CLOUD Act vs GDPR

Pilvipalveluiden juridinen ristiriita EU:ssa

Yhdysvaltalainen CLOUD Act ja EU:n GDPR edustavat kahta erilaista oikeudellista lähestymistapaa henkilötietojen saatavuuteen ja siirtoon. Näiden lakien välinen jännite on keskeinen syy eurooppalaisessa pilvikeskustelussa.

Mikä on CLOUD Act?

Clarifying Lawful Overseas Use of Data Act (CLOUD Act, 2018) mahdollistaa sen, että Yhdysvaltain lainkäyttövallan alainen palveluntarjoaja voidaan tuomioistuimen määräyksellä velvoittaa luovuttamaan rikostutkintaan liittyvää asiakasdataa — riippumatta siitä, missä data fyysisesti sijaitsee.

Keskeinen periaate:

  • Jos palveluntarjoaja kuuluu Yhdysvaltain oikeuspiiriin, se voi olla velvoitettu luovuttamaan dataa USA:n viranomaisille.

  • Datan fyysinen sijainti EU:ssa ei välttämättä estä velvoitetta.

Mitä GDPR edellyttää?

EU:n yleinen tietosuoja-asetus (GDPR, asetus (EU) 2016/679) rajoittaa henkilötietojen siirtoa EU:n ulkopuolelle.

Relevantit säännökset:

  • Artikla 44–49: Henkilötietojen siirron yleiset edellytykset kolmansiin maihin

  • Artikla 48: Ulkomaisen tuomioistuimen tai viranomaisen päätös ei ole täytäntöönpanokelpoinen EU:ssa ilman EU-oikeuden mukaista perustetta (esim. kansainvälinen oikeusapumenettely)

GDPR:n mukaan:

  • Pelkkä kolmannen maan viranomaisen tietopyyntö ei tee luovutuksesta lainmukaista.

  • Siirto edellyttää joko riittävyyspäätöstä, asianmukaisia suojatoimia tai muuta asetuksen mukaista perustetta.

Kolme käytännön skenaariota

1. EU-viranomaisen tietopyyntö

✔ Sallittu, kun perustuu kansalliseen lainsäädäntöön ja EU-oikeuteen.

2. USA-viranomaisen suora pyyntö EU-datasta

✖ Ei sallittu pelkän pyynnön perusteella (GDPR artikla 48).

3. USA-viranomainen pyytää oikeusapua EU-viranomaiselta

✔ Sallittu, kun pyyntö kulkee kansainvälisen oikeusapumenettelyn kautta.

Oikeustapaukset ja ennakkoratkaisut

Microsoft Ireland Case (U.S. v. Microsoft Corp., 2018)

Yhdysvaltain viranomaiset vaativat Microsoftia luovuttamaan Irlannissa sijaitsevaa dataa. Tapaus raukesi CLOUD Actin säätämisen jälkeen, mutta se loi pohjan lain säätämiselle.

Schrems II (C-311/18, 2020)

Euroopan unionin tuomioistuin kumosi EU–USA Privacy Shield -järjestelyn. Perusteluna oli erityisesti Yhdysvaltain tiedustelulainsäädäntö (mm. FISA 702), joka ei tarjonnut EU-kansalaisille riittävää oikeussuojaa.

Vaikutukset:

  • Standard Contractual Clauses (SCC) säilyivät, mutta niiden rinnalle edellytettiin lisäsuojatoimia.

  • Organisaatioiden on tehtävä tapauskohtainen siirtoarviointi (Transfer Impact Assessment).

EU–US Data Privacy Framework (2023)

Uusi riittävyyspäätös Yhdysvalloista. Se ei kuitenkaan poista täysin keskustelua CLOUD Actin ja GDPR:n yhteensopivuudesta, sillä kansallinen lainsäädäntö (kuten CLOUD Act) on edelleen voimassa.

Pilvipalveluntarjoajien näkökulma

Suurten yhdysvaltalaisten toimijoiden (esim. AWS, Microsoft Azure, Google Cloud) keskeiset argumentit:

1. Vahva salaus minimoi riskin

Jos data on asianmukaisesti salattu ja avainten hallinta on asiakkaalla (Customer Managed Keys, External Key Management), palveluntarjoaja ei voi luovuttaa käyttökelpoista sisältöä.

Viite:

  • EDPB Recommendations 01/2020 (lisäsuojatoimet kansainvälisissä siirroissa)

2. Historiallisesti EU-dataa ei ole luovutettu

Yritykset viittaavat siihen, ettei EU:ssa sijaitsevaa asiakasdataa ole käytännössä luovutettu Yhdysvaltain viranomaisille CLOUD Actin perusteella. Lisäksi laki mahdollistaa joissain tapauksissa määräyksen kiistämisen.

IT- ja markkinavaikutukset

Oikeudellinen epävarmuus on kiihdyttänyt markkinakehitystä:

1. Monipilvi- ja siirtoprojektit

  • AWS/Azure → eurooppalaiset vaihtoehdot

  • Kasvava kysyntä migraatio-osaamiselle

2. Eurooppalaisten pilvipalveluiden nousu

  • Esimerkiksi UpCloudin kaltaiset EU-toimijat

  • Paikallisen omistajuuden ja EU-lainsäädännön merkitys korostuu

3. Salaus- ja tietoturvapalvelut

  • Kolmannen osapuolen ratkaisut datan salaamiseen ennen siirtoa

  • Confidential computing

  • Bring Your Own Key (BYOK) / Hold Your Own Key (HYOK)

4. Sertifiointi ja regulaatio-osaaminen

  • ISO 27001

  • ISO 27701

  • SOC 2

  • EUCS (European Cybersecurity Certification Scheme for Cloud Services, valmisteilla)

  • NIS2-direktiivin vaatimukset.

Hyvät käytännöt organisaatioille

1. Tee siirtoarviointi (TIA)

Arvioi:

  • Sovellettava lainsäädäntö

  • Palveluntarjoajan oikeuspiiri

  • Teknisten suojatoimien riittävyys

2. Käytä vahvaa salausta

  • End-to-end-salaus

  • Asiakkaan hallinnoimat avaimet

  • Avainten säilytys EU:ssa

3. Rajoita datan pääsyä

  • Zero trust -arkkitehtuuri

  • Minimiperiaate (least privilege)

4. Dokumentoi päätökset

  • Riskinarviointi

  • DPA-sopimukset

  • SCC-liitteet

  • Sisäiset compliance-raportit

Yhteenveto

CLOUD Act ja GDPR edustavat kahta oikeusjärjestelmää, joiden tavoitteet eivät ole täysin yhteneväiset.

  • CLOUD Act mahdollistaa datan saatavuuden Yhdysvaltain rikostutkinnassa.

  • GDPR rajoittaa henkilötietojen siirtoa EU:n ulkopuolelle ja edellyttää EU-oikeudellista perustaa.

Tämä jännite on keskeinen tekijä pilvipalveluiden strategisissa valinnoissa Euroopassa. Se ei ole vain juridinen kysymys vaan myös tekninen, liiketoiminnallinen ja geopoliittinen.