EURÓPSKA KOMISIA
V Bruseli13. 9. 2017
COM(2017) 495 final
2017/0228(COD)
Návrh
NARIADENIE EURÓPSKEHO PARLAMENTU A RADY
o rámci pre voľný tok iných ako osobných údajov v Európskej únii
{SWD(2017) 304 final}
{SWD(2017) 305 final}
EURÓPSKA KOMISIA
V Bruseli13. 9. 2017
COM(2017) 495 final
2017/0228(COD)
Návrh
NARIADENIE EURÓPSKEHO PARLAMENTU A RADY
o rámci pre voľný tok iných ako osobných údajov v Európskej únii
{SWD(2017) 304 final}
{SWD(2017) 305 final}
DÔVODOVÁ SPRÁVA
1.KONTEXT NÁVRHU
•Dôvody a ciele návrhu
Nové digitálne technológie, ako napr. cloud computing, veľké dáta, umelá inteligencia a internet vecí, sú navrhnuté s cieľom maximalizovať efektívnosť, umožniť úspory z rozsahu a rozvíjať nové služby. Ponúkajú používateľom výhody, ako je pružnosť, produktivita, rýchlosť nasadenia a autonómia, napríklad prostredníctvom strojového učenia 1 .
Ako sa uvádza v oznámení s názvom „Budovanie európskeho dátového hospodárstva“ 2 z roku 2017, hodnota trhu EÚ s údajmi sa v roku 2016 ohodnotila na takmer 60 miliárd EUR, čo predstavuje nárast o 9,5 % v porovnaní s rokom 2015. Podľa tejto štúdie by trh EÚ s údajmi mohol mať v roku 2020 potenciálne hodnotu viac ako 106 miliárd EUR 3 .
Na účely uvoľnenia tohto potenciálu je cieľom návrhu riešiť tieto otázky:
·zlepšenie mobility iných ako osobných údajov cez hranice v rámci jednotného trhu, ktorá je v súčasnosti v mnohých členských štátoch obmedzená v dôsledku obmedzení lokalizácie alebo v dôsledku právnej neistoty na trhu;
·zabezpečenie toho, aby právomoci príslušných orgánov žiadať o prístup k údajom na účely regulačnej kontroly, ako napríklad kontroly a auditu, a získať ho, zostali nedotknuté; a
·uľahčenie možnosti zmeniť poskytovateľov služieb a prenášať údaje pre profesionálnych používateľov služieb uchovávania alebo iného spracúvania údajov, a to bez toho, aby došlo k vytváraniu nadmerného zaťaženia poskytovateľov služieb alebo k narušeniu trhu.
V preskúmaní vykonávania stratégie digitálneho jednotného trhu v polovici trvania 4 sa oznámil legislatívny návrh rámca spolupráce v oblasti voľného toku údajov v EÚ.
Všeobecným politickým cieľom uvedenej iniciatívy je prostredníctvom riešenia uvedených oblastí dosiahnuť konkurencieschopnejší a integrovanejší vnútorný trh pre služby činnosti uchovávania a iného spracúvania údajov. V tomto návrhu sa uchovávanie a iné spracúvanie údajov používa v širokom význame, pričom zahŕňa používanie všetkých druhov informačných systémov, či už takých, ktoré sa nachádzajú v priestoroch používateľa, alebo u externých poskytovateľov služieb uchovávania alebo iného spracúvania údajov 5 .
•Súlad s existujúcimi ustanoveniami v danej oblasti politiky
Návrh nadväzuje na ciele stanovené v stratégii digitálneho jednotného trhu 6 , jeho nedávnom preskúmaní v polovici trvania, ako aj v politických usmerneniach Európskej komisie s názvom „Nový začiatok pre Európu: moja agenda pre zamestnanosť, rast, spravodlivosť a demokratickú zmenu“ 7 .
Uvedený návrh sa zameriava na poskytovanie služieb hostingu údajov (uchovávanie) a ich iného spracúvania a je v súlade s existujúcimi právnymi nástrojmi. Iniciatíva má za cieľ vytvorenie účinného jednotného trhu EÚ pre takéto služby. Je preto v súlade so smernicou o elektronickom obchode 8 , ktorej cieľom je komplexný a účinný jednotný trh EÚ pre širšie kategórie služieb informačnej spoločnosti, a so smernicou o službách 9 , ktorou sa podporuje prehĺbenie jednotného trhu EÚ pre služby v mnohých odvetviach.
Z rozsahu pôsobnosti uplatňovania takýchto právnych predpisov (t. j. smernice o elektronickom obchode a smernice o službách) sú výslovne vylúčené viaceré relevantné sektory, aby sa na všetky služby hostingu údajov (uchovávanie) a ich iného spracúvania vzťahovali iba všeobecné ustanovenia zmluvy. Existujúce prekážky pre tieto služby nie je však možné účinne odstrániť len spoliehaním sa na priamu uplatniteľnosť článkov 49 a 56 Zmluvy o fungovaní Európskej únie (ZFEÚ), keďže na jednej strane by ich riešenie na individuálnom základe prostredníctvom postupov v prípade nesplnenia povinnosti voči dotknutým členským štátom bolo pre vnútroštátne inštitúcie a inštitúcie Únie mimoriadne zložité, a – na strane druhej – si odstránenie mnohých prekážok vyžaduje osobitné pravidlá na riešenie nielen verejných, ale aj súkromných prekážok, ako aj vytvorenie administratívnej spolupráce. Okrem toho, pre používateľov nových technológií sa zdá ako mimoriadne dôležité zabezpečenie zvýšenia právnej istoty 10 .
Keďže tento návrh sa týka elektronických údajov iných ako osobných údajov, nemá vplyv na právny rámec Únie v oblasti ochrany osobných údajov, najmä na nariadenie č. 2016/679 (všeobecné nariadenie o ochrane údajov) 11 , smernicu 2016/680 (policajná smernica) 12 a smernicu 2002/58/ES (smernica o súkromí a elektronických komunikáciách) 13 , ktorými sa zabezpečuje vysoká úroveň ochrany osobných údajov a voľného pohybu osobných údajov v rámci Únie. Spolu s uvedeným právnym rámcom má návrh za cieľ zaviesť komplexný a súdržný rámec EÚ, ktorým sa umožní voľný pohyb údajov na jednotnom trhu.
V návrhu sa bude vyžadovať, aby sa navrhované opatrenia na lokalizáciu údajov oznamovali podľa smernice o transparentnosti 2015/1535 14 , aby sa umožnilo posúdiť, či sú takéto obmedzenia lokalizácie opodstatnené.
Pokiaľ ide o spoluprácu a vzájomnú pomoc medzi príslušnými orgánmi, v návrhu sa predpokladá, že by sa mali uplatňovať všetky takéto mechanizmy. Ak mechanizmy spolupráce neexistujú, návrhom sa zavádzajú opatrenia, ktorých cieľom je príslušným orgánom umožniť výmenu údajov, ktoré sa uchovávajú a ináč spracúvajú v iných členských štátoch, a prístup k nim.
•Súlad s ostatnými politikami Únie
Vzhľadom na digitálny jednotný trh je cieľom tejto iniciatívy obmedziť prekážky v Európe pre konkurencieschopné hospodárstvo založené na údajoch. Komisia v súlade s oznámením o preskúmaní vykonávania stratégie digitálneho jednotného trhu v polovici trvania skúma samostatne otázky dostupnosti a opakovaného použitia verejných údajov a údajov financovaných z verejných zdrojov, ako aj údajov v súkromnom vlastníctve, ktoré sú predmetom verejného záujmu, a zodpovednosti v prípadoch škôd spôsobených výrobkami, ktoré intenzívne využívajú údaje 15 .
Politická intervencia vychádza aj z politického balíka Digitalizácia európskeho priemyslu, ktorý obsahuje európsku iniciatívu v oblasti cloud computingu 16 zameranú na zavedenie vysokokapacitného cloudového riešenia na ukladanie, výmenu a opätovné využívanie vedeckých dát. Okrem toho, uvedená iniciatíva vychádza z revízie európskeho rámca interoperability 17 , ktorého cieľom je zlepšiť digitálnu spoluprácu medzi orgánmi verejnej správy v Európe a ktorý bude mať priamy úžitok z voľného toku údajov. Prispieva k záväzku EÚ k otvorenému internetu 18 .
2.PRÁVNY ZÁKLAD, SUBSIDIARITA A PROPORCIONALITA
•Právny základ
Tento návrh patrí do oblasti spoločnej právomoci v súlade s článkom 4 ods. 2 písm. a) ZFEÚ. Jeho cieľom je dosiahnuť konkurenčnejší a integrovanejší vnútorný trh pre služby uchovávania a iného spracúvania údajov zabezpečením voľného pohybu údajov v rámci Únie. Stanovujú sa v ňom pravidlá týkajúce sa požiadaviek na lokalizáciu údajov, dostupnosti údajov pre príslušné orgány a prenosu údajov pre profesionálnych používateľov. Návrh sa zakladá na článku 114 ZFEÚ, ktorý je všeobecným právnym základom pre prijímanie takýchto pravidiel.
•Subsidiarita
Návrh je v súlade so zásadou subsidiarity, ako sa stanovuje v článku 5 Zmluvy o Európskej únii (ZEÚ). Cieľ tohto návrhu, ktorým je zabezpečiť bezproblémové fungovanie vnútorného trhu pre uvedené služby, ktorý nie je obmedzený na územie jedného členského štátu, a voľný pohyb iných ako osobných údajov v rámci Únie, nemôžu dosiahnuť členské štáty na vnútroštátnej úrovni, keďže jadro problému je cezhraničná mobilita údajov.
Členské štáty síce môžu znížiť počet a obmedziť rozsah svojich vlastných obmedzení týkajúcich sa lokalizácie údajov, ale pravdepodobne tak urobia v rozdielnom rozsahu a za rôznych podmienok alebo vôbec nie.
Rozdielne prístupy by však mali za následok znásobenie regulačných požiadaviek v rámci jednotného trhu EÚ a reálne dodatočné náklady pre podniky, najmä malé a stredné podniky (MSP).
•Proporcionalita
Návrh je v súlade so zásadou proporcionality, ako sa stanovuje v článku 5 ZEÚ, keďže pozostáva z účinného rámca, ktorý neprekračuje rámec toho, čo je potrebné na riešenie zistených problémov, a je primeraný na dosiahnutie svojich cieľov.
S cieľom odstrániť prekážky pre voľný tok iných ako osobných údajov v rámci Únie, ktorý je obmedzovaný požiadavkami na lokalizáciu, a zvýšiť dôveru v cezhraničné toky údajov, ako aj v služby uchovávania a iného spracúvania údajov, bude návrh vo veľkej miere vychádzať z existujúcich nástrojov a rámcov EÚ: smernica o transparentnosti v súvislosti s oznamovaním navrhovaných opatrení týkajúcich sa požiadaviek na lokalizáciu údajov, rôznych rámcov na zabezpečenie dostupnosti údajov na účely regulačných kontrol zo strany členských štátov. Na riešenie otázky dostupnosti údajov pre príslušné vnútroštátne orgány sa mechanizmus spolupráce uvedený v návrhu použije len v prípade, ak neexistujú iné mechanizmy spolupráce a ak sa už vyčerpali všetky ostatné prostriedky na prístup.
Cieľom navrhovaného prístupu k pohybu údajov cez hranice členských štátov a medzi jednotlivými poskytovateľmi služieb/internými systémami IT je dosiahnuť rovnováhu medzi právnymi predpismi EÚ a záujmami členských štátov v oblasti verejnej bezpečnosti, ako aj rovnováhu medzi právnymi predpismi EÚ a samoreguláciou trhu.
Konkrétne, s cieľom zmierniť ťažkosti profesionálnych používateľov, pokiaľ ide o zmenu poskytovateľov služieb a prenášanie údajov, sa iniciatívou nabáda k samoregulácii prostredníctvom kódexov správania týkajúcich sa informácií, ktoré sa majú poskytovať používateľom služieb uchovávania alebo iného spracúvania údajov. Okrem toho by sa spôsoby zmeny poskytovateľa a prenášania údajov mali riešiť prostredníctvom samoregulácie s cieľom vymedziť najlepšie postupy.
V návrhu sa pripomína, že bezpečnostné požiadavky uložené vnútroštátnym právom a právom Únie by sa mali zabezpečiť aj v prípade, ak fyzické alebo právnické osoby poveria svojimi službami uchovávania alebo iného spracúvania údajov externých poskytovateľov takýchto služieb, a to aj v inom členskom štáte. Okrem toho sa v ňom pripomínajú aj vykonávacie právomoci prenesené na Komisiu prostredníctvom smernice o bezpečnosti sietí a informačných systémov s cieľom splniť bezpečnostné požiadavky, ktorými sa tiež prispieva k fungovaniu tohto nariadenia. Napokon, aj napriek tomu, že by sa návrhom vyžadovali opatrenia zo strany verejných orgánov členských štátov z dôvodu požiadaviek oznamovania/preskúmania, požiadaviek na transparentnosť a administratívnej spolupráce, je vypracovaný tak, aby sa takéto opatrenia minimalizovali na najdôležitejšie potreby spolupráce a zabránilo sa tak zbytočnému administratívnemu zaťaženiu.
Ustanovením jasného rámca sprevádzaného spoluprácou medzi a s členskými štátmi, ako aj samoreguláciou sa tento návrh zameriava na posilnenie právnej istoty a zvýšenie úrovní dôvery, pričom zostáva relevantným a účinným v dlhodobom horizonte, a to z dôvodu flexibility rámca spolupráce na základe jednotných kontaktných miest v členských štátoch.
Komisia plánuje zriadiť skupinu expertov, aby jej poskytovali poradenstvo v záležitostiach, na ktoré sa vzťahuje toto nariadenie.
•Výber nástroja
Komisia predkladá návrh nariadenia, ktorým sa môže zabezpečiť, aby boli v celej Únii súčasne uplatniteľné jednotné pravidlá pre voľný tok iných ako osobných údajov uplatniteľné. Je mimoriadne dôležité, aby sa odstránili existujúce obmedzenia a zabránilo tomu, aby členské štáty zavádzali nové, s cieľom zabezpečiť právnu istotu pre dotknutých poskytovateľov služieb a používateľov, a tým zvýšiť dôveru v cezhraničné toky údajov, ako aj v služby uchovávania a iného spracúvania údajov.
3.VÝSLEDKY HODNOTENÍ EX-POST, KONZULTÁCIÍ SO ZAINTERESOVANÝMI STRANAMI A POSÚDENÍ VPLYVU
•Konzultácie so zainteresovanými stranami
V prvom kole zhromažďovania dôkazov sa v roku 2015 uskutočnila verejná konzultácia týkajúca sa regulačného prostredia pre platformy, online sprostredkovateľov, údajov a cloud computingu a kolaboratívneho hospodárstva. Dve tretiny respondentov – s rovnomerným zastúpením zo všetkých skupín zainteresovaných strán vrátane MSP – zastávajú názor, že obmedzenia týkajúce lokalizácie údajov ovplyvňujú ich obchodné stratégie. 19 Ďalšie činnosti zhromažďovania informácií pozostávali zo stretnutí a podujatí, cielených seminárov s hlavnými zainteresovanými stranami (napr. so skupinou pre otázky cloud computingu pozostávajúcou z vybraných zástupcov priemyselných odvetví – Cloud Select Industry Group) a špecializovaných seminárov v súvislosti so štúdiami.
Druhé kolo zhromažďovania dôkazov od konca roku 2016 až do druhej polovice roku 2017 zahŕňalo verejnú konzultáciu, ktorá sa začala 10. januára 2017 v kontexte oznámenia nazvaného „Budovanie európskeho dátového hospodárstva“. Podľa reakcií na verejnú konzultáciu zastávalo 61,9 % zainteresovaných strán názor, že obmedzenia týkajúce sa lokalizácie údajov by sa mali odstrániť. Väčšina zúčastnených zainteresovaných strán (55,3 % respondentov) je presvedčená, že najvhodnejším nástrojom na riešenie neopodstatnených obmedzení týkajúcich sa lokalizácie údajov je legislatívne opatrenie, pričom mnohé z nich výslovne požadujú prijatie nariadenia 20 . Najvyššiu podporu regulačným opatreniam preukazujú poskytovatelia IT služieb všetkých veľkostí, a to so sídlom v rámci EÚ aj mimo nej. Zainteresované strany tiež určovali negatívne vplyvy obmedzení týkajúcich sa lokalizácie údajov. Okrem zvýšenia nákladov pre podniky ide o negatívne vplyvy na poskytovanie služby súkromným alebo verejným subjektom (69,6 % všetkých zúčastnených zainteresovaných strán identifikovalo tento vplyv ako „veľký“) alebo na možnosť vstúpiť na nový trh (73,9 % opýtaných zainteresovaných strán identifikovalo tento vplyv ako „veľký“). Percentuálny podiel odpovedí na tieto otázky bol podobný pri zainteresovaných stranách z rôznych prostredí. Prostredníctvom verejných online konzultácií sa tiež preukázalo, že problémy so zmenou poskytovateľov sú rozšírené, keďže 56,8 % respondentov zastupujúcich MSP uviedlo, že čelili ťažkostiam, keď chceli zmeniť poskytovateľa.
Štruktúrované dialógy na zasadnutiach s členskými štátmi uľahčili spoločné chápanie výziev. Šestnásť členských štátov si legislatívny návrh výslovne vyžiadalo v liste adresovanom predsedovi Donaldovi Tuskovi.
V návrhu sa zohľadňuje viacero obáv, ktoré vyjadrili zástupcovia členských štátov a priemyslu, najmä pokiaľ ide o potrebu prierezovej zásadu týkajúcej sa voľného pohybu údajov, ktorou sa zabezpečí právna istota; dosahovanie pokroku v súvislosti s dostupnosti údajov na účely regulácie; uľahčovanie možnosti zmeniť poskytovateľov služieb uchovávania alebo iného spracúvania údajov, ako aj prenášať údaje pre profesionálnych používateľov, a to prostredníctvom podpory väčšej transparentnosti, pokiaľ ide o uplatniteľné postupy a podmienky v zmluvách, bez toho, aby sa v tejto fáze pre poskytovateľov služieb zavádzali osobitné normy alebo povinnosti.
•Získavanie a využívanie odborných znalostí
V súvislosti s rôznymi aspektmi mobility údajov vrátane požiadaviek na ich lokalizáciu 21 , zmeny poskytovateľov služieb/prenosu údajov 22 a bezpečnosti údajov 23 sa vychádzalo z právnych a ekonomických štúdií. Zadalo sa vypracovanie ďalších štúdií o vplyvoch cloud computingu 24 a využívaní cloudu 25 , ako aj o európskom trhu s údajmi 26 . Vypracovali sa aj štúdie, ktorými sa preskúmali koregulačné alebo samoregulačné opatrenia v sektore cloud computingu 27 . Komisia vychádzala aj z dodatočných externých zdrojov vrátane prieskumov a štatistík trhu (napr. Eurostat).
•Posúdenie vplyvu
V súvislosti s týmto návrhom sa vykonalo posúdenie vplyvu. V posúdení vplyvu sa posudzoval tento súbor možností: základný scenár (bez politickej intervencie) a tri politické možnosti. Možnosť č. 1 pozostávala z usmernení a/alebo samoregulácie na účely riešenia rozličných identifikovaných problémov a posilnenia presadzovania práva vo vzťahu k rôznym kategóriám neopodstatnených alebo neprimeraných obmedzení, ktoré sa týkajú lokalizácie údajov a ktoré uložili členské štáty. V rámci možnosti č. 2 by sa stanovili právne zásady týkajúce sa rôznych zistených problémov a predpokladalo by sa, že členské štáty určia jednotné kontaktné miesta a vytvoria skupinu expertov s cieľom diskutovať o spoločných prístupoch a postupoch a poskytovať usmernenia týkajúce sa zásad zavedených v rámci tejto možnosti. Zvažovala sa aj alternatívna možnosť č. 2a s cieľom umožniť posúdenie kombinácie právnych predpisov, ktorými sa ustanovuje rámec pre voľný tok údajov, jednotné kontaktné miesta a skupina expertov, ako aj samoregulačné opatrenia na uskutočňovanie prenosu údajov. Možnosť č. 3 pozostávala z podrobnej legislatívnej iniciatívy na účely stanovenia – okrem iného – vopred vymedzených (harmonizovaných) posúdení toho, čo predstavuje (ne)opodstatnené a (ne)primerané obmedzenia lokalizácie údajov a nové právo týkajúce sa prenosu údajov.
Výbor pre kontrolu regulácie vydal 28. septembra 2016 svoje prvé stanovisko k posúdeniu vplyvu a požiadal o jeho opätovné predloženie. Toto posúdenie vplyvu sa následne zrevidovalo a Výboru pre kontrolu regulácie opätovne predložilo 11. augusta 2017. Výbor pre kontrolu regulácie vo svojom druhom stanovisku konštatoval rozšírenie rozsahu pôsobnosti v nadväznosti na oznámenie Komisie (2017)9 o budovaní európskeho dátového hospodárstva, ako aj na ďalšie materiály o názoroch zainteresovaných strán a o nedostatkoch súčasného rámca. Výbor však 25. augusta 2017 predložil druhé negatívne stanovisko, v ktorom poukázal najmä na nedostatok dôkazov na podporu nového práva na prenosnosť cloudových služieb. V súlade so svojimi operačnými postupmi považoval svoje stanovisko za konečné.
Komisia sa domnievala, že je vhodné predložiť návrh a zároveň ďalej zlepšovať svoje analýzy posúdenia vplyvu s cieľom náležite zohľadniť pripomienky, ktoré vyjadril Výbor pre kontrolu regulácie vo svojom druhom stanovisku. Rozsah pôsobnosti návrhu je obmedzený na voľný tok iných ako osobných údajov v rámci Európskej únie. V súlade so zistením výboru, že na základe dôkazov sa zdá pravdepodobná menej prísna možnosť, pokiaľ ide o prenos údajov, sa upustilo od uprednostňovanej možnosti, ktorá sa pôvodne predložila v posúdení vplyvu a podľa ktorej sa mala ustanoviť povinnosť pre poskytovateľov služieb uľahčovať zmenu poskytovateľa alebo prenos údajov používateľov. Komisia sa namiesto toho rozhodla pre menej zaťažujúcu možnosť pozostávajúcu zo samoregulačných opatrení uľahčovaných Komisiou. Návrh je primeraný a menej prísny, keďže sa ním nevytvára nové právo, pokiaľ ide o prenos údajov medzi poskytovateľmi služieb uchovávania alebo iného spracúvania údajov, ale v súvislosti s transparentnosťou technických a prevádzkových podmienok, ktoré sa vzťahujú na prenosnosť, vychádza zo samoregulácie.
V návrhu sa tiež zohľadňuje stanovisko výboru s cieľom zabezpečiť, aby nedochádzalo k prekrývaniu alebo zdvojovaniu s preskúmaním mandátu Agentúry Európskej únie pre sieťovú a informačnú bezpečnosť (ENISA) a so zriadením Európskeho rámca kybernetickej bezpečnosti IKT.
Z posúdenia vplyvu vyplynulo, že uprednostňovanou možnosťou, ktorou je alternatívna možnosť 2a, by sa zabezpečilo účinné odstránenie existujúcich neopodstatnených obmedzení lokalizácie údajov a účinne by sa predchádzalo obmedzeniam v budúcnosti, a to ako výsledok jasnej právnej zásady v kombinácii s revíziou, oznamovaním a transparentnosťou, pričom by sa zároveň zvýšila právna istota a dôvera v trh. Zaťaženie verejných orgánov členských štátov by bolo mierne, z čoho by vznikali náklady vo výške približne 33 000 EUR ročne, a to na ľudské zdroje na udržiavanie jednotných kontaktných miest, ako aj ročné náklady vo výške od 385 do 1 925 EUR na prípravu oznámení.
Návrh bude mať pozitívny vplyv na hospodársku súťaž, pretože sa ním bude stimulovať inovácia v oblasti služieb uchovávania alebo iného spracúvania údajov, ktoré sa stanú atraktívnejšími pre viac používateľov, a podstatne sa ním uľahčí prístup na nové trhy najmä pre nových a malých poskytovateľov služieb. Návrhom sa podporí aj cezhraničné a medziodvetvové využívanie služieb uchovávania alebo iného spracúvania údajov, ako aj rozvoj trhu s údajmi. Návrh preto pomôže transformovať spoločnosť a hospodárstvo a vytvoriť nové možnosti pre európskych občanov, podniky a orgány verejnej správy.
•Regulačná vhodnosť a zjednodušenie
Návrh sa uplatňuje na občanov, vnútroštátne správne orgány a všetky podniky vrátane mikropodnikov a MSP. Z ustanovení, ktorými sa odstraňujú prekážky pre mobilitu údajov, môžu mať prospech všetky podniky. Z návrhu budú ťažiť najmä MSP, keďže v dôsledku voľného pohybu iných ako osobných údajov sa priamo znížia ich náklady, pričom získajú konkurencieschopnejšie postavenie na trhu. Vyňatie MSP z príslušných pravidiel by oslabilo ich účinnosť, pretože MSP predstavujú veľkú časť poskytovateľov služieb uchovávania alebo iného spracúvania údajov, ako aj hnaciu silu inovácie na týchto trhoch. Okrem toho, keďže náklady vyplývajúce z týchto pravidiel pravdepodobne nebudú podstatné, mikropodniky alebo MSP by nemali byť vylúčené z rozsahu ich pôsobnosti.
•Základné práva
Týmto navrhovaným nariadením sa dodržiavajú základné práva zásady uznané v Charte základných práv Európskej únie. Navrhované nariadenie by malo mať pozitívny vplyv na slobodu podnikania (článok 16), pretože prispeje k odstráneniu a predchádzaniu neopodstatnených alebo neprimeraných prekážok využívania a poskytovania služieb súvisiacich s údajmi, ako sú napríklad cloudové služby, ako aj prekážok konfigurácie interných systémov IT.
4.VPLYV NA ROZPOČET
Mierne administratívne zaťaženie pre verejné orgány členských štátov vznikne v dôsledku pridelenia ľudských zdrojov pre spoluprácu medzi členskými štátmi v jednotných kontaktných miestach a v dôsledku potreby zabezpečiť súlad s ustanoveniami týkajúcimi sa oznamovania, preskúmania a transparentnosti.
5.ĎALŠIE PRVKY
•Plány vykonávania a spôsob monitorovania, hodnotenia a predkladania správ
Komplexné hodnotenie sa uskutoční päť rokov po začiatku uplatňovania pravidiel s cieľom posúdiť ich účinnosť a proporcionalitu. Toto hodnotenie sa vykoná v súlade s usmerneniami týkajúcimi sa lepšej právnej regulácie.
Bude najmä potrebné preskúmať, či sa nariadením prispelo k zníženiu počtu a rozsahu obmedzení týkajúcich sa lokalizácie údajov a k zvýšeniu právnej istoty a transparentnosti zostávajúcich (opodstatnených a primeraných) požiadaviek. V hodnotení sa bude musieť tiež posúdiť, či sa politickou iniciatívou prispelo k zvýšeniu dôvery vo voľný tok iných ako osobných údajov, či členské štáty môžu mať dokázateľne prístup k údajom uchovávaným v zahraničí na účely regulačnej kontroly a či malo nariadenie za následok zlepšenie transparentnosti, pokiaľ ide o podmienky prenosu údajov.
Plánuje sa, že jednotné kontaktné miesta členských štátov by mali slúžiť ako cenný zdroj informácií počas fázy ex-post hodnotenia právnych predpisov.
Na meranie pokroku v týchto oblastiach by slúžili osobitné ukazovatele (ako sa navrhuje v posúdení vplyvu). Plánuje sa aj použitie údajov Eurostatu a indexu digitálnej ekonomiky a spoločnosti. Na tento účel sa tiež môže zvážiť osobitné vydanie Eurobarometra.
•Podrobné vysvetlenie konkrétnych ustanovení návrhu
V článkoch 1 až 3 sa stanovuje cieľ návrhu, rozsah uplatňovania nariadenia a vymedzenia uplatniteľné na účely tohto nariadenia.
V článku 4 sa stanovuje zásada voľného pohybu iných ako osobných údajov v Únii. Touto zásadou sa zakazuje akékoľvek požiadavka na lokalizáciu údajov, pokiaľ nie je opodstatnená z dôvodu verejnej bezpečnosti. Okrem toho sa ňou ustanovuje preskúmanie existujúcich požiadaviek, oznamovanie zostávajúcich alebo nových požiadaviek Komisii a opatrenia v oblasti transparentnosti.
Cieľom článku 5 je zabezpečiť dostupnosť údajov na účely regulačnej kontroly zo strany príslušných orgánov. Na tento účel používatelia nemôžu odmietnuť príslušným orgánom prístup k údajom na základe toho, že údaje sa uchovávajú alebo inak spracúvajú v inom členskom štáte. Ak príslušný orgán vyčerpal všetky uplatniteľné prostriedky na získanie prístupu k daným údajom, tento príslušný orgán môže požiadať o pomoc orgán iného členského štátu, ak neexistuje žiaden osobitný mechanizmus spolupráce.
V článku 6 sa stanovuje, že Komisia nabáda poskytovateľov služieb a profesionálnych používateľov, aby vytvárali a uplatňovali kódexy správania obsahujúce podrobné informácie o podmienkach prenosu údajov (vrátane technických a prevádzkových požiadaviek), ktoré by poskytovatelia služieb mali profesionálnym používateľom poskytnúť dostatočne podrobným, jasným a transparentným spôsobom pred uzavretím zmluvy. Komisia preskúma rozvoj a účinné uplatňovanie takých kódexov do dvoch rokov od začiatku uplatňovania tohto nariadenia.
Podľa článku 7 každý členský štát určí jednotné kontaktné miesto, ktoré spolupracuje s kontaktnými miestami ostatných členských štátov a Komisiou, pokiaľ ide o uplatňovanie tohto nariadenia. V článku 7 sa tiež stanovujú procesné podmienky uplatniteľné na vzájomné poskytovanie pomoci medzi príslušnými orgánmi podľa článku 5.
Podľa článku 8 Komisii pomáha Výbor pre voľný tok údajov v zmysle nariadenia (EÚ) č. 182/2011.
V článku 9 sa ustanovuje preskúmanie do piatich rokov od začiatku uplatňovania tohto nariadenia.
V článku 10 sa stanovuje, že nariadenie sa začne uplatňovať šesť mesiacov odo dňa jeho uverejnenia.
2017/0228 (COD)
Návrh
NARIADENIE EURÓPSKEHO PARLAMENTU A RADY
o rámci pre voľný tok iných ako osobných údajov v Európskej únii
EURÓPSKY PARLAMENT A RADA EURÓPSKEJ ÚNIE,
so zreteľom na Zmluvu o fungovaní Európskej únie, a najmä na jej článok 114,
so zreteľom na návrh Európskej komisie,
po postúpení návrhu legislatívneho aktu národným parlamentom,
so zreteľom na stanovisko Európskeho hospodárskeho a sociálneho výboru 28 ,
so zreteľom na stanovisko Výboru regiónov 29 ,
konajúc v súlade s riadnym legislatívnym postupom,
keďže:
(1)Digitalizácia hospodárstva postupuje čoraz rýchlejšie. Informačné a komunikačné technológie (IKT) už nie sú osobitným sektorom, ale základom všetkých moderných inovačných hospodárskych systémov a spoločností. Ústredným prvkom týchto systémov sú elektronické údaje, ktoré môžu mať veľkú hodnotu pri analýze alebo v kombinácii so službami a s produktmi.
(2)Hodnotové reťazce údajov sa zakladajú na rôznych činnostiach súvisiacich s údajmi: vytváranie a zhromažďovanie údajov; agregácia údajov a ich organizácia; uchovávanie a spracúvanie údajov; analýza, marketing a distribúcia údajov; použitie a opätovné použitie údajov. Účinné a efektívne fungovanie uchovávania a iného spracúvania údajov je základným stavebným kameňom každého hodnotového reťazca údajov. Takéto účinné a efektívne fungovanie a rozvoj dátového hospodárstva v Únii je však obmedzované, a to najmä prostredníctvom dvoch druhov prekážok pre mobilitu údajov pre vnútorný trh.
(3)Na služby uchovávania alebo iného spracúvania údajov sa uplatňuje sloboda usadiť sa a sloboda poskytovať služby v zmysle Zmluvy o fungovaní Európskej únie. Poskytovanie týchto služieb však je však obmedzované alebo sa mu niekedy zabraňuje prostredníctvom určitých vnútroštátnych požiadaviek na lokalizáciu údajov v rámci určitého územia.
(4)Takéto prekážky pre voľný pohyb služieb uchovávania a iného spracúvania údajov a pre právo poskytovateľov takýchto služieb usadiť sa pochádzajú z požiadaviek vo vnútroštátnom práve členských štátov lokalizovať údaje v určitej geografickej oblasti alebo na určitom území na účely ich uchovávania a iného spracúvania. Rovnaký účinok majú aj iné pravidlá alebo administratívne postupy, a to v dôsledku ukladania osobitných požiadaviek, ktorými sa komplikuje uchovávanie alebo iné spracúvanie údajov mimo určitej geografickej oblasti alebo územia v rámci Únie, ako sú napríklad požiadavky na používanie technologických zariadení, ktoré sú certifikované alebo schválené v rámci konkrétneho členského štátu. Právnou neistotou, ktorá sa týka rozsahu legitímnych a nelegitímnych požiadaviek na lokalizáciu údajov, sa ďalej obmedzujú možnosti dostupné účastníkom trhu a verejným sektorom, pokiaľ ide o miesto uchovávania alebo iného spracúvania údajov.
(5)Zároveň je mobilita údajov v Únii obmedzená aj prostredníctvom súkromných obmedzení: právne, zmluvné a technické problémy, ktorými sa používateľom služieb uchovávania alebo iného spracúvania údajov prekáža alebo zabraňuje v prenose ich údajov od jedného poskytovateľa služieb k druhému alebo späť do svojich vlastných IT systémov, v neposlednom rade po vypovedaní ich zmluvy s poskytovateľom služieb.
(6)Z dôvodu právnej istoty a potreby rovnakých podmienok v rámci Únie je jednotný súbor pravidiel pre všetkých účastníkov trhu kľúčovým prvkom fungovania vnútorného trhu. V snahe odstrániť prekážky pre obchod a narušenia hospodárskej súťaže vyplývajúce z rozdielov medzi vnútroštátnymi právnymi predpismi a s cieľom zabrániť vzniku ďalších pravdepodobných prekážok pre obchod a značných narušení hospodárskej súťaže je preto potrebné prijať jednotné pravidlá uplatniteľné vo všetkých členských štátoch.
(7)S cieľom vytvoriť rámec pre voľný pohyb iných ako osobných údajov v rámci Únie a základ pre rozvoj dátového hospodárstva a posilnenie konkurencieschopnosti európskeho priemyslu je nevyhnutné stanoviť jasný, komplexný a predvídateľný právny rámec pre uchovávanie alebo iné spracúvanie iných ako osobných údajov na vnútornom trhu. Prístupom založeným na zásadách, ktorým sa zabezpečuje spolupráca medzi členskými štátmi, ako aj samoregulácia by sa mala zabezpečiť flexibilita uvedeného rámca, aby sa v ňom mohli zohľadniť meniace sa potreby používateľov, poskytovateľov služieb a vnútroštátnych orgánov v Únii. Aby sa zabránilo riziku prekrývania sa s existujúcimi mechanizmami a vyhlo sa tak vyššiemu zaťaženiu pre členské štáty aj podniky, nemali by sa zavádzať podrobné technické pravidlá.
(8)Toto nariadenie by sa malo uplatňovať na právnické alebo fyzické osoby, ktoré poskytujú služby uchovávania alebo iného spracúvania údajov používateľom s pobytom alebo so sídlom v Únii vrátane tých, ktorí poskytujú služby v Únii bez toho, aby v nej mali sídlo.
(9)Právny rámec o ochrane fyzických osôb, pokiaľ ide o spracúvanie osobných údajov, najmä nariadenie (EÚ) 2016/679 30 , smernica (EÚ) 2016/680 31 a smernica 2002/58/ES 32 by nemali byť týmto nariadením dotknuté.
(10)Podľa nariadenia (EÚ) 2016/679 nesmú členské štáty obmedziť ani zakázať voľný pohyb osobných údajov v rámci Únie z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov. Týmto nariadením sa ustanovujú rovnaké zásady voľného pohybu v rámci Únie pre iné ako osobné údaje s výnimkou prípadov, keď by obmedzenie alebo zákaz boli opodstatnené z bezpečnostných dôvodov.
(11)Toto nariadenie by sa malo uplatňovať na uchovávanie alebo iné spracúvanie údajov v širokom význame, a to pri zahrnutí používania všetkých druhov informačných systémov, či už takých, ktoré sa nachádzajú v priestoroch používateľa, alebo u externých poskytovateľov služieb uchovávania alebo iného spracúvania údajov. Malo by sa vzťahovať na spracúvanie údajov na rôznych úrovniach intenzity, od uchovávania údajov [infraštruktúra ako služba – „Infrastructure-as-a-Service“ (IaaS)] až po spracúvanie údajov na platformách [platforma ako služba – „Platform-as-a-Service“ (PaaS)] alebo v aplikáciách [softvér ako služba – „Software-as-a-Service“ (SaaS)]. Tieto rôzne služby by mali patriť do rozsahu pôsobnosti tohto nariadenia, pokiaľ uchovávanie alebo iné spracúvanie údajov nie je len doplnkom služby iného typu, ako napríklad poskytovanie sprostredkovania online trhoviska medzi poskytovateľom služieb a spotrebiteľom alebo podnikovým používateľom.
(12)Požiadavky na lokalizáciu údajov predstavujú jasnú prekážku pre voľné poskytovanie služieb uchovávania alebo iného spracúvania údajov v celej Únii a pre vnútorný trh. Ako také by mali byť zakázané, pokiaľ nie sú opodstatnené z dôvodov verejnej bezpečnosti, ako sa vymedzuje prostredníctvom práva Únie, najmä v článku 52 Zmluvy o fungovaní Európskej únie, a v súlade so zásadou proporcionality zakotvenou v článku 5 Zmluvy o Európskej únii. Na účely uplatňovania zásady voľného toku iných ako osobných údajov cez hranice, zabezpečenia rýchleho odstránenia existujúcich požiadaviek na lokalizáciu údajov a umožnenia toho, aby sa údaje z prevádzkových dôvodov uchovávali a inak spracúvali na viacerých miestach v celej EÚ, a keďže sa týmto nariadením ustanovujú opatrenia na zabezpečenie dostupnosti údajov na účely regulačnej kontroly, by členské štáty nemali mať možnosť dovolávať sa iných odôvodnení ako verejnej bezpečnosti.
(13)S cieľom zabezpečiť účinné uplatňovanie zásady voľného toku iných ako osobných údajov cez hranice a zabrániť vzniku nových prekážok pre riadne fungovanie vnútorného trhu by členské štáty mali Komisii oznámiť každý návrh právneho aktu, ktorý obsahuje nové požiadavky na lokalizáciu údajov alebo ktorým sa upravuje už existujúca požiadavka na lokalizáciu údajov. Také oznámenia by sa mali predkladať a hodnotiť v súlade s postupom ustanoveným v smernici (EÚ) 2015/1535 33 .
(14)Okrem toho by s cieľom odstrániť možné existujúce bariéry počas prechodného obdobia 12 mesiacov členské štáty mali preskúmať existujúce vnútroštátne požiadavky na lokalizáciu údajov a oznámiť Komisii spolu s odôvodnením každú požiadavku na lokalizáciu údajov, o ktorej sa domnievajú, že je v súlade s týmto nariadením. Tieto informácie by mali Komisii umožniť posúdiť súlad všetkých zostávajúcich požiadaviek na lokalizáciu údajov.
(15)Na zabezpečenie transparentnosti požiadaviek na lokalizáciu údajov v členských štátoch pre fyzické a právnické osoby, ako napríklad poskytovateľov a používateľov služieb uchovávania alebo iného spracúvania údajov, by členské štáty mali na jedinom online informačnom mieste uverejniť a pravidelne aktualizovať informácie o takýchto opatreniach. Členské štáty by mali Komisii oznamovať adresy takýchto online miest s cieľom vhodne informovať právnické a fyzické osoby o požiadavkách na lokalizáciu údajov v celej Únii. Komisia by tieto informácie mala uverejniť na svojom webovom sídle.
(16)Požiadavky na lokalizáciu údajov sú často podporované nedostatočnou dôverou v cezhraničné uchovávanie alebo iné spracúvanie údajov vyplývajúcou z predpokladanej nedostupnosti údajov pre príslušné orgány členských štátov na účely, ako sú napríklad inšpekcie a audit na regulačné kontroly alebo kontroly dohľadu. Preto by sa v tomto nariadení malo jasne stanoviť, že ním nie sú dotknuté právomoci príslušných orgánov požadovať a získať prístup k údajom v súlade s právom Únie alebo vnútroštátnym právom a že prístup príslušných orgánov k údajom sa nesmie zamietnuť na základe toho, že údaje sa uchovávajú alebo inak spracúvajú v inom členskom štáte.
(17)Fyzické alebo právnické osoby, na ktoré sa vzťahujú povinnosti poskytovať údaje príslušným orgánom, môžu splniť tieto povinnosti tým, že príslušným orgánom poskytnú a zaručia účinný a včasný elektronický prístup k údajom bez ohľadu na to, na území ktorého členského štátu sa dané údaje uchovávajú alebo inak spracúvajú. Takýto prístup sa môže zabezpečiť prostredníctvom konkrétnych podmienok v zmluvách medzi fyzickou alebo právnickou osobou, na ktorú sa vzťahuje povinnosť poskytovať prístup, a poskytovateľom služieb uchovávania alebo iného spracúvania údajov.
(18)Ak si fyzická alebo právnická osoba, na ktorú sa vzťahujú povinnosti poskytovať údaje, neplní povinnosti a ak príslušný orgán vyčerpal všetky uplatniteľné prostriedky na získanie prístupu k údajom, mal by mať tento príslušný orgán možnosť požiadať o pomoc príslušné orgány v iných členských štátoch. V takýchto prípadoch by príslušné orgány mali využívať osobitné nástroje spolupráce ustanovené v práve Únie alebo medzinárodných dohodách, a to v závislosti od predmetu úpravy v danom prípade, ako napríklad – v oblasti policajnej spolupráce, trestnej alebo občianskej justície alebo v správnych veciach – rámcové rozhodnutie 2006/960 34 , smernicu Európskeho parlamentu a Rady 2014/41/EÚ 35 , Dohovor Rady Európy o počítačovej kriminalite 36 , nariadenie Rady (ES) č. 1206/2001 37 , smernicu Rady 2006/112/ES 38 a nariadenie Rady (EÚ) č. 904/2010 39 . Ak takéto osobitné mechanizmy spolupráce neexistujú, príslušné orgány by mali navzájom spolupracovať s cieľom zabezpečiť prístup k požadovaným údajom prostredníctvom určených jednotných kontaktných miest, okrem prípadov, keď by to bolo v rozpore s verejným poriadkom dožiadaného členského štátu.
(19)Ak žiadosť o pomoc zahŕňa získanie prístupu zo strany dožiadaného orgánu do akýchkoľvek priestorov fyzickej alebo právnickej osoby, a to aj k akýmkoľvek zariadeniam a prostriedkom uchovávania alebo iného spracúvania údajov, takýto prístup musí byť v súlade s procesným právom Únie alebo členského štátu, a to aj s každou požiadavkou na získanie predchádzajúceho povolenia súdu.
(20)Možnosť prenášať údaje bez prekážok je kľúčovým faktorom uľahčujúcim voľbu a účinnú hospodársku súťaž na trhoch so službami uchovávania alebo iného spracúvania údajov. Skutočné alebo vnímané problémy, pokiaľ ide o cezhraničný prenos údajov, taktiež narušujú dôveru profesionálnych používateľov vo využívanie cezhraničných ponúk a v dôsledku toho aj ich dôveru vo vnútorný trh. Zatiaľ čo fyzické osoby a spotrebitelia majú výhody z existujúcich právnych predpisov Únie, možnosť zmeniť poskytovateľa služieb sa pre používateľov v rámci ich obchodnej alebo podnikateľskej činnosti neuľahčuje.
(21)S cieľom v plnej miere využiť výhody konkurenčného prostredia by profesionálni používatelia mali mať možnosť prijímať informované rozhodnutia v súvislosti s rôznymi službami, ktoré sa týkajú uchovávania alebo iného spracúvania údajov a ktoré sa ponúkajú na vnútornom trhu, a tiež ľahko porovnávať jednotlivé zložky takýchto služieb, a to aj pokiaľ ide o zmluvné podmienky prenosu údajov po skončení zmluvy. Na účely zosúladenia skúseností a odborných znalostí poskytovateľov a profesionálnych používateľov služieb uchovávania alebo iného spracúvania údajov s inovačným potenciálom na trhu a na účely zohľadnenia takýchto skúseností a odborných znalostí by účastníci trhu mali – s podporou a pomocou Komisie – prostredníctvom samoregulácie zabezpečiť podrobné informácie a vymedziť prevádzkové požiadavky, pokiaľ ide o prenos údajov, a to vo forme kódexov správania Únie, ktoré môžu obsahovať vzorové zmluvné podmienky. Ak sa však takéto kódexy správania v primeranej lehote nezavedú a nebudú účinne vykonávať, Komisia by mala situáciu preskúmať.
(22)S cieľom prispieť k bezproblémovej spolupráci medzi členskými štátmi by mal každý členský štát určiť jednotné kontaktné miesto na účely spolupráce s kontaktnými miestami ostatných členských štátov a Komisie, pokiaľ ide o uplatňovanie tohto nariadenia. Ak príslušný orgán jedného členského štátu požiada o pomoc iný členský štát na účely získania prístupu k údajom podľa tohto nariadenia, mal by určenému jednotnému kontaktnému miestu iného členského štátu predložiť náležite odôvodnenú žiadosť vrátane písomného vysvetlenia svojho odôvodnenia a právnych základov pre požadovanie prístupu k údajom. Jednotné kontaktné miesto určené členským štátom, o ktorého pomoc sa žiada, by malo uľahčovať poskytovanie pomoci medzi orgánmi, a to tým, že zistí zodpovedný príslušný orgán dožiadaného členského štátu a žiadosť mu zašle. Na účely zabezpečenia účinnej spolupráce by mal orgán, ktorému sa žiadosť zaslala, bezodkladne poskytnúť pomoc v reakcii na danú žiadosť alebo poskytnúť informácie o ťažkostiach, pokiaľ ide o vyhovenie žiadosti o pomoc, alebo o dôvodoch zamietnutia takejto žiadosti.
(23)S cieľom zabezpečiť účinné vykonávanie postupu vzájomného poskytovania pomoci medzi príslušnými orgánmi členského štátu môže Komisia prijať vykonávacie akty, v ktorých sa stanovia štandardné formuláre, jazyky používané v žiadostiach, lehoty alebo iné podrobnosti postupov pre predkladanie žiadostí o pomoc. Uvedené právomoci by sa mali vykonávať v súlade s nariadením Európskeho parlamentu a Rady (EÚ) č. 182/2011. 40
(24)Zvýšením dôvery v bezpečnosť cezhraničného uchovávania alebo iného spracúvania údajov by sa mala znížiť tendencia účastníkov trhu a verejného sektora využívať lokalizáciu údajov ako prostriedok na zaistenie bezpečnosti údajov. Mala by sa tým tiež zvýšiť právna istota pre spoločnosti v súvislosti s uplatniteľnými bezpečnostnými požiadavkami v prípade, že vykonávaním svojich činností uchovávania alebo iného spracúvania údajov poveria externých poskytovateľov služieb, a to aj v inom členskom štáte.
(25)Všetky bezpečnostné požiadavky týkajúce sa uchovávania alebo iného spracúvania údajov, ktoré sa na základe práva Únie alebo vnútroštátneho práva v súlade s právom Únie uplatňujú opodstatneným a primeraným spôsobom v členskom štáte bydliska alebo sídla fyzických alebo právnických osôb, ktorých údaje sa uchovávajú alebo inak spracúvajú, by sa mali aj naďalej uplatňovať na uchovávanie alebo iné spracúvanie týchto údajov v inom členskom štáte. Tieto fyzické alebo právnické osoby by mali mať možnosť splniť takéto požiadavky buď sami alebo prostredníctvom zmluvných doložiek stanovených v zmluvách s poskytovateľmi.
(26) Bezpečnostné požiadavky stanovené na vnútroštátnej úrovni by mali byť potrebné a primerané vzhľadom na riziká súvisiace s bezpečnosťou uchovávania a iného spracúvania údajov v oblasti rozsahu pôsobnosti vnútroštátnych právnych predpisov, v ktorých sú tieto požiadavky stanovené.
(27)V smernici 2016/1148 41 sa ustanovujú právne opatrenia na zvýšenie celkovej úrovne kybernetickej bezpečnosti v Únii. Služby uchovávania alebo iného spracúvania údajov predstavujú jednu z digitálnych služieb, na ktoré sa uvedená smernica vzťahuje. Podľa jej článku 16 musia členské štáty zabezpečiť, aby poskytovatelia digitálnych služieb identifikovali riziká súvisiace s bezpečnosťou sietí a informačných systémov, ktoré používajú, a aby prijali vhodné a primerané technické a organizačné opatrenia na riadenie týchto rizík. Takými opatreniami by sa mala zaistiť úroveň bezpečnosti, ktorá zodpovedá miere daného rizika, a zohľadňovať bezpečnosť systémov a zariadení, riešenie incidentov, riadenie kontinuity činností, monitorovanie, audit a skúšanie, ako aj súlad s medzinárodnými normami. Tieto prvky má Komisia ďalej špecifikovať vo vykonávacích aktoch podľa uvedenej smernice.
(28)Komisia by mala toto nariadenie pravidelne preskúmavať, najmä s cieľom určiť potrebu úprav vzhľadom na technologický rozvoj alebo rozvoj trhu.
(29)V tomto nariadení sa rešpektujú základné práva a dodržujú zásady uznané v Charte základných práv Európskej únie, pričom toto nariadenie by sa malo vykladať a uplatňovať v súlade s týmito právami a zásadami vrátane práva na ochranu osobných údajov (článok 8), slobodu podnikania (článok 16), ako aj slobodu prejavu a práva na informácie (článok 11).
(30)Keďže cieľ tohto nariadenia, a to zabezpečiť voľný pohyb iných ako osobných údajov v rámci Únie, nie je možné uspokojivo dosiahnuť na úrovni jednotlivých členských štátov, ale z dôvodu jeho rozsahu a účinkov ho možno lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 Zmluvy o Európskej únii. V súlade so zásadou proporcionality podľa uvedeného článku toto nariadenie neprekračuje rámec nevyhnutný na dosiahnutie tohto cieľa,
PRIJALI TOTO NARIADENIE:
Článok 1
Predmet úpravy
Cieľom tohto nariadenia je zabezpečiť voľný pohyb iných ako osobných údajov v rámci Únie, a to tým, že sa v ňom ustanovia pravidlá týkajúce sa požiadaviek na lokalizáciu údajov, dostupnosť údajov pre príslušné orgány a prenos údajov pre profesionálnych používateľov.
Článok 2
Rozsah pôsobnosti
1.Toto nariadenie sa uplatňuje na uchovávanie alebo iné spracúvanie elektronických údajov, ktoré nie sú osobnými údajmi, v Únii, pričom toto uchovávanie alebo spracúvanie
a)sa poskytuje ako služba používateľom s pobytom alebo so sídlom v Únii bez ohľadu na to, či poskytovateľ je alebo nie je usadený v Únii, alebo
b)vykonáva fyzická alebo právnická osoba s pobytom alebo so sídlom v Únii pre svoje vlastné potreby.
2.Toto nariadenie sa neuplatňuje na žiadnu činnosť, ktorá nepatrí do rozsahu pôsobnosti práva Únie.
Článok 3
Vymedzenie pojmov
Na účely tohto nariadenia sa uplatňuje toto vymedzenie pojmov:
1.„údaje“ sú iné údaje ako osobné údaje, ktoré sú vymedzené v článku 4 ods. 1 nariadenia (EÚ) 2016/679;
2.„uchovávanie údajov“ je akékoľvek uchovávanie údajov v elektronickom formáte;
3.„návrh právneho aktu“ je text formulovaný s cieľom schváliť ho ako zákon, iný právny predpis alebo správne opatrenie všeobecnej povahy, pričom znenie tohto textu je v štádiu prípravy, v ktorom oznamujúci členský štát môže ešte stále vykonávať podstatné zmeny;
4.„poskytovateľ“ je fyzická alebo právnická osoba, ktorá poskytuje služby uchovávania alebo iného spracúvania údajov;
5.„požiadavka na lokalizáciu údajov“ je akákoľvek povinnosť, zákaz, podmienka, obmedzenie alebo iná požiadavka ustanovená v zákonoch, iných právnych predpisoch alebo správnych opatreniach členských štátov, ktorými sa stanovuje lokalizácia uchovávania alebo iného spracúvania údajov na území konkrétneho členského štátu alebo obmedzuje uchovávanie alebo iné spracúvanie údajov v ktoromkoľvek inom členskom štáte;
6.„príslušný orgán“ je orgán členského štátu, ktorý je oprávnený získať prístup k údajom uchovávaným alebo inak spracúvaným fyzickou alebo právnickou osobou na výkon svojich služobných povinností, ako sa ustanovuje vo vnútroštátnom práve alebo v práve Únie;
7.„používateľ“ je fyzická alebo právnická osoba, ktorá využíva služby uchovávania alebo iného spracúvania údajov alebo o ne žiada;
8.„profesionálny používateľ“ je fyzická alebo právnická osoba vrátane subjektu verejného sektora, ktorý využíva služby uchovávania alebo iného spracúvania údajov alebo o ne žiada na účely súvisiace so svojou obchodnou, podnikateľskou, remeselnou alebo profesijnou činnosťou alebo so svojou úlohou.
Článok 4
Voľný pohyb údajov v rámci Únie
1.Lokalizácia údajov na účely uchovávania alebo iného spracúvania v rámci Únie sa neobmedzuje na územie konkrétneho členského štátu, pričom uchovávanie alebo iné spracúvanie v ktoromkoľvek inom členskom štáte sa nezakazuje ani neobmedzuje, pokiaľ to nie je opodstatnené z dôvodov verejnej bezpečnosti.
2.Členské štáty oznamujú Komisii každý návrh právneho aktu, ktorým sa zavádza nová požiadavka na lokalizáciu údajov alebo mení existujúca požiadavka na lokalizáciu údajov v súlade s postupmi stanovenými vo vnútroštátnych právnych predpisoch, ktorými sa vykonáva smernica (EÚ) 2015/1535.
3.Do 12 mesiacov po začatí uplatňovania tohto nariadenia členské štáty zabezpečia, aby sa zrušila každá požiadavka na lokalizáciu údajov, ktorá nie je v súlade s odsekom 1. Ak členský štát usúdi, že požiadavka na lokalizáciu údajov je v súlade s odsekom 1 a môže preto zostať v platnosti, oznámi toto opatrenie Komisii spolu s odôvodnením pre zachovanie jeho platnosti.
4.Členské štáty zverejnia údaje o všetkých požiadavkách na lokalizáciu údajov, ktoré sú uplatniteľné na ich území, na internete prostredníctvom jednotného informačného miesta, ktoré aktualizujú.
5.Členské štáty oznámia Komisii adresu svojho jednotného informačného miesta uvedeného v odseku 4. Komisia uverejní odkazy na takéto miesta na svojom webovom sídle.
Článok 5
Dostupnosť údajov pre príslušné orgány
1.Týmto nariadením nie sú dotknuté právomoci príslušných orgánov žiadať o prístup k údajom na výkon ich služobných povinností v súlade s právom Únie alebo vnútroštátnym právom a získať ho. Prístup príslušných orgánov k údajom sa nesmie zamietnuť na základe toho, že údaje sa uchovávajú alebo inak spracúvajú v inom členskom štáte.
2.Ak príslušný orgán vyčerpal všetky uplatniteľné prostriedky na získanie prístupu k údajom, môže požiadať o pomoc príslušný orgán v inom členskom štáte v súlade s postupom ustanoveným v článku 7, pričom dožiadaný príslušný orgán poskytne pomoc v súlade s postupom ustanoveným v článku 7, okrem prípadov, v ktorých by to bolo v rozpore s verejným poriadkom dožiadaného členského štátu.
3.Ak žiadosť o pomoc zahŕňa získanie prístupu zo strany dožiadaného orgánu do akýchkoľvek priestorov fyzickej alebo právnickej osoby, a to aj k akýmkoľvek zariadeniam a prostriedkom uchovávania alebo iného spracúvania údajov, takýto prístup musí byť v súlade s procesným právom Únie alebo členského štátu.
4.Odsek 2 sa uplatňuje iba v prípade, ak neexistuje žiadny osobitný mechanizmus spolupráce podľa práva Únie alebo medzinárodných dohôd na účely výmeny údajov medzi príslušnými orgánmi rôznych členských štátov.
Článok 6
Prenos údajov
1.Komisia podporuje a uľahčuje rozvoj kódexov správania na úrovni Únie, ktoré sa týkajú samoregulácie, s cieľom vypracovať usmernenia, pokiaľ ide o najlepšie postupy v súvislosti s uľahčením zmeny poskytovateľa služieb, ako aj s cieľom zabezpečiť, aby poskytovatelia služieb pred uzavretím zmluvy o uchovávaní a inom spracúvaní údajov poskytli profesionálnym používateľom dostatočne podrobné, jasné a transparentné informácie o týchto otázkach:
a)procesy, technické požiadavky, časové rámce a poplatky, ktoré sa uplatňujú, ak sa profesionálny používateľ rozhodne pre iného poskytovateľa služieb alebo chce preniesť údaje späť do svojich vlastných IT systémov, vrátane postupov akéhokoľvek zálohovania údajov a lokalizácie všetkých záložných médií, dostupných formátov údajov a dostupnej dátovej podpory, požadovaných IT konfigurácií a minimálnej šírky pásma siete; čas potrebný pred začatím procesu prenosu a čas, v ktorom budú údaje dostupné na účely prenosu; záruky pre prístup k údajom v prípade konkurzu poskytovateľa služieb a
b)prevádzkové požiadavky na účely zmeny poskytovateľa služieb alebo prenosu údajov v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte, ktorým sa používateľovi poskytne dostatočný čas na uskutočnenie zmeny poskytovateľa služieb a prenosu údajov.
2.Komisia nabáda poskytovateľov služieb k tomu, aby účinne zaviedli kódexy správania uvedené v odseku 1 do jedného roka od začiatku uplatňovania tohto nariadenia.
3.Komisia najneskôr do dvoch rokov od začiatku uplatňovania tohto nariadenia preskúma vypracovanie a účinné vykonávanie takýchto kódexov správania, ako aj účinné poskytovanie informácií zo strany poskytovateľov služieb.
Článok 7
Jednotné kontaktné miesta
1.Každý členský štát určí jednotné kontaktné miesto, ktoré spolupracuje s jednotnými kontaktnými miestami ostatných členských štátov a Komisiou, pokiaľ ide o uplatňovanie tohto nariadenia. Členské štáty oznámia Komisii určené jednotné kontaktné miesta a každú následnú zmenu, ktorá sa ich týka.
2.Členské štáty zabezpečia, aby jednotné kontaktné miesta mali potrebné zdroje na uplatňovanie tohto nariadenia.
3.Ak príslušný orgán jedného členského štátu požiada o pomoc iný členský štát na účely získania prístupu k údajom podľa článku 5 ods. 2, predloží určenému jednotnému kontaktnému miestu iného členského štátu náležite odôvodnenú žiadosť vrátane písomného vysvetlenia svojho odôvodnenia a právnych základov pre požadovanie prístupu k údajom.
4.Jednotné kontaktné miesto zistí zodpovedný príslušný orgán svojho členského štátu a zašle mu žiadosť, ktorú dostal podľa odseku 3. Tento dožiadaný orgán bez zbytočného odkladu:
a)odpovie žiadajúcemu príslušnému orgánu a svoju odpoveď oznámi jednotnému kontaktnému miestu a
b)informuje jednotné kontaktné miesto a žiadajúci príslušný orgán o všetkých ťažkostiach alebo – ak sa žiadosť zamietla alebo sa jej vyhovelo len čiastočne – o dôvodoch takéhoto odmietnutia alebo čiastočného vyhovenia.
5.Všetky informácie vymieňané v rámci pomoci, o ktorú sa žiada a ktorá sa poskytuje podľa článku 5 ods. 2, sa používajú iba v súvislosti so záležitosťou, pre ktorú sa o túto pomoc žiadalo.
6.Komisia môže prijať vykonávacie akty, v ktorých sa stanovia štandardné formuláre, jazyky používané v žiadostiach, lehoty alebo iné podrobnosti postupov pre predkladanie žiadostí o pomoc. Také vykonávacie akty sa prijmú v súlade s postupom uvedeným v článku 8.
Článok 8
Výbor
1.Komisii pomáha Výbor pre voľný tok údajov. Uvedený výbor je výborom v zmysle nariadenia (EÚ) č. 182/2011.
2.Ak sa odkazuje na tento odsek, uplatňuje sa článok 5 nariadenia (EÚ) č. 182/2011.
Článok 9 Preskúmanie
Preskúmanie
1.Najneskôr [päť rokov po dátume uvedenom v článku 10 ods. 2] Komisia preskúma toto nariadenie a predloží správu o hlavných zisteniach Európskemu parlamentu, Rade a Európskemu hospodárskemu a sociálnemu výboru.
2.Členské štáty poskytnú Komisii informácie potrebné na vypracovanie správy uvedenej v odseku 1.
Článok 10
Záverečné ustanovenia
1.Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.
2.Toto nariadenie sa začne uplatňovať šesť mesiacov po jeho uverejnení.
Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.
V Bruseli
Za Európsky parlament Za Radu
predseda predseda
IDC a Open Evidence, „European Data Market“ (Európsky trh s údajmi), záverečná správa, 1. februára 2017 (SMART 2013/0063).
Doplňujúce ekonomické dôkazy sa získavali prostredníctvom štúdie o hospodárskom vplyve cloud computingu v Európe [SMART 2014/0031, Deloitte, „Measuring the economic impact of cloud computing in Europe“ (Meranie hospodárskeho vplyvu cloud computingu v Európe), 2016].