EU:n uusi tekoälysäädös (AI Act) on herättänyt paljon keskustelua kuluvana vuonna. Koska tekoälyjärjestelmät nojaavat vahvasti dataan niin kehitysvaiheessa kuin myöhemmin tuotantokäytössäkin, on tekoälyjärjestelmien kehittäjien ja käyttöönottajien syytä ymmärtää tekoälysäädöksen ja tietosuojasääntelyn, erityisesti EU:n yleisen tietosuoja-asetuksen (GDPR), välinen vuorovaikutus ja vaikutukset tekoälyjärjestelmille.

Alla on listattu viisi tärppiä tekoälysääntelyn ja tietosuojan välisestä osin monipolvisesta ja tulkinnanvaraisesta suhteesta, jotka jokaisen kehittäjän ja tekoälyjärjestelmän käyttöönottajan on syytä huomioida:

1) Tietosuojalainsäädäntö soveltuu yleensä tekoälyjärjestelmiin

Tietosuoja-asetuksen mukaan henkilötietona pidetään mitä tahansa tietoa, joka liittyy tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön. Henkilötiedon määritelmä on siten hyvin laaja: yksittäisestä tiedosta ei tarvitse suoraan tunnistaa henkilöä, vaan riittää, että tieto voidaan esimerkiksi yhdistää muihin tietoihin, jotka yhdessä johtavat henkilön tunnistamiseen. Kaikkien tunnistamisessa tarvittavien tietojen ei edes tarvitse olla saman tahon hallussa, vaan riittää, että tiedot on mahdollista kohtuudella yhdistää. Myös käsittely on terminä ymmärrettävä laajasti: käsittely tarkoittaa mitä tahansa henkilötietoihin kohdistettua aktiivista tai passiivista toimenpidettä, kuten esimerkiksi jo pelkästään henkilötietojen säilyttämistä.

Tekoälyjärjestelmät taas vaativat toimiakseen huomattavan paljon dataa koko niiden elinkaaren ajan, jolloin on varsin todennäköistä, että jossain kohtaa esimerkiksi koulutus-, validointi- tai testausdatan tai input- ja output-datan kautta datassa mukana on myös henkilötietoja. Jos mitä tahansa henkilötietoja sisältyy tekoälyjärjestelmillä käsiteltävään aineistoon, tulee tietosuojalainsäädäntö ja sen vaatimukset sovellettavaksi täysimääräisesti. Siten tietosuoja-asetuksen sääntely vaikuttaa merkittävästi myös tekoälysäädöksen soveltamiseen.

2) Tekoälysäädös ei muodosta käsittelyperustetta

Tietosuoja-asetuksen mukaan henkilötietojen käsittely edellyttää aina käsittelyperustetta. Ellei mikään asetuksen tunnistamista käsittelyperusteista sovellu (esim. sopimus, suostumus, oikeutettu etu ym.), ei henkilötietoja saa käsitellä. Yksi asetuksen mukainen käsittelyperuste on rekisterinpitäjän lakisääteisen velvoitteen noudattaminen.

Nopeasti voisikin ajatella, että kun tekoälysäädös asettaa kehittäjille ja käyttöönottajille erinäisiä velvoitteita muun muassa mahdollisten vinoutumien tai syrjinnän ehkäisemisestä, voitaisiin myös henkilötietoja käsitellä vedoten lakisääteisen velvoitteen noudattamiseen. Tekoälysäädös kuitenkin nimenomaisesti toteaa, että säädös ei itsessään ole oikeusperuste henkilötietojen käsittelylle, ellei toisin nimenomaisesti säädetä. Poikkeus tehdään esim. erityisten henkilötietoryhmien kohdalla, joiden osalta tekoälysäädöksessä todetaan, että suuririskisten tekoälyjärjestelmien vinoumien havaitsemiseksi ja korjaamiseksi erityisiin henkilötietoryhmiin kuuluvia tietoja saa tietyin edellytyksin käsitellä. Poikkeus koskee kuitenkin vain henkilötietoja, jotka kuuluvat erityisiin henkilötietoryhmiin ja vain suuririskisiä tekoälyjärjestelmiä.

3) Käyttötarkoitussidonnaisuus rajoittaa henkilötietojen jatkokäyttöä

Sen jälkeen, kun henkilötietojen käsittelylle on löydetty tietosuoja-asetuksen tunnistama käsittelyperuste, on syytä pitää mielessä myös tietosuoja-asetuksen yksi perusperiaatteista, eli käyttötarkoitussidonnaisuus. Sen mukaisesti kerättyjä henkilötietoja ei saa käsitellä myöhemmin alkuperäisen tarkoituksen kanssa yhteensopimattomalla tavalla. Toisin sanoen, jo olemassa olevia henkilötietoja ei voi myöhemmin käsitellä mihin tarkoitukseen tahansa, vaan se tarkoitus, jota varten tiedot on alun perin kerätty, rajoittaa jatkohyödyntämismahdollisuuksia. Jatkokäsittelyn yhteensopivuutta alkuperäisen tarkoituksen kanssa arvioidaan muun muassa sitä kautta, mitä rekisteröidyt ovat kohtuudella voineet olettaa käsittelyn pitävän sisällään. Tietosuojalainsäädäntö rajoittaa siten jo olemassa olevien datajoukkojen laajempaa hyödyntämistä, mikäli ne sisältävät henkilötietoja.

4) Tietojen minimointi: mitä vähemmän, sen parempi?

Tietosuojasääntely on tietyssä mielessä jo peruslähtökohdiltaan hyvinkin ristiriitainen datavetoisen tekoälykentän kanssa: kun tekoäly edellyttää toimiakseen hyvin mahdollisimman paljon ja mahdollisimman kattavaa ja laadukasta dataa, niin tietosuoja-asetus taas lähtee siitä, että henkilötietojen määrä tulee pyrkiä minimoimaan, eikä henkilötietoja saa säilyttää pidempään kuin mitä se tarkoitus, johon niitä käsitellään, edellyttää. Tietosuojasääntely ei siten mahdollista henkilötietojen keräämistä ja säilyttämistä ”varmuuden vuoksi” siltä varalta, että niille olisi jatkossa mahdollisesti tarvetta. Tietosuojalainsäädäntö vaikuttaa näin ollen osaltaan myös siihen, kuinka hyvin muun muassa koulutusdataa on saatavilla tekoälyjärjestelmiä varten ja tällä taas on vaikutus muun muassa siihen, kuinka toimivia, syrjimättömiä ja tarkkoja tekoälyjärjestelmistä saadaan.

5) Tietosuoja-asetus rajoittaa myös automaattista päätöksentekoa

Tietosuoja-asetus sääntelee myös automaattista päätöksentekoa. Asetuksen 22 artiklan mukaan rekisteröidyllä on oikeus olla joutumatta sellaisen päätöksen kohteeksi, joka perustuu pelkästään automaattiseen käsittelyyn ja jolla on häntä koskevia oikeusvaikutuksia tai joka vaikuttaa häneen vastaavalla tavalla merkittävästi. Profilointi on yksi automaattisen käsittelyn alakategorioista.

Kriteereitä on siis kaksi: käsittelyn tulee perustua ”pelkästään” automaattiseen käsittelyyn ja päätöksellä tulee lisäksi olla ”oikeusvaikutuksia tai muita vastaavia, merkittäviä vaikutuksia”. Tietosuoja-asetus ei määrittele automaattisuutta, eikä siten ole olemassa täysin yksiselitteistä vastausta siihen, kuinka suurta osuutta ihmiseltä edellytetään, jotta päätöstä ei enää pidetä automaattiseen käsittelyyn perustuvana. Selvää kuitenkin on, että ihmisellä tulisi olla tosiasiallinen mahdollisuus vaikuttaa päätökseen ja myös toimivalta muuttaa sitä, jotta ”pelkästään”-kriteeri ei täyttyisi. Oikeusvaikutusten osalta taas Euroopan tietosuojaviranomaisten yhteistoimielin Euroopan tietosuojaneuvosto EDPB on todennut, että kyse on henkilön laillisiin oikeuksiin, oikeudelliseen asemaan tai sopimusperusteisiin oikeuksiin vaikuttavista seikoista, esim. mikäli henkilöltä evätään sosiaalietu tai peruutetaan sopimus. Muista merkittävistä vaikutuksista esimerkkeinä on käytetty muun muassa online-luottohakemuksen epäämistä ja sähköistä rekrytointia.

Automaattinen päätöksenteko on siis tietosuoja-asetuksen mukaan lähtökohtaisesti kielletty, ellei joku ko. artiklan kolmesta poikkeuksista sovellu. Erityisten henkilötietoryhmien osalta on vielä omat, tiukemmat poikkeuksensa. Tiivistäen voidaan todeta, että poikkeukset ovat melko suppeita. Lisäksi vaikka automaattinen päätöksenteko olisikin sallittua poikkeusten nojalla, on rekisteröidyllä kuitenkin aina oikeus vaatia, että tiedot käsittelee luonnollinen henkilö ja rekisteröidyllä on oltava oikeus esittää kantansa ja riitauttaa päätös. Voitaneenkin todeta, että tosiasiassa tietosuoja-asetuksen sääntely rajoittaa merkittävästi mahdollisuuksia turvautua yksinomaan automaattiseen käsittelyyn perustuvaan päätöksentekoon.

---

Yhteenvetona voidaan siis todeta, että tekoälyjärjestelmät kietoutuvat monitahoisesti ja läheisesti yhteen tietosuojaan liittyvien kysymysten kanssa, mikäli tekoälyjärjestelmien yhteydessä käsitellään henkilötietoja. Kuten nykypäivänä kaiken dataliitännäisen toiminnan kohdalla, niin myös tekoälyjärjestelmien parissa toimivien tahojen onkin tärkeintä ensimmäisenä ymmärtää, mitä kaikkea dataa tekoälyjärjestelmän yhteydessä käsitellään ja millä perusteella. Vasta tämän selvittelyn jälkeen on mahdollista ryhtyä tarkemmin analysoimaan soveltuvaa lainsäädäntöä ja sen vaikutuksia omalle toiminnalle.

Tekoälyjärjestelmien(kään) kanssa ei siis pärjää vain yhdellä säädöksellä. Tekoälysäädöksen lisäksi tulee muistaa huomioida myös muu soveltuva lainsäädäntö, joka voi edellä esitetysti tuoda merkittäviä lisävaatimuksia tekoälyjärjestelmille ja niiden parissa toimiville tahoille.