Tekoäly käsittelee dataa. GDPR säätelee datan käsittelyä. Näiden kahden kohtaaminen ei ole yllätys – mutta se jää monelta yritykseltä hoitamatta ennen kuin on liian myöhäistä.
Hyvä uutinen: vaatimukset ovat täytettävissä ilman juristiarmeijaakaan. Pitää vain tietää mitä tehdään.
Mitä GDPR oikeasti vaatii AI-käytössä
Läpinäkyvyys
Asiakkaiden pitää tietää jos heidän kanssaan keskustelee tai heidän dataansa käsittelee tekoäly. Tämä ei tarkoita kolmesivuista lakitekstiä chatbotin etusivulla – riittää selkeä ilmoitus. "Tämä on tekoälyavustaja" on jo parempi kuin ei mitään.
Suostumus
Jos kerätään henkilödataa AI-järjestelmiin, siihen tarvitaan peruste. Yleensä se on joko sopimus ("tarvitsemme tätä palvelun tuottamiseen"), oikeutettu etu tai nimenomainen suostumus. Markkinointitarkoituksiin kerättyyn dataan tarvitaan yleensä suostumus. Operatiiviseen käyttöön – esimerkiksi asiakaspalvelun hoitamiseen – sopimusperuste riittää usein.
Datan minimointi
Kerätään vain se mitä oikeasti tarvitaan. Tämä on sekä GDPR-vaatimus että käytännön viisaus: mitä vähemmän dataa on, sitä vähemmän on suojattavaa.
Käytännössä: jos chatbot ei tarvitse asiakkaan syntymäaikaa vastatakseen toimitusaikakysymykseen, sitä ei kysytä.
Tietoturva
Salaus siirron aikana ja levossa, pääsynhallinta, lokitus. Ei ole rakettitiedettä mutta vaatii järjestelmällisyyttä. Jos käytät pilvipohjaisia AI-palveluja, varmista että palveluntarjoajan tietoturvataso on riittävä.
Poisto-oikeus
Asiakkaalla on oikeus pyytää tietojensa poistamista. Jos AI-järjestelmä tallentaa keskusteluhistoriaa tai muuta henkilödataa, sinulla pitää olla prosessi poistopyyntöjen käsittelyyn. Ei tarvitse olla automaattinen – manuaalinenkin toimii, kunhan se on dokumentoitu ja toimii.
Kolmannen osapuolen palvelut: missä data kulkee?
Tämä on kohta joka usein unohtuu.
Kun käytät OpenAI:n, Googlen tai jonkin muun toimijan AI-palvelua, asiakkaasi data voi siirtyä heidän palvelimilleen. Jos palvelimet ovat EU:n ulkopuolella, tarvitset DPA-sopimuksen (Data Processing Agreement) – sopimuksen jossa palveluntarjoaja sitoutuu käsittelemään dataa GDPR:n mukaisesti.
Useimmilla isoilla toimijoilla tämä on jo olemassa. OpenAI:lla on DPA saatavilla, Google Cloudilla samoin. Ne pitää kuitenkin aktiivisesti solmia – ne eivät synny automaattisesti kun tilaat palvelun.
EU-yhteensopivuus kannattaa myös tarkistaa: käyttääkö palveluntarjoaja Standard Contractual Clauses -mekanismia tai onko heillä EU-alueella sijaitsevat palvelimet? Nämä vaikuttavat siihen miten siirto on laillisesti perusteltu.
Checklist ennen käyttöönottoa
Nämä viisi asiaa pitää olla kunnossa ennen kuin AI-järjestelmä käsittelee asiakkaiden henkilödataa:
- Tietosuojaseloste päivitetty. Mainitse AI:n käyttö ja miten data käsitellään. Jos käytät kolmannen osapuolen palveluja, mainitse nekin.
- Chatbot-ilmoitus paikallaan. Käyttäjä tietää kommunikoivansa tekoälyn kanssa ennen kuin kirjoittaa mitään henkilökohtaista.
- Evästebanneri ajan tasalla. Jos AI-järjestelmä asettaa evästeitä tai käyttää analytiikkaa, se mainitaan bannerissa.
- Salaus ja pääsynhallinta hoidettu. Tiedot salattu, käyttöoikeudet rajattu niille jotka niitä tarvitsevat.
- DPA-sopimus kolmansien osapuolten kanssa. Jokainen palveluntarjoaja joka käsittelee henkilödataa puolestasi tarvitsee tämän.
Käytännön neuvoja
GDPR ei vaadi täydellisyyttä – se vaatii huolellisuutta ja dokumentaatiota. Jos jotain menee pieleen, kysytään ensin: oliko prosessi olemassa ja toimiko se? Parempi epätäydellinen prosessi joka on dokumentoitu kuin täydellinen prosessi joka on vain jonkun päässä.
Jos et ole varma missä mennään, aloita tietosuojaselosteesta. Se pakottaa miettimään mitä dataa kerätään, mihin sitä käytetään ja kenen kanssa se jaetaan. Sen jälkeen loput on helpompi hahmottaa.
Tämä ei ole oikeudellinen neuvonta, konsultoi tietosuoja-asiantuntijaa ennen käyttöönottoa.
Kymen.ai rakentaa AI-järjestelmät niin että GDPR-vaatimukset huomioidaan alusta alkaen. Jos projekti on vielä suunnitteluvaiheessa, se on paras hetki varmistaa että rakenne on kunnossa.