EU:n tekoälysäädös on vihdoin melkein valmis ja kesäloman jälkeen ensimmäiset vaatimukset astuvat voimaan jo puolen vuoden kuluttua. Tietosuoja-ammattilaisina meillä on jo tarvittavaa kokemusta ja osaamista tekoälysäädöksen käyttöönottoon.

GDPR-kokemukset ja tietosuojatiimien asiantuntemus kannattaa hyödyntää, sillä tekoälysovelluksissa käsitellään henkilötietoja. Pohjoismaiden tietosuojaviranomaiset ovat jo vihjailleet, että säädöksen valvonta laskeutuu heidän työpöydilleen.

Kolme käytännön vinkkiä valmistautumiseen

1. Päivitä dokumentaatio: Organisaatioissa pitäisi olla jo dokumentoituna GDPR:n vaatimat selosteet käsittelytoimista, eli henkilötietojen käsittelyyn liittyvät prosessit. Päivitä nykyistä dokumentaatiotasi lisäämällä tieto, missä prosesseista hyödynnetään tekoälyä ja missä järjestelmissä on jo käytössä tai mahdollista käyttää tekoälyn toiminnallisuuksia.
2. Selkeä viestintä: GDPR on jo 6 vuoden ajan velvoittanut organisaatioita kertomaan henkilötietojen käsittelystä yksilöille. EU:n tekoälysäädöksessä on myös vaatimus informoida tekoälyjärjestelmien toiminnallisuuksista ja valvontamekanismeista. Sisällytä tieto tekoälyn käytöstä tietosuojaselosteisiin ja käyttöehtoihin.
3. Riskiarvioinnit: Ennen tekoälytoiminnallisuuksien käyttöönottoa tulee suorittaa riskiarvioinnit. Hyödynnä nykyisiä GDPR-prosesseja ja lisää FRIA-arviointi osaksi DPIA-prosessia.

Muista, että hyvin suunniteltu on puoliksi tehty. Aloita valmistautuminen ajoissa ja hyödynnä tietosuoja-asiantuntijoiden kokemusta. Panikoida ei tarvitse, yhdessä tästäkin selvitään!

Lue koko Oona Matinpalon kirjoittama artikkeli ”Älä keksi pyörää uudelleen ― näin valmistaudut tekoälysäädökseen” IT-Insiderin sivuilta.