Tietosuoja ja GDPR
Tietoa henkilötietojen käsittelystä, GDPR-vaatimustenmukaisuudesta ja tietoturvasta.
Päivitetty 19.3.2026
Aihio AI on suomalainen palvelu, joka noudattaa EU:n yleistä tietosuoja-asetusta (GDPR) ja Suomen tietosuojalakia. Tällä sivulla kerrotaan, miten käsittelemme tietoja.
Rekisterinpitäjä ja henkilötietojen käsittelijä
GDPR:n mukaan tietojen käsittelyssä on kaksi roolia:
- Rekisterinpitäjä (sinä) -- Sinä, Aihion käyttäjä, olet rekisterinpitäjä chatbotisi loppukäyttäjien henkilötietojen osalta. Päätät, mitä tietoja chatbot kerää ja mihin tarkoitukseen.
- Henkilötietojen käsittelijä (Aihio AI) -- Aihio AI toimii henkilötietojen käsittelijänä. Käsittelemme chatbotin loppukäyttäjien tietoja sinun puolestasi ja ohjeidesi mukaisesti.
Käytännössä tämä tarkoittaa, että:
- Sinä vastaat siitä, että chatbotin käyttö on lainmukaista (esim. tietosuojaseloste ja suostumukset)
- Aihio AI vastaa siitä, että tiedot käsitellään turvallisesti ja ainoastaan palvelun tuottamiseksi
- Emme käytä loppukäyttäjien tietoja omiin tarkoituksiimme
Tietojenkäsittelysopimus (DPA)
GDPR edellyttää rekisterinpitäjän ja käsittelijän välistä tietojenkäsittelysopimusta (Data Processing Agreement, DPA). Aihion DPA kattaa:
- Käsittelyn tarkoitus ja kesto
- Henkilötietojen tyyppi ja rekisteröityjen ryhmät
- Käsittelijän velvollisuudet ja oikeudet
DPA on saatavilla seuraavasti:
- Starter- ja Pro-asiakkaat -- DPA:n keskeiset ehdot sisältyvät käyttöehtoihin
- Enterprise-asiakkaat -- Erillinen DPA-sopimus, pyydä osoitteesta tietosuoja@aihio.ai
Tietojen sijainti
| Tieto | Sijainti |
|---|---|
| Käyttäjätilit ja asetukset | EU (Supabase, AWS eu-central-1) |
| Keskusteludata | EU |
| Tietopohjan dokumentit | EU |
| Vektoritietokanta | EU |
| Verkkosivusto ja sovellus | EU (Vercel, fra1/arn1/cdg1) |
Kaikki data pysyy EU:n sisällä. Emme siirrä henkilötietoja EU:n ulkopuolelle.
Tekoälymallit ja tietojen käsittely
Chatbot-vastaukset generoidaan kolmannen osapuolen tekoälymalleilla (OpenAI, Anthropic, Google, Mistral). Tärkeää tietää:
- API-rajapinta -- Käytämme malleja API-rajapinnan kautta, jossa data ei tallennu mallien koulutukseen
- Väliaikainen käsittely -- Tekoälymalli käsittelee viestin ja palauttaa vastauksen, mutta ei säilytä dataa
- Minimointi -- Lähetämme mallille vain keskustelun kontekstin ja relevantin tietopohjan sisällön
Tekoälymallien API-käyttö ei sisälly mallien koulutukseen. OpenAI:n, Anthropicin, Googlen ja Mistralin API-käyttöehdot takaavat, ettei API:n kautta lähetettyä dataa käytetä mallien kehittämiseen.
Mitä tietoja keräämme?
Käyttäjätili
| Tieto | Tarkoitus |
|---|---|
| Sähköposti | Kirjautuminen, ilmoitukset |
| Nimi | Näyttönimi hallintapaneelissa |
| Profiilikuva | Tunnistaminen tiimissä |
| Salasanan tiiviste | Kirjautuminen (ei selkokielinen salasana) |
Keskusteludata
| Tieto | Tarkoitus |
|---|---|
| Viestit | Keskusteluhistoria ja analytiikka |
| Metadata | Aikaleima, kesto, ratkaisutapa |
| Käyttäjän tiedot | Nimi ja sähköposti (jos käyttäjä antoi) |
| GDPR-suostumus | Suostumuksen tila ja aikaleima |
Analytiikka
| Tieto | Tarkoitus |
|---|---|
| Keskustelutilastot | Suorituskyvyn mittaaminen |
| Virhetiedot | Palvelun parantaminen |
| Käyttödata | Kiintiöiden seuranta |
Loppukäyttäjien tietosuoja
Chatbotin loppukäyttäjät (asiakkaasi) voivat:
- Keskustella nimettömästi -- Chatbot ei vaadi tunnistautumista
- Antaa GDPR-suostumuksen -- Suostumuslomake voidaan näyttää ennen keskustelun alkua
- Pyytää tietojen poistoa -- Keskusteludata voidaan poistaa pyynnöstä
GDPR-suostumuslomake
Keskusteluikkuna voi näyttää suostumuslomakkeen ennen keskustelun alkua. Lomake tallentaa:
- Suostumuksen tilan (kyllä/ei)
- Aikaleiman
- Käyttäjän syöttämät tiedot (nimi, sähköposti)
Tietojen säilytys ja poistaminen
Säilytysajat
| Tietotyyppi | Säilytysaika |
|---|---|
| Käyttäjätili | Kunnes tili poistetaan |
| Keskusteludata | Työtilan asetusten mukaan tai kunnes chatbot/tili poistetaan |
| Tietopohja | Kunnes dokumentti tai chatbot poistetaan |
| Analytiikka | 12 kuukautta |
Oikeus tietojen poistamiseen
Loppukäyttäjien (chatbotin asiakkaiden) tietoja voi poistaa seuraavasti:
- Työtilan ylläpitäjä voi poistaa yksittäisiä keskusteluja hallintapaneelista
- Joukkopoisto -- Chatbotin poistaminen poistaa kaikki siihen liittyvät keskustelut, tietopohjan ja analytiikan
- Tietopyyntöön vastaaminen -- Jos loppukäyttäjä pyytää tietojensa poistamista (GDPR artikla 17), työtilan ylläpitäjä voi toteuttaa poiston
Oman tilin poistaminen
- Siirry Tili → Turvallisuus → Vaaravyöhyke
- Klikkaa "Poista tili"
- Kaikki tietosi, chatbotit ja keskusteluhistoria poistetaan pysyvästi
Tilin poistaminen on peruuttamaton. Kaikki työtilat, chatbotit, keskustelut ja tietopohjat poistetaan lopullisesti.
Oikeusperuste
| Käsittely | Oikeusperuste |
|---|---|
| Tilin ylläpito | Sopimuksen täytäntöönpano |
| Keskustelujen käsittely | Sopimuksen täytäntöönpano + oikeutettu etu |
| Analytiikka | Oikeutettu etu |
| Markkinointi | Suostumus |
Alikäsittelijät
Aihio AI käyttää seuraavia kolmannen osapuolen palveluja tietojen käsittelyyn:
| Alikäsittelijä | Tarkoitus | Sijainti | Tallentaako dataa? |
|---|---|---|---|
| Supabase | Tietokanta ja todennus | EU (Frankfurt) | Kyllä (palvelun ydintoiminta) |
| Stripe | Maksunkäsittely | EU / US (PCI DSS) | Vain maksudata |
| OpenAI | Tekoälyvastaukset (API) | US | Ei tallenna keskusteluja |
| Anthropic | Tekoälyvastaukset (API) | US | Ei tallenna keskusteluja |
| Google AI | Tekoälyvastaukset (API) | US | Ei tallenna keskusteluja |
| Mistral AI | Tekoälyvastaukset (API) | EU (Pariisi) | Ei tallenna keskusteluja |
Tekoälymallien tarjoajat (OpenAI, Anthropic, Google, Mistral) eivät tallenna API:n kautta lähetettyjä keskusteluja eivätkä käytä niitä malliensa kouluttamiseen. Viestit käsitellään reaaliaikaisesti ja hylätään vastauksen jälkeen.
Ilmoitamme muutoksista alikäsittelijöihin vähintään 30 päivää etukäteen.
EU:n tekoälyasetus
EU:n tekoälyasetuksen (AI Act) artikla 50 edellyttää, että chatbotin käyttäjille kerrotaan heidän olevan vuorovaikutuksessa tekoälyn kanssa. Aihion keskusteluikkuna noudattaa tätä vaatimusta automaattisesti -- keskusteluikkuna näyttää ilmoituksen siitä, että vastaukset ovat tekoälyn tuottamia.
Sinun ei tarvitse tehdä mitään erillistä toimenpidettä tämän vaatimuksen täyttämiseksi.
Yhteystiedot
Tietosuojaa koskevissa kysymyksissä:
- Sähköposti: tietosuoja@aihio.ai
Seuraavaksi
Salaus, EU-datakeskukset ja keskusteluikkunan tietoturva
WCAG 2.2 AA -vaatimustenmukaisuus
Hallitse salasanaa ja kirjautumistapoja
Oliko tästä sivusta hyötyä?