Käesolev analüüs on suunatud eelkõige tööandjatele ja juhtidele, kelle ettevõttes kasutatakse või plaanitakse kasutada tehisintellekti igapäevastes tööprotsessides.
Generatiivse tehisintellekti (AI) ja suurte keelemudelite (Large Language Models) integreerimine igapäevastesse tööprotsessidesse on tänaseks möödapääsmatu majanduslik reaalsus. Kuigi AI kasutamine tõstab märgatavalt tööefektiivsust, on õiguslik regulatsioon ja ettevõtete sisekorraeeskirjad jäänud tehnoloogia arengust maha.
Aastaks 2026 on fookus nihkunud lihtsalt efektiivsuselt õiguslikule vastavusele (Compliance). Lisaks intellektuaalomandi ja andmekaitse riskidele peavad Eesti ettevõtjad nüüd arvestama ka Euroopa Liidu tehisintellekti määruse (EU AI Act) nõuetega, mis panevad tööandjale konkreetsed kohustused.
Käesolev analüüs toob välja neli kriitilist riskikohta – konfidentsiaalsus, intellektuaalomand, andmekaitse ja regulatiivne vastavus – ning pakub lahendusena välja õigusliku raamistiku nende maandamiseks.
1. Ärisaladuse pöördumatu avaldamine
Üks suurimaid ja samas alahinnatumaid riske ettevõtte jaoks on kontrolli kaotamine oma andmete üle. Paljud avalikud generatiivse AI platvormid (sh standardseadistusega ChatGPT, Claude, Gemini jt) sätestavad kasutustingimustes õiguse kasutada sisestatud teavet mudelite edasiseks treenimiseks (Model Training).
Õiguslikust vaatepunktist tekitab see konflikti ärisaladuse kaitse seadusega. Ärisaladuse definitsiooni üheks eelduseks on, et teabe valdaja on rakendanud “mõistlikke meetmeid” teabe salajas hoidmiseks. Kui töötaja sisestab konfidentsiaalse lepingu, strateegia või finantsandmed avalikku vestlusaknasse, võib seda tõlgendada kui vabatahtlikku saladuse avalikustamist või hoolsuskohustuse rikkumist.
Risk: Kohtuvaidluse korral võib ettevõte kaotada õiguse tugineda ärisaladuse rikkumisele, kuna ta ise (läbi oma töötaja tegevuse) ei taganud info konfidentsiaalsust.
2. Vastavus EL tehisintellekti määrusele (AI Act)
Euroopa Liidu tehisintellekti määrus ei reguleeri ainult tehnoloogia arendajaid, vaid ka neid ettevõtteid, kes AI lahendusi oma töös kasutavad (Deployers). Töösuhete kontekstis on kriitilise tähtsusega kaks põhimõtet:
- Inimjärelevalve (Human Oversight): Määrus nõuab, et AI süsteeme ei tohi jätta otsustama ilma inimese kontrollita. Tööandja peab tagama, et töötaja suhtub AI poolt genereeritud väljundisse kriitiliselt ja vastutab lõpptulemuse eest. “Tehisintellekt eksis” ei ole juriidiliselt pädev argument.
- Tehisintellektikirjaoskus (AI Literacy): Tööandjal on kohustus tagada, et töötajad, kes tööülesannete täitmisel AI-d kasutavad, omavad piisavat pädevust mõistmaks süsteemi toimimist ja piiranguid.
Ilma selge siseregulatsioonita on oht nende nõuete vastu eksida, mis võib kaasa tuua järelevalvemenetluse. Praktikas ei tähenda see AI kasutamise keeldu, vaid vastutuse selget jaotust.
3. Intellektuaalomandi kuuluvuse ebaselgus
Kehtiv autoriõiguse seadus ja kohtupraktika lähtuvad põhimõttest, et teose autoriks saab olla vaid füüsiline isik. AI poolt genereeritud väljund ei kvalifitseeru automaatselt autoriõigusega kaitstavaks teoseks.
See tekitab ohtliku olukorra. Kui teost ei teki, ei saa autoriõigusi ka loovutada. Miks on siis lepinguline reguleerimine vajalik?
Ilma selge regulatsioonita tekib “eikellegi maa”. Korrektne AI poliitika täidab selle tühimiku kahel tasandil:
- Hübriidne kaitse: Enamasti on töö tulemus kombinatsioon inimese ja masina panusest. Poliitika tagab, et inimloomingust tulenevad õigused liiguvad kindlalt tööandjale.
- Lepinguline vara: Isegi kui AI genereeritud koodil või tekstil puudub autoriõiguslik kaitse, defineerib poliitika selle kui tööandja varalise väärtuse (ärisaladus, know-how). See keelab töötajal seda materjali konkurendi juurde kaasa võtmast, tuginedes töölepingu rikkumisele, mitte autoriõigusele.
Ilma selle klauslita võib töötaja väita, et AI genereeritud materjal on avalik omand ja ta võib seda vabalt edasi kasutada.
4. Isikuandmete kaitse (GDPR) pöördumatud rikkumised
Paljud ettevõtjad eksivad arvates, et kui nad ei sisesta AI-sse kliendi nime, on kõik korras. Tegelikkus on keerulisem. Avalike AI-mudelite (nt ChatGPT tasuta versioon) kasutamine isikuandmete töötlemiseks võib kaasa tuua kolm rasket rikkumist:
- Andmete edastamine ilma õigusliku aluseta. Sisestades kliendiandmeid (isegi kaudseid andmeid, millest inimene on tuvastatav) AI vestlusaknasse, edastate te need andmed teenusepakkujale (nt OpenAI, Google), kes on GDPR-i mõttes “kolmas osapool”. Tasuta kontode puhul puudub ettevõttel teenusepakkujaga sõlmitud andmetöötlusleping (DPA). See tähendab, et andmete edastamiseks puudub õiguslik alus ja kontroll selle üle, mida teenusepakkuja andmetega teeb.
- “Õigus olla unustatud” võimatus (Artikkel 17). GDPR annab isikule õiguse nõuda oma andmete kustutamist. Kui AI mudel on kasutanud sisestatud isikuandmeid oma närvivõrgu treenimiseks, muutuvad need andmed osaks mudeli “mälust”. Neid ei ole võimalik enam sealt selektiivselt eemaldada. Tagajärg: Ettevõte on tekitanud olukorra, kus ta ei suuda tehniliselt täita seadusest tulenevat kohustust andmeid kustutada.
- Andmete turvalisus ja serverite asukoht. Paljude AI teenuste serverid asuvad väljaspool Euroopa Majanduspiirkonda (nt USA-s). Ilma vastavate kaitsemeetmeteta on tegemist ebaseadusliku andmete edastamisega kolmandatesse riikidesse.
5. Kokkuvõte ja soovitused
Tehisintellekti täielik keelamine töökohal ei ole jätkusuutlik strateegia, kuna see pärsib ettevõtte innovatsiooni ja konkurentsivõimet. Samas näitab ülaltoodud analüüs, et “metsik Lääs” on läbi.
Ettevõtja, kes lubab töötajatel kasutada AI-d ilma selge õigusliku raamistikuta, riskib kolme pöördumatu tagajärjega:
- Struktuurne GDPR-i rikkumine, mida ei ole tehniliselt võimalik heastada (andmete kustutamise võimatus).
- Ärisaladuse kaitse tühistumine hoolsuskohustuse täitmata jätmise tõttu.
- Vastuolu EL tehisintellekti määrusega, mis on Eestis otsekohalduv.
Riskide maandamiseks on vaja kehtestada konkreetne “Tehisintellekti kasutamise kord”.
Oleme Magilexis välja töötanud juriidiliselt korrektse poliitika näidise, mis ei ole lihtsalt formaalne paber, vaid strateegiline tööriist. See arvestab nii andmekaitse rangete nõuete, varaliste õiguste “hübriidse” kaitse kui ka AI Act-i järelevalve kohustusega.
Kas Sinu ettevõttes on need reeglid paigas?
Ära hakka jalgratast leiutama. Oleme koostanud juriidiliselt korrektse põhja, mis on kooskõlas Eesti seaduste ja uue AI määrusega.