Choose the experimental features you want to try

This document is an excerpt from the EUR-Lex website

Document 52017PC0495

    Forslag til EUROPA-PARLAMENTETS OG RÅDETS FORORDNING om en ramme for fri udveksling af andre data end personoplysninger i Den Europæiske Union

    COM/2017/0495 final - 2017/0228 (COD)

    Bruxelles, den 13.9.2017

    COM(2017) 495 final

    2017/0228(COD)

    Forslag til

    EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

    om en ramme for fri udveksling af andre data end personoplysninger i Den Europæiske Union

    {SWD(2017) 304 final}
    {SWD(2017) 305 final}


    BEGRUNDELSE

    1.BAGGRUND FOR FORSLAGET

    Forslagets begrundelse og formål

    Nye digitale teknologier, som cloud computing, big data, kunstig intelligens og tingenes internet (IoT), er designet med henblik på at øge effektiviteten, give mulighed for at opnå stordriftsfordele og udvikle nye tjenester. De giver brugerne fordele som fleksibilitet, produktivitet, hurtig udbredelse og autonomi, f.eks. gennem automatisk maskinlæring 1 .

    Som det fremgår af meddelelsen fra 2017 om "Opbygning af en europæisk dataøkonomi" 2 blev værdien af EU's datamarked i 2016 anslået til næsten 60 mia. EUR, hvilket omfattede en vækst på 9,5 % i forhold til tallet for 2015. Ifølge én undersøgelse skulle EU's datamarked kunne vokse til mere end 106 mia. EUR i 2020 3 .

    Med henblik på at frigøre dette potentiale sigter forslaget mod at opnå følgende:

    ·Forbedre muligheden for at flytte andre data end personoplysninger ("ikkepersondata") på tværs af grænserne på det indre marked, hvilket i dag begrænses i mange medlemsstater af placeringsrestriktioner eller usikkerhed om retstilstanden på markedet

    ·Sikre, at de kompetente myndigheders beføjelser til at anmode om og få adgang til data med henblik på myndighedskontrol, som f.eks. inspektion eller audit, forbliver intakte, og

    ·Gøre det lettere for professionelle brugere af datalagring og andre databehandlingstjenester at skifte leverandør og portere deres data uden at pålægge tjenesteleverandørerne en overdreven byrde eller fordreje markedet.

    Af midtvejsevalueringen af gennemførelsen af strategien for et digitalt indre marked 4 fremgik det, at der ville blive fremsat et lovgivningsforslag til en samarbejdsamme om fri udveksling af data i EU.

    Det overordnede politiske mål med initiativet er at opnå et mere konkurrencepræget og integreret marked for datalagring og andre databehandlingstjenester og -aktiviteter ved at sætte ind på de ovenfor nævnte områder. I nærværende forslag bruges begreberne datalagring og anden databehandling i den bredest mulige forstand, og de omfatter brugen af alle typer IT-systemer, uanset om de er placeret i brugerens lokaler eller outsourcet til en leverandør af datalagring eller andre databehandlingstjenester 5 .

    Sammenhæng med de gældende regler på samme område

    Forslaget søger at opfylde de mål, der er fastsat i strategien for et digitalt indre marked 6 , i midtvejsevalueringen heraf, samt i de politiske retningslinjer for den siddende Europa-Kommission: "En ny start for Europa: Min dagsorden for job, vækst, retfærdighed og demokratisk forandring" 7 .

    Nærværende forslag fokuserer på levering af datahosting (lagring) og andre databehandlingstjenester, og det er i overensstemmelse med gældende retlige instrumenter. Målet med initiativet er at skabe et effektivt indre marked for disse tjenester i EU. Det er således i overensstemmelse med e-handelsdirektivet 8 , som sigter mod at skabe et omfattende og effektivt indre marked i EU for bredere kategorier af informationssamfundstjenester, og med tjenesteydelsesdirektivet, som fremmer udviklingen af EU's indre marked for tjenesteydelser 9 inden for en række sektorer.

    En række relevante sektorer er udtrykkeligt ekskluderet fra anvendelsesområdet for denne lovgivning (dvs. e-handelsdirektivet og tjenesteydelsesdirektivet), og det er således kun traktatens generelle bestemmelser, der finder anvendelse på områderne for datahosting (lagring) og andre databehandlingstjenester. De eksisterende hindringer for disse tjenester kan imidlertid ikke afhjælpes effektivt alene gennem direkte anvendelse af artikel 49 og 56 i traktaten om Den Europæiske Unions funktionsmåde (TEUF), eftersom det på den ene side ville være ekstremt kompliceret at afhjælpe dem ved hjælp af traktatbrudssager mod de pågældende medlemsstater i hver enkelt sag, og eftersom afhjælpning af mange af disse hindringer på den anden side kræver specifikke regler, der afhjælper både offentlige og private hindringer, og kræver, at der etableres et administrativt samarbejde. Endvidere synes den resulterende forøgelse af retssikkerheden at være af særlig betydning for brugere af de nye teknologier 10 .

    Eftersom forslaget vedrører elektroniske data, som ikke er personoplysninger, påvirker det ikke Unionens retlige ramme for databeskyttelse, navnlig ikke forordning 2016/679 (generel forordning om databeskyttelse) 11 , direktiv 2016/680 (politidirektivet) 12 eller direktiv 2002/58/EF (e-datadirektivet) 13 , som sikrer et højt beskyttelsesniveau for personoplysninger og fri udveksling af personoplysninger inden for Unionen. I samspil med denne retlige ramme sigter forslaget mod at indføre en omfattende og sammenhængende ramme i EU, der muliggør fri udveksling af data på det indre marked.

    Forslaget vil kræve, at udkast til foranstaltninger vedrørende dataplacering anmeldes, i henhold til gennemsigtighedsdirektivet 2015/1535 14 , med henblik på at gøre det muligt at vurdere, om påtænkte placeringsrestriktioner er velbegrundede.

    For så vidt angår samarbejde og gensidig bistand mellem kompetente myndigheder, fastsættes det i forslaget, at alle eksisterende samarbejdsordninger bør anvendes. Hvis der ikke i forvejen findes nogen eksisterende ordninger, indføres der med forslaget foranstaltninger, som skal sætte kompetente myndigheder i stand til at udveksle og tilgå data, der er lagret eller på anden vis behandles i en anden medlemsstat.

    Sammenhæng med Unionens politik på andre områder

    I tråd med strategien for et digitalt indre marked søger dette initiativ at nedbringe hindringerne for en konkurrencedygtig datadreven økonomi i Europa. Kommissionen har i overensstemmelse med meddelelsen om midtvejsevalueringen af strategien for et digitalt indre marked indledt en særskilt undersøgelse af problemstillingerne med tilgængelighed og genanvendelse af offentlige og offentligt finansierede data og data i privat besiddelse, som er af samfundsmæssig interesse, og erstatningsansvar i sager om erstatning forårsaget af dataintensive produkter 15 .

    Det politiske tiltag bygger også på pakken vedrørende digitalisering af EU's industri, der omfatter det europæiske cloudinitiativ 16 , som sigter mod at udrulle en højtydende cloudløsning til lagring, deling og genanvendelse af videnskabelige data. Initiativet bygger ydermere på revisionen af den europæiske interoperabilitetsramme 17 , som sigter mod at forbedre det digitale samarbejde mellem offentlige forvaltninger i Europa, og som vil blive begunstiget direkte af den fri udveksling af data. Den bidrager til EU's engagement i et åbent internet 18 .

    2.RETSGRUNDLAG, NÆRHEDSPRINCIPPET OG PROPORTIONALITETSPRINCIPPET

    Retsgrundlag

    Nærværende forslag henhører under området med delt kompetence i henhold til artikel 4, stk. 2, litra a), i TEUF. Det sigter mod at skabe et mere konkurrencepræget og integreret marked for datalagring og andre databehandlingstjenester ved at sikre fri udveksling af data inden for Unionen. I forslaget fastsættes regler for dataplaceringskrav, kompetente myndigheders adgang til data og dataportering for professionelle brugere. Forslaget har hjemmel i artikel 114 i TEUF, som udgør det generelle retsgrundlag for vedtagelsen af denne type regler.

    Nærhedsprincippet

    Forslaget er i overensstemmelse med nærhedsprincippet i artikel 5 i traktaten om Den Europæiske Union (TEU). Formålet med nærværende forslag, som er at sikre et velfungerende indre marked for ovennævnte tjenester, der ikke er begrænset til én medlemsstats område, og fri udveksling af ikkepersondata i Unionen, kan ikke opnås af medlemsstaterne alene på nationalt niveau, eftersom hovedproblemet er grænseoverskridende datamobilitet.

    Medlemsstaterne vil selv kunne nedbringe antallet og omfanget af deres dataplaceringsrestriktioner, men det er sandsynligt, at de ville gøre dette i forskelligt omfang, på forskellige vilkår eller helt undlade det.

    Forskellige tilgange ville imidlertid føre til en mangfoldighed af lovgivningsmæssige krav på tværs af EU's indre marked og mærkbare ekstraomkostninger for virksomhederne, særlig små og mellemstore virksomheder (SMV'er).

    Proportionalitetsprincippet

    Forslaget er i overensstemmelse med proportionalitetsprincippet, som fastsat i artikel 5 i TEU, eftersom det består af en effektiv ramme, som ikke går videre, end hvad der er nødvendigt for at løse de problemer, der er blevet påpeget, og det er forholdsmæssigt med henblik på at nå sine mål.

    For at fjerne hindringer for fri udveksling af ikkepersondata i Unionen, som skyldes placeringskrav, og fremme tilliden til grænseoverskridende datastrømme såvel som datalagring og andre databehandlingstjenester forlader forslaget sig i høj grad på eksisterende EU-instrumenter og -rammer: Gennemsigtighedsdirektivet som grundlag for fremsendelse af udkast til foranstaltninger vedrørende dataplaceringskrav, forskellige rammer, der sikrer, at data er tilgængelige medlemsstaternes myndigheder. Det er kun, hvis der ikke findes andre samarbejdsordninger, eller hvis andre metoder til at få adgang til data er slået fejl, at samarbejdsordningen i forslaget skal tages i brug med henblik på at gøre data tilgængelige for de nationale kompetente myndigheder.

    Den foreslåede tilgang til udveksling af data på tværs af medlemsstaters grænser og på tværs af leverandører / interne IT-systemer søger at nå en balance mellem regulering fra EU's side og medlemsstaternes offentlige interesse for så vidt angår den offentlige sikkerhed samt mellem EU-regulering og selvregulering fra markedets side.

    For specifikt at afhjælpe de problemer, som professionelle brugere har med at skifte leverandør og portere data, opfordrer initiativet til selvregulering gennem adfærdskodekser om, hvilke oplysninger brugere af datalagring og andre databehandlingstjenester skal modtage. Endvidere bør også metoderne til at skifte leverandør og portere data håndteres gennem selvregulering med henblik på at finde frem til bedste praksis.

    I forslaget mindes der om, at sikkerhedskrav pålagt ved nationale eller EU-regler også bør gælde, når fysiske eller juridiske personer outsourcer deres datalagring eller andre databehandlingstjenester bl.a. i andre medlemsstater. Der mindes også om de gennemførelsesbeføjelser, som er blevet tillagt Kommissionen i medfør af direktivet om net- og informationssikkerhed med henblik på sikkerhedskrav, og som også bidrager til anvendelsen af denne forordning. Sluttelig er forslaget, selv om det giver anledning til handling fra medlemsstaternes offentlige myndigheder grundet kravene om underretning og revision, gennemsigtighedskravene og det administrative samarbejde, udarbejdet med henblik på at begrænse sådanne handlinger til dem, der er vigtigst for samarbejdet, og således undgå unødvendige administrative byrder.

    Ved at etablere en klar ramme ledsaget af samarbejde med og mellem medlemsstaterne samt af selvregulering sigter forslaget mod at forbedre retssikkerheden og øge tillidsniveauet, samtidig med at det søger at bevare sin relevans og effektivitet på langt sigt i kraft af samarbejdsrammens fleksibilitet, baseret på de centrale kontaktpunkter i medlemsstaterne.

    Kommissionen har til hensigt at oprette en ekspertgruppe, som skal rådgive om de forhold, der er omfattet af forordningen.

    Valg af retsakt

    Kommissionen fremsætter et forslag til en forordning, som kan sikre, at ensartede regler for den fri udveksling af ikkepersondata bringes i anvendelse i hele Unionen på samme tid. Dette er særligt vigtigt for at fjerne eksisterende restriktioner og forebygge, at medlemsstaterne indfører nye, for at garantere retssikkerhed for de omfattede tjenesteleverandører og -brugere og på den måde øge tilliden til grænseoverskridende datastrømme samt datalagring og andre databehandlingstjenester.

    3.RESULTATER AF EFTERFØLGENDE EVALUERINGER, HØRINGER AF INTERESSEREDE PARTER OG KONSEKVENSANALYSER

    Høring af interesserede parter

    I forbindelse med første runde med indsamling af oplysninger blev der afholdt en offentlig høring om de lovgivningsmæssige rammer for platforme, onlineformidlere, data og cloud computing og deleøkonomi i 2015. To tredjedele af respondenterne – med en ligelig fordeling på tværs af alle interessentgrupper, herunder SMV'er – svarede, at restriktioner for placeringen af data havde påvirket deres forretningsstrategi 19 . Andre aktiviteter til at indsamle oplysninger bestod i møder og events, målrettede workshops med vigtige interessenter (f.eks. Cloud Select Industry Group) og målrettede workshops i forbindelse med undersøgelser.

    En anden runde med indsamling af oplysninger fra udgangen af 2016 til andet halvår 2017 omfattede en offentlig høring søsat i forbindelse med meddelelsen "Opbygning af en europæisk dataøkonomi" den 10. januar 2017. Ifølge svarene på den offentlige høring mente 61,9 % af interessenterne, at dataplaceringsrestriktionerne burde fjernes. Et flertal af de deltagende interessenter (55,3 % af respondenterne) mener, at lovtiltag er det bedste middel til at afhjælpe uberettigede placeringsrestriktioner, og en række af dem opfordrer udtrykkeligt til, at der indføres en forordning 20 . IT-tjenesteleverandører i alle størrelser både i og uden for EU viser størst støtte til et lovtiltag. Derudover påpegede interessenterne også andre negative konsekvenser af dataplaceringsrestriktionerne. De vedrører, ud over højere omkostninger for virksomhederne, også levering af tjenester til offentlige og private enheder (69,6 % af alle deltagende interessenter betegnede virkningen heraf som "stor") eller muligheden for at komme ind på et nyt marked (73,9 % af de deltagende interessenter betegnede virkningen heraf som "stor"). Interessenter med forskellige baggrunde besvarede spørgsmålene med en ensartet procentuel fordeling. Den offentlige onlinehøring viste også, at problemet med at skifte leverandør er udbredt, eftersom 56,8 % af respondenterne fra SMV'er angav, at de havde haft problemer, da de forsøgte at skifte.

    De strukturerede dialogmøder med medlemsstaterne bidrog til en fælles forståelse af udfordringerne. 16 medlemsstater har udtrykkeligt efterlyst et lovgivningsmæssigt forslag i et brev til Donald Tusk.

    Forslaget berører en række spørgsmål, som medlemsstaterne og branchen har bragt til torvs, herunder navnlig behovet for et tværgående princip om fri udveksling af data, som skal give retssikkerhed, fremskridt inden for tilgængelighed af data til tilsynsmæssige formål og behovet for at gøre det lettere for professionelle brugere at skifte leverandør af datalagring eller andre databehandlingstjenester og portere data ved at opfordre til mere gennemsigtighed om de procedurer og betingelser, der gælder i kontrakter, men ikke ved at pålægge leverandører specifikke standarder eller forpligtelser på nuværende tidspunkt.

    Indhentning og brug af ekspertbistand

    Der er lagt vægt på juridiske og økonomiske undersøgelser i forbindelse med flere aspekter af datamobilitet, herunder dataplaceringskrav 21 , leverandørskift/dataportering 22 og datasikkerhed 23 . Der er blevet bestilt yderligere undersøgelser af effekterne af cloud computing 24 og udbredelsen af cloud computing 25 på det europæiske datamarked 26 . Der er også blevet gennemført undersøgelser om sam- eller selvregulerende tiltag inden for cloud computing-sektoren 27 . Kommissionen har også benyttet sig af andre eksterne kilder, herunder markedsundersøgelser og -statistik (f.eks. fra Eurostat).

    Konsekvensanalyse

    Der er foretaget en konsekvensanalyse af dette forslag. Der blev i konsekvensanalysen set på følgende løsningsmodeller: et referencescenarie (ingen politiske tiltag) og tre politiske løsningsmodeller. Løsningsmodel 1 bestod af retningslinjer og/eller selvregulering til at løse de forskellige problemer, der var blevet påpeget, og den indebar en styrkelse af håndhævelsen i forhold til forskellige kategorier af uberettigede eller uforholdsmæssige dataplaceringsrestriktioner pålagt af medlemsstaterne. Ifølge løsningsmodel 2 skulle der fastsættes retlige principper for så vidt angår de forskellige problemer, der var blevet påpeget, og den omfattede udpegning af et centralt kontaktpunkt i hver medlemsstat og oprettelse af en ekspertgruppe, som skulle drøfte fælles tilgange og praksisser samt vejlede om de principper, der ville blive indført med løsningsmodellen. Der blev også set på en delmodel 2a, som ville give mulighed for en kombination af lovgivningsmæssige foranstaltninger i form af en ramme for fri udveksling af data, centrale kontaktpunkter og en ekspertgruppe samt selvregulerende foranstaltninger vedrørende dataportering. Løsningsmodel 3 bestod af et detaljeret lovgivningsmæssigt initiativ, hvormed der bl.a. blev indført foruddefinerede (harmoniserede) vurderinger af, hvad der udgør (u)berettigede og (u)forholdsmæssige dataplaceringsrestriktioner, og en ny ret til dataportering.

    Den 28. september 2016 afgav Udvalget for Forskriftskontrol sin første udtalelse om konsekvensanalysen og bad om at få den forelagt på ny. Den blev efterfølgende revideret og forelagt for Udvalget for Forskriftskontrol igen den 11. august 2017. I sin anden udtalelse bemærkede Udvalget for Forskriftskontrol, at anvendelsesområdet var blevet udvidet efter Kommissionens meddelelse, (COM(2017) 9), om opbygning af en europæisk dataøkonomi, og noterede sig det yderligere materiale om interessenters synspunkter og om den gældende rammes mangler. Udvalget afgav imidlertid endnu en negativ udtalelse den 25. august 2017, hvori det især blev bemærket, at der manglede dokumentation til støtte for en ny ret til cloudtjenesteportabilitet. På linje med operationel praksis anså udvalget denne udtalelse for endelig.

    Kommissionen fandt det belejligt at fremsætte et forslag samtidig med, at den forbedrede sin konsekvensanalyse under hensyntagen til de bemærkninger, som Udvalget for Forskriftskontrol havde fremsat i sin anden udtalelse. Forslagets anvendelsesområde er begrænset til fri udveksling af ikkepersondata i Den Europæiske Union. I overensstemmelse med udvalgets konklusion om, at dokumentationen synes at pege i retning af en mindre streng løsningsmodel for dataportering, er den foretrukne løsningsmodel, som indledningsvis blev fremsat i konsekvensanalysen om leverandørers forpligtelse til at lette leverandørskift eller portere brugerens data, blevet opgivet. Kommissionen har i stedet bevaret en mindre belastende løsningsmodel bestående af selvregulerende foranstaltninger, som understøttes af Kommissionen. Forslaget er forholdsmæssigt og mindre strengt, eftersom der ikke indføres en ny ret til at portere datalagre eller andre databehandlingstjenester mellem leverandører, men i stedet lægges vægt på selvregulering for at opnå gennemsigtighed for så vidt angår de tekniske og operationelle betingelser, der vedrører portabilitet.

    I forslaget tages der også hensyn til udvalgets udtalelse med henblik på at sikre, at der ikke er overlapninger med revisionen af mandatet for Den Europæiske Unions Agentur for Net- og Informationssikkerhed (ENISA) og oprettelsen af den europæiske ramme for IKT-cybersikkerhed.

    Konsekvensanalysen viste, at den foretrukne model, delmodel 2a, vil sikre, at eksisterende uberettigede placeringsrestriktioner blev fjernet, og vil forebygge fremtidige restriktioner som følge af et klart retligt princip i kombination med underretning, revision og gennemsigtighed, samtidig med at den vil fremme retssikkerheden og tilliden til markedet. Byrden for medlemsstaternes offentlige myndigheder vil blive beskeden med blot ca. 33 000 EUR årligt til omkostninger til menneskelige ressourcer til at opretholde et centralt kontaktpunkt samt årlige omkostninger mellem 385 EUR og 1925 EUR til forberedelse af underretningerne.

    Forslaget vil have en positiv virkning på konkurrencen, eftersom det vil stimulere innovation inden for datalagring og andre databehandlingstjenester, tiltrække flere brugere og gøre det betydeligt lettere for især små og mellemstore leverandører at komme ind på nye markeder. Forslaget vil også fremme brugen af datalagring og andre databehandlingstjenester på tværs af grænser og sektorer og udviklingen af datamarkedet. Derfor vil forslaget bidrage til at transformere samfundet og økonomien og give europæiske borgere, virksomheder og offentlige forvaltninger nye muligheder.

    Målrettet regulering og forenkling

    Forslaget finder anvendelse på borgere, nationale forvaltninger og alle former for virksomheder, herunder mikrovirksomheder og SMV'er. Alle virksomheder kan drage fordel af bestemmelserne om afskaffelse af hindringer for datamobilitet. Navnlig SMV'er vil få gavn af forslaget, da fri udveksling af data vil nedbringe deres omkostninger og styrke deres konkurrenceevne på markedet. Hvis SMV'er blev undtaget fra bestemmelserne, ville det undergrave forordningens effektivitet, da SMV'er udgør en væsentlig del af leverandørerne af datalagring og anden databehandling og er en vigtig drivkraft for innovation på disse markeder. Da der desuden ikke forventes at være væsentlige omkostninger forbundet med gennemførelsen af reglerne, bør mikrovirksomheder og SMV'er ikke udelukkes fra forordningens anvendelsesområde.

    Grundlæggende rettigheder

    I den foreslåede forordning overholdes de grundlæggende rettigheder og de principper, som Den Europæiske Unions charter om grundlæggende rettigheder anerkender. Den foreslåede forordning forventes at have en positiv virkning på friheden til at oprette og drive egen virksomhed (artikel 16), da den vil bidrage til at afskaffe og forebygge uberettigede eller uforholdsmæssige hindringer for anvendelse og levering af datatjenester, f.eks. cloudtjenester, samt for konfiguration af brugernes egne IT-systemer.

    4.VIRKNINGER FOR BUDGETTET

    Foranstaltningen vil medføre en moderat ekstra administrativ byrde for medlemsstaternes offentlige myndigheder, idet der skal afsættes personale til at varetage samarbejdet mellem medlemsstaterne via de centrale kontaktpunkter og til at overholde bestemmelserne om underretning, revision og gennemsigtighed.

    5.ANDRE FORHOLD

    Planer for gennemførelsen og foranstaltninger til overvågning, evaluering og rapportering

    Der vil blive gennemført en omfattende evaluering fem år efter, at reglerne er bragt i anvendelse, med det formål at vurdere deres effektivitet og proportionalitet. Evalueringen vil blive gennemført i overensstemmelse med retningslinjerne for bedre regulering.

    Det vil navnlig blive vurderet, om forordningen har bidraget til at nedbringe dataplaceringsrestriktionernes antal og omfang og til at øge retssikkerheden og gennemsigtigheden for så vidt angår de resterende (berettigede og forholdsmæssige) restriktioner. Det skal også undersøges, om foranstaltningen har bidraget til at styrke tilliden til fri udveksling af ikkepersondata, om medlemsstaternes myndigheder kan få adgang til data, der er lagret i udlandet, i regulerings- og tilsynsøjemed, og om forordningen har forbedret gennemsigtigheden omkring betingelserne for dataportering.

    Det er planen, at de centrale kontaktpunkter i medlemsstaterne skal tjene som en værdifuld kilde til information i forbindelse med den efterfølgende evaluering af lovgivningen.

    Der vil blive anvendt særlige indikatorer (som foreslået i konsekvensanalysen) til at måle fremskridtene på de nævnte områder. Det er også hensigten at benytte Eurostats data og indekset for digitalisering af økonomi og samfund. Desuden kan det overvejes at anvende en særudgave af Eurobarometer til dette formål.

    Nærmere redegørelse for de enkelte bestemmelser i forslaget

    I artikel 1 til 3 fastlægges formålet med forslaget, forordningens anvendelsesområde og de definitioner, der gælder i forordningen.

    i artikel 4 fastsættes princippet om fri udveksling af andre data end personoplysninger i Unionen. Dette indebærer, at restriktioner vedrørende datas placering forbydes, medmindre de er begrundet i hensynet til den offentlige sikkerhed. Endvidere fastsættes der bestemmelser om fornyet vurdering af de eksisterende krav, underretning om resterende eller nye krav til Kommissionen og gennemsigtighedsforanstaltninger.

    Artikel 5 har til formål at sikre, at de kompetente myndigheder kan få adgang til data med henblik på udførelse af deres regulerings- og tilsynsopgaver. Brugerne må derfor ikke afvise at give de kompetente myndigheder adgang til data med den begrundelse, at dataene lagres eller på anden vis behandles i en anden medlemsstat. Hvis en kompetent myndighed har udtømt alle relevante muligheder for at få adgang til dataene, og der ikke er en specifik samarbejdsordning, der kan anvendes i det pågældende tilfælde, kan den kompetente myndighed anmode om bistand hos de kompetente myndigheder i andre medlemsstater.

    I henhold til artikel 6 skal Kommissionen tilskynde tjenesteleverandører og professionelle brugere til at udvikle og gennemføre adfærdskodekser for at sikre, at leverandørerne, inden der indgås kontrakt om datalagring eller behandling, giver professionelle brugere oplysninger om dataportering (herunder tekniske og operationelle krav) i en tilstrækkeligt detaljeret, klar og gennemskuelig form. Kommissionen vil vurdere udviklingen og den praktiske gennemførelse af sådanne adfærdskodekser senest to år efter, at forordningen er bragt i anvendelse.

    I henhold til artikel 7 skal hver medlemsstat udpege et centralt kontaktpunkt, som skal varetage forbindelserne med de centrale kontaktpunkter i andre medlemsstater og Kommissionen, for så vidt angår anvendelsen af forordningen. Artikel 7 indeholder også bestemmelser om de proceduremæssige betingelser, der gælder for den bistand mellem kompetente myndigheder, der er omhandlet i artikel 5.

    I artikel 8 fastsættes det, at Kommissionen bistås af Udvalget om Fri Udveksling af Data, der er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

    I henhold til artikel 9 skal forordningen tages op til revision senest fem år efter, at den er bragt i anvendelse.

    I artikel 10 fastsættes det, at forordningen finder anvendelse seks måneder efter datoen for offentliggørelsen.

    2017/0228 (COD)

    Forslag til

    EUROPA-PARLAMENTETS OG RÅDETS FORORDNING

    om en ramme for fri udveksling af andre data end personoplysninger i Den Europæiske Union

    EUROPA-PARLAMENTET OG RÅDET FOR DEN EUROPÆISKE UNION HAR —

    under henvisning til traktaten om Den Europæiske Unions funktionsmåde, særlig artikel 114,

    under henvisning til forslag fra Europa-Kommissionen,

    efter fremsendelse af udkast til lovgivningsmæssig retsakt til de nationale parlamenter,

    under henvisning til udtalelse fra Det Europæiske Økonomiske og Sociale Udvalg 28 ,

    under henvisning til udtalelse fra Regionsudvalget 29 ,

    efter den almindelige lovgivningsprocedure, og

    ud fra følgende betragtninger:

    (1)Digitaliseringen af økonomien går stadig hurtigere. Informations- og kommunikationsteknologi (IKT) er ikke længere en specifik sektor, men grundlaget for alle moderne innovative økonomiske systemer og samfund. Elektroniske data er kernen i disse systemer og kan skabe stor værdi, når de analyseres eller kombineres med tjenester og varer.

    (2)Dataværdikæder bygger på forskellige dataaktiviteter: frembringelse og indsamling af data; aggregering og organisation af data; lagring og behandling af data; analyse, markedsføring og distribution af data; anvendelse og genanvendelse af data. Formålstjenlig og effektiv lagring og anden behandling af data er en grundlæggende byggesten i dataværdikæden. Men en sådan formålstjenlig og effektiv databehandling og udviklingen af dataøkonomien i Unionen hæmmes af navnlig to typer af hindringer for datamobilitet og for det indre marked.

    (3)Etableringsfriheden og den frie udveksling af tjenesteydelser i henhold til traktaten om Den Europæiske Unions funktionsmåde gælder også for datalagring og andre databehandlingstjenester. Imidlertid bliver leveringen af disse tjenester hæmmet eller forhindret af visse nationale krav vedrørende dataenes placering.

    (4)Disse hindringer for fri udveksling af datalagring og andre databehandlingstjenester og for etableringsretten for leverandører af sådanne tjenester skyldes krav i medlemsstaternes nationale lovgivning om, at dataene lagres og behandles inden for et bestemt geografisk område eller territorium. Andre regler eller anden administrativ praksis har en tilsvarende virkning ved at pålægge specifikke krav, som gør det vanskeligere at lagre eller på anden måde behandle data uden for et bestemt geografisk område eller territorium i Unionen, f.eks. krav om brug af teknologi, der er certificeret eller godkendt i en bestemt medlemsstat. Usikkerhed om retstilstanden med hensyn til rækkevidden af berettigede og uberettigede dataplaceringskrav begrænser yderligere markedsdeltagernes og den offentlige sektors valgmuligheder med hensyn til, hvor data lagres eller på anden vis behandles.

    (5)Samtidig hæmmes datamobilitet i Unionen også af begrænsninger i den private sektor: retlige, kontraktmæssige og tekniske hindringer gør det svært eller umuligt for brugere af datalagring og andre databehandlingstjenester at få overført deres data fra én tjenesteleverandør til en anden eller tilbage til deres egne IT-systemer, f.eks. efter udløbet af deres kontrakt med en leverandør.

    (6)Hensynet til retssikkerheden og behovet for lige konkurrencevilkår inden for Unionen gør et fælles regelsæt for alle markedsaktører til en vigtig forudsætning for et velfungerende indre marked. For at fjerne hindringerne for handelen og de konkurrencefordrejninger, som forskelle mellem de nationale lovgivninger medfører, og for at forhindre, at der opstår yderligere hindringer for handelen og væsentlige konkurrencefordrejninger, er det derfor nødvendigt at vedtage ensartede regler, der gælder i alle medlemsstaterne.

    (7)For at skabe en ramme for fri udveksling af andre data end personoplysninger ("ikkepersondata") i Unionen og danne grundlag for at videreudvikle dataøkonomien og styrke den europæiske industris konkurrenceevne er det derfor nødvendigt at fastlægge en klar, dækkende og forudsigelig retlig ramme for lagring og anden behandling af ikkepersondata på det indre marked. En principbaseret tilgang, der omfatter både samarbejde mellem medlemsstaterne og selvregulering, bør sikre, at rammen er fleksibel, så der kan tages hensyn til udviklingen i behovene hos brugere, leverandører og nationale myndigheder i Unionen. For at undgå risikoen for overlapning med eksisterende ordninger og dermed undgå at øge byrden for både medlemsstater og virksomheder bør der ikke fastlægges detaljerede tekniske regler.

    (8)Denne forordning bør finde anvendelse på fysiske og juridiske personer, der leverer datalagring eller andre databehandlingstjenester til brugere, som er bosiddende eller etableret i Unionen, herunder på fysiske og juridiske personer, der leverer tjenester i Unionen uden selv at være etableret der.

    (9)De retlige rammer for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger, særlig forordning (EU) 2016/679 30 , direktiv (EU) 2016/680 31 og direktiv 2002/58/EF 32 bør ikke berøres af nærværende forordning.

    (10)I henhold til forordning (EU) 2016/679 må medlemsstaterne hverken indskrænke eller forbyde den frie udveksling af personoplysninger inden for Unionen af grunde, der vedrører beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger. Samme princip om fri udveksling inden for Unionen gælder i henhold til nærværende forordning for ikkepersondata, medmindre en indskrænkning eller et forbud er berettiget af sikkerhedshensyn.

    (11)Denne forordning bør gælde for datalagring eller anden databehandling i bredeste forstand og omfatte brugen af alle typer IT-systemer, uanset om de er placeret i brugerens lokaler eller outsourcet til en leverandør af datalagring eller andre databehandlingstjenester. Den bør dække forskellige grader af databehandling, fra datalagring (Infrastructure-as-a-Service (IaaS)) til behandling af data på platforme (Platform-as-a-Service (PaaS)) eller i applikationer (Software-as-a-Service (SaaS)). Disse forskellige tjenester bør være omfattet af denne forordning, medmindre den pågældende datalagring eller anden databehandling blot er en støttefunktion for en tjeneste af en anden type, f.eks. udbud af en onlinemarkedsplads som mellemled mellem tjenesteleverandører og forbrugere eller erhvervsbrugere.

    (12)Dataplaceringskrav udgør en klar hindring for fri udveksling af datalagringstjenester og andre databehandlingstjenester i Unionen og for det indre marked. Sådanne krav bør forbydes, medmindre de er begrundet i hensynet til den offentlige sikkerhed, jf. EU-retten, navnlig artikel 52 i traktaten om Den Europæiske Unions funktionsmåde, og opfylder proportionalitetsprincippet, der er forankret i artikel 5 i traktaten om Den Europæiske Union. For at gennemføre princippet om fri udveksling af ikkepersondata på tværs af grænserne, sikre en hurtig afskaffelse af eksisterende dataplaceringskrav og gøre det muligt af driftsmæssige årsager at lagre data eller foretage anden databehandling flere steder i Unionen, og da der ved denne forordning indføres foranstaltninger til at sikre myndighederne adgang til data i regulerings- og tilsynsøjemed, bør medlemsstaterne ikke kunne påberåbe sig andre begrundelser for at begrænse den fri udveksling af data end hensynet til den offentlige sikkerhed.

    (13)For at sikre en effektiv anvendelse af princippet om fri udveksling af ikkepersondata på tværs af grænserne og undgå, at der opstår nye hindringer på det indre marked, bør medlemsstaterne underrette Kommissionen om ethvert udkast til retsakt, der indeholder nye dataplaceringskrav eller ændrer eksisterende krav. Sådanne underretninger bør foretages og vurderes i henhold til den procedure, der er fastlagt i direktiv (EU) 2015/1535 33 .

    (14)For at fjerne eventuelle eksisterende hindringer bør medlemsstaterne desuden i løbet af en overgangsperiode på 12 måneder tage eksisterende nationale dataplaceringskrav op til revision og meddele Kommissionen de dataplaceringskrav, som de anser for at være i overensstemmelse med denne forordning, samt give en begrundelse herfor. Disse underretninger bør sætte Kommissionen i stand til at vurdere, om eventuelle resterende dataplaceringskrav er i overensstemmelse med forordningen.

    (15)For at skabe klarhed om dataplaceringskravene i medlemsstaterne for fysiske og juridiske personer, som f.eks. leverandører og brugere af datalagring og andre databehandlingstjenester, bør medlemsstaterne offentliggøre og jævnligt ajourføre oplysningerne om sådanne foranstaltninger på et centralt onlineinformationssted. Med henblik på at sikre, at fysiske og juridiske personer informeres på passende vis om dataplaceringskrav overalt i Unionen, bør medlemsstaterne meddele Kommissionen adresserne på disse onlineinformationssteder. Kommissionen bør offentliggøre disse adresser på sit eget websted.

    (16)Baggrunden for dataplaceringskrav er ofte manglende tillid til datalagring og anden databehandling i andre lande, der udspringer af en formodning om, at dataene ikke er tilgængelige for medlemsstaternes kompetente myndigheder, når de f.eks. skal foretage inspektion og audit i regulerings- eller tilsynsøjemed. Det bør derfor klart fastslås, at denne forordning ikke berører de kompetente myndigheders beføjelser til at anmode om og få adgang til data i overensstemmelse med EU-retten eller national ret, og at kompetente myndigheder ikke må nægtes adgang til data med den begrundelse, at dataene lagres eller på anden vis behandles i en anden medlemsstat.

    (17)Fysiske og juridiske personer, der er underlagt forpligtelser til at indberette data til de kompetente myndigheder, kan opfylde disse forpligtelser ved at give og garantere de kompetente myndigheder effektiv og rettidig elektronisk adgang til dataene, uanset i hvilken medlemsstat dataene lagres eller på anden vis behandles. En sådan adgang kan sikres gennem konkrete vilkår og betingelser i kontrakten mellem den fysiske eller juridiske person, der er underlagt forpligtelsen til at give adgang til data, og leverandøren af datalagring eller andre databehandlingstjenester.

    (18)Når en fysisk eller juridisk person, der er underlagt forpligtelser til at indberette data, ikke opfylder disse forpligtelser, og den kompetente myndighed har udtømt alle relevante muligheder for at få adgang til dataene, bør myndigheden kunne søge bistand hos de kompetente myndigheder i andre medlemsstater. I sådanne tilfælde bør de kompetente myndigheder, alt afhængigt af emnet i det pågældende tilfælde, gøre brug af de særlige samarbejdsinstrumenter i EU-retten eller internationale aftaler, f.eks. – inden for henholdsvis politisamarbejde og samarbejde i strafferetlige, civilretlige og administrative anliggender – rammeafgørelse 2006/960 34 , Europa-Parlamentets og Rådets direktiv 2014/41/EU 35 , Europarådets konvention om IT-kriminalitet 36 , Rådets forordning (EF) nr. 1206/2001 37 , Rådets direktiv 2006/112/EF 38 og Rådets forordning (EU) nr. 904/2010 39 . I mangel af sådanne særlige samarbejdsordninger bør de kompetente myndigheder samarbejde med hinanden gennem udpegede centrale kontaktpunkter med henblik på at give adgang til de ønskede data, medmindre det ville være i strid med den offentlige orden i den medlemsstat, der anmodes om bistand.

    (19)Hvis en anmodning om bistand indebærer, at den adspurgte myndighed skal have adgang til en fysisk eller juridisk persons lokaler, herunder til udstyr og midler til datalagring eller anden databehandling, skal en sådan adgang være i overensstemmelse med reglerne i Unionens eller medlemsstatens procesret, herunder eventuelle krav om, at der indhentes forudgående retskendelse.

    (20)Muligheden for at portere data uden hindringer er en afgørende faktor, der øger brugernes valgmuligheder og fremmer effektiv konkurrence på markederne for datalagring og andre databehandlingstjenester. De reelle eller formodede problemer med at portere data på tværs af grænserne undergraver professionelle brugeres tillid til tilbud i andre lande og dermed deres tillid til det indre marked. Mens fysiske personer og forbrugere nyder godt af eksisterende EU-lovgivning, fremmer den ikke brugernes muligheder for at skifte tjenesteleverandør i forbindelse med deres forretnings- eller erhvervsmæssige aktiviteter.

    (21)For at høste det fulde udbytte af et konkurrencepræget miljø bør professionelle brugere kunne træffe informerede valg og nemt kunne sammenligne de enkelte elementer i de forskellige datalagringstjenester eller andre databehandlingstjenester, der udbydes på det indre marked, herunder kontraktvilkårene for portering af data ved opsigelse af en kontrakt. På baggrund af innovationspotentialet på markedet samt erfaringerne og ekspertisen hos leverandører og professionelle brugere af datalagring og andre databehandlingstjenester bør markedsdeltagerne ved selvregulering fastlægge detaljerede informationskrav og operationelle krav vedrørende dataportering; selvreguleringen bør fremmes af Kommissionen og tage form af EU-adfærdskodekser, som kan omfatte standardkontraktvilkår. Hvis sådanne adfærdskodekser ikke er fastlagt og gennemført i praksis inden for en rimelig frist, bør Kommissionen dog tage situationen op til fornyet overvejelse.

    (22)For at bidrage til et velfungerende samarbejde mellem medlemsstaterne bør hver medlemsstat udpege et centralt kontaktpunkt til at varetage forbindelserne med kontaktpunkterne i de andre medlemsstater og Kommissionen, for så vidt angår anvendelsen af denne forordning. Når en kompetent myndighed i en medlemsstat ønsker bistand fra en anden medlemsstat til at få adgang til data i henhold til denne forordning, bør den indgive en behørigt begrundet anmodning til sidstnævntes centrale kontaktpunkt, herunder en skriftlig redegørelse for begrundelsen og retsgrundlaget for at søge adgang til data. Det centrale kontaktpunkt, der er udpeget af den medlemsstat, der anmodes om bistand, bør lette den gensidige bistand mellem myndighederne ved at identificere den relevante kompetente myndighed i sin medlemsstat og sende anmodningen videre til denne. For at sikre et effektivt samarbejde bør den myndighed, som anmodningen er sendt til, uden unødigt ophold yde den bistand, der anmodes om, eller oplyse om eventuelle problemer med at imødekomme anmodningen eller om begrundelsen for et eventuelt afslag på anmodningen.

    (23)For at sikre en effektiv gennemførelse af proceduren for bistand mellem medlemsstaternes kompetente myndigheder kan Kommissionen vedtage gennemførelsesretsakter, hvori der fastlægges standardformularer, hvilket sprog der anvendes i anmodningerne, tidsfrister eller andre nærmere bestemmelser om procedurerne for anmodninger om bistand. Disse beføjelser bør udøves i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 40 .

    (24)Hvis tilliden til sikkerheden i forbindelse med datalagring og databehandling i andre medlemsstater styrkes, bør det mindske tilbøjeligheden hos markedsdeltagerne og i den offentlige sektor til at bruge placeringen af data som substitut for datasikkerhed. Det bør også forbedre retssikkerheden for virksomhederne med hensyn til, hvilke sikkerhedskrav der gælder, når de outsourcer deres datalagring eller andre former for databehandling til tjenesteleverandører i andre medlemsstater.

    (25)Ethvert sikkerhedskrav vedrørende datalagring og anden databehandling, der anvendes på en berettiget og forholdsmæssig måde på grundlag af EU-retten eller national ret i overensstemmelse med EU-retten i den medlemsstat, hvor den fysiske eller juridiske person, hvis data er berørt, er bosiddende eller etableret, bør også finde anvendelse på lagring og anden behandling af disse data i en anden medlemsstat. Fysiske og juridiske personer bør kunne opfylde sådanne krav egenhændigt eller i kraft af bestemmelser i kontrakter med leverandørerne.

    (26) Sikkerhedskrav, der fastsættes på nationalt plan, bør være nødvendige og stå i et rimeligt forhold til sikkerhedsrisiciene i forbindelse med datalagring eller anden databehandling på det område, der er omfattet af den nationale lovgivning, hvori disse krav fastsættes.

    (27)Direktiv 2016/1148 41 indeholder bestemmelser om retlige foranstaltninger, der skal øge det samlede cybersikkerhedsniveau i Unionen. Datalagring og andre databehandlingstjenester er blandt de digitale tjenester, der er omfattet af dette direktiv. I henhold til direktivets artikel 16 skal medlemsstaterne sikre, at udbydere af digitale tjenester identificerer og træffer passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene i forhold til sikkerheden i net- og informationssystemer, som de anvender. Disse foranstaltninger bør garantere et sikkerhedsniveau, der står i forhold til risikoen, idet der tages hensyn til systemers og faciliteters sikkerhed, håndtering af hændelser, styring af driftskontinuitet, overvågning, audit og testning og overholdelse af internationale standarder. Disse elementer skal specificeres yderligere i gennemførelsesretsakter, som Kommissionen vedtager i henhold til direktivet.

    (28)Kommissionen bør regelmæssigt tage denne forordnings bestemmelser op til revision, særlig med henblik på at afgøre, om der er behov for ændringer i lyset af udviklingen i de teknologiske betingelser og markedsvilkårene.

    (29)I denne forordning overholdes de grundlæggende rettigheder og de principper, som bl.a. Den Europæiske Unions charter om grundlæggende rettigheder anerkender, og forordningen bør fortolkes og anvendes i overensstemmelse med disse rettigheder og principper, herunder retten til beskyttelse af personoplysninger (artikel 8), friheden til at oprette og drive egen virksomhed (artikel 16) og ytrings- og informationsfriheden (artikel 11).

    (30)Målet for denne forordning, nemlig at sikre fri udveksling af ikkepersondata i Unionen, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af dets omfang og virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i traktaten om Den Europæiske Union. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå dette mål —

    VEDTAGET DENNE FORORDNING:

    Artikel 1
    Genstand

    Formålet med denne forordning er at sikre fri udveksling af andre data end personoplysninger i Unionen ved at fastsætte bestemmelser om dataplaceringskrav, kompetente myndigheders adgang til data og dataportering for professionelle brugere.

    Artikel 2
    Anvendelsesområde

    1.Denne forordning finder anvendelse på lagring og anden behandling i Unionen af elektroniske data bortset fra personoplysninger, når denne lagring eller behandling:

    a)leveres som en tjeneste til brugere, der er bosiddende eller etableret i Unionen, uanset om leverandøren er etableret i Unionen eller ej, eller

    b)foretages af en fysisk eller juridisk person, der er bosiddende eller etableret i Unionen, til eget behov.

    2.Forordningen finder ikke anvendelse på aktiviteter, der falder uden for EU-rettens anvendelsesområde.

    Artikel 3
    Definitioner

    I denne forordning forstås ved:

    1."data" (også benævnt "ikkepersondata"): andre data end personoplysninger som defineret i artikel 4, nr. 1), i forordning (EU) 2016/679

    2."datalagring": enhver lagring af data i elektronisk format

    3."udkast til retsakt": en tekst, der er udarbejdet med henblik på vedtagelse som en lov eller administrativ bestemmelse af generel art, og som befinder sig på det forberedende stadium, hvor den medlemsstat, der har meddelt udkastet, stadig kan foretage væsentlige ændringer heri

    4."leverandør": en fysisk eller juridisk person, der leverer datalagringstjenester eller andre databehandlingstjenester

    5."dataplaceringskrav": enhver forpligtelse, betingelse og begrænsning og ethvert forbud eller andre krav, der er fastsat i medlemsstaternes love og administrative bestemmelser, og som indebærer, at datalagring og anden databehandling skal finde sted i en bestemt medlemsstat, eller forhindrer datalagring og anden databehandling i en anden medlemsstat

    6."kompetent myndighed": en myndighed i en medlemsstat, der med henblik på varetagelse af sine officielle opgaver i henhold til national ret eller EU-retten har beføjelse til at få adgang til data, der er lagret eller behandlet af en fysisk eller juridisk person

    7."bruger": en fysisk eller juridisk person, der benytter eller anmoder om en datalagringstjeneste eller anden databehandlingstjeneste

    8."professionel bruger": en fysisk eller juridisk person, herunder en offentlig enhed, der benytter eller anmoder om en datalagringstjeneste eller anden databehandlingstjeneste i forbindelse med sit erhverv, sin forretning, sit håndværk, sin profession eller sine opgaver.

    Artikel 4
    Fri udveksling af data i Unionen

    1.Placeringen af data med henblik på lagring eller anden behandling inden for Unionen må ikke begrænses til en bestemt medlemsstats område, og lagring eller anden behandling i en anden medlemsstat må ikke forbydes eller begrænses, medmindre det er begrundet i hensynet til den offentlige sikkerhed.

    2.Medlemsstaterne underretter Kommissionen om ethvert udkast til retsakt, der indebærer nye dataplaceringskrav eller ændringer af eksisterende dataplaceringskrav, i overensstemmelse med de procedurer, der er fastsat i den nationale ret til gennemførelse af direktiv (EU) 2015/1535.

    3.Senest 12 måneder efter at denne forordning er bragt i anvendelse, sikrer medlemsstaterne, at ethvert dataplaceringskrav, der ikke er i overensstemmelse med stk. 1, ophæves. Hvis en medlemsstat mener, at et dataplaceringskrav er i overensstemmelse med stk. 1 og derfor kan forblive i kraft, underretter den Kommissionen om den pågældende foranstaltning, idet den giver en begrundelse for at opretholde foranstaltningen.

    4.Medlemsstaterne gør de nærmere oplysninger om eventuelle dataplaceringskrav, der er gældende på deres område, offentligt tilgængelige online via et centralt informationssted, som de ajourfører.

    5.Medlemsstaterne meddeler Kommissionen adressen på deres centrale informationssted som omhandlet i stk. 4. Kommissionen offentliggør linkene til disse informationssteder på sit websted.

    Artikel 5
    Kompetente myndigheders adgang til data

    1.Denne forordning berører ikke de kompetente myndigheders beføjelser til at anmode om og få adgang til data med henblik på udførelse af deres officielle opgaver i overensstemmelse med EU-retten eller national ret. De kompetente myndigheder må ikke nægtes adgang til data med den begrundelse, at dataene lagres eller på anden vis behandles i en anden medlemsstat.

    2.Hvis en kompetent myndighed har udtømt alle relevante muligheder for at få adgang til data, kan den anmode om bistand fra en kompetent myndighed i en anden medlemsstat i overensstemmelse med den procedure, der er fastlagt i artikel 7, og sidstnævnte myndighed skal yde bistand i overensstemmelse med proceduren i artikel 7, medmindre det ville være i strid med den offentlige orden i denne myndigheds medlemsstat.

    3.Hvis en anmodning om bistand indebærer, at den adspurgte myndighed skal have adgang til en fysisk eller juridisk persons lokaler, herunder til udstyr og midler til datalagring eller anden databehandling, skal en sådan adgang være i overensstemmelse med reglerne i Unionens eller medlemsstatens procesret.

    4.Stk. 2 finder kun anvendelse, hvis der ikke i henhold til EU-lovgivningen eller internationale aftaler er en specifik samarbejdsordning vedrørende udveksling af data mellem de kompetente myndigheder i forskellige medlemsstater.

    Artikel 6
    Portering af data

    1.Kommissionen tilskynder til og fremmer udvikling af adfærdskodekser for selvregulering på EU-plan med henblik på at fastlægge retningslinjer for bedste praksis i forbindelse med leverandørskift og for at sikre, at leverandørerne, inden der indgås kontrakt om datalagring eller anden databehandling, giver professionelle brugere tilstrækkeligt detaljerede, klare og gennemskuelige oplysninger om:

    a)de procedurer, tekniske krav, tidsfrister og gebyrer, der gælder, når en professionel bruger vil skifte leverandør eller føre data tilbage til sine egne IT-systemer, herunder procedurerne for og placeringen af databackup, de dataformater og -medier, der er til rådighed, den krævede IT-konfiguration og minimumsbåndbredde; hvor lang tid der går, inden poteringsprocessen kan sættes i gang, og hvor lang tid dataene forbliver tilgængelige til portering; samt garantierne for adgang til data, såfremt leverandøren går konkurs, og

    b)de operationelle krav i forbindelse med leverandørskift eller portering af data i et struktureret, almindeligt anvendt og maskinlæsbart format, der giver brugeren tilstrækkelig tid til at skifte leverandør eller portere data.

    2.Kommissionen tilskynder leverandørerne til at gennemføre de adfærdskodekser, der er omhandlet i stk. 1, i praksis, senest et år efter at denne forordning er bragt i anvendelse.

    3.Senest to år efter at forordningen er bragt i anvendelse, vurderer Kommissionen udviklingen og den praktiske gennemførelse af adfærdskodekser samt leverandørernes formidling af oplysninger.

    Artikel 7
    Centrale kontaktpunkter

    1.Hver medlemsstat udpeger et centralt kontaktpunkt, som skal varetage forbindelserne med de centrale kontaktpunkter i andre medlemsstater og Kommissionen, for så vidt angår anvendelsen af denne forordning. Medlemsstaterne underretter Kommissionen om de udpegede kontaktpunkter og om senere ændringer af de meddelte oplysninger.

    2.Medlemsstaterne sikrer, at de centrale kontaktpunkter har de ressourcer, der er nødvendige i forbindelse med anvendelsen af denne forordning.

    3.Når en kompetent myndighed i en medlemsstat ønsker bistand fra en anden medlemsstat til at få adgang til data i henhold til artikel 5, stk. 2, indgiver den en behørigt begrundet anmodning til sidstnævntes centrale kontaktpunkt, herunder en skriftlig redegørelse for begrundelsen og retsgrundlaget for at søge adgang til data.

    4.Det centrale kontaktpunkt identificerer den relevante kompetente myndighed i sin medlemsstat og sender den anmodning, der er modtaget i medfør af stk. 3, til den pågældende myndighed. Denne myndighed skal uden unødigt ophold:

    a)svare den anmodende kompetente myndighed og underrette det centrale kontaktpunkt om sit svar, og

    b)underrette det centrale kontaktpunkt og den anmodende kompetente myndighed om eventuelle problemer eller, hvis anmodningen afslås eller kun delvist besvares, om begrundelsen for et sådant afslag eller delvist svar.

    5.Alle oplysninger, der udveksles i forbindelse med bistand, som der anmodes om og ydes i henhold til artikel 5, stk. 2, må kun anvendes i forbindelse med den sag, hvortil der blev anmodet om oplysningerne.

    6.Kommissionen kan vedtage gennemførelsesretsakter, hvori der fastlægges standardformularer, hvilket sprog der anvendes i anmodningerne, tidsfrister eller andre nærmere bestemmelser om procedurerne for anmodninger om bistand. Gennemførelsesretsakterne vedtages efter den procedure, der henvises til i artikel 8.

    Artikel 8
    Udvalg

    1.Kommissionen bistås af Udvalget om Fri Udveksling af Data. Dette udvalg er et udvalg som omhandlet i forordning (EU) nr. 182/2011.

    2.Når der henvises til dette stykke, anvendes artikel 5 i forordning (EU) nr. 182/2011.

    Artikel 9
    Revision

    1.Senest [5 år efter den dato, der henvises til i artikel 10, stk. 2] tager Kommissionen denne forordnings bestemmelser op til revision og forelægger en rapport om de vigtigste resultater for Europa-Parlamentet, Rådet og Det Europæiske Økonomiske og Sociale Udvalg.

    2.Medlemsstaterne forelægger Kommissionen de oplysninger, der er nødvendige for udarbejdelsen af den rapport, der er omhandlet i stk. 1.

    Artikel 10
    Afsluttende bestemmelser

    1.Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

    2.Forordningen finder anvendelse seks måneder efter offentliggørelsen.

    Forordningen er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

    Udfærdiget i Bruxelles, den .

    På Europa-Parlamentets vegne    På Rådets vegne

    Formand    Formand

    (1) Automatisk maskinlæring er en måde at anvende kunstig intelligens (AI) på, som giver systemer mulighed for automatisk at lære og forbedre sig ved hjælp af erfaringer, uden at disse er udtrykkeligt programmeret.
    (2) COM(2017) 9, "Opbygning af en europæisk dataøkonomi" af 10. januar 2017; se også det arbejdsdokument fra Kommissionens tjenestegrene, der ledsager meddelelsen, SWD(2017) 2 af 10. januar 2017.
    (3)

       IDC og Open Evidence, European Data Market, Final Report, 1. februar 2017 (SMART 2013/0063).

    (4) Kommissionens meddelelse af 10. maj 2017 (COM(2017) 228 final).
    (5) Andre databehandlingstjenester omfatter databaserede tjenester som dataanalyse, datastyringssystemer osv.
    (6) KOM(2015) 0192 endelig.
    (7) Åbningstale til Europa-Parlamentets plenarforsamling, Strasbourg, den 22. oktober 2014.
    (8) Europa-Parlamentets og Rådets direktiv (EF) 2000/31 af 8. juni 2000 om visse retlige aspekter af informationssamfundstjenester, navnlig elektronisk handel, i det indre marked ("Direktivet om elektronisk handel") (EFT L 178 af 17.7.2000, s. 1).
    (9) Europa-Parlamentets og Rådets direktiv (EF) 2006/123 af 12. december 2006 om tjenesteydelser i det indre marked (EUT L 376 af 27.12.2006, s. 36).
    (10) Ifølge undersøgelserne gennemført af henholdsvis LE Europe (SMART 2015/0016) og IDC (SMART 2013/0063).
    (11) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).
    (12) Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).
    (13) Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om privatlivets fred og elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).
    (14) Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 af 9. september 2015 om en informationsprocedure med hensyn til tekniske forskrifter samt forskrifter for informationssamfundets tjenester (EUT L 241 af 17.9.2015, s. 1).
    (15) COM(2017) 228 final.
    (16) COM(2016) 178 final, "Det europæiske cloudinitiativ - Opbygning af en konkurrencedygtig data- og vidensøkonomi i Europa", 19. april 2016
    (17) COM(2017) 134 final, "Den europæiske interoperabilitetsramme – Strategi for gennemførelse", 23. marts 2017
    (18) COM(2014) 72 final, "Internetpolitik og -forvaltning. EU's rolle i udformningen af fremtidens internetforvaltning", http://eur-lex.europa.eu/legal-content/da/ALL/?uri=COM:2014:0072:FIN  
    (19)

       Der blev søgt yderligere økonomiske oplysninger via en undersøgelse af cloud computings økonomiske indflydelse i Europa (SMART 2014/0031, Deloitte, "Measuring the economic impact of cloud computing in Europe", 2016).

    (20) 289 interessenter besvarede multiple choice-spørgsmålene i den offentlige høring. Respondenterne blev ikke spurgt om typen af lovtiltag, men 12 interessenter valgte på eget initiativ i de skrevne kommentarer at opfordre til, at man indførte en forordning. Denne gruppe af interessenter var meget varieret, idet den bestod af 2 medlemsstater, 3 virksomhedssammenslutninger, 6 IT-tjenesteleverandører og en advokatvirksomhed.
    (21) SMART 2015/0054, TimeLex, Spark og Tech4i, "Cross-border Data Flow in the Digital Single Market: Study on Data Location Restrictions", D5. Final Report (Under udarbejdelse) [TimeLex Study (SMART 2015/0054)]; SMART 2015/0016, London Economics Europe, Carsa og CharlesRussellSpeechlys, "Facilitating cross border data flow in the Digital Single Market", 2016 (Under udarbejdelse) [LE Europe Study (SMART 2015/0016)].
    (22) SMART 2016/0032, IDC og Arthur's Legal, "Switching between Cloud Service Providers", 2017 (Under udarbejdelse) [IDC og Arthur's Legal Study (SMART 2016/0032)].
    (23) SMART 2016/0029 (Under udarbejdelse), Tecnalia, "Certification Schemes for Cloud Computing", D6.1 Inception Report.
    (24) SMART 2014/0031, Deloitte, "Measuring the economic impact of cloud computing in Europe", 2016 [Deloitte Study (SMART 2014/0031)].
    (25) SMART 2013/43, IDC, "Uptake of Cloud in Europe. Follow-up of IDC Study on Quantitative estimates of the demand for Cloud computing in Europe and the likely barriers to take-up", 2014, kan findes her: http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=9742 ; SMART 2011/0045, IDC, "Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Uptake" (Juli 2012).
    (26) SMART 2013/0063, IDC og Open Evidence, "European Data Market. Data ownership and Access to Data - Key Emerging Issues", 1. februar 2017 [IDC Study (SMART 2013/0063)].
    (27) SMART 2015/0018, TimeLex, Spark, "Clarification of Applicable Legal Framework for Full, Co- or Self-Regulatory Actions in the Cloud Computing Sector" (Under udarbejdelse).
    (28) EUT C […] af […], s. […].
    (29) EUT C […] af […], s. […].
    (30) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).
    (31) Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89).
    (32) Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktivet om privatlivets fred og elektronisk kommunikation) (EFT L 201 af 31.7.2002, s. 37).
    (33) Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 af 9. september 2015 om en informationsprocedure med hensyn til tekniske forskrifter samt forskrifter for informationssamfundets tjenester (EUT L 241 af 17.9.2015, s. 1).
    (34) Rådets rammeafgørelse 2006/960/RIA af 18. december 2006 om forenkling af udvekslingen af oplysninger og efterretninger mellem medlemsstaternes retshåndhævende myndigheder (EUT L 386 af 29.12.2006, s. 89).
    (35) Europa-Parlamentets og Rådets direktiv 2014/41/EU af 3. april 2014 om den europæiske efterforskningskendelse i straffesager (EUT L 130 af 1.5.2014, s. 1).
    (36) Europarådets konvention om IT-kriminalitet, CETS nr. 185.
    (37) Rådets forordning (EF) nr. 1206/2001 af 28. maj 2001 om samarbejde mellem medlemsstaternes retter om bevisoptagelse på det civil- og handelsretlige område (EFT L 174 af 27.6.2001, s. 1).
    (38) Rådets direktiv 2006/112/EF af 28. november 2006 om det fælles merværdiafgiftssystem (EUT L 347 af 11.12.2006, s. 1).
    (39) Rådets forordning (EU) nr. 904/2010 af 7. oktober 2010 om administrativt samarbejde og bekæmpelse af svig vedrørende merværdiafgift (EUT L 268 af 12.10.2010 , s. 1).
    (40) Europa-Parlamentets og Rådets forordning (EU) nr. 182/2011 af 16. februar 2011 om de generelle regler og principper for, hvordan medlemsstaterne skal kontrollere Kommissionens udøvelse af gennemførelsesbeføjelser (EUT L 55 af 28.2.2011, s. 13).
    (41) Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (EUT L 194 af 19.7.2016, s. 1).
    Top