GDPR ja EU AI Act ovat vuoden 2026 kaksi merkittävintä EU-sääntelyä, jotka koskevat AI-järjestelmiä. Niiden velvoitteet ovat osittain päällekkäisiä, osittain erilliset, ja monelle yritykselle niiden yhteensovittaminen on jäänyt epäselväksi. Tässä oppaassa käymme läpi, miten suomalainen yritys täyttää molemmat ilman tuplajärjestelmiä tai päällekkäistä työtä.
Yhdistäminen ei ole vain kustannuskysymys. Kun GDPR-prosessit ja AI Act -prosessit pidetään erillään, syntyy helposti tilanteita, joissa toinen on päivitetty mutta toinen ei. Yhdistetty malli vähentää tätä riskiä merkittävästi.
Ydinerot taulukoituna
Kahden sääntelyn vertailu antaa kuvan siitä, missä ne lähtevät samasta perusteesta ja missä erkanevat omille uomilleen.
| Aihe | GDPR (2018) | EU AI Act (2025) |
|---|---|---|
| Kohde | Henkilötiedot | AI-järjestelmät |
| Soveltuvuus | Aina henkilötiedoissa | High-risk AI -järjestelmissä |
| Suostumus | Pakollinen | Riippuu kontekstista |
| DPIA-vaatimus | Korkea riski | Aina high-risk AI:lle |
| Audit-lokin säilytysaika | 1–5 vuotta | 5 vuotta |
| Sakot (max) | 4 % gl.liikevaihto | 7 % gl.liikevaihto |
| Päätösoikeus | Right to explanation | Oikeus inhimilliseen arvioon |
| Datansiirto USA:han | Tiukasti rajoitettu | Sallittu erityisedellytyksin |
| Vaatii erillisen toimijan | DPO | AI Compliance Officer |
Missä ne menevät ristiin
Henkilötietoja käsittelevä AI-järjestelmä putoaa molempien soveltamisalaan. Tämä koskee esimerkiksi rekrytointi-AI:tä, luottoluokitusta ja terveydenhuollon päätöksentekoa. EU AI Actin ensimmäinen iso sakko iski juuri Saksaan, ja kyseessä oli juuri tällainen rekrytointi-AI. Ratkaisu osoitti, että viranomainen voi soveltaa molempia sääntelyjä rinnakkain ja antaa sakon kummastakin samasta tapahtumasta.
Käytännön työnkulku – yhdistä dokumentointi
Älä tee erillistä GDPR DPIA:ta ja AI Act -riskinarviointia. Yhdistä ne yhdeksi dokumentiksi, joka kattaa molempien vaatimukset. Tämä säästää ylläpitokustannuksia ja varmistaa, että muutokset päivittyvät molempiin samanaikaisesti. Yhdistetyn dokumentin malli on jo saatavilla esimerkiksi Suomen kuntaliiton ja Teknologiateollisuuden julkaisuissa.
Käytännössä yhdistetty riskinarviointi vie noin 30 prosenttia vähemmän aikaa kuin erilliset, ja sen ylläpito on huomattavasti yksinkertaisempaa. Sisäisen compliance-tiimin kannattaa rakentaa yksi pohja, jota käytetään kaikkiin AI-projekteihin.
Audit-lokit
Audit-lokin rakentaminen on tärkein yksittäinen tekninen vaatimus, joka molempien sääntelyiden täyttämiseksi on toteutettava. Suositukset:
Säilytä 5 vuoden ajan, mikä kattaa molempien vaatimukset
Sisällytä päätökset, mallin versio, syötteet, tulokset ja ihmisen tarkistukset
Hashita arkaluonteinen data ja säilytä vain hash + viittaus
Pidä loki muutosjäljitettävänä (tamper-evident), esimerkiksi blockchain-pohjainen tai vastaava
Varmista, että lokia voidaan eksportoida vakiomuotoisena vaadittaessa (esim. Splunk, ELK)
Suomi-spesifiset huomiot
Tietosuojavaltuutettu Suomessa on pragmaattinen valvova viranomainen, ja se tekee yhteistyötä Traficomin kanssa, joka vastaa AI Act -valvonnasta. Konkreettisia tapauksia on ollut vähän, mutta deepfake-vaaliprosessien oikeustapaukset tulevat oletettavasti antamaan ensimmäiset ennakkotapaukset suomalaisessa kontekstissa lähikuukausina. Myös suomalaisten kasvavan AI-käytön myötä valvonnan tarve kasvaa. Kahden vuoden sisällä Suomi tulee todennäköisesti näkemään ensimmäiset omat sakkonsa.
Yritysten yleisimmät virheet
Olemme keränneet listan virheistä, joita olemme nähneet suomalaisten yritysten compliance-projekteissa.
Erilliset GDPR- ja AI Act -tiimit, vaikka yhdistäminen olisi tehokkaampaa
Vain juridinen näkökulma, mutta tarvitset myös teknisen Compliance Officerin
Vain DPIA, mutta bias-testejä tarvitaan myös säännöllisesti, vähintään puolivuosittain
Ei datansäilytys-strategiaa: pilvi-AI ilman EU-residenssiä on iso riski
Oletus, että pelkkä mallin tarjoajan SOC 2 -sertifikaatti riittää, vaikka vastuu pysyy käyttäjäyrityksellä
Aikataulu ja seuranta
AI Actin täysi voimaantulo on elokuussa 2026, mutta high-risk-järjestelmien osalta velvoitteet ovat astuneet voimaan jo helmikuussa. Useimmat yritykset, jotka käyttävät high-risk-AI:tä, ovat jo myöhässä. Aloita compliance-prosessi heti, ja varaa siihen vähintään 4–6 kuukautta riippuen järjestelmän koosta.
GDPR ja AI Act ovat samojen periaatteiden kaksi soveltamista. Mitä paremmin yhdistät dokumentoinnit, sitä helpompi ylläpito on. Älä rakenna kahta järjestelmää siellä missä yksi riittää — se on kallista virhettä, jonka monet näyttävät tekevän.
