Kas EU AI Act kehtib mu väikesel ettevõttel?

Jah, kuid enamiku VKE-de jaoks on nõuded minimaalsed. Kui kasutate AI-d ainult sisemise produktiivsuse jaoks (ChatGPT, Copilot), peate tagama läbipaistvuse, kuid suuremaid kohustusi pole. Probleem tekib siis, kui kasutate AI-d kõrge riskiga otsustes (personalivalik, krediidihindamine).

Kas pean lõpetama ChatGPT kasutamise?

Ei. ChatGPT igapäevane kasutamine (e-kirjad, dokumentatsioon, kokkuvõtted) on madala riskiga. Peate tagama, et töötajad ei sisesta sinna isikuandmeid, mis on GDPR-i kaitse all, ja kasutate ettevõtte plaani (Business või Enterprise), kus andmeid mudeli treenimiseks ei kasutata.

Kas Eesti seadusandlus on midagi täiendavat lisanud?

Eesti rakendab EU AI Act'i otse — täiendavaid riigisiseseid nõudeid pole. Andmekaitse Inspektsioon (AKI) on määratud järelevalveasutuseks. Eesti AI strateegia (Kratt) toetab vastavust.

AKI veebileht (aki.ee), Euroopa Komisjoni AI Office (digital-strategy.ec.europa.eu), AIRE EDIH (Eesti Tehisintellekti hub). Ettevõtetele, kes vajavad praktilist abi: meie 'AI for Leaders' koolitus käsitleb regulatsioone strateegilisel tasandil.

EU AI Act 2026 — Eesti ettevõtete vastavus | AI Treening

Lühivastus

EU AI Act jõustub etappidena. Olulised 2026 kuupäevad:

2. veebruar 2025 (juba kehtiv): keelatud tavad (sotsiaalne skooring, manipulatiivsed AI-süsteemid)
2. august 2025 (juba kehtiv): üldotstarbeliste AI mudelite (GPAI) nõuded
2. august 2026 (peamine kuupäev): kõrge riskiga AI-süsteemide nõuded
2. august 2027: täielik jõustumine kõikidele süsteemidele

Enamus Eesti VKE-sid kasutab AI-d "piiratud riskiga" kategoorias (näiteks ChatGPT igapäevatöös) — neile kehtivad ainult läbipaistvuse nõuded (kasutajat tuleb teavitada AI kasutusest). Kõrge riskiga kohustused puudutavad spetsiifilisi kasutusvaldkondi.

Riski-kategooriad

EU AI Act jagab AI süsteemid 4 riskitasandile:

Vastuvõtmatu risk — keelatud (sotsiaalne skoorimine, alateadlik manipulatsioon, biomeetriline tuvastamine reaalajas avalikus ruumis)
Kõrge risk — lubatud kõrgendatud nõuetega (personali värbamine, krediidi hindamine, hariduse hindamine, kriitiline infrastruktuur)
Piiratud risk — läbipaistvuse nõuded (chatbotid, deepfake, sünteetiline meedia)
Minimaalne risk — pole erinõudeid (AI mängude vastased, spämmi-filtrid)

Kõrge riskiga süsteemid Eestis — kus see kohaldub?

Eesti VKE-de jaoks olulised kõrge riskiga kasutusjuhud:

Personali — AI värbamise filtreerimisel, töötajate hindamisel või edutamisel (näiteks CV-de automaatne filtreerimine)
Krediit ja kindlustus — AI laenutaotluste või kindlustusriskide hindamisel
Haridus — AI eksamite hindamisel või õpilaste edenemise jälgimisel
Kriitiline infrastruktuur — AI energia, vee, transpordi süsteemides
Õigussüsteem — AI kohtuasjade analüüsis või õigusabi vajaduse hindamisel

Kui teie ettevõte ei tegele ühegi neist, kuid kasutate ChatGPT-d / Claude'i igapäevatöös — teie peamine kohustus on läbipaistvus: kui kasutaja suhtleb chatbotiga, tuleb seda öelda; kui sisu on AI-genereeritud, tuleb seda märgistada.

Kõrge riskiga süsteemide kohustused

Kui teie kasutusjuht on kõrge riskiga, peate tagama:

Riski juhtimissüsteem — dokumenteeritud protsess riskide tuvastamiseks ja maandamiseks
Andmete kvaliteet — treeningandmed peavad olema asjakohased, esinduslikud, piisavalt täielikud
Tehniline dokumentatsioon — süsteemi disain, kasutusotstarve, piirangud
Inimese kontroll — süsteemi peab saama jälgida ja sekkuda
Täpsus, robustsus ja küberturve — testimisplaan ja monitooring
CE-märgis — vastavushinnangu pärast
Avalik register — registreerimine EU AI andmebaasis

GPAI (üldotstarbelised mudelid) ja teie

GPT-5, Claude, Gemini, Llama on üldotstarbelised AI mudelid (GPAI). Kohustused on peamiselt mudelipakkujatel (OpenAI, Anthropic, Google, Meta) — nemad peavad pakkuma tehnilist dokumentatsiooni, järgima autoriõiguse nõudeid, märgistama AI-genereeritud sisu jne.

Kasutajana (teie ettevõte) on teie kohustused üldjuhul piiratud:

Teavitada kasutajaid, kui nad suhtlevad AI-ga
Märgistada AI-genereeritud pildid / video / audio (deepfake'i ennetus)
Tagada, et AI ei kasutata keelatud viisil (manipulatsioon, sotsiaalne skoorimine)

Sanktsioonid

Keelatud tavade rikkumine: kuni €35M või 7% globaalsest käibest (suurem)
Kõrge riskiga süsteemide nõuete rikkumine: kuni €15M või 3% käibest
Vale info regulaatorile: kuni €7,5M või 1% käibest

VKE-dele on sanktsioonid madalamad, kuid mainekahjud Eesti turul võivad olla olulisemad.

Mida teha praegu?

Kaardistage, kus teie ettevõttes AI-d kasutatakse (sh ChatGPT igapäevaselt)
Klassifitseerige riski-tasandi järgi (enamikele on minimaalne või piiratud)
Lisage läbipaistvus: kui kasutate chatbotti, ütke seda; kui sisu on AI-genereeritud, märgistage
Kõrge riskiga juhtumid: alustage vastavustööd kohe, kui veel pole tehtud — 2. august 2026 on lähedal
Koolitage meeskond: AI-d kasutavad töötajad peavad teadma reegleid (mida tohib promptisse panna, mida mitte)

EU AI Act 2026 — mis Eesti ettevõtetele kohaldub ja millal

Lühivastus

Riski-kategooriad

Kõrge riskiga süsteemid Eestis — kus see kohaldub?

Kõrge riskiga süsteemide kohustused

GPAI (üldotstarbelised mudelid) ja teie

Sanktsioonid

Mida teha praegu?

Vastame teie küsimustele.

Seotud artiklid.

Mis on tehisintellekt? Lihtne selgitus ja praktiline ülevaade

AI agendid ettevõttele 2026 — mis need on ja kuidas neid kasutada?

Soovid süvitsi õppida?