Aisteri
Ota yhteyttä
Tietoturva ja compliance22.5.2026· 10 min lukuaika

Henkilötietojen käsittely AI-puheluissa — DPA ja sopimukset

AI-puheluissa henkilötietojen käsittely ei ratkea yhdellä tietosuojaselosteella. Opas käy läpi DPA:n, alikäsittelijät, datavirrat, vastuut ja sopimuskohdat, jotka kannattaa kirjata ennen tuotantoa.

Henkilötietojen käsittelysopimusta tarkistetaan toimistossa ennen AI-puhelinpalvelun käyttöönottoa
Henkilötietojen käsittelysopimusta tarkistetaan toimistossa ennen AI-puhelinpalvelun käyttöönottoa. Pääkuva: Pexels — kuva-attribuutiot on säilytetty artikkelin kuvatiedoissa.

Henkilötietojen käsittely AI-puheluissa on sopimuskysymys yhtä paljon kuin tekninen kysymys. Puhelu voi näyttää asiakkaalle yksinkertaiselta: hän sanoo asiansa, AI vastaa ja lopuksi järjestelmään syntyy merkintä. Taustalla data on voinut kulkea puhelinoperaattorin, puheentunnistuksen, kielimallin, puhesynteesin, lokituksen, CRM:n ja asiakaspalvelujärjestelmän kautta.

Jos tätä ketjua ei ole kirjattu sopimuksiin, yritys joutuu arvaamaan liian paljon. Kuka on rekisterinpitäjä? Kuka käsittelee henkilötietoja kenen lukuun? Mitä alikäsittelijöitä käytetään? Saako puheludataa käyttää palvelun kehittämiseen? Kuka vastaa poistopyyntöön? Nämä eivät ole hankinnan liitteitä, jotka voi kuitata lopussa. Ne ovat käyttöönottopäätöksen ydintä.

Tässä oppaassa käydään läpi, miten DPA ja henkilötietojen käsittelyyn liittyvät sopimukset kannattaa rakentaa AI-puhelinpalvelussa. Tämä ei ole juridinen lausunto. Se on käytännön lista niistä asioista, jotka kannattaa selvittää ennen kuin ensimmäinen oikea asiakas soittaa.

Henkilötietojen käsittelysopimus kannattaa tehdä ennen kuin AI-puhelinpalvelu avataan asiakkaille
Henkilötietojen käsittelysopimus kannattaa tehdä ennen kuin AI-puhelinpalvelu avataan asiakkaille

Ensin roolit: rekisterinpitäjä, käsittelijä ja alikäsittelijä

AI-puhelinpalvelussa roolit pitää nimetä selvästi. Usein palvelua käyttävä yritys on rekisterinpitäjä, koska se päättää miksi asiakkaiden tai työntekijöiden henkilötietoja käsitellään. AI-puhelinpalvelun toimittaja toimii käsittelijänä, koska se käsittelee dataa asiakkaan lukuun.

Tämä on yleinen malli, ei automaattinen totuus. Jos toimittaja käyttää dataa omiin tarkoituksiinsa, esimerkiksi mallien kouluttamiseen, analytiikkatuotteeseen tai omaan tuotekehitykseen tavalla, jota asiakas ei ohjaa, rooli voi muuttua. Siksi sopimuksessa pitää lukea, mihin dataa saa käyttää ja mihin ei.

Alikäsittelijät ovat ketjun seuraava kerros. Puhe-AI:ssa niitä voi olla monta:

  • puhelinoperaattori tai voice gateway
  • puheentunnistuspalvelu
  • puhesynteesipalvelu
  • kielimalli tai LLM-palvelu
  • hosting- ja tietokantapalvelu
  • lokitus- ja monitorointipalvelu
  • CRM-, tiketti- tai ajanvarausintegraatio

Ostajan ei tarvitse saada jokaista teknistä yksityiskohtaa romaanina, mutta alikäsittelijöiden nimet, roolit, datan sijainti ja muutosten ilmoitusmalli pitää olla saatavilla. Jos toimittaja ei tiedä omaa toimitusketjuaan, se on jo vastaus. Huono, mutta selkeä.

Mitä DPA:n pitää kattaa AI-puheluissa?

DPA eli henkilötietojen käsittelysopimus määrittää, miten käsittelijä saa käsitellä rekisterinpitäjän dataa. AI-puheluissa perus-DPA ei aina riitä, jos se on kopioitu vanhasta verkkolomakeprojektista. Puhe tuo mukaan tallenteet, transkriptiot, promptit, mallit, integraatiot ja lokit.

Kirjaa ainakin nämä:

  • käsittelyn tarkoitus: mitä puhelinpalvelu tekee
  • käsiteltävät henkilötiedot: nimet, numerot, asiakasnumerot, puhelun sisältö, tallenteet, transkriptiot, yhteenvedot
  • rekisteröityjen ryhmät: asiakkaat, työntekijät, työnhakijat, potilaat, yhteistyökumppanit tai muut
  • käsittelyn kesto ja päättymisen jälkeinen poisto tai palautus
  • tietoturvatoimet: salaus, pääsynhallinta, lokitus, tuotanto- ja testiympäristöjen erottelu
  • alikäsittelijät ja niiden hyväksyntä
  • datan siirrot EU/ETA-alueen ulkopuolelle
  • rekisteröityjen oikeuksien avustaminen
  • tietoturvaloukkausten ilmoittaminen
  • auditointi- ja tarkastusoikeudet

Tärkeää on myös kuvata AI:n rajaus. Saako AI tehdä päätöksiä vai vain valmistella asian? Saako se hakea tietoa asiakasjärjestelmästä? Saako se kirjoittaa CRM:ään? Saako se lähettää viestejä asiakkaalle? Mitä selkeämmin nämä on kirjattu, sitä vähemmän tuotanto nojaa toiveisiin.

Puheludata ei ole yksi datajoukko

Sopimuksissa kannattaa erottaa datatyypit. AI-puhelu ei tuota vain yhtä tiedostoa. Se voi tuottaa ääntä, tekstiä, yhteenvetoja, intenttiluokkia, integraatiokutsuja, teknisiä lokeja ja audit-lokeja.

Tämä vaikuttaa säilytykseen ja pääsyihin. Äänitallenne voi olla herkin osa, koska ääni voi tunnistaa ihmisen ja sisältää vapaata puhetta. Transkriptio on helppo hakea ja kopioida, joten sen käyttöoikeudet pitää rajata. Yhteenveto voi olla operatiivisesti tarpeellinen pidempään. Tekninen loki pitäisi pitää mahdollisimman puhtaana henkilötiedoista.

Puheludatan eri muodot kannattaa kuvata sopimuksessa eikä vasta tietopyynnön hetkellä
Puheludatan eri muodot kannattaa kuvata sopimuksessa eikä vasta tietopyynnön hetkellä

Hyvä sopimusliite voi olla taulukko:

  • datatyyppi
  • tarkoitus
  • säilytysaika
  • sijainti
  • käyttäjäroolit
  • poistomalli
  • alikäsittelijät

Taulukko ei ole kaunista, mutta se toimii. Se pakottaa kaikki näkemään, että äänen tallentaminen, transkription analysointi ja CRM-yhteenvedon säilytys eivät ole sama asia.

Haluatko tietää, miten tämä toimisi sinun yrityksessäsi?

Ilmainen 30 minuutin kartoitus — ei sitoumuksia.

Varaa kartoitus

Mallien kouluttaminen ja palvelun kehittäminen

Yksi tärkeimmistä sopimuskohdista on datan jatkokäyttö. Saako toimittaja käyttää puheludataa omien mallien kouluttamiseen? Saako dataa käyttää laadunparannukseen? Saako siitä tehdä anonymisoituja analytiikkaraportteja? Mitä anonymisointi tässä tarkoittaa?

Yrityksen kannattaa olla tässä täsmällinen. Turvallinen oletus on: asiakasdataa ei käytetä toimittajan yleiseen mallikoulutukseen ilman erillistä kirjallista lupaa. Palvelun operatiivinen laadunvalvonta voidaan sallia rajatusti, jos tarkoitus, pääsyt, säilytys ja anonymisointi on kuvattu.

Ero on iso. On eri asia käyttää puheluyhteenvetoa virheen selvittämiseen asiakkaan palvelussa kuin käyttää kaikkien asiakkaiden transkriptioita yleisen tuotteen parantamiseen. Ensimmäinen voi olla tarpeellinen. Toinen vaatii aivan eri keskustelun.

Sopimuksessa kannattaa myös kieltää tuotantodatan siirtäminen kehitysympäristöihin ilman anonymisointia tai erillistä hyväksyntää. Kansion nimi demo ei tee henkilötiedoista demo-dataa. Valitettavasti. Olisi kätevää, mutta ei.

Alikäsittelijöiden muutokset

AI-palveluiden toimitusketju voi muuttua. Kielimallitoimittaja vaihtuu, puhesynteesi päivitetään tai hosting siirtyy eri alueelle. Siksi DPA:ssa pitää olla alikäsittelijöiden muutosprosessi.

Käytännössä rekisterinpitäjän pitää saada tieto olennaisista muutoksista ennen niiden käyttöönottoa. Ilmoituksessa pitäisi näkyä:

  • uusi alikäsittelijä
  • mitä palvelua se tuottaa
  • mitä dataa se käsittelee
  • missä data sijaitsee
  • muuttuuko siirtoperuste tai riskitaso
  • milloin muutos astuu voimaan

Asiakkaalla pitää olla kohtuullinen mahdollisuus vastustaa muutosta, jos se muuttaa riskiä olennaisesti. Tämä kuulostaa juridiikalta, koska se on sitä. Mutta se on myös käytännön ostoturvaa. Yritys ei halua huomata jälkikäteen, että puheludata kulkee uuteen maahan tai uuteen mallipalveluun ilman, että kukaan kertoi.

Rekisteröidyn oikeudet: kuka tekee mitä?

Kun asiakas pyytää pääsyä tietoihinsa, tietojen oikaisua tai poistamista, vastuu ei saa jäädä sähköpostiketjuun. DPA:n pitää kertoa, miten toimittaja auttaa rekisterinpitäjää.

Sovi ainakin:

  • miten puheludata haetaan henkilön perusteella
  • kuinka nopeasti toimittaja vastaa rekisterinpitäjän pyyntöön
  • mitä tietoja voidaan poistaa ja mitä pitää säilyttää lakisääteisesti
  • miten poisto kattaa tallenteet, transkriptiot, yhteenvedot ja alikäsittelijät
  • miten virheellinen yhteenveto korjataan
  • miten poistosta tai oikaisusta jää hallittu jälki

Tämä pitää testata. Ei riitä, että sopimuksessa lukee avustamme kohtuullisesti. Kohtuullisesti on yksi niistä sanoista, joihin tuotanto voi hukkua. Parempi on kuvata prosessi ja vasteaika.

Tietoturvatoimet sopimukseen, ei vain myyntikalvoon

Tietoturvan osalta DPA:ssa tai sen liitteessä pitää olla konkreettinen kuvaus toimista. Ei pelkkä lause käytämme alan parhaita käytäntöjä. Se lause on tietoturvan styroksia.

Kirjaa esimerkiksi:

  • data salataan siirrossa ja levossa
  • tuotanto- ja testiympäristöt erotetaan
  • salaisuudet säilytetään salaisuuksien hallinnassa
  • admin-käyttö vaatii MFA:n
  • pääsyt ovat roolipohjaisia ja tarkistetaan säännöllisesti
  • tallenteiden ja transkriptioiden katselu lokitetaan
  • lokit minimoidaan eikä niihin kirjata raakoja promptteja henkilötietoineen
  • tietoturvaloukkausten ilmoitusprosessi ja aikarajat on määritelty
Sopimuksen pitää kuvata myös tietoturvatoimet, lokitus ja datan sijainti
Sopimuksen pitää kuvata myös tietoturvatoimet, lokitus ja datan sijainti

Jos käytössä on korkeamman riskin toimiala, kuten terveydenhuolto, rahoitus tai HR, tietoturvatoimet pitää suhteuttaa siihen. Kaikki AI-puhelut eivät tarvitse samaa kontrollitasoa, mutta riskin pitää näkyä sopimuksessa.

Ostajan tarkistuslista ennen allekirjoitusta

Ennen kuin AI-puhelinpalvelun sopimus hyväksytään, käy läpi tämä lista:

  • Onko rekisterinpitäjän ja käsittelijän roolit kirjattu?
  • Onko käsittelyn tarkoitus ja AI:n tehtävä rajattu?
  • Onko datatyypit erotettu: ääni, transkriptio, yhteenveto, lokit?
  • Onko säilytysajat määritelty datatyypeittäin?
  • Onko alikäsittelijälista saatavilla ja muutosprosessi sovittu?
  • Onko datan sijainti ja mahdolliset siirrot kuvattu?
  • Onko mallien kouluttaminen asiakasdatalla kielletty tai rajattu selvästi?
  • Onko rekisteröidyn oikeuksiin vastaamisen prosessi sovittu?
  • Onko tietoturvatoimet kuvattu konkreettisesti?
  • Onko auditointi- ja poikkeamaprosessi käytännöllinen?

Jos vastaus moneen kohtaan on katsotaan myöhemmin, myöhemmin on juuri nyt. Sopimusvaiheessa korjaaminen on halvempaa kuin tuotannossa, jossa puheluita on jo kertynyt.

Sopimusliite käyttötapauksittain

Yksi DPA voi kattaa yleisen käsittelysuhteen, mutta AI-puhelinpalvelussa kannattaa tehdä lisäksi käyttötapauskohtainen liite. Se on käytännöllinen tapa välttää tilanne, jossa sama sopimus yrittää kuvata sekä verkkokaupan tilaustiedustelua että työntekijän sairauspoissaolopuhelua. Ne eivät ole sama riski, vaikka molemmissa käytetään puhe-AI:ta.

Liitteessä voidaan kuvata jokainen käyttötapaus omalla rivillään: asiakaspalvelun FAQ, ajanvaraus, reklamaation vastaanotto, HR-neuvonta, liidin kvalifiointi tai teknisen tuen ensikartoitus. Jokaiselle riville kirjataan, mitä tietoja AI käsittelee, mistä lähteestä tieto haetaan, mitä järjestelmään tallennetaan ja milloin ihminen ottaa vastuun.

Tämä auttaa myös myöhemmin, kun automaatiota halutaan laajentaa. Uusi käyttötapaus ei vain ilmesty tuotantoon, vaan sille lisätään oma kuvaus ja riskiarvio. Jos uusi käyttötapaus käsittelee terveystietoja, taloustietoja tai työntekijätietoja, sopimustaso ja tekniset kontrollit voidaan nostaa ennen käyttöönottoa. Näin DPA ei jää pölyiseksi PDF:ksi, vaan toimii muutosten hallinnan välineenä.

Hyvä liite on lyhyt mutta konkreettinen. Sen ei tarvitse toistaa koko sopimusta. Sen pitää vastata ostajan, IT:n ja tietosuojavastaavan käytännön kysymyksiin: mitä AI tekee, mitä dataa siihen liittyy ja missä raja kulkee.

Sopimuksen päättyminen ja datan poistaminen

Sopimuksen päättyminen on tylsä kohta, kun kaikki menee hyvin. Se on erittäin tärkeä kohta, kun palvelu vaihtuu, asiakas irtisanoo sopimuksen tai toimittajasuhde päättyy riitaisasti. AI-puhelinpalvelussa dataa voi olla monessa paikassa, joten poistosta pitää sopia etukäteen.

DPA:ssa kannattaa määrittää, palautetaanko data asiakkaalle, poistetaanko se vai tehdäänkö molemmat. Lisäksi pitää kuvata aikaraja. Esimerkiksi: operatiiviset yhteenvedot palautetaan sovitussa muodossa, raakatranskriptiot poistetaan 30 päivän sisällä, varmuuskopiot poistuvat normaalin kierron mukaisesti ja alikäsittelijöiden poistot varmistetaan sopimuksen mukaan.

Poiston pitää koskea myös testiaineistoja, väliaikaisia tiedostoja ja tukitapauksissa syntyneitä aineistoja. Juuri nämä unohtuvat helposti. Tuotannon tietokanta muistetaan, mutta debug-exportti yhden asiantuntijan koneella on vähemmän näyttävä ja joskus vaarallisempi.

Pyydä toimittajalta poistotodiste tai vähintään kirjallinen vahvistus. Ei siksi, että paperi olisi taikakilpi. Siksi, että vastuut ovat selkeät ja joku joutuu oikeasti tarkistamaan asian. Se on sopimushallinnan kuivaa mutta hyödyllistä ydintä.

Sisäinen omistaja sopimukselle

Lopuksi tarvitaan omistaja. DPA ei saa jäädä vain lakiosaston kansioon, jos palvelu muuttuu jatkuvasti. Nimeä henkilö tai tiimi, joka omistaa AI-puhelinpalvelun tietosuojakuvauksen, alikäsittelijälistan ja käyttötapausliitteet. Kun uusi integraatio lisätään tai puhelun tallennusmalli muuttuu, sama omistaja varmistaa, että sopimus- ja dokumentaatiopuoli päivittyy.

Tämä on pieni hallintamalli, mutta se estää tavallisen ongelman: tekninen toteutus kehittyy, sopimus jää alkuperäiseen pilottiin. Vuoden päästä kukaan ei enää tiedä, vastaako paperi tuotantoa. Siinä kohtaa auditointi muuttuu muistipeliksi.

Yhteenveto

AI-puheluiden henkilötietojen käsittely tarvitsee selkeät sopimukset. DPA:n pitää kertoa, mitä dataa käsitellään, miksi, missä, kenen toimesta, kuinka kauan ja millä suojaustoimilla. Lisäksi sen pitää kuvata AI:n rajat: mitä järjestelmä saa tehdä ja milloin ihminen ottaa vastuun.

Hyvä sopimus ei tee huonosta toteutuksesta turvallista, mutta se pakottaa kysymään oikeat kysymykset ennen tuotantoa. Se on jo paljon. Aisteri auttaa rajaamaan puhe-AI:n käyttötapauksen, datavirrat ja sopimusliitteet niin, että ostaja, IT ja tietosuojavastaava puhuvat samasta asiasta. Jos haluat tarkistaa oman puheluprosessin sopimusvalmiuden, ota yhteyttä: visa.valkonen@aisteri.fi tai aloita konfiguraattorista.

Lisää tästä aiheesta

Tutki koko tietoturva ja compliance-kategoria

Jos tämä artikkeli osui hermoon, samasta kategoriasta löytyy lisää käytännön juttuja ilman konsulttiliirumlaarumia.

Avaa kategoriakeskus

Lue seuraavaksi

Aiheeseen liittyvät artikkelit

Kaikki artikkelit →
Tietosuoja- ja analytiikkadatan käsittelyä näytöllä ennen AI-puheluiden anonymisointia
Tietoturva ja compliance21.5.2026· 9 min

Datan anonymisointi AI-puheluissa

AI-puheluissa anonymisointi ei tarkoita pelkkää nimen poistamista. Opas kertoo, miten raakadata, transkriptiot, yhteenvedot ja analytiikka suojataan käytännössä.

Tietosuojadokumentteja tarkistetaan toimistossa
Opas20.5.2026· 11 min

GDPR ja tekoäly — tietosuoja AI-puheluissa

AI-puhelut käsittelevät usein henkilötietoja. GDPR-yhteensopiva toteutus vaatii selkeän tarkoituksen, minimoinnin, sopimukset, lokituksen ja ihmisen vastuun.

Call center -kuulokkeet ja analytiikkakaavio pöydällä AI-puheluiden lokituksen suunnittelua varten
Tietoturva ja compliance21.5.2026· 10 min

Lokitus ja jäljitettävyys AI-puheluissa

AI-puhelun lokitus kertoo mitä tapahtui, millä versiolla, mihin tietoon vastaus perustui ja milloin ihminen otti vastuun. Ilman sitä virhe on vain arvausleikki.

Aloitetaan ilmaisella kartoituksella

30 minuutin puhelu, jossa käymme läpi prosessisi ja kerromme miten AI voi auttaa. Ei sitoumuksia, ei myyntipuhetta — vain konkretiaa.

visa.valkonen@aisteri.fi

tai soita suoraan: 050 373 7010