Andmekaitse

TI määruse (AI Act) tarkvara 2026: tehisintellekti vastavuse tööriistad

TI määruse (AI Act) tarkvara 2026: tehisintellekti vastavuse tööriistad. Riskiklassifikatsioon, kõrge riskiga süsteemide haldus ja GDPR-i kattuvus. Võrdlus.

Also available in:fi

Milline on parim TI määruse (AI Act) tarkvara 2026. aastal? Lühike vastus: tehisintellekti vastavuse tööriist peab klassifitseerima TI-süsteemid riskitaseme järgi (keelatud, kõrge risk, piiratud risk, minimaalne risk), haldama kõrge riskiga süsteemide dokumentatsiooni ja kontrolle ning siduma need GDPR-i kohustustega, sest enamik TI-süsteeme töötleb isikuandmeid. Turul on kolme tüüpi lahendusi: spetsialiseeritud TI-juhtimise platvormid, laiad GRC-süidid ja andmekaitseplatvormid, mis katavad TI ja GDPR kattuvat osa. Eesti kontekstis loeb, et tööriist toetaks EL-i tasandi nõudeid ja lõimuks olemasoleva andmekaitsetööga. See juhend selgitab valikukriteeriume ja TI määruse peamisi kohustusi.

TI määrus (EL 2024/1689) on maailma esimene ulatuslik tehisintellekti õigusakt. Selle kõrge riskiga süsteemide kohustused hakkavad järk-järgult kohalduma ja andmekaitsespetsialistid on üha enam kaasatud TI juhtimisse, sest TI ja isikuandmete kaitse on tihedalt seotud. Konteksti kohta loe andmekaitse Eestis.

Mida TI määruse tarkvara peab katma?

TI määruse vastavus algab süsteemide klassifitseerimisest ja jätkub kõrge riskiga süsteemide halduse ning dokumentatsiooniga. Tarkvara peaks toetama:

Valdkond TI määruse alus Mida tööriist teeb
Riskiklassifikatsioon Art 6, lisad TI-süsteemide kaardistus ja klassifitseerimine
Kõrge riskiga süsteemide haldus Art 8–15 Kontrollide ja dokumentatsiooni haldus
Andmehaldus Art 10 Treeningandmete kvaliteedi ja juhtimise dokumentatsioon
Läbipaistvus Art 13, 50 Kasutajate teavitamise nõuded
Inimjärelevalve Art 14 Inimkontrolli meetmete dokumentatsioon
GDPR-i kattuvus GDPR art 22, 35 Automaatotsused ja mõjuhinnang

TI määruse riskitasemed

TI määrus rakendab riskipõhist lähenemist, mis on tarkvara valiku alus:

Riskitase Näited Kohustused
Keelatud Sotsiaalne hindamine, manipuleerimine Kasutus keelatud
Kõrge risk Värbamine, krediit, biomeetria, kriitiline taristu Ranged nõuded (art 8–15)
Piiratud risk Vestlusrobotid, sisugeneraatorid Läbipaistvuskohustus
Minimaalne risk Rämpspostifiltrid, mängud Vabatahtlikud tegevusjuhised

Tarkvara peamine väärtus on aidata õigesti klassifitseerida – valel tasemel süsteem tähendab kas ülekoormatud vastavust või, hullemal juhul, täitmata kõrge riskiga kohustusi.

Kolm tüüpi lahendust

Spetsialiseeritud TI-juhtimise platvormid keskenduvad TI-süsteemide inventuurile, riskiklassifikatsioonile ja kõrge riskiga süsteemide dokumentatsioonile. Sobivad organisatsioonile, kes arendab või juurutab palju TI-süsteeme.

Laiad GRC-süidid katavad TI määruse kõrval ka muid raamistikke. Sobivad suurele organisatsioonile mitme kattuva kohustusega.

Andmekaitseplatvormid katavad TI ja GDPR kattuvat osa – eelkõige automaatotsuseid (GDPR art 22) ja mõjuhinnanguid. Sobivad organisatsioonile, kelle TI-kasutus töötleb isikuandmeid ja kelle põhirõhk on andmekaitsel.

TI määrus ja GDPR: kuidas need kokku puutuvad

TI määrus ja GDPR kattuvad tihedalt, sest enamik TI-süsteeme töötleb isikuandmeid. Kaks selget kokkupuutepunkti:

  • Automaatotsused (GDPR art 22). Kõrge riskiga TI-süsteem, mis teeb inimest oluliselt mõjutavaid automaatotsuseid, kuulub nii TI määruse kui ka GDPR-i alla. Vaja on õiguslikku alust ja inimsekkumise võimalust. Eestis annab selle valdkonna kohta juhiseid Andmekaitse Inspektsioon.
  • Mõjuhinnang (GDPR art 35). Kõrge riskiga TI-süsteemi juurutamine eeldab sageli andmekaitsealast mõjuhinnangut (DPIA), mis lõimub TI määruse riskihindamisega.

Legiscope hoiab andmekaitse põhikohustused – töötlemistoimingute registri, mõjuhinnangud ja automaatotsuste dokumentatsiooni – EL-i majutuses, mis täiendab TI-juhtimise tööd isikuandmete poolel. Vaata ka töötlemistoimingute registri tarkvara.

Võrdluskriteeriumid

Kriteerium Miks loeb
Riskiklassifikatsioon TI määruse vastavuse alus
Kõrge riskiga dokumentatsioon Art 8–15 nõuded
GDPR-i lõiming Automaatotsused ja DPIA
Andmehalduse tugi Treeningandmete kvaliteet (art 10)
EL-i majutus Väldib kolmandatesse riikidesse edastamist
Auditijälg Vastavuse tõendamine järelevalvele

Kuidas TI määruse tööriista valida: praktilised sammud

  1. Inventuur. Kaardista kõik TI-süsteemid, mida organisatsioon arendab või juurutab.
  2. Klassifitseeri. Määra iga süsteemi riskitase – see määrab kohustuste ulatuse.
  3. Kontrolli GDPR-i kattuvust. Vaata, millised süsteemid töötlevad isikuandmeid või teevad automaatotsuseid.
  4. Vali raamistik. Kas vajad spetsialiseeritud TI-platvormi, laia GRC-d või GDPR-iga kattuvat lahendust.
  5. Dokumenteeri kõrge riskiga süsteemid. Kontrollid, andmehaldus, inimjärelevalve ja läbipaistvus peavad olema kaetud.
  6. Taga auditijälg. Vastavust tuleb suuta järelevalvele tõendada.

Miks andmekaitse on TI-vastavuse lähtekoht

Eesti organisatsioonile, kes alles alustab TI-vastavusega, on kõige praktilisem lähtekoht olemasolev andmekaitsetöö. Kuna enamik TI-süsteeme töötleb isikuandmeid, on töötlemistoimingute register ja mõjuhinnangud loomulik alus, millele TI-juhtimine ehitada. Automaatotsuste dokumentatsioon (GDPR art 22) ja kõrge riskiga süsteemi mõjuhinnang (art 35) kattuvad otseselt TI määruse nõuetega. Seetõttu on organisatsioonile, kelle põhirõhk on andmekaitsel, sageli mõistlikum laiendada olemasolevat andmekaitseplatvormi kui soetada eraldi TI-juhtimise süit. Vaata ka GDPR tarkvara võrdlus.

TI määruse ajakava ja mida see tähendab

TI määruse kohustused ei jõustu korraga, vaid järk-järgult, mistõttu tööriista valik peaks arvestama ajakava. Peamised verstapostid:

Etapp Sisu
Keelatud praktikad Kohaldusid esimeste seas – teatud TI-kasutused on keelatud
Üldotstarbelised TI-mudelid Läbipaistvus- ja dokumentatsioonikohustused pakkujatele
Kõrge riskiga süsteemid Ranged nõuded (art 8–15) järk-järgult
Täielik kohaldumine Enamik kohustusi jõus

Praktiline järeldus organisatsioonile: inventuur ja klassifikatsioon tuleb teha juba enne, kui kõik kohustused jõustuvad, sest ilma süsteemide kaardistuseta ei saa hinnata, milliseid nõudeid ja millal kohaldada. Tööriist, mis peab TI-süsteemide inventuuri ajakohasena, on seetõttu esimene samm, mitte viimane.

TI määrus ja GDPR ühine dokumentatsioon

Kuna enamik TI-süsteeme töötleb isikuandmeid, on kahe raamistiku dokumentatsioon tihedalt seotud. Kolm kattuvuspunkti annavad konkreetse võidu:

  • Automaatotsuste register. Kõrge riskiga TI-süsteem, mis teeb inimest oluliselt mõjutavaid otsuseid, kuulub nii TI määruse kui ka GDPR-i artikli 22 alla – üks dokumentatsioon katab mõlemat.
  • Mõjuhinnangute lõiming. TI määruse riskihindamine ja GDPR-i mõjuhinnang (DPIA) puudutavad sama süsteemi; ühine hindamine väldib topelttööd.
  • Andmehalduse dokumentatsioon. TI määruse treeningandmete kvaliteedinõue (art 10) seondub GDPR-i töötlemistoimingute registriga, mis näitab, milliseid isikuandmeid mudel kasutab.

Levinuimad vead TI-vastavuses

  • Klassifikatsiooni edasilükkamine. Ilma süsteemide inventuuri ja klassifikatsioonita ei saa kohustuste ulatust hinnata – see on esimene, mitte viimane samm.
  • GDPR-i kattuvuse eiramine. Automaatotsuste ja mõjuhinnangute dokumentatsiooni topeltloomine on tarbetu, kui raamistikke saab lõimida.
  • “Meil pole TI-d” eeldus. Paljud organisatsioonid kasutavad TI-d märkamatult (vestlusrobotid, värbamistööriistad, sisugeneraatorid) – inventuur paljastab tegeliku olukorra.

TI määruse sanktsioonid ja miks vastavus tasub

TI määrus näeb ette GDPR-i omadest veelgi kõrgemad trahvid ning rikkumise raskus määrab ülempiiri:

Rikkumine Ülempiir
Keelatud TI-praktikad (art 5) 35 mln € või 7% ülemaailmsest aastakäibest
Kõrge riskiga süsteemide nõuete rikkumine 15 mln € või 3% käibest
Vale või eksitava teabe esitamine järelevalvele 7,5 mln € või 1% käibest

Need ülempiirid ületavad GDPR-i 20 miljoni euro ja 4% käibe piiri, mistõttu TI-süsteemide nõuetekohane klassifitseerimine ja dokumenteerimine ei ole formaalsus, vaid otsene finantsriski maandamine. Tööriist, mis peab TI-süsteemide inventuuri ja kõrge riskiga dokumentatsiooni ajakohasena, on seetõttu ühtlasi sanktsiooniriski juhtimise vahend. Sanktsioonid rakenduvad järk-järgult koos kohustuste jõustumisega, mis annab organisatsioonile aega, kuid ei õigusta ettevalmistuse edasilükkamist – klassifitseerimata süsteemide puhul pole võimalik hinnata, kas rakendub kõrgeim või madalaim ülempiir.

Üldotstarbelised TI-mudelid (GPAI) ja pakkuja kohustused

Eraldi kohustuste kiht puudutab üldotstarbeliste TI-mudelite (GPAI) pakkujaid – näiteks suurte keelemudelite arendajaid. Neilt nõutakse tehnilise dokumentatsiooni pidamist, teabe jagamist järgmise astme pakkujatele, autoriõiguse poliitika järgimist ja treeningandmete sisu kokkuvõtte avaldamist. Süsteemse riskiga mudelitele lisanduvad rangemad kohustused, sealhulgas mudeli hindamine ja tõsiste intsidentide jälgimine.

Enamik Eesti organisatsioone ei ole GPAI-mudelite pakkujad, vaid nende juurutajad – nad kasutavad valmis mudeleid oma toodetes ja teenustes. Juurutaja peamine kohustus on kasutada mudelit vastavalt otstarbele, tagada läbipaistvus (art 50) ja hinnata, kas konkreetne kasutus muutub kõrge riskiga süsteemiks. Just seetõttu on inventuur kesksel kohal: sama GPAI-mudel võib olla ühes kasutuses minimaalse riskiga ja teises, näiteks värbamises või krediidiotsustes, kõrge riskiga. Tööriist peab suutma neid kasutusi eristada ja siduma iga kõrge riskiga kasutuse mõjuhinnanguga (DPIA), kui see töötleb isikuandmeid.

TI-süsteemide varjatud kasutus organisatsioonis

Paljud organisatsioonid alahindavad, kui palju tehisintellekti nad juba kasutavad. TI ei tähenda üksnes eraldi “TI-projekti” – see peitub sageli igapäevastes tööriistades: klienditoe vestlusrobotites, värbamistarkvara kandidaatide sõelumises, turunduse sisugeneraatorites, pettuste tuvastamises ja isegi tabelarvutuse ennustusfunktsioonides. Just see varjatud kasutus tekitab suurima vastavusriski, sest klassifitseerimata süsteemi kohustusi ei saa hinnata.

Inventuuri praktiline samm on küsida igalt osakonnalt, milliseid automatiseeritud otsuseid või soovitusi nende tööriistad teevad, ja lisada nimekirja ka kolmandate osapoolte teenused, mis TI-d sisaldavad. Sageli selgub, et mõni neist – näiteks värbamises või krediidiotsuses kasutatav – kuulub kõrge riskiga kategooriasse ja vajab täielikku dokumentatsiooni. Tööriist, mis peab TI-süsteemide inventuuri ajakohasena ja seob iga kasutuse riskitasemega, muudab selle varjatud pinna nähtavaks – ja alles nähtav süsteem on juhitav. Ilma sellise inventuurita jääb organisatsioon eeldama, et tal “pole TI-d”, samal ajal kui kohustused juba kehtivad.

Korduma kippuvad küsimused

Kui palju TI määruse tarkvara maksab?

Hind sõltub lahendusetüübist ja TI-süsteemide arvust. Spetsialiseeritud TI-juhtimise platvormid ja GDPR-iga kattuvad andmekaitseplatvormid jäävad tavaliselt vahemikku mõni tuhat kuni paarkümmend tuhat eurot aastas. Laiad GRC-süidid algavad kõrgemalt. Täpne hind sõltub kõrge riskiga süsteemide arvust ja dokumentatsiooni ulatusest.

Kas GDPR tarkvara katab ka TI määruse?

Osaliselt. GDPR tarkvara katab TI ja GDPR kattuva osa – automaatotsused (art 22) ja mõjuhinnangud (art 35), mis on kõrge riskiga TI-süsteemide puhul kesksed. TI määruse täisvastavus (riskiklassifikatsioon, andmehaldus, inimjärelevalve) võib siiski nõuda spetsialiseeritud TI-juhtimise tuge.

Milliseid TI-süsteeme TI määrus kõige rangemalt reguleerib?

Kõrge riskiga süsteeme – näiteks värbamises, krediidiotsustes, biomeetrias ja kriitilises taristus kasutatavaid. Neile kehtivad ranged nõuded (art 8–15): riskijuhtimine, andmehaldus, dokumentatsioon, läbipaistvus, inimjärelevalve ja täpsus.

Kas TI määrus ja GDPR on sama asi?

Ei. TI määrus reguleerib tehisintellekti süsteeme riskipõhiselt, GDPR isikuandmete kaitset. Need kattuvad siiski tihedalt, sest enamik TI-süsteeme töötleb isikuandmeid – kõrge riskiga süsteem võib vajada nii TI määruse dokumentatsiooni kui ka GDPR-i mõjuhinnangut.

Kust TI-vastavusega alustada?

Kõige praktilisem lähtekoht on olemasolev andmekaitsetöö: töötlemistoimingute register ja mõjuhinnangud. Sealt saab TI-süsteemid inventeerida, klassifitseerida ja siduda GDPR-i automaatotsuste kohustustega.

Kokkuvõte

Parim TI määruse tarkvara klassifitseerib TI-süsteemid riskitaseme järgi, haldab kõrge riskiga süsteemide dokumentatsiooni ja seob need GDPR-i kohustustega. Kuna enamik TI-süsteeme töötleb isikuandmeid, on andmekaitsetöö – töötlemistoimingute register, automaatotsused ja mõjuhinnangud – loomulik lähtekoht. Valik sõltub profiilist: spetsialiseeritud TI-platvorm, lai GRC või GDPR-iga kattuv lahendus. Legiscope hoiab andmekaitse põhikohustused EL-i majutuses, mis täiendab TI-juhtimist. Vaata ka GDPR tarkvara võrdlus ja mõjuhinnang.

Vaata Legiscope’t töös – broneeri 15-minutiline demo

Viimati üle vaadatud: juuli 2026.

See Legiscope in action

AI-powered GDPR compliance that saves 340+ hours/year. Trusted by compliance professionals across Europe.

Request a demo
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →