaisimme ohjeistusta tietosuojan huomioinnista tekoälyjärjestelmien kehittämisessä ja käytössä
Tekoälyjärjestelmissä käsitellään usein henkilötietoja erilaisiin tarkoituksiin. Olemme koonneet verkkosivuillemme tietoa siitä, miten organisaation on otettava tietosuojavaatimukset huomioon, kun se kehittää tai ottaa käyttöön tekoälyjärjestelmää.
Jos tekoälyjärjestelmään liittyy henkilötietojen käsittelyä, sen kehittämisessä ja käytössä on noudatettava tietosuojalainsäädäntöä. Tekoälyjärjestelmien käyttöä sääntelee myös vuonna 2024 voimaan tullut EU:n tekoälyasetus. Siinä määritellään esimerkiksi kielletyt tekoälyn käyttötarkoitukset ja asetetaan vaatimuksia suuririskisille tekoälyjärjestelmille.
Selvennämme ohjeistuksessa, miten organisaatiot voivat varmistaa, että henkilötietoja hyödynnetään tekoälyjärjestelmissä lainmukaisesti. Ohjeistus ei ole tyhjentävä, vaan lainsäädännöstä tulevat vaatimukset on aina arvioitava tapauskohtaisesti.
Tietoa verkkosivulla täydennetään ja päivitetään tarpeen mukaan. Ohjeistus tulee myöhemmin saataville myös ruotsiksi ja englanniksi.
Ohjeistusta tekoälyjärjestelmän tietosuojariskien arvioinnista ja tietosuojaperiaatteiden noudattamisesta
Organisaation on arvioitava tekoälyjärjestelmän tietosuojariskejä jo ennen kuin henkilötietoja aletaan käsitellä. Riskejä on arvioitava niiden ihmisten näkökulmasta, joiden tietoja käsitellään. Riskin perusteella organisaation on päätettävä esimerkiksi tarvittavista turvatoimista. Verkkosivulla kerrotaan muun muassa, milloin henkilötietojen käsittely täyttää korkean riskin kriteerit ja milloin tietosuojan vaikutustenarvioinnin tekeminen on pakollista.
Jotta henkilötietojen käsittely on laillista, sille tarvitaan aina niin kutsuttu käsittelyperuste. Organisaation on valittava tarkoitukseen sopiva henkilötietojen käsittelyperuste, kun se kehittää tai käyttää tekoälyjärjestelmää. Käsittelyperuste tarvitaan myös, kun tekoälyn kouluttamiseen käytetään henkilötietoa. Ohjeistuksessa kuvaillaan tarkemmin eri käsittelyperusteiden soveltumista.
Lisäksi organisaatioille annetaan ohjeita tietosuoja-asetuksessa säädettyjen tietosuojaperiaatteiden, kuten tietojen minimoinnin ja käyttötarkoitussidonnaisuuden huomioimiseen. Organisaation on aina määriteltävä huolellisesti, mitkä henkilötiedot ovat tarpeellisia ja mihin tarkoituksiin niitä käytetään tekoälyjärjestelmässä. Tekoälyjärjestelmä on myös suunniteltava ja kehitettävä niin, että ihmisten tietosuojaoikeudet pystytään toteuttamaan.
Henkilötietojen käsittelystä tekoälyjärjestelmässä on kerrottava ihmisille avoimesti ja ymmärrettävästi. Ohjeistuksessa kerrotaan, mitä tietoja ihmisille on annettava heidän tietojensa käsittelystä ja missä tilanteissa tästä informointivelvollisuudesta voi poiketa.
Lisätietoja:
Tutustu verkkosivuun: Tietosuoja tekoälyjärjestelmien kehittämisessä ja käytössä