EU:n tekoälysäädös (asetus (EU) 2024/1689) astui voimaan 1. elokuuta 2024 — maailman ensimmäinen kokonaisvaltainen tekoälylainsäädäntö. Suomalaisille yrityksille tämä ei ole abstrakti EU-sääntely. Se on suoraan sovellettava asetus, joka vaikuttaa jokaiseen organisaatioon, joka käyttää tekoälyjärjestelmiä. Ja keskeinen artikla 4, joka koskee tekoälyosaamista, on ollut voimassa jo 2. elokuuta 2025 lähtien.
Teknologiateollisuuden barometrin (2025) mukaan vain 24 % suomalaisista yrityksistä on aloittanut valmistautumisen tekoälysäädökseen. Loput 76 % ovat jäljessä — ja riski kasvaa päivä päivältä. Tämä opas antaa kokonaiskuvan säädöksestä ja konkreettisen toimintasuunnitelman.
À retenir
- Artikla 4 (tekoälyosaaminen) on ollut voimassa 2. elokuuta 2025 lähtien — se koskee kaikkia tekoälyä käyttäviä yrityksiä
- Sakot: enintään 15 milj. euroa tai 3 % maailmanlaajuisesta liikevaihdosta
- Traficom koordinoi tekoälysäädöksen kansallista toimeenpanoa, tietosuojavaltuutettu valvoo henkilötietoja
- Korkean riskin tekoälyjärjestelmien vaatimukset astuvat voimaan elokuussa 2026
Katso myös täydellinen AI Act -oppaamme — 7 yksityiskohtaista lukua.
Mikä on tekoälysäädös?
Tekoälysäädös (AI Act) on EU:n puitelainsäädäntö tekoälyn sääntelylle. Se on asetus, joka on suoraan sovellettava kaikissa EU:n jäsenvaltioissa — mukaan lukien Suomessa — ilman kansallista täytäntöönpanolainsäädäntöä.
Säädös perustuu riskiperusteiseen lähestymistapaan neljällä tasolla:
- Kielletty riski — kielletty kokonaan (sosiaalinen pisteytys, manipulointi, tietyt biometrisen tunnistamisen muodot)
- Korkea riski — tiukat vaatimukset dokumentaatiosta, valvonnasta, läpinäkyvyydestä (rekrytointi, luottoluokitus, terveydenhuolto)
- Rajallinen riski — läpinäkyvyysvaatimukset (chatbotit, deepfaket)
- Vähäinen riski — ei erityisvaatimuksia (suurin osa tekoälytyökaluista)
Aikataulu
| Päivämäärä | Säännös |
|---|---|
| 1. elokuuta 2024 | Säädös astuu voimaan |
| 2. helmikuuta 2025 | Kiellettyjen tekoälykäytäntöjen kielto |
| 2. elokuuta 2025 | Artikla 4: tekoälyosaamisvaatimus voimaan |
| 2. elokuuta 2026 | Korkean riskin tekoälyjärjestelmien säännöt |
| 2. elokuuta 2027 | Kaikkien säännösten täysimääräinen soveltaminen |
24 %
suomalaisista yrityksistä on aloittanut valmistautumisen tekoälysäädökseen — 76 % ei ole
Source : Teknologiateollisuus, AI-barometri 2025
Artikla 4: tekoälyosaaminen — mitä vaaditaan?
Artikla 4 on säännös, joka koskettaa eniten yrityksiä, koska se koskee kaikkia — koosta, toimialasta tai riskiluokasta riippumatta. Jos yrityksesi käyttää tekoälyjärjestelmää (kyllä, ChatGPT lasketaan), olet sen piirissä.
Säännöksen sisältö
Artikla 4 edellyttää, että tekoälyjärjestelmien tarjoajat ja käyttäjät varmistavat, että heidän henkilöstöllään ja muilla heidän puolestaan tekoälyjärjestelmiä käsittelevillä henkilöillä on “riittävä tekoälyosaamisen taso”. Osaamistason on otettava huomioon:
- Henkilön tekninen tietämys, kokemus ja koulutus
- Asiayhteys, jossa tekoälyjärjestelmiä käytetään
- Henkilöt tai ryhmät, joihin tekoälyjärjestelmät vaikuttavat
Mitä se tarkoittaa käytännössä
Suomalaiselle 100 hengen yritykselle, joka käyttää ChatGPT:tä, Copilotia tai vastaavaa, artikla 4 tarkoittaa:
- Kaikki käyttäjät on koulutettava — ei vain IT-osasto
- Koulutuksen on oltava räätälöityä — markkinoija ja kehittäjä tarvitsevat erilaista osaamista
- Osaamista on ylläpidettävä — tekoäly muuttuu jatkuvasti
- Dokumentaatio — valvontatilanteessa yrityksen on voitava osoittaa, että koulutus on toteutettu
Artikla 4 on jo voimassa. Se ei ole “tulossa” — se pätee nyt. Yritykset, jotka eivät ole vielä aloittaneet tekoälykoulutusta, ovat jo vaatimustenvastaisessa tilassa.
Sanktiot ja valvonta
Sakkojen tasot
Tekoälysäädöksessä on kolme sakkotasoa:
| Rikkomus | Enimmäissakko |
|---|---|
| Kielletyt tekoälykäytännöt | 35 milj. € tai 7 % liikevaihdosta |
| Korkean riskin vaatimukset + artikla 4 | 15 milj. € tai 3 % liikevaihdosta |
| Virheelliset tiedot viranomaisille | 7,5 milj. € tai 1,5 % liikevaihdosta |
Pk-yrityksille ja startup-yrityksille sovelletaan lievempiä rajoja, mutta summat voivat silti olla merkittäviä.
Valvonta Suomessa
Suomi on nimennyt useita viranomaisia tekoälysäädöksen toimeenpanoon:
- Traficom (Liikenne- ja viestintävirasto) on nimetty kansalliseksi koordinoivaksi viranomaiseksi tekoälysäädöksen toimeenpanossa
- Tietosuojavaltuutetun toimisto valvoo tekoälyn käyttöä henkilötietojen käsittelyssä ja linkittää tekoälysäädöksen vaatimukset GDPR:ään
- Kuluttaja-asiamies valvoo kuluttajiin kohdistuvien tekoälyjärjestelmien vaatimustenmukaisuutta
- Fimea, Tukes ja muut sektoriviranomaiset valvovat omilla toimialoillaan
Traficom julkaisi vuonna 2025 ensimmäiset ohjeet yrityksille: “Tekoälysäädöksen vaatimukset — käytännön opas”. Ohjeet korostavat artikla 4:n merkitystä ja koulutuksen dokumentointia.
15 milj. €
tai 3 % maailmanlaajuisesta liikevaihdosta — artikla 4:n noudattamatta jättämisen enimmäissakko
Source : Tekoälysäädös, artikla 99
Suomen erityispiirteet
Elements of AI -tausta
Suomella on ainutlaatuinen lähtökohta: Elements of AI -kurssi on antanut sadoilletuhansille suomalaisille perusymmärryksen tekoälystä. Mutta artikla 4 vaatii enemmän kuin yleissivistystä — se edellyttää työtehtäväkohtaista, dokumentoitua ja jatkuvaa osaamisen kehittämistä. Elements of AI on hyvä pohja, mutta se ei riitä yritystason vaatimustenmukaisuuteen.
Kansallinen tekoälyohjelma AuroraAI
Suomen AuroraAI-ohjelma ja kansallinen tekoälystrategia (päivitetty 2025) korostavat tekoälyosaamisen merkitystä. Ohjelma tarjoaa viitekehyksen, mutta vastuu koulutuksesta on yrityksillä itsellään.
GDPR:n ja tekoälysäädöksen yhteys
Tietosuojavaltuutetun toimisto on korostanut, että tekoälysäädöstä ei pidä tarkastella erillään GDPR:stä. Monet tekoälyjärjestelmät käsittelevät henkilötietoja, jolloin molemmat säädökset pätevät samanaikaisesti:
- Vaikutusten arviointi (DPIA): Jo GDPR:n nojalla vaadittu monille tekoälyjärjestelmille
- Läpinäkyvyys: Molemmat säädökset edellyttävät, että asianosaisille kerrotaan tekoälyn käytöstä
- Ihmisen valvonta: GDPR:n artikla 22 (automatisoidut päätökset) täydentää tekoälysäädöksen vaatimuksia
Tietosuojavaltuutetun toimisto suosittaa, että yritykset integroivat tekoälysäädöksen vaatimukset olemassa olevaan GDPR-vaatimustenmukaisuusohjelmaansa erillisen järjestelmän rakentamisen sijaan.
Mitä korkean riskin tekoäly tarkoittaa (elokuusta 2026)
Käyttääkö yrityksesi tekoälyä rekrytointiin, luottoluokitukseen, terveydenhoitoon tai muihin tekoälysäädöksen liitteen III aloihin? Elokuusta 2026 alkaen vaaditaan:
- Vaatimustenmukaisuuden arviointi ennen järjestelmän käyttöönottoa
- Rekisteröinti EU:n julkiseen tekoälytietokantaan
- Riskiarviointi ja jatkuva seuranta
- Ihmisen valvonta — henkilön on voitava ohittaa tekoälyn päätökset
- Lokitus — tekoälyjärjestelmän syötteiden ja tulosten kirjaaminen
- Tekninen dokumentaatio ja laatujärjestelmä
Toimintasuunnitelma: 5 askelta vaatimustenmukaisuuteen
Askel 1: Kartoita tekoälyn käyttö (viikko 1–2)
Listaa kaikki käytössä olevat tekoälyjärjestelmät — ChatGPT:stä automatisoiduihin HR-työkaluihin. Monet yritykset huomaavat käyttävänsä enemmän tekoälyä kuin luulevat. Luokittele jokainen järjestelmä riskitason mukaan.
Askel 2: Laadi tekoälypolitiikka (viikko 3–4)
Dokumentoi tekoälyn käyttösäännöt: hyväksytyt työkalut, tietojen luokittelu, vastuunjako, eskalointiprosessi.
Askel 3: Toteuta tekoälykoulutus (viikko 5–8)
Aloita artikla 4:n vaatimustenmukaisuudesta: perustekoälyosaaminen kaikille, ammattispesifinen koulutus avainryhmille. Dokumentoi kaikki.
Askel 4: Arvioi korkean riskin järjestelmät (viikko 9–12)
Tunnista, käyttääkö yrityksesi tekoälyjärjestelmiä, jotka kuuluvat liitteen III piiriin. Jos kyllä, aloita valmistautuminen elokuun 2026 vaatimuksiin.
Askel 5: Rakenna jatkuva hallinto (jatkuvasti)
Tekoälysäädöksen noudattaminen ei ole kertaluonteinen projekti. Rakenna hallintorakenne selkeällä vastuunjaolla, säännöllisillä katselmuksilla ja jatkuvalla koulutuksella.
Brain auttaa suomalaisia yrityksiä artikla 4:n vaatimustenmukaisuudessa: adaptiiviset koulutusmoduulit tehtävän mukaan räätälöitynä, automaattinen osaamisen seuranta ja dokumentaatio — suomeksi.
Usein kysytyt kysymykset
Koskeeko tekoälysäädös pientä yritystäni? Kyllä. Artikla 4 koskee kaikkia tekoälyjärjestelmiä käyttäviä yrityksiä koosta riippumatta. Sakkotasot on kuitenkin suhteutettu, joten pk-yrityksiä ei rangaista suhteettomasti.
Onko ChatGPT tekoälyjärjestelmä? Kyllä. Generatiiviset tekoälyjärjestelmät kuten ChatGPT, Copilot ja Gemini ovat tekoälysäädöksen mukaisia tekoälyjärjestelmiä. Jokainen näitä työkaluja käyttävä työntekijä tarvitsee riittävän osaamistason.
Riittääkö GDPR-vaatimustenmukaisuus? Hyvä lähtökohta, mutta ei riitä. Tekoälysäädös asettaa lisävaatimuksia erityisesti osaamiseen (artikla 4) ja korkean riskin järjestelmiin.
Milloin valvonta alkaa? Tietosuojavaltuutettu voi jo nyt pyytää dokumentaatiota tekoälyosaamisesta osana GDPR-valvontaa. Traficomin koordinoima erityisvalvonta käynnistyy asteittain vuoden 2026 aikana.
Toimi nyt
Tekoälysäädös ei ole tulevaisuutta — se on nykyhetkeä. Suomalaiset yritykset, jotka toimivat nyt, saavuttavat kolme asiaa: lainmukaisuuden, riskien vähentämisen ja kilpailuedun markkinoilla, joilla tekoälyosaaminen on ratkaisevaa.
Brain tarjoaa suomalaisille yrityksille selkeän polun tekoälysäädöksen vaatimuksiin: rakenteellinen koulutus, automaattinen dokumentaatio ja osaamisen seuranta — suomeksi ja toimialaan räätälöitynä.