🇸🇪 Svenska 🇬🇧 English 🇩🇪 Deutsch 🇫🇮 Suomi 🇷🇺 Русский 🇳🇴 Norsk 🇩🇰 Dansk

Miksi GDPR vaatii EU-hostingia — ja miksi CLOUD Act tekee US-hostingista riskialtista

Tietosi Euroopassa — vai USA:n käsissä?

Jos pyörität yritystä EU:ssa, GDPR ei ole vapaaehtoinen — se on laki. Mutta tiesitkö, että jos isännöit palveluitasi amerikkalaisella tarjoajalla kuten AWS, Google Cloud tai Microsoft Azure, tietosi voivat silti päätyä Yhdysvaltain viranomaisten käsiin?

Vastaus piilee CLOUD Actissa — yhdysvaltalaisessa laissa, joka antaa USA:n viranomaisille oikeuden vaatia tietoja amerikkalaisilta yrityksiltä, riippumatta siitä missä päin maailmaa tiedot on tallennettu.

Mikä on CLOUD Act?

CLOUD Act (Clarifying Lawful Overseas Use of Data Act) säädettiin vuonna 2018 ja antaa Yhdysvaltain lainvalvontaviranomaisille valtuudet pyytää tietoja amerikkalaisilta teknologiayrityksiltä — vaikka tiedot olisivat fyysisesti Euroopassa. Sillä ei ole merkitystä, ajaako AWS-instanssisi Frankfurtissa vai Tukholmassa. Niin kauan kuin tarjoaja on amerikkalainen yritys, CLOUD Act pätee.

Ristiriita GDPR:n kanssa

GDPR (yleinen tietosuoja-asetus) edellyttää, että EU:n sisällä olevat henkilötiedot suojataan eikä niitä siirretä kolmansiin maihin ilman riittävää suojatasoa. EU:n tuomioistuin ei pidä USA:ta maana, jolla on riittävä suojataso (Schrems II -päätös, 2020).

Tämä luo suoran oikeudellisen ristiriidan:

  • CLOUD Act sanoo: “Luovuttakaa tiedot meille.”
  • GDPR sanoo: “Te ette saa luovuttaa tietoja.”

Yritykset, jotka käyttävät amerikkalaisia pilvipalveluita, ovat jumissa keskellä — ja sinä asiakkaana kannat vastuun, jos henkilötiedot paljastuvat.

Todelliset seuraukset

GDPR-sakot voivat nousta 20 miljoonaan euroon tai 4 prosenttiin maailmanlaajuisesta vuotuisesta liikevaihdosta. Useat eurooppalaiset tietosuojaviranomaiset ovat jo puuttuneet yrityksiin, jotka käyttävät amerikkalaisia pilvipalveluita ilman riittäviä suojatoimia:

  • Itävallan tietosuojaviranomainen totesi vuonna 2022, että Google Analyticsin käyttö rikkoi GDPR:ää.
  • Ranskan CNIL seurasi samalla arvioinnilla.
  • Euroopan tietosuojavaltuutettu (EDPS) kielsi EU:n parlamenttia käyttämästä Microsoft 365:ttä ilman lisäsuojatoimia.

Ratkaisu: Isännöi Ruotsissa, ruotsalaisella yrityksellä

Valitsemalla ruotsalaisen hosting-tarjoajan, joka ei ole Yhdysvaltain lainsäädännön alainen, eliminoit CLOUD Act -riskin kokonaan. Tietosi pysyvät Ruotsissa, suojattuina Ruotsin ja Euroopan lainsäädännöllä.

No-Ack Hostingissa tarjoamme:

  • Datakeskus Tukholmassa — tietosi eivät koskaan poistu Ruotsista
  • Ei amerikkalaista emoyhtiötä — CLOUD Act ei koske meitä
  • Täysi GDPR-yhteensopivuus — olemme ruotsalainen yritys Ruotsin lainkäyttövallan alla
  • Päivittäiset varmuuskopiot kolmessa sijainnissa
  • Oma verkko (AS30893) 100G-yhteyksillä

Mitä palveluita tarjoamme?

Tarvitsetpa yksinkertaisen VPS:n tai dedikoituja palvelimia, meillä on ratkaisu:

  • KVM VPS alkaen 70 SEK/kk — täydellinen verkkosovelluksiin ja kehitysympäristöihin
  • Dedikoidut palvelimet — täysi hallinta ja suorituskyky vaativiin projekteihin
  • Kolokaatio Tukholmassa — sijoita oma laitteistosi datakeskukseemme alkaen 850 SEK/kk
  • Webhotelli alkaen 600 SEK/vuosi — yksinkertainen hosting yritysten verkkosivuille

Yhteenveto

Jos otat GDPR:n vakavasti — ja niin pitäisi — ei riitä, että tallennat tiedot “EU:ssa”. Sinun on myös varmistettava, ettei tarjoajasi ole CLOUD Actin kaltaisten lakien alainen. Ainoa turvallinen tie on valita eurooppalainen tarjoaja ilman yhteyksiä USA:han.

Valmis siirtämään hostingisi turvalliselle ruotsalaiselle maaperälle? Ota yhteyttä tai tilaa VPS suoraan.