1. Üldsätted
1.1. Eesmärk
1.1.1. Käesoleva eeskirja eesmärk on reguleerida tehisintellekti kasutamist Tallinna Tehnikaülikoolis.
1.1.2. Eeskirjaga sätestatakse tehisintellekti kasutamise põhimõtted, tingimused, piirangud ja üldised nõuded ning täiendava hindamise või riskianalüüsi vajadus, et tagada tehisintellekti õiguspärane, turvaline, eesmärgipärane ja eetiline kasutamine.
1.1.3. Käesolev eeskiri on tehisintellekti kasutamise üldraamistik, millest lähtuvad täpsemad juhised, kasutusreeglid ja hindamiskorrad.
1.2. Käsitlusala
1.2.1. Käesolev eeskiri kehtib ülikooli töötajatele, õppuritele ja muudele ülikooli nimel tegutsevatele isikutele, kes kasutavad tehisintellekti lahendusi ülikooli töö-, õppe-, teadus- või tugitegevuse raames.
1.2.2. Eeskirja kohaldatakse kõikidele tehisintellekti lahendustele ja tehisintellekti kasutusjuhtumitele, sõltumata sellest, kas lahendus on ülikooli poolt keskselt hangitud, hallatud või pakutud või kasutaja algatusel kasutusele võetud. Eeskiri kohaldub ka juhul, kui tehisintellekt on osa muust tarkvarast, teenusest või töövahendist.
1.3. Muud ülikooli õigusaktid ja juhised
1.3.1. Tehisintellekti kasutamise tingimusi võivad täpsustada ka muud ülikooli õigusaktid, eeskirjad, korrad, juhised, head tavad ja muud asjakohased reeglid. Need peavad olema kooskõlas käesolevas eeskirjas sätestatud üldpõhimõtetega.
1.3.2. Õppetegevuse, hindamise ja akadeemilise töö ning teadus- ja arendustegevuse raames võivad muud ülikooli õigusaktid ja juhised sätestada täiendavaid või rangemaid nõudeid tehisintellekti kasutamise viitamisele, kasutusviisidele, andmete töötlemisele, tulemuste kasutamisele ning muudele asjakohastele tingimustele, arvestades vastava valdkonna eripära.
2. Mõisted
2.1. Käesolevas eeskirjas kasutatakse infoturbe poliitikas ning isikuandmete töötlemise ja kaitse korras määratletud mõisteid. Lisaks kasutatakse järgmisi termineid:
2.1.1. AI-lahendus – konkreetne tööriist, rakendus, teenus või funktsionaalsus, mis kasutab tehisintellekti. AI-lahendus võib sisaldada üht või mitut AI-süsteemi või muid automatiseeritud funktsioone.
2.1.2. Keskselt hallatud AI-lahendus – ülikooli poolt hangitud, hallatud või kasutamiseks korraldatud AI-lahendus, mille sobivus on ülikooli poolt hinnatud ja millele on määratud kasutustingimused.
2.1.3. Mittekeskselt hallatud AI-lahendus – AI-lahendus, mida ülikool ei halda keskselt, ei paku ega ole kasutamiseks ülikooli poolt eraldi korraldatud.
2.1.4. AI-süsteem – tehisintellekti määruse (Euroopa Parlamendi ja nõukogu määrus (EL) 2024/1689, 13. juuni 2024, millega nähakse ette tehisintellekti käsitlevad ühtlustatud õigusnormid ning muudetakse määruseid (EÜ) nr 300/2008, (EL) nr 167/2013, (EL) nr 168/2013, (EL) 2018/858, (EL) 2018/1139 ja (EL) 2019/2144 ning direktiive 2014/90/EL, (EL) 2016/797 ja (EL) 2020/1828 (tehisintellekti käsitlev määrus)) tähenduses masinapõhine süsteem, mis on kavandatud töötama erineva autonoomsusega ning mis järeldab sisendandmete põhjal väljundeid, näiteks prognoose, sisu, soovitusi või otsuseid, mõjutades füüsilist või virtuaalset keskkonda.
2.1.5. Suure riskiga AI-süsteem – AI-süsteem, mille kasutus kuulub Euroopa Liidu tehisintellekti määruse artikli 6 alusel kõrge riskiga AI-süsteemide hulka, kuna see võib oluliselt mõjutada isiku õigusi, kohustusi, võimalusi või staatust, eelkõige artikli 6 ja III lisa kohaste kasutusjuhtumite korral.
2.1.6. AI kasutusjuhtum – konkreetne töö-, õppe- või teadustegevuse olukord, mille raames AI-lahendust kasutatakse, sealhulgas kasutamise eesmärk, töödeldavad andmed, kasutajarollid ja oodatav tulemus.
2.1.7. Eriliigilised isikuandmed – isikuandmed, mille töötlemisele kohalduvad õigusaktidest tulenevad kõrgendatud nõuded.
2.1.8. Turvakriitiline teave – teave, mille avalikuks saamine, muutmine või väärkasutus võib oluliselt kahjustada ülikooli infosüsteemide, teenuste või andmete turvalisust, sealhulgas paroolid, võtmed, autentimisandmed, sertifikaadid, turvaseaded ja muu samalaadne teave.
2.1.9. Töötaja – füüsiline isik, kes täidab ülikoolis tööülesandeid töölepingu alusel, osutab ülikoolile teenust muu kehtiva lepingu alusel või tegutseb ülikooli volitusel.
2.1.10. Õppur – õppur õppekorralduse eeskirja § 4 lõike 1 tähenduses ning doktorant doktorantuuri eeskirja § 4 lõike 1 tähenduses.
2.1.11. Kasutaja – ülikooli töötaja, õppur või muu ülikooli nimel tegutsev isik, kes kasutab AI-lahendust ülikooli töö-, õppe- või teadustegevuse raames.
3. Tehisintellekti kasutamise põhimõtted
3.1. Üldpõhimõte
3.1.1. Tehisintellekti kasutatakse ülikoolis töö-, õppe- ja teadustegevust toetava töövahendina. Tehisintellekti kasutamine peab olema õiguspärane, eesmärgipärane ja turvaline ning toimuma ülikooli töötaja, õppuri või muu AI-lahendust kasutava isiku kontrolli all.
3.1.2. AI-lahenduse kasutamisel peab inimene säilitama sisulise kontrolli, suutma sekkuda tulemuse kujunemisse ning vajaduse korral tulemuse peatada, muuta või tagasi lükata.
3.2. Õiguspärasus ja turvalisus
3.2.1. AI kasutusjuhtumi kavandamisel ja rakendamisel tuleb tagada ülikooli teabe, infosüsteemide ja töövahendite konfidentsiaalsus, terviklus ja käideldavus ning järgida andmekaitsenõudeid. AI kasutusjuhtumit ei tohi kavandada ega rakendada viisil, mis suurendab põhjendamatult andmelekkimise, loata muutmise, väärkasutuse või muu turvaintsidendi riski.
3.3. Inimkontroll ja läbipaistvus
3.3.1. AI kasutusjuhtumi eest vastutav isik peab enne tulemuse kasutamist selle üle kontrollima ning vajaduse korral parandama, täiendama või tagasi lükkama.
3.3.2. Kõrgendatud riskiga AI kasutusjuhtumi puhul tuleb tagada piisav läbipaistvus, et kasutaja saaks AI-lahenduse väljundit õigesti tõlgendada, ning vajaduse korral peab olema selgelt märgitud, et tegemist on AI abil loodud või muudetud sisuga.
3.4. Tehisintellekti kasutamine hindamisel ja otsustamisel
3.4.1. AI kasutusjuhtumit ei tohi kasutada iseseisva otsustajana akadeemilisel hindamisel, vastuvõtul, kandidaatide valikul, sobivuse hindamisel, järjestamisel ega muudes otsustusprotsessides, mis võivad mõjutada isiku õigusi, kohustusi, võimalusi või staatust.
3.4.2. AI kasutusjuhtumit võib sellistes protsessides kasutada üksnes ettevalmistava töövahendina, kui kasutus on eesmärgipärane, inimese sisulise kontrolli all ning lõplik otsus jääb inimese teha.
3.4.3. Kui kavandatav AI kasutusjuhtum võib kuuluda keelatud AI-praktika või Euroopa Liidu tehisintellekti määruse (AI määrus) tähenduses suure riskiga AI-süsteemi kasutuse alla, tuleb enne kasutamist teha dokumenteeritud eelhindamine vastavalt käesoleva eeskirja peatükile 6. Kasutus võib toimuda üksnes pärast nõutud kooskõlastuse saamist.
3.4.4. AI kasutamine ei tohi jätta eksitavat muljet, et otsus või hinnang on kujunenud üksnes automaatselt. AI abil loodud või muudetud sisu tuleb tähistada alati, kui see ei ole adressaadile või kasutajale muul viisil üheselt arusaadav.
3.5. Keelatud kasutus
3.5.1. Tehisintellekti ei tohi kasutada viisil, mis on õigusvastane või mis kuulub Euroopa Liidu tehisintellekti määruse (AI määrus) artiklis 5 nimetatud keelatud praktikate hulka. Keelatud on näiteks tehisintellekti kasutamine subliminaalseks, manipuleerivaks või petlikuks mõjutamiseks, isikute haavatavuse ärakasutamiseks, sotsiaalseks hindamiseks, kriminaalse riski hindamiseks üksnes profileerimise või isikuomaduste alusel, näopiltide massiliseks kogumiseks või laiendamiseks, emotsioonide tuvastamiseks töö- ja haridusasutustes, biomeetriliseks kategoriseerimiseks ning reaalaja kaugbiomeetriliseks tuvastamiseks avalikus ruumis, kui seadus ei näe ette piiratud erandit.
4. AI-lahenduste kasutamise alused
4.1. Keskselt hallatud AI-lahendused
4.1.1. Ülikooli poolt keskselt hallatud AI-lahendused on ülikooli töötajatele, õppuritele ja muudele ülikooli nimel tegutsevatele isikutele vaikimisi lubatud, kui neid kasutatakse nende jaoks kehtestatud kasutustingimuste ja piirangute kohaselt. Keskselt hallatud AI-lahenduste nimekiri, kasutustingimused, piirangud ja vajaduse korral täiendavad juhised avaldatakse veebilehel ai.taltech.ee.
4.2. Mittekeskselt hallatud AI-lahendused
4.2.1. Kui ülikooli töötaja, õppur või muu ülikooli nimel tegutsev isik soovib kasutada mittekeskselt hallatud AI-lahendust, peab ta enne konkreetse AI kasutusjuhtumi rakendamist veenduma, et kasutus on eesmärgipärane, õiguspärane ning kooskõlas käesoleva eeskirja, andmekaitsenõuete, infoturbenõuete ja muude kehtivate ülikooli juhistega.
4.2.2. Mittekeskselt hallatud AI-lahenduse kasutamine on lubatud üksnes juhul, kui see ei ole vastuolus käesoleva eeskirja ega kohaldatava õigusega ning kasutus on kooskõlas lahenduse kasutustingimuste ja piirangutega.
4.2.3. Kui konkreetne AI kasutusjuhtum kuulub käesoleva eeskirja peatüki 6 kohaldamisalasse, tuleb enne kasutamist läbida selles peatükis sätestatud eelhindamise ja kooskõlastamise kord.
4.2.4. Ülikool võib avaldada AI-lahenduste kohta soovitusi, kasutustingimusi ja muid asjakohaseid materjale ülikooli veebilehel ai.taltech.ee. Nimetatud materjalid toetavad kasutajaid lahenduste valikul, kuid ei asenda konkreetse kasutusjuhtumi hindamist ega vabasta kasutajat kohustusest järgida kehtivaid nõudeid.
4.3. Õppurite poolt kasutatavad AI-lahendused
4.3.1. Õppur võib kasutada enda valitud AI-lahendusi õppimiseks, iseseisvaks tööks, õppetöö toetamiseks ja tavapärases akadeemilises tegevuses, sealhulgas ülikooli õppematerjale ning muud õppetööga seotud teavet, kui nende kasutamine ei ole piiratud õppetööd reguleerivate õigusaktide või muude ülikoolis kehtivate nõuetega.
4.3.2. Avaliku teabe, anonümiseeritud andmete, sünteetiliste või näidisandmete või muu madala riskiga teabe töötlemisel ei eeldata õppurilt eraldi riskihindamise tegemist.
4.3.3. Kui õppur soovib AI-lahendust kasutada akadeemilises töös isikuandmete, mitteavaliku teabe või muu piiranguga andmestiku töötlemiseks, tuleb lähtuda ülikooli kehtivatest juhistest ja nõuetest ning kooskõlastada konkreetne AI kasutusjuhtum õppejõu, juhendaja või muu asjakohase vastutava isikuga.
5. Andmete kasutamise põhimõtted AI-lahendustes
5.1. Üldreegel
5.1.1. AI-lahendusse võib sisestada või AI-lahenduses töödelda üksnes selliseid andmeid, mille kasutamine on vajalik, õiguspärane ja lubatud vastava töö-, õppe- või teadustegevuse eesmärgi täitmiseks.
5.1.2. Ülikooli andmeid ei tohi kasutada AI-lahenduste treenimiseks, peenhäälestamiseks ega arendamiseks, välja arvatud juhul, kui see on ülikooli poolt eraldi hinnatud, lubatud ja korraldatud, sealhulgas teadus- või arendusprojekti raames.
5.1.3. AI-lahenduse valikul ja kasutamisel tuleb arvestada andmete liiki, töötlemise eesmärki ja õiguslikku alust, lahenduse sobivust kavandatavaks kasutuseks ning sellega kaasnevat riski.
5.2. Andmete kasutamine keskselt hallatud AI-lahendustes
5.2.1. Keskselt hallatud AI-lahendusse võib sisestada ja selles töödelda töö-, õppe- või teadustegevuse ülesande täitmiseks vajalikku teavet, sealhulgas isikuandmeid, asutusesiseseks kasutamiseks tunnistatud teavet ja muud tööalast teavet, kui töötlemine on eesmärgipärane ja vajalik vastava ülesande täitmiseks.
5.2.2. Isikuandmete töötlemisel tuleb lähtuda isikuandmete töötlemise alustest, minimaalsuse ja vajalikkuse põhimõttest ning pöörata erilist tähelepanu õppuritega seotud andmete töötlemisele.
5.2.3. Kui töötlemise lubatavus ei ole selge või kasutusjuhtum kuulub käesoleva eeskirja peatüki 6 kohaldamisalasse, tuleb enne töötlemist läbida eelhindamine.
5.2.4. Käesolevas punktis sätestatud andmete töötlemisel tuleb arvestada punktis 5.4 sätestatud keelde ja erisusi.
5.3. Andmete kasutamine mittekeskselt hallatud AI-lahendustes
5.3.1. Mittekeskselt hallatud AI-lahendusse võib sisestada ja selles töödelda üksnes avalikku, anonümiseeritud või sünteetilist teavet ning muud madala riskiga teavet.
5.3.2. Isikuandmeid, turvakriitilist teavet, asutusesiseseks kasutamiseks tunnistatud või muud juurdepääsupiiranguga teavet ning muud õiguslikult, lepinguliselt või riski tõttu piiratud teavet võib mittekeskselt hallatud AI-lahenduses töödelda üksnes peatükis 6 sätestatud eelneva hinnangu ja nõutud kooskõlastuse alusel.
5.4. Piiranguga ja keelatud andmed
5.4.1. Kõigis AI-lahendustes on keelatud töödelda paroole, salajasi võtmeid, autentimisandmeid, sertifikaatide privaatvõtmeid, ligipääsutokeneid ja muid ligipääsuandmeid.
5.4.2. Riigisaladust, salastatud välisteavet või muud samaväärselt kaitstavat teavet võib AI-lahenduses töödelda üksnes juhul, kui see on õigusaktidega sõnaselgelt lubatud ning toimub selleks ette nähtud eraldi keskkonnas, korras ja tingimustel.
6. Eelhindamine, riskihindamine ja kooskõlastamine
6.1. Üldpõhimõte
6.1.1. Kui kavandatav AI kasutusjuhtum võib kuuluda keelatud AI-praktika või Euroopa Liidu tehisintellekti määruse tähenduses suure riskiga AI-süsteemi kasutuse alla või kui kasutusjuhtum hõlmab piiranguga andmeid, töötlemisega seotud olulist riski või muud ebatavalist või kõrgendatud riskiga kasutusviisi, tuleb enne kasutamist teha dokumenteeritud eelhindamine.
6.1.2. Eelhindamise eesmärk on selgitada välja, kas kasutusjuhtum on lubatav, lubatav tingimustega või keelatud, ning milliseid lisameetmeid, piiranguid või kooskõlastusi on vaja.
6.2. Eelhindamise käivitavad juhud
6.2.1. Eelhindamine on vajalik eelkõige siis, kui:
6.2.1.1. kasutusjuhtum võib kuuluda keelatud AI-praktika alla;
6.2.1.2. kasutusjuhtum võib kuuluda suure riskiga AI-süsteemi kasutuse alla;
6.2.1.3. kasutusjuhtum võib mõjutada isiku õigusi, kohustusi, võimalusi või staatust;
6.2.1.4. kasutusjuhtum võib luua olulisema infoturbe-, andmekaitse- või õigusriski;
6.2.1.5. mittekeskselt hallatud AI-lahenduses kasutatakse muud kui avalikku, anonümiseeritud või sünteetilist teavet;
6.2.1.6. mittekeskselt hallatud AI-lahenduses kasutatakse asutusesiseseks kasutamiseks tunnistatud, juurdepääsupiiranguga või muul moel piiratud teavet;
6.2.1.7. kasutustingimused, andmete liik, teenusepakkuja, andmetöötluse asukoht või muu oluline asjaolu muutub.
6.3. Eelhindamise korraldus
6.3.1. Eelhindamist, riskihindamist ja kooskõlastamist korraldab infoturbe talitus.
6.3.2. Vajaduse korral kaasatakse andmekaitse eest vastutav isik, jurist, valdkonna juht, protsessi omanik või muu asjakohane pädev roll.
6.3.3. Taotlused ja lisateave esitatakse e-posti aadressil cybersecurity@taltech.ee.
6.4. Eelhindamise tulemused
6.4.1. Eelhindamise tulemusena otsustatakse, kas kasutusjuhtum on lubatud, lubatud tingimustega või keelatud.
6.4.2. Kui kasutusjuhtum on lubatud tingimustega või lubatud üksnes pärast kooskõlastamist, määratakse vajalikud piirangud, kaitsemeetmed ja vastutus.
6.5. Dokumenteerimine ja ümberhindamine
6.5.1. Eelhindamine, riskihindamine, kooskõlastus, erand, piirang ja ümberhindamine dokumenteeritakse viisil, mis võimaldab hilisemat kontrolli ja auditeerimist. Kui kasutusjuhtumi asjaolud muutuvad, tuleb eelhindamine vajaduse korral uuesti teha.
7. Vastutus
7.1. AI kasutusjuhtumi eest vastutav isik vastutab oma rolli ja tegevuse piires AI-lahenduse kasutamise, sisestatavate andmete lubatavuse ning AI abil loodud või töödeldud tulemuse kasutamise eest. Vastutust ei saa üle anda AI-lahendusele ega selle teenusepakkujale.
7.2. Kui kasutusjuhtum kuulub peatüki 6 kohaldamisalasse, peab vastutav isik tagama, et eelhindamine, riskihindamine ja vajalik kooskõlastus on enne kasutamist tehtud.
7.3. Võimalikust infoturbe-, andmekaitse- või muust AI-lahenduse kasutamisega seotud intsidendist tuleb viivitamata teavitada infoturbe talitust e-posti aadressil cybersecurity@taltech.ee.
7.4. Ülikool tagab, et AI-lahenduste kasutajatele on kättesaadavad rolli ja kasutusviisi arvestavad juhised ning vajaduse korral koolitus. Täpsemad juhised ja kooskõlastuskanalid avaldatakse veebilehel ai.taltech.ee.
8. Läbivaatamine ja ajakohastamine
8.1. Eeskiri vaadatakse läbi vähemalt kord aastas või juhul, kui muutuvad olulised õiguslikud, tehnoloogilised või organisatsioonilised asjaolud.
8.2. Eeskirja vajadust, piisavust ja ajakohasust hinnatakse Euroopa Liidu tehisintellekti määruse, isikuandmete kaitse, infoturbe, lepinguliste kohustuste ning ülikooli sisemiste õigusaktide ja juhiste nõuete alusel.