Tekoäly ja sääntely

EU:n tekoälylaki: mitä yrityksen pitää tehdä 2.8.2026 mennessä

Suomalainen yrittäjä työpöydän ääressä lukemassa asiakirjaa kannettavan vieressä, rauhallinen pohjoismainen valaistus

Jos käytät tekoälyä yrityksessäsi, EU:n tekoälylaki koskee sinua jo. Hyvä uutinen on, että ne raskaimmat velvoitteet siirtyivät vuoteen 2027. Huono uutinen on, että läpinäkyvyyssäännöt astuvat voimaan 2.8.2026, ja ne koskevat ihan tavallista yritystä joka käyttää chatbottia, tekee AI-kuvia tai tuottaa tekstiä tekoälyllä. Ei pelätä. Tämä on helpompaa kuin miltä se kuulostaa.

Olen jutellut monen yrittäjän kanssa, joilla on sama fiilis kuin GDPR:n aikaan. Tulee iso lakipaketti Brysselistä, otsikot huutavat 35 miljoonan euron sakkoja, ja takaraivossa kalvaa että nyt pitäisi varmaan palkata juristi. Useimmiten ei tarvitse. Käydään läpi mikä oikeasti muuttuu 2.8.2026, ketä se koskee, ja miten sen hoitaa kuntoon ilman paniikkia.

Lyhyesti, jos kiire:

  • Korkean riskin AI:n raskaat velvoitteet siirtyivät 2.8.2026:sta 2.12.2027:aan. Ne eivät koske useimpia.
  • Läpinäkyvyyssäännöt (Art 50) astuvat voimaan 2.8.2026. Ne koskevat tavallista AI:ta käyttävää yritystä.
  • Käytännössä: kerro käyttäjälle kun hän juttelee botin kanssa ja merkitse AI:lla tehty kuva, ääni tai video.
  • Tavallisen yrityksen läpinäkyvyysrikkomus on enintään 15 M€ tai 3 % liikevaihdosta, ei se otsikoiden 35 M€. PK-yrityksiin sovelletaan alempaa rajaa.
  • Tämän saa kuntoon muutamassa tunnissa, ei kuukausissa.

Mikä EU:n tekoälylaki on?

EU:n tekoälylaki (EU AI Act, virallisesti tekoälyasetus) on koko EU:n yhteinen sääntökirja siitä, miten tekoälyä saa kehittää ja käyttää. Se tuli voimaan 1.8.2024 ja astuu voimaan vaiheittain useamman vuoden aikana. Laki jakaa tekoälyn riskin mukaan: kielletyt käytännöt, korkean riskin järjestelmät, ja kevyemmin säädelty tavallinen AI johon useimmat yritykset kuuluvat.

Idea on yksinkertainen. Mitä isompi riski ihmisille, sitä tiukemmat säännöt. Kasvojentunnistus julkisella paikalla on eri asia kuin chatbotti verkkokaupassa. Suurin osa pk-yrityksistä käyttää tekoälyä tavallisiin asioihin: asiakaspalveluun, sisältöön, raportointiin. Niitä koskee lähinnä yksi asia, läpinäkyvyys. Jos haluat taustaa siihen miten AI:ta ylipäätään kannattaa ottaa yritykseen, lue ensin tekoäly yritykselle.

Mikä muuttuu 2.8.2026, ja mikä ei

Tärkein päivä tavalliselle yritykselle on 2.8.2026. Silloin tekoälyasetuksen läpinäkyvyysvelvoitteet (artikla 50) astuvat voimaan, ja valvonta- ja sakkokoneisto kytkeytyy päälle. Korkean riskin järjestelmien raskaat velvoitteet sen sijaan siirrettiin myöhemmäksi niin sanotulla Digital Omnibus -muutoksella, jonka Euroopan parlamentti vahvisti 16.6.2026.

Tämä ero on se mikä jää otsikoista usein piiloon. Lykkäys koskee korkean riskin AI:ta, ei läpinäkyvyyttä. Tässä mikä siirtyi ja mikä ei:

VelvoiteKenelleVoimaan
Läpinäkyvyys (Art 50): kerro botista, merkitse AI-sisältöTavallinen AI:ta käyttävä yritys2.8.2026 (ei lykätty)
Synteettisen sisällön koneluettava merkintäAI-mallien tarjoajat2.12.2026
Korkean riskin AI, Annex III (esim. rekrytointi, luotonanto)Korkean riskin järjestelmien käyttäjät2.12.2027 (lykätty 2.8.2026:sta)
Korkean riskin AI, Annex I (säädellyt tuotteet)Tuotevalmistajat2.8.2028 (lykätty)

Eli jos et tee rekrytointia, luotonarviointia tai vastaavia korkean riskin päätöksiä tekoälyllä, raskaat velvoitteet eivät kosketa sinua vielä pitkään aikaan. Mutta läpinäkyvyys koskettaa heti, jos käytät botteja tai AI:lla tehtyä sisältöä.

Ketä läpinäkyvyyssäännöt oikeasti koskevat?

Läpinäkyvyyssäännöt koskevat sinua, jos yrityksesi käyttää tekoälyä tavalla joka ei ole käyttäjälle ilmeinen. Käytännössä kolme tilannetta osuu useimpiin yrityksiin. Et tarvitse juristia tunnistaaksesi ne, riittää että käyt oman toimintasi läpi.

  • Chatbotti tai AI-asiakaspalvelu. Jos asiakas juttelee tekoälyn kanssa, hänelle pitää kertoa se. Selvästi ja heti ensimmäisellä viestillä, ei piilotettuna sivun alalaitaan.
  • AI:lla tehdyt kuvat, äänet tai videot. Jos julkaiset deepfaken tai muuten AI:lla tuotettua tai muokattua mediaa, se pitää merkitä AI-tuotetuksi.
  • AI:lla tuotetut tekstit yleisön tiedoksi. Yleiseen tietoon julkaistu AI-teksti pitää merkitä, paitsi jos ihminen on tarkistanut sen toimituksellisesti ja ottaa siitä vastuun.

Tuo viimeinen kohta on tärkeä etenkin markkinointitoimistoille ja sisällöntuottajille. Jos AI kirjoittaa raakaversion ja ihminen editoi sen ja seisoo sisällön takana, erillistä merkintää ei tarvita. Vastuu siitä mitä julkaiset säilyy ihmisellä. Sama koskee biometristä tunnistusta ja tunteentunnistusta: jos käytät niitä, niistä pitää ilmoittaa, ja GDPR pätee päälle edelleen.

Läpinäkyvyys ei ole este. Se on sama asia kuin rehellisyys asiakkaalle. Useimmat hyvät yritykset tekevät tämän jo, laki vain kirjoittaa sen ylös.

Paljonko sakot ovat, oikeasti?

Tavallisen yrityksen läpinäkyvyysrikkomuksen sakkokatto on enintään 15 miljoonaa euroa tai 3 % maailmanlaajuisesta liikevaihdosta, kumpi onkin suurempi. Se otsikoiden 35 miljoonaa koskee kiellettyjä käytäntöjä, kuten manipulatiivista AI:ta tai luvatonta biometristä valvontaa, eli asioita joita tavallinen yritys ei tee. PK-yrityksille sovelletaan käytännössä alempaa rajaa.

Rikkomuksen tyyppiSakkokatto
Kielletyt käytännöt (Art 5)35 M€ tai 7 % liikevaihdosta
Muut velvoitteet, ml. läpinäkyvyys (Art 50)15 M€ tai 3 % liikevaihdosta
Väärien tietojen antaminen viranomaiselle7,5 M€ tai 1 % liikevaihdosta

Käytännössä kukaan ei jaa pk-yritykselle 15 miljoonan sakkoa siitä, että botin yhteydessä unohtui maininta. Numerot ovat kattoja, ja valvonta katsoo ensin vakavuutta ja tahallisuutta. Mutta tämä on silti hoidettava kuntoon, koska se on helppoa ja koska asiakkaasi luottamus on sen arvoista.

Miten hoidat sen kuntoon kevyesti

Tavallinen yritys saa tekoälyasetuksen läpinäkyvyyden kuntoon muutamassa tunnissa. Et tarvitse järjestelmäprojektia etkä jatkuvaa lakikulua. Käy nämä kohdat läpi kerran, korjaa mitä puuttuu, ja kirjaa ylös mitä teit. Tässä konkreettinen tarkistuslista:

  1. Listaa missä käytät AI:ta. Botit, kuvageneraattorit, tekstigeneraattorit, ääni. Et voi merkitä mitä et tiedä olevan.
  2. Lisää botteihin selkeä maininta. Yksi lause: "Tämä on tekoälyavustaja." Heti ensimmäisellä viestillä.
  3. Merkitse AI-tuotettu media. Kuvat, videot ja äänet jotka on tehty tai muokattu tekoälyllä.
  4. Sovi tekstien tarkistuksesta. Päätä kuka tarkistaa AI-tekstit ja ottaa niistä vastuun. Silloin erillistä merkintää ei tarvita.
  5. Kirjaa ylös mitä teit. Lyhyt muistio riittää. Jos joku kysyy, sinulla on vastaus valmiina.

Jos rakennat AI-ratkaisuja meidän kanssamme, läpinäkyvyys tulee mukaan automaattisesti. Kun teemme botin, se kertoo olevansa botti, ja kun teemme sisältöautomaation, mietitään merkinnät valmiiksi. Se on osa hyvää toteutusta, ei erillinen lisäosa. Voit lukea miten PolkuAI rakentaa ratkaisun kartoituksesta ylläpitoon, tai katsoa suoraan palvelut.

Usein kysytyt kysymykset

Koskeeko EU:n tekoälylaki pientä yritystä?

Kyllä, jos käytät tekoälyä. Yrityksen koko ei vapauta velvoitteista, mutta useimmille pk-yrityksille kyse on vain läpinäkyvyydestä: kerro kun asiakas juttelee botin kanssa ja merkitse AI:lla tehty kuva, ääni tai video. Sakkokatot ovat suuria, mutta PK-yrityksiin sovelletaan alempaa rajaa ja valvonta katsoo rikkomuksen vakavuutta.

Mitä pitää tehdä 2.8.2026 mennessä?

Saata tekoälyn käyttösi läpinäkyväksi. Lisää botteihin maininta että kyseessä on tekoäly, merkitse AI:lla tuotettu media, ja sovi kuka tarkistaa AI-tekstit ja ottaa niistä vastuun. Tämä on tavalliselle yritykselle muutaman tunnin työ, ei kuukausien projekti.

Siirtyivätkö EU:n tekoälylain velvoitteet?

Osa siirtyi. Korkean riskin järjestelmien raskaat velvoitteet lykättiin Digital Omnibus -muutoksella: Annex III -järjestelmät 2.12.2027:aan ja Annex I -tuotteet 2.8.2028:aan. Läpinäkyvyysvelvoitteita ei lykätty, ne astuvat voimaan 2.8.2026 suunnitellusti.

Saako tekoälyllä tehdyn tekstin julkaista ilman merkintää?

Saa, jos ihminen on tarkistanut tekstin toimituksellisesti ja ottaa siitä vastuun. Tämä on tärkeää sisällöntuottajille ja markkinointitoimistoille. Pelkkä AI:n tuottama ja sellaisenaan yleisölle julkaistu teksti pitää merkitä, mutta editoitu ja vastuun kantava sisältö ei vaadi erillistä merkintää.

Mistä saan apua AI:n compliancen kanssa?

Voit hoitaa läpinäkyvyyden itse tämän tarkistuslistan avulla, se on useimmiten muutaman tunnin työ. Jos rakennat AI-ratkaisuja, compliance kannattaa tehdä osaksi toteutusta heti alusta. PolkuAI rakentaa ratkaisut niin että läpinäkyvyys on mukana valmiiksi. Voit varata ilmaisen kartoituksen jossa käymme tilanteesi läpi.

Ilmari Salmisto

Ilmari Salmisto

Founder & CEO, PolkuAI

Rakennan tekoälysysteemejä suomalaisille yrityksille käytännön työkaluilla. Ei teoriaa, vaan ratkaisuja jotka toimivat oikeasti. Taustalla koripalloa ja yrittäjyyttä, nyt täysillä tekoälyssä.

Aloita tänään

Mietityttääkö miten hoidat AI:n compliancen kuntoon?

Varaa ilmainen 30 minuutin kartoituspuhelu. Katsotaan yhdessä, mihin tekoäly voisi vapauttaa eniten aikaa juuri sinun yrityksessäsi. Ei sitoumuksia, ei myyntipuhetta.

30 min. Ilmainen. Ei sitoumuksia.
Ensimmäinen versio parin viikon sisällä
Suomalainen asiantuntija, suomeksi

Ilmari Salmisto on PolkuAI:n perustaja ja suomalainen tekoälykonsultti. Hän rakentaa räätälöityjä AI-agentteja ja automaatioita suomalaisille pk-yrityksille. Lue lisää taustasta ja työtavasta: Meistä.