(1)

Majanduse digiteerimine on kiirenemas. Info- ja kommunikatsioonitehnoloogia ei ole enam pelgalt üks konkreetne sektor, vaid kõigi tänapäevaste innovaatiliste majandussüsteemide ja ühiskondade alustala. Nende süsteemide keskmes on elektroonilised andmed, mis analüüsimisel või muude teenuste ja toodetega kombineerimisel võimaldavad luua suurt väärtust. Samal ajal tekitab andmepõhise majanduse ja kujunemisjärgus tehnoloogia (nagu tehisintellekt, asjade interneti tooted ja teenused, autonoomsed süsteemid ning 5G) kiire areng uusi õigusküsimusi seoses andmetele juurdepääsu ja nende taaskasutamise, vastutuse, eetika ja solidaarsusega. Tuleks kaaluda eelkõige vastutuse küsimuse käsitlemist, iseäranis iseregulatsiooni tegevusjuhendite rakendamise ja muude parimate tavade kaudu, võttes arvesse ilma inimsuhtluseta tehtud soovitusi, otsuseid ja võetud meetmeid kogu andmetöötluse väärtusahela ulatuses. Ühtlasi võiks see hõlmata vastutuse kindlaksmääramise asjakohaseid mehhanisme, vastutuse ülekandmist koostööd tegevate teenuste vahel, kindlustust ja auditeerimist.

(2)

Andmete väärtusahelad koosnevad mitmesugustest andmetega seotud tegevustest: andmete loomine ja kogumine; andmete koondamine ja organiseerimine; andmete töötlemine; andmete analüüsimine, turustamine ja levitamine; andmete kasutamine ja taaskasutamine. Tulemuslik ja tõhus andmete töötlemine on iga andmete väärtusahela nurgakivi. Andmete tulemuslikku ja tõhusat töötlemist ning andmepõhise majanduse arendamist liidus takistavad aga eelkõige kaht liiki tõkked andmete liikuvuse ja siseturu ees: liikmesriikide kehtestatud andmete asukoha nõuded ning erasektoris tekitatud sõltuvus ühest teenusepakkujast.

(3)

Asutamisvabadus ja teenuste osutamise vabadus kehtivad Euroopa Liidu toimimise lepingu (ELi toimimise leping) alusel andmetöötlusteenuste suhtes. Nende teenuste osutamist aga takistavad ja vahel ka keelavad teatavad riiklikud, piirkondlikud või kohalikud nõuded andmete paiknemise kohta konkreetsel territooriumil.

(4)

Sellised takistused andmetöötlusteenuste vabale liikumisele ning teenuseosutajate asutamisvabadusele tulenevad liikmesriikide õigusaktides sisalduvatest nõuetest, mille kohaselt peavad andmed nende töötlemiseks paiknema konkreetsel geograafilisel alal või territooriumil. Muudel õigusnormidel ja haldustavadel on samaväärne mõju erinõuete kehtestamise kaudu, mis raskendab andmete töötlemist väljaspool teatavat liidu geograafilist piirkonda või territooriumi; näiteks nõuded kasutada teatavas liikmesriigis sertifitseeritud või kinnitatud tehnorajatisi. Õiguslik ebakindlus seaduslike ja ebaseaduslike andmete asukohanõuete ulatuse kohta piirab veelgi turuosaliste ja avaliku sektori käsutuses olevaid valikuid seoses andmete töötlemise asukohaga. Käesolev määrus ei piira mingil viisil ettevõtjate vabadust sõlmida kokkuleppeid, millega määratakse kindlaks andmete asukoht. Käesoleva määruse eesmärk on üksnes kaitsta kõnealust vabadust, tagades, et kokkulepitud asukoht võib olla igal pool liidus.

(5)

Samal ajal pärsivad andmete liikumist liidus ka eraviisilised piirangud: õiguslikud, lepingulised ja tehnilised küsimused, mis takistavad andmetöötlusteenuste kasutajatel andmete portimist ühelt teenuseosutajalt teisele või tagasi nende oma infotehnoloogiasüsteemidesse (IT-süsteemid), sealjuures teenuseosutajaga sõlmitud lepingu lõpetamise korral.

(6)

Nende takistuste kombinatsioon on liidus kaasa toonud pilveteenuste osutajate vahelise konkurentsi puudumise, mitmesuguseid teenuseosutajast sõltumisega seotud probleeme ja andmete liikuvuse tõsiseid puudusi. Samuti on andmete asukoha nõuded kahjustanud teadus- ja arendusettevõtete suutlikkust hõlbustada äriühingute, ülikoolide ja teiste teadusorganisatsioonide koostööd innovatsiooni edendamiseks.

(7)

Õiguskindluse tagamiseks ja vajaduse tõttu tagada võrdsed tingimused liidus on ühtse õigusnormide kogumi kohaldamine kõigi turuosaliste suhtes ühtse turu toimimise keskne osa. Selleks et kõrvaldada liikmesriikide õigusaktide erinevustest tingitud kaubandustõkked ja konkurentsimoonutused ning takistada uute tõkete ja märkimisväärsete moonutuste teket, tuleb võtta vastu ühtsed normid, mida kohaldatakse kõigis liikmesriikides.

(8)

Käesolev määrus ei mõjuta õigusraamistikku, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel, eraelu puutumatuse austamist ja isikuandmete kaitset elektroonilise side puhul ning eelkõige Euroopa Parlamendi ja nõukogu määrust (EL) 2016/679 (3) ning Euroopa Parlamendi ja nõukogu direktiive (EL) 2016/680 (4) ja 2002/58/EÜ (5).

(9)

Isikustamata andmete olulised allikad on laienev asjade internet, tehisintellekt ja masinõpe, näiteks kui neid kasutatakse automatiseeritud tööstuslikes tootmisprotsessides. Konkreetsed isikustamata andmete näited hõlmavad suurandmete analüüsiks kasutatavaid koond- ja anonüümitud andmekogusid, täppispõllumajanduse andmeid, mis võivad aidata jälgida ja optimeerida pestitsiidide ja vee kasutamist, ning andmeid tööstuslike masinate hooldusvajaduste kohta. Kui tehnoloogia areng võimaldab muuta anonüümitud andmed isikuandmeteks, on vaja selliseid andmeid käsitleda isikuandmetena ning kohaldada vastavalt määrust (EL) 2016/679.

(10)

Määruse (EL) 2016/679 kohaselt ei tohi liikmesriigid piirata ega keelata isikuandmete vaba liikumist liidus põhjustel, mis on seotud füüsiliste isikute kaitsega isikuandmete töötlemisel. Käesoleva määrusega kehtestatakse samasugune vaba liikumise põhimõte liidus ka isikustamata andmete suhtes, v.a kui piirangu või keelu alus on avalik julgeolek. Määruses (EL) 2016/679 ja käesolevas määruses on ette nähtud sidusad õigusnormid, mis võimaldavad eri liiki andmete vaba liikumist. Lisaks ei kehtestata käesoleva määrusega kohustust säilitada eri liiki andmeid eraldi.

(11)

Selleks et luua raamistik isikustamata andmete vabaks liikumiseks liidus ning panna alus andmepõhise majanduse arendamisele ja liidu tööstuse konkurentsivõime tugevdamisele, on vaja kehtestada selge, põhjalik ja prognoositav õigusraamistik muude andmete kui isikuandmete töötlemiseks siseturul. Põhimõtteline lähenemisviis, millega nähakse ette liikmesriikidevaheline koostöö ja iseregulatsioon, peaks tagama raamistiku piisava paindlikkuse, et võtta arvesse liidu kasutajate, teenuseosutajate ja riigiasutuste muutuvaid vajadusi. Vältimaks kattumist olemasolevate mehhanismidega ja seega suuremat koormust liikmesriikidele ja ettevõtjatele, ei tuleks kehtestada üksikasjalikke tehnilisi norme.

(12)

Käesolev määrus ei tohiks mõjutada andmetöötlust, mille puhul andmeid töödeldakse tegevuse raames, mis jääb väljapoole liidu õiguse kohaldamisala. Eelkõige tuleks meelde tuletada, et riigi julgeolek kuulub vastavalt Euroopa Liidu lepingu (ELi leping) artiklile 4 iga liikmesriigi ainuvastutusse.

(13)

Andmete vabal liikumisel liidus on oluline roll andmepõhise majanduskasvu ja innovatsiooni saavutamisel. Nagu äriühingud ja tarbijad, saavad ka liikmesriikide ametiasutused ja avalik-õiguslikud isikud kasu suuremast valikuvabadusest seoses andmepõhiste teenuste osutajatega, konkurentsivõimelisematest hindadest ja tõhusamast teenuste osutamisest kodanikele. Arvestades suurt andmehulka, mida ametiasutused ja avalik-õiguslikud isikud käitlevad, on ülimalt tähtis, et nad näitaksid eeskuju andmetöötlusteenuste kasutuselevõtuga ning hoiduksid andmetöötlusteenuste kasutamisel andmete asukoha piirangute seadmisest. Ametiasutused ja avalik-õiguslikud isikud peaksid seetõttu kuuluma käesoleva määruse kohaldamisalasse. Sellega seoses tuleks käesolevas määruses sätestatud isikustamata andmete vaba liikumise põhimõtet kohaldada ka üldiste ja järjepidevate haldustavade ning muude andmete asukoha nõuete suhtes riigihangete valdkonnas, ilma et see piiraks Euroopa Parlamendi ja nõukogu direktiivi 2014/24/EL (6) kohaldamist.

(14)

Nagu direktiiv 2014/24/EL ei piira ka käesolev määrus liikmesriikide sisemist korraldust käsitlevaid õigus- ja haldusnorme, millega nähakse ametiasutustele ja avalik-õiguslikele isikutele ette andmete töötlemise volitused ja kohustused ilma eraõiguslike isikute lepingulise tasustamiseta ning liikmesriikide õigus- ja haldusnorme, mis käsitlevad nende volituste ja kohustuste rakendamist. Kuigi ametiasutustel ja avalik-õiguslikel isikutel soovitatakse kaaluda allhanke korras teenuseosutajate kasutamise majanduslikku ja muud kasu, võivad neil olla õigustatud põhjused teenuseid ise osutada või korraldada teenuste osutamine sisemiselt. Seetõttu ei kohustata liikmesriike käesoleva määrusega andma selliste teenuste osutamise ülesannet kolmandatele isikutele või sisse ostma selliste teenuste osutamist, mida nad soovivad ise osutada või korraldada muul viisil kui riigihankelepingutena.

(15)

Käesolevat määrust tuleks kohaldada füüsiliste ja juriidiliste isikute suhtes, kes osutavad andmetöötlusteenuseid kasutajatele, kelle elu- või tegevuskoht on liidus, sealhulgas isikute suhtes, kes osutavad liidus andmetöötlusteenuseid ilma et nende tegevuskoht oleks liidus. Käesolevat määrust ei tuleks seetõttu kohaldada väljaspool liitu osutatavate andmetöötlusteenuste ja asjaomaste andmete asukoha nõuete suhtes.

(16)

Käesolevas määruses ei sätestata õigusnorme, mis käsitlevad kohaldatava õiguse kindlaksmääramist kaubandusasjades, ning seetõttu ei piira käesolev määrus Euroopa Parlamendi ja nõukogu määruse (EÜ) nr 593/2008 (7) kohaldamist. Eelkõige, kui lepingu suhtes kohaldatavat õigust ei ole vastavalt kõnealusele määrusele valitud, kohaldatakse teenuste osutamise lepingu suhtes põhimõtteliselt selle riigi õigust, mis on teenuseosutaja alaline elu- või asukoht.

(17)

Käesolevat määrust tuleks kohaldada andmetöötluse suhtes kõige laiemas tähenduses, mis hõlmab mis tahes tüüpi IT-süsteemide kasutamist, sõltumata sellest, kas need asuvad kasutaja ruumides või on tegemist allhankega teenuseosutajalt. Määrus peaks hõlmama eri intensiivsusega andmetöötlust, alates andmete säilitamisest (taristu teenusena (IaaS)) kuni andmete töötlemiseni platvormidel (platvorm teenusena (PaaS)) või rakendustes (tarkvara teenusena (SaaS)).

(18)

Andmete asukoha nõuded takistavad vaieldamatult andmetöötlusteenuste vaba osutamist liidus ja siseturu toimimist. Sellisel kujul tuleks nõuded ära keelata, v.a juhul, kui need on põhjendatud avaliku julgeoleku kaalutlustel vastavalt liidu õigusele, eelkõige ELi toimimise lepingu artikli 52 tähenduses, ning vastavad proportsionaalsuse põhimõttele ELi lepingu artikli 5 kohaselt. Isikustamata andmete vaba piiriülese liikumise põhimõtte elluviimiseks, andmete asukoha kehtivate nõuete kiireks kaotamiseks ja andmetöötluse võimaldamiseks praktilistel kaalutlustel eri asukohtades üle liidu ning kuna käesolevas määruses on sätestatud meetmed andmete kättesaadavuse tagamiseks õigusliku kontrolli eesmärgil, peaks liikmesriikidel olema võimalik põhjendada andmete asukoha nõudeid üksnes avaliku julgeolekuga.

(19)

Avaliku julgeoleku mõiste ELi toimimise lepingu artikli 52 tähenduses ja Euroopa Kohtu tõlgenduses hõlmab nii liikmesriigi sise- kui ka välisjulgeolekut ning ühiskonna turvalisuse küsimusi, selleks, et eelkõige hõlbustada kuritegude uurimist, avastamist ja nende eest vastutusele võtmist. Selle puhul eeldatakse tõelise ja piisavalt tõsise ohu olemasolu, mis mõjutab ühte ühiskonna põhihuvi, nagu oht institutsioonide ja oluliste avalike teenuste toimimisele ning elanike ellujäämisele, samuti välissuhete või rahvaste rahumeelse kooseksisteerimise tõsise häirimise oht või oht sõjalistele huvidele. Vastavalt proportsionaalsuse põhimõttele peaksid andmete asukoha nõuded, mis on põhjendatud avaliku julgeoleku kaalutlustega, sobima taotletava eesmärgi saavutamiseks ega tohiks minna selle eesmärgi saavutamiseks vajalikust kaugemale.

(20)

Isikustamata andmete vaba piiriülese liikumise põhimõtte tulemusliku rakendamise tagamiseks ja selleks, et vältida uusi takistusi siseturu sujuvale toimimisele, peaksid liikmesriigid edastama komisjonile viivitamata mis tahes õigusakti eelnõu, millega nähakse ette uus andmete asukoha nõue või muudetakse kehtivat andmete asukoha nõuet. Need õigusaktide eelnõud tuleks esitada ja neid hinnata kooskõlas Euroopa Parlamendi ja nõukogu direktiiviga (EL) 2015/1535 (8).

(21)

Lisaks sellele peaksid liikmesriigid võimalike olemasolevate takistuste kõrvaldamiseks 24 kuu pikkuse üleminekuperioodi jooksul alates käesoleva määruse kohaldamise alguskuupäevast vaatama läbi kehtivad üldist laadi õigus- ja haldusnormid, millega nähakse ette andmete asukoha nõuded, ja edastama komisjonile koos põhjendusega iga sellise andmete asukoha nõude, mis on nende arvates käesoleva määrusega kooskõlas. See peaks võimaldama komisjonil uurida andmete asukoha allesjäänud nõuete kooskõla määrusega. Komisjonil peaks olema võimalik esitada asjakohasel juhul asjaomasele liikmesriigile märkusi. Sellised märkused võivad sisaldada soovitust andmete asukoha nõuet muuta või see kehtetuks tunnistada.

(22)

Käesoleva määrusega kehtestatud kohustust edastada komisjonile kehtivad andmete asukoha nõuded ja õigusaktide eelnõud tuleks kohaldada õigusnormidega kehtestatud andmete asukoha nõuete ja üldist laadi õigusaktide eelnõude suhtes, mitte konkreetsele füüsilisele või juriidilisele isikule adresseeritud otsuste suhtes.

(23)

Selleks et tagada liikmesriikides üldist laadi õigus- või haldusnormidega ette nähtud andmete asukoha nõuete läbipaistvus füüsilistele ja juriidilistele isikutele, nagu teenuseosutajad ja andmetöötlusteenuste kasutajad, peaksid liikmesriigid avaldama vastavaid nõudeid käsitleva teabe liikmesriigi ühtses veebipõhises teabepunktis ja seda teavet regulaarselt ajakohastama. Teise võimalusena peaksid liikmesriigid esitama ajakohase teabe selliste nõuete kohta muu liidu õigusakti alusel loodud kesksele teabepunktile. Selleks et füüsilisi ja juriidilisi isikuid andmete asukoha nõuetest üle liidu nõuetekohaselt teavitada, peaksid liikmesriigid teatama komisjonile sellised ühtsete teabepunktide aadressid. Komisjon peaks selle teabe avaldama oma veebisaidil koos regulaarselt ajakohastatava koondloeteluga kõikidest liikmesriikides kehtivatest andmete asukoha nõuetest, sealhulgas kokkuvõtliku teabe nende nõuete kohta.

(24)

Andmete asukoha nõuded tulenevad sageli usaldamatusest andmete piiriülese töötlemise vastu, mis on tingitud andmete eeldatavast kättesaadamatusest liikmesriikide pädevatele asutustele, näiteks inspekteerimiseks või auditeerimiseks õigusliku kontrolli või järelevalve eesmärgil. Kõnealust usaldamatust ei saa kõrvaldada üksnes selliste lepingutingimuste kehtetuks tunnistamisega, millega keelatakse pädevate asutuste seaduslik juurdepääs andmetele nende ametikohustuste täitmiseks. Seetõttu tuleks käesolevas määruses selgesti sätestada, et see ei mõjuta pädevate asutuste volitusi andmetele juurdepääsu taotlemisel või saamisel liidu või liikmesriigi õiguse kohaselt ning juurdepääsu võimaldamisest ei saa keelduda põhjusel, et andmeid töödeldakse teises liikmesriigis. Pädevad asutused võivad andmetele juurdepääsu toetamiseks kehtestada toimimisnõudeid, näiteks nõue säilitada süsteemikirjeldusi asjaomases liikmesriigis.

(25)

Füüsilised ja juriidilised isikud, kellel on kohustus esitada pädevatele asutustele andmeid, võivad selle kohustuse täitmiseks anda ja tagada pädevatele asutustele toimiva ja õigeaegse elektroonilise juurdepääsu nimetatud andmetele, olenemata liikmesriigist, kelle territooriumil andmeid töödeldakse. Sellise juurdepääsu võib tagada konkreetsete tingimuste lisamisega juurdepääsu andma kohustatud füüsilise või juriidilise isiku ja teenuseosutaja vahel sõlmitud lepingutesse.

(26)

Kui füüsiline või juriidiline isik on kohustatud andmeid esitama, aga ei täida seda kohustust, peaks pädeval asutusel olema võimalus taotleda abi teiste liikmesriikide pädevatelt asutustelt. Sellistel juhtudel peaksid pädevad asutused kasutama liidu õiguses või rahvusvahelistes kokkulepetes ette nähtud spetsiifilisi koostöövahendeid, sõltuvalt asjaomase juhtumi valdkonnast; näiteks politseikoostöö valdkonnas tuleks lähtuda kriminaal- või tsiviilõigusest, haldusasjades aga nõukogu raamotsusest 2006/960/JHA, (9) Euroopa Parlamendi ja nõukogu direktiivist 2014/41/EL, (10) Euroopa Nõukogu küberkuritegevuse konventsioonist, (11) nõukogu määrusest (EÜ) nr 1206/2001, (12) nõukogu direktiivist 2006/112/EÜ (13) ja nõukogu määrusest (EL) nr 904/2010 (14). Kui sellised spetsiifilised koostöömehhanismid puuduvad, peaksid pädevad asutused tegema üksteisega koostööd, et tagada juurdepääs soovitud andmetele määratud ühtsete kontaktpunktide kaudu.

(27)

Kui abitaotlus hõlmab taotluse saanud asutuse juurdepääsu saamist füüsilise või juriidilise isiku ruumidesse, sealhulgas andmete töötlemise seadmetele, peab selline juurdepääs olema kooskõlas liidu õigusega või liikmesriigi menetlusõigusega, sealhulgas nõudega saada kohtu eelnev luba.

(28)

Käesolev määrus ei tohiks võimaldada kasutajatel püüda kõrvale hoida liikmesriigi õiguse kohaldamisest. Seepärast tuleks sätestada, et liikmesriigid kehtestavad tõhusad, proportsionaalsed ja hoiatavad karistused nendele kasutajatele, kes takistavad pädevate asutuste juurdepääsu oma andmetele, mis on vajalikud pädevate asutuste ametikohustuste täitmiseks liidu ja liikmesriigi õiguse alusel. Kiireloomulistel juhtudel, kui kasutaja kuritarvitab oma õigust, peaks liikmesriikidel olema võimalik kehtestada rangelt proportsionaalseid ajutisi meetmeid. Ajutised meetmed, mis nõuavad andmete asukoha muutmist pikemaks ajaks kui 180 päeva pärast seda, kui andmete asukohta muudetakse, kalduvad andmete vaba liikumise põhimõttest märkimisväärse aja jooksul kõrvale ning neist tuleks seepärast teavitada komisjoni, et uurida nende vastavust liidu õigusele.

(29)

Andmete takistamatu portimise võimalus on peamine tegur, mis tagab kasutajatele valikuvõimaluse ja reaalse konkurentsi andmetöötlusteenuste turul. Andmete piiriülese portimise tegelikud või kujuteldavad raskused vähendavad ka kutseliste kasutajate usaldust piiriüleste pakkumiste vastuvõtmise ja seega siseturu vastu. Kui üksiktarbijatele on kehtiv liidu õigus kasulik, siis äris ja kutsealases tegevuses ei ole kasutajatel teenuseosutajate vahetamine lihtne. Kogu liidus kehtivad ühtsed tehnilised nõuded, nii tehnilist ühtlustamist, vastastikust tunnustamist kui ka vabatahtlikku ühtlustamist puudutavad nõuded aitavad kaasa ka andmetöötlusteenuste konkurentsivõimelise siseturu väljakujundamisele.

(30)

Konkurentsitingimuste igakülgseks ärakasutamiseks peaks kutselistel kasutajatel olema võimalus teha teadlikke valikuid ja kergesti võrrelda mitmesuguste siseturul pakutavate andmetöötlusteenuste eri komponente, sealhulgas lepingutingimusi, mis käsitlevad andmete portimist lepingu lõpetamise korral. Arvestamaks turu innovaatiliste võimalustega ning teenuseosutajate ja andmete kutseliste kasutajate kogemuste ja oskusteabega, peaksid turuosalised määrama andmete portimise üksikasjad ja käitamisnõuded kindlaks iseregulatsiooni teel, mida komisjon peaks soodustama, hõlbustama ja seirama liidu tegevusjuhenditega, mis võivad sisaldada lepingute näidistingimusi.

(31)

Selleks et sellised tegevusjuhendid oleksid tõhusad ja muudaksid teenuseosutajate vahetamise ja andmete portimise lihtsamaks, peaksid need olema põhjalikud ja käsitlema vähemalt põhiaspekte, mis on andmete portimisel olulised, nagu andmete varundamise protsessid ja asukoht; olemasolevad andmevormingud ja -kandjad; nõutav IT-konfiguratsioon ja võrgu minimaalne ribalaius; portimisprotsessi käivitamiseks nõutav aeg ja aeg, mille jooksul andmed on portimiseks kättesaadavad; ning tagatised, mis võimaldavad teenuseosutaja pankroti korral andmetele juurde pääseda. Tegevusjuhendites tuleks ka selgitada, et sõltumine ühest teenuseosutajast ei ole vastuvõetav äritava, ning nendes tuleks ette näha usaldust suurendava tehnoloogia kasutamine ja neid tuleks pidevalt ajakohastada, et pidada sammu tehnoloogia arenguga. Komisjon peaks tagama, et kogu protsessi käigus konsulteeritakse kõikide asjaomaste sidusrühmade, sealhulgas väikeste ja keskmise suurusega ettevõtjate (VKEd) ning idufirmade ühendustega, kasutajate ja pilveteenuse osutajatega. Komisjon peaks hindama selliste tegevusjuhendite väljatöötamist ja rakendamise tõhusust.

(32)

Kui ühe liikmesriigi pädev asutus taotleb teise liikmesriigi abi, et saada andmetele käesoleva määruse alusel juurdepääsu, peaks ta määratud ühtse kontaktpunkti kaudu esitama selle liikmesriigi määratud ühtsele kontaktpunktile nõuetekohaselt põhjendatud taotluse, mis peaks sisaldama kirjalikku selgitust andmetele juurdepääsu saamise põhjuste ja õigusliku aluse kohta. Abitaotluse saanud liikmesriigi määratud ühtne kontaktpunkt peaks lihtsustama taotluse edastamist taotluse saanud liikmesriigi asjaomasele pädevale asutusele. Tulemusliku koostöö tagamiseks peaks taotluse saanud asutus osutama põhjendamatu viivituseta kõnealusele taotlusele vastavat abi või teavitama raskustest abitaotluse rahuldamisel või põhjendama taotluse tagasilükkamist.

(33)

Usalduse suurendamine andmete turvalise piiriülese töötlemise vastu peaks vähendama turuosaliste ja avaliku sektori kalduvust kasutada andmete asukohta andmete turvalisuse tagatisena. Samuti peaks see parandama ettevõtjate õiguskindlust seoses kohaldatavate turvanõuete järgimisega andmetöötlusteenuste tellimisel teenuseosutajatelt, sealhulgas teiste liikmesriikide teenuseosutajatelt.

(34)

Kõik andmete töötlemisega seotud turvanõuded, mida kohaldatakse põhjendatud ja proportsionaalsel viisil liidu või liikmesriigi õiguse alusel, mis on kooskõlas andmesubjektiks oleva füüsilise isiku elukoha või juriidilise isiku tegevuskoha liikmesriigis kehtiva liidu õigusega, peaksid olema jätkuvalt kohaldatavad kõnealuste andmete töötlemise suhtes teises liikmesriigis. Nimetatud füüsilised või juriidilised isikud peaksid olema suutelised täitma selliseid nõudeid ise või teenuseosutajatega sõlmitud lepingute tingimuste kaudu.

(35)

Liikmesriigi tasandil kehtestatud turvanõuded peaksid olema vajalikud ja proportsionaalsed andmete töötlemise turvariskidega selle liikmesriigi õiguse kohaldamisalas, kus kõnealused nõuded on kehtestatud.

(36)

Euroopa Parlamendi ja nõukogu direktiivis (EL) 2016/1148 (15) on sätestatud õiguslikud meetmed küberturvalisuse üldise taseme tõstmiseks liidus. Andmetöötlusteenused on ühed nimetatud direktiiviga hõlmatud digitaalsetest teenustest. Kõnealuse direktiivi kohaselt on liikmesriigid kohustatud tagama, et digitaalse teenuse osutajad teevad kindlaks enda kasutatavatele võrgu- ja infosüsteemidele avalduvad riskid ning võtavad nende maandamiseks asjakohased ja proportsionaalsed tehnilised ja korralduslikud meetmed. Selliste meetmetega peaks olema võimalik tagada asjaomasele riskile vastav turvatase ning neis tuleks võtta arvesse süsteemide ja rajatiste turvalisust; intsidentide käsitlemist; talitluspidevuse haldamist; seiret, auditeerimist ja katsetamist; ning vastavust rahvusvahelistele standarditele. Neid elemente täpsustab komisjon kõnealuse direktiivi alusel rakendusaktidega.

(37)

Komisjon peaks esitama käesoleva määruse rakendamise kohta aruande eelkõige selleks, et teha kindlaks, kas seda on vaja muuta seoses tehnoloogia arengu ja turutingimuste muutumisega. Kõnealuses aruandes tuleks eelkõige hinnata käesolevat määrust, eriti selle kohaldamist selliste andmekogude suhtes, mis sisaldavad nii isikuandmeid kui ka isikustamata andmeid, ning samuti tuleks hinnata avaliku julgeoleku erandi rakendamist. Komisjon peaks enne käesoleva määruse kohaldamise algust avaldama ka informatiivsed suunised selle kohta, kuidas käidelda andmekogusid, mis sisaldavad nii isikuandmeid kui ka isikustamata andmeid, et ettevõtjad, sealhulgas VKEd, mõistaksid paremini käesoleva määruse ja määruse (EL) 2016/679 koostoimet ning et tagada mõlema määruse täitmine.

(38)

Käesolevas määruses austatakse põhiõigusi ja järgitakse eelkõige Euroopa Liidu põhiõiguste hartas tunnustatud põhimõtteid ning seda määrust tuleks tõlgendada ja kohaldada kooskõlas nende õiguste ja põhimõtetega, sealhulgas õigus isikuandmete kaitsele, sõna- ja teabevabadus ning ettevõtlusvabadus.

(39)

Kuna käesoleva määruse eesmärki, milleks on muude andmete kui isikuandmete vaba liikumine liidus, ei suuda liikmesriigid piisavalt saavutada, küll aga saab seda meetme ulatuse ja toime tõttu paremini saavutada liidu tasandil, võib liit võtta meetmeid kooskõlas ELi lepingu artiklis 5 sätestatud subsidiaarsuse põhimõttega. Kõnealuses artiklis sätestatud proportsionaalsuse põhimõtte kohaselt ei lähe käesolev määrus nimetatud eesmärgi saavutamiseks vajalikust kaugemale,