EUROPSKA KOMISIJA

Bruxelles, 13.9.2017.

COM(2017) 495 final

2017/0228(COD)

Prijedlog

UREDBE EUROPSKOG PARLAMENTA I VIJEĆA

o okviru za slobodan protok neosobnih podataka u Europskoj uniji

{SWD(2017) 304 final}
{SWD(2017) 305 final}

OBRAZLOŽENJE

1.KONTEKST PRIJEDLOGA

•Razlozi i ciljevi prijedloga

Nove digitalne tehnologije, kao što je računalstvo u oblaku, veliki podaci (engl. „big data”), umjetna inteligencija i internet stvari osmišljene su da bi se maksimirala učinkovitost, omogućila ekonomija razmjera i razvile nove usluge. One korisnicima nude koristi kao što su agilnost, produktivnost, brzina provedbe i autonomija, npr. putem strojnog učenja 1 .

Kao što je navedeno u Komunikaciji iz 2017. „Stvaranje europskog podatkovnog gospodarstva” 2 procjenjuje se da je vrijednost podatkovnog tržišta EU-a u 2016. bila gotovo 60 milijardi EUR, što je porast od 9,5 % u odnosu na 2015. Prema jednoj studiji, 2020. bi vrijednost podatkovnog tržišta Europske unije mogla iznositi 106 milijardi EUR 3 .

Da bi se ostvario taj potencijal, ovaj prijedlog ima za cilj rješavanje sljedećih pitanja:

·poboljšanje prekogranične mobilnosti neosobnih podataka na jedinstvenom tržištu, koja je danas ograničena u mnogim državama članicama ograničenjima uvedenima u svrhu lokalizacije podataka ili pravnom nesigurnošću na tržištu;

·osiguravanje da ovlasti nadležnih tijela da zatraže i dobiju pristup podacima radi regulatorne kontrole, primjerice za potrebe inspekcijskih pregleda i revizija, ostanu nepromijenjene; i

·olakšavanje promjene pružatelja usluga i prijenosa podataka za profesionalne korisnike usluga pohrane ili ostale obrade podataka, ali bez stvaranja prevelikog opterećenja za pružatelje usluga i narušavanja tržišta.

U okviru preispitivanja na polovini provedbenog razdoblja provedbe Strategije jedinstvenog digitalnog tržišta (strategija DSM) 4 najavljen je zakonodavni prijedlog za okvir EU-a za suradnju u pogledu slobodnog protoka podataka.

Opći je politički cilj te inicijative postići konkurentnije i integriranije unutarnje tržište usluga i aktivnosti pohrane i ostale obrade podatka. U ovom prijedlogu izraz „pohrana i ostala obrada podataka” koristi se u širem smislu i obuhvaća upotrebu svih vrsta IT sustava, bez obzira jesu li oni locirani u prostorima korisnika ili izdvojeni vanjskom pružatelju usluga pohrane i ostale obrade podataka 5 .

•Dosljednost s postojećim odredbama politike u određenom području

Ovim prijedlogom želi se postići ciljeve utvrđene u Strategiji jedinstvenog digitalnog tržišta (Strategija DSM) 6 , njezinom nedavnom preispitivanju na polovini provedbenog razdoblja te u političkim smjernicama aktualne Europske komisije „Novi početak za Europu: moj program za zapošljavanje, rast, pravednost i demokratske promjene” 7 .

Ovaj prijedlog usmjeren je na pružanje usluge udomljavanja podataka (pohrane) i ostale usluge obrade podataka i u skladu je s postojećim pravnim instrumentima. Inicijativa ima za cilj stvaranje učinkovitog jedinstvenog tržišta EU-a za takve usluge. U skladu je dakle s Direktivom o elektroničkoj trgovini 8 , koja za cilj ima sveobuhvatno i učinkovito jedinstveno tržište EU-a za šire kategorije usluga informacijskog društva, te s Direktivom o uslugama 9 koja za cilj ima daljnje produbljivanje jedinstvenog tržišta EU-a za usluge u nizu sektora.

Određeni broj relevantnih sektora izričito su isključeni iz područja primjene takvog zakonodavstva (tj. Direktive o elektroničkoj trgovini i Direktive o uslugama) tako da bi na sve usluge udomljavanja (pohrane) i ostale usluge obrade podataka bile primjenjive samo opće odredbe Ugovora. Međutim postojeće prepreke pružanju tih usluga ne mogu se učinkovito ukloniti oslanjajući se isključivo na neposrednu primjenu članaka 49. i 56. Ugovora o funkcioniranju Europske unije (EFEU) jer bi, s jedne strane, pojedinačno rješavanje slučajeva kroz postupke zbog povrede protiv dotičnih država članica bilo iznimno komplicirano za nacionalne institucije i institucije Unije, a s druge strane, uklanjanje niza prepreka zahtijevalo bi posebna pravila za rješavanje ne samo javnih nego i privatnih prepreka, za što je potrebna administrativna suradnja. Nadalje, čini se da je za korisnike novih tehnologija 10 osobito važno povećanje pravne sigurnosti koje iz toga proizlazi.

Budući da se ovaj prijedlog tiče elektroničkih podataka koji nisu osobni, on nema utjecaja na pravni okvir Unije za zaštitu podataka, posebno na Uredbu 2016/679 (Opća uredba o zaštiti podataka) 11 , Direktivu 2016/680 (Direktiva o policiji) 12 i Direktivu 2002/58/EZ (Direktiva o e-privatnosti) 13 , koje osiguravaju visoku razinu zaštite za osobne podatke i slobodan protok osobnih podataka unutar Unije. Zajedno s tim pravnim okvirom, ovaj prijedlog ima za cilj uspostavu sveobuhvatnog i dosljednog okvira EU-a kojim će se omogućiti slobodan protok podataka na jedinstvenom tržištu.

Prijedlog predviđa zahtjev za obavješćivanje o nacrtima mjera za lokalizaciju podataka, u skladu s Direktivom o transparentnosti 14 , kako bi se omogućila ocjena jesu li planirana ograničenja u svrhu lokalizacije opravdana.

•Dosljednost u odnosu na druge politike Unije

S obzirom na jedinstveno digitalno tržište ova inicijativa ima za cilj smanjenje prepreka konkurentnom podatkovnom gospodarstvu EU-a. U skladu s Komunikacijom o preispitivanju strategije DSM na sredini provedbenog razdoblja Komisija odvojeno istražuje pitanja dostupnosti i ponovne upotrebe javnih podataka i podataka financiranih javnim sredstvima, podataka u privatnom vlasništvu koji su od javnog interesa te odgovornosti u slučajevima štete izazvane podatkovno intenzivnim proizvodima 15 .

Djelovanje u ovom području politike nastavlja se i na paket mjera Digitalizacija europske industrije, dio kojeg je inicijativa Europski oblak 16 koja za cilj ima razvoj rješenja računalstva u oblaku visokog kapaciteta za pohranu, dijeljenje i ponovnu upotrebu znanstvenih podataka. Nadalje, inicijativa se nastavlja na reviziju Europskog okvira za interoperabilnost 17 koji za cilj ima poboljšanje digitalne suradnje među javnim upravama u Europi i kojoj će slobodan protok podataka izravno koristiti. Inicijativom se pridonosi opredijeljenosti EU-a za otvoreni Internet 18 .

2.PRAVNA OSNOVA, SUPSIDIJARNOST I PROPORCIONALNOST

•Pravna osnova

Ovaj prijedlog obuhvaćen je područjem podijeljene nadležnosti u skladu s člankom 4. stavkom 2. točkom (a) UFEU-a. Njime se osiguravanjem slobodnog protoka podataka unutar Unije želi postići integriranije i konkurentnije unutarnje tržište za usluge pohrane i ostale obrade podataka. Prijedlogom se predviđaju pravila u pogledu zahtjevâ za lokalizaciju podataka, dostupnosti podataka za nadležna tijela i prijenosa podataka za profesionalne korisnike. Prijedlog se temelji na članku 114 UFEU-a koji je opća pravna osnova za donošenje takvih pravila.

•Supsidijarnost

Prijedlog je u skladu s načelom supsidijarnosti kako je utvrđeno u članku 5. Ugovora o Europskoj uniji (UEU). Ovim se prijedlogom želi osigurati neometano funkcioniranje unutarnjeg tržišta za prethodno navedene usluge, što nije ograničeno na državno područje jedne države članice, a slobodan protok neosobnih podataka unutar Unije ne može se postići djelovanjem država članica na nacionalnoj razini, jer srž je problema prekogranična mobilnost podataka.

Države članice mogu smanjiti broj i opseg vlastitih ograničenja uvedenih u svrhu lokalizacije podataka, ali vjerojatno bi to učinile u različitim mjerama i uz različite uvjete, ili uopće ne.

Međutim različiti pristupi doveli bi do umnožavanja regulatornih zahtjeva diljem jedinstvenog tržišta EU-a i stvarnih dodatnih troškova za poduzeća, osobito za mala i srednja poduzeća (MSP).

•Proporcionalnost

Prijedlog je u skladu s načelom proporcionalnosti kako je utvrđeno u članku 5. UEU-a budući da se sastoji od učinkovitog okvira koji ne prelazi ono što je neophodno za rješavanje utvrđenih problema i proporcionalan je ciljevima koje treba postići.

Kako bi se uklonile prepreke slobodnom protoku neosobnih podataka unutar Unije, koji je ograničen zahtjevima za lokalizaciju, i pojačalo povjerenje u prekogranični protok podataka te usluge pohrane i ostale obrade podataka, prijedlog se u velikoj mjeri oslanja na postojeće instrumente i okvire EU-a: Direktivu o transparentnosti za obavješćivanje o nacrtima mjera povezanih sa zahtjevima za lokalizaciju podataka, razne okvire kojima se osigurava dostupnost podataka za potrebe regulatorne kontrole od strane država članica. Za rješavanje pitanja dostupnosti podataka za nacionalna nadležna tijela mehanizam suradnje iz ovog prijedloga upotrebljavao bi se samo ako ne postoje drugi mehanizmi suradnje te ako su sva druga sredstva za pristup podacima iscrpljena.

Predloženim pristupom u pogledu prekograničnog prijenosa podataka i prijenosa od jednog pružatelja usluga drugome ili u vlastiti IT sustav nastoji se postići ravnoteža između regulative EU-a i interesa država članica u pogledu javne sigurnosti, a također i ravnoteža između regulative EU-a i samoregulacije mehanizmima tržišta.

Konkretno, kako bi se ublažile poteškoće profesionalnih korisnika povezane s promjenom pružatelja usluga i prijenosom podataka, inicijativom se potiče samoregulacija putem kodeksa ponašanja u pogledu informacija koje se trebaju pružiti korisnicima usluga pohrane ili ostale obrade podataka. Modaliteti promjene pružatelja usluga i prijenosa podataka trebali bi se također rješavati putem samoregulacije kako bi se utvrdile najbolje prakse.

Prijedlogom se podsjeća na to da bi sigurnosni zahtjevi uvedeni zakonodavstvom na nacionalnoj razini ili razini EU-a trebali biti ispunjeni i u slučajevima kada fizičke ili pravne osobe pohranu ili ostalu obradu svojih podataka eksternaliziraju, uključujući i u drugu državu članicu. Njime se podsjeća i na provedbene ovlasti koje su Komisiji dodijeljene Direktivom o mrežnoj i informacijskoj sigurnosti u cilju ispunjavanja sigurnosnih zahtjeva koji također doprinose funkcioniranju ove Uredbe. Konačno, iako bi prema ovom prijedlogu zbog zahtjeva u pogledu obavješćivanja/preispitivanja, transparentnosti i administrativne suradnje bilo potrebno djelovanje javnih tijela država članica, prijedlog je osmišljen tako da se to djelovanje svede na najvažnije potrebe suradnje i tako izbjegne nepotrebno administrativno opterećenje.

Putem samoregulacije i uspostave jasnog okvira u kombinaciji sa suradnjom među i sa državama članicama ovim se prijedlogom želi povećati pravna sigurnost i razina povjerenja, a istovremeno postići dugoročna relevantnost i učinkovitost zahvaljujući fleksibilnosti okvira za suradnju temeljenom na jedinstvenim kontaktnim točkama u državama članicama.

Komisija namjerava osnovati stručnu skupinu koja će je savjetovati o pitanjima obuhvaćenima ovom Uredbom.

•Odabir instrumenta

3.REZULTATI EX POST EVALUACIJA, SAVJETOVANJA S DIONICIMA I PROCJENE UČINAKA

•Savjetovanja s dionicima

Tijekom prvog kruga prikupljanja činjenica u 2015. provedeno je javno savjetovanje o regulatornom okruženju za internetske platforme, internetske posrednike, obradu podataka i računalstvo u oblaku te suradničko gospodarstvo. Dvije trećine sudionika savjetovanja, među kojima su bile podjednako zastupljene sve skupine dionika uključujući i MSP-ove, smatraju da su ograničenja uvedena u svrhu lokalizacije podataka utjecala na njihovu poslovnu strategiju 19 . Druge aktivnosti prikupljanja informacija sastojale su se od sastanaka i događanja, ciljanih radionica s ključnim dionicima (npr. Cloud Select Industry Group, CSIG) i tematskih radionica u kontekstu studijâ.

Od kraja 2016. do druge polovine 2017. proveden je drugi krug prikupljanja dokaza, u okviru kojeg je 10. siječnja 2017. održano javno savjetovanje u kontekstu Komunikacije „Stvaranje europskog podatkovnog gospodarstva”. Sudeći prema odgovorima u tom javnom savjetovanju 61,9 % dionika vjeruje da bi ograničenja uvedena u svrhu lokalizacije podataka trebala biti ukinuta. Većina dionika koji su sudjelovali (njih 55,3 %) vjeruje da je zakonodavno djelovanje najprikladniji instrument za rješavanje pitanja neopravdanih ograničenja, a niz dionika izričito je pozvao na donošenje Uredbe 20 . Pružatelji IT usluga svih veličina, sa sjedištem unutar EU-a i izvan njega, izrazito podržavaju regulatorno djelovanje. Dionici su također utvrdili negativne učinke ograničenja uvedenih u svrhu lokalizacije podataka. Osim povećanih troškova poslovanja, utvrdili su i učinke na pružanje usluga privatnim ili javnim subjektima (69,6 % svih sudionika koji su odgovorili okvalificirali su taj učinak kao „visok”) ili na sposobnost ulaska na novo tržište (73,9 % dionika koji su odgovorili okvalificiralo je taj učinak kao „visok”). Dionici iz različitih područja odgovorili su na ta pitanja u istim postocima. Savjetovanje s javnošću putem interneta također je pokazalo da je problem s promjenom pružatelja usluga raširen, te je 56,8 % MSP-ova koji su odgovorili navelo da su imali poteškoća kad su namjeravali promijeniti pružatelja usluga.

Sastanci strukturiranog dijaloga s državama članicama olakšali su zajedničko razumijevanje izazova. U dopisu upućenom predsjedniku Tusku 16 država članica izričito je pozvalo na podnošenje zakonodavnog prijedloga.

U ovom prijedlogu uzet je u obzir niz problematičnih pitanja koje su iznijele države članice i dionici iz podatkovnog sektora, a osobito sljedeće: potreba za načelom transverzalnog slobodnog protoka podataka kako bi se osigurala pravna sigurnost; postizanje napretka u pogledu dostupnosti podataka za regulatorne svrhe; olakšavanje promjene pružatelja usluga pohrane ili ostale obrade podataka i prijenosa podataka time što će se potaknuti veća transparentnost u pogledu primjenjivih postupaka i ugovornih uvjetâ, ali bez nametanja konkretnih standardâ ili obaveza pružateljima usluga u ovoj fazi.

•Prikupljanje i primjena stručnih znanja

Kao temelj su poslužile pravne i ekonomske studije o raznim čimbenicima u pogledu mobilnosti podataka, kao što su zahtjevi za lokalizaciju podataka 21 , promjena pružatelja usluga / prijenos podataka 22 i sigurnost podataka 23 . Naručene su daljnje studije o učincima računalstva u oblaku 24 , prihvaćenosti računalstva u oblaku 25 te o europskom podatkovnom tržištu 26 . Studije su provedene i o koregulativnim ili samoregulativnim aktivnostima u sektoru računalstva u oblaku 27 . Komisije se oslanjala i na dodatne vanjske izvore uključujući analize tržišta i statističke podatke (npr. Eurostat).

•Procjena učinka

Procjena učinka pokazala je da bi se odabirom preferirane opcije, opcije 2.a, osiguralo učinkovito uklanjanje postojećih neopravdanih ograničenja uvedenih u svrhu lokalizacije podataka i spriječilo uvođenje budućih, kao rezultat jasnog pravnog načela u kombinaciji s preispitivanjem, obavješćivanjem i transparentnošću, a istovremeno i pojačala pravna sigurnost i povjerenje u tržište. Opterećenje za javna tijela država članica bilo bi umjereno i rezultiralo troškovima za ljudske resurse za održavanja jedinstvenih kontaktnih točaka u iznosu od otprilike 33 000 EUR godišnje te troškovima od 385 – 1925 EUR godišnje za pripremu obavijesti o nacrtima mjera.

•Primjerenost propisa i pojednostavljivanje

•Temeljna prava

4.UTJECAJ NA PRORAČUN

Nastat će umjereno administrativno opterećenje za tijela vlasti država članica uslijed dodjele ljudskih resursa za suradnju među državama članicama putem „jedinstvenih kontaktnih točaka” te radi sukladnosti s odredbama o obavješćivanju, preispitivanju i transparentnosti.

5.OSTALI ELEMENTI

•Planovi provedbe i mehanizmi praćenja, evaluacije i izvješćivanja

Sveobuhvatna evaluacija bit će provedena pet godina nakon početka primjene pravila kako bi se ocijenila njihova učinkovitost i proporcionalnost. Ta će evaluacija biti provedena u skladu sa smjernicama za bolju regulativu.

Trebat će posebno preispitati je li uredba pridonijela smanjenju broja i opsega ograničenja uvedenih u svrhu lokalizacije podataka te povećanju pravne sigurnosti i transparentnosti preostalih (opravdanih i proporcionalnih) zahtjeva za lokalizaciju podataka. U okviru te evaluacije morat će se ocijeniti i je li ova politička inicijativa pridonijela povećanju povjerenja u slobodan protok neosobnih podataka, imaju li države članice u razumnoj mjeri pristup podacima pohranjenima u inozemstvu za potrebe regulatorne kontrole te je li uredba dovela do poboljšanja transparentnosti u pogledu uvjeta za prijenos podataka.

Planirano je da jedinstvene kontaktne točke državâ članicâ služe kao vrijedan izvor informacija tijekom faze ex-post evaluacije zakonodavstva.

Za mjerenje napretka u tim područjima služili bi konkretni pokazatelji (kao što je predloženo u procjeni učinka). Također se planira korištenje podataka Eurostat-a te Indeksa digitalizacije gospodarstva i društva. U tu svrhu također se može razmotriti posebno izdanje Eurobarometra.

•Detaljno obrazloženje posebnih odredbi prijedloga

U članku 4. utvrđuje se načelo slobodnog kretanja neosobnih podataka u Uniji. Prema tom načelu zabranjuje se bilo kakav zahtjev za lokalizaciju podataka osim ako je opravdan iz razloga javne sigurnosti. Nadalje predviđa se preispitivanje postojećih zahtjeva, obavješćivanje Komisije o preostalim ili novim zahtjevima i mjere transparentnosti.

Članak 5. za cilj ima osiguravanje dostupnosti podataka za nadležna tijela vlasti za potrebe regulatorne kontrole. U tu svrhu, korisnici ne mogu odbiti zahtjev nadležnih tijela za davanje pristupa podacima na temelju okolnosti da su podaci pohranjeni ili da se obrađuju u drugoj državi članici. Ako je nadležno tijelo vlasti iscrpilo sva primjenjiva sredstva za dobivanje pristupa podacima ono može zatražiti pomoć nadležnog tijela druge države članice ako nema postojećeg posebnog mehanizma suradnje.

U članku 6. utvrđuje se da će Komisija potaknuti pružatelje usluga i profesionalne korisnike na izradu i primjenu kodeksa ponašanja u kojima bi bile navedene detaljne informacije o uvjetima za prijenos podataka (uključujući tehničke i operativne zahtjeve), koje bi pružatelji usluga trebali staviti na raspolaganje svojim profesionalnim korisnicima na dovoljno detaljan, jasan i transparentan način prije zaključivanja ugovora. Komisija će pratiti izradu i efektivnu primjenu takvih kodeksa tijekom dvije godine nakon početka primjene ove Uredbe.

Prema članku 7. svaka država članica uspostavit će jedinstvenu kontaktnu točku koja će se povezati s takvim kontaktnim točkama drugih država članica i Komisijom u pogledu primjene ove Uredbe. Člankom 7. također se utvrđuju postupovni uvjeti primjenjivi na uzajamnu pomoć među nadležnim tijelima predviđenu člankom 5.

Člankom 8. utvrđuje se da Komisiji pomaže Odbor za slobodan protok podataka, koji je odbor u smislu Uredbe (EU) br. 182/2011.

Člankom 9. predviđena je provedba preispitivanja u roku od pet godina nakon početka primjene ove Uredbe.

Člankom 10. utvrđuje se da će primjena Uredbe započeti šest mjeseci nakon dana njezine objave.

2017/0228 (COD)

Prijedlog

UREDBE EUROPSKOG PARLAMENTA I VIJEĆA

o okviru za slobodan protok neosobnih podataka u Europskoj uniji

EUROPSKI PARLAMENT I VIJEĆE EUROPSKE UNIJE,

uzimajući u obzir Ugovor o funkcioniranju Europske unije, a posebno njegov članak 114.,

uzimajući u obzir prijedlog Europske komisije,

nakon prosljeđivanja nacrta zakonodavnog akta nacionalnim parlamentima,

uzimajući u obzir mišljenje Europskoga gospodarskog i socijalnog odbora 28 ,

uzimajući u obzir mišljenje Odbora regija 29 ,

u skladu s redovnim zakonodavnim postupkom,

budući da:

(1)Digitalizacija gospodarstva sve je brža. Informacijske i komunikacijske tehnologije (IKT) više nisu poseban sektor, već temelj svih modernih inovativnih gospodarskih sustava. Elektronički podaci u središtu su tih sustava i njihovom analizom ili kombinacijom s uslugama i proizvodima može se generirati velika vrijednost.

(2)Podatkovni vrijednosni lanci temelje se na različitim podatkovnim aktivnostima: stvaranju i prikupljanju podataka; objedinjavanju i organizaciji podataka; pohrani i obradi podataka; anlizi podataka te marketingu i distribuciji temeljenima na podacima; upotrebi i ponovnoj upotrebi podataka. Efektivno i efikasno funkcioniranje pohrane i ostale obrade podataka ključna je sastavnica u svakom podatkovnom vrijednosnom lancu. Takvo efektivno i efikasno funkcioniranje i razvoj podatkovnog gospodarstva u Uniji priječe međutim dvije vrste prepreka za mobilnost podataka i jedinstveno tržište.

(3)Sloboda poslovnog nastana i sloboda pružanja usluga iz Ugovora o funkcioniranju Europske unije vrijede i za usluge pohrane ili ostale obrade podataka. Međutim određeni nacionalni zahtjevi uvedeni u svrhu lokalizacije podataka na određenom području ometaju, a ponekad i sprečavaju pružanje tih usluga.

(4)Takve prepreke za slobodno kretanje usluga pohrane ili ostale obrade podataka te za pravo poslovnog nastana za pružatelje usluga pohrane ili ostale obrade podataka proizlaze iz zahtjeva u nacionalnim zakonima država članica da se za potrebe pohrane ili ostale obrade podaci lokaliziraju na određenom zemljopisnom ili državnom području. I neka druga pravila ili administrativne prakse imaju ekvivalentan učinak namećući posebne zahtjeve koji otežavaju pohranu ili ostalu obradu podataka izvan određenog zemljopisnog područja ili teritorija unutar Unije, kao što su zahtjevi da se upotrebljavaju tehnološka postrojenja certificirana ili odobrena u dotičnoj državi članici. Pravna nesigurnost u pogledu pitanja mjere legitimnih i nelegitimnih zahtjeva za lokalizaciju podataka dodatno ograničava opcije dostupne sudionicima na tržištu i javnom sektoru u pogledu lokacije pohrane ili ostale obrade podataka.

(5)Istovremeno je mobilnost podataka u Uniji otežana i privatnim ograničenjima: problemima pravne, ugovorne i tehničke prirode koji ometaju ili sprečavaju korisnike usluga pohrane ili ostale obrade podataka da svoje podatke prenesu od jednog pružatelja usluga drugome ili natrag u vlastite IT sustave, posebno po okončanju ugovora s pružateljem usluge.

(6)Radi pravne sigurnosti i potrebe za jednakim uvjetima poslovanja za sve sudionike na tržištu Unije, jedinstveni skup propisa za sve sudionike na tržištu ključan je čimbenik za funkcioniranje unutarnjeg tržišta. Kako bi se uklonile prepreke u trgovini i narušavanje tržišnog natjecanja koji proizlaze iz razlika među nacionalnim zakonodavstvima i spriječila pojava mogućih novih prepreka u trgovini i značajnog narušavanja tržišnog natjecanja, potrebno je donijeti jedinstvena pravila koja vrijede u svim državama članicama.

(7)Kako bi se stvorio okvir za slobodno kretanje neosobnih podataka u Uniji i temelj za razvoj podatkovnog gospodarstva i jačanje konkurentnosti europske industrije, neophodno je utvrditi jasan, sveobuhvatan i predvidiv pravni okvir za pohranu ili ostalu obradu neosobnih podataka na jedinstvenom tržištu. Pristup temeljen na načelima koji predviđa suradnju među državama članicama i samoregulaciju trebao bi osigurati fleksibilan okvir koji će omogućavati ispunjavanje promjenjivih i novih potreba korisnika, pružatelja usluga i nacionalnih tijela. Kako bi se izbjegao rizik preklapanja s postojećim mehanizmima te veća opterećenja i za države članice i za poduzeća, detaljna tehnička pravila ne bi trebalo uvoditi.

(8)Ova bi se Uredba trebala primjenjivati na pravne i fizičke osobe koje pružaju usluge pohrane ili ostale obrade podataka korisnicima koji imaju boravište ili poslovni nastan u Uniji, također i na pružatelje tih usluga koji pružaju usluge u Uniji ali nemaju poslovni nastan u njoj.

(9)Ova Uredba ne bi trebala utjecati na pravni okvir o zaštiti fizičkih osoba u pogledu obrade osobnih podataka, posebno na Uredbu (EU) 2016/679 30 , Direktivu (EU) 2016/680 31 i Direktivu 2002/58/EZ 32 .

(10)Prema Uredbi (EU) 2016/679 države članice ne mogu ni ograničavati ni zabranjivati slobodan protok osobnih podataka unutar Unije iz razloga povezanih sa zaštitom pojedinca u vezi s obradom osobnih podataka. Ovom Uredbom utvrđuje se isto načelo slobodnog protoka unutar Unije za neosobne podatke, osim ako je ograničenje ili zabrana opravdana iz sigurnosnih razloga.

(11)Ova bi se Uredba trebala primjenjivati na pohranu ili ostalu obradu podataka u najširem smislu, što obuhvaća upotrebu svih vrsta IT sustava, bez obzira jesu li oni locirani u prostorima korisnika ili eksternalizirani vanjskom pružatelju usluga pohrane ili ostale obrade podataka. Trebala bi obuhvaćati obradu podataka različitih razina intenziteta, od pohrane (infrastruktura kao usluga, engl. „Infrastructure-as-a-Service” (IaaS)) do obrade putem platformi (engl. „Platform-as-a-Service” (PaaS)) ili u aplikacijama (engl. „Software-as-a-Service” (SaaS)). Te različite usluge trebale bi biti unutar područja primjene ove Uredbe, osim ako se pohrana ili ostala obrada podataka pruža samo kao popratna usluga uz osnovnu uslugu druge vrste, kao što je posredovanje na e-tržištu između pružatelja usluga i potrošača ili poslovnih korisnika.

(12)Zahtjevi za lokalizaciju podataka jasna su prepreka slobodnom pružanju usluga pohrane ili ostale obrade podataka u cijeloj Uniji te funkcioniranju unutarnjeg tržišta. Kao takvi trebali bi biti zabranjeni, osim ako zadovoljavaju načelo proporcionalnosti iz članka 5. Ugovora o Europskoj uniji i ako su opravdani iz razloga javne sigurnosti, kako je utvrđeno pravom Unije, posebno člankom 52. Ugovora o funkcioniranju Europske unije. Kako bi se ostvarilo načelo slobodnog prekograničnog protoka neosobnih podataka, osiguralo brzo uklanjanje postojećih zahtjeva za lokalizaciju podataka i iz operativnih razloga omogućila pohrana i ostala obrada podataka na više lokacija diljem EU-a, te budući da se ovom Uredbom predviđaju mjere za osiguravanje dostupnosti podataka za potrebe regulatorne kontrole, države članice ne bi se trebale moći pozivati na druga opravdanja osim razloga javne sigurnosti.

(13)Kako bi se osigurala učinkovita provedba načela slobodnog prekograničnog protoka neosobnih podataka i spriječila pojava novih prepreka neometanom funkcioniranju unutarnjeg tržišta, države članice trebale bi obavijestiti Komisiju o svakom nacrtu zakona koji sadrži nove zahtjeve za lokalizaciju podataka ili izmjene postojećeg zahtjeva za lokalizaciju podataka. Te obavijesti trebale bi se podnositi i ocjenjivati u skladu s postupkom utvrđenim Direktivom (EU) 2015/1535 33 .

(14)Nadalje, kako bi se uklonile potencijalne postojeće prepreke, tijekom prijelaznog razdoblja od 12 mjeseci države članice trebale bi provesti preispitivanje postojećih nacionalnih zahtjeva za lokalizaciju podataka i Komisiju obavijestiti, uz obrazloženje, o svim zahtjevima za lokalizaciju podataka za koje smatraju da su u skladu s ovom Uredbom. Te bi obavijesti trebale omogućiti Komisiji da ocijeni sukladnost svih preostalih zahtjeva za lokalizaciju podataka.

(15)Kako bi se osigurala transparentnost zahtjeva za lokalizaciju podataka u državama članicama za fizičke ili pravne osobe, kao što su pružatelji i korisnici usluga pohrane ili ostale obrade podataka, svaka država članica trebala bi putem jedinstvene kontaktne točke na internetu objaviti i redovito ažurirati informacije o tim mjerama. Kako bi se na odgovarajući način informiralo pravne i fizičke osobe o zahtjevima za lokalizaciju podataka u cijeloj Uniji, države članice trebale bi dostaviti Komisiji adrese takvih internetskih stranica. Komisija bi te informacije trebala objaviti na vlastitom web-mjestu.

(16)Zahtjevi za lokalizaciju podataka često se temelje na nepovjerenju u prekograničnu pohranu ili ostalu obradu podataka, a ono proizlazi iz pretpostavke da će u tom slučaju podaci biti nedostupni za nadležna tijela države članice za potrebe npr. inspekcije i revizije u svrhe regulatorne ili nadzorne kontrole. Zato bi se ovom Uredbom trebalo jasno utvrditi da ona ne utječe na ovlasti nadležnih tijela da zahtijevaju pristup podacima u skladu sa zakonodavstvom Unije ili nacionalnim zakonodavstvom, te da se pristup nadležnih tijela podacima ne može odbiti uz obrazloženje da su podaci pohranjeni ili se na neki drugi način obrađuju u drugoj državi članici.

(17)Fizičke ili pravne osobe koje podliježu obvezama dostave podataka nadležnim tijelima mogu takve obveze ispuniti time što će omogućiti i zajamčiti učinkovit i brz elektronički pristup podacima za nadležna tijela, bez obzira na čijem državnom području su podaci pohranjeni ili se na neki drugi način obrađuju. Takav pristup podacima može se osigurati putem konkretnih uvjeta u ugovorima između fizičkih ili pravnih osoba koje podliježu obvezi davanja pristupa podacima i pružatelja usluga pohrane ili ostale obrade podataka.

(18)Ako ih se fizička ili pravna osoba koja podliježe obvezi davanja pristupa podacima ne pridržava i ako je nadležno tijelo iscrpilo sva primjenjiva sredstva za dobivanje pristupa podacima, nadležno tijelo bi trebalo moći zatražiti pomoć od nadležnih tijela u drugim državama članicama. U takvim slučajevima nadležna tijela bi trebala upotrebljavati posebne instrumente za suradnju utvrđene zakonodavstvom Unije ili međunarodnim sporazumima, ovisno o predmetu u dotičnom slučaju, kao što su, u području policijske suradnje, kaznenog ili građanskog pravosuđa odnosno u administrativnim predmetima, Okvirna odluka 2006/960 34 , Direktiva 2014/41/EU Europskog parlamenta i Vijeća 35 , Konvenciji o kibernetičkom kriminalu Vijeća Europe 36 , Uredba Vijeća (EZ) br. 1206/2001 37 , Direktiva Vijeća 2006/112/EZ 38 i Uredba Vijeća (EU) br. 904/2010 39 . U nedostatku takvih posebnih mehanizama suradnje nadležna tijela trebala bi u cilju osiguranja pristupa traženim podacima međusobno surađivati putem uspostavljenih jedinstvenih kontaktnih točaka, osim ako bi to bilo protivno javnom redu države članice primateljice zahtjeva.

(19)Ako zahtjev za pomoć sadržava zahtjev za pristup tijela primatelja zahtjeva svim prostorima fizičke ili pravne osobe, uključujući svu opremu i sredstva za pohranu ili ostalu obradu podataka, takav pristup mora biti u skladu s postupovnim pravom Unije ili države članice, uključujući i pravo zahtijevanja prethodnog sudskog odobrenja za pristup objektima.

(20)Mogućnost prijenosa podataka bez prepreka ključni je čimbenik za korisnikov odabir i učinkovito tržišno natjecanje na tržištima usluga pohrane i ostale obrade podataka. Stvarne ili prividne prepreke za prekogranični prijenos podataka također potkopavaju povjerenje profesionalnih korisnika u prekogranične ponude pa tako i povjerenje u unutarnje tržište. Dok fizičke osobe i potrošači imaju koristi od postojećeg zakonodavstva Unije, promjena pružatelja usluga nije olakšana za profesionalne korisnike tijekom njihovih poslovnih ili profesionalnih aktivnosti.

(21)Kako bi se u potpunosti iskoristile prednosti okruženja u kojem postoji slobodno tržišno natjecanje, profesionalni korisnici trebali bi moći donositi informirane odluke i lako uspoređivati pojedine komponente raznih ponuda pohrane ili ostale obrade podataka na tržištu, uključujući i u pogledu ugovornih uvjeta za prijenos podataka nakon prestanka ugovora. U cilju usklađivanja s inovativnim potencijalom tržišta te kako bi se u obzir uzelo iskustvo i stručno znanje pružatelja usluga i profesionalnih korisnika pohrane ili ostale obrade podataka, detaljne informacije i operativne zahtjeve za prijenos podataka trebali bi definirati sudionici na tržištu samoregulacijom putem kodeksa ponašanja na razini Unije, koji mogu sadržavati modele ugovornih uvjeta, što će Komisija poticati i olakšavati. Međutim, ako takvi kodeksi ponašanja ne budu utvrđeni i učinkovito provedeni u razumnom roku, Komisija bi trebala preispitati situaciju.

(22)Kako bi pridonijela neometanoj suradnji s drugim državama članicama, svaka država članica trebala bi uspostaviti jedinstvenu kontaktnu točku koja će u cilju provedbe ove Uredbe uspostaviti veze s kontaktnim točkama drugih država članica i Komisijom. Nadležno tijelo jedne države članice koje želi zatražiti pomoć druge države članice kako bi dobilo pristup podacima u skladu s ovom Uredbom trebalo bi podnijeti obrazložen zahtjev jedinstvenoj kontaktnoj točki te države članice uključujući pismeno obrazloženje razloga i pravne osnove za traženje pristupa podacima. Jedinstvena kontaktna točka uspostavljena od strane države članice primateljice zahtjeva za pomoć trebala bi olakšati uzajamnu pomoć među tijelima tako što će identificirati relevantno nadležno tijelo svoje države članice i proslijediti mu zahtjev. Kako bi se osigurala učinkovita suradnja, tijelo kojem je zahtjev proslijeđen trebalo bi bez odlaganja pružiti pomoć kao odgovor na upućeni zahtjev ili dati informacije o poteškoćama s udovoljavanjem zahtjevu za pomoć ili o razlozima za odbijanje takvog zahtjeva.

(23)Kako bi se osigurala učinkovita provedba postupka za pomoć među nadležnim tijelima država članica, Komisija može donijeti provedbene akte kojima će se utvrditi standardni obrasci, jezici zahtjeva, rokovi ili drugi detalji postupaka za traženje pomoći. Te bi se ovlasti trebale izvršavati u skladu s Uredbom (EU) br. 182/2011 Europskog parlamenta i Vijeća 40 .

(24)Jačanje povjerenja u sigurnost prekogranične pohrane ili ostale obrade podataka trebalo bi smanjiti sklonost sudionika na tržištu i javnog sektora da pribjegavaju lokalizaciji podataka kao zamjeni za sigurnost podataka. Time bi se također trebala poboljšati pravna sigurnost za poduzeća u pogledu primjenjivih sigurnosnih zahtjeva ako pohranu ili druge aktivnosti obrade podataka eksternaliziraju, uključujući i pružateljima usluga u drugim državama članicama.

(25)Sigurnosni zahtjevi u pogledu pohrane ili ostale obrade podataka koji se primjenjuju na opravdan i proporcionalan način na temelju zakonodavstva Unije ili nacionalnog zakonodavstva u skladu sa zakonodavstvom Unije u državi članici boravišta ili poslovnog nastana fizičkih ili pravnih osoba čiji su podaci u pitanju trebali bi se primjenjivati i na pohranu i ostalu obradu tih podataka u drugoj državi članici. Te fizičke ili pravne osobe takve bi zahtjeve trebale moći ispuniti ili same ili putem klauzula u ugovorima s pružateljima usluga.

(26) Sigurnosni zahtjevi uvedeni na nacionalnoj razini trebali bi biti neophodni i proporcionalni rizicima koji postoje za sigurnost pohrane ili ostale obrade podataka u području primjene nacionalnog zakonodavstva u kojem su ti zahtjevi utvrđeni.

(27)Direktivom 2016/1148 41 utvrđene su mjere u cilju povećanja razine kibersigurnosti u Uniji. Usluge pohrane ili ostale obrade podataka digitalne su usluge obuhvaćene tom direktivom. Prema njezinu članku 16. države članice dužne su osigurati da pružatelji digitalnih usluga identificiraju rizike za sigurnost mrežnih i informacijskih sustava koje upotrebljavaju i poduzimaju odgovarajuće i proporcionalne tehničke i organizacijske mjere za upravljanje tim rizicima. Takvim mjerama trebalo bi osigurati razinu sigurnosti primjerenu postojećem riziku uzimajući u obzir sigurnost sustava i uređaja, nošenje s eventualnim incidentom, upravljanje kontinuitetom poslovanja, praćenje, reviziju i testiranje te sukladnost s međunarodnim standardima. Komisija te elemente treba detaljnije utvrditi provedbenim aktima u okviru te direktive.

(28)Komisija bi trebala redovito preispitivati ovu Uredbu, osobito u cilju određivanja potrebe za izmjenama s obzirom na tehnološki razvoj ili kretanja na tržištu.

(29)Ovom Uredbom poštuju se temeljna prava i postupa se u skladu s načelima priznatima Poveljom Europske unije o temeljnim pravima te bi je trebalo tumačiti i primjenjivati u skladu s tim pravima i načelima, uključujući prava na zaštitu osobnih podataka (članak 8.), slobodu poslovanja (članak 16.) te slobodu izražavanja i informiranja (članak 11.).

(30)Budući da se cilj ove Uredbe, konkretno osiguravanje slobodnog protoka neosobnih podataka u Uniji, ne može dostatno ostvariti na razini država članica, nego se, zbog njegova opsega i učinaka, on na bolji način može ostvariti na razini Unije, Unija može donijeti mjere u skladu s načelom supsidijarnosti utvrđenim u članku 5. Ugovora o Europskoj uniji. U skladu s načelom proporcionalnosti utvrđenim u tom članku, ova Uredba ne prelazi ono što je potrebno za ostvarivanje tog cilja,

DONIJELI SU OVU UREDBU:

Članak 1.
Predmet

Ovom se Uredbom nastoji osigurati slobodan protok neosobnih podataka unutar Unije utvrđivanjem pravila koja se odnose na zahtjeve za lokalizaciju podataka, dostupnost podataka za nadležna tijela i prijenos podataka za profesionalne korisnike.

Članak 2.
Područje primjene

1.Ova se Uredba primjenjuje na pohranu i ostalu obradu elektroničkih podataka u Uniji (osim osobnih podataka)

(a)koja se pruža kao usluga korisnicima s boravištem ili poslovnim nastanom u Uniji, bez obzira na to ima li pružatelj usluga poslovni nastan u Uniji ili izvan nje, ili

(b)koju provodi fizička ili pravna osoba s boravištem odnosno poslovnim nastanom u Uniji za vlastite potrebe.

2.Ova se Uredba ne primjenjuje na aktivnosti koje su izvan područja primjene zakonodavstva Unije.

Članak 3.
Definicije

Za potrebe ove Uredbe primjenjuju se sljedeće definicije:

1.„podaci” znači podaci osim osobnih podataka iz članka 4. stavka 1. Uredbe (EU) 2016/679;

2.„pohrana podataka” znači bilo koja pohrana podataka u elektroničkom formatu;

3.„nacrt akta” znači tekst sastavljen u cilju donošenja u obliku općeg zakona, propisa ili administrativne odredbe, koji je još u fazi pripreme u kojoj država članica koja dostavlja obavijest i dalje ima mogućnost unijeti suštinske izmjene;

4.„pružatelj” znači fizička ili pravna osoba koja pruža usluge pohrane ili ostale obrade podataka;

5.„zahtjev za lokalizaciju podataka” znači bilo koja obveza, zabrana, uvjet, ograničenje ili drugi zahtjev utvrđen zakonima, uredbama ili administrativnim odredbama država članica kojima se nameće lokalizacija pohrane ili ostale obrade podataka na državnom području određene države članice ili sprečava pohrana ili ostala obrada podataka u bilo kojoj drugoj državi članici;

6.„nadležno tijelo” znači tijelo države članice koje, u skladu s nacionalnim zakonodavstvom ili zakonodavstvom Unije, u svrhu obavljanja svojih službenih dužnosti ima ovlasti za pristup podacima koje pohranjuju ili obrađuju fizičke ili pravne osobe;

7.„korisnik” znači fizička ili pravna osoba koja se koristi uslugama pohrane ili ostale obrade podataka;

8.„profesionalni korisnik” znači fizička ili pravna osoba, uključujući i subjekte iz javnog sektora, koja koristi ili zatraži usluge pohrane ili ostale obrade podataka za potrebe svoje trgovačke, poslovne, obrtničke ili profesionalne djelatnosti ili zadaće.

Članak 4.
Slobodan protok podataka unutar Unije

1.Lokacija podataka u svrhe pohrane ili ostale obrade unutar Unije ne smije se ograničavati na državno područje određene države članice, a pohrana ili ostala obrada u bilo kojoj drugoj državi članici ne smije se zabranjivati ili ograničavati, osim ako je to opravdano iz razloga javne sigurnosti.

2.Države članice dužne su obavijestiti Komisiju, u skladu s postupcima utvrđenima nacionalnim zakonodavstvom u okviru provedbe Direktive (EU) 2015/1535, o svakom nacrtu akta kojim se uvodi nov ili mijenja postojeći zahtjev za lokalizaciju podataka.

3.U roku od 12 mjeseci nakon početka primjene ove Uredbe države članice dužne su osigurati stavljanje izvan snage svih zahtjeva za lokalizaciju podataka koji nisu u skladu sa stavkom 1. Ako država članica smatra da je određeni zahtjev za lokalizaciju podataka u skladu sa stavkom 1. i da stoga može ostati na snazi, tu je mjeru dužna prijaviti Komisiji uz obrazloženje zadržavanja tog zahtjeva na snazi.

4.Svaka država članica dužna je putem jedinstvene kontaktne točke na internetu objaviti i redovito ažurirati detalje o svim zahtjevima za lokalizaciju podataka koji se primjenjuju na njezinu državnom području.

5.Svaka država članica dužna je obavijestiti Komisiju o internetskoj adresi svoje jedinstvene kontaktne točke iz stavka 4. Poveznice na te jedinstvene kontaktne točke Komisija objavljuje na svojem web-mjestu.

Članak 5.
Dostupnost podataka za nadležna tijela

1.Ova Uredba nema utjecaja na ovlasti nadležnih tijela da zatraže i dobiju pristup podacima za potrebe obavljanja svojih službenih dužnosti u skladu s zakonodavstvom Unije i nacionalnim zakonodavstvom. Nadležnim tijelima ne može se odbiti pristup podacima uz obrazloženje da su pohranjeni ili se obrađuju u nekoj drugoj državi članici.

2.Ako je iscrpilo sva primjenjiva sredstva za dobivanje pristupa podacima, nadležno tijelo može zatražiti pomoć nadležnog tijela druge države članice u skladu s postupkom iz članka 7., a nadležno tijelo primatelj tog zahtjeva dužno je pružiti pomoć u skladu s postupkom iz članka 7., osim ako bi to bilo protivno javnom redu dotične države članice.

3.Ako zahtjev za pomoć uključuje pristup nadležnog tijela kojem je zahtjev upućen svim prostorima fizičke ili pravne osobe, uključujući svu opremu i sredstva za pohranu ili ostalu obradu podataka, takav pristup mora biti u skladu s postupovnim pravom Unije ili države članice.

4.Stavak 2. primjenjuje se samo ako ne postoji poseban mehanizam suradnje u pogledu razmjene podataka među nadležnim tijelima različitih država članica utvrđen zakonodavstvom Unije ili međunarodnim sporazumima.

Članak 6.
Prijenos podataka

1.Komisija potiče i olakšava izradu samoregulatornih kodeksa ponašanja na razini Unije kako bi se utvrdile smjernice o najboljim praksama za olakšavanje promjene pružatelja usluga i osiguralo da se profesionalnim korisnicima prije zaključivanja ugovora o pohrani i obradi podataka pruže dovoljno detaljne, jasne i transparentne informacije u pogledu sljedećih pitanja:

(a)postupci, tehnički zahtjevi, rokovi i naknade koje se primjenjuju u slučaju kad profesionalni korisnik želi promijeniti pružatelja usluga ili prenijeti podatke natrag u vlastiti IT sustav, uključujući postupke i lokaciju rezervnih kopija podataka, dostupne formate podataka te podršku, potrebnu IT konfiguraciju i minimalnu širinu pojasa mreže; vrijeme potrebno prije pokretanja postupka prijenosa podataka i vrijeme tijekom kojeg će podaci ostati dostupni za prijenos; i jamstva za pristup podacima u slučaju da pružatelj usluga proglasi stečaj; te

(b)operativni zahtjevi za promjenu pružatelja usluga ili prijenos podataka u strukturiranom, uobičajenom i strojno čitljivom formatu, takvi da korisniku daju dovoljno vremena za promjenu pružatelja usluga ili prijenos podataka.

2.Komisija potiče pružatelje usluga da kodekse ponašanja iz stavka 1. učinkovito primijene u roku od godinu dana od početka primjene ove Uredbe.

3.Komisija je dužna preispitati izradu i učinkovitu primjenu takvih kodeksa ponašanja i učinkovito davanje informacija od strane pružatelja usluga najkasnije dvije godine nakon početka primjene ove Uredbe.

Članak 7.
Jedinstvene kontaktne točke

1.Svaka država članica uspostavlja jedinstvenu kontaktnu točku koja se povezuje s jedinstvenim kontaktnim točkama ostalih država članica i Komisijom u pogledu primjene ove Uredbe. Države članice dužne su izvijestiti Komisiju o uspostavljenim jedinstvenim kontaktnim točkama i o svim daljnjim izmjenama u pogledu tih kontaktnih točaka.

2.Države članice osiguravaju da jedinstvene kontaktne točke imaju potrebna sredstva za provedbu ove Uredbe.

3.Nadležno tijelo jedne države članice koje želi zatražiti pomoć druge države članice kako bi dobilo pristup podacima u skladu s člankom 5. stavkom 2. podnosi obrazložen zahtjev jedinstvenoj kontaktnoj točki te države članice, uključujući pismeno obrazloženje razloga i pravne osnove za traženje pristupa podacima.

4.Jedinstvena kontaktna točka identificira relevantno nadležno tijelo svoje države članice i tom nadležnom tijelu prosljeđuje zahtjev zaprimljen u skladu sa stavkom 3. Nadležno tijelo primatelj zahtjeva bez nepotrebnog odgađanja poduzima sljedeće:

(a)odgovara nadležnom tijelu podnositelju zahtjeva i obavješćuje jedinstvenu kontaktnu točku o svojem odgovoru te

(b)informira jedinstvenu kontaktnu točku i nadležno tijelo koje je podnijelo zahtjev o bilo kojim poteškoćama ili, u slučaju odbijanja ili djelomičnog ispunjenja zahtjeva, o razlozima takvog odbijanja ili djelomičnog ispunjenja.

5.Sve informacije razmijenjene u kontekstu pomoći zatražene i pružene u skladu s člankom 5. stavkom 2. smiju se upotrebljavati samo u onu svrhu za koju su zatražene.

6.Komisija može donijeti provedbene akte kojima će se utvrditi standardni obrasci, jezici zahtjevâ, rokovi i drugi detalji postupaka za traženje pomoći. Takvi provedbeni akti donose se u skladu s postupkom iz članka 8.

Članak 8.
Odbor

1.Komisiji pomaže Odbor za slobodan protok podataka. Navedeni odbor jest odbor u smislu Uredbe (EU) br. 182/2011.

2.Pri upućivanju na ovaj stavak primjenjuje se članak 5. Uredbe (EU) br. 182/2011.

Članak 9.
Preispitivanje

1.Komisija će najkasnije [5 godina nakon datuma navedenog u članku 10. stavku 2.] provesti preispitivanje ove Uredbe i izložiti glavne rezultate u izvješću Europskom parlamentu, Vijeću i Europskom gospodarskom i socijalnom odboru.

2.Države članice dostavljaju Komisiji podatke potrebne za pripremu izvješća iz stavka 1.

Članak 10.
Završne odredbe

1.Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

2.Ova se Uredba počinje primjenjivati šest mjeseci nakon objave.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu

(1) Strojno učenje primjena je umjetne inteligencije koja sustavima daje sposobnost automatskog učenja i napredovanja na temelju iskustva iako za to nisu izričito programirani.

(2) COM(2017) 9, „Stvaranje europskog podatkovnog gospodarstva”, 10. siječnja 2017.; vidi i radni dokument službi Komisije koji je priložen toj Komunikaciji, SWD(2017) 2 od 10. siječnja 2017.

(3)

   IDC i Open Evidence, europsko podatkovno tržište, final, 1. veljače 2017. (SMART 2013/0063).

(4) Komunikacija Komisije donesena 10. svibnja 2017. (COM(2017) 228 final).

(5) Druge usluge obrade podataka uključuju pružanje podatkovnih usluga kao što su analiza podataka, sustavi upravljanja podacima itd.

(6) COM/2015/0192 final.

(7) Uvodni govor na plenarnoj sjednici Europskog parlamenta u Strasbourgu 22. listopada 2014.

(8) Direktiva (EZ) 2000/31 Europskog parlamenta i Vijeća od 8. lipnja 2000. o određenim pravnim aspektima usluga informacijskog društva na unutarnjem tržištu, posebno elektroničke trgovine (Direktiva o elektroničkoj trgovini) (SL L 178, 17.7.2000., str. 1.).

(9) Direktiva (EZ) 2006/123 Europskog parlamenta i Vijeća od 12. prosinca 2006. o uslugama na unutarnjem tržištu (SL L 376, 27.12.2006., str. 36.).

(10) Studija konzultantske agencije LE Europe (SMART 2015/0016) i Studija IDC-a (SMART 2013/0063).

(11) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).

(12) Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL L 119, 4.5.2016., str. 89.).

(13) Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37.).

(14) Direktiva (EU) 2015/1535 Europskog parlamenta i Vijeća od 9. rujna 2015. o utvrđivanju postupka pružanja informacija u području tehničkih propisa i pravila o uslugama informacijskog društva (SL L 241, 17.9.2015., str. 1.).

(15) COM(2017) 228 final.

(16) COM(2016) 178 final, „Inicijativa Europski oblak – izgradnja konkurentnog podatkovnog gospodarstva i gospodarstva znanja u Europi”, 19. travnja 2016.

(17) COM(2017) 134 final, „Europski okvir interoperabilnosti – strategija provedbe”, 23. ožujak 2017.

(18) COM(2014) 72 final, „Politika interneta i upravljanje internetom – uloga Europe u oblikovanju budućnosti upravljanja internetom”, http://eur-lex.europa.eu/legal-content/EN/ALL/?uri=COM:2014:0072:FIN  

(19)

   Dodatni gospodarski dokazi prikupljani su putem studija o gospodarskom učinku računalstva u oblaku u Europi (SMART 2014/0031, Deloitte, “Measuring the economic impact of cloud computing in Europe” (Mjerenje gospodarskog učinka računalstva u oblaku u Europi), 2016).

(20) Na upitnik s višestrukim izborom odgovora u okviru javnog savjetovanja odgovorilo je 289 dionika. Ispitanicima nije postavljeno pitanje o vrsti zakonodavnog djelovanja, ali 12 dionika na vlastitu je inicijativu iskoristilo mogućnost da u pisanom komentaru izričito pozove na donošenje Uredbe. Tu skupinu sačinjavali su dionici različitih vrsta i to: dvije države članice, tri poslovna udruženja, šest pružatelja IT usluga i jedno odvjetničko društvo.

(21) SMART 2015/0054, TimeLex, Spark i Tech4i, „Cross-border Data Flow in the Digital Single Market: Study on Data Location Restrictions”(Prekogranični protok podataka na digitalnom jedinstvenom tržištu: studija ograničenja donesenih u cilju lokalizacije podataka), D5. Konačno izvješće (u tijeku) [TimeLex Study (SMART 2015/0054)]; SMART 2015/0016, London Economics Europe, Carsa i CharlesRussellSpeechlys, „Facilitating cross border data flow in the Digital Single Market” (Olakšavanje prekograničnog protoka podataka na jedinstvenom digitalnom tržištu), 2016. (u tijeku) [LE Europe Study (SMART 2015/0016)].

(22) SMART 2016/0032, IDC i Arthur's Legal, „Switching between Cloud Service Providers” (Promjena pružatelja usluge računalstva u oblaku), 2017. (u tijeku) [IDC i Arthur's Legal Study (SMART 2016/0032)].

(23) SMART 2016/0029 (u tijeku), Tecnalia, „Certification Schemes for Cloud Computing” (Programi certifikacije za računalstvo u oblaku), D6.1 početno izvješće.

(24) SMART 2014/0031, Deloitte, „Measuring the economic impact of cloud computing in Europe” (Mjerenje gospodarskog učinka računalstva u oblaku u Europi), 2016. [Deloitte Study (SMART 2014/0031)].

(25) SMART 2013/43, IDC, „Uptake of Cloud in Europe. Follow-up of IDC Study on Quantitative estimates of the demand for Cloud computing in Europe and the likely barriers to take-up” (Prihvaćenost računalstva u oblaku u Europi, nastavak studije IDC-a o kvantitativnim procjenama potražnje za računalstvom u oblaku u Europi i vjerojatnih prepreka za njegovo prihvaćanje”, 2014., dostupno na: http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=9742 ; SMART 2011/0045, IDC, „Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Uptake” (Kvantitativne procjene potražnje za računalstvom u oblaku u Europi i vjerojatne prepreke za njegovo prihvaćanje) (srpanj 2012.).

(26) SMART 2013/0063, IDC i Open Evidence, „European Data Market. Data ownership and Access to Data - Key Emerging Issues” (Europsko podatkovno tržište. Vlasništvo nad podacima i pristup podacima – ključna nova pitanja), 1. veljače 2017. [Studija IDC-a (SMART 2013/0063)].

(27) SMART 2015/0018, TimeLex, Spark, „Clarification of Applicable Legal Framework for Full, Co- or Self-Regulatory Actions in the Cloud Computing Sector” (Pojašnjenje primjenjivog pravnog okvira za regulatorne, koregulatorne i samoregulatorne aktivnosti u sektoru računalstva u oblaku) (u tijeku).

(28) SL C, , str. .

(29) SL C, , str. .

(30) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).

(31) Direktiva (EU) 2016/680 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka od strane nadležnih tijela u svrhe sprečavanja, istrage, otkrivanja ili progona kaznenih djela ili izvršavanja kaznenih sankcija i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Okvirne odluke Vijeća 2008/977/PUP (SL L 119, 4.5.2016., str. 89.).

(32) Direktiva 2002/58/EZ Europskog parlamenta i Vijeća od 12. srpnja 2002. o obradi osobnih podataka i zaštiti privatnosti u području elektroničkih komunikacija (Direktiva o privatnosti i elektroničkim komunikacijama) (SL L 201, 31.7.2002., str. 37.).

(33) Direktiva (EU) 2015/1535 Europskog parlamenta i Vijeća od 9. rujna 2015. o utvrđivanju postupka pružanja informacija u području tehničkih propisa i pravila o uslugama informacijskog društva (SL L 241, 17.9.2015., str. 1.).

(34) Okvirna odluka Vijeća 2006/960/PUP od 18. prosinca 2006. o pojednostavljenju razmjene informacija i obavještajnih podataka između tijela zaduženih za izvršavanje zakona u državama članicama Europske unije (SL L 386, 29.12.2006., str. 89.).

(35) Direktiva 2014/41/EU Europskog parlamenta i Vijeća od 3. travnja 2014. o Europskom istražnom nalogu u kaznenim stvarima (SL L 130, 1.5.2014., str. 1.).

(36) Konvencija o kibernetičkom kriminalu Vijeća Europe, CETS br. 185.

(37) Uredba Vijeća (EZ) br. 1206/2001 od 28. svibnja 2001. o suradnji između sudova država članica u izvođenju dokaza u građanskim ili trgovačkim stvarima (SL L 174, 27.6.2001., str. 1.).

(38) Direktiva Vijeća 2006/112/EZ od 28. studenoga 2006. o zajedničkom sustavu poreza na dodanu vrijednost (SL L 347, 11.12.2006., str. 1.).

(39) Uredba Vijeća (EU) br. 904/2010 od 7. listopada 2010. o administrativnoj suradnji i suzbijanju prijevare u području poreza na dodanu vrijednost ( SL L 268, 12.10.2010., str. 1. ).

(40) Uredba (EU) br. 182/2011 Europskog parlamenta i Vijeća od 16. veljače 2011. o utvrđivanju pravila i općih načela u vezi s mehanizmima nadzora država članica nad izvršavanjem provedbenih ovlasti Komisije (SL L 55, 28.2.2011., str. 13.).

(41) Direktiva (EU) 2016/1148 Europskog parlamenta i Vijeća od 6. srpnja 2016. o mjerama za visoku zajedničku razinu sigurnosti mrežnih i informacijskih sustava širom Unije (SL L 194, 19.7.2016., str. 1.).