(1)

Ekonomikas digitalizācija kļūst aizvien straujāka. Informācijas un komunikācijas tehnoloģijas vairs nav specifiska nozare, bet gan pamats visām mūsdienu inovatīvajām ekonomikas sistēmām un sabiedrībai. Šo sistēmu centrā ir elektroniskie dati, un, tos analizējot vai kombinējot ar pakalpojumiem un produktiem, tie var radīt lielu vērtību. Tajā pašā laikā datu ekonomikas straujā attīstība un jaunās tehnoloģijas, piemēram, mākslīgais intelekts, ar lietu internetu saistītie produkti un pakalpojumi, autonomas sistēmas un 5G, rada jaunas juridiskas problēmas saistībā ar piekļuvi datiem un to atkalizmantošanu, atbildību, ētiku un solidaritāti. Būtu jāpievēršas jautājumam par atbildību, jo īpaši ar pašregulējošu kodeksu un cita veida labākās prakses ieviešanas palīdzību, ņemot vērā ieteikumus un lēmumus, kas tiek pieņemti, un darbības, kas tiek veiktas bez cilvēka iejaukšanās visā datu apstrādes vērtības veidošanās ķēdē. Šā darba procesā varētu arī iekļaut atbilstošus mehānismus atbildības noteikšanai, atbildības nodošanai starp dienestiem, kas savstarpēji sadarbojas, apdrošināšanai un revīzijai.

(2)

Datu vērtības veidošanās ķēdes balstās uz dažādām ar datiem veiktām darbībām: datu radīšanu un vākšanu, datu apkopošanu un organizēšanu, datu apstrādi, datu analīzi, tirgvedību un izplatīšanu, datu izmantošanu un atkalizmantošanu. Ikvienas datu vērtības veidošanās ķēdes svarīgs elements ir efektīva un lietderīga datu apstrāde. Tomēr efektīvu un lietderīgu datu apstrādi un datu ekonomikas attīstību Savienībā jo īpaši kavē divu veidu šķēršļi datu mobilitātei un iekšējam tirgum: dalībvalstu iestāžu ieviestās datu teritoriālas ierobežošanas prasības un tāda prakse kā piesaiste pārdevējam privātajā sektorā.

(3)

Saskaņā ar Līgumu par Eiropas Savienības darbību (LESD) uz datu apstrādes pakalpojumiem attiecas brīvība veikt uzņēmējdarbību un pakalpojumu sniegšanas brīvība. Taču minēto pakalpojumu sniegšanu traucē un reizēm pat liedz atsevišķas valsts, reģionālās vai vietējās prasības, ka datiem ir jāatrodas konkrētā teritorijā.

(4)

Šādus šķēršļus datu apstrādes pakalpojumu brīvai apritei un pakalpojumu sniedzēju tiesībām veikt uzņēmējdarbību rada dalībvalstu tiesību aktos ietvertās prasības, lai dati apstrādes vajadzībām atrastos konkrētā ģeogrāfiskā apgabalā vai teritorijā. Tāda pati ietekme ir citiem noteikumiem vai administratīvai praksei, kas paredz īpašas prasības, kuras apgrūtina datu apstrādi ārpus noteikta ģeogrāfiskā apgabala vai teritorijas Savienībā, piemēram, prasība izmantot konkrētā dalībvalstī sertificētus vai apstiprinātus tehnoloģiskos līdzekļus. Turklāt tirgus dalībniekiem un publiskajam sektoram pieejamās izvēles iespējas datu apstrādes vietas ziņā ierobežo arī juridiskā nenoteiktība par pamatotu un nepamatotu datu teritoriālu ierobežošanas prasību apmēru. Šī regula nekādā ziņā neierobežo uzņēmumu brīvību slēgt līgumus, kuros tiek precizēta vieta, kur datiem ir jāatrodas. Šī regula ir paredzēta tikai tam, lai aizsargātu minēto brīvību, nodrošinot, ka vieta, kurā vienojas turēt datus, var būt jebkur Savienības teritorijā.

(5)

Tajā pašā laikā datu mobilitāti Savienībā kavē arī privāta rakstura ierobežojumi: juridiskas, līgumiskas un tehniskas problēmas, kas datu apstrādes pakalpojumu lietotājiem apgrūtina vai liedz savus datus pārnest no viena pakalpojumu sniedzēja pie cita vai atpakaļ uz savām informācijas tehnoloģiju (IT) sistēmām, jo īpaši tad, kad beidzas to līgums ar kādu pakalpojumu sniedzēju.

(6)

Minēto šķēršļu kombinācija ir izraisījusi konkurences trūkumu starp mākoņpakalpojumu sniedzējiem Savienībā, dažādas problēmas, kas saistītas ar grūtībām mainīt pakalpojumu sniedzēju, un nopietnu datu mobilitātes trūkumu. Tāpat arī datu teritoriālas ierobežošanas politika ir mazinājusi pētniecības un izstrādes uzņēmumu spēju atvieglot sadarbību starp uzņēmumiem, augstskolām un citām pētniecības organizācijām nolūkā veicināt inovāciju.

(7)

Juridiskās noteiktības labad un ņemot vērā nepieciešamību Savienībā nodrošināt vienlīdzīgus konkurences apstākļus, svarīgs iekšējā tirgus darbības elements ir visiem tirgus dalībniekiem vienots noteikumu kopums. Lai likvidētu šķēršļus tirdzniecībai un konkurences izkropļojumus, ko rada atšķirības starp valstu tiesību aktiem, un novērstu iespējamu tirdzniecības šķēršļu un būtisku konkurences izkropļojumu rašanos nākotnē, būtu jāpieņem visās dalībvalstīs piemērojami vienoti noteikumi.

(8)

Šī regula neskar tiesisko regulējumu attiecībā uz fizisku personu aizsardzību saistībā ar persondatu apstrādi, kā arī attiecībā uz privātās dzīves neaizskaramību un persondatu aizsardzību elektroniskajos sakaros un jo īpaši Eiropas Parlamenta un Padomes Regulu (ES) 2016/679 (3) un Eiropas Parlamenta un Padomes Direktīvas (ES) 2016/680 (4) un 2002/58/EK (5).

(9)

Būtiski nepersondatu avoti ir lietu internets, mākslīgais intelekts un mašīnmācīšanās – parādības, kas vēršas plašumā –, piemēram, kad tie tiek izmantoti automatizētos rūpnieciskās ražošanas procesos. Konkrēti nepersondatu piemēri ir apkopotas un anonimizētas datu kopas, ko izmanto lielo datu analīzei, dati par precīzo lauksaimniecību, kuri var palīdzēt uzraudzīt un optimizēt pesticīdu un ūdens izmantošanu, un dati par vajadzībām, kas saistītas ar rūpniecības iekārtu uzturēšanu. Ja tehnoloģiskā attīstība dod iespēju anonimizētus datus pārveidot par persondatiem, šādi dati uzskatāmi par persondatiem un attiecīgi ir piemērojama Regula (ES) 2016/679.

(10)

Saskaņā ar Regulu (ES) 2016/679 dalībvalstis nedrīkst nedz ierobežot, nedz aizliegt brīvu persondatu apriti Savienībā tādu iemeslu dēļ, kas saistīti ar fizisku personu aizsardzību attiecībā uz persondatu apstrādi. Šī regula paredz tādu pašu brīvas aprites principu Savienībā arī attiecībā uz nepersondatiem, izņemot gadījumus, kad šāds ierobežojums vai aizliegums ir pamatots sabiedriskās drošības apsvērumu dēļ. Regula (ES) 2016/679 un šī regula paredz saskaņotu noteikumu kopumu, ar kuriem nodrošina dažāda veida datu brīvu apriti. Turklāt šī regula neuzliek pienākumu šo dažādo veidu datus glabāt atsevišķi.

(11)

Lai izveidotu satvaru nepersondatu brīvai plūsmai Savienībā un pamatus datu ekonomikas attīstībai un Savienības rūpniecības konkurētspējas uzlabošanai, nepieciešams noteikt skaidru, visaptverošu un paredzamu tiesisko regulējumu datu, kas nav persondati, apstrādei iekšējā tirgū. Uz principiem balstītai pieejai, kas paredz sadarbību starp dalībvalstīm un pašregulāciju, būtu jānodrošina, ka šis satvars ir pietiekami elastīgs, lai ņemtu vērā jaunās lietotāju, pakalpojumu sniedzēju un valsts iestāžu vajadzības Savienībā. Lai izvairītos no iespējamas pārklāšanās ar pastāvošajiem mehānismiem, tādējādi novēršot lielāku slogu gan dalībvalstīm, gan uzņēmumiem, nebūtu jānosaka detalizēti tehniskie noteikumi.

(12)

Šai regulai nebūtu jāskar datu apstrāde, ja to veic kā daļu no darbības, kas neietilpst Savienības tiesību aktu piemērošanas jomā. Jo īpaši būtu jāatgādina, ka saskaņā ar Līguma par Eiropas Savienību (LES) 4. pantu valsts drošība ir vienīgi katras dalībvalsts atbildībā.

(13)

Brīvai datu plūsmai Savienībā būs svarīga loma datu virzītas izaugsmes un inovācijas nodrošināšanā. Tāpat kā uzņēmumi un patērētāji arī dalībvalstu publiskās iestādes un publisko tiesību subjekti var gūt labumu no lielākas no datiem atkarīgu pakalpojumu sniedzēju izvēles brīvības, konkurētspējīgākām cenām un efektīvākas pakalpojumu sniegšanas iedzīvotājiem. Ņemot vērā lielos datu apjomus, ar ko rīkojas publiskās iestādes un publisko tiesību subjekti, ir ļoti svarīgi, lai tie rādītu piemēru, izmantojot datu apstrādes pakalpojumus, un atturētos no ierobežojumiem datu teritoriālas ierobežošanas jomā, kad tie izmanto datu apstrādes pakalpojumus. Tādēļ šīs regulas piemērošanas jomā būtu jāiekļauj publiskās iestādes un publisko tiesību subjekti. No iepriekš minētā izriet, ka šajā regulā paredzētais brīvas nepersondatu plūsmas princips būtu arī jāpiemēro vispārējai un konsekventai administratīvajai praksei un citām datu teritoriālas ierobežošanas prasībām publiskā iepirkuma jomā, neskarot Eiropas Parlamenta un Padomes Direktīvu 2014/24/ES (6).

(14)

Tāpat kā Direktīva 2014/24/ES šī regula neskar normatīvos un administratīvos aktus, kas attiecas uz dalībvalstu iekšējo organizāciju un ar ko publiskām iestādēm un publisko tiesību subjektiem piešķir pilnvaras un pienākumus datu apstrādes jomā bez līgumā noteikta privāto tiesību subjektu atalgojuma, kā arī tādus dalībvalstu normatīvos un administratīvos aktus, kuros paredzēta minēto pilnvaru un pienākumu īstenošana. Lai gan publiskās iestādes un publisko tiesību subjekti tiek mudināti apsvērt ekonomiskos un citus ieguvumus, ko sniedz ārpakalpojumu sniedzēju nolīgšana, tiem varētu būt pamatoti iemesli izvēlēties pakalpojumus nodrošināt pašiem vai izraudzīties to sniedzēju no sava vidus. Līdz ar to nekas šajā regulā dalībvalstīm neuzliek par pienākumu slēgt līgumus par ārpakalpojumiem vai izmantot ārpakalpojumu sniedzējus tādu pakalpojumu sniegšanai, kurus tās vēlas sniegt pašas vai organizēt to sniegšanu, izmantojot līdzekļus, kas nav publiskā iepirkuma līgumi.

(15)

Šī regula būtu jāpiemēro fiziskām vai juridiskām personām, kas sniedz datu apstrādes pakalpojumus lietotājiem, kuriem Savienībā ir pastāvīga dzīvesvieta vai reģistrācijas vieta, tostarp personām, kuras Savienībā sniedz datu apstrādes pakalpojumus, lai gan tām tajā nav reģistrācijas vietas. Tādēļ šo regulu nevajadzētu attiecināt uz datu apstrādes pakalpojumiem, kas notiek ārpus Savienības, un datu teritoriālas ierobežošanas prasībām, kuras piemēro šādiem datiem.

(16)

Šī regula neparedz noteikumus par komerclietās piemērojamu tiesību aktu noteikšanu, un tāpēc tā neskar Eiropas Parlamenta un Padomes Regulu (EK) Nr. 593/2008 (7). Jo īpaši – ciktāl līgumam piemērojamie tiesību akti nav izraudzīti saskaņā ar minēto regulu – pakalpojumu sniegšanas līgumu principā reglamentē tās valsts tiesību akti, kurā pakalpojumu sniedzējam ir parastā rezidences vieta.

(17)

Šī regula būtu jāpiemēro datu apstrādei visplašākā nozīmē, aptverot visu veidu IT sistēmu izmantošanu neatkarīgi no tā, vai tās atrodas lietotāja telpās, vai ir uzticētas pakalpojumu sniedzējam. Tai būtu jāaptver dažādas intensitātes pakāpes datu apstrāde – no datu glabāšanas (infrastruktūra kā pakalpojums (IaaS)) līdz datu apstrādei platformās (platforma kā pakalpojums (PaaS)) vai lietotnēs (programmatūra kā pakalpojums (SaaS)).

(18)

Datu teritoriālas ierobežošanas prasības ir nepārprotams šķērslis brīvai datu apstrādes pakalpojumu sniegšanai Savienības teritorijā, kā arī iekšējā tirgus darbībai. Šīs prasības pēc būtības būtu jāaizliedz, ja vien tās nav pamatotas ar sabiedriskās drošības apsvērumiem, kā noteikts Savienības tiesību aktos, jo īpaši LESD 52. panta nozīmē, un ja vien tās neatbilst LES 5. pantā noteiktajam proporcionalitātes principam. Lai īstenotu principu, kas paredz nepersondatu brīvu plūsmu pāri robežām, nodrošinātu spēkā esošo datu teritoriālas ierobežošanas prasību ātru atcelšanu un dotu iespēju operatīvu iemeslu dēļ datus apstrādāt dažādās vietās Savienības teritorijā un tā kā šī regula paredz pasākumus, kuru mērķis ir nodrošināt datu pieejamību regulatīvas kontroles veikšanai, būtu jāparedz, ka dalībvalstis datu teritoriālas ierobežošanas prasības var pamatot tikai ar sabiedriskās drošības apsvērumiem.

(19)

Sabiedriskās drošības jēdziens LESD 52. panta nozīmē un atbilstoši Tiesas interpretācijai aptver gan dalībvalsts iekšējo, gan ārējo drošību, kā arī sabiedrības drošības jautājumus, jo īpaši, lai varētu sekmēt noziedzīgu nodarījumu izmeklēšanu, atklāšanu un saukšanu pie atbildības par tiem. Tas saprotams tā, ka pastāv reāli un pietiekami nopietni draudi, kas skar sabiedrības pamatintereses, piemēram, institūciju darbību, svarīgu sabiedrisko pakalpojumu sniegšanu un iedzīvotāju izdzīvošanu, kā arī risks, ka var nopietni tikt apdraudētas ārējās attiecības vai mierīga nāciju līdzāspastāvēšana, vai militāro interešu apdraudējums. Saskaņā ar proporcionalitātes principu datu teritoriālas ierobežošanas prasībām, kuru pamatojums ir sabiedriskās drošības apsvērumi, vajadzētu būt piemērotām izvirzītā mērķa sasniegšanai, un ar tām nevajadzētu pārsniegt to, kas ir nepieciešams šā mērķa sasniegšanai.

(20)

Lai nodrošinātu, ka tiek efektīvi piemērots princips, kas paredz nepersondatu brīvu plūsmu pāri robežām, un novērstu to, ka rodas jauni šķēršļi vienmērīgai iekšējā tirgus darbībai, dalībvalstīm būtu nekavējoties jāpaziņo Komisijai par ikvienu akta projektu, kas ievieš jaunu datu teritoriālas ierobežošanas prasību vai ar ko groza kādu spēkā esošu datu teritoriālas ierobežošanas prasību. Minētie aktu projekti būtu jāiesniedz un jāizvērtē saskaņā ar Eiropas Parlamenta un Padomes Direktīvu (ES) 2015/1535 (8).

(21)

Turklāt, lai novērstu iespējamus šķēršļus, dalībvalstīm 24 mēnešu pārejas perioda laikā pēc šīs regulas piemērošanas dienas būtu jāpārskata spēkā esošie vispārējie normatīvie un administratīvie akti, ar ko nosaka datu teritoriālas ierobežošanas prasības, un jāpaziņo Komisijai jebkādas šādas datu teritoriālas ierobežošanas prasības, kuras tās uzskata par atbilstošām šai regulai, pievienojot pamatojumu. Tam vajadzētu Komisijai dot iespēju pārbaudīt jebkādu atlikušo datu teritoriālas ierobežošanas prasību atbilstību. Komisijai vajadzētu būt iespējai nepieciešamības gadījumā attiecīgajai dalībvalstij sniegt komentārus. Šādi komentāri varētu ietvert ieteikumu grozīt vai atcelt konkrēto datu teritoriālas ierobežošanas prasību.

(22)

Ar šo regulu noteiktais pienākums paziņot Komisijai spēkā esošās datu teritoriālas ierobežošanas prasības un aktu projektus būtu jāpiemēro regulatīvām datu teritoriālas ierobežošanas prasībām un vispārēja rakstura aktu projektiem, bet ne konkrētām fiziskām vai juridiskām personām adresētiem lēmumiem.

(23)

Lai dalībvalstīs fiziskām un juridiskām personām, piemēram, pakalpojumu sniedzējiem un datu apstrādes pakalpojumu lietotājiem, nodrošinātu vispārējos normatīvajos un administratīvajos aktos paredzēto datu teritoriālas ierobežošanas prasību pārredzamību, dalībvalstīm informācija par šādām prasībām būtu jāpublicē valsts vienotā tiešsaistes informācijas punktā un minētā informācija regulāri jāatjaunina. Alternatīvi dalībvalstīm atjaunināta informācija par šādām prasībām būtu jāsniedz centrālajam informācijas punktam, kas izveidots saskaņā ar citu Savienības tiesību aktu. Lai par datu teritoriālas ierobežošanas prasībām pienācīgi informētu fiziskas un juridiskas personas visā Savienībā, dalībvalstīm būtu jāpaziņo Komisijai šādu valsts vienotu informācijas punktu adreses. Komisijai šī informācija kopā ar regulāri atjauninātu visu dalībvalstīs spēkā esošo datu teritoriālas ierobežošanas prasību konsolidētu sarakstu, tostarp īsi apkopotu informāciju par minētajām prasībām, būtu jāpublicē savā tīmekļa vietnē.

(24)

Datu teritoriālas ierobežošanas prasību noteikšanas pamatā bieži vien ir neuzticēšanās datu pārrobežu apstrādei, un šī neuzticēšanās izriet no iedomātas datu nepieejamības dalībvalstu kompetento iestāžu vajadzībām, piemēram, regulatīvas vai ar uzraudzību saistītas kontroles nolūkos veiktai pārbaudei vai revīzijai. Šādu neuzticēšanos nevar pārvarēt, tikai atzīstot par spēkā neesošiem līguma noteikumus, kas kompetentajām iestādēm liedz likumīgu piekļuvi datiem, kas nepieciešami to oficiālo pienākumu pildīšanai. Tādēļ ar šo regulu būtu skaidri jānosaka, ka tā neskar kompetento iestāžu pilnvaras pieprasīt vai saņemt piekļuvi datiem saskaņā ar Savienības vai valstu tiesību aktiem un ka kompetentajām iestādēm piekļuvi datiem nedrīkst atteikt, pamatojoties uz to, ka dati ir apstrādāti citā dalībvalstī. Kompetentās iestādes varētu noteikt funkcionālas prasības, lai atbalstītu piekļuvi datiem, piemēram, prasību, ka sistēmu apraksti ir jāglabā attiecīgajā dalībvalstī.

(25)

Fiziskas vai juridiskas personas, uz kurām attiecas pienākums sniegt datus kompetentajām iestādēm, šādu pienākumu var izpildīt, nodrošinot un garantējot kompetentajām iestādēm efektīvu un laicīgu elektronisku piekļuvi datiem neatkarīgi no dalībvalsts, kuras teritorijā tie tiek apstrādāti. Šādu piekļuvi var nodrošināt, paredzot konkrētus noteikumus līgumos starp fizisku vai juridisku personu, uz kuru attiecas pienākums nodrošināt piekļuvi, un pakalpojumu sniedzēju.

(26)

Ja uz fizisku vai juridisku personu attiecas pienākums sniegt datus un tā šo pienākumu neizpilda, būtu jāparedz, ka kompetentā iestāde var lūgt palīdzību kompetentajām iestādēm citās dalībvalstīs. Šādos gadījumos atkarībā no katrā atsevišķajā gadījumā skatītā jautājuma kompetentajām iestādēm būtu jāizmanto specifiski sadarbības instrumenti, kas pieejami Savienības tiesībās vai starptautiskos nolīgumos, tādi kā, piemēram, policijas sadarbības, krimināltiesību, civiltiesību vai administratīvo tiesību jomā, attiecīgi Padomes Pamatlēmums 2006/960/TI (9), Eiropas Parlamenta un Padomes Direktīva 2014/41/ES (10), Eiropas Padomes Konvencija par kibernoziegumiem (11), Padomes Regula (EK) Nr. 1206/2001 (12), Padomes Direktīva 2006/112/EK (13) un Padomes Regula (ES) Nr. 904/2010 (14). Ja šādu specifisku sadarbības mehānismu nav, kompetentajām iestādēm būtu savstarpēji jāsadarbojas ar izraudzīto vienoto kontaktpunktu starpniecību, lai nodrošinātu piekļuvi pieprasītajiem datiem.

(27)

Ja palīdzības pieprasījuma izpildes nolūkā lūgumu saņēmušajai iestādei ir jāiegūst piekļuve jebkādām fiziskas vai juridiskas personas telpām, tostarp jebkādam datu apstrādes aprīkojumam un līdzekļiem, šādai piekļuvei ir jāatbilst Savienības tiesību aktiem vai valsts procesuālajiem noteikumiem, tostarp ievērojot jebkādas prasības saņemt iepriekšēju tiesas atļauju.

(28)

Ar šo regulu nevajadzētu dot iespēju lietotājiem mēģināt izvairīties no valstu tiesību aktu piemērošanas. Tādēļ tajā būtu jāparedz, ka dalībvalstis piemēro efektīvus, samērīgus un atturošus sodus lietotājiem, kuri kompetentajām iestādēm liedz iespēju piekļūt saviem datiem, kas vajadzīgi kompetento iestāžu oficiālo pienākumu pildīšanai saskaņā ar Savienības un valstu tiesību aktiem. Steidzamos gadījumos, kad lietotājs ļaunprātīgi izmanto savas tiesības, dalībvalstīm vajadzētu būt iespējai piemērot stingri samērīgus pagaidu pasākumus. Jebkādi pagaidu pasākumi, kas paredz datu teritoriālu ierobežošanu no jauna uz laiku, kas pārsniedz 180 dienas pēc atkārtotas teritoriālas ierobežošanas, ievērojamu periodu neatbilstu datu brīvas aprites principam, un tāpēc par tiem būtu jāpaziņo Komisijai, lai tā varētu pārbaudīt to atbilstību Savienības tiesību aktiem.

(29)

Iespēja netraucēti pārnest datus ir svarīgs faktors, lai atvieglotu lietotāju izvēli un sekmētu efektīvu konkurenci datu apstrādes pakalpojumu tirgos. Faktiskās vai šķietamās grūtības datus pārnest pāri robežām arī apdraud profesionālo lietotāju uzticēšanos, izvēloties pārrobežu piedāvājumus, un līdz ar to arī viņu uzticēšanos iekšējam tirgum. Lai gan individuāli patērētāji gūst labumu no spēkā esošajiem Savienības tiesību aktiem, tie neatvieglo tādu lietotāju iespējas mainīt pakalpojumu sniedzējus, kuri rīkojas uzņēmējdarbības vai profesionālās darbības veikšanas laikā. Konsekventu tehnisko prasību noteikšana visā Savienībā – attiecībā uz tehnisku saskaņošanu, savstarpēju atzīšanu vai brīvprātīgu saskaņošanu – arī veicina konkurētspējīga datu apstrādes pakalpojumu iekšējā tirgus izveidi.

(30)

Lai pilnībā izmantotu priekšrocības, ko sniedz vide, kurā valda konkurence, profesionāliem lietotājiem būtu jāspēj izdarīt uz informāciju balstītu izvēli un viegli salīdzināt dažādu iekšējā tirgū piedāvātu datu apstrādes pakalpojumu atsevišķos komponentus, tostarp attiecībā uz līguma noteikumiem par datu pārnešanu, kad beidzas līgums. Lai pielāgotos tirgus inovācijas potenciālam un ņemtu vērā pakalpojumu sniedzēju un datu apstrādes pakalpojumu profesionālo lietotāju pieredzi un speciālās zināšanas, tirgus subjektiem, izmantojot pašregulāciju – uz ko mudinātu un ko atvieglotu un uzraudzītu Komisija – attiecībā uz datu pārnešanu būtu jānosaka detalizēta informācija un operatīvas prasības tādu Savienības rīcības kodeksu veidā, kuri varētu ietvert līguma paraugnoteikumus.

(31)

Lai šādi rīcības kodeksi būtu efektīvi un lai tie atvieglotu pakalpojumu sniedzēja maiņu un datu pārnešanu, šiem kodeksiem vajadzētu būt visaptverošiem un būtu jāietver vismaz vairāki tādi aspekti, kas ir svarīgi datu pārnešanas procesā, piemēram, procesi, ko izmanto datu dublēšanai, un to atrašanās vieta; pieejamie datu formāti un nesēji; nepieciešamā IT konfigurācija un minimālais tīkla joslas platums; laiks, kas vajadzīgs pirms pārnešanas procesa, periods, kurā datus varēs pārnest; un garantija, ka datiem varēs piekļūt pakalpojumu sniedzēja bankrota gadījumā. Rīcības kodeksos arī būtu skaidri jānorāda, ka šķēršļu likšana pakalpojumu sniedzēja maiņai nav pieņemama uzņēmējdarbības prakse, kā arī būtu jāparedz uzticēšanos veicinošas tehnoloģijas, un tie būtu regulāri jāatjaunina, lai ietu kopsolī ar tehnoloģiju attīstību. Komisijai būtu jānodrošina, ka minētajā procesā notiek apspriešanās ar visām attiecīgajām ieinteresētajām personām, tostarp mazo un vidējo uzņēmumu (MVU) asociācijām un jaunuzņēmumiem, lietotājiem un mākoņpakalpojumu sniedzējiem. Komisijai būtu jāizvērtē šādu rīcības kodeksu izstrāde un īstenošanas efektivitāte.

(32)

Ja kādas dalībvalsts kompetentā iestāde lūdz citas dalībvalsts palīdzību, lai iegūtu piekļuvi datiem saskaņā ar šo regulu, tai ar izraudzīta vienota kontaktpunkta palīdzību būtu jāiesniedz pienācīgi pamatots pieprasījums šīs citas dalībvalsts izraudzītajam vienotajam kontaktpunktam, pieprasījumā iekļaujot rakstisku skaidrojumu par nepieciešamās datu piekļuves iemesliem un juridiskajiem pamatiem. Vienotajam kontaktpunktam, ko izraudzījusies dalībvalsts, kurai tiek lūgta palīdzība, būtu jāatvieglo pieprasījuma nosūtīšana attiecīgajai kompetentajai iestādei dalībvalstī, kurai tiek lūgta palīdzība. Lai nodrošinātu efektīvu sadarbību, iestādei, kurai tiek nodots pieprasījums, bez liekas kavēšanās būtu jāsniedz palīdzība, lai reaģētu uz konkrēto pieprasījumu, vai jāinformē par grūtībām izpildīt šādu pieprasījumu, vai jāsniedz pamatojums tā izpildes atteikšanai.

(33)

Uzticēšanās palielināšanai pārrobežu datu apstrādes drošībai būtu jāmazina tirgus dalībnieku un publiskā sektora tieksme izmantot datu teritoriālu ierobežošanu kā datu drošības aizstājēju. Tam arī uzņēmumiem būtu jāuzlabo juridiskā noteiktība attiecībā uz atbilstību piemērojamām drošības prasībām, kad tie datu apstrādes darbības uztic ārpakalpojumu sniedzējiem, tostarp pakalpojumu sniedzējiem citās dalībvalstīs.

(34)

Jebkādas ar datu apstrādi saistītas drošības prasības, ko atbilstoši Savienības tiesību aktiem vai Savienības tiesību aktiem atbilstīgiem dalībvalstu tiesību aktiem pamatoti un samērīgi piemēro tādu fizisku vai juridisku personu dzīvesvietas vai reģistrācijas vietas dalībvalstī, uz kuru datiem attiecas šāda apstrāde, arī turpmāk būtu jāpiemēro šādu datu apstrādei citā dalībvalstī. Minētajām fiziskajām vai juridiskajām personām būtu jāspēj izpildīt šādas prasības vai nu pašām, vai arī līgumos ar pakalpojumu sniedzējiem iekļaujot attiecīgas līgumiskas klauzulas.

(35)

Valsts līmenī noteiktām drošības prasībām vajadzētu būt nepieciešamām un samērīgām ar riskiem, kas apdraud datu apstrādes drošību, uz kuru attiecas valsts tiesību akts, ar ko šīs prasības ir noteiktas.

(36)

Eiropas Parlamenta un Padomes Direktīva (ES) 2016/1148 (15) paredz juridiskus pasākumus, kuru mērķis ir paaugstināt vispārējo kiberdrošības līmeni Savienībā. Datu apstrādes pakalpojumi ir viens no minētās direktīvas piemērošanas jomā ietilpstošiem digitālo pakalpojumu veidiem. Saskaņā ar minēto direktīvu dalībvalstīm ir jānodrošina, ka digitālo pakalpojumu sniedzēji nosaka un veic atbilstošus un samērīgus tehniskus un organizatoriskus pasākumus, lai pārvaldītu riskus, kas apdraud šo pakalpojumu sniedzēju izmantoto tīklu un informācijas sistēmu drošību. Ar šādiem pasākumiem būtu jānodrošina pastāvošajam riskam atbilstošs drošības līmenis un būtu jāņem vērā sistēmu un iekārtu drošība; incidentu novēršana; darbības nepārtrauktības pārvaldība; uzraudzība, revīzija un testēšana; un atbilstība starptautiskiem standartiem. Šie elementi Komisijai sīkāk būtu jāprecizē minētajā direktīvā paredzētajos īstenošanas aktos.

(37)

Komisijai būtu jāiesniedz ziņojums par šīs regulas īstenošanu, jo īpaši ar mērķi noteikt, vai nav nepieciešamas izmaiņas saistībā ar tehnoloģisko attīstību vai norisēm tirgū. Minētajā ziņojumā jo īpaši būtu jāizvērtē šīs regulas piemērošana, jo īpaši tās piemērošana attiecībā uz datu kopām, kas sastāv gan no persondatiem, gan nepersondatiem, kā arī sabiedriskās drošības izņēmuma piemērošana. Pirms šīs regulas piemērošanas – lai uzņēmumi, tostarp MVU, labāk izprastu mijiedarbību starp šo regulu un Regulu (ES) 2016/679 un lai nodrošinātu abu regulu ievērošanu –, Komisijai arī būtu jāpublicē informatīvi norādījumi par to, kā rīkoties ar datu kopām, kas sastāv gan no persondatiem, gan no nepersondatiem.

(38)

Šajā regulā ir ievērotas pamattiesības un principi, kas ir atzīti Eiropas Savienības Pamattiesību hartā, un tā būtu jāinterpretē un jāpiemēro saskaņā ar šīm tiesībām un principiem, tostarp tiesībām uz persondatu aizsardzību, vārda un informācijas brīvību un darījumdarbības brīvību.

(39)

Ņemot vērā to, ka šīs regulas mērķi, proti, datu, kas nav persondati, brīvu plūsmu Savienībā, nevar pietiekami labi sasniegt atsevišķās dalībvalstīs, bet tā mēroga un ietekmes dēļ to var labāk sasniegt Savienības līmenī, Savienība var pieņemt pasākumus saskaņā ar LES 5. pantā noteikto subsidiaritātes principu. Saskaņā ar minētajā pantā noteikto proporcionalitātes principu šajā regulā paredz vienīgi tos pasākumus, kas ir vajadzīgi minētā mērķa sasniegšanai,