Tekoälyjärjestelmän elinkaari jaetaan kahteen vaiheeseen: kehittämisvaiheeseen ja käyttövaiheeseen. Kehittämisvaihe kattaa kaiken toiminnan ennen järjestelmän käyttöönottoa, kuten algoritmin kehittämisen, kouluttamisessa käytettävän tiedon keräämisen ja esikäsittelyn sekä järjestelmän kouluttamisen. Käyttövaihe alkaa, kun tekoälyjärjestelmä otetaan käyttöön ja sitä käytetään sen suunniteltuun tarkoitukseen.
Esimerkkejä yleisistä tekoälyjärjestelmistä arjessa
- Suoratoistopalvelujen suosittelujärjestelmät, jotka analysoivat käyttäjän kuuntelu- tai katseluhistoriaa, tunnistavat samankaltaisuuksia käyttäjien kiinnostuksenkohteissa ja suosittelevat sen perusteella heille uutta sisältöä.
- Verkkokauppojen suosittelujärjestelmät, jotka analysoivat ostohistoriaa, tunnistavat samankaltaisuuksia eri käyttäjien kiinnostuksenkohteissa ja suosittelevat sen perusteella uusia tuotteita.
- Sähköpostin roskapostisuodattimet, jotka analysoivat sähköpostien tietoja ja tunnistavat piirteitä, joiden perusteella ne erottelevat roskapostin muista sähköpostiviesteistä.
- Karttapalvelut ja navigoinnin apuvälineet, jotka analysoivat liikenteestä saatavilla olevaa tietoa ja ehdottavat reittejä sen perusteella.
- Hakukoneet, jotka analysoivat käyttäjien valintoja ja suosittelevat hakutuloksia sen perusteella.
- Asiakaspalvelussa käytettävät chat-botit, jotka analysoivat niihin syötettyä tietoa ja muodostavat sen perusteella vastauksia.
- Henkilökohtaiset tekoälyavustajat, jotka avustavat käyttäjää luomaan sisältöä, kokoavat tietoja yhteen eri lähteistä ja luovat tietojen pohjalta aikatauluja ja tehtävälistoja.
Miten tietosuojasääntely tulee huomioida tekoälyjärjestelmissä?
Tietosuojasääntelyä on noudatettava teknologiasta riippumatta, myös tekoälyjärjestelmissä. Tietosuojasääntely pitää huomioida aina, kun henkilötietoa käsitellään automaattisesti.
Tekoälyjärjestelmien kehittämisessä ja käytössä hyödynnetään usein suuria määriä henkilötietoja. Henkilötietojen käsittelylle pitää olla lainmukainen peruste, ja tietosuojaperiaatteet, kuten tietojen minimointi ja käyttötarkoitussidonnaisuus, on huomioitava.
Jos tekoälyjärjestelmän kehittämisessä tai käytössä ei käsitellä lainkaan henkilötietoa, ei tietosuojalainsäädäntöä sovelleta. Jotta organisaatio voi olla varma siitä, käsitteleekö se tekoälyjärjestelmän yhteydessä henkilötietoja vai ei, sen on tutustuttava huolellisesti henkilötiedon ja henkilötietojen käsittelyn määritelmiin. Sen on perehdyttävä hyvin myös käyttöön otettavaan tekoälyjärjestelmään ja sen toimintaan.
Lue lisää:
- Mikä on henkilötieto?
- Pseudonymisointi ja anonymisointi
- Euroopan tietosuojaneuvoston lausunto 28/2024 henkilötietojen käsittelystä tekoälymalleissa (tietosuojaneuvoston verkkosivuilla englanniksi)
- Tietosuojatyöryhmä WP29:n lausunto 05/2014 anonymisointitekniikoista (pdf-tiedosto ec.europa.eu-sivustolla)
Arvioi riskit ja tietosuojavaikutukset
Tekoälyjärjestelmää kehittävän tai käyttöön ottavan organisaation on arvioitava henkilötietojen käsittelyyn liittyviä riskejä aina ennen kuin se ryhtyy käsittelemään tietoja. Näin se pystyy jo suunnitteluvaiheessa tunnistamaan, mihin toimenpiteisiin sen on ryhdyttävä riskien hallitsemiseksi ja henkilötietojen asianmukaisen käsittelyn turvaamiseksi.
Organisaation on aina noudatettava toiminnassaan tietosuojaperiaatteita ja varmistettava, että ne toteutetaan käsittelyyn liittyvän riskin tason mukaisesti. Riskiä tulee arvioida nimenomaan yksilöiden näkökulmasta ja tunnistaa, millaisia heihin kohdistuvia riskejä henkilötietojen käsittelyllä voi olla. Riskiarvio voi olla hyödyksi myös organisaatioon kohdistuvien riskien arvioimisessa.
Yksi työkalu riskien arviointiin on tietosuojaa koskeva vaikutustenarviointi. Tietosuoja-asetuksen mukaan vaikutustenarviointi on tehtävä erityisesti silloin, kun henkilötietojen käsittelyssä käytetään uutta teknologiaa.
Lue lisää tietosuojan vaikutustenarvioinnista
Tietyissä tilanteissa vaikutustenarvioinnin tekeminen on pakollista. Se on tehtävä aina, kun suunniteltu henkilötietojen käsittely voi aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Jos vähintään kaksi seuraavista kriteereistä täyttyy, kyseessä on todennäköisesti korkea riski. Tekoälyjärjestelmien kehittäminen täyttää usein korkean riskin kriteerit.
Korkean riskin arvioimisessa huomioitavat kriteerit
- Henkilöiden arviointi tai pisteytys
- Automaattinen päätöksenteko, jolla on henkilöön oikeusvaikutuksia
- Ihmisten järjestelmällinen valvonta
- Erityisiin henkilötietoryhmiin kuuluvien tai muuten hyvin henkilökohtaisten tietojen käsittely
- Henkilötietojen laajamittainen käsittely
- Tietokokonaisuuksien yhdistäminen
- Heikommassa asemassa olevien, kuten lasten, henkilötietojen käsittely
- Uuden teknologian tai organisatorisen ratkaisun soveltaminen tai innovatiivinen käyttö
Vaikutustenarviointi on pakollinen myös silloin, kun suunnitellut käsittelytoimet sisältyvät tietosuojavaltuutetun luetteloon vaikutustenarviointia edellyttävistä käsittelytoimista. Tekoälyjärjestelmän kehittämistä tai käyttöä suunnittelevan organisaation on syytä tutustua luetteloon ja korkean riskin kriteereihin, kun se arvioi, onko tietosuojan vaikutustenarviointi pakollinen.
Vaikka vaikutustenarvioinnin tekeminen ei olisi pakollista, organisaatio voi hyödyntää sitä milloin tahansa, kun se suunnittelee toimintoja, joihin kuuluu henkilötietojen käsittelyä. Vaikutustenarviointi auttaa tietosuojasääntelyn vaatimusten noudattamisessa.
Varmista käsittelyn lainmukaisuus: milloin henkilötietoja voidaan hyödyntää?
Henkilötietojen käsittelylle tarvitaan aina lainmukainen peruste eli niin sanottu käsittelyperuste. Käsittelyperuste tarvitaan sekä tekoälyjärjestelmän kehittämisessä että käytössä, jos siihen liittyy henkilötietojen käsittelyä. Perusteen pitää olla olemassa jo, kun henkilötietoja kerätään ja käytetään tekoälyn kehittämistä ja kouluttamista varten.
Erilaisten henkilötietojen käsittelytoimet sekä tekoälyjärjestelmän kehittämisen ja käyttöönoton vaiheet kannattaa erottaa toisistaan. Näin eri vaiheille voidaan tarvittaessa valita omat, kuhunkin tarkoitukseen sopivat käsittelyperusteet ja riskienhallintatoimenpiteet.
Tietosuoja-asetuksen 6 artiklan mukaan henkilötietojen käsittelyperusteita ovat rekisteröidyn suostumus, sopimus, rekisterinpitäjän lakisääteinen velvoite, elintärkeiden etujen suojaaminen, yleistä etua koskeva tehtävä tai julkisen vallan käyttö sekä rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.
Lue lisää henkilötietojen käsittelyperusteista