Hallinnollinen seuraamusmaksu, GDPR ja AI Act – miksi selvityspyyntöön kannattaa vastata huolellisesti?

Tietosuoja- ja tekoälysääntelyssä huomio kiinnittyy usein suuriin sakkoihin. Uutisissa puhutaan miljoonaluokan hallinnollisista seuraamusmaksuista, tietoturvaloukkauksista ja viranomaisvalvonnasta. Sakot ovat todellinen riski, mutta ne eivät aina ole vakavin seuraus.

GDPR:n perusteella hallinnollinen seuraamusmaksu voi vakavimmissa tilanteissa olla jopa 20 miljoonaa euroa tai 4 prosenttia yrityksen maailmanlaajuisesta vuotuisesta liikevaihdosta. EU:n tekoälyasetus eli AI Act sisältää myös merkittäviä seuraamusmaksuja. Kiellettyjen tekoälykäytäntöjen rikkomisesta seuraamusmaksu voi olla jopa 35 miljoonaa euroa tai 7 prosenttia yrityksen maailmanlaajuisesta vuotuisesta liikevaihdosta. Myös muiden AI Actin velvoitteiden rikkomisesta voi seurata merkittäviä seuraamusmaksuja.

Luvut ovat suuria. Silti yrityksen kannalta usein vielä vakavampi riski liittyy luottamukseen. Miten asiakkaat, yhteistyökumppanit tai suuri yleisö suhtautuvat yritykseen, jos sen nimi yhdistyy tietoturvaloukkaukseen, puutteelliseen tietosuojaan tai vastuuttomaan tekoälyn käyttöön?

Seuraamusmaksusta voidaan valittaa hallinto-oikeuteen, ja asian lopullinen käsittely voi kestää pitkään. Mainehaitta ei kuitenkaan välttämättä poistu valitusprosessin mukana. Se voi jäädä hakukoneiden tuloksiin, asiakkaiden mieleen ja yhteistyökumppaneiden riskiarvioihin. Luottamus rakentuu hitaasti, mutta murenee nopeasti.

Selvityspyyntöön vastaaminen voi vaikuttaa asian lopputulokseen

Jos yritys saa selvityspyynnön tietosuojavaltuutetun toimistolta tai muulta viranomaiselta, tilanteeseen kannattaa suhtautua vakavasti. Selvityspyyntöön vastaaminen ei ole pelkkä muodollisuus tai asiakirjojen lähettäminen. Kyse on viranomaismenettelystä, jossa vastauksen sisällöllä, perusteluilla ja määräajassa toimimisella voi olla merkitystä asian jatkokäsittelyn kannalta.

Lopputulokseen voi vaikuttaa paljon se, mitä viranomaiselle vastataan, miten vastaus perustellaan, mitä asiakirjoja toimitetaan ja toimitetaanko vastaus määräajassa. Puutteellinen, epäselvä, ristiriitainen tai myöhässä toimitettu vastaus voi vaikeuttaa asian käsittelyä. Se voi myös antaa viranomaiselle kuvan siitä, ettei organisaatio hallitse tietosuoja- tai tekoälyvelvoitteitaan.

Hyvin jäsennelty, ajoissa toimitettu ja oikeudellisesti perusteltu vastaus puolestaan voi osoittaa, että organisaatio suhtautuu velvoitteisiinsa vakavasti ja on arvioinut toimintaansa asianmukaisesti.

Selvityspyyntö voi koskea esimerkiksi henkilötietojen käsittelyperustetta, rekisteröityjen informointia, tietoturvaloukkausta, vaikutustenarviointia, tekoälyjärjestelmän käyttötarkoitusta, AI Actin mukaista roolia tai riskiluokkaa. Usein viranomainen ei kysy vain sitä, mitä organisaatiossa on tehty, vaan myös sitä, miten ratkaisut on dokumentoitu ja millä perusteilla niihin on päädytty.

Tässä kohtaa pelkkä hyvä tarkoitus ei yleensä riitä. Organisaation pitää pystyä osoittamaan, mitä on tehty, miksi näin on toimittu ja mihin arvioon ratkaisut perustuvat.

Dokumentaatio auttaa vastaamaan viranomaiselle

Tietosuoja- ja tekoälysääntelyssä dokumentaatiolla on suuri merkitys. Jos käsittelyperusteet, vaikutustenarvioinnit, tietoturvatoimet, tekoälyjärjestelmien käyttötarkoitukset, riskiluokitukset ja sisäiset ohjeet on dokumentoitu asianmukaisesti, viranomaiselle vastaaminen on huomattavasti hallitumpaa.

Jos dokumentaatio puuttuu, on vanhentunutta tai sijaitsee hajallaan eri järjestelmissä ja ihmisten muistin varassa, selvityspyyntö voi nopeasti paljastaa puutteet. Siksi tietosuoja- ja tekoälydokumentaatio ei ole pelkkää hallinnollista paperityötä. Se on osa riskienhallintaa, luottamuksen suojaamista ja organisaation vastuullista toimintaa.

Lex Futura auttaa, kun viranomaiselle vastaaminen mietityttää

Lex Futura auttaa organisaatioita tietosuojaan, tekoälyyn ja viranomaismenettelyihin liittyvissä kysymyksissä. Apua voidaan tarjota esimerkiksi silloin, kun organisaatio on saanut selvityspyynnön tietosuojavaltuutetun toimistolta tai muulta valvovalta viranomaiselta, tai kun mahdolliseen viranomaiskyselyyn halutaan varautua etukäteen. Lex Futura auttaa arvioimaan myös mahdollista muutoksenhakutilannetta.

Lex Futura voi auttaa selvityspyynnön sisällön arvioinnissa, viranomaiselle annettavan vastauksen suunnittelussa, vastauksen luonnostelussa ja viimeistelyssä sekä toimitettavien asiakirjojen arvioinnissa. Tarvittaessa samalla voidaan käydä läpi myös organisaation tietosuoja- ja tekoälyvelvoitteita, täydentää vaikutustenarviointeja, arvioida tekoälyasetuksen mukaisia rooleja ja riskiluokkia sekä laatia sisäisiä ohjeita ja hallintamalleja.

Viranomaiselle vastaamisessa tärkeintä on, että vastaus on selkeä, täsmällinen, määräajassa toimitettu ja oikeudellisesti perusteltu.

Jos organisaatiosi on saanut selvityspyynnön tai viranomaiselle vastaaminen mietityttää, ota yhteyttä Lex Futuraan. Selvityspyyntöön kannattaa vastata huolellisesti, ei hätiköiden.