EU AI Act · Art. 6

Korkean riskin tekoälyjärjestelmien luokittelusäännöt

Tämä ratkaisee, onko järjestelmäsi ”korkean riskin” ja sitä myötä koko dokumentaatiotaakkasi.

Sisältö tarkistettu3 min lukuaikaAsetus (EU) 2024/1689Tarkistettu 30.5.2026

Mistä tässä on kyse

Kallein yksittäinen kysymys koko asetuksessa on tämä: onko järjestelmäsi korkean riskin vai ei. Vastaus ratkaisee, puhutaanko muutaman dokumentin perusasioista vai täydestä dokumentaatiopaketista, ja se määräytyy käyttötarkoituksen, ei teknologian, mukaan. Vastauksen saa liitteen III listasta noin vartissa, ja se kannattaa selvittää ennen kuin ostaa tai rakentaa mitään.

Koko EU AI Act:n raskain velvoitelista koskee vain ”korkean riskin” järjestelmiä, joten 6. artikla on se kohta, joka ratkaisee paljonko työtä sinulle tulee. Järjestelmä on korkean riskin joko siksi, että se on tuotteen turvakomponentti (esimerkiksi lääkinnällinen laite), tai siksi, että sen käyttötarkoitus kuuluu liitteen III listaan.

Liite III: kahdeksan aluetta

Liitteen III kahdeksan aluetta ovat: biometria; kriittinen infrastruktuuri; koulutus ja ammatillinen koulutus; työllisyys ja työvoiman hallinta; elintärkeät yksityiset ja julkiset palvelut, joihin kuuluvat muun muassa luottokelpoisuuden arviointi sekä henki- ja sairausvakuutusten hinnoittelu; lainvalvonta; maahanmuutto ja rajavalvonta; sekä oikeudenhoito ja demokraattiset prosessit. Komissio voi päivittää listaa (Art. 7), joten rajatapauksissa kannattaa tarkistaa ajantasainen liite.

Suomalaisen PK-yrityksen arki osuu listalle useimmiten neljässä kohdassa. Rekrytointi ja HR: hakemusten karsinta, haastateltavien pisteytys, työsuhteen aikainen arviointi. Luotonanto ja vakuutus: luottokelpoisuuden arviointi ja henki- tai sairausvakuutusten hinnoittelu. Koulutus: opiskelijavalinta ja osaamisen arviointi. Julkiset palvelut: etuuksien ja palveluiden myöntämistä tukevat järjestelmät. Ratkaisevaa on aina, mihin järjestelmää tosiasiassa käytetään, ei millä tekniikalla se on rakennettu.

6(3)-poikkeus on kapea, ei oikotie

Artiklassa on poikkeus: liitteen III alueella toimiva järjestelmä ei ole korkean riskin, jos se ei tosiasiassa vaikuta päätöksen lopputulokseen merkittävästi, esimerkiksi kapea menettelytehtävä tai valmisteleva vaihe. Poikkeukseen on kuitenkin kaksi kovaa reunaehtoa. Ensinnäkin se ei ole koskaan käytettävissä, jos järjestelmä profiloi luonnollisia henkilöitä. Toiseksi perustelut on dokumentoitava ennen markkinoille saattamista, ja viranomainen voi tarkistaa ja kumota luokituksen (Art. 80). Jos ehdotustasi noudatetaan käytännössä aina, poikkeus ei kestä tarkastelua.

Mitä luokituksen jälkeen

Jos testi osoittaa korkean riskin, dokumentaatiopolku on tunnettu: riskienhallinta (Art. 9), datanhallinta (Art. 10), tekninen dokumentaatio (Art. 11), laadunhallinta (Art. 17) ja vaatimustenmukaisuuden arviointi (Art. 43) ennen markkinoille saattamista. Jos taas et ole korkean riskin luokassa, velvoitteesi ovat kevyet: lukutaito (Art. 4), tarvittaessa läpinäkyvyysmerkinnät (Art. 50) ja halutessasi vapaaehtoiset sitoumukset (Art. 95). Juuri siksi luokitus kannattaa tehdä ensin, ja ennen kuin ostaa tai rakentaa mitään.

Luokka määräytyy käyttötarkoituksen, ei teknologian, mukaan, ja vastaus ratkaisee koko dokumentaatiotaakkasi.
Korkean riskin testi
01KäyttötarkoitusMihin järjestelmä on tarkoitettu
02Liite III tai turvakomponentti?Kuuluuko listalle
036(3)-poikkeus?Vaikuttaako päätökseen merkittävästi
04Korkean riskin luokkaTäysi dokumentaatio

Mitä laki vaatii, kohta kohdalta

Tarkista, kuuluuko käyttötarkoituksesi Annex III -listaan (esim. rekrytointi, luotonanto, terveydenhuolto). Jos kuuluu, olet korkean riskin polulla.

  1. §1Liite I (A-jakso) – tuoteturvallisuuskomponentti
  2. §2Liite III – itsenäinen tekoälyjärjestelmä
  3. §3Poikkeus (3 kohta): Liite III -järjestelmä ei ole korkean riskin, jos se ei aiheuta merkittävää riskiä – kapea menettelytehtävä, ihmistyön parantaminen, poikkeaman havaitseminen tai valmisteleva tehtävä; profilointi on kuitenkin aina korkean riskin
  4. §4Tarjoaja dokumentoi arvionsa, ettei Liite III -järjestelmä ole korkean riskin, ennen markkinoille saattamista, ja rekisteröi sen Art. 49(2) mukaisesti
  5. §5Komissio antaa ohjeet ja käytännön esimerkit korkean ja ei-korkean riskin käyttötapauksista (viimeistään 2.2.2026)

Usein kysytyt kysymykset

Onko chatbot korkean riskin järjestelmä?
Tavallinen asiakaspalvelubotti ei ole, siihen riittävät Art. 50:n läpinäkyvyysvelvoitteet. Korkea riski syntyy käyttötarkoituksesta: jos botti tekee tai valmistelee esimerkiksi luotto- tai rekrytointipäätöksiä, luokka muuttuu.
Työkalumme vain ehdottaa eikä päätä, olemmeko silti korkean riskin?
Mahdollisesti. 6(3)-poikkeus on kapea: jos ehdotusta käytännössä aina noudatetaan, järjestelmä vaikuttaa päätökseen merkittävästi ja poikkeus kaatuu (viranomainen voi tarkistaa tämän, Art. 80). Perustelut on dokumentoitava etukäteen.
Mistä tiedän, kuuluuko järjestelmäni liitteeseen III?
Liite III listaa kahdeksan aluetta, PK-yrityksille osuvimmat ovat rekrytointi ja HR, luotonanto ja vakuutukset, koulutus sekä olennaiset palvelut. Ratkaisevaa on, mihin järjestelmää tosiasiassa käytetään, ei millä tekniikalla se on tehty.
Kuka luokituksen tekee ja kuka sen voi kumota?
Luokituksen tekee ja dokumentoi tarjoaja itse ennen markkinoille saattamista. Markkinavalvontaviranomainen voi tarkistaa sen ja kumota perusteettoman 6(3)-poikkeuksen (Art. 80), jolloin korkean riskin velvoitteet tulevat heti ja kiireellä.
Voiko liitteen III lista muuttua?
Voi: komissio voi lisätä ja täsmentää korkean riskin käyttötapauksia (Art. 7). Siksi rajatapauksessa kannattaa tarkistaa ajantasainen liite eikä nojata vanhaan muistikuvaan, ja siksi luokitus kuuluu vuosittaiseen tarkistukseen.
Tarvitsetko nämä asiakirjat valmiina?

pkai tunnistaa lomakkeesta, koskeeko tämä järjestelmääsi, ja koostaa oikean dokumenttipaketin automaattisesti, noin 20 minuutissa.

Katso miten pkai auttaa →
Eemil Vanhanenpkai:n perustaja. Kirjoittaa nämä oppaat ja päivittää ne lain muuttuessa, tarkistussykli 3 kuukautta.
Lähde & tarkistus. Artiklan sisältö ja sanamuoto on käyty erikseen läpi EU:n virallista tekstiä vasten. Selitys on tiedoksi eikä korvaa oikeudellista arviota. Lue virallinen teksti EUR-Lexissä →
Näytä artiklan tarkka rakenneteksti

Järjestelmä on korkean riskin, jos molemmat täyttyvät (1 kohta): (a) se on tuotteen turvakomponentti tai itse tuote, joka kuuluu liitteen I unionin yhdenmukaistamislainsäädännön soveltamisalaan; ja (b) kyseinen tuote edellyttää kolmannen osapuolen vaatimustenmukaisuuden arviointia. Lisäksi liitteessä III tarkoitetut järjestelmät ovat korkean riskin (2 kohta). Poikkeus (3 kohta): liitteen III järjestelmä ei ole korkean riskin, jos se ei aiheuta merkittävää riskiä terveydelle, turvallisuudelle tai perusoikeuksille, mukaan lukien siten, ettei se olennaisesti vaikuta päätöksenteon lopputulokseen; edellytyksenä jokin seuraavista: (a) suppea menettelyllinen tehtävä; (b) aiemmin suoritetun ihmisen toiminnan tuloksen parantaminen; (c) päätöksentekomallien tai poikkeamien havaitseminen korvaamatta tai ohjaamatta aiempaa ihmisarviota ilman asianmukaista tarkistusta; tai (d) valmisteleva tehtävä. Poikkeusta EI sovelleta, jos järjestelmä suorittaa luonnollisten henkilöiden profilointia (3 kohdan viimeinen alakohta). Poikkeukseen nojaavan tarjoajan on dokumentoitava arvionsa ennen markkinoille saattamista, rekisteröitävä järjestelmä Art. 49(2):n mukaisesti ja toimitettava dokumentaatio pyynnöstä (4 kohta).

Lue myös

Art. 9
Riskienhallintajärjestelmä

Korkean riskin tekoälylle on oltava jatkuva, dokumentoitu prosessi, jolla tunnistat ja pie…

Art. 80
6(3)-poikkeuksen viranomaistarkistus

Jos luokittelit järjestelmäsi 'ei korkean riskin' poikkeuksella, viranomainen voi olla eri…

Art. 26
Käyttöönottajien velvoitteet

Et tehnyt tekoälyä itse mutta otat sen käyttöön? Sinullakin on omat lakisääteiset velvoitt…

Art. 113
Soveltamisaikataulu

EU AI Act tulee voimaan vaiheittain: kielletyt käytännöt 2.2.2025, GPAI-mallit 2.8.2025 ja…

← Kaikki oppaat