Kysymys jonka IT tai lakiosasto esittää
Olet ottanut ChatGPT:n tai jonkin muun AI-työkalun käyttöön markkinoinnissa. Sitten tulee viesti IT-osastolta tai lakimieheltä: “Mihin meidän data oikein menee?”
Hyvä kysymys. Se ei ole turha byrokratia, vaan aiheellinen huoli. Vastaukseen vaikuttaa se, mitä palvelua käytät, minkä tason tilaus sinulla on ja mitä dataa palveluun syötät.
Tässä artikkelissa käyn läpi tilanteen tärkeimpien AI-markkinointityökalujen osalta. Tarkoitus ei ole suositella yhtä parhaaksi, vaan auttaa sinua tekemään tietoon perustuva päätös oman organisaatiosi tilanteessa.
Miksi palvelinten sijainti kiinnostaa
Käytännössä kyse on kolmesta asiasta.
GDPR ja henkilötiedot. Jos syötät AI-palveluun henkilötietoja, ne kuuluvat EU:n tietosuoja-asetuksen piiriin. GDPR asettaa reunaehtoja sille, minne tietoja saa siirtää.
Datan hallinta. Kuka voi käyttää syöttämiäsi tietoja, ja mihin? Koulutetaanko malleja sinun syötteillesi? Pystytkö pyytämään tietojen poistamista?
Luottamus ja vastuut. Joissakin toimialoilla tai asiakassopimuksissa on nimenomaisia vaatimuksia sille, missä dataa käsitellään. Nämä kannattaa tarkistaa ennen kuin sitoutuu johonkin palveluun.
Lisää henkilötietojen käsittelystä löydät artikkelista Mitä markkinoijan pitää tietää GDPR:stä kun käyttää tekoälyä?
Tilanne päätyökaluittain
ChatGPT / OpenAI
OpenAI:n palvelimet sijaitsevat pääosin USA:ssa. Ilmaisessa ja Plus-tasossa dataa voidaan käyttää mallien kehittämiseen, ellei tätä erikseen kytke pois päältä asetuksista.
Business- ja Enterprise-tilaus muuttaa tilannetta: OpenAI ei käytä syötteitä koulutukseen, ja Enterprise-asiakkaille on tarjolla mahdollisuus rajata datan käsittely EU-alueelle. Tämä vaatii erillisen sopimuksen ja neuvottelun palveluntarjoajan kanssa.
Claude / Anthropic
Anthropicin palvelimet sijaitsevat USA:ssa. Toistaiseksi EU-datakeskusta ei ole tarjolla, mutta tilanne voi muuttua. Claude Pro -tilauksessa data ei päädy koulutusaineistoon, ja Team- sekä Enterprise-tasoilla tietosuojaehdot ovat tiukemmat kuin ilmaisessa versiossa.
Microsoft Copilot / Azure OpenAI
Microsoft on pidemmällä EU-dataratkaisuissa kuin monet kilpailijat. Azure-sopimuksella yritysasiakkailla on mahdollisuus valita, missä datakeskuksessa dataa käsitellään, ja EU-alue on yksi vaihtoehdoista.
Tämä tekee Copilotista ja Azure OpenAI:sta houkuttelevan vaihtoehdon erityisesti yrityksille, joilla on tiukat vaatimukset datan sijainnille. Kannattaa kuitenkin varmistaa, että sopimus on tehty näiden ehtojen mukaisesti, eikä pelkkä Copilot-lisenssi automaattisesti tarkoita EU-käsittelyä.
Google Gemini / Workspace AI
Googlen tilanne on samantyyppinen kuin Microsoftilla. Workspace-sopimuksella on saatavilla EU-datakeskukset, ja Google on julkaissut dokumentaatiota siitä, miten dataa käsitellään eri tilaustasoilla.
Ilmaisessa Gemini-versiossa tilanne on toinen, kuten muissakin kuluttajapalveluissa.
Mitä käytännössä kannattaa tehdä
Tarkista oman organisaatiosi vaatimukset. IT- tai lakiosasto saattaa jo tietää, mitä rajoituksia tai vaatimuksia teillä on datan sijainnille. Kannattaa kysyä ennen kuin ottaa uuden palvelun käyttöön, eikä jälkikäteen.
Business- tai Enterprise-tilaukset tarjoavat enemmän vaihtoehtoja. Ilmaisissa tai edullisimmissa versioissa tietosuojaehdot ovat usein yksinkertaisemmat, eivätkä ne välttämättä täytä yrityskäytön vaatimuksia. Yritystasolla sopimuksiin saa enemmän sisältöä.
Älä syötä arkaluonteista dataa ilman sopimustarkistusta. Tämä pätee riippumatta siitä, missä palvelimet sijaitsevat. Jos et tiedä mitä palveluehtoja olet hyväksynyt, et tiedä mitä datallesi tapahtuu.
Anonymisoi ennen syöttämistä. Vaikka palvelu täyttäisi kaikki vaatimukset, hyvä käytäntö on poistaa tunnistettavat henkilötiedot ennen kuin syötät aineistoa tekoälylle. Lisää tästä artikkelissa NDA ja luottamuksellinen tieto tekoälyssä.
Lyhyesti EU-US Data Privacy Frameworkista
USA:han tehtävät tiedonsiirrot eivät ole automaattisesti laitonta GDPR:n nojalla. EU ja USA solmivat vuonna 2023 EU-US Data Privacy Framework -sopimuksen, joka mahdollistaa tiedonsiirrot tietyin edellytyksin sertifioitujen amerikkalaisyritysten kanssa.
Oikeustilanne kuitenkin elää. Aiemmista vastaavista sopimuksista (Privacy Shield, Safe Harbor) on pyydetty kumoamista oikeudessa, ja sama riski on olemassa nykysopimuksella. Tämä ei tarkoita, että pitäisi lakata käyttämästä amerikkalaisia palveluita, mutta se kannattaa pitää mielessä erityisesti arkaluonteisen datan kohdalla.
Tämä ei korvaa lakineuvontaa
Datan sijainti, GDPR ja kansainväliset tiedonsiirrot ovat monimutkainen kokonaisuus. Se mitä tässä artikkelissa on kuvattu on yleistason katsaus markkinoijan näkökulmasta, ei juridinen ohje.
Jos organisaatiollasi on erityisiä vaatimuksia datan käsittelylle tai arvioit tilannetta esimerkiksi toimialan sääntelyn tai asiakassopimusten kannalta, käänny lakiasiantuntijan puoleen. Se on nopeampaa kuin jälkikäteen selvitellä ongelmia.
Usein kysytyt kysymykset
Käsitelläänkö ChatGPT:hen syöttämäni data USA:ssa? expand_more
Onko Microsoft Copilot turvallisempi GDPR:n kannalta kuin ChatGPT? expand_more
Onko USA:han siirrettävä data laitonta GDPR:n kannalta? expand_more
Mistä tiedän onko käyttämäni AI-palvelu EU-alueella? expand_more
Kirjoittanut
Janne Riihimäki
AI-markkinoinnin asiantuntija · Sofia Digital Oy
Janne auttaa suomalaisia yrityksiä ottamaan tekoälyn käytännöllisesti osaksi markkinointia. Hän pitää workshopeja, koulutuksia ja toimii jatkuvana kumppanina AI-käyttöönotoissa.
Tarvitsetko apua käyttöönottoon?
Ota yhteyttä arrow_forward