KOMISJA EUROPEJSKA
Bruksela, dnia 13.9.2017
SWD(2017) 305 final
DOKUMENT ROBOCZY SŁUŻB KOMISJI
STRESZCZENIE OCENY SKUTKÓW
Towarzyszący dokumentowi:
WNIOSEK DOTYCZĄCY ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY
w sprawie ram swobodnego przepływu danych nieosobowych w Unii Europejskiej
{COM(2017) 495 final}
{SWD(2017) 304 final}
|
Streszczenie oceny skutków |
|
Ocena skutków dotycząca wniosku ustawodawczego w sprawie ram swobodnego przepływu danych w UE. |
|
A. Zasadność działań |
|
Dlaczego należy podjąć działania? Na czym polega problem? |
|
W Unii Europejskiej wysiłki w celu stworzenia gospodarki opartej na danych oraz czerpania korzyści z nowych technologii opartych na danych udaremnia szereg barier ograniczających mobilność danych, co ma negatywny wpływ na przedsiębiorstwa i ich działania na jednolitym rynku. W związku z tym przeszkody w mobilności danych na jednolitym rynku UE uznano za problem kluczowy. Czynnikami leżącymi u podstaw tego problemu są prawne i administracyjne ograniczenia dotyczące lokalizacji; wybór lokalizacji danych podyktowany brakiem pewności prawa i zaufania do rynku; oraz praktyki skutkujące uzależnieniem od jednego dostawcy, które hamują mobilność danych między dostawcami usług przechowywania lub dalszego przetwarzania danych a systemami informatycznymi. |
|
Jaki jest cel inicjatywy? |
|
Celem niniejszej inicjatywy jest osiągnięcie bardziej konkurencyjnego i zintegrowanego unijnego rynku usług przechowywania lub przetwarzania danych i działalności w tym zakresie. Oznacza to w szczególności zmniejszenie liczby i zakresu ograniczeń dotyczących lokalizacji danych oraz zwiększenie pewności prawa; ułatwienie transgranicznej dostępności danych do celów kontroli regulacyjnej; poprawę warunków, na których użytkownicy mogą zmieniać dostawców usług przechowywania lub przetwarzania danych lub przenosić swoje dane z powrotem do własnych systemów informatycznych; zwiększenie zaufania do transgranicznego przechowywania lub przetwarzania danych oraz bezpieczeństwa takich czynności. |
|
Na czym polega wartość dodana podjęcia działań na poziomie UE? |
|
Tworzenie konkurencyjnej europejskiej gospodarki opartej na danych oznacza korzystanie z korzyści skali oraz przechowywania i przetwarzania danych w wymiarze transgranicznym w UE. Działaniami na szczeblu państw członkowskich nie można osiągnąć pewności prawa niezbędnej do prowadzenia tego rodzaju działalności w całej UE ani zaradzić brakowi zaufania, które jest konieczne, aby sektor przechowywania lub przetwarzania danych mógł prosperować. Interwencja na szczeblu Unii przyczyni się również do rozwoju bezpiecznego przechowywania danych z korzyścią dla wszystkich państw członkowskich UE. |
|
B. Rozwiązania |
|
Jakie warianty legislacyjne i nielegislacyjne rozważono? Czy wskazano preferowany wariant? Jak uzasadniono ten wybór lub jego brak? |
|
Wariant 0 – Scenariusz odniesienia. Przyjęcie tego wariantu oznaczałoby brak zmian w polityce UE. Wariant 1 – Inicjatywy nielegislacyjne. Wariant ten obejmuje opracowanie wytycznych w celu sprawniejszego egzekwowania przepisów obowiązujących instrumentów UE w odniesieniu do nieuzasadnionych ograniczeń dotyczących lokalizacji danych, nałożonych przez państwa członkowskie. Ułatwianie dostępu do celów kontroli regulacyjnej odbywałoby się na podstawie obowiązujących przepisów państw członkowskich. Wytyczne na szczeblu UE dotyczące najlepszych praktyk umożliwiłyby łatwiejszą zmianę dostawcy usług w chmurze oraz łatwiejsze przenoszenie danych do innego dostawcy usług lub z powrotem do własnych systemów informatycznych użytkownika. Wariant 2 – Inicjatywa ustawodawcza oparta na zasadach oraz ramy współpracy. W wariancie tym przewidziano ustanowienie zasady swobodnego przepływu danych na terytorium UE i zakazanie nieuzasadnionych środków w zakresie lokalizacji danych, chyba że byłyby one uzasadnione względami bezpieczeństwa narodowego, a także wprowadzenie wymogu powiadamiania o wszelkich nowych środkach w zakresie lokalizacji danych. Przedsiębiorstwa, które przechowują lub przetwarzają swoje dane w innym państwie członkowskim, miałyby obowiązek dostarczyć dane organowi regulacyjnemu, jeżeli zażąda on tego zgodnie z prawem. Umożliwiono by zmianę dostawcy usług w chmurze i przenoszenie danych do nowego dostawcy lub z powrotem do własnych systemów informatycznych użytkownika oraz wprowadzono odpowiednie przepisy propagujące wiarygodne jednolite normy lub systemy certyfikacji w zakresie bezpieczeństwa przechowywania lub przetwarzania danych. Centralne punkty kontaktowe wyznaczone przez państwa członkowskie oraz ogólnoeuropejska grupa ds. polityki złożona z takich punktów kontaktowych umożliwiłyby wymianę i współpracę na rzecz opracowania wspólnego podejścia i wyłonienia najlepszych praktyk oraz skutecznego wdrożenia ustanowionych zasad. Podwariant: – Podwariant 2a – Zamiast przepisów prawnych i współregulacji w zakresie przenoszenia danych, w podwariancie tym przewidziano podejście na zasadzie samoregulacji w celu poprawy warunków przenoszenia danych po zmianie dostawcy lub przenoszenia danych z powrotem do własnych systemów informatycznych użytkowników, obejmujące także mogące mieć zastosowanie procesy, ramy czasowe i opłaty. W obszarze działań w zakresie bezpieczeństwa przechowywania i przetwarzania danych podwariant ten pociągałby za sobą jasne określenie, że wszelkie mające już zastosowanie wymogi w zakresie bezpieczeństwa w dalszym ciągu obowiązują użytkowników prowadzących działalność gospodarczą, w przypadku gdy przechowują lub przetwarzają oni swoje dane w innych państwach członkowskich UE, również jeżeli czynności te są zlecane w ramach outsourcingu, np. dostawcy usług w chmurze. Wariant 3 – Szczegółowa inicjatywa ustawodawcza. Wariant ten polega na ustanowieniu w pełni zharmonizowanych przepisów w kwestii nieuzasadnionych wymogów dotyczących lokalizacji danych (białe lub czarne listy). Obowiązkowe ramy współpracy umożliwiłyby egzekwowanie transgranicznego dostępu do danych na potrzeby organów regulacyjnych. Dostawcy usług w chmurze zostaliby zobowiązani do ułatwienia przenoszenia danych i do ujawnienia wystarczająco szczegółowych opisów odnośnych procesów, wymagań technicznych i kosztów. Opracowano by jednolite normy i odrębny europejski system certyfikacji bezpieczeństwa w odniesieniu do przechowywania lub przetwarzania danych przez dostawców usług w chmurze. |
|
Jak kształtuje się poparcie dla poszczególnych wariantów? |
|
W ramach konsultacji publicznych 61,9 % respondentów opowiedziało się za zniesieniem ograniczeń dotyczących lokalizacji danych, a 55,3 % poparło dokonanie tego w drodze podejścia legislacyjnego. W piśmie skierowanym do przewodniczącego Donalda Tuska 16 państw członkowskich wyraźnie zaapelowało o przyjęcie podejścia legislacyjnego. W związku z tym wydaje się, że zainteresowane strony preferują podejście legislacyjne (wariant 2 lub 3) w kwestii ograniczeń dotyczących lokalizacji danych i ich dostępności do celów kontroli regulacyjnej, zapewniające przejrzystość i pewność prawa. Z materiału dowodowego można jednak wnioskować, że uregulowania prawne w zakresie bezpieczeństwa oraz zmiany dostawcy i przenoszenia danych nie powinny być zbyt szczegółowe, ponieważ mogłoby to przynieść skutki przeciwne do zamierzonych. Z zebranych dowodów wynika, że użytkownicy reprezentujący przedsiębiorstwa unijne korzystające z usług przechowywania i przetwarzania danych preferują wariant 2 lub 3, natomiast dostawcy usług w chmurze opowiadają się za wariantem 2a. Organy publiczne państw członkowskich preferują wariant 2. |
|
C. Skutki wdrożenia preferowanego wariantu |
|
Jakie korzyści przyniesie wdrożenie preferowanego wariantu lub – jeśli go nie wskazano – głównych wariantów? |
|
Wariant ten zapewniłby skuteczne zniesienie istniejących nieuzasadnionych ograniczeń dotyczących lokalizacji i zapobiegł wprowadzaniu nowych w przyszłości, dzięki ustanowieniu jasnej zasady prawnej w połączeniu z procedurą przeglądu. W następstwie upowszechnienia wiedzy o zasadach prawnych ustanowionych w rozporządzeniu umożliwiłby on także zwiększenie pewności prawa na tym rynku. Ponadto, stwarzając bodźce do opracowywania kodeksów postępowania w zakresie zmiany dostawcy i przenoszenia danych, zaowocowałby on osiągnięciem bardziej konkurencyjnego rynku wewnętrznego dostawców usług w chmurze. |
|
Jakie są koszty wdrożenia preferowanego wariantu lub – jeśli go nie wskazano – głównych wariantów? |
|
Dostawcy usług przechowywania i przetwarzania danych w największym stopniu odczują skutki niniejszej inicjatywy pod względem kosztów finansowych, choć utrzymają się one na umiarkowanym poziomie. Koszty zapewnienia zgodności z przepisami obejmowałyby koszty dokonania analizy prawnej, opracowania nowych wzorcowych klauzul umownych dotyczących zmiany dostawcy usług przechowywania i przetwarzania danych (w chmurze), opracowania kodeksów postępowania, ustanowienia norm itd. Dodatkowe koszty związane byłyby z migracją danych byłych klientów do nowej lokalizacji i utratą udziału w rynku na rzecz innych/nowych dostawców usług w chmurze. |
|
Jakie będą skutki dla przedsiębiorstw, MŚP i mikroprzedsiębiorstw? |
|
Przedsiębiorstwa typu start-up i MŚP zdecydowanie popierają podjęcie działania legislacyjnego w kwestii swobodnego przepływu danych, które przyniosłoby większą pewność prawa i ułatwienie użytkownikom zmiany dostawcy, gdyż działanie takie umożliwiłoby im bezpośrednie obniżenie kosztów, a tym samym uzyskanie bardziej konkurencyjnej pozycji na rynku. W szczególności kosztami, których można by uniknąć, są koszty wynikające z konieczności powielania infrastruktur informatycznych, np. w sytuacji gdy MŚP prowadzi działalność w kilku państwach członkowskich, a w jednym lub kilku z tych państw obowiązują ograniczenia dotyczące lokalizacji danych. |
|
Czy przewiduje się znaczące skutki dla budżetów i administracji krajowych? |
|
Inicjatywa pociąga za sobą umiarkowane obciążenie administracyjne dla organów publicznych państw członkowskich, wynikające z konieczności przydzielenia zasobów ludzkich do celów zorganizowanej współpracy między państwami członkowskimi za pośrednictwem centralnych punktów kontaktowych oraz zapewnienia zgodności z przepisami dotyczącymi procedury powiadamiania i przeglądu w ramach mechanizmu przejrzystości przewidzianego w dyrektywie w sprawie przejrzystości na jednolitym rynku. Ogółem mogłoby to prowadzić do średniego rocznego kosztu w wysokości 34 539 EUR na państwo członkowskie. |
|
Czy wystąpią inne znaczące skutki? |
|
Tak, inicjatywa będzie miała ogólny pozytywny wpływ na rozwój gospodarczy, dzięki poprawie europejskiej gospodarki opartej na danych i stworzeniu bardziej konkurencyjnego rynku usług przechowywania i przetwarzania danych. Mogłoby to prowadzić na przykład do obniżenia kosztów dla użytkowników korzystających z tych usług do celów zawodowych. Inicjatywa ta doprowadziłaby do obniżenia kosztów ponoszonych obecnie przez takich użytkowników. Takie zmniejszenie kosztów może polegać na obniżeniu kosztów ponoszonych przez przedsiębiorstwa korzystające z usług przechowywania i przetwarzania danych oraz przedsiębiorstwa prowadzące działalność transgranicznie lub zamierzające rozpocząć taką działalność w przyszłości, jak i na obniżeniu kosztów związanych z wprowadzeniem nowych produktów lub usług. |
|
D. Działania następcze |
|
Kiedy nastąpi przegląd przyjętej polityki? |
|
Kompleksowa ocena mogłaby zostać dokonana 5 lat po rozpoczęciu stosowania przepisów. Ocenę tę przeprowadzono by w ścisłej współpracy z centralnymi punktami kontaktowymi państw członkowskich oraz w oparciu o informacje przekazane przez te punkty. |