Tärkeimmät dataa ja tekoälyn hyödyntämistä säätelevät lait ovat tietosuoja-asetus (4), sekä automaattista päätöksentekoa koskeva laki (7), (8), sekä tekoälyasetus (5). Lainsäädännön tarkoituksena on suojella kansalaisten perusoikeuksien toteutumista. Tavoitteena on taata kansalaisten yksityisyyden suoja henkilötietojen käsittelyn yhteydessä, sekä varmistaa, että mahdolliset päätökset ovat oikeudenmukaisia. Alla kuvatussa taulukossa on kuvattu tärkeimmät käytettävien tietolähteiden määrittelyä koskevat ohjeet.
Taulukko 4: Ohjeita tekoälyjärjestelmien hyödyntämien tietoaineistojen määrittelyyn.
Aihe | Tietolähteiden määrittelyä koskevat ohjeet |
|---|---|
Tietolähteiden kuvaaminen | Kuvaa määrittelyssä, hyödynnetäänkö organisaation omia tietovarantoja, tietoluvan edellyttämiä ulkoisia aineistoja vai esimerkiksi avoimia tietolähteitä. |
Henkilötiedot, tietosuoja-asetus | Kuvaa määrittelyssä, hyödynnetäänkö järjestelmässä henkilötietoja. Kuvaa tietolähteet ja tietosisällöt. Kuvaa määrittelyssä, mikäli henkilötietojen käyttämiseen on olemassa rekisteröityjen suostumus.
Määrittelyn tulee kuvata tietosuoja-asetuksen minimiperiaatteen ja oletusarvoisen ja sisäänrakennetun tietosuojan toteuttaminen.
Huomioi, että henkilötietoja käytettäessä määrittelyvaiheessa on toteutettava tietosuoja-asetuksessa vaadittava vaikutusten arviointi riskiarvioineen. |
Tietojen elinkaari | Kuvaa määrittelyssä, onko tietojen hyödyntäminen kertaluoteista vai jatkuvaluonteista, ja miten tietojen elinkaarenhallinta toteutetaan. |
Henkilötietorekisterin syntyminen | Tietojen kerääminen ja käsittely saattavat johtaa uuden henkilötietorekisterin syntymiseen. Määrittelyn on otettava kantaa mahdollisen henkilötietorekisterin syntymiseen ja siihen liittyviin vastuisiin. |
Oikeusperuste | Organisaatio voi hyödyntää dataa, henkilötietoja ja uusia teknologioita lakisääteistä tehtävää suorittaessaan. Määrittelyvaiheessa on pyrittävä tunnistamaan lainkohdat, jonka perusteella tietoja käytetään ja tekoälyratkaisua kehitetään. Jos käsittely perustuu rekisteröityjen suostumukseen, määrittelyssä on varmistuttava, että käyttötarkoitus vastaa suostumuksen sisältöä. |
Tekoälyä hyödyntävien järjestelmien lainmukaisuus ei liity pelkästään käytettyihin tietoaineistoihin, vaan myös vahvasti tekoälyratkaisujen käyttötarkoituksiin. Alla olevassa taulukossa on kuvattu ohjeita koskien tekoälyjärjestelmän käyttötarkoituksen määrittelemistä.
Taulukko 5: Ohjeita tekoälyjärjestelmän käyttötarkoituksen määrittelyyn.
Aihe | Tietojen käyttötarkoituksen määrittelyä koskevat ohjeet |
|---|---|
Millä tasolla tietoja hyödynnetään? | Jos tavoitteena on analysoida tiedoista ilmiöitä tai ymmärtää asiakkaita yleisesti, kyseessä on strateginen käyttötarkoitus. Tässä tapauksessa tuotetaan aggregoitua tai tilastollista tietoa, jota ei jälkikäteen voida yhdistää yksittäisiin henkilöihin.
Jos tavoitteena on hyödyntää henkilötietoja esim. asiakasmassaa koskevien käsittelyprosessien, asianhallinnan tai vastuiden sujuvoittamiseksi, kyseessä voi olla taktinen käyttötarkoitus. Tällöin järjestelmässä ei tehdä päätöksiä yksittäisistä asioista, vaan pyritään sujuvoittamaan prosesseja.
Jos tavoitteena on hyödyntää tietoja yksittäisen henkilön tilanteen käsittelyssä tai päätöksenteossa, kyseessä on operatiivinen käyttötarkoitus. Operatiivisessa päätöksenteossa ihmisen ja järjestelmän roolit kuvattava mahdollisimman tarkasti.
Määrittelyssä on kuvattava, millä tasolla henkilötietoja aiotaan hyödyntää. |
Automaattinen päätöksenteko | Määrittelyssä on kuvattava, mikäli tavoitteena on täysin automaattinen päätöksenteko, ja mikä on mahdollinen ihmisen rooli päätöksen syntymisessä.
Määrittelyssä on kuvattava, mikäli tekninen ratkaisu toteuttaa ns. profilointia, eli henkilöiden henkilökohtaisten ominaisuuksien arviointia. Profiloinnin yhteys päätöksentekoon on kuvattava määrittelyssä.
Huomioi lainsäädäntö koskien automaattista päätöksentekoa julkishallinnossa (7), (8). |
Tekoälyasetus | Huomio määrittelyssä, että EU:ssa valmistellaan tekoälyasetusta, joka asettaa vaatimuksia tekoälyjärjestelmien toteuttamiselle ja käytölle (5).
Määrittelyssä on suotavaa ottaa kantaa, kuuluuko kehitettävä järjestelmä suuren, vähäisen vai minimaalisen riskin järjestelmiin. Määrittelyn on huomioitava riskitasoa vastaavien prosessien toteuttaminen. |