GDPR ja tekoäly Suomessa

Suomalainen yritys, joka käyttää AI-työkaluja, on käytännössä aina EU:n tietosuoja-asetuksen (GDPR) ja vuoden 2026 alkaen myös AI Actin piirissä. Tämä sivu kokoaa konkreettiset toimenpiteet, joiden pitää olla kunnossa ennen kuin AI:lle syötetään yksikään asiakkaan rivi.

Tämä ei ole oikeudellinen neuvonta — vakavissa kysymyksissä kuultaa juristia. Mutta nämä on kaikki suomalaiset toimistot voivat tehdä saman tien.

Älä koskaan syötä AI:lle (ilman vendor-tason sopimusta)

•Henkilötunnukset (HETU)
•Pankkiyhteydet, tilinumerot, IBAN-tunnukset
•Salasanat, API-avaimet, kirjautumistiedot
•Terveys- ja potilastiedot
•Salassapitosopimusten alaiset tiedot ilman vendor-tasoa
•Asiakkaiden henkilötietoja sisältävät listat
•Sopimukset joiden NDA kieltää 3. osapuolen palvelut

Sääntö: jos vuoto johtaisi tietosuoja-ilmoitukseen, älä syötä — ei edes "testimielessä".

EU-data residency työkalulta — vertailu

Jos data ei saa siirtyä EU:n ulkopuolelle, tarkista ennen kuin otat työkalun käyttöön. Status päivitetty 04/2026.

Työkalu	EU-residency	Huomio
ChatGPT Enterprise / Team	Kyllä — EU-data residency saatavilla Enterprise-tasolla	Team-tasolla data ei mene koulutukseen, mutta residency ei ole oletuksena.
Claude Enterprise (Anthropic)	Saatavilla — EU-region voi pyytää	Standard- ja Pro-tasoilla USA-region. Enterprise-sopimuksessa neuvoteltavissa.
Microsoft 365 Copilot	Kyllä — EU Data Boundary	Käyttää M365-vuokraajan tietosuoja-asetuksia. Vahvin EU-yritysvaihtoehto.
Gemini for Workspace	Osittain — EU-region tukea kasvatetaan	Workspace Enterprise -taso tarjoaa parhaat takeet. Ilmaisversio ei sovellu yritystietoon.
Perplexity	Tuntematon / Pro-tasolla rajatusti	Enterprise neuvoteltavissa. Free / Pro -tasot eivät tarjoa EU-residenssia.
Mistral (Le Chat)	Kyllä — ranskalainen, EU:n sisällä	Vahva vaihtoehto kun residency on kriittinen. Kielimallit hieman heikommat kuin US-jätit.

6 perusperiaatetta jokaiselle suomalaiselle organisaatiolle

Valitse Enterprise-/Team-taso yritystyöhön

Ilmaiset ja Pro-versiot saattavat käyttää syötteitäsi mallien kouluttamiseen. Enterprise- ja Team-tilauksissa tämä on oletuksena pois päältä — varmista aina sopimuksesta.

Tee yritykselle hyväksyttyjen työkalujen lista

Älä jätä jokaiselle työntekijälle päätettäväksi mitä työkalua käyttää. Listaa 1–3 hyväksyttyä työkalua + ohjeista tietosuojavaltuutetun hyväksymänä.

Sopimukset (DPA) ennen tuotannon dataa

Ennen kuin syötät asiakasdataa, allekirjoita Data Processing Agreement (DPA) palveluntarjoajan kanssa. Useimmilla on valmis malli verkossa.

Tee tietosuojavaikutusten arviointi (DPIA)

Jos AI:n käyttö kohdistuu henkilötietoihin (esim. asiakaspalvelu, rekrytointi, asiakaspalauteanalyysi), tee DPIA. Tukes ja Tietosuojavaltuutettu ohjeistavat.

Säädä työntekijöiden ohjeistus

Liitä kirjalliset säännöt henkilöstöoppaaseen: mitä saa syöttää, mitä ei, ja mitä työkaluja käyttää. Päivitä vähintään kerran vuodessa.

EU AI Act tulee voimaan 2026 alkaen

Korkean riskin järjestelmiä (esim. rekrytointi, luotonanto) koskevat tiukemmat säännöt. Käytä lokeerausta järjestelmän riskiluokan mukaan.

Tarvitsetko mallin?

Vertaa työkalujen yritysturva-pisteitä

Vertailusivulla jokaisella työkalulla on oma yritysturva- ja EU-residency-pisteytys. Valitse työkalu vasta, kun tiedät miltä se näyttää tietosuojan kannalta.

Vertaa työkaluja Termit