Kirjoittajat: Kari Kataja & Maria Rehbinder.
Koneoppimista ja tekoälyä käytetään hyväksi korkeakoulujen hallinnossa, opetuksessa sekä tutkimus-, kehitys- ja innovaatiotoiminnassa. Näin voidaan esimerkiksi tehostaa toimintaa tai löytää kokonaan uusia tapoja hyödyntää tietomassoja. Tässä lyhyessä puheenvuorossa nostetaan esiin keskeisimpiä tekoälyn soveltamiseen liittyviä tietosuojakysymyksiä.
Mikäli tekoälyn avulla käsitellään henkilötietoja sisältäviä aineistoja, tulee tietosuoja-asiat ottaa huomioon jo suunnitteluvaiheessa. Henkilötietojen käsittelyn tulee olla asianmukaista ja sen tulee perustua selkeään tarpeeseen. Lisäksi henkilötietojen käsittelyn minimoinnin periaatteen tulee toteutua. Myös muut tietosuoja-asetuksen periaatteet tulee ottaa huomioon. Paras tulos saadaan, kun tietosuojavastaava otetaan mukaan suunnitteluun mahdollisimman aikaisessa vaiheessa.
Tekoälyn prosessoitavaksi annettu henkilötietojen käsittely tulee kuvata mahdollisimman läpinäkyvästi, selkeästi, helposti hahmotettavasti ja tiiviisti. Henkilötiedon luovuttajan tai rekisterissä olevan on kyettävä ymmärtämään kuvaus. Siitä tulee käydä ilmi, mitä tietoja analyysissa otetaan huomioon ja mihin tekoälyn avulla saatua analyysia käytetään. Myös henkilötietojen käsittelyn logiikasta tulee kertoa rekisteröidyn kannalta merkityksellistä tietoa.
Ennen henkilötietojen käsittelyn aloittamista on myös tehtävä päätös siitä, pitääkö tehdä tietosuoja-asetuksen mukainen henkilötietojen käsittelyn vaikutustenarviointi eli DPIA (Data Processing Impact Assessment). Vaikutustenarvioinnin tekeminen on todennäköisesti tarpeen muun muassa siksi, että tekoälyn voidaan tulkita olevan tietosuoja-asetuksen 25 artiklan mukaista ”uutta teknologiaa”.
Lähtökohtaisesti rekisteröity ei saa joutua sellaisen automaattisen päätöksenteon kohteeksi, jolla on oikeusvaikutuksia tai joka muulla tavalla vaikuttaa häneen merkittävästi (Tietosuoja-asetus 2016/679, artikla 22). Tästä periaatteesta voidaan poiketa vain, jos päätös on välttämätön rekisteröidyn ja rekisterinpitäjän välisen sopimuksen täytäntöönpanon kannalta, käsittely on oikeuden tai lainsäädännön perusteella mahdollista tai rekisteröidyltä on tähän nimenomainen suostumus. Rekisteröidyllä on myös oikeus kieltää automaattinen päätöksenteko ja kyseenalaistaa tekoälyn tekemä päätös. EU:n tietosuojaviranomaisista koostuva European Data Protection Boardin edeltäjä Working Party 29 (2018) on antanut profiloinnista ja automaattisesta päätöksenteosta sekä täytäntöön panemisesta tarkemmat ohjeet.
Henkilötietojen käsittely on otettava huomioon myös tekoälyn käyttöön liittyvissä sopimuksissa. Henkilötietoja käsittelevien alihankkijoiden kanssa tulee olla sopimus, jonka sisältöä säätelevät tietosuoja-asetuksen artiklan 28 vaatimukset. Erityisesti on syytä tarkastella henkilötietojen siirtoja, mikäli tekoälyyn liittyvä palvelu sijaitsee EU- tai ETA -alueen ulkopuolella.
Kirjoittajat
Kari Kataja, DI, FM, KTM, KM, Tietosuojavastaava ja tietojärjestelmäpäällikkö, korkeakoulujen tietosuojavastaavien verkoston työvaliokunnan puheenjohtaja, Hämeen ammattikorkeakoulu, kari.kataja(at)hamk.fi
Maria Rehbinder, OTK, Senior Legal Counsel, Certified Information Privacy Professional (CIPP/E), Tieteellisen tutkimuksen tietosuojaryhmä (TUTTI) jäsen, Aalto-yliopisto, maria.rehbinder(at)aalto.fi
[vc_tta_accordion active_section=”0″ no_fill=”true” el_class=”lahteet”][vc_tta_section title=”Lähteet” tab_id=”1458134585005-b3f22396-5506″]
Darst, R ja Rehbinder, M. (2018). CS-E3210 Machine Learning: Basic Principles – Ethics and the GDPR. Haettu 15.8.2019 osoitteesta https://www.youtube.com/watch?v=aE8PePfUR9Y
EU:n yleinen tietosuoja-asetus 2016/679, Haettu 15.8.2919 osoitteesta https://eur-lex.europa.eu/legal-content/FI/TXT/?uri=CELEX%3A32016R0679
Working party 29 (2018). Suuntaviivat automatisoiduista yksittäispäätöksistä ja profiloinnista asetuksen (EU) 2016/679 täytäntöön panemiseksi. Haettu 15.8.2919 osoitteesta https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=612053
[/vc_tta_section][/vc_tta_accordion]
