Tietosuoja

GDPR ja palvelinsijainti 2026 — onko data pakko pitää Suomessa?

EU-tietosuoja-asetus ei vaadi palvelimen sijaintia Suomessa, mutta Schrems II, Data Act ja tietosuojavaltuutetun ohjeistus tekevät EU-sijainnista pk-yritykselle helpoiten dokumentoitavan valinnan. Käytännön päätösmatriisi 2026.

Olli Junes · · 10 min

Kysymys palaa pöydälle joka kerta, kun pk-yrittäjä valitsee uutta hosting-toimittajaa tai pilvipalvelua: pitääkö palvelimen olla Suomessa, riittääkö EU vai voiko datan laittaa AWS Virginian palvelimelle, koska se on halvempi. Lyhyt vastaus on, että EU:n tietosuoja-asetus ei sinänsä vaadi Suomi-sijaintia, mutta Schrems II -tuomion, EU:n Data Actin ja tietosuojavaltuutetun käytännön yhdistelmä tekee EU-sijainnista pk-yritykselle helpoiten puolustettavan valinnan. Suomi-sijainti on käytännössä yksinkertaisin tapa täyttää tuo vaatimus ilman erillistä juridista konsultaatiota.

Käyn alla läpi mitä GDPR oikeasti sanoo palvelinsijainnista, miten Schrems II muutti tilanteen 2020, mitä uusi Data Act ja NIS2 tuovat lisää sekä millainen päätösmatriisi pk-yrittäjälle 2026 toimii käytännössä. Lopussa konkreettinen suositus eri asiakasprofiileille.

Mitä GDPR oikeasti sanoo sijainnista

EU:n yleinen tietosuoja-asetus 2016/679 tuli sovellettavaksi 25.5.2018. Asetuksen perusperiaate ei ole, että henkilötietoja pitäisi käsitellä tietyssä maantieteellisessä paikassa. Periaate on, että henkilötietoja saa siirtää EU:n ja ETA-alueen ulkopuolelle vain silloin, kun vastaanottajamaa tarjoaa "olennaisilta osiltaan vastaavan" tietosuojan tason kuin EU.

Tämä tarkoittaa kolmea vaihtoehtoa, jotka mahdollistavat siirron. Ensimmäinen on Euroopan komission riittävyyspäätös, eli niin sanottu adequacy decision. Toinen on asianmukaiset suojatoimet, käytännössä komission vakiosopimuslausekkeet (Standard Contractual Clauses, SCC). Kolmas on tapauskohtaiset poikkeukset asetuksen 49 artiklan mukaan, esimerkiksi rekisteröidyn nimenomainen suostumus.

Riittävyyspäätöksen on saanut tällä hetkellä rajattu joukko maita. Mukana ovat muun muassa Iso-Britannia, Sveitsi, Japani, Etelä-Korea, Israel, Kanada (kaupallinen sektori) ja Uusi-Seelanti. Yhdysvallat ei ole oletuksena listalla, vaikka vuoden 2023 EU–US Data Privacy Framework antaa rajatun mekanismin sertifioiduille amerikkalaisyrityksille. Tähän kehykseen palaan kohta.

Schrems II — miksi USA-pilvi muuttui hankalaksi 16.7.2020

EU-tuomioistuimen Schrems II -tuomio 16.7.2020 oli vedenjakaja. Tuomio kumosi EU–US Privacy Shield -kehyksen, koska Yhdysvaltain tiedustelulainsäädäntö (FISA 702 ja Executive Order 12333) salli viranomaisille pääsyn eurooppalaisten henkilötietoihin tavalla, joka ei vastannut EU-perusoikeustasoa. Tuomio totesi samalla, että vakiosopimuslausekkeet ovat sinänsä päteviä, mutta tiedonsiirron tekijän on tehtävä tapauskohtainen riskinarviointi (Transfer Impact Assessment, TIA) ennen siirtoa.

Käytännössä tämä tarkoitti, että amerikkalaisen pilvipalvelun käyttäminen henkilötietojen käsittelyyn vaati pk-yrittäjältä juridista dokumentaatiota, jota harva tosiasiassa kykeni tekemään. Eurooppalaisen tietosuojaneuvoston (EDPB) ohje 01/2020 listasi konkreettisia lisätoimia, kuten salaus, jossa avain on käsittelijän tavoittamattomissa, sekä pseudonymisointi.

Schrems II ei ollut akateeminen harjoitus. Useat eurooppalaiset tietosuojaviranomaiset antoivat 2020–2023 päätöksiä, joissa Google Analyticsin, Mailchimpin tai Microsoft 365:n peruskäyttö katsottiin laittomaksi tietojen siirroksi Yhdysvaltoihin ilman riittäviä lisäsuojatoimia. Suomessa tietosuojavaltuutetun toimisto on ollut linjauksissaan maltillisempi, mutta ohjeistus suosittaa EU-sijaintia silloin, kun se on käytännössä mahdollista.

Data Privacy Framework 2023 — paikkaako se ongelman

Euroopan komissio antoi 10.7.2023 uuden riittävyyspäätöksen EU–US Data Privacy Frameworkista (DPF). Kehys sallii henkilötietojen siirron sellaisille amerikkalaisille yrityksille, jotka ovat sertifioineet itsensä Yhdysvaltain kauppaministeriön ylläpitämään listaan ja sitoutuvat tiettyihin periaatteisiin. Suuret pilvitoimittajat (AWS, Microsoft, Google, Salesforce) ovat sertifioituneet.

Tämä kuulostaa hyvältä uutiselta, ja juridisesti se onkin. Pk-yrittäjän näkökulmasta kehys on kuitenkin kahdesta syystä epävakaa pohja pitkän aikavälin valinnoille. Ensinnäkin sama oikeustieteilijä Max Schrems, joka kaatoi Privacy Shieldin, on jo nostanut kanteet myös DPF:ää vastaan. EU-tuomioistuimen kolmas Schrems-ratkaisu odotetaan 2026–2027, ja markkinoilla puhutaan rutiininomaisesti "Schrems III" -skenaariosta. Toiseksi sertifioidun toimittajan verifiointi vaatii sopimusliitteiden, sertifikaattirekisterin ja konkreettisten alikäsittelijälistojen läpikäyntiä, mikä on pk-yrittäjälle työlästä.

Käytännön johtopäätös: jos käytät amerikkalaista pilveä henkilötietojen käsittelyyn, tarkista että toimittaja on DPF-sertifioitu, dokumentoi tämä omaan rekisteriinsä ja varaudu sopimusehdoissa siihen, että kehys voi kaatua. Eurooppalainen vaihtoehto välttää tämän kokonaisen riskikerroksen.

NIS2 ja palvelinsijainti — välillinen mutta painava paine

Suomen kyberturvallisuuslaki 124/2025 (voimaan 8.4.2025) ei lakitasolla vaadi palvelimen sijaitsemista EU:ssa. Mutta laki vaatii lain piiriin kuuluvilta toimijoilta toimitusketjun riskien arviointia (5 §). Käytännössä tämä tarkoittaa, että iso asiakkaasi alkaa kysyä toimittajilta missä data sijaitsee, kuka alikäsittelijä on ja millaisia siirtosuojatoimia on käytössä.

EU-sijainti yksinkertaistaa tämän keskustelun ratkaisevasti. Suomi-sijainti yksinkertaistaa sen vielä pidemmälle, koska sopimusliitteeseen riittää yksi rivi: "Data käsitellään ja säilytetään Suomessa, palveluntarjoajan konesalissa Helsingissä." Sama keskustelu USA-pilven kanssa vaatii DPF-sertifikaatin, alikäsittelijälistan, salausarkkitehtuurin ja TIA:n. Lue tarkempi NIS2-velvoitelista erillisestä artikkelista.

Data Act — uusi portabilteettikerros 2025–2026

EU:n Data Act (asetus 2023/2854) tuli sovellettavaksi 12.9.2025, ja sen pilvipalveluita koskevat portabilteettisäännökset astuvat asteittain voimaan vuoden 2026 aikana. Asetus antaa asiakkaalle laajemman oikeuden siirtää tietonsa pilvipalvelusta toiseen ja kieltää toimittajia perimästä siirrosta kohtuuttomia maksuja. Yhdysvaltalaiset suurpilvet ovat sopeuttaneet hinnoitteluaan, mutta tekninen toteutus vaihtelee.

Pk-yrittäjälle tämä tarkoittaa, että lukko yhteen toimittajaan ei ole enää yhtä lainvoimainen kuin aiemmin. Käytännössä siirto on silti helpompaa EU-sisäisten toimittajien välillä, koska tiedonsiirtomekanismit (SCC, TIA) eivät komplisoi prosessia. Suomi-sijainnilla pysyvä yritys voi vaihtaa toimittajaa ilman, että tietosuojadokumentaatio pitää tehdä uudelleen.

Tietosuojavaltuutetun käytäntö Suomessa

Tietosuojavaltuutetun toimisto on linjauksissaan johdonmukainen mutta käytännönläheinen. Ohjeistus suosittelee henkilötietojen käsittelyä ensisijaisesti EU- tai ETA-alueella aina, kun se on käytännössä mahdollista. Jos käsittely tapahtuu EU:n ulkopuolella, rekisterinpitäjän on dokumentoitava siirtoperuste, riskiarviointi ja tarvittavat lisäsuojatoimet.

Toimialakohtaiset säädökset tiukentavat kuvaa olennaisesti. Sosiaali- ja terveydenhuollon asiakastiedot kuuluvat asiakastietolain (784/2021) ja Kanta-palveluiden piiriin, jotka vaativat käsittelyä Suomessa tai EU/ETA-alueella tarkoin määritellyin ehdoin. Julkishallinnossa Valtorin ja Kyberturvallisuuskeskuksen suositukset suuntaavat kotimaiseen tai vähintään EU-sijaintiin. Finanssisektorilla EU:n DORA-asetus (2022/2554) lisää toimitusketjun valvontaa, ja Finanssivalvonta käsittelee USA-pilveä yhä erityistä perustelua vaativana tapauksena.

Pk-yrittäjälle viesti on selvä. Jos sinulla on kunta-asiakas, sairaala, julkishallinnon toimeksiantaja tai pankki ketjussa mukana, EU-sijainti ei ole vain "hyvä idea". Se on käytännössä edellytys, jota ilman et pääse hankintaprosessin läpi.

Päätösmatriisi pk-yrittäjälle 2026

Karkea käytännön matriisi auttaa hahmottamaan mitä valita milloinkin.

Suomi-asiakkaat ja henkilötietojen käsittely. Palvelin Suomessa, esimerkiksi Hetzner Helsinki HEL1 -konesali tai kotimainen toimittaja. Dokumentaatio yhdellä rivillä. Tämä on ylivoimaisesti yksinkertaisin malli, jos asiakaskunta on pääosin kotimainen.

EU-asiakkaat ja henkilötietojen käsittely. Palvelin EU:ssa, esimerkiksi Saksa tai muu jäsenmaa. Tarkista, ovatko alikäsittelijät EU:ssa. Jos ketjussa on USA-toimijoita (esimerkiksi tukipalveluiden monitorointi), tee SCC ja TIA.

Globaalit asiakkaat ja sisältöjen jakelu. CDN-edge-palvelimet (Cloudflare, Fastly, Bunny) voivat sijaita ympäri maailmaa, koska niissä käsiteltävä data on tyypillisesti staattista sisältöä. Master-data ja henkilötiedot pidetään EU-konesaleissa.

USA-pilven (AWS, Azure, GCP) käyttö henkilötietoihin. Vain seuraavin ehdoin: toimittaja on DPF-sertifioitu, alueellinen vyöhyke on EU (esim. eu-central-1), salaus levossa hoidetaan asiakkaan hallinnoimilla avaimilla, ja kirjallinen TIA on tehty. Lisäksi kannattaa varata budjettia migraatioon, koska Schrems III -skenaario on todennäköisempi kuin epätodennäköinen.

Erityisalat (terveys, finanssi, julkishallinto, kriittinen infra). Suomi-sijainti tai erikseen sertifioitu EU-toimittaja, koska toimialakohtaiset säädökset tai päämiehen vaatimukset ohittavat yleisen GDPR-keskustelun.

Schrems III ja ennakointi — miksi EU-sijaintiin kannattaa pyrkiä jo nyt

Toimittajavalinta tehdään tyypillisesti 3–5 vuoden horisontilla. Jos rakennat 2026 hosting-arkkitehtuurin USA-pilven varaan, sinun pitää huomioida Schrems III -ratkaisun mahdollisuus 2026–2027. Jos tuomioistuin kaataa DPF:n, ehdit reagoida vain, jos olet rakentanut migraatiopolun valmiiksi. Jos taas valitset EU-sijainnin nyt, koko tämä riskikerros poistuu.

Hetzner Helsinki -konesali (HEL1), UpCloud Helsinki ja muut kotimaiset toimijat tarjoavat hinnoittelua, joka on viimeisten vuosien aikana lähentynyt amerikkalaisia hyperskaaloja pk-luokan kuormissa. Ero ei käytännössä ole enää kustannuskysymys vaan dokumentoinnin ja arkkitehtuurin yksinkertaisuus.

Resahost — Suomi-sijainti ja dokumentaatio yhdessä paketissa

Resahost on rakennettu siten, että asiakkaiden data käsitellään ja säilytetään Hetzner Helsinki HEL1 -konesalissa. Tämä tarkoittaa, että saat sopimusliitteeseen ja tietosuojarekisteriisi yhden rivin sijaintimerkinnän ja siihen liittyvän dokumentaation valmiina. Et tarvitse SCC:tä tai TIA:ta peruskäyttöön, ja päämieheen suuntautuva kyselyyn vastaaminen on muutaman minuutin työ, ei viikon konsultaatio.

Yhden oven mallin ydin on, että hosting, sähköposti, varmuuskopiot ja niiden tietosuojadokumentaatio tulevat yhdeltä toimittajalta yhdellä sopimuksella. Käytännön rakenne WordPress-hostingille Suomessa ja konesalivalinnoille on kuvattu erikseen, ja verkkolevyn sijainti noudattaa samaa logiikkaa. Lue myös evästeohjeistus pk-yritykselle ja Vastaamo ja CEO-vastuu -teksti, jotka kytkeytyvät samaan kokonaisuuteen.

Aloita ilmaisella tietoturva-auditilla, joka näyttää nykyisen sijainnin ja siirtomekanismit verkkotunnuksellesi. Jos haluat keskustella siitä, onko nykyinen hosting-valintasi GDPR- ja NIS2-kestävä, ota yhteyttä niin käymme tilanteen läpi puolen tunnin puhelussa.

Lähteet: EU:n tietosuoja-asetus 2016/679 (sovellettavaksi 25.5.2018), EU-tuomioistuimen ratkaisu C-311/18 (Schrems II, 16.7.2020), Euroopan komission täytäntöönpanopäätös EU–US Data Privacy Framework 10.7.2023, EDPB Recommendations 01/2020, EU:n Data Act 2023/2854 (sovellettavaksi 12.9.2025), Suomen kyberturvallisuuslaki 124/2025 (voimaan 8.4.2025), asiakastietolaki 784/2021, EU:n DORA-asetus 2022/2554, Tietosuojavaltuutetun toimiston ohjeistukset 2023–2026.