EU dataopphold for byråer: hvordan man faktisk garanterer det

sSystm Team8 min lesing
TL;DR

EU-dataresidency betyr at klientdataene dine fysisk befinner seg i en EU-region og forblir under EU-jurisdiksjonen. En leverandør som sier at den er 'hosted in the EU' er en policy du tar på deg tillit – den kan endres, og den nøytraliserer ikke overføringsrisiko hvis leverandøren eller dens forelder faller inn under lover som USA CLOUD Act.

EU dataopphold betyr at klientdataene dine fysisk bor i en EU-region og forblir underlagt EU-loven – og den eneste måten å faktisk garantere det på er å kontrollere hvor databasen opprettes, på en konto du eier, i stedet for stole på en leverandørs løfte om å “verte i EU” på dine vegne. Bosted og suverenitet er to forskjellige spørsmål, de fleste SaaS svarer bare på det første, og gapet mellom dem er der overføringsrisiko skjuler seg.

Dette innlegget forklarer hva dataopphold egentlig betyr, hvorfor “vert i EU” er en svakere påstand enn det høres ut, hvordan Schrems II og USA CLOUD Act former risiko, og hvordan valg av egen region på egen konto slår bosted fra et løfte om en ressurs du kan peke på. Det er generell informasjon, ikke lovlig råd – bekreft dine egne forpliktelser med advokat.

Hva betyr egentlig “EU dataopphold”?

Data residency er svaret på et fysisk spørsmål: i hvilket land eller region ligger disse dataene i ro? For et byrå som håndterer EU klientdata, målet svaret er vanligvis “i en EU-region,” slik at personlige data forblir innenfor det europeiske økonomiske samarbeidsområdet i stedet for å bli kopiert til servere andre steder.

Men residens i seg selv er bare halve bildet. Den andre halvparten er data suverenitethvis lover styrer dataene, og hvem som kan tvinge tilgang til dem. Data kan være bosatt i Frankfurt og fortsatt falle inn under et ikke-EU juridisk regime hvis selskapet som eier den er underlagt utenlandsk lov. GDPR i seg selv er bygget rundt denne utmerkelsen: kapittel V (artikkel 44–50 i Forskrift (EU) 2016/679) begrenser overføringer av personopplysninger til «tredjeland» nettopp pga hvor dataene går og hvem kan nå dem er separate risikoer fra hvor disken er.

Så et fullstendig oppholdskrav må svare på tre ting, ikke én:

  1. Plassering — hvilken region dataene fysisk befinner seg i.
  2. Jurisdiksjon — hvis lov styrer det og hvem som kan tvinge frem avsløring.
  3. Kontroll — hvem som valgte regionen, og hvem som stille kan endre den senere.

De fleste “vert i EU”-utsagnene svarer bare på de første.

Hvorfor “vert i EU” er et svakt residensløfte

“Vi er vertskap for EU” høres betryggende ut, men som en residensgaranti har den tre myke punkter som har betydning for et byrå som signerer en databehandleravtale.

Det er en policy, ikke en konstruksjon. En leverandør som velger en EU-region i dag kan velge en annen i morgen, legge til en amerikansk failover for motstandskraft, eller flytte støtte verktøy offshore - vanligvis uten å spørre deg. Kravet er kun som holdbar som leverandørens nåværende konfigurasjon og goodwill.

Den dekker sjelden hele kjeden. Den primære databasen kan være i EU mens sikkerhetskopier, logger, feilovervåking, e-postlevering eller AI-funksjoner rute gjennom ikke-EU underprosessorer. Hver av disse er en potensiell overføring av personlig data. “Vert i EU” beskriver en komponent; din Article 28 underprosessor forpliktelsene dekker dem alle.

Det avgjør ikke jurisdiksjon. Hvis leverandøren – eller dens overordnede – er underlagt til utenlandske tilgangslover, EU-plasserte servere legger ikke dataene utenfor rekkevidde av disse lovene. Dette er kjernen i overføringsproblemet, og det er hvor Schrems II og USA CLOUD Act kommer inn.

Vi skrev om mekanikken til underprosessorkjeden mer i dybden dataresidency og GDPR for byråer — Den korte versjonen er at konsolidering uten eierskap bare sentraliserer risiko hos én leverandør i stedet for å spre den på tre.

Hva endrer Schrems II og USA CLOUD Act om EU-data?

To utviklinger gjorde “hvor er serveren” til “hvis lov når dataene,” og enhver ærlig bostedssamtale må ta hensyn til begge deler.

Schrems II (2020). I tilfelle C-311/18, domstolen i Justice of the European Union ugyldiggjorde EU-US Privacy Shield-rammeverket og fastslått at standard kontraktsbestemmelser bare er en gyldig overføringsmekanisme hvis dataene mottar fortsatt beskyttelse i hovedsak tilsvarende med EU-loven i destinasjonsland. Den praktiske effekten: du kan ikke overføre personopplysninger utenfor EU på papirarbeid alene — du må vurdere det faktiske juridiske regimet dataene vil bli utsatt for. (En etterfølger avgjørelse om tilstrekkelighet, EU-US Data Privacy Framework, ble vedtatt i juli 2023, men det har allerede blitt lovlig utfordringer, så det er optimistisk å stole på det som permanent.)

USA CLOUD Act (2018). The Clarifying Lawful Overseas Use of Data Act tillater amerikanske myndigheter å tvinge selskaper underlagt amerikansk jurisdiksjon til å produsere data de kontrollerer — uavhengig av hvor disse dataene er fysisk lagret. A US selskap (eller et EU datterselskap av en) kan derfor være tilgjengelig selv når servere er i EU. Dette er den konkrete grunnen “vert i EU” og “under EU jurisdiksjon” er ikke den samme setningen.

Ingen av disse betyr at EU-byråer ikke kan bruke teknologi med noen amerikansk forbindelse — mange kompatible oppsett finnes. Det betyr jurisdiksjonen og kontrollen spørsmål er bærende, og en boplikt som kun snakker om geografien lar dem stille ubesvart.

“Vert i EU” kontra residency på din egen konto

Forskjellen er lettest å se side om side. Kolonnene nedenfor sammenligner en typisk leverandør “vert i EU”-løftet med en database klargjort på din egen skykonto, i en region du har valgt.

Spørsmål “Vert i EU” (leverandørløfte) Bosted for egen regning
Hvem velger regionen Leverandøren, som en policy Du, på leveringstidspunktet
Hvem kan endre det senere Leverandøren, ofte uten varsel Du – det er din ressurs
Hvem sin konto inneholder dataene Leverandørens Din
Jurisdiksjonseksponering Avhenger av leverandørens/forelderens juridiske hjem Avgrenset av din konto og regionvalg
Underprosessorkjede Leverandørens fullstendige liste, som kan vokse Kortere — infrastruktur du allerede har kontrakt med
Bevis for revisor En klausul i en policy En ressurs som er synlig i ditt eget dashbord
Hva skjer ved utgang Eksporter, deretter stoler på sletting Databasen forblir din; leverandøren mister tilgang

Poenget er ikke at “vert i EU” er uærlig – mange leverandører mener det oppriktig. Det er at hver rad til venstre er et løfte du må stole på, og hver rad til høyre er et faktum du kan inspisere. For en datasuverenitet spørsmål på byråskala, inspiserbare beats pålitelige.

Hvordan å velge din egen region på din egen konto garanterer bosted

Dette er designbeslutningen bak sSystm og, mer generelt, BYOC (Bring Your Own Cloud)-modellen: det er ingen sentral leverandørdatabase som inneholder CRM-dataene dine. Når organisasjonen din registrerer seg med sin egen Cloudflare-konto, tilbyr sSystm en dedikert Cloudflare D1 database på kontoen din, i regionen du velger, med en valgfri hard EU-jurisdiksjonsgaranti.

Hvorfor det er et sterkere bostedskrav enn “vert i EU”:

  • Du velger regionen, og det er din ressurs. Databasen vises i din eget Cloudflare dashbord. Residency er ikke en innstilling leverandøren administrerer for du — det er et valg du har tatt på infrastruktur du kontrollerer.
  • ** EU-jurisdiksjonsgarantien er vanskelig, ikke en preferanse.** Med den aktivert, databasen er festet til EU jurisdiksjon i stedet for misligholdt der og potensielt flyttet. Som direkte adresserer suverenitet halvparten av spørsmål, ikke bare geografihalvdelen.
  • Kjeden er kortere og nærmere deg. Dataene sitter på infrastruktur du allerede har et direkte forhold til, noe som forkorter listen over partier med teknisk tilgang – det Article 30-postene dine må spore.
  • Exit flytter ikke dataene. Fordi databasen alltid var på din konto, tilbakekaller leverandørens tilgang i stedet for å forlate plattformen utløser en migrasjon. Det er ingenting å eksportere fordi det ikke er noe å la bak seg.

Ingenting av dette fjerner ditt ansvar som behandlingsansvarlig. sSystm fortsatt driver programvaren og teller fortsatt som en prosessor under GDPR, så du fortsatt trenger din egen DPA, din egen underbehandlerdokumentasjon, og - hvis dette er en live samsvarsspørsmål – din egen juridiske gjennomgang. Det som endres er styrken til underliggende krav: du kan vise databasen, kontoen og regionen i stedet å sitere en policy. Flere detaljer om sikkerheten og datamodellen lever på sikkerhetsside.

Hvordan garantere faktisk EU dataopphold: en sjekkliste

Før du skriver et oppholdskrav til en klient-DPA, må du bekrefte følgende om ethvert verktøy du bruker — sSystm inkludert:

  1. Er databasen på kontoen min eller leverandørens? Dedikert-men-leverandøreid er isolasjon, ikke bosted du kontrollerer.
  2. Kan jeg velge regionen — og er det et reelt leveringsvalg eller et markedsføringslinje? Be om å se den i din egen konsoll.
  3. Er EU jurisdiksjon garantert eller bare misligholdt? En mislighold kan avvike; a garanti er en forpliktelse.
  4. Hva er den fullstendige underprosessorlisten, inkludert sikkerhetskopier, logger, e-post og AI funksjoner? De myke punktene er vanligvis utenfor den primære databasen.
  5. Er leverandøren (eller dens forelder) underlagt utenlandske tilgangslover? Dette er Schrems II / CLOUD Act spørsmål — og det overlever en EU-region.
  6. Hva skjer ved utgang? Det riktige svaret er: leverandøren mister tilgang, du beholde dataene, uten eksporttrinn.

Hvis en leverandør svarer på de tre første med “på kontoen din, din valgte region, garantert EU jurisdiksjon,” har du et bostedskrav du kan bevise. Hvis svarene er alle “stol på vår policy,” du har et løfte - som godt kan være hedret, men er ikke det samme.

Hvor dette etterlater deg

EU dataopphold er ikke en avmerkingsboks; det er tre spørsmål - plassering, jurisdiksjon og kontroll — og «vert i EU» svarer bare på én av dem. Schrems II og USA CLOUD Act er grunnen til at de to andre betyr noe, fordi de viser at hvor en disk sitter og hvis lov når den kan divergere. De fleste robust svar tilgjengelig for et byrå i dag er å holde databasen på egen hånd konto, i en region du velger, under en hard EU-jurisdiksjonsgaranti – så residency blir en ressurs du kan peke på i stedet for et løfte du må tro.

Start med hva et BYOC-byrå OS er for underliggende modell, les dypere GDPR og sammenbrudd av underbehandler, og se sikkerhets- og datamodellen for hvordan tilkoblingen fungerer øve. Denne artikkelen er generell informasjon om dataopphold, ikke lovlig råd; for dine spesifikke forpliktelser, snakk med advokat.

Vanlige spørsmål

Hva er forskjellen mellom EU dataopphold og EU datasuverenitet?

Dataresidency handler om hvor dataene fysisk befinner seg – hvilken region serverne er i. Datasuverenitet handler om hvis lover styrer disse dataene og hvem som kan tvinge tilgang til dem. Et datasett kan være hjemmehørende i en EU-region, men likevel falle inn under en ikke-EU-jurisdiksjon hvis selskapet som driver det er underlagt utenlandsk lov, som er nøyaktig gapet Schrems II som er fremhevet. Å garantere bosted uten å adressere jurisdiksjon løser bare halve problemet.

Gjør «hosted in the EU» et SaaS-produkt GDPR-kompatibelt?

Ikke på egen hånd. Å velge en EU-region reduserer sjansen for en internasjonal overføring, men hvis leverandøren eller dets morselskap er underlagt utenlandske tilgangslover, eller ruter data gjennom ikke-EU-underbehandlere for støtte, sikkerhetskopiering eller AI-funksjoner, kan personopplysninger fortsatt overføres eller få tilgang til utenfor EU. "Vert i EU" er et nyttig signal, ikke et fullstendig svar - du må fortsatt vite hvem som kontrollerer regionen, underprosessorkjeden og overføringsmekanismen.

Hva avgjorde egentlig Schrems II-dommen?

I juli 2020 ugyldiggjorde domstolen for EU (sak C-311/18) EU-US Privacy Shield og bekreftet at standardkontraktsklausuler bare er gyldige hvis dataene fortsatt får beskyttelse som i hovedsak tilsvarer EU-loven i destinasjonslandet. I praksis betyr det at du må vurdere det juridiske regimet data er utsatt for – ikke bare krysse av i en kontraktsboks – før du overfører personopplysninger utenfor EU.

Hvordan kan et byrå bevise hvor klientdataene deres bor overfor en revisor?

Det sterkeste beviset er en ressurs du kan vise, ikke en policy du kan sitere. Hvis databasen er klargjort på din egen skykonto i en region du har valgt, kan du åpne ditt eget skydashbord og vise kontoen, regionen og selve ressursen. Det gjør "vi stoler på leverandørens residenspolicy" til "her er databasen, her er regionen" - som er det de fleste kunder og revisorer faktisk ønsker å se.

Fjerner det å velge en EU-region USAs CLOUD Act eksponering helt?

Det reduserer det, men eliminerer det ikke automatisk. Den amerikanske CLOUD Act kan nå data som holdes av selskaper underlagt amerikansk jurisdiksjon uavhengig av hvor serverne fysisk sitter. Det som reduserer eksponeringen er en kombinasjon: en EU-region, en database på en konto du kontrollerer i stedet for leverandørens, en kort og EU-basert underbehandlerkjede og juridisk rådgivning om ditt spesifikke oppsett. Behandle enhver enkeltfaktor "vi er immun"-påstander med forsiktighet.

byocgdprdata-residencydata-sovereigntycompliance

sSystm er det første BYOC-byrå-OS — dine kunder, din kode og skyen din på din egen Cloudflare-konto, med AI-en din som jobber i hele arbeidsområdet via MCP.

Meld deg på ventelisten