ET RU
Broneeri konsultatsioon
Avaleht / Blogi

AI Act valmisolek: miks ei tasu tehisintellekti kasutamise juhtimist edasi lükata

16/06/2026

“Praegu on liiga vara AI Acti pärast muretseda.”

Seda lauset kuuleb üha sagedamini ettevõtetelt, kes kasutavad tehisintellekti tööriistu, arendavad AI-põhiseid tooteid või valmistuvad Euroopa Liidu turule sisenemiseks.

Esmapilgul tundub ootamine mõistlik. EU AI Act ehk Euroopa Liidu tehisintellekti määrus on uus, juhiseid lisandub järk-järgult ning AI Omnibus on toonud muudatusi kõrge riskiga AI-süsteemide kohaldamise ajakavas. Probleem on aga selles, et täielikku “selgust” ei pruugi tulla enne, kui kliendid, investorid, pangad või reguleerivad asutused hakkavad juba konkreetseid küsimusi esitama.

AI ei ole enam mänguasi ega ainult IT-osakonna eksperiment. Paljudes ettevõtetes on see juba igapäevane tööriist: tekstide koostamiseks, andmete analüüsimiseks, klienditoe automatiseerimiseks, tarkvaraarenduseks, dokumentide töötlemiseks või otsuste ettevalmistamiseks.

Tehisintellekt on võimas tööriist, kuid selle ohutu kasutamine algab juhtimisotsustest, mitte tarkvarakoodist. Kontrolli omamine tähendab, et ettevõte saab keskenduda AI pakutavatele võimalustele, mitte kriisireguleerimisele.

Kui te ei ole kindel, milliseid AI-tööriistu teie ettevõttes tegelikult kasutatakse või kas AI Act võib teie tegevust puudutada, tasub alustada lühikesest AI-valmisoleku ülevaatusest.

Jurist Georgi Džaniašvili aitab kaardistada AI kasutusjuhud, hinnata ettevõtte rolli AI Acti mõttes ja tuvastada, millised riskid, dokumendid ja sisemised reeglid vajavad tähelepanu. Broneeri AI-valmisoleku konsultatsiooni täna.

AI Act ei puuduta ainult AI-ettevõtteid

Üks levinumaid eksiarvamusi on see, et AI Act compliance puudutab ainult ettevõtteid, kes ise tehisintellekti arendavad.

Tegelikult on AI Act riskipõhine määrus, mis kohaldub nii AI-süsteemide pakkujatele kui ka kasutajatele sõltuvalt konkreetsest kasutusjuhust. Euroopa Komisjon kirjeldab AI Acti kui riskipõhist reeglistikku AI arendajatele ja kasutajatele konkreetsete AI kasutusviiside puhul.

See tähendab, et ettevõte võib sattuda AI Acti kohaldamisalasse ka siis, kui ta lihtsalt kasutab kolmanda osapoole AI-tööriista oma tööprotsessides.

Näiteks:

  • personaliosakond kasutab AI-tööriista kandidaatide eelvalikuks;
  • müügitiim kasutab AI-põhist kliendiskooringut;
  • klienditugi kasutab AI-chatbot’i;
  • fintech-ettevõte kasutab AI-d kliendiriski hindamiseks;
  • SaaS-platvorm sisaldab AI-funktsiooni, mis mõjutab kasutaja otsuseid;
  • töötajad sisestavad kliendiandmeid avalikesse AI-tööriistadesse.

Sellistes olukordades ei piisa vastusest: “See ei ole meie AI, me ainult kasutame seda.”

AI on juba teie kontoris – ja see ei küsi luba IT-juhilt

Paljudes organisatsioonides on levinud väärarusaam, et tehisintellektiga seonduv on IT-osakonna teema või kauges tulevikus tekkiv regulatiivne küsimus.

Reaalsus on teistsugune. AI on juba kasutusel ka siis, kui ametlikku AI-strateegiat ei ole.

Turundustiim kasutab ChatGPT-d. Arendajad kasutavad Copilotit. Müügimeeskond kasutab CRM-i sisse ehitatud AI-funktsiooni. Personalitöötaja katsetab tööriista, mis aitab kandidaate võrrelda. Keegi laadib lepingu või kliendiandmed avalikku AI-teenusesse, mõtlemata konfidentsiaalsusele, ärisaladusele või isikuandmete kaitsele.

Kui töötaja kasutab AI-d kliendiandmete analüüsimiseks või hankedokumendi koostamiseks, ei ole see enam süütu tehnoloogiline katsetus. See võib olla õiguslik, andmekaitse, infoturbe ja ärisaladuse risk.

Tehnoloogia ei vastuta vigade, lekkivate andmete ega diskrimineerivate otsuste eest. Vastutus jääb organisatsioonile ja selle juhtimisele.

Olulised tähtajad: mis juba kehtib ja mis tuleb

AI Act jõustus 1. augustil 2024. Keelatud AI praktikad ja AI-kirjaoskuse kohustused hakkasid kohalduma 2. veebruaril 2025. Üldotstarbeliste AI-mudelite ehk GPAI mudelite reeglid hakkasid kohalduma 2. augustil 2025. Suur osa AI Acti nõuetest kohaldub üldreegli järgi 2. augustist 2026.

AI Omnibus on muutnud kõrge riskiga AI-süsteemide ajakava. Euroopa Liidu institutsioonide info kohaselt rakenduvad teatud iseseisvate kõrge riskiga AI-süsteemide reeglid, näiteks biomeetria, hariduse, tööhõive, migratsiooni ja kriitilise taristu valdkonnas, 2. detsembrist 2027. Toodetesse integreeritud kõrge riskiga AI-süsteemide puhul on tähtajaks 2. august 2028.

See ei tähenda, et ettevõtted võivad 2027. aastani mitte midagi teha. Keelatud praktikad ja AI-kirjaoskuse nõuded juba kehtivad. Lisaks kehtivad juba praegu ka GDPR, ärisaladuse kaitse, intellektuaalomandi reeglid, tööõigus ja lepingulised kohustused.

AI kasutamine peab nende reeglitega kooskõlas olema juba täna, mitte alles siis, kui kõik AI Acti juhendmaterjalid on avaldatud.

Ettevõtted alustavad sageli valest kohast

Kõige levinum viga on see, et ettevõte alustab kohe dokumendist.

Koostatakse AI policy, lisatakse mõni üldine reegel ChatGPT kasutamise kohta ja eeldatakse, et sellega on AI Act readiness lahendatud.

See on nõrk lähenemine.

AI-valmisolek ei alga dokumendipõhjast. See algab kaardistamisest.

Esimene küsimus peaks olema:

Milliseid AI-tööriistu ja AI-funktsioone meie ettevõttes tegelikult kasutatakse?

Ilma selle ülevaateta on AI kasutamise sisekord pigem deklaratsioon kui juhtimisvahend.

Mida tuleb tegelikult kaardistada?

Ettevõte peaks tuvastama vähemalt:

  • milliseid AI-tööriistu töötajad kasutavad;
  • kas kasutatakse avalikke tasuta AI-teenuseid või ettevõtte kontrollitud lahendusi;
  • kas AI-sse sisestatakse isikuandmeid, kliendiandmeid, lepinguid, lähtekoodi või ärisaladusi;
  • kas AI mõjutab kliente, töötajaid või otsuseid inimeste kohta;
  • kas AI-d kasutatakse värbamises, finantsriskide hindamises, hariduses, kliendiskooringus või muudes tundlikes protsessides;
  • kes vastutab uute AI-tööriistade kasutuselevõtu eest;
  • kas kasutatavatel teenusepakkujatel on sobivad lepingud, andmekaitse tingimused ja turvameetmed.

Eriti oluline on tuvastada shadow AI ehk olukorrad, kus töötajad kasutavad tööülesannete täitmisel isiklikke kontosid, tasuta AI-teenuseid või tööriistu, mida ettevõte ametlikult ei kontrolli.

Kaks küsimust, mis muudavad AI-valmisoleku praktiliseks

Kui AI kasutus on kaardistatud, tuleb küsida kaks lihtsat, kuid väga olulist küsimust.

Esiteks: kas AI mõjutab inimesi, kliente, töötajaid või otsuseid nende kohta?

See on oluline, sest AI Act eristab madala riskiga, läbipaistvuskohustusega, kõrge riskiga ja keelatud AI-praktikaid. Kõrge riskiga AI-süsteemid võivad hõlmata näiteks töölevõtmist, haridust, kriitilist taristut, oluliste teenuste kättesaadavust ja muid valdkondi, kus AI võib mõjutada inimese õigusi või võimalusi.

Teiseks: kes vastutab selle eest, et uusi AI-tööriistu ei võetaks kasutusele ilma ülevaatuseta?

Kui ettevõttes puudub vastutaja, tekib varjatud AI kasutus. See on praktiliselt ohtlikum kui üks halvasti sõnastatud poliitika.

AI Act rollid: miks need on olulised

AI Act ei küsi ainult seda, kas ettevõte “kasutab AI-d”. Oluline on ka ettevõtte roll.

Ettevõte võib olla:

  • provider ehk AI-süsteemi pakkuja, kui ta arendab või pakub AI-süsteemi turule oma nime all;
  • deployer ehk kasutaja, kui ta kasutab AI-süsteemi oma tööprotsessides;
  • importer, kui ta toob kolmanda riigi AI-süsteemi ELi turule;
  • distributor, kui ta teeb AI-süsteemi ELi turul kättesaadavaks;
  • GPAI provider, kui ta arendab üldotstarbelist AI-mudelit.

Roll määrab, millised kohustused ettevõttel on. Näiteks AI-süsteemi pakkujal võivad olla dokumenteerimise, riskijuhtimise, vastavushindamise ja kasutusjuhiste kohustused. Kasutajal võivad olla kohustused seoses inimjärelevalve, sisendandmete, logide, töötajate teadlikkuse ja AI-süsteemi korrektse kasutamisega.

Praktilised sammud AI riskide maandamiseks

AI kasutamise juhtimine ei ole ühekordne projekt. See on juhtimisest algav mõttelaadi muutus.

1. Kaardistus ja klassifitseerimine

Tuvastage kõik kohad, kus AI-d kasutatakse, sealhulgas ametlikud tööriistad, sisseehitatud AI-funktsioonid ja shadow AI.

Seejärel hinnake, kas mõni kasutusjuht võib kuuluda kõrge riskiga või keelatud AI-praktikate hulka. Targa juhtimisega on võimalik osa riskidest vähendada juba protsessi disaini tasandil.

2. Kasutuskategooriate loomine

Kõik AI kasutusviisid ei ole võrdsed. Praktiline sisemine raamistik võib jagada kasutused näiteks kolmeks.

Lubatud: madala riskiga tegevused, näiteks koosolekumärkmete toimetamine ilma nimede, isikuandmete või konfidentsiaalse sisuta.

Piiratud: tegevused, mis vajavad eriluba ja kontrolli, näiteks värbamisprotsessid, finantsandmete analüüs, kliendiandmete töötlemine või lepingute analüüs.

Keelatud: tegevused, mis võivad rikkuda isikuandmete kaitset, ärisaladust või lepingulisi kohustusi, näiteks konfidentsiaalsete lepingute, lähtekoodi või kliendiandmete üleslaadimine avalikku tasuta AI-teenusesse ilma kontrollita.

3. AI kasutamise sisekorra kehtestamine

Ettevõttel peaks olema praktiline AI kasutamise sisekord, mis vastab päriselule, mitte ainult dokumendinõudele.

See peaks reguleerima muu hulgas:

  • milliseid AI-tööriistu võib kasutada;
  • milliseid andmeid tohib AI-sse sisestada;
  • milliseid andmeid ei tohi AI-sse sisestada;
  • kes kontrollib AI väljundit;
  • millal on vaja inimjärelevalvet;
  • kuidas märgistatakse AI-ga loodud sisu, kui see on vajalik;
  • kuidas täidetakse kasutajate teavitamiskohustust, kui inimene suhtleb AI-süsteemiga;
  • kuidas hinnatakse uusi AI-tööriistu enne kasutuselevõttu.

4. Vastutuse ja kontrolli määramine

AI kasutamine ei saa olla ainult IT-osakonna probleem.

Vastutus peab olema jagatud õigusliku, tehnilise ja äripoole vahel. Juhtkond peab määrama, kes vastutab AI kasutamise reeglite, riskihindamise, andmekaitse, infoturbe ja lepinguliste riskide eest.

Unustada ei tohi ka teenusepakkujaid ja koostööpartnereid. Kui nad puutuvad kokku teie andmete, klientide või toodetega, peab lepingutes olema selgelt reguleeritud konfidentsiaalsus, andmekaitse, AI kasutamine, turvameetmed ja vastutus.

Miks konfidentsiaalse info sisestamine avalikku AI-tööriista on risk?

Üks praktilisemaid riske on see, et töötaja sisestab avalikku AI-teenusesse lepingu, kliendiandmed, lähtekoodi, äriplaani või muu konfidentsiaalse info.

See ei tähenda automaatselt, et info muutub igaveseks mudeli treeningandmeteks. See sõltub konkreetse teenuse tingimustest, kasutusviisist, konto tüübist, säilitamispoliitikast ja privaatsusseadetest.

Aga risk on reaalne: kui ettevõttel puudub kontroll, ei pruugi ta teada, kuhu andmed jõudsid, kui kaua neid säilitatakse, kellel on neile ligipääs ja kas nende sisestamine rikkus GDPR-i, ärisaladuse kaitset või kliendilepingut.

Seetõttu ei tohiks AI kasutamise reeglid keskenduda ainult tööriistade nimekirjale. Fookus peab olema andmetel, kasutusjuhtudel, vastutusel ja kontrollil.

AI-valmisolek ei ole ainult regulatiivne risk

Paljude ettevõtete jaoks ei tule esimene probleem regulaatorilt. See tuleb turult.

Investor küsib due diligence’i käigus, kuidas AI-riske juhitakse.
Suurklient küsib hankemenetluses, kas AI kasutamine on kontrollitud.
Pank küsib, kas kliendiandmeid töödeldakse AI-tööriistades.
Partner küsib, kas ettevõttel on AI governance, GDPR ja andmekaitse dokumentatsioon korras.
Kliendiga tekib vaidlus, sest AI väljund oli vale, eksitav või tekitas kahju.

Sellisel hetkel ei aita üldine vastus “me kasutame ainult usaldusväärseid tööriistu”. Ettevõte peab suutma näidata, millised AI-süsteemid on kasutusel, milleks neid kasutatakse, millised riskid on hinnatud ja millised kontrollid on rakendatud.

Mida peaks ettevõte tegema enne, kui tekib kiire probleem?

Praktiline AI Act readiness ei pea algama suure ja kalli projektiga. Esimene samm peaks olema selge ja kontrollitav.

Ettevõte peaks tegema vähemalt järgmised sammud:

  1. kaardistama kõik AI-tööriistad ja AI-funktsioonid;
  2. määrama oma rolli iga AI-süsteemi puhul;
  3. hindama, kas tegemist võib olla keelatud, kõrge riskiga, läbipaistvuskohustusega või madala riskiga kasutusega;
  4. kontrollima, kas kasutatakse isikuandmeid ja kas GDPR nõuded on täidetud;
  5. looma sisemise protsessi uute AI-tööriistade kasutuselevõtuks;
  6. määrama vastutajad;
  7. koostama praktilise AI kasutamise poliitika;
  8. koolitama töötajaid AI-kirjaoskuse osas;
  9. lisama vajadusel AI klauslid klientide, tarnijate ja arenduspartnerite lepingutesse;
  10. valmistama ette dokumentatsiooni klientide, investorite ja partnerite küsimusteks.

Suve ootamine loob petliku turvatunde

Juuli ja august tunduvad sageli loomuliku pausina. Mõte on lihtne: “Tuleme selle juurde sügisel tagasi.”

Probleem on selles, et AI kasutamine ei lähe suvepuhkusele. Töötajad kasutavad tööriistu edasi. Kliendiandmeid võidakse sisestada välistesse süsteemidesse. AI-funktsioonid lisanduvad toodetesse. Investorid ja kliendid jätkavad küsimist. Regulatiivsed tähtajad liiguvad lähemale.

Kui AI-valmisolek lükatakse sügisesse, võib ettevõte avastada, et töö, mida oleks saanud rahulikult teha mitme kuu jooksul, tuleb nüüd teha kiirustades enne kliendi auditit, investori due diligence’i või regulatiivset tähtaega.

Kokkuvõte

AI Act ei tähenda, et iga ettevõte vajab “AI-litsentsi”. See tähendab, et ettevõte peab teadma, milliseid AI-süsteeme ta kasutab või pakub, milline roll tal on, milline riskikategooria võib kohalduda ja millised dokumendid, protsessid ja kontrollid on vajalikud.

Kõige halvem aeg AI-valmisolekuga alustamiseks on siis, kui küsimused on juba laual.

Palju mõistlikum on teha esmane AI Act readiness ülevaatus enne, kui regulatiivne ebakindlus hakkab takistama müüki, rahastamist, pangasuhtlust, litsentsimist või koostööd suuremate klientidega.

Kui teie ettevõte kasutab AI-tööriistu, arendab AI-põhist toodet või müüb digitaalset teenust Euroopa Liidu turul, ei tasu oodata esimese kliendi, investori või regulaatori küsimust.

Jurist Georgi Džaniašvili aitab teha esmase AI Act readiness ülevaatuse: kaardistada AI kasutuse, hinnata rollid ja riskikategooriad, tuvastada puuduvad dokumendid ning koostada praktiline tegevuskava.

Tuvastage regulatiivsed lüngad enne, kui need hakkavad takistama müüki, rahastamist või turule sisenemist.