Etusivu Tietosuoja Lexian tietosuoja- ja tekoälykoulutus

Lexian tietosuoja- ja tekoälykoulutus

27.11.2025

Tietosuoja- ja tekoälykoulutus pääpiirteissään

Tietosuoja- ja tekoälykoulutuksessamme tietosuoja-asiantuntijamme Erika Leinonen pureutui ajankohtaiseen ja monella tapaa organisaatioita koskevaan aiheeseen: tietosuojaan ja tekoälyyn. Koulutuksessa käsiteltiin sekä lakisääteisiä velvoitteita että käytännön soveltamista eri toimintaympäristöissä, mukaan lukien tekoälyn turvallinen ja vastuullinen hyödyntäminen työelämässä. Alla koottuna koulutuksen keskeiset sisällöt – tiiviinä ja käytännönläheisenä yhteenvetona.

Mitä on tietosuoja ja ketä tietosuojan pitäisi kiinnostaa?

Tietosuoja tarkoittaa yksityisyyden suojaa henkilötietojen käsittelyssä. Nykypäivänä monet käsittelevät työtehtävissään henkilötietoja ja näihin törmää esimerkiksi asiakassuhteiden hoidossa, kun pohditaan, kenelle henkilötietoa voi luovuttaa. Kun ihmisten henkilötietoja käsitellään, on tunnettava lain vaatimukset ja muut tärkeät periaatteet.

Tietosuoja on eri asia kuin tietoturva. Arkikielessä näitä voidaan vahingossa pitää toistensa synonyymeina, sillä molempien tavoitteena on estää henkilötietojen joutuminen sivullisten haltuun. Tietosuoja ei kuitenkaan ole vain tietotekniikkaa tai tietoturvaa, vaan se liittyy kaikkeen henkilötietojen käsittelyyn, niin sähköisesti kuin paperilla.

Tietosuojan tulisi kiinnostaa kaikkia. Käytännössä lähes jokaisessa yrityksessä käsitellään henkilötietoja, kuten nimiä, yhteystietoja ja henkilötunnuksia. Tietosuojalainsäädäntö koskee kaikkia yhteisöitä, jotka käsittelevät henkilötietoja. Henkilötiedon määritelmä on laaja, eikä esimerkiksi sääntelyn sitovuuden kannalta ole merkitystä sillä, onko kyseinen tieto julkinen vai salassa pidettävä. Näiden säännösten noudattamatta jättämisestä voi seurata tietosuojavaltuutetun seuraamusmaksu ja tuntuvaa mainehaittaa.

Tietosuojan sääntely

Tietosuojasääntely perustuu EU:n yleiseen tietosuoja-asetukseen (GDPR), jota alettiin soveltaa 25.5.2018. Asetusta täydentävät vuoden 2019 alusta voimaan tullut Suomen tietosuojalaki sekä muu erityislainsäädäntö, kuten laki rahanpesun ja terrorismin estämisestä, työelämän tietosuojalaki sekä laki luottolaitostoiminnasta.

Henkilötietojen käsittelyperusteet ja käsittelyssä noudatettavat periaatteet

Henkilötietoja ovat siis henkilön nimi, henkilötunnus, yhteystiedot, mutta myös kaikki muut tiedot, jotka ovat yhdistettävissä tiettyyn henkilöön. Henkilötietoja ovat myös erityisiin henkilötietoryhmiin kuuluvat tiedot, kuten terveystiedot.

Monesti esimerkiksi puhelutallenteet ja hakemuslomakkeet sisältävät henkilötietoja. Henkilötietoa on lisäksi ’’epäsuora’’ tieto, joka voidaan yhdistää henkilöön (kolmannen tahon kautta), kuten IP-osoite tai ajoneuvon rekisterinumero.

Kaikkiin henkilötietojen käsittelyyn tulee aina löytyä laillinen peruste. Ilman laillista perustetta tapahtuva käsittely on laitonta. Yleensä henkilötietojen käsittely on laillista oikeutetun edun, suostumuksen tai sopimuksen perusteella. Muita käsittelyperusteita voivat olla esim. julkisen vallan käyttäminen ja elintärkeiden etujen suojaaminen. Joitakin tietoja saattaa koskea myös lakisääteinen käsittelyvelvoite. Esimerkiksi rahanpesun estämisen säännöksistä tulevat säilytysvelvoitteet, palkkatiedot ja työtodistuksen laatimiseen tarvittavat tiedot. Käsittelyperuste riippuu sovellettavasta tilanteesta. Erityisten henkilötietoryhmien, kuten terveystietojen, käsittely edellyttää yleensä rekisteröidyn nimenomaista suostumusta tai muuta tietosuoja-asetuksessa määriteltyä erityistä käsittelyperustetta.

Henkilötietojen käsittelyssä on noudatettava tiettyjä periaatteita. Näitä ovat lainmukaisuus, kohtuullisuus ja läpinäkyvyys, tietojen minimointi ja käyttötarkoitussidonnaisuus, täsmällisyys, säilytyksen rajoittaminen sekä eheys ja luottamuksellisuus.

Arkaluonteiset tiedot ja DPIA

GDPR vaatii erityistä suojaa arkaluonteisille tiedoille. Näitä voivat olla esimerkiksi terveystiedot, uskonto ja poliittiset mielipiteet. Arkaluonteisten tietojen käsittelylle on asetettu tiukemmat vaatimukset ja niiden käsittely edellyttää usein erillistä suostumusta tai muuta erityistä perustetta.

Vaikutustenarviointi (DPIA) on tehtävä silloin, kun suunniteltu henkilötietojen käsittely aiheuttaa todennäköisesti korkean riskin henkilön oikeuksille ja vapauksille. Velvoite tehdä vaikutustenarviointi voi seurata myös tietosuoja-asetuksessa yksilöidystä tilanteesta tai suoraan kansallisesta lainsäädännöstä. Arkaluontoisten tietojen tai luonteeltaan hyvin henkilökohtaisten tietojen käsittely aiheuttaa mitä todennäköisimmin korkean riskin henkilön oikeuksille ja vapauksille, jolloin vaikutustenarviointi on tehtävä.

Vaikutustenarvioinnissa on kuvattava henkilötietojen käsittelyä ja arvioiden käsittelyn tarpeellisuutta, oikeasuhteisuutta ja henkilötietojen käsittelystä aiheutuvia riskejä sekä tarvittavia toimenpiteitä, joilla riskit minimoidaan. Se on tehtävä ennen käsittelyn aloittamista ja sitä on päivitettävä tarvittaessa käsittelyn edetessä.

Rekisteröidyn keskeisimmät oikeudet

GDPR takaa rekisteröidylle oikeuksia, joista tässä on esitetty keskeisimmät.

  • Rekisteröidyllä on oikeus saada riittävät tiedot rekisterinpitäjästä ja tietojenkäsittelystä. Rekisterinpitäjän on toteutettava tämä esimerkiksi tietosuojaselosteella.
  • Rekisteröidyllä on oikeus saada pääsy tietoon. Hänelle on pyydettäessä toimitettava kirjallinen tai sähköinen kopio kaikista häntä käsittelevistä henkilötiedoista eräin poikkeuksin.
  • Rekisteröidyllä on oikeus saada häntä koskeva virheellinen tieto korjatuksi. Rekisterinpitäjän on pyydettäessä korjattava kyseessä oleva tieto.
  • Rekisteröidyllä on oikeus tulla unohdetuksi.

Oikeudet eivät ole subjektiivisia, sillä niiden soveltaminen riippuu käsittelyperusteesta ja tilanteesta.

Yleistä tekoälyasetuksesta

EU:n uusi tekoälyasetus (AI Act) pyrkii varmistamaan tekoälyn turvallisen, tehokkaan ja vastuullisen käytön koko EU:ssa. Se asettaa tekoälysovelluksille eri riskitasot, joissa korkean riskin järjestelmillä on tiukimmat vaatimukset. Asetus tunnistaa myös täysin kielletyt järjestelmät, joita ovat esimerkiksi sosiaalinen pisteytys. Suuririskisinä järjestelminä on pidetty mm. lainvalvontaan, maahanmuuttoon ja rekrytointiin liittyvät tekoälyjärjestelmät ja niiden käyttö.

Tekoälyasetus huomioi myös henkilöstön koulutuksen roolin tärkeänä osana tekoälyjärjestelmän vastuullisessa ja eettisessä käytössä. Asetus koskee sekä tekoälysovelluksien kehittäjiä että käyttäjiä.

Tekoälyn hyödyt

Tekoälyn käyttämisellä saavutetaan useita hyötyjä. Näihin voi luetella esimerkiksi tehokkuuden parantuminen, sillä tekoäly voi automatisoida monia rutiinitehtäviä, mikä vapauttaa työntekijöiden aikaa keskittyä strategisempiin ja luovempiin tehtäviin. Tekoäly auttaa myös analysoimaan suuria määriä dataa ihmistä huomattavasti nopeammin. Sen avulla voidaan jopa tunnistaa ja hallita taloudellisia riskejä ja markkinatrendejä ennakoivasti.

Oikein käytettynä, tekoäly tukee yrityksen tuottavuutta ja kilpailukykyä.

Tekoälyn käytössä huomioitavat seikat ja riskit

Generatiivinen tekoäly ei ainoastaan hae tietoa vaan se myös luo uutta sisältöä. Generatiiviset tekoälyt perustuvat monimutkaisiin algoritmeihin ja koneoppimiseen. Se oppii siis analysoimalla suuria tietomääriä ja tunnistamalla kaavoja. Generatiivisen tekoälyn kouluttamiseen käytetään valtavia datamääriä, jotka kattavat monia eri aihealueita. Oppimansa koulutusaineiston perusteella, se voi luoda uutta sisältöä, esimerkiksi kuvia tai musiikkia, perustuen täysin siihen, mitä se on siihen mennessä oppinut datan rakenteista ja kuvioista.

Näin ollen generatiivisen tekoälyn vastauksiin vaikuttaa myös sen koulutusaineiston sisältämät mahdolliset virheet, arvovalinnat ja käyttäjäyrityksen liiketoimintamallit. Saamansa syötteen (prompt) kuten kysymyksen tai lauseen perusteella, se yrittää oppimansa perusteella valita seuraavan sanan siten, että se sopii tilastollisesti parhaiten tekstiyhteyteen. Lopputulos ei näin ollen ole välttämättä faktaa. On tärkeää ymmärtää, että tekoäly ei voi korvata ihmisen intuitiota ja kokemusta kaikissa tilanteissa.

Näin ollen tekoälyn käyttöön liittyy myös riskinsä, joiden tunnistaminen ja ymmärtäminen auttaa varmistamaan sen tehokkaimman, vastuullisimman ja eettisimmän käytön. Tekoäly voi siis tuottaa virheellistä tai sen itse hallusinoimaa tietoa. Se tarvitsee oikein toimiakseen inhimillisen valvonnan. Tekoäly ei myöskään tunnista mikä on kiellettyä ja mikä ei. Se voi plagioida teoksia ja tuottaa vastauksia perustuen laskemiensa syötteiden ennakkoluuloihin.

Tekoälyn käytössä on myös huomioitava tietosuojan ja -turvan vaatimukset. Tekoälyyn ei pidä syöttää mitään henkilötietoja, ennen kuin on varmistuttu kyseisen järjestelmän sopimuksista ja niiden sisällöistä. Vaarana on henkilötietojen joutuminen vääriin käsiin. Myös rekisteröidyn oikeus saada tiedot poistettua muodostuu vaikeaksi, kun tekoäly on oppinut tiedon. On lisäksi muistettava henkilötietojen käyttötarkoitussidonnaisuus ja muut käsittelyperiaatteet.

Tekoälylukutaito

Tekoälylukutaidosta on säädetty tekoälysäädöksessä ja velvoite on tullut sovellettavaksi helmikuussa 2025. Tekoälysäädöksessä mainitulla tekoälylukutaidolla tarkoitetaan kykyä ymmärtää, miten tekoäly toimii, miten sitä säännellään, mitä riskejä siihen liittyy ja miten sitä käytetään vastuullisesti. Keskeisintä on ymmärtää sääntely, teknologian rajoitteet, tulosten kriittinen arviointi ja viestintä. Koulutusta ja ohjeita tarvitaan, jotta tekoälyä hyödynnetään tehokkaasti ja turvallisesti. 

Asiantuntijana: Erika Leinonen, Counsel, [email protected]

Artikkelin kirjoittajat: Erika Leinonen ja Evi Kulmala

Lisää aiheesta

Riskienhallinta ja asiantuntijavastuu kiinteistöalalla sekä tekoälyn hyödyntäminen asiantuntijatyössä

Asiantuntijaroolit kiinteistöhankkeissa ja kiinteistönhallinnassa laajenevat – ja […]

Lexia järjestää tekoälywebinaarin 2.10.2025

Miten EU:n uusi tekoälysääntely vaikuttaa juuri teidän […]

Tietosuoja- ja tekoäly -uutiskirje

Uutiskatsaus EUT:lle historian ensimmäinen ennakkoratkaisupyyntö tekoälyn ja […]

Tietosuoja- ja tekoäly -uutiskirje

Vuoden toiseen uutiskirjeeseen olemme koonneet alkuvuoden 2025 […]

Back to Top