Organisaatiomme on määritellyt suuntaviivat, joilla ylläpidetään henkilöstön tekoälytaitoa ja vastuullista tekoälytietoisuutta. Näihin voivat kuulua seuraavat:

• Henkilöstö saa ohjeet, joissa kuvataan heidän työtehtäviinsä liittyvät tekoälyn käyttöä koskevat yleiset ohjeet.
• Henkilöstö saa koulutusta, jotta se voi ylläpitää roolinsa edellyttämiä asianmukaisia tekoälyn käyttötaitoja ja -tietoja.
• Henkilöstö osoittaa testeillä, että se ymmärtää työtehtävänsä edellyttämän tekoälyjärjestelmien asianmukaisen ja turvallisen käytön.

Koulutuksessa olisi keskityttävä kunkin työtehtävän kannalta olennaisimpiin tekoälyyn liittyviin näkökohtiin, ja siihen olisi sisällytettävä säännöllisesti kaikkia työntekijöitä koskevat perusasiat:

• Työntekijän henkilökohtaiset velvollisuudet tekoälyjärjestelmiä käytettäessä (esim. syöttötietojen asianmukainen käsittely ja tekoälyn tuottamien tuotosten tarkistaminen).
• Kaikkia koskevat toimintaperiaatteet (esim. tekoälyn hyväksyttävä käyttö ja luottamuksellisten tietojen suojaaminen).
• Kaikkia koskevat ohjeet (esim. tekoälyn tuottaman sisällön tarkistaminen ja arkaluonteisten tietojen käytön välttäminen kehotteissa).
• Organisaation tekoälyn hallintoroolit (keneen ottaa yhteyttä tekoälyn käyttöön liittyvissä kysymyksissä tai huolenaiheissa).

Organisaation on lueteltava tekoälyjärjestelmänsä ja varmistettava, että asiaankuuluvien lakien mukaiset avoimuusvelvoitteet täyttyvät. Nämä velvoitteet olisi dokumentoitava. Tämän prosessin tulokset olisi säilytettävä viitteenä sääntöjen noudattamista koskevissa toimissa.

Organisaation olisi perustettava ja ylläpidettävä muodollinen ja helppokäyttöinen mekanismi, jonka avulla sisäinen henkilöstö voi ilmoittaa organisaation tekoälyjärjestelmiin liittyvistä huolenaiheista, ongelmista tai mahdollisista riskeistä. Tämän kanavan olisi oltava toiminnassa ja käytettävissä koko tekoälyjärjestelmän elinkaaren ajan, alkuvaiheen kehityksestä lopulliseen käytöstä poistamiseen, ja sen olisi varmistettava selkeä prosessi raportoitujen ongelmien vastaanottamista, tutkimista ja käsittelyä varten.

Organisaation olisi otettava käyttöön prosessi, jolla varmistetaan, että sen tekoälyjärjestelmien tuottama synteettinen sisältö, kuten ääni, kuvat, video tai teksti, merkitään keinotekoisesti tuotetuksi tai manipuloiduksi. Merkinnän on oltava koneellisesti luettavassa muodossa. Valitun teknisen ratkaisun olisi oltava tehokas, yhteentoimiva, vankka ja luotettava. Sen olisi oltava yhdenmukainen nykyisten alan standardien kanssa, jos se on mahdollista ja kustannustehokasta.

Organisaation olisi varmistettava, että kun henkilö on vuorovaikutuksessa tekoälyjärjestelmän kanssa, hänelle ilmoitetaan tästä selkeästi. Tämä ilmoitus on annettava heti vuorovaikutuksen alussa tavalla, joka on helposti havaittavissa ja ymmärrettävissä ja joka täyttää sovellettavat saavutettavuusstandardit. Esimerkiksi chatbotin olisi esiteltävä itsensä tekoälyavustajaksi keskustelun alussa.

Olisi ylläpidettävä jäsenneltyä sisäistä kirjaa, jossa määritellään ilmoituksen laajuus ja menetelmät. Sen olisi sisällettävä ainakin seuraavat asiat:

• Kuvaus käyttäjälle suunnatusta avoimuusmekanismista
• Ilmoituksen laukaisupisteet
• Sanamuotomallit tai esimerkit
• Hallinnollinen omistajuus
• arviointi saavutettavuusvaatimusten soveltuvuudesta
• Testaus- tai validointimenettely

Organisaation olisi varmistettava, että tekoälyjärjestelmän kanssa suoraan vuorovaikutuksessa oleville luonnollisille henkilöille ilmoitetaan selkeästi ja erottuvasti, että he ovat vuorovaikutuksessa tekoälyjärjestelmän kanssa. Tämä ilmoitus on annettava viimeistään silloin, kun he ovat ensimmäistä kertaa tekoälyjärjestelmän kanssa tekemisissä tai altistuvat sille. Tämän tiedon antamistavan on oltava sovellettavien esteettömyysvaatimusten mukainen ja vammaisten henkilöiden havaittavissa.

Tekoälyjärjestelmiä käyttävien organisaatioiden olisi luotava ja ylläpidettävä dokumentoitua prosessia tekoälyllä tuotetun tai tekoälyllä manipuloidun sisällön tunnistamiseksi ja julkistamiseksi tekoälylain 50 §:n 4 momentin mukaisesti.

Prosessissa olisi määriteltävä julkistamisen käynnistävät tekijät, vaaditut merkintätavat ja vastuualueet sisällön elinkaaren aikana. Siinä olisi erotettava toisistaan eri sisältöluokat, kuten teksti, ääni, video ja synteettinen media, kuten syväjäljennökset, ja määriteltävä kullekin asianmukaiset julkistamismekanismit.

Prosessissa olisi myös määriteltävä ja perusteltava sovellettavat poikkeukset, kuten taiteellinen tai luova ilmaisu, ihmisen tarkistama tai muokkaama sisältö ja lain sallimat käyttötarkoitukset, ja varmistettava, että poikkeusperusteita sovelletaan johdonmukaisesti ja että ne ovat tarkastettavissa.

Organisaation olisi arvioitava ja dokumentoitava, milloin tekoälyjärjestelmän luonnetta pidetään käyttäjälle ilmeisenä, jolloin se ei vaadi nimenomaista ilmoitusta. Arvioinnin olisi perustuttava kohtuullisen hyvin perehtyneen ja tarkkaavaisen henkilön näkökulmaan, ottaen huomioon erityinen käyttöyhteys. Ilmoittamisesta luopumisen perustelut on kirjattava.

Tekoälyjärjestelmät, joilla on laillinen lupa havaita, ehkäistä, tutkia tai syyttää rikoksia, vapautetaan tästä vaatimuksesta, jos käytössä on asianmukaiset suojatoimet kolmansien osapuolten oikeuksien ja vapauksien suojelemiseksi. Arviointi on kuitenkin edelleen tarpeen, jos kyseiset järjestelmät asetetaan yleisön käyttöön rikosten ilmoittamista varten.

Organisaation on varmistettava, että jokainen suuren riskin tekoälyjärjestelmä suunnitellaan ja dokumentoidaan niin, että se on riittävän avoin, jotta käyttäjät voivat tulkita sen tuotoksia oikein ja käyttää sitä asianmukaisesti.

Avoimuuden tason on oltava oikeassa suhteessa järjestelmän käyttötarkoitukseen ja riskiprofiiliin, ja sen on tuettava sekä toimittajan että käyttöönottajan 3 jakson mukaisten velvoitteiden noudattamista. Avoimuustoimenpiteisiin olisi sisällyttävä vähintään seuraavat:

• selkeä kuvaus järjestelmän tarkoituksesta, soveltamisalasta ja kohdekäyttäjistä.
• Selvitys siitä, miten tuotokset tuotetaan, mukaan lukien keskeiset oletukset ja tarvittaessa inhimillisen valvonnan rooli.
• Ohjeet siitä, miten tuotoksia tulkitaan, mukaan lukien luottamuspisteet, todennäköisyystasot tai epävarmuusindikaattorit, jos ne ovat tarpeen.
• Kuvaus tunnetuista rajoituksista, suorituskykyrajoituksista ja tilanteista, joissa tuotokset voivat olla epäluotettavia.
• Ohjeet järjestelmän asianmukaisesta ja sopimattomasta käytöstä.
• Korkean tason tiedot koulutus-, validointi- ja testausaineistosta, mukaan lukien tiedossa olevat harhojen tai edustavuuden riskit.

Organisaation olisi varmistettava, että nämä tiedot pidetään ajan tasalla ja että ne ovat käyttöönottajien saatavilla selkeässä ja helppokäyttöisessä muodossa.

Palveluntarjoajien olisi tehtävä yhteistyötä raportoivien jakelijoiden tai tarvittaessa suuren riskin tekoälyjärjestelmien käyttöönottajien kanssa tutkiessaan riskien syitä.

Organisaation olisi perustettava ja ylläpidettävä selkeitä ja helppokäyttöisiä kanavia, joiden kautta ulkoiset sidosryhmät voivat ilmoittaa kaikista organisaation tekoälyjärjestelmiin liittyvistä kielteisistä vaikutuksista, riskeistä tai huolenaiheista. Näiden kanavien olisi helpotettava esimerkiksi ennakkoluuloista, yksityisyyden suojaan liittyvistä huolenaiheista, turvallisuustilanteista tai muista tahattomista seurauksista ilmoittamista. Lisäksi olisi oltava määritelty prosessi, jonka avulla nämä raportit vastaanotetaan, arvioidaan ja niihin reagoidaan oikea-aikaisesti ja asianmukaisesti.

Organisaation olisi kehitettävä ja dokumentoitava strategia tekoälyjärjestelmän häiriötilanteista tiedottamiseksi tekoälyjärjestelmän käyttäjille. Strategiassa olisi määriteltävä, minkä tyyppiset vaaratilanteet aiheuttavat viestinnän, jaettavat tiedot, viestinnän ajoitus, käytettävät viestintäkanavat ja viestinnän vastuuhenkilöt.

Organisaation olisi määriteltävä tekoälyjärjestelmiensä tekniset dokumentointivaatimukset ottaen huomioon eri sidosryhmien, kuten loppukäyttäjien, kumppaneiden ja sääntelyelinten, tarpeet. Organisaation olisi sen jälkeen laadittava ja toimitettava nämä asiakirjat sopivassa ja helppokäyttöisessä muodossa kullekin sidosryhmälle. Dokumentaatiossa olisi esitettävä yksityiskohtaisesti tekoälyjärjestelmän keskeiset näkökohdat, mukaan lukien tekninen arkkitehtuuri, tietolähteet, kehitys- ja koulutusmenetelmät, testausmenettelyt, suorituskykyominaisuudet ja mahdolliset tunnistetut rajoitukset tai vääristymät.

Organisaation on luotava prosessi, jonka avulla määritetään, mitä tietoja käyttäjät tarvitsevat tekoälyjärjestelmän turvalliseen, tehokkaaseen ja asianmukaiseen käyttöön, ja annettava nämä tiedot heille selkeässä muodossa.

Tähän prosessiin kuuluu:

• Ensiksi analysoidaan tekoälyjärjestelmä ja sen kohderyhmä, jotta kaikki tarvittava tieto voidaan tunnistaa. Tähän sisältyy yksityiskohtaisia tietoja järjestelmän tarkoituksesta, kyvyistä, rajoituksista, suorituskyvystä ja toimintavaatimuksista.
• Toiseksi luodaan ja annetaan nämä tiedot käyttäjille kattavan dokumentaation, kuten käyttöohjeiden, online-ohjeen tai muun asiaankuuluvan materiaalin avulla.

Tavoitteena on varmistaa, että käyttäjillä on kaikki tarvittavat tiedot, jotta he voivat käyttää tekoälyjärjestelmää tarkoitetulla tavalla ja ymmärtää sen käyttäytymisen ja rajoitukset.

Organisaation olisi luotava ja toteutettava viestintäprosessi, jolla varmistetaan tehokas tekoälyn hallintajärjestelmään liittyvä sisäinen ja ulkoinen viestintä. Tässä prosessissa olisi määriteltävä selkeästi:

• mitä tietoja on tiedotettava (sisältö).
• milloin se on tiedotettava (ajoitus).
• kenelle se olisi tiedotettava (yleisö, sekä sisäiset että ulkoiset sidosryhmät).
• miten se välitetään (toimitustapa).

Organisaation olisi laadittava ja annettava selkeät ohjeet henkilöille, jotka on nimetty valvomaan tekoälyjärjestelmiä. Näissä ohjeissa olisi määriteltävä yksityiskohtaisesti menettelyt suorituskyvyn seuraamiseksi, tuotosten tulkitsemiseksi ja toimintaan puuttumiseksi. Ohjeissa olisi käsiteltävä sitä, miten järjestelmä ohitetaan tai pysäytetään, ja niihin olisi sisällyttävä toimenpiteitä, joilla lisätään tietoisuutta automaation ennakkoluuloista.

Organisaation olisi laadittava ja ylläpidettävä selkeä ja helposti ymmärrettävä ilmoitus henkilöille, jotka altistuvat tunnetunnistus- tai biometriselle luokittelujärjestelmälle. Ilmoituksessa on nimenomaisesti kerrottava heille järjestelmän toiminnasta, sen tarkoituksesta ja heidän henkilötietojensa käsittelystä.

Olisi dokumentoitava ja otettava käyttöön prosessi, jolla varmistetaan, että nämä tiedot annetaan ajoissa ja helposti saatavilla olevalla tavalla, joka soveltuu käyttöyhteyteen. Prosessin olisi oltava sopusoinnussa sovellettavan unionin tietosuojalainsäädännön kanssa, mukaan lukien asetus (EU) 2016/679, asetus (EU) 2018/1725 tai direktiivi (EU) 2016/680, tapauksen mukaan.

Jos järjestelmää käytetään sovellettavan lainsäädännön mukaisten rikosten havaitsemiseen, ehkäisemiseen tai tutkimiseen, organisaation olisi dokumentoitava oikeusperusta ja suojatoimet, joihin se tukeutuu arvioidessaan tämän velvoitteen sovellettavuutta.

Organisaation olisi laadittava selkeät ohjeet siitä, miten käyttäjille ilmoitetaan, kun he ovat vuorovaikutuksessa tekoälyn tuottaman tai manipuloidun sisällön kanssa. Näin varmistetaan läpinäkyvyys ja estetään harhaanjohtaminen. Aiheita voivat olla esimerkiksi:

• tekoälyn tuottaman tai olennaisesti muokatun sisällön julkistaminen.
• Tarkkuus ja harhaanjohtamattomuus.
• Yleisölle ymmärrettävät tiedotukset.
• epäselvän tai teknisen terminologian välttäminen julkisissa tiedoissa.
• tekoälyn tuottaman tekstin, kuvien, äänen tai videon julkistaminen.
• Tekoälyn muokkaaman tai muuntaman ihmisen luoman sisällön julkistaminen.
• Ihmisen vastuu julkaistusta sisällöstä

Organisaation olisi määriteltävä ja dokumentoitava erityisehdot, joiden mukaisesti tekoälyn tuottama sisältö on vapautettu merkintävaatimuksista. Näissä ohjeissa olisi selvennettävä, mikä on avustava toiminto, muu kuin olennainen muutos tai laillisesti hyväksytty poikkeus, jotta varmistetaan sääntöjen johdonmukainen soveltaminen.

Organisaation olisi laadittava ja ylläpidettävä kattavia käyttöohjeita tekoälyjärjestelmiään varten. Nämä ohjeet on annettava käyttöönottajille selkeässä, täydellisessä ja helposti saatavilla olevassa muodossa.

Dokumentaation olisi sisällettävä ainakin seuraavat asiat

• Järjestelmän käyttötarkoitus, ominaisuudet ja tunnetut rajoitukset.
• Tiedot tarkkuudesta, kestävyydestä ja kyberturvallisuuden suorituskyvystä.
• ennakoitavissa olevat riskit terveydelle, turvallisuudelle tai perusoikeuksille.
• Tarvittavat resurssit, ylläpitotarpeet ja tiedot kirjaamisvalmiuksista.

Suuririskisten tekoälyjärjestelmien tarjoajien järjestelmien käyttöohjeet sisältävät keskeiset toiminta- ja yhteystiedot. Tämä auttaa käyttöönottajia hallinnoimaan järjestelmää tehokkaasti ja läpinäkyvästi koko sen elinkaaren ajan.

Ohjeissa olisi täsmennettävä:

• Tarjoajan henkilöllisyys ja yhteystiedot tukea varten.
• Järjestelmän toiminnallisuuteen tai suorituskykyyn ennalta suunnitellut muutokset.
• Järjestelmän odotettu käyttöikä, vaadittu ylläpitoaikataulu ja ohjelmistopäivityksiä koskeva prosessi.
• Kuvaus käytettävissä olevista teknisistä ominaisuuksista, jotka auttavat selittämään järjestelmän tuotoksia.
• Ohjeet siitä, miten käyttöönottajat voivat käyttää järjestelmän kirjausominaisuuksia toimintatietojen keräämiseen, tallentamiseen ja tulkintaan.

Organisaation on täydennettävä suuren riskin tekoälyjärjestelmänsä käyttöohjeita tärkeimmillä yksityiskohdilla sen tietovaatimuksista ja suorituskykyominaisuuksista. Nämä tiedot auttavat käyttöönottajia käyttämään järjestelmää vastuullisesti ja tehokkaasti.

Ohjeiden olisi sisällettävä:

• Määrittelyt syöttötiedoista, joita tarvitaan, jotta järjestelmä toimisi oikein.
• Asiaankuuluvat tiedot käytetyistä koulutus-, validointi- ja testitietoaineistoista ottaen huomioon järjestelmän käyttötarkoitus.
• Tarvittaessa arvio järjestelmän suorituskyvystä tiettyjen henkilöiden tai henkilöryhmien osalta.

Organisaation olisi luotava prosessi, jolla henkilöstölle tiedotetaan suuren riskin tekoälyjärjestelmän käyttöönotosta työpaikalla. Tämän tiedottamisen on tapahduttava ennen järjestelmän käyttöönottoa. Prosessissa olisi varmistettava, että sekä yksittäisille työntekijöille että heidän edustajilleen tiedotetaan asiasta sovellettavan työlainsäädännön ja -käytäntöjen mukaisesti.

Organisaation olisi luotava selkeä prosessi, jolla luonnollisille henkilöille tiedotetaan, kun heihin sovelletaan päätöstä, joka on tehty tai jota on avustettu suuren riskin tekoälyjärjestelmällä. Tässä prosessissa olisi määriteltävä ilmoituksen sisältö, ajoitus ja toimitustapa avoimuuden ja vaatimustenmukaisuuden varmistamiseksi.

Ilmoituksessa olisi selkeästi todettava, että tekoälyjärjestelmä on käytössä, ja selitettävä sen tarkoitus ja rooli päätöksentekoprosessissa. Tietojen on oltava selkeitä, ytimekkäitä ja helposti ymmärrettäviä.

Organisaation on määriteltävä niiden selitysten sisältö ja rakenne, jotka annetaan henkilöille, joihin suuren riskin tekoälyjärjestelmän päätös vaikuttaa. Tavoitteena on varmistaa, että selitys on selkeä, merkityksellinen ja ymmärrettävästi esitetty.

Ohjeissa olisi täsmennettävä, että selitys sisältää

• Tekoälyjärjestelmän tarkoitus ja logiikka.
• tekoälyn tuotoksen rooli lopullisessa päätöksessä.
• Tiivistelmä siitä, miksi päätös tehtiin tietyn henkilön osalta.

Organisaation olisi annettava käyttöönottajille tarvittavat tiedot ja koulutus, jotta he voivat käyttää suuren riskin tekoälyjärjestelmiä turvallisesti. Tämä on keskeinen toimenpide sellaisten riskien lieventämiseksi, joita ei voida poistaa suunnittelulla. Tietojen on sisällettävä kaikki 13 artiklassa vaaditut tiedot, kuten järjestelmän käyttötarkoitus, rajoitukset ja suorituskyky. Tarvittaessa olisi myös annettava koulutusta, joka on räätälöity käyttöönottajan teknisen taustan ja aiotun käyttöyhteyden mukaan.

Organisaation olisi varmistettava, että suuren riskin tekoälyjärjestelmän mukana seuraavissa käyttöohjeissa ilmoitetaan selkeästi sen suorituskyky. Tähän sisältyy testauksessa käytettävien tarkkuusmittareiden, kuten tarkkuuden tai palautuksen, määrittely ja näiden mittareiden osalta saavutettujen tarkkuusasteiden ilmoittaminen. Nämä tiedot auttavat käyttäjiä ymmärtämään järjestelmän ominaisuuksia ja rajoituksia.

Organisaation olisi toteutettava varmennusvaihe sen varmistamiseksi, että CE-merkintä on kiinnitetty oikein kuhunkin suuren riskin tekoälyjärjestelmään ennen kuin se asetetaan saataville. Tarkistuksessa olisi varmistettava, että merkintä on näkyvissä, luettavissa ja pysyvä. Digitaalisten järjestelmien osalta on tarkistettava, että merkintä on helposti saatavilla käyttöliittymän tai muun sähköisen välineen kautta.

Suuren riskin tekoälyjärjestelmien tarjoajien olisi varmistettava, että tällaisten järjestelmien valvontaa varten annetaan selkeät ohjeet. Niiden olisi varmistettava ainakin seuraavat seikat:

• Ihmisen suorittama valvonta on sisällytetty merkittäviin tekoälyä koskeviin päätöksiin.
• Ihmiset tarkastelevat yksilöihin olennaisesti vaikuttavia tuloksia.
• tekoälyjärjestelmiä seurataan jatkuvasti tahattoman toiminnan havaitsemiseksi.

Organisaation on laadittava dokumentoitu prosessi, jolla hankitaan tietoinen suostumus henkilöiltä, jotka osallistuvat tekoälyjärjestelmien reaalimaailman testaukseen. Ennen testauksen aloittamista jokaisen osallistujan on saatava selkeät tiedot testistä ja annettava suostumuksensa.

Annettujen tietojen on katettava testin tarkoitus, kesto ja ehdot sekä osallistujan oikeus peruuttaa testi milloin tahansa ilman seuraamuksia. Lisäksi on kerrottava menettelystä, jolla voidaan pyytää tekoälyn tuloksen peruuttamista, ja testin virallisesta tunnistenumerosta. Osallistujalle on annettava päivätty kopio suostumusasiakirjasta.

Organisaation olisi määriteltävä ja dokumentoitava virallisesti vastuut, jotka koskevat tekoälyjärjestelmiä koskevien tietojen välittämistä asianomaisille osapuolille. Tähän kuuluu sen määrittely, mitä tietoja jaetaan, kenelle ja kuka vastaa viestinnästä.

Tekoälytietoisuuskoulutuksen tehokkuutta arvioidaan säännöllisesti. Arviointiin voivat sisältyä esimerkiksi seuraavat näkökulmat:

• Onko henkilöstön osaaminen riittävän syvällistä?
• Ovatko koulutusmenetelmät ja -määrät oikeita?
• Koulutetaanko eri yksiköitä oikeista asioista?
• Onko henkilöstö motivoitunut oppimaan?
• Ymmärtääkö henkilöstö koulutuksen syyt (esim. tekoälyn vääränlaisen käytön mahdolliset kielteiset vaikutukset)?

Organisaation on varmistettava, että sen riskialttiit tekoälyjärjestelmät merkitään asianmukaisesti ennen niiden markkinoille saattamista tai käyttöönottoa. Tähän kuuluu CE-merkinnän kiinnittäminen vaatimustenmukaisuuden osoittamiseksi. Lisäksi järjestelmään, sen pakkaukseen tai mukana oleviin asiakirjoihin on merkittävä toimittajan nimi, rekisteröity toiminimi tai tavaramerkki sekä yhteysosoite.

Organisaation olisi yksilöitävä ja dokumentoitava kaikki oikeudelliset poikkeukset velvollisuudesta tiedottaa yksilöille suuren riskin tekoälyjärjestelmän käytöstä. Tämä koskee erityisesti lainvalvontatilanteita, joissa tietojen antaminen voisi vaarantaa tutkimukset tai yleisen turvallisuuden, kuten asiaa koskevissa säädöksissä on määritelty.