Miltä kulunut vuosi näytti lainsäädäntötrendien osalta? Yritysvastuusääntely tiukkeni niin ympäristöön kuin ihmisoikeuksiin liittyvissä kysymyksissä, kun taas digisääntely kehittyi tekoälyn, alustatalouden ja kyberturvallisuuden haasteiden myötä. Työmarkkinoilla tapahtui muutoksia erityisesti joustavuuden lisäämiseksi työpaikoilla. Samalla tietosuojasakot nousivat entistä näkyvämpään rooliin, mikä korostaa organisaatioiden velvollisuutta huolehtia henkilötietojen käsittelystä.
Lue alta Folksin tarkempi koonti kuluneesta vuodesta.
Yhtiöoikeudellisen sääntelyn keskiössä kestävyys ja vastuullisuus
Kuluneen vuoden teema yhtiöoikeudellisessa sääntelyssä on ollut vastuullisuus. Keväällä saavutettiin EU-tason sovinto yritysvastuudirektiivistä. Direktiivi tulee panna täytäntöön Suomessa kesään 2026 mennessä. Lisäksi kestävyysraportointidirektiiviin liittyvät raportointivelvollisuudet alkavat vaikuttaa jo tulevan vuoden osalta suurimpiin pörssiyhtiöihin. Vaikka molempien direktiivien pääasiallinen kohderyhmä ovat suuret yritykset, tulevat sääntelyn heijastevaikutukset näkymään todennäköisesti myös suurten yritysten alihankkijoissa, koska raportointivelvoitteet kattavat yrityksen lisäksi niiden toimitusketjua. Tämän vuoksi uudella sääntelyllä tulee todennäköisesti olemaan heijastevaikutuksia yleisiin sopimuskäytäntöihin ja esimerkiksi due diligence –tarkastuksiin, joissa tulee tunnistaa edellä tarkoitetusta sääntelystä johtuvat velvoitteet osana toimitusketjua.
Myös osakeyhtiölakia uudistettiin hallituskokoonpanoihin liittyvien vaatimusten osalta. Osakeyhtiölaki sisältää nyt raja-arvot ylittäviä pörssiyhtiöitä koskevan sukupuolikiintiön yhtiön hallituksen jäsenten osalta. Tämän muutoksen ja kestävyysraportointidirektiivin täytäntöönpanon johdosta myös pörssiyhtiöitä koskevaa hallinnointikoodia päivitettiin vastaamaan sukupuolikiintiövaatimusta sekä kestävyysraportointisääntelyä.
Pörssiyhtiöitä koskeva markkinoiden väärinkäyttöasetus päivittyi joulukuun alussa. Päivityksen johdosta johtohenkilöiden liiketoimien ilmoittamisen kynnystä nostettiin Suomessa aiemmasta 5 000 eurosta 20 000 euroon.
Yrityskaupparintamaa leimaa edelleen yleisen kustannustason noususta johtuva epävarmuus, joka näkyy pitkittyneinä prosesseina. Vuoden loppua kohden on havaittavissa pientä kajoa tunnelin päässä ja toivon mukaan ensi vuonna yrityskauppojen tahti vilkastuu entiselle tasolleen.
Kohti tiukempaa digitaalista vastuullisuutta
Vuosi 2024 toi mukanaan merkittäviä edistysaskeleita EU:n digitaalisen sääntelyn kentällä. Erityisen huomion kohteena oli elokuussa voimaantullut tekoälyasetus (AI Act). Tekoälyasetus asettaa globaalisti tarkastellen ainutlaatuiset raamit tekoälyjärjestelmien kehittämiselle, käyttöönotolle ja valvonnalle. Riskiperusteinen lähestymistapa määrittelee tekoälyn käytön sallittavuuden ja sovellettavat vaatimukset tekoälyjärjestelmän potentiaalisten vaikutusten perusteella.
Digipalvelusäädöksen (Digital Services Act, DSA) vaikutukset laajenivat vuonna 2024, kun säädöstä alettiin alkuvuodesta soveltaa täysimääräisesti. Digipalvelusäädös on vaikuttanut laajamittaisesti digipalveluntarjoajien toimintamalleihin asettamalla velvoitteita esimerkiksi käyttäjien toimittaman sisällön moderointiin liittyen. Alkuvuodesta voimaan tuli myös datasäädös (Data Act), jonka tarkoituksena on mahdollistaa datan oikeudenmukainen jakautuminen vahvistamalla selkeät ja oikeudenmukaiset säännöt dataan pääsylle ja sen käytölle.
Vuoden aikana myös kyberturvallisuus nousi entistä enemmän keskiöön NIS2-direktiivin myötä, jota sovelletaan laajasti erilaisiin toimialoihin. Vaikka NIS2-direktiivin kansallinen toimeenpano viivästyi, velvoitteisiin varautuminen on monessa yrityksessä jo aloitettu muun muassa riskienhallintaa, tietoturvapoikkeamien raportointia ja kyberturvallisuusstrategioita koskevien prosessien läpikäynnillä. Toisena merkittävänä kyberturvallisuussäädöksenä vuonna 2024 tuli voimaan DORA-asetus, jonka tavoitteena on suojella EU:n finanssijärjestelmää kasvavilta kyberuhilta ja vahvistaa luottamusta digitaalisiin palveluihin kriittisellä sektorilla. Finanssialan toimijoiden lisäksi DORA-asetus vaikuttaa myös ICT-palveluntarjoajiin, jotka tuottavat palveluita finanssialan toimijoille.
Vuosi 2024 osoitti, että EU:ssa sääntelyä kehitetään kiihtyvällä tahdilla vastaamaan nopeasti muuttuvaa teknologista ympäristöä. Tasapainon löytäminen tarpeettoman raskaiden velvoitteiden ja vastuullisen liiketoiminnan turvaamiseksi tarpeellisen sääntelyn välillä on osoittautunut ajoittain haastavaksi. Uuteen sääntelyyn liittyvät epäselvyydet tulevat toivottavasti lähivuosina selkeytymään, kun tulkintakäytäntöä alkaa muodostua.
Tavoitteena ketterämmät työmarkkinat
Vuosi 2024 on pitänyt sisällään useita, erityisesti kollektiivista työlainsäädäntöä koskevia muutoshankkeita. Kuluvan vuoden kevättä värittivätkin laajat poliittiset lakot eri työpaikoilla, joilla työntekijäpuoli vastusti hallituksen kaavailemia uudistuksia.
Toukokuussa tuli voimaan rajoituksia perinteiseen työtaisteluoikeuteen. Jatkossa myötätuntolakoilla, eli varsinaisen työehtosopimusriidan työntekijöitä tukevilla lakoilla ei saisi olla suhteettomia vaikutuksia kohteena olevan työnantajan liiketoimintaan. Samoin poliittisten työnseisausten kestoa rajoitettiin vuorokauteen ja muiden poliittisten työtaistelutoimien kestoa kahteen viikkoon.
Työehtosopimuksiin perustuva paikallinen sopiminen laajenee myös järjestäytymättömille työpaikoille, jolloin paikallisen sopimisen joustot ovat jatkossa mahdollisia kaikilla kyseisen työehtosopimuksen velvoittamilla työpaikoilla. Uusi sääntely tuo siten yleissitovuuden nojalla työehtosopimusta soveltavat työpaikat samalle viivalle kuin liittoon kuuluvat, ja lisäksi jatkossa paikallista sopimista voitaisi hyödyntää myös yrityskohtaisissa työehtosopimuksissa.
Myös yhteistoimintalakiin esitetään huomionarvoisia muutoksia, jotka höllentäisivät pienten ja keskisuurten työnantajien yhteistoimintavelvoitteita. Lain yleisen soveltamisalan nosto tarkoittaisi selkeitä kevennyksiä alle 50 työntekijän työpaikoille, kun esimerkiksi vuoropuhelua voitaisiin käydä nykyistä työpaikkakohtaisemmin, ja samoin muutosneuvotteluita tulisi käydä huomattavasti rajatummissa tilanteissa. Myös työvoiman vähentämistä koskevien vähimmäisneuvotteluaikojen rajaaminen puoleen nykyisistä olisi merkittävä muutos nykyiseen sääntelyyn, jonka myötä työpaikat voivat reagoida ripeämmin mahdollisiin muutostilanteisiin. Lakimuutosten olisi tarkoitus tulla voimaan 2025 kesällä.
Kiistanalainen vientivetoinen palkkamalli etenee parhaillaan eduskunnassa. Lailla on tarkoitus säätää valtakunnan sovittelijan toimintavaltuuksista tilanteessa, jossa työmarkkinaosapuolet eivät pääse keskenään sopuun sopimuskauden palkankorotuksista. Tämä tarkoittaisi sovittelijan ehdottamien palkankorotusten sitouttamista niin sanottuun yleiseen linjaan, jossa palkankorotusten taso on melko vakiintuneesti määrittynyt isojen vientialojen palkkaratkaisujen mukaan.
Kuluneena vuonna työmarkkinakentällä on myllertänyt ja suomalaisen työelämän nykytilasta ja tulevaisuudesta on käyty laajaa poliittista keskustelua. Alkavana vuonna myöskään tuskin vältytään työmarkkinaväännöiltä, kun hallituksen lakihankkeet muun muassa henkilöperusteisen irtisanomisen osalta etenevät ja kevään työehtosopimuskierros pääsee kunnolla vauhtiin.
Tietosuojassa puhuttaa evästeet ja generatiivinen tekoäly
Tietosuojakentän vuotta 2024 on leimannut jälleen evästeiden käyttö ja kohdennettu mainonta. Suomessa Traficom on useissa päätöksissään tehnyt selväksi, että vapaaehtoisten evästeiden asettaminen edellyttää aktiivista suostumusta, joka on pystyttävä antamaan helposti jo evästebannerin ensimmäisellä ruudulla. Euroopan tietosuojaneuvosto (EDPB) on tarkastellut erityisesti suurten verkkoalustojen ”maksa tai suostu” -malleja, ja todennut, etteivät ne yleensä täytä pätevän suostumuksen vaatimuksia, jos käyttäjien annetaan valita ainoastaan kahdesta vaihtoehdosta, eli siitä, suostuvatko he henkilötietojen käsittelyyn kohdennettua mainontaa varten vai maksavatko he siitä, että heidän henkilötietojaan ei käytetä tällaiseen mainontaan. Elinkeinoelämä on kritisoinut linjausta todeten, että se jättää yksityisyydensuojan rinnalla se toisen perusoikeuden, elinkeinovapauden, huomioimatta. EDPB on julkaisemassa seuraavaksi muita kuin suuria verkkoalustoja koskevan ohjeistuksen ”maksa tai suostu” -malleihin liittyen.
Myös generatiivinen tekoäly on puhuttanut tietosuojayhteisöä. Keskeinen kysymys on ollut, mitä GDPR:n mukaista oikeusperustetta voidaan käyttää, kun käsitellään henkilötietoja tekoälymallien koulutusta varten, esim. kun tietoja crawlataan verkkosivustoilta tai sosiaalisen median palveluista. Iso-Britannin tietosuojaviranomainen ICO ja Ranskan tietosuojaviranomainen CNIL ovat julkaisseet ohjeistuksia, joissa viitataan oikeutettuun etuun käsittelyperusteena edellyttäen, että tavoiteltu etu on lainmukainen, ja käsittely on tarpeen tuon laillisen tarkoituksen toteuttamiseksi, eivätkä rekisteröidyn perusoikeudet ja -vapaudet syrjäytä tavoiteltua oikeutettua etua. EPDB:n ChatGPT työryhmä ei ottanut käsittelyn oikeusperusteeseen selkeää kantaa raportissaan, mutta linjaa yleisesti oikeutettua edun käyttämistä käsittelyperusteena lokakuussa julkaistussa ohjeistuksessaan.
Tietosuojasakot eivät jääneet tänäkään vuonna vähäisiksi. Irlannin tietosuojaviranomainen antoi LinkedInille 310 MEUER sakot, sillä LinkedIn ei ollut pyytänyt käyttäjiltään pätevää suostumusta mainonnan kohdentamiseen. Hollannin tietosuojaviranomainen taas antoi Uberille 290 MEUR sakot sen siirrettyä henkilötietoja Yhdysvaltoihin ilman asianmukaista perustetta. Meta sai 91 MEUR sakot käsiteltyään käyttäjien salasanoja huolimattomasti selkokielisenä sisäisissä järjestelmissään. Komission raportti GDPR:n soveltamisesta ja toimivuudesta kertoo, että Suomessa sakkoja on annettu jäsenmaista kolmanneksi vähiten. Raportti myös nostaa esiin, että tietosuojalainsäädännön soveltamisessa on yhä havaittu hajanaisuutta EU-maiden välillä, että tulevina vuosina tulisi keskittyä lisäämään tietosuoja-asetuksen yhdenmukaista tulkintaa entisestään. Myös EU:n uuden digi- ja datasääntelyn yhtenäinen soveltaminen edellyttää viranomaisten toimivaa yhteistyötä.
Tervetuloa 2025!
Digitalisaatio ja globalisaatio haastoivat lainsäätäjiä kuluneena vuonna, ja näemme varmasti saman trendin jatkuvan myös tulevina vuosina. Tilaa Folks Fokus ja Folksin uutiskirje, niin pysyt jatkossakin kartalla keskeisistä organisaatioihin vaikuttavista muutoksista. Pääset tilaamaan uutiskirjeen täältä.
Folks toivottaa kaikille rentouttavaa joulunaikaa ja iloista uutta vuotta!
Tekoäly on nopeasti muuttamassa liiketoiminnan maisemaa, tuoden mukanaan ennennäkemättömiä mahdollisuuksia ja tehokkuusparannuksia. Tekoälyjärjestelmien käyttöönottoon liittyvän innostuksen keskellä ei tule kuitenkaan unohtaa järjestelmien käyttöä koskevia sopimuksia. Sopimusehdot on syytä laatia huolella ennen käyttöönottoa. Tekoälyjärjestelmiä koskeville sopimuksille ei ole vielä muodostunut selkeää markkinakäytäntöä, mikä tuo omat haasteensa tekoälyjärjestelmistä sopimiselle. Näkökulmia voi osaksi hakea vakiintuneista IT-alan sopimuskäytännöistä, minkä lisäksi sopimusten laadinnassa on huomioitava tekoälyjärjestelmien erityispiirteet sekä hiljattain voimaantullut EU:n tekoälysäädös.
Tässä blogikirjoituksessa pohdimme muutamia keskeisiä kysymyksiä, jotka on syytä esittää, kun tekoälyjärjestelmästä ollaan sopimassa tarjoajan ja käyttäjäorganisaation välillä.
Millaisesta järjestelmästä on kyse ja mihin tekoäly perustuu?
Kun puhumme tekoälyjärjestelmistä, on ensinnäkin olennaista ymmärtää, mitä termillä oikeastaan tarkoitetaan. Usein kuulemme puhuttavan tekoälystä, vaikka todellisuudessa kyse saattaa olla perinteisemmästä robotiikasta tai automaatiosta. Tekoäly eroaa näistä siinä, että se ei pelkästään suorita ennalta määriteltyjä tehtäviä, vaan esimerkiksi oppii ja mukautuu annettujen tietojen perusteella sekä tekee päätöksiä ja ennusteita itsenäisemmin.
Tekoälyjärjestelmä tarkoittaa yleensä ohjelmistototeutusta, joka hyödyntää tekoälymallia osana kokonaisratkaisua. Tällainen järjestelmä yhdistää tekoälymallin, joka pystyy käsittelemään ja ymmärtämään sille syötettyä aineistoa, sitä hyödyntävän ohjelmiston kanssa, joka mahdollistaa tekoälyn käytön määritettyihin liiketoiminnan tarpeisiin. Tekoälymalli voi olla esimerkiksi avoin kielimalli, kuten ChatGPT:n taustalla toimiva GPT-4, joka kykenee tuottamaan inhimillistä tekstiä ja analysoimaan laajalti erilaisia tietoja.
Millainen taustalla olevan tekoälymallin sopimusketju on?
Yksi keskeinen kysymys on, kumpi osapuoli hankkii tarvittavat lisenssit järjestelmän taustalla olevaan tekoälymalliin, mikäli kyse ei ole järjestelmän tarjoajan omasta tekoälymallista. Tämä voi vaihdella järjestelmästä ja osapuolten preferensseistä riippuen. Sopimuksessa on olennaisen tärkeää kuvata osapuolten vastuut tekoälymallin osalta, jotta vältetään mahdolliset aukot sopimusketjussa.
Jos tekoälymallin lisenssit hankkii järjestelmän tarjoaja, eikä käyttäjäorganisaatio tee erillistä sopimusta lisensoijan kanssa, sopimusketjun eheyden varmistamiseksi järjestelmän tarjoajan on lähtökohtaisesti perusteltua vastata tekoälymallista suhteessa käyttäjäorganisaatioon. Järjestelmän tarjoajalla ei kuitenkaan välttämättä ole käytännössä mahdollisuutta vaikuttaa tekoälymallin toimintaan tai sovellettaviin lisenssiehtoihin, jolloin tekoälymalli tarjotaan tyypillisesti lisensoijan omien lisenssiehtojen mukaisesti.
Jos sen sijaan käyttäjäorganisaatio tekee itse sopimuksen tekoälymallista suoraan lisensoijan kanssa, tekoälymallia koskevat vastuut eivät lähtökohtaisesti kulje tekoälyjärjestelmän tarjoajan kautta vaan suoraan lisensoijan ja käyttäjäorganisaation välillä. Lisenssiehtojen sisällön näkökulmasta näillä kahdella mallilla ei välttämättä ole suurta eroa, mikäli lisensoija tarjoaa tekoälymallin organisaatiosta riippumatta vakiolisenssiehdoillaan. Tästä huolimatta on tärkeää ymmärtää ja sopia selkeästi, miten tekoälymallia koskeva sopimus- ja vastuuketju muodostuu. Joissain tapauksissa voi olla niinkin, että kumpikin osapuoli hankkii erikseen tarvitsemansa lisenssit tekoälymalliin.
Huomionarvoista on myös, että tekoälysäädös tulee asettamaan yleiskäyttöisten tekoälymallien tarjoajille sopimusehdoista ja sopimusketjusta riippumattomia velvoitteita. Yleiskäyttöisen tekoälymallin tarjoajalla tulee olemaan esimerkiksi velvollisuus asettaa tekoälyjärjestelmän tarjoajan saataville tekoälymallia koskevaa ajantasaista dokumentaatiota, jotta tekoälyjärjestelmän tarjoaja pystyisi noudattamaan omia tekoälysäädöksen mukaisia velvoitteitaan.
Millaista dataa tekoälyjärjestelmä hyödyntää?
Tekoälyjärjestelmien tehokkuus ja hyödyllisyys perustuvat pitkälti niiden käyttämään dataan. Siksi on tärkeää ymmärtää, kenen omistamaa dataa järjestelmä hyödyntää ja millä tavoin. Tekoäly voi hyödyntää useita erilaisia datalähteitä, kuten julkisia tietovarantoja, järjestelmän tarjoajan omia tietokantoja tai käyttäjäorganisaation tuottamaa dataa. Näiden datalähteiden käyttöön liittyy useita kysymyksiä, jotka on otettava huomioon sopimusta laadittaessa.
Käyttäjäorganisaation oman datan käyttö voi tuoda merkittävää lisäarvoa, mutta samalla se nostaa esiin kysymyksiä käyttöoikeuksien laajuudesta, tietosuojasta ja tietoturvasta. Sopimuksessa on tyypillisesti tarpeen muun muassa määritellä, että asiakas säilyttää omistajuuden omaan dataansa ja järjestelmän tarjoaja käyttää dataa ainoastaan järjestelmän tarjoamiseksi sopimuksen mukaisesti. Epäselvyyksien välttämiseksi on suositeltavaa sopia myös nimenomaisesti, missä laajuudessa järjestelmän tarjoajalla on oikeus hyödyntää käyttäjäorganisaation dataa tekoälyn kouluttamiseksi, ja päättyykö kyseinen oikeus sopimuksen päättyessä.
Tekoälyjärjestelmä saattaa hyödyntää myös kolmansilta osapuolilta hankkimaa dataa. Tällöin on tärkeää varmistaa, että käytettävä data on laillisesti hankittua ja sen käyttöön on asianmukaiset luvat. Erityisesti avoimia kielimalleja hyödynnettäessä tekoälyjärjestelmät saattavat käyttää myös hakukoneiden kautta julkisista lähteistä löytyvää dataa. Tällöin on syytä ymmärtää, että jo lähtödata itsessään voi olla esimerkiksi virheellistä, epäasiallista, immateriaalioikeuksia loukkaavaa tai syrjivää. Tekoälysäädös tulee osaltaan tuomaan jonkinlaista selkärankaa dataan liittyvien kysymysten osalta esimerkiksi asettamalla yleiskäyttöisten tekoälymallien tarjoajille velvoitteita immateriaalioikeuksia koskevan lainsäädännön noudattamiseen liittyen sekä tekoälymallin koulutuksessa käytetystä sisällöstä tiedottamisen osalta. Kovin vankkaa tai yksiselitteistä turvaa kyseiset velvoitteet eivät kuitenkaan todennäköisesti tuo.
Suuririskisten tekoälyjärjestelmien osalta myös tekoälyjärjestelmän tarjoajalla tulee tulevaisuudessa olemaan suoraan lainsäädännön nojalla datanhallintaan liittyviä velvoitteita, jotka auttavat mitigoimaan muun ohella edellä viitattuja dataan liittyviä riskejä. Mikäli sopimuksen kohteena on sen sijaan järjestelmä, jota ei luokitella suuririskiseksi tekoälyjärjestelmäksi, tekoälysäädös ei aseta juurikaan velvoitteita datanhallinnan osalta, eli sopimukseen määritetyt ehdot toimivat jatkossakin lähtökohtaisesti ainoana turvana osapuolten näkökulmasta.
Mitä immateriaalioikeuksien osalta on huomioitava?
Immateriaalioikeuksien osalta tekoälyjärjestelmiin liittyy useita huomionarvoisia näkökulmia. Edellä sivusimme jo tekoälyjärjestelmän hyödyntämän aineiston oikeuksiin liittyviä kysymyksiä, mutta sen lisäksi sopimuksessa on sovittava varsinaisen tekoälyjärjestelmän käyttöoikeuksista. Ellei kyse ole täysin asiakaskohtaisesti tilatusta järjestelmästä, jonka immateriaalioikeudet käyttäjäorganisaatio haluaa itselleen, järjestelmän tarjoajan ja käyttäjäorganisaation välisessä sopimuksessa on sovittava, millainen käyttöoikeus tekoälyjärjestelmään myönnetään. Tältä osin asiaa voisi hahmottaa pitkälti samoin kuin perinteisempienkin järjestelmien osalta. Myös tekoälyjärjestelmän käyttöoikeuksien osalta on tyypillisesti tarpeen määritellä tutut peruselementit, kuten esimerkiksi voimassaoloaika, siirrettävyys, mahdollinen konserninlaajuisuus sekä muut käyttöoikeuden ulottuvuudet ja rajoitukset.
Lisäksi immateriaalioikeuksiin liittyen on tarpeen sopia, kuka omistaa tekoälyjärjestelmän generoimat tulokset ja/tai millainen käyttöoikeus niihin myönnetään. Tekoälyjärjestelmän hyödyntämän aineiston alkuperä saattaa osaltaan vaikuttaa siihen, mitä tulosten immateriaalioikeuksista on mahdollista ja perusteltua sopia. Myös tekoälyjärjestelmän taustalla hyödynnettävän tekoälymallin käyttöehdot saattavat joissain tapauksissa määrittää, että immateriaalioikeudet tuloksiin kuuluvat tekoälymallin kehittäjälle.
Immateriaalioikeuksien osalta on väistämätöntä kiinnittää huomiota myös immateriaalioikeuksien loukkauksiin liittyviin riskeihin, jotka ovat olleet paljon esillä myös julkisessa keskustelussa. Tältä osin asiaa voisi hahmottaa siten, että varsinaisen tekoälyjärjestelmän osalta järjestelmän kehittäjän on perusteltua vastata yleisen käytännön mukaisesti siitä, että järjestelmä itsessään ei loukkaa kolmannen osapuolen immateriaalioikeuksia. Järjestelmän generoimien tulosten osalta kysymys on huomattavasti haastavampi. Tätä kysymystä arvioitaessa merkitystä on muun muassa sillä, millaista ja kenen tarjoamaa aineistoa tekoälyjärjestelmä hyödyntää. Vastuunjaon lisäksi osapuolten on suositeltavaa arvioida myös käytettävissä olevia keinoja riskien mitigoimiseksi; riskejä voidaan mitigoida esimerkiksi sillä, että järjestelmän tuottamia tuloksia ei hyödynnetä laajamittaisesti sellaisenaan, vaan ainoastaan pienemmissä määrin muun työn tukena.
Miten tekoälyjärjestelmän tuottamat tulokset validoidaan?
Mikäli kyse on suuririskisestä tekoälyjärjestelmästä, järjestelmän tarjoajalla tulee olemaan tekoälysäädöksen nojalla velvollisuus suunnitella ja kehittää järjestelmä riittävän avoimeksi, jotta käyttäjäorganisaatio voi tulkita järjestelmän tuloksia ja käyttää niitä asianmukaisesti. Suuririskisen tekoälyjärjestelmän tarjoajilla tulee lisäksi olemaan velvollisuus antaa käyttäjäorganisaatiolle käyttöohjeiden osana tietoja, jotka tukevat käyttäjäorganisaatiota järjestelmän tulosten tulkitsemisessa.
Suurimmassa osassa tapauksista järjestelmä ei kuitenkaan luokitu suuririskiseksi tekoälyjärjestelmäksi, jolloin yllä viitatut tekoälysäädöksessä kuvatut velvoitteet eivät sovellu. Silloin kun kyse on vähäisemmän riskin tekoälyjärjestelmän hankinnasta, jää jatkossakin sopimuksen määritettäväksi, millä keinoin järjestelmän tarjoaja on velvollinen tukemaan käyttäjäorganisaatiota järjestelmän tulosten validointiin liittyen. Toki myös suuririskisten järjestelmien osalta voi olla aiheellista sopia myös jatkossa tekoälysäädöstä täydentävästi järjestelmän tulosten validointiin liittyvistä vastuista ja mekanismeista, jotka auttavat mitigoimaan mahdollisia järjestelmän käytöstä aiheutuvia virheitä ja vahinkoja.
On hyvä huomioida, että tulosten validointia koskevat sopimusehdot ovat osaltaan olennaisessa roolissa arvioitaessa esimerkiksi sitä, millainen vahingonkorvausvastuu tekoälyjärjestelmän tarjoajalla on tilanteessa, jossa tekoälyjärjestelmä tekee virheen.
Millaisia vastuita lainsäädännöstä seuraa?
Huomioiden erityisesti uusi tekoälysäädös, tekoälyjärjestelmää hankittaessa osapuolten on tärkeää ymmärtää ensinnäkin kyseisen tekoälyjärjestelmän riskiluokka ja toisekseen osapuolten roolit tekoälyn arvoketjussa.
Kuten todettu, suuririskisten tekoälyjärjestelmien osalta tekoälysäädös asettaa useita vaatimuksia. Tekoälysäädöksen sanamuodon mukaan järjestelmän tarjoaja tulee vastaamaan siitä, että suuririskinen tekoälyjärjestelmä on kyseisten vaatimusten mukainen. Suuririskisen tekoälyjärjestelmän osalta myös käyttöönottajalla tulee olemaan tekoälysäädöksessä nimenomaisesti määritettyjä vastuita. Tällöin lainsäädäntö itsessään tuo siis tulevaisuudessa molemmille osapuolille turvaa ja raameja myös sopimussuhteeseen. Suuririskisten tekoälyjärjestelmien osalta on syytä huomata lisäksi, että tekoälyjärjestelmän arvoketjussa voi olla useampia erilaisia toimijoita, joille on kullekin asetettu tekoälysäädöksessä velvoitteita. Tällaisia toimijoita ovat esimerkiksi maahantuojat ja jakelijat. Osapuolten on tärkeää tunnistaa omat ja toistensa roolit arvoketjussa sekä huomioida ne oikein myös sopimusketjussa.
Vähäisemmän riskin järjestelmille ja niitä toimittaville ja käyttäville osapuolille lainsäädäntö ei sen sijaan aseta juurikaan raameja. On siis hyvä tunnistaa ja huomioida, että tällöin sopimuksen rooli korostuu myös jatkossa, sillä osapuolten turvana toimivat ennen kaikkea sopimukseen kirjatut ehdot.
Lainsäädäntöön perustuvien vaatimusten osalta yksi huomionarvoinen näkökulma on myös kysymys siitä, miten lainsäädännön aiheuttamat muutostarpeet järjestelmään käsitellään osapuolten välisessä sopimussuhteessa. Tässä kysymyksessä korostuu erityisesti kaupallinen näkökulma – kuka vastaa muutosten aiheuttamista kustannuksista? Regulaatiovastuu on sopimusneuvottelujen ikivihreä aihe, jossa riittää argumentteja puolin ja toisin. Esimerkiksi tietosuoja-asetuksen osalta on nähty, että edes kuuden vuoden kuluessa sen voimaantulosta ei ole saavutettu kovinkaan selkeää konsensusta siitä, millä tavoin tietosuojalainsäädännön muutoksia koskevat vastuut tulisi jakaa järjestelmähankintoja koskevissa sopimuksissa. Myös tekoälyä koskevan lainsäädännön osalta on todennäköisesti odotettavissa samanlaista keskustelua.
Yleisemmän lainsäädäntöön liittyvän muutoshallinnan osalta sopimusta laadittaessa on lisäksi tärkeää huomioida, että vaikka tekoälysäädös tuli voimaan 1.8.2024, siinä kuvattujen vaatimusten ja velvoitteiden soveltaminen alkaa asteittain vasta myöhemmin. Esimerkiksi suuririskisiä tekoälyjärjestelmiä koskevia velvoitteita aletaan soveltaa vasta 36 kuukauden kuluttua tekoälysäädöksen voimaantulosta. Näin ollen jää osapuolten sovittavaksi, missä laajuudessa tekoälysäädöksen velvoitteita mahdollisesti sovelletaan sopimussuhteessa jo siirtymäaikana, ja millaisia vaikutuksia velvoitteiden voimaantulolla on sopimusosapuolten välillä. Tämä on olennainen kysymys erityisesti pidemmissä sopimussuhteissa. Jos tekoälyjärjestelmä ja sen tarjoajan toiminta eivät vielä lähtötilanteessa vastaa tekoälysäädöksen vaatimuksia, millaisia vaikutuksia vaatimusten toteuttamisella tulee olemaan sopimussuhteen aikana esimerkiksi käyttäjäorganisaatiolta perittäviin maksuihin?
Lopuksi
Myös tämän blogitekstin kirjoittamisessa on käytetty osa-aikaisena työkaverina tekoälyä (ChatGPT). Ylätason bulkkitekstien tuottamisessa yleiskäyttöinen tekoälytyökalu itsessään on jo ihmisen veroinen, mutta Folksin sisältö- ja laatukriteerejä tuotokset eivät tässä tapauksessa täyttäneet. Tilanne voisi olla toinen, jos kirjoittamisessa olisi hyödynnetty Folksin tarpeisiin sovitettua tekoälyjärjestelmää. Tällöin Folksin ja tekoälyjärjestelmän tarjoajan välisessä sopimuksessa olisi toivottavasti huomioitu edellä käsittelemämme näkökulmat muun muassa sen varmistamiseksi, että tekoälyjärjestelmä ei syötä ulos toisessa toimistossa työskentelevältä kollegalta kopioitua tekstiä tai yksinomaan tekoälyjärjestelmän tarjoajan omia etuja ajavia näkökulmia.
Autamme mielellämme tarkemmin tekoälysopimuksiin ja tekoälysääntelyyn liittyvissä kysymyksissä!
Katri Aarnio
Counsel
050 306 2031
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Viestintätoimisto Kaiku haastatteli toimitusjohtajaamme Anttia tekoälyn käyttöön liittyvistä juridisista haasteista.
Tekoälyn käyttö läpi toimialojen yleistyy kiihtyvällä tahdilla. Tekoälyn turvallinen käyttö edellyttää, että tekoälyyn liittyvät juridiset riskit tunnistetaan. Antti muistuttaa, että tekoälyn käytön yhteydessä on syytä kiinnittää huomiota muun muassa tekijänoikeuksiin ja liikesalaisuuksien suojaan.
Lue Antin vinkit tekoälyn käyttämiseen Viestintätoimisto Kauin sivuilta ladattavasta kehotemuotoiluoppaasta. Antin haastattelu on luettavista sivulla 32 alkaen.
