EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 52017PC0495
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a framework for the free flow of non-personal data in the European Union
Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie
Voorstel voor een VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie
COM/2017/0495 final - 2017/0228 (COD)
EUROPESE COMMISSIE
Brussel, 13.9.2017
COM(2017) 495 final
2017/0228(COD)
Voorstel voor een
VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD
inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie
{SWD(2017) 304 final}
{SWD(2017) 305 final}
TOELICHTING
1.ACHTERGROND VAN HET VOORSTEL
•Motivering en doel van het voorstel
Nieuwe digitale technologieën, zoals cloudcomputing, big data, kunstmatige intelligentie en het internet der dingen worden ontwikkeld om de efficiëntie te maximaliseren, schaalvergroting mogelijk te maken en nieuwe diensten op te zetten. Ze bieden de gebruikers voordelen, bijvoorbeeld op het gebied van flexibiliteit, productiviteit, snelheid van inzet en autonomie, onder meer met behulp van machine-learning 1 .
Zoals vermeld in de mededeling van 2017 "Bouwen aan een Europese data-economie" 2 , had de EU-datamarkt in 2016 een geraamde omvang van 60 miljard EUR - een groei van 9,5 % ten opzichte van 2015. Volgens een studie kan deze markt in 2020 goed zijn voor meer dan 106 miljard EUR 3 .
Om dit potentieel te kunnen benutten, wordt een voorstel gelanceerd dat de volgende doelstellingen bevat:
·verbeteren van de grensoverschrijdende mobiliteit van niet-persoonsgebonden gegevens op de eengemaakte markt. Deze mobiliteit is momenteel in veel lidstaten aan beperkingen onderhevig omdat er lokalisatierestricties gelden of omdat er rechtsonzekerheid op de markt heerst;
·ervoor zorgen dat de bevoegde autoriteiten de bevoegdheid behouden om toegang tot gegevens te vragen of te krijgen voor wettelijke doeleinden, bijvoorbeeld voor inspecties of voor audits; en
·ervoor zorgen dat professionele gebruikers van gegevensopslag- of andere gegevensverwerkingsdiensten gemakkelijker naar een andere dienstverlener kunnen overstappen en hun gegevens gemakkelijker kunnen meenemen zonder al te veel rompslomp voor de dienstverleners en zonder verstoring van de markt.
In de tussentijdse evaluatie van de uitvoering van de strategie voor de digitale eengemaakte markt 4 is een wetgevingsvoorstel met een samenwerkingskader voor een vrij verkeer van gegevens in de EU aangekondigd.
Het algemene beleidsdoel van het initiatief is de totstandbrenging, op basis van de bovengenoemde elementen, van een meer concurrerende en geïntegreerde interne markt voor diensten en activiteiten op het gebied van gegevensopslag en andere vormen van gegevensverwerking. In dit voorstel wordt het begrip gegevensopslag en andere vormen van gegevensverwerking in brede gebruikt: het omvat het gebruik van alle soorten IT-systemen, ongeacht of deze zich bij de gebruiker zelf bevinden of zijn uitbesteed aan verleners van gegevensopslag- of andere gegevensverwerkingsdiensten 5 .
•Verenigbaarheid met bestaande bepalingen op het beleidsterrein
Het voorliggende voorstel sluit aan bij de doelstellingen van de strategie voor een digitale eengemaakte markt 6 , de recente tussentijdse evaluatie van die strategie, alsmede de politieke beleidslijnen voor de zittende Europese Commissie: "Een nieuwe start voor Europa: mijn agenda voor banen, groei, billijkheid en democratische verandering" 7 .
Het voorstel is gericht op de verlening van datahostingdiensten (opslag) en andere gegevensverwerkingsdiensten en ligt in het verlengde van bestaande rechtsinstrumenten. Het is de bedoeling om een doeltreffende eengemaakte EU-markt voor dergelijke diensten te creëren. Het initiatief is derhalve verenigbaar met de Richtlijn elektronische handel 8 , die gericht is op de totstandbrenging van een brede, doeltreffende eengemaakte EU-markt voor de bredere categorieën van diensten van de informatiemaatschappij, en met de Dienstenrichtlijn 9 , die gericht is op een verdieping van de eengemaakte EU-markt voor diensten in een aantal sectoren.
Een aantal relevante sectoren is uitdrukkelijk uitgesloten van het toepassingsgebied van die wetgeving (de Richtlijn elektronische handel en de Dienstenrichtlijn). Daardoor zijn alleen de algemene bepalingen van het Verdrag van toepassing op diensten op het gebied van datahosting (gegevensopslag) en andere vormen van gegevensverwerking. Bestaande belemmeringen voor deze diensten kunnen echter niet op doeltreffende wijze worden weggenomen door terug te vallen op de rechtstreekse toepassing van de artikelen 49 en 56 van het Verdrag betreffende de werking van de Europese Unie, ten eerste omdat een behandeling per geval via inbreukprocedures tegen de betrokken lidstaten uiterst ingewikkeld is voor de nationale en Unie-instellingen, en ten tweede omdat tal van belemmeringen alleen kunnen worden opgeheven door middel van specifieke regelgeving waarmee niet alleen publieke, maar ook particuliere belemmeringen worden aangepakt, en door middel van administratieve samenwerking. Bovendien is de grotere rechtszekerheid die daaruit voortvloeit, van groot belang voor gebruikers van nieuwe technologieën 10 .
Aangezien dit voorstel betrekking heeft op andere elektronische gegevens dan persoonsgegevens, heeft het geen gevolgen voor het Unierechtskader voor gegevensbescherming, en met name Verordening (EU) 2016/679 (de algemene verordening gegevensbescherming) 11 , Richtlijn (EU) 2016/680 (Richtlijn politie) 12 en Richtlijn 2002/58/EG (ePrivacyrichtlijn) 13 , die een hoog beschermingsniveau voor persoonsgegevens en het vrij verkeer van persoonsgegevens in de Unie waarborgen. Samen met dat rechtskader biedt het voorstel een breed, coherent EU-kader dat het vrij verkeer van gegevens op de eengemaakte markt mogelijk maakt.
Het voorstel bevat het vereiste dat voorgenomen gegevenslokalisatiemaatregelen in het kader van Transparantierichtlijn 2015/1535 14 moeten worden gemeld zodat kan worden beoordeeld of dergelijke lokalisatiebeperkingen gegrond zijn.
Wat de samenwerking en wederzijdse bijstand tussen de bevoegde autoriteiten betreft, is in het voorstel vastgelegd dat eerst alle bestaande mechanismen moeten worden toegepast. Voor de gevallen waarin een samenwerkingsmechanisme ontbreekt, bevat het voorstel maatregelen die ervoor zorgen dat de bevoegde autoriteiten in elk geval gegevens kunnen uitwisselen en toegang tot gegevens kunnen krijgen die in een andere lidstaat zijn opgeslagen of anderszins zijn verwerkt.
•Samenhang met andere beleidsterreinen van de Unie
In lijn met de strategie voor de digitale eengemaakte markt moet dit initiatief de belemmeringen voor een concurrerende datagestuurde economie terugdringen. Conform de mededeling over de tussentijdse evaluatie van die strategie verricht de Commissie een afzonderlijke verkenning voor de toegankelijkheid en het hergebruik van openbare en door de overheid gefinancierde gegevens en van gegevens die in particulier bezit, maar van openbaar belang zijn, en voor de aansprakelijkheid in gevallen waarin data-intensieve producten schade veroorzaken 15 .
De beleidsinterventie bouwt ook voort op het beleidspakket voor de digitalisering van het Europese bedrijfsleven. Een onderdeel daarvan was het Europese cloudinitiatief 16 voor een cloudoplossing met een grote capaciteit voor de opslag, het delen en het hergebruik van wetenschappelijke gegevens. Voorts knoopt het initiatief aan bij de herziening van het Europese interoperabiliteitskader 17 voor een betere digitale samenwerking tussen overheden in Europa. Dat kader zal rechtstreeks profiteren van het vrije verkeer van gegevens. Tot slot draagt het bij aan de EU-ambitie voor een open internet 18 .
2.RECHTSGRONDSLAG, SUBSIDIARITEIT EN EVENREDIGHEID
•Rechtsgrondslag
Dit voorstel valt onder een gedeelde bevoegdheid overeenkomstig artikel 4, lid 2, onder a), VWEU en moet resulteren in een meer concurrerende en geïntegreerde interne markt voor gegevensopslag en andere gegevensverwerkingsdiensten doordat het vrije verkeer van gegevens in de EU mogelijk wordt. Het bevat regels voor gegevenslokalisatievereisten, de beschikbaarheid van gegevens voor bevoegde autoriteiten en de portabiliteit van gegevens voor professionele gebruikers. Het voorstel berust op artikel 114 VWEU, dat de algemene rechtsgrondslag voor de vaststelling van dergelijke regels is.
•Subsidiariteit
Het voorstel is in overeenstemming met het subsidiariteitsbeginsel van artikel 5 van het Verdrag betreffende de Europese Unie (VEU). Het voorstel moet zorgen voor een soepele werking van de interne markt voor de bovengenoemde diensten, die niet meer beperkt blijven tot het grondgebied van één lidstaat. Het vrije verkeer van niet-persoonsgebonden gegevens in de Unie kan niet door de lidstaten op nationaal niveau tot stand worden gebracht omdat de grensoverschrijdende mobiliteit van gegevens juist het kernprobleem is.
De lidstaten kunnen hun gegevenslokalisatiebeperkingen qua aantal en reikwijdte zelf afbouwen, maar zullen dat waarschijnlijk in uiteenlopende mate en onder uiteenlopende voorwaarden doen of niet allemaal doen.
Een van lidstaat tot lidstaat uiteenlopende aanpak zou echter leiden tot een veelvoud aan regelgevingsvereisten op de interne markt van de EU en tot materiële extra kosten voor het bedrijfsleven, en met name kmo's (het mkb).
•Evenredigheid
Het voorstel is in overeenstemming met het subsidiariteitsbeginsel van artikel 5 VEU omdat het een doeltreffend kader bevat dat niet verder gaat dan nodig is voor de oplossing van de geconstateerde problemen en voor de verwezenlijking van de doelen ervan.
Om in de Unie belemmeringen voor het vrije verkeer van niet-persoonsgebonden gegevens in de vorm van gegevenslokalisatievereisten weg te nemen en het vertrouwen in grensoverschrijdend gegevensverkeer en in gegevensopslag- en andere gegevensverwerkingsdiensten te vergroten, leunt het voorstel in hoge mate op bestaande EU-instrumenten en -kaders: de Transparantierichtlijn voor de melding van voorgenomen gegevenslokalisatiemaatregelen en uiteenlopende kaders die ervoor zorgen dat gegevens beschikbaar blijven voor wettelijke, door de lidstaten voorgeschreven controles. Alleen wanneer dergelijke samenwerkingsmechanismen niet bestaan en andere middelen om toegang te krijgen tot gegevens zijn uitgeput, kan een beroep worden gedaan op het in het voorstel opgenomen samenwerkingsmechanisme om problemen ten aanzien van de beschikbaarheid van gegevens voor nationale autoriteiten aan te pakken.
De voorgestelde aanpak voor het verkeer van gegevens tussen lidstaten en tussen dienstverleners/interne IT-systemen probeert een evenwicht te vinden tussen EU-regelgeving en openbare-veiligheidsbelangen van de lidstaten en tussen EU-regelgeving en zelfregulering door de markt.
Zo bevordert het initiatief, ter verlichting van de problemen die professionele gebruikers ondervinden wanneer ze willen overstappen naar een andere dienstverlener en hun gegevens willen meenemen, zelfregulering in de vorm van gedragscodes over de informatie die aan gebruikers van gegevensopslag- of andere gegevensverwerkingsdiensten moet worden verstrekt. Ook moeten op basis van de door zelfregulering tot stand gekomen overstap- en portabiliteitsvoorwaarden de beste praktijken op dit gebied worden beschreven.
In het voorstel wordt herinnerd aan het feit dat de beveiligingseisen zoals vastgelegd in nationaal en in Unierecht, ook moeten worden gewaarborgd wanneer natuurlijke of rechtspersonen hun gegevensopslag- of gegevensverwerkingsdiensten uitbesteden, dus ook in een andere lidstaat. Ook wordt gewezen op de uitvoeringsbevoegdheden die in het kader van de richtlijn betreffende de beveiliging van netwerk- en informatiesystemen aan de Commissie zijn toegekend op het gebied van beveiligingseisen die ook bijdragen tot de werking van deze verordening. Tot slot is, ondanks het feit dat op grond van het voorstel actie noodzakelijk is van de kant van de overheden van de lidstaten vanwege de meldings-, de evaluatie- en de transparantievereisten en de nodige administratieve samenwerking, het voorstel zo opgezet dat dergelijke actie tot een minimum wordt beperkt, namelijk alleen tot de nodige samenwerking, en dat aldus onnodige administratieve rompslomp wordt voorkomen.
Door een duidelijk kader in te stellen met als flankerende elementen zelfregulering en samenwerking tussen en met de lidstaten, moet dit voorstel leiden tot meer rechtszekerheid en vertrouwen en moet het op lange termijn relevant en doeltreffend blijven vanwege de flexibiliteit van het samenwerkingskader dat op centrale aanspreekpunten in de lidstaten berust.
De Commissie wil een deskundigengroep opzetten die haar adviseert over de aangelegenheden die onder deze verordening vallen.
•Keuze van het instrument
De Commissie komt met een voorstel voor een verordening, die ervoor kan zorgen dat uniforme regels voor het vrije verkeer van niet-persoonsgebonden gegevens tegelijkertijd in de gehele Unie van toepassing zijn. Dit is met name van belang om bestaande beperkingen op te heffen en nieuwe beperkingen van de lidstaten te voorkomen, de rechtszekerheid voor de betrokken dienstverleners en gebruikers te waarborgen en dus het vertrouwen in het grensoverschrijdende gegevensverkeer en in gegevensopslag- en gegevensverwerkingsdiensten te vergroten.
3.EVALUATIE, RAADPLEGING VAN BELANGHEBBENDEN EN EFFECTBEOORDELING
•Raadpleging van belanghebbenden
In 2015 is in een eerste ronde informatiemateriaal verzameld via een openbare raadpleging over het regelgevingsklimaat voor platforms en online tussenpersonen, data- en cloudcomputing en de deeleconomie. Twee derde van de ondervraagden - gelijkelijk verdeeld over alle groepen belanghebbenden, inclusief kmo's - vond dat de gegevenslokalisatiebeperkingen schadelijk waren voor hun bedrijfsstrategie 19 . Andere activiteiten om informatiemateriaal te verzamelen, waren bijeenkomsten en evenementen en gerichte workshops met de belangrijkste belanghebbenden (bijv. de Cloud Select Industry Group) en speciale workshops in het kader van studies.
Van eind 2016 tot de eerste helft van 2017 heeft een tweede informatieverzamelronde plaatsgevonden waarbij op 10 januari 2017 een openbare raadpleging is gelanceerd in het kader van de mededeling "Bouwen aan een Europese data-economie". 61,9 % van de ondervraagde belanghebbenden gaf in de raadpleging aan dat zij vonden dat gegevenslokalisatiebeperkingen moesten worden afgeschaft. Een meerderheid van de deelnemende belanghebbenden (55,3 %) vond wetgeving het meest geschikte instrument om onterechte gegevenslokalisatiebeperkingen aan te pakken. Een aantal van hen pleitte expliciet voor een verordening 20 . IT-dienstverleners, ongeacht of het om grote of om kleine bedrijven ging en ongeacht of ze in de EU waren gevestigd of daarbuiten, spraken zich het meest uit voor wetgeving. Ook werd concreet aangegeven wat de schadelijke effecten van gegevenslokalisatiebeperkingen waren. Naast hogere kosten voor bedrijven hadden deze betrekking op de dienstverlening aan particuliere of publieke entiteiten (69,6 % van de ondervraagde belanghebbenden meldde een "sterk" schadelijk effect) en op de mogelijkheid om een nieuwe markt te betreden ("sterk" schadelijk effect volgens 73,9 % van de ondervraagde belanghebbenden). De antwoordpercentages bij deze vragen waren min of meer hetzelfde voor alle belanghebbenden ongeacht hun achtergrond. Uit de openbare online raadpleging kwam ook naar voren dat problemen bij het overstappen naar een andere dienstverlener op grote schaal voorkomen: 56,8 % van de kmo-respondenten hebben daarbij moeilijkheden ondervonden.
Op basis van de gestructureerde dialoog met de lidstaten zijn de lidstaten op één lijn gekomen. Zestien lidstaten hebben in een brief aan voorzitter Tusk uitdrukkelijk gepleit voor een wetgevingsvoorstel.
Het voorstel houdt rekening met een aantal door de lidstaten en de sector gesignaleerde aandachtspunten, en met name de volgende: er is een horizontaal beginsel van vrij verkeer van gegevens nodig dat voor rechtszekerheid zorgt, de toegankelijkheid van gegevens voor wettelijke controles moet verbeteren en het moet voor professionele gebruikers gemakkelijker worden om naar een andere verlener van gegevensopslag- en andere gegevensverwerkingsdiensten over te stappen en gegevens mee te nemen, door bevordering van de transparantie op het gebied van de toepasselijke procedures en voorwaarden in de contracten, maar zonder de dienstverleners in deze fase specifieke normen of verplichtingen op te leggen.
•Bijeenbrengen en gebruik van expertise
Voor diverse gegevensmobiliteitsaspecten, waaronder gegevenslokalisatievereisten 21 , van dienstverlener wisselen/gegevens meenemen 22 en gegevensbeveiliging 23 is gebruikgemaakt van de resultaten van juridische en economische studies. Voorts is opdracht gegeven voor studies over de effecten van cloudcomputing 24 en cloudgebruik 25 en over de Europese datamarkt 26 . Ook zijn studies verricht naar co- of zelfreguleringsacties in de cloudcomputingsector 27 . Daarnaast heeft de Commissie geput uit externe bronnen, waaronder marktevaluaties en statistieken (bijv. van Eurostat).
•Effectbeoordeling
Voor dit voorstel is een effectbeoordeling verricht. In de beoordeling is gekeken naar de volgende opties en subopties: een basisscenario (geen beleidsinterventie) en drie beleidsopties: Optie 1: richtsnoeren en/of zelfregulering voor de uiteenlopende problemen in combinatie met een intensivering van de handhaving met betrekking tot de verschillende categorieën ongefundeerde of onevenredige gegevenslokalisatievereisten van de lidstaten. Optie 2: vaststelling van rechtsbeginselen voor de uiteenlopende problemen en aanwijzing door de lidstaten van centrale aanspreekpunten en oprichting van een deskundigengroep die gemeenschappelijke benaderingen en praktijken bespreekt voor en advies uitbrengt over de beginselen die in het kader van deze optie worden ingevoerd. Ook is gekeken naar een suboptie 2a, waarin wetgeving voor het vrije verkeer van gegevens, de centrale aanspreekpunten en een deskundigengroep wordt gecombineerd met zelfreguleringsmaatregelen voor het meenemen van gegevens. Optie 3: een gedetailleerd wetgevingsinitiatief met onder meer vooraf vastgestelde (geharmoniseerde) beoordelingen van wat (on)gefundeerde en (on)evenredige gegevenslokalisatiebeperkingen zijn, en met een nieuw recht om gegevens mee te nemen.
Op 28 september 2016 heeft de Raad voor regelgevingstoetsing een eerste advies over de effectbeoordeling uitgebracht en om herindiening ervan verzocht. Vervolgens is de beoordeling herzien en op 11 augustus 2017 opnieuw bij de raad ingediend. In zijn tweede advies constateerde de Raad voor de regelgevingstoetsing dat het toepassingsgebied na de mededeling van de Commissie "Bouwen aan een Europese data-economie" (COM(2017) 9 final) was verbreed en dat er meer informatiemateriaal was over de opvattingen van de belanghebbenden en over de tekortkomingen van het huidige kader. De raad bracht op 25 augustus 2017 echter opnieuw een negatief advies uit, met name omdat het nieuwe portabiliteitsrecht bij clouddiensten gebrekkig was onderbouwd met bewijs. Conform de eigen uitvoeringspraktijk heeft de raad dit advies ook als eindadvies aangemerkt.
De Commissie achtte het wenselijk om een voorstel in te dienen. Tegelijk werd de effectbeoordeling verder verbeterd op basis van de opmerkingen van de raad in zijn tweede advies. Het toepassingsgebied van het voorstel is verbreed tot het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie. Overeenkomstig de bevinding van de raad dat het informatiemateriaal op een minder vergaande optie voor de gegevensportabiliteit wijst, is afgestapt van de voorkeursoptie in de effectbeoordeling om dienstverleners te verplichten om de overstap naar een andere dienstverlener en het meenemen van gebruikersgegevens gemakkelijker te maken. In plaats daarvan is gekozen voor een minder omslachtige optie: door de Commissie gefaciliteerde zelfreguleringsmaatregelen. Het voorstel is evenredig en minder vergaand omdat het geen nieuw recht creëert om gegevens van de ene verlener van gegevensopslag- of andere gegevensverwerkingsdiensten mee te nemen naar de andere, maar leunt op zelfregulering wat betreft de transparantie van de technische en operationele portabiliteitsvoorwaarden.
In het voorstel is ook op een ander punt rekening gehouden met het oordeel van de raad: er is geen overlap of duplicatie met de evaluatie van het mandaat van het Europees Agentschap voor netwerk- en informatiebeveiliging (Enisa) en de vorming van een Europees ICT-cyberbeveiligingskader.
Uit de effectbeoordeling is gebleken dat de voorkeursoptie, suboptie 2a, ervoor zorgt dat bestaande, ongefundeerde lokalisatiebeperkingen op basis van een duidelijk rechtsbeginsel in combinatie met de evaluatie, melding en transparantie worden opgeheven en voorkomen en dat tegelijk de rechtszekerheid en het vertrouwen op de markt zullen toenemen. De lasten blijven bescheiden voor de overheden in de lidstaten: ongeveer 33 000 EUR voor personele middelen in verband met de centrale aanspreekpunten en 385 à 1925 EUR per jaar voor de opstelling van de meldingen.
Het voorstel zal de concurrentie aanwakkeren, de innovatie op het gebied van gegevensopslag- en andere gegevensverwerkingsdiensten bevorderen, deze diensten aantrekkelijker maken en het veel gemakkelijker maken, met name voor nieuwe en kleine dienstverleners, om nieuw markten te betreden. Ook worden het grensoverschrijdende en sectoroverschrijdende gebruik van gegevensopslag- en andere gegevensverwerkingsdiensten en de ontwikkeling van de datamarkt bevorderd. Derhalve zal het voorstel bijdragen tot een transformatie van de maatschappij en economie, en nieuwe kansen bieden voor burgers, bedrijven en overheden.
•Resultaatgerichtheid en vereenvoudiging
Het voorstel geldt voor burgers, nationale overheden en alle ondernemingen, inclusief micro-ondernemingen en kmo's. Alle ondernemingen kunnen profiteren van de voorgestelde regels om belemmeringen voor de gegevensmobiliteit weg te nemen. Met name kmo's zullen er baat bij hebben omdat zij hun kosten direct kunnen verlagen, en hun concurrentiepositie wordt versterkt dankzij het vrije verkeer van niet-persoonsgebonden gegevens. Als kmo's worden vrijgesteld van de regels, zou dat ten koste gaan van de doeltreffendheid ervan omdat kmo's een belangrijk deel vormen van de verleners van gegevensopslag- en andere gegevensverwerkingsdiensten en aanjagers zijn van de innovatie op deze markten. Omdat bovendien mag worden aangenomen dat de regelgeving geen substantiële kosten meebrengt, mogen micro-ondernemingen en kmo's niet worden uitgesloten van het toepassingsgebied van de verordening.
•Grondrechten
De voorgestelde verordening eerbiedigt de grondrechten en de in het Handvest van de grondrechten van de Europese Unie erkende beginselen. Ook mag ervan worden uitgegaan dat de voorgestelde verordening de vrijheid van ondernemerschap (artikel 16) bevordert omdat ongefundeerde en onevenredige belemmeringen voor het gebruik en de verlening van datadiensten, zoals clouddiensten, en voor de configuratie van interne IT-systemen worden weggenomen en voorkomen.
4.GEVOLGEN VOOR DE BEGROTING
De verordening brengt bescheiden administratieve lasten voor de overheden van de lidstaten mee: er moeten personele middelen worden uitgetrokken in verband met de samenwerking tussen de lidstaten via de "centrale aanspreekpunten" en in verband met de naleving van de meldings-, evaluatie- en transparantiebepalingen.
5.OVERIGE ELEMENTEN
•Uitvoeringsplanning en regelingen betreffende monitoring, evaluatie en rapportage
Vijf jaar nadat de regels van toepassing zijn geworden, zal er een brede evaluatie van de doeltreffendheid en evenredigheid ervan plaatsvinden. Deze evaluatie wordt verricht conform de richtsnoeren voor betere regelgeving.
Daarbij zal met name moeten worden nagegaan of de verordening heeft geleid tot een vermindering van het aantal en de reikwijdte van gegevenslokalisatiebeperkingen en tot een vergroting van de rechtszekerheid en de transparantie van (gefundeerde en evenredige) eisen die in dit verband nog wel worden gesteld. Ook zal moeten worden beoordeeld of het beleidsinitiatief heeft geleid tot een groter vertrouwen in het vrije verkeer van niet-persoonsgebonden gegevens, of de lidstaten in het kader van hun wettelijke controles redelijke toegang hebben tot in het buitenland opgeslagen gegevens en of de verordening heeft geleid tot een grotere transparantie wat betreft de voorwaarden om gegevens mee te nemen.
Het is de bedoeling dat de centrale aanspreekpunten van de lidstaten tijdens de evaluatie ex post van de wetgeving gaan fungeren als waardevolle informatiebron.
Aan de hand van indicatoren (zoals voorgesteld in de effectbeoordeling) wordt dan de vooruitgang ter zake gemeten. Ook is het de bedoeling om gebruik te maken van Eurostat-gegevens en de index van de digitale economie en maatschappij. Verder wordt in dit verband gedacht aan een speciale editie van de Eurobarometer.
•Artikelsgewijze toelichting
De artikelen 1, 2 en 3 bevatten een beschrijving van het doel, het toepassingsgebied en de voor de toepassing van de verordening geldende definities.
In artikel 4 is het beginsel van vrij verkeer van niet-persoonsgebonden gegevens in de Unie vastgelegd. Op grond van dit beginsel zijn gegevenslokalisatievereisten verboden, tenzij de openbare veiligheid in het geding is. Voorts is in dit artikel bepaald dat bestaande vereisten moeten worden geëvalueerd en resterende of nieuwe vereisten aan de Commissie moeten worden gemeld. Ook voorziet dit artikel in transparantiemaatregelen.
Artikel 5 moet ervoor zorgen dat gegevens toegankelijk blijven voor wettelijke controles door de bevoegde autoriteiten. In dit verband mogen gebruikers niet inzage in hun gegevens door de bevoegde autoriteiten weigeren op grond van het feit dat die gegevens in een andere lidstaat zijn opgeslagen of anderszins zijn verwerkt. Wanneer alle beschikbare middelen van een bevoegde autoriteit om toegang tot de gegevens te krijgen, zijn uitgeput, mag die bevoegde autoriteit om bijstand van een autoriteit in een andere lidstaat vragen, indien er geen specifiek samenwerkingsmechanisme bestaat.
In artikel 6 is bepaald dat de Commissie de dienstverleners en de professionele gebruikers moet stimuleren om gedragscodes op te stellen en in te voeren die voldoende gedetailleerde, duidelijke en transparante informatie bevatten over de voorwaarden waaronder gegevens kunnen worden meegenomen (inclusief de technische en operationele vereisten). De dienstverleners moeten die informatie vóór de sluiting van een contract aan hun professionele gebruikers verstrekken. Binnen twee jaar nadat de verordening van toepassing is geworden, zal de Commissie de ontwikkeling en daadwerkelijke toepassing van dergelijke codes aan een evaluatie onderwerpen.
Krachtens artikel 7 moet elke lidstaat een centraal aanspreekpunt aanwijzen dat in het kader van deze verordening samenwerkt met de aanspreekpunten van andere lidstaten en met de Commissie. Artikel 7 bevat ook procedurele voorwaarden voor de bijstand tussen de bevoegde autoriteiten als bedoeld in artikel 5.
Op grond van artikel 8 moet de Commissie worden bijgestaan door het Comité voor het vrij verkeer van gegevens, dat een comité in de zin van Verordening (EU) nr. 182/2011 is.
In Artikel 9 is bepaald dat binnen vijf jaar nadat de verordening van toepassing is geworden, een evaluatie moet worden verricht.
Krachtens artikel 10 zal de verordening zes maanden na de bekendmaking ervan van toepassing worden.
2017/0228 (COD)
Voorstel voor een
VERORDENING VAN HET EUROPEES PARLEMENT EN DE RAAD
inzake een kader voor het vrije verkeer van niet-persoonsgebonden gegevens in de Europese Unie
HET EUROPEES PARLEMENT EN DE RAAD VAN DE EUROPESE UNIE,
Gezien het Verdrag betreffende de werking van de Europese Unie, en met name artikel 114,
Gezien het voorstel van de Europese Commissie,
Na toezending van het ontwerp van wetgevingshandeling aan de nationale parlementen,
Gezien het advies van het Europees Economisch en Sociaal Comité 28 ,
Gezien het advies van het Comité van de Regio’s 29 ,
Handelend volgens de gewone wetgevingsprocedure,
Overwegende hetgeen volgt:
(1)De digitalisering van de economie versnelt. Informatie- en communicatietechnologie (ICT) is geen geïsoleerde sector meer, maar vormt de basis van alle moderne innovatieve economische systemen en samenlevingen. Elektronische data vormen de kern van die systemen en kunnen grote waarde genereren wanneer zij worden geanalyseerd of gecombineerd met diensten en producten.
(2)Datawaardeketens zijn opgebouwd uit verschillende activiteiten: het creëren en verkrijgen van gegevens; het combineren en organiseren van gegevens; het opslaan en verwerken van gegevens; het analyseren, marketen en verspreiden van gegevens; het gebruiken en hergebruiken van gegevens. Een essentiële schakel in elke datawaardeketen is een vlot en efficiënt verloop van de gegevensopslag of andere vormen van gegevensbe- of verwerking. Dat en de ontwikkeling van de data-economie in de Unie worden in het bijzonder belemmerd door twee soorten obstakels voor de mobiliteit van gegevens en voor de interne markt.
(3)De vrijheid van vestiging en de vrijheid van dienstverrichting krachtens het Verdrag betreffende de werking van de Europese Unie gelden voor gegevensopslag- en andere gegevensverwerkingsdiensten. Het verrichten van die diensten wordt echter bemoeilijkt en in sommige gevallen verhinderd door nationale voorschriften inzake de territoriale lokalisatie van de gegevens.
(4)Dergelijke obstakels voor het vrij verkeer ten aanzien van gegevensopslag- en andere gegevensverwerkingsdiensten en voor het recht van vestiging ten aanzien van verleners van gegevensopslag- en andere gegevensverwerkingsdiensten vloeien voort uit nationale wettelijke voorschriften van de lidstaten die bepalen dat gegevens binnen een specifiek geografisch gebied of een grondgebied moeten zijn gelokaliseerd om te worden opgeslagen of anderszins te worden verwerkt. Andere regels of administratieve werkmethoden hebben een vergelijkbaar effect doordat zij specifieke eisen stellen die het moeilijker maken om gegevens buiten een welbepaald geografisch gebied of een grondgebied binnen de Unie op te slaan of anderszins te verwerken, zoals eisen inzake het gebruik van technologische voorzieningen die binnen een gegeven lidstaat zijn gecertificeerd of erkend. De keuzevrijheid van marktdeelnemers en de overheid inzake de plaats waar gegevens worden opgeslagen of anderszins verwerkt, wordt verder ingeperkt door rechtsonzekerheid omtrent de reikwijdte van al dan niet legitieme gegevenslokalisatievereisten.
(5)Daarnaast wordt de mobiliteit van gegevens binnen de Unie ook belemmerd door privaatrechtelijke beperkingen van juridische, contractuele en technische aard die gebruikers van gegevensopslag- of andere gegevensverwerkingsdiensten belemmeren of verhinderen om hun gegevens van de ene dienstverlener naar de andere of naar hun eigen IT-systemen over te dragen, zelfs na het beëindigen van een contract met een dienstverlener.
(6)Ter wille van de rechtszekerheid en om in de Unie gelijke mededingingsvoorwaarden te garanderen, is een voor alle marktdeelnemers geldend uniform pakket regels van cruciaal belang voor de werking van de interne markt. Om de belemmeringen voor het handelsverkeer en de concurrentieverstoringen die voortvloeien uit verschillen tussen nationale wetgevingen weg te nemen en te voorkomen dat er nog meer belemmeringen voor het handelsverkeer en aanzienlijke concurrentieverstoringen zouden ontstaan, is het bijgevolg nodig uniforme regels vast te stellen die in alle lidstaten toepasselijk zijn.
(7)Om een omgeving tot stand te brengen waarin niet-persoonsgebonden gegevens vrij kunnen circuleren binnen de Unie, de data-economie zich verder kan ontwikkelen en het Europese bedrijfsleven beter kan concurreren, dient een helder, alomvattend en voorspelbaar rechtskader te worden geschapen voor het opslaan en verwerken van andere dan persoonsgegevens in de interne markt. Een op beginselen gebaseerde benadering die voorziet in samenwerking tussen de lidstaten en zelfregulering moet een zodanige flexibiliteit van het kader garanderen dat op de veranderende behoeften van gebruikers, dienstverleners en nationale autoriteiten kan worden ingespeeld. Om duplicatie met bestaande mechanismen en zodoende meer lasten voor zowel de lidstaten als het bedrijfsleven te voorkomen, moeten er geen gedetailleerde technische voorschriften worden uitgevaardigd.
(8)De verordening moet van toepassing zijn op rechtspersonen en natuurlijke personen die gegevensopslag- en andere gegevensverwerkingsdiensten aanbieden aan gebruikers die in de Unie verblijven of er een vestiging hebben, met inbegrip van personen die in de Unie diensten aanbieden zonder er een vestiging te hebben.
(9)Deze verordening laat het rechtskader inzake de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens, met name Verordening (EU) 2016/679 30 , Richtlijn (EU) 2016/680 31 en Richtlijn 2002/58/EG 32 , onverlet.
(10)Verordening (EU) 2016/679 bepaalt dat het vrije verkeer van persoonsgegevens in de Unie noch beperkt noch verboden wordt om redenen die verband houden met de bescherming van natuurlijke personen ten aanzien van de verwerking van persoonsgegevens. Bij deze verordening wordt hetzelfde beginsel toegepast op het vrij verkeer van niet-persoonsgebonden gegevens binnen de Unie, uitgezonderd wanneer een beperking of een verbod om veiligheidsredenen gerechtvaardigd zou zijn.
(11)Deze verordening moet van toepassing zijn op gegevensopslag en andere vormen van gegevensverwerking in de breedst mogelijke zin en het gebruik omvatten van alle soorten IT-systemen, ongeacht of deze zich bij de gebruiker zelf bevinden of zijn uitbesteed aan verleners van gegevensopslag- of andere gegevensverwerkingsdiensten. Zij moet alle gradaties van gegevensverwerking omvatten, gaande van gegevensopslag (“Infrastructure-as-a-Service (IaaS)”), over de verwerking van gegevens op platformen (“Platform-as-a-Service (PaaS)”) tot verwerking in applicaties (“Software-as-a-Service (SaaS)”). Al deze verschillende vormen van dienstverlening moeten onder het toepassingsgebied van deze verordening vallen, tenzij de gegevensopslag of andere vorm van verwerking louter ondersteunend is voor een dienst van een ander type, zoals het aanbieden van een online marktplaats die bemiddelt tussen dienstverleners en consumenten of professionele gebruikers.
(12)Gegevenslokalisatievereisten vormen onmiskenbaar een obstakel voor het vrij verlenen van gegevensopslag- of andere gegevensverwerkingsdiensten overal in de Unie en voor de interne markt. Om die reden dienen zij verboden te worden, tenzij zij gerechtvaardigd zijn uit hoofde van de bescherming van de openbare veiligheid in de zin van het Unierecht, in het bijzonder artikel 52 van het Verdrag betreffende de werking van de Europese Unie, en in overeenstemming zijn met het evenredigheidsbeginsel van artikel 5 van het Verdrag betreffende de Europese Unie. Om het beginsel van vrij grensoverschrijdend verkeer van niet-persoonsgebonden gegevens in de praktijk te brengen, ervoor te zorgen dat bestaande gegevenslokalisatievereisten snel worden opgeheven en met het oog op operationele redenen het opslaan of andere vormen van verwerking van gegevens op verschillende plaatsen in de EU mogelijk te maken, en anderzijds omdat deze verordening in maatregelen voorziet die de toegankelijkheid van gegevens voor wettelijke controles waarborgt, dienen de lidstaten geen andere rechtvaardigingsgronden dan de openbare veiligheid te kunnen inroepen.
(13)Om de effectieve toepassing van het beginsel van vrij grensoverschrijdend verkeer van niet-persoonsgebonden gegevens te garanderen en te voorkomen dat er nieuwe belemmeringen voor een goede werking van de interne markt ontstaan, dienen de lidstaten de Commissie kennis te geven van elke voorgenomen maatregel die nieuwe gegevenslokalisatievereisten bevat of bestaande gegevenslokalisatievereisten wijzigt. Deze kennisgevingen worden gedaan en beoordeeld volgens de procedure van Richtlijn (EU) 2015/1535 33 .
(14)Bovendien dienen de lidstaten met het oog op het wegnemen van eventuele belemmeringen tijdens een overgangsperiode van twaalf maanden de bestaande nationale gegevenslokalisatievereisten aan een onderzoek te onderwerpen en aan de Commissie kennis te geven van de gegevenslokalisatievereisten die naar hun mening met deze verordening in overeenstemming zijn alsmede van de rechtvaardiging daarvoor. Dit moet de Commissie in staat stellen een oordeel te vormen over de gegrondheid van de resterende gegevenslokalisatievereisten.
(15)Met het oog op de transparantie van gegevenslokalisatievereisten in de lidstaten voor natuurlijke en rechtspersonen, zoals verleners van gegevensopslag- of andere gegevensverwerkingsdiensten, dienen de lidstaten informatie over de desbetreffende maatregelen online bekend te maken op één centraal punt en deze regelmatig bij te werken. Met het oog op passende voorlichting van natuurlijke en rechtspersonen over in de Unie geldende gegevenslokalisatievereisten, dienen de lidstaten de adresgegevens van dergelijke informatiepunten aan de Commissie mee te delen. De Commissie publiceert deze gegevens op haar eigen website.
(16)Vaak ligt aan gegevenslokalisatievereisten een gebrek aan vertrouwen in gegevensopslag of andere vormen van gegevensverwerking buiten de eigen grenzen ten grondslag dat voortkomt uit de veronderstelling dat gegevens niet toegankelijk zullen zijn voor de bevoegde nationale autoriteiten, bijvoorbeeld voor inspectie- en toezichtdoeleinden en wettelijk voorgeschreven controles. Bijgevolg moet uitdrukkelijk worden bepaald dat deze verordening geen afbreuk doet aan de bevoegdheid van die autoriteiten om toegang tot gegevens te vragen en te krijgen overeenkomstig het Unierecht of het nationale recht, alsook dat de bevoegde autoriteiten de toegang tot gegevens niet mag worden geweigerd op grond van het feit dat de gegevens zijn opgeslagen of anderszins worden verwerkt in een andere lidstaat.
(17)Natuurlijke of rechtspersonen die gehouden zijn tot het verstrekken van gegevens aan bevoegde autoriteiten, kunnen zich van die verplichtingen kwijten door te voorzien in tijdige en gegarandeerde toegang tot de gegevens langs elektronische weg voor de betrokken autoriteiten, ongeacht op het grondgebied van welke lidstaat de gegevens zijn opgeslagen of anderszins worden verwerkt. Dergelijke toegang kan worden gegarandeerd door opname van uitdrukkelijke bepalingen in de contracten tussen de natuurlijke of rechtspersoon die gehouden is tot het verlenen van toegang en de verleners van gegevensopslag- of andere gegevensverwerkingsdiensten.
(18)Wanneer een natuurlijke of rechtspersoon die gehouden is tot het verlenen van toegang zijn verplichtingen niet nakomt en de betrokken bevoegde autoriteit alle middelen om toegang tot de gegevens te verkrijgen heeft uitgeput, moet de bevoegde autoriteit bijstand kunnen vragen van bevoegde autoriteiten in andere lidstaten. In dergelijke gevallen maken de bevoegde autoriteiten afhankelijk van het onderwerp gebruik van de specifieke samenwerkingsinstrumenten waarin het Unierecht of internationale overeenkomsten voorzien, bijvoorbeeld op het terrein van politiesamenwerking, samenwerking in strafzaken, civiele zaken of administratieve aangelegenheden Kaderbesluit 2006/960/JBZ 34 , Richtlijn 2014/41/EU van het Europees Parlement en de Raad 35 , het Verdrag van de Raad van Europa inzake de bestrijding van strafbare feiten verbonden met elektronische netwerken 36 , Verordening (EG) nr. 1206/2001 van de Raad 37 , Richtlijn 2006/112/EG van de Raad 38 en Verordening (EU) nr. 904/2010 van de Raad 39 . Bij gebrek aan dergelijke specifieke samenwerkingsmechanismen verlenen de bevoegde autoriteiten elkaar medewerking om toegang te krijgen tot de betrokken gegevens door middel van aangewezen centrale aanspreekpunten, tenzij zulks indruist tegen de openbare orde van de aangezochte lidstaat.
(19)Wanneer een verzoek om bijstand met zich meebrengt dat de aangezochte autoriteit zich toegang moet verschaffen tot de gebouwen van een natuurlijke of rechtspersoon, met inbegrip van gegevensopslag- of andere verwerkingsapparatuur en -media, dient zulks te gebeuren met inachtneming van de procedureregels van de Unie of de lidstaat, onder andere met het vereiste om voorafgaande rechterlijke machtiging te verkrijgen.
(20)Portabiliteit van gegevens zonder belemmeringen is cruciaal voor de keuze van de gebruiker en voor effectieve mededinging op de markt voor gegevensopslag- of andere gegevensverwerkingsdiensten. De reële moeilijkheid om gegevens over de grenzen over te dragen, of het gevoel dat dat zo is, verminderen het vertrouwen van professionele gebruikers in aanbiedingen van over de grenzen en dus hun vertrouwen in de interne markt. Daar waar natuurlijke personen en consumenten beter zijn geworden van de bestaande Uniewetgeving, is het voor zakelijke of professionele gebruikers niet gemakkelijker om van dienstenleverancier te veranderen.
(21)Om volop van de concurrentieomgeving te kunnen profiteren, moeten professionele gebruikers keuzes kunnen maken op basis van goede informatie en de verschillende componenten van op de interne markt aangeboden gegevensopslag- of andere gegevensverwerkingsdiensten, zoals de contractvoorwaarden inzake gegevensportabiliteit bij de beëindiging van het contract, vlot met elkaar kunnen vergelijken. Vanwege het innoverend vermogen van de markt en gelet op de ervaring en de deskundigheid van de verleners en de professionele gebruikers van gegevensopslag- of andere gegevensverwerkingsdiensten, is het dienstig dat de gedetailleerde voorlichtings- en operationele vereisten inzake gegevensportabiliteit via zelfregulering door de marktdeelnemers, aangemoedigd en ondersteund door de Commissie, worden vastgesteld in de vorm van EU-gedragscodes die eventueel typebepalingen voor contracten kunnen omvatten. Indien er echter binnen een redelijke termijn geen gedragscodes worden uitgewerkt en uitgevaardigd, dient de Commissie de situatie opnieuw te bekijken.
(22)Ter bevordering van een vlotte samenwerking tussen de lidstaten moet elke lidstaat een centraal aanspreekpunt aanwijzen dat in het kader van deze verordening samenwerkt met de aanspreekpunten van de andere lidstaten en met de Commissie. Bevoegde autoriteiten van een lidstaat die bijstand van een andere lidstaat wensen om toegang tot gegevens te krijgen op grond van deze verordening, richten daartoe een gemotiveerd verzoek aan het centrale aanspreekpunt van die andere lidstaat en nemen daarin een schriftelijke toelichting op de redenen voor de toegang en de rechtsgrondslagen op. Het centrale aanspreekpunt van de aangezochte lidstaat faciliteert de wederzijdse bijstand door het verzoek te onderzoeken en door te sturen naar de autoriteit die in die lidstaat bevoegd is. De autoriteit waarnaar het verzoek wordt doorgestuurd, verleent met het oog op een effectieve samenwerking zo spoedig mogelijk bijstand in antwoord op het verzoek of licht eventuele problemen om het verzoek om bijstand in te willigen of de redenen waarom het verzoek wordt afgewezen toe.
(23)Met het oog op een vlot verloop van de procedure voor wederzijdse bijstand tussen bevoegde autoriteiten van de lidstaten kan de Commissie uitvoeringshandelingen aannemen waarin standaardformulieren, de talen van verzoeken, de termijnen en andere parameters van de procedures voor verzoeken om bijstand worden vastgesteld. Die bevoegdheden moeten worden uitgeoefend overeenkomstig Verordening (EU) nr. 182/2011 van het Europees Parlement en de Raad 40 .
(24)Het vergroten van het vertrouwen in de beveiliging van gegevensopslag en andere vormen van gegevensverwerking buiten de eigen grenzen moet de neiging bij marktdeelnemers en de overheid verminderen om gegevenslokalisatie als substituut voor gegevensbeveiliging te gebruiken. Ook moet het ondernemingen meer rechtszekerheid geven inzake de geldende beveiligingseisen wanneer zij hun gegevensopslag of andere vormen van gegevensverwerking uitbesteden, onder andere aan dienstverleners in een andere lidstaat.
(25)Beveiligingsvereisten met betrekking tot de opslag of andere vormen van verwerking van gegevens die worden gesteld op een gerechtvaardigde en proportionele manier op grond van het Unierecht of het nationale recht in overeenstemming met het Unierecht in de lidstaat van verblijf of vestiging van de natuurlijke of rechtspersoon wiens gegevens betrokken zijn, dienen onverminderd van toepassing te blijven op de opslag of andere vormen van verwerking van die gegevens in een andere lidstaat. Deze natuurlijke of rechtspersonen moeten hetzij zelf, hetzij via bedingen in contracten met dienstverleners aan dergelijke vereisten kunnen voldoen.
(26) Op nationaal niveau vastgestelde beveiligingseisen moeten noodzakelijk zijn en in verhouding staan tot de risico’s voor de veiligheid van opgeslagen of anderszins verwerkte gegevens in het rechtsgebied waarin deze vereisten zijn vastgesteld.
(27)Richtlijn (EU) 2016/1148 41 voorziet in wettelijke maatregelen om het algemene cyberbeveiligingsniveau in de Unie op te trekken. Gegevensopslag en andere gegevensverwerkingsdiensten behoren tot de digitale diensten die onder die richtlijn vallen. Overeenkomstig artikel 16 ervan zorgen de lidstaten ervoor dat digitaledienstverleners de risico's voor de beveiliging van netwerk- en informatiesystemen die zij gebruiken identificeren en passende en evenredige technische en organisatorische maatregelen nemen om die risico's te beheersen. Deze maatregelen moeten voor een niveau van beveiliging zorgen dat is afgestemd op de risico's die zich voordoen en rekening houden met de beveiliging van systemen en voorzieningen, de behandeling van incidenten, het beheer van de bedrijfscontinuïteit, toezicht, controle en testen, en inachtneming van de internationale normen. Deze aspecten worden nader gespecificeerd in uitvoeringshandelingen die de Commissie op grond van de richtlijn vaststelt.
(28)De Commissie moet deze verordening op gezette tijden evalueren, met name om na te gaan of zij in het licht van de veranderende technologische omstandigheden of marktomstandigheden moet worden gewijzigd.
(29)Deze verordening eerbiedigt de grondrechten en neemt de beginselen in acht die met name in het Handvest van de grondrechten van de Europese Unie zijn erkend en dient in het licht van deze rechten en beginselen, waaronder het recht op bescherming van persoonsgegevens (artikel 8), de vrijheid van ondernemerschap (artikel 16) en de vrijheid van meningsuiting en informatie (artikel 11), te worden uitgelegd en toegepast.
(30)Aangezien de doelstelling van deze richtlijn, namelijk vrij verkeer van niet-persoonsgebonden gegevens binnen de Unie, niet voldoende door de lidstaten kan worden verwezenlijkt, maar vanwege de omvang of de gevolgen ervan, beter door de Unie kan worden verwezenlijkt, kan de Unie maatregelen vaststellen in overeenstemming met het in artikel 5 van het Verdrag betreffende de Europese Unie neergelegde subsidiariteitsbeginsel. Overeenkomstig het in hetzelfde artikel neergelegde evenredigheidsbeginsel gaat de verordening niet verder dan nodig is om dit doel te verwezenlijken,
HEBBEN DE VOLGENDE VERORDENING VASTGESTELD:
Artikel 1
Onderwerp
Met deze verordening wordt gestreefd naar het vrije verkeer van niet-persoonsgebonden gegevens binnen de Unie door het vastleggen van regels voor gegevenslokalisatievereisten, de beschikbaarheid van gegevens voor bevoegde autoriteiten en de portabiliteit van gegevens voor professionele gebruikers.
Artikel 2
Werkingssfeer
1.Deze verordening is van toepassing op de opslag en andere vormen van verwerking van elektronische niet-persoonsgebonden gegevens in de Unie die:
(a)als dienst worden verleend aan gebruikers die in de Unie verblijven of er een vestiging hebben, ongeacht of de dienstverlener in de Unie is gevestigd of niet, of
(b)door natuurlijke of rechtspersonen die in de Unie verblijven of er een vestiging hebben, worden verricht om in de eigen behoeften te voorzien.
2.Deze verordening is niet van toepassing op activiteiten die niet onder het Unierecht vallen.
Artikel 3
Definities
In deze verordening wordt verstaan onder:
1.“gegevens”: andere dan persoonsgegevens in de zin van artikel 4, lid 1, van Verordening (EU) 2016/679;
2.“gegevensopslag”: het bewaren van gegevens in elektronische vorm;
3.“voorgenomen maatregel”: elke tekst die is opgesteld om te worden vastgelegd als wet, reglement of bestuurlijke maatregel van algemene aard en die zich in een stadium bevindt waarin de kennisgevende lidstaat er nog belangrijke wijzigingen in kan aanbrengen;
4.“dienstverlener”: een natuurlijke of rechtspersoon die gegevensopslag- of andere gegevensverwerkingsdiensten verleent;
5.“gegevenslokalisatievereiste”: elke verplichting, verbodsbepaling, voorwaarde of beperking uit hoofde van de wettelijke en bestuursrechtelijke bepalingen van de lidstaten die lokalisatie van gegevensopslag of andere vormen van gegevensverwerking op het grondgebied van een welbepaalde lidstaat verplicht stelt of die de opslag of andere vormen van gegevensverwerking in een andere lidstaat belemmert;
6.“bevoegde autoriteit”: een instantie van een lidstaat die uit hoofde van haar taken op grond van het nationale of het Unierecht bevoegd is om toegang te hebben tot gegevens die zijn opgeslagen of worden verwerkt door een natuurlijke of rechtspersoon;
7.“gebruiker”: een natuurlijke of rechtspersoon die een beroep doet op gegevensopslag- of andere gegevensverwerkingsdiensten;
8.“professionele gebruiker”: een natuurlijke of rechtspersoon, met inbegrip van publiekrechtelijke entiteiten, die een beroep doet op gegevensopslag- of andere gegevensverwerkingsdiensten voor de uitoefening van zijn bedrijf, beroep of taak.
Artikel 4
Vrij verkeer van gegevens binnen de Unie
1.De locatie van gegevens met het oog op de opslag of een andere vorm van verwerking ervan binnen de Unie mag niet tot het grondgebied van een welbepaalde lidstaat worden beperkt en de opslag of andere vormen van verwerking in een andere lidstaat mogen niet worden verboden of beperkt, behalve wanneer zulks uit hoofde van de openbare veiligheid gerechtvaardigd is.
2.De lidstaten geven de Commissie kennis van elke voorgenomen maatregel waarbij nieuwe gegevenslokalisatievereisten worden ingevoerd of bestaande gegevenslokalisatievereisten worden gewijzigd, overeenkomstig de procedures waarin de nationale wet tot uitvoering van Richtlijn (EU) 2015/1535 voorziet.
3.De lidstaten doen het nodige opdat alle gegevenslokalisatievereisten die niet in overeenstemming zijn met het bepaalde in lid 1 binnen twaalf maanden nadat deze verordening van toepassing is geworden, worden ingetrokken. Gegevenslokalisatievereisten die volgens een lidstaat in overeenstemming zijn met lid 1 en bijgevolg van toepassing kunnen blijven, dienen met opgave van de redenen daarvoor ter kennis van de Commissie te worden gebracht.
4.De lidstaten maken de details van de op hun grondgebied geldende gegevenslokalisatievereisten online aan het publiek bekend door middel van een centraal informatiepunt dat over de nodige actuele informatie beschikt.
5.De lidstaten delen de adresgegevens van hun in lid 4 bedoelde centraal informatiepunt aan de Commissie mee. De Commissie zet de koppelingen naar deze informatiepunten op haar website.
Artikel 5
Beschikbaarheid van gegevens voor bevoegde autoriteiten
1.Deze verordening doet geen afbreuk aan de bevoegdheid van de bevoegde autoriteiten om met het oog op de uitoefening van hun taken toegang tot gegevens te vragen en te krijgen overeenkomstig het Unierecht of het nationale recht. De toegang tot gegevens mag bevoegde autoriteiten niet worden geweigerd op grond van het feit dat de gegevens zijn opgeslagen of anderszins worden verwerkt in een andere lidstaat.
2.Wanneer alle beschikbare middelen van een bevoegde autoriteit om toegang tot de gegevens te krijgen, zijn uitgeput, mag die bevoegde autoriteit om bijstand van een autoriteit in een andere lidstaat vragen overeenkomstig de procedure van artikel 7 en verleent de aangezochte autoriteit bijstand overeenkomstig de procedure van artikel 7, tenzij zulks indruist tegen de openbare orde van de aangezochte lidstaat.
3.Wanneer een verzoek om bijstand met zich meebrengt dat de aangezochte autoriteit zich toegang moet verschaffen tot de gebouwen van een natuurlijke of rechtspersoon, met inbegrip van gegevensopslag- of andere verwerkingsapparatuur en -media, dient zulks te gebeuren met inachtneming van de procedureregels van de Unie of de lidstaat.
4.Het bepaalde in lid 2 geldt enkel bij gebrek aan een op grond van het Unierecht of internationale overeenkomsten ingesteld specifiek samenwerkingsmechanisme voor de uitwisseling van gegevens tussen bevoegde autoriteiten van verschillende lidstaten.
Artikel 6
Gegevensportabiliteit
1.De Commissie zal de opstelling, door de sector zelf, van gedragscodes op het niveau van de Unie bevorderen en faciliteren, om dienstverleners een richtsnoer te bieden inzake beste praktijken die de overstap naar een andere dienstverlener moeten vergemakkelijken en ervoor te zorgen dat zij professionele gebruikers vóór het sluiten van contracten voor de opslag en verwerking van gegevens voldoende gedetailleerde, duidelijke en transparante informatie verstrekken over de volgende aspecten:
(a)de toepasselijke processen, technische vereisten, termijnen en kosten wanneer professionele gebruikers van dienstverlener willen veranderen of gegevens terug naar hun eigen IT-systemen willen overdragen, met inbegrip van back-upprocessen en locaties van databack-ups, de beschikbare bestandsformaten en support, de vereiste IT-configuratie en minimale netwerkbandbreedte; de in acht te nemen wachttijd voordat het overdrachtsproces kan worden ingezet en de termijn waarbinnen de gegevens voor overdracht beschikbaar blijven; en de waarborgen inzake toegang tot de gegevens wanneer de dienstverlener failliet zou gaan; en
(b)de operationele vereisten voor het overdragen van gegevens in een gestructureerde, algemeen gangbare en machineleesbare vorm die de gebruiker voldoende tijd laat.
2.De Commissie moedigt dienstverleners aan om de in lid 1 bedoelde gedragscodes effectief te implementeren binnen een jaar nadat deze verordening van toepassing is geworden.
3.Binnen twee jaar nadat de verordening van toepassing is geworden, onderwerpt de Commissie de ontwikkeling en daadwerkelijke toepassing van dergelijke gedragscodes en de informatieverstrekking door dienstverleners aan een evaluatie.
Artikel 7
Centraal aanspreekpunt
1.Elke lidstaat wijst een centraal aanspreekpunt aan dat in het kader van deze verordening samenwerkt met de aanspreekpunten van de andere lidstaten en met de Commissie. De lidstaten delen de Commissie mee welke instantie zij als centraal aanspreekpunt hebben aangewezen en brengen wijzigingen ter kennis van de Commissie.
2.De lidstaten verstrekken de centrale aanspreekpunten de middelen die zij nodig hebben om uitvoering te geven aan deze verordening.
3.Bevoegde autoriteiten van een lidstaat die bijstand van een andere lidstaat wensen om toegang tot gegevens te krijgen op grond van artikel 5, lid 2, richten daartoe een gemotiveerd verzoek aan het centrale aanspreekpunt van die andere lidstaat en nemen daarin een schriftelijke toelichting op de redenen voor de toegang en de rechtsgrondslagen op.
4.Het centrale aanspreekpunt gaat na welke autoriteit in zijn lidstaat bevoegd is en stuurt het in lid 3 bedoelde verzoek door naar die autoriteit. Zo spoedig mogelijk wordt door de aangezochte autoriteit:
(a)een antwoord gegeven aan de verzoekende bevoegde autoriteit en kennis van dit antwoord gegeven aan het centrale aanspreekpunt, en
(b)in voorkomend geval, kennis gegeven aan het centrale aanspreekpunt en aan de verzoekende bevoegde autoriteit van eventuele moeilijkheden of, in geval van weigering of een gedeeltelijk antwoord, van de redenen voor de weigering of het gedeeltelijke antwoord.
5.Alle informatie die in het kader van het verzoek om bijstand wordt uitgewisseld en verstrekt overeenkomstig artikel 5, lid 2, wordt uitsluitend gebruikt ten behoeve van de aangelegenheid waarvoor zij was gevraagd.
6.De Commissie kan uitvoeringshandelingen aannemen waarin standaardformulieren, de talen van verzoeken, de termijnen en andere parameters van de procedures voor verzoeken om bijstand worden vastgesteld. Deze uitvoeringshandelingen worden volgens de in artikel 8 bedoelde procedure vastgesteld.
Artikel 8
Comité
1.De Commissie wordt bijgestaan door het Comité voor het vrij verkeer van gegevens. Dat comité is een comité in de zin van Verordening (EU) nr. 182/2011.
2.Wanneer naar dit lid wordt verwezen, is artikel 5 van Verordening (EU) nr. 182/2011 van toepassing.
Artikel 9
Evaluatie
1.Niet later dan [vijf jaar na de in artikel 10, lid 2, genoemde datum] verricht de Commissie een evaluatie van deze verordening en brengt zij aan het Europees Parlement, de Raad en het Europees Economisch en Sociaal Comité verslag uit over de belangrijkste bevindingen.
2.De lidstaten verstrekken de Commissie de informatie die nodig is om het in lid 1 bedoelde verslag op te stellen.
Artikel 10
Slotbepalingen
1.Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
2.Deze verordening is van toepassing zes maanden na de bekendmaking ervan.
Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.
Gedaan te Brussel,
Voor het Europees Parlement Voor de Raad
De voorzitter De voorzitter
IDC and Open Evidence, European Data Market, eindrapport van 1.2.2017 (SMART 2013/0063).
Daarnaast is economisch feitenmateriaal verzameld via een studie over de economische effecten van cloudcomputing in Europa (SMART 2014/0031, Deloitte, "Measuring the economic impact of cloud computing in Europe", 2016).
