Tietosuojavaltuutetun toimisto on laatinut ohjeistuksen siitä, miten organisaation on otettava tietosuojalainsäädännön vaatimukset huomioon, kun se kehittää tai ottaa käyttöön tekoälyjärjestelmiä. Mikäli tekoälyjärjestelmään liittyy henkilötietojen käsittelyä, sen kehittämisessä ja käytössä on noudatettava tietosuojalainsäädäntöä.

Organisaation on arvioitava tekoälyjärjestelmän tietosuojariskejä ennen kuin henkilötietoja aletaan käsitellä ja riskin perusteella päätettävä esimerkiksi tarvittavista turvatoimista tai muista toimenpiteistä riskien hallitsemiseksi. Yleisen tietosuoja-asetuksen mukaan vaikutustenarviointi on tehtävä erityisesti silloin, kun suunniteltu henkilötietojen käsittely voi aiheuttaa korkean riskin ihmisten oikeuksille ja vapauksille. Tekoälyjärjestelmien kehittäminen täyttää usein korkean riskin kriteerit. Vaikutustenarviointi auttaa tietosuojasääntelyn vaatimusten noudattamisessa.

Organisaation on valittava tarkoitukseen sopiva yleisessä tietosuoja-asetuksessa määritelty henkilötietojen käsittelyperuste, kun se kehittää tai käyttää tekoälyjärjestelmää. Käsittelyperuste tarvitaan myös, kun tekoälyn kouluttamiseen käytetään henkilötietoa. Perusteen pitää olla olemassa jo, kun henkilötietoja kerätään ja käytetään tekoälyn kehittämistä ja kouluttamista varten. Tietosuoja-asetuksen mukaisia henkilötietojen käsittelyperusteita ovat muun muassa rekisteröidyn suostumus, sopimus, lakisääteinen velvoite sekä rekisterinpitäjän tai kolmannen osapuolen oikeutettu etu.

Lisäksi organisaatioiden on kiinnitettävä huomiota tietosuoja-asetuksessa säädettyjen tietosuojaperiaatteiden, kuten tietojen minimoinnin ja käyttötarkoitussidonnaisuuden noudattamiseen. Organisaation on aina määriteltävä huolellisesti, mitkä henkilötiedot ovat tarpeellisia ja mihin tarkoituksiin niitä käytetään tekoälyjärjestelmässä. Kun henkilötietoja ei enää tarvita tekoälyjärjestelmän kehittämisessä tai käytössä, ne tulee anonymisoida tai poistaa. Tekoälyjärjestelmä on myös suunniteltava niin, että rekisteröityjen tietosuojaoikeudet pystytään toteuttamaan.

Henkilötietojen käsittelystä tekoälyjärjestelmässä on kerrottava rekisteröidyille avoimesti ja ymmärrettävästi. Lisäksi rekisteröidyille on annettava tietosuoja-asetuksen mukaisen informointivelvollisuuden edellyttämät tiedot heidän henkilötietojensa käsittelystä, kuten mihin tarkoitukseen tietoja käsitellään ja kuinka kauan niitä säilytetään. Tekoälyjärjestelmää kehittävä tai käyttävä organisaatio on vastuussa siitä, että se noudattaa tietosuojasääntelystä tulevia vaatimuksia ja pystyy tarvittaessa osoittamaan sen esimerkiksi dokumentoimalla tietosuojariskien arvioinnit ja muut tehdyt toimenpiteet.

Tekoälyjärjestelmien käyttöä sääntelee myös vuonna 2024 voimaan tullut EU:n tekoälyasetus. Siinä määritellään esimerkiksi kielletyt tekoälyn käyttötarkoitukset ja asetetaan vaatimuksia suuririskisille tekoälyjärjestelmille, joita ovat erityisesti järjestelmät, joilla voi olla merkittävä haitallinen vaikutus ihmisten turvallisuudelle tai perusoikeuksille. Suuririskisiä tekoälyjärjestelmiä voidaan tuoda markkinoille tai käyttää vain, jos ne täyttävät tekoälyasetuksessa määritellyt vaatimukset.