PK-yritykset — EU:n tekoälylain noudattamisen opas

EU:n tekoälylain noudattaminen pieniä ja keskisuuria yrityksiä varten. PK-yrityskohtaiset säännökset, pääsy hiekkalaatikoihin, alennetut maksut sekä käytännön ohjeistus tekoälyn käyttöönottajille ja kehittäjille.

EU:n tekoälylaki ja PK-yritykset — hyvät uutiset

EU:n tekoälylaki (asetus (EU) 2024/1689) koskee kaikkia organisaatioita, jotka saattavat markkinoille tai käyttävät tekoälyjärjestelmiä EU:n markkinoilla koosta riippumatta. Useimpien pienten ja keskisuurten yritysten sääntelytodellisuus on kuitenkin huomattavasti vähemmän raskas kuin otsikoista voisi päätellä — ja syy on yksi ja keskeinen: ylivoimainen enemmistö PK-yrityksistä käyttää tekoälyä eikä rakenna sitä.

PK-yritys, joka tilaa tekoälyllä tehostettua CRM-järjestelmää, ottaa käyttöön chatbotin SaaS-toimittajalta tai käyttää pilvipohjaista kysynnän ennustamisohjelmistoa, on EU:n tekoälylain terminologiassa käyttöönottaja — ei tarjoaja. Käyttöönottajan velvoitteet ovat järjestelmällisesti kevyempiä kuin tarjoajan velvoitteet. Tarjoajat kantavat päävastuun vaatimustenmukaisuuden arvioinnista, teknisestä dokumentaatiosta, CE-merkinnästä ja rekisteröinnistä. Käyttöönottajilla on kohdennetumpi velvoitekokonaisuus, joka keskittyy oikeaan käyttöön, ihmisen valvontaan ja poikkeamien raportointiin.

Käyttöönottaja/tarjoaja-jaottelun lisäksi EU:n tekoälylaki sisältää erillisen PK-yrityskohtaisten säännösten paketin, joka tarjoaa rakenteellista tukea: etuoikeutetun pääsyn sääntelyhiekkalaatikoihin, alennetut vaatimustenmukaisuuden arviointimaksut ja omistetun yhteyspisteen kansallisella tasolla. Nämä säännökset heijastavat lainsäätäjän nimenomaista aikomusta estää tekoälylakia muodostumasta suhteettomaksi esteeksi pienemmille markkinaosapuolille.

Tässä oppaassa esitetään, mitä EU:n tekoälylaki tarkoittaa PK-yrityksen käytännössä — olitpa sitten kolmannen osapuolen tekoälytyökalujen käyttäjä, tekoälyä asiakaskohtaisissa yhteyksissä käyttöön ottava yritys tai itse tekoälytuotetta kehittävä ja kaupallistava toimija.

PK-yrityskohtaiset säännökset asetuksessa

EU:n tekoälylaki sisältää neljä säännöstä, jotka koskevat erityisesti PK-yrityksiä (yrityksiä, jotka täyttävät komission suosituksen 2003/361/EY kynnysarvot: alle 250 työntekijää ja joko vuotuinen liikevaihto enintään 50 miljoonaa euroa tai taseen loppusumma enintään 43 miljoonaa euroa) sekä startup-yrityksiä.

Art. 55 — Etuoikeutettu pääsy sääntelyhiekkalaatikoihin

Art. 55 vahvistaa, että sääntelytekoälyhiekkalaatikot — valvotut ympäristöt tekoälyn kehittämiseen ja testaamiseen ennen markkinoille saattamista — ovat PK-yritysten ja startup-yritysten etuoikeutettuja käyttää. Pääsy on maksutonta tai edullisempaa, ja osallistuvat organisaatiot saavat suoraa ohjausta toimivaltaiselta viranomaiselta. Hiekkalaatikkoon pääsy mahdollistaa markkinariskien tunnistamisen ennen markkinoille tuloa sekä sääntelydialogiin osallistumisen suojatussa ympäristössä ilman, että vaatimusten vastaisen markkinoille saattamisen seuraukset toteutuvat. Tekoälyjärjestelmiä rakentavien PK-yritysten tulisi pitää hiekkalaatikkoon osallistumista sekä vaatimustenmukaisuuden välineenä että keinona käydä suoraa vuoropuhelua valvontaviranomaisen kanssa ennen tuotteen julkaisua.

Art. 96 — Alennetut maksut vaatimustenmukaisuuden arvioinnista

Silloin kun korkean riskin tekoälyjärjestelmä edellyttää kolmannen osapuolen vaatimustenmukaisuuden arviointia ilmoitetun laitoksen toimesta (sovellettavissa Annex III:n kohdissa 1, 6 ja 7 lueteltuihin järjestelmiin sekä Art. 6(1):n mukaiseen lääkinnällisten laitteiden tekoälyyn), Art. 96 velvoittaa jäsenvaltiot vahvistamaan alennetut maksut pieniä yrityksiä varten. Mikroyritykset — joilla on alle 10 työntekijää ja vuotuinen liikevaihto tai taseen loppusumma enintään 2 miljoonaa euroa — ovat oikeutettuja vielä suurempiin alennuksiin. Tarkat maksujärjestelyt vahvistetaan jäsenvaltiotasolla ja vaihtelevat oikeudenkäyttöalueittain; asianomainen kansallinen tekoälyviranomainen tai Enterprise Europe Network voi toimittaa ajantasaiset luvut.

Art. 85 — Yhteysyksikkö

Art. 85 velvoittaa kansalliset tekoälyn valvontaviranomaiset perustamaan PK-yrityksille omistetun yhteyspisteen. Tämä tarkoittaa, että neuvontaa tekoälylain velvoitteista hakeva PK-yritys ei tarvitse navigoida useiden sääntelyosastojen läpi tai koordinoida hajautettujen viranomaisten välillä. Yhteyspiste tarjoaa tietoa, ohjaa tiedustelut asianmukaiselle taholle ja helpottaa hiekkalaatikkohakemuksia. Tämä säännös vähentää merkittävästi hallinnollisia kustannuksia, joita sääntelyvelvoitteiden ymmärtäminen muutoin aiheuttaisi.

Art. 9(5) — Suhteellinen riskinhallinta

Art. 9(5) säätää, että korkean riskin tekoälyjärjestelmien tarjoajilta edellytettävä riskinhallintajärjestelmä voidaan toteuttaa suhteellisuusperiaatteen mukaisesti organisaation koko ja rakenne huomioon ottaen. PK-yritykselle, joka toimii korkean riskin järjestelmän tarjoajana, tämä tarkoittaa, että vaikka riskinhallintajärjestelmän kaikkien aineellisten vaatimusten on täytyttävä, dokumentaatiomuoto, prosessin monimutkaisuus ja hallintarakenne voidaan mitoittaa organisaation todellisen kapasiteetin mukaan — edellyttäen, että tämä ei heikennä kehyksen suojatavoitteita.

Oletteko tarjoaja vai käyttöönottaja? — Päätöskehys PK-yrityksille

Tärkein alustava selvitys, jonka jokaisen EU:n tekoälylain kanssa tekemisissä olevan PK-yrityksen on tehtävä, on se, toimiiko se tarjoajana vai käyttöönottajana kunkin käyttämänsä tai tarjoamansa tekoälyjärjestelmän osalta.

Tarjoaja (Art. 3(3)): Organisaatio, joka kehittää tekoälyjärjestelmän tai teettää sen kehitettäväksi ja saattaa sen markkinoille tai ottaa sen käyttöön omalla nimellään tai brändillään — maksullisesti tai maksutta. Tähän kuuluvat PK-yritykset, jotka:

Rakentavat tekoälyä sisältävän ohjelmistotuotteen (mukaan lukien API:n kautta käytettävät tekoälymallit) ja myyvät tai lisensoivat sen asiakkaille;
Kehittävät tekoälymallin tai -sovelluksen sisäisesti ja ottavat sen käyttöön palveluna organisaation ulkopuolisille loppukäyttäjille;
Muuttavat kolmannen osapuolen tekoälyjärjestelmää olennaisesti tavalla, joka muuttaa sen käyttötarkoitusta.

Käyttöönottaja (Art. 3(4)): Organisaatio, joka käyttää tekoälyjärjestelmää omalla vastuullaan ammatillisessa tarkoituksessa. Tämä kattaa PK-yritykset, jotka:

Tilaavat tekoälyominaisuuksia sisältäviä SaaS-tuotteita (tekoälyllä tehostettua CRM-, ERP- tai kirjanpito-ohjelmistoa);
Käyttävät kolmannen osapuolen chatbottia tai keskustelevaa tekoälyä verkkosivustollaan;
Käyttävät pilvitekoäly-API:ja (luonnollisen kielen käsittely, kuvien luokittelu, suosittelukoneet) yksinomaan sisäisten työnkulkujen automatisoimiseen tai omien palvelujensa tehostamiseen ilman, että tekoälykykyä tarjotaan kolmansille osapuolille tuoteominaisuutena;
Hankkivat henkilöstöhallinto-ohjelmistoja, varaston ennustamistyökaluja tai asiakasanalytiikkatyökaluja ulkoisilta toimittajilta.

Kriittinen rajakohta: PK-yritys, joka integroi ulkoisen tekoäly-API:n omaan asiakaskohtaiseen tuotteeseensa ja markkinoi tätä kykyä tuotteensa ominaisuutena, on kyseisen tekoälytoiminnallisuuden osalta tarjoaja — ei pelkästään taustalla olevan API:n käyttöönottaja. Oikeussubjekti, joka määrittelee käyttötarkoituksen, hallitsee käyttäjäkokemusta ja saattaa tuotteen markkinoille, kantaa tarjoajan velvoitteet Art. 16:n nojalla riippumatta siitä, mistä tekoälymalli on peräisin.

Tärkeimmät käyttöönottajavelvoitteet kolmannen osapuolen tekoälyä käyttäville PK-yrityksille

Suurimmalle osalle PK-yrityksistä — niille, jotka ottavat käyttöön kolmannen osapuolen tekoälytyökaluja eivätkä rakenna omiaan — sovelletaan seuraavia velvoitteita Art. 26:n ja siihen liittyvien säännösten nojalla.

Käytä tekoälyjärjestelmiä tarjoajan ohjeiden mukaisesti

Käyttöönottajien on käytettävä korkean riskin tekoälyjärjestelmiä ainoastaan tarjoajan Art. 13:n nojalla toimittamien käyttöohjeiden mukaisesti. Tekoälyjärjestelmän käyttäminen tarkoituksiin, jotka ylittävät sen dokumentoidun käyttötarkoituksen, tai konfiguraatioissa, joita tarjoaja ei ole validoinut, siirtää osan vaatimustenmukaisuusvastuusta käyttöönottajalle ja saattaa mitätöidä järjestelmän vaatimustenmukaisuusarvioinnin.

Nimeä vastuullinen ihmisvalvoja

Art. 26(1) edellyttää, että käyttöönottajat siirtävät tekoälyn valvontavastuun organisaation sisällä pätevällä henkilölle. Useimmissa PK-yrityksissä tämä on nimetty henkilö (ei välttämättä erityinen tekoälymyönteisyysvaatimustenmukaisuuspäällikkö), joka ymmärtää järjestelmän toiminnon, sen tunnetut rajoitukset ja olosuhteet, joissa ihmisen väliintulo on tarpeen. Tämä nimeäminen on dokumentoitava.

Säilytä toiminnalliset lokit

Silloin kun korkean riskin tekoälyjärjestelmät tuottavat lokeja automaattisesti (Art. 12), käyttöönottajien on säilytettävä nämä lokit lain edellyttämän ajan — yleensä kuusi kuukautta tekoälylain nojalla, ellei alakohtainen lainsäädäntö edellytä pidempää säilytysaikaa. Käyttöönottajien on varmistettava, että toimittajasopimus myöntää pääsyn lokeihin ja vahvistaa niiden muodon ja täydellisyyden.

Ilmoita vakavista poikkeamista tarjoajalle

Art. 26(5) edellyttää, että käyttöönottajat ilmoittavat tarjoajalle kaikista käytön aikana havaituista vakavista poikkeamista tai toimintahäiriöistä. Silloin kun käyttöönottajaorganisaatio on julkinen elin, ilmoitusvelvoitteet ulottuvat kansalliselle tekoälyn valvontaviranomaiselle. Yksityissektorin PK-käyttöönottajille ensisijainen kanava on suora ilmoitus tarjoajalle, jolla on puolestaan omat velvoitteensa ilmoittaa viranomaiselle Art. 73:n nojalla.

Suorita perusoikeusvaikutusten arviointi tarvittaessa

Art. 27 edellyttää, että korkean riskin tekoälyä käyttöön ottavat julkiset elimet laativat perusoikeusvaikutusten arvioinnin ennen käyttöönottoa. Korkean riskin tekoälyä käyttöön ottavia yksityissektorin PK-yrityksiä — erityisesti henkilöstöhallinnon, luottoluokituksen tai asiakaskohtaisten päätöksenteon yhteyksissä — suositellaan vahvasti tekemään vastaava arviointi, sillä se osoittaa asianmukaisen huolellisuuden ja vähentää olennaisesti täytäntöönpanoriskiä.

Tarkista toimittajasopimukset

PK-käyttöönottajien on varmistettava, että tekoälytoimittajien kanssa tehdyt sopimukset sisältävät: vaatimustenmukaisuusdokumentaation ja käyttöohjeet; vahvistuksen EU:n tietokantaan rekisteröitymisestä tarvittaessa; lokiominaisuuden ja käyttöoikeuksien täsmennyksen; toimittajan sitoutumisen poikkeamailmoituksiin ja korjausmenettelyihin; sekä tiedot päivitys- tai muutosvelvoitteista, jotka saattavat vaikuttaa järjestelmän vaatimustenmukaisuustilanteeseen.

Jos rakennatte tekoälyä — PK-yrityksen tarjoajavelvoitteet ja tuki

PK-yritykset, jotka kehittävät ja kaupallistavat tekoälyjärjestelmiä, ovat tarjoajia ja kantavat täydet tarjoajan velvoitteet luvun III nojalla jokaisen korkean riskin järjestelmän osalta. Näiden velvoitteiden laajuus on huomattava: laadunhallintajärjestelmä (Art. 17), tekninen dokumentaatio Annex IV:n mukaisesti, tietojen hallinta Art. 10:n mukaisesti, lokikirjanpito Art. 12:n mukaisesti, avoimuusvaatimukset Art. 13:n mukaisesti, ihmisen valvonnan suunnittelu Art. 14:n mukaisesti sekä tarkkuus- ja luotettavuusstandardit Art. 15:n mukaisesti. Annex III:n järjestelmille, jotka edellyttävät ilmoitetun laitoksen arviointia, vaatimustenmukaisuuden reitti seuraa Art. 43:a.

Käytännön lähtökohtana PK-yrityksen tarjoajalle on riskiluokkamääritys:

Kuuluuko tekoälyjärjestelmä Art. 5:n (kielletyt käytännöt) piiriin? Jos kyllä, kehitys on lopetettava tai perusteellisesti uudelleenjärjestettävä ennen mitään markkinatoimintaa.
Täyttääkö järjestelmä korkean riskin kriteerit Art. 6(1):n nojalla (säännellyn tuotteen turvallisuuskomponentti) tai Annex III:n nojalla (luetellut sovellusalueet, kuten biometrinen tunnistaminen, kriittinen infrastruktuuri, koulutus, työllistyminen, välttämättömät palvelut, lainvalvonta, maahanmuutto, oikeuslaitos)?
Täyttääkö järjestelmä ainoastaan yleiskäyttöisen tekoälymallin kriteerit, joita sääntelee Art. 51–56, ilman korkean riskin luokitusta?
Onko järjestelmä ainoastaan Art. 50:n avoimuusvelvoitteiden** (tunnistaminen, deepfake, chatbotit) alainen?

PK-yrityksille, joiden järjestelmät jäävät korkean riskin ja kiellettyjen kategorioiden ulkopuolelle, vaatimustenmukaisuus on huomattavasti kevyempää: Art. 50:n avoimuusvaatimukset, GDPR-yhteensovittaminen ja sovellettavan kansallisen tai EU:n lainsäädännön mukaiset alakohtaiset velvoitteet.

Korkean riskin tekoälyä kehittäville PK-yrityksille Art. 55:n sääntelyhiekkalaatikko on tärkein käytettävissä oleva väline. Hiekkalaatikkoon osallistuminen mahdollistaa markkinoille saattamista edeltävän testauksen sääntelyvalvonnan alaisena, tuottaa dokumentoitua näyttöä vilpittömästä vaatimustenmukaisuusponnisteluista ja voi tunnistaa korjaavat toimenpiteet ennen kuin niistä tulee täytäntöönpanoasioita. Hakemukset toimitetaan kansalliselle yhteyspisteelle (Art. 85).

Käytännön toimenpiteet PK-yritysten vaatimustenmukaisuutta varten

Vaihe 1 — Inventoi kaikki käytössä olevat tai kehitteillä olevat tekoälyjärjestelmät. Listaa jokainen tekoälytyökalu, SaaS-tuote, pilvi-API ja sisäisesti kehitetty malli. Kirjaa toimittaja, toiminto ja se, toimiiko PK-yritys tarjoajana vai käyttöönottajana kunkin osalta.

Vaihe 2 — Luokittele jokainen järjestelmä riskiluokan mukaan. Sovella Art. 5:n / Art. 6:n / Annex III:n / Art. 50:n kehystä kuhunkin järjestelmään. Silloin kun luokittelu on epävarma, käytä Art. 85:n yhteyspistettä ohjaukseen.

Vaihe 3 — Käyttöönottajaroolien osalta: auditoi toimittajasopimukset. Varmista, että jokainen tekoälytoimittaja on toimittanut Art. 13:n edellyttämän dokumentaation ja että sopimus kattaa lokikirjanpidon, poikkeamailmoitukset ja päivitysvelvoitteet. Merkitse puutteet uudelleenneuvottelua varten.

Vaihe 4 — Tarjoajaroolien osalta: käynnistä vaatimustenmukaisuuspolku. Selvitä, edellyttääkö korkean riskin tekoälyjärjestelmänne itsearviointia (Art. 43(2)) vai kolmannen osapuolen ilmoitetun laitoksen arviointia (Art. 43(1)). Hae hiekkalaatikkoon pääsyä Art. 55:n nojalla, jos järjestelmä on kehitysvaiheessa. Ota yhteyttä ilmoitettuun laitokseen varhaisessa vaiheessa aikataulun ja maksujen selvittämiseksi, muistaen oikeutenne PK-yritysten maksualennuksiin Art. 96:n nojalla.

Vaihe 5 — Toteuta Art. 26:n käyttöönottajavelvoitteet kaikkien korkean riskin järjestelmien osalta. Nimeä valvontahenkilöt, dokumentoi heidän vastuunsa, varmista lokien säilyttämismenettelyt ja vahvista poikkeamailmoituskanavat.

Vaihe 6 — Perusta tekoälylain tarkistussykli. EU:n tekoälylaki on elävä kehys. Nimeä vastuuhenkilö seuraamaan EU:n tekoälytoimiston ohjeistusta, kansallisten viranomaisten päivityksiä ja Annex III:n luokitusten muutoksia. Aikatauluta vuosittainen sisäinen tarkistus järjestelmäinventaariosta ja vaatimustenmukaisuustilanteesta.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Olemmeko PK-yrityksenä, joka käyttää OpenAI API:a tuotteessamme, tekoälylain tarkoittama tarjoaja?

Kyllä. Jos PK-yrityksenne integroi kolmannen osapuolen tekoälymallin (myös API:n kautta) tuotteeseen tai palveluun, jonka saatat markkinoille tai otatte käyttöön omalla nimelläsi tai brändilläsi, teidät luokitellaan EU:n tekoälylain **Art. 3(3)**:n mukaiseksi **tarjoajaksi**. Tämä koskee tilanteita riippumatta siitä, onko taustalla olevan mallin kehittänyt jokin muu yritys. Tarjoajan velvoitteet — mukaan lukien tekninen dokumentaatio, vaatimustenmukaisuuden arviointi, CE-merkintä (korkean riskin järjestelmiä varten) ja rekisteröinti — ovat teidän vastuullanne. Siinä tapauksessa, että ketjun yläpään mallin tarjoaja toimittaa vaatimustenmukaisuusdokumentaation ja käyttöohjeet, nämä asiakirjat tukevat vaatimustenmukaisuustyötänne mutta eivät korvaa sitä. Art. 55 ja Art. 96 sisältävät PK-yrityskohtaisia tukimekanismeja vaatimustenmukaisuuden taakan keventämiseksi.

Onko PK-yrityksemme verkkosivuston chatbotin noudatettava EU:n tekoälylakia?

Se riippuu kahdesta tekijästä: chatbotin luonteesta ja sen toiminnoista. Ensinnäkin, jos chatbot on **yleiskäyttöinen tekoälypohjainen järjestelmä**, joka on vuorovaikutuksessa käyttäjien kanssa, sen on noudatettava **Art. 50:n avoimuusvelvoitetta**: käyttäjille on ilmoitettava, että he ovat vuorovaikutuksessa tekoälyjärjestelmän kanssa, ellei tämä ole asiayhteydestä itsestään selvää. Toiseksi, jos chatbot suorittaa toimintoja, jotka täyttävät korkean riskin kriteerit — kuten työnhakijoiden seulonta, luottokelpoisuuden arviointi tai oikeudellisesti tai henkilökohtaisesti merkittäviä vaikutuksia aiheuttavat päätökset — sovelletaan lisäksi korkean riskin velvoitteita. Yksinkertainen FAQ- tai tuotenavigaatiochatbot, joka käyttää kolmannen osapuolen SaaS-palveluntarjoajaa (jolloin olette käyttöönottaja), laukaisee ensisijaisesti Art. 50:n avoimuusvaatimuksen sekä Art. 26:n mukaisen käyttöönottajan velvoitteet, erityisesti ohjeiden mukaisen oikean käytön ja poikkeamailmoitukset.

Mikä on sääntelytekoälyhiekkalaatikko ja miten startup-yrityksemme voi päästä siihen?

**Sääntelytekoälyhiekkalaatikko** on kansallisten tekoälyn valvontaviranomaisten perustama valvottu testausympäristö, jossa tekoälyn tarjoajat — mukaan lukien startup-yritykset ja PK-yritykset — voivat kehittää, testata ja validoida tekoälyjärjestelmiä ennen markkinoille saattamista suoran sääntelyohjauksen alaisena. Hiekkalaatikoita sääntelee EU:n tekoälylain **Art. 57–63**. **Art. 55 myöntää PK-yrityksille ja startup-yrityksille etuoikeuden pääsyyn**, ja osallistuminen on maksutonta tai edullisempaa. Hakemukset tehdään suoraan jäsenvaltionsa tekoälylain täytäntöönpanosta vastaavalle kansalliselle viranomaiselle. Hiekkalaatikon puitteissa viranomainen voi myöntää rajoitettuja poikkeuksia tietyistä vaatimuksista aidon testauksen mahdollistamiseksi; hiekkalaatikkojakson jälkeen markkinoille saatetun tuotteen on täytettävä kaikki sovellettavat velvoitteet. Ota yhteyttä kansalliseen PK-yritysten yhteyspisteeseen (**Art. 85**) hakumenettelyjen selvittämiseksi.

Onko meidän rekisteröitävä tekoälyjärjestelmämme EU:n tietokantaan?

Rekisteröinti **korkean riskin tekoälyjärjestelmien EU-tietokantaan** **Art. 49**:n nojalla on pakollista ainoastaan, jos järjestelmä luokitellaan **korkean riskin** järjestelmäksi Art. 6:n tai Annex III:n mukaisesti. Korkean riskin järjestelmien tarjoajien on rekisteröidyttävä ennen markkinoille saattamista; julkisina eliminä toimivien käyttöönottajien on myös rekisteröidyttävä ennen käyttöönottoa. Suurin osa PK-yrityksistä, jotka ottavat käyttöön kolmannen osapuolen tekoälyjärjestelmiä (SaaS- tai API-kuluttajina), ei ole velvollisia rekisteröitymään — tämä velvoite kuuluu tarjoajalle. Jos PK-yrityksenne on korkean riskin tekoälyjärjestelmän tarjoaja, rekisteröinti on pakollista yrityksen koosta riippumatta, vaikka Art. 55:n ja 96:n tukisäännökset soveltuvat liittyvien kustannusten ja menettelyllisen monimutkaisuuden vähentämiseksi. Tietokanta on julkisesti käytettävissä, ja sitä hallinnoi EU:n tekoälytoimisto.

Mitä asiakirjoja meidän tulee pyytää tekoälytoimittajaltamme ennen heidän järjestelmänsä käyttöönottoa?

Ennen kolmannen osapuolen tekoälyjärjestelmän käyttöönottoa, erityisesti sellaisen joka saattaa olla korkean riskin järjestelmä, PK-yrityksenne tulisi sopimuksellisesti edellyttää ja hankkia: (1) **EU:n vaatimustenmukaisuusvakuutus** tai vastaava vaatimustenmukaisuusdokumentaatio; (2) **käyttöohjeet** Art. 13:n edellyttämällä tavalla, mukaan lukien käyttötarkoitus, tunnetut rajoitukset ja ihmisen valvontaa koskevat vaatimukset; (3) vahvistus siitä, että järjestelmä on **rekisteröity EU:n tietokantaan** vaaditulla tavalla; (4) tiedot järjestelmän **lokiominaisuuksista** ja siitä, miten lokeja voidaan käyttää tai hakea; (5) toimittajan **poikkeamailmoitusmenettelyt** ja heidän velvollisuutensa ilmoittaa teille toimintahäiriöistä tai vaatimustenmukaisuuteen vaikuttavista päivityksistä; sekä (6) tiedot järjestelmän **tietojenkäsittelyominaisuuksista**, jotka ovat merkityksellisiä GDPR-velvoitteidenne kannalta. Näiden asiakirjojen puuttuminen toimittajalta, joka tarjoaa tekoälyjärjestelmää arkaluonteisella alalla, on merkittävä vaatimustenmukaisuusriski.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.