Berliiniläinen henkilöstöpalveluyritys HirePro AG sai 12 miljoonan euron sakon EU AI Actin nojalla. Kyseessä on ensimmäinen merkittävä Act-pohjainen sakko, ja se asettaa raamit sille, miten sääntelyä tulkitaan käytännössä ensimmäisten oikeustapausten kautta. Suomalaisten yritysten kannattaa lukea ratkaisu tarkasti.
Sakon myönsi Saksan tietosuojaviranomainen (BfDI) yhteistyössä uuden AI Act -valvontaviranomaisen kanssa. Käsittelyaika oli noin yhdeksän kuukautta, mikä on huomattavasti nopeampi kuin GDPR-prosesseissa keskimäärin. Tämä kertoo, että viranomaiset ovat valmiit reagoimaan nopeasti vakavissa tapauksissa.
Mistä sakko tuli
HirePro käytti AI-pohjaista CV-suodatusta yli 30 000 hakemuksen käsittelyyn vuodessa. Tutkinta paljasti neljä vakavaa ongelmaa, jotka yhdessä johtivat ratkaisuun.
| Ongelma | Mitä tapahtui | Mikä artikla rikkoutui |
|---|---|---|
| Syrjivyys | Algoritmi suosi miehiä naisten yli teknisissä rooleissa | Art. 10 (data quality) |
| Dokumentointi puuttui | Ei riskinarviointia, ei mallin selitettävyyttä | Art. 11 (technical docs) |
| Käyttäjäinformaatio puuttui | Hakijoita ei kerrottu AI-pohjaisesta päätöksenteosta | Art. 13 (transparency) |
| Audit-loki puutteellinen | Päätökset ei tallennettu jäljitettävässä muodossa | Art. 12 (record-keeping) |
Sakon suuruus, 12 miljoonaa euroa, vastaa noin kolmea prosenttia yhtiön globaalista liikevaihdosta. AI Actin enimmäissakko on 7 prosenttia liikevaihdosta tai 35 miljoonaa euroa, kumpi on suurempi. Tämä sakko jäi selvästi alle maksimin, mutta sen kovuus yllätti monet alan asiantuntijat.
Mikä on high-risk -järjestelmä
EU AI Act jakaa AI-järjestelmät kolmeen riskitasoon: unacceptable, high ja limited risk. Rekrytointi-AI kuuluu high-risk-kategoriaan, kuten myös terveydenhoito-, luotto- ja koulutusjärjestelmät. Suomalaisille yrityksille tämä on tärkeää tietää, sillä 67 prosenttia suomalaisista tietotyöntekijöistä käyttää AI:ta viikoittain, ja moni käyttöalue putoaa juuri high-risk-luokkaan. HR, vakuutus, luotto ja terveydenhuolto ovat erityisen alttiita.
Mitä yritysten on tehtävä
Listamme keskeiset toimenpiteet, joita yrityksen on toteutettava ennen high-risk-AI-järjestelmän tuotantokäyttöä.
Dokumentoitava AI-järjestelmien riskinarviointi sekä mallin selitettävyys
Säilytettävä audit-loki päätöksistä vähintään 5 vuotta jäljitettävässä muodossa
Informoitava käyttäjiä AI-pohjaisesta päätöksenteosta selvästi ja etukäteen
Mahdollistettava ihmisen tekemä uudelleenarviointi pyynnöstä
Tarkistettava algoritmien syrjivyys säännöllisesti riippumattomalla auditilla
Nimettävä AI Compliance Officer (vastaava kuin GDPR:n DPO)
Sakon laskennan logiikka
Saksan viranomainen perusteli 12 miljoonan summan kolmella tekijällä: rikkomuksen jatkuvuus (yli 18 kuukautta), syrjivyyden vakavuus (mitattavissa 14 prosenttiyksikön ero hyväksymisasteessa) ja yhteistyö viranomaisen kanssa tutkinnassa (ennemmin huono kuin hyvä). Yhdistelmä tuotti 3 prosentin tason, vaikka maksimi olisi ollut 7 prosenttia.
Tämä antaa hyvän pohjan ennustaa, miten muut viranomaiset (mukaan lukien Suomen Traficom ja TSV) tulevat omat sakkonsa mittaamaan. Kahden täysipäiväisen audit-resurssin kustannus on edelleen huomattavasti vähemmän kuin yksi 3 prosentin sakko.
Vaikutukset suomalaisille yrityksille
Suomalaiset yritykset eivät ole vielä saaneet vastaavia sakkoja, mutta riski on todellinen. Erityisesti rekrytointi-, vakuutus- ja luottopuolen yritysten kannattaa tarkistaa AI-käyttönsä viipymättä. Anthropic, OpenAI ja Google tarjoavat enterprise-versioita, joiden audit-ominaisuudet helpottavat sääntelyn täyttämistä huomattavasti. Tästä huolimatta vastuu pysyy lopulta käyttäjäyrityksellä, ei mallin tarjoajalla.
Suomalaisten yritysten kannalta sääntelyn yhdistäminen on tärkeää. GDPR ja AI Act -velvoitteiden täyttäminen käytännössä käy läpi konkreettiset askeleet. Suomeen ovat saapuneet myös ensimmäiset deepfake-vaalioikeustapaukset: sääntelytyö siirtyy nyt käytännön tuomioiden tasolle ensimmäistä kertaa.
Mitä Saksan tapaus opettaa muille EU-maille
BfDI:n nopea aikataulu (9 kuukautta käsittelyssä) viittaa siihen, että EU AI Actin toimeenpano ei viivy kuten GDPR:n aikoinaan. Tämä on iso muutos verrattuna aikaisempiin sääntelyihin, joiden viivästymisestä viranomaiset olivat saaneet kritiikkiä. Yritysten näkökulmasta tämä tarkoittaa, että odottelustrategia ei ole enää järkevä, vaan compliance kannattaa aloittaa heti.
Tämä on testi-tapaus, joka todennäköisesti antaa pohjan tuleville ratkaisuille. Seuraavat 12 kuukautta paljastavat, miten aggressiivisesti EU lähtee sakottamaan AI Actin nojalla — ja kuinka paljon se vaikuttaa eurooppalaisten yritysten AI-investointeihin lyhyellä aikavälillä.
