Tekoäly muuttaa oikeudellista kenttää nopeammin kuin lainsäätäjät pystyvät reagoimaan. EU:n tekoälylaki (AI Act) on nyt täysimääräisesti sovellettavissa 2026, immateriaalioikeuksien kysymykset ovat avoimia ja sopimusten automaatio yleistyy. Tässä artikkelissa käymme läpi juridiset kysymykset, joita jokaisen tekoälyä käyttävän tai kehittävän yrityksen tulee ymmärtää.
Tämä artikkeli keskittyy sopimusoikeudellisiin näkökulmiin: AI-tuotettujen sopimusten validiteetti, vastuukysymykset ja tekijänoikeus. Tietosuojavaatimukset (GDPR + AI Act) käsitellään erillisessä artikkelissa Tekoäly ja tietosuoja pienyrittäjälle 2026.
Huomio: Tämä artikkeli tarjoaa yleistä tietoa, ei oikeudellista neuvoa yksittäistilanteisiin. Tekoälyjuridiikka on nopeasti kehittyvä ala. Konsultoi tarvittaessa lakimiestä oman yrityksesi tilanteessa.
EU AI Act, mitä se tarkoittaa käytännössä?
EU:n tekoälylaki (asetus 2024/1689) luokittelee tekoälyjärjestelmät neljään riskitasoon. Jokainen yritys, joka käyttää tai kehittää tekoälyä, kuuluu tämän sääntelyn piiriin.
| Riskitaso | Esimerkkejä | Vaatimukset |
|---|---|---|
| Kielletty | Sosiaalinen pisteytysjärjestelmä, alitajuinen manipulointi, reaaliaikainen kasvontunnistus | Kokonaan kielletty |
| Korkea riski | Rekrytointi-AI, luottopäätökset, lääkinnälliset laitteet | Tiukka dokumentaatio, ihmisvalvonta, rekisteröinti |
| Rajallinen riski | Chatbotit, deepfake-sisältö | Läpinäkyvyysvelvoite käyttäjille |
| Minimaalinen riski | Roskapostisuodattimet, pelisuositukset | Ei erityisiä vaatimuksia |
Taulukko tiivistää vaatimustasot, mutta käytännön soveltaminen vaatii tapauskohtaista arviointia. Myös rajallisen riskin kategoriassa velvoitteet voivat yllättää: chatbotin on aina kerrottava olevansa tekoäly. Seuraa Euroopan komission AI-sääntelysivustoa päivitysten varalta.
Korkean riskin luokan yritykset
Korkean riskin luokka koskee monia tavallisia liiketoimintatilanteita. Rekrytointiin käytetty AI, joka pisteyttää hakijoita, on korkean riskin järjestelmä. Sama koskee luottopäätöksiin tai vakuutusmaksuihin vaikuttavia järjestelmiä.
Myös koulutuksen, terveydenhuollon ja kriittisen infrastruktuurin AI-sovellukset kuuluvat tähän luokkaan. Jos yrityksesi ostaa valmisohjelmiston, joka tekee automaattisia päätöksiä asiakkaista tai henkilöstöstä, on syytä selvittää toimittajan vastuujako.
Korkean riskin järjestelmän velvoitteet
Jos yrityksesi käyttää tai kehittää korkean riskin AI-järjestelmää, laki edellyttää konkreettisia toimia:
- Riskiarviointi ennen käyttöönottoa ja sen jälkeen säännöllisesti
- Tekniset dokumentit järjestelmän toiminnasta ja rajoituksista
- Rekisteröinti EU:n AI-tietokantaan ennen käyttöönottoa
- Ihmisvalvonta, jossa ihminen voi aina ohittaa järjestelmän päätöksen
- Läpinäkyvyys käyttäjille siitä, että kyse on AI-järjestelmästä
- Tarkkuus, luotettavuus ja kyberturvallisuus on varmistettava jatkuvasti
Laiminlyönneistä voi seurata hallinnollinen sakko, joka voi olla enintään 30 miljoonaa euroa tai kolme prosenttia vuotuisesta maailmanlaajuisesta liikevaihdosta. Lue lisää yrittäjän lakisääteisistä velvoitteista yleisemmältä tasolta.
Sopimusten automaatio: hyödyt ja riskit
Mitä tekoäly voi tehdä sopimustyössä?
Tekoäly on jo nyt hyödyllinen työkalu sopimusten käsittelyssä. Se sopii erityisesti toistuviin, rakenteellisesti samanlaisiin tehtäviin.
Tekoäly voi generoida standardisopimusten luonnoksia mallien pohjalta nopeasti ja kustannustehokkaasti. Se tunnistaa sopimuspohjista riskikohdat, epäselvyydet ja puuttuvat lausekkeet. Sopimuskannan hallinnassa tekoäly indeksoi, hakee ja erottelee keskeisiä ehtoja suuristakin asiakirjamääristä.
Juridisen tekstin kääntäminen onnistuu tekoälyltä kohtuullisen hyvin, mutta ammattikäännös vaatii aina ihmistarkistuksen. Toistuvien kysymysten tunnistaminen sopimuskannasta auttaa kehittämään sopimusmalleja tulevaa varten.
Riskit, joita ei voi ulkoistaa
Tekoäly ei korvaa juristia kriittisissä arvioinneissa. Lopullinen vastuuarviointi edellyttää kontekstuaalista riskinarviointia, johon tekoäly ei kykene luotettavasti.
Neuvottelustrategia perustuu vastapuolen taustojen ja intressien tuntemiseen. Oikeudellinen tulkinta on tuomioistuinten tehtävä, eikä tekoäly ennusta oikeudenkäynnin lopputulosta luotettavasti. Sopimuksen reiluus ja moraaliset näkökohdat ovat myös ihmisen vastuulla.
Sopimuksen sitovuus tekoälyavusteisena
Sopimuksen sitovuus Suomen sopimusoikeudessa ei edellytä, että ihminen on kirjoittanut jokaisen sanan. Ratkaisevaa on, onko sopimus syntynyt osapuolten yhteisestä tahdonilmaisusta. Tekoälyllä luonnosteltu sopimus, jonka molemmat osapuolet allekirjoittavat, on sitova kuten mikä tahansa kirjallinen sopimus.
Salassapitosopimuksia ja muita standardiasiakirjoja koskevat periaatteet pätevät täysimääräisesti myös tekoälyavusteisesti laadittuihin versioihin. Tutustu NDA-salassapitosopimuksen perusteisiin tarkemmin.
Immateriaalioikeudet ja tekoäly
Tekijänoikeus, kuka omistaa?
Tekijänoikeuslaki (404/1961) edellyttää, että teos on luonnollisen henkilön luova työ. Tästä seuraa käytännön seurauksia, jotka yritysten on tunnettava.
Täysin AI-generoitu teksti, kuva tai musiikki ei saa tekijänoikeussuojaa Suomessa. Jos ihminen on antanut merkittäviä luovia panoksia ohjauksessa, suoja voi syntyä. “Merkittävyys” on tulkinnanvaraista ja oikeuskäytäntö muotoutuu edelleen.
Käytännön suositus: Dokumentoi tekoälyavusteisessa luomisessa ihmisen luovat panokset: promptit, muokkaukset ja valinnat. Tämä vahvistaa tekijänoikeusväitettä tarvittaessa.
Patentoitavuus tekoälyn avulla
Euroopan patenttiviraston (EPO) linjauksen mukaan AI ei voi olla patentin keksijänä. Keksijän on oltava luonnollinen henkilö. Ihminen voi patentoida AI:n avulla kehitetyn keksinnön, kunhan ihmisen luova panos on dokumentoitu asianmukaisesti.
Tilanne kehittyy kansainvälisesti eri tahtiin eri maissa. Kansainvälistyvässä yrityksessä on selvitettävä patentoitavuus erikseen kohdemarkkinoilla.
Liikesalaisuudet ja AI-koulutusdata
Tekoälymallien kouluttaminen yrityksen omalla datalla voi synnyttää liikesalaisuuden. Laki liikesalaisuuksista (595/2018) suojaa tietoja, jotka ovat salaisia ja joilla on kaupallista arvoa.
Koulutusdata voi sisältää kolmansien tekijänoikeuksia, joten käyttöoikeudet on selvitettävä ennen kouluttamista. Pilvipalveluntarjoajan käyttöehdot määrittävät, voiko toimittaja käyttää dataasi omien malliensa kouluttamiseen. Sisäiset AI-mallit voivat olla suojattavissa liikesalaisuutena, jos ne täyttävät lain edellytykset.
Koulutusdata ja tekijänoikeus
EU:n tekijänoikeusdirektiivi (2019/790) sallii tekstin ja datan louhinnan tieteelliseen tutkimukseen. Kaupalliseen kouluttamiseen tekijänoikeuden haltija voi kieltää aineiston käytön opt-out-mekanismilla. Useat oikeustapaukset ovat vireillä eri maissa ja oikeustila tarkentuu lähivuosina.
GDPR ja tekoäly, yhteensopivuustarkistuslista
Tekoälyjärjestelmät käsittelevät usein henkilötietoja, mikä kytkee ne tietosuoja-asetuksen (GDPR) velvoitteisiin. Tietosuojavaltuutettu valvoo GDPR:n noudattamista Suomessa.
| Kysymys | Tarkistettava |
|---|---|
| Käsitteleekö AI-järjestelmä henkilötietoja? | Rekisteriselostus, oikeusperusta |
| Tehdäänkö automaattisia päätöksiä henkilöistä? | GDPR 22 artikla, ihmisvalvontavaatimus |
| Siirretäänkö tietoja EU:n ulkopuolelle? | Siirtomekanismi (SCC, adequacy decision) |
| Onko koulutusdata laillisesti hankittu? | Tekijänoikeudet, GDPR-peruste |
| Pystyykö rekisteröity pyytämään tietojensa poistoa? | Poistomenettely myös AI-mallista |
Erityisesti automaattinen päätöksenteko edellyttää ihmisvalvontaa GDPR 22 artiklan nojalla. Rekisteröidyllä on oikeus vaatia, että päätökseen osallistuu ihminen, ja oikeus saada asiallinen selvitys päätöksen perusteista.
Lisää tietosuoja-asioita käytännön näkökulmasta löydät artikkelista GDPR käytännössä pienyrittäjälle. Tekoälyn tietosuoja-aspekteihin liittyy myös ohjeistusta oppaamme tekoälystä ja tietosuojasta.
Vastuukysymykset: kuka vastaa virheistä?
Vastuu tekoälyn tekemistä virheistä ei ole yksinkertainen kysymys. Oikeustila kehittyy ja tuomioistuinkäytäntöä kertyy vasta.
Jos lakimies tai yritys käyttää tekoälyä sopimusluonnokseen ja siinä on virhe, vastuu on sopimuksen allekirjoittaneella osapuolella. Tekoäly on työkalu, ei itsenäinen oikeussubjekti. Tekoälyn tarjoaja voi olla vastuussa tuotevastuulain tai AI Act:n nojalla, jos järjestelmässä on olennainen tekninen virhe tai puute.
Sopimuksiin kannattaa lisätä selkeä maininta, jos sopimusluonnos on laadittu tekoälyavusteisesti. Tämä ei poista vastuuta virheistä, mutta lisää läpinäkyvyyttä osapuolten välillä. Osakassopimuksissa ja muissa monimutkaisissa asiakirjoissa ihmistarkistus on aina välttämätön. Lue lisää osakassopimusten keskeisistä ehdoista.
Tuotevastuulaki ja AI Act
EU AI Act tuo mukanaan uusia vastuusäännöksiä. Korkean riskin järjestelmien tarjoajat vastaavat siitä, että järjestelmät toimivat vaatimusten mukaisesti. Jos vaatimukset laiminlyödään ja tästä aiheutuu vahinkoa, toimittaja voi olla korvausvastuussa.
Suomessa tuotevastuulaki (694/1990) voi soveltua tekoälyjärjestelmiin tapauskohtaisesti. Vahinkoa kärsineen on kuitenkin usein vaikea osoittaa, että vahinko johtui nimenomaan AI-järjestelmän virheestä. Oikeuskäytäntö tällä alueella on Suomessa ja koko EU:ssa vielä hyvin vähäistä.
Käytännön suositus on kirjata vastuujako selkeästi sopimuksiin tekoälypalvelujen toimittajien kanssa. Määrittele, kuka vastaa virheellisen AI-tuotoksen aiheuttamista vahingoista ja miten reklamaatio hoidetaan.
Riskienhallinta: toimenpidesuunnitelma
Tekoälyjuridiikan hallinta ei tarkoita tekoälyn käytön välttämistä. Se tarkoittaa suunnitelmallista lähestymistä, jossa riskit tunnistetaan ja hallitaan etukäteen. Pienyrityksissä riittää usein kevyempi vaatimustenmukaisuustyö kuin suurissa organisaatioissa, mutta perustoimenpiteet ovat samat.
Lyhyellä aikavälillä (tee nyt)
Aloita inventaariolla: mitä tekoälyjärjestelmiä yrityksesi käyttää ja mihin tarkoitukseen. Luokittele järjestelmät AI Act:n riskitasojen mukaan. Tarkista pilvipalvelujen käyttöehdot siitä, käyttääkö toimittaja dataasi. Lisää AI-käytöstä maininta asiakassopimuksiin tarvittaessa.
Keskipitkä aikaväli (6–12 kuukautta)
Laadi sisäinen AI-käyttöpolitiikka, joka kattaa sallitut käyttötavat ja kielletyt kohteet. Kouluta henkilöstö tekoälyjuridiikan perusteisiin erityisesti niiden osalta, jotka käyttävät tekoälyä työssään. Käynnistä korkean riskin järjestelmien vaatimustenmukaisuusauditointi.
Seuraa tekoälyjuridiikan kehitystä: Tietosuojavaltuutettu, EU:n komissio ja kansalliset tuomioistuimet tuottavat uutta ohjeistusta säännöllisesti. Yrittäjän vuosikelloon kannattaa merkitä säännöllinen lakimuutosten seuranta. Katso tarkempi ajastus yrittäjän vuosikellosta.
Sopimuksellinen suojautuminen
Tekoälyn käyttöön liittyvät sopimukset palveluntarjoajien kanssa on käytävä läpi huolellisesti. Erityisesti datan omistajuus, luottamuksellisuus ja toimittajan vastuu virhetilanteissa on määriteltävä selkeästi. Hyvä sopimuspohja on lähtökohta kaikelle muulle. Tutustu yrittäjän lakipaketin perusteisiin kokonaisvaltaisemman kuvan saamiseksi.
Tekoäly rekrytoinnissa: varoitusalue
Rekrytoinnissa käytetty tekoäly on yksi herkimmistä käyttötapauksista. AI Act luokittelee rekrytointi-AI:n korkean riskin järjestelmäksi, koska se vaikuttaa suoraan henkilöiden työllistymismahdollisuuksiin.
Tekoäly ei saa tehdä lopullisia rekrytointipäätöksiä ilman ihmisvalvontaa. Lisäksi on huomioitava, että syrjintäkielto koskee myös tekoälyjärjestelmien tekemiä päätöksiä. Jos tekoäly systemaattisesti suosii tiettyä ryhmää tai syrjii toista, työnantaja voi olla vastuussa tasa-arvolain (609/1986) tai yhdenvertaisuuslain (1325/2014) nojalla.
Rekrytoinnissa käytettyjen CV-analysaattorien tai pisteytysjärjestelmien dokumentointi on pakollista. Ehdokkaalla on pyydettäessä oikeus tietää, että hänet on arvioitu automaattisella järjestelmällä.
Lähteet
Usein kysyttyä
Kuka omistaa tekoälyllä tuotetun sisällön tekijänoikeuden?
Suomen tekijänoikeuslain (404/1961) mukaan tekijänoikeus syntyy luonnolliselle henkilölle, joka on teoksen luonut. Täysin tekoälyn itsenäisesti tuottama sisältö ei saa tekijänoikeussuojaa Suomessa. Jos ihminen on ohjannut tekoälyä merkittävästi ja teoksessa on riittävä omaperäisyys, tekijänoikeus voi syntyä ihmiselle. Tilanne on oikeudellisesti vielä osin epäselvä.
Mitä EU AI Act tarkoittaa yrityksille?
EU:n tekoälylaki (AI Act, asetus 2024/1689) luokittelee tekoälyjärjestelmät riskitasojen mukaan. Korkean riskin järjestelmät (esim. luottopäätökset, rekrytointi, kouluarviointi) vaativat tiukan dokumentaation, ihmisvalvonnan ja rekisteröinnin. Kiellettyihin kuuluvat esim. pisteytysjärjestelmät ja tietyt kasvontunnistukset. Voimaan täysimääräisesti 2026.
Voiko tekoälyllä tehdystä sopimuksesta tulla sitova?
Kyllä. Sopimuksen sitovuus ei Suomen sopimusoikeudessa edellytä, että ihminen on kirjoittanut jokaisen sanan — ratkaisevaa on, onko sopimus syntynyt osapuolten yhteisestä tahdonilmaisusta. Tekoälyllä luonnosteltu sopimus, jonka molemmat osapuolet allekirjoittavat, on sitova kuten mikä tahansa kirjallinen sopimus.
Mitä GDPR-riskejä tekoälyn käyttöön liittyy?
Tekoälyjärjestelmät voivat aiheuttaa GDPR-rikkomuksia: 1) kielletty profilointi tai automaattinen päätöksenteko ilman ihmisvalvontaa, 2) henkilötietojen siirto tekoälyntarjoajan palvelimille kolmansiin maihin ilman riittäviä suojatoimia, 3) opetusdata voi sisältää henkilötietoja ilman asianmukaista oikeusperustaa.
Kuka on vastuussa, jos tekoäly tekee virheen sopimuksessa?
Vastuu määräytyy sen mukaan, kuka on käyttänyt tekoälyä ja miten. Jos lakimies tai yritys käyttää tekoälyä sopimusluonnokseen ja siinä on virhe, vastuu on sopimuksen allekirjoittaneella. Tekoälyn tarjoaja voi olla vastuussa tuotevastuulain tai tekoälylain nojalla, jos järjestelmässä on olennainen virhe. Oikeustila kehittyy.
Voiko tekoälyyn kouluttamiseen käyttää suojattua aineistoa?
Tämä on yksi tekoälyjuridiikan kiistanalaisimmista kysymyksistä. EU:n tekijänoikeusdirektiivi (2019/790) sallii tekstin ja datan louhinnan tieteelliseen tutkimukseen. Kaupalliseen koulutukseen tekijänoikeuden haltija voi kieltää aineiston käytön opt-out-mekanismilla. Useat oikeusjutut ovat vireillä eri maissa.
WLAKI.fi toimitus
Juridinen tietopankki yrittäjille