Strategia ja johtajuus

Cloud Act: Uusi laki GDPR:n varjossa

Huomiomme on viime aikoina keskittynyt GDPR:ään, mutta samaan aikaan Atlantin toisella puolella hyväksyttiin toinen laki – Cloud Act. Kyseinen laki antaa Yhdysvaltain viranomaisille oikeuden vaatia asiakastietoja amerikkalaisilta yrityksistä, vaikka palvelinten sijaintimaa olisikin Suomi. Me kerromme, miten se vaikuttaa sinuun ja tietoihisi.

Viime vuosina tekniikka on kehittynyt paljon lakeja ja menettelytapoja nopeammin. Tämä on aiheuttanut ongelmia monilla eri aloilla, esimerkiksi tietosuojan, kansainvälisten lakien ja uudenlaisen rikollisuuden suhteen. Monet maat pyrkivät siksi laatimaan nopeassa tahdissa uusia lakeja pysyäkseen teknisen kehityksen perässä.

Sinäkin olet varmasti kuullut GDPR:stä, mutta onko Cloud Act sinulle tuttu? GDPR on vähän aikaa sitten voimaan astunut EU-laki, jonka tarkoituksena on suojata käyttäjien henkilötietoja hallituksilta ja yrityksiltä – Cloud Act kulkee kuitenkin vastakkaiseen suuntaan. Yhdysvalloissa aiemmin tänä vuonna voimaan astuneesta täysin uudesta laista ei ole kirjoitettu kovinkaan paljon, vaikka se vaikuttaa myös meihin eurooppalaisiin. GDPR:stä poiketen Cloud Act ei pyri suojelemaan käyttäjiä. Sen sijaan se antaa viranomaisille laajemmat oikeudet vaatia henkilötietoja – myös silloin, jos tiedot on tallennettu toiseen maahan.

Mikä Cloud Act on?

Uuden lain nimi on Cloud Act, ja se tulee sanoista Clarifying Lawful Overseas Use of Data. Lyhyesti sanottuna uusi laki merkitsee sitä, että Yhdysvaltain eri poliisiviranomaiset voivat pyytää digitaalista tietoa yhdysvaltalaisilta yritykseltä – myös silloin, kun tiedot on tallennettu maan rajojen ulkopuolelle. Syynä lain voimaantuloon on pitkittynyt oikeustapaus vuodelta 2013, jossa Yhdysvaltain hallinto halusi Microsoftilta tietoja yksittäisestä käyttäjästä huumeisiin liittyvässä tapauksessa.

Microsoft kieltäytyi luovuttamasta tietoja, sillä ne oli tallennettu Irlannissa sijaitsevaan palvelimeen ja yritys katsoi asian kuuluvan siksi Irlannin viranomaisille ja Irlannin lakien piiriin. Yhdysvaltojen mielestä Microsoft on yhdysvaltalainen yritys ja siksi sen on noudatettava Yhdysvaltain lakeja, vaikka tässä tapauksessa tiedot sijaitsivatkin toisessa maassa. Asiasta kiisteltiin vuosia eri tuomioistuimissa, minkä jälkeen Yhdysvaltain hallitus päätti laatia Cloud Actin asiaa selventämään. Sen myötä Yhdysvaltain viranomaiset saivat laillisen oikeuden vaatia tietoa Microsoftilta.

Mutta mitä tämä tarkoittaa käyttäjien kannalta?

Lyhyesti sanottuna se tarkoittaa sitä, että vaikka tietosi tallennettaisiin oman kotimaasi tai EU:n rajojen sisäpuolelle, tietosi kuuluvat Cloud Actin piiriin, mikäli palvelun tarjoava yritys on yhdysvaltalainen. Toisin sanoen Yhdysvaltain viranomaisilla on oikeus pyytää yrityksesi tietoja, vaikka luulisitkin niiden olevan paikallisten lakien tarjoaman suojan piirissä. Tämä saattaa kuulostaa ikävältä, mutta moni suuri IT-yritys, kuten Microsoft, Google, Apple ja Facebook, ovat itse asiassa tyytyväisiä uuteen lakiin. Syynä tähän on se, että sen myötä niiden on helpompi tietää, mitä lakia tietojen kansainvälisessä luovuttamisessa tulee noudattaa.

Usea tietosuoja- ja demokratiakysymyksiä käsittelevä organisaatio on kuitenkin tuonut esiin ongelman – lisäyksen, jonka myötä tietoja voidaan luovuttaa ilman sen suurempaa valvontaa. Vaikka Cloud Act antaa viranomaisille oikeuden pyytää tietoja, vaatimuksena on yhä, että Yhdysvalloilla on sopimus sen maan kanssa, josta tietojen luovuttamista pyydetään. Sen vuoksi Cloud Actiin on lisätty myös kohta, jonka mukaan Yhdysvaltain presidentillä, oikeusministerillä ja ulkoministeriöllä on oikeus hyväksyä tällaiset sopimukset ottamatta asiaa esille kongressissa. Monet ovat huolissaan siitä, että laki toimii myös toisin päin, eli muut maat voivat tehdä sopimuksen Yhdysvaltain kanssa ja saada tietoja kansalaisestaan, jos tämä käyttää yhdysvaltalaista pilvipalvelua. Ja ne voivat toimia näin hakematta mitään Yhdysvaltain salakuuntelulakien ja muiden lakien normaalisti vaatimaa lupaa.

Yhteenvetona voidaan sanoa, että uusi laki tarkoittaa sitä, että jos liiketoimintakriittiset tietosi tallennetaan yhdysvaltalaisen yrityksen tarjoamaan palveluun, tiedot voivat joutua viranomaisten silmien eteen ympäri maailman, vaikka luulisitkin niiden olevan EU-lakien ja paikallisten lakien suojaamia.

Jos tämä pelottaa sinua tai eroaa siitä, mitä olet luvannut asiakkaillesi (esimerkiksi GDPR:n kautta), voi olla hyvä harkita joko pilvipalvelun vaihtamista tai yksityisen pilven luomista yrityksen tiedoille

Haluatko lisätietoja?

Käy katsomassa dustin.fi/solutions ota meihin yhteyttä täältä.

8 elokuuta 2018

Aihealue