Ranskan senaatin kuulemisessa Microsoftilta kysyttiin vuonna 2025 voiko yhtiö taata, ettei ranskalaisten asiakkaiden tietoja luovuteta ulkomaisille viranomaisille ilman Ranskan viranomaisten hyväksyntää. Microsoftin edustajan vastaus oli: “Non, je ne peux pas le garantir, mais, encore une fois, cela ne s’est encore jamais produit.” Suomeksi: “En voi taata sitä, mutta sellaista ei ole toistaiseksi koskaan tapahtunut.”
Tapaus koski suurta pilviyhtiötä ja julkisen sektorin dataa, mutta sen opetus on arkisempi. Palvelimen fyysinen sijainti ei yksin kerro, minkä maiden sääntöjen, sopimusten ja viranomaispyyntöjen piirissä tiedot lopulta ovat.
Pienyrittäjä ei yleensä ajattele ostavansa pilvipalvelua tai tietojenkäsittelyketjua. Hän luo verkkosivun Lovablen, Wix AI:n tai Framerin kaltaisella työkalulla ja saa sen julkaisukuntoon nopeasti. Se on näiden työkalujen vahvuus. Samalla alusta tekee suuren osan teknisistä taustavalinnoista käyttäjän puolesta. Asiakas näkee valmiin etusivun, lomakkeen ja yhteydenottopyynnöt, mutta ei välttämättä tiedä, missä maassa tiedot sijaitsevat, missä varmuuskopiot ovat tai ketkä pääsevät tietoihin käsiksi.
Ongelma ei yleensä näy niin kauan kuin kaikki toimii. Se tulee vastaan vasta, kun asiakas kysyy, mihin hänen yhteystietonsa tallentuvat, tai kun mahdollinen uusi asiakas pyytää tietosuojaliitettä ennen sopimuksen allekirjoittamista. Pahimmillaan asia nousee esiin tietoturvapoikkeaman jälkeen, kun Hesarin tai iltapäivälehden toimittaja soittaa. Silloin vastaus “selvitämme asiaa” ei kuulostaisi kovin ammattimaiselta.
Datakeskus EU:ssa ei välttämättä riitä
Moni palvelu kertoo käyttävänsä eurooppalaisia datakeskuksia. Se on hyvä lähtökohta, mutta pelkästään sijainti ei vielä riitä. Olennaista on myös, mikä yritys palvelua hallinnoi, minkä maan lainsäädännön piirissä se toimii ja käyttääkö se alikäsittelijöitä eli muita yrityksiä, jotka voivat käsitellä henkilötietoja sen puolesta.
Jos palvelua hallinnoi EU:n ulkopuolinen yhtiö, data voi sijaita fyysisesti Euroopassa, mutta palveluntarjoajan kotimaan lainsäädäntö ja viranomaispyynnöt voivat silti olla merkityksellisiä. Euroopan tietosuojaneuvoston pk-yrityksille suunnatussa oppaassa todetaan, että henkilötietoja saa siirtää ETA-alueen ulkopuolelle vain GDPR:n viidennen luvun ehtojen mukaisesti. Lisäksi etäkäyttö EU:n ulkopuolelta voi joissain tilanteissa merkitä henkilötietojen siirtoa, vaikka tietoa ei tallennettaisi kyseiseen maahan.
Tämä ei tarkoita, että kaikki EU:n ulkopuoliset palvelut olisivat automaattisesti ongelmallisia. Se tarkoittaa, että niiden käyttö vaatii yleensä enemmän selvitystyötä. Pienelle yritykselle kysymys on usein käytännöllinen: löytyvätkö vastaukset sopimusehdoista, tietojenkäsittelysopimuksesta ja alikäsittelijälistasta vai pitääkö niitä arvailla?
Webhotellin valinta on myös tietosuojapäätös
Sivuston omistajan ei tarvitse ryhtyä tietosuoja-asiantuntijaksi, mutta muutama perusasia pitää selvittää. Missä sivusto, tietokanta ja varmuuskopiot sijaitsevat? Kuka toimii henkilötietojen käsittelijänä? Onko palveluntarjoajalla alikäsittelijöitä, ja missä maissa ne toimivat? Voiko asiakastuki tai tekninen ylläpito päästä tietoihin ETA-alueen ulkopuolelta? Minkä maan lain mukaan sopimus tehdään?
Tietosuojavaltuutetun toimiston ohjeistuksessa rekisterinpitäjän ja käsittelijän välinen vastuu on selvä: rekisterinpitäjä päättää henkilötietojen käsittelyn tarkoituksista ja vastaa siitä, että käsittelijä valitaan asianmukaisesti. Verkkosivun arjessa tämä tarkoittaa, että webhotellin tai sivustoalustan valinta ei ole vain tekninen ostos. Se on myös päätös siitä, kenelle asiakkaiden yhteydenotot, lomaketiedot ja mahdolliset tunnistetiedot uskotaan.
EU-pohjaisuus ei ole tietosuojan taikatemppu
EU-pohjaisen webhotellin käyttö ei tee asiakkaasta automaattisesti tietosuojan mallioppilasta. Lomakkeet, evästeet, analytiikka ja uutiskirjeet jäävät edelleen sivuston omistajan vastuulle. Sama koskee sitä, ettei sivustolle kerätä varmuuden vuoksi henkilötietoja, joita ei oikeasti tarvita.
EU-pohjainen palvelu voi silti vähentää selvitystyötä. Jos datakeskukset, varmuuskopiot, alikäsittelijät ja asiakastuen pääsyoikeudet on dokumentoitu selkeästi, sivuston omistajan on helpompi vastata asiakkaalle tai sopimuskumppanille, missä tietoja käsitellään ja kuka niitä käsittelee.
EU-pohjainen webhotelli voi siksi olla järkevä valinta erityisesti pk-yritykselle, joka haluaa pitää sopimusketjun ymmärrettävänä. Vaihtoehtoja kannattaa katsoa sekä suomalaisilta palveluntarjoajilta että muilta eurooppalaisilta toimijoilta, kuten Hetzneriltä ja OVHcloudilta. Esimerkiksi Polar55.fi voi olla yksi vaihtoehto silloin, kun sivuston omistaja arvostaa suomenkielistä tukea, ennakoitavia sopimusehtoja ja selkeää käsittelyketjua. Sama tarkistus kannattaa tehdä myös muista vaihtoehdoista.
Tärkeintä ei ole se, että palveluntarjoajan etusivulla lukee “turvallinen” tai “eurooppalainen”. Jos vastaus löytyy sopimuksista viidessä minuutissa, taustatyö on tehty oikein. Jos vastausta ei löydy lainkaan, halpa ja nopea sivusto voi myöhemmin tulla kalliiksi.
