This document is an excerpt from the EUR-Lex website
Document 52017PC0495
Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a framework for the free flow of non-personal data in the European Union
Πρόταση ΚΑΝΟΝΙΣΜΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση
Πρόταση ΚΑΝΟΝΙΣΜΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση
COM/2017/0495 final - 2017/0228 (COD)
ΕΥΡΩΠΑΪΚΗ ΕΠΙΤΡΟΠΗ
Βρυξέλλες, 13.9.2017
COM(2017) 495 final
2017/0228(COD)
Πρόταση
ΚΑΝΟΝΙΣΜΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ
σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση
{SWD(2017) 304 final}
{SWD(2017) 305 final}
ΑΙΤΙΟΛΟΓΙΚΗ ΕΚΘΕΣΗ
1.ΠΛΑΙΣΙΟ ΤΗΣ ΠΡΟΤΑΣΗΣ
•Αιτιολόγηση και στόχοι της πρότασης
Οι νέες ψηφιακές τεχνολογίες όπως το υπολογιστικό νέφος, τα μαζικά δεδομένα, η τεχνητή νοημοσύνη και το διαδίκτυο των πραγμάτων (IoT) σχεδιάζονται με σκοπό τη μεγιστοποίηση της αποτελεσματικότητας, την προώθηση της δημιουργίας οικονομιών κλίμακας και την ανάπτυξη νέων υπηρεσιών. Παρέχουν στους χρήστες οφέλη όπως ευκινησία, παραγωγικότητα, ταχύτητα ανάπτυξης και αυτονομία, π.χ. μέσω της εκμάθησης μηχανής 1 .
Όπως αναφέρεται στην ανακοίνωση της Επιτροπής «Οικοδόμηση μιας ευρωπαϊκής οικονομίας δεδομένων» 2 του 2017, η αξία της οικονομίας δεδομένων της ΕΕ υπολογίστηκε κατ’ εκτίμηση σε σχεδόν 60 δισ. EUR το 2016, σημειώνοντας αύξηση της τάξης του 9,5 % σε σύγκριση με το 2015. Σύμφωνα με μια μελέτη, η αξία της αγοράς δεδομένων της ΕΕ θα μπορούσε δυνητικά να υπερβεί τα 106 δισ. EUR το 2020 3 .
Για την ελευθέρωση αυτού του δυναμικού, η πρόταση έχει ως στόχο να πραγματευθεί τα ακόλουθα ζητήματα:
·Βελτίωση της κινητικότητας των δεδομένων μη προσωπικού χαρακτήρα πέραν συνόρων στην ενιαία αγορά, η οποία αντιμετωπίζει σήμερα περιορισμούς τοπικοποίησης σε πολλά κράτη μέλη ή έλλειψη ασφάλειας δικαίου στην αγορά,
·Διασφάλιση ότι δεν θα θιγούν οι εξουσίες των αρμόδιων αρχών να ζητούν και να αποκτούν τη δυνατότητα πρόσβασης για λόγους ρυθμιστικού ελέγχου, όπως για λόγους επιθεώρησης και λογιστικού ελέγχου, και
·Βελτίωση της δυνατότητας των επαγγελματιών χρηστών υπηρεσιών αποθήκευσης ή άλλων υπηρεσιών επεξεργασίας δεδομένων να αλλάζουν παρόχους υπηρεσιών και να μεταφέρουν δεδομένα, χωρίς τη δημιουργία υπερβολικού φόρτου εργασίας για τους παρόχους υπηρεσιών ή δημιουργία στρεβλώσεων στην αγορά.
Στο πλαίσιο της ενδιάμεσης επανεξέτασης της εφαρμογής της στρατηγικής για την ψηφιακή ενιαία αγορά 4 ανακοινώθηκε νομοθετική πρόταση σχετικά με το ενωσιακό πλαίσιο συνεργασίας για την ελεύθερη ροή δεδομένων.
Ο γενικός στόχος πολιτικής της πρωτοβουλίας είναι η επίτευξη μιας πιο ανταγωνιστικής και ενοποιημένης εσωτερικής αγοράς για τις υπηρεσίες αποθήκευσης και άλλες υπηρεσίες και δραστηριότητες επεξεργασίας δεδομένων με την αντιμετώπιση των προαναφερθέντων ζητημάτων. Στο πλαίσιο της παρούσας πρότασης, οι όροι «αποθήκευση και άλλες μορφές επεξεργασίας δεδομένων» χρησιμοποιούνται υπό ευρεία έννοια, καθώς αφορούν τη χρήση όλων των τύπων συστημάτων ΤΠ, είτε αυτά βρίσκονται στις εγκαταστάσεις του χρήστη είτε ανατίθενται εξωτερικά σε πάροχο υπηρεσιών αποθήκευσης ή άλλων υπηρεσιών επεξεργασίας δεδομένων 5 .
•Συνοχή με τις ισχύουσες διατάξεις στον τομέα πολιτικής
Η πρόταση αποσκοπεί στην επίτευξη των στόχων που καθορίζονται στη στρατηγική για την ψηφιακή ενιαία αγορά 6 , στην πρόσφατη ενδιάμεση επανεξέταση αυτής, καθώς και στις πολιτικές κατευθύνσεις για τη σημερινή Ευρωπαϊκή Επιτροπή «Νέο ξεκίνημα για την Ευρώπη: Το πρόγραμμά μου για απασχόληση, ανάπτυξη, δικαιοσύνη και δημοκρατική αλλαγή» 7 .
Η παρούσα πρόταση επικεντρώνεται στην παροχή υπηρεσιών φιλοξενίας (αποθήκευσης) και άλλων υπηρεσιών επεξεργασίας δεδομένων, και παρουσιάζει συνοχή με τις υφιστάμενες νομικές πράξεις. Η πρωτοβουλία επιδιώκει τη δημιουργία μιας αποτελεσματικής ενωσιακής ενιαίας αγοράς για αυτού του είδους τις υπηρεσίες. Παρουσιάζει συνεπώς συνοχή με την οδηγία για το ηλεκτρονικό εμπόριο 8 , η οποία αποσκοπεί στη δημιουργία ενοποιημένης και αποτελεσματικής ενωσιακής ενιαίας αγοράς όσον αφορά τις ευρύτερες κατηγορίες υπηρεσιών της κοινωνίας της πληροφορίας, καθώς και με την οδηγία για τις υπηρεσίες 9 , η οποία προωθεί περαιτέρω την εμβάθυνση της ενωσιακής ενιαίας αγοράς για τις υπηρεσίες σε σειρά τομέων.
Δεδομένου ότι από το πλαίσιο εφαρμογής της προαναφερθείσας νομοθεσίας (ήτοι των οδηγιών για το ηλεκτρονικό εμπόριο και τις υπηρεσίες) αποκλείεται ρητώς σειρά συναφών τομέων, μόνο οι γενικές διατάξεις της Συνθήκης θα ισχύουν επί του συνόλου των υπηρεσιών φιλοξενίας (αποθήκευσης) και άλλων υπηρεσιών επεξεργασίας δεδομένων. Ωστόσο, η αποτελεσματική άρση των υφιστάμενων εμποδίων δεν μπορεί να πραγματοποιηθεί αποτελεσματικά μόνον με την άμεση εφαρμογή των άρθρων 49 και 56 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης (ΣΛΕΕ), καθώς η κατά περίπτωση αντιμετώπισή τους μέσω διαδικασιών επί παραβάσει κατά των οικείων κρατών μελών θα ήταν, αφενός, εξαιρετικά περίπλοκη για τα εθνικά και τα ενωσιακά θεσμικά όργανα, και, αφετέρου, για την άρση πολλών εμποδίων απαιτείται η θέσπιση ειδικών κανόνων για την αντιμετώπιση όχι μόνο των δημόσιων αλλά και των ιδιωτικών εμποδίων, καθώς και η ανάπτυξη συνεργασίας σε διοικητικό επίπεδο. Επιπλέον, η συνεπακόλουθη ενίσχυση της ασφάλειας δικαίου φαίνεται να είναι ιδιαίτερα σημαντική για τους χρήστες των νέων τεχνολογιών 10 .
Επειδή η παρούσα πρόταση αφορά ηλεκτρονικά δεδομένα διαφορετικά από τα δεδομένα προσωπικού χαρακτήρα, δεν θίγει το ενωσιακό νομικό πλαίσιο περί προστασίας δεδομένων, και ιδίως τον κανονισμό 2016/679 (Γενικός Κανονισμός για την Προστασία Δεδομένων - ΓΚΠΔ) 11 , την οδηγία 2016/680 (οδηγία για την αστυνομία) 12 και την οδηγία 2002/58/ΕΚ (οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) 13 , το οποίο διασφαλίζει υψηλό επίπεδο προστασίας των δεδομένων προσωπικού χαρακτήρα και της ελεύθερης κυκλοφορίας των δεδομένων προσωπικού χαρακτήρα στην Ένωση. Η πρόταση, σε συνδυασμό με το εν λόγω νομικό πλαίσιο, αποσκοπεί στη διαμόρφωση ολοκληρωμένου και συνεκτικού ενωσιακού πλαισίου που επιτρέπει την ελεύθερη κυκλοφορία των δεδομένων στην ενιαία αγορά.
Στο πλαίσιο της πρότασης θα απαιτηθεί η κοινοποίηση σχεδίου μέτρων σχετικά με την τοπικοποίηση δεδομένων βάσει της οδηγίας 2015/1535 περί διαφάνειας 14 προκειμένου να δοθεί η δυνατότητα να αξιολογηθεί κατά πόσον δικαιολογούνται αυτού του είδους οι περιορισμοί τοπικοποίησης.
Όσον αφορά τη συνεργασία και την αμοιβαία συνδρομή μεταξύ των αρμόδιων αρχών, η πρόταση προβλέπει ότι θα πρέπει να τεθούν σε εφαρμογή όλοι οι σχετικοί μηχανισμοί. Σε περίπτωση που δεν υφίστανται μηχανισμοί συνεργασίας, η πρόταση εισάγει μέτρα με σκοπό να έχουν οι αρμόδιες αρχές τη δυνατότητα να ανταλλάσσουν και να αποκτούν πρόσβαση σε δεδομένα που είναι αποθηκευμένα ή υποβάλλονται σε επεξεργασία σε άλλα κράτη μέλη.
•Συνοχή με άλλες πολιτικές της Ένωσης
Στο πλαίσιο της στρατηγικής για την ψηφιακή ενιαία αγορά, η παρούσα πρωτοβουλία αποσκοπεί στη μείωση των εμποδίων με κατεύθυνση μια ανταγωνιστική οικονομία βασιζόμενη στα δεδομένα στην Ευρώπη. Η Επιτροπή, εναρμονιζόμενη με την ανακοίνωση ενδιάμεσης επανεξέτασης της εφαρμογής της στρατηγικής για την ψηφιακή ενιαία αγορά, διερευνά ξεχωριστά τα ζητήματα της προσβασιμότητας και της επαναχρησιμοποίησης των δημόσιων και δημόσια χρηματοδοτούμενων δεδομένων, των δεδομένων τα οποία κατέχουν ιδιώτες που είναι δημόσιου συμφέροντος, καθώς και το ζήτημα της ευθύνης σε περιπτώσεις ζημίας οφειλόμενης σε προϊόντα υψηλής έντασης δεδομένων 15 .
Η παρέμβαση πολιτικής αξιοποιεί επίσης τη δέσμη μέτρων Ψηφιοποίησης της ευρωπαϊκής βιομηχανίας, στην οποία περιλαμβανόταν η Ευρωπαϊκή πρωτοβουλία για το υπολογιστικό νέφος 16 που αποσκοπεί στην ανάπτυξη λύσης υπολογιστικού νέφους υψηλής χωρητικότητας για την αποθήκευση, την κοινοχρησία και την επαναχρησιμοποίηση επιστημονικών δεδομένων. Επιπλέον, η πρωτοβουλία αξιοποιεί την αναθεώρηση του Ευρωπαϊκού πλαισίου διαλειτουργικότητας 17 που αποσκοπεί στη βελτίωση της ψηφιακής συνεργασίας μεταξύ των δημόσιων διοικήσεων στην Ευρώπη, οι οποίες θα ωφεληθούν άμεσα από την ελεύθερη ροή των δεδομένων. Συμβάλλει στη δέσμευση της ΕΕ για ανοικτό διαδίκτυο 18 .
2.ΝΟΜΙΚΗ ΒΑΣΗ, ΕΠΙΚΟΥΡΙΚΟΤΗΤΑ ΚΑΙ ΑΝΑΛΟΓΙΚΟΤΗΤΑ
•Νομική βάση
Η παρούσα πρόταση εμπίπτει στον τομέα συντρέχουσας αρμοδιότητας σύμφωνα με το άρθρο 4 παράγραφος 2 στοιχείο α) της ΣΛΕΕ. Στόχος της είναι η επίτευξη μιας πιο ανταγωνιστικής και ενοποιημένης εσωτερικής αγοράς όσον αφορά τις υπηρεσίες αποθήκευσης και άλλες υπηρεσίες επεξεργασίας δεδομένων διά της διασφάλισης της ελεύθερης κυκλοφορίας των δεδομένων στην Ένωση. Καθορίζει κανόνες σχετικά με τις απαιτήσεις τοπικοποίησης δεδομένων, τη δυνατότητα πρόσβασης των αρμόδιων αρχών στα δεδομένα και τη μεταφορά δεδομένων για επαγγελματίες χρήστες. Η πρόταση βασίζεται στο άρθρο 114 της ΣΛΕΕ, το οποίο αποτελεί τη γενική νομική βάση για τη θέσπιση αυτού του είδους των κανόνων.
•Επικουρικότητα
Η πρόταση συνάδει με την αρχή της επικουρικότητας, όπως αυτή διατυπώνεται στο άρθρο 5 της Συνθήκης για την Ευρωπαϊκή Ένωση (ΣΕΕ). Ο στόχος της παρούσας πρότασης, ήτοι η διασφάλιση της ομαλής λειτουργίας της εσωτερικής αγοράς όσον αφορά τις προαναφερθείσες υπηρεσίες, η οποία δεν περιορίζεται στο έδαφος ενός κράτους μέλους, και της ελεύθερης κυκλοφορίας των δεδομένων μη προσωπικού χαρακτήρα στην Ένωση, δεν μπορεί να επιτευχθεί από τα κράτη μέλη σε εθνικό επίπεδο, διότι το βασικό πρόβλημα είναι η κινητικότητα των δεδομένων πέραν συνόρων.
Τα κράτη μέλη έχουν τη δυνατότητα να μειώσουν τον αριθμό και το εύρος των δικών τους περιορισμών θέσης των δεδομένων, αλλά είναι πιθανό να το πράξουν σε διαφορετικό βαθμό, και υπό διαφορετικές συνθήκες, ή να μην το πράξουν καθόλου.
Ωστόσο, η ύπαρξη αποκλινουσών προσεγγίσεων θα οδηγήσει σε πολλαπλασιασμό των κανονιστικών απαιτήσεων στην ενιαία αγορά της ΕΕ και στη δημιουργία σημαντικού πρόσθετου κόστους για τις επιχειρήσεις, ιδίως τις μικρομεσαίες επιχειρήσεις (ΜΜΕ).
•Αναλογικότητα
Η πρόταση συνάδει με την αρχή της αναλογικότητας, όπως αυτή διατυπώνεται στο άρθρο 5 της ΣΕΕ, διότι συνίσταται σε ένα αποτελεσματικό πλαίσιο το οποίο δεν υπερβαίνει τα αναγκαία όρια για την επίλυση των προσδιορισθέντων προβλημάτων, καθώς και ό,τι απαιτείται κατ’ αναλογία προς τους επιδιωκόμενους στόχους.
Για να αρθούν τα εμπόδια στην ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ένωση, η οποία παρεμποδίζεται από τις απαιτήσεις τοπικοποίησης, και να ενισχυθεί η εμπιστοσύνη στις ροές δεδομένων πέραν συνόρων, καθώς και στις υπηρεσίες αποθήκευσης και άλλες υπηρεσίες επεξεργασίας δεδομένων, η πρόταση θα βασιστεί σε σημαντικό βαθμό στις υφιστάμενες νομικές πράξεις και πλαίσια: την οδηγία περί διαφάνειας όσον αφορά τις κοινοποιήσεις σχεδίου μέτρων σχετικά με τις απαιτήσεις περιορισμού τοπικοποίησης δεδομένων, τα διαφορετικά πλαίσια που διασφαλίζουν τη διαθεσιμότητα των δεδομένων για τη διενέργεια κανονιστικών ελέγχων από τα κράτη μέλη. Ο μηχανισμός συνεργασίας της πρότασης θα χρησιμοποιείται για την αντιμετώπιση ζητημάτων δυνατότητας πρόσβασης των εθνικών αρμόδιων αρχών στα δεδομένα μόνο σε περίπτωση έλλειψης άλλων μηχανισμών συνεργασίας και εφόσον έχουν εξαντληθεί τα άλλα μέσα πρόσβασης.
Με την προτεινόμενη προσέγγιση της κυκλοφορίας των δεδομένων πέραν συνόρων των κρατών μελών και ανεξαρτήτως παρόχου υπηρεσιών/εσωτερικών συστημάτων ΤΠ των επιχειρήσεων επιδιώκεται η επίτευξη ισορροπίας μεταξύ της ρύθμισης σε ενωσιακό επίπεδο και του δημόσιου συμφέροντος όσον αφορά την ασφάλεια των κρατών μελών, καθώς και ισορροπίας μεταξύ της ρύθμισης σε ενωσιακό επίπεδο και της αυτορρύθμισης της αγοράς.
Ειδικότερα, προκειμένου να περιοριστούν οι δυσκολίες που αντιμετωπίζουν οι επαγγελματίες χρήστες όσον αφορά την αλλαγή παρόχων υπηρεσιών και τη μεταφορά δεδομένων, η πρωτοβουλία ενθαρρύνει την αυτορρύθμιση μέσω κωδίκων δεοντολογίας σχετικά με τις πληροφορίες που πρέπει να παρέχονται στους χρήστες υπηρεσιών αποθήκευσης ή άλλων υπηρεσιών επεξεργασίας δεδομένων. Επίσης, μέσω της αυτορρύθμισης θα πρέπει να διευθετηθούν και οι τρόποι αλλαγής και μεταφοράς προκειμένου να προσδιοριστούν οι βέλτιστες πρακτικές.
Στην πρόταση υπενθυμίζεται ότι σε περίπτωση που φυσικά ή νομικά πρόσωπα αναθέτουν εξωτερικά την παροχή υπηρεσιών αποθήκευσης ή άλλων υπηρεσιών επεξεργασίας δεδομένων, συμπεριλαμβανομένης της περίπτωσης ανάθεσης σε πάροχο που έχει την έδρα του σε άλλο κράτος μέλος, θα πρέπει να διασφαλίζεται επίσης η συμμόρφωση προς τις ισχύουσες απαιτήσεις ασφάλειας βάσει της εθνικής και της ενωσιακής νομοθεσίας. Υπενθυμίζονται επίσης οι εκτελεστικές αρμοδιότητες που ανατίθενται στην Επιτροπή βάσει της οδηγίας για την ασφάλεια συστημάτων δικτύου και πληροφοριών προκειμένου να αντιμετωπιστούν οι απαιτήσεις ασφάλειας, οι οποίες επίσης συμβάλλουν στη λειτουργία του παρόντος κανονισμού. Τέλος, παρότι προβλέπει την ανάληψη δράσης εκ μέρους των δημόσιων αρχών των κρατών μελών λόγω των απαιτήσεων κοινοποίησης/επανεξέτασης, των απαιτήσεων διαφάνειας και της διοικητικής συνεργασίας, η πρόταση έχει σχεδιαστεί με σκοπό η εν λόγω ανάληψη δράσης να είναι απαραίτητη μόνο για την κάλυψη των σημαντικότερων αναγκών συνεργασίας και, ως εκ τούτου, να αποφευχθεί η δημιουργία περιττού διοικητικού φόρτου εργασίας.
Μέσω της διαμόρφωσης σαφούς πλαισίου, σε συνδυασμό με την ανάπτυξη συνεργασίας μεταξύ και με τα κράτη μέλη και την αυτορρύθμιση, η παρούσα πρόταση αποσκοπεί να ενισχύσει την ασφάλεια δικαίου και να αυξήσει τα επίπεδα εμπιστοσύνης, χωρίς να χάσει τη χρησιμότητα και την αποτελεσματικότητά της μακροπρόθεσμα λόγω της ευελιξίας του πλαισίου συνεργασίας, βασιζόμενη στα ενιαία κέντρα επαφής στα κράτη μέλη.
Η Επιτροπή σκοπεύει να συστήσει ομάδα εμπειρογνωμόνων η οποία θα της παρέχει συμβουλές επί θεμάτων που καλύπτονται από τον παρόντα κανονισμό.
•Επιλογή του νομικού μέσου
Η Επιτροπή υποβάλλει πρόταση κανονισμού η οποία μπορεί να διασφαλίσει την ταυτόχρονη εφαρμογή ομοιόμορφων κανόνων για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα σε ολόκληρη την Ένωση. Αυτό είναι ιδιαίτερα σημαντικό για την άρση των υφιστάμενων περιορισμών και την αποτροπή καθιέρωσης νέων από τα κράτη μέλη, για τη διασφάλιση της ασφάλειας δικαίου για τους ενδιαφερόμενους παρόχους υπηρεσιών και χρήστες, και, κατ’ επέκταση, για την αύξηση της εμπιστοσύνης στις ροές δεδομένων πέραν συνόρων και στις υπηρεσίες αποθήκευσης και άλλες υπηρεσίες επεξεργασίας δεδομένων.
3.ΑΠΟΤΕΛΕΣΜΑΤΑ ΤΩΝ ΕΚ ΤΩΝ ΥΣΤΕΡΩΝ ΑΞΙΟΛΟΓΗΣΕΩΝ, ΤΩΝ ΔΙΑΒΟΥΛΕΥΣΕΩΝ ΜΕ ΤΑ ΕΝΔΙΑΦΕΡΟΜΕΝΑ ΜΕΡΗ ΚΑΙ ΤΩΝ ΕΚΤΙΜΗΣΕΩΝ ΕΠΙΠΤΩΣΕΩΝ
•Διαβουλεύσεις με τα ενδιαφερόμενα μέρη
Στο πλαίσιο ενός πρώτου γύρου συγκέντρωσης στοιχείων, διεξήχθη το 2015 δημόσια διαβούλευση σχετικά με το ρυθμιστικό περιβάλλον για τις πλατφόρμες, τους επιγραμμικούς ενδιάμεσους φορείς, τα δεδομένα και το υπολογιστικό νέφος, και τη συνεργατική οικονομία. Τα δύο τρίτα των ατόμων που απάντησαν –με ομοιόμορφη κατανομή σε όλες τις ομάδες ενδιαφερόμενων μερών, συμπεριλαμβανομένων των ΜΜΕ– έκριναν ότι η τοπικοποίηση δεδομένων έχει θίξει την επιχειρηματική στρατηγική τους 19 . Άλλες δραστηριότητες συγκέντρωσης πληροφοριών ήταν η διοργάνωση συνεδριάσεων και εκδηλώσεων, στοχευμένων ημερίδων με βασικoύς ενδιαφερόμενους (π.χ. Cloud Select Industry Group) και ειδικών ημερίδων στο πλαίσιο μελετών.
Ένας δεύτερος γύρος συγκέντρωσης στοιχείων, από τα τέλη του 2016 μέχρι το δεύτερο εξάμηνο του 2017, περιλάμβανε τη διεξαγωγή δημόσιας διαβούλευσης στο πλαίσιο της ανακοίνωσης «Οικοδόμηση μιας ευρωπαϊκής οικονομίας δεδομένων» στις 10 Ιανουαρίου 2017. Σύμφωνα με τις απαντήσεις στη δημόσια διαβούλευση, το 61,9 % των ενδιαφερόμενων μερών πιστεύει ότι οι περιορισμοί τοπικοποίησης δεδομένων θα πρέπει να καταργηθούν. Η πλειονότητα των συμμετεχόντων ενδιαφερόμενων μερών (55,3 % των ατόμων που απάντησαν) πιστεύει ότι η λήψη νομοθετικών μέτρων είναι το προσφορότερο νομικό μέσο για την αντιμετώπιση των αδικαιολόγητων περιορισμών τοπικοποίησης, ορισμένα δε εξ αυτών να ζητούν ρητά τη θέσπιση κανονισμού 20 . Τη λήψη νομοθετικών μέτρων υποστηρίζουν κυρίως οι πάροχοι υπηρεσιών ΤΠ κάθε μεγέθους, με έδρα εντός και εκτός της ΕΕ. Τα ενδιαφερόμενα μέρη προσδιόρισαν επίσης τις αρνητικές επιπτώσεις των περιορισμών τοπικοποίησης δεδομένων. Πέραν του αυξημένου κόστους για τις επιχειρήσεις, οι εν λόγω αρνητικές επιπτώσεις σχετίζονται με την παροχή υπηρεσίας σε ιδιωτικές ή δημόσιες οντότητες (69,6 % του συνόλου των συμμετεχόντων ενδιαφερόμενων μερών χαρακτήρισαν τη συγκεκριμένη επίπτωση ως «σημαντική») ή με την ικανότητα εισόδου σε νέα αγορά (73,9 % των ενδιαφερόμενων μερών που απάντησαν προσδιόρισαν τη συγκεκριμένη επίπτωση ως «σημαντική»). Ενδιαφερόμενα μέρη κάθε προέλευσης απαντούν στις ερωτήσεις αυτές σε παρόμοια ποσοστά. Η δημόσια επιγραμμική διαβούλευση κατέδειξε επίσης ότι το πρόβλημα με την αλλαγή παρόχων είναι ευρέως διαδεδομένο, καθώς το 56,8 % των ΜΜΕ που απάντησαν ανέφεραν ότι αντιμετώπιζαν δυσκολίες όταν επιχειρούσαν να αλλάξουν πάροχο.
Οι συνεδριάσεις δομημένου διαλόγου με τα κράτη μέλη διευκόλυναν την κοινή κατανόηση των προκλήσεων. Σε επιστολή τους προς τον πρόεδρο Tusk, 16 κράτη μέλη ζήτησαν ρητά την έκδοση νομοθετικής πρότασης.
Στην πρόταση λαμβάνεται υπόψη μεγάλο μέρος των προβληματισμών που εξέφρασαν σειρά κρατών μελών και φορείς του κλάδου, ειδικότερα όσον αφορά την ανάγκη καθιέρωσης διατομεακής αρχής ελεύθερης κυκλοφορίας των δεδομένων βάσει της οποίας θα διασφαλίζεται η ασφάλεια δικαίου· την επίτευξη προόδου όσον αφορά τη διαθεσιμότητα των δεδομένων για ρυθμιστικούς σκοπούς· τη βελτίωση της δυνατότητας των επαγγελματιών χρηστών να αλλάζουν παρόχους υπηρεσιών αποθήκευσης ή άλλων υπηρεσιών επεξεργασίας δεδομένων και να μεταφέρουν δεδομένα με ενθάρρυνση της διαφάνειας όσον αφορά τις εφαρμοζόμενες διαδικασίες και τους όρους των συμβάσεων, χωρίς ωστόσο επιβολή συγκεκριμένων προτύπων ή υποχρεώσεων στους παρόχους υπηρεσιών σε αυτό το στάδιο.
•Συλλογή και χρήση εμπειρογνωσίας
Νομικές και οικονομικές μελέτες αξιοποιήθηκαν για την εξέταση διαφόρων πτυχών της κινητικότητας δεδομένων, συμπεριλαμβανομένων των απαιτήσεων τοπικοποίησης των δεδομένων 21 , της αλλαγής παρόχων/μεταφοράς δεδομένων 22 και της ασφάλειας δεδομένων 23 . Ανατέθηκε η εκπόνηση περαιτέρω μελετών σχετικά με τις επιπτώσεις του υπολογιστικού νέφους 24 και της αφομοίωσης αυτού 25 , καθώς και σχετικά με την ευρωπαϊκή αγορά δεδομένων 26 . Πραγματοποιήθηκαν επίσης μελέτες στις οποίες εξετάζονται δράσεις αυτορρύθμισης ή συρρύθμισης στον κλάδο υπολογιστικού νέφους 27 . Η Επιτροπή αξιοποίησε επίσης πρόσθετες εξωτερικές πηγές, συμπεριλαμβανομένων των ανασκοπήσεων και των στατιστικών της αγοράς (π.χ. Eurostat).
•Εκτίμηση επιπτώσεων
Για την παρούσα πρόταση πραγματοποιήθηκε εκτίμηση επιπτώσεων. Κατά την εκτίμηση επιπτώσεων εξετάστηκε το ακόλουθο σύνολο επιλογών: ένα βασικό σενάριο (καμία παρέμβαση πολιτικής) και τρεις επιλογές πολιτικής. Η επιλογή 1 συνίστατο σε κατευθυντήριες γραμμές και/ή αυτορρύθμιση για την αντιμετώπιση των διαφόρων προσδιορισθέντων προβλημάτων και συνεπαγόταν την ενίσχυση της επιβολής της νομοθεσίας όσον αφορά τις διάφορες κατηγορίες αδικαιολόγητων ή δυσανάλογων περιορισμών τοπικοποίησης δεδομένων που επιβάλλουν τα κράτη μέλη. Βάσει της επιλογής 2 προβλέπεται η διατύπωση νομικών αρχών αναφορικά με τα διάφορα προσδιορισθέντα προβλήματα και ο προσδιορισμός από τα κράτη μέλη ενιαίων κέντρων επαφής, καθώς και η σύσταση ομάδας εμπειρογνωμόνων με σκοπό τη διεξαγωγή συζητήσεων για τη διαμόρφωση κοινών προσεγγίσεων και πρακτικών και την παροχή καθοδήγησης σχετικά με τις αρχές που εισάγονται βάσει της συγκεκριμένης επιλογής. Εξετάστηκε επίσης η υποεπιλογή 2α με σκοπό να καταστεί εφικτή η αξιολόγηση ενός συνδυασμού νομοθετικών πράξεων θέσπισης του πλαισίου ελεύθερης ροής δεδομένων, των ενιαίων κέντρων επαφής και μιας ομάδας εμπειρογνωμόνων αφενός, και μέτρων αυτορρύθμισης όσον αφορά τη μεταφορά δεδομένων αφετέρου. Η επιλογή 3 συνίστατο στην ανάληψη αναλυτικής νομοθετικής πρωτοβουλίας με σκοπό τη διεξαγωγή, μεταξύ άλλων, προκαθορισμένων (εναρμονισμένων) αξιολογήσεων με αντικείμενο τι συνιστά αδικαιολόγητο/δικαιολογημένο και δυσανάλογο/αναλογικό περιορισμό τοπικοποίησης δεδομένων, καθώς και την καθιέρωση ενός νέου δικαιώματος μεταφοράς δεδομένων.
Στις 28 Σεπτεμβρίου 2016, η επιτροπή ρυθμιστικού ελέγχου εξέδωσε την πρώτη της γνώμη σχετικά με την εκτίμηση επιπτώσεων και ζήτησε την εκ νέου υποβολή αυτής. Στη συνέχεια, η εν λόγω εκτίμηση επανεξετάστηκε και υποβλήθηκε εκ νέου στην επιτροπή ρυθμιστικού ελέγχου στις 11 Αυγούστου 2017. Στη δεύτερη γνώμη της, η επιτροπή ρυθμιστικού ελέγχου επισήμαινε τη διεύρυνση του πεδίου εφαρμογής, σύμφωνα με την ανακοίνωση της Επιτροπής (2017)9 σχετικά με την Οικοδόμηση μιας ευρωπαϊκής οικονομίας δεδομένων, καθώς και το πρόσθετο υλικό σχετικά με τις απόψεις των ενδιαφερόμενων μερών και τις ανεπάρκειες του υφιστάμενου πλαισίου. Η επιτροπή εξέδωσε, εντούτοις, δεύτερη αρνητική γνώμη στις 25 Αυγούστου 2017, στην οποία επισήμαινε ιδίως την έλλειψη αποδεικτικών στοιχείων υπέρ της καθιέρωσης νέου δικαιώματος όσον αφορά τη δυνατότητα μεταφοράς των υπηρεσιών υπολογιστικού νέφους. Βάσει των επιχειρησιακών της, η επιτροπή έκρινε ότι η γνώμη της είναι τελική.
Η Επιτροπή έκρινε χρήσιμο να υποβάλει πρόταση, βελτιώνοντας παράλληλα περαιτέρω την ανάλυση εκτίμησης των επιπτώσεων προκειμένου να ληφθούν υπόψη οι παρατηρήσεις της επιτροπής ρυθμιστικού ελέγχου που εξέφρασε στη δεύτερη γνώμη της. Το πεδίο εφαρμογής της πρότασης περιορίζεται στην ελεύθερη ροή δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση. Σε συμφωνία προς το συμπέρασμα της επιτροπής ότι τα στοιχεία φαίνεται να συνηγορούν υπέρ μιας λιγότερο αυστηρής επιλογής όσον αφορά τη μεταφορά δεδομένων, η αρχικά προτιμηθείσα επιλογή στην εκτίμηση επιπτώσεων να υποχρεούνται οι πάροχοι να διευκολύνουν την αλλαγή ή τη μεταφορά των δεδομένων των χρηστών εγκαταλείφθηκε. Αντ’ αυτής, η Επιτροπή προτίμησε να διατηρήσει μια λιγότερο επιβαρυντική επιλογή, η οποία συνίσταται στη λήψη μέτρων αυτορρύθμισης με τη διευκόλυνση της Επιτροπής. Η πρόταση είναι αναλογική και λιγότερο αυστηρή διότι δεν δημιουργεί νέο δικαίωμα μεταφοράς μεταξύ των παρόχων υπηρεσιών αποθήκευσης ή άλλων υπηρεσιών επεξεργασίας δεδομένων αλλά βασίζεται στην αυτορρύθμιση για τη διασφάλιση της διαφάνειας όσον αφορά τους τεχνικούς και επιχειρησιακούς όρους που σχετίζονται με τη δυνατότητα μεταφοράς.
Στην πρόταση ελήφθη επίσης υπόψη η γνώμη της επιτροπής ρυθμιστικού ελέγχου ώστε να διασφαλιστεί ότι δεν υπάρξει αλληλεπικάλυψη ή επανάληψη με την επανεξέταση της εντολής του Οργανισμού της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) και τη δημιουργία ευρωπαϊκού πλαισίου κυβερνοασφάλειας ΤΠΕ.
Η εκτίμηση επιπτώσεων κατέδειξε ότι η προτιμώμενη επιλογή, η υποεπιλογή 2α, θα διασφαλίσει την αποτελεσματική κατάργηση των υφιστάμενων αδικαιολόγητων περιορισμών τοπικοποίησης και θα αποτρέψει αποτελεσματικά την καθιέρωση νέων, χάρη στην ύπαρξη σαφούς νομικής αρχής σε συνδυασμό με την επανεξέταση, την κοινοποίηση και τη διαφάνεια, ενισχύοντας ταυτόχρονα την ασφάλεια δικαίου και την εμπιστοσύνη στην αγορά. Ο διοικητικός φόρτος για τις δημόσιες αρχές των κρατών μελών θα είναι περιορισμένος και θα ανέλθει κατά προσέγγιση σε 33.000 EUR ετησίως όσον αφορά το κόστος των ανθρώπινων πόρων για τη στελέχωση των ενιαίων κέντρων επαφής, και σε ετήσιο κόστος ύψους από 385 EUR έως 1925 EUR για τη σύνταξη των κοινοποιήσεων.
Η πρόταση θα έχει θετική επίπτωση στον ανταγωνισμό διότι θα τονώσει την καινοτομία στον τομέα των υπηρεσιών αποθήκευσης ή άλλων υπηρεσιών επεξεργασίας δεδομένων, θα προσελκύσει περισσότερους χρήστες προς αυτές, και θα διευκολύνει σε σημαντικό βαθμό, ιδίως για τους νέους και τους μικρούς παρόχους υπηρεσιών, την είσοδο σε νέες αγορές. Η πρόταση θα προαγάγει επίσης τη διασυνοριακή και διατομεακή χρήση των υπηρεσιών αποθήκευσης ή άλλων υπηρεσιών επεξεργασίας δεδομένων και την ανάπτυξη της αγοράς δεδομένων. Ως εκ τούτου, η πρόταση θα συμβάλει στη μεταμόρφωση της κοινωνίας και της οικονομίας και θα δημιουργήσει νέες ευκαιρίες για τους Ευρωπαίους πολίτες, τις ευρωπαϊκές επιχειρήσεις και τις δημόσιες διοικήσεις.
•Καταλληλότητα του κανονιστικού πλαισίου και απλούστευση
Η πρόταση εφαρμόζεται στους πολίτες, τις εθνικές διοικήσεις και το σύνολο των επιχειρήσεων, συμπεριλαμβανομένων των πολύ μικρών επιχειρήσεων και των ΜΜΕ. Όλες οι επιχειρήσεις μπορούν να αντλήσουν οφέλη από τις διατάξεις που αντιμετωπίζουν τα εμπόδια στην κινητικότητα των δεδομένων. Ειδικότερα, η πρόταση θα ωφελήσει τις ΜΜΕ, διότι η ελεύθερη κυκλοφορία των δεδομένων μη προσωπικού χαρακτήρα θα μειώσει άμεσα τα κόστη τους και θα συμβάλει στο να αποκτήσουν μια πιο ανταγωνιστική θέση στην αγορά. Ο αποκλεισμός των ΜΜΕ από τους κανόνες θα υπονόμευε την αποδοτικότητά τους, δεδομένου ότι αντιπροσωπεύουν σημαντικό τμήμα των παρόχων υπηρεσιών αποθήκευσης ή άλλων υπηρεσιών επεξεργασίας δεδομένων και αποτελούν κινητήρια δύναμη της καινοτομίας στις εν λόγω αγορές. Επιπλέον, επειδή το κόστος που προκύπτει από τους κανόνες δεν είναι πιθανό να είναι σημαντικό, οι πολύ μικρές επιχειρήσεις ή οι ΜΜΕ δεν θα πρέπει να αποκλειστούν από το πεδίο εφαρμογής τους.
•Θεμελιώδη δικαιώματα
Ο προτεινόμενος κανονισμός σέβεται τα θεμελιώδη δικαιώματα και τις αρχές που αναγνωρίζονται από τον Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης. Ο προτεινόμενος κανονισμός αναμένεται να έχει θετική επίπτωση στην επιχειρηματική ελευθερία (άρθρο 16), καθώς θα συμβάλει στην εξάλειψη και την αποτροπή δημιουργίας αδικαιολόγητων ή δυσανάλογων εμποδίων στη χρήση και την παροχή υπηρεσιών δεδομένων, όπως οι υπηρεσίες υπολογιστικού νέφους, καθώς και στη διαμόρφωση των εσωτερικών συστημάτων ΤΠ των επιχειρήσεων.
4.ΔΗΜΟΣΙΟΝΟΜΙΚΕΣ ΕΠΙΠΤΩΣΕΙΣ
Θα προκύψει περιορισμένος διοικητικός φόρτος για τις δημόσιες αρχές των κρατών μελών, λόγω της διάθεσης ανθρώπινων πόρων για τη συνεργασία μεταξύ των κρατών μελών μέσω των «ενιαίων κέντρων επαφής», καθώς και λόγω της συμμόρφωσης προς τις διατάξεις σχετικά με τις κοινοποιήσεις, την επανεξέταση και τη διαφάνεια.
5.ΛΟΙΠΑ ΣΤΟΙΧΕΙΑ
•Σχέδια εφαρμογής και ρυθμίσεις παρακολούθησης, αξιολόγησης και υποβολής εκθέσεων
Εντός πενταετίας από την έναρξη εφαρμογής των κανόνων θα πραγματοποιηθεί ολοκληρωμένη αξιολόγηση της αποτελεσματικότητας και της αναλογικότητάς τους. Η εν λόγω αξιολόγηση θα διενεργηθεί σύμφωνα προς τις κατευθυντήριες γραμμές για τη βελτίωση της νομοθεσίας.
Στο πλαίσιο της αξιολόγησης θα πρέπει να εξεταστεί κυρίως κατά πόσον ο κανονισμός συνέβαλε στη μείωση του αριθμού και του εύρους των περιορισμών τοπικοποίησης των δεδομένων και στην ενίσχυση της ασφάλειας δικαίου και της διαφάνειας των υπολειπόμενων (δικαιολογημένων και αναλογικών) απαιτήσεων. Θα πρέπει επίσης να αξιολογηθεί κατά πόσον η πρωτοβουλία πολιτικής συνέβαλε στη βελτίωση της εμπιστοσύνης στην ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα, εάν τα κράτη μέλη μπορούν να έχουν εύλογη πρόσβαση σε δεδομένα που αποθηκεύονται σε άλλη χώρα για λόγους ρυθμιστικού ελέγχου, καθώς και εάν ο κανονισμός συνέβαλε στη βελτίωση της διαφάνειας όσον αφορά τους όρους μεταφοράς δεδομένων.
Τα ενιαία κέντρα επαφής των κρατών μελών προβλέπεται να αξιοποιηθούν ως πολύτιμη πηγή πληροφοριών στη διάρκεια της φάσης εκ των υστέρων αξιολόγησης της νομοθεσίας.
Για τη μέτρηση της προόδου στους εν λόγω τομείς θα χρησιμοποιηθούν ειδικοί δείκτες (όπως προτείνεται στην εκτίμηση επιπτώσεων). Έχει επίσης προγραμματισθεί η χρήση δεδομένων της Eurostat και του δείκτη «Ψηφιακή οικονομία και κοινωνία». Για τον ίδιο σκοπό ενδέχεται να εξεταστεί η πιθανότητα δημοσίευσης ειδικής έκδοσης του ευρωβαρόμετρου.
•Αναλυτική επεξήγηση των επιμέρους διατάξεων της πρότασης
Στα άρθρα 1 έως 3 προσδιορίζεται ο στόχος της πρότασης, το πεδίο εφαρμογής του κανονισμού και οι ισχύοντες ορισμοί για τους σκοπούς του κανονισμού.
Στο άρθρο 4 διατυπώνεται η αρχή της κυκλοφορίας των δεδομένων μη προσωπικού χαρακτήρα στην Ένωση. Με βάση την εν λόγω αρχή απαγορεύεται η ύπαρξη οποιασδήποτε απαίτησης τοπικοποίησης των δεδομένων, εκτός εάν αυτή δικαιολογείται για λόγους δημόσιας ασφάλειας. Επιπλέον, προβλέπεται η επανεξέταση των υφιστάμενων απαιτήσεων, η κοινοποίηση υπολειπόμενων ή νέων απαιτήσεων στην Επιτροπή και η λήψη μέτρων για τη διαφάνεια.
Το άρθρο 5 αποσκοπεί στη διασφάλιση της διαθεσιμότητας των δεδομένων για λόγους διενέργειας ρυθμιστικού ελέγχου από τις αρμόδιες αρχές. Εν προκειμένω, οι χρήστες δεν μπορούν να αρνούνται στις αρμόδιες αρχές την πρόσβαση σε δεδομένα με την αιτιολογία ότι τα δεδομένα είναι αποθηκευμένα ή υποβάλλονται με άλλο τρόπο σε επεξεργασία σε άλλο κράτος μέλος. Σε περίπτωση που μια αρμόδια αρχή έχει εξαντλήσει όλα τα ισχύοντα μέσα για την απόκτηση πρόσβασης στα δεδομένα μπορεί να ζητήσει τη συνδρομή αρχής άλλου κράτους μέλους, εφόσον δεν υφίσταται συγκεκριμένος μηχανισμός συνεργασίας.
Το άρθρο 6 ορίζει ότι η Επιτροπή ενθαρρύνει τους παρόχους υπηρεσιών και τους επαγγελματίες χρήστες να αναπτύσσουν και να εφαρμόζουν κώδικες δεοντολογίας στους οποίους περιγράφονται αναλυτικά οι πληροφορίες σχετικά με τους όρους μεταφοράς δεδομένων (συμπεριλαμβανομένων και των τεχνικών και επιχειρησιακών απαιτήσεων) τις οποίες οι πάροχοι θα πρέπει να θέτουν στη διάθεση των επαγγελματιών χρηστών τους κατά τρόπο επαρκώς αναλυτικό, σαφή και διαφανή πριν από τη σύναψη σύμβασης. Η Επιτροπή επανεξετάζει την ανάπτυξη και αποτελεσματική εφαρμογή των εν λόγω κωδίκων εντός δύο ετών από την έναρξη εφαρμογής του παρόντος κανονισμού.
Σύμφωνα με το άρθρο 7, κάθε κράτος μέλος προσδιορίζει ένα ενιαίο κέντρο επαφής το οποίο συνδέεται με τα κέντρα επαφής των άλλων κρατών μελών και την Επιτροπή σχετικά με θέματα εφαρμογής του παρόντος κανονισμού. Στο άρθρο 7 προβλέπονται επίσης οι διαδικαστικές προϋποθέσεις που πρέπει να εφαρμόζονται όσον αφορά την παροχή συνδρομής μεταξύ των αρμόδιων αρχών που προβλέπεται στο άρθρο 5.
Σύμφωνα με το άρθρο 8, η Επιτροπή συνεπικουρείται από την επιτροπή για την ελεύθερη ροή των δεδομένων κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011.
Στο άρθρο 9 προβλέπεται η πραγματοποίηση επανεξέτασης εντός πέντε ετών από την έναρξη εφαρμογής του κανονισμού.
Στο άρθρο 10 προβλέπεται ότι ο κανονισμός θα αρχίσει να εφαρμόζεται έξι μήνες από την ημέρα δημοσίευσής του.
2017/0228 (COD)
Πρόταση
ΚΑΝΟΝΙΣΜΟΣ ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ
σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση
ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,
Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής Ένωσης, και ιδίως το άρθρο 114,
Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής,
Κατόπιν διαβίβασης του σχεδίου νομοθετικής πράξης στα εθνικά κοινοβούλια,
Έχοντας υπόψη τη γνώμη της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής 28 ,
Έχοντας υπόψη τη γνώμη της Επιτροπής των Περιφερειών 29 ,
Αποφασίζοντας σύμφωνα με τη συνήθη νομοθετική διαδικασία,
Εκτιμώντας τα ακόλουθα:
(1)Η ψηφιοποίηση της οικονομίας επιταχύνεται. Η τεχνολογία των πληροφοριών και των επικοινωνιών (ΤΠΕ) δεν αποτελεί πλέον ειδικό τομέα αλλά το θεμέλιο όλων των σύγχρονων καινοτόμων οικονομικών συστημάτων και κοινωνιών. Τα ηλεκτρονικά δεδομένα αποτελούν τον πυρήνα των εν λόγω συστημάτων και μπορούν να δημιουργήσουν υψηλή αξία όταν αναλύονται ή συνδυάζονται με υπηρεσίες και προϊόντα.
(2)Οι αλυσίδες αξίας δεδομένων αποτελούνται από διάφορες δραστηριότητες δεδομένων: τη δημιουργία και συλλογή δεδομένων· τη συγκέντρωση και οργάνωση δεδομένων· την αποθήκευση και επεξεργασία δεδομένων· την ανάλυση, την εμπορία και τη διανομή δεδομένων· τη χρήση και την επαναχρησιμοποίηση δεδομένων. Η αποδοτική και αποτελεσματική λειτουργία της αποθήκευσης και άλλου είδους επεξεργασίας δεδομένων αποτελεί θεμέλιο λίθο οποιασδήποτε αλυσίδας αξίας δεδομένων. Ωστόσο, η εν λόγω αποδοτική και αποτελεσματική λειτουργία και η ανάπτυξη της οικονομίας δεδομένων στην Ένωση παρεμποδίζονται, πιο συγκεκριμένα, από δύο τύπους εμποδίων στην κινητικότητα των δεδομένων και στην εσωτερική αγορά.
(3)Η ελευθερία εγκαταστάσεως και η ελευθερία παροχής υπηρεσιών βάσει της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης ισχύουν για τις υπηρεσίες αποθήκευσης ή άλλες υπηρεσίες επεξεργασίας δεδομένων. Ωστόσο, η παροχή των εν λόγω υπηρεσιών παρεμποδίζεται ή αποτρέπεται ενίοτε λόγω της ύπαρξης ορισμένων εθνικών απαιτήσεων περιορισμού τοπικοποίησης των δεδομένων σε συγκεκριμένη επικράτεια.
(4)Τα εν λόγω εμπόδια στην ελεύθερη κυκλοφορία των υπηρεσιών αποθήκευσης ή άλλων υπηρεσιών επεξεργασίας δεδομένων, καθώς και στο δικαίωμα εγκαταστάσεως παρόχων υπηρεσιών αποθήκευσης ή άλλων υπηρεσιών επεξεργασίας δεδομένων οφείλονται στην ύπαρξη απαιτήσεων στις εθνικές νομοθεσίες των κρατών μελών για τη θέση των δεδομένων σε συγκεκριμένη γεωγραφική περιοχή ή επικράτεια με σκοπό την αποθήκευση ή άλλου είδους επεξεργασία. Άλλοι κανόνες ή διοικητικές πρακτικές έχουν παρόμοιο αποτέλεσμα διά της επιβολής συγκεκριμένων απαιτήσεων, οι οποίες δυσχεραίνουν ακόμη περισσότερο την αποθήκευση ή την με άλλο τρόπο επεξεργασία των δεδομένων εκτός συγκεκριμένης γεωγραφικής περιοχής ή επικράτειας στην Ένωση, όπως απαιτήσεις χρήσης τεχνολογικών εγκαταστάσεων οι οποίες έχουν πιστοποιηθεί ή εγκριθεί σε συγκεκριμένο κράτος μέλος. Η έλλειψη ασφάλειας δικαίου όσον αφορά την έκταση των νόμιμων και παράτυπων απαιτήσεων τοπικοποίησης των δεδομένων περιορίζει περαιτέρω τις επιλογές που είναι διαθέσιμες στους φορείς της αγοράς και στον δημόσιο τομέα όσον αφορά τη θέση αποθήκευσης ή άλλου είδους επεξεργασίας των δεδομένων.
(5)Ταυτόχρονα, η κινητικότητα των δεδομένων στην Ένωση παρεμποδίζεται επίσης από περιορισμούς στον ιδιωτικό τομέα: νομικά, συμβατικά και τεχνικά ζητήματα που παρεμποδίζουν ή αποτρέπουν τους χρήστες υπηρεσιών αποθήκευσης ή άλλων υπηρεσιών επεξεργασίας δεδομένων να μεταφέρουν τα δεδομένα τους από ένα πάροχο υπηρεσιών σε άλλο ή να τα επιστρέφουν στα δικά τους συστήματα ΤΠ, μεταξύ άλλων σε περίπτωση καταγγελίας της σύμβασής τους με πάροχο υπηρεσιών.
(6)Για λόγους ασφάλειας δικαίου και εξαιτίας της ανάγκης για ίσους όρους ανταγωνισμού εντός της Ένωσης, ένα ενιαίο σύνολο κανόνων για όλους τους συμμετέχοντες στην αγορά αποτελεί καίριο στοιχείο για τη λειτουργία της εσωτερικής αγοράς. Κατά συνέπεια, προκειμένου να εξαλειφθούν τα εμπόδια για το εμπόριο και οι στρεβλώσεις του ανταγωνισμού που οφείλονται σε αποκλίσεις μεταξύ των εθνικών νομοθεσιών και να αποτραπούν περαιτέρω πιθανά εμπόδια για το εμπόριο και σημαντικές στρεβλώσεις του ανταγωνισμού, είναι απαραίτητη η θέσπιση ομοιόμορφων κανόνων οι οποίοι θα ισχύουν σε όλα τα κράτη μέλη.
(7)Για τη δημιουργία ενός πλαισίου για την ελεύθερη κυκλοφορία των δεδομένων μη προσωπικού χαρακτήρα στην Ένωση και προκειμένου να τεθούν τα θεμέλια για την ανάπτυξη της οικονομίας δεδομένων και την ενίσχυση της ανταγωνιστικότητας της ευρωπαϊκής βιομηχανίας, είναι απαραίτητος ο προσδιορισμός ενός σαφούς, ολοκληρωμένου και προβλέψιμου νομικού πλαισίου για την αποθήκευση ή άλλου είδους επεξεργασία δεδομένων μη προσωπικού χαρακτήρα στην εσωτερική αγορά. Η υιοθέτηση προσέγγισης βάσει αρχών η οποία προβλέπει την ανάπτυξη συνεργασίας μεταξύ των κρατών μελών καθώς και την αυτορρύθμιση αναμένεται να διασφαλίσει ένα επαρκώς ευέλικτο πλαίσιο ώστε να μπορούν να συνυπολογίζονται οι εξελισσόμενες ανάγκες των χρηστών, των παρόχων και των εθνικών αρχών στην Ένωση. Προκειμένου να αποφευχθεί ο κίνδυνος αλληλεπικαλύψεων με υφιστάμενους μηχανισμούς και, κατ’ επέκταση, να αποφευχθεί η περαιτέρω επιβάρυνση των κρατών μελών και των επιχειρήσεων, δεν θα πρέπει να θεσπιστούν αναλυτικοί τεχνικοί κανόνες.
(8)Ο παρών κανονισμός θα πρέπει να εφαρμόζεται σε νομικά ή φυσικά πρόσωπα τα οποία παρέχουν υπηρεσίες αποθήκευσης ή άλλες υπηρεσίες επεξεργασίας δεδομένων σε χρήστες που διαμένουν ή έχουν την έδρα της επιχείρησής τους στην Ένωση, συμπεριλαμβανομένων όσων παρέχουν υπηρεσίες στην Ένωση χωρίς να έχουν την έδρα της επιχείρησής τους σε αυτή.
(9)Το νομικό πλαίσιο για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα, και ιδίως ο κανονισμός (ΕΕ) 2016/679 30 , η οδηγία (ΕΕ) 2016/680 31 και η οδηγία 2002/58/EC 32 δεν θα πρέπει να θιγούν από τον παρόντα κανονισμό.
(10)Σύμφωνα με τον κανονισμό (ΕΕ) 2016/679, τα κράτη μέλη δεν δύνανται να περιορίζουν ούτε να απαγορεύουν την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Στον παρόντα κανονισμό διατυπώνεται η ίδια αρχή της ελεύθερης κυκλοφορίας εντός της Ένωσης για τα δεδομένα μη προσωπικού χαρακτήρα, εκτός εάν ο περιορισμός ή η απαγόρευση δικαιολογείται για λόγους ασφάλειας.
(11)Ο παρών κανονισμός θα πρέπει να εφαρμόζεται στην αποθήκευση ή σε άλλου είδους επεξεργασία δεδομένων υπό την ευρύτερη δυνατή έννοια, συμπεριλαμβανομένης της χρήσης όλων των τύπων συστημάτων ΤΠ, είτε αυτά βρίσκονται στις εγκαταστάσεις του χρήστη είτε ανατίθενται εξωτερικά σε πάροχο υπηρεσιών αποθήκευσης ή άλλων υπηρεσιών επεξεργασίας δεδομένων. Θα πρέπει να καλύπτει την επεξεργασία δεδομένων διαφορετικών επιπέδων έντασης, από την αποθήκευση δεδομένων [υποδομή ως υπηρεσία (IaaS)] μέχρι την επεξεργασία δεδομένων σε πλατφόρμες [πλατφόρμα ως υπηρεσία (PaaS)] ή σε εφαρμογές [λογισμικό ως υπηρεσία (SaaS)]. Οι εν λόγω διαφορετικές υπηρεσίες θα πρέπει να εμπίπτουν στο πεδίο εφαρμογής του παρόντος κανονισμού, εκτός εάν η υπηρεσία αποθήκευσης ή άλλου είδους υπηρεσία επεξεργασίας δεδομένων είναι απλώς βοηθητική υπηρεσίας διαφορετικού είδους, όπως η παροχή επιγραμμικής αγοράς, η οποία αποτελεί σημείο διαμεσολάβησης μεταξύ παρόχων υπηρεσιών και καταναλωτών ή επιχειρηματιών χρηστών.
(12)Οι απαιτήσεις τοπικοποίησης των δεδομένων αποτελούν σαφές εμπόδιο στην ελεύθερη παροχή υπηρεσιών αποθήκευσης ή άλλων υπηρεσιών επεξεργασίας δεδομένων στην Ένωση και στην εσωτερική αγορά. Με δεδομένο το γεγονός αυτό, θα πρέπει να απαγορευτούν, εκτός εάν η ύπαρξή τους δικαιολογείται για λόγους δημόσιας ασφάλειας, όπως αυτή ορίζεται στην ενωσιακή νομοθεσία, και ιδίως, στο άρθρο 52 της Συνθήκης για τη λειτουργία της Ευρωπαϊκής, και εφόσον πληρούν την αρχή της αναλογικότητας που κατοχυρώνεται στο άρθρο 5 της Συνθήκης της Ευρωπαϊκής Ένωσης. Προκειμένου να τηρηθεί αποτελεσματικά η αρχή της ελεύθερης κυκλοφορίας των δεδομένων μη προσωπικού χαρακτήρα πέραν συνόρων, να εφαρμοστεί η ταχεία κατάργηση των υφιστάμενων απαιτήσεων τοπικοποίησης των δεδομένων και να καταστεί εφικτή η αποθήκευση ή άλλου είδους επεξεργασία δεδομένων σε πολλαπλές θέσεις στην ΕΕ για επιχειρησιακούς λόγους, και δεδομένου ότι στον παρόντα κανονισμό προβλέπεται η λήψη μέτρων για τη διασφάλιση της διαθεσιμότητας των δεδομένων για λόγους διενέργειας ρυθμιστικών ελέγχων, τα κράτη μέλη δεν θα πρέπει να μπορούν να επικαλούνται άλλους λόγους για τη διατήρηση των απαιτήσεων από λόγους εθνικής ασφάλειας.
(13)Προκειμένου να διασφαλιστεί η αποτελεσματική εφαρμογή της αρχής της ελεύθερης κυκλοφορίας των δεδομένων μη προσωπικού χαρακτήρα πέραν συνόρων, και προκειμένου να αποτραπεί η δημιουργία νέων εμποδίων όσον αφορά την εύρυθμη λειτουργία της εσωτερικής αγοράς, τα κράτη μέλη θα πρέπει να κοινοποιούν στην Επιτροπή τυχόν σχέδιο νομοθετικής πράξης στο οποίο περιλαμβάνεται νέα απαίτηση τοπικοποίησης δεδομένων ή διά της οποίας τροποποιείται υφιστάμενη ανάλογη απαίτηση. Οι εν λόγω κοινοποιήσεις θα πρέπει να υποβάλλονται και να αξιολογούνται σύμφωνα με τη διαδικασία που καθορίζεται στην οδηγία (ΕΕ) 2015/1535 33 .
(14)Επιπλέον, προκειμένου να εξαλειφθούν πιθανά υφιστάμενα εμπόδια, τα κράτη μέλη θα πρέπει στη διάρκεια μεταβατικής περιόδου 12 μηνών να επανεξετάσουν τις υφιστάμενες εθνικές απαιτήσεις τοπικοποίησης δεδομένων και να κοινοποιήσουν με τη σχετική αιτιολόγηση στην Επιτροπή τυχόν απαίτηση τοπικοποίησης δεδομένων η οποία κρίνουν ότι είναι σύμφωνη προς τον παρόντα κανονισμό. Οι εν λόγω κοινοποιήσεις θα πρέπει να παρέχουν στην Επιτροπή τη δυνατότητα να αξιολογεί τη συμμόρφωση τυχόν υπολειπόμενων απαιτήσεων τοπικοποίησης δεδομένων.
(15)Προκειμένου να διασφαλιστεί η διαφάνεια των απαιτήσεων τοπικοποίησης δεδομένων των κρατών μελών έναντι των φυσικών και νομικών προσώπων, όπως οι πάροχοι και οι χρήστες υπηρεσιών αποθήκευσης και άλλων υπηρεσιών επεξεργασίας δεδομένων, τα κράτη μέλη θα πρέπει να δημοσιεύουν και να επικαιροποιούν τακτικά σε ένα ενιαίο επιγραμμικό κέντρο πληροφόρησης τις πληροφορίες που σχετίζονται με αυτού του είδους τα μέτρα. Για τη δέουσα πληροφόρηση των νομικών και των φυσικών προσώπων σχετικά με τις απαιτήσεις τοπικοποίησης δεδομένων στην Ένωση, τα κράτη μέλη θα πρέπει να κοινοποιούν στην Επιτροπή τις διευθύνσεις των εν λόγω επιγραμμικών κέντρων. Η Επιτροπή θα πρέπει να δημοσιεύει τις πληροφορίες αυτές στον δικτυακό της τόπο.
(16)Οι απαιτήσεις τοπικοποίησης δεδομένων οφείλονται συχνά σε έλλειψη εμπιστοσύνης στην αποθήκευση ή άλλου είδους επεξεργασία δεδομένων πέραν συνόρων, η οποία απορρέει από την εικαζόμενη μη διαθεσιμότητα δεδομένων για τους σκοπούς των αρμόδιων αρχών των κρατών μελών, όπως η διενέργεια επιθεώρησης και ελέγχου στο πλαίσιο ρυθμιστικού ή εποπτικού ελέγχου. Ως εκ τούτου, στον παρόντα κανονισμό θα πρέπει να αναφέρεται με σαφήνεια ότι δεν θίγονται οι αρμοδιότητες των αρμόδιων αρχών να ζητούν και να αποκτούν πρόσβαση στα δεδομένα σύμφωνα με την ενωσιακή ή την εθνική νομοθεσία, καθώς και ότι η εν λόγω πρόσβαση των αρμόδιων αρχών στα δεδομένα δεν μπορεί να απορρίπτεται με την αιτιολογία ότι τα δεδομένα είναι αποθηκευμένα ή υποβάλλονται με άλλο τρόπο σε επεξεργασία σε άλλο κράτος μέλος.
(17)Τα φυσικά ή τα νομικά πρόσωπα που υπόκεινται σε υποχρεώσεις παροχής δεδομένων στις αρμόδιες αρχές μπορούν να συμμορφώνονται προς τις εν λόγω υποχρεώσεις παρέχοντας και διασφαλίζοντας την αποτελεσματική και έγκαιρη ηλεκτρονική πρόσβαση των αρμόδιων αρχών στα δεδομένα, ανεξαρτήτως του κράτους μέλους στην επικράτεια του οποίου τα δεδομένα είναι αποθηκευμένα ή υποβάλλονται σε άλλους είδους επεξεργασία. Η εν λόγω πρόσβαση μπορεί να διασφαλίζεται με την πρόβλεψη συγκεκριμένων όρων και προϋποθέσεων στις συμβάσεις μεταξύ του φυσικού ή του νομικού προσώπου υποκείμενου στην υποχρέωση παροχής πρόσβασης και του παρόχου υπηρεσιών αποθήκευσης ή άλλων υπηρεσιών επεξεργασίας δεδομένων.
(18)Σε περίπτωση που ένα φυσικό ή νομικό πρόσωπο υποκείμενο σε υποχρεώσεις παροχής δεδομένων δεν συμμορφώνεται προς αυτές και υπό την προϋπόθεση ότι η αρμόδια αρχή έχει εξαντλήσει όλα τα εφαρμοστέα μέσα προκειμένου να αποκτήσει πρόσβαση στα δεδομένα, η αρμόδια αρχή θα πρέπει να μπορεί να ζητήσει τη συνδρομή των αρμόδιων αρχών άλλων κρατών μελών. Σε αυτές τις περιπτώσεις, οι αρμόδιες αρχές θα πρέπει να αξιοποιούν συγκεκριμένες νομικές πράξεις της ενωσιακής νομοθεσίας ή διεθνών συμφωνιών που αφορούν τη συνεργασία, ανάλογα με το αντικείμενο της εκάστοτε περίπτωσης, όπως για παράδειγμα, στον τομέα της αστυνομικής συνεργασίας, της ποινικής ή της αστικής δικαιοσύνης ή σε διοικητικά θέματα αντιστοίχως, την απόφαση-πλαίσιο 2006/960 34 , την οδηγία 2014/41/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 35 , τη σύμβαση κατά του ηλεκτρονικού εγκλήματος του Συμβουλίου της Ευρώπης 36 , τον κανονισμό (ΕΚ) αριθ. 1206/2001 του Συμβουλίου 37 , την οδηγία 2006/112/ΕΚ του Συμβουλίου 38 και τον κανονισμό (ΕΕ) αριθ. 904/2010 του Συμβουλίου 39 . Ελλείψει παρόμοιων ειδικών μηχανισμών συνεργασίας, οι αρμόδιες αρχές θα πρέπει να συνεργάζονται μεταξύ τους προκειμένου να παρέχουν τη ζητούμενη πρόσβαση στα δεδομένα, μέσω καθορισμένων ενιαίων κέντρων επαφής, εκτός εάν αυτό θα αντίκειται στη δημόσια τάξη του κράτους μέλους από το οποίο ζητούνται τα δεδομένα.
(19)Εφόσον αίτημα συνδρομής υποβαλλόμενο σε αρμόδια αρχή συνεπάγεται την απόκτηση πρόσβασης σε εγκαταστάσεις φυσικού ή νομικού προσώπου, καθώς και σε κάθε άλλον εξοπλισμό και μέσο αποθήκευσης ή άλλου είδους επεξεργασίας δεδομένων, η εν λόγω πρόσβαση πρέπει να είναι σύμφωνη με το δικονομικό δίκαιο της Ένωσης ή του κράτους μέλους, συμπεριλαμβανομένης τυχόν απαίτησης εκ των προτέρων λήψης δικαστικής άδειας.
(20)Η ικανότητα μεταφοράς δεδομένων χωρίς εμπόδια αποτελεί βασικό παράγοντα διευκόλυνσης των επιλογών των χρηστών και του αποτελεσματικού ανταγωνισμού στις αγορές υπηρεσιών αποθήκευσης ή άλλων υπηρεσιών επεξεργασίας δεδομένων. Οι πραγματικές ή οι αντιληπτές δυσκολίες μεταφοράς δεδομένων πέραν συνόρων υπονομεύουν επίσης την εμπιστοσύνη των επαγγελματιών χρηστών στην αξιοποίηση προσφορών εκτός συνόρων και, ως εκ τούτου, την εμπιστοσύνη τους στην εσωτερική αγορά. Παρότι τα φυσικά πρόσωπα και οι καταναλωτές ωφελούνται από την ισχύουσα ενωσιακή νομοθεσία, δεν διευκολύνεται η ικανότητα των χρηστών να αλλάζουν παρόχους υπηρεσιών στο πλαίσιο των επιχειρηματικών ή των επαγγελματικών τους δραστηριοτήτων.
(21)Προκειμένου να αξιοποιήσουν πλήρως το ανταγωνιστικό περιβάλλον, οι επαγγελματίες χρήστες θα πρέπει να μπορούν να προβαίνουν σε τεκμηριωμένες επιλογές και να συγκρίνουν εύκολα τα επιμέρους χαρακτηριστικά των διαφόρων υπηρεσιών αποθήκευσης ή άλλων υπηρεσιών επεξεργασίας δεδομένων που παρέχονται στην εσωτερική αγορά, συμπεριλαμβανομένου σε ό,τι αφορά τους συμβατικούς όρους μεταφοράς δεδομένων κατά την καταγγελία σύμβασης. Προκειμένου να ευθυγραμμίζονται με το δυναμικό καινοτομίας της αγοράς και να λαμβάνουν υπόψη την πείρα και την εμπειρογνωσία των παρόχων και των επαγγελματιών χρηστών υπηρεσιών αποθήκευσης ή άλλων υπηρεσιών επεξεργασίας δεδομένων, οι απαιτήσεις αναλυτικής πληροφόρησης και οι επιχειρησιακές απαιτήσεις όσον αφορά τη μεταφορά δεδομένων θα πρέπει να καθορίζονται από τους φορείς της αγοράς μέσω αυτορρύθμισης, να ενθαρρύνονται και να διευκολύνονται από την Επιτροπή, υπό μορφή ενωσιακών κωδίκων δεοντολογίας οι οποίοι ενδέχεται να συνεπάγονται την κατάρτιση υποδειγμάτων συμβατικών όρων. Εντούτοις, σε περίπτωση που οι εν λόγω κώδικες δεν καταρτιστούν και δεν τεθούν αποτελεσματικά σε εφαρμογή εντός εύλογου χρονικού διαστήματος, η Επιτροπή θα πρέπει να επανεξετάσει την κατάσταση.
(22)Προκειμένου να συμβάλει στην ομαλή συνεργασία μεταξύ των κρατών μελών, κάθε κράτος μέλος θα πρέπει να ορίσει ένα ενιαίο κέντρο επαφής το οποίο θα συνδέεται με τα κέντρα επαφής των υπόλοιπων κρατών μελών και την Επιτροπή σε ό,τι αφορά θέματα εφαρμογής του παρόντος κανονισμού. Σε περίπτωση που μια αρμόδια αρχή ενός κράτους μέλους ζητήσει τη συνδρομή άλλου κράτους μέλους για την πρόσβασή της σε δεδομένα βάσει του παρόντος κανονισμού, θα πρέπει να υποβάλει στο καθορισμένο ενιαίο κέντρο επαφής του τελευταίου κράτους μέλους δεόντως αιτιολογημένο αίτημα, συμπεριλαμβανομένης γραπτής επεξήγησης των λόγων για τους οποίους ζητείται η πρόσβαση, καθώς και των νομικών βάσεων του αιτήματος πρόσβασης στα δεδομένα. Το ενιαίο κέντρο επαφής που έχει οριστεί από το κράτος μέλος του οποίου ζητείται η συνδρομή θα πρέπει να διευκολύνει την παροχή συνδρομής μεταξύ των αρχών με την αναγνώριση και τη διαβίβαση του αιτήματος στη σχετική αρμόδια αρχή του κράτους μέλους από το οποίο ζητείται η συνδρομή. Προκειμένου να διασφαλίζεται η αποτελεσματική συνεργασία, η αρχή στην οποία διαβιβάζεται ένα αίτημα θα πρέπει να παρέχει άνευ αδικαιολόγητης καθυστέρησης τη συνδρομή της ανταποκρινόμενη σε δεδομένο αίτημα ή να παρέχει πληροφορίες σχετικά με τις δυσκολίες ικανοποίησης αιτήματος συνδρομής ή τους λόγους για τους οποίους αρνείται την ικανοποίηση του αιτήματος.
(23)Προκειμένου να διασφαλισθεί η αποτελεσματική εφαρμογή της διαδικασίας παροχής συνδρομής μεταξύ των αρμόδιων αρχών των κρατών μελών, η Επιτροπή ενδέχεται να εκδίδει εκτελεστικές πράξεις στις οποίες καθορίζονται τυποποιημένα έντυπα, γλώσσες υποβολής των αιτημάτων, προθεσμίες ή άλλες λεπτομέρειες των διαδικασιών υποβολής αιτημάτων συνδρομής. Οι αρμοδιότητες αυτές θα πρέπει να ασκούνται σύμφωνα με τον κανονισμό (ΕΕ) αριθ. 182/2011 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου 40 .
(24)Η ενίσχυση της εμπιστοσύνης στην ασφάλεια της αποθήκευσης ή άλλου είδους επεξεργασίας δεδομένων πέραν συνόρων αναμένεται να περιορίσει την τάση των φορέων της αγοράς και του δημόσιου τομέα να χρησιμοποιούν την τοπικοποίηση των δεδομένων ως μέσο για τη διασφάλιση της ασφάλειας των δεδομένων. Αναμένεται επίσης να βελτιώσει την ασφάλεια δικαίου για τις επιχειρήσεις όσον αφορά τις ισχύουσες απαιτήσεις ασφάλειας κατά την εξωτερική ανάθεση των δραστηριοτήτων τους αποθήκευσης ή άλλου είδους επεξεργασίας δεδομένων, συμπεριλαμβανομένων των παρόχων υπηρεσιών σε άλλα κράτη μέλη.
(25)Οποιεσδήποτε απαιτήσεις ασφάλειας σχετιζόμενες με την αποθήκευση ή άλλου είδους επεξεργασία δεδομένων οι οποίες εφαρμόζονται κατά τρόπο αιτιολογημένο και αναλογικό με βάση το ενωσιακό ή εθνικό δίκαιο και σε συμμόρφωση με το ενωσιακό δίκαιο νομοθεσία που ισχύει στο κράτος μέλος διαμονής ή εγκατάστασης των φυσικών ή των νομικών προσώπων τα οποία είναι οι κάτοχοι των σχετικών δεδομένων, θα πρέπει να συνεχίσουν να ισχύουν για την αποθήκευση ή άλλου είδους επεξεργασία των εν λόγω δεδομένων σε άλλο κράτος μέλος. Τα εν λόγω φυσικά ή νομικά πρόσωπα θα πρέπει να μπορούν να εκπληρώνουν τις εν λόγω απαιτήσεις είτε τα ίδια είτε βάσει των συμβατικών όρων που περιλαμβάνονται σε συμβάσεις που συνάπτουν με τους παρόχους.
(26)Οι απαιτήσεις ασφάλειας που θεσπίζονται σε εθνικό επίπεδο θα πρέπει να είναι αναγκαίες και ανάλογες των κινδύνων που ενέχει η αποθήκευση ή άλλου είδους επεξεργασία δεδομένων στον τομέα που εμπίπτει στο πεδίο εφαρμογής του εθνικού δικαίου στο οποίο καθορίζονται οι εν λόγω απαιτήσεις.
(27)Στην οδηγία 2016/1148 41 προβλέπεται η λήψη μέτρων για την ενίσχυση του γενικού επιπέδου κυβερνοασφάλειας στην Ένωση. Οι υπηρεσίες αποθήκευσης ή άλλες υπηρεσίες επεξεργασίας δεδομένων συγκαταλέγονται μεταξύ των ψηφιακών υπηρεσιών που καλύπτει η εν λόγω οδηγία. Σύμφωνα με το άρθρο 16 της εν λόγω οδηγίας, τα κράτη μέλη πρέπει να εξασφαλίζουν ότι οι πάροχοι ψηφιακών υπηρεσιών προσδιορίζουν και λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν. Τα εν λόγω μέτρα θα πρέπει να διασφαλίζουν επίπεδο ασφάλειας ανάλογο του παρουσιαζόμενου κινδύνου και θα πρέπει να λαμβάνουν υπόψη την ασφάλεια συστημάτων και εγκαταστάσεων, τη διαχείριση περιστατικών, τη διαχείριση της επιχειρηματικής συνέχειας, την παρακολούθηση, τον έλεγχο και τις δοκιμές, καθώς και τη συμμόρφωση προς τα διεθνή πρότυπα. Τα εν λόγω στοιχεία θα εξειδικεύσει περαιτέρω η Επιτροπή σε εκτελεστικές πράξεις δυνάμει της εν λόγω οδηγίας.
(28)Η Επιτροπή πρέπει να επανεξετάζει περιοδικά τον παρόντα κανονισμό, ιδίως προκειμένου να καθορίζεται η ανάγκη τροποποίησης υπό το πρίσμα των εξελίξεων στην τεχνολογία ή τις αγορές.
(29)Ο παρών κανονισμός σέβεται τα θεμελιώδη δικαιώματα και τηρεί τις αρχές που αναγνωρίζονται ιδίως από τον Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, και θα πρέπει να ερμηνεύεται και να εφαρμόζεται σύμφωνα με τα εν λόγω δικαιώματα και αρχές, συμπεριλαμβανομένων των δικαιωμάτων προστασίας των δεδομένων προσωπικού χαρακτήρα (άρθρο 8), της επιχειρηματικής ελευθερίας (άρθρο 16) και της ελευθερίας της έκφρασης και ενημέρωσης (άρθρο 11).
(30)Δεδομένου ότι ο στόχος του παρόντος κανονισμού, δηλαδή η διασφάλιση της ελεύθερης κυκλοφορίας των δεδομένων μη προσωπικού χαρακτήρα στην Ένωση, δεν είναι δυνατόν να επιτευχθεί επαρκώς από τα κράτη μέλη, μπορεί όμως, λόγω της κλίμακας και των αποτελεσμάτων του, να επιτευχθεί καλύτερα σε επίπεδο Ένωσης, η Ένωση μπορεί να αποφασίσει μέτρα, σύμφωνα με την αρχή της επικουρικότητας που διατυπώνεται στο άρθρο 5 της Συνθήκης για την Ευρωπαϊκή Ένωση. Σύμφωνα με την αρχή της αναλογικότητας, όπως διατυπώνεται στο εν λόγω άρθρο, ο παρών κανονισμός δεν υπερβαίνει τα αναγκαία όρια για την επίτευξη του στόχου αυτού.
ΕΞΕΔΩΣΑΝ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:
Άρθρο 1
Αντικείμενο
Ο παρών κανονισμός επιδιώκει να διασφαλισθεί η ελεύθερη κυκλοφορία των δεδομένων μη προσωπικού χαρακτήρα στην Ένωση με τον καθορισμό κανόνων σχετικά με τις απαιτήσεις τοπικοποίησης δεδομένων, τη δυνατότητα πρόσβασης των αρμόδιων αρχών σε δεδομένα και τη μεταφορά δεδομένων για τους επαγγελματίες χρήστες.
Άρθρο 2
Πεδίο εφαρμογής
1.Ο παρών κανονισμός εφαρμόζεται στην αποθήκευση ή άλλου είδους επεξεργασία ηλεκτρονικών δεδομένων μη προσωπικού χαρακτήρα στην Ένωση, η οποία
α)παρέχεται ως υπηρεσία σε χρήστες που έχουν τόπο διαμονής ή εγκατάσταση στην Ένωση, ανεξαρτήτως εάν ο πάροχος έχει την έδρα της επιχείρησής του στην Ένωση, ή
β)η οποία διεκπεραιώνεται από φυσικό ή νομικό πρόσωπο που έχει τόπο διαμονής ή εγκατάσταση στην Ένωση για τις δικές του ανάγκες.
2.Ο παρών κανονισμός δεν εφαρμόζεται σε δραστηριότητα που δεν εμπίπτει στο πεδίο εφαρμογής του δικαίου της Ένωσης,
Άρθρο 3
Ορισμοί
Για τους σκοπούς του παρόντος κανονισμού νοείται ως:
1.«δεδομένα»: δεδομένα μη προσωπικού χαρακτήρα, όπως αναφέρονται στο άρθρο 4 παράγραφος 1 του κανονισμού (ΕΕ) 2016/679,
2.«αποθήκευση δεδομένων»: οποιαδήποτε αποθήκευση δεδομένων σε ηλεκτρονική μορφή,
3.«σχέδιο νομοθετικής πράξης»: κείμενο το οποίο έχει διατυπωθεί με στόχο τη θέσπισή του ως νόμου, κανονισμού ή διοικητικής διάταξης γενικού χαρακτήρα και βρίσκεται στο στάδιο της σύνταξης, στο οποίο είναι ακόμη δυνατόν να επέλθουν ουσιαστικές τροποποιήσεις από το κοινοποιούν κράτος μέλος,
4.«πάροχος»: φυσικό ή νομικό πρόσωπο το οποίο παρέχει υπηρεσίες αποθήκευσης ή άλλες υπηρεσίες επεξεργασίας δεδομένων,
5.«απαίτηση τοπικοποίησης δεδομένων»: οποιαδήποτε υποχρέωση, απαγόρευση, προϋπόθεση, όριο ή άλλη απαίτηση προβλεπόμενη από νομοθεσία, κανονισμούς ή διοικητικές διατάξεις των κρατών μελών, βάσει των οποίων επιβάλλεται η θέση της αποθήκευσης ή άλλου είδους επεξεργασίας δεδομένων στην επικράτεια συγκεκριμένου κράτους μέλους ή απαγορεύεται η αποθήκευση ή άλλου είδους επεξεργασία δεδομένων σε άλλο κράτος μέλος,
6.«αρμόδια αρχή»: αρχή κράτους μέλους η οποία έχει την αρμοδιότητα να αποκτά πρόσβαση σε δεδομένα αποθηκευμένα ή υποβληθέντα σε επεξεργασία από φυσικό ή νομικό πρόσωπο για την επιτέλεση των επίσημων καθηκόντων της, όπως προβλέπονται βάσει της εθνικής ή της ενωσιακής νομοθεσίας,
7.«χρήστης»: φυσικό ή νομικό πρόσωπο το οποίο χρησιμοποιεί ή ζητά την παροχή υπηρεσίας αποθήκευσης ή άλλης υπηρεσίας επεξεργασίας δεδομένων,
8.«επαγγελματίας χρήστης»: φυσικό ή νομικό πρόσωπο, καθώς και οντότητα του δημόσιου τομέα, που χρησιμοποιεί ή ζητά την παροχή υπηρεσίας αποθήκευσης ή άλλης υπηρεσίας επεξεργασίας δεδομένων για λόγους σχετιζόμενους με τις εμπορικές συναλλαγές του, την επιχείρησή του, το επάγγελμα ή την εργασία του.
Άρθρο 4
Ελεύθερη κυκλοφορία των δεδομένων στην Ένωση
1.Η θέση αποθήκευσης ή άλλου είδους επεξεργασίας δεδομένων στην Ένωση δεν περιορίζεται στην επικράτεια συγκεκριμένου κράτους μέλους και δεν απαγορεύεται ούτε περιορίζεται η αποθήκευση ή άλλου είδους επεξεργασία δεδομένων σε οποιοδήποτε άλλο κράτος μέλος, εκτός εάν αυτό δικαιολογείται για λόγους δημόσιας ασφάλειας.
2.Τα κράτη μέλη κοινοποιούν στην Επιτροπή τυχόν σχέδιο νομοθετικής πράξης η οποία εισάγει νέα απαίτηση τοπικοποίησης δεδομένων ή επιφέρει αλλαγές σε υφιστάμενη απαίτηση τοπικοποίησης δεδομένων σύμφωνα με τις διαδικασίες που καθορίζονται στη εθνική νομοθεσία μεταφοράς της οδηγίας (ΕΕ) 2015/1535.
3.Εντός 12 μηνών από την έναρξη εφαρμογής του παρόντος κανονισμού, τα κράτη μέλη διασφαλίζουν την κατάργηση οποιασδήποτε απαίτησης τοπικοποίησης δεδομένων η οποία δεν είναι σύμφωνη με την παράγραφο 1. Σε περίπτωση που ένα κράτος μέλος κρίνει ότι απαίτηση τοπικοποίησης δεδομένων είναι σύμφωνη με την παράγραφο 1 και, ως εκ τούτου, μπορεί να εξακολουθήσει να ισχύει, κοινοποιεί το μέτρο στην Επιτροπή, αναφέροντας τους λόγους για τους οποίους το εν λόγω μέτρο διατηρείται σε ισχύ.
4.Τα κράτη μέλη δημοσιοποιούν επιγραμμικά τις λεπτομέρειες οποιασδήποτε απαίτησης τοπικοποίησης δεδομένων που εφαρμόζεται στην επικράτειά μέσω ενιαίου κέντρου πληροφόρησης το οποίο επικαιροποιούν.
5.Τα κράτη μέλη ενημερώνουν την Επιτροπή σχετικά με τη διεύθυνση του οικείου ενιαίου κέντρου πληροφόρησης που αναφέρεται στην παράγραφο 1. Η Επιτροπή δημοσιοποιεί τους συνδέσμους προς τα εν λόγω κέντρα στον ιστότοπό της.
Άρθρο 5
Δυνατότητα πρόσβασης των αρμόδιων αρχών σε δεδομένα
1.Ο παρών κανονισμός δεν θίγει τις αρμοδιότητες των αρμόδιων αρχών να ζητούν και να αποκτούν πρόσβαση σε δεδομένα με σκοπό την επιτέλεση των επίσημων καθηκόντων τους σύμφωνα με το ενωσιακό ή εθνικό δίκαιο. Δεν επιτρέπεται η άρνηση της πρόσβασης αρμόδιων αρχών σε δεδομένα με την αιτιολογία ότι τα δεδομένα έχουν αποθηκευθεί ή υποβληθεί με άλλο τρόπο σε επεξεργασία σε άλλο κράτος μέλος.
2.Σε περίπτωση που μια αρμόδια αρχή έχει εξαντλήσει όλα τα εφαρμοστέα μέσα απόκτησης πρόσβασης σε δεδομένα, δύναται να ζητήσει τη συνδρομή αρμόδιας αρχής άλλου κράτους μέλους σύμφωνα με τη διαδικασία που ορίζεται στο άρθρο 7, και η αρμόδια αρχή στην οποία υποβάλλεται το αίτημα παρέχει τη συνδρομή της σύμφωνα με το άρθρο 7, εκτός εάν αυτό θα διασάλευε τη δημόσια τάξη του κράτους μέλους από το οποίο ζητήθηκε η πρόσβαση.
3.Εφόσον αίτημα συνδρομής υποβαλλόμενο σε αρμόδια αρχή συνεπάγεται την απόκτηση πρόσβασης σε εγκαταστάσεις φυσικού ή νομικού προσώπου, καθώς και σε κάθε άλλον εξοπλισμό και μέσο αποθήκευσης ή άλλου είδους επεξεργασίας δεδομένων, η εν λόγω πρόσβαση πρέπει να είναι σύμφωνη με τ δικονομικό δίκαιο της Ένωσης ή του κράτους μέλους.
4.Η παράγραφος 2 εφαρμόζεται μόνο σε περίπτωση που δεν υφίσταται συγκεκριμένος μηχανισμός βάσει της ενωσιακής νομοθεσίας ή διεθνών συμφωνιών για την ανταλλαγή δεδομένων μεταξύ αρμόδιων αρχών διαφορετικών κρατών μελών.
Άρθρο 6
Μεταφορά δεδομένων
1.Η Επιτροπή ενθαρρύνει και διευκολύνει την ανάπτυξη κωδίκων δεοντολογίας αυτορρύθμισης στο επίπεδο της Ένωσης, προκειμένου να προσδιορίζονται κατευθυντήριες γραμμές σχετικά με τις βέλτιστες πρακτικές για τη διευκόλυνση αλλαγής παρόχου και να διασφαλιστεί ότι οι πάροχοι παρέχουν στους επαγγελματίες χρήστες επαρκώς αναλυτικές, σαφείς και διαφανείς πληροφορίες πριν από τη σύναψη σύμβασης για την αποθήκευση και επεξεργασία δεδομένων όσον αφορά τα ακόλουθα ζητήματα:
α)τις διαδικασίες, τις τεχνικές απαιτήσεις, τις προθεσμίες και τις οικονομικές επιβαρύνσεις που ισχύουν σε περίπτωση που ένας επαγγελματίας χρήστης επιθυμεί να αλλάξει πάροχο ή να επαναφέρει δεδομένα στα δικά του συστήματα ΤΠ, συμπεριλαμβανομένων των διαδικασιών και της θέσης τυχόν εφεδρικών αντιγράφων δεδομένων, των διαθέσιμων μορφότυπων δεδομένων και υποστηριγμάτων, καθώς και της απαιτούμενης διαμόρφωσης παραμέτρων ΤΠ και του ελάχιστου εύρους ζώνης δικτύου· τον χρόνο που απαιτείται πριν από την έναρξη της διαδικασίας μεταφοράς και το χρονικό διάστημα κατά τη διάρκεια του οποίου τα δεδομένα θα παραμείνουν διαθέσιμα για μεταφορά· και τις εγγυήσεις πρόσβασης στα δεδομένα σε περίπτωση πτώχευσης του παρόχου· και
β)τις λειτουργικές απαιτήσεις αλλαγής ή μεταφοράς δεδομένων σε δομημένο, ευρέως χρησιμοποιούμενο μορφότυπο με δυνατότητα ανάγνωσης από υπολογιστή που παρέχει επαρκές χρονικό διάστημα στον χρήστη ώστε να αλλάξει ή να μεταφέρει τα δεδομένα.
2.Η Επιτροπή ενθαρρύνει τους παρόχους να θέσουν αποτελεσματικά σε εφαρμογή τους κώδικες δεοντολογίας που αναφέρονται στην παράγραφο 1 εντός ενός έτους από την έναρξη εφαρμογής του παρόντος κανονισμού.
3.Η Επιτροπή επανεξετάζει την ανάπτυξη και την αποτελεσματική εφαρμογή των εν λόγω κωδίκων δεοντολογίας, καθώς και την αποτελεσματική παροχή πληροφοριών από τους παρόχους, το αργότερο εντός δύο ετών από την έναρξη εφαρμογής του παρόντος κανονισμού.
Άρθρο 7
Ενιαία κέντρα επαφής
1.Κάθε κράτος μέλος ορίζει ένα ενιαίο κέντρο επαφής το οποίο συνδέεται με τα ενιαία κέντρα επαφής των άλλων κρατών μελών και την Επιτροπή σχετικά με θέματα εφαρμογής του παρόντος κανονισμού. Τα κράτη μέλη κοινοποιούν στην Επιτροπή τα ορισμένα ενιαία κέντρα επαφής, καθώς και τυχόν μετέπειτα αλλαγή τους.
2.Τα κράτη μέλη διασφαλίζουν ότι τα ενιαία κέντρα επαφής διαθέτουν τους απαραίτητους πόρους για την εφαρμογή του παρόντος κανονισμού.
3.Σε περίπτωση που αρμόδια αρχή κράτους μέλους ζητήσει τη συνδρομή άλλου κράτους μέλους για την πρόσβαση σε δεδομένα βάσει του άρθρου 5 παράγραφος 2, υποβάλλει στο ορισμένο ενιαίο κέντρο επαφής του τελευταίου κράτους μέλους δεόντως αιτιολογημένο αίτημα, όπως και γραπτή επεξήγηση της αιτιολόγησης και των νομικών βάσεων του αιτήματος πρόσβασης σε δεδομένα.
4.Το ενιαίο κέντρο επαφής αναγνωρίζει τη σχετική αρμόδια αρχή του κράτους μέλους στο οποίο ανήκει και διαβιβάζει το παραληφθέν αίτημα σύμφωνα με την παράγραφο 3 στην εν λόγω αρμόδια αρχή. Η αρχή στην οποία υποβάλλεται το αίτημα προβαίνει άνευ αδικαιολόγητης καθυστέρησης στις ακόλουθες ενέργειες:
α)ανταποκρίνεται στο αίτημα της αιτούσας αρμόδιας αρχής και κοινοποιεί στο ενιαίο κέντρο επαφής την ανταπόκρισή της, και
β)ενημερώνει το ενιαίο κέντρο επαφής και την αιτούσα αρμόδια αρχή σχετικά με τυχόν δυσκολίες ή, σε περίπτωση απόρριψης του αιτήματος ή μερικής ανταπόκρισης σε αυτό, για τους λόγους της απόρριψης ή της μερικής ανταπόκρισης στο αίτημα.
5.Κάθε πληροφορία που ανταλλάσσεται στο πλαίσιο αιτούμενης και παρεχόμενης συνδρομής σύμφωνα με το άρθρο 5 παράγραφος 2 χρησιμοποιούνται αποκλειστικά για το θέμα για το οποίο ζητήθηκε.
6.Η Επιτροπή δύναται να εκδίδει εκτελεστικές πράξεις στις οποίες να καθορίζονται τυποποιημένα έντυπα, γλώσσες υποβολής των αιτημάτων, προθεσμίες ή άλλες λεπτομέρειες των διαδικασιών υποβολής αιτημάτων συνδρομής. Οι εν λόγω εκτελεστικές πράξεις εκδίδονται σύμφωνα με τη διαδικασία του άρθρου 8.
Άρθρο 8
Επιτροπή
1.Η Επιτροπή επικουρείται από την επιτροπή για την ελεύθερη ροή των δεδομένων. Πρόκειται για επιτροπή κατά την έννοια του κανονισμού (ΕΕ) αριθ. 182/2011.
2.Οσάκις γίνεται παραπομπή στην παρούσα παράγραφο, εφαρμόζεται το άρθρο 5 του κανονισμού (ΕΕ) αριθ. 182/2011.
Άρθρο 9
Επανεξέταση
1.Το αργότερο (5 έτη από την ημερομηνία που αναφέρεται στο άρθρο 10 παράγραφος 2), η Επιτροπή επανεξετάζει τον παρόντα κανονισμό και υποβάλλει στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και την Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή έκθεση σχετικά με τις κύριες διαπιστώσεις της.
2.Τα κράτη μέλη παρέχουν στην Επιτροπή τα αναγκαία στοιχεία για την εκπόνηση της έκθεσης που αναφέρεται στην παράγραφο 1.
Άρθρο 10
Τελικές διατάξεις
1.Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.
2.Ο παρών κανονισμός εφαρμόζεται έξι μήνες μετά τη δημοσίευσή του.
Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.
Βρυξέλλες,
Για το Ευρωπαϊκό Κοινοβούλιο Για το Συμβούλιο
Ο Πρόεδρος Ο Πρόεδρος
IDC και Open Evidence, Ευρωπαϊκή αγορά δεδομένων, τελική έκθεση, 1 Φεβρουαρίου 2017 (SMART 2013/0063).
Επιδιώχθηκε η συγκέντρωση πρόσθετων οικονομικών στοιχείων μέσω της εκπόνησης μελέτης σχετικά με τον οικονομικό αντίκτυπο του υπολογιστικού νέφους στην Ευρώπη (SMART 2014/0031, Deloitte, «Measuring the economic impact of cloud computing in Europe» (Μέτρηση του οικονομικού αντικτύπου του υπολογιστικού νέφους στην Ευρώπη), 2016).
