Liina Jents ja Priit Põld: tehisintellekti määrus – 5 praktilist sammu ettevõtetele

Artikkel ilmus 7. jaanuar 2025 ITuudised portaalis

1. augustil 2024 jõustus tehisintellekti määrus, mis toob kaasa erinevad reeglid seoses tehisintellekti süsteemidega Euroopa Liidus. Kuigi määrus on juba jõustunud, hakkavad selle nõuded kehtima järk-järgult: esimesed tähtajad on seatud 2025. aasta veebruariks ja augustiks, suurem osa nõudeid hakkab kehtima aga 2. augustil 2026.

 Määrus kehtib sarnaselt kõigile juba tuttava isikuandmete kaitse üldmäärusega Euroopa Liidu üleselt. Selle eiramine võib kaasa tuua suuri trahve, ent lisaks trahviriskile kaasnevad määruse nõuete mittejärgmisel potentsiaalne maine- ja usaldusväärsuserisk, konkurentsieelise kahanemine, investorite huvi vähenemine ning muud ärilised ja eetilised riskid.  

 Seetõttu on uute reeglite järgimine oluline kõigile, kes arendavad, turustavad ja kasutavad tehisintellekti. Eelmainitud ettevõtted peaksid valmistuma juba praegu, sest kuigi esmapilgul tundub, et aega on palju, võivad tähtajad ootamatult kiiresti kätte jõuda.  

 Kliendid küsivad meilt üha enam, kas uus määrus puudutab ka neid ning kust ja kuidas võiks pihta hakata? Meie soovitused on järgmised. 

1. Kaardistage kõik tehisintellekti süsteemid

Koostage ülevaade oma ettevõtte tehisintellekti süsteemidest. Kuigi see võib tunduda tüütu ülesandena, võib praktikas selguda, et tehisintellekt on põimitud paljudesse süsteemidesse, mida igapäevaselt kasutate. See aitab teil hinnata, millisesse riskikategooriatesse teie kasutatud süsteemid kuuluvad. 

 Süsteemide kaardistamisel tuleb ka aru saada, millist rolli (nt valmistaja, pakkuja, importija või juurutaja) te iga tehisintellektisüsteemi puhul täidate, sest rollist sõltuvad ka kohustused. 

2. Hinnake süsteemide vastavust määrusele

Analüüsige, millisesse riskikategooriasse teie süsteemid kuuluvad: vastuvõetamatu, suur, läbipaistvusega seotud või minimaalne risk. Vastuvõetamatu riskiga süsteemid on keelatud alates 2. veebruarist 2025. Suure riskiga süsteemidele kehtivad kõige rangemad nõuded, samas kui minimaalse riskiga süsteemidele erireegleid ei ole. 

3. Tutvuge nõuetega

Riskidele vastavalt tuleks teil selgeks teha, millised on konkreetsed tehisintellekti määruse nõuded ja mida tuleb iga tehisintellekti süsteemi kontekstis teha. Olles tuvastanud, et teil on mõni suure riskiga tehisintellekti süsteem, siis järgnevalt on vaid mõned näited nõuetest, mida tuleb täita:  

• Looge riskijuhtimissüsteem, mis aitab tuvastada ja maandada riske.  

• Mõelge läbi ja korraldage andmehaldus, st süsteemide arendamiseks tuleb kasutada treenimis-, valideerimis- ja testimisandmestikke, mis vastavad tehisintellekti määruses sätestatud kvaliteedikriteeriumidele. 

• Koostage ja ajakohastage tehniline dokumentatsioon, tagage süsteemi toimimise läbipaistvus, täpsus ja küberturvalisus. 

4. Rakendage vajalikud nõuded

Pange kokku meeskond vastavuse tagamiseks. Alustage keelatud ja suure riskiga süsteemidest, seades realistlikud vahetähtajad. Süsteemne ja järkjärguline lähenemine aitab efektiivselt määruse nõudeid täita. 

5. Ärge unustage järgida ka muid õigusakte

Suures tehisintellekti määruse rakendamise tuhinas ei tohi unustada ka muude tihedalt seotud õigusaktide järgimist, nagu näiteks isikuandmete kaitse üldmäärus. Kui kasutate tehisintellektisüsteemi arendamiseks ja edasiõppeks isikuandmeid, tuleb tagada, et selline tegevus oleks eesmärgipärane ning tugineks asjakohasele õiguslikule alusele. Seda ka siis, kui need andmed on internetist avalikult kättesaadavad. Samuti peab olema tagatud läbipaistvus, mis tähendab, et tuleb anda vajalikku teavet tehisintellekti süsteemiga seonduvast andmetöötlusest ning austada andmesubjekti õigusi.  

 Samuti on äärmiselt olulisel kohal autoriõiguse regulatsioon, sest tehisintellekti treenimisel ja kasutamisel tuleb järgida ka autoriõiguse reegleid. Oluline on veenduda, et kellegi õigusi ei rikutaks nii tehisintellekti treenimisel kui ka selle väljundite kasutamisel.  

Kokkuvõte 

Tehisintellekti määruse nõuete täitmiseks on veel veidi aega, kuid varakult alustades tagate sujuva ülemineku. Süsteemide kaardistamine ja riskide hindamine on võtmetähtsusega, et ettevõte oleks määruse nõuete täitmiseks valmis.