Organisaatiomme on määritellyt suuntaviivat, joilla ylläpidetään henkilöstön tekoälytaitoa ja vastuullista tekoälytietoisuutta. Näihin voivat kuulua seuraavat:

• Henkilöstö saa ohjeet, joissa kuvataan heidän työtehtäviinsä liittyvät tekoälyn käyttöä koskevat yleiset ohjeet.
• Henkilöstö saa koulutusta, jotta se voi ylläpitää roolinsa edellyttämiä asianmukaisia tekoälyn käyttötaitoja ja -tietoja.
• Henkilöstö osoittaa testeillä, että se ymmärtää työtehtävänsä edellyttämän tekoälyjärjestelmien asianmukaisen ja turvallisen käytön.

Koulutuksessa olisi keskityttävä kunkin työtehtävän kannalta olennaisimpiin tekoälyyn liittyviin näkökohtiin, ja siihen olisi sisällytettävä säännöllisesti kaikkia työntekijöitä koskevat perusasiat:

• Työntekijän henkilökohtaiset velvollisuudet tekoälyjärjestelmiä käytettäessä (esim. syöttötietojen asianmukainen käsittely ja tekoälyn tuottamien tuotosten tarkistaminen).
• Kaikkia koskevat toimintaperiaatteet (esim. tekoälyn hyväksyttävä käyttö ja luottamuksellisten tietojen suojaaminen).
• Kaikkia koskevat ohjeet (esim. tekoälyn tuottaman sisällön tarkistaminen ja arkaluonteisten tietojen käytön välttäminen kehotteissa).
• Organisaation tekoälyn hallintoroolit (keneen ottaa yhteyttä tekoälyn käyttöön liittyvissä kysymyksissä tai huolenaiheissa).

Organisaation on lueteltava tekoälyjärjestelmänsä ja varmistettava, että asiaankuuluvien lakien mukaiset avoimuusvelvoitteet täyttyvät. Nämä velvoitteet olisi dokumentoitava. Tämän prosessin tulokset olisi säilytettävä viitteenä sääntöjen noudattamista koskevissa toimissa.

The organization should establish and maintain a formal and accessible mechanism for internal personnel to report concerns, issues, or potential risks related to the organization's artificial intelligence systems. This channel should be operational and available throughout the entire AI system lifecycle, from initial development to eventual decommissioning, ensuring a clear process for receiving, investigating, and addressing reported issues.

Organisaation olisi otettava käyttöön prosessi, jolla varmistetaan, että sen tekoälyjärjestelmien tuottama synteettinen sisältö, kuten ääni, kuvat, video tai teksti, merkitään keinotekoisesti tuotetuksi tai manipuloiduksi. Merkinnän on oltava koneellisesti luettavassa muodossa. Valitun teknisen ratkaisun olisi oltava tehokas, yhteentoimiva, vankka ja luotettava. Sen olisi oltava yhdenmukainen nykyisten alan standardien kanssa, jos se on mahdollista ja kustannustehokasta.

Organisaation olisi varmistettava, että kun henkilö on vuorovaikutuksessa tekoälyjärjestelmän kanssa, hänelle ilmoitetaan tästä selkeästi. Tämä ilmoitus on annettava heti vuorovaikutuksen alussa tavalla, joka on helposti havaittavissa ja ymmärrettävissä ja joka täyttää sovellettavat saavutettavuusstandardit. Esimerkiksi chatbotin olisi esiteltävä itsensä tekoälyavustajaksi keskustelun alussa.

Olisi ylläpidettävä jäsenneltyä sisäistä kirjaa, jossa määritellään ilmoituksen laajuus ja menetelmät. Sen olisi sisällettävä ainakin seuraavat asiat:

• Kuvaus käyttäjälle suunnatusta avoimuusmekanismista
• Ilmoituksen laukaisupisteet
• Sanamuotomallit tai esimerkit
• Hallinnollinen omistajuus
• arviointi saavutettavuusvaatimusten soveltuvuudesta
• Testaus- tai validointimenettely

Organisaation olisi varmistettava, että tekoälyjärjestelmän kanssa suoraan vuorovaikutuksessa oleville luonnollisille henkilöille ilmoitetaan selkeästi ja erottuvasti, että he ovat vuorovaikutuksessa tekoälyjärjestelmän kanssa. Tämä ilmoitus on annettava viimeistään silloin, kun he ovat ensimmäistä kertaa tekoälyjärjestelmän kanssa tekemisissä tai altistuvat sille. Tämän tiedon antamistavan on oltava sovellettavien esteettömyysvaatimusten mukainen ja vammaisten henkilöiden havaittavissa.

Tekoälyjärjestelmiä käyttävien organisaatioiden olisi luotava ja ylläpidettävä dokumentoitua prosessia tekoälyllä tuotetun tai tekoälyllä manipuloidun sisällön tunnistamiseksi ja julkistamiseksi tekoälylain 50 §:n 4 momentin mukaisesti.

Prosessissa olisi määriteltävä julkistamisen käynnistävät tekijät, vaaditut merkintätavat ja vastuualueet sisällön elinkaaren aikana. Siinä olisi erotettava toisistaan eri sisältöluokat, kuten teksti, ääni, video ja synteettinen media, kuten syväjäljennökset, ja määriteltävä kullekin asianmukaiset julkistamismekanismit.

Prosessissa olisi myös määriteltävä ja perusteltava sovellettavat poikkeukset, kuten taiteellinen tai luova ilmaisu, ihmisen tarkistama tai muokkaama sisältö ja lain sallimat käyttötarkoitukset, ja varmistettava, että poikkeusperusteita sovelletaan johdonmukaisesti ja että ne ovat tarkastettavissa.

Organisaation olisi arvioitava ja dokumentoitava, milloin tekoälyjärjestelmän luonnetta pidetään käyttäjälle ilmeisenä, jolloin se ei vaadi nimenomaista ilmoitusta. Arvioinnin olisi perustuttava kohtuullisen hyvin perehtyneen ja tarkkaavaisen henkilön näkökulmaan, ottaen huomioon erityinen käyttöyhteys. Ilmoittamisesta luopumisen perustelut on kirjattava.

Tekoälyjärjestelmät, joilla on laillinen lupa havaita, ehkäistä, tutkia tai syyttää rikoksia, vapautetaan tästä vaatimuksesta, jos käytössä on asianmukaiset suojatoimet kolmansien osapuolten oikeuksien ja vapauksien suojelemiseksi. Arviointi on kuitenkin edelleen tarpeen, jos kyseiset järjestelmät asetetaan yleisön käyttöön rikosten ilmoittamista varten.

Organisaation on varmistettava, että jokainen suuren riskin tekoälyjärjestelmä suunnitellaan ja dokumentoidaan niin, että se on riittävän avoin, jotta käyttäjät voivat tulkita sen tuotoksia oikein ja käyttää sitä asianmukaisesti.

Avoimuuden tason on oltava oikeassa suhteessa järjestelmän käyttötarkoitukseen ja riskiprofiiliin, ja sen on tuettava sekä toimittajan että käyttöönottajan 3 jakson mukaisten velvoitteiden noudattamista. Avoimuustoimenpiteisiin olisi sisällyttävä vähintään seuraavat:

• selkeä kuvaus järjestelmän tarkoituksesta, soveltamisalasta ja kohdekäyttäjistä.
• Selvitys siitä, miten tuotokset tuotetaan, mukaan lukien keskeiset oletukset ja tarvittaessa inhimillisen valvonnan rooli.
• Ohjeet siitä, miten tuotoksia tulkitaan, mukaan lukien luottamuspisteet, todennäköisyystasot tai epävarmuusindikaattorit, jos ne ovat tarpeen.
• Kuvaus tunnetuista rajoituksista, suorituskykyrajoituksista ja tilanteista, joissa tuotokset voivat olla epäluotettavia.
• Ohjeet järjestelmän asianmukaisesta ja sopimattomasta käytöstä.
• Korkean tason tiedot koulutus-, validointi- ja testausaineistosta, mukaan lukien tiedossa olevat harhojen tai edustavuuden riskit.

Organisaation olisi varmistettava, että nämä tiedot pidetään ajan tasalla ja että ne ovat käyttöönottajien saatavilla selkeässä ja helppokäyttöisessä muodossa.

Palveluntarjoajien olisi tehtävä yhteistyötä raportoivien jakelijoiden tai tarvittaessa suuren riskin tekoälyjärjestelmien käyttöönottajien kanssa tutkiessaan riskien syitä.

The organization should establish and maintain clear and accessible channels for external stakeholders to report any negative impacts, risks, or concerns related to the organization's AI systems. These channels should facilitate the reporting of issues such as biases, privacy concerns, safety incidents, or other unintended consequences. A defined process for receiving, evaluating, and responding to these reports in a timely and appropriate manner should also be in place.

The organization should develop and document a strategy for communicating AI system incidents to relevant AI system users. The strategy should define the types of incidents that trigger communication, the information to be shared, the timing of communication, the communication channels to be used, and the responsible parties for communication.

The organization should identify the technical documentation requirements for its AI systems, considering the needs of various stakeholder groups such as end-users, partners, and regulatory bodies. The organization should then prepare and provide this documentation in a suitable and accessible format for each stakeholder. This documentation should detail key aspects of the AI system, including its technical architecture, data sources, development and training methodologies, testing procedures, performance characteristics, and any identified limitations or biases.

The organization must establish a process to determine what information users need to operate the AI system safely, effectively, and appropriately, and then provide that information to them in a clear format.

This process involves:

• First, analyzing the AI system and its intended audience to identify all necessary information. This includes details about the system's purpose, capabilities, limitations, performance, and operational requirements.
• Second, creating and providing this information to users through comprehensive documentation, such as an 'Instructions for Use' (IFU) document, online help, or other relevant materials.

The goal is to ensure that users have all the information they need to use the AI system as intended and to understand its behavior and limitations.

The organization should establish and implement a communication process to ensure effective internal and external communication related to the AI management system. This process should clearly define:

• what information needs to be communicated (content)
• when it should be communicated (timing)
• to whom it should be communicated (audience, both internal and external stakeholders)
• how it will be communicated (method of delivery).

The organisation should establish and provide clear guidelines for individuals assigned to oversee AI systems. These guidelines should detail the procedures for monitoring performance, interpreting outputs, and intervening in operations. Instructions should cover how to override or halt the system and include measures to raise awareness of automation bias.

Organisaation olisi laadittava ja ylläpidettävä selkeä ja helposti ymmärrettävä ilmoitus henkilöille, jotka altistuvat tunnetunnistus- tai biometriselle luokittelujärjestelmälle. Ilmoituksessa on nimenomaisesti kerrottava heille järjestelmän toiminnasta, sen tarkoituksesta ja heidän henkilötietojensa käsittelystä.

Olisi dokumentoitava ja otettava käyttöön prosessi, jolla varmistetaan, että nämä tiedot annetaan ajoissa ja helposti saatavilla olevalla tavalla, joka soveltuu käyttöyhteyteen. Prosessin olisi oltava sopusoinnussa sovellettavan unionin tietosuojalainsäädännön kanssa, mukaan lukien asetus (EU) 2016/679, asetus (EU) 2018/1725 tai direktiivi (EU) 2016/680, tapauksen mukaan.

Jos järjestelmää käytetään sovellettavan lainsäädännön mukaisten rikosten havaitsemiseen, ehkäisemiseen tai tutkimiseen, organisaation olisi dokumentoitava oikeusperusta ja suojatoimet, joihin se tukeutuu arvioidessaan tämän velvoitteen sovellettavuutta.

Organisaation olisi laadittava selkeät ohjeet siitä, miten käyttäjille ilmoitetaan, kun he ovat vuorovaikutuksessa tekoälyn tuottaman tai manipuloidun sisällön kanssa. Näin varmistetaan läpinäkyvyys ja estetään harhaanjohtaminen. Aiheita voivat olla esimerkiksi:

• tekoälyn tuottaman tai olennaisesti muokatun sisällön julkistaminen.
• Tarkkuus ja harhaanjohtamattomuus.
• Yleisölle ymmärrettävät tiedotukset.
• epäselvän tai teknisen terminologian välttäminen julkisissa tiedoissa.
• tekoälyn tuottaman tekstin, kuvien, äänen tai videon julkistaminen.
• Tekoälyn muokkaaman tai muuntaman ihmisen luoman sisällön julkistaminen.
• Ihmisen vastuu julkaistusta sisällöstä

Organisaation olisi määriteltävä ja dokumentoitava erityisehdot, joiden mukaisesti tekoälyn tuottama sisältö on vapautettu merkintävaatimuksista. Näissä ohjeissa olisi selvennettävä, mikä on avustava toiminto, muu kuin olennainen muutos tai laillisesti hyväksytty poikkeus, jotta varmistetaan sääntöjen johdonmukainen soveltaminen.

Organisaation olisi laadittava ja ylläpidettävä kattavia käyttöohjeita tekoälyjärjestelmiään varten. Nämä ohjeet on annettava käyttöönottajille selkeässä, täydellisessä ja helposti saatavilla olevassa muodossa.

Dokumentaation olisi sisällettävä ainakin seuraavat asiat

• Järjestelmän käyttötarkoitus, ominaisuudet ja tunnetut rajoitukset.
• Tiedot tarkkuudesta, kestävyydestä ja kyberturvallisuuden suorituskyvystä.
• ennakoitavissa olevat riskit terveydelle, turvallisuudelle tai perusoikeuksille.
• Tarvittavat resurssit, ylläpitotarpeet ja tiedot kirjaamisvalmiuksista.

Suuririskisten tekoälyjärjestelmien tarjoajien järjestelmien käyttöohjeet sisältävät keskeiset toiminta- ja yhteystiedot. Tämä auttaa käyttöönottajia hallinnoimaan järjestelmää tehokkaasti ja läpinäkyvästi koko sen elinkaaren ajan.

Ohjeissa olisi täsmennettävä:

• Tarjoajan henkilöllisyys ja yhteystiedot tukea varten.
• Järjestelmän toiminnallisuuteen tai suorituskykyyn ennalta suunnitellut muutokset.
• Järjestelmän odotettu käyttöikä, vaadittu ylläpitoaikataulu ja ohjelmistopäivityksiä koskeva prosessi.
• Kuvaus käytettävissä olevista teknisistä ominaisuuksista, jotka auttavat selittämään järjestelmän tuotoksia.
• Ohjeet siitä, miten käyttöönottajat voivat käyttää järjestelmän kirjausominaisuuksia toimintatietojen keräämiseen, tallentamiseen ja tulkintaan.

Organisaation on täydennettävä suuren riskin tekoälyjärjestelmänsä käyttöohjeita tärkeimmillä yksityiskohdilla sen tietovaatimuksista ja suorituskykyominaisuuksista. Nämä tiedot auttavat käyttöönottajia käyttämään järjestelmää vastuullisesti ja tehokkaasti.

Ohjeiden olisi sisällettävä:

• Määrittelyt syöttötiedoista, joita tarvitaan, jotta järjestelmä toimisi oikein.
• Asiaankuuluvat tiedot käytetyistä koulutus-, validointi- ja testitietoaineistoista ottaen huomioon järjestelmän käyttötarkoitus.
• Tarvittaessa arvio järjestelmän suorituskyvystä tiettyjen henkilöiden tai henkilöryhmien osalta.

Organisaation olisi luotava prosessi, jolla henkilöstölle tiedotetaan suuren riskin tekoälyjärjestelmän käyttöönotosta työpaikalla. Tämän tiedottamisen on tapahduttava ennen järjestelmän käyttöönottoa. Prosessissa olisi varmistettava, että sekä yksittäisille työntekijöille että heidän edustajilleen tiedotetaan asiasta sovellettavan työlainsäädännön ja -käytäntöjen mukaisesti.

Organisaation olisi luotava selkeä prosessi, jolla luonnollisille henkilöille tiedotetaan, kun heihin sovelletaan päätöstä, joka on tehty tai jota on avustettu suuren riskin tekoälyjärjestelmällä. Tässä prosessissa olisi määriteltävä ilmoituksen sisältö, ajoitus ja toimitustapa avoimuuden ja vaatimustenmukaisuuden varmistamiseksi.

Ilmoituksessa olisi selkeästi todettava, että tekoälyjärjestelmä on käytössä, ja selitettävä sen tarkoitus ja rooli päätöksentekoprosessissa. Tietojen on oltava selkeitä, ytimekkäitä ja helposti ymmärrettäviä.

Organisaation on määriteltävä niiden selitysten sisältö ja rakenne, jotka annetaan henkilöille, joihin suuren riskin tekoälyjärjestelmän päätös vaikuttaa. Tavoitteena on varmistaa, että selitys on selkeä, merkityksellinen ja ymmärrettävästi esitetty.

Ohjeissa olisi täsmennettävä, että selitys sisältää

• Tekoälyjärjestelmän tarkoitus ja logiikka.
• tekoälyn tuotoksen rooli lopullisessa päätöksessä.
• Tiivistelmä siitä, miksi päätös tehtiin tietyn henkilön osalta.

Organisaation olisi annettava käyttöönottajille tarvittavat tiedot ja koulutus, jotta he voivat käyttää suuren riskin tekoälyjärjestelmiä turvallisesti. Tämä on keskeinen toimenpide sellaisten riskien lieventämiseksi, joita ei voida poistaa suunnittelulla. Tietojen on sisällettävä kaikki 13 artiklassa vaaditut tiedot, kuten järjestelmän käyttötarkoitus, rajoitukset ja suorituskyky. Tarvittaessa olisi myös annettava koulutusta, joka on räätälöity käyttöönottajan teknisen taustan ja aiotun käyttöyhteyden mukaan.

Organisaation olisi varmistettava, että suuren riskin tekoälyjärjestelmän mukana seuraavissa käyttöohjeissa ilmoitetaan selkeästi sen suorituskyky. Tähän sisältyy testauksessa käytettävien tarkkuusmittareiden, kuten tarkkuuden tai palautuksen, määrittely ja näiden mittareiden osalta saavutettujen tarkkuusasteiden ilmoittaminen. Nämä tiedot auttavat käyttäjiä ymmärtämään järjestelmän ominaisuuksia ja rajoituksia.

Organisaation olisi toteutettava varmennusvaihe sen varmistamiseksi, että CE-merkintä on kiinnitetty oikein kuhunkin suuren riskin tekoälyjärjestelmään ennen kuin se asetetaan saataville. Tarkistuksessa olisi varmistettava, että merkintä on näkyvissä, luettavissa ja pysyvä. Digitaalisten järjestelmien osalta on tarkistettava, että merkintä on helposti saatavilla käyttöliittymän tai muun sähköisen välineen kautta.

Suuren riskin tekoälyjärjestelmien tarjoajien olisi varmistettava, että tällaisten järjestelmien valvontaa varten annetaan selkeät ohjeet. Niiden olisi varmistettava ainakin seuraavat seikat:

• Ihmisen suorittama valvonta on sisällytetty merkittäviin tekoälyä koskeviin päätöksiin.
• Ihmiset tarkastelevat yksilöihin olennaisesti vaikuttavia tuloksia.
• tekoälyjärjestelmiä seurataan jatkuvasti tahattoman toiminnan havaitsemiseksi.

Organisaation on laadittava dokumentoitu prosessi, jolla hankitaan tietoinen suostumus henkilöiltä, jotka osallistuvat tekoälyjärjestelmien reaalimaailman testaukseen. Ennen testauksen aloittamista jokaisen osallistujan on saatava selkeät tiedot testistä ja annettava suostumuksensa.

Annettujen tietojen on katettava testin tarkoitus, kesto ja ehdot sekä osallistujan oikeus peruuttaa testi milloin tahansa ilman seuraamuksia. Lisäksi on kerrottava menettelystä, jolla voidaan pyytää tekoälyn tuloksen peruuttamista, ja testin virallisesta tunnistenumerosta. Osallistujalle on annettava päivätty kopio suostumusasiakirjasta.

Organisaation olisi määriteltävä ja dokumentoitava virallisesti vastuut, jotka koskevat tekoälyjärjestelmiä koskevien tietojen välittämistä asianomaisille osapuolille. Tähän kuuluu sen määrittely, mitä tietoja jaetaan, kenelle ja kuka vastaa viestinnästä.

Tekoälytietoisuuskoulutuksen tehokkuutta arvioidaan säännöllisesti. Arviointiin voivat sisältyä esimerkiksi seuraavat näkökulmat:

• Onko henkilöstön osaaminen riittävän syvällistä?
• Ovatko koulutusmenetelmät ja -määrät oikeita?
• Koulutetaanko eri yksiköitä oikeista asioista?
• Onko henkilöstö motivoitunut oppimaan?
• Ymmärtääkö henkilöstö koulutuksen syyt (esim. tekoälyn vääränlaisen käytön mahdolliset kielteiset vaikutukset)?

Organisaation on varmistettava, että sen riskialttiit tekoälyjärjestelmät merkitään asianmukaisesti ennen niiden markkinoille saattamista tai käyttöönottoa. Tähän kuuluu CE-merkinnän kiinnittäminen vaatimustenmukaisuuden osoittamiseksi. Lisäksi järjestelmään, sen pakkaukseen tai mukana oleviin asiakirjoihin on merkittävä toimittajan nimi, rekisteröity toiminimi tai tavaramerkki sekä yhteysosoite.

Organisaation olisi yksilöitävä ja dokumentoitava kaikki oikeudelliset poikkeukset velvollisuudesta tiedottaa yksilöille suuren riskin tekoälyjärjestelmän käytöstä. Tämä koskee erityisesti lainvalvontatilanteita, joissa tietojen antaminen voisi vaarantaa tutkimukset tai yleisen turvallisuuden, kuten asiaa koskevissa säädöksissä on määritelty.