- FI Suomi
Konekäännökset voivat sisältää virheitä, jotka saattavat heikentää selkeyttä ja tarkkuutta. Oikeusasiamies ei vastaa mahdollisista epäjohdonmukaisuuksista. Tietojen luotettavuus ja oikeusvarmuus varmistuvat lukemalla edellä linkitetty lähdekielinen versio (englanti).
Lisätietoja on kieli- ja käännöskäytännöissämme.
Euroopan komission GPT@EC:n käyttö EO:n toimistossa (Pilot-hanke)
Tietosuojavastaavan merkinnät - Päivämäärä Keskiviikkona | 10 joulukuuta 2025
1. Tämän tietueen viimeisin päivitys: 20/11/25
2. Viitenumero: 07/2025
Viite: Ares(2025)10889478
3. Rekisterinpitäjän nimi ja yhteystiedot
· Euroopan oikeusasiamies, 1 avenue du Président Robert Schuman, CS 30403, F-67001 Strasbourg Cedex -
Yhteydenotot: Hallinto-, prosessi- ja vahvistinosasto, asiakirjahallinto, toiminnan jatkuvuus Tiimi – yhteystiedot: https://www.ombudsman.europa.eu/en/contacts
Vastaavat yksiköt: Process & asiakirjojen hallinta, liiketoiminnan jatkuvuus Tiimi- ICT-henkilöstö ja SG
Sähköposti: icteo-personaldataprotection@ombudsman.europa.eu
4. Tietosuojavastaavan nimi ja yhteystiedot:
Francesca Pavesi-
Apulaistietosuojavastaava: Nicholas Hernanz
Toiminnallinen postilaatikko: Dpo-Euro-Ombudsman@ombudsman.europa.eu
5. Jalostajien nimi ja yhteystiedot:
- Palvelutasosopimuksen liitteiden I ja VII mukainen Euroopan komission tietotekniikan pääosasto [1].
Sähköposti: DIGIT-B1-DATA-PROTECTION@ec.europa.eu
Lisäksi rekisterinpitäjä on antanut luvan käyttää seuraavia alihankkijana toimivia henkilötietojen käsittelijöitä:
Nimi: Microsoft Azure OpenAI (Azure)
Käsittelyn kuvaus: julkisen pilvipalvelun tarjoajaa Microsoft Azure OpenAI (Azure) käytetään kutsumaan infrastruktuurissaan isännöityjä OpenAI LLM -palveluja.
6. Yhteisrekisterinpitäjän (yhteisrekisterinpitäjien) nimi ja yhteystiedot
7. Käsittelyn tarkoitus (tarkoitukset):
Lyhyt kuvaus käsittelystä:
Alla olevat tiedot liittyvät GPT@EC-pilottihankkeeseen, jonka ensisijaisena tavoitteena on perustaa alusta, johon sisältyy täysin toimiva yleiskäyttöinen keskustelujärjestelmä. Alusta on suunniteltu varmistamaan asianmukainen pääsynvalvonta EU Loginin kautta, ja se perustuu turvalliseen infrastruktuuriin, jotta kaikki käsitellyt tiedot pysyvät Euroopan komission valvonnassa.
GPT@EC-pilottihankkeen ensisijaisena tavoitteena on kehittää beetaversio, joka yhdistää täysin toimivan yleiskäyttöisen generatiivisen tekoälyratkaisun. Tämä GPT@EC:n pilottiversio tukee sellaisten suurten kielimallien käyttöä, joita isännöivät joko paikalliset tai julkiset pilvipalvelujen tarjoajat.
Käsittelyn tarkoitukset ovat seuraavat:
- 1. Luvan antaminen käyttäjien turvalliseen pääsyyn järjestelmään rekisteröinnillä ja EU Login -tunnuksilla.
- 2. Mahdollistetaan se, että todennetut käyttäjät voivat käyttää LLM:iä yrityskäytössä syötteidensä avulla (tekstikehotteet ja lisätyn sukupolven hakutyökalujen (RAG) käyttö liitetiedostoissa, kuten PDF-tiedostoissa) ja LLM:ien tuottamien vastausten (tuotos) käyttö käyttäjien syötteiden perusteella.
- 3. Varmistetaan tietojen kirjaaminen ja seuranta kyberturvallisuustarkoituksia varten.
- 4. Kirjaamisen ja seurannan varmistaminen laskutusta varten, jotta voidaan seurata yksittäisten käyttäjien ja käyttäjäryhmien palvelunkulutusta ristiinlatauksen mahdollistamiseksi.
- 5. Väärinkäytösten seurantakomponentin perustaminen GPT@EC:n väärinkäytön tai epäasianmukaisen käytön havaitsemiseksi ja lieventämiseksi. Komponentti valvoo sekä sisään- että ulosvirtausvirtoja LLM: iin.
- 6. Kehotekirjaston käsitteleminen suosikkikehotteiden hallitsemiseksi ja käyttämiseksi sekä yrityksen kehotemallien käyttämiseksi.
Henkilötietoja ei käytetä automaattiseen päätöksentekoon, kuten profilointiin.
Henkilötietoja voidaan käsitellä osana kehotteita, ja ne voivat näkyä myös tuotoksissa. Vaikka työkalua ei ole tarkoitettu henkilötietojen käsittelyyn, tällaisia tietoja voidaan satunnaisesti käsitellä jäljempänä kuvattujen käyttötarkoitusten yhteydessä.
GPT@EC:n käyttöönoton tarkoituksena on parantaa oikeusasiamiehen toimiston tutkimusten, hallintoon liittyvien tehtävien ja viestintään liittyvien tehtävien käsittelyn laatua ja tehokkuutta GPT@EC:n ansiosta. Hanke hyödyttää todennäköisesti kantelijoita ja suurta yleisöä, sillä GPT@EC auttaa todennäköisesti talouden toimijaa hoitamaan tehtävänsä lyhyemmässä ajassa ja pienemmillä resursseilla sekä parantamaan edelleen tuotostensa laatua. Henkilötietojen käsittely on vain liitännäinen GPT@EC: n käyttöön nähden, koska työkalu voi joutua käyttämään käyttäjien toimittamiin asiakirjoihin tai kehotuksiin sisältyviä rajoitettuja henkilötietoja mielekkäiden tuotosten tuottamiseksi. Tällainen käsittely ei ole itsetarkoitus, vaan se on ratkaisevan tärkeää pilottihankkeen tavoitteiden saavuttamiseksi. Lisäksi oikeusasiamiehen toimiston käsittelemiä tietoja ei käytetä tekoälymallien kouluttamiseen tai parantamiseen.
GPT@EC saa luvan seuraaviin käyttötarkoituksiin talouden toimijan toimistossa:
- avustaminen talouden toimijan kirjeluonnosten, ratkaisuehdotusten, suositusten, päätösten jne. sekä hallinnollisten asiakirjojen, tietoteknisten koodien ja viestintämateriaalien laatimisessa erityisesti auttamalla varmistamaan selkeä ja yksinkertainen kieli ja looginen rakenne. Lisäksi tarjotaan koodaustukea IT- ja web-kehitysprojekteille.
- avustaminen perustietojen, kuten sovellettavien lakien, oikeuskäytännön ja kansallisella tasolla käytettävissä olevien valitusmekanismien, tutkimisessa; IT-koodin käyttö voi kuitenkin olla rajoitettua LLM:ien aiheuttamien tunnettujen epätarkkuuksien ja virheriskin vuoksi.
- Avustaminen suurten asiakirjojen tai suurten tilasto- tai rahoitustietojen kokoamisessa ja analysoinnissa.
Työkalua ei käytetä päätösten tekemiseen, suositusten antamiseen, käsiteltäväksi ottamisen arviointiin, tulosten määrittämiseen tai valitusten priorisointiin. Nämä toimet ovat edelleen yksinomaan henkilöstön jäsenten vastuulla.
Oikeusasiamiehen henkilöstö on edelleen täysin vastuussa GPT@EC:n tuella saavutetuista tuloksista. Tekoäly auttaa tietyissä tehtävissä, mutta se ei korvaa ihmisen harkintaa tai päätöksentekoa valitusten käsittelyssä ja tutkimusten suorittamisessa.
Hankkeen soveltamisalaan kuuluvat LLM-tutkinnot ovat seuraavat: LLM:t (Microsoft Azure) -pilvessä: GPT4o.
Käyttö on rajoitettu vain yrityksen sisäisiin LLM: iin. Tietoja käsitellään vain kyseisen sovelluksen muistissa, eikä käsittelijäyhteisössä ole lainkaan tietoja. Näin ollen tiedot eivät ole edellä kuvattujen tahojen saatavilla niiden henkilökohtaista käyttöä varten.
8. Rekisteröityjen ryhmien ja henkilötietoryhmien kuvaus:
Rekisteröidyt:
- GPT@EC:n käyttöön sisältyy:
• Euroopan komissio siirtää ja käsittelee talouden toimijan henkilöstön henkilötietoja - talouden toimijan henkilöstö jakaa heidän henkilötietonsa GPT@EC-palvelua käyttäessään ja lähettäessään tietoja, jotka sisältävät heidän työtovereidensa henkilötietoja (esim. hallintoon liittyvät asiakirjat),
• Euroopan komissio siirtää ja käsittelee kolmansien osapuolten henkilötietoja, jotka sisältyvät tiedusteluihin liittyviin asiakirjoihin.
Henkilötietoluokat:
Tätä käsittelyä varten talouden toimija kerää seuraavia henkilötietoryhmiä:
1. Järjestelmän käyttäjää koskevat henkilötiedot:
a) Käyttäjän rekisteröintitiedot: Henkilöllisyyttä koskevat tiedot (nimi, sukunimi, sähköpostiosoite, osasto, tehtävä yksikössä, aiheet/työskentelytapa).
b) Todentamiseen käytettävät EU Login -henkilötiedot
c) lokitiedostoihin sisältyvät henkilötiedot toiminnallista kyberturvallisuutta ja turvallisuuden valvontaa varten.
d) lokitiedostojen sisältämät henkilötiedot laskutusta varten palvelun kulutuksen seuraamiseksi.
e) Käyttäjän vuorovaikutus järjestelmien, kehotteiden ja vastausten kanssa, mukaan lukien käsittely, jonka tarkoituksena on estää järjestelmien väärinkäyttö väärinkäytön valvontatoiminnon avulla.
f) Kehotekirjaston käsitteleminen suosikkikehotteiden hallitsemiseksi ja käyttämiseksi sekä yrityksen kehotemallien käyttämiseksi.
Käyttäjiä kehotetaan nimenomaisesti pidättäytymään käyttämästä välinettä käyttäessään syötteitä, jotka sisältävät erityisiä tietoryhmiä tai rikostuomioihin ja rikkomuksiin liittyviä tietoja. Käyttäjiä kehotetaan myös arvioimaan kriittisesti tuotoksia sellaisten erityisten tietoluokkien tahattoman käytön perusteella, joita ei voitu kohtuudella ennakoida asiaankuuluvien asiakirjojen lataamisen yhteydessä. Käyttäjiä on myös ohjeistettu täyttämään lomake asianmukaisesti tapauksissa, joissa he ovat tunnistaneet tällaisia tietoja sisältäviä asiakirjoja, minkä vuoksi niitä olisi vältettävä.
2. Syötteen osana käytettäviin tietoaineistoihin liittyvät henkilötiedot: Tämä voi sisältää dokumentteihin/tietojoukkoihin sisältyviä henkilötietoja, jotka käyttäjä liittää kehotteisiinsa tarkoituksenaan kontekstualisoida kehotteet noutamisen laajennetun sukupolven (RAG) toiminnon avulla.
3. Tuotokseen liittyvät henkilötiedot. Tähän voi sisältyä LLM:n vastauksessa olevia henkilötietoja, jotka perustuvat käyttäjän syötteeseen ja/tai tapauksen mukaan ja hypoteettisesti tietoaineistoihin, joita LLM:n tarjoaja on käyttänyt LLM:n ennakkokoulutukseen.
9. Tietojen säilyttämisen ja mahdollisuuksien mukaan poistamisen määräaika:
Järjestelmällä on omat säilytysaikansa, tarkista EY:n rekisteristä lisätietoja
https://ec.europa.eu/dpo-register/detail/DPR-EC-25348.1
10. Tietojen vastaanottajat:
Pääsy käyttäjien henkilötietoihin annetaan tietojen käsittelystä vastaavalle komission henkilöstölle ja valtuutetulle henkilöstölle tiedonsaantitarpeen periaatteen mukaisesti. Tällainen henkilöstö noudattaa lakisääteisiä ja tarvittaessa muita salassapitosopimuksia.
Käyttäjien henkilötietoihin pääsevät käsiksi ainoastaan tietotekniikan pääosaston valtuutetut työntekijät, jotka osallistuvat pilottihankkeeseen.
Turvallisuushäiriöiden tutkinnan yhteydessä tietoja voitaisiin siirtää ja käsitellä edelleen DIGIT-tietoturvatoimia ja -palveluja koskevan DPR-EC-02886-tietueen jälkeen. Tietoihin tutustuminen tapahtuu tiedonsaantitarpeen periaatteen mukaisesti.
Mitä tulee kehotteisiin sisältyviin henkilötietoihin, kehotteiden sisältö salataan välittömästi. Kuten Euroopan oikeusasiamiehen suorittamaa GPT@EC:n pilottikäyttöä koskevassa tietosuojaa koskevassa vaikutustenarvioinnissa todetaan, komission toteuttamiin teknisiin ja organisatorisiin toimenpiteisiin kuuluvat salaus sovellustasolla, tiukat salausavainten hallintamenettelyt, salausavainten käytön yksityiskohtainen kirjaaminen ja käyttäjien vuorovaikutuksen säilyttäminen 90 päivän ajan.
11. Siirretäänkö henkilötietoja kolmansiin maihin ja/tai kansainvälisille järjestöille?
Microsoft Azuren ja AWS:n (tietojen käsittelijät) suorittama henkilötietojen käsittely tapahtuu niiden palvelinkeskuksissa Euroopassa. Paikallisten mallien osalta käsittelytoimet toteutetaan yhteisessä tutkimuskeskuksessa ja tietotekniikan pääosaston palvelimilla EU:ssa.
Kansainväliset siirrot voivat tapahtua vain, jos käytetään Microsoft Azureen perustuvia LLM-ohjelmia. Kuten Euroopan oikeusasiamiehen toteuttamasta GPT@EC:n pilottikäytöstä tehdyssä tietosuojaa koskevassa vaikutustenarvioinnissa todetaan, komissio on jo ottanut käyttöön riittävät suojatoimet.
12. Turvatoimien yleinen kuvaus:
Kaikki sähköisessä muodossa olevat henkilötiedot (sähköpostiviestit, asiakirjat, tietokannat, ladatut tietoerät jne.) tallennetaan Euroopan komission palvelimille. Kaikki käsittelytoimet suoritetaan viestintä- ja tietojärjestelmien turvallisuudesta Euroopan komissiossa 10 päivänä tammikuuta 2017 annetun komission päätöksen (EU, Euratom) 2017/46 mukaisesti.
Komission toimeksisaajia sitovat komission puolesta tapahtuvaa tietojen käsittelyä koskeva erityinen sopimuslauseke sekä EU:n jäsenvaltioiden yleisestä tietosuoja-asetuksesta (asetus (EU) 2016/679) johtuvat salassapitovelvoitteet.
Käyttäjien henkilötietojen suojaamiseksi komissio on ottanut käyttöön useita teknisiä ja organisatorisia toimenpiteitä. Teknisiin toimenpiteisiin kuuluvat asianmukaiset toimet, joilla puututaan verkkoturvallisuuteen, tietojen häviämisen riskiin, tietojen muuttamiseen tai luvattomaan käyttöön, ottaen huomioon käsittelyn aiheuttama riski ja käsiteltävien henkilötietojen luonne. Organisatorisiin toimenpiteisiin kuuluu pääsyn rajoittaminen henkilötietoihin ainoastaan valtuutetuille henkilöille, joilla on perusteltu tarve saada tietoja tätä käsittelytoimea varten.
13. Tiedot siitä, miten rekisteröidyt voivat käyttää oikeuttaan tutustua tietoihin ja oikaista niitä sekä tarvittaessa poistaa ne, rajoittaa niiden käyttöä ja siirtää tiedot järjestelmästä toiseen:
Rekisteröidyillä on oikeus tutustua omiin henkilötietoihinsa ja asiaankuuluviin tietoihin siitä, miten talouden toimija käyttää niitä. Heillä on myös oikeus pyytää itseään koskevien puutteellisten tai virheellisten tietojen oikaisemista. He voivat oikaista tunnistetietoja milloin tahansa menettelyn aikana. Heillä on oikeus milloin tahansa vastustaa sitä, että talouden toimija käyttää heidän tietojaan heidän erityiseen tilanteeseensa liittyvistä syistä. Heillä on tietyin edellytyksin oikeus pyytää, että talouden toimija poistaa heidän henkilötietonsa tai rajoittaa niiden käyttöä.
He voivat milloin tahansa pyytää talouden toimijalta tietoja henkilötietojensa käsittelystä käyttämällä yhteydenottolomaketta: https://www.ombudsman.europa.eu/en/contacts.
Rekisteröidyt voivat myös ottaa yhteyttä Euroopan komissioon sähköpostitse: DIGIT-B1-DATA-PROTECTION@ec.europa.eu
Talouden toimija vastaa pyyntöihin mahdollisimman pian ja viimeistään kuukauden kuluessa.
He voivat myös ottaa yhteyttä talouden toimijan tietosuojavastaavaan osoitteessa dpo-euro-ombudsman@ombudsman.europa.eu Jos haluat tehdä kantelun siitä, miten oikeusasiamies on käsitellyt heidän henkilötietojaan, voit ottaa yhteyttä Euroopan tietosuojavaltuutettuun (www.edps.europa.eu).
Tietosuojaseloste Euroopan komission GPT@EC:n käytöstä Euroopan oikeusasiamiehen toimistossa
Viite: Ares(2025)10889478
Tässä tietosuojaselosteessa selitetään käsittelyn syy, tapa, jolla Euroopan oikeusasiamies kerää, käsittelee ja varmistaa kaikkien toimitettujen henkilötietojen suojan, miten näitä tietoja käytetään ja mitä oikeuksia rekisteröidyt voivat käyttää tietoihinsa liittyen.
Rekisterinpitäjä on EO. Henkilötietojen käsittelijä on Euroopan komission tietotekniikan pääosasto, joka hallinnoi GPT@EC-tietojärjestelmää [2]. Alikäsittelijä on pilvipalvelun tarjoaja Microsoft Azure OpenAI (Azure), jota käytetään kutsumaan niiden infrastruktuurissa isännöityjä suuria kielimalleja (LLM).
1. Mitä henkilötietoja Euroopan oikeusasiamies käsittelee?
Talouden toimijan henkilöstö voi käyttää Euroopan komission tarjoamia GPT@EC-palveluja tehtäviensä hoitamiseen.
Tätä käsittelyä varten talouden toimija kerää seuraavia henkilötietoryhmiä:
- Järjestelmän käyttäjää koskevat henkilötiedot:
a) Käyttäjän rekisteröintitiedot: Henkilöllisyyttä koskevat tiedot (nimi, sukunimi, sähköpostiosoite, osasto, tehtävä yksikössä, aiheet/työskentelytapa).
b) Todentamiseen käytettävät EU Login -henkilötiedot
c) lokitiedostoihin sisältyvät henkilötiedot toiminnallista kyberturvallisuutta ja turvallisuuden valvontaa varten.
d) lokitiedostojen sisältämät henkilötiedot laskutusta varten palvelun kulutuksen seuraamiseksi.
e) Käyttäjän vuorovaikutus järjestelmien, kehotteiden ja vastausten kanssa, mukaan lukien käsittely, jonka tarkoituksena on estää järjestelmien väärinkäyttö väärinkäytön valvontatoiminnon avulla.
f) Kehotekirjaston käsitteleminen suosikkikehotteiden hallitsemiseksi ja käyttämiseksi sekä yrityksen kehotemallien käyttämiseksi.
Käyttäjiä pyydetään nimenomaisesti olemaan syöttämättä erityisiä tietoryhmiä tai rikostuomioihin ja rikkomuksiin liittyviä tietoja välinettä käyttäessään.
- Syötteen osana käytettäviin tietoaineistoihin liittyvät henkilötiedot: Tämä voi sisältää dokumentteihin/tietojoukkoihin sisältyviä henkilötietoja, jotka käyttäjä liittää kehotteisiinsa tarkoituksenaan kontekstualisoida kehotteet noutamisen laajennetun sukupolven (RAG) toiminnon avulla.
- Tuotokseen liittyvät henkilötiedot. Tähän voi sisältyä LLM:n vastauksessa olevia henkilötietoja, jotka perustuvat käyttäjän syötteeseen ja/tai tapauksen mukaan ja hypoteettisesti tietoaineistoihin, joita LLM:n tarjoaja on käyttänyt LLM:n ennakkokoulutukseen.
2. Miksi Euroopan oikeusasiamies käsittelee näitä henkilötietoja?
GPT@EC-pilottihankkeen tarkoituksena on kehittää beetaversio, joka yhdistää täysin toimivan yleiskäyttöisen generatiivisen tekoälyratkaisun. Tämä GPT@EC:n pilottiversio tukee sellaisten suurten kielimallien käyttöä, joita isännöivät joko paikalliset tai julkiset pilvipalvelujen tarjoajat.
Käsittelyn tarkoitukset ovat seuraavat:
- 1. Luvan antaminen käyttäjien turvalliseen pääsyyn järjestelmään rekisteröinnillä ja EU Login -tunnuksilla.
- 2. Mahdollistetaan se, että todennetut käyttäjät voivat käyttää LLM:iä yrityskäytössä syötteidensä avulla (tekstikehotteet ja lisätyn sukupolven hakutyökalujen (RAG) käyttö liitetiedostoissa, kuten PDF-tiedostoissa) ja LLM:ien tuottamien vastausten (tuotos) käyttö käyttäjien syötteiden perusteella.
- 3. Varmistetaan tietojen kirjaaminen ja seuranta kyberturvallisuustarkoituksia varten.
- 4. Kirjaamisen ja seurannan varmistaminen laskutusta varten, jotta voidaan seurata yksittäisten käyttäjien ja käyttäjäryhmien palvelunkulutusta ristiinlatauksen mahdollistamiseksi.
- 5. Väärinkäytösten seurantakomponentin perustaminen GPT@EC:n väärinkäytön tai epäasianmukaisen käytön havaitsemiseksi ja lieventämiseksi. Komponentti valvoo sekä sisään- että ulosvirtausvirtoja LLM: iin.
- 6. Kehotekirjaston käsitteleminen suosikkikehotteiden hallitsemiseksi ja käyttämiseksi sekä yrityksen kehotemallien käyttämiseksi.
Henkilötietoja ei käytetä automaattiseen päätöksentekoon, kuten profilointiin.
Henkilötietoja voidaan käsitellä osana kehotteita, ja ne voivat näkyä myös tuotoksissa. Vaikka työkalua ei ole tarkoitettu henkilötietojen käsittelyyn, tällaisia tietoja voidaan satunnaisesti käsitellä jäljempänä kuvattujen käyttötarkoitusten yhteydessä. GPT@EC:n käyttöönoton tarkoituksena on parantaa EO:n tutkimusten, hallintoon liittyvien tehtävien ja viestintään liittyvien tehtävien käsittelyn laatua ja tehokkuutta GPT@EC:n ansiosta. Hanke hyödyttää todennäköisesti kantelijoita ja suurta yleisöä, sillä GPT@EC auttaa todennäköisesti talouden toimijaa hoitamaan tehtävänsä lyhyemmässä ajassa ja pienemmillä resursseilla sekä parantamaan edelleen tuotostensa laatua. Henkilötietojen käsittely on vain liitännäinen GPT@EC: n käyttöön nähden, koska työkalu voi joutua käyttämään käyttäjien toimittamiin asiakirjoihin tai kehotuksiin sisältyviä rajoitettuja henkilötietoja mielekkäiden tuotosten tuottamiseksi. Tällainen käsittely ei ole itsetarkoitus, vaan se on ratkaisevan tärkeää pilottihankkeen tavoitteiden saavuttamiseksi. Lisäksi oikeusasiamiehen toimiston käsittelemiä tietoja ei käytetä tekoälymallien kouluttamiseen tai parantamiseen.
GPT@EC saa luvan seuraaviin käyttötarkoituksiin talouden toimijan toimistossa:
• Avustaminen talouden toimijan kirjeluonnosten, ratkaisuehdotusten, suositusten, päätösten jne. sekä hallinnollisten asiakirjojen, tietoteknisten koodien ja viestintämateriaalien laatimisessa erityisesti auttamalla varmistamaan selkeä ja yksinkertainen kieli ja looginen rakenne. Lisäksi tarjotaan koodaustukea IT- ja web-kehitysprojekteille.
• avustaminen perustietojen, kuten sovellettavien lakien, oikeuskäytännön ja kansallisella tasolla käytettävissä olevien valitusmekanismien, tutkimisessa; IT-koodin käyttö voi kuitenkin olla rajoitettua LLM:ien aiheuttamien tunnettujen epätarkkuuksien ja virheriskin vuoksi.
• Avustaminen suurten asiakirjojen tai suurten tilasto- tai rahoitustietojen kokoamisessa ja analysoinnissa.
Työkalua ei käytetä päätösten tekemiseen, suositusten antamiseen, käsiteltäväksi ottamisen arviointiin, tulosten määrittämiseen tai valitusten priorisointiin. Nämä toimet ovat edelleen yksinomaan henkilöstön jäsenten vastuulla.
Oikeusasiamiehen henkilöstö on edelleen täysin vastuussa GPT@EC:n tuella saavutetuista tuloksista. Tekoäly auttaa tietyissä tehtävissä, mutta se ei korvaa ihmisen harkintaa tai päätöksentekoa valitusten käsittelyssä ja tutkimusten suorittamisessa.
Hankkeen soveltamisalaan kuuluvat LLM-tutkinnot ovat seuraavat: LLM:t (Microsoft Azure) -pilvessä: GPT4o.
Ratkaisu tarjoaa asianmukaisen pääsynvalvonnan EU Loginin kautta ja luottaa turvalliseen infrastruktuuriin sen varmistamiseksi, että kaikki käsitellyt tiedot pysyvät komission valvonnassa.
Käyttö on rajoitettu vain yrityksen sisäisiin LLM: iin. Tietoja käsitellään vain kyseisen sovelluksen muistissa, eikä käsittelijäyhteisössä ole lainkaan tietoja. Näin ollen tiedot eivät ole edellä kuvattujen tahojen saatavilla niiden henkilökohtaista käyttöä varten.
3. Mitkä ovat näiden tietojen käsittelyn oikeusperustat ja tarpeellisuus?
Käsittelemme henkilötietojasi asetuksen 2018/1725 5 artiklan 1 kohdan a alakohdan perusteella (”käsittely on tarpeen yleistä etua koskevan tehtävän suorittamiseksi tai unionin toimielimelle tai elimelle kuuluvan julkisen vallan käyttämiseksi”).
Oikeusperustat ovat seuraavat:
- Euroopan oikeusasiamiehen ohjesääntö [3]
- talouden toimijan 21. heinäkuuta 2025 hyväksymä tieto- ja viestintätekniikan turvallisuuspolitiikka.
- Euroopan oikeusasiamiehen ja Euroopan komission digitaalisten palvelujen pääosaston (DG DIGIT) välillä 29. lokakuuta allekirjoitettu tasosopimus (SLA) DIGIT-061-00, viite [SLA DIGIT-061-04], erityisesti lisäyksen 08 tietojenkäsittelysopimus.
4. Kuka on vastuussa tietojen käsittelystä?
Oikeusasiamiehen hallinto- ja prosessiosasto, asiakirjahallinto, toiminnan jatkuvuutta käsittelevä ryhmä ja pääsihteeristön henkilöstön jäsen.
5. Ketkä ovat tietojen vastaanottajia?
Pääsy henkilötietoihin annetaan tietojen käsittelystä vastaavalle komission henkilöstölle ja valtuutetulle henkilöstölle tiedonsaantitarpeen periaatteen mukaisesti. Tällainen henkilöstö noudattaa lakisääteisiä ja tarvittaessa muita salassapitosopimuksia.
Henkilötietoihin pääsevät käsiksi ainoastaan komission tietotekniikan pääosaston valtuutetut työntekijät, jotka osallistuvat pilottihankkeeseen.
Turvallisuushäiriöiden tutkinnan yhteydessä tietoja voitaisiin siirtää ja käsitellä edelleen DIGIT-tietoturvatoimia ja -palveluja koskevan DPR-EC-02886-tietueen jälkeen. Tietoihin tutustuminen tapahtuu tiedonsaantitarpeen periaatteen mukaisesti.
6. Kuinka kauan tietoja säilytetään?
Järjestelmällä on omat säilytysaikansa [4].
7. Miten suojaamme tietosi?
Kaikki sähköisessä muodossa olevat henkilötiedot (sähköpostiviestit, asiakirjat, tietokannat, ladatut tietoerät jne.) tallennetaan Euroopan komission palvelimille. Kaikki käsittelytoimet suoritetaan viestintä- ja tietojärjestelmien turvallisuudesta Euroopan komissiossa 10 päivänä tammikuuta 2017 annetun komission päätöksen (EU, Euratom) 2017/46 mukaisesti.
EY:n toimeksisaajia sitovat erityinen sopimuslauseke, joka koskee tietojen käsittelyä EY:n puolesta, sekä EU:n jäsenvaltioiden yleisestä tietosuoja-asetuksesta (asetus (EU) 2016/679) johtuvat salassapitovelvoitteet.
Euroopan komissio on ottanut käyttöön useita teknisiä ja organisatorisia toimenpiteitä henkilötietojesi suojaamiseksi. Teknisiin toimenpiteisiin kuuluvat asianmukaiset toimet, joilla puututaan verkkoturvallisuuteen, tietojen häviämisen riskiin, tietojen muuttamiseen tai luvattomaan käyttöön, ottaen huomioon käsittelyn aiheuttama riski ja käsiteltävien henkilötietojen luonne. Organisatorisiin toimenpiteisiin kuuluu pääsyn rajoittaminen henkilötietoihin ainoastaan valtuutetuille henkilöille, joilla on perusteltu tarve saada tietoja tätä käsittelytoimea varten.
Mitä tulee kehotteisiin sisältyviin henkilötietoihin, kehotteiden sisältö salataan välittömästi. Kuten Euroopan oikeusasiamiehen suorittamaa GPT@EC:n pilottikäyttöä koskevassa tietosuojaa koskevassa vaikutustenarvioinnissa todetaan, komission toteuttamiin teknisiin ja organisatorisiin toimenpiteisiin kuuluvat salaus sovellustasolla, tiukat salausavainten hallintamenettelyt, salausavainten käytön yksityiskohtainen kirjaaminen ja käyttäjien vuorovaikutuksen säilyttäminen 90 päivän ajan.
8. Mitkä ovat oikeutesi ja miten voit käyttää niitä?
Sinulla on oikeus tutustua omiin henkilötietoihisi ja asiaankuuluviin tietoihin siitä, miten talouden toimija käyttää niitä.
Sinulla on myös oikeus pyytää sinua koskevien puutteellisten tai virheellisten tietojen oikaisemista. Voit korjata tunnistetietoja milloin tahansa. Sinulla on oikeus milloin tahansa henkilökohtaiseen erityiseen tilanteeseesi liittyvällä perusteella vastustaa tietojesi käyttöä EO:ssa. Sinulla on tietyin edellytyksin oikeus pyytää, että rekisterinpitäjä poistaa henkilötietosi tai rajoittaa niiden käyttöä.
Talouden toimija vastaa pyyntöihisi mahdollisimman pian ja viimeistään kuukauden kuluessa.
9. Keneen voi ottaa yhteyttä tietosuojakysymyksiin liittyvissä tiedusteluissa tai valituksissa?
Euroopan komissio voi milloin tahansa lähettää tietosuojaan liittyviä kysymyksiä GPT@EC:n käytöstä EO:n toimistoon seuraavaan osoitteeseen:
Euroopan oikeusasiamies
1 avenue du Président Robert Schuman
CS 30403
F-67001 Strasbourg Cedex
https://www.ombudsman.europa.eu/en/contacts
Voit myös ottaa yhteyttä Euroopan komissioon seuraavaan sähköpostiosoitteeseen: DIGIT-B1-DATA-PROTECTION@ec.europa.eu
Voit myös ottaa yhteyttä talouden toimijan toimiston tietosuojavastaavaan seuraavaan osoitteeseen: DPO-Euro-Ombudsman@ombudsman.europa.eu
Voit tehdä kantelun Euroopan tietosuojavaltuutetulle milloin tahansa seuraavaan osoitteeseen: www.edps.europa.eu
[1] Ks. EO:n ja EY:n välillä 29/10/2025 allekirjoitettu palvelutasosopimus GPT@EC:n käytöstä.
[2] Ks. EO:n ja EY:n välillä 29/10/2025 allekirjoitettu palvelutasosopimus GPT@EC:n käytöstä.
[3] Euroopan parlamentin asetus (EU, Euratom) 2021/1163, annettu 24 päivänä kesäkuuta 2021, oikeusasiamiehen ohjesäännöstä ja hänen tehtäviensä hoitamista koskevista yleisistä ehdoista (Euroopan oikeusasiamiehen ohjesääntö) ja päätöksen 94/262/EHTY, EY, Euratom kumoamisesta: https://www.ombudsman.europa.eu/en/legal-basis/statute/en
[4] Lisätietoja on Euroopan komission GPT@EC-rekisterissä osoitteessa https://ec.europa.eu/dpo-register/detail/DPR-EC-25348.1