Suomen tietosuojaviranomainen on julkaissut verkkosivuillaan ohjeet siitä, miten organisaatioiden on huomioitava tietosuojavaatimukset ja -periaatteet, kun ne kehittävät tai ottavat käyttöön tekoälyjärjestelmiä.
Ohjeistuksessa käsitellään muun muassa riskienhallintaa ja tietosuojavaikutusten arviointia, milloin henkilötietojen käsittely tekoälyjärjestelmässä on lainmukaista ja miten yksilöiden tietosuojaoikeudet on toteutettava. Viranomaisohjeistus löytyy kokonaisuudessaan täältä: Tekoälyjärjestelmät ja tietosuoja | Tietosuojavaltuutetun toimisto
Tietosuojan huomioiminen on aloitettava jo suunnitteluvaiheessa
Organisaation on määritettävä, mitä tietoja tekoälyjärjestelmässä on tarkoitus kerätä ja millä perusteella. Tekoälyratkaisujen käyttö esimerkiksi henkilöstöhallinnossa tai asiakasprofiloinnissa täyttää usein korkean riskin kriteerit, jolloin vaikutustenarviointi on ehdoton (EU:n tekoälyasetus: Riskiluokat, vaatimukset ja aikataulu). Lisäksi käyttöönotossa on varmistuttava henkilötietojen teknisestä suojaamisesta ja järjestelmän vikasietoisuudesta koko käsittelyn elinkaaren ajan sekä huomioitava muut GDPR:n mukaiset tietosuojaperiaatteet.
Ohjeistuksessa nostetaan keskeisiksi periaatteiksi:
- Henkilötietojen minimointi – kerää vain tarpeellinen
- Käsittelyn läpinäkyvyys – kerro selkeästi, miten ja miksi tietoja käsitellään
- Oikeuksien toteutuminen – varmista, että rekisteröidyt voivat käyttää oikeuksiaan
Tietosuojavaltuutetun toimisto korostaa, että ohjeistus ei ole kaikenkattava ja jokainen tekoälyn käyttöönottohanke on arvioitava tapauskohtaisesti. Tekoälyjärjestelmän vastuullinen käyttöönotto edellyttää tietosuojalainsäädännön noudattamisen lisäksi nykyään myös henkilöstön kouluttamista tekoälyn riskeistä ja järjestelmien toimintaperiaatteista (Henkilöstön lakisääteinen tekoälykoulutus – Lawder).
Eve Ahonen
Tietosuoja- ja datajuristi
Lawder Oy
