Mitä GDPR vaatii tekoälychatboteilta? Vertailemme ChatGPT:n, Claudeen ja Geminin tietosuojakäytännöt ja kerromme, miten suojaudut tietoturvariskeiltä.
Maaliskuussa 2023 Italian tietosuojaviranomainen Garante sulki ChatGPT:n väliaikaisesti maassa ja vaati OpenAI:ta selvittämään, miten palvelu käsittelee käyttäjätietoja GDPR:n mukaisesti. Kyseinen päätös herätti koko Euroopan kiinnittämään huomion kysymykseen, jota monet olivat vältelleet: mitä tekoälychatbotti oikeastaan tekee syöttämilläsi tiedoilla?
Tekoälychatbotit ovat nousseet yhdeksi käytetyimmistä digitaalisista työkaluista. ChatGPT:llä oli yli 200 miljoonaa aktiivista viikoittaista käyttäjää vuoden 2024 lopulla (OpenAI, 2024), ja vastaavat luvut kasvavat myös Clauden, Geminin ja Microsoft Copilotin kohdalla. Laajamittainen käyttö tarkoittaa, että valtavat määrät mahdollisesti arkaluonteista tietoa virtaavat päivittäin näihin palveluihin.
Käyttäjät jakavat chatboteille kaikkea liiketoimintastrategioista ja henkilökohtaisista terveyskysymyksistä asiakastietoihin ja sisäisiin dokumentteihin. Vuonna 2023 Samsung-yhtiön insinöörit vahingossa vuosivat luottamuksellista lähdekoodia ChatGPT:hen, minkä seurauksena yritys kielsi chatbottien käytön sisäisissä tehtävissä (Bloomberg, 2023).

Tietoturvaongelmat eivät rajoitu pelkästään tietovuotoihin. Kyse on myös siitä, miten palveluntarjoajat hyödyntävät kerättyä dataa, kuinka kauan tietoja säilytetään ja voivatko kolmannet osapuolet päästä niihin käsiksi. Nämä kysymykset koskevat yhtä lailla yksityishenkilöitä kuin yrityksiä.
Lisätietoja siitä, miten tekoälychatbotit ylipäätään toimivat, löytyy artikkelista Miten tekoälychatbot toimii? Tekniikka selkokielellä.
Euroopan unionin yleinen tietosuoja-asetus (GDPR, asetus 2016/679) asettaa selkeät vaatimukset kaikille henkilötietoja käsitteleville palveluille – myös tekoälychatboteille. Asetus koskee kaikkia yrityksiä, jotka tarjoavat palveluja EU:n alueella asuville henkilöille, riippumatta yrityksen sijainnista (EUR-Lex, GDPR 2016/679).
GDPR:n keskeisiä periaatteita tekoälychatbottien näkökulmasta ovat käsittelyn lainmukaisuus, läpinäkyvyys ja tarkoitussidonnaisuus. Palveluntarjoajan on kerrottava selkeästi, mitä tietoja kerätään, mihin tarkoitukseen ja kuinka kauan niitä säilytetään. Käyttäjällä on lisäksi oikeus pyytää tietojensa poistamista eli ns. oikeus tulla unohdetuksi.
Suomessa tietosuojavaltuutetun toimisto (tietosuoja.fi) valvoo GDPR:n noudattamista. Jos tekoälychatbot käsittelee suomalaisten henkilötietoja lainvastaisesti, kuluttajalla on oikeus tehdä valitus tietosuojavaltuutetulle. Toimisto on myös julkaissut ohjeistusta tekoälyn tietosuojanäkökohdista.
Erityisesti arkaluonteisten henkilötietojen – kuten terveystietojen, poliittisten mielipiteiden tai biometristen tietojen – syöttäminen chatbotteihin on GDPR:n näkökulmasta ongelmallista. Nämä tietoluokat nauttivat erityistä suojaa, eikä niitä tule pääsääntöisesti jakaa kolmansille osapuolille ilman nimenomaista suostumusta.
Markkinajohtajien – ChatGPT:n, Claudeen, Geminin ja Microsoft Copilotin – tietosuojakäytännöt eroavat toisistaan merkittävästi. Alla oleva taulukko kokoaa keskeisimmät erot kuluttajaversioiden osalta (tilanne kesäkuussa 2026).
| Palvelu | Käyttääkö dataa koulutukseen | Opt-out mahdollinen | Tyypillinen säilytysaika | EU-palvelimet |
|---|---|---|---|---|
| ChatGPT (OpenAI) | Kyllä (oletuksena) | Kyllä (asetuksista) | 30 päivää kirjautuneena | Ei oletuksena |
| Claude (Anthropic) | Ei API-käytössä; kuluttajasovelluksessa mahdollisesti | Kyllä | Rajoitettu | Ei oletuksena |
| Gemini (Google) | Kyllä (oletuksena) | Kyllä (Google-tililtä) | 3–36 kuukautta | Osittain |
| Microsoft Copilot Enterprise | Ei (yritystasolle) | Kyllä | Vaihtelee versiosta | Kyllä (EU Data Boundary) |
Microsoft Copilotin Enterprise-versio tarjoaa tällä hetkellä vahvimman tietosuojan EU-käyttäjille: yritystason sopimuksella Microsoft lupaa, ettei käyttäjädataa käytetä mallien koulutukseen eikä siirretä EU:n tietorajan ulkopuolelle. Laajempi vertailu chatbottipalveluista löytyy artikkelista Tekoälychatbotit vertailussa: ChatGPT, Claude, Gemini, Copilot.
Paras tapa suojata tietosi tekoälychatbotissa on yksinkertainen: älä jaa mitään, mitä et haluaisi nähdä julkisena.
Käyttäjillä on oikeus pyytää omien tietojensa poistamista. ChatGPT:ssä tämä onnistuu asetuksista tai ottamalla yhteyttä OpenAI:n tukeen. Googlella vastaavat toiminnot löytyvät Google-tilin hallinnasta. Nämä opt-out-mahdollisuudet ovat GDPR:n vaatimusten mukaisia, mutta niistä tiedottaminen ei aina ole riittävän näkyvää.
Tekoälychatbotteihin liittyy useita erityyppisiä tietoturvariskejä. Osa riskeistä liittyy palveluntarjoajan toimintaan, osa käyttäjien omaan käyttäytymiseen ja osa pahantahtoisiin toimijoihin, jotka hyödyntävät chatbotteja hyökkäyksissään.
| Riski | Kuvaus | Todellinen esimerkki | Torjuntakeino |
|---|---|---|---|
| Tietovuoto palveluntarjoajan kautta | Tekninen haavoittuvuus tai tietomurto | OpenAI:n bugi 3/2023 paljasti käyttäjien chat-historioita | Minimoi arkaluonteisten tietojen jakaminen |
| Käyttäjän oma tietovuoto | Arkaluonteisten tietojen tahaton jakaminen | Samsung-insinöörit jakoivat lähdekoodia ChatGPT:lle 2023 | Organisaation selkeä käyttöpolitiikka |
| Prompt injection -hyökkäys | Haitallinen syöte ohjaa chatbotin toimimaan odottamattomasti | Verkkosivun piilotettu teksti manipuloi Copilotia | Vältä chatbotin käyttöä epäluotettavilta sivuilta |
| Tietojen käyttö koulutukseen | Syötetyt tiedot päätyvät mallin harjoitusdataan | Yksityiset liiketoimintatiedot koulutusaineistossa | Aktivoi opt-out tai käytä enterprise-versiota |
| Kolmansien osapuolten liitännäiset | Chatbotin lisäosat voivat kerätä lisädataa | ChatGPT-lisäosat, jotka välittävät tietoja ulkopuolisille | Tarkista käyttämäsi lisäosat |
Yrityskäytössä on syytä kiinnittää erityistä huomiota siihen, millaiset tiedot työntekijät syöttävät chatbotteihin. Parhaat käytännöt turvalliseen chatbotin hyödyntämiseen löydät artikkelista Tekoälychatbotin parhaat käytännöt: 15 vinkkiä parempiin tuloksiin.
EU:n tekoälylaki (AI Act, asetus 2024/1689) astui voimaan elokuussa 2024 ja on maailman ensimmäinen tekoälyn käyttöä sääntelevä lainsäädäntö. Laki luokittelee tekoälyjärjestelmät riskitasojen mukaan: kiellettyihin, korkean riskin, rajoitetun riskin ja minimaalisen riskin järjestelmiin (EUR-Lex, AI Act 2024/1689).
Yleiskäyttöiset tekoälymallit (GPAI), kuten ChatGPT, Claude ja Gemini, kuuluvat lain soveltamisalaan. Kehittäjien on noudatettava läpinäkyvyysvaatimuksia: käyttäjien on tiedettävä, että he ovat vuorovaikutuksessa tekoälyn kanssa. Kyseinen vaatimus on ollut voimassa elokuusta 2025 lähtien.
EU:n tekoälylaki on historiallinen askel – mutta sen toimeenpano on vasta alussa, ja yritysten on syytä valmistautua jo nyt.
Korkean riskin tekoälyjärjestelmiä – esimerkiksi henkilöstön arviointiin tai kriittiseen infrastruktuuriin käytettäviä chatbotteja – koskevat tiukemmat vaatimukset: riskienhallintajärjestelmä, tekninen dokumentaatio, ihmisen valvonta ja kirjanpitovelvoitteet. Chatbottien hyödyntämistä asiakaspalvelussa käsitellään tarkemmin artikkelissa Tekoälychatbot asiakaspalvelussa: hyödyt, haitat ja käyttöönotto.
Konkreettiset toimenpiteet tietoturvan parantamiseksi jakautuvat kolmeen tasoon: henkilökohtainen käyttö, organisaatiotason käytännöt ja tekninen toteutus.

Yritysten näkökulmasta tekoälychatbottien käyttöön liittyy sekä lakisääteisiä velvoitteita että maine- ja liiketoimintariskejä. GDPR:n mukaan rekisterinpitäjä – eli yritys – on vastuussa henkilötietojen käsittelystä, vaikka se ulkoistaisi käsittelyn kolmannelle osapuolelle kuten chatbot-palveluntarjoajalle.
Käytännössä yrityksen on solmittava tietojenkäsittelysopimus (DPA, Data Processing Agreement) chatbot-palveluntarjoajan kanssa, jos chatbot käsittelee yrityksen asiakkaiden tai henkilöstön henkilötietoja. OpenAI, Google, Microsoft ja Anthropic tarjoavat nämä sopimukset yritystason asiakkailleen.
Generatiivisen tekoälyn laajempi käyttöönotto yrityksissä – mukaan lukien compliance-asioiden muistilista – on käsitelty artikkelissa Generatiivisen tekoälyn käyttöönotto työpaikalla 2026.
Organisaation kannattaa luoda selkeä tekoälyn käyttöpolitiikka, jossa määritellään millaiset tiedot saa jakaa chatbottien kanssa, mitkä palvelut ovat hyväksyttyjä ja miten poikkeamat raportoidaan. Tietoturvatietoisuuskoulutus on olennainen osa tätä kokonaisuutta – ei kertaluonteinen toimenpide, vaan jatkuva prosessi.
Se riippuu palvelusta ja asetuksistasi. Useimmat kuluttajatason chatbotit – kuten ChatGPT ja Gemini – voivat oletuksena käyttää syötteitäsi mallin kehittämiseen. Syöttämäsi tekstit voivat siten päätyä ihmisarvioijien luettavaksi laadunvarmistuksen yhteydessä. Voit kuitenkin estää tämän aktivoimalla opt-out-asetuksen palveluiden tietosuoja-asetuksista. Enterprise-versioissa koulutuskäyttö on yleensä estetty sopimuksellisesti. Tiedot eivät pääsääntöisesti ole julkisia, mutta ne eivät ole myöskään täysin yksityisiä, ellei sinulla ole kirjallista sitoumusta palveluntarjoajalta. Ylipäätään kannattaa noudattaa varovaisuusperiaatetta: älä jaa mitään, mitä et voisi jakaa julkisesti.
Ilmainen kuluttajaversio ei sovellu yrityssalaisuuksien tai henkilötietojen käsittelyyn. ChatGPT Enterprise – ja Team-tason tilaus – tarjoavat merkittävästi paremman tietosuojan: OpenAI ei käytä syötteitä koulutukseen, tiedot salataan levossa ja siirrossa, ja saatavilla on tietojenkäsittelysopimus. Suomalaisille yrityksille on syytä huomata, että OpenAI käsittelee dataa pääasiassa Yhdysvalloissa, mikä voi asettaa lisävaatimuksia GDPR:n kolmansien maiden siirtoja koskevien sääntöjen osalta. Vakiosopimuslausekkeiden (SCC) käyttö on tässä yhteydessä yleinen ratkaisu. Ennen käyttöönottoa on suositeltavaa konsultoida tietosuojavastaavaa.
Opt-out tarkoittaa mahdollisuutta kieltäytyä siitä, että syöttämäsi keskusteludata käytetään tekoälymallin kouluttamiseen. ChatGPT:ssä opt-out löytyy kohdasta Asetukset → Tietosuoja → Paranna mallia kaikille. Geminissä asetus on Google-tilin Tietojen ja yksityisyyden hallinnan kautta. Claudella opt-out on saatavilla erikseen pyytämällä. Opt-out ei poista jo aiemmin kerättyä dataa – tätä varten on erikseen pyydettävä tietojen poistamista. GDPR:n mukainen oikeus tietojen poistamiseen on voimassa kaikissa EU-alueella toimivissa palveluissa, joten voit aina esittää poistopyynnön kirjallisesti palvelun tietosuojatiimille.
GDPR velvoittaa ensisijaisesti tietojenkäsittelijöitä eli palveluntarjoajia, mutta myös yritysasiakkaita, jos he käsittelevät asiakkaidensa henkilötietoja chatbotin avulla. Yksityishenkilönä sinulla on oikeus tietää, mitä tietoja sinusta kerätään, pyytää niiden poistamista ja tehdä valitus tietosuojavaltuutetulle. Yrityskäyttäjänä velvoitteesi ovat laajemmat: palveluntarjoajan kanssa on oltava sopimus, joka täyttää GDPR:n vaatimukset henkilötietojen käsittelystä. Käytännössä sinun on varmistettava DPA-sopimuksen olemassaolo ennen kuin henkilötietoja syötetään järjestelmään. Tietosuojavastaavan nimeäminen on pakollista tietyille organisaatioille myös tekoälykäytön yhteydessä.
Kyllä, kyse on todellisesta riskistä. Prompt injection -hyökkäyksissä pahantahtoinen toimija manipuloi chatbotin käyttäytymistä piilottamalla haitallisia ohjeita verkkosivuihin tai dokumentteihin, joita chatbot lukee. Microsoft Copilotin haavoittuvuuksia on löydetty, joissa hyökkääjä pystyi ohjaamaan botin välittämään käyttäjän tietoja ulkopuolisiin palveluihin. Palveluntarjoajiin kohdistuvat tietomurrot voivat paljastaa chat-historioita – kuten tapahtui OpenAI:n kanssa maaliskuussa 2023, jolloin bugi paljasti noin 1,2 % ChatGPT Plus -käyttäjistä toistensa maksutietoja. Paras suoja on minimoida arkaluonteisten tietojen jakaminen ja pitää käyttämäsi palvelut ajan tasalla.
EU:n AI Act tuo chatbottien käyttöön useita muutoksia. Ensinnäkin palveluntarjoajien on ilmoitettava selkeästi, kun käyttäjä on vuorovaikutuksessa tekoälyn kanssa eikä ihmisen. Toiseksi tietyt käyttötarkoitukset on kokonaan kielletty: sosiaalinen pisteytys, reaaliaikainen biometrinen valvonta julkisissa tiloissa sekä manipulatiiviset tekoälyjärjestelmät, jotka hyödyntävät haavoittuvuuksia. Kolmanneksi korkean riskin käyttötapauksissa – kuten rekrytoinnissa tai luottopäätöksissä – vaaditaan ihmisen valvontaa. Lain siirtymäajat ulottuvat vuoteen 2027 asti, mutta keskeisimmät kiellot ja läpinäkyvyysvaatimukset ovat jo voimassa. Suomalaisten yritysten on hyvä seurata myös kansallisia täytäntöönpanosäädöksiä.
Sama kuvio toistuu organisaatioissa kerta toisensa jälkeen: tietoturvariskeistä ollaan periaatteessa tietoisia, mutta käytännön arjessa samat virheet tehdään uudelleen. IBM:n vuoden 2023 Cost of a Data Breach -raportin mukaan tietomurron keskimääräinen kustannus on 4,45 miljoonaa dollaria, ja merkittävä osa murroista johtuu inhimillisistä virheistä eikä teknisistä haavoittuvuuksista. Chatbottien kohdalla virheet kasautuvat tyypillisesti viiteen toistuvaan sudenkuoppaan.
Virhe 1: Enemmän tietoa kuin tehtävä vaatii. Kun pyydetään apua asiakassähköpostin muokkaukseen, syötetään usein alkuperäinen viesti nimineen, osoitteineen ja tilausnumeroineen, vaikka nämä voi korvata kuvitteellisilla tiedoilla ennen promptin lähettämistä. Anonyymisoitu teksti ajaa tismalleen saman asian.
Virhe 2: Tietojenkäsittelysopimuksen unohtaminen. GDPR:n 28 artikla edellyttää kirjallisen tietojenkäsittelysopimuksen (DPA) jokaisen ulkopuolisen tietojenkäsittelijän kanssa. Tietosuojavaltuutetun toimiston vuoden 2024 valvontaraportin mukaan DPA:n puuttuminen on yksi yleisimmistä havaituista rikkomuksista, ja se voi johtaa jopa kahden prosentin sakkoon maailmanlaajuisesta vuosiliikevaihdosta.
Virhe 3: Ilmaisversion käyttö yritysdataan. ChatGPT:n ilmainen kuluttajaversio käyttää syötteitä oletuksena mallien koulutukseen, ellei käyttäjä erikseen kieltäydy asetuksista. ChatGPT Team ja Enterprise -versioissa koulutuskäyttö on poistettu oletuksena. Monet organisaatiot eivät ole hankkineet yrityslisenssiä, joten työntekijät käyttävät ilmaisversiota tietämättömyyttään.
Virhe 4: API-lokien säilytysajan sivuuttaminen. OpenAI:n vuoden 2024 palvelukäyttöehtojen mukaan API-rajapinnan kautta lähetetyt promptit voidaan tallentaa väärinkäytösten valvontaa varten enintään 30 päiväksi. Vastaava luku vaihtelee palveluntarjoajittain: Google Cloudin Vertex AI Gemini -palvelussa oletuslokkien säilytysaika on 30 päivää, ja sen voi lyhentää nollaan konfiguroimalla. Tätä ei tarkisteta läheskään aina ennen käyttöönottoa.
Virhe 5: Sisäisen ohjeistuksen puuttuminen. Microsoftin vuoden 2024 Work Trend Index -tutkimuksen mukaan 78 prosenttia tekoälyä työssään käyttävistä toimii ilman työnantajan virallista ohjausta. Tämä tarkoittaa, että jokainen työntekijä soveltaa omaa harkintaansa arkaluonteisen tiedon jakamisessa. Yksi A4-sivu, joka listaa mitä saa ja mitä ei saa syöttää, vähentää riskiä enemmän kuin useimmat tekniset kontrollitoimet.
Konkreettiset esimerkit havainnollistavat paremmin kuin teoreettiset riskiluettelot, mitä seurauksia huolimattomasta chatbot-käytöstä on tosielämässä aiheutunut.
Samsung, huhtikuu 2023. Samsungin puolijohdeyksikön kolme insinööriä syötti neljän viikon sisällä ChatGPT:hen luottamuksellista lähdekoodia, sisäisiä kokousmuistiinpanoja sekä laitteisto-spesifikaatioita. Bloomberg uutisoi tapauksesta huhtikuussa 2023. Samsung kielsi ChatGPT:n käytön yritysverkon laitteilla välittömästi ja ryhtyi kehittämään omaa sisäistä tekoälytyökalua. Tapauksen ydinopetus: ilman selkeää ohjeistusta ja teknistä estoa yksittäinen insinööri voi vaarantaa vuosien tuotekehitystyön.
OpenAI:n Redis-bugi, maaliskuu 2023. OpenAI ilmoitti 24. maaliskuuta 2023 välimuistiohjelmisto Redisin ohjelmointivirheestä, jonka seurauksena noin 1,2 prosenttia ChatGPT Plus -tilaajista pystyi näkemään vieraiden käyttäjien chat-historioiden otsikot ja osittain maksutietoja noin yhdeksän tunnin ajan. OpenAI sulki palvelun väliaikaisesti korjatakseen vian. Tapaus osoitti, että tietoturvaongelmat voivat syntyä myös palveluntarjoajan omissa infrastruktuuriratkaisuissa, eikä käyttäjällä ole niihin minkäänlaista vaikutusmahdollisuutta.
Italia ja ChatGPT-kielto, maaliskuu-huhtikuu 2023. Italian tietosuojaviranomainen Garante kielsi ChatGPT:n käytön kaikilla Italian alueella 31. maaliskuuta 2023, perustellen päätöstä GDPR:n vastauksella tiedonkeruulla, alaikäisten suojan puuttumisella sekä puutteellisella oikeusperustalla henkilötietojen käsittelylle. Kielto oli voimassa 40 päivää, ja OpenAI sai palata markkinoille 28. huhtikuuta 2023 tehtyään useita muutoksia, kuten lisäämällä opt-out-mekanismin EU-käyttäjille ja vahvistamalla ikäverifikaatioprosessia. Tapaus on toistaiseksi korkein profiilisin GDPR-lainvalvontatoimi tekoälypalvelua kohtaan Euroopassa, ja se pakotti OpenAI:n tekemään käytännön muutoksia huomattavasti nopeammin kuin pelkkä valvontaprosessi olisi edellyttänyt.
Kaikille kolmelle tapaukselle on yhteistä, että ne olivat estettävissä. Samsung-tapaus olisi estetty selkeällä politiikalla ja käyttörajoituksilla. OpenAI:n bugi olisi minimoitu pitämällä chatboteissa mahdollisimman vähän henkilötietoja. Italian tapaus kiteyttää, miksi EU-alueen palveluntarjoajien valinta ja olemassa olevien käytäntöjen tarkka lukeminen on yrityksille elintärkeää.