Tietosuoja tekoälyjärjestelmien kehittämisessä ja käytössä

Tällä sivulla kerrotaan tietosuojalainsäädännöstä tulevista vaatimuksista, jotka tekoälyjärjestelmien kehittämisessä ja käytössä on huomioitava. Ohjeet eivät ole tyhjentäviä, vaan tekoälyjärjestelmää kehittävän tai käyttöön ottavan organisaation on arvioitava lainsäädännöstä tulevat vaatimukset aina tapauskohtaisesti. Tekoälyjärjestelmiin sovelletaan lisäksi esimerkiksi EU:n tekoälyasetusta.

Tältä sivulta löydät tietoa seuraavista aiheista:

Mitä tarkoitetaan tekoälyjärjestelmällä?

Tekoälyjärjestelmällä tarkoitetaan tässä järjestelmää, joka on tarkoitettu ja suunniteltu analysoimaan tietoa, tunnistamaan malleja ja käyttämään tätä tietoa tehdäkseen päätöksiä, sisältöä tai ennusteita.

Tietosuojalainsäädännössä tekoälylle tai tekoälyjärjestelmälle ei ole määritelmää. Tekoälyasetuksessa tekoälyjärjestelmällä tarkoitetaan konepohjaista järjestelmää, joka on suunniteltu toimimaan käyttöönoton jälkeen vaihtelevilla autonomian tasoilla ja jossa voi ilmetä mukautuvuutta käyttöönoton jälkeen ja joka päättelee vastaanottamastaan syötteestä eksplisiittisiä tai implisiittisiä tavoitteita varten, miten tuottaa tuotoksia, kuten ennusteita, sisältöä, suosituksia ja päätöksiä, jotka voivat vaikuttaa fyysisiin tai virtuaalisiin ympäristöihin.

Euroopan komissio on julkaissut ohjeen tekoälyjärjestelmien määritelmästä (komission verkkosivuilla englanniksi).

Tekoälyjärjestelmän elinkaari jaetaan kahteen vaiheeseen: kehittämisvaiheeseen ja käyttövaiheeseen. Kehittämisvaihe kattaa kaiken toiminnan ennen järjestelmän käyttöönottoa, kuten algoritmin kehittämisen, kouluttamisessa käytettävän tiedon keräämisen ja esikäsittelyn sekä järjestelmän kouluttamisen. Käyttövaihe alkaa, kun tekoälyjärjestelmä otetaan käyttöön ja sitä käytetään sen suunniteltuun tarkoitukseen.

Esimerkkejä yleisistä tekoälyjärjestelmistä arjessa

Suoratoistopalvelujen suosittelujärjestelmät, jotka analysoivat käyttäjän kuuntelu- tai katseluhistoriaa, tunnistavat samankaltaisuuksia käyttäjien kiinnostuksenkohteissa ja suosittelevat sen perusteella heille uutta sisältöä.
Verkkokauppojen suosittelujärjestelmät, jotka analysoivat ostohistoriaa, tunnistavat samankaltaisuuksia eri käyttäjien kiinnostuksenkohteissa ja suosittelevat sen perusteella uusia tuotteita.
Sähköpostin roskapostisuodattimet, jotka analysoivat sähköpostien tietoja ja tunnistavat piirteitä, joiden perusteella ne erottelevat roskapostin muista sähköpostiviesteistä.
Karttapalvelut ja navigoinnin apuvälineet, jotka analysoivat liikenteestä saatavilla olevaa tietoa ja ehdottavat reittejä sen perusteella.
Hakukoneet, jotka analysoivat käyttäjien valintoja ja suosittelevat hakutuloksia sen perusteella.
Asiakaspalvelussa käytettävät chat-botit, jotka analysoivat niihin syötettyä tietoa ja muodostavat sen perusteella vastauksia.
Henkilökohtaiset tekoälyavustajat, jotka avustavat käyttäjää luomaan sisältöä, kokoavat tietoja yhteen eri lähteistä ja luovat tietojen pohjalta aikatauluja ja tehtävälistoja.

Miten tietosuojasääntely tulee huomioida tekoälyjärjestelmissä?

Tietosuojasääntelyä on noudatettava teknologiasta riippumatta, myös tekoälyjärjestelmissä. Tietosuojasääntely pitää huomioida aina, kun henkilötietoa käsitellään automaattisesti.

Tekoälyjärjestelmien kehittämisessä ja käytössä hyödynnetään usein suuria määriä henkilötietoja. Henkilötietojen käsittelylle pitää olla lainmukainen peruste, ja tietosuojaperiaatteet, kuten tietojen minimointi ja käyttötarkoitussidonnaisuus, on huomioitava.

Jos tekoälyjärjestelmän kehittämisessä tai käytössä ei käsitellä lainkaan henkilötietoa, ei tietosuojalainsäädäntöä sovelleta. Jotta organisaatio voi olla varma siitä, käsitteleekö se tekoälyjärjestelmän yhteydessä henkilötietoja vai ei, sen on tutustuttava huolellisesti henkilötiedon ja henkilötietojen käsittelyn määritelmiin. Sen on perehdyttävä hyvin myös käyttöön otettavaan tekoälyjärjestelmään ja sen toimintaan.

Lue lisää:

Arvioi riskit ja tietosuojavaikutukset

Tekoälyjärjestelmää kehittävän tai käyttöön ottavan organisaation on arvioitava henkilötietojen käsittelyyn liittyviä riskejä aina ennen kuin se ryhtyy käsittelemään tietoja. Näin se pystyy jo suunnitteluvaiheessa tunnistamaan, mihin toimenpiteisiin sen on ryhdyttävä riskien hallitsemiseksi ja henkilötietojen asianmukaisen käsittelyn turvaamiseksi.

Organisaation on aina noudatettava toiminnassaan tietosuojaperiaatteita ja varmistettava, että ne toteutetaan käsittelyyn liittyvän riskin tason mukaisesti. Riskiä tulee arvioida nimenomaan yksilöiden näkökulmasta ja tunnistaa, millaisia heihin kohdistuvia riskejä henkilötietojen käsittelyllä voi olla. Riskiarvio voi olla hyödyksi myös organisaatioon kohdistuvien riskien arvioimisessa.

Yksi työkalu riskien arviointiin on tietosuojaa koskeva vaikutustenarviointi. Tietosuoja-asetuksen mukaan vaikutustenarviointi on tehtävä erityisesti silloin, kun henkilötietojen käsittelyssä käytetään uutta teknologiaa.

Lue lisää tietosuojan vaikutustenarvioinnista

Tietyissä tilanteissa vaikutustenarvioinnin tekeminen on pakollista. Se on tehtävä aina, kun suunniteltu henkilötietojen käsittely voi aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Jos vähintään kaksi seuraavista kriteereistä täyttyy, kyseessä on todennäköisesti korkea riski. Tekoälyjärjestelmien kehittäminen täyttää usein korkean riskin kriteerit.

Korkean riskin arvioimisessa huomioitavat kriteerit

Henkilöiden arviointi tai pisteytys
Automaattinen päätöksenteko, jolla on henkilöön oikeusvaikutuksia
Ihmisten järjestelmällinen valvonta
Erityisiin henkilötietoryhmiin kuuluvien tai muuten hyvin henkilökohtaisten tietojen käsittely
Henkilötietojen laajamittainen käsittely
Tietokokonaisuuksien yhdistäminen
Heikommassa asemassa olevien, kuten lasten, henkilötietojen käsittely
Uuden teknologian tai organisatorisen ratkaisun soveltaminen tai innovatiivinen käyttö

Vaikutustenarviointi on pakollinen myös silloin, kun suunnitellut käsittelytoimet sisältyvät tietosuojavaltuutetun luetteloon vaikutustenarviointia edellyttävistä käsittelytoimista. Tekoälyjärjestelmän kehittämistä tai käyttöä suunnittelevan organisaation on syytä tutustua luetteloon ja korkean riskin kriteereihin, kun se arvioi, onko tietosuojan vaikutustenarviointi pakollinen.

Vaikka vaikutustenarvioinnin tekeminen ei olisi pakollista, organisaatio voi hyödyntää sitä milloin tahansa, kun se suunnittelee toimintoja, joihin kuuluu henkilötietojen käsittelyä. Vaikutustenarviointi auttaa tietosuojasääntelyn vaatimusten noudattamisessa.

Varmista käsittelyn lainmukaisuus: milloin henkilötietoja voidaan hyödyntää?

Henkilötietojen käsittelylle tarvitaan aina lainmukainen peruste eli niin sanottu käsittelyperuste. Käsittelyperuste tarvitaan sekä tekoälyjärjestelmän kehittämisessä että käytössä, jos siihen liittyy henkilötietojen käsittelyä. Perusteen pitää olla olemassa jo, kun henkilötietoja kerätään ja käytetään tekoälyn kehittämistä ja kouluttamista varten.

Erilaisten henkilötietojen käsittelytoimet sekä tekoälyjärjestelmän kehittämisen ja käyttöönoton vaiheet kannattaa erottaa toisistaan. Näin eri vaiheille voidaan tarvittaessa valita omat, kuhunkin tarkoitukseen sopivat käsittelyperusteet ja riskienhallintatoimenpiteet.

Tietosuoja-asetuksen 6 artiklan mukaan henkilötietojen käsittelyperusteita ovat rekisteröidyn suostumus, sopimus, rekisterinpitäjän lakisääteinen velvoite, elintärkeiden etujen suojaaminen, yleistä etua koskeva tehtävä tai julkisen vallan käyttö sekä rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.

Lue lisää henkilötietojen käsittelyperusteista

Suostumusta voidaan käyttää henkilötietojen käsittelyperusteena niin tekoälyjärjestelmän kehittämisessä kuin käytössäkin. Yksilö voi antaa suostumuksensa sille, että häntä koskevia henkilötietoja käsitellään yhtä tai useampaa tarkoitusta varten. Tällaisen suostumuksen on oltava vapaaehtoinen, yksilöity, tietoinen ja yksiselitteinen tahdonilmaisu, jolla henkilö hyväksyy henkilötietojensa käsittelyn.

Rekisterinpitäjän eli tekoälyjärjestelmää kehittävän tai käyttävän organisaation on pystyttävä osoittamaan, että lainmukainen suostumus on olemassa. Suostumus on myös voitava peruuttaa milloin tahansa ilmaiseksi, ja yhtä helposti kuin sen on voinut antaa. Suostumuksen peruuttamisen jälkeen suostumuksen perusteella käsiteltyjen henkilötietojen käsittely on lopetettava ja tiedot poistettava. Suostumuksen peruuttaminen on kyettävä toteuttamaan tehokkaasti myös tekoälyjärjestelmissä. Jos sitä ei pystytä esimerkiksi teknisesti toteuttamaan, ei suostumusta voida käyttää käsittelyperusteena.

Tietosuojavaltuutettu korostaa, että suostumuksen valitseminen henkilötietojen käsittelyn perusteeksi tekoälyjärjestelmän kehittämisvaiheessa voi olla hallinnollisesti työlästä, varsinkin jos käsitellään suuren ihmismäärän henkilötietoja.

Lue lisää suostumuksen edellytyksistä

Elintärkeiden etujen suojaamista voidaan käyttää käsittelyperusteena tekoälyjärjestelmän kehittämisessä ja käytössä vain, jos se on tarpeen rekisteröidyn tai toisen henkilön elintärkeiden etujen suojaamiseksi. Henkilötietojen käsittely voi palvella elintärkeää etua esimerkiksi humanitaarisissa hätätilanteissa, kuten luonnonkatastrofeissa tai epidemioissa.

Jotta tämä vaatimus toteutuu, on esimerkiksi hengenvaaran oltava kyseisessä tapauksessa riittävän konkreettinen. Käsittelyperustetta voidaan siksi käytännössä soveltaa hyvin harvoin.

Henkilötietoja saa käsitellä tekoälyjärjestelmän kehittämisen tai käytön yhteydessä, kun yleinen etu tai rekisterinpitäjälle kuuluvan julkisen vallan käyttäminen sitä edellyttää. Yleistä etua koskeva tehtävä tai julkinen valta on täytynyt antaa lailla tai muulla oikeudellisella säännöksellä. Rekisterinpitäjällä tarkoitetaan tekoälyjärjestelmää kehittävää tai käyttävää organisaatiota.

Henkilötietoja saa käsitellä tekoälyjärjestelmän kehittämisen tai käytön yhteydessä, jos se on tarpeen rekisterinpitäjän tai kolmannen osapuolen oikeutettujen etujen toteuttamiseksi. Rekisterinpitäjällä tarkoitetaan sitä organisaatiota, joka kehittää tai käyttää tekoälyjärjestelmää.

Oikeutettu etu voi olla olemassa esimerkiksi silloin, kun yksilön eli rekisteröidyn ja organisaation eli rekisterinpitäjän välillä on jokin merkityksellinen suhde. Näin on esimerkiksi, jos yksilö on organisaation asiakas. Henkilötietoja ei kuitenkaan saa käsitellä, jos yksilön edut tai oikeudet syrjäyttävät organisaation edun.

Euroopan tietosuojaneuvosto on kuvannut seikkoja, jotka tulee huomioida, kun oikeutetun edun olemassaoloa arvioidaan.

Arvioinnin kolme vaihetta ovat:

1. Oikeutetun edun tunnistaminen ja kuvaaminen. Jotta oikeutettua etua voi käyttää käsittelyperusteena, on kaikkien seuraavien edellytysten täytyttävä

Tavoiteltu etu on lainmukainen.
Tavoiteltu etu on selkeästi ja perusteellisesti ilmaistu.
Tavoiteltu etu on todellinen ja olemassa oleva (ei perustu oletukseen).

2. Suunnitellun henkilötietojen käsittelyn tarpeellisuuden arviointi

Edistävätkö suunnitellut käsittelytoimet oikeutetun edun saavuttamista?
Onko olemassa vaihtoehtoisia toteutustapoja, joihin tarvitaan vähemmän henkilötietojen käsittelyä?

3. Sen punnitseminen, syrjäyttääkö tavoiteltu oikeutettu etu yksilön edut ja oikeudet (niin kutsuttu tasapainotesti). Arviointi on tehtävä tapauskohtaisesti ja siinä on huomioitava erityisesti:

Yksilön oikeuksiin ja etuihin kohdistuvat riskit, joita tekoälyjärjestelmän kehittämisellä tai käytöllä voi olla.
Yksilöön kohdistuvat vaikutukset, joita henkilötietojen käsittelyllä voi olla tekoälyjärjestelmien kehittämisen tai käytön yhteydessä. Vaikutukset voivat olla erityyppisiä, ja ne voivat olla positiivisia tai negatiivisia.
Käsiteltävien henkilötietojen luonne, käsittelytoimien asiayhteys sekä henkilötietojen käsittelyn mahdolliset seuraukset yksilölle.

Organisaation, joka suunnittelee käyttävänsä oikeutettua etua henkilötietojen käsittelyn perusteena tekoälyjärjestelmien kehittämisessä tai käytössä, on hyödyllistä tutustua tietosuojaneuvoston lausuntoon (englanniksi tietosuojaneuvoston verkkosivuilla): Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models

Jos tekoälyjärjestelmän kehittämisen, kouluttamisen tai käytön yhteydessä käsitellään erityisiin henkilötietoryhmiin kuuluvia tietoja, kuten ihmisten terveystietoja, on tietojen käsittelylle oltava lisäksi poikkeusperuste. Poikkeusperusteista säädetään tietosuoja-asetuksen 9 artiklassa. Tällainen voi olla esimerkiksi yksilön nimenomainen suostumus tai lainsäädäntöön perustuva syy.

Lue lisää erityisistä henkilötietoryhmistä ja poikkeusperusteista

Tekoälyjärjestelmää kehittävän tai käyttävän organisaation on valittava, mihin henkilötietojen käsittelyperusteeseen tai -perusteisiin se nojautuu. Peruste vaikuttaa muun muassa siihen, mitä oikeuksia on henkilöllä, jonka tietoja käsitellään. Tekoälyjärjestelmä on suunniteltava ja toteutettava niin, että yksilön tietosuojaoikeudet pystytään toteuttamaan. Jos henkilötietojen käsittely perustuu esimerkiksi oikeutettuun etuun, on organisaation pystyttävä toteuttamaan yksilön oikeus vastustaa henkilötietojensa käsittelyä.

Lue lisää siitä, mitä oikeuksia rekisteröidyllä on eri tilanteissa

Jotta henkilötietojen käsittely on lainmukaista, on myös muuta mahdollista toimintaan sovellettavaa lainsäädäntöä noudatettava.

Kielletyt käytännöt ja suuririskiset tekoälyjärjestelmät

Kaikissa tilanteissa tekoälyjärjestelmän käyttö ei ole sallittua. Tietyt tekoälyjärjestelmien käyttötapaukset on kokonaan kielletty tekoälyasetuksen 5 artiklassa.

Tekoälyasetuksessa määritellään myös, millaiset järjestelmiä ovat suuririskisiä. Tällaisia ovat erityisesti järjestelmät, joilla voi olla merkittävä haitallinen vaikutus ihmisten turvallisuudelle tai perusoikeuksille. Suuririskisiä tekoälyjärjestelmiä voidaan tuoda markkinoille tai käyttää vain, jos ne täyttävät tekoälyasetuksessa määritellyt vaatimukset.

Haitallinen manipulointi ja harhaanjohtaminen. Tekoälyjärjestelmät, joissa käytetään tekniikoita, joita henkilö ei pysty tietoisesti havaitsemaan tai jotka ovat tarkoituksellisesti manipuloivia tai harhaanjohtavia, ja joiden tavoitteena tai seurauksena on vääristää henkilön tai ryhmän käyttäytymistä. Vääristymisen seurauksena päätöksentekokyky heikentyy tuntuvasti ja henkilö tekee päätöksen, jota tämä ei olisi muuten tehnyt, ja joka todennäköisesti aiheuttaa merkittävää haittaa hänelle itselleen tai jollekin toiselle.
Haavoittuvuuksien haitallinen hyödyntäminen. Tekoälyjärjestelmät, joissa hyödynnetään iästä, vammaisuudesta tai erityisestä sosiaalisesta tai taloudellisesta tilanteesta johtuvia haavoittuvuuksia ja joiden tavoitteena tai seurauksena on vääristää heidän käyttäytymistään niin, että se kohtuullisen todennäköisesti aiheuttaa merkittävää haittaa.
Sosiaalinen pisteytys. Tekoälyjärjestelmät, joilla arvioidaan tai luokitellaan henkilöitä tai ryhmiä sosiaalisen käyttäytymisen tai henkilökohtaisten ominaisuuksien perusteella niin, että arviointi johtaa haitalliseen tai epäsuotuisaan kohteluun. Tämä kohtelu on perusteetonta tai suhteetonta arvioituun käyttäytymiseen nähden, tai kohtelu ilmenee eri yhteydessä kuin mistä alkuperäinen käyttäytymistä tai ominaisuuksia koskeva tieto on peräisin.
Yksilön rikokseen syyllistymisen riskin arviointi ja ennustaminen. Tekoälyjärjestelmät, joilla arvioidaan tai ennustetaan yksilöiden riskiä tehdä rikos yksinomaan profiloinnin tai persoonallisuuspiirteiden ja ominaisuuksien arvioinnin perusteella. Kiellettyä ei kuitenkaan ole se, jos tällä tuetaan ihmisen tekemää arviointia, joka perustuu objektiivisiin ja todennettavissa oleviin, suoraan rikolliseen toimintaan liittyviin tosiseikkoihin.
Kohdentamaton kaapiminen kasvojentunnistamistietokantojen kehittämiseksi. Tekoälyjärjestelmät, joilla luodaan tai laajennetaan kasvojentunnistustietokantoja haravoimalla kasvokuvia kohdentamattomasti internetistä tai valvontakamerakuvista.
Tunteiden päätteleminen. Tekoälyjärjestelmät, joilla päätellään tunteita työpaikalla tai oppilaitoksissa. Kielto ei koske lääketieteellisiä tai turvallisuuteen liittyviä tarkoituksia.
Biometrinen luokittelu. Tekoälyjärjestelmät, joilla luokitellaan ihmisiä heidän biometristen tietojensa perusteella etnisen taustan, poliittisten mielipiteiden, ammattiliiton jäsenyyden, uskonnollisen tai filosofisen vakaumuksen, seksuaalisen käyttäytymisen tai seksuaalisen suuntautumisen päättelemiseksi. Kielto ei koske laillisesti hankittujen biometristen tietoaineistojen (kuten kuvien) merkitsemistä tai suodattamista biometristen tietojen perusteella lainvalvonnassa.
Reaaliaikainen biometrinen tunnistaminen. Sellaisten tekoälyjärjestelmien käyttö, joiden avulla etätunnistetaan reaaliaikaisesti henkilöitä julkisissa tiloissa lainvalvontatarkoituksiin. Kielto ei koske tilanteita, joissa se on ehdottoman välttämätöntä tiettyjen uhrien kohdennettuun etsintään, tiettyjen uhkien estämiseen (esimerkiksi terrori-iskut) tai tiettyjen rikosten epäiltyjen etsimiseen laissa säädettyjen vaatimusten mukaisesti.

Huomioi tietosuojaperiaatteet

Myös tekoälyjärjestelmien yhteydessä tietosuojasääntelyä on noudatettava kokonaisuudessaan. Pelkkä henkilötietojen käsittelyperusteen olemassaolo ei vielä riitä, vaan lisäksi on huomioitava tietosuoja-asetuksen mukaiset tietosuojaperiaatteet ja niihin liittyvät velvoitteet. Tietosuojaperiaatteista säädetään tietosuoja-asetuksen 5 artiklassa.

Lue lisää tietosuojaperiaatteista

Kerro avoimesti henkilötietojen käsittelystä

Henkilötietoja on käsiteltävä läpinäkyvästi ja asianmukaisesti siihen tarkoitukseen, johon ne on kerätty. Henkilötietojen käsittelystä on kerrottava ihmisille avoimesti ja ymmärrettävästi, eikä annettu tieto saa olla harhaanjohtavaa. Tietoja ei saa myöskään käsitellä tavalla, joka on henkilöille ennalta-arvaamatonta ja odottamatonta.

Kun henkilötietoja käsitellään tekoälyjärjestelmän kehittämisen tai käytön yhteydessä, henkilölle on kerrottava ainakin

mitä henkilötietoja hänestä kerätään,
mihin tarkoitukseen hänen henkilötietojaan käsitellään,
miten pitkään kerättäviä henkilötietoja säilytetään,
jaetaanko tai myydäänkö kerättyjä henkilötietoja kolmansille osapuolille,
millä tavoin hänen henkilötietojaan käsitellään,
millaisia tietosuojaoikeuksia hänellä on ja miten hän voi käyttää niitä.

Tekoälyasetus edellyttää, että käyttäjälle kerrotaan avoimesti järjestelmästä. Tekoälyasetuksessa on myös erityisiä avoimuusvelvoitteita tietyille tekoälyjärjestelmille, jolloin käyttäjille on kerrottava esimerkiksi, milloin he ovat vuorovaikutuksessa tekoälyjärjestelmän kanssa. Lisäksi organisaatiolla on velvollisuus antaa kuvaus automaattisen päätöksenteon taustalla olevasta mekanismista.

Milloin henkilötietojen käsittelystä ei tarvitse informoida?

On olemassa tiettyjä poikkeustilanteita, jolloin informointivelvollisuutta ei ole. Näitä poikkeusperusteita on tulkittava suppeasti. Henkilöiden kattava informointi on edellytys sille, että he voivat varmistua henkilötietojensa käsittelyn asianmukaisuudesta.

Jos tekoälyjärjestelmän kehittämistä varten aiotaan kerätä henkilötietoja julkisista lähteistä tai muulla tavalla niin, että tiedot saadaan muualta kuin henkilöltä itseltään, voidaan informointivelvoitteesta poiketa, jos tietojen hankkimisesta tai luovuttamisesta säädetään laissa tai jos tietoja ei voida antaa lakisääteisen salassapitovelvollisuuden vuoksi. Henkilölle ei tarvitse toimittaa sellaisia tietoja, jotka hän on jo aiemmin saanut.

Informointivelvollisuudesta voidaan poiketa myös tietyin edellytyksin silloin, kun henkilötietoja käsitellään yleisen edun mukaisiin arkistointitarkoituksiin, tieteellisiä ja historiallisia tutkimustarkoituksia tai tilastollisia tarkoituksia varten, jos tietojen toimittaminen on mahdotonta tai vaatisi kohtuutonta vaivaa. Tällöinkin rekisterinpitäjän on saatettava informaatio julkisesti saataville.

Määrittele henkilötietojen käyttötarkoitus ja käytä tietoja yhteensopivasti tarkoituksen kanssa

Ennen kuin henkilötietojen käsittely aloitetaan, on suunniteltava ja määriteltävä selkeästi, mihin tarkoitukseen tietoja käytetään. Henkilötiedot on kerättävä tätä tiettyä tarkoitusta varten. Tarkoituksen pitää olla laillinen.

Tekoälyjärjestelmää kehittävä tai käyttävä organisaatio vastaa tietojen käyttötarkoituksen määrittelystä. Järjestelmän kehittämiseen tai käyttämiseen voi myös osallistua useampia organisaatioita eri vaiheissa. Tällöin kyse voi olla yhteisrekisterinpitäjyydestä, jolloin organisaatiot ovat yhteisesti vastuussa käyttötarkoitusten määrittelystä ja tietojen käsittelystä.

Euroopan tietosuojaneuvosto on todennut, että tietosuojaviranomaisen on edellytettävä jonkinlaista täsmällistä kuvausta tekoälyjärjestelmässä tapahtuvan henkilötietojen käsittelyn suunnitellusta tarkoituksesta.

Tekoälyasetus edellyttää, että suuririskisten tekoälyjärjestelmien käyttötarkoitukset määritellään ja dokumentoidaan tarkkaan.

Tekoälyjärjestelmien kehittämisen ja käytön eri vaiheissa voidaan tarvita erilaisia henkilötietoja eri tarkoituksiin. Joskus samoja henkilötietoja käytetään samoihin tarkoituksiin sekä järjestelmän kehittämis- että käyttövaiheissa.

Henkilötietoja ei saa myöhemmin käyttää sellaisiin tarkoituksiin, jotka ovat ristiriidassa alkuperäisten käyttötarkoitusten kanssa. Tietojen käsittely muuhun tarkoitukseen voi olla mahdollista, jos uusi tarkoitus on alkuperäisen tarkoituksen kanssa yhteensopiva.

Jos organisaatio aikoo käyttää muuta tarkoitusta varten keräämiään henkilötietoja tekoälyjärjestelmien kehittämisessä tai käytössä, sen on arvioitava uutta käyttötarkoitusta seuraavien kriteereiden perusteella:

Mikä yhteys alkuperäisen käyttötarkoituksen ja uuden tarkoituksen välillä on?
Missä yhteydessä henkilötiedot on kerätty?
Mikä on yksilöiden suhde siihen tahoon, joka on vastuussa henkilötietojen käsittelystä?
Minkälaista henkilötietojen käsittelyä ihmiset voivat kohtuudella odottaa?
Minkä tyyppisiä henkilötietoja aiotaan käsitellä?
Aiotaanko käsitellä arkaluonteisia henkilötietoja?
Mitä seurauksia henkilötietojen käsittelystä voi aiheutua ihmisille, joiden tietoja käsitellään?
Mitä suojaustoimia organisaatiolla on käytössä?

Jos uusi käyttötarkoitus on yhteensopiva alkuperäisen tarkoituksen kanssa, voidaan henkilötietoja käsitellä alkuperäisen käsittelyperusteen nojalla. Jos taas uusi käyttötarkoitus ei ole yhteensopiva, tarvitaan uusi käsittelyperuste.

Yleensä uusi käyttötarkoitus ei ole yhteensopiva, jos se muuttuu olennaisesti, jos henkilötietojen käsittely on henkilölle odottamatonta, tai jos tietojen käsittely aiheuttaa hänelle epäoikeudenmukaisia seurauksia. Yleisen edun mukainen arkistointi, tieteellinen tai historiallinen tutkimus tai tilastolliset tarkoitukset puolestaan ovat yhteensopivia alkuperäisen käyttötarkoituksen kanssa, kunhan riittäviä suojatoimia noudatetaan.

Lue lisää käyttötarkoitussidonnaisuuden periaatteesta

Minimoi käsiteltävät henkilötiedot ja huolehdi niiden täsmällisyydestä

Tietosuoja-asetuksen mukaan käsiteltävien henkilötietojen on oltava asianmukaisia, olennaisia ja rajoitettuja ainoastaan siihen, mikä on tarpeen käsittelyn tarkoitusten kannalta. Se tarkoittaa, että henkilötietoja ei saa kerätä tai käsitellä laajemmin kuin on välttämätöntä.

Myös tekoälyjärjestelmien kehittämisessä ja käytössä saa käsitellä vain sellaisia henkilötietoja, joita tarvitaan etukäteen määriteltyjä käyttötarkoituksia varten. Tekoälyjärjestelmää kehittävän tai käyttävän organisaation on aina arvioitava huolellisesti, mitkä henkilötiedot ovat tarpeellisia.

Tekoälyjärjestelmän kehittämisessä tarvitaan usein kattavaa ja laadukasta tietoaineistoa, jotta malli toimii tilastollisesti oikein eikä esimerkiksi syrji tiettyjä ihmisryhmiä. Henkilötietoa voi siksi olla tarpeen käsitellä vinoumien ja virheiden välttämiseksi. Myös tällaiset tarpeet on tunnistettava, kun tietojen käyttötarkoitusta suunnitellaan.

Jos tarpeellisen tiedon määrää eri vaiheissa on vaikeaa ennakoida, kannattaa aloittaa pienestä tietomäärästä, jota laajennetaan asteittain perustellun tarpeen mukaan. Tietojen tarpeellisuutta on myös seurattava ja arvioitava uudelleen eri vaiheissa. Arvioinnissa on pohdittava muun muassa, voitaisiinko samaan tavoitteeseen päästä esimerkiksi synteettisen tai anonymisoidun tiedon avulla.

Henkilötietojen on oltava täsmällisiä ja niitä on tarvittaessa päivitettävä. Erityisen tärkeää on kiinnittää täsmällisyyteen huomiota silloin, kun henkilötietoja käytetään ihmisiin liittyvään päätöksentekoon tai johtopäätösten tekemiseen tekoälyjärjestelmissä.

Lue lisää tietojen minimoinnista
Lue lisää tietojen täsmällisyydestä

Tietojen säilytyksen rajoittaminen ja säilytysajan määrittäminen

Henkilötietojen säilytysaikaa on tietosuoja-asetuksen mukaan rajoitettava. Henkilötiedot saa säilyttää muodossa, josta henkilö on tunnistettavissa, ainoastaan niin kauan kuin käyttötarkoitusta varten on tarpeen.

Tiedoille on määriteltävä aikaraja, jonka jälkeen ne poistetaan, arkistoidaan tai anonymisoidaan. Kun henkilötietoja ei enää tarvita tekoälyjärjestelmän kehittämisessä tai käytössä, ne tulee anonymisoida tai poistaa.

Henkilötietoja voi säilyttää alkuperäistä käyttötarkoitusta kauemmin ainoastaan, jos tietosuoja-asetuksen suojatoimia noudatetaan asianmukaisesti ja jos tietoja käsitellään

yleisen edun mukaista arkistointia,
tieteellistä tai historiallista tutkimusta tai
tilastollisia tarkoituksia varten.

Lue lisää säilytyksen rajoittamisesta

Mitä automaattisessa päätöksenteossa tulee huomioida?

Tekoälyjärjestelmiä saatetaan hyödyntää automaattiseen päätöksentekoon. Päätöksenteko on automaattista, kun se perustuu pelkästään automaattiseen henkilötietojen käsittelyyn ja kun päätöksillä on oikeusvaikutuksia tai vastaavia merkittäviä vaikutuksia henkilölle.

Ihmisellä on oikeus olla joutumatta tällaisen päätöksenteon kohteeksi. Kieltoon on kuitenkin poikkeuksia. Automaattinen päätöksenteko on sallittua, jos asianmukaisista suojatoimista huolehditaan, ja jos päätös

on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen tekemistä tai täytäntöönpanoa varten,
on hyväksytty rekisterinpitäjään sovellettavassa lainsäädännössä tai
perustuu rekisteröidyn nimenomaiseen suostumukseen.

Erityisiin henkilötietoryhmiin kuuluvia niin sanotusti arkaluonteisia tietoja, kuten terveystietoja, voidaan käsitellä automatisoidun päätöksenteon yhteydessä vain, kun näiden tietojen käsittelyyn on henkilön suostumus tai kun se on tarpeen tärkeän laissa säädetyn yleisen edun perusteella.

Profilointiin liittyvän päättelyn tuloksena voi syntyä erityisiin henkilötietoryhmiin kuuluvia tietoja, vaikka alkuperäiset tiedot eivät yksinään olisi sellaisia. Myös tällaisten tietojen käsittelylle on oltava käsittelyperuste.

Ihmiselle on lisäksi kerrottava käsittelyyn liittyvästä logiikasta ja käsittelyn seurauksista hänelle. Henkilölle pitää kertoa selkeästi, läpinäkyvästi ja ymmärrettävästi, millä menettelyillä ja minkä periaatteiden mukaisesti häntä koskevia tietoja käsitellään. Organisaation on myös pystyttävä osoittamaan, mikä tekoälyjärjestelmän osuus on ollut henkilöä koskevassa päätöksenteossa.

Lue lisää tarkemmin automatisoidusta päätöksenteosta ja profiloinnista

Käsittele henkilötietoja turvallisesti

Sekä tietosuoja-asetus että tekoälyasetus korostavat henkilötietojen suojaamisen tärkeyttä tietosuojasääntelyn vastaiselta käsittelyltä koko elinkaaren ajan. Organisaation on toteutettava teknisiä ja organisatorisia toimenpiteitä, joilla voidaan varmistaa ja osoittaa, että henkilötietojen käsittely on tietosuojalainsäädännön mukaista.

Organisaatiolla tulee olla kyky taata henkilötietojen käsittelyjärjestelmien ja -palveluiden jatkuva luottamuksellisuus, eheys, käytettävyys ja vikasietoisuus, sekä kyky palauttaa tietojen saatavuus ja pääsy tietoihin sen estyessä. Lisäksi käytössä pitää olla menettely, jolla testataan, tutkitaan ja arvioidaan säännöllisesti toimenpiteiden tehokkuutta turvallisuuden varmistamiseksi.

Toimenpiteitä voivat olla esimerkiksi:

Tietojen salaaminen: henkilötietojen salaaminen sekä säilytyksessä että siirron aikana varmistaa niiden luottamuksellisuuden myös mahdollisen tietomurron sattuessa.
Käyttöoikeuksien hallinta: tiukkojen käyttöoikeuksien käyttöönotto rajoittaa sitä, ketkä voivat käyttää ja muokata henkilötietoja.
Haavoittuvuustestit: säännölliset haavoittuvuustestit auttavat tunnistamaan ja korjaamaan järjestelmän turvallisuuden heikkouksia.
Lokitiedot ja auditointi: yksityiskohtaisten lokitietojen ylläpitäminen järjestelmän toiminnasta mahdollistaa epäilyttävän toiminnan seurannan ja tutkimisen.

Tekoälyjärjestelmät tuovat mukanaan erityisiä riskejä, jotka vaativat perinteisiä tietosuojakäytäntöjä täydentäviä turvatoimia.

Täydentäviä turvatoimia voivat olla esimerkiksi:

Syötteiden hallinta: tekoälyjärjestelmälle voidaan antaa syötteenä esimerkiksi tekstiä, videota, ääntä tai kuvaa. Ennen syötteen antamista järjestelmälle käsiteltäväksi, syötteestä tulee tunnistaa sisältävätkö ne poikkeavia tai haitallisia sisältöjä ja tarvittaessa puhdistaa niiden sisältö, jotta ne eivät ole ristiriidassa tekoälyjärjestelmän käyttötarkoituksen kanssa. Muita turvatoimia ovat syötteiden määrien hallinta ja rajoittaminen.
Päätösten valvonta: tekoälyjärjestelmän tuottamien tulosten tarkkuuden, oikeudenmukaisuuden ja jäljitettävyyden varmistaminen sekä mahdollisten vinoumien tunnistaminen.

Toteuta ihmisten tietosuojaoikeudet

Tietosuoja-asetuksessa säädetään rekisteröidyille kuuluvista tietosuojaoikeuksista. Rekisteröity on henkilö, jonka henkilötietoja käsitellään esimerkiksi tekoälyjärjestelmän kehittämisen tai käytön yhteydessä. Hänelle kuuluvia oikeuksia ovat oikeus saada tutustua häntä koskeviin tietoihin, oikeus saada tiedot oikaistua, täydennettyä ja poistettua, oikeus rajoittaa ja vastustaa tietojen käsittelyä sekä oikeus saada tiedot siirrettyä järjestelmästä toiseen.

Tekoälyjärjestelmää kehittävän tai käyttävän organisaation on varmistettava, että järjestelmä ja toimintatavat ovat sellaisia, että kaikki tekoälyjärjestelmässä tapahtuvaan henkilötietojen käsittelyyn liittyvät tietosuojaoikeudet pystytään toteuttamaan tehokkaasti.

Lue lisää tietosuojaoikeuksista

Osoita noudattavasi tietosuojalainsäädäntöä

Tekoälyjärjestelmää kehittävä tai käyttävä organisaatio on vastuussa siitä, että se noudattaa tietosuojasääntelystä tulevia vaatimuksia ja pystyy osoittamaan sen. Osoitusvelvollisuus edellyttää esimerkiksi tiettyjen toimenpiteiden tekemistä ja dokumentointia.

Lue lisää osoitusvelvollisuudesta, sen vaatimista toimenpiteistä ja kirjallisesta dokumentaatiosta

Lue lisää:

EU:n tekoälyasetus (EUR-Lex-palvelussa)

EU:n yleinen tietosuoja-asetus (EUR-Lex-palvelussa)

Lisätietoa tekoälyasetuksesta komission verkkosivuilla

Tietosuoja tekoälyjärjestelmien kehittämisessä ja käytössä

Mitä tarkoitetaan tekoälyjärjestelmällä?

Esimerkkejä yleisistä tekoälyjärjestelmistä arjessa

Miten tietosuojasääntely tulee huomioida tekoälyjärjestelmissä?

Arvioi riskit ja tietosuojavaikutukset

Korkean riskin arvioimisessa huomioitavat kriteerit

Varmista käsittelyn lainmukaisuus: milloin henkilötietoja voidaan hyödyntää?

Suostumus

Sopimus

Lakisääteinen velvoite

Elintärkeiden etujen suojaaminen

Yleinen etu tai julkisen vallan käyttö

Rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu