Yllättävä muutos GDPR-sakkojen maailmassa

Jos pyörität managed hosting -yhtiötä, käsittelet EU-asiakastietoja tai tarjoat data-alustoja, lue tämä tarkkaan. Ajatus siitä, että asiakkaasi kantavat kaiken GDPR-vastuun? Se on mennyttä aikaa.

Vuosina 2018–2024 sakot osuivat yleensä käyttäjien kanssa suoraan toimivaan yhtiöön. Hosting-tarjoaja, pilvipalvelu tai taustajärjestelmä mainittiin ehkä selvityksissä, mutta sakot menivät muualle. Vuonna 2025 tilanne muuttui. Kaksi tuoretta päätöstä osoittaa, mistä on kyse. Jokaisen hosting-johtajan kannattaa miettiä tätä unissaan.

Tapaustutkimus 1: NHS:n tietoturvamurhe £3,07 miljoonan sakolla

Maaliskuussa 2025 Britannian ICO teki historiaa: se sakotti suoraan tietojen prosessoijaa.

Advanced Computer Software Group hoitaa IT-palveluita Britannian terveydenhuoltoon. Elokuussa 2022 hakkereita pääsi sisään asiakastilin kautta, jossa ei ollut multi-factor authenticationia. Tuloksena lähes 900 potilaan kotihoitotiedot paljastuivat – yhteensä 82 946 henkilön datamäärä.

Avainpointti: Sakon sai Advanced, koska se ei suojannut sopimuksellaan saamaansa dataa. Ei siksi, että se omisti potilassuhteen.

ICO löysi puutteita:

• Ei MFA:ta terveydenhuoltodatan käsittelyjärjestelmissä
• Puutteellista haavoittuvuusskannausta
• Heikkoa päivityshallintaa

Alkuperäinen sakko oli £6,1 miljoonaa, mutta yhteistyön jälkeen se putosi £3,07 miljoonaan. Viesti oli selvä: UK GDPR:n artikla 32 vaatii sopivia teknisiä ja organisatorisia turvatoimia. Prosessoijana olet vastuussa niistä. Loppu.

Sakko ei mennyt NHS:lle. Se osui prosessoijaan.

Tapaustutkimus 2: Tietojen pidättämisen ansa €1 miljoonan hintaan

Viisi kuukautta myöhemmin Ranskan CNIL löi jälkensä Mobius Solutionsiin, brittiläiseen SaaS-firmaan, joka hoiti Deezerin mainostietoja.

Sopimus loppui, mutta Mobius piti dataa tallessa. Se käytti sitä vielä oman palvelunsa parantamiseen ilman lupaa.

CNIL listasi kolme rikkomusta:

1. Datan pitäminen sopimuksen jälkeen (Article 28(3)(g))
2. Datan käsittely vastoin ohjeita (Article 28(3)(a))
3. Puuttuvat käsittelyrekisterit (Article 30)

Sakko: €1 miljoona.

Hosting-alalle tämä on erityisen karmaiseva. Kyseessä 46 miljoonaa Deezer-käyttäjää. Mobiusilla ei ollut EU-toimipistettä, joten CNIL:n toimivalta oli suoraviivainen – ei one-stop-shop -poikkeusta. Kolmen vuoden selvitys (2022–2025) johti suoraan prosessoijan sakkoihin.

Miksi tämä koskettaa sinun hosting-bisnestäsi

Nämä eivät ole poikkeuksia. Ne ovat ennakkotapauksia. Tässä opit:

Olet suoraan vastuussa tietoturvasta. Asiakkaan data processing agreement ei pelasta sinua GDPR-sakkojen edessä. DPA siirtää sopimusvastuun, ei sääntelyriskiä. Jos turvatoimesi pettävät, sakot tulevat sinulle.

Datan tuhoaminen on pakollista. Kun sopimus päättyy, data katoaa sovittujen ehtojen mukaan. Säilytys "varmuuden vuoksi" tai oman hyödyn takia johtaa sakkoihin. Mobius osoittaa, ettei tämä ole tulkinnanvaraa.

Turvatasot ovat ehdoton vaatimus. MFA, haavoittuvuuksien hallinta, päivitykset ja pääsyoikeudet eivät ole enää valinnaisia vuonna 2025. Tarkastus paljastaa aukot. Viranomainen sakottaa.

Dokumentaatio on pelastuksesi tai tuomiosi. Mobius mokasikin rekistereissään. Käsittelylokit, turva-auditoinnit, häiriöpäiväkirjat ja säilytysperiaatteet ovat todisteita. Jos et pysty näyttämään noudattamista, olet oletettu rikkoja.

Toimintasuunnitelma heti tänään

Jos käsittelet EU-dataa hosting-, managed- tai SaaS-palveluissasi, tee nämä:

1. Tarkasta tietoturva-arkkitehtuurisi. Onko MFA, salaus, verkkosegmentointi ja skannaus käytössä kaikissa henkilötietojärjestelmissä? Jos ei, olet vaarassa.

2. Käy läpi datan säilytyskäytännöt. Poistuuko asiakastieto automaattisesti sopimuksen loputtua? Pidätkö varmuuskopioita ikuisesti? Dokumentoi ja pakota aikarajat.

3. Päivitä data processing agreementit. Tee niistä tarkat turvavelvoitteista, tuhoamisprosesseista ja auditointioikeuksista. Ei epämääräisyyksiä.

4. Rakenna kattava lokitus ja valvonta. Todista, mitä dataa käsittelet, kuka siihen pääsee ja miten se on suojattu. Tämä on puolustuksesi.

5. Hanki kybervakuutus. GDPR-sakot ovat totta. Vakuutus ei kata kaikkea, mutta se kuuluu fiksuihin riskeihin.

6. Kutsu lakimiehet mukaan. Vuoden 2025 ennakkot ovat uutta. Tarvitset asiantuntijoita, jotka tuntevat tekniset ja juridiset nyanssit.

Karu fakta

GDPR on aina pitänyt prosessoijia suoraan vastuullisina vuodesta 2018. Viranomaiset vain kohdistivat sakot controllereihin – helpompi kohde.

Vuonna 2025 he tajusivat: dataa hallitsevat ja suojaavat yhtiöt ovat suoria kohteita. Ja niin tekevät.

Advanced ja Mobius ovat ensimmäisiä. Ei viimeisiä. Kaikki hosting-tarjoajat, SaaS-firmat ja pilvipalvelut EU-datan kanssa ovat nyt linssin alla.

Ei kysymys ole siitä, sakotetaanko prosessoijia. Heitä sakotetaan jo. Kysymys on, oletko valmis, kun vuorosi koittaa.

NameOceanissa rakensimme Vibe Hostingin compliance-edellä, koska tunnemme kentän. Compliance ei osteta – se rakennetaan infrastruktuuriin, dokumentteihin ja toimintaan.

Aloita nyt. Ennakko on asetettu.