AI-agent ja seadus: GDPR ja EU AI Act Eestis (2026)

Kaks seadust, mitte üks

GDPR kehtib EL-is 2018. aastast ja vastab küsimusele „mida tohib isikuandmetega teha“. Nimi, telefoninumber, vestlusajalugu, broneeringu kirje — kõik see on isikuandmed, olgu töötlejaks inimene või AI-agent. Reeglid on samad: seaduslik alus, minimaalsed andmed, turvalisus ja kliendi õigus teada, mis tema andmetega toimub.

EU AI Act on uus seadus. See jõustus 2024. aasta augustis ja rakendub etappide kaupa, nõue nõude haaval. See vastab teisele küsimusele: kui riskantne on tehisintellekt ja mida pead avalikustama. Need kaks seadust ei asenda teineteist — agent peab vastama mõlemale.

Hea uudis: su agent pole peaaegu kindlasti „kõrge riskiga“

EU AI Act jagab süsteemid riskitaseme järgi. „Kõrge risk“ tähendab näiteks tehisintellekti värbamiseks, krediidiskooringuks või meditsiiniliseks diagnoosiks, kus nõudeid on palju. Tavaline klienditoe agent, kes vastab küsimustele, kvalifitseerib päringu ja broneerib aja, sinna ei kuulu — see on „piiratud riskiga“ süsteem. Pilt muutub vaid siis, kui agent ise teeb otsuseid värbamise, krediidi või meditsiini kohta — siis on tegu „kõrge riskiga“ ja oma nõuetega.

Selliste süsteemide peamine nõue on lihtne: inimene peab aru saama, et ta suhtleb tehisintellektiga, mitte elava halduriga. Euroopa Komisjoni praeguse ajakava järgi hakkab läbipaistvusnõue (AI Act artikkel 50) kehtima 2. augustist 2026. Praktikas on see üks aus rida vestluse alguses — ja oledki seaduse raames.

Mida GDPR agendilt nõuab

GDPR on AI Act-ist vanem ja rangem ning just selle punkte täidad iga päev:

• Seaduslik alus. Andmete töötlemiseks peab olema põhjus — kliendi nõusolek, lepingu täitmine või su õigustatud huvi. Aja broneerimiseks või päringule vastamiseks on alus tavaliselt vaikimisi olemas.
• Andmete minimeerimine. Agent näeb ainult seda, mida ülesanne nõuab. Broneeringuassistendil pole põhjust pääseda kogu raamatupidamise juurde.
• Läbipaistvus. Kliendil on õigus teada, et vastab tehisintellekt ja mis tema andmetega toimub — lühike märge vestluses ja privaatsuspoliitikas katab selle.
• Turvalisus ja töötlemine EL-is. Andmed liiguvad turvaliste kanalite kaudu, ligipääs on piiratud ja kontrollitud ning töötlemine toimub võimalusel EL-i taristul.
• Tee inimeseni. Klient saab alati paluda elavat töötajat — heal agendil on üleandmine inimesele algusest peale sisse ehitatud.

Seadusliku AI-agendi kontrollnimekiri

Enne käivitamist käi see nimekiri läbi — see katab suure osa nii GDPR-ist kui ka AI Act-ist:

• Agent tutvustab end juba esimeses sõnumis tehisintellektina.
• Andmeligipääs on kärbitud miinimumini konkreetsete ülesannete jaoks.
• Keerulised ja tundlikud juhtumid antakse inimesele üle koos kontekstiga.
• Andmeid töödeldakse ja hoitakse EL-i taristul.
• AI-partneriga on sõlmitud andmetöötlusleping (DPA).
• Privaatsuspoliitikas on kirjas, milliseid andmeid agent näeb ja milleks.

Kuidas Nordic Homes hoiab agendi reeglites (päris numbrid)

Kinnisvarabüroole Nordic Homes ehitasime AI-agendi, kes vastab keskmiselt 30 sekundiga, kvalifitseerib liidi ja pakub ise vaatamise aja. Tema CRM-ligipääs on piiratud miinimumini: agent näeb ainult seda, mida on vaja vastamiseks ja broneerimiseks, ning annab keerulised juhtumid haldurile üle koos valmis kontekstiga.

Tulemus: 47% rohkem liide viidud vaatamiseni ja 60% vähem rutiini halduritel, töötades 24/7. Oluline on see, et „seaduslik“ ja „tõhus“ ei ole siin vastuolus: sama piiratud ligipääs, mida GDPR nõuab, vähendab ühtlasi vea ja lekke riski.

Mida partnerilt enne alustamist küsida

Kui keegi ehitab sulle AI-agenti, sõeluvad need küsimused välja kergekäelise tegija:

• Kus klientide andmeid füüsiliselt töödeldakse ja hoitakse?
• Milline on agendi minimaalne ligipääs ja kes seda kontrollib?
• Kuidas klient saab aru, et vastab tehisintellekt, ja kuidas ta jõuab inimeseni?
• Kas sõlmite andmetöötluslepingu (DPA)?
• Mis juhtub vestluse andmetega pärast vestluse lõppu?