(1)

Digitalizacija gospodarstva poteka vedno hitreje. Informacijske in komunikacijske tehnologije niso več poseben sektor, temveč temelj vseh modernih inovativnih gospodarskih sistemov in družb. V središču navedenih sistemov so elektronski podatki, s katerimi se lahko ustvari visoka vrednost, kadar se analizirajo ali združujejo s storitvami in izdelki. Obenem se zaradi hitrega razvoja podatkovnega gospodarstva in tehnologij v vzponu, kot so umetna inteligenca, proizvodi in storitve interneta stvari, avtonomni sistemi ter 5G, porajajo nova pravna vprašanja, povezana z dostopom do podatkov in njihovo ponovno uporabo, odgovornostjo, etiko in solidarnostjo. Treba bi bilo premisliti o delu v zvezi z vprašanjem odgovornosti, zlasti prek izvajanja samoregulativnih kodeksov ravnanja in druge najboljše prakse, ob upoštevanju priporočil, sklepov in ukrepov, sprejetih brez človekovega posredovanja vzdolž celotne vrednostne verige obdelave podatkov. To delo bi lahko tudi vključevalo ustrezne mehanizme za ugotavljanje odgovornosti, za prenos odgovornosti med sodelujočimi službami ter za zavarovanje in revizijo.

(2)

Podatkovne vrednostne verige vključujejo različne dejavnosti v zvezi s podatki: ustvarjanje in zbiranje podatkov; združevanje in organizacija podatkov; obdelava podatkov; analiza, trženje in razširjanje podatkov; uporaba in ponovna uporaba podatkov. Uspešno in učinkovito delovanje obdelave podatkov je temeljni gradnik vsake podatkovne vrednostne verige. Vendar uspešno in učinkovito delovanje obdelave podatkov ter razvoj podatkovnega gospodarstva v Uniji omejujeta zlasti dve vrsti ovir v zvezi z mobilnostjo podatkov in v zvezi z notranjim trgom: zahteve glede lokalizacije podatkov, ki jih uvedejo organi držav članic, in prakse, ki pripeljejo do vezanosti na ponudnika v zasebnem sektorju.

(3)

Svoboda ustanavljanja in svoboda opravljanja storitev iz Pogodbe o delovanju Evropske unije (PDEU) se uporabljata za storitve obdelave podatkov. Vendar opravljanje navedenih storitev ovirajo ali včasih preprečujejo določene nacionalne, regionalne ali lokalne zahteve za lokalizacijo podatkov na določenem ozemlju.

(4)

Takšne ovire za prosti pretok storitev obdelave podatkov ali ovire pravice do ustanavljanja ponudnikov storitev izhajajo iz zahtev v pravu držav članic, da se za namen obdelave podatkov, podatki lokalizirajo na določenem geografskem območju ali ozemlju. Enakovreden učinek imajo tudi druga pravila ali upravne prakse, ki vsebujejo posebne zahteve, ki otežujejo obdelavo podatkov zunaj določenega geografskega območja ali ozemlja v Uniji, kot so zahteve za uporabo tehnoloških naprav, certificiranih ali odobrenih v določeni državi članici. Možnosti izbire, ki so v zvezi z lokacijo obdelave podatkov na voljo subjektom na trgu in javnemu sektorju, nadalje omejuje pravna negotovost pri obsegu zakonitih in nezakonitih zahtev glede lokalizacije podatkov. Ta uredba z ničemer ne omejuje svobode podjetij, da sklepajo pogodbe, ki določajo lokacijo podatkov. Namen te uredbe je zgolj ohraniti to svobodo z zagotovitvijo, da se lahko dogovorjena lokacija nahaja kjer koli v Uniji.

(5)

Mobilnost podatkov v Uniji hkrati ovirajo tudi zasebne omejitve: pravna, pogodbena in tehnična vprašanja, ki uporabnike storitev obdelave podatkov ovirajo pri prenosu svojih podatkov od enega ponudnika storitev do drugega ali nazaj v lastne sisteme informacijske tehnologije ali jim ta prenos preprečujejo, zlasti ob prenehanju pogodbe s ponudnikom storitev.

(6)

Kombinacija teh ovir je vodila do odsotnosti konkurence med ponudniki storitev v oblaku v Uniji, do različnih vprašanj glede vezanosti na ponudnika, in do zelo pomanjkljive mobilnosti podatkov. Prav tako so politike lokalizacije podatkov podjetjem za raziskave in razvoj otežile zagotavljanje sodelovanja med podjetji, univerzami in drugimi raziskovalnimi organizacijami, da bi se spodbujale inovacije.

(7)

Zaradi pravne varnosti in zaradi potrebe po enakih konkurenčnih pogojih v Uniji je enoten sklop pravil za vse udeležence na trgu ključnega pomena za delovanje notranjega trga. Za odpravo ovir pri trgovini in izkrivljanj konkurence, ki so posledica razlik med nacionalnimi zakonodajami, ter za preprečitev nastanka morebitnih dodatnih ovir pri trgovini in znatnih izkrivljanj konkurence je treba sprejeti enotna pravila, ki se bodo uporabljala v vseh državah članicah.

(8)

Ta uredba ne vpliva na pravni okvir o varstvu fizičnih oseb glede obdelave osebnih podatkov, na spoštovanje zasebnega življenja in na varstvo osebnih podatkov v elektronskih komunikacijah, ter zlasti na Uredbo (EU) 2016/679 Evropskega parlamenta in Sveta (3) in direktivi (EU) 2016/680 (4) in 2002/58/ES (5) Evropskega parlamenta in Sveta.

(9)

Čedalje bolj razširjeni internet stvari, umetna inteligenca in strojno učenje predstavljajo glavne vire neosebnih podatkov, ko se npr. uporabljajo v postopkih avtomatizirane industrijske proizvodnje. Specifični primeri neosebnih podatkov vključujejo združene in anonimizirane podatkovne nize, ki se uporabljajo pri analizi masovnih podatkov, podatke o preciznem kmetovanju, ki lahko pomagajo pri spremljanju in optimizaciji uporabe pesticidov in vode, ali podatke o potrebah po vzdrževanju industrijskih strojev. Če bo tehnološki napredek omogočil pretvorbo anonimiziranih podatkov v osebne, bi se morali takšni podatki obravnavati kot osebni podatki, ob ustrezni uporabi Uredbe (EU) 2016/679.

(10)

V skladu z Uredbo (EU) 2016/679 države članice ne smejo niti omejiti niti prepovedati prostega pretoka osebnih podatkov v Uniji iz razlogov, povezanih z varstvom posameznikov pri obdelavi osebnih podatkov. Ta uredba določa enako načelo prostega pretoka v Uniji za neosebne podatke, razen ko je omejitev ali prepoved upravičena iz razlogov javne varnosti. Uredba (EU) 2016/679 in ta uredba določata enoten sklop pravil, ki urejajo prosti pretok različnih vrst podatkov. Poleg tega ta uredba ne nalaga obveznosti ločenega shranjevanja različnih vrst podatkov.

(11)

Za vzpostavitev okvira za prosti pretok neosebnih podatkov v Uniji ter temeljev za razvoj podatkovnega gospodarstva in boljšo konkurenčnost industrije Unije je treba določiti jasen, celovit in predvidljiv pravni okvir za obdelavo podatkov, ki niso osebni podatki, na notranjem trgu. S pristopom, ki temelji na načelih sodelovanja med državami članicami, in samoregulacijo bi se morala zagotoviti takšna prožnost okvira, da bi se lahko upoštevale spreminjajoče se potrebe uporabnikov, ponudnikov storitev in nacionalnih organov v Uniji. Da bi se izognili tveganju prekrivanja z obstoječimi mehanizmi, in s tem večjim bremenom za države članice in podjetja, ne bi smela biti določena podrobna tehnična pravila.

(12)

Ta uredba ne bi smela vplivati na obdelavo podatkov, v kolikor se izvaja kot del dejavnosti, ki ne spada na področje uporabe prava Unije. Zlasti bi bilo treba opozoriti, da v skladu s členom 4 Pogodbe o Evropski uniji (PEU) nacionalna varnost ostaja v izključni pristojnosti vsake države članice.

(13)

Prosti pretok podatkov v Uniji bo imel pomembno vlogo pri doseganju rasti in inovacij, ki temeljijo na podatkih. Tako kot podjetja in potrošniki imajo tudi javni organi in osebe javnega prava držav članic koristi od večje svobode izbire, kar zadeva ponudnike podatkovnih storitev, od konkurenčnejših cen in od učinkovitejšega zagotavljanja storitev državljanom. Glede na velike količine podatkov, ki jih obdelujejo javni organi in osebe javnega prava, je ključnega pomena, da dajejo zgled z uporabo storitev obdelave podatkov in ne določajo omejitev za lokalizacijo podatkov, kadar uporabljajo storitev obdelave podatkov. Zato bi morala ta uredba zajemati tudi javne organe in osebe javnega prava. V zvezi s tem bi se moralo načelo prostega pretoka neosebnih podatkov iz te uredbe uporabljati tudi za splošne in dosledne administrativne prakse in za druge zahteve glede lokalizacije podatkov na področju javnega naročanja, brez poseganja v Direktivo 2014/24/EU Evropskega parlamenta in Sveta (6).

(14)

Kot v primeru Direktive 2014/24/EU, ta uredba ne posega v zakone in druge predpise v zvezi z notranjo organizacijo držav članic, ki določajo prenos pristojnosti in pooblastil za obdelavo podatkov brez pogodbenih plačil zasebnih strank na javne organe in osebe javnega prava, kot tudi ne v zakone in druge predpise držav članic, ki določajo izvajanje teh pooblastil in pristojnosti. Medtem ko se javne organe in osebe javnega prava spodbuja, naj preučijo gospodarske in druge prednosti oddajanja v zunanje izvajanje zunanjim ponudnikom storitev, bi ti lahko imeli legitimne razloge za izbiro samozagotavljanja storitev ali notranjega izvajanja. Zato nič v tej uredbi ne obvezuje držav članic, da sklepajo pogodbe z zunanjimi izvajalci ali da nanje prenesejo opravljanje storitev, ki jih želijo opravljati sami ali jih organizirati na drug način kot pa z javnimi naročili.

(15)

Ta uredba bi se morala uporabljati za fizične ali pravne osebe, ki ponujajo storitve obdelave podatkov uporabnikom, ki prebivajo ali imajo sedež v Uniji, vključno s tistimi, ki ponujajo storitve obdelave podatkov v Uniji in nimajo sedeža v Uniji. Ta uredba se zato ne bi smela uporabljati za storitve obdelave podatkov, ki potekajo zunaj Unije, in za zahteve glede lokalizacije podatkov, ki zadevajo te podatke.

(16)

Ta uredba ne določa pravil v zvezi z določitvijo prava, ki se uporablja v gospodarskih zadevah, in zato ne posega v Uredbo (ES) št. 593/2008 Evropskega parlamenta in Sveta (7). Zlasti za pogodbo o opravljanju storitev načeloma velja pravo države, v kateri ima ponudnik storitev običajno prebivališče, če pravo, ki se uporablja za pogodbo, ni bilo izbrano v skladu z navedeno uredbo.

(17)

Ta uredba bi se morala uporabljati za obdelavo podatkov v najširšem smislu ter vključevati uporabo vseh vrst informacijskih sistemov, ne glede na to, ali se nahajajo v prostorih uporabnika ali se oddajo v zunanje izvajanje ponudniku storitev. Zajemati bi morala obdelavo podatkov na različnih ravneh intenzivnosti, od shranjevanja podatkov (infrastruktura kot storitev (IaaS)) do obdelave podatkov na platformah (platforma kot storitev (PaaS)) ali v aplikacijah (programska oprema kot storitev (SaaS)).

(18)

Zahteve glede lokalizacije podatkov nedvomno ovirajo prosto opravljanje storitev obdelave podatkov v Uniji in predstavljajo ovire delovanja notranjega trga. Zato bi jih bilo kot take treba prepovedati, razen če so utemeljene iz razlogov javne varnosti, kot je opredeljeno s pravom Unije, zlasti v smislu člena 52 PDEU, in upoštevajo načelo sorazmernosti iz člena 5 PEU. Da bi se uveljavilo načelo prostega pretoka neosebnih podatkov prek meja, zagotovila hitra odprava obstoječih zahtev glede lokalizacije podatkov ter da bi se iz operativnih razlogov omogočila obdelava podatkov na več lokacijah v Uniji in ker ta uredba določa ukrepe za zagotovitev razpoložljivosti podatkov za namene regulativnega nadzora, bi se države članice lahko sklicevale na javno varnost le kot utemeljitev zahteve glede lokalizacije podatkov.

(19)

Pojem „javne varnosti“ v smislu člena 52 PDEU in kot ga razlaga Sodišče, zajema tako notranjo kot zunanjo varnost države članice ter vprašanja varnosti ljudi, zlasti za olajšanje preiskovanja, odkrivanja in pregona kaznivih dejanj. Predpostavlja obstoj dejanske in dovolj resne grožnje, ki vpliva na enega od temeljnih interesov družbe, kot je ogrožanje delovanja institucij in temeljnih javnih služb ter preživetja prebivalstva, pa tudi tveganje resnih motenj v zunanjih odnosih ali v mirnem sobivanju narodov oziroma grožnjo vojaškim interesom. V skladu z načelom sorazmernosti bi morale biti zahteve glede lokalizacije podatkov, ki so utemeljene z razlogi javne varnosti, primerne za uresničitev zastavljenega cilja in ne bi smele presegati tistega, kar je potrebno za doseganje tega cilja.

(20)

Da bi se zagotovila učinkovita uporaba načela prostega pretoka neosebnih podatkov prek meja in preprečilo nastajanje novih ovir za nemoteno delovanje notranjega trga, bi morale države članice Komisijo nemudoma obvestiti o vsakem osnutku akta, ki uvaja novo zahtevo glede lokalizacije podatkov ali spreminja obstoječo zahtevo glede lokalizacije podatkov. Te osnutke aktov bi bilo treba predložiti in oceniti v skladu z Direktivo (EU) 2015/1535 Evropskega parlamenta in Sveta (8).

(21)

Nadalje, da bi se odpravile morebitne obstoječe ovire, bi morale države članice v prehodnem obdobju 24 mesecev po dnevu začetka uporabe te uredbe pregledati obstoječe zakone in druge splošne predpise, ki določajo zahteve glede lokalizacije podatkov, ter Komisiji sporočiti vse tovrstne zahteve glede lokalizacije podatkov, za katere menijo, da so v skladu s to uredbo, skupaj z njihovo utemeljitvijo. To bi moralo Komisiji omogočiti, da pregleda skladnost preostalih zahtev glede lokalizacije podatkov. Komisija bi morala imeti možnost, da, kjer je to primerno, zadevni državi članici poda pripombe. Te pripombe bi lahko vključevale tudi priporočilo za spremembo ali razveljavitev zahteve glede lokalizacije podatkov.

(22)

Obveznosti za sporočanje obstoječih zahtev glede lokalizacije podatkov in osnutkov aktov Komisiji, določene s to uredbo, bi se morale uporabljati za regulativne zahteve glede lokalizacije podatkov in osnutke splošnih pravnih aktov, ne pa za odločitve, ki naslavljajo konkretno fizično ali pravno osebo.

(23)

Da bi se v državah članicah zagotovila preglednost zahtev glede lokalizacije podatkov, določenih v zakonih in drugih splošnih predpisih, za fizične in pravne osebe, kot so ponudniki storitev in uporabniki storitev obdelave podatkov, bi morale države članice informacije o takšnih zahtevah objavljati na nacionalni enotni spletni informacijski točki in te informacije redno posodabljati. Alternativno bi morale države članice o takšnih ukrepih zagotoviti posodobljene informacije centralni informacijski točki, ki jo vzpostavlja drug akt Unije. Za ustrezno obveščanje fizičnih in pravnih oseb o zahtevah glede lokalizacije podatkov v Uniji bi morale države članice Komisijo uradno obvestiti o naslovih teh enotnih informacijskih točk. Komisija bi morala te informacije objaviti na svojem spletišču skupaj z redno posodobljenim zbirnim seznamom vseh zahtev glede lokalizacije podatkov, ki veljajo v državah članicah, vključno s povzetki informacij o omenjenih zahtevah.

(24)

Zahteve glede lokalizacije podatkov pogosto izvirajo iz pomanjkanja zaupanja v čezmejno obdelavo podatkov, saj se predpostavlja, da podatki niso razpoložljivi za namene pristojnih organov držav članic, kot so inšpekcijski pregledi in revizije za regulativne ali nadzorne namene. Takega pomanjkanja zaupanja ni mogoče odpraviti samo prek ničnosti pogodbenih pogojev, ki prepovedujejo zakonit dostop pristojnih organov do podatkov z namenom opravljanja njihovih uradnih dolžnosti. Zato bi morala ta uredba jasno določiti, da ne posega v pooblastila pristojnih organov, da v skladu s pravom Unije ali nacionalnim pravom zahtevajo ali pridobijo dostop do podatkov, in da se pristojnim organom dostop do podatkov ne sme zavrniti na podlagi dejstva, da se podatki obdelujejo v drugi državi članici. Pristojni organi bi lahko uvedli funkcionalne zahteve v podporo dostopu do podatkov, kot je zahteva, da morajo biti opisi sistemov shranjeni v zadevni državi članici.

(25)

Fizične ali pravne osebe, za katere veljajo obveznosti zagotavljanja podatkov pristojnim organom, lahko takšne obveznosti izpolnijo z zagotavljanjem in jamčenjem učinkovitega in pravočasnega elektronskega dostopa do podatkov pristojnim organom, ne glede na državo članico, na ozemlju katere so podatki obdelani. Takšen dostop se lahko zagotovi s konkretnimi pogoji v pogodbah med fizično ali pravno osebo, za katero velja obveznost zagotavljanja dostopa, in ponudnikom storitev.

(26)

Kadar fizična ali pravna oseba, za katero veljajo obveznosti zagotavljanja podatkov, te obveznosti ne izpolni, bi moral imeti pristojni organ možnost, da zaprosi za pomoč pristojne organe v drugih državah članicah. V takšnih primerih bi morali pristojni organi uporabiti posebne sodelovalne instrumente iz prava Unije ali na podlagi mednarodnih sporazumov glede na predmet urejanja v posameznem primeru, kot na primer za področje policijskega sodelovanja, pravosodnega sodelovanja v civilnih in kazenskih zadevah oziroma sodelovanja v upravnih zadevah, v Okvirnem sklepu Sveta 2006/960/PNZ (9), Direktivi Evropskega parlamenta in Sveta 2014/41/EU (10), Konvenciji Sveta Evrope o kibernetski kriminaliteti (11), Uredbi Sveta (ES) št. 1206/2001 (12), Direktivi Sveta 2006/112/ES (13) in Uredbi Sveta (EU) št. 904/2010 (14). Kadar takšnih sodelovalnih mehanizmov ni, bi morali pristojni organi sodelovati med seboj, da bi se zagotovil dostop do zaprošenih podatkov prek imenovanih enotnih kontaktnih točk.

(27)

Kadar prošnja za pomoč vključuje, da zaprošeni organ pridobi dostop do prostorov fizične ali pravne osebe, vključno z vso opremo in sredstvi za obdelavo podatkov, mora biti takšen dostop v skladu s pravom Unije ali nacionalnim postopkovnim pravom, vključno z morebitno zahtevo po pridobitvi predhodne sodne odobritve.

(28)

Ta uredba uporabnikom ne bi smela omogočati možnosti za izogibanje uporabi nacionalnega prava. Zato bi morala določiti, da države članice naložijo učinkovite, sorazmerne in odvračilne kazni za uporabnike, ki pristojnim organom preprečujejo dostop do svojih podatkov, potrebnih za opravljanje uradnih dolžnosti pristojnih organov na podlagi prava Unije in nacionalnega prava. V nujnih primerih, ko uporabnik zlorabi svoje pravice, bi morale imeti države članice možnost, da določijo strogo sorazmerne začasne ukrepe. Vsi začasni ukrepi, ki predpisujejo relokalizacijo podatkov za obdobje, daljše od 180 dni po relokalizaciji, bi odstopali od načela prostega pretoka podatkov za daljše časovno obdobje in bi jih bilo zato treba sporočiti Komisiji, da preveri njihovo skladnost s pravom Unije.

(29)

Možnost neoviranega prenosa podatkov je ključni dejavnik pri olajševanju izbire uporabnikom ter omogoča učinkovito konkurenco na trgih storitev obdelave podatkov. Prav tako dejanske ali domnevne težave pri čezmejnem prenosu podatkov spodkopavajo zaupanje poklicnih uporabnikov v čezmejne ponudbe in s tem v notranji trg. Medtem ko potrošnikom posameznikom obstoječe pravo Unije koristi, pa uporabnikom, ki izvajajo poslovne ali poklicne dejavnosti, ni olajšana možnost zamenjave ponudnika storitev. Dosledne tehnične zahteve po vsej Uniji, bodisi v zvezi s tehnično harmonizacijo, vzajemnim priznavanjem ali prostovoljno harmonizacijo, prav tako prispevajo k razvoju konkurenčnega notranjega trga za storitve obdelave podatkov.

(30)

Da bi v celoti izkoristili konkurenčno okolje, bi morali imeti poklicni uporabniki možnost ozaveščenega odločanja in preproste primerjave posameznih komponent različnih storitev obdelave podatkov, ki jih ponuja notranji trg, vključno v zvezi s pogodbenimi pogoji za prenos podatkov ob prenehanju pogodbe. Za uskladitev z inovacijskim potencialom trga ter upoštevanje izkušenj in strokovnega znanja ponudnikov storitev in poklicnih uporabnikov storitev obdelave podatkov, bi morali podrobne informacije in operativne zahteve za prenos podatkov s samoregulacijo opredeliti subjekti na trgu v obliki kodeksov ravnanja na ravni Unije, ki lahko vključujejo vzorčne pogodbene pogoje, kar bi spodbujala, olajševala in spremljala Komisija.

(31)

Da bi bili navedeni kodeksi ravnanja učinkoviti ter da bi omogočili lažjo zamenjavo ponudnikov storitev in lažji prenos podatkov, bi morali biti razumljivi in bi morali zajemati vsaj ključne vidike, ki so pomembni med procesom prenosa podatkov, ko so procesi za varnostne kopije podatkov in njihove lokacije, razpoložljivi formati in nosilci podatkov, zahtevana konfiguracija informacijske tehnologije ter najmanjša pasovno širino omrežja, čas, ki je potreben pred začetkom postopka prenosa, in čas, v katerem bodo podatki ostali na voljo za prenos podatkov, ter jamstva za dostop do podatkov v primeru stečaja ponudnika storitev. Kodeksi ravnanja bi morali tudi pojasniti, da vezanost na ponudnika ni sprejemljiva poslovna praksa, omogočati bi morali tehnologije, ki povečujejo zaupanje, obenem pa bi jih bilo treba redno posodabljati, da bodo sledili tehnološkemu razvoju. Komisija bi morala zagotoviti, da bo v proces vključeno posvetovanje z vsemi ustreznimi deležniki, vključno z združenji malih in srednjih podjetij ter zagonskih podjetij, uporabniki in ponudniki storitev v oblaku. Komisija bi morala oceniti razvoj in učinkovitost izvajanja takšnih kodeksov ravnanja.

(32)

Kadar bi pristojni organ v eni državi članici zaprosil drugo državo članico za pomoč pri pridobitvi dostopa do podatkov v skladu s to uredbo, bi moral prek imenovane enotne kontaktne točke na enotno kontaktno točko, ki jo imenuje zaprošena država članica, nasloviti ustrezno utemeljeno prošnjo, v katero bi moral vključiti pisno pojasnitev razlogov in pravno podlago za pridobitev dostopa do podatkov. Enotna kontaktna točka, ki jo imenuje zaprošena država članica, bi morala olajšati posredovanje prošnje ustreznemu pristojnemu organu v zaprošeni državi članici. Za zagotovitev učinkovitega sodelovanja bi moral organ, ki mu je posredovana prošnja, brez nepotrebnega odlašanja ugoditi zadevni prošnji in zagotoviti pomoč ali sporočiti, zakaj ima težave pri ugoditvi prošnji za pomoč, ali navesti razloge za njeno zavrnitev.

(33)

S spodbujanjem zaupanja v varnost čezmejne obdelave podatkov bi se morala zmanjšati nagnjenost subjektov na trgu in javnega sektorja k uporabi lokalizacije podatkov kot nadomestka za varnost podatkov. Prav tako bi se morala za podjetja izboljšati pravna varnost v zvezi z izpolnjevanjem veljavnih varnostnih zahtev, kadar dejavnosti obdelave podatkov oddajo v zunanje izvajanje ponudnikom storitev, tudi tistim v drugih državah članicah.

(34)

Vse varnostne zahteve v zvezi z obdelavo podatkov, ki se uporabljajo utemeljeno in sorazmerno na podlagi prava Unije ali nacionalnega prava v skladu pravom Unije, v državi članici, v kateri prebivajo ali imajo sedež fizične ali pravne osebe, ki jim pripadajo zadevni podatki, bi se morale še naprej uporabljati za obdelavo teh podatkov tudi v drugi državi članici. Te fizične ali pravne osebe bi morale imeti možnost izpolniti takšne zahteve bodisi same bodisi prek pogodbenih klavzul v pogodbah s ponudniki storitev.

(35)

Varnostne zahteve, določene na nacionalni ravni, bi morale biti obvezne in sorazmerne s tveganji za varnost obdelave podatkov v okviru nacionalnega prava, ki določa te zahteve.

(36)

Direktiva (EU) 2016/1148 Evropskega parlamenta in Sveta (15) določa pravne ukrepe za povečanje splošne ravni kibernetske varnosti v Uniji. Storitve obdelave podatkov spadajo v eno izmed digitalnih storitev, ki jih zajema navedena direktiva. V skladu z navedeno direktivo morajo države članice zagotoviti, da ponudniki digitalnih storitev določijo in sprejmejo ustrezne in sorazmerne tehnične in organizacijske ukrepe za obvladovanje tveganj za varnost omrežij in informacijskih sistemov, ki jih uporabljajo. S takšnimi ukrepi bi se morala zagotoviti raven varnosti, ki je primerna glede na tveganje, pri čemer bi se morali upoštevati varnost sistemov in zmogljivosti, obvladovanje incidentov, upravljanje neprekinjenega poslovanja, spremljanje, revidiranje in preizkušanje ter skladnost z mednarodnimi standardi. Te elemente naj bi Komisija natančneje določila z izvedbenimi akti v skladu z navedeno direktivo.

(37)

Komisija bi morala predložiti poročilo o izvajanju te uredbe, zlasti zaradi ugotavljanja, ali so glede na tehnološki ali tržni razvoj potrebne spremembe. V tem poročilu bi bilo treba zlasti oceniti to uredbo, predvsem njeno uporabo pri podatkovnih nizih, ki so sestavljeni iz osebnih in neosebnih podatkov, ter izvajanje izjeme glede javne varnosti. Komisija bi morala pred začetkom uporabe te uredbe objaviti tudi informativne smernice o tem, kako ravnati s podatkovnimi nizi, ki so sestavljeni iz osebnih in neosebnih podatkov, da bi podjetja, vključno z malimi in srednjimi podjetji, bolje razumela medsebojni vpliv med to uredbo in Uredbo (EU) 2016/679 ter zagotovila skladnost z obema uredbama.

(38)

Ta uredba spoštuje temeljne pravice in upošteva načela, ki jih priznava zlasti Listina Evropske unije o temeljnih pravicah, ter bi jo bilo treba razlagati in uporabljati v skladu z navedenimi pravicami in načeli, vključno s pravicami do varstva osebnih podatkov, do svobodnega izražanja in obveščanja in do svobode gospodarske pobude.

(39)

Ker cilja te uredbe, in sicer zagotoviti prosti pretok podatkov, ki niso osebni podatki, v Uniji, ni mogoče zadovoljivo doseči na ravni držav članic, temveč se zaradi njegovega obsega in učinkov lažje doseže na ravni Unije, lahko Unija sprejme ukrepe v skladu z načelom subsidiarnosti iz člena 5 PEU. V skladu z načelom sorazmernosti iz navedenega člena ta uredba ne presega tistega, kar je potrebno za doseganje navedenega cilja –