Komissio julkaisi laajan digipaketin – Miten digisääntelyn yksinkertaistaminen vaikuttaa yrityksiin?
Euroopan komissio julkaisi 19. marraskuuta laajan digipaketin ja sen yhteydessä digisääntelyn yksinkertaistamiskokonaisuuden, joka käsittää kaksi digi-omnibusia (Digital Omnibus): yhden tekoälysääntelystä ja toisen data- ja kyberturvasääntelystä.
Omnibus on EU:ssa ja muussa lainsäädännössä yleinen termi, jota käytetään kuvaamaan laajoja säädöksiä, jotka yhdistävät useita eri aloitteita yhteen lainsäädäntöpakettiin.
Asiantuntijamme arvioivat yksinkertaistamiskokonaisuutta ja sen vaikutuksia teknologiateollisuuden yrityksille.
Mitä säädöksiä yksinkertaismiskokonaisuus sisältää?
– Komissio esittää yksinkertaistamistoimia erityisesti tekoälyasetukseen, data-asetukseen, yleiseen tietosuoja-asetukseen sekä joukkoon muuta data- ja kybersääntelyä. On muistettava, että ehdotukset vaativat voimaan tullakseen vielä Euroopan parlamentin ja Euroopan neuvoston eli jäsenmaiden hyväksyntää.
Mitä ovat keskeiset tekoälyasetusta koskevat yksinkertaistamisehdotukset?
– Komissio ehdottaa, että suuren riskin tekoälyjärjestelmien vaatimuksien soveltamista lykättäisiin johtuen niihin liittyvien standardien valmistelun viivästyksistä. Perusoikeuksia koskevien suuren riskin käyttötapausten, jotka on lueteltu asetuksen III liitteessä, soveltamista siirrettäisiin 16 kuukaudella alkamaan vasta joulukuussa 2027. Tuoteturvasäädöksiin, jotka luetellaan asetuksen I liitteessä, liittyvien käyttötapausten soveltamista siirrettäisiin 12 kuukaudella elokuuhun 2028. Komissiolla on kuitenkin mahdollisuus aloittaa soveltaminen siirrettyjä aikarajoja aiemminkin, mikäli standardit valmistuvat nopeammin.
– Komissio esittää myös, että ennen elokuuta 2026 markkinoille saatetuille generatiivisille tekoälyjärjestelmille annettaisiin kuusi kuukautta lisäaikaa täyttää tietyt avoimuusvaatimukset. Näiden vanhojen järjestelmien osalta soveltaminen alkaisi helmikuussa 2027.
– Lisäksi komissio tarjoilee joukon muita yksityiskohtaisempia kevennyksiä. Näistä voidaan mainita esimerkkeinä suuren riskin vaatimuksista poikkeuksen saaneiden järjestelmien rekisteröintivelvoitteesta luopuminen, tekoälylukutaidon edistämisen muuttaminen yrityksille vapaaehtoiseksi sekä tuoteturvasäänneltyjen suuririskisten tekoälyjärjestelmien tosielämän testausmahdollisuuksien helpottaminen. Komissio ehdottaa lisäksi tiettyjen erityisten henkilötietoryhmien käsittelyyn uutta perustetta tekoälyjärjestelmien ja -mallien vinoumien havaitsemiseksi ja korjaamiseksi.
– Komissio ehdottaa myös, että pk-yrityksiä koskevat huojennukset koskien muun muassa teknistä dokumentaatiota sekä seuraamusmaksuja ulotettaisiin koskemaan yrityksiä, jotka työllistävät enintään 750 henkilöä ja joiden liikevaihto on korkeintaan 150 miljoonaa euroa. Mikroyrityksiä koskeva laatujärjestelmävelvoitteen kevennys laajennettaisiin puolestaan pk-yrityksille.
– Huomionarvoista on myös se, että yleiskäyttöisiin tekoälymalleihin perustuvien tekoälyjärjestelmien, joiden tarjoaja on sama kuin taustalla olevan mallin tarjoaja, valvonta siirrettäisiin pääsääntönä komission tekoälytoimistolle. Sama muutos koskisi myös niitä tekoälyjärjestelmiä, jotka on integroitu EU:n digipalveluasetuksen mukaisiin erittäin suuriin verkkoalustoihin tai hakukoneisiin. Komissio voisi jatkossa myös perustaa näitä järjestelmiä varten EU-tasoisen sääntelyn testiympäristön. Muiden tekoälyjärjestelmien valvonnasta ja sääntelyn testiympäristöjen perustamisesta vastaisivat edelleen jäsenmaiden viranomaiset. Komissio ehdottaa, että jäsenmaiden testiympäristöjen välistä yhteistyötä vahvistettaisiin.
Mitkä ovat tekoälyasetusta koskevien ehdotusten vaikutukset suomalaiseen teknologiateollisuuteen?
– Tekoälyasetukseen ehdotetut kevennykset ovat suomalaisille yrityksille oikeansuuntaisia, mutta vaikutuksiltaan maltillisia. Soveltamisaikataulun lykkäys on sikäli hyvä, että asetuksen järkevän ja yhdenmukaisen soveltamisen kannalta tarpeellinen standardointityö ehditään tehdä huolella valmiiksi ja myös yrityksillä on riittävästi aikaa omaksua uudet standardit. Voidaan toki perustellusti kysyä, miksi näin ei menetelty jo alun perin.
– Merkittävin puute koskee tekoälyasetuksen ja tuoteturvasäädösten yhteensovittamista. Komission tähän esittämät toimet jäävät valitettavasti puolitiehen.
Mitä ovat keskeiset data-asetusta koskevat yksinkertaistamisehdotukset ja miten ne vaikuttavat yrityksiin?
– Data-asetuksen kohdalla keskeisin yksittäinen ehdotus koskee liikesalaisuuksien suojakeinojen vahvistamista suhteessa kolmansiin maihin ja niistä kontrolloituihin toimijoihin liittyviin riskeihin. Tämä on muuttuneen geopoliittisen tilanteen vuoksi tervetullut muutos. Lisäksi yritysten velvollisuutta jakaa dataa viranomaisille rajattaisiin koskemaan vain yleistä hätätilaa, mikä on kevennyksenä järkevä.
– Komissio ehdottaa lisäksi rakenteellisena muutoksena, että datanhallinta-asetus, avoimen datan direktiivi ja muiden kuin henkilötietojen vapaata liikkuvuutta koskeva asetus yhdistettäisiin osaksi data-asetusta. Tämä on varsin tekninen päivitys, joka voi jossain määrin helpottaa datasääntelyn soveltamista yrityksissä.
– Samalla komissio esittää, että datanhallinta-asetuksen käsittämät datanvälityspalveluita koskevat toiminnalliset velvoitteet muuttuisivat vapaaehtoisiksi. Jatkossa datanvälityspalveluiden tarjoamista ei myöskään tarvitsisi eriyttää erilliseen oikeushenkilöön sikäli, kun organisaation sisällä datanvälityspalvelut on erotettu toiminnallisesti muista palveluista. Nämä uudistukset keventävät dataoperaattoreiden hallinnollista taakkaa.
– Suurimpana pettymyksenä voidaan pitää sitä, että komissio ei ehdota data-asetuksessa parannuksia datan haltijan oikeuksiin hyödyntää verkkoon liitettyjen tuotteiden ja liitännäispalveluiden käytöstä syntynyttä dataa.
Mitä muutoksia komissio esittää tietosuoja-asetukseen?
– Komissio esittää yllättävänkin suuria, mutta tervetulleita muutoksia EU:n yleiseen tietosuoja-asetukseen edistääkseen erityisesti datan saatavuutta tekoälyn kouluttamiseen.
– Komissio ehdottaa henkilötiedon määritelmää täsmennettäväksi niin, että tieto ei ole henkilötietoa tietylle toimijalle, jos tällä ei ole kohtuudella käytettävissä keinoja tunnistaa henkilöä, johon tieto liittyy. Tämä vahvistaisi viimeaikaisessa EU:n tuomioistuimen oikeuskäytännössä muodostuneen periaatteen, jonka mukaan asiallisesti pseudonymisoitu data ei ole henkilötietoa, jos sitä käsittelevällä taholla ei ole mahdollisuutta yhdistää dataa yksittäiseen henkilöön.
– Automaattisen päätöksenteon käyttöä esitetään yksinkertaistettavaksi, mikä jossain määrin selkeyttää tekoälyjärjestelmien käytön edellytyksiä, mutta ei täysin poista päällekkäisyyttä tietosuoja-asetuksen ja tekoälyasetuksen väliltä.
– Lisäksi komissio esittää kahta poikkeusta erityisten henkilötietoryhmien (terveys-, biometriset- ja vakaumusta yms. koskevat tiedot) käsittelykieltoon: biometrisen tunnistamisen osalta tietojen käsittelyä suoraviivaistetaan. Lisäksi vähäinen erityisten tietojen käsittely olisi sallittua tekoälyjärjestelmän tai -mallin kehittämisessä ja toiminnassa, edellyttäen riittäviä teknisiä ja organisatorisia suojatoimia, erityisten tietojen keräämisen välttämistä ja mahdollisten tällaisten tietojen poistamista.
Edistävätkö tietosuoja-asetuksen uudistukset ennakoitavuutta ja selkeyttä?
– Esitetyistä uudistuksista etenkin henkilötietojen käsittelyn vaikutusarvion yhtenäistäminen, huolellisen pseudonymisoinnin kriteerien täsmennys ja tietoturvaloukkausten ilmoitusten yhtenäistäminen vievät eurooppalaista henkilötietojen käsittelyä selkeästi oikeaan, eli yhtenäisempään ja selkeämpään suuntaan. Osa ehdotuksista, kuten henkilötiedon käsitteen uudistaminen, vaatinee esitysten tultua hyväksytyiksi vielä paljon ohjeistusta sekä myös oikeuskäytäntöä ennen kuin soveltamiskäytäntö asettuu uomaansa.
– Lisäksi on syytä korostaa, että juuri tietosuoja-asetukseen kohdistuvat muutosehdotukset ovat jo herättäneet vastustusta eri tahoilla. On vielä liian aikaista arvioida, millaiseksi lopullinen kokonaisuus muotoutuu lainsäädäntöprosessissa.
Mitä ehdotuksille tapahtuu seuraavaksi?
– Komission digiomnibus-ehdotukset etenevät seuraavaksi Euroopan parlamentin ja Euroopan neuvoston eli jäsenmaiden käsittelyyn. Ehdotukset edellyttävät kummankin instituution hyväksyntää.
– Komission tarkoituksena on täydentää nyt tehtyjä ehdotuksia muilla yksinkertaistamistoimilla kautensa aikana. Tätä varten komissio käynnisti digisääntelyn kuntotarkastuksen, mihin se kerää syötteitä yrityksiltä ja muilta sidosryhmiltä 11. maaliskuuta asti.
Lisätietoja
Mikkilä Joonas
Johtava asiantuntija, digitalisaatio – Teknologiat, tieto ja innovaatiot Teknologiateollisuus ry