Päivitetty: 22. elok.
Kirjoitimme kesäkuussa ChatGPT:n ja tekijänoikeuksien välisestä suhteesta. Tässä artikkelissa puolestaan tarkastellaan ChatGPT:n käyttöön liittyviä tietoturva- ja tietosuojariskejä. ChatGPT tallentaa käyttäjän keskusteluhistorian ja hyödyntää syötettyjä tietoja kehittääkseen itseään sekä ammentaakseen sisältöä tuleviin keskusteluihin. Ei siis ole yhdentekevää millaista tietoa sovellukseen syöttää.
OpenAI:n tietosuojakäytännöt kritiikin kohteena
Tekoälysovellukset – kuten ChatGPT – ovat uusia ja niiden hyödyntämää dataa kohtaan on odotetusti esitetty kritiikkiä. Huolta on herättänyt muun muassa ChatGPT:n rakentamista varten kerättyjen tietojen alkuperä. Asiasta kysyttäessä OpenAI on väittänyt datan kerätyn julkisista lähteistä, mutta tarkempaa selvitystä yhtiö ei ole suostunut antamaan. Yhdysvalloissa OpenAI:ta syytetään parhaillaan henkilötietojen varastamisesta ChatGPT:n koulutustarkoituksiin. Kesäkuussa nostetun ryhmäkanteen mukaan OpenAI olisi varastanut merkittäviä määriä amerikkalaisten henkilötietoja, kuten terveystietoja ja lapsia koskevia tietoja.
Käyttäjän omiin henkilötietoihin sekä sovellukseen syötettyihin tietoihin liittyy omat tietosuojahaasteensa. Tietosuojaselosteensa mukaan OpenAI takaa ChatGPT:n käyttäjän omia henkilötietoja koskevien lakisääteisten velvoitteiden noudattamisen. Ongelmallista ehdossa on se, että OpenAI toimii EU:n tietosuoja-asetuksen tarkoittamassa rekisterinpitäjän roolissa, jolloin sillä tulisi olla tietosuoja-asetuksen mukainen peruste käsitellä käyttäjän henkilötietoja. Tämä peruste jää ehdoissa epäselväksi.
Jos OpenAI:n palveluja haluaa käyttää henkilötietojen käsittelyyn tietosuoja-asetuksen tarkoittamalla tavalla, se edellyttää käyttöehtojen mukaan erillisen henkilötietojen käsittelysopimuksen tekemistä OpenAI:n kanssa. Tällöin sovelluksen käyttäjä toimii rekisterinpitäjän roolissa ja OpenAI käsittelijän roolissa. Henkilötietojen käsittelysopimuksen tekeminen on kuitenkin mahdollista ainoastaan yhtiön yrityspalveluiden asiakkaille.
ChatGPT on osa OpenAI:n kuluttajapalveluja, eikä sen käyttäjillä näin ollen ole mahdollisuutta henkilötietojen suojaamiseen sopimusteitse. Tämä tulee mahdollisesti muuttumaan jatkossa, sillä yhtiö kehittää parhaillaan yrityskäyttäjille suunnattua palvelua ChatGPT Business, jota koskisivat OpenAI:n muiden yrityspalveluiden tietosuojaehdot. Toistaiseksi tällaista palvelua ei kuitenkaan ole käytettävissä eikä henkilötietoja siten tulisi käsitellä kuin OpenAI:n nykyisten yrityspalvelujen tai mahdollisesti tulevan ChatGPT Business -palvelun puitteissa. Tällä hetkellä yritykset voivat hyödyntää ChatGPT:ta vain sallimalla työntekijöidensä käyttää sovellusta kuluttajakäyttäjinä. Tästä johtuen työntekijöille on hyvä ohjeistaa, ettei henkilötietoja tule syöttää palveluun.
Kyse muustakin kuin tietosuojasta
Yritysten on keskeistä huomioida, että ChatGPT:n käyttöön liittyy tietosuojahaasteiden lisäksi muitakin riskejä. Henkilötietojen ohella yritysten intressissä on suojata liikesalaisuuksiaan. Tällaisten tietojen syöttäminen sovellukseen on riskialtista tietoturvan näkökulmasta. Tekoälyn kaltaiseen uuteen teknologiaan liittyy riski toistaiseksi tuntemattomien haavoittuvuuksien rikollisesta hyödyntämisestä sekä suojaustoimenpiteiden pettämisestä. Sovelluksessa voi olla tietoturva-aukkoja, jotka altistavat syötettävän materiaalin tietomurroille ja tietovuodoille. Vaikka OpenAI on toteuttanut tietoturvaan liittyviä toimenpiteitä, kuten tietojen anonymisointia, tietoturvariskejä ei voida täysin poissulkea, sillä tekniikka on aina jossain määrin haavoittuvaista. ChatGPT:n käyttäjän onkin syytä noudattaa varovaisuutta ja harkita huolellisesti, millaista tietoa sovellukseen syöttää.
Tietojen käyttöä koskevan kritiikin vuoksi OpenAI on hiljattain lisännyt käyttäjien toimintamahdollisuuksia tarjoamalla kattavammin tietojen käyttöä koskevia vaihtoehtoja. Käyttäjä voi nyt poistaa ChatGPT:n kanssa käymänsä keskusteluhistorian ja kieltää syöttämänsä datan käytön tekoälyn koulutustarkoituksiin. Nämä vaihtoehdot ovat tarjolla kaikille sovelluksen käyttäjille. Vaikka riski tietojen vuotamiseen ei muutosten johdosta olekaan enää yhtä merkittävä kuin aiemmin, ei sovellukseen kannata syöttää liikesalaisuuksia. Tilannetta voi olla aiheellista arvioida uudelleen, kun OpenAI julkaisee ChatGPT Business -palvelun ja sen täsmällinen sisältö käyttöehtoineen selviää.
Moni työntekijä otti heti alkuvuodesta ChatGPT:n innolla käyttöön huomioimatta erilaisten tietojen käsittelyn turvallisuutta. Useissa yrityksissä sovelluksen varomaton käyttö johtikin kevään aikana toimenpiteisiin. Eräät Wall Street -pankit sekä muut suuret yritykset kuten Samsung ja Apple kielsivät työntekijöiltään ChatGPT:n käytön. Samsung kielsi tekoälysovellusten käytön, kun selvisi, että yrityksen työntekijä oli syöttänyt liikesalaisuudeksi katsottavaa koodia ChatGPT:n alustalle. Monissa muissa yrityksissä tekoälysovellukset on puolestaan kielletty ennaltaehkäisevänä toimenpiteenä. Näin radikaaleihin toimenpiteisiin ei välttämättä ole tarkoituksenmukaista ryhtyä, sillä tekoälysovellukset tarjoavat paljon mahdollisuuksia tehostaa yrityksen toimintaa. Jos niiden käyttö sallitaan, on henkilökunnalle tärkeää laatia selkeä ohjeistus sovellusten tietoturvallisesta käytöstä.
Muistilista yrityksille
Jos riskeistä huolimatta haluat kokeilla ChatGPT:n käyttöä, kiinnitä huomiota ainakin seuraaviin:
Noudata yleistä varovaisuutta ja ota käyttöön OpenAI:n tarjoamia vaikutusmahdollisuuksia, jos et halua, että dataa käytetään tekoälyn koulutustarkoituksiin
Laadi henkilökunnalle selkeä ohjeistus ChatGPT:n yksityisestä käytöstä
Harkitse ChatGPT Business -palvelun käyttöönottoa, kun se tulee saataville
Jos käsittelet sovelluksessa henkilötietoja (vain yrityspalvelut), huomioi tietosuojalainsäädännön vaatimukset, kuten esimerkiksi rekisteröityjen informointi sekä mahdollinen tietosuojaa koskeva vaikutustenarviointi uutta teknologiaa käyttöön ottaessa
Lainsäätäjät ryhtyneet toimenpiteisiin
Yritysten ohella myös viranomaiset ja lainsäätäjät ovat huolestuneet ChatGPT:n riskeistä. Maaliskuussa tietoturvariskien olemassaolo realisoitui, kun ChatGPT:hen kohdistui tietomurto, jonka seurauksena käyttäjien keskusteluhistorian otsikoita, joidenkin keskustelujen yksittäisiä viestejä sekä käyttäjien maksutietoja vaarantui. Muitakin ChatGPT:hen liittyviä haavoittuvuuksia on ajoittain raportoitu.
Tietomurron jälkeen Italian tietosuojaviranomainen kielsi ChatGPT:n käytön. Kiellon perusteena olivat ensinnäkin tietovuodon aiheuttamat tietosuojarikkomukset, minkä lisäksi OpenAI:lla ei nähty olleen perustetta käsitellä tietoja. Yhtiö ei myöskään informoinut käyttäjiä riittävästi henkilötietojen käsittelystä tai estänyt alle 13-vuotiaiden pääsyä palveluun. Huhtikuun lopulla Italia salli sovelluksen jatkaa toimintaansa OpenAI:n ilmoitettua tiedottavansa jatkossa avoimemmin henkilötietojen käsittelyprosessistaan, varmistavansa käyttäjien iän sekä lisäävänsä käyttäjien mahdollisuuksia vaikuttaa tietojen käyttöön.
Keskusteltuaan Italian tietosuojaviranomaisen toimista Euroopan tietosuojaneuvosto perusti ChatGPT:tä koskevan työryhmän. Sen tarkoituksena on edistää yhteistyötä ja vaihtaa tietoja mahdollisista tietosuojaviranomaisten ChatGPT:hen liittyvistä toimista. Vastaavasti EU:n lainsäädäntöelimissä on keskusteltu tekoälyä koskevan lainsäädännön tarpeesta. Merkittävin edistysaskel tällä saralla on EU-parlamentissa parhaillaan käsiteltävänä oleva EU:n tekoälysäädös (EU AI Act). Tätä ja muita EU:n digisääntelyhankkeita käsittelemme myöhemmissä artikkeleissamme.

Susanna Kesseli
Junior Counsel
+358 40 071 7794
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 7. elok.
Euroopan komissio hyväksyi 10.7.2023 uuden henkilötietojen suojan riittävyyttä koskevan päätöksen EU:n ja Yhdysvaltojen välisestä tietosuojakehyksestä (Data Privacy Framework, ”DPF”). Päätöksessä todetaan, että Yhdysvallat takaa riittävän suojan tason, joka on verrattavissa Euroopan unionin suojaan, henkilötiedoille, joita siirretään EU:sta yhdysvaltalaisille yrityksille DPF:n mukaisesti. Kauan odotettu vastaavuuspäätös tarjoaa EU:n yrityksille, jotka siirtävät henkilötietoja Yhdysvaltoihin, mekanismin transatlanttisten tiedonsiirtojensa laillistamiseksi.
Vastaavuuspäätöksen mukaan sertifioituneet yritykset, jotka noudattavat DPF:n periaatteita ja sitoutuvat tiettyihin yksityisyyden suojaa koskeviin velvoitteisiin, voivat vastaanottaa EU:n henkilötietoja ilman, että niiden tarvitsee ottaa käyttöön ylimääräisiä siirtoa koskevia suojatoimia. Ne organisaatiot, jotka ovat ylläpitäneet Privacy Shield -sertifiointia, siirtyvät automaattisesti DPF:n piiriin, mutta niiden tulee mm. tietosuojaselosteessaan vahvistaa sitoutuminen DPF:n periaatteisiin 10.10.2023 mennessä.
DPF ja kv-tiedonsiirtoja koskevat riskiarviot
Euroopan tietosuojaneuvosto (”EDPB”) vahvisti omassa tiedotteessaan, että 10.7.2023 alkaen tiedonsiirrot EU:sta organisaatioille, jotka ovat sertifioituneet DPF:n mukaisesti ja jotka sisältyvät Federal Trade Commissionin ylläpitämään luetteloon, voivat edetä tiedonsiirroissa uuden vastaavuuspäätöksen perusteella. Tällaisia siirtoja tekevien yritysten ei tarvitse turvautua mihinkään EU:n yleisen tietosuoja-asetuksen (”GDPR”) artiklan 46 mukaisista vaihtoehtoisista siirtomekanismeista eikä toteuttaa täydentäviä suojatoimenpiteitä.
Koska DPF:iin sitoutuminen on vapaaehtoista, EDPB:n tiedotteessa selvennetään vastavuuspäätöksen vaikutusta yrityksiin, joita ei ole sertifioitu DPF:n mukaisesti. EDPB:n mukaan organisaatioiden, jotka luottavat johonkin GDPR:n 46 artiklassa säädetyistä vaihtoehtoisista siirtomekanismeista, kuten vakisopimuslausekkeisiin (Standard Contractual Clauses, ”SCC”), siirtääkseen tietoja EU:sta Yhdysvaltoihin, olisi tiedonsiirtoja koskevia riskiarviointeja laatiessaan otettava huomioon arviointi, jonka Euroopan komissio on tehnyt vastaavuuspäätöksen yhteydessä. Käytännössä tämä tarkoittaa, että tapauskohtaisia riskiarviointeja DPF:iin sitoutumattomien yhdysvaltalaisten organisaatioiden osalta tulee jatkaa, mutta niitä voidaan yksinkertaistaa komission Yhdysvaltain lainsäädäntöä koskevan arvion pohjalta.
Käytännön toimenpiteet
Muuttuneen tilanteen johdosta organisaatioiden olisi suositeltavaa toteuttaa ainakin seuraavia toimenpiteitä:
tarkistaa, onko yhdysvaltalainen organisaatio, jolle henkilötietoja siirretään, listattu Federal Trade Commissionin ylläpitämään DPF-luetteloon;
arvioida tai odottaa sopijakumppanin kommunikointia siitä, korvataanko jo solmitut vakiosopimuslausekkeet viittauksella DPF:iin;
jos tiedonsiirrot perustuvat DPF:iin, päivittää tietosuojaseloste, jossa kuvataan, millä perusteella tietoja siirretään EU/ETA-alueen ulkopuolelle; ja
päivittää kv-tiedonsiirtoja koskevat riskiarviot (ns. transfer impact assessment).
Komission mukaan DPF:ssä käsitellään kaikkia Euroopan unionin tuomioistuimen Schrems II -ratkaisussa esiin tuomia huolenaiheita, kuten Yhdysvaltojen tiedustelupalvelujen pääsyä henkilötietoihin ja oikeussuojamekanismeja. Valinta siitä, jatketaanko tiedonsiirtoja Yhdysvaltoihin vakiosopimuslausekkeisiin vai DPF:ään perustuen, ei välttämättä kuitenkaan ole helppo. Koska Max Schremsin edustama nyob-organisaatio on jo ilmoittanut haastavansa päätöksen ja Schrems III -ratkaisu on todennäköisesti odotettavissa joidenkin vuosien kuluessa, voi jo solmittuihin vakiosopimuslausekkeisiin nojautuminen osoittautua kestävämmäksi ratkaisuksi.
Lisätietoja asiasta antaa:

Anna Paimela
Osakas
+358 40 1648626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.
Päivitetty: 5. syysk.
Useat eurooppalaiset tietosuojaviranomaiset, viimeisimpänä Ranskan tietosuojaviranomainen CNIL, ovat katsoneet Google Analyticsin käytön rikkovan Euroopan unionin yleistä tietosuoja-asetusta (GDPR). Google käsittelee Yhdysvalloissa IP-osoitteita ja muita tunnisteita, jotka voidaan katsoa henkilötiedoiksi. Koska Yhdysvallat on maa, jossa ei ole eurooppalaisittain ajateltuna riittävää tietosuojan tasoa, eikä Google ole ottanut käyttöön riittäviä lisäsuojatoimia, ovat tietojensiirrot ja siten myös Google Analyticsin käyttö katsottu laittomaksi. Myös Suomen tietosuojavaltuutettu on uutisoinut asiasta.
Google Analytics lienee maailman käytetyin verkkoanalytiikkatyökalu, joten ratkaisut aiheuttavat päänvaivaa monelle. Ratkaisuksi on esitetty muun muassa IP-osoitteen anonymisointia. Valitettavasti se ei kuitenkaan tee Google Analyticsin käyttöä riskittömäksi, sillä anonymisointi tapahtuu vasta sen jälkeen, kun IP-osoite on ensin siirtynyt kokonaisena Googlelle. IP-osoitteen anonymisointi ei myöskään tee datasta anonyymia, jos mukana on muita tunnisteita, joilla voidaan yksilöidä luonnollinen henkilö.
Vaikka toimenpide ei riskejä poistaisikaan, niin kaikki yksityisyydensuojaa parantavat asetukset on syytä ottaa käyttöön, jos Google Analyticsin käyttöä aikoo jatkaa. Näitä ovat IP-anonymisoinnin lisäksi muun muassa:
varmistus siitä, ettei Googlelle sen ehtojen vastaisesti lähetetä tietoja, joilla käyttäjä voidaan henkilökohtaisesti tunnistaa (personally identifiable information, "PII");
asianmukaisen evästesuostumustyökalun käyttöönotto ja evästeiden asettaminen vasta sen jälkeen, kun käyttäjän suostumus on saatu;
uusimman tietojenkäsittelysopimuksen hyväksyminen vakiosopimuslausekkeineen (sopijakumppanina Google Ireland Limited yhdysvaltalaisen Google LLC:n sijaan); ja
asetetut rajoitukset tiedon jakamiseen (esim. data sharing -asetus pois päältä).
On myös hyvä harkita teknisesti mutkikkaampia toimenpiteitä, kuten ns. server side taggingiä, jossa lähetetään ensin data sivuston palvelimelle ja vasta sen jälkeen Google Analyticsille, mahdollistaen se, että voidaan kontrolloida Googlelle lähetettävää tietoa, esimerkiksi poistaa IP-osoitteet.
Kyse muustakin kuin Google Analyticsista
Google Analyticsiin liittyvät päätökset ovat jatkoa ns. Schrems II -ratkaisulle, jossa Euroopan unionin tuomioistuin kumosi EU:n ja USA:n välisen henkilötietojen tiedonsiirtomekanismin, ns. Privacy Shieldin, ja kyseenalaisti henkilötietojen siirrot Yhdysvaltoihin sen johdosta, että maan tiedusteluviranomaisilla on paikallisen lainsäädännön nojalla hyvin laajat tiedonsaantioikeudet. Olemme kertoneet ratkaisusta aiemmissa kirjoituksissamme, seuranneet viranomaisten suosituksia tiedonsiirtoihin liittyen sekä avustaneet asiakkaitamme uusien vakiosopimuslausekkeiden käyttöönotossa.
Käytännön havaintomme kuitenkin on se, että tiedonsiirrot ja niiden arviointi koetaan yrityksissä hyvin hankaliksi ja toimenpiteet ovat jääneet ainakin osin toteuttamatta. Tätä havaintoa vahvistaa se, että esimerkiksi juuri Google Analytics on edelleen laajalti käytössä, vaikka jo syksyn 2020 viranomaissuositukset puhuivat sitä vastaan, että dataa käsiteltäisiin selkokielisenä Yhdysvalloissa. Syitä toimenpiteiden puuttumisille on varmasti lukuisia – ei vähäisimpänä se, että yritykset kokevat, että transatlanttisiin tietovirtoihin tulisi löytää ratkaisu valtioiden, ei yritysten välillä. Tätä hakee myös Google.
Kansainvälisten tiedonsiirtojen arvioinnilta ei voi välttyä
Koettiinpa kansainväliset tiedonsiirrot kuinka hankaliksi tahansa, vain hyvin harva yritys voi välttyä niiden analysoinnilta. Google Analyticsin lisäksi lähes kaikki käyttävät jonkinlaista pilvipalvelua esimerkiksi sähköpostia tai asiakirjojen tallentamista varten. Näiden käyttö tyypillisesti johtaa siihen, että tietoihin voi olla pääsy EU/ETA-alueen ulkopuolelta, vaikka asiakas olisikin valinnut palvelinkeskuksen Euroopasta. Näin ollen lähes kaikkien yritysten tulee kartoittaa ja dokumentoida kansainväliset tietovirrat, ottaa käyttöön uudet vakiosopimuslausekkeet ja tarvittaessa täydentää niitä lisäsuojakeinoilla sekä dokumentoida tiedonsiirtoihin liittyvät riskiarviot. Jos arviossa päädytään siihen, ettei vakiosopimuslausekkeet ja mahdolliset täydentävät suojakeinot ole riittäviä, tiedonsiirrot tulisi lopettaa.
Esimerkiksi Google Analyticsia koskevassa riskiarviossa kannattaa muun muassa:
dokumentoida tehdyt toimenpiteet (ks. ensimmäinen kohta);
verrata omaa toimintaa ratkaisuiden kohteena olevien verkkosivustojen toimintaan (ratkaisuiden kohteena olleet sivustot eivät kaikilta osin olleet toteuttaneet ensimmäisen kohdan toimenpiteitä); ja
arvioida, mikä painoarvo on esimerkiksi sillä, että Googlen ilmoituksen mukaan Yhdysvaltain tiedusteluviranomaiset eivät koskaan ole esittäneet Google Analyticsia koskevia tietopyyntöjä.
Realismia on, että kaikki eivät lopeta tiedonsiirtoja Yhdysvaltoihin, vaikka riskiarvio antaisi siihen aihetta. Vaikka yritys lopulta päättäisi jättää esimerkiksi Google Analyticsin käyttöön, niin edellä mainittuja toimenpiteitä, eli teknisiä ja sopimuksellisia muutoksia sekä riskiarvion dokumentointia, tekemällä voi täyttää tietosuoja-asetuksen osoitusvelvollisuutta ja jäädä hieman rauhallisemmin katsomaan, miten ratkaisu- ja markkinakäytäntö sekä Googlen lisäkontrollit kehittyvät.
Nyt, tuumasta toimeen. Apua ja lisätietoja saat:

Anna Paimela
Osakas
+358 40 164 8626
Mikäli haluat artikkelit suoraan sähköpostiisi, tilaa Folksin uutiskirje täältä.