Sovelluskirjastossa julkaistaan 15.9.2025 uusi Tekoälyasetuksen mukainen FRIA-työkalu, joka on tarkoitettu suuririskisten tekoälyjärjestelmien lakisääteiseen perusoikeusvaikutusten arviointiin.
o FRIA-työkalu integroidaan Sovelluskirjaston digipalveludatan kanssa, joka tarkoittaa sitä, että tekoälypalvelujen tarjoajilta kerätään arvioinnissa tarvittavat tiedot, jotta niitä voi hyödyntää osana FRIA-arviointia.
o FRIA-työkalu integroidaan myös DPIA-työkalun kanssa, jolloin käyttäjien ei tarvitse vastata samoihin arviointikysymyksiin kahta kertaa.
o Tavoitteena on myös pyrkiä jakamaan anonymisoituja FRIA-työpohjia käyttäjien välillä, samalla tavoin kuin Sovelluskirjastossa nyt jaetaan DPIA-työpohjia.
FRIA-tietomalli on jatkokehitetty Valtorin luoman FRIA-arviointikriteeristön pohjalta. Ennen julkaisemista FRIA-työkalu auditoidaan riippumattoman lakiasiantuntijan toimesta.
Keräämme parhaillaan asiakkaista ja valmistajista koottua kehittäjäryhmää kommentoimaan kehitettävää työkalua. Ensimmäinen FRIA-tietomallin esittelywebinaari järjestetään to 22.5.2025 klo 13.00, ilmoittautumiset>>
***
Mistä tiedän milloin kyse on suuririskisestä tekoälyjärjestelmästä?
”Julkisoikeudellisen laitoksen, tai julkisia palveluja tarjoavan yksityisen yhteisön tulee tehdä 27 artiklan mukaan käyttöönottajana perusoikeusvaikutustenarviointi (FRIA), jos se ottaa käyttöön tekoälysäädöksen liitteen III mukaisen järjestelmän seuraavilla aloilla:
Kaikkien käyttöönottajien tulee tehdä FRIA, jos kyseessä on välttämättömien yksityisten palvelujen ja välttämättömien julkisten palvelujen ja etuuksien saatavuus ja käyttö seuraavissa tilanteissa:
Poikkeus: Suuririskisenä ei pidetä kuitenkaan tekoälyn käyttöä mm. suppeaan menetelmälliseen tehtävään, ihmisen tukiälynä ja poikkeamien havaitsemiseen. Tekoälyasetuksen 6. artikla 3. kohta.
Lähde: Vahti Hyvät käytännöt -Teams, Valtori, Käyttöönottajan velvollisuudet, 26.3.2025
Oph:n ja okm:n julkaisemat Tekoälysuositukset: https://www.oph.fi/fi/tekoalysuositukset
Tietosuojan näkökulmasta opetuksen järjestäjän tehtäviä ovat:
1. Paikallisten digitaalisten palveluiden valinta: Päätettävä, mitkä digitaaliset palvelut, mukaan lukien tekoälyjärjestelmät, otetaan käyttöön.
2. Tietosuojalainsäädännön vaatimusten täyttäminen: Varmistettava, että kaikki käytettävät tekoälyjärjestelmät täyttävät EU:n yleisen tietosuoja-asetuksen (GDPR) ja kansallisen tietosuojalain vaatimukset.
3. Vaikutustenarviointi: Suoritettava vaikutustenarviointi, jos henkilötietojen käsittely aiheuttaa korkean riskin henkilöiden oikeuksille ja vapauksille.
4. Hankintalainsäädännön huomioiminen: Huomioitava hankintalainsäädäntö tekoälyjärjestelmien hankinnassa.
5. Tietosuojalainsäädännön soveltaminen: Sovellettava tietosuojalainsäädäntöä kaikkiin tekoälyjärjestelmiin, jotka käsittelevät henkilötietoja, riippumatta hankinnan arvosta.
Alla olevien lomakkeiden avulla voit pyytää käyttäjiä tekemään ennakkoarvion digipalvelun riski- ja vaikutustenarvioinnin tekemisen tarpeellisuudesta:
Digipalvelujen hankintaan ja käyttöön liittyy paljon päällekkäistä tietosuojatyötä. Arviointeja varten kaikki organisaatiot etsivät vastauksia samoihin kysymyksiin digipalvelujen tietosuojasivuilta. Tietosuojan vaikutustenarviointeja (DPIA) pidetään yleisesti erittäin työläinä prosesseina ja niitä tehdään usein organisaation sisäisesti, vaikka sama digipalvelu on samalla käyttötarkoituksella käytössä monissa muissakin organisaatioissa.
Kaikki tämä on äärimmäisen työllistävää, kun organisaatiot aloittavat työn aina alusta ja kumulatiivista resurssia ei usein ole hyödynnettävissä. Tosiasia tuntuu olevan, että yksikään organisaatio ei kykene selviytymään tietosuojatyöstä siten, että kaikki olisi tehty ja ajantasalla.
Olemme käynnistäneet yhteistyön, jossa
1. kerätään digipalvelujen GDPR-tiedot yhteen paikkaan
2. tehdään pienryhmissä DPIA-arviointeja
3. jaetaan tehdyt DPIAt toisille käyttäjille
Lue lisää blogista: https://www.ilonait.fi/post/digipalvelujen-tietosuojaa-yhteistyona
GDPR-sovelluskirjaston ja DPIA-työkalun ruotsinkielinen versio on nyt julkaistu. Voit valita ruotsinkielisen käyttöliittymän kirjautumissivulta oikean yläkulman kielivalikosta.
Olemme julkaisseet GDPR-sovelluskirjastossa uuden päivitysilmoitustoiminnon, jonka avulla käyttäjät saavat sähköpostiinsa tiedot valmistajien tekemistä muutoksista palvelujen GDPR-tietoihin. Tämän avulla palvelua käyttävien organisaatioiden on mahdollista päivittää ja pitää ajantasalla omat tietosuojaselvityksensä ja -arviointinsa.
Toiminto esiteltiin 21.8. webinaarissa, jonka tallenteen löydät tästä: https://ilonait.adobeconnect.com/pea64wy3uo1r/
Tässä tiivistetysti ohjeet toiminnon käyttöön:
Merkitse tuoteluetteloon kello-kuvakkeella ne softat, joiden GDPR-tietojen päivitysilmoitukset haluatte sähköpostiin.
Huom. Merkintä on organisaatiokohtainen
Omat tiedot –sivulla:
Voit valita tuotteiden päivitysilmoitusten lähetysvälin (alkuarvotettu) tai kytkeä palvelun osaltasi pois päältä
Päivitysviestit lähtevät käyttäjille, joille lähetysväli on valittu
Näet, milloin edellinen lähetys on tehty
Näet tuotteet, joista päivitysilmoituksia lähetetään = seuranta päällä
-> Saat sähköpostiisi tiedot eri softapalvelujen GDPR-tietojen muutoksista haluamallasi lähetysvälillä.
-> Myös DPIA-työkalu ilmoittaa, jos softapalvelun GDPR-tiedoissa on tapahtunut muutoksia. Muutostieto näkyy oman organisaatiosi DPIA-luettelossa ja DPIA-lomakkeella.
Syksyllä jatkamme kaikille asiakkaillemme avoimia DPIA-työpajoja, joissa tehdään ohjatusti yhdessä vaikutustenarviointeja. Niitä järjestetään joka torstai klo 10-11.30. Mukaan voi tulla oppimaan ja edistämään omia arviointeja ilman ennakkoilmoittautumista. Osoite on: https://ilonait.adobeconnect.com/gdpr/
Opetushallituksen ylläpitämä MPASSid-tunnistuksenvälityspalvelu on toiminut tähän asti sopimusperustaisesti. Opetushallitus on päättänyt, että palvelu tuotetaan ja ylläpidetään jatkossa viranomaispalveluna. Palvelu säilyy entisen sisältöisenä ja maksuttomana. Uudet käyttäjät tulevat viranomaispalvelun piiriin heti liittyessään ja nykyiset sopimuksen perusteella palvelua käyttävät organisaatiot irtisanomisajan jälkeen 1.8.2024 lukien.
Kaikkien MPASSid-osapuolten täytyy hyväksyä ja sitoutua noudattamaan MPASSid:n käyttöehtoja. Mikäli organisaatio arvioi, että MPASSid:n käyttöehdot ovat riittävät suhteessa hankittavaan palveluun, ei erillistä DPA-sopimusta tarvitse tehdä palveluntarjoajan kanssa.
Organisaatiolla on rekisterinpitäjän roolissa lisäksi velvollisuus arvioida tarve tehdä tietosuojalainsäädännön mukainen tietosuojavaikutusten arviointi (DPIA). Rekisterinpitäjän pitää tehdä DPIA, mikäli palvelussa käsitellään erityisiä, arkaluonteisia henkilötietoja tai palvelun käyttöön sisältyy muita korkean riskin toimintoja esim. automaattista päätöksentekoa. Opetushallituksen MPASSid-palvelun käyttöehdot eivät poista tätä rekisterinpitäjän velvollisuutta. MPASSid:n välittämät tietomallin mukaiset tiedot käyttäjästä eivät sisällä erityisiä tai arkaluonteisia henkilötietoja.
Opetushallitus ylläpitää ajantasaista tietomallia ja teknistä dokumentaatiota palvelun osapuolille
wikisivuillaan: https://wiki.eduuni.fi/display/OPHPALV/MPASSid
Jos haluat kysyä lisää MPASSid:stä, voit laittaa viestiä osoitteeseen mpass@oph.fi
Kivasti on saatu mukavasti uusia softia GDPR-datoineen viime viikkojen aikana. Kirjastosta löytyvät nyt myös näiden palveluiden GDPR-data selväkielisessä ja saavutettavassa muodossa:
Tinkercad, LimeSurvey GmbH, Geogebra, WiseFlow, Spoken, Blender, Vihta-ajanvaraus, Turnitin (iThenticate, Feedback Studio, Simcheck, Similarity, iThenticate 2.0, Originality), AV1-robot, Adobe Express, Maxtech Pro and Easy, Duolingo, Cryptomator, Replit, Book Creator, Frends ja LanSchool.
Muistathan, että voit myös itse ehdottaa valmistajalle, että he syöttäisivät GDPR-tiedot Kirjastoon. Se ei maksa valmistalle mitään ja tunnukset he voivat tilata tällä lomakkeella:
Uuden DPIA-työkalun julkaisemisen myötä olemme päivittäneet myös tietosuojaselosteen, käyttöehdot ja palvelukuvauksen. Keskeisin muutos löytyy käyttöehtojen kohdasta 8.1. Immateriaalioikeudet, johon on lisätty seuraava lause:
"Käyttäjän työn tuloksina syntyvät DPIA/ vaikutustenarvioinnit kuuluvat käyttäjälle ja palveluntarjoaja
käsittelee niitä vain palveluntarjoajan palvelun tarjoamiseksi kyseiselle käyttäjälle."
Tietosuojakuvauksen ja käyttöehdot löydät Sovelluskirjaston pääsivulta "Osta jäsenyys"-alkuisesta tekstikentästä. Palvelukuvauksen lähetämme tarjouksen liitteenä tai saat sen lähettämällä viestin: soili at sovelluskirjasto.fi
Uusi DPIA-työkalu julkaistiin 29.2.
Työkalu löytyy GDPR-sovelluskirjaston ylävalikosta. Sen avulla tietosuojan vaikutustenarviointiprosessit nopeutuvat ja tehostuvat. DPIA-työkalu:
* hyödyntää Tietosuojavaltuutetun lomakepohjien tietorakennetta,
* hakee softakohtaiset tiedot suoraan GDPR-kirjastosta,
* kysyy täyttäjältä oikeat kysymykset oikeassa kohdassa prosessia ja
* tarjoaa valmiita mallivastausvaihtoehtoja muokattavaksi.
DPIA-työpajoissa työstetään tietosuojan vaikutustenarviointeja
Maksuttomat DPIA-työpajat on tarkoitettu GDPR-sovelluskirjaston ja siihen liittyvän DPIA-työkalun käyttäjille. Huhti-toukokuussa kokoonnutaan DPIA-työpajoihin tekemään vaikutustenarviointeja yhdessä torstaisin klo 10-11.30. Työpajoihin ei tarvitse ilmoittautua ennakkoon, klikkaa sisään: https://ilonait.adobeconnect.com/gdpr/
Työpajoissa kukin osallistuja aloittaa tai jatkaa oman DPIA-työskentelyn . Ideana on, että työskentelyn aikana voi kysyä neuvoa ja voidaan yhdessäkin pohtia vastauksia ja askarruttavia kysymyksiä. Työpajojen fasilitaattorina toimii Soili Meklin, joka kokoaa myös mahdolliset auki jääneet kysymykset, kysyy niihin vastaukset ja toimittaa osallistujille työpajan jälkeen.
Yhteistyöskentelyssä syntyneitä DPIA-pohjia on mahdollista jakaa muiden käyttäjien kesken idealla "tee itse yksi DPIA, saat kollegoilta monta mallipohjaa".
Opetushallitus on antanut Espoon kaupungin pyynnöstä lausunnon korkeimmalle hallinto-oikeudelle tietosuojaa koskevassa valitusasiassa ns. Google-casessa (dnro: 2181/03.04.04.04.01/2023). Julkaisemme lausuntolinkin tässä sen ennakkotapausmerkityksen vuoksi.
Valtionhallinnon eOppiva-ympäristössä on julkaistu kaksi kaikille avointa hankintojen tietosuojaan liittyvää koulutusta:
Tietosuoja hankinnoissa >>
Tietosuojan vaikutustenarvioinnit osana hankintaa >>
Kirjastoon on lisätty ominaisuus, jolla tuotteita voi merkata käyttäjäkohtaisesti suosikeiksi. Tämä tapahtuu tuoterivin lopussa olevaa tähteä klikkaamalla.
Tämän jälkeen voi tuotteet järjestää yksilölliseen järjestykseen siten, että omat suosikkituotteet ovat listan yläosassa eikä niitä tarvitse etsiä muiden tuotteiden joukosta.
Miten tietoturvaloukkauksen vakavuus arvioidaan?
Milloin loukkauksesta on ilmoitettava valvontaviranomaiselle ja rekisteröidyille?
Mihin muihin toimenpiteisiin rekisterinpitäjän on ryhdyttävä?
Mm. näihin kysymyksiin saat vastauksen katsomalla tallenteen, joka on tehty 19.10.2023 tietosuoja-asiantuntija Harto Pönkän pitämästä webinaarista: https://ilonait.adobeconnect.com/p7bmqak3x4f7/
Materiaalilinkki tässä >>
Generation AI (GenAI) STN-hanke on julkaissut syksyllä 2023 oppaan Henkilötietojen käsittely alakoulussa. Kyseessä on hankkeessa työskentelevien alan johtavien tutkijoiden tekemä tiivistelmä lainsäädännöstä tällä alueella.
Sisällysluettelo
1. Lasten henkilötietojen käsittely perusopetuksessa
1.1 Rekisterinpitäjä huolehtii tietosuojaperiaatteiden toteutumisesta
1.2. Henkilötietojen käsittelyperusteena perusopetuksessa on lähtökohtaisesti laki
1.3. Suostumus käsittelyperusteena ja lapsen suostumus
2. Kolmannen tahon tarjoaman sovelluksen käyttö opetuksessa
2.1 Henkilötietojen käsittelyperuste sovellusten kohdalla
2.2 Huolellinen informointi
3. Käytännön esimerkkejä
3.1 Sähköiset opetusohjelmat ja henkilötietojen käsittelyperuste
3.2 Sovellukset opetuksessa – kuka päättää?
Opas löytyy tästä linkistä >>
Vaikutustenarvioinnin tarkoituksena on auttaa tunnistamaan, arvioimaan ja hallitsemaan henkilötietojen käsittelyyn sisältyviä riskejä tilanteissa, joissa riskit on arvioitava korkeiksi. Tässä tallennelinkki 13.10.2023 pidettyyn webinaariin, jossa tietosuoja-asiantuntija Harto Pönkä kävi lyhyesti läpi vaikutustenarvioinnin mallin ja siihen liittyviä kysymyksiä: https://ilonait.adobeconnect.com/pwr8p4zrzohm/
Materiaalilinkki tässä >>
Tässä 26.9.2023 tallennetussa webinaarissa tietosuoja-asiantuntija Harto Pönkä kertoo tietosuojaperiaatteista sekä perehdyttää riskianalyysiin, jonka avulla rekisterinpitäjä tunnistaa jo suunnitteluvaiheessa ne toimenpiteet, joihin sen on ryhdyttävä riskien hallitsemiseksi ja henkilötietojen asianmukaisen käsittelyn turvaamiseksi.
Tallenne: https://ilonait.adobeconnect.com/puwoddcwsvwg/
Tässä 21.9.2023 tallennetussa webinaarissa tietosuoja-asiantuntija Harto Pönkä käy läpi rekisterinpitäjän velvollisuuksia, jotka liittyvät verkkopalvelujen ja sovellusten käyttöön. Erityishuomio on siinä, mitä asioita tulee selvittää ja huomioida osoitusvelvollisuuden täyttämiseksi. Webinaarissa sivutaan myös henkilötietojen siirtoa EU- ja ETA-alueen ulkopuolelle.
Tallenne: https://ilonait.adobeconnect.com/pkdrvukm2ogk/
GDPR-sovelluskirjasto