Paljud HR-spetsialistid kasutavad AI tööriistu, kuid kahtlevad nende turvalisuses. Tegelikkuses ei "õpi" keelemudel sinu dokumentidest. See tähendab, et kui laed CV ChatGPT-sse, ei talletu selle sisu mudelisse. Turul on hästi näha, et enamusel Eesti ettevõtetest pole veel selgeid AI kasutamise juhiseid kehtestatud, mis tekitab töötajates natukene hirme ja ebakindlust.

Kas mu andmed on AI-ga koostööd tehes ohus?

Olen viimastel kuudel kohtunud paljude personalitöötajatega, kes ütlevad sama asja: "Tahan AI-d kasutada, aga kardan, et tundlikud andmed lekivad." Üks HR-juht kirjeldas mulle olukorda, kus ta pidi koostama töölepingu muudatust ja mõtles kasutada ChatGPT abi, kuid jättis selle tegemata, sest kartis, et töötaja isikuandmed satuvad "kusagile internetti".

Need mured on täiesti arusaadavad. Personalitöös käib käest läbi väga palju tundlikku infot — CV-d, palgaandmed, töösoorituse hinnangud ja mõnikord isegi terviseandmed. Kui sa pole kindel, mis tegelikult juhtub, kui laed dokumendi ChatGPT-sse või küsid Microsoft Copilotilt abi tööintervjuu küsimuste koostamisel, on ettevaatlikkus täiesti mõistetav.

Tehisintellekti kasutamisel on oluline järgida andmekaitse põhimõtteid, kuid see ei tähenda, et AI kasutamine oleks keelatud. Pigem tuleb mõista, kuidas need süsteemid tegelikult töötavad.

Selles artiklis selgitan lihtsas keeles:

1Kuidas AI-tööriistad tegelikult andmeid töötlevad.
Milliseid riske tasub päriselt karta (ja milliseid mitte).
Kuidas kasutada AI-d oma töös turvaliselt ja eetiliselt.

Kuidas AI "mõtleb"?

Kõigepealt on oluline mõista, mis tegelikult toimub, kui kasutad keelemudeleid nagu ChatGPT, Claude või Microsoft Copilot.

AI pole andmebaas, vaid mustrite tuvastaja

Keelemudel pole nagu Google'i otsing, mis läheb iga kord internetist infot otsima. See pole ka andmebaas, kuhu sinu andmed salvestatakse. Selle asemel on tegemist matemaatilise mudeliga, mis on treenitud ennustama, milline sõna peaks järgmisena tulema.

Tänapäevased keelemudelid on sisuliselt statistilised süsteemid, mis on õppinud tekstis esinevaid mustreid ette ennustama.

Lihtne analoogia: kujuta ette, et AI on nagu kokk, kes on lugenud tuhandeid kokaraamatuid. Kui küsid talt retsepti, ei lähe ta riiulist ühtegi raamatut võtma, vaid kombineerib oma teadmisi, et sulle vastus anda. Samamoodi ei "otsi" keelemudel sinu andmeid kuskilt, vaid genereerib vastuse oma treeningandmete, sisestatud konteksti või veebikülastuste põhjal.

Mis juhtub, kui laen dokumendi ChatGPT-sse?

Kui laed dokumendi ChatGPT-sse, siis lihtsustatult juhtub järgnev:

Tekst muudetakse numbriteks ehk "tokeniteks”
Mudel töötleb neid numbreid ja genereerib vastuse
Sinu sisestatud tekst säilib vestluse ajaloos, kuid ei muutu automaatselt osaks mudelist

Sinu andmed ei "sulandu" mudelisse. Kui laed CV ChatGPT-sse, ei "õpi" mudel seda CV-d. Teised kasutajad ei saa mingil moel sinu üleslaetud andmeid kätte. AI kõrval tuleb siinkohal mängu GDPR, mis 2018. aastast reguleerib Euroopas isikuandmete kasutamist.

Viis peamist müüti AI kasutamisest HR-is

Müüt 1: "Kui laen CV ChatGPT-sse, siis konkurent saab selle sealt alla laadida"

Tegelikkus: AI mudel ei ole andmebaas. See on nagu väga keerukas kalkulaator, mis töötab numbrite ja mustritega. Sisestatud CV ei jää kuhugi "sahtlisse" ootama — see töödeldakse ja üldiselt unustatakse (isegi kui seda kunagi ja kuidagi kasutatakse treenimiseks, siis see ei muuda mudelis suurt midagi. Aga see on juba pikem jutt. Natukene aimu saad müüti number 2 lugedes). Pigem juhtub enne mõni muu apsakas andmelekke osas või küberohtude tõttu pilveteenust kasutades.

Müüt 2: "AI õpib minu andmetest ja hakkab neid teistele kasutajatele pakkuma"

Tegelikkus: Keelemudelis on juba kõik maailma keelte sõnad ja nende seosed "sees". Sinu dokument võib äärmiselt vähesel määral nihutada teatud sõnade omavahelisi seoseid, aga konkreetsed andmed (nimed, numbrid, faktid) ei jää mudeli "mällu".

Müüt 3: "Kõik, mis AI-ga jagan, läheb kohe mudeli treenimiseks"

Tegelikkus: Eristada tuleb rakendust mudelist. Rakendus või teenus (ChatGPT rakendus) võib sinu vestlusi salvestada, aga see ei tähenda, et neid kasutatakse mudeli treenimiseks. Paljudel teenustel saad sa ise valida, kas lubad oma andmete nn treenimiseks kasutamist või mitte.

Müüt 4: "AI salvestab mu töötajate isikuandmed oma andmebaasi"

Tegelikkus: AI mudel tehniliselt ei saa salvestada konkreetseid faile või dokumente. See töötab ainult tekstimustrite ja arvudega. Oht tekib teenuse või rakenduse tasandil. Ehk siis, kui kasutad vale tööriista, võivad sinu vestlused jääda teenusepakkuja serverisse (mitte mudelisse!). Seega soe soovitus on lugeda privaatsustingimusi enne kui midagi alla laed või kasutama asud.

Müüt 5: "AI kasutamine on alati GDPR-i rikkumine"

Tegelikkus: AI kasutamine iseenesest ei riku GDPR-i, kui järgid andmekaitse põhimõtteid. Oluline on valida õige teenus, anonümiseerida või pseudonümiseerida tundlikud andmed ja dokumenteerida oma tegevused. GDPR nõuab vastutustundlikku lähenemist, mitte täielikku AI vältimist. Paljud AI teenused on kohandatud GDPR nõuetele vastavaks.

Küsimus pole "kas AI näeb mu andmeid", vaid "millist AI teenust/rakendust kasutatakse ja millised on selle andmekäitlemise reeglid". Seega minu sügav soovitus on, et vali alati äriversioon, kui töötled tundlikke HR valdkonna andmeid. Nii saad olla veendunud rohkemas turvalisuses.

Populaarsete AI tööriistade turvalisuse taust

Koolitustel küsitakse tihti, et millist tööriista siis valida. Aga see on sügavalt organisatsiooni spetsiifiline vastus. Pigem on oluline teada, millised erisused on, mis oleks kõige turvalisem, mugavam ja ka ressursside mõttes asjakohane valik. Õige AI rakenduse valik võib tähendada vahet seadusliku ja ebaseadusliku andmetöötluse vahel. Seetõttu on oluline enne kasutuselevõttu ka tausta uurida ning teada,, kuidas erinevad platvormid meie andmeid käsitlevad.

Vaatame lähemalt, kuidas tasulised versioonid meie andmetega toimetavad:

ChatGPT (OpenAI)

ChatGPT Plus:

Vestlused säilitatakse 30 päeva.
Vaikimisi kasutatakse vestlusi mudeli täiendamiseks, kuid selle saab kasutajakonto seadetes välja lülitada ("Settings" → "Data Controls" → "Improve the model for everyone").
Pole mõeldud tundlike andmete töötlemiseks.
Saab valida erinevaid mudeleid, teha ka oma reeglite-raamistike ja juhistega GPT-sid ehk AI assistente.

ChatGPT Business:

Andmeid ei kasutata mudeli treenimiseks.
Vestluste ajalugu on krüpteeritud.
Vastab ettevõtete privaatsusnõuetele.
Sobib äriandmete töötlemiseks.
Lisatud SOC 2 sertifikaat, GDPR nõuetele vastavus.

Microsoft Copilot

Copilot for Microsoft 365 (äriversioon):

Andmeid ei kasutata mudeli treenimiseks.
Andmed ei liigu organisatsioonist välja (mõtle nii nagu sa kasutaksid vestlusrobotit nagu sa kasutad oma outlooki või kalendrit või sharepointi).
Järgib samu turbestandardeid, mis su ettevõtte Microsoft 365.
Organisatsiooni admin saab seadistada kasutuspiiranguid.

Google Gemini

Google Workspace versioonid:

Täiendavad turvameetmed äriklientidele.
Andmete residentsuse (asukoha) kontroll.
GDPR nõuetele vastavus.

Claude (Anthropic)

Claude for Work:

Täiendavad ettevõtte privaatsusgarantiid.
Lisatud: SSO (Single Sign-On) tugi.
Auditilogi funktsioonid.

Organisatsiooni AI kasutamise poliitika loomine

Eestis on 2025. aasta uuringud näidanud, et kuigi tehisintellekti kasutamine ettevõtetes kasvab, esineb tunduvalt puudujääke juhistes ja koolitustes. Tööandjate ja töötajate seas on palju teadmatusest ja ebakindlust, mis nõuab rohkem kui baas digioskusi ning vajab selgeid juhiseid, andmeturbe ja eetika teadlikkust ning pidevat õppimist. See olukord tekitab töötajates suuri hirme ja ebakindlust. Üks asi on enda tunnetus koolitustelt ja turult, kuid SA Kutsekoda on teinud head tööd ja kokku pannud tehisintellekti kohta HR inimestele Eesti enda turult numbrid ning edasised suunaviidad. Leiad need siit: https://uuringud.oska.kutsekoda.ee/uuringud/ai-uuring

Kui me räägime üldsest heast kasutustavast või nn AI kasutuselevõtust ettevõttes, siis suunisdokument või poliitika peaks sisaldama töötajate jaoks vähemalt järgmisi põhimõtteid:

Millised AI-lahendused on organisatsioonis heaks kiidetud? Niinimetatud whitelist.
Andmete klassifikatsioon ehk millise tundlikkusega andmeid võib AI-ga töödelda?
Millistes olukordades ei tohi AI-d kasutada? Kasvõi mõned kasutusjuhud ära kirjeldada.
Lemmik teema. Kui koolitusel küsin, et kes vastutab, siis tekib üldiselt ruumi vaikus. Seega pange kirja, kes vastutab AI kasutamise järelevalve eest, kes vastutab, kui midagi lähebki vussi.
See tuleb üldiselt üllatusena, aga kui tööandja soovib, et töötajad kasutaksid AI rakendusi oma töös, siis EU AI Act ütleb kenasti, et baaskirjaoskust tuleb tööandjal siis töötajatele võimaldada. Ehk siis koolitused. Pange kirja või mõelge läbi, kuidas töötajaid koolitatakse AI turvaliseks kasutamiseks.

Kokkuvõte: tasakaal innovatsiooni ja turvalisuse vahel

AI tööriistad pakuvad HR valdkonnas võimalust muuta oma töö tõhusamaks, äkki kiiremaks või ka kvaliteetsemaks. Samas on igati mõistetav mure andmete turvalisuse pärast.

Kui tahaks neid võimsaid tööriistu kasutada, siis tuleb säilitada natukene rahulikumat meelt ja aru saada, et nagu iga uue tehnoloogiaga, tuleb ka tehisintellektiga kaasa hea annus teadmatust. Õige ja läbimõeldud kasutamine toob kasu, vale aga võib tekitada kahju. Tavaliselt piisab esmalt kahest asjast: vali äriversioon ja ära jaga isikukoode. Siis oled juba 95% turvalisem kui keskmine AI kasutaja 😉 Ja muideks, kui nüüd natukene eestlaslikku huumorit lisada ja vaadata tagasi enne-AI aega, siis tõsi ta on, et jagasime dokumente e-mailiga või isegi USB-pulkadega.

Kirjutan lõppu veel viimase mõtte, mis mul ilmselt peast enam välja ei juurdu. Nimelt üks koolitusel osaleja sai pika koolituspäeva lõpus justkui valgustatud AI eetika ja turvalisuse teemadest ja tegi kokkuvõtte: “Lõppude lõpuks on AI andmeturvalisus nagu Eesti talvine riietumine. No et kui tead, mis kiht kuhu läheb, siis ei ole enam külm ega hirmus ja saad rahulikult tööd teha ilma, et peaksid pidevalt kartma.”

Viimased postitused

Dec 12, 2025

Elisas oli AI-aasta – kõik töötajad on saanud end valdkonnas täiendada

Dec 12, 2025