WLAKI.fi
Oppaat

Tekoäly ja tietosuoja pienyrityksessä 2026

Euroopan unionin tekoälysäädös (AI Act, asetus 2024/1689) tuli pääosin sovellettavaksi 2.8.2026. Yleiskäyttöisten tekoälymallien (GPT-5, Claude, Gemini, Llama) velvoitteet ovat jo voimassa, ja korkean riskin järjestelmien osalta vaatimukset tulevat asteittain 2026–2027. Tämä opas kertoo, mitä käytännössä vaaditaan suomalaiselta pienyritykseltä ja miten AI Act yhdistyy jo tuttuun GDPR-sääntelyyn.

Tämä artikkeli keskittyy tietosuojavaatimuksiin (GDPR ja AI Act). Sopimusoikeudelliset näkökulmat (kuten AI-tuotettujen sopimusten pätevyys) käsitellään artikkelissa Tekoäly ja juridiikka 2026.

RiskiluokkaTyypilliset käyttötilanteet pienyrityksessäVelvoitteet
KiellettySosiaalinen pisteytys, tunteiden tunnistus työhaastattelussa, biometrinen joukkoidentifiointiEi sallittu lainkaan
Korkea riskiRekrytointityökalut joilla AI-seula, luottoluokitus-AIDokumentointi, ihmisvalvonta, EU-rekisteröinti
Rajoitettu riskiChatbotit, AI-tuotettu markkinointisisältö, deepfaketAvoimuusvelvoite asiakkaalle
Minimaalinen riskiSpam-suodatin, tekstioikoluku, käännöstyökalutEi erityisvaatimuksia (GDPR silti voimassa)

Tämä artikkeli on yleistä tietoa eikä korvaa oikeudellista neuvontaa yksittäistilanteisiin. Konsultoi tarvittaessa asianajajaa tai tietosuojakonsulttia.

Pienyrityksen rooli AI Actin näkökulmasta

AI Act tuntee kolme pääroolia:

  1. Provider (toimittaja): kehittää tai tuo markkinoille tekoälyjärjestelmän. Esim. OpenAI, Anthropic, Google. Pienyritys on harvoin tässä roolissa.
  2. Deployer (käyttöönottaja): käyttää tekoälyjärjestelmää toiminnassaan. Useimmat pienyritykset ovat tässä roolissa.
  3. Importer / Distributor (maahantuoja tai jälleenmyyjä): harvinaisempi rooli.

Käyttöönottajan velvollisuudet ovat lievemmät kuin toimittajan, mutta eivät olemattomat. Keskeisimmät asiat ovat:

  • Avoimuus asiakkaille (art. 50).
  • Henkilöstön AI-lukutaidon varmistaminen (art. 4).
  • Käyttöohjeiden noudattaminen toimittajan antamien ohjeiden mukaan korkean riskin järjestelmissä.
  • Lokitietojen säilyttäminen korkean riskin järjestelmissä 6 kuukautta.

Jos siis käytät ChatGPT:tä asiakasvastausten valmisteluun tai CRM:ään integroitua AI-liidigeneraatiota, olet deployer ja nämä velvoitteet koskevat sinua.

Pienyrityksen AI-käytön riskiluokitus

AI Act jakaa järjestelmät neljään riskiluokkaan. Riskiluokka määrittää, mitä velvoitteita sovelletaan.

1. Kielletyt järjestelmät (art. 5)

Näitä ei saa käyttää lainkaan. Esimerkkejä:

  • Sosiaalinen pisteytys julkisissa palveluissa.
  • Reaaliaikainen biometrinen tunnistus julkisissa tiloissa (poikkeukset lainvalvonnassa).
  • Kognitiivisen manipulaation järjestelmät.
  • Tunteiden tunnistus työpaikalla tai oppilaitoksessa (poikkeukset lääketieteellisissä sovelluksissa).
  • Raakakuvien keräys kasvojentunnistustietokantojen muodostamiseen.

Pienyrityksessä näitä ei käytännössä käytetä, mutta on syytä tunnistaa: emotiontunnistus työnhakijoista videohaastattelussa kuuluu tähän kategoriaan ja on kielletty.

2. Korkean riskin järjestelmät (art. 6)

Vaatii merkittävän dokumentoinnin, rekisteröinnin EU:n AI-tietokantaan, riskinhallintajärjestelmän ja lokitietojen säilyttämisen. Esimerkkejä:

  • Rekrytointityökalut, jotka pisteyttävät tai seulovat hakijoita.
  • Luottoluokituksen AI.
  • Koulutuksen arviointi tai pääsyvalinnat.
  • Kriittinen infrastruktuuri.

Jos käytät ulkopuolisen palveluntarjoajan rekrytointi-AI:ta, olet deployer korkean riskin kontekstissa. Dokumentoi: palveluntarjoaja ja järjestelmän tunnistetiedot, mihin tehtäviin käytät, toimittajan antamat käyttöohjeet ja ihmisen tekemä valvonta (art. 14). AI ei saa tehdä työnhakupäätöksiä yksin.

3. Rajoitettu riski: avoimuusvelvoite

Yleisimmät pienyrityksen tilanteet:

  • Chatbotit: asiakkaalle kerrottava, että kyseessä on AI.
  • Deepfake-sisältö: merkittävä selkeästi.
  • Synteettisesti luotu teksti, ääni, kuva tai video: merkittävä, paitsi tietyissä journalistisissa tai taiteellisissa poikkeuksissa.

Käytännön toimenpide: jos nettisivuillasi on chatbot, lisää lause “Tämä on tekoälypohjainen palvelu.” Jos teet markkinointisisältöä generatiivisella AI:lla, syntetiikkamerkintä on suositus jo nyt.

4. Minimaalinen riski, vapaa käyttö

Vapaassa käytössä ilman erityisiä AI Act -velvoitteita. Tekoälypohjaiset spam-suodattimet, käännöstyökalut ilman henkilötietojen käsittelyä, tekstin oikoluku. GDPR koskee silti, jos henkilötietoja kulkee läpi.

AI Act + GDPR, kaksi lakia, samat tiedot

AI Act ei korvaa GDPR:ää. Ne kulkevat päällekkäin. AI Act säätää järjestelmän turvallisuudesta ja avoimuudesta. GDPR säätää henkilötietojen käsittelystä.

Kun tekoäly käsittelee henkilötietoja, molemmat lait soveltuvat samanaikaisesti. Sääntökonflikteja on vähän, mutta päällekkäisyyksiä paljon.

Esimerkki 1: ChatGPT asiakaspalvelussa

Käytät ChatGPT:tä asiakaspalvelusähköpostien muotoiluun ja syötät niihin asiakkaan nimen. GDPR:n näkökulmasta olet rekisterinpitäjä ja OpenAI on tietojenkäsittelijä. Tarvitset kirjallisen DPA:n (tietojenkäsittelysopimuksen): ChatGPT Team tai Enterprise sisältää sen, ilmaisversio ei. AI Actin näkökulmasta kyse on minimi- tai rajoitetun riskin käytöstä, jolloin avoimuusvelvoite ei aktivoidu asiakasviestinnässä.

Seuraus: järjestä kirjallinen sopimus ja dokumentoi tietosuojaselosteeseen, että ChatGPT:tä käytetään asiakaspalvelussa.

Esimerkki 2: Rekrytointiohjelmisto CV-seulalla

GDPR:n mukaan DPIA vaaditaan (GDPR 35 art.), koska kyse on systemaattisesta profiloinnista. AI Actin mukaan kyse on korkean riskin järjestelmästä (art. 6, liite III, kohta 4). Toimittajan on oltava EU:n AI-tietokannassa ja sinulla on oltava lokitiedot sekä ihmisen valvonta.

Seuraus: älä valitse työkalua, jonka toimittaja ei pysty osoittamaan AI Act -vaatimusten täyttämistä. Pyydä toimittajalta kirjallinen vastaus vaatimustenmukaisuudesta.

Esimerkki 3: Ajanvarauksen chatbot verkkosivuilla

GDPR:n mukaan tarvitset tietosuojaselosteessa maininnan käsittelytyökalusta. AI Actin mukaan avoimuusvelvoite aktivoituu, ja asiakkaalle on kerrottava, että kyseessä on tekoäly.

Seuraus: chatbot-ikkuna alkaa tekstillä “Olen tekoälyassistentti. Voin auttaa ajanvarauksessa.”

Yleiskäyttöiset tekoälymallit (GPAI)

AI Act määrittelee erikseen yleiskäyttöiset tekoälymallit (GPAI, General Purpose AI Models). Näitä ovat GPT-5, Claude, Gemini ja Llama. GPAI-malleja koskevat velvoitteet tulivat voimaan 2.8.2025.

Pienyritykselle GPAI-sääntely tarkoittaa käytännössä kahta asiaa. Ensinnäkin näiden mallien tarjoajien on julkaistava avoimesti tietoa mallin kyvykkyyksistä, rajoituksista ja koulutusaineistosta. Toiseksi niin sanotut systeemiriski-GPAI-mallit (esim. laajimmilla parametreilla koulutetut mallit) ovat erityisen tiukan valvonnan alla.

Pienyritys ei itse kehitä GPAI-mallia, joten suora velvoite ei koske sinua. Välillinen vaikutus näkyy kuitenkin: voit vaatia käyttämältäsi palveluntarjoajalta GPAI-velvoitteiden mukaisia tietoja ja dokumentteja.

Sopimukset tekoälytoimittajan kanssa

Kirjallinen sopimus on pakollinen, kun tekoälypalveluntarjoaja käsittelee yrityksesi asiakkaan henkilötietoja. GDPR 28 artikla edellyttää tietojenkäsittelysopimusta (DPA) aina, kun rekisterinpitäjä käyttää ulkopuolista tietojenkäsittelijää.

DPA:n on sisällettävä vähintään seuraavat asiat:

  • Käsittelyn kohde, kesto, luonne ja tarkoitus.
  • Henkilötietojen tyyppi ja rekisteröityjen ryhmät.
  • Rekisterinpitäjän velvoitteet ja oikeudet.
  • Sitoumus olla käyttämättä tietoja muihin tarkoituksiin (erityisesti mallin kouluttamiseen).

Ennen sopimuksen allekirjoittamista tarkista: käsitelläänkö tietoja EU:n tai ETA:n ulkopuolella. Jos kyllä, on varmistettava siirtomekanismi, esimerkiksi EU:n vakiosopimuslausekkeet (SCC). Tietosuojavaltuutetun toimiston ohjeissa käydään läpi, milloin SCC:tä tarvitaan.

AI Actin näkökulmasta toimittajalta on pyydettävä kirjallinen selvitys siitä, minkä riskiluokan järjestelmästä on kyse ja mitä velvoitteita toimittaja on täyttänyt. Tämä on erityisen tärkeää korkean riskin järjestelmissä, esimerkiksi rekrytoinnissa tai luottoluokituksessa.

Tietosuojaseloste, mitä AI-käyttö edellyttää

GDPR 13–14 artikla velvoittaa kertomaan rekisteröidylle, miten hänen tietojaan käsitellään. AI-käytön lisääntyminen edellyttää tietosuojaselosteen päivitystä.

Lisää tietosuojaselosteeseen erillinen kohta: “Tekoälypohjaiset palvelut.” Kuvaile lyhyesti, mitä AI-työkaluja käytetään, mihin tarkoitukseen ja mille palveluntarjoajille tietoja siirtyy. Mainitse myös, siirretäänkö tietoja EU:n ulkopuolelle ja millä perusteella siirto on sallittu.

Pelkkä “käytämme moderneja teknologioita” ei riitä. Rekisteröidyllä on oikeus tietää, kuka todellisuudessa käsittelee hänen tietojaan.

Tietosuojaselosteen mallipohjia ja ohjeistusta löytyy tietosuojavaltuutetun toimiston sivustolta.

DPIA, milloin se tarvitaan AI-käytössä

DPIA (Data Protection Impact Assessment) on tehtävä GDPR 35 artiklan mukaan, kun käsittely todennäköisesti aiheuttaa rekisteröidyille korkean riskin. AI-kontekstissa tämä aktivoituu käytännössä seuraavissa tilanteissa:

  • Laaja-alainen profilointi tai automaattinen päätöksenteko.
  • Rekrytointityökalut, jotka pisteyttävät hakijoita.
  • Työntekijöiden systemaattinen seuranta AI-työkaluilla.
  • Biometristen tietojen käsittely.

Pelkkä ChatGPT:n käyttö tekstien muotoiluun ei yleensä vaadi DPIA:ta, jos henkilötietoja ei kulje järjestelmän läpi. Jos riski on epäselvä, tietosuojavaltuutetun julkaisemat kriteerit ovat ohjaava lähde.

Lisää GDPR-velvoitteista löydät oppaamme GDPR käytännössä pienyrittäjälle.

Ensimmäiset askeleet pienyritykselle

Jos aloitat AI Actin vaatimusten täyttämisen vuonna 2026, tee nämä viisi vaihetta järjestyksessä.

Vaihe 1: AI-kartta

Kirjaa kaikki tekoälyä hyödyntävät työkalut, joita yrityksessäsi käytetään. Esimerkkejä:

  • ChatGPT tai Claude tai Gemini (tekstigenerointi).
  • Microsoft Copilot (Teams, Outlook, Word).
  • Tekoälyä sisältävät CRM- ja markkinointialustat (HubSpot AI, Salesforce Einstein).
  • Automaattiset käännöstyökalut (DeepL, Google Translate).
  • Kuvageneraatio (Midjourney, DALL-E).
  • Rekrytointityökalut AI-seulalla.
  • Kirjanpito-ohjelmistojen tekoälypohjaiset toiminnot.

Kartoituksessa riittää yksinkertainen taulukko: työkalu, käyttötarkoitus, henkilötietoja kyllä tai ei, riskiluokka.

Vaihe 2: Riskiluokittele työkalut

Jokaiselle työkalulle selvitä: minkä riskiluokan alle se kuuluu, käsitteleekö se henkilötietoja tai arkaluontoisia tietoja ja onko toimittajalla DPA sekä AI Actin mukainen vaatimustenmukaisuusselvitys.

Jos toimittaja ei pysty vastaamaan näihin kysymyksiin kirjallisesti, se on merkki siitä, että työkalu ei täytä vaatimuksia.

Vaihe 3: Päivitä dokumentaatio

Päivitä seuraavat dokumentit:

  • Tietosuojaseloste: lisää kohta “Tekoälyyn perustuvat työkalut” jossa listaat työkalut ja siirtojen vastaanottajat.
  • Rekisterinpitäjän rekisteri (GDPR 30 art.): lisää käsittelytoimintoihin AI-käytöt.
  • Sisäinen ohjeisto: kerro henkilöstölle, mitä tietoja saa syöttää mihinkin työkaluun. Yksinkertainen sääntö: arkaluontoiset tiedot, kuten terveys, palkka tai henkilötunnus, eivät koskaan ilmaispalveluihin.

Vaihe 4: Henkilöstön AI-lukutaito

AI Actin 4 artikla edellyttää, että tekoälyä käyttävät työntekijät ovat riittävän perehtyneitä. Pienyrityksessä tämä tarkoittaa 30–60 minuutin orientaatiota AI-työkalujen turvallisesta käytöstä, selkeitä sääntöjä siitä mitä tietoja saa syöttää ja nimettyä yhteyshenkilöä epäselviin tilanteisiin.

Dokumentoi koulutus lyhyesti. Esimerkiksi sähköpostiviesti henkilöstölle ohjeineen riittää alkuvaiheessa.

Vaihe 5: Päivitä asiakasviestintä

Chatbotit ja AI-sisältö merkitään selkeästi. Markkinointisähköposteissa ei käytetä AI:ta tuottamaan harhaanjohtavaa tai syrjivää sisältöä. Jos käytössä on rekrytointi-AI:n seula, mainitse siitä rekrytointi-ilmoituksessa. Hakijalla on GDPR 22 artiklan mukainen oikeus tietää automaattisesta päätöksenteosta ja vaatia ihmisen tekemää arviointia.

Sanktiot, mitä rikkomisesta seuraa

AI Act säätää sakkoja jopa 35 miljoonaan euroon tai 7 prosenttiin maailmanlaajuisesta liikevaihdosta kielletyistä järjestelmistä. Korkean riskin järjestelmien vaatimusten rikkomisesta sakko on jopa 15 miljoonaa euroa tai 3 prosenttia liikevaihdosta.

Pienyrityksille sakkoja voidaan suhteellistaa, mutta suuruusluokka on silti merkittävä. GDPR:n rikkomisesta on oma sanktionsa: jopa 20 miljoonaa euroa tai 4 prosenttia liikevaihdosta.

Käytännön seuraamus useimmissa tapauksissa on kuitenkin tietosuojavaltuutetun huomautus tai määräys, ei heti sakko. Ennakoiva dokumentointi ja avoimuus vähentävät riskiä merkittävästi.

Lisää yrittäjän lakisääteisistä velvoitteista löydät kootusti oppaamme yrittäjän lakisääteiset velvoitteet.

Yleisimmät virheet pienyrityksessä

Yleisimmät virheet liittyvät dokumentoinnin puuttumiseen ja väärien työkalujen käyttöön. Seuraavat tilanteet toistuvat tarkastuksissa:

Ilmaisversioiden käyttö henkilötietojen kanssa. Ilmainen ChatGPT, ilmainen Google Gemini tai muu ilmainen generatiivinen työkalu ei sisällä DPA:ta. Henkilötietojen, kuten asiakkaan nimen tai sähköpostin, syöttäminen näihin palveluihin on GDPR:n vastaista ilman asianmukaista sopimusta.

Puuttuva maininta tietosuojaselosteessa. Pelkkä “teemme tekoälyä” ei riitä. Selosteessa on mainittava palveluntarjoaja, käsittelyn tarkoitus ja mahdollinen siirto EU:n ulkopuolelle.

Korkean riskin työkalu ilman ihmisvalvontaa. Jos käytät rekrytointi-AI:ta hakijoiden seulomiseen eikä yksikään ihminen tarkista tuloksia ennen hylkäystä, rikot sekä AI Actin 14 artiklaa että GDPR 22 artiklaa.

Henkilöstön kouluttamattomuus. Yrityksessä on ohjelmisto, mutta kukaan ei tiedä, mitä saa syöttää ja mitä ei. Tämä on AI Actin 4 artiklan vaatimusten vastaista. Sähköpostiohje, lyhyt kokouskeskustelu ja kirjattu vahvistus riittävät alkuvaiheessa.

Näiden neljän virheen välttäminen kattaa suurimman osan pienyritysten käytännön riskeistä.

Ajan tasalla pysyminen

AI Act täysimääräinen soveltaminen jatkuu vuoteen 2027. Korkean riskin järjestelmien uusia vaatimuksia tulee asteittain. Pienyrityksen kannattaa:

  • Seurata Liikenne- ja viestintävirasto Traficomin ohjeistusta kansallisen AI-viranomaisen tehtävien osalta.
  • Tarkistaa tietosuojaseloste kerran vuodessa.
  • Konsultoida asianajajaa tai tietosuojakonsulttia, jos AI-käyttö laajenee merkittävästi, esimerkiksi ensimmäinen rekrytointityökalu käyttöön.

Euroopan tietosuojaneuvosto (EDPB) on antanut ohjeet 1/2024 tekoälystä ja GDPR:stä. Ne löytyvät EDPB:n sivustolta ja ovat hyvä lähtökohta tarkempaan perehtymiseen.

Lähteet

  • EU:n tekoälyasetus 2024/1689: eur-lex.europa.eu
  • EU:n yleinen tietosuoja-asetus 2016/679 (GDPR): eur-lex.europa.eu
  • Tietosuojalaki 1050/2018 (kansallinen GDPR-täytäntöönpano): finlex.fi
  • Laki tietosuojavaltuutetun toimistosta 1050/2018, 6 §: finlex.fi
  • Tietosuojavaltuutetun ohjeistus DPIA:n käytännöstä: tietosuoja.fi
  • Euroopan tietosuojaneuvoston ohjeet 1/2024 tekoälystä ja GDPR:stä: edpb.europa.eu

Opas perustuu 14.4.2026 tilanteeseen. Sääntely kehittyy, tarkista säännöllisesti ajantasaiset viranomaisohjeet.

Usein kysyttyä

Mitä EU AI Act velvoittaa pienyritykseltä 2026?

AI-asetus (2024/1689) tuli pääosin sovellettavaksi 2.8.2026. Pienyritys ei pääsääntöisesti ole tekoälyn kehittäjä vaan käyttäjä, eli asetus koskee häntä 'käyttöönottajan' (deployer) roolissa. Velvoitteet riippuvat käytettävän tekoälyjärjestelmän riskiluokasta: kielletyt (sosiaalipistytys, biometrinen luokittelu) eivät ole sallittuja, korkea riski (rekrytointi, luottoluokitus) vaatii dokumentoinnin ja valvonnan, rajoitetun riskin järjestelmät (chatbotit, deepfaket) vaativat avoimuusvelvoitteen, ja minimaaliriskiset vapaat käyttöön. Useimmille pienyrityksille käytännössä tärkeimmät velvoitteet ovat: avoimuus asiakkaille, henkilöstön koulutus ja dokumentoinnin järjestäminen.

Saako pienyritys käyttää ChatGPT:tä asiakastietojen kanssa?

Riippuu sopimuksesta. Maksuton ChatGPT ei ole GDPR-yhteensopiva työkalu henkilötietojen käsittelyyn, koska käyttöehdot antavat palveluntarjoajalle oikeuden käyttää syötteitä mallin kouluttamiseen. Maksullinen ChatGPT Team / Enterprise tai Microsoft Copilot yritysliitännäisinä sisältää DPA:n (tietojenkäsittelysopimuksen) ja estää koulutuskäytön. Tässäkin sinun on oltava tietojenkäsittelyn rekisterinpitäjä ja AI-palveluntarjoaja on tietojenkäsittelijä — sopimuksesta on oltava kirjallinen dokumentti (GDPR 28 artikla). Arkaluontoisten tietojen (terveys, ammattiliitto, uskonto) käsittelyyn AI-työkaluilla tarvitaan lisäksi erityinen lainmukainen peruste.

Pitääkö asiakkaalle kertoa, että yrityksessä käytetään tekoälyä?

AI Actin artikla 52 edellyttää avoimuutta tietyissä tilanteissa: 1) Kun luonnollinen henkilö vuorovaikutuksessa AI-järjestelmän kanssa (esim. chatbot) — hänelle on kerrottava, että kyseessä on AI. 2) Kun järjestelmä tuottaa tunnistettavan deepfake-sisällön, se on merkittävä. 3) Kun AI:n avulla luodaan yleistä tietoa, se on merkittävä syntetiikaksi. GDPR 13–14 artikla velvoittaa kertomaan tietosuojaselosteessa, jos tekoälyjärjestelmiä käytetään henkilötietojen käsittelyssä. Käytännön suositus: lisää tietosuojaselosteeseen yksinkertainen kuvaus, miten tekoälyä käytetään, mitä tietoja käsitellään ja mille palveluntarjoajalle tietoja siirtyy.

Milloin pienyritys tarvitsee DPIA:n eli vaikutustenarvioinnin?

DPIA (Data Protection Impact Assessment, GDPR 35 artikla) on tehtävä, kun käsittely todennäköisesti aiheuttaa rekisteröidyille korkean riskin. AI-kontekstissa tämä osuu käytännössä: 1) laaja-alaiseen profilointiin tai automaattiseen päätöksentekoon, 2) rekrytointityökalujen käyttöön, joka pisteyttää hakijat, 3) työntekijöiden systemaattiseen seurantaan AI-työkaluilla, 4) biometristen tietojen käsittelyyn. Pelkkä ChatGPT:n käyttö tekstien muotoiluun ei yleensä vaadi DPIA:ta, jos henkilötietoja ei kulje läpi. Jos riski on epäselvä, tietosuojavaltuutetun listaamat kriteerit ovat ohjaava lähde.

Mitä AI-sääntelyn rikkomisesta voi seurata?

AI Act säätää sakkoja jopa 35 miljoonaan euroon tai 7 % maailmanlaajuisesta liikevaihdosta, mikä suurempi — kielletyistä järjestelmistä. Korkean riskin järjestelmien vaatimusten rikkomisesta sakko on jopa 15 milj. € tai 3 % liikevaihdosta. Pienyrityksille (SME) sakkoja voidaan suhteellistaa, mutta suuruusluokka on silti merkittävä. GDPR:n rikkomisesta on oma sanktionsa (jopa 20 milj. € tai 4 % liikevaihdosta). Käytännön seuraamus useimmissa tapauksissa on kuitenkin tietosuojavaltuutetun huomautus tai määräys, ei heti sakko — ennakoiva dokumentointi ja avoimuus vähentävät riskiä merkittävästi.

Lähde ja taustatyö

Wlaki toimitus

Juridinen toimitus

OTM, tietosuojan erikoistuminen