MetaPress on SaaS-alusta (Software as a Service), joka muuntaa journalistista sisältöä vuorovaikutteisiksi kokemuksiksi tekoälyn avulla. Palvelumme on suunnattu mediayhtiöille, kustantajille ja muille organisaatioille, jotka haluavat lisätä yleisönsä sitoutumista.
Olemme arvioineet oikeutettua etuamme kuvien semanttiseen analyysiin ja dokumentoineet seuraavat seikat:
*Tarkoitus:* Journalistisen sisällön muuntaminen interaktiiviseksi opetussisällöksi medialukutaidon ja yleisösitoutumisen parantamiseksi.
*Välttämättömyys:* Kuvien semanttinen analyysi on välttämätön relevanttien pelimekaniikoiden ja kysymysten luomiseksi artikkeliin perustuen.
*Vaikutus henkilöihin:* Minimaalinen. Analysoimme vain kuvan sisällön (kohtaukset, objektit, ympäristö). Emme yritä tunnistaa tai yksilöidä henkilöitä. Kuvat ovat julkaistua tai julkaistavaa journalistista materiaalia.
*Suojatoimet:* Ei biometrista tunnistamista, vain semanttinen analyysi, lyhyt säilytysaika (30 päivää OpenAI, Zero-Data-Retention saatavilla), käyttöehdot kieltävät tunnistamisen, asiakkailla mahdollisuus poistaa sisältö milloin tahansa.
*Tasapaino:* Oikeutettu etu (journalistisen sisällön innovatiivinen käyttö, medialukutaito) on suurempi kuin minimaalinen vaikutus henkilöihin, kun käsittely rajoittuu semanttiseen analyysiin ilman tunnistamista.
**Journalistinen toiminta:**
Jos asiakas käsittelee sisältöä journalistisiin tarkoituksiin, kansalliset GDPR 85 artiklan poikkeukset voivat mukauttaa tiettyjä velvoitteita yhteensovittamiseksi sananvapauden kanssa.
### 3.3 Lakisääteinen velvoite (GDPR 6(1)(c))
- Kirjanpito
- Verotus
- Viranomaismääräysten noudattaminen
---
## 4. KERÄTTÄVÄT HENKILÖTIEDOT
### 4.1 Asiakkaidemme tiedot
Keräämme ja käsittelemme seuraavia tietoja asiakkaistamme:
**Perustiedot:**
- Nimi
- Sähköpostiosoite
- Yrityksen nimi
**Tekniset tiedot:**
- IP-osoite
- Selaintiedot
- Kirjautumisajankohdat
**Asiakkaan luoma sisältö:**
- Palveluun ladatut artikkelit ja tekstisisällöt
- Artikkelikuvat
- Luodut vuorovaikutteiset pelit ja kokemukset
- Palveluasetukset
### 4.1.1 Kuvien käsittely
**Artikkelikuvat:**
Muunnamme asiakkaan toimittamat uutisartikkelit ja niihin liittyvät kuvat vuorovaikutteiseksi opetussisällöksi. Kuvat analysoidaan tuottamaan yleisiä sisältö- ja kontekstikuvauksia (esim. "henkilö puhuu korokkeella").
**Mitä analysoimme:**
- Kuvan sisältö ja aihe (semanttinen analyysi)
- Kohtaukset, objektit ja ympäristö
- Visuaaliset elementit pelimekaniikoita varten
- Kontekstuaalinen ymmärrys artikkeliin liittyen
**Tärkeää - Ei biometrista tunnistamista:**
**Henkilöiden esiintyminen kuvissa:**
Kuvissa voi esiintyä tunnistettavia henkilöitä (esim. poliitikot, julkisuuden henkilöt journalistisissa kuvissa). Nämä ovat henkilötietoja GDPR:n mukaan.
KUITENKIN: MetaPress ei KÄYTÄ kuvia henkilöiden tunnistamiseen tai biometriseen analysointiin. Analysoimme vain kuvan SISÄLLÖN (kohtaus, objektit, konteksti) - emme yksilöi henkilöitä.
Esimerkki:
- Kuva: Presidentti pitää puhetta
- Analyysi: "henkilö puhuu korokkeella mikrofoniin, virallinen tilaisuus"
- EI: "Henkilö X, kasvonpiirteet Y, tunneanalyysi Z"
**GDPR-luokittelu:**
Kuvat, joissa esiintyy tunnistettavia henkilöitä, ovat henkilötietoja (GDPR 6 artikla). Emme kuitenkaan käsittele biometrisia tietoja henkilön yksilöimiseksi, joten GDPR 9 artikla ei sovellu. Käsittely perustuu semanttiseen analyysiin, ei tunnistamiseen.
Kuvasta tulee GDPR 9 artiklan mukainen "biometrinen tieto" vain, kun sitä käsitellään henkilön yksilöimiseksi. Meidän käyttötapaus (kohtaus/objektien kuvaus) ei tavoittele yksilöimistä, joten Artikla 9 ei aktivoidu.
**Kuinka kuvat käsitellään:**
- Kuvat lähetetään OpenAI Vision API:lle semanttista kuvausta varten
- API tuottaa tekstimuotoisen kuvauksen kuvan sisällöstä
- API ei tuota kasvomalleja, biometrisiä tunnisteita tai tunnistamisvektoreita
- OpenAI:n käytännöt kieltävät nimenomaisesti biometrisen tunnistamisen ja kasvojen tunnistuksen
- API-syötteet/tulosteet säilytetään enintään 30 päivää väärinkäytön havaitsemista ja palvelun tarjoamista varten
- Zero-Data-Retention (ZDR) saatavilla hyväksytyille päätepistille
- EU:n datan tallennuspaikka saatavilla
- Kuvat säilytetään MetaPress-alustalla asiakkaan määrittämän ajan
**Asiakkaan vastuu:**
- Asiakas vastaa siitä, että heillä on oikeus julkaista ja käsitellä kuvia
- Asiakas toimii rekisterinpitäjänä, MetaPress käsittelijänä (GDPR 28 artikla)
- Käsittely tapahtuu journalistisen/opetuksellisen sisällöntuotannon tarkoituksessa
**Kielletyt käyttötarkoitukset:**
Kiellämme kaikki yritykset tunnistaa henkilöitä kuvista sekä kaikenlaisen biometrisen tunnistamisen käytön, OpenAI:n käyttöehtojen mukaisesti. Käsittely on rajoitettu semanttiseen analyysiin ja kuvaukseen.
### 4.2 Loppukäyttäjien (lukijoiden) tiedot
**MetaPressin embedatut pelit eivät kerää, tallenna tai käsittele henkilötietoja loppukäyttäjistä.**
Embedatut pelit:
- Eivät käytä evästeitä
- Eivät tallenna IP-osoitteita
- Eivät seuraa käyttäjien toimintaa
- Eivät kerää analytiikkatietoja
- Toimivat täysin anonyymisti
**Huomio:** Asiakkaan verkkosivusto saattaa kerätä tietoja omilla työkaluillaan (esim. Google Analytics). Tämä tiedonkeruu tapahtuu asiakkaan vastuulla.
---
### 4.2.1 Tietosuojaetu kilpailijoihin nähden
**MetaPress on poikkeuksellinen siinä, että:**
✅ **Nolla henkilötietojen kerääminen lukijoilta**
- Embedatut pelit toimivat täysin anonyymisti
- Ei evästeitä, ei seurantaa, ei analytiikkaa
- Lukija voi pelata ilman mitään tunnistautumista
✅ **Ei tarvetta suostumusilmoituksille**
- Koska emme kerää henkilötietoja, embedatut pelit eivät vaadi cookie-bannereita
- Asiakkaan verkkosivuston omat työkalut (esim. Google Analytics) saattavat vaatia suostumuksia
✅ **Ei biometrista tunnistamista**
- Kuvien analysointi tuottaa vain semanttisia kuvauksia
- Ei kasvomalleja, ei tunnistamista, ei biometrisiä tunnisteita
- GDPR Artikla 9 ei sovellu
✅ **Journalistisesta sisällöstä peleihin ilman lukijadataa**
- Prosessoimme vain asiakkaan toimittamaa sisältöä
- Emme yhdistä sisältöä yksittäisiin lukijoihin
- Emme luo lukijaprofiileja tai seuraa käyttäytymistä
- Syötettyä dataa ei tallenneta tekoälymallin palvelimille pysyvästi
- Data prosessoidaan muistissa ja hävitetään vastauksen luomisen jälkeen (soveltuvin osin)
**Tämä tekee MetaPressistä tietosuojakeskeisen valinnan mediayhtiöille.**
---
### 4.3 Asiakkaan vastuu sisällöstä
Asiakas on vastuussa siitä, että MetaPress-alustalle ladattu sisältö noudattaa tietosuojalainsäädäntöä.
**Journalistinen sisältö:**
Julkinen tai julkaistavaksi tarkoitettu journalistinen materiaali kuuluu sananvapauden piiriin. Asiakas vastaa siitä, että heillä on oikeus julkaista ja käsitellä sisällössä esiintyviä henkilötietoja.
**Roolit GDPR:n mukaan:**
- Asiakas toimii rekisterinpitäjänä (data controller) artikkeleiden sisällölle
- MetaPress toimii tietojen käsittelijänä (data processor) - GDPR 28 artikla
- MetaPress ei tee itsenäisiä päätöksiä sisällön käsittelystä
**Käytännössä tämä tarkoittaa:**
- Asiakkaalla tulee olla julkaisuoikeus sisältöön
- Asiakas vastaa mahdollisista henkilötietojen käsittelyyn liittyvistä velvoitteista
- MetaPress käsittelee sisältöä vain asiakkaan ohjeiden mukaisesti
- Käsittelyohjeet määritellään asiakkaan kanssa tehtävässä DPA:ssa (Data Processing Agreement)
**Asiakkaan vastuut sisällön laillisuudesta:**
Asiakas vakuuttaa, että:
1. Heillä on julkaisuoikeus kaikkeen MetaPress-alustalle ladattuun sisältöön
2. Kuvissa esiintyvät henkilöt ovat:
- Julkisuuden henkilöitä julkisissa tilanteissa, TAI
- Suostuneet julkaisuun, TAI
- Kuvien käyttö perustuu lakiin (esim. journalistinen poikkeus)
3. Sisältö ei riko kolmansien osapuolten oikeuksia
MetaPress pidättää oikeuden:
- Evätä sisällön käsittelyn, jos se ilmeisesti rikkoo lakeja
- Poistaa sisällön asiakkaan pyynnöstä tai viranomaismääräyksestä
- Keskeyttää palvelun, jos asiakas toistuvasti rikkoo ehtoja
Asiakkaan on korvattava MetaPressissä vahingot, jotka aiheutuvat asiakkaan laittomasta sisällöstä.
- **Huom:** Asynkroninen `background=True` -käsittely toimii vain US-alueella eikä EU-endpointissa.
- OpenAI OpCo, LLC on sertifioitu EU-U.S. Data Privacy Framework (DPF) -järjestelyn puitteissa. Tämä takaa, että henkilötietojen siirto Yhdysvaltoihin tapahtuu Euroopan komission riittävyyspäätöksen mukaisesti. Lisäksi varmuustoimenpiteenä sovellamme Standard Contractual Clauses (SCC) -ehtoja.
- OpenAI toimii henkilötietojen käsittelijänä (processor) Platonic Partnership Oy:n lukuun (controller).
- DPA (Data Processing Agreement) voimassa; data ei käytetä mallien koulutukseen; säilytysaika enintään 30 päivää.
> *MetaPress käyttää OpenAI:n Yhdysvalloissa sijaitsevaa API-päätepistettä (`api.openai.com`), jonka kautta myös `background`-parametrilla toteutettu asynkroninen käsittely suoritetaan. Kaikki siirrot on suojattu DPF-sertifioinnilla tai EU:n hyväksymillä Standard Contractual Clauses (SCC) -ehdoilla.* ---
### 6.2 Tietojen siirto EU:n ulkopuolelle
OpenAI käsittelee tietoja Yhdysvalloissa (USA).
Tietojen siirto perustuu ensisijaisesti **EU-U.S. Data Privacy Framework -järjestelyyn (DPF)**. Mikäli DPF-suoja ei sovellu tiettyyn käsittelytilanteeseen, siirto turvataan Standard Contractual Clauses (SCC) -mekanismilla.
**Siirron oikeusperuste:** - EU-U.S. Data Privacy Framework (DPF)
- EU **Standard Contractual Clauses (SCC)** – Komission päätös (EU) 2021/914
- OpenAI:n Data Processing Agreement (DPA)
- GDPR Artiklat 46 ja 47
**Transfer Impact Assessment (TIA) yhteenveto:**
Arviointi tehty 1.11.2025. Tärkeimmät havainnot:
- Käsiteltävä data: Julkinen journalistinen sisältö (ei-arkaluontoista)
- US FISA 702 -riski: Matala (ei henkilökohtaisia viestejä tai profilointia)
> *DPF-sertifioinnin ja SCC-sopimusten yhdistelmä varmistaa, että henkilötietojen käsittely on lainmukaista ja turvallista myös Yhdysvalloissa.*
---
### 6.4 Tietojen siirto Yhdysvaltoihin: Oikeusperusteet ja suojatoimet
- OpenAI toimii Platonic Partnership Oy:n alihankkijana (processor) ja käsittelee dataa Data Processing Agreementin (DPA) mukaisesti.
- DPA perustuu EU **Standard Contractual Clauses (SCC)** -ehtoihin (päätös 2021/914) ja DPF-kehykseen.
- Business/API-dataa ei käytetä mallien kouluttamiseen.
- API-syötteet ja -tulosteet säilytetään enintään 30 päivää tai poistetaan välittömästi ZDR-tilassa.
- **Tietyt toiminnot, kuten `background`-parametrilla toteutettu asynkroninen käsittely, toimivat vain Yhdysvaltain palvelimilla.** Tämä käsittely on rajattu julkiseen ja ei-arkaluontoiseen dataan ja toteutetaan OpenAI:n tietosuojasitoumusten mukaisesti.
- Data salataan siirrossa (TLS 1.2+) ja levossa (AES-256).
- OpenAI:n käyttöehdot kieltävät biometrisen tunnistamisen ja henkilötietojen profiloinnin.
OpenAI:n asynkroninen käsittely (background=True) on teknisesti saatavilla vain Yhdysvaltojen palvelimilla. Tätä käytetään tekoälyn nopeaan analyysiin artikkelien muuntamiseksi peleiksi.
- Mitä dataa käsitellään: Artikkelitekstit ja kuvat
- Käsittelyaika: <60 sekuntia
- Säilytys: Max 30 päivää (tai välitön poisto ZDR-tilassa)
- Sisällön luonne: Julkista tai julkaistavaa journalistista sisältöä
### 6.5 Lainsäädännöllinen jatkuvuus ja varautuminen
Seuraamme aktiivisesti EU:n ja Yhdysvaltojen välistä tietosuojakäytäntöä. Mikäli tiedonsiirtomekanismeissa tapahtuu muutoksia, MetaPressillä on valmius siirtää prosessointi EU-pohjaiseen infrastruktuuriin (esim. EU-alueen tekoälymallit) 30 päivän sisällä.
---
## 7. HENKILÖTIETOJEN SÄILYTYSAJAT
### 7.1 Asiakastiedot
**Aktiiviset asiakkaat:**
- Tiedot säilytetään niin kauan kuin asiakassopimus on voimassa
**Sopimuksen päättymisen jälkeen:**
- Asiakastiedot poistetaan 30 päivän kuluessa sopimuksen päättymisestä
- Poikkeus: Kirjanpitolain mukaiset tiedot (laskut) säilytetään 6 vuotta
**Artikkelisisältö ja luodut pelit:**
- Säilytetään niin kauan kuin asiakas haluaa
- Asiakas voi poistaa sisällön palvelun kautta milloin tahansa
**Pilottiasiakkaat:**
- Jos pilotti ei jatku sopimukseksi, data poistetaan 30 päivän kuluessa
- Muistutamme tästä 14 päivää ennen poistoa
- Suosittelemme lataamaan kopiot tärkeästä sisällöstä ennen pilotin päättymistä
### 7.2 Varmuuskopiot
- Varmuuskopiot otetaan päivittäin
- Säilytysaika: 7 päivää
- Vanhat varmuuskopiot poistetaan automaattisesti
**Poistopyynnön käsittely:**
- Poistetaan data tuotannosta välittömästi (24 tunnin kuluessa)
- Data poistuu varmuuskopioista automaattisesti 7 päivän rotation-syklin kuluessa
- Vahvistamme poiston kirjallisesti 30 päivän kuluessa pyynnöstä
### 7.3 OpenAI:n säilytysajat
- API-syötteet ja -tulosteet: enintään 30 päivää
- Zero-Data-Retention (ZDR): data poistetaan välittömästi käsittelyn jälkeen (saatavilla hyväksytyille päätepistille)
- Data ei säily OpenAI:n järjestelmissä pysyvästi
- Dataa ei käytetä mallien kouluttamiseen
---
## 8. REKISTERÖIDYN OIKEUDET
Sinulla on seuraavat oikeudet henkilötietoihisi:
### 8.1 Oikeus saada pääsy tietoihin (GDPR 15)
Voit pyytää kopion kaikista sinusta tallentamistamme tiedoista.
### 8.2 Oikeus oikaista tiedot (GDPR 16)
Voit pyytää virheellisten tietojen korjaamista.
### 8.3 Oikeus poistaa tiedot (GDPR 17)
Voit pyytää kaikkien tietojesi poistamista.
**Poikkeukset:** Emme voi poistaa tietoja, jos niiden säilyttäminen on lakisääteistä (esim. kirjanpito).
### 8.4 Oikeus rajoittaa käsittelyä (GDPR 18)
Voit pyytää tietojesi käsittelyn rajoittamista tietyissä tilanteissa.
### 8.5 Oikeus siirtää tiedot (GDPR 20)
Voit pyytää tietosi koneluettavassa muodossa siirtääksesi ne toiselle palveluntarjoajalle.
**Toimitamme seuraavat tiedot:**
- Asiakastiedot (JSON tai CSV)
- Artikkelisisällöt ja pelit (JSON tai soveltuva formaatti)
**Toimitusaika:** 30 päivää pyynnöstä.
### 8.6 Oikeus vastustaa käsittelyä (GDPR 21)
Voit vastustaa tietojesi käsittelyä, jos käsittely perustuu oikeutettuun etuun.
### 8.7 Oikeus tehdä valitus (GDPR 77)
Voit tehdä valituksen Tietosuojavaltuutetulle, jos katsot että käsittelemme tietojasi lainvastaisesti.
### 8.8 Lakisääteiset rajoitukset ja viranomaismääräykset
Vaikka MetaPress poistaa tiedot pyynnöstä välittömästi, palveluntarjoajamme (kuten OpenAI) saattavat olla velvoitettuja säilyttämään rajattuja lokitietoja pakottavan lainsäädännön perusteella lyhyen määräajan. MetaPress sitoutuu minimoimaan tällaiset tilanteet käyttämällä Zero Data Retention (ZDR) -käytäntöjä aina kun teknisesti mahdollista.
**MetaPressin toimenpiteet:**
- Pyrimme poistamaan datan MetaPressin järjestelmistä välittömästi
- Dokumentoimme kaikki poistopyynnöt ja niiden käsittelyn
- Ilmoitamme asiakkaille, jos poisto ei ole mahdollista oikeudellisista syistä
- Voimassaolo: Poistetaan selaimen sulkemisen yhteydessä
- Oikeusperuste: Välttämätön palvelun toiminnalle
**Emme käytä:**
- Analytiikkaevästeitä
- Mainontaevästeitä
- Kolmannen osapuolen seurantaevästeitä
### 11.2 Embedatut pelit
**Embedatut pelit eivät käytä mitään evästeitä.**
Lukijat voivat pelata täysin anonyymisti ilman seurantaa.
**Huomio:** Asiakkaan verkkosivusto saattaa kerätä tietoja omilla työkaluillaan (esim. Google Analytics). Tämä tiedonkeruu tapahtuu asiakkaan vastuulla.
---
## 12. LASTEN TIETOSUOJA
Palvelumme on suunnattu yrityksille (B2B), ei suoraan lapsille.
Jos asiakas käyttää MetaPressiä lapsille suunnatun sisällön tuottamiseen, asiakkaan vastuulla on varmistaa lasten tietosuojaa koskevien säännösten noudattaminen.
**Huomio:** Koska embedatut pelimme eivät kerää tietoja pelaajista, ne eivät käsittele lasten henkilötietoja.
---
## 13. PILOTTIASIAKKAAT
Jos olet pilottiasiakkaamme:
**Pilotin aikana:**
- Kaikki tietosuojaoikeutesi ovat voimassa
- Data käsitellään samoin suojatoimenpitein kuin vakituisilla asiakkailla
- Suosittelemme käyttämään testimateriaalia
**Pilotin päättyessä:**
- Jos pilotti ei jatku sopimukseksi, data poistetaan 30 päivän kuluessa
- Muistutamme tästä 14 päivää ennen poistoa
- Varmista että olet ladannut tarvitsemasi sisällön ennen poistoa
**Palaute ja kehitystyö:**
- Saatamme pyytää palautetta käyttökokemuksesta
- Voit aina kieltäytyä palautteen antamisesta
**Referenssikäyttö:**
- Pyydämme aina erillisen luvan ennen referenssin käyttöä
- Määrittelet itse mitä tietoja saamme julkaista
---
## 14. MUUTOKSET TIETOSUOJASELOSTEESEEN
Voimme päivittää tätä tietosuojaselostetta vastaamaan:
- Lainsäädännön muutoksia
- Palvelumme kehitystä
- Parhaiden käytäntöjen muutoksia
**Ilmoitamme merkittävistä muutoksista:**
- Sähköpostilla rekisteröityneille asiakkaille
- Verkkosivuillamme metapress.io
Viimeisin päivityspäivä näkyy tämän dokumentin alussa.
Tähän tietosuojaselosteeseen sovelletaan Suomen lakia.
Rekisteröidyn oikeudet perustuvat:
- EU:n yleiseen tietosuoja-asetukseen (GDPR 2016/679)
- Suomen tietosuojalakiin (1050/2018)
Riidat pyritään ensisijaisesti ratkaisemaan neuvottelemalla. Rekisteröidyllä on aina oikeus tehdä valitus Tietosuojavaltuutetulle.
---
## 17. JOHTOPÄÄTÖS
Tämä tietosuojaseloste **v1.5** on päivitetty vastaamaan tilannetta, jossa MetaPress hyödyntää OpenAI:n kehittyneitä tekoälypalveluita.
Tietojen siirto Yhdysvaltoihin on juridisesti turvattu ensisijaisesti **EU-U.S. Data Privacy Framework (DPF)** -järjestelyn nojalla, joka takaa GDPR:n mukaisen tietosuojan tason. Lisäksi käytämme **Standard Contractual Clauses (SCC)** -ehtoja ja **Zero Data Retention (ZDR)** -teknologiaa varmistaaksemme kerroksellisen tietoturvan.
Dokumentti täyttää GDPR:n artiklojen 28 sekä 44–46 vaatimukset.
---
**Platonic Partnership Oy (MetaPress)** Kuninkaankartanontie 58A, 65380 Vaasa, Suomi
We use cookies to analyze website traffic and optimize your website experience. By accepting our use of cookies, your data will be aggregated with all other user data.