90 % tekoälyä käyttävistä organisaatioista on käyttäjiä, jotka integroivat kolmannen osapuolen malleja — OpenAI, Anthropic, Azure AI tai tekoäly-SaaS-työkajuja. Ymmärrä velvoitteesi: mitä tarjoajan on annettava sinulle, mitä sinun on tehtävä ja milloin sinusta tulee itse tarjoaja.
Kolmannen osapuolen tekoälyn todellisuus: useimmat organisaatiot ovat käyttäjiä
Suurin osa eurooppalaisista organisaatioista, jotka käyttävät tekoälyä, ei ole OpenAI, Mistral tai tutkimuslaboratorio. Ne integroivat olemassa olevia malleja — API:n, SaaS-alustan, Azure AI -komponentin tai liiketoimintatyökalun laajennuksen kautta. Salesforce Einstein, Microsoft 365 Copilot, suureen kielimalliin pohjautuva HR-chatbot, erikoistoimittajalta hankittu luottoluokitusratkaisu: kaikissa näissä tapauksissa olet jonkun muun rakentaman tekoälyjärjestelmän käyttäjä.
Tässä asemassa on valtaosa EU:n tekoälyasetuksen vaikutuspiirissä olevista organisaatioista. Se kantaa täsmällisiä velvoitteita — erilaisia kuin tarjoajan velvoitteet, mutta ei vähämerkityksisiä. Se voi myös kehittyä: jos muokkaat järjestelmää tai myyt sen edelleen, oikeudellinen asemasi muuttuu.
Asemasi ymmärtäminen tekoälyn arvoketjussa on ensimmäinen askel missä tahansa vaatimustenmukaisuusponnistuksessa.
Velvoitteesi käyttäjänä
Käyttäjävelvoitteet vaihtelevat käyttämäsi tekoälyjärjestelmän riskitason mukaan.
Korkeariskisille tekoälyjärjestelmille (liite III)
Jos otat käyttöön kolmannen osapuolen tekoälyjärjestelmän, joka täyttää korkeariskiset edellytykset (luottokelpoisuuden arviointi, biometrinen tunnistaminen, rekrytointiseulonta, kriittisen infrastruktuurin hallinta jne.), Art. 26:n mukaiset velvoitteesi ovat:
1. Noudata käyttöohjeita Käytä järjestelmää vain sille tarkoitettuun käyttötarkoitukseen ja tarjoajan toimittamien ohjeiden mukaisesti. Korkeariskisen tekoälyjärjestelmän käyttäminen sen validoidun soveltamisalan ulkopuolella on vaatimustenvastaisuus, vaikka olisit vain käyttäjä.
2. Nimeä ihmisten valvonta Nimeä luonnollinen henkilö, jolla on pätevyys, toimivalta ja resurssit suorittaa merkityksellinen ihmisten valvonta tekoälyjärjestelmän tuotosten osalta. Tällä henkilöllä on oltava kyky ymmärtää, mitä järjestelmä tekee, havaita poikkeavuuksia ja ohittaa tai pysäyttää järjestelmä tarvittaessa.
3. Varmista syöttötietojen laatu Varmista, että järjestelmään syöttämäsi tiedot ovat relevantteja, riittävän edustavia ja tarkoituksenmukaisia erityiseen käyttöönottokontekstiisi. Yhdessä väestöryhmässä validoitu järjestelmä voi toimia eri tavalla omassasi — se on hallittava riskisi.
4. Valvo toimintaa ja havaitse poikkeavuuksia Valvo aktiivisesti järjestelmän toimintaa poikkeavuuksien, odottamattomien tuotosten tai suorituskyvyn heikkenemisen osalta. Tämä ei ole tarjoajan vastuu käyttöönottovaiheessa — se on sinun.
5. Säilytä lokit Aktivoi ja säilytä järjestelmän tuottamat automaattiset lokit asetuksen (ja mahdollisen sektorikohtaisen sääntelyn) vaatimaksi ajaksi. Älä poista lokikirjausta käytöstä tallennuskustannusten säästämiseksi.
6. Ilmoita vakavista tapahtumista Jos tulet tietoiseksi vakavasta tapahtumasta tai toimintahäiriöstä — joka aiheutti tai olisi voinut aiheuttaa kuoleman, vakavan haitan, perusoikeuksien loukkauksia tai merkittäviä omaisuusvahinkoja — ilmoita tarjoajalle ilman aiheetonta viivästystä. Joissakin tapauksissa (erityisesti kun käyttöönotto liittyy julkisiin palveluihin tai lainvalvontaan liittyviin toimintoihin) suora ilmoittaminen kansalliselle markkinavalvontaviranomaiselle voi myös olla vaadittua.
7. Perusoikeusvaikutusten arviointi (julkiset elimet) Jos olet julkinen elin tai yksityinen taho, joka ottaa käyttöön tekoälyjärjestelmiä alueilla, jotka todennäköisesti vaikuttavat perusoikeuksiin (terveydenhuolto, sosiaalipalvelut, koulutus, lainvalvonta), sinun on suoritettava perusoikeusvaikutusten arviointi ennen käyttöönottoa (Art. 27).
Pelkän avoimuusvelvoitteen tekoälyjärjestelmille (Art. 50)
Jos otat käyttöön chatbotin, tekoälyn tuottaman sisällön järjestelmän tai tunnehavaitsemistyökalun, joka ei ole korkeariskinen mutta kuuluu Art. 50:n avoimuusvelvoitteiden piiriin, sinun on:
- Tiedotettava käyttäjiä siitä, että he ovat vuorovaikutuksessa tekoälyjärjestelmän kanssa (Art. 50(1))
- Varmistettava, että tekoälyn tuottama sisältö on teknisesti merkitty (Art. 50(4)) soveltuvin osin
- Tiedotettava altistuneille henkilöille, kun tunnehavaitsemista tai biometrista luokittelua käytetään (Art. 50(2)–(3))
Nämä velvoitteet soveltuvat myös kolmannen osapuolen API:n tai SaaS-työkalun käytön aikana. Tarjoaja vastaa teknisen kyvyn rakentamisesta; sinä vastaat sen aktivoinnista ja siitä, että ilmoittaminen todella tavoittaa käyttäjät.
Minimiriskin tekoälyjärjestelmille
Ei erityisiä oikeudellisia velvoitteita tekoälyasetuksen nojalla. Vapaaehtoisia käytännesääntöjä sovelletaan. Hyvä hallintakäytäntö suosittelee silti käytössä olevien tekoälyjärjestelmien perusdokumentaatiota ja niiden suorituskyvyn säännöllisiä tarkistuksia.
Mitä kolmannen osapuolen tekoälytarjoajaltasi on vaadittava
Kykysi täyttää käyttäjävelvoitteet riippuu suoraan siitä, mitä tarjoaja antaa sinulle. EU:n tekoälyasetus edellyttää korkeariskisten tekoälyjärjestelmien tarjoajilta tiettyjen tietojen toimittamista — ja GPAI-mallien tarjoajilla on rinnakkaiset dokumentointivelvoitteet. Käytä tätä tarkistuslistaa hankkiessasi kolmannen osapuolen tekoälyä:
Mille tahansa tekoälyjärjestelmälle
- Järjestelmän kuvaus: Mitä järjestelmä tekee, mitä syötteitä se ottaa, mitä tuotoksia se tuottaa ja mihin päätöksiin se voi vaikuttaa?
- Käyttötarkoitus: Mihin käyttötapauksiin järjestelmä on suunniteltu, validoitu ja hyväksytty?
- Tunnetut rajoitukset: Millaisissa olosuhteissa järjestelmä toimii huonosti? Mitkä väestöryhmät, kielet tai datatyypit ovat sen validoidun soveltamisalan ulkopuolella?
- Käyttöohjeet: Täydellinen ohjesarja, jonka tarjoajan on toimitettava Art. 13:n mukaisesti korkeariskisille järjestelmille
Erityisesti korkeariskisille järjestelmille
- Vaatimustenmukaisuusvakuutus tai yhteenveto vaatimustenmukaisuuden arvioinnin tuloksista
- Riskienhallinnan dokumentaatio — mitä riskejä tunnistettiin ja miten ne lievennettiin?
- Harhojen ja oikeudenmukaisuuden testaustulokset — mitä suojattuja ominaisuuksia testattiin, mitä metriikoita käytettiin ja mitä tuloksia saatiin?
- Suorituskykymetriikat — tarkkuus, väärän positiivisen/negatiivisen prosentit ja väestöryhmittäin eroteltu suorituskyky
- Lokikirjauskyky — vahvistus siitä, että järjestelmä tuottaa Art. 12:n vaatimat lokit ja ohjeet niiden käyttämiseen ja säilyttämiseen
- Tapahtumailmoitusprosessi — keneen otetaan yhteyttä, missä aikataulussa ja mitä kanavaa käyttäen vakavan tapahtuman sattuessa
- Päivityspolitiikka — miten tarjoaja tiedottaa sinulle merkittävistä päivityksistä ja mitä uudelleenvalidointia vaaditaan päivitysten jälkeen?
GPAI-malleille (API:t ja perusmallien käyttöoikeus)
- Mallikortti tai tekninen yhteenveto — kyvykkyydet, rajoitukset, koulutusdatan yhteenveto, arviointitulokset
- Tekijänoikeuksien noudattamislausuma — miten tarjoaja käsittelee tekijänoikeuslain noudattamisen koulutusdatan ja tuotosten osalta?
- Hyväksyttävän käytön politiikka — mitkä käyttötapaukset tarjoaja kieltää ja mitä tapahtuu, jos rikot niitä?
- Tietojen käsittelyehdot — miten tarjoaja käsittelee syöttötietojasi? Käytetäänkö niitä jatkokoulutukseen?
Milloin sinusta tulee tarjoaja
EU:n tekoälyasetuksen Art. 25 on ratkaisevan tärkeä kolmannen osapuolen tekoälyn käyttäjille: se määrittelee, milloin käyttäjä siirtyy tarjoajaksi ja ottaa kaikki tarjoajan velvoitteet.
Sinusta tulee tarjoaja, kun:
1. Muutat merkittävästi korkeariskistä tekoälyjärjestelmää
Jos otat korkeariskisen tekoälyjärjestelmän ja teet merkittäviä muutoksia, jotka ylittävät tarjoajan tarkoittaman — muuttaen mallia, kouluttaen sen uudelleen omalla datallasi, muuttaen ydínlogiikkaa — olet nyt merkittävästi muutetun järjestelmän tarjoaja. Kaikki tarjoajan velvoitteet soveltuvat: vaatimustenmukaisuuden arviointi, tekninen dokumentaatio, CE-merkintä, EU:n tietokantaan rekisteröityminen.
Keskeinen kysymys: Onko mukauttamisesi "käyttö tarkoitetuissa parametreissa" vai "uuden kyvykkyyden kehittäminen"? Mallin hienosäätäminen omalla toimialakohtaisella datallasi voi tai ei voi olla merkittävä muutos riippuen muutoksen asteesta ja siitä, vaikuttaako se riskiprofiiliin.
2. Muutat käyttötarkoituksen korkeariskiseksi
Jos otat järjestelmän, jota ei luokitella korkeariskiseksi, ja otat sen käyttöön korkeariskisessä käyttötapauksessa — käyttäen esimerkiksi yleistä tekstiluokittelijaa työsuhteisiin liittyviin päätöksiin — olet muuttanut käyttötarkoitusta tavalla, joka käynnistää korkeariskisen luokittelun. Sinusta tulee korkeariskisen tekoälyjärjestelmän tarjoaja ja sinun on noudatettava kaikkia tarjoajan velvoitteita kyseiselle käyttöönotolle.
3. Saatatmarkkinoille omalla nimelläsi
Jos hankit tai lisensoit tekoälyjärjestelmän ja myyt sen edelleen tai tarjoat sitä muille omana tuotteenasi (white-labeling), saatatmarkkinoille omalla nimelläsi ja sinusta tulee tarjoaja. Tämä on yleistä SaaS-sektorilla: kolmannen osapuolen mallin integroiminen omaan tuotetarjoomaasi tekee sinusta kyseisen tuotteen tarjoajan.
4. Teet merkittäviä muutoksia GPAI-malliin
Jos otat GPAI-mallin ja teet merkittäviä muutoksia sen kyvykkyyksiin tai käyttötapaukseen — tarjoajan tarkoitettujen parametrien ulkopuolisesta hienosäädöstä enemmän — saatat tulla uuden GPAI-mallin tarjoajaksi, jolla on omat luvun V velvoitteesi.
Sopimukselliset suojat käyttäjille
Koska vaatimustenmukaisuutesi riippuu siitä, mitä tarjoaja antaa sinulle, sopimuksesi kolmannen osapuolen tekoälytoimittajien kanssa ovat kriittinen vaatimustenmukaisuustyökalu. Keskeisiä lausekkeita sisällytettäväksi:
Tiedonsaantioikeudet
- Oikeus vastaanottaa säännöllisesti päivitetty versio käyttöohjeista
- Oikeus käyttää vaatimustenmukaisuusvakuutusta ja vaatimustenmukaisuuden arvioinnin yhteenvetoa
- Oikeus vastaanottaa harhojen testauksen tulokset ja suorituskykymetriikat
- Oikeus vastaanottaa dokumentaatio merkittävistä mallipäivityksistä ennen käyttöönottoa
Tapahtumien hallinta
- Tarjoajan velvollisuus ilmoittaa sinulle kaikista vakavista tapahtumista tai haavoittuvuuksista, joista he tulevat tietoisiksi, määritellyn aikataulun kuluessa
- Selkeä kanava ja prosessi tapahtumien ilmoittamiseksi tarjoajalle
- Sitoumus tarjoajalta yhteistyöhön tapahtumien tutkimuksessa ja viranomaiskyselyissä
Tarkastusoikeudet
- Oikeus tarkastaa tai vastaanottaa tarkastusraportteja tarjoajan tekoälyasetuksen velvoitteiden noudattamisesta
- Oikeus pyytää päivitettyä dokumentaatiota merkittävien muutosten tapahtuessa
Päivitysvelvoitteet
- Tarjoajan on ilmoitettava sinulle ennen merkittävien päivitysten käyttöönottoa tekoälyjärjestelmään
- Tarjoajan on neuvottava, muodostaako päivitys merkittävän muutoksen, joka vaatii uudelleenvalidoinnin
- Dokumentaation jatkuvuus — päivitetty tekninen dokumentaatio on toimitettava jokaisen merkittävän päivityksen yhteydessä
Vastuunjako
- Selkeys siitä, kumpi osapuoli vastaa mistäkin velvoitteesta Art. 25:n mukaisesti
- Vahingonkorvaus tarjoajan vaatimustenmukaisuusvelvoitteiden laiminlyönnistä aiheutuneista tappioista
- Vastuunrajoitussäännökset, jotka eivät heikennä kykyäsi täyttää sääntelyvelvoitteesi
Tekoälytoimittajamarkkinat: mitä seurata
Tekoälytyökalujen ja -palveluiden markkinat kehittyvät nopeasti, ja toimittajien EU:n tekoälyasetuksen vaatimustenmukaisuusasema vaihtelee merkittävästi:
- Suuret pilvi- ja tekoälytarjoajat (Microsoft, Google, AWS, OpenAI, Anthropic) ovat investoineet voimakkaasti tekoälyn hallintoon ja GPAI-vaatimustenmukaisuusdokumentaatioon. Heidän käyttöehtonsa ja mallikortit tarjoavat enemmän tietoa kuin useimmat muut toimittajat.
- Erikoisalan tekoälytoimittajat (HR-teknologia, oikeudellinen teknologia, fintech, healthtech) ovat eri vaiheissa EU:n tekoälyasetuksen valmiudessa. Monet ovat pk-yrityksiä, jotka eivät ole vielä täysin kartoittaneet velvoitteitaan.
- SaaS-työkajuihin integroitu tekoäly (tekoälyominaisuudet CRM:ssä, ERP:ssä, tuottavuustyökaluissa) ei välttämättä markkinoidu "tekoälytuotteina" — mutta jos ne tekevät tai vaikuttavat seurauksellisiin päätöksiin yksilöistä, EU:n tekoälyasetuksen velvoitteet soveltuvat.
Hankintatiimien tulisi lisätä tekoälyasetuksen vaatimustenmukaisuusnäyttö toimittajien due diligence -tarkistuksiin — pyytäen toimittajia todistamaan vaatimustenmukaisuusasemansa, toimittamaan vaatimustenmukaisuusdokumentaation korkeariskisille järjestelmille ja sitoutumaan jatkuvaan tietojen jakamiseen sääntelymaiseman kehittyessä.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Kyllä, käyttäjinä. API-tarjoaja (OpenAI, Anthropic) on GPAI-mallin tarjoaja ja kantaa GPAI-velvoitteet. Jos rakennat heidän API:nsa päälle sovelluksen ja asetat sen käyttäjien saataville, sinusta tulee kyseisen sovelluksen tarjoaja (tekoälyjärjestelmä). Sinulla on käyttäjävelvoitteet taustalla olevan GPAI-mallin osalta ja tarjoajavelvoitteet omalle tekoälyjärjestelmällesi.
Korkeariskisille tekoälyjärjestelmille: toimittajan (tarjoajana) on toimitettava käyttöohjeet (Art. 13) ja yhteenveto vaatimustenmukaisuuden arvioinnista tai vaatimustenmukaisuusvakuutus. GPAI-malleille: tarjoajien on toimitettava tekninen dokumentaatio ja alajuurisen vaatimustenmukaisuuden edellyttämät tiedot. Pyydä sopimuksessa: järjestelmän kuvaus, tunnetut rajoitukset, harhojen testauksen tulokset, suorituskykymetriikat ja tapahtumaraportoinnin menettelyt.
Sopimuksellisesti voit jakaa vastuun osapuolten välillä — mutta sääntelyvastuuta ei voida sopia pois. Jos otat käyttöön korkeariskisen tekoälyjärjestelmän, sinulla on käyttäjävelvoitteet riippumatta sopimuksestasi. Käytä sopimuksia varmistaaksesi, että tarjoaja antaa sinulle sen, mitä tarvitset velvoitteidesi täyttämiseen, eikä niistä pakenemiseen.
EU:n tekoälyasetus soveltuu Euroopan markkinoille saatettuihin tekoälyjärjestelmiin riippumatta siitä, missä tarjoaja on sijoittautunut. EU:n ulkopuolisten tarjoajien on nimettävä valtuutettu edustaja EU:hun (Art. 22), jolla on samat oikeudelliset velvoitteet kuin EU:hun sijoittautuneella tarjoajalla. Varmista, että toimittajalla on valtuutettu edustaja ennen heidän tekoälyjärjestelmänsä käyttöönottamista.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.