EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 52017PC0495

Predlog UREDBA EVROPSKEGA PARLAMENTA IN SVETA o okviru za prosti pretok neosebnih podatkov v Evropski uniji

COM/2017/0495 final - 2017/0228 (COD)

Bruselj, 13.9.2017

COM(2017) 495 final

2017/0228(COD)

Predlog

UREDBA EVROPSKEGA PARLAMENTA IN SVETA

o okviru za prosti pretok neosebnih podatkov v Evropski uniji

{SWD(2017) 304 final}
{SWD(2017) 305 final}


OBRAZLOŽITVENI MEMORANDUM

1.OZADJE PREDLOGA

Razlogi za predlog in njegovi cilji

Nove digitalne tehnologije, kot so računalništvo v oblaku, velepodatki, umetna inteligenca in internet stvari, so zasnovane, da bi omogočile čim večjo učinkovitost, ekonomijo obsega in razvoj novih storitev. Uporabnikom nudijo ugodnosti, kot so odzivnost, produktivnost, hitrost uvajanja in samostojnost, npr. s strojnim učenjem 1 .

Kot je navedeno v sporočilu „Oblikovanje evropskega podatkovnega gospodarstva“ 2 iz leta 2017, je bila v letu 2016 vrednost podatkovnega trga EU ocenjena na približno 60 milijard EUR, kar je povečanje za 9,5 % v primerjavi z letom 2015. Iz študije sledi, da bi bil lahko podatkovni trg EU v letu 2020 vreden več kot 106 milijard EUR 3 .

Za sprostitev tega potenciala se v predlogu obravnavajo naslednja vprašanja:

·povečanje mobilnosti neosebnih podatkov prek meja v okviru enotnega trga, ki je danes v številnih državah članicah omejena z omejitvami glede lokalizacije ali pravno negotovostjo na trgu;

·zagotavljanje, da pooblastila pristojnih organov, da zahtevajo in dobijo dostop do podatkov za namene upravnega nadzora, na primer zaradi inšpekcijskega nadzora in revizije, ostanejo nespremenjena, ter

·olajšanje zamenjave ponudnikov in prenosa podatkov za poklicne uporabnike storitev shranjevanja podatkov ali drugih storitev obdelave podatkov, ne da bi pri tem prišlo do prekomerne obremenitve ponudnikov storitev ali izkrivljanja trga.

V vmesnem pregledu izvajanja strategije za enotni digitalni trg 4 je bil napovedan zakonodajni predlog o okviru EU za sodelovanje na področju prostega pretoka podatkov.

Splošni cilj politike pri tej pobudi je doseči bolj konkurenčen in povezan notranji trg storitev in dejavnosti shranjevanja ter druge obdelave podatkov z obravnavo zgoraj navedenih področij. V tem predlogu se izraz „shranjevanje in druga obdelava podatkov“ uporablja v širokem pomenu, ki zajema uporabo vseh vrst informacijskih sistemov, ki se bodisi nahajajo v prostorih uporabnika ali pa jih zagotavlja zunanji ponudnik storitev shranjevanja podatkov oziroma drugih storitev obdelave podatkov 5 .

Skladnost z veljavnimi predpisi s področja zadevne politike

Predlog je usmerjen k doseganju ciljev iz strategije za enotni digitalni trg 6 , njenega nedavnega vmesnega pregleda, pa tudi političnih usmeritev sedanje Evropske komisije „Nov začetek za Evropo: moj načrt za delovna mesta, rast, pravičnost in demokratične spremembe.“ 7

Ta predlog se osredotoča na zagotavljanje storitev gostovanja (shranjevanja) in druge obdelave podatkov ter je skladen z obstoječimi pravnimi instrumenti. Pobuda si prizadeva za vzpostavitev učinkovitega enotnega trga EU za te storitve. Torej je skladna z direktivo o elektronskem poslovanju 8 , katere cilj je celovit in učinkovit enotni trg EU za širše kategorije storitev informacijske družbe, in z direktivo o storitvah 9 , ki spodbuja poglobitev enotnega trga EU za storitve v številnih sektorjih.

Številna pomembna področja so izrecno izključena iz področja uporabe te zakonodaje (tj. direktiv o elektronskem poslovanju in storitvah), tako da bi se za celotno področje storitev gostovanja (shranjevanja) in druge obdelave podatkov uporabljale le splošne določbe Pogodbe. Vendar obstoječih ovir za te storitve ni mogoče učinkovito odpraviti zgolj z zanašanjem na neposredno uporabo členov 49 in 56 Pogodbe o delovanju Evropske unije (PDEU), saj bi bilo po eni strani njihovo reševanje od primera do primera s postopki za ugotavljanje kršitev proti zadevnim državam članicam zelo zapleteno za nacionalne organe in institucije Unije, po drugi strani pa odprava številnih ovir zahteva posebna pravila za obravnavanje ne samo javnih, temveč tudi zasebnih ovir, in kaže na potrebo po vzpostavitvi upravnega sodelovanja. Poleg tega se zdi posledična krepitev pravne varnosti posebej pomembna za uporabnike novih tehnologij 10 .

Ker ta predlog zadeva elektronske podatke, ki niso osebni podatki, ne zadeva pravnega okvira Unije za varstvo osebnih podatkov, zlasti Uredbe (EU) 2016/679 (splošna uredba o varstvu podatkov) 11 , Direktive (EU) 2016/680 (policijska direktiva) 12 in Direktive 2002/58/ES (direktiva o zasebnosti in elektronskih komunikacijah) 13 , ki zagotavljajo visoko raven varstva osebnih podatkov in prostega pretoka osebnih podatkov v Uniji. Namen predloga je, da se skupaj z navedenim pravnim okvirom vzpostavi celovit in skladen okvir EU, ki bo omogočil prost pretok podatkov na enotnem trgu.

Predlog zahteva uradno obveščanje o osnutkih ukrepov v zvezi z lokalizacijo podatkov v skladu z direktivo o preglednosti 2015/1535 14 , na podlagi katerega je mogoče oceniti, ali so takšne omejitve glede lokalizacije upravičene.

Kar zadeva sodelovanje in medsebojno pomoč med pristojnimi organi, predlog določa, da bi bilo treba uporabljati vse take mehanizme. Če mehanizmi sodelovanja ne obstajajo, predlog uvaja ukrepe, ki pristojnim organom omogočajo izmenjavo in dostop do podatkov, shranjenih ali kako drugače obdelanih v drugih državah članicah.

Skladnost z drugimi politikami Unije

V zvezi z enotnim digitalnim trgom je namen te pobude zmanjšati ovire za konkurenčno podatkovno gospodarstvo v Evropi. V skladu s sporočilom o vmesnem pregledu enotnega digitalnega trga Komisija ločeno preučuje vprašanja dostopnosti in ponovne uporabe javnih in javno financiranih podatkov ter podatkov v zasebni lasti, ki so v javnem interesu, in odgovornosti v primeru škode, ki jo povzročijo podatkovno intenzivni izdelki 15 .

Politično posredovanje se opira tudi na sveženj politik o digitalizaciji evropske industrije, v katerega je bila vključena evropska pobuda za računalništvo v oblaku 16 , ki ima za cilj uvedbo visokozmogljive rešitve za shranjevanje, souporabo in ponovno uporabo znanstvenih podatkov v oblaku. Poleg tega se pobuda opira tudi na revizijo evropskega okvira interoperabilnosti 17 , ki je namenjen izboljšanju digitalnega sodelovanja med javnimi upravami v Evropi in mu bo prost pretok podatkov neposredno koristil. Ta okvir prispeva k zavezanosti EU odprtemu internetu 18 .

2.PRAVNA PODLAGA, SUBSIDIARNOST IN SORAZMERNOST

Pravna podlaga

Ta predlog spada na področje deljene pristojnosti v skladu s členom 4(2)(a) PDEU. Njegov cilj je doseči bolj konkurenčen in povezan notranji trg storitev shranjevanja in druge obdelave podatkov z zagotavljanjem prostega pretoka podatkov v Uniji. V njem so določena pravila v zvezi z zahtevami za lokalizacijo podatkov, razpoložljivost podatkov pristojnim organom in prenos podatkov za poklicne uporabnike. Predlog temelji na členu 114 PDEU, ki je splošna pravna podlaga za sprejetje takih pravil.

Subsidiarnost

Predlog je v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji (PEU). Cilja tega predloga, zagotoviti nemoteno delovanje notranjega trga navedenih storitev, ki ni omejen na ozemlje ene države članice, in prost pretok neosebnih podatkov v Uniji, države članice ne morejo zadovoljivo doseči na nacionalni ravni, saj je glavni problem čezmejna mobilnost podatkov.

Države članice lahko zmanjšajo število in obseg svojih omejitev glede lokalizacije podatkov, a je verjetno, da bodo to storile v različnem obsegu in pod različnimi pogoji ali pa sploh ne.

Vendar bi različni pristopi privedli do pomnožitve regulativnih zahtev po vsem enotnem trgu EU in povzročili konkretne dodatne stroške za podjetja, zlasti mala in srednja (MSP).

Sorazmernost

Predlog je v skladu z načelom sorazmernosti, kot je določeno v členu 5 PEU, saj gre za učinkovit okvir, ki ne presega tistega, kar je potrebno za rešitev opredeljenih težav in je sorazmeren za dosego zastavljenih ciljev.

Da bi se odpravile ovire za prost pretok neosebnih podatkov v Uniji, ki ga omejujejo zahteve glede lokalizacije podatkov, in okrepilo zaupanje v čezmejne podatkovne tokove ter storitve shranjevanja in druge obdelave podatkov, se bo predlog v veliki meri opiral na obstoječe instrumente in okvire: na direktivo o preglednosti glede uradnega obvestila o osnutkih ukrepov v zvezi z zahtevami glede lokalizacije podatkov in na različne okvirje, ki zagotavljajo razpoložljivost podatkov za regulativni nadzor držav članic. Mehanizem sodelovanja iz predloga se bo uporabljal za reševanje vprašanj razpoložljivosti podatkov za pristojne nacionalne organe le tedaj, ko ne obstajajo drugi mehanizmi sodelovanja in so bile druge možnosti dostopa izčrpane.

Predlagani pristop k pretoku podatkov prek meja držav članic in med ponudniki storitev / notranjimi informacijskimi sistemi si prizadeva poiskati ravnovesje med predpisi EU in interesi javne varnosti držav članic ter ravnovesje med predpisi EU in samoregulacijo trga.

Natančneje, da bi se ublažile težave poklicnih uporabnikov pri zamenjavi ponudnikov storitev in prenosu podatkov, pobuda spodbuja samoregulacijo s kodeksi ravnanja glede informacij, ki jih je treba zagotoviti uporabnikom storitev shranjevanja podatkov ali drugih storitev obdelave podatkov. Poleg tega bi bilo treba s samoregulacijo obravnavati tudi načine zamenjave in prenosa, da bi se opredelile najboljše prakse.

Predlog opozarja, da bi bilo treba varnostne zahteve, ki jih določata nacionalna zakonodaja in pravo Unije, zagotoviti tudi tedaj, ko fizične ali pravne osebe oddajo storitve shranjevanja podatkov ali druge storitve obdelave podatkov v izvajanje zunanjim izvajalcem, tudi v drugi državi članici. Prav tako opozarja na izvedbena pooblastila Komisije, ki so ji bila podeljena z Direktivo o varnosti omrežij in informacij, da bi obravnavala varnostne zahteve, ki prav tako prispevajo k delovanju te uredbe. Nazadnje, čeprav bi zaradi zahtev po uradnem obveščanju/pregledovanju, preglednosti in upravnem sodelovanju obstajala potreba po ukrepih na strani upravnih organov držav članic, je predlog zasnovan tako, da so takšni ukrepi omejeni na najpomembnejše potrebe po sodelovanju in se s tem prepreči nepotrebno upravno breme.

Z vzpostavitvijo jasnega okvira, ki ga spremlja sodelovanje z državami članicami in med njimi, ter s samoregulacijo naj bi ta predlog izboljšal pravno varnost in povečal raven zaupanja, hkrati pa dolgoročno ostal ustrezen in učinkovit zaradi prilagodljivosti okvira za sodelovanje, ki temelji na enotnih kontaktnih točkah v državah članicah.

Komisija namerava ustanoviti skupino strokovnjakov, ki bi ji svetovala glede zadev, ki jih zajema ta uredba.

Izbira instrumenta

Komisija je pripravila predlog uredbe, s katero je mogoče zagotoviti, da se enotna pravila za prost pretok neosebnih podatkov uporabljajo hkrati po vsej Uniji. To je zlasti pomembno zato, da se odstranijo obstoječe in preprečijo nove omejitve, ki bi jih sprejele države članice, za zagotovitev pravne varnosti za zadevne izvajalce storitev in uporabnike ter posledično povečanje zaupanja v čezmejne podatkovne tokove ter storitve shranjevanja in druge obdelave podatkov.

3.REZULTATI NAKNADNIH OCEN, POSVETOVANJ Z ZAINTERESIRANIMI STRANMI IN OCEN UČINKA

Posvetovanja z zainteresiranimi stranmi

V prvem krogu zbiranja dokazov je bilo leta 2015 izvedeno javno posvetovanje o regulativnem okolju za platforme, spletne posrednike, podatke in računalništvo v oblaku ter sodelovalno gospodarstvo. Dve tretjini vprašanih – z enakomerno zastopanostjo vseh skupin zainteresiranih strani, vključno z malimi in srednjimi podjetji – sta ugotovili, da so omejitve glede lokalizacije podatkov vplivale na njihove poslovne strategije 19 . Druge dejavnosti zbiranja podatkov so vključevale sestanke in dogodke, usmerjene delavnice s ključnimi zainteresiranimi stranmi (npr. s skupino Cloud Select Industry Group) in tematskih delavnic v okviru študij.

Drugi krog zbiranja dokazov od konca leta 2016 do druge polovice leta 2017 je vključeval javno posvetovanje, ki se je začelo v okviru sporočila „Oblikovanje evropskega podatkovnega gospodarstva“ z dne 10. januarja 2017. V skladu z odzivi v okviru javnega posvetovanja je 61,9 % zainteresiranih strani menilo, da bi bilo treba omejitve glede lokalizacije podatkov odpraviti. Večina sodelujočih zainteresiranih strani (55,3 % vprašanih) meni, da je zakonodajni ukrep najprimernejši instrument za odpravo neupravičenih omejitev glede lokalizacije, številne med njimi pa so se izrecno opredelile za uredbo 20 . Ponudniki informacijskih storitev vseh velikosti, s sedežem v EU in drugod, kažejo najvišjo raven podpore regulativnim ukrepom. Zainteresirane strani so ugotovile tudi negativne učinke omejitev glede lokalizacije podatkov. Poleg višjih stroškov poslovanja ti učinki zadevajo zagotavljanje storitve zasebnim ali javnim subjektom (69,6 % vseh sodelujočih zainteresiranih strani je ta učinek ocenilo kot „velik“) ali možnost za vstop na nov trg (73,9 % sodelujočih zainteresiranih strani je ta učinek ocenilo kot „velik“). Zainteresirane strani iz vseh različnih okolij so odgovorile na ta vprašanja v podobnih deležih. Javno spletno posvetovanje je pokazalo tudi, da je težava z zamenjavo ponudnikov splošno razširjena, saj je 56,8 % udeležencev iz malih in srednjih podjetij navedlo, da se srečujejo s težavami, ko želijo zamenjati dobavitelja.

Srečanja za strukturirani dialog z državami članicami so olajšala enotno razumevanje izzivov. Šestnajst držav članic je v pismu, naslovljenem na predsednika Tuska, izrecno pozvalo k oblikovanju zakonodajnega predloga.

Predlog vključuje številna vprašanja, na katera so opozorile države članice in industrija, zlasti potrebo po medsektorskem načelu prostega pretoka podatkov, ki zagotavlja pravno varnost; napredek pri razpoložljivosti podatkov za regulativne namene; olajšanje zamenjave ponudnikov storitev shranjevanja podatkov ali drugih storitev obdelave podatkov in prenosa podatkov za poklicne uporabnike s spodbujanjem večje preglednosti na področju veljavnih postopkov in pogodbenih pogojev, toda brez predpisovanja posebnih standardov ali obveznosti za ponudnike storitev v tej fazi.

Zbiranje in uporaba strokovnih mnenj

V zvezi z različnimi vidiki mobilnosti podatkov, vključno z zahtevami glede lokalizacije podatkov 21 , zamenjave ponudnikov/prenosa podatkov 22 in varnosti podatkov 23 , so bile upoštevane pravne in ekonomske študije. Naročene so bile dodatne študije o vplivih računalništva v oblaku 24 in sprejemanju storitev v oblaku 25 , pa tudi o evropskem podatkovnem trgu 26 . Izvedene so bile tudi študije o soregulativnih ali samoregulativnih ukrepih na področju računalništva v oblaku 27 . Komisija se je oprla tudi na dodatne zunanje vire, vključno s pregledi trga in statističnimi podatki (npr. Eurostat).

Ocena učinka

Za ta predlog je bila izvedena ocena učinka. V oceni učinka so bile obravnavane naslednje možnosti: osnovni scenarij (brez posredovanja politike) in tri možnosti politike. Možnost 1 je vključevala smernice in/ali samoregulacijo za obravnavo različnih ugotovljenih težav ter krepitev izvrševanja predpisov v razmerju do različnih kategorij neupravičenih ali nesorazmernih omejitev glede lokalizacije podatkov, ki jih naložijo države članice. Možnost 2 bi določila pravna načela, ki bi zadevala različne ugotovljene težave, in predvidela, da države članice določijo enotne kontaktne točke in se ustanovi strokovna skupina, ki bi razpravljala o skupnih pristopih in praksah ter pripravljala usmeritve o načelih, določenih v okviru te možnosti. V obravnavi je bila tudi podmožnost 2a, ki bi omogočila ocenjevanje kombinacije zakonodajnega okvira o prostem pretoku podatkov in enotnih kontaktnih točk ter skupino strokovnjakov in samoregulativne ukrepe, ki bi obravnavali prenos podatkov. Možnost 3 je vključevala podrobno zakonodajno pobudo, s katero bi se med drugim vzpostavile vnaprej opredeljene (harmonizirane) presoje, kaj pomenijo (ne-)upravičene in (ne-)sorazmerne omejitve glede lokalizacije podatkov, ter nova pravica do prenosa podatkov.

Odbor za regulativni nadzor je 28. septembra 2016 predložil prvo mnenje o oceni učinka in zaprosil za njeno ponovno predložitev. Ocena je bila nato pregledana in ponovno predložena Odboru za regulativni nadzor 11. avgusta 2017. V svojem drugem mnenju je Odbor za regulativni nadzor omenil razširitev področja uporabe na podlagi sporočila Komisije (2017)9 o oblikovanju evropskega podatkovnega gospodarstva, pa tudi dodatno gradivo o stališčih zainteresiranih strani in pomanjkljivostih sedanjega okvirja. Vendar pa je Odbor 25. avgusta 2017 izdal drugo negativno mnenje, pri čemer je posebej navedel pomanjkanje dokazov v podporo novi pravici do prenosljivosti storitev računalništva v oblaku. V skladu s svojo delovno prakso je Odbor svoje mnenje označil za dokončno.

Komisija je menila, da je primerno predložiti predlog ob nadaljnjih izboljšavah ocene učinkov, da bi se na primeren način upoštevale pripombe, ki jih je v svojem drugem mnenju izrazil Odbor za regulativni nadzor. Področje uporabe predloga je omejeno na prosti pretok neosebnih podatkov v Evropski uniji. V skladu z ugotovitvijo Odbora, da je videti, da dokazi kažejo na manj zavezujočo možnost, kar zadeva prenos podatkov, je bila opuščena uvedba obveznosti ponudnikov, da olajšajo zamenjavo ali prenos podatkov uporabnikov, ki je bila prvotno predlagana v oceni učinka kot prednostna. Namesto tega je Komisija ohranila manj obremenjujočo možnost, ki jo tvorijo samoregulativni ukrepi, ki jih spodbuja Komisija. Predlog je sorazmeren in manj zavezujoč, saj ne ustvarja nove pravice prenosa med ponudniki storitev shranjevanja podatkov ali drugih storitev obdelave podatkov, temveč se za dosego preglednosti tehničnih in operativnih pogojev v zvezi s prenosljivostjo opira na samoregulacijo.

V predlogu je bilo prav tako upoštevano mnenje Odbora, da je treba zagotoviti, da ne pride do prekrivanja ali podvajanja s pregledom mandata Agencije Evropske unije za varnost omrežij in informacij (ENISA) in oblikovanjem evropskega okvira za kibernetsko varnost IKT.

Ocena učinka je pokazala, da je najprimernejša podmožnost 2a, s katero bi se na podlagi jasnega pravnega načela, povezanega s pregledom, uradnim obveščanjem in preglednostjo, uspešno zagotovila odprava obstoječih neupravičenih omejitev glede lokalizacije in preprečilo njihovo nastajanje v prihodnosti, hkrati pa bi se povečala pravna varnost in zaupanje v trg. Breme za javne organe držav članic bi bilo zmerno in bi zneslo približno 33 000 EUR letno v stroških človeških virov za vzdrževanje enotnih kontaktnih točk ter od 385 EUR do 1 925 EUR za pripravo uradnih obvestil.

Predlog bo pozitivno vplival na konkurenčnost, saj bo spodbujal inovacije na področju storitev shranjevanja podatkov ali drugih storitev obdelave podatkov, pritegnil več uporabnikov teh storitev in občutno olajšal vstop na nove trge, zlasti za nove in majhne izvajalce storitev. Predlog bo tudi spodbujal čezmejno in medsektorsko uporabo storitev shranjevanja podatkov ali drugih storitev obdelave podatkov ter razvoj trga podatkov. Zato bo v pomoč pri preobrazbi družbe in gospodarstva ter odpiranju novih priložnosti za evropske državljane, podjetja in javne uprave.

Ustreznost in poenostavitev ureditve

Predlog zadeva državljane, nacionalne uprave in vsa podjetja, vključno z mikropodjetji ter malimi in srednjimi podjetji. Vsa podjetja imajo lahko koristi od določb, ki obravnavajo ovire za mobilnost podatkov. Predlog bo zlasti koristil MSP, saj bo prost pretok neosebnih podatkov neposredno zmanjšal njihove stroške in jim omogočil bolj konkurenčen položaj na trgu. Izvzetje MSP iz pravil bi lahko spodkopalo njihovo učinkovitost, saj MSP predstavljajo pomemben delež ponudnikov storitev shranjevanja podatkov ali drugih storitev obdelave podatkov in gonilno silo pri inovacijah na teh trgih. Ker poleg tega ni verjetno, da bi pravila povzročila znatne stroške, mikropodjetja ali MSP ne bi smela biti izključena iz njihovega obsega uporabe.

Temeljne pravice

Predlog uredbe spoštuje temeljne pravice in načela, priznana v Listini Evropske unije o temeljnih pravicah. Predlagana uredba bi morala pozitivno vplivati na svobodo gospodarske pobude (člen 16), saj bi prispevala k odpravi in preprečevanju neupravičenih ali nesorazmernih ovir za uporabo in zagotavljanje podatkovnih storitev, kot so storitve v oblaku, ter vzpostavljanje notranjih informacijskih sistemov.

4.PRORAČUNSKE POSLEDICE

Pri javnih organih držav članic bo nastalo zmerno upravno breme, povzročeno z dodeljevanjem človeških virov za sodelovanje med državami članicami prek „enotnih kontaktnih točk“ in zagotavljanjem skladnosti z določbami o obveščanju, pregledu in preglednosti.

5.DRUGI ELEMENTI

Načrti za izvedbo ter ureditev spremljanja, ocenjevanja in poročanja

Pet let po začetku uporabe pravil bo opravljena celovita ocena, da se ocenita njihova učinkovitost in sorazmernost. Ta ocena bo opravljena v skladu s smernicami za boljše pravno urejanje.

Zlasti bo treba preučiti, ali je Uredba prispevala k zmanjšanju števila in obsega omejitev glede lokalizacije podatkov ter povečanju pravne varnosti in preglednosti preostalih (utemeljenih in sorazmernih) zahtev. V oceni bo prav tako treba oceniti, ali je politična pobuda prispevala k izboljšanju zaupanja v prosti pretok neosebnih podatkov, ali lahko države članice za namene regulativnega nadzora v razumni meri dostopajo do podatkov, shranjenih v tujini, in ali se je z Uredbo izboljšala preglednost v zvezi s pogoji za prenos podatkov.

Po načrtih naj bi bile enotne kontaktne točke držav članic dragocen vir informacij v fazi naknadne ocene zakonodaje.

Napredek na navedenih področjih bi se meril s posebnimi kazalniki (kot je predlagano v oceni učinka). Načrtovana je tudi uporaba podatkov Eurostata ter indeksa digitalnega gospodarstva in družbe. V ta namen se lahko upošteva tudi posebna izdaja Eurobarometra.

Natančnejša pojasnitev posameznih določb predloga

Členi 1 do 3 podrobno določajo cilj predloga, področje uporabe Uredbe in opredelitve pojmov, ki se uporabljajo v Uredbi.

Člen 4 vzpostavlja načelo prostega pretoka neosebnih podatkov v Uniji. To načelo prepoveduje kakršno koli zahtevo glede lokalizacije podatkov, razen če je to utemeljeno na podlagi javne varnosti. Poleg tega določa pregled obstoječih zahtev, priglasitev preostalih ali novih zahtev Komisiji in ukrepe v zvezi s preglednostjo.

Namen člena 5 je zagotoviti pristojnim organom razpoložljivost podatkov za regulativni nadzor. V ta namen uporabniki ne smejo zavrniti zagotavljanja dostopa do podatkov pristojnim organom na podlagi dejstva, da so podatki shranjeni ali drugače obdelani v drugi državi članici. Kadar je pristojni organ že uporabil vsa razpoložljiva sredstva za pridobitev dostopa do podatkov, navedeni pristojni organ lahko zaprosi za pomoč organ v drugi državi članici, razen če obstaja poseben sodelovalni mehanizem.

Člen 6 določa, da Komisija spodbuja ponudnike storitev in poklicne uporabnike k pripravi in izvajanju kodeksov ravnanja, v katerih so podrobno določene informacije o pogojih za prenos podatkov (vključno s tehničnimi in operativnimi zahtevami), ki jih morajo ponudniki svojim poklicnim uporabnikom dati na voljo dovolj natančno, jasno in pregledno pred sklenitvijo pogodbe. Komisija bo pregledala pripravo in učinkovitost izvajanja takšnih kodeksov v dveh letih po začetku uporabe te uredbe.

V skladu s členom 7 vsaka država članica imenuje enotno kontaktno točko, ki je v zvezi z uporabo te uredbe v stiku s kontaktnimi točkami drugih držav članic in Komisijo. Člen 7 določa tudi postopkovne pogoje, ki se uporabljajo za pomoč med pristojnimi organi iz člena 5.

V skladu s členom 8 Komisiji pomaga Odbor za prosti pretok podatkov v smislu Uredbe (EU) št. 182/2011.

Člen 9 določa pregled v petih letih po začetku uporabe te uredbe.

Člen 10 določa, da se bo Uredba začela uporabljati šest mesecev po dnevu objave.

2017/0228 (COD)

Predlog

UREDBA EVROPSKEGA PARLAMENTA IN SVETA

o okviru za prosti pretok neosebnih podatkov v Evropski uniji

EVROPSKI PARLAMENT IN SVET EVROPSKE UNIJE STA –

ob upoštevanju Pogodbe o delovanju Evropske unije in zlasti člena 114 Pogodbe,

ob upoštevanju predloga Evropske komisije,

po posredovanju osnutka zakonodajnega akta nacionalnim parlamentom,

ob upoštevanju mnenja Evropskega ekonomsko-socialnega odbora 28 ,

ob upoštevanju mnenja Odbora regij 29 ,

v skladu z rednim zakonodajnim postopkom,

ob upoštevanju naslednjega:

(1)Digitalizacija gospodarstva poteka vedno hitreje. Informacijske in komunikacijske tehnologije (IKT) niso več poseben sektor, temveč temelj vseh modernih inovativnih gospodarskih sistemov in družb. V središču navedenih sistemov so elektronski podatki, s katerimi se lahko ustvari visoka vrednost, če se analizirajo ali združujejo s storitvami in izdelki.

(2)Podatkovne vrednostne verige temeljijo na različnih dejavnostih v zvezi s podatki: ustvarjanju in zbiranju podatkov; združevanju in organizaciji podatkov; shranjevanju in obdelavi podatkov; analizi, trženju in razširjanju podatkov; uporabi in ponovni uporabi podatkov. Uspešno in učinkovito delovanje storitev shranjevanja in drugih storitev obdelave podatkov je temeljni gradnik v vseh podatkovnih vrednostnih verigah. Vendar takšno uspešno in učinkovito delovanje ter razvoj podatkovnega gospodarstva v Uniji omejujeta zlasti dve vrsti ovir, tj. v zvezi z mobilnostjo podatkov in notranjim trgom.

(3)Svoboda ustanavljanja in svoboda opravljanja storitev iz Pogodbe o delovanju Evropske unije se uporabljata tudi za storitve shranjevanja ali druge storitve obdelave podatkov. Vendar opravljanje navedenih storitev ovirajo ali včasih preprečujejo določene nacionalne zahteve za lokalizacijo podatkov na določenem ozemlju.

(4)Takšne ovire za prosti pretok podatkov v zvezi s storitvami shranjevanja ali drugimi storitvami obdelave podatkov ali pravico do ustanavljanja ponudnikov storitev shranjevanja ali drugih storitev obdelave podatkov izhajajo iz zahtev v nacionalnih zakonodajah držav članic, da se za namen shranjevanja ali druge obdelave podatki lokalizirajo na določenem geografskem območju ali ozemlju. Enakovreden učinek imajo tudi druga pravila ali upravne prakse, saj vsebujejo posebne zahteve, ki otežujejo shranjevanje ali drugo obdelavo podatkov zunaj posebnega geografskega območja ali ozemlja v Uniji, kot so zahteve za uporabo tehnoloških naprav, certificiranih ali odobrenih v določeni državi članici. Možnosti izbire, ki so v zvezi z lokacijo shranjevanja ali druge obdelave podatkov na voljo subjektom na trgu in javnemu sektorju, nadalje omejuje pravna negotovost pri obsegu zakonitih in nezakonitih zahtev glede lokalizacije podatkov.

(5)Mobilnost podatkov v Uniji hkrati ovirajo tudi zasebne omejitve: pravna, pogodbena in tehnična vprašanja, ki uporabnike storitev shranjevanja ali drugih storitev obdelave podatkov ovirajo pri prenosu njihovih podatkov od enega ponudnika storitev do drugega ali nazaj v lastne informacijske sisteme ali jim prenos preprečujejo, med drugim ob prenehanju njihove pogodbe z izvajalcem storitev.

(6)Zaradi pravne varnosti in potrebe po enakih konkurenčnih pogojih v Uniji je enoten sklop pravil za vse udeležence na trgu ključnega pomena za delovanje notranjega trga. Za odpravo ovir pri trgovini in izkrivljanj konkurence, ki so posledica razlik med nacionalnimi zakonodajami, ter za preprečitev nastanka morebitnih dodatnih ovir pri trgovini in znatnih izkrivljanj konkurence je treba sprejeti enotna pravila, ki se bodo uporabljala v vseh državah članicah.

(7)Za vzpostavitev okvira za prosti pretok neosebnih podatkov v Uniji ter temeljev za razvoj podatkovnega gospodarstva in boljšo konkurenčnost evropske industrije je treba določiti jasen, celovit in predvidljiv pravni okvir za shranjevanje ali drugo obdelavo podatkov, ki niso osebni podatki, na notranjem trgu. S pristopom, ki temelji na načelih sodelovanja med državami članicami, in samoregulacijo bi se morala zagotoviti prožnost okvira, s čimer bi se lahko upoštevale spreminjajoče se potrebe uporabnikov, ponudnikov in nacionalnih organov v Uniji. Da bi se izognili tveganju prekrivanja z obstoječimi mehanizmi in s tem večjim bremenom za države članice in podjetja, ne bi smela biti določena podrobna tehnična pravila.

(8)Ta uredba bi se morala uporabljati za pravne ali fizične osebe, ki zagotavljajo storitve shranjevanja ali druge storitve obdelave podatkov uporabnikom, ki prebivajo ali imajo sedež v Uniji, vključno s tistimi, ki zagotavljajo storitve v Uniji in nimajo sedeža v Uniji.

(9)Na pravni okvir o varstvu fizičnih oseb pri obdelavi osebnih podatkov, zlasti Direktivo (EU) 2016/679 30 , Direktivo (EU) 2016/680 31 in Direktivo 2002/58/ES 32 ta uredba ne bi smela imeti vpliva.

(10)V skladu z Uredbo (EU) 2016/679 države članice ne smejo niti omejiti niti prepovedati prostega pretoka osebnih podatkov v Uniji iz razlogov, povezanih z varstvom posameznikov pri obdelavi osebnih podatkov. Ta uredba določa enako načelo prostega pretoka v Uniji za neosebne podatke, razen če bi bila omejitev ali prepoved upravičena iz varnostnih razlogov.

(11)Ta uredba bi se morala uporabljati za shranjevanje ali drugo obdelavo podatkov v najširšem smislu ter vključevati uporabo vseh vrst informacijskih sistemov, ne glede na to, ali se nahajajo v prostorih uporabnika ali se oddajo v zunanje izvajanje ponudniku storitev shranjevanja ali drugih storitev obdelave podatkov. Zajemati bi morala obdelavo podatkov na različnih ravneh intenzivnosti, od shranjevanja podatkov (infrastruktura kot storitev (IaaS)) do obdelave podatkov na platformah (platforma kot storitev (PaaS)) ali v aplikacijah (programska oprema kot storitev (SaaS)). Te različne storitve bi morale spadati na področje uporabe te uredbe, razen če so storitve shranjevanja ali druge storitve obdelave podatkov zgolj pomožne drugačni vrsti storitve, kot je zagotavljanje spletnega trga, ki posreduje med ponudniki storitev in potrošniki ali poslovnimi uporabniki.

(12)Zahteve glede lokalizacije podatkov nedvomno ovirajo prosti pretok storitev shranjevanja ali drugih storitev obdelave podatkov v Uniji in notranji trg. Zato bi jih bilo kot take treba prepovedati, razen če so utemeljene na podlagi javne varnosti, kot je opredeljeno s pravom Unije, zlasti členom 52 Pogodbe o delovanju Evropske unije, in so v skladu z načelom sorazmernosti iz člena 5 Pogodbe o Evropski uniji. Da bi se uveljavilo načelo prostega pretoka neosebnih podatkov prek meja, zagotovila hitra odprava obstoječih zahtev glede lokalizacije podatkov ter iz operativnih razlogov omogočilo shranjevanje ali druga obdelava podatkov na več lokacijah v EU in ker ta uredba določa ukrepe za zagotovitev razpoložljivosti podatkov za namene regulativnega nadzora, države članice ne bi smele imeti možnosti sklicevanja na razloge, ki niso v zvezi z javno varnostjo.

(13)Da bi se zagotovila učinkovita uporaba načela prostega pretoka neosebnih podatkov prek meja in preprečilo nastajanje novih ovir za nemoteno delovanje notranjega trga, bi morale države članice Komisijo uradno obvestiti o vsakem osnutku akta, ki vsebuje novo zahtevo glede lokalizacije podatkov ali spreminja obstoječo zahtevo glede lokalizacije podatkov. Navedena uradna obvestila bi se morala predložiti in oceniti v skladu s postopkom iz Direktive (EU) 2015/1535 33 .

(14)Da bi se odpravile morebitne obstoječe ovire, bi morale države članice poleg tega v prehodnem obdobju 12 mesecev pregledati veljavne nacionalne zahteve glede lokalizacije podatkov ter Komisijo uradno obvestiti, skupaj z utemeljitvijo, o vseh zahtevah glede lokalizacije podatkov, za katere menijo, da so v skladu s to uredbo. S temi uradnimi obvestili bi se moralo Komisiji omogočiti, da oceni skladnost preostalih zahtev glede lokalizacije podatkov.

(15)Da bi se v državah članicah zagotovila preglednost zahtev glede lokalizacije podatkov za fizične in pravne osebe, kot so ponudniki in uporabniki storitev shranjevanja ali drugih storitev obdelave podatkov, bi morale države članice informacije o takšnih ukrepih objavljati in redno posodabljati na enotni spletni informacijski točki. Za ustrezno obveščanje pravnih in fizičnih oseb o zahtevah glede lokalizacije podatkov v Uniji bi morale države članice Komisijo uradno obvestiti o naslovih takšnih spletnih točk. Komisija bi morala te informacije objaviti na svojem spletišču.

(16)Zahteve glede lokalizacije podatkov pogosto temeljijo na pomanjkanju zaupanja v čezmejno shranjevanje ali drugo obdelavo podatkov, saj se predpostavlja, da podatki niso razpoložljivi za namene pristojnih organov držav članic, kot so inšpekcijski pregledi in revizije za regulativne ali nadzorne namene. Zato bi se moralo v tej uredbi jasno določiti, da ne posega v pooblastila pristojnih organov, da v skladu s pravom Unije ali nacionalnim pravom zahtevajo in pridobijo dostop do podatkov, in da se pristojnim organom dostop do podatkov ne sme zavrniti na podlagi dejstva, da so podatki shranjeni ali drugače obdelani v drugi državi članici.

(17)Fizične ali pravne osebe, za katere veljajo obveznosti zagotavljanja podatkov pristojnim organom, lahko takšne obveznosti izpolnijo z zagotavljanjem in jamčenjem učinkovitega in pravočasnega elektronskega dostopa do podatkov pristojnim organom, ne glede na državo članico, na ozemlju katere so podatki shranjeni ali drugače obdelani. Takšen dostop se lahko zagotovi s konkretnimi pogoji v pogodbah med fizično ali pravno osebo, za katero velja obveznost zagotavljanja dostopa, in ponudnikom storitev shranjevanja ali drugih storitev obdelave podatkov.

(18)Kadar fizična ali pravna oseba, za katero veljajo obveznosti zagotavljanja podatkov, obveznosti ne izpolni, bi moral imeti pristojni organ, če je že uporabil vsa razpoložljiva sredstva za pridobitev dostopa do podatkov, možnost, da zaprosi za pomoč pristojne organe v drugih državah članicah. V takšnih primerih bi morali pristojni organi uporabiti posebne sodelovalne instrumente, ki jih določajo pravo Unije ali mednarodni sporazumi glede na predmet urejanja v posameznem primeru za področje policijskega sodelovanja, pravosodnega sodelovanja v civilnih in kazenskih zadevah oziroma sodelovanja v upravnih zadevah, na primer v Okvirnem sklepu 2006/960 34 , Direktivi Evropskega parlamenta in Sveta 2014/41/EU 35 , Konvenciji Sveta Evrope o kibernetski kriminaliteti 36 , Uredbi Sveta (ES) št. 1206/2001 37 , Direktivi Sveta 2006/112/ES 38 in Uredbi Sveta (EU) št. 904/2010 39 . Kadar takšnih sodelovalnih mehanizmov ni, bi morali pristojni organi sodelovati med seboj, da bi se zagotovil dostop do zaprošenih podatkov prek imenovanih enotnih kontaktnih točk, razen če bi bilo to v nasprotju z javnim redom zaprošene države članice.

(19)Kadar prošnja za pomoč vključuje, da zaprošeni organ pridobi dostop do prostorov fizične ali pravne osebe, vključno z vso opremo in sredstvi za shranjevanje ali drugo obdelavo podatkov, mora biti takšen dostop v skladu s postopkovnim pravom Unije ali države članice, vključno z morebitno zahtevo po pridobitvi predhodne sodne odobritve.

(20)Možnost neoviranega prenosa podatkov ključno olajšuje izbiro uporabnikom ter omogoča učinkovito konkurenco na trgih storitev shranjevanja ali drugih storitev obdelave podatkov. Prav tako dejanske ali domnevne težave pri čezmejnem prenosu podatkov spodkopavajo zaupanje poklicnih uporabnikov v čezmejne ponudbe in s tem v notranji trg. Medtem ko fizičnim osebam in potrošnikom obstoječa zakonodaja Unije koristi, pa uporabnikom med izvajanjem poslovnih ali poklicnih dejavnosti ni olajšana možnost zamenjave ponudnika storitev.

(21)Da bi v celoti izkoristili konkurenčno okolje, bi morali imeti poklicni uporabniki možnost ozaveščenega odločanja in preproste primerjave posameznih komponent različnih storitev shranjevanja ali drugih storitev obdelave podatkov, ki jih ponuja notranji trg, vključno v zvezi s pogodbenimi pogoji za prenos podatkov ob prenehanju pogodbe. Za uskladitev z inovacijskim potencialom trga ter upoštevanje izkušenj in strokovnega znanja ponudnikov in poklicnih uporabnikov storitev shranjevanja ali drugih storitev obdelave podatkov, bi morali podrobne informacije in operativne zahteve za prenos podatkov s samoregulacijo opredeliti subjekti na trgu v obliki kodeksov ravnanja na ravni Unije, ki lahko vključujejo vzorčne pogodbene pogoje, kar bi spodbujala in olajševala Komisija. Vendar če se takšni kodeksi ravnanja ne bi vzpostavili in učinkovito uveljavili v razumnem času, bi morala Komisija pregledati stanje.

(22)Da bi prispevala k nemotenem sodelovanju med državami članicami, bi morala vsaka država članica imenovati enotno kontaktno točko, ki je v zvezi z uporabo te uredbe v stiku s kontaktnimi točkami drugih držav članic in Komisijo. Kadar bi pristojni organ v eni državi članici zaprosil drugo državo članico za pomoč pri pridobitvi dostopa do podatkov v skladu s to uredbo, bi moral na enotno kontaktno točko, ki jo imenuje zaprošena država članica, nasloviti ustrezno utemeljeno prošnjo, v kateri pisno pojasni utemeljitev in pravne podlage za pridobitev dostopa do podatkov. Enotna kontaktna točka, ki jo imenuje zaprošena država članica, bi morala olajšati pomoč med organi, tako da določi ustrezen pristojni organ v zaprošeni državi članici in mu posreduje prošnjo. Za zagotovitev učinkovitega sodelovanja bi moral organ, ki mu je posredovana prošnja, brez nepotrebnega odlašanja ugoditi zadevni prošnji in zagotoviti pomoč ali sporočiti, zakaj ima težave pri ugoditvi prošnji za pomoč, ali navesti razloge za zavrnitev takšne prošnje.

(23)Za zagotovitev učinkovitega izvajanja postopka za pomoč med pristojnimi organi držav članic lahko Komisija sprejme izvedbene akte o določitvi standardnih obrazcev, jezikov prošenj, rokov ali drugih podrobnosti postopkov za prošnje za pomoč. Navedena pooblastila bi se morala izvajati v skladu z Uredbo (EU) št. 182/2011 Evropskega parlamenta in Sveta 40 .

(24)S spodbujanjem zaupanja v varnost čezmejnega shranjevanja ali druge obdelave podatkov bi se morala zmanjšati nagnjenost subjektov na trgu in javnega sektorja k uporabi lokalizacije podatkov kot nadomestka za varnost podatkov. Prav tako bi se morala za podjetja izboljšati pravna varnost v zvezi z veljavnimi varnostnimi zahtevami, kadar dejavnosti shranjevanja ali druge dejavnosti obdelave podatkov oddajo v zunanje izvajanje, tudi ponudnikom storitev v drugih državah članicah.

(25)Vse varnostne zahteve v zvezi s shranjevanjem ali drugo obdelavo podatkov, ki se na podlagi prava Unije ali nacionalnega prava uporabljajo utemeljeno in sorazmerno ter v skladu pravom Unije v državi članici, v kateri prebivajo ali imajo sedež fizične ali pravne osebe, ki jim pripadajo zadevni podatki, bi se morale še naprej uporabljati za shranjevanje ali drugo obdelavo navedenih podatkov tudi v drugi državi članici. Te fizične ali pravne osebe bi morale biti sposobne izpolniti takšne zahteve bodisi same bodisi prek pogodbenih klavzul v pogodbah s ponudniki storitev.

(26) Varnostne zahteve, določene na nacionalni ravni, bi morale biti obvezne in sorazmerne s tveganji za varnost shranjevanja ali druge obdelave podatkov na območju, za katerega se uporablja nacionalno pravo, ki določa te zahteve.

(27)Direktiva 2016/1148 41 določa pravne ukrepe za povečanje splošne ravni kibernetske varnosti v Uniji. Storitve shranjevanja ali druge storitve obdelave podatkov spadajo v eno izmed digitalnih storitev, ki jih zajema navedena direktiva. V skladu s členom 16 morajo države članice zagotoviti, da ponudniki digitalnih storitev določijo in sprejmejo ustrezne in sorazmerne tehnične in organizacijske ukrepe za obvladovanje tveganj za varnost omrežij in informacijskih sistemov, ki jih uporabljajo. S takšnimi ukrepi bi se morala zagotoviti raven varnosti, ki je primerna glede na tveganje, pri čemer bi se morali upoštevati varnost sistemov in zmogljivosti, obvladovanje incidentov, upravljanje neprekinjenega poslovanja, spremljanje, revidiranje in preizkušanje ter skladnost z mednarodnimi standardi. Te elemente naj bi Komisija natančneje določila z izvedbenimi akti v skladu z navedeno direktivo.

(28)Komisija bi morala to uredbo redno pregledovati, zlasti zaradi ugotavljanja, ali so glede na tehnološki ali tržni razvoj potrebne spremembe.

(29)Ta uredba spoštuje temeljne pravice in upošteva načela, ki jih priznava zlasti Listina Evropske unije o temeljnih pravicah, ter bi jo bilo treba razlagati in uporabljati v skladu z navedenimi pravicami in načeli, vključno s pravicami do varstva osebnih podatkov (člen 8), do svobode gospodarske pobude (člen 16) ter do svobodnega izražanja in obveščanja (člen 11).

(30)Ker cilja te uredbe, tj. zagotoviti prosti pretok neosebnih podatkov v Uniji, ni mogoče zadovoljivo doseči na ravni držav članic, temveč ga je zaradi njegovega obsega in učinkov lažje doseči na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 Pogodbe o Evropski uniji. V skladu z načelom sorazmernosti iz navedenega člena ta uredba ne presega tistega, kar je potrebno za doseganje navedenega cilja –

SPREJELA NASLEDNJO UREDBO:

Člen 1
Predmet urejanja

Namen te uredbe je zagotoviti prosti pretok podatkov, ki niso osebni podatki, v Uniji, z določitvijo pravil z zvezi z zahtevami glede lokalizacije podatkov, razpoložljivostjo podatkov za pristojne organe in prenosom podatkov za poklicne uporabnike.

Člen 2
Področje uporabe

1.Ta uredba se uporablja za shranjevanje ali drugo obdelavo elektronskih podatkov, ki niso osebni podatki, v Uniji, ki

(a)se zagotavlja kot storitev za uporabnike, ki prebivajo ali imajo sedež v Uniji, ne glede na to, ali ima ponudnik sedež v Uniji ali ne, ali

(b)jo izvaja fizična ali pravna oseba, ki prebiva ali ima sedež v Uniji, za lastne potrebe.

2.Ta uredba se ne uporablja za dejavnosti, ki ne spadajo na področje uporabe prava Unije.

Člen 3
Opredelitev pojmov

V tej uredbi se uporabljajo naslednje opredelitve pojmov:

1.„podatki“ pomenijo podatke, ki niso osebni podatki iz člena 4(1) Uredbe (EU) 2016/679;

2.„shranjevanje podatkov“ pomeni kakršno koli shranjevanje podatkov v elektronski obliki;

3.„osnutek akta“ pomeni besedilo, oblikovano z namenom, da bo sprejeto kot zakon ali drug predpis splošne narave, pri čemer je besedilo v fazi priprave, v kateri ga lahko država članica, ki predloži uradno obvestilo, še vedno bistveno spremeni;

4.„ponudnik“ pomeni fizično ali pravno osebo, ki izvaja storitve shranjevanja ali druge storitve obdelave podatkov;

5.„zahteva glede lokalizacije podatkov“ pomeni kakršno koli obveznost, prepoved, pogoj, omejitev ali drugo zahtevo iz zakonov in drugih predpisov držav članic, ki določa, da mora biti lokacija shranjevanja ali druge obdelave podatkov na ozemlju določene države članice, ali ovira shranjevanje ali drugo obdelavo podatkov v kateri koli drugi državi članici;

6.„pristojni organ“ pomeni organ države članice, ki je pooblaščen, da za opravljanje svojih uradnih dolžnosti pridobi dostop do podatkov, ki jih hrani ali obdeluje naravna ali fizična oseba, kot je določeno z nacionalnim pravom ali pravom Unije;

7.„uporabnik“ pomeni fizično ali pravno osebo, ki uporablja ali naroči storitev shranjevanja ali drugo storitev obdelave podatkov;

8.„poklicni uporabnik“ pomeni fizično ali pravno osebo, tudi subjekt javnega sektorja, ki uporablja ali naroči storitev shranjevanja ali drugo storitev obdelave podatkov za namene v zvezi s svojo trgovsko, poslovno, obrtno ali poklicno dejavnostjo oziroma izpolnjevanjem nalog.

Člen 4
Prosti pretok podatkov v Uniji

1.Lokacija podatkov za shranjevanje ali drugo obdelavo podatkov v Uniji ni omejena na ozemlje določene države članice, shranjevanje ali druga obdelava v kateri koli drugi državi članici pa nista prepovedani ali omejeni, razen če je to utemeljeno na podlagi javne varnosti.

2.Države članice v skladu s postopki iz nacionalne zakonodaje, s katero se izvaja Direktiva (EU) 2015/1535, Komisijo uradno obvestijo o vsakem osnutku akta, s katerim se uvaja nova zahteva glede lokalizacije podatkov ali spreminja obstoječa zahteva glede lokalizacije podatkov.

3.Države članice v 12 mesecih po začetku uporabe te uredbe zagotovijo, da se vse zahteve glede lokalizacije podatkov , ki niso v skladu z odstavkom 1, razveljavijo. Če država članica meni, da je zahteva glede lokalizacije podatkov v skladu z odstavkom 1 in lahko zato ostane v veljavi, o navedenem ukrepu, skupaj z utemeljitvijo ohranitve njene veljavnosti, uradno obvesti Komisijo.

4.Države članice zagotovijo javno dostopnost podrobnosti o vseh zahtevah glede lokalizacije podatkov, ki se uporabljajo na njihovem ozemlju, prek enotne spletne informacijske točke in te informacije posodabljajo.

5.Države članice Komisijo obvestijo o naslovu svoje enotne informacijske točke iz odstavka 4. Komisija objavi povezave do takšnih točk na svojem spletišču.

Člen 5
Razpoložljivost podatkov za pristojne organe

1.Ta uredba ne vpliva na pooblastila pristojnih organov, da za opravljanje svojih uradnih dolžnosti v skladu s pravom Unije ali nacionalnim pravom zahtevajo in pridobijo dostop do podatkov. Dostop pristojnih organov do podatkov se ne sme zavrniti na podlagi dejstva, da so podatki shranjeni ali drugače obdelani v drugi državi članici.

2.Kadar je pristojni organ že uporabil vsa razpoložljiva sredstva za pridobitev dostopa do podatkov, lahko v skladu s postopkom iz člena 7 zaprosi za pomoč pristojni organ v drugi državi članici; zaprošeni pristojni organ zagotovi pomoč v skladu s postopkom iz člena 7, razen če bi bilo to v nasprotju z javnim redom zaprošene države članice.

3.Kadar prošnja za pomoč vključuje, da zaprošeni organ pridobi dostop do prostorov fizične ali pravne osebe, vključno z vso opremo in sredstvi za shranjevanje ali drugo obdelavo podatkov, mora biti takšen dostop v skladu s postopkovnim pravom Unije ali države članice.

4.Odstavek 2 se uporablja le, če za izmenjavo podatkov med pristojnimi organi različnih držav članic pravo Unije ali mednarodni sporazumi ne določajo posebnih sodelovalnih mehanizmov.

Člen 6
Prenos podatkov

1.Komisija spodbuja in olajšuje pripravo samoregulativnih kodeksov ravnanja na ravni Unije, da se oblikujejo smernice o najboljših praksah pri lajšanju zamenjave ponudnikov in zagotovi, da ponudniki poklicnim uporabnikom pred sklenitvijo pogodbe za shranjevanje in obdelavo podatkov dajo dovolj podrobne, jasne in pregledne informacije glede naslednjih vprašanj:

(a)postopkov, tehničnih zahtev, rokov in stroškov, ki se uporabljajo v primeru, da poklicni uporabnik želi zamenjati ponudnika ali prenesti podatke nazaj v lastne informacijske sisteme, vključno s postopki in lokacijo varnostnih kopij podatkov, razpoložljivimi oblikami in nosilci podatkov, zahtevano konfiguracijo informacijske tehnologije ter najmanjšo pasovno širino; potrebnim časom pred začetkom postopka prenosa in časom, ko podatki ostanejo na voljo za prenos; in jamstvi za dostop do podatkov ob stečaju ponudnika, ter

(b)operativnih zahtev za zamenjavo ponudnika ali prenos podatkov v strukturirani, običajno uporabljani in strojno berljivi obliki, ki dajejo uporabniku dovolj časa za zamenjavo ponudnika ali prenos podatkov.

2.Komisija spodbuja ponudnike k začetku učinkovitega izvajanja kodeksov ravnanja iz odstavka 1 v enem letu po začetku uporabe te uredbe.

3.Komisija pregleda pripravo in učinkovitost izvajanja takšnih kodeksov ravnanja ter učinkovitost dajanja informacij s strani ponudnikov najpozneje dve leti po začetku uporabe te uredbe.

Člen 7
Enotne kontaktne točke

1.Vsaka država članica imenuje enotno kontaktno točko, ki je v zvezi z uporabo te uredbe v stiku z enotnimi kontaktnimi točkami drugih držav članic in Komisijo. Države članice uradno obvestijo Komisijo o imenovanih enotnih kontaktnih točkah in njihovih morebitnih poznejših spremembah.

2.Države članice zagotovijo, da imajo enotne kontaktne točke potrebna sredstva za uporabo te uredbe.

3.Kadar pristojni organ v eni državi članici zaprosi drugo državo članico za pomoč pri pridobitvi dostopa do podatkov v skladu s členom 5(2), na enotno kontaktno točko, ki jo imenuje zaprošena država članica, naslovi ustrezno utemeljeno prošnjo, v kateri pisno pojasni utemeljitev in pravne podlage za prošnjo za pridobitev dostopa do podatkov.

4.Enotna kontaktna točka določi ustrezen pristojni organ svoje države članice in prošnjo, prejeto v skladu z odstavkom 3, posreduje navedenemu pristojnemu organu. Na ta način zaprošeni organ nemudoma:

(a)odgovori pristojnemu organu prosilcu in uradno obvesti kontaktno točko o svojem odgovoru, ter

(b)pošlje obvestilo enotni kontaktni točki in pristojnemu organu prosilcu o morebitnih težavah, v primeru zavrnitve prošnje ali delne ugoditve pa navede razloge za takšno zavrnitev ali delno ugoditev.

5.Vse informacije, izmenjane v okviru pomoči, ki se zaprosi in zagotovi v skladu s členom 5(2), se uporabljajo samo v zvezi z zadevo prošnje za pomoč.

6.Komisija lahko sprejme izvedbene akte o določitvi standardnih obrazcev, jezikov prošenj, rokov ali drugih podrobnosti postopkov za prošnje za pomoč. Takšni izvedbeni akti se sprejmejo v skladu s postopkom iz člena 8.

Člen 8
Odbor

1.Komisiji pomaga Odbor za prosti pretok podatkov. Navedeni odbor je odbor v smislu Uredbe (EU) št. 182/2011.

2.Pri sklicevanju na ta odstavek se uporablja člen 5 Uredbe (EU) št. 182/2011.

Člen 9
Pregled

1.Komisija najpozneje [pet let po datumu iz člena 10(2)] izvede pregled te uredbe in predloži poročilo o glavnih ugotovitvah Evropskemu parlamentu, Svetu in Evropskemu ekonomsko-socialnemu odboru.

2.Države članice zagotovijo Komisiji vse potrebne informacije za pripravo poročila iz odstavka 1.

Člen 10
Končne določbe

1.Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

2.Ta uredba se začne uporabljati šest mesecev po objavi.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Bruslju,

Za Evropski parlament    Za Svet

Predsednik    Predsednik

(1) Strojno učenje pomeni uporabo umetne inteligence, ki sistemom zagotavlja sposobnost samodejnega učenja in izboljšanja na podlagi izkušenj, brez izrecne potrebe po programiranju.
(2) COM(2017) 9, „Oblikovanje evropskega podatkovnega gospodarstva“, 10. januar 2017; glej tudi delovni dokument služb Komisije, ki je priložen k temu sporočilu, SWD(2017) 2 z dne 10. januarja 2017.
(3)

   IDC in Open Evidence, Evropski podatkovni trg, končno poročilo, 1. februar 2017 (SMART 2013/0063).

(4) Sporočilo Komisije, sprejeto 10. maja 2017 (COM(2017) 228 final).
(5) Druge storitve obdelave podatkov vključujejo ponudnike storitev, ki temeljijo na podatkih, kot so analiza podatkov, sistemi za upravljanje podatkov itd.
(6) COM(2015) 192 final.
(7) Uvodna izjava na plenarnem zasedanju Evropskega parlamenta, Strasbourg, 22. oktober 2014.
(8) Direktiva 2000/31/ES Evropskega parlamenta in Sveta z dne 8. junija 2000 o nekaterih pravnih vidikih storitev informacijske družbe, zlasti elektronskega poslovanja na notranjem trgu (Direktiva o elektronskem poslovanju) (UL L 178, 17.7.2000, str. 1).
(9) Direktiva 2006/123/ES Evropskega parlamenta in Sveta z dne 12. decembra 2006 o storitvah na notranjem trgu (UL L 376, 27.12.2006, str. 36).
(10) Študija LE Europe (SMART 2015/0016) in študija IDC (SMART 2013/0063).
(11) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).
(12) Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL L 119, 4.5.2016, str. 89).
(13) Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37).
(14) Direktiva (EU) 2015/1535 Evropskega parlamenta in Sveta z dne 9. septembra 2015 o določitvi postopka za zbiranje informacij na področju tehničnih predpisov in pravil za storitve informacijske družbe (UL L 241, 17.9.2015, str. 1).
(15) COM(2017) 228 final.
(16) COM(2016) 178 final, „Evropska pobuda za računalništvo v oblaku – vzpostavljanje konkurenčnega podatkovnega gospodarstva znanja v Evropi“ z dne 19. aprila 2016.
(17) COM(2017) 134 final, „Evropski okvir interoperabilnosti – strategija za izvajanje“, 23. marec 2017.
(18) COM(2014) 72 final, „Internetna politika in upravljanje interneta – Vloga Evrope pri oblikovanju prihodnosti upravljanja interneta“, http://eur-lex.europa.eu/legal-content/SL/ALL/?uri=COM:2014:0072:FIN  
(19)

   Iskanju dodatnih ekonomskih dokazov je bila namenjena študija o gospodarskem učinku računalništva v oblaku v Evropi (SMART 2014/0031, Deloitte, „Measuring the economic impact of cloud computing in Europe“ (Merjenje ekonomskega učinka računalništva v oblaku v Evropi, 2016).

(20) Na to vprašanje izbirnega tipa je odgovorilo 289 zainteresiranih strani. Sodelujočim ni bilo zastavljeno vprašanje o vrsti zakonodajnega ukrepa, vendar se je dvanajst zainteresiranih strani na lastno pobudo odločilo, da v pisni opombi izrecno zahtevajo uredbo. Ta skupina zainteresiranih strani je bila raznolika in sestavljena iz dveh držav članic, treh poslovnih združenj, šestih ponudnikov informacijskih storitev ter odvetniške pisarne.
(21) SMART 2015/0054, TimeLex, Spark in Tech4i, „Cross-border Data Flow in the Digital Single Market: Study on Data Location Restrictions“ (Čezmejni pretok podatkov na enotnem digitalnem trgu: študija omejitev glede lokalizacije podatkov), D5. Končno poročilo (poteka) [študija TimeLex (SMART 2015/0054)]; SMART 2015/0016, London Economics Europe, Carsa in CharlesRussellSpeechlys, „Facilitating cross border data flow in the Digital Single Market“ (Izboljšanje čezmejnega pretoka podatkov na enotnem digitalnem trgu), 2016 (poteka) [študija LE Europe (SMART 2015/0016)].
(22) SMART 2016/0032, IDC in Arthur’s Legal, „Switching between Cloud Service Providers“ (Zamenjava ponudnikov storitev v oblaku), 2017 (poteka) [študija IDC in Arthur’s Legal (SMART 2016/0032)].
(23) SMART 2016/0029 (poteka), Tecnalia, „Certification Schemes for Cloud Computing“ (Certifikacijske sheme za računalništvo v oblaku)“, D6.1 začetno poročilo.
(24) SMART 2014/0031, Deloitte, „Measuring the economic impact of cloud computing in Europe“ (Merjenje gospodarskega učinka računalništva v oblaku v Evropi), 2016 [študija Deloitte (SMART 2014/0031)].
(25) SMART 2013/43, IDC, „Uptake of Cloud in Europe. Follow-up of IDC Study on Quantitative estimates of the demand for Cloud computing in Europe and the likely barriers to take-up“ (Sprejemanje računalništva v oblaku v Evropi. Nadaljevalna študija IDC o količinskih ocenah povpraševanja po računalništvu v oblaku v Evropi in verjetnih ovirah pri njegovem uveljavljanju), 2014, na voljo na naslovu: http://ec.europa.eu/newsroom/dae/document.cfm?doc_id=9742 ; SMART 2011/0045, IDC, „Quantitative Estimates of the Demand for Cloud Computing in Europe and the Likely Barriers to Uptake“ (Količinske ocene povpraševanja po računalništvu v oblaku v Evropi in možne ovire pri njegovem uveljavljanju) (julij 2012).
(26) SMART 2013/0063, IDC in Open Evidence, „European Data Market. Data ownership and Access to Data - Key Emerging Issues“ (Evropski trg podatkov. Lastništvo podatkov in dostop do podatkov – ključna porajajoča se vprašanja), 1. februar 2017 [študija IDC (SMART 2013/0063)].
(27) SMART 2015/0018, TimeLex, Spark, „Clarification of Applicable Legal Framework for Full, Co- or Self-Regulatory Actions in the Cloud Computing Sector“ (Pojasnitev veljavnega pravnega okvira za regulativne, soregulativne ali samoregulativne ukrepe na področju računalništva v oblaku) (poteka).
(28) UL C , , str. .
(29) UL C , , str. .
(30) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).
(31) Direktiva (EU) 2016/680 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov, ki jih pristojni organi obdelujejo za namene preprečevanja, preiskovanja, odkrivanja ali pregona kaznivih dejanj ali izvrševanja kazenskih sankcij, in o prostem pretoku takih podatkov ter o razveljavitvi Okvirnega sklepa Sveta 2008/977/PNZ (UL L 119, 4.5.2016, str. 89).
(32) Direktiva 2002/58/ES Evropskega parlamenta in Sveta z dne 12. julija 2002 o obdelavi osebnih podatkov in varstvu zasebnosti na področju elektronskih komunikacij (Direktiva o zasebnosti in elektronskih komunikacijah) (UL L 201, 31.7.2002, str. 37).
(33) Direktiva (EU) 2015/1535 Evropskega parlamenta in Sveta z dne 9. septembra 2015 o določitvi postopka za zbiranje informacij na področju tehničnih predpisov in pravil za storitve informacijske družbe (UL L 241, 17.9.2015, str. 1).
(34) Okvirni sklep Sveta 2006/960/PNZ z dne 18. decembra 2006 o poenostavitvi izmenjave informacij in obveščevalnih podatkov med organi kazenskega pregona držav članic Evropske unije (UL L 386, 29.12.2006, str. 89).
(35) Direktiva Evropskega parlamenta in Sveta 2014/41/EU z dne 3. aprila 2014 o evropskem preiskovalnem nalogu v kazenskih zadevah (UL L 130, 1.5.2014, str. 1).
(36) Konvencija Sveta Evrope o kibernetski kriminaliteti, CETS št. 185.
(37) Uredba Sveta (ES) št. 1206/2001 z dne 28. maja 2001 o sodelovanju med sodišči držav članic pri pridobivanju dokazov v civilnih ali gospodarskih zadevah (UL L 174, 27.6.2001, str. 1).
(38) Direktiva Sveta 2006/112/ES z dne 28. novembra 2006 o skupnem sistemu davka na dodano vrednost (UL L 347, 11.12.2006, str. 1).
(39) Uredba Sveta (EU) št. 904/2010 z dne 7. oktobra 2010 o upravnem sodelovanju in boju proti goljufijam na področju davka na dodano vrednost ( UL L 268, 12.10.2010 , str. 1).
(40) Uredba (EU) št. 182/2011 Evropskega parlamenta in Sveta z dne 16. februarja 2011 o določitvi splošnih pravil in načel, na podlagi katerih države članice nadzirajo izvajanje izvedbenih pooblastil Komisije (UL L 55, 28.2.2011, str. 13).
(41) Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta z dne 6. julija 2016 o ukrepih za visoko skupno raven varnosti omrežij in informacijskih sistemov v Uniji (UL L 194, 19.7.2016, str. 1).
Top