Koskeeko EU:n tekoälyasetus pientä suomalaista yritystä?

Kyllä. EU:n tekoälyasetus (EU 2024/1689) koskee jokaista EU:ssa toimivaa yritystä joka kehittää, ottaa käyttöön tai jakelee tekoälyjärjestelmiä, koosta riippumatta. Pk-yritykselle saatavilla on kevennyksiä esimerkiksi sääntelyhiekkalaatikoiden ja yksinkertaistetun dokumentaation muodossa, mutta perusvelvoitteet (riskiluokitus, läpinäkyvyys, kielletyt käytännöt) koskevat kaikkia.

Mikä tapahtuu 2. elokuuta 2026?

2.8.2026 astuvat voimaan korkean riskin järjestelmiä koskevat velvoitteet (asetuksen liite III), seuraamukset, hallintoelimet ja jäsenvaltioiden valvontajärjestelyt. Tämä on käytännössä päivä, jolloin asetuksen pääosa muuttuu velvoittavaksi pk-yrityksille. Kielletyt käytännöt ja yleiskäyttöisten mallien (GPAI) säännöt astuivat voimaan jo aiemmin, ja korkean riskin tuotteiden upotettujen järjestelmien velvoitteet jatkuvat 2.8.2027 saakka.

Mitä riskiluokkia EU:n tekoälyasetuksessa on?

Neljä luokkaa: kielletyt järjestelmät (esim. sosiaalinen pisteytys, manipulatiivinen mainonta lapsille), korkean riskin järjestelmät (rekrytointi, luottoluokitus, kriittinen infra), rajoitetun riskin järjestelmät (chatbotit, deepfaket, joilla on läpinäkyvyysvelvoite), ja minimaalisen riskin järjestelmät (suurin osa pk-yrityksen arkikäytöstä, ei lisävelvoitteita). Riskiluokka määräytyy käyttötarkoituksen, ei teknologian mukaan.

Pitääkö pk-yrityksen rekisteröidä tekoälyjärjestelmänsä?

Korkean riskin järjestelmät (asetuksen liite III) on rekisteröitävä EU:n julkiseen tietokantaan ennen markkinoille saattamista tai käyttöönottoa. Rajoitetun ja minimaalisen riskin järjestelmiä ei rekisteröidä. Useimmilla pk-yrityksillä ei ole rekisteröintivelvoitetta, mutta läpinäkyvyysvelvoitteet (esim. ilmoittaa että käyttäjä keskustelee tekoälyn kanssa) koskevat lähes kaikkia.

Kuka valvoo EU:n tekoälyasetusta Suomessa?

Suomessa kansallisen valvontaviranomaisen tehtäviä jaetaan useammalle taholle. Tietosuojavaltuutetun toimisto on nimetty markkinavalvontaviranomaiseksi henkilötietojen käsittelyyn liittyvien tekoälyjärjestelmien osalta. Liikenne- ja viestintävirasto Traficom hoitaa muita osia. EU-tasolla European AI Office (Euroopan komission tekoälytoimisto) ohjaa yhtenäistä tulkintaa ja valvoo yleiskäyttöisiä malleja.

Mitä sakkoja EU:n tekoälyasetuksesta voi saada?

Asetuksen mukaan kielletyistä käytännöistä sakko on enintään 35 miljoonaa euroa tai 7 prosenttia maailmanlaajuisesta vuotuisesta liikevaihdosta, kumpi suurempi. Korkean riskin järjestelmien velvoitteiden rikkomisesta enintään 15 miljoonaa euroa tai 3 prosenttia, ja virheellisten tietojen antamisesta viranomaiselle enintään 7,5 miljoonaa euroa tai 1 prosentti. Pk-yritysten osalta asetus edellyttää suhteellisuutta, eli sakot on mitoitettava liikevaihtoon ja vakavuuteen nähden.

Riittääkö että päivitän tietosuojaselosteeni?

Ei riitä. Tietosuojaseloste on osa GDPR-velvoitetta. Tekoälyasetus tuo päälle omat dokumentaatiovaatimuksensa: tekoälyjärjestelmien rekisteri, käyttötarkoituksen kuvaus, riskiluokitus, ihmisen valvonta, koulutusdatan kuvaus (korkean riskin järjestelmissä) ja läpinäkyvyysilmoitukset käyttäjille. Hyvä lähtökohta on luoda tekoälyrekisteri (AI register) erilliseksi dokumentiksi GDPR-rekisterin rinnalle.

Mitä jos käytän vain ChatGPT:tä ja Claudea?

Sinä olet käyttöönottaja (deployer), et tarjoaja. Vastuusi on rajatumpi mutta olemassa: et saa käyttää järjestelmiä kiellettyihin tarkoituksiin, sinun on noudatettava työnantajavelvoitteita kun työntekijät käyttävät tekoälyä, sinun on ilmoitettava asiakkaille kun he keskustelevat tekoälyn kanssa, ja jos käytät tekoälyä korkean riskin tarkoitukseen (esim. CV-suodatus rekrytoinnissa), sinun on tehtävä perusoikeusvaikutusten arviointi (FRIA) ja huolehdittava ihmisen valvonnasta.

EU:n tekoälyasetus ja suomalainen pk-yritys: elokuun 2026 tarkistuslista

EU:n tekoälyasetus (EU AI Act, EU 2024/1689) on Euroopan unionin asetus, joka säätelee tekoälyjärjestelmien kehittämistä, käyttöönottoa ja markkinointia EU:ssa. Sen pääosa tulee suomalaisille pk-yrityksille velvoittavaksi 2. elokuuta 2026. Jos käytät yrityksessäsi ChatGPT:tä, Claudea, omaa chatbottia, CV-suodatinta, tai mitä tahansa tekoälyä joka tekee päätöksiä ihmisistä, tämä koskee sinua.

Tämä on opas joka kertoo mitä se tarkoittaa käytännössä. Käyn läpi neljä riskiluokkaa konkreettisilla suomalaisilla esimerkeillä, mitä elokuussa 2026 tapahtuu, ja annan 12 kohdan tarkistuslistan jonka voit käydä läpi tämän viikon aikana. En ole juristi, ja jos järjestelmäsi on korkean riskin luokassa, kysy juristilta. Mutta tämän jälkeen ymmärrät mistä on kyse.

Yhden kappaleen yhteenveto

EU:n tekoälyasetus jakaa tekoälyjärjestelmät neljään riskiluokkaan käyttötarkoituksen mukaan. Suurin osa pk-yrityksen tekoälykäytöstä putoaa minimaalisen riskin luokkaan (tuottavuustyökalut, sähköpostin luonnostelu, kääntäminen) ja vaatii vain peruslisät: läpinäkyvyysilmoituksen ja työntekijäohjeistuksen. Korkean riskin käyttö (rekrytointi, luotonanto, työntekijöiden seuranta) tuo isommat velvoitteet: dokumentaatio, ihmisen valvonta, perusoikeusvaikutusten arviointi. Kielletyt käytännöt (sosiaalinen pisteytys, manipulatiivinen kohdistus haavoittuvaisille) on jo kielletty täysin. Asetuksen valvonnasta vastaa Suomessa pääasiassa Tietosuojavaltuutetun toimisto ja Traficom.

Mistä asetuksessa on kyse

EU:n tekoälyasetus on maailman ensimmäinen kattava tekoälyä koskeva sääntely. Se hyväksyttiin kesällä 2024 ja sen virallinen nimi on Euroopan parlamentin ja neuvoston asetus (EU) 2024/1689. Asetuksen virallinen teksti on luettavissa EUR-Lex-tietokannasta.

Asetus on rakennettu riskipohjaisesti. Sen sijaan, että se sääntelisi yksittäisiä teknologioita, se sääntelee käyttötarkoituksia. Sama tekoälymalli (esim. GPT-4) voi olla minimaalisen riskin työkalu kun sillä luonnostellaan markkinointiviestejä, ja korkean riskin järjestelmä kun se suodattaa työnhakijoiden CV:itä rekrytointiprosessissa. Riskiluokka ei riipu mallista, vaan siitä mihin sitä käytetään.

Tämä on tärkeä ymmärtää, koska se määrittää mitä sinulta vaaditaan. Pk-yrityksen kannalta yleisin tilanne on: olet käyttöönottaja (deployer), et tarjoaja. Ostat valmiita työkaluja (ChatGPT, Microsoft Copilot, Wicflowin chatbotin, Salesforcen Einstein), ja vastuusi on rajatumpi kuin järjestelmän kehittäjällä. Mutta vastuusi on olemassa.

Neljä riskiluokkaa konkreettisilla esimerkeillä

1. Kielletyt käytännöt (artikla 5)

Nämä on yksinkertaisesti kielletty EU:ssa. Et saa kehittää, tarjota etkä käyttää näitä järjestelmiä riippumatta siitä kuinka pieni yrityksesi on. Voimaan tuli jo helmikuussa 2025.

Käytännössä kiellettyjä ovat:

Sosiaalinen pisteytys (yksilöiden luokittelu yhteiskunnallisen käyttäytymisen perusteella)
Alitajuiset manipulaatiotekniikat jotka aiheuttavat merkittävää haittaa
Lasten ja muiden haavoittuvien ryhmien hyväksikäyttäminen
Reaaliaikainen biometrinen tunnistaminen julkisilla paikoilla (poikkeuksin lainvalvonnassa)
Tunteiden tunnistaminen työpaikalla tai oppilaitoksissa (poikkeukset lääketieteelle ja turvallisuudelle)
Predictive policing pelkän henkilöprofiloinnin perusteella
Kasvojentunnistuskuvien rajaton scrapaus internetistä tietokantoihin

Suomalaisen pk-yrityksen on harvinaista törmätä näihin tahattomasti, mutta yksi kompastuskivi on olemassa: tunteiden tunnistaminen myyntipuheluissa tai työntekijäpalavereissa. Jos käytät tekoälyä joka analysoi työntekijöidesi äänensävyä, mielialaa tai stressiä työaikana, tarkista se nyt. Tämä on luultavasti kielletty.

2. Korkean riskin järjestelmät (artikla 6 ja liite III)

Tämä on luokka jossa pk-yritykset useimmiten ovat ilman että tietävät. Korkean riskin järjestelmät ovat sallittuja, mutta vaativat tarkkaa dokumentaatiota, ihmisen valvontaa, koulutusdatan laadunvarmistusta, perusoikeusvaikutusten arvioinnin ja rekisteröinnin EU:n julkiseen tietokantaan.

Pk-yrityksen yleisimmät korkean riskin käyttötapaukset:

Rekrytointi. CV-suodatus, työnhakijoiden pisteytys, automatisoitu valinta haastatteluun. Jos käytät tekoälyä edes osittain rekrytointipäätöksissä, olet luultavasti tässä luokassa.
Henkilöstön johtaminen. Työntekijöiden suorituksen arviointi tekoälyllä, ylennysten ja irtisanomisten suositukset, tehtävien jako algoritmilla.
Luottoluokitus ja luotonanto. Jos olet rahoitusalan yritys ja teet luottopäätöksiä tekoälyllä.
Vakuutus. Hinnoittelumallit jotka käyttävät henkilöprofilointia.
Pääsynhallinta kriittiseen infraan. Vesi-, sähkö-, lämpöverkkojen ohjaus.
Koulutus. Pääsy oppilaitoksiin, opiskelijoiden arviointi.

Esimerkki suomalaisesta pk-yrityksestä joka on tässä luokassa: kasvuvaiheessa oleva kymmenen hengen ohjelmistotalo joka käyttää LinkedIn Recruiteria + OpenAI:n APIa CV-yhteenvetojen tekemiseen ja työnhakijoiden ranking-listan tuottamiseen. Vaikka lopullisen päätöksen tekee ihminen, tekoäly vaikuttaa siihen ketkä haastattelukutsun saavat. Tämä on korkean riskin käyttö ja vaatii dokumentaation, ihmisen valvonnan ja perusoikeusvaikutusten arvioinnin (FRIA, fundamental rights impact assessment).

3. Rajoitetun riskin järjestelmät (artikla 50)

Tähän kuuluu suurin osa pk-yritysten asiakaspintaisesta tekoälystä. Velvoite on läpinäkyvyys: käyttäjälle on kerrottava että hän on vuorovaikutuksessa tekoälyn kanssa.

Tähän luokkaan kuuluu:

Asiakaspalvelu-chatbotit verkkosivulla
WhatsApp- ja sähköpostiagentit
Puheääniagentit (voicebotit)
Tekoälyllä luotu sisältö joka voi vaikuttaa todelliselta (deepfaket, synteettiset äänet, AI-kuvat markkinoinnissa)
Tunteen- ja biometrian tunnistus muualla kuin työ- ja oppimisympäristöissä

Jos sinulla on chatbot kotisivulla, sen on selkeästi ilmoitettava että käyttäjä keskustelee tekoälyn kanssa, ei ihmisen. Jos teet markkinointivideon jossa käytät synteettistä Felix Wickholmia, on merkittävä että sisältö on tekoälyllä tuotettu. Kuva-AI:lla generoidut sisällöt B2B-mainonnassa: sama juttu.

4. Minimaalisen riskin järjestelmät

Tähän putoaa suurin osa pk-yrityksen sisäisestä arkikäytöstä. Asetus ei aseta lisävelvoitteita, mutta hyvä käytäntö on silti tehdä perusasiat (työntekijäohjeistus, riskikartoitus). Esimerkkejä:

Käytät ChatGPT:tä sähköpostien luonnosteluun
Käytät Microsoft Copilotia Excel-laskelmien tekemiseen
Käytät Notiona joka summaa muistiinpanot tekoälyllä
Käytät käännöstyökalua kuten DeepL
Annat tekoälyn ehdottaa LinkedIn-postauksia
Spam-suodatin sähköpostissa, jolla on pitkä historia

Iso osa suomalaisten pk-yritysten käytöstä on tässä luokassa. Velvoitteet ovat kevyet, mutta perusvalmius on silti rakennettava: työntekijät tietävät mitä saa ja ei saa syöttää työkaluihin (asiakkaiden henkilötiedot, liikesalaisuudet), ja yrityksellä on rekisteri siitä mitä käytetään.

Mitä tarkalleen tapahtuu 2.8.2026

Asetus astui voimaan portaittain. Tärkeät päivämäärät:

2.2.2025: Kielletyt käytännöt ja tekoälyn lukutaito (AI literacy) -velvoitteet voimaan
2.8.2025: Yleiskäyttöisten mallien (GPAI) säännöt, hallintoelimet, seuraamukset GPAI:lle
2.8.2026: Korkean riskin järjestelmien velvoitteet (liite III), kansallisten valvontaviranomaisten täysi toimivalta, läpinäkyvyysvelvoitteet (artikla 50) voimaan
2.8.2027: Korkean riskin tuotteiden upotettujen järjestelmien velvoitteet (liite I, esim. lääkinnälliset laitteet)

Pk-yrityksen kannalta 2.8.2026 on se päivämäärä jolloin pää on syytä saada selkeäksi. Sen jälkeen Tietosuojavaltuutettu ja Traficom voivat tutkia ja sanktioida.

Mikä muuttuu elokuussa 2026 vs elokuussa 2027

Velvoite	Voimaan 2.8.2026	Voimaan 2.8.2027
Liitteen III korkean riskin järjestelmät (rekrytointi, luotonanto, henkilöstöhallinto, jne.)	Kyllä, kaikki velvoitteet	Jo voimassa
Liitteen I korkean riskin tuotteet (lääkinnälliset laitteet, koneet, lelut, hissit)	Ei vielä	Velvoitteet voimaan
Läpinäkyvyysvelvoitteet (artikla 50, chatbotit ja AI-sisältö)	Kyllä	Jo voimassa
Kielletyt käytännöt (artikla 5)	Voimassa 2.2.2025 alkaen	Voimassa
Yleiskäyttöiset mallit (GPAI)	Voimassa 2.8.2025 alkaen	Voimassa, lisäksi tiukennukset olemassa oleville malleille
Sakkojen täysimääräinen täytäntöönpano	Kyllä	Kyllä
Sääntelyhiekkalaatikot pk-yrityksille	Jäsenvaltioiden on tarjottava 2.8.2026 mennessä	Käytössä

12 kohdan tarkistuslista pk-yritykselle

Tämä on lista jonka voit käydä läpi tämän viikon aikana. Jokaisen kohdan kohdalla joko vastaat "kunnossa" tai "korjattava". Jos tiimissäsi ei ole ketään joka osaisi vastata, se on ensimmäinen havainto.

Wicflowin AI Act -tarkistuslista (Suomi 2026)

Tekoälyrekisteri. Onko sinulla lista kaikista tekoälyjärjestelmistä joita yrityksessäsi käytetään? Mukaan kuuluu kaikki: ChatGPT, Copilot, chatbotit, sähköpostiagentit, CV-suodattimet, käännöstyökalut, AI-pohjaiset analytiikkatyökalut. Lista ja sen pitäjä.
Riskiluokitus jokaiselle järjestelmälle. Onko jokaisesta järjestelmästä merkitty: kielletty, korkea, rajoitettu vai minimaalinen riski? Käyttötarkoituksen, ei teknologian mukaan.
Kiellettyjen käytäntöjen tarkistus. Onko mikään järjestelmäsi tunteiden tunnistus työpaikalla, sosiaalinen pisteytys, lasten manipulaatio, tai biometrinen reaaliaikainen tunnistus? Jos kyllä, lopeta käyttö heti.
Tekoälylukutaito (AI literacy). Onko työntekijöillesi annettu peruskoulutus: mitä tekoäly osaa ja ei osaa, mitä saa ja ei saa syöttää työkaluihin, miten tarkistaa tekoälyn vastauksia? Asetuksen artikla 4 vaatii kohtuullista AI literacy -tasoa.
Käyttöohjeet työntekijöille. Onko kirjallinen ohje: mitä työkaluja saa käyttää, mitä ei (esim. asiakasdataa ei syötetä julkisiin malleihin), miten merkitään AI-tuotettu sisältö asiakkaalle?
Läpinäkyvyysilmoitus chatbotissa. Jos sinulla on chatbot kotisivulla tai WhatsAppissa, ilmoittaako se selkeästi että käyttäjä keskustelee tekoälyn kanssa? "Olen tekoälyassistentti, jos kysymys on monimutkainen, ohjaan sinut Erikalle" tai vastaava.
AI-tuotetun sisällön merkintä. Onko sinulla käytäntö merkitä tekoälyllä tuotettu kuva-, video- ja äänisisältö markkinoinnissa? Esim. metatiedoissa tai näkyvänä merkintänä.
Korkean riskin järjestelmien dokumentaatio. Jos käytät tekoälyä rekrytoinnissa, henkilöstön johtamisessa, luotonannossa tai vastaavassa: onko tekninen dokumentaatio, käyttötarkoituksen kuvaus, koulutusdatan kuvaus, ihmisen valvonnan kuvaus ja FRIA tehty?
Hankintaohje. Kun ostat uutta tekoälytyökalua, kysytkö toimittajalta: mihin riskiluokkaan tämä menee meidän käyttötapauksessa, onko tarjoajalla CE-merkki (korkean riskin järjestelmissä), mitä tietoja malli on koulutettu, mitä dokumentaatiota saamme?
Datan sijainti. Käsitelläänkö tekoälyssä syötettäviä tietoja EU:ssa? Jos ei, onko siirtoperuste GDPR:n mukaan kunnossa? Tämä on GDPR-velvoite, mutta keskeinen myös AI Actin näkökulmasta.
Reklamaatio- ja kantelukäytäntö. Jos asiakas tai työntekijä epäilee että tekoäly on kohdellut häntä epäoikeudenmukaisesti, onko hänellä selkeä tapa valittaa? Yhteyshenkilö, sähköpostiosoite, vastausaika.
Vastuuhenkilö. Kuka yrityksessäsi vastaa tekoälyasetuksesta? Pienessä yrityksessä se on usein toimitusjohtaja tai tietosuojavastaava. Nimi pitää olla. "Ei kukaan" ei ole vastaus joka kestää tarkastelua.

Dokumentaatio: mitä paperilla pitää olla

Asetus ei vaadi pk-yritykseltä satoja sivuja paperia. Mutta kohtuullinen dokumentointi on välttämätön. Tässä mitä jokaisessa pk-yrityksessä pitäisi olla 2.8.2026 mennessä:

Kaikki yritykset

Tekoälyrekisteri. Excel tai Notion-sivu jossa on jokaisen järjestelmän nimi, käyttötarkoitus, riskiluokka, vastuuhenkilö, sopimus, datan sijainti.
Työntekijäohje. 1-2 sivua: mitä saa, mitä ei saa, miten kysyä epäselvissä tilanteissa.
Tietosuojaselosteen päivitys. Maininta tekoälyn käytöstä asiakaspintaisissa prosesseissa.
AI literacy -koulutuksen kuittaus. Kuka on saanut, milloin.

Jos käytät rajoitetun riskin järjestelmiä (chatbotit, AI-sisältö)

Läpinäkyvyysteksti chatbotissa, näkyvällä paikalla
AI-tuotetun sisällön merkintäkäytäntö dokumentoituna
Käyttöehdot päivitetty

Jos käytät korkean riskin järjestelmiä

Tekninen dokumentaatio järjestelmästä (saat usein toimittajalta)
Perusoikeusvaikutusten arviointi (FRIA), erityisesti julkisilla toimijoilla mutta yksityisillä rekrytoinnissa ja luotonannossa
Ihmisen valvonnan kuvaus: kuka tarkistaa, milloin, millä kriteereillä
Loki tekoälyn päätöksistä ja niiden ihmistarkastuksista
Conformity assessment (vaatimustenmukaisuuden arviointi) joko itse tai ilmoitettu laitos
Rekisteröinti EU:n julkiseen tietokantaan ennen markkinoille saattamista tai käyttöönottoa
Reklamaatiokäytäntö ja yhteyspiste

Miten AI-hankinnat pitäisi muuttua

Tämä on yksi käytännön tason muutos joka jokaisen pk-yrityksen pitää tehdä jo nyt. Kun ostat uutta tekoälytyökalua, kysy myyjältä viisi kysymystä ennen kuin allekirjoitat:

Mihin riskiluokkaan tämä järjestelmä putoaa meidän käyttötapauksessa? Ei riitä että se on minimaalisen riskin yleisesti, jos sinä käytät sitä rekrytoinnissa.
Onko järjestelmälle CE-merkki? Korkean riskin järjestelmissä CE on pakollinen 2.8.2026 alkaen.
Saanko teknisen dokumentaation ja käyttöohjeen? Toimittajan velvollisuus käyttöönottajalle.
Missä dataa käsitellään? EU vai EU:n ulkopuolella? Mitä siirtoperustetta käytetään?
Mihin GPAI-malliin tämä perustuu, ja mitä tarjoaja on dokumentoinut sen koulutusdatasta? GPT-4? Claude? Gemini? Open source -malli?

Jos myyjä ei osaa vastata näihin, se on signaali että toimittaja ei itse ole valmis 2.8.2026:lle. Etsi parempi.

Tarjoaja vs käyttöönottaja: kummalla velvoite on?

Tämä on jako joka kannattaa muistaa. Tarjoaja (provider) on se, joka kehittää tekoälyjärjestelmän ja saattaa sen markkinoille. Käyttöönottaja (deployer) on se, joka käyttää järjestelmää omassa toiminnassaan. Useimmat suomalaiset pk-yritykset ovat käyttöönottajia.

Käyttöönottajan velvoitteet korkean riskin järjestelmässä:

Käytä järjestelmää vain käyttöohjeen mukaiseen tarkoitukseen
Huolehdi ihmisen valvonnasta: nimetty henkilö tarkistaa lopulliset päätökset
Seuraa järjestelmän toimintaa ja ilmoita poikkeamat tarjoajalle ja viranomaiselle
Säilytä lokit (jos järjestelmä tuottaa niitä) vähintään kuusi kuukautta
Tee perusoikeusvaikutusten arviointi (FRIA) ennen käyttöönottoa, jos toimialasi sitä vaatii
Ilmoita työntekijöille kun käytät tekoälyä työpaikkapäätöksissä

Tarjoajan velvoitteet ovat raskaammat (CE-merkki, conformity assessment, tekninen dokumentaatio, EU:n tietokantaan rekisteröinti), mutta käyttöönottajan velvoitteet eivät katoa sillä että ostat valmiin järjestelmän.

Conformity assessment ja FRIA käytännössä

Korkean riskin järjestelmissä asetuksen artikla 43 vaatii vaatimustenmukaisuuden arvioinnin (conformity assessment) ennen markkinoille saattamista. Tämän tekee yleensä tarjoaja, ja useimmissa tapauksissa se voidaan tehdä itse (sisäinen tarkastus) ilman ilmoitettua laitosta. Käyttöönottaja näkee tuloksen CE-merkkinä ja teknisestä dokumentaatiosta.

Perusoikeusvaikutusten arviointi (FRIA, fundamental rights impact assessment, artikla 27) on käyttöönottajan velvoite tietyissä tapauksissa. Pk-yrityksen kannalta merkittävimmät: rekrytointijärjestelmät, työntekijöiden arviointi ja luotonanto. FRIA on lyhyt dokumentti joka vastaa kysymyksiin: missä tarkoituksessa järjestelmää käytetään, kuka voi vaikutuksen kohteeksi joutua, mitkä ovat haittariskit, miten ihminen valvoo, miten käyttäjät voivat valittaa. Käytännössä 3-5 sivua kun se on rehellisesti tehty.

Sakot ja Tietosuojavaltuutetun rooli

Asetuksen sakkomekanismi on portaikkomainen ja samanlainen kuin GDPR:ssä:

Kielletyt käytännöt: enintään 35 miljoonaa euroa tai 7 prosenttia liikevaihdosta
Korkean riskin järjestelmien velvoitteiden rikkominen: enintään 15 miljoonaa euroa tai 3 prosenttia
Virheellisten tietojen antaminen viranomaiselle: enintään 7,5 miljoonaa euroa tai 1 prosentti

Pk-yritysten osalta asetus edellyttää suhteellisuutta: sakkojen on oltava suhteessa liikevaihtoon ja vakavuuteen. Käytännössä realistinen riski suomalaiselle pk-yritykselle ei ole 35 miljoonan sakko vaan se että asia päätyy julkiseen ratkaisuun, mediaan ja maine kärsii. Tämä on todellinen kustannus.

Suomessa valvonta on jaettu: Tietosuojavaltuutetun toimisto hoitaa henkilötietojen käsittelyyn liittyvien tekoälyjärjestelmien valvontaa ja toimii Suomen markkinavalvontaviranomaisena merkittävässä osassa korkean riskin järjestelmiä. Liikenne- ja viestintävirasto Traficom hoitaa muita osia valvontaa. EU-tasolla European AI Office (Euroopan komission tekoälytoimisto) ohjaa yhtenäistä tulkintaa ja valvoo erityisesti yleiskäyttöisiä malleja.

Yksittäinen kantelu menee Tietosuojavaltuutetulle. Tutkinnan voi laukaista työntekijän, asiakkaan tai kolmannen osapuolen kantelu, samoin kuin viranomaisen oma havainto. Tämä on käytännössä sama logiikka kuin GDPR-tutkinnoissa: tutkinnat eivät synny tyhjästä, ne syntyvät kanteluista.

Suomalaisen pk-yrityksen tukiverkosto

Et ole yksin tämän kanssa. Suomalaisia tukilähteitä:

Business Finland: tekoälyhankkeiden rahoitusta, AI Finland -ohjelma, opastusta pk-yrityksille
Tietosuojavaltuutetun toimisto: viranomaisohjeet, tarkastuslistat, neuvonta
Traficom: tekoälyasetuksen kansallinen toimeenpano
European AI Office: tulkintaohjeet, GPAI-mallien valvonta, virallinen ohjeistus
EUR-Lex (asetuksen virallinen teksti): alkuperäinen lähde, suomenkielinen versio

Sääntelyhiekkalaatikko (regulatory sandbox) on yksi konkreettinen pk-yritystä auttava työkalu. Asetus velvoittaa jäsenvaltiot tarjoamaan 2.8.2026 mennessä vähintään yhden sääntelyhiekkalaatikon, jossa pk-yritys voi kehittää ja testata tekoälyjärjestelmäänsä viranomaisen valvonnassa ennen markkinoille saattamista. Suomessa toimeenpanoa hoitavat Traficom ja Tietosuojavaltuutettu yhteistyössä.

Pk-yrityksille on lisäksi rakennettu kevennyksiä: yksinkertaistettu tekninen dokumentaatio, alennetut maksut conformity assessmenteissa ja etusija sandbox-paikkoihin. Konkreettinen lisätieto siitä mitä Suomessa on tarjolla 2.8.2026 mennessä, päivittyy Traficomin ja Tietosuojavaltuutetun verkkosivuille kuluvan kevään ja kesän aikana.

Yleisimmät virheet joita näen pk-yrityksissä

Olen viimeisen vuoden aikana käynyt kymmeniä kartoituksia suomalaisten pk-yritysten kanssa. Toistuvat virheet:

1. "Me ei käytetä tekoälyä"

Käytätte. Jos joku tiimissäsi avaa ChatGPT:n, käyttää Copilotia Wordissä, klikkaa Notion AI:ta tai käännättää DeepLillä, käytätte. Tekoälyrekisteri pitää aloittaa kysymällä työntekijöiltä mitä he oikeasti käyttävät. Vastaus yllättää aina.

2. "Me ostetaan kaikki ulkoa, niin asetus ei koske meitä"

Koskee. Käyttöönottajan velvollisuudet ovat omat ja erilliset tarjoajan velvollisuuksista. Sinun on huolehdittava ihmisen valvonnasta, läpinäkyvyysilmoituksista ja oikeasta käyttötarkoituksesta riippumatta siitä että ostit työkalun valmiina.

3. "Riskiluokka määräytyy mallin mukaan"

Ei. Sama GPT-4 voi olla minimaalisen riskin viestien luonnostelussa ja korkean riskin CV-suodatuksessa. Käyttötarkoitus ratkaisee.

4. "GDPR-seloste riittää"

Ei riitä. Tekoälyasetus tuo päälle omat dokumentaatio- ja läpinäkyvyysvaatimukset. Tietosuojaseloste päivitetään, mutta sen rinnalle tulee tekoälyrekisteri.

5. "Odotetaan ensin viranomaisohjetta"

Asetus on jo laki. Ohjeita tulee, mutta ne tarkentavat lakia, eivät tee siitä epäaktiivista. Riskinsiirto siitä että odottaa, jää sinulle.

Wicflowin näkökulma: mistä kannattaa lähteä liikkeelle

Käytännön työjärjestys jonka suosittelen jokaiselle suomalaiselle pk-yritykselle, jolla ei vielä ole asetusta haltuun:

Viikko 1. Kerää tekoälyrekisteri. Kysy jokaiselta tiimiltä mitä työkaluja he oikeasti käyttävät. Älä luota oletuksiin.
Viikko 2. Tee riskiluokitus. Käy lista läpi: mikä on minimaalinen, rajoitettu, korkea, kielletty. Lopeta kiellettyjen käyttö heti.
Viikko 3. Kirjoita työntekijäohje. 1-2 sivua, kieli selvää suomea. Pidä koulutus, kuittaa allekirjoituksilla.
Viikko 4. Lisää läpinäkyvyysteksti chatbotteihin ja muihin AI-asiakaskohtaamisiin. Päivitä tietosuojaseloste.
Viikot 5-8. Korkean riskin järjestelmien dokumentaatio, FRIA, ihmisen valvonta. Tämä on isompi työ ja kannattaa tehdä juristin tai konsulttipartnerin kanssa.

Yhteensä kahdeksan viikon työ, kun lähdet nollasta. Kahdeksan viikkoa tästä päivästä on heinäkuu 2026, eli juuri ennen deadlinea. Et halua aloittaa myöhemmin.

Yhteenveto

EU:n tekoälyasetus on suomalaiselle pk-yritykselle vähemmän pelottava kuin otsikot antavat ymmärtää. Suurin osa arkikäytöstä on minimaalisen riskin luokassa, jossa velvoitteet ovat kevyet. Mutta asetus vaatii silti rakenteen: tiedät mitä käytät, miksi, kuka vastaa, ja miten käyttäjät tietävät että he ovat tekoälyn kanssa.

Kolme asiaa joiden kanssa lähdet liikkeelle tällä viikolla:

Tekoälyrekisteri. Mitä yrityksessäsi oikeasti käytetään.
Riskiluokitus. Mikä on missäkin luokassa.
Vastuuhenkilö. Kuka tästä vastaa, nimi paperille.

Loput rakentuvat näiden päälle. Ja jos hommassa on epävarmuutta tai aikaa ei yksinkertaisesti ole, me autamme. Wicflowin compliance-kartoitus käy yrityksesi tekoälykäytännöt läpi, tunnistaa korkean riskin pisteet, ja tuottaa konkreettisen suunnitelman tarkistuslistan kohta kohdalta. 20 minuutin keskustelu, ja saat suunnitelman riippumatta jatkamisesta.