EU:n tekoälyasetus — viralliselta nimeltään asetus (EU) 2024/1689, tunnettu myös nimellä AI Act — on maailman ensimmäinen kattava tekoälylainsäädäntö. Se on suoraan sovellettava kaikissa EU:n jäsenvaltioissa, myös Suomessa, eikä vaadi erillistä kansallista lainsäädäntöä. Tekoälyasetus koskee jokaista organisaatiota, joka kehittää, tarjoaa tai käyttää tekoälyjärjestelmiä EU:n alueella.
Suomessa valmistautuminen on vielä alkuvaiheessa. Teknologiateollisuuden barometrin mukaan vain neljännes yrityksistä on ryhtynyt toimenpiteisiin. Tämä opas tarjoaa kokonaiskuvan siitä, mitä tekoälyasetus vaatii, miten se vaikuttaa suomalaisiin yrityksiin ja mitä pitää tehdä nyt.
À retenir
- Tekoälyasetus (AI Act) on EU-asetus, joka on suoraan sovellettava Suomessa — ei tarvitse kansallista toimeenpanolakia
- Artikla 4 (tekoälyosaaminen) on ollut voimassa 2. elokuuta 2025 — koskee kaikkia tekoälyä käyttäviä yrityksiä
- Riskiperusteinen malli: neljä tasoa kielletystä vähäiseen riskiin — velvoitteet vaihtelevat tason mukaan
- Traficom koordinoi, tietosuojavaltuutettu valvoo henkilötietoja — valvontarakenne on jaettu usealle viranomaiselle
- Korkean riskin järjestelmien säännöt astuvat voimaan elokuussa 2026
Katso myös täydellinen AI Act -oppaamme — 7 yksityiskohtaista lukua.
Mikä on tekoälyasetus ja miksi se koskee suomalaisia yrityksiä?
Tekoälyasetus luo EU:n laajuisen kehyksen tekoälyn sääntelylle. Toisin kuin monet EU-direktiivit, kyseessä on asetus — se on suoraan sovellettava Suomessa ilman erillistä lainsäädäntöprosessia. Tämä tarkoittaa, että velvoitteet ovat jo nyt todellisia ja täytäntöönpanokelpoisia.
Säädös koskee kolmea toimijaryhmää:
- Tekoälyjärjestelmien tarjoajat (kehittäjät ja markkinoille saattajat)
- Käyttöönottajat (yritykset, jotka hyödyntävät tekoälyjärjestelmiä toiminnassaan)
- Maahantuojat ja jakelijat (tekoälyjärjestelmiä EU:hun tuovat tahot)
Käytännössä tämä kattaa lähes jokaisen suomalaisen yrityksen, joka käyttää ChatGPT:tä, Copilotia, tekoälypohjaista rekrytointityökalua tai mitä tahansa muuta tekoälyjärjestelmää.
76 %
suomalaisista yrityksistä ei ole vielä aloittanut valmistautumista tekoälyasetukseen
Source : Teknologiateollisuus, AI-barometri 2025
Riskiperusteinen luokittelu — säädöksen ydin
Tekoälyasetuksen perusrakenne on riskiperusteinen malli, jossa velvoitteet kasvavat riskin mukaan. Tämä on säädöksen keskeisin innovaatio ja ymmärtämisen lähtökohta.
Taso 1: Kielletyt tekoälykäytännöt
Tietyt tekoälyn käyttötavat on kielletty kokonaan EU:n alueella:
- Sosiaalinen pisteytys viranomaisten tai yritysten toimesta
- Manipulatiiviset järjestelmät, jotka hyödyntävät haavoittuvuuksia
- Tunteiden tunnistaminen työpaikoilla ja oppilaitoksissa (tietyin poikkeuksin)
- Reaaliaikainen biometrinen etätunnistus julkisissa tiloissa (lainvalvonnan poikkeuksin)
Kiellettyjen käytäntöjen kielto on ollut voimassa 2. helmikuuta 2025 lähtien. Enimmäissakko rikkomuksista on 35 miljoonaa euroa tai 7 % maailmanlaajuisesta liikevaihdosta.
Taso 2: Korkean riskin tekoälyjärjestelmät
Korkean riskin järjestelmiin kohdistuu tiukin sääntely. Nämä kattavat muun muassa:
- Rekrytointi ja henkilöstöhallinto — tekoälypohjainen hakijoiden seulonta, suoritusarviointi
- Luottoluokitus ja vakuutusarviointi — rahoituspalvelujen automaattiset päätökset
- Terveydenhuolto — diagnostiset tekoälyjärjestelmät
- Koulutus — opiskelijoiden arviointi ja pääsykokeet
- Kriittinen infrastruktuuri — energia, liikenne, vesihuolto
Velvoitteet sisältävät vaatimustenmukaisuuden arvioinnin, teknisen dokumentaation, riskinhallintajärjestelmän, ihmisen valvonnan ja rekisteröinnin EU:n tietokantaan. Nämä säännöt astuvat voimaan 2. elokuuta 2026.
Taso 3: Rajallinen riski — läpinäkyvyysvelvoitteet
Rajallisen riskin järjestelmiin kohdistuu läpinäkyvyysvaatimuksia:
- Chatbotit: käyttäjälle on kerrottava, että hän on vuorovaikutuksessa tekoälyn kanssa
- Deepfaket ja synteettinen sisältö: on merkittävä tekoälyn tuottamaksi
- Generatiiviset tekoälyjärjestelmät: erityiset läpinäkyvyysvelvoitteet (GPAI-sääntely)
Taso 4: Vähäinen riski
Suurin osa tekoälysovelluksista kuuluu vähäisen riskin kategoriaan, johon ei kohdistu erityisiä velvoitteita — lukuun ottamatta artikla 4:n osaamisvaatimusta, joka koskee kaikkia tasoja.
Artikla 4: tekoälyosaaminen — kaikkia koskeva velvoite
Artikla 4 on tekoälyasetuksen laajimmin vaikuttava säännös, koska se koskee jokaista tekoälyä käyttävää organisaatiota — riippumatta koosta, toimialasta tai käytettävien järjestelmien riskitasosta.
Säännös edellyttää, että tekoälyjärjestelmien tarjoajat ja käyttöönottajat varmistavat henkilöstölleen riittävän tekoälyosaamisen tason. Osaamisen on vastattava:
- Henkilön roolia ja tehtäviä organisaatiossa
- Kontekstia, jossa tekoälyjärjestelmiä käytetään
- Ihmisiä ja ryhmiä, joihin tekoälyn käyttö vaikuttaa
Artikla 4 on ollut voimassa 2. elokuuta 2025 lähtien. Yritykset, jotka eivät ole ryhtyneet toimenpiteisiin, ovat jo vaatimustenvastaisessa tilassa.
Artikla 4 ei tee eroa sen välillä, käyttääkö yrityksesi ChatGPT:tä vai korkean riskin tekoälyjärjestelmää. Kaikki tekoälyn käyttäjät tarvitsevat riittävän osaamisen. Tämä koskee myös pk-yrityksiä.
Käytännössä artikla 4 tarkoittaa, että yrityksen on:
- Kartoitettava ketkä käyttävät tekoälyä ja missä tehtävissä
- Järjestettävä koulutusta, joka on räätälöity roolien mukaan
- Dokumentoitava toteutettu koulutus ja osaamistasot
- Ylläpidettävä osaamista jatkuvasti — teknologia kehittyy nopeasti
Valvontarakenne Suomessa
Tekoälyasetus edellyttää jokaiselta jäsenvaltiolta kansallista valvontarakennetta. Suomessa tehtävät on jaettu usealle viranomaiselle:
Traficom — koordinoiva viranomainen
Liikenne- ja viestintävirasto Traficom on nimetty tekoälyasetuksen kansalliseksi koordinoivaksi viranomaiseksi. Traficom vastaa:
- Tekoälyasetuksen toimeenpanon koordinoinnista
- Yhteydenpidosta EU:n tekoälytoimistoon (AI Office)
- Ohjeistuksesta yrityksille ja muille toimijoille
- Valvonnan järjestämisestä yhdessä muiden viranomaisten kanssa
Traficom julkaisi vuonna 2025 ensimmäiset käytännön ohjeensa: “Tekoälysäädöksen vaatimukset — käytännön opas”, joka korostaa erityisesti artikla 4:n merkitystä.
Tietosuojavaltuutettu — henkilötiedot ja GDPR-yhteys
Tietosuojavaltuutetun toimisto valvoo tekoälyn käyttöä henkilötietojen käsittelyssä. Tämä on keskeinen rooli, sillä suuri osa tekoälyjärjestelmistä käsittelee henkilötietoja tavalla tai toisella.
Tietosuojavaltuutettu on korostanut, että tekoälyasetusta ja GDPR:ää on tarkasteltava kokonaisuutena:
- Vaikutusten arviointi (DPIA) vaaditaan jo GDPR:n nojalla monille tekoälyjärjestelmille
- Automatisoidut päätökset (GDPR artikla 22) täydentävät tekoälyasetuksen ihmisvalvontavaatimuksia
- Läpinäkyvyys on molempien säädösten perusperiaate
Tietosuojavaltuutetun suositus: integroi tekoälyasetuksen vaatimukset olemassa olevaan GDPR-vaatimustenmukaisuusohjelmaasi. Älä rakenna erillistä järjestelmää — se lisää monimutkaisuutta ja kustannuksia.
Muut viranomaiset
- Kuluttaja-asiamies valvoo kuluttajiin kohdistuvien tekoälyjärjestelmien vaatimustenmukaisuutta
- Fimea (lääkealan turvallisuus- ja kehittämiskeskus) valvoo terveydenhuollon tekoälyjärjestelmiä
- Tukes (Turvallisuus- ja kemikaalivirasto) valvoo tuoteturvallisuutta
Sanktiot: mitä rikkomuksista seuraa?
Tekoälyasetus sisältää merkittävät sanktiot, jotka on porrastettu rikkomuksen vakavuuden mukaan:
| Rikkomuksen tyyppi | Enimmäissakko |
|---|---|
| Kielletyt tekoälykäytännöt | 35 milj. euroa tai 7 % liikevaihdosta |
| Korkean riskin vaatimukset ja artikla 4 | 15 milj. euroa tai 3 % liikevaihdosta |
| Virheelliset tiedot viranomaisille | 7,5 milj. euroa tai 1,5 % liikevaihdosta |
Pk-yrityksille ja startup-yrityksille sovelletaan lievennettyjä tasoja, mutta summat voivat silti olla merkittäviä pienemmille organisaatioille.
15 milj. €
tai 3 % liikevaihdosta — artikla 4:n rikkomisen enimmäissakko. Tämä koskee myös pk-yrityksiä.
Source : Tekoälyasetus (EU) 2024/1689, artikla 99
Aikataulu: milloin mikäkin velvoite astuu voimaan?
| Päivämäärä | Velvoite | Tila |
|---|---|---|
| 1.8.2024 | Tekoälyasetus astuu voimaan | Voimassa |
| 2.2.2025 | Kiellettyjen tekoälykäytäntöjen kielto | Voimassa |
| 2.8.2025 | Artikla 4: tekoälyosaamisvaatimus | Voimassa |
| 2.8.2025 | GPAI-mallien (yleiskäyttöiset tekoälymallit) säännöt | Voimassa |
| 2.8.2026 | Korkean riskin järjestelmien vaatimukset | Tulossa |
| 2.8.2027 | Kaikkien säännösten täysimääräinen soveltaminen | Tulossa |
Käytännön askeleet: näin varmistat vaatimustenmukaisuuden
1. Kartoita tekoälyn käyttö organisaatiossasi
Ensimmäinen askel on kokonaiskartoitus: mitä tekoälyjärjestelmiä on käytössä, kuka niitä käyttää ja mihin tarkoitukseen? Monissa yrityksissä tekoälyä käytetään enemmän kuin johto tietää — erityisesti generatiivisten järjestelmien osalta.
2. Luokittele järjestelmät riskitason mukaan
Kun käytössä olevat järjestelmät on kartoitettu, ne on luokiteltava tekoälyasetuksen riskitasojen mukaan. Tämä määrittää, mitä velvoitteita kuhunkin järjestelmään kohdistuu.
3. Toteuta artikla 4:n mukainen koulutus
Koska artikla 4 on jo voimassa, tekoälykoulutus on kiireellisin toimenpide. Koulutuksen on oltava roolien mukaan räätälöity — markkinoija, juristi ja kehittäjä tarvitsevat erilaista osaamista.
4. Laadi tekoälypolitiikka
Dokumentoi organisaatiosi tekoälyn käyttösäännöt: hyväksytyt työkalut, tietojen luokittelu, vastuut ja eskalointiprosessi. Tämä palvelee sekä sisäistä hallintoa että viranomaisdokumentaatiota.
5. Valmistaudu korkean riskin sääntelyyn
Jos organisaatiosi käyttää tekoälyä rekrytoinnissa, terveydenhuollossa, luottoluokituksessa tai muilla korkean riskin aloilla, elokuun 2026 määräaika lähestyy nopeasti. Aloita vaatimustenmukaisuuden arviointi nyt.
6. Rakenna jatkuva hallinto
Tekoälyasetuksen noudattaminen ei ole kertaluonteinen projekti. Se edellyttää jatkuvaa seurantaa, säännöllisiä katselmuksia ja osaamisen ylläpitoa. Nimeä vastuuhenkilöt ja rakenna prosessit pysyviksi.
Brain auttaa suomalaisia yrityksiä tekoälyasetuksen vaatimustenmukaisuudessa: adaptiiviset koulutusmoduulit roolien mukaan, automaattinen osaamisen seuranta ja dokumentaatio valvontatilanteisiin — kaikki suomeksi.
Usein kysytyt kysymykset
Onko tekoälyasetus sama asia kuin GDPR tekoälylle? Ei suoraan, mutta logiikka on samankaltainen: riskiperusteinen sääntely, dokumentaatiovelvoitteet ja merkittävät sanktiot. Tietosuojavaltuutettu suosittaa, että yritykset yhdistävät molemmat vaatimustenmukaisuusohjelmat.
Koskeeko tekoälyasetus myös pientä yritystäni? Kyllä. Artikla 4 koskee kaikkia tekoälyä käyttäviä organisaatioita koosta riippumatta. Sakkotasot on suhteutettu, mutta velvoite on sama.
Riittääkö Elements of AI artikla 4:n vaatimukseksi? Elements of AI on hyvä pohja, mutta se ei riitä. Artikla 4 edellyttää työtehtäväkohtaista, dokumentoitua ja jatkuvaa osaamisen kehittämistä — ei pelkästään yleistä tekoälytietoisuutta.
Miten Traficom valvoo tekoälyasetusta käytännössä? Traficom koordinoi valvontaa ja julkaisee ohjeistuksia. Varsinainen valvonta tapahtuu yhteistyössä sektoriviranomaisten kanssa. Tietosuojavaltuutettu voi jo nyt pyytää dokumentaatiota tekoälyosaamisesta osana GDPR-valvontaa.
Miten artikla 4:n koulutus pitää dokumentoida? Dokumentaation on osoitettava, että koulutus on toteutettu, se vastaa henkilön roolia ja tehtäviä, ja osaamista ylläpidetään säännöllisesti. Brain tuottaa tämän dokumentaation automaattisesti.
Yhteenveto: toimi nyt, älä odota
Tekoälyasetus ei ole tulossa — se on täällä. Kolme neljästä suomalaisesta yrityksestä ei ole vielä aloittanut valmistautumista, mutta artikla 4 on jo voimassa ja korkean riskin säännöt seuraavat elokuussa 2026.
Yritykset, jotka toimivat nyt, saavuttavat kolme asiaa: lainmukaisuuden, riskien hallinnan ja kilpailuedun markkinoilla, joilla tekoälyosaaminen on ratkaisevaa.