EUROOPAN KOMISSIO

Bryssel 13.9.2017

COM(2017) 495 final

2017/0228(COD)

Ehdotus

EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa

{SWD(2017) 304 final}
{SWD(2017) 305 final}

PERUSTELUT

1.EHDOTUKSEN TAUSTA

•Ehdotuksen perustelut ja tavoitteet

Uudet digitaaliteknologiat, kuten pilvipalvelut, massadata, tekoäly ja esineiden internet on suunniteltu maksimoimaan tehokkuus, mahdollistamaan mittakaavaetuja ja kehittämään uusia palveluja. Soveltamalla esimerkiksi koneoppimista 1 ne tarjoavat käyttäjille sellaisia etuja kuin joustavuus, tuottavuus, käyttöönoton nopeus ja riippumattomuus.

Vuonna 2017 annetussa tiedonannossa ”Euroopan datavetoisen talouden rakentaminen” 2 EU:n datamarkkinoiden arvoksi arvioitiin vuonna 2016 melkein 60 miljardia euroa, mikä merkitsee 9,5 prosentin kasvua vuoteen 2015 verrattuna. Erään tutkimuksen mukaan EU:n datamarkkinoiden arvo voisi olla jopa yli 106 miljardia euroa vuonna 2020 3 .

Tämän potentiaalin käyttöön saamiseksi ehdotuksella pyritään käsittelemään seuraavia aiheita:

·Lisätään sisämarkkinoilla muiden kuin henkilötietojen rajatylittävää liikkuvuutta, jota säilytyspaikkarajoitukset tai markkinoiden oikeudellinen epävarmuus nyt rajoittavat useissa jäsenvaltioissa.

·Varmistetaan, että toimivaltaisilla viranomaisilla oleva toimivalta pyytää ja saada pääsy tietoihin tarkastusta ja tilintarkastusta sekä muuta sääntelyn valvontaa varten säilyy muuttumattomana.

·Tehdään tietojen tallennus- tai muiden käsittelypalvelujen ammattimaisille käyttäjille helpommaksi vaihtaa palveluntarjoajaa tai siirtää tietoa aiheuttamatta kuitenkaan liiallista rasitetta palveluntarjoajille tai vääristämättä markkinoita.

Digitaalisten sisämarkkinoiden strategian täytäntöönpanon väliarvioinnissa 4 ilmoitettiin lainsäädäntöehdotuksesta, joka koskee tietojen vapaata liikkuvuutta koskevan yhteistyön EU-puitteita.

Aloitteen yleisenä tavoitteena on saavuttaa kilpailukykyisemmät ja yhdentyneemmät sisämarkkinat tietojen tallennus- tai muille käsittelypalveluille ja -toiminnoille käsittelemällä edellä lueteltuja aiheita. Tässä ehdotuksessa tietojen tallennusta tai muuta käsittelyä käytetään laajassa merkityksessä kattamaan kaikentyyppisten tietojärjestelmien käyttö, olivat ne sitten käyttäjän tiloissa tai ulkoistettu tietojen tallennus- tai muuta käsittelyä tarjoavalle palveluntarjoajalle 5 .

•Yhdenmukaisuus muiden alaa koskevien politiikkojen säännösten kanssa

Ehdotuksella pyritään toteuttamaan tavoitteita, jotka on asetettu digitaalisten sisämarkkinoiden strategiassa 6 , sen tuoreessa väliarvioinnissa sekä nykyisen Euroopan komission poliittisissa suuntaviivoissa ”Uusi alku Euroopalle: Työllisyyden, kasvun, oikeudenmukaisuuden ja demokraattisen muutoksen ohjelma” 7 .

Tässä ehdotuksessa keskitytään tietojen isännöinti- (tallennus) ja muiden käsittelypalvelujen tarjoamiseen, ja se on yhdenmukainen nykyisten lainsäädäntövälineiden kanssa. Aloitteen tavoitteena on luoda toimivat EU:n sisämarkkinat tällaisille palveluille. Näin ollen se seuraa johdonmukaisesti sähköisestä kaupankäynnistä annettua direktiiviä 8 , jonka tavoitteena on laajojen tietoyhteiskunnan palvelujen kattavat ja tehokkaat EU:n sisämarkkinat, ja palveludirektiiviä 9 , joka edistää EU:n palveluiden sisämarkkinoiden syventämistä useilla eri aloilla.

Joukko keskeisiä aloja on nimenomaisesti rajattu kyseisen lainsäädännön (esim. sähköisestä kaupankäynnistä annettu direktiivi ja palveludirektiivi) soveltamisalan ulkopuolelle, jolloin vain perussopimuksen yleisiä määräyksiä sovellettaisiin tietojen isännöinti- (tallennus) ja muihin käsittelypalveluihin kokonaisuudessaan. Näiden palvelujen nykyisiä esteitä ei voida kuitenkaan tehokkaasti poistaa ainoastaan soveltamalla suoraan Euroopan unionin toiminnasta tehdyn sopimuksen (SEUT) 49 ja 56 artiklaa ottaen huomioon, että jäsenvaltioihin kohdistuvien rikkomismenettelyjen tapauskohtainen käsittely olisi erittäin hankalaa kansallisille ja unionin toimielimille ja toisaalta useiden esteiden poistaminen edellyttää erityisiä sääntöjä julkisten ja myös yksityisten esteiden selvittämistä ja viranomaisyhteistyön käynnistämistä. Lisäksi seurauksena oleva oikeusvarmuuden kohentuminen näyttää olevan erityisen tärkeää uusien teknologioiden käyttäjille 10 .

Tämä ehdotus koskee muita sähköisiä tietoja kuin henkilötietoja, joten se ei vaikuta unionin tietosuojaa koskevaan lainsäädäntöön, erityisesti asetukseen (EU) 2016/679 (yleinen tietosuoja-asetus) 11 , direktiiviin 2016/680 (poliisidirektiivi) 12 eikä direktiiviin 2002/58/EY (sähköisen viestinnän tietosuojadirektiivi) 13 , joilla taataan korkeatasoinen henkilötietojen suoja ja henkilötietojen vapaa liikkuvuus unionissa. Ehdotuksella pyritään yhdessä tuon oikeudellisen kehyksen kanssa ottamaan käyttöön kattava ja johdonmukainen EU:n kehys, joka mahdollistaa tietojen vapaan liikkuvuuden sisämarkkinoilla.

Ehdotuksessa edellytetään ilmoituksen tekemistä tietojen säilytyspaikkaa koskevista toimenpide-ehdotuksista avoimuusdirektiivin 2015/1535 14 mukaisesti, jotta on mahdollista arvioida, ovatko kyseiset säilytyspaikan rajoittamiset perusteltuja.

•Yhdenmukaisuus unionin muiden politiikkojen kanssa

Kun otetaan huomioon digitaaliset sisämarkkinat, tämän aloitteen tavoitteena on vähentää kilpailukykyisen datavetoisen talouden esteitä Euroopassa. Digitaalisten sisämarkkinoiden strategian väliarvioinnista annetun tiedonannon mukaisesti komissio tutkii erikseen julkisten ja julkisesti rahoitettavien tietojen saatavuutta ja uudelleenkäyttöä, yksityisomistuksessa olevia yleishyödyllisiä tietoja sekä vastuuta dataintensiivisten tuotteiden aiheuttamissa vahinkotapauksissa 15 .

Politiikkatoimi perustuu myös Euroopan teollisuuden digitalisointia koskevaan toimenpidepakettiin, joka sisältää eurooppalaisen pilvipalvelualoitteen 16 , jonka tavoitteena on ottaa käyttöön suurikapasiteettinen pilvipalveluratkaisu tieteellisten tietojen tallentamista, jakamista ja uudelleenkäyttöä varten. Lisäksi aloite perustuu tarkistettuun Euroopan yhteentoimivuusstrategiaan 17 , jonka tavoitteena on parantaa digitaalista yhteistoimintaa eurooppalaisten julkishallintojen välillä ja jota tietojen vapaa liikkuvuus hyödyttää välittömästi. Se tukee avointa internetiä 18 koskevaa EU:n sitoumusta.

2.OIKEUSPERUSTA, TOISSIJAISUUSPERIAATE JA SUHTEELLISUUSPERIAATE

•Oikeusperusta

Tämä ehdotus kuuluu jaettuun toimivaltaan SEUT-sopimuksen 4 artiklan 2 kohdan a alakohdan mukaisesti. Sen tavoitteena on luoda kilpailukykyisemmät ja yhdentyneemmät sisämarkkinat tietojen tallennus- tai muille käsittelypalveluille varmistamalla tietojen vapaa liikkuvuus unionissa. Ehdotus sisältää säännöt, jotka koskevat tietojen säilytyspaikkaa koskevia vaatimuksia, tietojen saatavuutta toimivaltaisten viranomaisten käyttöön ja tietojen siirtämistä ammattimaisia käyttäjiä varten. Ehdotus perustuu SEUT-sopimuksen 114 artiklaan, joka on yleinen oikeusperusta tällaisten sääntöjen antamiseksi.

•Toissijaisuusperiaate

Ehdotus on Euroopan unionista tehdyn sopimuksen (SEU-sopimus) 5 artiklassa vahvistetun toissijaisuusperiaatteen mukainen. Tämän ehdotuksen tarkoituksena on varmistaa edellä mainittujen palvelujen sisämarkkinoiden, jotka eivät rajoitu vain yhden jäsenvaltion alueelle, moitteeton toiminta, eivätkä jäsenvaltiot voi saavuttaa kansallisella tasolla muiden kuin henkilötietojen vapaata liikkuvuutta unionissa, koska keskeinen ongelma on rajat ylittävä tietojen liikkuvuus.

Jäsenvaltiot voivat vähentää tietojen säilytyspaikkaa koskevien rajoitustensa määrää ja valikoimaa, mutta ne tekevät sen todennäköisesti eri laajuudessa ja eri ehdoilla tai eivät tee sitä ollenkaan.

Toisistaan poikkeavat toimintamallit johtaisivat kuitenkin sääntelyvaatimuksien moninkertaistamiseen EU:n sisämarkkinoilla sekä todellisiin lisäkustannuksiin yrityksille, erityisesti pienille ja keskisuurille yrityksille (pk-yritykset).

•Suhteellisuusperiaate

Ehdotus on SEU-sopimuksen 5 artiklassa vahvistetun suhteellisuusperiaatteen mukainen, koska siinä ei ylitetä sitä, mikä on tarpeen havaittujen ongelmien ratkaisemiseksi, ja se on oikeassa suhteessa tavoitteidensa saavuttamiseksi.

Jotta voidaan poistaa esteet muiden kuin henkilötietojen vapaalta liikkuvuudelta unionissa, kun liikkuvuutta rajoitetaan tietojen säilytyspaikkaa koskevilla vaatimuksilla, ja parantaa luottamusta rajat ylittäviin tietovirtoihin ja tietojen tallennus- ja muihin palveluihin, ehdotus tukeutuu suuresti EU:n nykyisiin välineisiin ja kehyksiin, eli avoimuusdirektiiviin tietojen säilytyspaikkaa koskevista toimenpide-ehdotuksista ilmoittamisen osalta ja erilaisiin puitteisiin, joilla varmistetaan tietojen saatavuus jäsenvaltioiden säädösperusteista valvontaa varten. Ainoastaan silloin, kun muut yhteistyömekanismit puuttuvat ja muut keinot päästä tutustumaan tietoihin on käytetty, käytetään esityksessä tarkoitettua yhteistyömekanismia kansallisten toimivaltaisten viranomaisten tietojen saatavuuteen liittyvien kysymysten käsittelemiseksi.

Ehdotetulla lähestymistavalla, joka koskee tietojen liikkumista jäsenvaltioiden rajojen yli ja palveluntarjoajien / sisäisten tietojärjestelmien välillä, pyritään tasapainottamaan EU:n sääntelyä ja jäsenvaltioiden yleistä turvallisuutta koskevia etuja sekä myös EU:n sääntelyä ja markkinoiden itsesääntelyä.

Aloitteessa kannustetaan erityisesti toimittamaan tietoa koskevia itsesääntelyyn perustuvia käytännesääntöjä tietojen tallennus- tai muiden käsittelypalvelujen käyttäjille, jotta voidaan lieventää ammattimaisilla käyttäjillä palveluntarjoajan vaihtamisessa ja tietojen siirtämisessä olevia vaikeuksia. Vaihtamista ja siirtämistä koskevat säännöt olisi lisäksi laadittava itsesääntelyn avulla parhaiden käytäntöjen määrittelemiseksi.

Ehdotuksessa mainitaan, että kansallisessa ja unionin lainsäädännössä asetetut turvallisuusvaatimukset olisi varmistettava myös silloin, kun luonnolliset henkilöt tai oikeushenkilöt ulkoistavat tietojen tallennus- tai muut käsittelypalvelut, vaikka toiseen jäsenvaltioon. Siinä mainitaan myös verkko- ja tietoturvadirektiivissä turvallisuusvaatimusten käsittelemiseksi komissiolle siirretty täytäntöönpanovalta, joka tukee myös tämän asetuksen toimintaa. Vaikka ehdotus edellyttäisi jäsenvaltioiden viranomaisten toimia ilmoitus-/tarkistusvaatimusten, avoimuusvaatimusten ja hallinnollisen yhteistyön vuoksi, ehdotuksen tarkoituksena on pitää sellaiset toimet mahdollisimman vähäisinä ja varata ne ainoastaan tärkeimpiin yhteistyötarpeisiin ja siten välttää tarpeeton hallinnollinen rasitus.

Tällä ehdotuksella saadaan aikaan selkeät puitteet, joita tukee jäsenvaltioiden välinen ja niiden kanssa tehtävä yhteistyö sekä itsesääntely, ja siten ehdotuksen tarkoituksena on parantaa oikeusvarmuutta ja lisätä luottamusta ja pysyä samalla merkityksellisenä ja tehokkaana pitkällä aikavälillä jäsenvaltioissa oleviin keskitettyihin yhteyspisteisiin perustuvan yhteistyökehyksen joustavuuden ansiosta.

Komissio aikoo perustaa asiantuntijaryhmän antamaan neuvoja tämän asetuksen soveltamisalaan kuuluvista asioista.

•Toimintatavan valinta

3.JÄLKIARVIOINTIEN, SIDOSRYHMIEN KUULEMISTEN JA VAIKUTUSTENARVIOINTIEN TULOKSET

•Sidosryhmien kuuleminen

Näytön keräämisen ensimmäisessä vaiheessa järjestettiin vuonna 2015 julkinen kuuleminen verkkoalustojen, verkkovälittäjien, data- ja pilvipalvelujen sekä vuorovaikutustalouden sääntely-ympäristöstä. Kaksi kolmasosaa vastaajista – jotka jakautuivat tasaisesti kaikkien sidosryhmien kesken, pk-yritykset mukaan luettuina – katsoi, että tietojen säilytyspaikkaa koskevat rajoitukset ovat vaikuttaneet vastaajien liiketoimintastrategioihin 19 . Tietoja kerättiin myös järjestämällä kokouksia ja tapahtumia, keskeisille sidosryhmille kohdennettuja työpajoja (esim. Cloud Select Industry Group) sekä erityisiä työpajoja tutkimusten yhteydessä.

Näytön keräämisen toinen vaihe vuoden 2016 lopusta vuoden 2017 jälkipuolelle saakka sisälsi julkisen kuulemisen, joka järjestettiin 10. tammikuuta 2017 annetun tiedonannon ”Euroopan datavetoisen talouden rakentaminen” yhteydessä. Julkiseen kuulemiseen saatujen vastausten perusteella 61,9 prosenttia sidosryhmistä uskoo, että tietojen säilyttämispaikkaa koskevat rajoitukset olisi poistettava. Suurin osa (55,3 prosenttia vastaajista) kuulemiseen osallistuneista sidosryhmistä uskoo, että lainsäädäntötoimet ovat sopivin väline perusteettomien säilyttämispaikkaa koskeviin rajoituksiin puuttumiseksi, ja useat mainitsivat nimenomaisesti asetuksen 20 . Kaikenkokoiset tietotekniset palveluntarjoajat, jotka ovat sijoittuneet EU:n sisä- ja ulkopuolelle, kannattavat eniten sääntelytoimia. Sidosryhmät huomauttivat myös tietojen säilyttämispaikkaa koskevien rajoitusten kielteisistä vaikutuksista. Sen lisäksi, että yritysten kustannukset lisääntyvät, vaikutukset kohdistuvat palvelun tarjoamiseen yksityisille tai julkisille yhteisöille (69,6 prosenttia vastanneista sidosryhmistä piti tätä vaikutusta suurena) tai mahdollisuuksiin päästä uusille markkinoille (73,9 prosenttia vastanneista sidosryhmistä piti tätä vaikutusta suurena). Kaikkia eri taustoja edustavat sidosryhmät vastasivat näihin kysymyksiin samanlaisin prosenttiosuuksin. Julkisessa verkkokuulemisessa kävi myös ilmi, että palveluntarjoajan vaihtaminen on laajalle levinnyt ongelma, koska 56,8 prosenttia vastanneista pk-yrityksistä ilmoitti kokeneensa vaikeuksia pyrkiessään vaihtamaan tarjoajaa.

Järjestelmälliseen vuoropuheluun kuuluvat kokoukset jäsenvaltioiden kanssa helpottavat haasteita koskevan yhteisymmärryksen löytämistä. Puheenjohtaja Tuskille osoitetussa kirjeessä 16 jäsenvaltiota on nimenomaisesti kehottanut antamaan lainsäädäntöehdotuksen.

Ehdotuksessa on otettu huomioon eräitä jäsenvaltioiden ja teollisuuden esittämiä huolenaiheita, erityisesti oikeusvarmuutta lisäävän tietojen monialaisen vapaan liikkuvuuden periaatteen tarve, edistyminen tietojen saatavuudessa sääntelytarkoituksiin ja sen helpottaminen, että ammattimaiset käyttäjät voivat vaihtaa palveluntarjoajaa tai siirtää tietoa, kannustamalla lisäämään sovellettavien menettelyjen ja sopimusehtojen avoimuutta asettamatta kuitenkaan erityisiä standardeja tai velvoitteita palveluntarjoajille tässä vaiheessa.

•Asiantuntijatiedon keruu ja käyttö

Tarkasteltaessa tietojen liikkuvuuden eri näkökulmia, muun muassa tietojen säilytyspaikkaa koskevia vaatimuksia 21 , palveluntarjoajien vaihtamista / tietojen siirtämistä 22 ja tietoturvaa 23 , on käytetty oikeudellisia ja taloudellisia tutkimuksia. Lisätutkimuksia on tilattu pilvipalvelujen vaikutuksista 24 ja käytöstä 25 sekä Euroopan datamarkkinoista 26 . Yhteis- tai itsesääntelyä pilvipalvelujen alalla on myös tutkittu 27 . Lisäksi komissio tukeutui markkinakatsausten ja tilastojen kaltaisiin ulkoisiin lähteisiin (esim. Eurostat).

•Vaikutustenarviointi

Vaikutustenarvioinnissa todettiin, että paras vaihtoehto olisi alavaihtoehto 2a. Sillä varmistetaan, että nykyiset perusteettomat säilyttämispaikkarajoitukset tosiasiallisesti poistetaan ja estetään uusien syntyminen selkeällä oikeudellisella periaatteella, johon yhdistetään arvioinnit, ilmoitukset ja avoimuus, ja samalla lisätään oikeusvarmuutta ja luottamusta markkinoihin. Jäsenvaltioiden viranomaisille aiheutuva rasite olisi vähäinen, noin 33 000 euroa vuosittain henkilöresurssikustannuksina keskitettyjen yhteyspisteiden ylläpidosta ja 385–1 925 euroa vuodessa ilmoitusten valmistelusta.

•Sääntelyn tila ja yksinkertaistaminen

•Perusoikeudet

4.TALOUSARVIOVAIKUTUKSET

Jäsenvaltioiden viranomaisille aiheutuu lievähkö hallinnollinen rasite, kun ne joutuvat jakamaan henkilöstöresursseja jäsenvaltioiden väliseen yhteistyöhön keskitetyissä asiointipisteissä, ja siitä, kun ne panevat arviointeja, ilmoituksia ja avoimuutta koskevat säännökset täytäntöön.

5.LISÄTIEDOT

•Täytäntöönpanosuunnitelmat sekä seuranta-, arviointi- ja raportointijärjestelyt

Kattava arviointi tehdään viiden vuoden kuluttua siitä, kun näitä sääntöjä aletaan soveltaa, jotta voidaan arvioida niiden tehokkuutta ja oikeasuhteisuutta. Arviointi toteutetaan komission paremman sääntelyn suuntaviivojen mukaisesti.

Siinä on erityisesti tarkasteltava, onko asetus auttanut vähentämään tietojen säilyttämispaikkarajoitusten määrää ja laajuutta ja lisäämään oikeusvarmuutta ja avoimuutta jäljellä olevien (perusteltujen ja oikeasuhteisten) vaatimusten osalta. Arvioinnissa on myös arvioitava, onko aloitteella onnistuttu parantamaan luottamusta muiden kuin henkilötietojen vapaaseen liikkuvuuteen, saavatko jäsenvaltiot kohtalaisen helposti ulkomailla tallennettuja tietoja säädösperusteista valvontaa varten ja onko asetus johtanut avoimuuden parantumiseen tietojen siirtämisen edellytysten osalta.

Keskitettyjen asiointipisteiden on tarkoitus toimia arvokkaina tietolähteinä lainsäädännön jälkiarviointivaiheessa.

Edistystä näillä aloilla mitataan erityisindikaattoreilla (joita ehdotetaan vaikutustenarvioinnissa). Lisäksi on tarkoitus käyttää Eurostatin tietoja ja digitaalitalouden ja -yhteiskunnan indeksiä (DESI). Eurobarometrin erikoisnumero on myös yksi mahdollisuus.

•Ehdotukseen sisältyvien säännösten yksityiskohtaiset selitykset

Ehdotuksen 4 artiklassa säädetään muiden kuin henkilötietojen vapaan liikkuvuuden periaatteesta unionissa. Tämä periaate kieltää tietojen säilytyspaikkaa koskevat vaatimukset, elleivät ne ole perusteltuja yleiseen turvallisuuteen liittyvistä syistä. Lisäksi periaate edellyttää olemassa olevien vaatimusten uudelleentarkastelua, vanhojen tai uusien vaatimusten ilmoittamista komissiolle ja avoimuuteen liittyviä toimenpiteitä.

Ehdotuksen 5 artiklalla pyritään varmistamaan, että tiedot ovat toimivaltaisten viranomaisten saatavilla säädösperusteista valvontaa varten. Tästä syystä käyttäjät eivät saa kieltäytyä antamasta tietoja toimivaltaisille viranomaisille sillä perusteella, että tiedot on tallennettu tai niitä on muulla tavoin käsitelty toisessa jäsenvaltiossa. Jos toimivaltainen viranomainen on käyttänyt kaikki keinot saadakseen pääsyn tietoihin, asianomainen toimivaltainen viranomainen voi pyytää apua toisen jäsenvaltion viranomaiselta, jos tiettyä yhteistyömekanismia ei ole olemassa.

Ehdotuksen 6 artiklassa todetaan, että komissio kannustaa palveluntarjoajia ja ammattimaisia käyttäjiä kehittämään ja ottamaan käyttöön käytännesääntöjä, joissa täsmennetään tietojen siirtämisen edellytykset (myös tekniset ja toiminnalliset vaatimukset), jotka palveluntarjoajien olisi asetettava ammattimaisten käyttäjiensä saataville riittävän yksityiskohtaisella, selkeällä ja avoimella tavalla ennen sopimuksen tekemistä. Komissio arvioi tällaisten käytännesääntöjen kehittämistä ja tehokasta täytäntöönpanoa viimeistään kahden vuoden kuluttua tämän asetuksen soveltamisen alkamisesta.

Asetusehdotuksen 7 artiklan mukaan kunkin jäsenvaltion on nimettävä keskitetty yhteyspiste, joka pitää muiden jäsenvaltioiden yhteyspisteisiin ja komissioon yhteyttä tämän asetuksen soveltamisen osalta. Lisäksi 7 artiklassa säädetään menettelyllisistä edellytyksistä, joita sovelletaan 5 artiklan mukaiseen avunantoon toimivaltaisten viranomaisten välillä.

Ehdotuksen 8 artiklan mukaan komissiota avustaa tietojen vapaata liikkuvuutta käsittelevä komitea, joka on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

Asetusehdotuksen 9 artiklassa säädetään, että asetusta tarkastellaan uudelleen viiden vuoden kuluttua sen soveltamisen alkamisesta.

Ehdotuksen 10 artiklassa säädetään, että asetusta sovelletaan kuuden kuukauden kuluttua sen julkaisemisesta.

2017/0228 (COD)

Ehdotus

EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS

muiden kuin henkilötietojen vapaan liikkuvuuden kehyksestä Euroopan unionissa

EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka

ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 114 artiklan,

ottavat huomioon Euroopan komission ehdotuksen,

sen jälkeen kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,

ottavat huomioon Euroopan talous- ja sosiaalikomitean lausunnon 28 ,

ottavat huomioon alueiden komitean lausunnon 29 ,

noudattavat tavallista lainsäätämisjärjestystä,

sekä katsovat seuraavaa:

(1)Talouden digitalisoituminen kiihtyy. Tieto- ja viestintätekniikka ei ole enää erillinen toimiala vaan kaikkien nykyaikaisten innovatiivisten talousjärjestelmien ja yhteiskuntien perusta. Näiden järjestelmien keskiössä on sähköinen tieto, joka analysoituna tai palveluihin ja tuotteisiin yhdistettynä voi olla erittäin arvokasta.

(2)Tiedon arvoketjut perustuvat erilaisiin datatoimintoihin: tietojen luominen ja kerääminen; tietojen yhdistäminen ja järjestely; tietojen tallentaminen ja käsittely; tietojen analysointi, markkinointi ja jakelu; tietojen käyttö ja uudelleenkäyttö. Tietojen tallentamisen ja muunlaisen käsittelyn tehokkuus ja toimivuus on keskeinen osatekijä tiedon arvoketjuissa. Tällaista tehokasta ja toimivaa toimintaa ja datatalouden kehittämistä unionissa haittaavat kuitenkin erityisesti kahdenlaiset tietojen liikkuvuuden ja sisämarkkinoiden esteet.

(3)Tietojen tallentamis- ja muunlaisiin käsittelypalveluihin sovelletaan Euroopan unionin toiminnasta tehdyn sopimuksen mukaista sijoittautumisvapautta ja palvelujen tarjoamisen vapautta. Näiden palvelujen tarjoamista kuitenkin haittaavat tai toisinaan sen estävät kansalliset vaatimukset, joiden mukaan tiedot on säilytettävä tietyllä alueella.

(4)Tällaiset tietojen tallennus- ja muunlaisten käsittelypalvelujen vapaan liikkuvuuden ja näiden palvelujen tarjoajien sijoittautumisoikeuden esteet perustuvat jäsenvaltioiden kansallisiin lakeihin, joiden mukaan tietoja on säilytettävä tietyllä maantieteellisellä alueella niiden tallennusta tai muunlaista käsittelyä varten. Muilla säännöillä tai hallintokäytännöillä on vastaava vaikutus, kun niissä asetetaan erityisvaatimuksia, joiden vuoksi tietojen tallennus tai muunlainen käsittely tietyn maantieteellisen alueen ulkopuolella unionissa on vaikeampaa, jos esimerkiksi vaaditaan käyttämään teknisiä välineitä, jotka ovat sertifioituja tai hyväksyttyjä tietyssä jäsenvaltiossa. Oikeudellinen epävarmuus tietojen säilytyspaikkaa koskevien laillisten ja laittomien vaatimusten laajuudesta rajoittaa vielä lisää markkinatoimijoiden ja julkisen sektorin valinnanvaraa tietojen tallentamisen tai muunlaisen käsittelyn sijaintipaikan suhteen.

(5)Tietojen liikkuvuutta Euroopan unionissa estävät samaan aikaan myös yksityiset rajoitukset: oikeudelliset, sopimukselliset tai tekniset seikat ovat haittana tai esteenä, kun tiedon tallentamis- tai muiden käsittelypalveluiden käyttäjät siirtävät tietonsa palveluntarjoajalta toiselle tai takaisin omaan tietotekniseen järjestelmäänsä, etenkin kun niiden sopimus palveluntarjoajan kanssa päättyy.

(6)Oikeusvarmuuden vuoksi ja koska on tarpeen luoda tasapuoliset toimintaedellytykset unionissa, yhdenmukaisten sääntöjen asettaminen kaikille markkinatoimijoille on avaintekijä sisämarkkinoiden toiminnassa. Jotta voidaan poistaa kaupan esteet ja kilpailun vääristymät, jotka johtuvat kansallisten lainsäädäntöjen eroista, sekä estää muiden mahdollisten kaupan esteiden ja merkittävien kilpailun vääristymien ilmaantuminen, on tarpeen vahvistaa kaikissa jäsenvaltioissa sovellettavat yhdenmukaiset säännöt.

(7)Jotta voidaan luoda puitteet muiden kuin henkilötietojen vapaalle liikkuvuudelle unionissa ja tarjota perusta datatalouden kehitykselle ja tehostaa Euroopan elinkeinoelämän kilpailukykyä, on tarpeen vahvistaa selkeät, kattavat ja ennustettavat oikeudelliset puitteet muiden kuin henkilötietojen tallentamiselle tai muulle käsittelylle sisämarkkinoilla. Periaatteisiin pohjautuvalla toimintatavalla, jossa säädetään jäsenvaltioiden yhteistyöstä ja itsesääntelystä, pitäisi varmistaa riittävän joustavat puitteet, joissa voidaan ottaa huomioon käyttäjien, palveluntarjoajien ja kansallisten viranomaisten muuttuvat tarpeet unionissa. Jotta vältetään päällekkäisyydet nykyisten järjestelyiden kanssa ja sekä jäsenvaltioille että yrityksille aiheutuvan rasituksen lisääminen, ei pitäisi vahvistaa yksityiskohtaisia teknisiä sääntöjä.

(8)Tätä asetusta olisi sovellettava sellaisiin luonnollisiin tai oikeushenkilöihin, jotka tarjoavat tiedon tallennus- tai muita käsittelypalveluita unionissa oleskeleville tai unioniin sijoittautuneille käyttäjille, ja myös niihin, jotka tarjoavat palveluita unionissa ilman unionissa sijaitsevaa toimipaikkaa.

(9)Tällä asetuksella ei saisi vaikuttaa luonnollisten henkilöiden suojelua henkilötietojen käsittelyssä koskeviin oikeudellisiin puitteisiin, erityisesti asetukseen (EU) 2016/679 30 , direktiiviin (EU) 2016/680 31 ja direktiiviin 2002/58/EY 32 .

(10)Asetuksen (EU) 2016/679 mukaisesti jäsenvaltiot eivät voi rajoittaa eivätkä kieltää henkilötietojen vapaata liikkuvuutta unionin sisällä syistä, jotka liittyvät luonnollisten henkilöiden suojeluun henkilötietojen käsittelyssä. Tässä asetuksessa vahvistetaan sama vapaan liikkuvuuden periaate unionissa muiden kuin henkilötietojen osalta lukuun ottamatta tapauksia, joissa rajoitus tai kielto on perusteltu turvallisuussyistä.

(11)Tätä asetusta pitäisi soveltaa tietojen tallentamiseen tai käsittelyyn laajassa merkityksessä, johon kuuluu kaikentyyppisten tietoteknisten järjestelmien käyttö, riippumatta siitä, ovatko ne käyttäjän tiloissa tai onko ne ulkoistettu tietojen tallennusta tai muuta käsittelyä tarjoavalle palveluntarjoajalle. Sen pitäisi kattaa eri tasoinen tietojen käsittely tietojen tallentamisesta (infrastruktuuripalvelu – IaasS), tietojen käsittelyyn eri alustoilla (alustapalvelu – PaaS) tai eri sovelluksissa (ohjelmistopalvelu – SaaS). Näiden eri tyyppisten palveluiden pitäisi kuulua tämän asetuksen soveltamisalaan, ellei tietojen tallentaminen tai muu käsittely ole pelkästään jonkin muun palvelun lisäpalvelu, kuten markkinapaikan tarjoaminen verkossa palveluntarjoajien sekä kuluttajien tai yrityskäyttäjien välisenä välittäjänä.

(12)Tietojen säilytyspaikkaa koskevat vaatimukset muodostavat selkeän esteen tietojen tallentamis- tai muiden käsittelypalveluiden tarjonnalle unionissa ja sisämarkkinoilla. Tämän vuoksi ne olisi kiellettävä, elleivät ne ole perusteltuja yleisen turvallisuuden perustella, sellaisena kuin se määritellään unionin lainsäädännössä, erityisesti Euroopan unionin toiminnasta tehdyn sopimuksen 52 artiklassa, ja edellyttäen, että ne ovat Euroopan unionista tehdyn sopimuksen 5 artiklaan kirjatun suhteellisuusperiaatteen vaatimusten mukaisia. Jotta voidaan panna täytäntöön muiden kuin henkilötietojen rajatylittävää vapaata liikkuvuutta koskeva periaate, varmistaa tietojen säilytyspaikkaa koskevien nykyisten vaatimusten poistaminen ja mahdollistaa toiminnallisista syistä useissa paikoissa EU:ssa tapahtuva tietojen tallentaminen tai muu käsittely ja koska tässä asetuksessa säädetään toimenpiteistä, joilla varmistetaan tietojen saatavuus säädösperusteista valvontaa varten, jäsenvaltioiden ei pitäisi voida vedota muihin perusteisiin kuin yleiseen turvallisuuteen.

(13)Jotta voidaan varmistaa muiden kuin henkilötietojen rajatylittävää vapaata liikkuvuutta koskevan periaatteen tehokas täytäntöönpano ja estää uusien esteiden syntyminen sisämarkkinoiden joustavalle toiminnalle, jäsenvaltioiden olisi ilmoitettava komissiolle kaikista uusista säädösesityksistä, joihin sisältyy uusia tietojen säilytyspaikkaa koskevia vaatimuksia tai muutetaan nykyisiä vaatimuksia. Tällaiset ilmoitukset olisi toimitettava ja arvioitava direktiivissä (EU) 2015/1535 33 säädetyn menettelyn mukaisesti.

(14)Jotta lisäksi voidaan poistaa mahdolliset nykyiset esteet, jäsenvaltioiden olisi 12 kuukauden siirtymäkauden aikana tehtävä tietojen säilytyspaikkaa koskevien nykyisten kansallisten vaatimusten arviointi ja ilmoitettava komissiolle perusteluineen mahdolliset tietojen säilytyspaikkaa koskevat vaatimukset, joiden ne katsovat olevan tämän asetuksen mukaisia. Tällaisten ilmoitusten ansioista komissio voi arvioida, ovatko mahdolliset jäljelle jääneet tietojen säilytyspaikkaa koskevat vaatimukset tämän asetuksen mukaisia.

(15)Jotta voidaan varmistaa tietojen säilytyspaikkaa jäsenvaltioissa koskevien vaatimusten avoimuus luonnollisten ja oikeushenkilöiden, kuten tietojen tallennus- ja muiden käsittelypalveluiden tarjoajien ja käyttäjien osalta, jäsenvaltioiden olisi julkaistava tiedot tällaisista toimenpiteistä yhtenäisessä verkkotiedotuspisteessä ja päivitettävä niitä säännöllisesti. Jotta luonnollisille ja oikeushenkilöille voidaan asianmukaisesti tiedottaa tietojen säilytyspaikkaa koskevista vaatimuksista kaikkialla unionissa, jäsenvaltioiden olisi ilmoitettava komissiolle tällaisten verkkopisteiden osoitteet. Komission olisi julkaistava kyseiset tiedot verkkosivuillaan.

(16)Tietojen säilytyspaikkaa koskevat vaatimukset perustuvat usein rajatylittävää tietojen tallentamista tai muuta käsittelyä kohtaan tunnetun luottamuksen heikkouteen, joka johtuu siitä, että tietojen uskotaan olevan jäsenvaltioiden toimivaltaisten viranomaisten saavuttamattomissa esimerkiksi valvovan tarkastuksen tai säädösperusteisen valvonnan piiriin kuluvia tarkastuksia varten. Tämän vuoksi tässä asetuksessa olisi selkeästi vahvistettava, että sillä ei ole vaikutusta toimivaltaisten viranomaisten oikeuksiin pyytää ja saada käyttöönsä tietoja unionin tai kansallisen lainsäädännön mukaisesti ja että toimivaltaisten viranomaisten tiedonsaantia ei voida kieltää sillä perusteella, että tiedot on tallennettu tai niitä on muuten käsitelty toisessa jäsenvaltiossa.

(17)Luonnolliset tai oikeushenkilöt, joita koskee velvoite toimittaa tietoja toimivaltaisille viranomaisille, voivat noudattaa kyseisiä velvoitteita tarjoamalla ja turvaamalla toimivaltaisille viranomaisille tehokkaan ja nopean sähköisen pääsyn tietoihin, riippumatta jäsenvaltiosta, jonka alueella tiedot on tallennettu tai niitä on muulla tavoin käsitelty. Tällainen tietojen saanti voidaan varmistaa konkreettisilla ehdoilla ja edellytyksillä sen luonnollisen tai oikeushenkilön, jota tietojen saannin tarjoamisvelvoite koskee, ja tietojen tallentamisesta tai muusta käsittelystä vastaavan palveluntarjoajan välisissä sopimuksissa.

(18)Kun luonnollinen tai oikeushenkilö, jota tietojen tarjoamisvelvoitteet koskevat, ei toimi tällaisten velvoitteiden mukaisesti, ja sillä edellytyksellä, että toimivaltainen viranomainen on käyttänyt kaikki soveltuvat keinot saadakseen tiedot käyttöönsä, toimivaltaisen viranomaisen olisi voitava pyytää apua muiden jäsenvaltioiden toimivaltaisilta viranomaisilta. Tällaisissa tapauksessa viranomaisten olisi käytettävä unionin lainsäädännön tai kansainvälisten sopimusten erityisiä yhteistyövälineitä kunkin tapauksen erityisalan mukaan, kuten esimerkiksi poliisiyhteistyön, rikos- tai siviilioikeuden tai hallinnollisten kysymysten alalla puitepäätöstä 2006/960 34 , Euroopan parlamentin ja neuvoston direktiiviä 2014/41/EU 35 , tietoverkkorikollisuutta koskevaa Euroopan neuvoston yleissopimusta 36 , neuvoston asetusta (EY) N:o 1206/2001 37 , neuvoston direktiiviä 2006/112/EY 38 ja neuvoston asetusta (EU) N:o 904/2010 39 . Jos tällaisia erityisiä yhteistyövälineitä ei ole, toimivaltaisten viranomaisten olisi tehtävä keskenään yhteistyötä, jotta ne voivat tarjota halutut tiedot saataville nimettyjen keskitettyjen yhteyspisteiden kautta, ellei se olisi pyynnön kohteena olevan jäsenvaltion yleisen järjestyksen vastaista.

(19)Jos avustuspyyntö edellyttää pyynnön vastaanottaneen viranomaisen pääsyä luonnollisen henkilön tai oikeushenkilön tiloihin, mukaan lukien tiedontallennusvälineet tai muut tietojenkäsittelylaitteet ja -keinot, tietoihin pääsyssä on noudatettava unionin tai jäsenvaltion prosessioikeutta, mukaan lukien mahdollinen oikeusviranomaisen ennakkoluvan saamista koskeva vaatimus.

(20)Tietojen esteetön siirtämismahdollisuus on tietojen tallentamis- tai muiden käsittelypalveluiden osalta keskeinen tekijä käyttäjän valinnoissa ja markkinoiden tehokkaassa kilpailussa. Todelliset tai oletetut vaikeudet tietojen siirtämisessä rajojen yli heikentävät myös ammattikäyttäjien luottamusta rajatylittäviä tarjouksia hyväksyttäessä ja näin ollen myös heidän luottamustaan sisämarkkinoihin. Vaikka luonnollisilla henkilöillä ja kuluttajilla on voimassa olevan unionin lainsäädännän suoja, mahdollisuus vaihtaa palveluntarjoajaa ei ulotu käyttäjiin liike- tai ammattitoiminnassa.

(21)Jotta kilpaillusta ympäristöstä voidaan hyötyä täysimittaisesti, ammattikäyttäjien olisi voitava tehdä tietoon perustuvia valintoja ja verrata helposti sisämarkkinoilla tarjottavia erilaisia tietojen tallennus- tai muita käsittelypalveluita, mukaan lukien tietojen siirtämistä sopimuksen päättyessä koskevat sopimusehdot. Jotta tallennus- ja muiden käsittelypalveluiden tarjoajien ja ammattikäyttäjien kokemus ja asiantuntemus voidaan liittää markkinoiden innovointipotentiaaliin ja ottaa se huomioon, markkinatoimijoiden olisi itsesääntelyn avulla ja komission tuella määriteltävä yksityiskohtaiset tieto- ja toimintavaatimukset unionin käytännesääntöjen muodossa, joihin voi sisältyä mallisopimuslausekkeita. Jos tällaisia käytännesääntöjä ei toteuteta ja panna tehokkaasti täytäntöön kohtuullisessa ajassa, komission olisi kuitenkin tarkasteltava tilannetta.

(22)Jotta edistettäisiin sujuvaa yhteistyötä eri jäsenvaltioissa, kunkin jäsenvaltion olisi nimettävä yksi piste, joka toimii yhteytenä muiden jäsenvaltioiden yhteyspisteisiin ja komissioon tämän asetuksen soveltamisen osalta. Jos jonkin jäsenvaltion toimivaltainen viranomainen pyytää tämän asetuksen mukaisesti apua toiselta jäsenvaltiolta saadakseen tietoja käyttöönsä tämän asetuksen mukaisesti, sen olisi toimitettava asianmukaisesti perusteltu pyyntö kyseisen jäsenvaltion keskitettyyn yhteyspisteeseen; tähän kuuluu myös kirjallinen selvitys pyynnön perusteluista ja oikeusperustat tietojen käyttöön saamiselle. Jäsenvaltion nimeämän keskitetyn yhteyspisteen, jonka apua on pyydetty, olisi tuettava viranomaisten välistä avustusta yksilöimällä pyyntö ja välittämällä se pyynnön kohteena olevan jäsenvaltion asianmukaiselle toimivaltaiselle viranomaiselle. Jotta voidaan varmistaa tehokas yhteistyö, viranomaisen, jolle pyyntö toimitetaan, olisi ilman aiheetonta viivytystä tarjottava apua vastauksena pyyntöön tai annettava tietoa vaikeuksista, joita tällaisen apupyynnön täyttämiseen liittyy, tai perusteet pyynnön epäämiseen.

(23)Jotta taataan jäsenvaltioiden toimivaltaisten viranomaisten välisen avunpyyntömenettelyn tehokas täytäntöönpano, komissio voi hyväksyä täytäntöönpanosäädöksiä, joissa vahvistetaan vakiolomakkeet, pyyntöjen kielet, määräajat tai muut seikat avunpyyntömenettelyjä varten. Tätä valtaa olisi käytettävä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011 40 mukaisesti.

(24)Lisäämällä luottamusta rajatylittävään tiedon tallentamiseen tai muuhun käsittelyyn pitäisi vähentää markkinatoimijoiden ja julkisen sektorin alttiutta käyttää tiedon säilytyspaikkaa koskevaa vaatimusta tietoturvallisuuden mittarina. Näin pitäisi myös parantaa yritysten oikeusvarmuutta sovellettavien turvallisuusvaatimusten osalta, kun ulkoistetaan tietojen tallennus- tai muita käsittelypalveluita, myös palveluntarjoajille toiseen jäsenvaltioon.

(25)Kaikkia tiedon tallentamiseen tai muuhun käsittelyyn liittyviä turvallisuusvaatimuksia, joita sovelletaan perustellusti ja oikeasuhteisesti unionin lainsäädännön tai kansallisen lainsäädännön pohjalta unionin lainsäädännön mukaisesti sen luonnollisen henkilön asuinjäsenvaltiossa tai oikeushenkilön sijoittautumisjäsenvaltiossa, jonka tiedoista on kyse, olisi edelleen sovellettava kyseisten tietojen tallentamiseen tai muuhun käsittelyyn toisessa jäsenvaltiossa. Näiden luonnollisten tai oikeushenkilöiden olisi voitava täyttää tällaiset vaatimukset joko itse tai tarjoajien kanssa tehtävissä sopimuksissa olevien sopimuslausekkeiden kautta.

(26) Kansallisella tasolla vahvistettujen turvallisuusvaatimusten olisi oltava välttämättömiä ja oikeasuhteisia tietojen tallentamisen tai muun käsittelyn aiheuttamiin riskeihin nähden sen kansallisen lainsäädännön soveltamisalalla, jossa nämä vaatimukset on vahvistettu.

(27)Direktiivissä 2016/1148 41 säädetään oikeudellisista toimenpiteistä kyberturvallisuuden yleisen tason parantamiseksi unionissa. Tietojen tallentaminen tai muut käsittelypalvelut muodostavat yhden kyseisen direktiivin soveltamisalaan kuuluvista digitaalisista palveluista. Sen 16 artiklan mukaan jäsenvaltioiden on varmistettava, että digitaalisen palvelun tarjoajat määrittävät ja toteuttavat asianmukaiset ja oikeasuhteiset tekniset ja organisatoriset toimenpiteet hallitakseen riskejä, joita kohdistuu niiden verkko- ja tietojärjestelmien turvallisuuteen, joita nämä digitaalisen palvelun tarjoajat käyttävät. Näillä toimenpiteillä olisi varmistettava riskiin suhteutettu turvallisuuden taso, ja niissä olisi otettava huomioon järjestelmien ja tilojen turvallisuus, poikkeamien käsittely, liiketoiminnan jatkuvuuden hallinta, seuranta, tarkastukset ja testaukset sekä kansainvälisten standardien noudattaminen. Nämä seikat määritetään tarkemmin direktiivin nojalla annettavissa komission täytäntöönpanosäädöksissä.

(28)Komission olisi tarkasteltava tätä asetusta säännöllisin väliajoin uudelleen erityisesti tekniikan ja markkinoiden kehitykseen perustuvien muutostarpeiden selvittämiseksi.

(29)Tässä asetuksessa kunnioitetaan erityisesti Euroopan unionin perusoikeuskirjassa tunnustettuja perusoikeuksia ja noudatetaan siinä tunnustettuja periaatteita, ja sitä olisi tulkittava ja sovellettava näiden oikeuksien ja periaatteiden mukaisesti, mukaan lukien oikeus henkilötietojen suojaan (8 artikla), elinkeinovapauteen (16 artikla) sekä sananvapauteen ja tiedonvälityksen vapauteen (11 artikla).

(30)Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän asetuksen tavoitetta, joka on muiden kuin henkilötietojen vapaan liikkuvuuden varmistaminen unionissa, vaan se voidaan sen laajuuden ja vaikutusten vuoksi saavuttaa paremmin unionin tasolla. Sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen tämän tavoitteen saavuttamiseksi,

OVAT HYVÄKSYNEET TÄMÄN ASETUKSEN:

1 artikla
Kohde

Tämän asetuksen tavoitteena on varmistaa muiden kuin henkilötietojen vapaa liikkuvuus unionissa vahvistamalla säännöt, jotka koskevat tietojen säilytyspaikkaa koskevia vaatimuksia, tietojen saatavuutta toimivaltaisten viranomaisten käyttöön ja tietojen siirtämistä ammattimaisia käyttäjiä varten.

2 artikla
Soveltamisala

1.Tätä asetusta sovelletaan sellaiseen muiden sähköisten tietojen kuin henkilötietojen tallentamiseen tai muuhun käsittelyyn unionissa,

a)joka tarjotaan palveluna käyttäjille, jonka oleskelevat unionissa tai ovat sijoittautuneet unioniin, riippumatta siitä, onko palveluntarjoaja sijoittautunut unioniin vai ei, tai

b)jonka luonnollinen henkilö tai oikeushenkilö, joka oleskelee unionissa tai on sijoittautunut unioniin, toteuttaa omiin tarpeisiinsa.

2.Tätä asetusta ei sovelleta toimintaan, joka ei kuulu unionin lainsäädännön soveltamisalaan.

3 artikla
Määritelmät

Tässä asetuksessa tarkoitetaan

1.’tiedoilla’ muita tietoja kuin asetuksen (EU) 2016/679 4 artiklan 1 kohdassa tarkoitettuja henkilötietoja;

2.’tietojen tallentamisella’ mitä tahansa tietojen tallentamista sähköisessä muodossa;

3.’säädösesityksellä’ tekstiä, joka on laadittu sitä varten, että se pannaan täytäntöön yleisluonteisena lakina, asetuksena tai hallinnollisena määräyksenä, ja joka on valmisteluvaiheessa, jossa ilmoituksen tehnyt jäsenvaltio voi vielä tehdä siihen merkittäviä muutoksia;

4.’palveluntarjoajalla’ luonnollista henkilöä tai oikeushenkilöä, joka tarjoaa tietojen tallentamista tai muita käsittelypalveluja;

5.’tietojen säilytyspaikkaa koskevalla vaatimuksella’ jäsenvaltioiden laeissa, asetuksissa tai hallinnollisissa määräyksissä säädettyä velvoitetta, kieltoa, rajoitusta tai muuta vaatimusta, jonka mukaan tietojen tallentamisen tai muun käsittelyn on tapahduttava tietyn jäsenvaltion alueella tai joka estää tietojen tallentamisen tai muun käsittelyn muussa jäsenvaltiossa;

6.’toimivaltaisella viranomaisella’ jäsenvaltion viranomaista, jolla on valtuudet saada virallisten tehtäviensä hoitamiseksi pääsy luonnollisen henkilön tai oikeushenkilön tallentamiin ja käsittelemiin tietoihin kansallisen tai unionin lainsäädännön mukaisesti;

7.’käyttäjällä’ luonnollista henkilöä tai oikeushenkilöä, joka käyttää tai pyytää tietojen tallentamista tai muuta käsittelypalvelua;

8.’ammattimaisella käyttäjällä’ luonnollista henkilöä tai oikeushenkilöä, mukaan lukien julkisyhteisöt ja julkisoikeudelliset laitokset, joka käyttää tai pyytää tietojen tallentamista tai muuta käsittelypalvelua tarkoituksiin, jotka liittyvät sen elinkeino-, liike- tai ammattitoimintaan tai tehtävään.

4 artikla
Tietojen vapaa liikkuvuus unionissa

1.Tietojen tallentamisen tai muun käsittelyn paikkaa unionissa ei saa rajata tietyn jäsenvaltion alueelle, ja tietojen tallentamista tai muuta käsittelyä muiden jäsenvaltioiden alueella ei saa kieltää tai rajoittaa, paitsi jos se on perusteltua yleisen turvallisuuden kannalta.

2.Jäsenvaltioiden on ilmoitettava komissiolle kaikista säädösesityksistä, joilla otetaan käyttöön uusi tietojen säilytyspaikkaa koskeva vaatimus tai tehdään muutoksia voimassa olevaan tietojen säilytyspaikkaa koskevaan vaatimukseen, noudattaen niissä säännöksissä vahvistettuja menettelyjä, joilla direktiivi (EU) 2015/1535 saatetaan osaksi kansallista lainsäädäntöä.

3.Jäsenvaltioiden on 12 kuukauden kuluessa tämän asetuksen soveltamisen alkamisesta varmistettava, että kaikki 1 kohdan vastaiset tietojen säilytyspaikkaa koskevat vaatimukset kumotaan. Jos jäsenvaltio katsoo, että tietojen säilytyspaikkaa koskeva vaatimus on 1 kohdan mukainen ja voi näin ollen pysyä voimassa, sen on ilmoitettava kyseinen toimenpide komissiolle ja perustelut sen voimassa pitämiselle.

4.Jäsenvaltioiden on asetettava yksityiskohtaiset tiedot kaikista alueellaan sovellettavista tietojen säilytyspaikkaa koskevista vaatimuksista julkisesti saataville verkossa keskitetyn tietopisteen kautta ja pidettävä nämä tiedot ajan tasalla.

5.Jäsenvaltioiden on ilmoitettava komissiolle 4 kohdassa tarkoitetun keskitetyn tietopisteensä osoite. Komissio julkaisee verkkosivustollaan linkit näihin tietopisteisiin.

5 artikla
Tietojen saatavuus toimivaltaisille viranomaisille

1.Tämä asetus ei vaikuta toimivaltaisten viranomaisten valtuuksiin pyytää ja saada käyttöönsä unionin tai kansallisen lainsäädännön mukaisesti tietoja virallisten tehtäviensä hoitamiseksi. Toimivaltaisten viranomaisten pääsyä tietoihin ei voida evätä sillä perusteella, että tiedot on tallennettu tai muulla tavoin käsitelty toisessa jäsenvaltiossa.

2.Jos toimivaltainen viranomainen on käyttänyt kaikki sovellettavissa olevat keinot saada pääsy tietoihin, se voi pyytää apua toisen jäsenvaltion toimivaltaiselta viranomaiselta noudattaen 7 artiklassa säädettyä menettelyä, ja pyynnön vastaanottaneen toimivaltaisen viranomaisen on annettava apu 7 artiklan säädettyä menettelyä noudattaen, paitsi jos se olisi vastoin yleistä järjestystä pyynnön vastaanottaneessa jäsenvaltiossa.

3.Jos avunpyyntö edellyttää pyynnön vastaanottaneen viranomaisen pääsyä luonnollisen henkilön tai oikeushenkilön tiloihin, mukaan lukien tiedontallennusvälineet tai muut tietojenkäsittelylaitteet ja -keinot, tietoihin pääsyssä on noudatettava unionin tai jäsenvaltion prosessioikeutta.

4.Edellä olevaa 2 kohtaa sovelletaan vain, jos tietojen vaihtamiseksi eri jäsenvaltioiden toimivaltaisten viranomaisten välillä ei ole olemassa erityistä unionin lainsäädännön tai kansainvälisten sopimusten mukaista yhteistyömekanismia.

6 artikla
Tietojen siirtäminen

1.Komissio edesauttaa ja helpottaa itsesääntelyyn perustuvien käytännesääntöjen kehittämistä unionin tasolla, jotta voidaan määritellä suuntaviivat parhaille käytännöille helpottaa palveluntarjoajien vaihtamista ja varmistaa, että palveluntarjoajat antavat ammattimaisille käyttäjille seuraavista kysymyksistä riittävän yksityiskohtaiset, selkeät ja avoimet tiedot ennen sopimuksen tekemistä tietojen tallentamisesta ja käsittelystä:

a)prosessit, tekniset vaatimukset, määräajat ja maksut, joita sovelletaan, jos ammattimainen käyttäjä haluaa siirtyä käyttämään toista palveluntarjoajaa tai siirtää tietoja takaisin omiin tietoteknisiin järjestelmiinsä, mukaan lukien varmuuskopiointimenettelyt ja -paikka, käytettävissä olevat tietojen tallennusmuodot ja -välineet, vaadittu IT-kokoonpano ja kaistan vähimmäisleveys; siirtämisprosessin käynnistämiseen tarvittava aika sekä aika, jonka kuluessa tiedot ovat siirrettävissä; ja takeet pääsystä tietoihin palveluntarjoajan konkurssin tapauksessa; sekä

b)toiminnalliset vaatimukset palveluntarjoajan vaihtamisesta tai tietojen siirtämisestä jäsennellyssä, yleisesti käytetyssä ja koneellisesti luettavassa muodossa siten, että käyttäjällä on riittävästi aikaa vaihtaa palveluntarjoajaa tai siirtää tiedot.

2.Komissio kannustaa palveluntarjoajia panemaan 1 kohdassa tarkoitetut käytännesäännöt tehokkaasti täytäntöön vuoden kuluessa tämän asetuksen soveltamisen alkamisesta.

3.Komissio arvioi kyseisten käytännesääntöjen kehittämistä ja tehokasta täytäntöönpanoa sekä palveluntarjoajien tehokasta tiedottamista viimeistään kahden vuoden kuluttua tämän asetuksen soveltamisen alkamisesta.

7 artikla
Keskitetyt yhteyspisteet

1.Kunkin jäsenvaltion on nimettävä keskitetty yhteyspiste, joka on yhteydessä muiden jäsenvaltioiden keskitettyihin yhteyspisteisiin ja komissioon tämän asetuksen soveltamisesta. Jäsenvaltioiden on ilmoitettava komissiolle nimeämänsä keskitetyt yhteyspisteet ja niiden myöhemmät muutokset.

2.Jäsenvaltioiden on varmistettava, että keskitetyillä yhteyspisteillä on tarvittavat resurssit tämän asetuksen soveltamiseksi.

3.Jos yhden jäsenvaltion toimivaltainen viranomainen pyytää 5 artiklan 2 kohdan mukaisesti apua toiselta jäsenvaltiolta saadakseen pääsyn tietoihin, sen on toimitettava asianmukaisesti perusteltu pyyntö kyseisen jäsenvaltion keskitettyyn yhteyspisteeseen, mukaan lukien kirjallinen selvitys pyynnön perusteluista ja oikeusperustat tietojen käyttöön saamiselle.

4.Keskitetyn yhteyspisteen on yksilöitävä asiasta vastaava jäsenvaltionsa toimivaltainen viranomainen ja toimitettava 3 kohdan mukaisesti vastaanotettu pyyntö kyseiselle toimivaltaiselle viranomaiselle. Pyynnön vastaanottavan viranomaisen on ilman aiheetonta viivytystä

a)vastattava pyynnön esittäneelle toimivaltaiselle viranomaiselle ja ilmoitettava keskitetylle yhteyspisteelle vastauksestaan ja

b)ilmoitettava keskitetylle yhteyspisteelle ja pyynnön esittäneelle toimivaltaiselle viranomaiselle mahdollisista vaikeuksista tai, jos pyyntö evätään tai siihen vastataan vain osittain, perustelut epäämiselle tai osittaiselle vastaamiselle.

5.Tietoja, jotka 5 artiklan 2 kohdan mukaisesti pyydetyn ja annetun avun yhteydessä vaihdetaan, saa käyttää ainoastaan siihen tarkoitukseen, jota varten niitä on pyydetty.

6.Komissio voi hyväksyä täytäntöönpanosäädöksiä, joissa vahvistetaan vakiolomakkeet sekä pyyntöjen kielet, määräajat tai muut seikat avunpyyntömenettelyjä varten. Nämä täytäntöönpanosäädökset annetaan 8 artiklassa tarkoitettua menettelyä noudattaen.

8 artikla
Komitea

1.Komissiota avustaa tietojen vapaata liikkuvuutta käsittelevä komitea. Tämä komitea on asetuksessa (EU) N:o 182/2011 tarkoitettu komitea.

2.Kun viitataan tähän kohtaan, sovelletaan asetuksen (EU) N:o 182/2011 5 artiklaa.

9 artikla
Uudelleentarkastelu

1.Komissio tarkastelee tätä asetusta uudelleen viimeistään [5 vuoden kuluttua 10 artiklan 2 kohdassa mainitusta päivämäärästä] ja esittää Euroopan parlamentille, neuvostolle ja Euroopan talous- ja sosiaalikomitealle kertomuksen tärkeimmistä uudelleentarkastelun aikana tehdyistä havainnoista.

2.Jäsenvaltioiden on toimitettava komissiolle 1 kohdassa tarkoitetun kertomuksen laatimista varten tarvittavat tiedot.

10 artikla
Loppusäännökset

1.Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

2.Tätä asetusta sovelletaan kuuden kuukauden kuluttua sen julkaisemisesta.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä

(1) Koneoppiminen on tekoälyä käyttävä sovellus, jonka avulla järjestelmät kykenevät oppimaan automaattisesti ja kehittymään kokemuksen perusteella ilman, että niitä olisi siihen nimenomaisesti ohjelmoitu.

(2) COM(2017) 9, ”Euroopan datavetoisen talouden rakentaminen”, 10. tammikuuta 2017. Katso myös tiedonantoon liittyvä komission yksiköiden valmisteluasiakirja SWD(2017) 2, 10. tammikuuta 2017.

(3)

   IDC and Open Evidence, European Data Market, Final Report, 1. helmikuuta 2017 (SMART 2013/0063).

(4) Komission tiedonanto, annettu 10. toukokuuta 2017 (COM(2017) 228 final).

(5) Muihin tietojenkäsittelypalveluihin kuuluvat tietopohjaisten palvelujen, kuten data-analytiikan, tietohallintojärjestelmien jne. tarjoajat.

(6) COM(2015) 192 final.

(7) Avauspuheenvuoro Euroopan parlamentin täysistunnossa Strasbourgissa 22. lokakuuta 2014.

(8) Euroopan parlamentin ja neuvoston direktiivi (EY) 2000/31, annettu 8 päivänä kesäkuuta 2000, tietoyhteiskunnan palveluja, erityisesti sähköistä kaupankäyntiä, sisämarkkinoilla koskevista tietyistä oikeudellisista näkökohdista (direktiivi sähköisestä kaupankäynnistä) (EYVL L 178, 17.7.2000, s. 1).

(9) Euroopan parlamentin ja neuvoston direktiivi (EY) 2006/123, annettu 12 päivänä joulukuuta 2006, palveluista sisämarkkinoilla (EUVL L 376, 27.12.2006, s. 36).

(10) LE Europen tutkimus (SMART 2015/0016) ja IDC:n tutkimus (SMART 2013/0063).

(11) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).

(12) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89).

(13) Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37).

(14) Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/1535, annettu 9 päivänä syyskuuta 2015, teknisiä määräyksiä ja tietoyhteiskunnan palveluja koskevia määräyksiä koskevien tietojen toimittamisessa noudatettavasta menettelystä (EUVL L 241, 17.9.2015, s. 1).

(15) COM(2017) 228 final.

(16) COM(2016) 178 final, ”Eurooppalainen pilvipalvelualoite – Kilpailukykyisen tieto- ja osaamistalouden rakentaminen Eurooppaan”, 19. huhtikuuta 2016.

(17) COM(2017) 134 final, ”Eurooppalaiset yhteentoimivuusperiaatteet – täytäntöönpanostrategia”, 23. maaliskuuta 2017.

(18) COM(2014) 72 final, ”Internet-politiikka ja Internetin hallinto Euroopan rooli Internetin hallinnon tulevaisuuden muokkaamisessa”, http://eur-lex.europa.eu/legal-content/EN/ALL/?uri=COM:2014:0072:FIN  

(19)

   Lisää taloudellista näyttöä haettiin tutkimalla pilvipalvelujen taloudellisia vaikutuksia Euroopassa (SMART 2014/0031, Deloitte, ”Measuring the economic impact of cloud computing in Europe”, 2016).

(20) Julkisen kuulemisen monivalintakysymyksiin vastasi 289 sidosryhmää. Vastaajilta ei kysytty lainsäädännöllisen toimen tyyppiä, mutta 12 sidosryhmää ehdotti omasta aloitteestaan asetusta kirjallisessa lausumassa. Sidosryhmät olivat luonteeltaan erilaisia, ja niihin kuului 2 jäsenvaltiota, 3 yrittäjäjärjestöä, 6 tietoteknistä palveluntarjoajaa sekä asianajotoimisto.

(21) SMART 2015/0054, TimeLex, Spark and Tech4i, "Cross-border Data Flow in the Digital Single Market: Study on Data Location Restrictions", D5. Final Report (ei valmis) [TimeLex Study (SMART 2015/0054)]; SMART 2015/0016, London Economics Europe, Carsa and CharlesRussellSpeechlys, "Facilitating cross border data flow in the Digital Single Market", 2016 (ei valmis) [LE Europe Study (SMART 2015/0016)].

(22) SMART 2016/0032, IDC and Arthur's Legal, "Switching between Cloud Service Providers", 2017 (ei valmis) [IDC and Arthur's Legal Study (SMART 2016/0032)].

(23) SMART 2016/0029 (ei valmis), Tecnalia, "Certification Schemes for Cloud Computing", D6.1 Inception Report.

(24) SMART 2014/0031, Deloitte, “Measuring the economic impact of cloud computing in Europe”, 2016 [Deloitte Study (SMART 2014/0031)].

(25) SMART 2013/43, IDC, "Uptake of Cloud in Europe. Follow-up of IDC Study on Quantitative estimates of the demand for Cloud computing in Europe and the likely barriers to take-up ", 2014, saatavilla osoitteessa http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=9742 ; SMART 2011/0045, IDC, "Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Uptake" (heinäkuu 2012).

(26) SMART 2013/0063, IDC and Open Evidence, "European Data Market. Data ownership and Access to Data - Key Emerging Issues", 1. helmikuuta 2017 [IDC Study (SMART 2013/0063)].

(27) SMART 2015/0018, TimeLex, Spark, "Clarification of Applicable Legal Framework for Full, Co- or Self-Regulatory Actions in the Cloud Computing Sector" (ei valmis).

(28) EUVL C , , s. .

(29) EUVL C , , s. .

(30) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).

(31) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/680, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta toimivaltaisten viranomaisten suorittamassa henkilötietojen käsittelyssä rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten sekä näiden tietojen vapaasta liikkuvuudesta ja neuvoston puitepäätöksen 2008/977/YOS kumoamisesta (EUVL L 119, 4.5.2016, s. 89).

(32) Euroopan parlamentin ja neuvoston direktiivi 2002/58/EY, annettu 12 päivänä heinäkuuta 2002, henkilötietojen käsittelystä ja yksityisyyden suojasta sähköisen viestinnän alalla (sähköisen viestinnän tietosuojadirektiivi) (EYVL L 201, 31.7.2002, s. 37).

(33) Euroopan parlamentin ja neuvoston direktiivi (EU) 2015/1535, annettu 9 päivänä syyskuuta 2015, teknisiä määräyksiä ja tietoyhteiskunnan palveluja koskevia määräyksiä koskevien tietojen toimittamisessa noudatettavasta menettelystä (EUVL L 241, 17.9.2015, s. 1).

(34) Neuvoston puitepäätös 2006/960/YOS, tehty 18 päivänä joulukuuta 2006, Euroopan unionin jäsenvaltioiden lainvalvontaviranomaisten välisen tietojen ja tiedustelutietojen vaihdon yksinkertaistamisesta (EUVL L 386, 29.12.2006, s. 89).

(35) Euroopan parlamentin ja neuvoston direktiivi 2014/41/EU, annettu 3 päivänä huhtikuuta 2014, rikosasioita koskevasta eurooppalaisesta tutkintamääräyksestä (EUVL L 130, 1.5.2014, s. 1).

(36) Tietoverkkorikollisuutta koskeva Euroopan neuvoston yleissopimus, CETS nro 185.

(37) Neuvoston asetus (EY) N:o 1206/2001, annettu 28 päivänä toukokuuta 2001, jäsenvaltioiden tuomioistuinten välisestä yhteistyöstä siviili- ja kauppaoikeudellisissa asioissa tapahtuvassa todisteiden vastaanottamisessa (EYVL L 174, 27.6.2001, s. 1).

(38) Neuvoston direktiivi 2006/112/EY, annettu 28 päivänä marraskuuta 2006, yhteisestä arvonlisäverojärjestelmästä (EUVL L 347, 11.12.2006, s. 1).

(39) Neuvoston asetus (EU) N:o 904/2010, annettu 7 päivänä lokakuuta 2010, hallinnollisesta yhteistyöstä ja petosten torjunnasta arvonlisäverotuksen alalla  (EUVL L 268, 12.10.2010 , s. 1).

(40) Euroopan parlamentin ja neuvoston asetus (EU) N:o 182/2011, annettu 16 päivänä helmikuuta 2011, yleisistä säännöistä ja periaatteista, joiden mukaisesti jäsenvaltiot valvovat komission täytäntöönpanovallan käyttöä (EUVL L 55, 28.2.2011, s. 13).

(41) Euroopan parlamentin ja neuvoston direktiivi (EU) 2016/1148, annettu 6 päivänä heinäkuuta 2016, toimenpiteistä yhteisen korkeatasoisen verkko- ja tietojärjestelmien turvallisuuden varmistamiseksi koko unionissa (EUVL L 194, 19.7.2016, s. 1).