Kun tietosuoja, tekoälyasetus ja sopimusoikeus törmäävät — ja miksi törmäys tapahtuu juuri sopimuksissasi

Keväällä 2026 EU:n digisääntelyn maaperä liikkui kunnolla. Komission marraskuussa 2025 julkaisema Digital Omnibus -paketti etenee, ja 7.5.2026 parlamentti ja neuvosto pääsivät alustavaan sopuun tekoälyasetuksen muutoksista. Samaan aikaan paketin tietosuojaa, NIS2:ta ja datasääntelyä koskevat osat ovat yhä lainsäädäntöprosessissa.

Otsikoissa tämä näkyy "keventämisenä" ja siirtymäaikojen pidennyksinä. Yritysten arjessa se näkyy toisin: kolme eri oikeudenalaa — tietosuoja, tekoälyasetus ja sopimusoikeus — osuvat nyt yhteen samassa asiakirjassa, eivätkä useimmat olemassa olevat sopimukset kestä tarkastelua.

Tässä kirjoituksessa avaamme, missä törmäys konkretisoituu ja mitä se tarkoittaa yrityksesi sopimuksille.

Mikä muuttui — lyhyesti

Alustava sopu koskee tekoälyasetuksen muutoksia, ei vielä lopullista lakia. Keskeiset signaalit ovat:

• Korkean riskin tekoälyjärjestelmien velvoitteiden soveltamista lykätään. Alustavan sovun mukaan itsenäisten järjestelmien osalta määräaika siirtyisi joulukuuhun 2027 ja tuotteisiin upotettujen järjestelmien osalta elokuuhun 2028. Aiemmin sovellus alkaisi 2.8.2026.

• Läpinäkyvyys- ja merkintävelvoitteet (tekoälyllä tuotetun sisällön tunnistettavuus) siirtyisivät joulukuulle 2026.

• Uusi kielto kohdistuu tekoälyjärjestelmiin, joilla tuotetaan lapsen seksuaalista hyväksikäyttöä esittävää materiaalia tai henkilön suostumuksetta tehtyä intiimiä kuvamateriaalia.

• Laajemmassa paketissa ehdotetaan tietosuoja-asetuksen muutoksia, muun muassa selkeämpää perustetta erityisiin henkilötietoryhmiin kuuluvien tietojen käsittelylle tekoälyn vinoumien havaitsemiseksi ja korjaamiseksi.

Olennaista: nämä ovat ehdotuksia ja alustavia sopuja, eivät vielä voimassa olevaa oikeutta. Tekoälyasetus on kuitenkin jo voimassa, ja velvoitteet astuvat voimaan vaiheittain riippumatta siitä, miten Omnibus lopulta muotoutuu. Siirtymäaikojen pidennys ei ole lupa pysäyttää valmistautumista.

Missä kolme oikeudenalaa törmäävät — neljä konkreettista kohtaa

1. Roolit eivät täsmää keskenään

Tietosuoja-asetus jakaa osapuolet rekisterinpitäjiin ja käsittelijöihin. Tekoälyasetus käyttää aivan eri roolijakoa: tarjoaja, käyttöönottaja, maahantuoja ja jakelija. Nämä eivät mene yksi yhteen.

Sama yritys voi olla samanaikaisesti henkilötietojen käsittelijä ja tekoälyjärjestelmän käyttöönottaja — tai rekisterinpitäjä ja tarjoaja. Tekoälyasetus menee vielä pidemmälle: jos käyttöönottaja muuttaa korkean riskin järjestelmää olennaisesti tai ottaa sen omiin nimiinsä, hänestä voi tulla asetuksen tarkoittama tarjoaja kaikkine velvoitteineen (tekoälyasetuksen 25 artikla). Asiakas, joka hienosäätää hankkimaansa mallia omalla datallaan, voi siis liukua tarjoajan asemaan ilman että kukaan on kirjoittanut siitä riviäkään sopimukseen.

Useimmissa nykyisissä SaaS-sopimuksissa ja tietojenkäsittelysopimuksissa (DPA) määritellään huolellisesti tietosuojaroolit mutta vaietaan tekoälyasetuksen rooleista täysin. Lopputulos on sopimus, joka allokoi vain puolet vastuista.

2. Koulutusdata ja käsittelyperuste liikkuvat

Tekoälymallin kouluttaminen ja hienosäätö edellyttävät dataa, ja siellä missä on henkilötietoja, tarvitaan tietosuoja-asetuksen mukainen käsittelyperuste. Tämä on klassinen kipupiste — ja juuri nyt maaperä liikkuu sen alla. Omnibus-ehdotukset koskevat muun muassa oikeutettua etua käsittelyperusteena ja erityisten henkilötietoryhmien käyttöä vinoumien korjaamiseen.

Sopimuksen näkökulmasta kysymys on: kuka vastaa siitä, että koulutusdatan käsittelylle on peruste, ja kuka kantaa riskin, jos perustetta ei ole? Entä jos sääntely muuttuu sopimuskauden aikana? Sopimus, joka olettaa oikeustilan pysyvän paikallaan, vanhenee nopeammin kuin osapuolet ehtivät reagoida.

3. Vastuunjako ja sanktiot kasautuvat

Tässä kolmen oikeudenalan törmäys muuttuu euroiksi. Samaan tekoälyä hyödyntävään palveluun voi kohdistua:

• tietosuoja-asetuksen sanktiot (enimmillään 20 miljoonaa euroa tai 4 prosenttia maailmanlaajuisesta liikevaihdosta)

• tekoälyasetuksen sanktiot, jotka kiellettyjen käytäntöjen osalta yltävät 35 miljoonaan euroon tai 7 prosenttiin liikevaihdosta

• immateriaalioikeudelliset vaatimukset koulutusdatasta

• sopimusperusteinen vahingonkorvausvastuu

Kysymys ei ole vain siitä, kuka rikkoo lakia, vaan siitä, kuka maksaa. Korvausvastuun rajaukset, välilliset vahingot, vastuukatot ja vastuunjakolausekkeet on kirjoitettu useimmissa sopimuksissa ennen kuin tekoälyasetus oli olemassa. Ne eivät tunne uusia sanktiokategorioita eivätkä jaa niihin liittyvää riskiä mitenkään.

4. "Sovellettavan lain noudattaminen" ei enää riitä lauseena

Moni sopimus nojaa yleiseen lausekkeeseen, jonka mukaan osapuoli sitoutuu noudattamaan "sovellettavaa lainsäädäntöä". Kun siirtymäajat liikkuvat: esim. korkean riskin velvoitteet 2027–2028 ja merkintävelvoitteet joulukuulle 2026 — tällainen lauseke jättää avoimeksi, minkä ajankohdan mukaista vaatimustasoa tarkoitetaan ja kuka kantaa muutosriskin. Liikkuvassa sääntely-ympäristössä epämääräinen viittaus lakiin siirtää riskin sinne, missä se sattuu osumaan — ei sinne, mihin se on tarkoitettu.

Mitä tämä tarkoittaa yrityksellesi käytännössä

Jos hankit tai tarjoat tekoälyä hyödyntäviä palveluita, kannattaa tarkistaa ainakin seuraavat:

• Roolimäärittelyt: tunnistavatko sopimuksesi sekä tietosuojaroolit että tekoälyasetuksen roolit, ja onko olennaisen muuttamisen tilanne huomioitu?

• Vastuunjako: jakavatko vastuu- ja korvauslausekkeet myös tekoälyasetuksen sanktioriskin ja koulutusdataan liittyvät vaatimukset?

• Muutosriski: miten sopimus reagoi siihen, että velvoitteet ja siirtymäajat muuttuvat kesken sopimuskauden?

• Dokumentaatio: kuka tuottaa ja säilyttää sen aineiston, jolla velvoitteiden noudattaminen osoitetaan molempien asetusten edellyttämällä tavalla?

Nämä eivät ole pelkkiä juridisia muodollisuuksia. Ne ratkaisevat, kenen taseeseen riski lopulta päätyy.

Miksi kannattaa hoitaa tämä meidän kanssamme

Useimmat toimijat osaavat joko tietosuojan tai tekoälyasetuksen tai sopimustekniikan. Törmäys tapahtuu kuitenkin näiden välissä, eikä sitä ratkaista yhdellä erikoisalalla. Me yhdistämme samassa tiimissä tietosuojan, tekoälyasetuksen ja kaupallisen sopimusoikeuden — ja seuraamme sääntelyn liikettä jatkuvasti, emme vain projektin alussa.

Käytännössä autamme esimerkiksi:

• tarkistamaan ja päivittämään SaaS-sopimukset, tietojenkäsittelysopimukset ja käyttöehdot vastaamaan molempien asetusten roolijakoa

• rakentamaan vastuunjako- ja korvauslausekkeet, jotka kestävät uudet sanktiokategoriat

• tunnistamaan tekoälyjärjestelmien riskiluokituksen ja siihen liittyvät velvoitteet

• järjestämään tietosuojavastaavan palvelun (DPOaaS) ja tekoälyn hallintamallin, joka tuottaa tarvittavan dokumentaation

Lähestymistapamme on käytännönläheinen ja palveluntarjoajan etua suojaava: kirjoitamme sopimukset niin, että ne ovat selkeitä, täytäntöönpanokelpoisia ja kestävät myös sääntelyn seuraavan muutoksen.

Kiinnostuitko? Varaa lyhyt kartoitus, niin käymme läpi, mitkä sopimuksesi kaipaavat päivitystä ennen seuraavia määräaikoja. https://www.klarity.fi/ota-yhteytta