Tekoälyasetuksen seuraamukset: jopa 35 miljoonan euron sakot

Ennennäkemätön seuraamusjärjestelmä

Euroopan unionin tekoälyasetus (asetus 2024/1689) ottaa käyttöön yhden Euroopan digitaalioikeuden ankarimmista seuraamusjärjestelmistä. Jopa 35 miljoonan euron tai 7 prosentin maailmanlaajuisesta liikevaihdosta nousevien sakkojen myötä tekoälyasetus lähettää selvän viestin: vaatimustenvastaisuus tekoälyn alalla ei ole abstrakti riski, vaan merkittävä taloudellinen riski.

Artikla 99 — Règlement (UE) 2024/1689

Jäsenvaltiot säätävät seuraamusjärjestelmät ja muut täytäntöönpanotoimenpiteet, joihin voi sisältyä myös varoituksia ja muita kuin taloudellisia toimenpiteitä, joita sovelletaan operaattoreiden tekemiin tämän asetuksen rikkomuksiin, ja toteuttavat kaikki tarvittavat toimenpiteet varmistaakseen, että niitä sovelletaan asianmukaisesti ja tehokkaasti […].

Kolme sakkotasoa

Asetuksen artikla 99 määrittää kolme seuraamustasoa rikkomuksen vakavuuden mukaan.

Taso 1 — Kielletyt käytännöt: 35 milj. euroa tai 7 % maailmanlaajuisesta liikevaihdosta

Ankarin seuraamustaso koskee artiklan 5 rikkomuksia (kielletyt käytännöt):

• Sosiaalinen pisteytys
• Subliminaalinen manipulointi tai harhaanjohtavat tekniikat
• Henkilöiden haavoittuvuuksien hyväksikäyttö
• Reaaliaikainen biometrinen tunnistaminen julkisissa tiloissa (poikkeuksin)
• Tunteiden tunnistaminen työpaikoilla ja koulutuksessa
• Kasvotunnistustietokantojen rakentaminen verkkosisältöä keräämällä

Sakko voi olla 35 miljoonaa euroa tai 7 % yrityksen vuotuisesta maailmanlaajuisesta liikevaihdosta, suurempi summa määrätään.

500 miljoonan euron liikevaihdolla toimivalle yritykselle tämä tarkoittaa mahdollisesti 35 miljoonan euron sakkoa. Maailmanlaajuiselle konsernille, jonka liikevaihto on 10 miljardia euroa, teoreettinen sakko nousee 700 miljoonaan euroon.

Taso 2 — Korkean riskin järjestelmien vaatimustenvastaisuus: 15 milj. euroa tai 3 % maailmanlaajuisesta liikevaihdosta

Toinen taso koskee korkean riskin tekoälyjärjestelmiin ja yleiskäyttöisiin tekoälymalleihin liittyvien velvoitteiden rikkomuksia:

• Riskienhallintavaatimusten noudattamatta jättäminen (artikla 9)
• Puutteellinen tiedonhallinta (artikla 10)
• Teknisen dokumentaation puuttuminen (artikla 11)
• Käyttäjille suunnatun läpinäkyvyyden puute (artikla 13)
• Riittämätön ihmisen suorittama valvonta (artikla 14)
• Yleiskäyttöisten tekoälymallien vaatimustenvastaisuus (artiklat 51–56)
• Tekoälyosaamisen velvoitteen noudattamatta jättäminen (artikla 4)

Viimeinen kohta on ratkaiseva: työntekijöiden koulutuksen laiminlyönti tekoälyn alalla kuuluu tähän tasoon. Yritys, joka ei ole ryhtynyt mihinkään toimenpiteisiin varmistaakseen henkilöstönsä riittävän tekoälyosaamistason, voi saada sakkoja enintään 15 miljoonaa euroa tai 3 % maailmanlaajuisesta liikevaihdosta.

Taso 3 — Virheelliset tiedot: 7,5 milj. euroa tai 1,5 % maailmanlaajuisesta liikevaihdosta

Kolmas taso koskee tilanteita, joissa yritys antaa epätarkkoja, puutteellisia tai harhaanjohtavia tietoja toimivaltaisille viranomaisille tai ilmoitetuille laitoksille:

• Valheelliset vaatimustenmukaisuusvakuutukset
• Väärennetyt tai puutteelliset tekniset asiakirjat
• Epätarkat vastaukset viranomaisten tietopyyntöihin
• Tapahtumien tai toimintahäiriöiden salaaminen

Sakko voi olla 7,5 miljoonaa euroa tai 1,5 % vuotuisesta maailmanlaajuisesta liikevaihdosta.

Suomen näkökulma: OP-ryhmän kaltaiselle toimijalle (noin 6 miljardin euron tuotot) ankarin seuraamustaso tarkoittaisi jopa 420 miljoonan euron sakkoja. Myös julkiset toimijat kuten Kela ja Verohallinto, jotka kehittävät tekoälypohjaista asiankäsittelyä, ovat seuraamusriskin piirissä.

Vertailu GDPR:iin: ankarammat sakot

Tekoälyasetuksen järjestelmän ankaruuden mittaamiseksi vertailu GDPR:iin on valaiseva:

Kriteeri	GDPR	Tekoälyasetus
Enimmäissakko (kiinteä summa)	20 milj. euroa	35 milj. euroa
Enimmäissakko (% liikevaihdosta)	4 % maailmanlaajuisesta liikevaihdosta	7 % maailmanlaajuisesta liikevaihdosta
Tasojen lukumäärä	2	3
Voimassa	Toukokuu 2018	Asteittain (2025–2027)
Valvontaviranomainen	Tietosuojaviranomaiset	Kansalliset viranomaiset + Euroopan tekoälytoimisto

EU:n lainsäätäjä on tarkoituksella asettanut tekoälyasetuksen seuraamukset GDPR:n yläpuolelle. Viesti on selvä: hallitsemattoman tekoälyn riskit katsotaan vähintään yhtä vakaviksi kuin tietosuojariskit — ja yrityksiä rangaistaan sen mukaisesti.

Muistutukseksi: GDPR:n seuraamukset eivät ole jääneet teoreettisiksi. Vuonna 2023 Meta sai 1,2 miljardin euron sakon Irlannin viranomaiselta. Amazon oli saanut 746 miljoonan euron sakon vuonna 2021 Luxemburgissa. Eurooppalaiset viranomaiset ovat osoittaneet, ettei enimmäissakkojen soveltamista suuryrityksiin epäröidä.

Pk-yritysten erityisjärjestelyt

Asetus määrittelee mukautetun kohtelun pienille yrityksille. Artikla 99(6) täsmentää, että sakkojen on oltava “tehokkaita, oikeasuhteisia ja varoittavia”. Pk-yritysten ja startup-yritysten osalta viranomaisten on otettava huomioon yrityksen taloudellinen elinkelpoisuus.

Käytännössä:

• Liikevaihdon prosenttiosuudet soveltuvat samalla tavalla, mutta kiinteät summat (35 milj., 15 milj., 7,5 milj. euroa) muodostavat ehdottoman enimmäismäärän
• Viranomaisten on otettava huomioon yrityksen koko, rikkomuksen vakavuus, tahallinen tai tahaton luonne sekä vahingon lieventämiseksi toteutetut toimenpiteet
• Sääntelyyn liittyvät hiekkalaatikot (artikla 57) tarjoavat puitteet, joissa pk-yritykset voivat testata tekoälyjärjestelmiään todellisissa olosuhteissa viranomaisten tuella

Kuka valvoo ja määrää seuraamuksia?

Kansalliset toimivaltaiset viranomaiset

Kunkin jäsenvaltion on nimettävä yksi tai useampi kansallinen toimivaltainen viranomainen vastaamaan markkinavalvonnasta ja asetuksen täytäntöönpanosta. Suomessa tämä vastuu jakautunee useiden toimijoiden kesken:

• Tietosuojavaltuutetun toimisto — jo toimivaltainen tietosuoja-asioissa, sillä on luontainen asiantuntemus henkilötietoja käsittelevissä tekoälyjärjestelmissä, ja sen odotetaan olevan keskeisessä roolissa tekoälyasetuksen valvonnassa
• Liikenne- ja viestintävirasto Traficom — tekoälymalleihin, viestintäinfrastruktuuriin ja digitaaliseen turvallisuuteen liittyvissä näkökohdissa
• Nykyiset sektoriviranomaiset (Finanssivalvonta OP:n ja Nordean kaltaisille rahoitusalan toimijoille, Valvira terveydenhuollossa) — omien alojensa korkean riskin tekoälyjärjestelmissä

Euroopan tekoälytoimisto (AI Office)

Euroopan komission yhteyteen perustettu Euroopan tekoälytoimisto toimii koordinoijana ja sillä on suora toimivalta yleiskäyttöisissä tekoälymalleissa. Se voi:

• Arvioida yleiskäyttöisten tekoälymallien vaatimustenmukaisuutta
• Pyytää tarjoajilta korjaavia toimenpiteitä
• Määrätä sakkoja yleiskäyttöisiin malleihin liittyvistä rikkomuksista

📄Tekoälyasetus artikla 4: tekoälykoulutusvelvoite selitetty→

Vaatimustenmukaisuuden todistamisen tärkeys

Sakkojen lisäksi tekoälyasetuksen mekanismi perustuu perusperiaatteeseen: todistustaakka on yrityksellä. Viranomaisen tehtävä ei ole osoittaa, että ette noudata sääntöjä — teidän tehtävänne on osoittaa, että noudatatte.

Mitä “vaatimustenmukaisuuden todistaminen” käytännössä tarkoittaa

1. Tekninen dokumentaatio: jokaisesta korkean riskin tekoälyjärjestelmästä täydellinen kansio, joka kuvaa järjestelmän, sen tarkoitukset, suorituskyvyn, rajoitukset ja käytetyt koulutustiedot
2. Vaatimustenmukaisuusrekisterit: vaatimustenmukaisuusarviointien, sisäisten auditointien ja päivitysten historia
3. Käyttölokit: automaattiset lokitiedostot, jotka seuraavat tekoälyjärjestelmien tekemiä päätöksiä (vähintään kuuden kuukauden säilytys)
4. Koulutustodisteet: todistukset, arviointitulokset, osallistumisasteet — osoittaen, että henkilöstö saavuttaa artiklan 4 edellyttämän osaamistason
5. Raportointimenettelyt: dokumentoidut mekanismit, joiden avulla käyttäjät voivat raportoida toimintahäiriöistä tai ongelmallisista tuloksista

Mitattava ja jäljitettävä osaamispistemäärä jokaiselle työntekijälle on erityisen vahva todiste artiklan 4 osalta. Samoin täydellinen koulutushistoria päivämäärineen, sisältöineen ja tuloksineen mahdollistaa vaatimustenmukaisuuden todistamisen objektiivisesti.

Raskauttava tekijä: toimenpiteiden puuttuminen

Tarkastustilanteessa huonoin tilanne ei ole epätäydellinen vaatimustenmukaisuusohjelma — vaan sen täydellinen puuttuminen. Viranomaiset ottavat huomioon yrityksen tekemän työn. Rakenteellisen lähestymistavan aloittaminen, vaikkakaan epätäydellinen, on aina parempi vaihtoehto kuin täydellinen toimimattomuus.

📄Tekoälyauditointi yrityksessä: käytännön vaiheittainen opas→

Riskiaikataulu

Seuraamukset tulevat voimaan asteittain eri velvoitteiden voimaantulon mukaisesti:

Päivämäärä	Voimassa olevat velvoitteet	Sovellettavat seuraamukset
1. helmikuuta 2025	Kielletyt käytännöt (artikla 5)	Enintään 35 milj. euroa / 7 %
2. elokuuta 2025	Tekoälyosaaminen (artikla 4) + Yleiskäyttöiset mallit	Enintään 15 milj. euroa / 3 %
2. elokuuta 2026	Korkean riskin tekoälyjärjestelmät	Enintään 15 milj. euroa / 3 %
2. elokuuta 2027	Korkean riskin järjestelmät säänneltyihin tuotteisiin integroituina	Enintään 15 milj. euroa / 3 %

Kaksi ensimmäistä määräaikaa on jo ylitetty. Yritykset, jotka eivät ole vielä ryhtyneet toimenpiteisiin kiellettyjen käytäntöjen ja tekoälyosaamisen osalta, ovat jo riskivyöhykkeellä.

Sakkojen lisäksi: välilliset riskit

Taloudelliset seuraamukset ovat vain näkyvä osa. Tekoälyasetuksen vaatimustenvastaisuus altistaa myös muille yhtä merkittäville riskeille:

• Maineriski: julkinen tunnistaminen vaatimustenvastaiseksi tekoälysääntelyn osalta lähettää tuhoisan signaalin asiakkaille, kumppaneille ja sijoittajille
• Kaupallinen riski: vaatimustenmukaiset yritykset vaativat myös toimittajiaan ja kumppaneitaan olevan vaatimustenmukaisia — GDPR:n kaltainen kaskadivaikutus
• Operatiivinen riski: viranomaiset voivat määrätä vaatimuksia täyttämättömän tekoälyjärjestelmän poistamisen markkinoilta tai kieltää sen käytön — mikä voi lamauttaa kriittisiä liiketoimintaprosesseja
• Oikeudenkäyntiriski: vaatimustenvastaisesta tekoälyjärjestelmästä kärsineet henkilöt voivat nostaa kanteen, liittyvine oikeudenkäyntikuluineen ja korvausvaatimuksineen