Aisteri
Ota yhteyttä
Tietoturva ja compliance20.5.2026· 11 min lukuaika

Tekoälyn tietosuojaseloste — miten laatia GDPR-yhteensopiva?

Mitä AI-puhelinpalvelun tietosuojaselosteessa pitää kertoa, miten se kirjoitetaan ymmärrettävästi ja mitkä kohdat unohtuvat yrityksiltä useimmin.

Tietosuojaselostetta tarkistetaan kannettavalla tietokoneella toimistossa
Tietosuojaselostetta tarkistetaan kannettavalla tietokoneella toimistossa. Pääkuva: Pexels — kuva-attribuutiot on säilytetty artikkelin kuvatiedoissa.

Tekoälyn tietosuojaseloste on helppo tehdä huonosti. Otetaan yleinen verkkosivun tietosuojateksti, lisätään sana "tekoäly" kolmeen kohtaan ja toivotaan, ettei kukaan kysy tarkemmin. Se näyttää dokumentilta. Se ei välttämättä kerro käyttäjälle mitään olennaista.

AI-puhelinpalvelussa tietosuojaselosteella on oikea tehtävä. Sen pitää kertoa ihmiselle, mitä tietoja puhelussa käsitellään, miksi niitä käsitellään, mihin ne tallentuvat, kuka niitä käyttää, kuinka kauan niitä säilytetään ja mitä oikeuksia ihmisellä on. Lisäksi sen pitää kuvata tekoälyn rooli ymmärrettävästi. Ei markkinointisumuna. Ei juristien salakielenä. Ihmisten kielellä.

Tässä oppaassa käydään läpi, miten yritys laatii AI-puhelinpalvelulle tietosuojaselosteen, joka kestää sekä asiakkaan että tietosuojavastaavan lukemisen. Molemmat ovat harvinaisia yleisöjä, mutta kovin eri syistä.

Tietosuojaselosteessa pitää kuvata AI-puheluiden data ymmärrettävästi
Tietosuojaselosteessa pitää kuvata AI-puheluiden data ymmärrettävästi

Aloita käyttötapauksista, älä teknologiasta

Tietosuojaselosteen ensimmäinen kysymys ei ole, käytetäänkö OpenAI:ta, ElevenLabsia, Retelliä tai jotain muuta teknologiaa. Ensimmäinen kysymys on: mihin AI-puheluita käytetään?

Käyttötarkoitus voi olla esimerkiksi:

  • asiakaspalvelukysymyksiin vastaaminen
  • ajanvarausten käsittely
  • reklamaatioiden vastaanotto
  • myyntiliidien kvalifiointi
  • tapahtumamuistutukset
  • HR:n yleiset työntekijäkysymykset
  • IT-tuen ensivaiheen ongelmanselvitys

Jokaisella käyttötarkoituksella voi olla eri data, eri käsittelyperuste ja eri säilytysaika. Siksi yksi yleinen lause "käytämme henkilötietoja palvelun tuottamiseen" on liian laiha. Se on kuin ostaisi palovaroittimen ilman paristoa. Muoto on oikea, hyöty rajallinen.

Selosteessa kannattaa kuvata käyttötarkoitukset taulukkomaisesti. Ihminen näkee nopeasti, miksi hänen dataansa käsitellään. Yritys taas joutuu samalla tekemään sen työn, joka olisi pitänyt tehdä muutenkin.

Kerro, mitä dataa syntyy puhelusta

AI-puhelu voi synnyttää useita datatyyppejä. Tämä pitää avata selosteessa niin, että tavallinen asiakas ymmärtää asian.

Mahdollisia tietoja ovat esimerkiksi:

  • nimi, puhelinnumero ja sähköposti
  • asiakas- tai varausnumero
  • puhelun ajankohta ja kesto
  • puhelun aihe ja lopputulos
  • äänen tallenne, jos sitä käytetään
  • puheen tekstitys eli transkriptio
  • AI:n tekemä yhteenveto
  • tiketöinti- tai CRM-merkintä
  • luokittelu, kuten kiireellisyys tai aihealue
  • tekniset lokit ja virhetilanteet

Kaikkea tätä ei tarvitse kerätä. Selosteen pitää kertoa, mitä juuri tässä palvelussa kerätään. Jos äänitallennetta ei säilytetä, sano se. Jos transkriptio poistetaan 30 päivän jälkeen ja yhteenveto säilyy asiakkuuden hoitamiseksi, sano se. Epämääräisyys ei tee dokumentista turvallisempaa. Se tekee siitä epäilyttävämmän.

Tietosuojan kuvauksessa kannattaa erottaa raakadata, yhteenveto ja järjestelmiin tallennettavat tiedot
Tietosuojan kuvauksessa kannattaa erottaa raakadata, yhteenveto ja järjestelmiin tallennettavat tiedot

Tekoälyn rooli pitää kuvata rehellisesti

Moni seloste kompastuu siihen, että tekoälystä puhutaan joko liian teknisesti tai liian pyöreästi. "Hyödynnämme moderneja algoritmeja asiakaskokemuksen parantamiseen" ei kerro mitään. "Large language model tekee intent recognition -päättelyä orchestration-layerissa" kertoo ehkä liikaakin, mutta väärälle yleisölle.

Hyvä kuvaus on konkreettinen:

AI-puhelinpalvelu tunnistaa puheen tekstiksi, tulkitsee kysymyksen, hakee vastauksen hyväksytyistä lähteistä ja kirjaa puhelun lopputuloksen asiakaspalvelujärjestelmään. Jos kysymys ei kuulu AI:n rajattuihin tehtäviin, puhelu ohjataan ihmiselle tai asiasta tehdään palvelupyyntö.

Tärkeää on kertoa myös, mitä AI ei tee. Esimerkiksi:

  • se ei tee luottopäätöksiä
  • se ei tee hoitopäätöksiä
  • se ei tee työsuhteeseen vaikuttavia päätöksiä
  • se ei käytä puheludataa mallien kouluttamiseen ilman erillistä perustetta
  • se ei jaa tietoja muihin tarkoituksiin

Jos AI tekee profilointia, riskiluokittelua tai automaattista päätöksentekoa, se pitää kuvata erikseen. Useimmissa asiakaspalvelun AI-puheluissa turvallisin malli on, että AI hoitaa rajatun palvelutapahtuman ja ihminen päättää merkittävät asiat.

Haluatko tietää, miten tämä toimisi sinun yrityksessäsi?

Ilmainen 30 minuutin kartoitus — ei sitoumuksia.

Varaa kartoitus

Käsittelyperusteet selkokielellä

Tietosuojaselosteessa pitää kertoa käsittelyperusteet. Tämä osio muuttuu helposti lakiluetteloksi, jota kukaan ei lue. Parempi tapa on yhdistää peruste käyttötarkoitukseen.

Esimerkiksi:

  • Ajanvarauksen käsittely: sopimuksen valmistelu tai täyttäminen.
  • Asiakaspalvelupyynnön hoitaminen: sopimus tai oikeutettu etu.
  • Laadunvarmistuksen tallenne: oikeutettu etu, jos arvio tukee sitä.
  • Markkinointipuhelu: suoramarkkinoinnin sääntely ja soveltuva käsittelyperuste.
  • Lakisääteinen dokumentointi: lakisääteinen velvoite.

Jos perusteena käytetään oikeutettua etua, yrityksen pitää tehdä tasapainotesti. Selosteessa ei tarvitse julkaista koko sisäistä muistiota, mutta ihmisen pitää ymmärtää, mikä etu on kyseessä ja miten hänen oikeutensa huomioidaan.

Alikäsittelijät ja datan sijainti eivät ole sivuseikka

AI-puhelinpalvelussa voi olla useita palveluntarjoajia. Puhelinliikenne, puheentunnistus, puhesynteesi, kielimalli, CRM, lokitus ja hosting voivat tulla eri toimijoilta. Tämä ei ole ongelma, jos se on hallittu. Se on ongelma, jos kukaan ei tiedä, ketkä käsittelevät dataa.

Selosteessa kannattaa kertoa vähintään palveluntarjoajien kategoriat ja tarvittaessa nimet. Erillinen alikäsittelijälista on hyvä käytäntö, jos lista muuttuu. Lisäksi pitää kuvata, siirtyykö data EU/ETA-alueen ulkopuolelle ja millä suojatoimilla.

Ostajan näkökulmasta tämä on usein kriittinen kohta. Jos yritys myy AI-puhelinpalvelua B2B-asiakkaille, asiakkaan tietosuojavastaava kysyy alikäsittelijöistä joka tapauksessa. Vastaus kannattaa olla valmiina ennen tarjouspalaveria. Se näyttää ammattimaiselta. Ja on sitä.

Alikäsittelijät, sopimukset ja datan sijainti kannattaa kuvata ennen käyttöönottoa
Alikäsittelijät, sopimukset ja datan sijainti kannattaa kuvata ennen käyttöönottoa

Säilytysajat pitää kertoa datatyypeittäin

Yksi yleisimmistä huonoista lauseista on: "Säilytämme tietoja niin kauan kuin on tarpeen." Se voi olla juridisesti tuttu, mutta käytännössä se ei kerro käyttäjälle mitään. AI-puhelussa säilytysaika kannattaa jakaa datatyypeittäin.

Esimerkki:

  • Äänitallenne: 30-90 päivää laadunvarmistusta varten, jos tallenne tehdään.
  • Transkriptio: 30 päivää virheiden selvittämistä varten.
  • Asiakaspalvelun yhteenveto: asiakkuuden tai palvelupyynnön käsittelyn ajan.
  • Laskutukseen liittyvä tieto: kirjanpito- ja sopimusvelvoitteiden mukaan.
  • Analytiikka: anonymisoituna tai aggregoituna ilman tunnistettavaa henkilöä.
  • Lokit: tietoturvan ja väärinkäytösten selvittämisen kannalta tarpeellinen aika.

Nämä eivät ole universaalit ajat. Yrityksen pitää määritellä omansa. Tärkeää on, että ne ovat konkreettisia ja että järjestelmä tukee poistoa.

Rekisteröidyn oikeudet AI-puheluissa

Selosteessa pitää kertoa, miten ihminen voi käyttää oikeuksiaan. AI-puheluiden kohdalla tämä vaatii myös teknistä suunnittelua. Jos henkilö pyytää pääsyä tietoihinsa, pystytäänkö puhelut, transkriptiot ja yhteenvedot löytämään? Jos hän pyytää poistamista, mihin järjestelmiin pyyntö vaikuttaa?

Käytännössä tarvitaan yhteinen tunniste tai hakumalli. Puhelinnumero voi riittää joissain tilanteissa, mutta asiakasnumero, tikettinumero tai varausnumero voi olla parempi. Selosteessa kannattaa kertoa yhteydenottokanava ja se, mitä tietoja pyynnön käsittelyyn tarvitaan.

Hyvä seloste kertoo myös oikeudesta vastustaa käsittelyä, pyytää oikaisua, rajoittaa käsittelyä ja tehdä valitus valvontaviranomaiselle. Tämä ei ole koristeosio. Se on käyttäjän näkökulmasta koko dokumentin tärkeimpiä kohtia.

Käytännön rakenne AI-tietosuojaselosteelle

Toimiva rakenne voi olla tällainen:

1. Kuka on rekisterinpitäjä? 2. Mihin AI-puhelinpalvelua käytetään? 3. Mitä henkilötietoja käsitellään? 4. Miten tekoäly toimii palvelussa? 5. Mikä on käsittelyperuste? 6. Mistä tiedot saadaan? 7. Kenelle tietoja luovutetaan ja ketkä ovat alikäsittelijöitä? 8. Siirtyykö data EU/ETA-alueen ulkopuolelle? 9. Kuinka kauan tiedot säilyvät? 10. Miten tiedot suojataan? 11. Mitä oikeuksia rekisteröidyllä on? 12. Miten saa yhteyden tietosuoja-asioissa?

Tämä rakenne toimii sekä verkkosivun selosteena että B2B-myyntimateriaalin pohjana. Asiakkaat eivät osta vain AI:ta. He ostavat myös riskin pienenemistä.

Yhteenveto

Hyvä tekoälyn tietosuojaseloste ei yritä kuulostaa fiksulta. Se yrittää olla hyödyllinen. Se kertoo käyttötarkoitukset, datatyypit, tekoälyn roolin, säilytysajat, alikäsittelijät ja ihmisen oikeudet niin, että ostaja ja käyttäjä ymmärtävät ne.

Jos yritys ei osaa kirjoittaa selostetta selkeästi, se on usein merkki siitä, ettei prosessia ole vielä määritelty tarpeeksi tarkasti. Se on korjattavissa. Mieluummin ennen tuotantoa kuin sen jälkeen, kun ensimmäinen asiakas pyytää selvityksen.

Aisteri auttaa rakentamaan AI-puhelinpalvelun niin, että tietosuojaseloste ei ole jälkikäteen liimattu PDF vaan osa palvelun suunnittelua. Kysy lisää: visa.valkonen@aisteri.fi.

Lisää tästä aiheesta

Tutki koko tietoturva ja compliance-kategoria

Jos tämä artikkeli osui hermoon, samasta kategoriasta löytyy lisää käytännön juttuja ilman konsulttiliirumlaarumia.

Avaa kategoriakeskus

Lue seuraavaksi

Aiheeseen liittyvät artikkelit

Kaikki artikkelit →
Asiakaspalvelukuulokkeet kannettavan päällä puhe-AI:n asiakasilmoitusta varten
Tietoturva ja compliance21.5.2026· 8 min

Miten informoida asiakasta, että puhelu on tekoälyn hoitama?

AI-puhelusta pitää kertoa asiakkaalle selkeästi. Ei lakijargonia, ei piilottelua. Hyvä ilmoitus on lyhyt, rehellinen ja antaa tien ihmiselle.

Asiakaspalvelun kuulokkeet ja puhelutallenteiden hallinta toimistossa
Tietoturva ja compliance20.5.2026· 10 min

Puhelun nauhoituslaki Suomessa — mitä yrityksen pitää tietää?

Milloin yritys saa nauhoittaa AI-puhelun, miten siitä pitää kertoa ja mitä lokit, transkriptiot ja suostumukset tarkoittavat käytännössä.

Compliance-auditoinnin tarkistuslista ja kannettava tietokone toimistopöydällä
Tietoturva ja compliance21.5.2026· 10 min

AI-puhelinpalvelun auditointi — miten varmistaa compliance?

AI-puhelinpalvelun auditointi tarkistaa, että käyttötapaus, data, lokit, eskalointi, tietoturva ja toimittajavastuut vastaavat sitä mitä myyntimateriaali lupaa.

Aloitetaan ilmaisella kartoituksella

30 minuutin puhelu, jossa käymme läpi prosessisi ja kerromme miten AI voi auttaa. Ei sitoumuksia, ei myyntipuhetta — vain konkretiaa.

visa.valkonen@aisteri.fi

tai soita suoraan: 050 373 7010