Versio ja soveltaminen. Tämä tietosuojaseloste (versio 2.1, voimassa 24.9.2025 alkaen) kuvaa, miten SosiAI Oy ("SosiAI", "me") käsittelee SosiaaliGPT‑palvelun käyttäjiin liittyviä henkilötietoja.

Rekisterinpitäjä ja yhteystiedot. Rekisterinpitäjä on SosiAI Oy, Alangontie 17, 90540 Oulu, Suomi. Tietosuoja-asioissa yhteyshenkilönä toimii tietosuojavastaava (DPO) Janne Vepsäläinen, sähköposti janne.vepsalainen@zoturi.com. Postiosoite on sama kuin yllä.

Käsittelyn tarkoitukset ja oikeusperusteet. Käsittely perustuu ensisijaisesti käyttäjän työnantajaorganisaation kanssa tehtyyn palvelusopimukseen (GDPR 6(1)(b)). Sopimus kattaa myös palvelussa käytettävät välttämättömät ja analyyttiset evästeet, joita käytetään palvelun tietoturvan ylläpitämiseen ja käytön tilastointiin. Roolit: Tilaaja on henkilötietojen rekisterinpitäjä ja Toimittaja käsittelijä.

Käsiteltävät tietoryhmät. Käsittelemme seuraavia tietoryhmiä: (i) tilin ja käyttäjäorganisaation tiedot kuten nimi, sähköposti, ammatti, käyttäjätunnus ja valtuudet, joita saadaan työnantajalta tai Azure AD:sta; (ii) käyttäjäsisältö kuten käyttäjän syöttämät kysymykset (promptit), liitteet, kuvat ja äänitiedostot; (iii) viestintätiedot kuten tukipyynnöt ja sähköpostiviestit; sekä (iv) tekniset lokit kuten IP-osoite, selain- ja laitetiedot, aikaleimat ja virhelokit. Huom: prompteja ja vastauksia voidaan käsitellä tukipyyntöjen ratkaisemiseksi ja palvelun optimointiin, mutta niitä ei käytetä perustavan mallin jatkokouluttamiseen.

Säilytysajat. Tilin-, käyttäjäorganisaation- ja käyttäjäsisällön tietoja säilytetään sopimussuhteen voimassaolon ajan ja enintään kuusi (6) kuukautta sen päättymisen jälkeen riidanratkaisua ja jälkiselvitystä varten. Lokit ja audit‑trail‑tiedot säilytetään pääsääntöisesti kaksitoista (12) kuukautta. Kun säilytysaika päättyy, tiedot anonymisoidaan tai poistetaan turvallisesti.

Vastaanottajat ja kansainväliset siirrot. Palvelun pilvi‑ ja tekoälyalustan käsittelijänä toimii Microsoft Ireland Operations Ltd (Azure). Pääasiallinen käsittely tapahtuu ETA‑alueella (esim. Dublin, Irlanti), eikä tietoja siirretä säännönmukaisesti ETA:n ulkopuolelle. Mikäli varmuuskopiointi tai muu erityinen tilanne edellyttää siirtoa, käytämme EU‑komission vakiolausekkeita (SCC) tai muuta GDPR 46 artiklan mukaista suojatoimea.

Evästeet ja vastaavat tekniikat. Palvelu käyttää välttämättömiä evästeitä (esim. istunnon hallinta ja CSRF‑suoja) sekä sopimukseen sisältyviä analyyttisiä evästeitä käyttötilastointia varten. Evästeiden estäminen selaimessa on mahdollista, mutta se voi heikentää palvelun toiminnallisuutta.

Profilointi ja automaattinen päätöksenteko. SosiaaliGPT tuottaa vastauksia tilastollisen kielimallin avulla, mutta palvelu ei tee rekisteröityä koskevia oikeusvaikutuksia tuottavia automaattisia päätöksiä eikä harjoita tällaista profilointia (GDPR 22 art.).

Rekisteröidyn oikeudet. Rekisteröidyllä on GDPR:n mukaiset oikeudet saada pääsy tietoihin, oikaista virheelliset tiedot, pyytää poistamista, rajoittaa käsittelyä, vastustaa käsittelyä sekä saada tiedot siirretyssä muodossa. Pyynnöt osoitetaan sähköpostitse osoitteeseen janne.vepsalainen@zoturi.com. Vastaamme pyyntöihin ilman aiheetonta viivytystä ja viimeistään kuukauden kuluessa.

Riskienhallinta ja suojatoimet. Käytämme teknisiä, organisatorisia ja operatiivisia toimenpiteitä käsittelyn suojaamiseksi. Teknisinä keinoina käytämme mm. TLS 1.3 ‑salausta tiedonsiirrossa, AES‑256 ‑salausta lepotilassa, zero‑trust‑verkkomallia, monivaiheista tunnistautumista ylläpitoon, uhkien valvontaa/IDS:ää sekä säännöllisiä päivityksiä ja haavoittuvuusskannauksia. Organisatorisesti toteutamme vuotuisen DPIA‑arvioinnin, roolipohjaisen käyttöoikeushallinnan (RBAC), alihankkijoiden tietosuoja‑auditoinnin, tietoturvapolitiikat ja henkilöstön koulutuksen sekä sopimuksiin sisältyvät salassapito‑ ja tietoturvavelvoitteet. Operatiivisesti ylläpidämme 24/7 lokitusta ja audit‑trailia, geo‑redundantteja varmuuskopioita ETA‑alueella, testattuja toipumissuunnitelmia (tavoitteellisesti RPO ≤ 4 h, RTO ≤ 24 h) sekä tietoturvaloukkausten ilmoitusprosessia viranomaisille ja asiakkaille 72 tunnin kuluessa.

Käyttäjät ja käyttörajaukset. Palvelu on tarkoitettu ammattilaisille, jotka ovat työ-, virka- tai ostopalvelusuhteessa Tilaajaan tai Tilaajan valitsemiin luotettaviin organisaatiohin. Palveluun ei saa syöttää henkilötietoa tai pseudonymisoitua henkilötietoa. Palvelua ei saa antaa hyvinvointialueiden asukkaiden käyttöön.

Muutokset tähän selosteeseen. Julkaisemme muutokset tällä sivulla ja päivitämme versionumeron sekä voimaantulopäivän. Ilmoitamme olennaisista muutoksista myös suoraan tilaajille.

Oikeus valittaa. Rekisteröidyllä on oikeus tehdä valitus tietosuojaviranomaiselle: Tietosuojavaltuutetun toimisto, Lintulahdenkuja 4, 00530 Helsinki, www.tietosuoja.fi, tietosuoja@om.fi.