EURÓPAI BIZOTTSÁG
Brüsszel, 2017.9.13.
COM(2017) 495 final
2017/0228(COD)
Javaslat
AZ EURÓPAI PARLAMENT ÉS A TANÁCS RENDELETE
a nem személyes adatok Európai Unióban való szabad áramlásának keretéről
{SWD(2017) 304 final}
{SWD(2017) 305 final}
EURÓPAI BIZOTTSÁG
Brüsszel, 2017.9.13.
COM(2017) 495 final
2017/0228(COD)
Javaslat
AZ EURÓPAI PARLAMENT ÉS A TANÁCS RENDELETE
a nem személyes adatok Európai Unióban való szabad áramlásának keretéről
{SWD(2017) 304 final}
{SWD(2017) 305 final}
INDOKOLÁS
1.A JAVASLAT HÁTTERE
•A javaslat indokai és céljai
Az új digitális technológiák – például a felhőalapú számítástechnika, a nagy adathalmazok, a mesterséges intelligencia és a dolgok internete – a hatékonyság fokozását, a méretgazdaságosság megvalósításának lehetővé tételét és új szolgáltatások kifejlesztését szolgálják. E technológiák olyan előnyöket biztosítanak a felhasználók számára, mint a gyors reagálási képesség, a termelékenység, a telepítés sebessége és az autonómia, mely előnyök például a gépi tanulás 1 révén érhetők el.
Amint az „Az európai adatgazdaság kiépítése” című 2017. évi közleményben 2 is szerepel, az uniós adatpiac értéke 2016-ban a becslések szerint csaknem 60 milliárd EUR volt, vagyis a 2015-ös értékhez képest 9,5 %-kal nőtt. Egy idevágó tanulmány szerint az uniós adatpiac értéke 2020-ban akár a 106 milliárd eurót is meghaladhatja 3 .
E potenciál felszabadítása érdekében a javaslat a következő feladatok megoldására irányul:
·a nem személyes adatok egységes piacon belüli, határokon átnyúló mobilitásának javítása, tekintve, hogy e mobilitásnak jelenleg számos tagállamban szabnak gátat különféle lokalizálási korlátozások vagy a piacon uralkodó jogbizonytalanság;
·annak biztosítása, hogy az illetékes hatóságoknak a szabályozási ellenőrzések – például szemlék és auditok – lefolytatásához szükséges adatokhoz való hozzáférés kérelmezésére és megszerzésére vonatkozó hatásköre változatlanul fennmaradjon; valamint
·a szolgáltatóváltás és az adathordozás megkönnyítése az adattárolási és más adatkezelési szolgáltatások foglalkozásszerű felhasználói számára, anélkül, hogy túlzott terhek hárulnának a szolgáltatókra, vagy torzulna a piac.
A Bizottság a digitális egységes piaci stratégia végrehajtásának félidős értékelésében 4 bejelentette, hogy jogalkotási javaslatot terjeszt elő a szabad adatáramlásra vonatkozó uniós együttműködési keret tárgyában.
A kezdeményezés általános politikai célkitűzése az, hogy a fent meghatározott területek kezelése révén fokozza a versenyképességet és az integrációt az adattárolási és egyéb adatkezelési szolgáltatások és tevékenységek belső piacán. E javaslatban az „adattárolás és egyéb adatkezelés” kifejezés tág értelemben szerepel, amely valamennyi típusú informatikai rendszer alkalmazását magában foglalja, függetlenül attól, hogy az adattárolás és az adatok egyéb kezelése a felhasználó telephelyén történik, vagy kiszervezték-e ezeket a tevékenységeket egy szolgáltatóhoz 5 .
•Összhang a szabályozási terület jelenlegi rendelkezéseivel
A javaslat célja a digitális egységes piaci stratégiában 6 , a stratégia közelmúltban elkészült félidős értékelésében, valamint a jelenlegi Európai Bizottság számára összeállított, „Új kezdet Európa számára: a munkahelyteremtés, a növekedés, a méltányosság és a demokratikus változás programja” című politikai iránymutatásban 7 meghatározott célkitűzések megvalósítása.
Ez a javaslat az adattárhely- (adattárolási) és egyéb adatkezelési szolgáltatások nyújtására összpontosít, és összhangban áll a meglévő jogi eszközökkel. A kezdeményezés a szóban forgó szolgáltatások hatékony uniós egységes piacának létrehozására irányul. Következésképpen összhangban van az elektronikus kereskedelemről szóló irányelvvel 8 , amelynek célja, hogy átfogó és hatékony uniós egységes piacot hozzon létre az információs társadalommal összefüggő szolgáltatások tágabb kategóriái tekintetében, valamint a szolgáltatási irányelvvel 9 , amely számos ágazatban előmozdítja a szolgáltatások egységes uniós piacának elmélyítését.
Számos érintett ágazat kifejezetten ki van zárva az említett jogszabályok (azaz az elektronikus kereskedelemről és a szolgáltatásokról szóló irányelvek) alkalmazási köréből, ami azt jelenti, hogy csak a Szerződés általános rendelkezései vonatkoznak az adattárhely- (adattárolási) és egyéb adatkezelési szolgáltatások összességére. Az e szolgáltatások vonatkozásában fennálló akadályok azonban nem számolhatók fel hatékonyan kizárólag az Európai Unió működéséről szóló szerződés (EUMSZ) 49. és 56. cikkének közvetlen alkalmazása révén; egyrészt azért, mert az ilyen akadályoknak az érintett tagállamokkal szemben indított kötelezettségszegési eljárás útján, eseti alapon történő kezelése rendkívül bonyolult lenne a nemzeti és az uniós intézmények számára, másrészt pedig azért, mert számos akadály megszüntetéséhez különleges, nemcsak állami, hanem magánszférabeli akadályokra is kiterjedő szabályok alkalmazására és igazgatási együttműködés kialakítására van szükség. A jogbiztonság ebből fakadó növekedése az új technológiák felhasználói szempontjából különösen fontosnak tűnik. 10
Mivel ez a javaslat a személyes adatoktól eltérő elektronikus adatokra vonatkozik, nem érinti az uniós adatvédelmi jogi keretet és ezen belül az (EU) 2016/679 rendeletet (általános adatvédelmi rendelet) 11 , az (EU) 2016/680 irányelvet (rendőrségi irányelv) 12 és a 2002/58/EK irányelvet (elektronikus hírközlési adatvédelmi irányelv) 13 , amelyek biztosítják a személyes adatok magas szintű védelemét és a személyes adatok Unión belüli szabad áramlását. A javaslat a fent említett jogi keretet kiegészítve olyan átfogó és koherens uniós keretszabályozás létrehozására irányul, amely lehetővé teszi az adatok szabad áramlását az egységes piacon.
A javaslat előírja, hogy az (EU) 2015/1535 átláthatósági irányelvnek 14 megfelelően be kell jelenteni az adatlokalizálásra vonatkozó intézkedéstervezeteket, lehetővé téve ezáltal annak értékelését, hogy indokoltak-e a tervezett adatlokalizálási korlátozások.
A javaslat értelmében minden olyan mechanizmust alkalmazni kell, amely az illetékes hatóságok közötti együttműködést és kölcsönös segítségnyújtást szolgálja. Arra az esetre, amikor nem léteznek együttműködési mechanizmusok, a javaslat olyan intézkedéseket vezet be, amelyek célja, hogy lehetővé tegyék az illetékes hatóságok számára a más tagállamokban tárolt vagy ott más módon kezelt adatok cseréjét és az adatokhoz való hozzáférést.
•Összhang az Unió egyéb szakpolitikáival
E kezdeményezés kidolgozására a digitális egységes piac megvalósításának célját szem előtt tartva, a versenyképes adatközpontú európai gazdaság megteremtése előtt álló akadályok csökkentése céljából került sor. A Bizottság a digitális egységes piaci stratégia félidős értékeléséről szóló közleményben foglaltakkal összhangban külön vizsgálja a nyilvános természetű, illetve közfinanszírozás révén rendelkezésre álló adatok és a magántulajdonban lévő közérdekű adatok hozzáférhetőségének és újbóli felhasználásának, továbbá az adatintenzív termékek által okozott károkért viselendő felelősségnek a kérdését. 15
A szakpolitikai beavatkozás emellett „Az európai ipar digitalizálása” elnevezésű politikai csomagra is épít, amelynek részét képezte a tudományos adatok tárolására, megosztására és újbóli felhasználására szolgáló, nagy kapacitású felhőalapú megoldás megvalósítását célzó Európai számításifelhő-kezdeményezés 16 . A kezdeményezés támaszkodik továbbá az európai interoperabilitási keret 17 felülvizsgálatára is, amelynek célja az európai közigazgatások közötti digitális együttműködés javítása, és amelynek szempontjából az adatok szabad áramlása közvetlen előnyökkel fog járni. Hozzájárul a nyitott internetre 18 vonatkozó uniós kötelezettségvállalás teljesítéséhez.
2.JOGALAP, SZUBSZIDIARITÁS ÉS ARÁNYOSSÁG
•Jogalap
E javaslat az EUMSZ 4. cikke (2) bekezdésének a) pontjával összhangban megosztott hatáskörbe tartozik. Célja, hogy az adatok Unión belüli szabad mozgásának biztosítása révén fokozza a versenyképességet és az integrációt az adattárolási és egyéb adatkezelési szolgáltatások belső piacán. Szabályokat állapít meg az adatlokalizálási követelményekkel, az adatok illetékes hatóságok számára való rendelkezésre állásával, valamint a foglalkozásszerű felhasználók által végzett adathordozással kapcsolatban. A javaslat az EUMSZ 114. cikkén alapul, amely az ilyen szabályok elfogadásának általános jogalapja.
•Szubszidiaritás
A javaslat megfelel az Európai Unióról szóló szerződés (EUSZ) 5. cikkében meghatározott szubszidiaritási elvnek. A javaslat célja – nevezetesen a belső piac működésének zökkenőmentessé tétele a fent említett szolgáltatások tekintetében, oly módon, hogy az ne korlátozódjon egyetlen tagállam területére, továbbá a nem személyes adatok Unión belüli szabad mozgásának biztosítása – nem valósítható meg az egyes tagállamok által, nemzeti szinten, mivel az alapvető problémát a határokon átnyúló adatmobilitás jelenti.
A tagállamoknak módjukban áll csökkenteni adatlokalizálási korlátozásaik számát és hatókörét, de ezt valószínűleg különböző mértékben és feltételek mellett, vagy egyáltalán nem lennének hajlandóak megtenni.
Az eltérő megközelítések alkalmazása következtében azonban megsokszorozódnának a szabályozási követelmények az EU egységes piacán, és számottevő többletköltségek merülnének fel a vállalkozásoknál, különösen a kis- és középvállalkozásoknál (kkv-k).
•Arányosság
A javaslat megfelel az EUSZ 5. cikkében foglalt arányossági elvnek, mivel egy olyan hatékony keretszabályozást irányoz elő, amely nem haladja meg az azonosított problémák megoldásához szükséges mértéket, és arányban áll a kitűzött célokkal.
A nem személyes adatok Unión belüli, lokalizálási követelmények által korlátozott szabad áramlását gátló akadályok felszámolása és a határokon átnyúló adatáramlásba, valamint adattárolási és egyéb adatkezelési szolgáltatásokba vetett bizalom növelése érdekében a javaslat nagy mértékben támaszkodik már meglévő uniós eszközökre és keretszabályozásokra, nevezetesen az átláthatósági irányelvre az adatlokalizálási követelményekkel kapcsolatos intézkedéstervezetek bejelentése tekintetében, továbbá a tagállamok által végzendő szabályozási ellenőrzésekhez szükséges adatok rendelkezésre állását biztosító különféle keretszabályozásokra. A javaslatban előirányzott együttműködési mechanizmusnak a tagállami illetékes hatóságok rendelkezésére bocsátandó adatokkal kapcsolatos problémák kezelésére történő igénybevételére kizárólag más együttműködési mechanizmusok hiányában és csak az egyéb hozzáférési lehetőségek kimerítését követően kerül sor.
Az adatoknak a tagállamok határain keresztüli és a szolgáltatók / belső informatikai rendszerek közötti mozgására vonatkozóan javasolt megközelítés célja az uniós szabályozás és a tagállamok közbiztonsági érdekei közötti egyensúly, valamint az uniós szabályozás és a piaci önszabályozás közötti egyensúly megteremtése.
Ezen belül – annak érdekében, hogy megkönnyítse a foglalkozásszerű felhasználók számára a szolgáltatóváltást és az adathordozást – a kezdeményezés ösztönzést nyújt az adattárolási és egyéb adatkezelési szolgáltatások felhasználói számára szolgáltatandó információkról szóló magatartási kódexek révén megvalósuló önszabályozáshoz. A szolgáltatóváltás és az adathordozás részletes szabályait szintjén önszabályozás útján kell kialakítani, ily módon meghatározva a bevált gyakorlatokat.
A javaslat felhívja a figyelmet arra, hogy a nemzeti és az uniós jogszabályok által előírt biztonsági követelmények teljesülését akkor is biztosítani kell, ha természetes vagy jogi személyek az adattárolási vagy egyéb adatkezelési szolgáltatásaikat kiszervezik, ideértve a másik tagállamba történő kiszervezést is. Emlékeztet továbbá a hálózati és információs rendszerek biztonságáról szóló irányelv által az e rendelet működéséhez is hozzájáruló biztonsági követelmények kezelése érdekében a Bizottságra ruházott végrehajtási hatáskörökre. Végezetül, bár a javaslat – a bejelentési/felülvizsgálati követelményekkel, az átláthatósági követelményekkel és az igazgatási együttműködéssel összefüggésben – intézkedések megtételét feltételezi a tagállamok hatóságai részéről, kidolgozásakor a Bizottság arra is törekedett, hogy az ilyen intézkedések a legfontosabb együttműködési szükségletekre szorítkozzanak, és ezáltal kiküszöbölhetők legyenek a felesleges adminisztratív terhek.
E javaslat célja, hogy a tagállamok közötti és a tagállamokkal folytatott együttműködéssel, valamint az önszabályozással összekapcsolt, egyértelmű keretszabályozás létrehozása révén fokozza a jogbiztonságot és növelje a bizalmat, miközben a tagállamokban működő egyedüli kapcsolattartó pontokon alapuló együttműködési keret rugalmasságának köszönhetően hosszú távon releváns és hatékony maradjon.
A Bizottság szakértői csoportot kíván létrehozni, amely tanácsot ad számára az e rendelet hatálya alá tartozó ügyekben.
•A jogi aktus típusának megválasztása
A Bizottság rendeletre irányuló javaslatot terjeszt elő, amellyel biztosítható a nem személyes adatok szabad áramlására vonatkozó, Unió-szerte egységes szabályok egyidejű alkalmazása. Ez különösen fontos a meglévő korlátozások megszüntetése és a tagállamok által esetleg bevezetni tervezett új korlátozások megelőzése, a jogbiztonságnak az érintett szolgáltatók és felhasználók számára történő garantálása és ezáltal a határokon átnyúló adatáramlásba, valamint adattárolási és egyéb adatkezelési szolgáltatásokba vetett bizalom növelése érdekében.
3.AZ UTÓLAGOS ÉRTÉKELÉSEK, AZ ÉRDEKELT FELEKKEL FOLYTATOTT KONZULTÁCIÓK ÉS A HATÁSVIZSGÁLATOK EREDMÉNYEI
•Konzultációk az érdekelt felekkel
Az adatgyűjtés első szakaszában 2015 folyamán nyilvános konzultációra került sor az internetes platformok és közvetítők, az adatok és a felhőalapú számítástechnika, valamint a megosztásalapú gazdaság szabályozási környezetéről. A válaszadók kétharmada – az érdekelt felek valamennyi csoportja tekintetében egyenlő megoszlásban, a kkv-k körét is ideértve – úgy nyilatkozott, hogy az adatlokalizálás korlátozásai befolyásolták az üzleti stratégiáikat 19 . Az információgyűjtésre irányuló tevékenységek emellett találkozókat és rendezvényeket, a legfontosabb érdekeltek (például a Cloud Select Industry Group) részvételével tartott műhelytalálkozókat, valamint felmérésekkel összefüggésben szervezett célirányos műhelytalálkozókat foglaltak magukban.
Az adatgyűjtés második szakaszában, amely 2016 végétől 2017 második feléig tartott, 2017. január 10-én nyilvános konzultáció indult „Az európai adatgazdaság kiépítése” című közleményhez kapcsolódóan. A nyilvános konzultációra érkezett válaszok szerint az érdekelt felek 61,9 %-a azon a véleményen volt, hogy az adatlokalizálás korlátozásait meg kellene szüntetni. A részt vevő érdekeltek többsége (a válaszadók 55,3 %-a) úgy véli, hogy az indokolatlan lokalizációs korlátozások megszüntetésére a jogalkotási intézkedés a legmegfelelőbb eszköz; többük szerint kifejezetten rendeletre lenne szükség 20 . A szabályozási intézkedés támogatottsága az informatikai szolgáltatók körében a legjelentősebb, függetlenül attól, milyen méretű vállalkozásokról van szó, illetve hogy az Európai Unión belül vagy azon kívül telepedtek-e le. Az érdekeltek az adatlokalizálási korlátozások negatív hatásait is részletezték. A vállalkozásokat terhelő fokozott költségek mellett ezek a magán- vagy közszervezeteknek való szolgáltatásnyújtást (az összes részt vevő érdekelt 69,6 %-a szerint „jelentős” ez a hatás) vagy az új piacra való belépés képességét (a részt vevő érdekeltek 73,9 %-a szerint „jelentős” ez a hatás) érintik. A különböző hátterű érdekeltek mind hasonló arányú válaszokat adtak e kérdésekre. A nyilvános online konzultáció arra is rávilágított, hogy a szolgáltatóváltás problémája széles körben elterjedt, mivel a részt vevő kkv-k 56,8 %-a jelezte, hogy nehézségeket tapasztal, ha váltani kíván.
A tagállamokkal a strukturált párbeszéd keretében tartott ülések hozzájárultak a kihívások egységes értelmezésének kialakításához. 16 tagállam kifejezetten jogalkotási javaslat meghozatalát kérte Donald Tusk elnöknek címzett levelében.
A javaslat a tagállamok és az ágazat által jelzett számos kérdéssel foglalkozik, különösen pedig a következőkkel: az adatok szabad mozgása elve átfogó érvényesítésének szükségessége a jogbiztonság érdekében; előrelépések a szabályozási ellenőrzésekhez szükséges adatok rendelkezésre állása tekintetében; az adattárolási vagy más adatkezelési szolgáltatók közötti váltás és az adathordozás megkönnyítése a foglalkozásszerű felhasználók számára a szerződések vonatkozó eljárásai és feltételei átláthatóbbá tételének ösztönzése révén, ugyanakkor egyelőre a szolgáltatókra vonatkozó konkrét normák vagy kötelezettségek előírása nélkül.
•Szakértői vélemények összegyűjtése és felhasználása
Az adatmobilitás különböző vonatkozásai – ezen belül az adatlokalizálási követelmények 21 , a szolgáltatóváltás / adathordozás 22 és az adatbiztonság 23 – tekintetében a Bizottság gazdasági és jogi tanulmányokra támaszkodott. További tanulmányokra adott megbízást a felhőalapú számítástechnika 24 és a felhőalapú szolgáltatások terjedésének 25 hatásáról, valamint az európai adatpiacról 26 . Tanulmányokat végeztek a felhőalapú számítástechnikai ágazat társ- és önszabályozó intézkedéseinek vizsgálata céljából 27 . A Bizottság emellett egyéb külső forrásokat – ezen belül piaci felülvizsgálatokat és statisztikákat (pl. Eurostat) – is felhasznált.
•Hatásvizsgálat
A javaslathoz hatásvizsgálat készült. A hatásvizsgálat a következőket vizsgálta: alapforgatókönyv (nincs politikai beavatkozás) és három szakpolitikai alternatíva. Az 1. alternatíva a különböző azonosított problémák kezelését célzó iránymutatást és/vagy önszabályozást foglalt magában, továbbá kiterjedt a tagállamok által előírt indokolatlan vagy aránytalan adatlokalizálási korlátozások különböző kategóriáival szembeni fellépés megerősítésére. A 2. alternatíva a különböző azonosított problémákra vonatkozóan jogi alapelveket határozna meg, továbbá rendelkezne a tagállamok által kijelölendő egyedüli kapcsolattartó pontokról és egy szakértői csoport létrehozásáról a közös megközelítések és gyakorlatok megvitatása, valamint az alternatíva keretében meghatározott elvekre vonatkozó iránymutatások biztosítása érdekében. Mérlegelésre került egy 2a. alternatíva is, hogy értékeljék azt a lehetőséget, amely az egyedüli kapcsolattartási pontok és a szakértői csoport létrehozása, valamint az adathordozásra vonatkozó önszabályozó intézkedések mellett a szabad adatáramlás keretét meghatározó jogszabályt is alkalmazna. A 3. alternatíva egy részletes jogalkotási kezdeményezést foglalt magában, többek között az indokolt/indokolatlan vagy arányos/aránytalan adatlokalizálási korlátozások mibenlétére vonatkozó, előre meghatározott (harmonizált) értékelés létrehozásáról és az adathordozáshoz való új jog bevezetéséről.
A Szabályozói Ellenőrzési Testület 2016. szeptember 28-án nyilvánított először véleményt a hatásvizsgálatról, és annak újbóli benyújtását kérte. A felülvizsgálatot követően a hatásvizsgálatot 2017. augusztus 11-én újból benyújtották a Szabályozói Ellenőrzési Testületnek. Második véleményében a Szabályozói Ellenőrzési Testület tudomásul vette „Az európai adatgazdaság kiépítése” című, COM(2017) 9 bizottsági közleményt követő hatálykiterjesztést, valamint az érdekelt felek véleményéről és a jelenlegi keret hiányosságairól szóló kiegészítő anyagokat. A Testület azonban 2017. augusztus 25-én másodszor is kedvezőtlen véleményt adott ki, kiemelve különösen azt, hogy a felhőszolgáltatási adatok hordozhatóságához való új jogot nem támasztja alá elegendő bizonyíték. Működési gyakorlatának megfelelően a Testület a véleményét véglegesnek nyilvánította.
A Bizottság helyénvalónak tartotta egy javaslat előterjesztését, miközben a Szabályozói Ellenőrzési Testület második véleményében szereplő észrevételek megfelelő figyelembevétele érdekében folytatta a hatásvizsgálata továbbfejlesztését. E javaslat hatálya a nem személyes adatok Európai Unión belüli szabad áramlására korlátozódik. A Testület azon megállapításának megfelelően, amely szerint a bizonyítékok alapján az adathordozás tekintetében kevésbé szigorú alternatíva a kívánatos, a Bizottság elvetette a hatásvizsgálatban az eredeti előterjesztés szerint előnyben részesített azon alternatívát, amely kötelezné a szolgáltatókat a szolgáltatóváltás vagy a felhasználói adatok hordozhatóságának elősegítésére. Ehelyett a Bizottság egy kevesebb teherrel járó alternatívát alkalmazott, amely a Bizottság által elősegített önszabályozó intézkedéseket foglalt magában. A javaslat arányos és kevésbé szigorú, mivel nem vezet be új jogot az adatok adattároló vagy egyéb adatkezelő szolgáltatók közötti hordozhatóságára vonatkozóan, hanem a hordozhatósággal kapcsolatos technikai és működési feltételek átláthatóságát előmozdító önszabályozásra támaszkodik.
A javaslat figyelembe vette a Testület véleményét annak biztosítása érdekében is, hogy ne jöjjön létre párhuzamosság vagy átfedés az Európai Uniós Hálózat- és Információbiztonsági Ügynökség (ENISA) megbízatásának felülvizsgálata és az IKT uniós kiberbiztonsági keretének létrehozása során.
A hatásvizsgálat szerint az előnyben részesített alternatíva – a 2a. alternatíva – biztosítaná a fennálló indokolatlan adatlokalizálási korlátozások hatékony felszámolását, és ténylegesen megakadályozná az ilyen korlátozások jövőbeli kialakulását azáltal, hogy egyértelmű jogi alapelvet határoz meg és ahhoz kapcsolódó felülvizsgálatot, értesítést és átláthatóságot ír elő, miközben fokozná a jogbiztonságot és a piac iránti bizalmat. A tagállami hatóságokra háruló teher mérsékelt lenne, és az egyedüli kapcsolattartó pontok fenntartásához szükséges humánerőforrások évi mintegy 33 000 EUR összegű költségéből, valamint az értesítések elkészítésének 385 és 1925 EUR közötti éves költségéből tevődne össze.
A javaslat kedvező hatást gyakorol majd a versenyre, mivel ösztönzi innovációt az adattárolási és egyéb adatkezelési szolgáltatások terén, több felhasználó számára teszi vonzóvá e szolgáltatásokat, valamint jóval egyszerűbbé teszi – különösek az új és kis szolgáltatók számára – az új piacokra való belépést. A javaslat emellett az adattárolási és egyéb adatkezelési szolgáltatások határokon és ágazatokon átnyúló alkalmazását és az adatpiac fejlődését is ösztönzi. A javaslat tehát hozzájárul a társadalom és a gazdaság átalakulásához és új lehetőségeket kínál az európai polgárok, vállalkozások és hatóságok számára.
•Célravezető szabályozás és egyszerűsítés
A javaslat a polgárokra, a nemzeti hatóságokra és minden vállalkozásra vonatkozik, beleértve a mikrovállalkozásokat és a kkv-ket is. Az adatmobilitás akadályait kezelő rendelkezések valamennyi vállalkozás számára előnyösek lehetnek. A kkv-k számára különösen azért lesz hasznos e javaslat, mert a nem személyes adatok szabad áramlása közvetlenül csökkenteni fogja költségeiket és versenyképesebb piaci pozíciót segít elő. A kkv-k szabályok alóli mentesítése aláásná a hatékonyságukat, mivel a kkv-k jelentős szerepet játszanak az adattárolási és egyéb kezelési szolgáltatások nyújtásában, és az innováció ösztönzői közé tartoznak e piacokon. A mikrovállalkozásokat vagy kkv-ket azért sem célszerű kizárni e szabályok alkalmazási köréből, mivel nem valószínű, hogy a szabályok jelentős költségekhez vezetnének.
•Alapjogok
A javasolt rendelet tiszteletben tartja az Európai Unió Alapjogi Chartája által elismert alapvető jogokat és elveket. A javasolt rendelet várhatóan kedvezően hat a vállalkozás szabadságára (16. cikk), mivel hozzájárul az olyan indokolatlan vagy aránytalan korlátozások felszámolásához és megelőzéséhez, amelyek akadályozzák az adatszolgáltatások – így a felhőszolgáltatások – igénybevételét és nyújtását, valamint a vállalaton belüli IT-rendszerek konfigurációját.
4.KÖLTSÉGVETÉSI VONZATOK
A tagállami hatóságokra mérsékelt adminisztratív teher hárul, amely a tagállamok között az „egyedüli kapcsolattartó pontokon” keresztül folytatandó együttműködéshez szükséges humánerőforrások biztosításából, valamint az értesítésre, felülvizsgálatra és átláthatóságra vonatkozó rendelkezéseknek való megfelelésből adódik.
5.EGYÉB ELEMEK
•Végrehajtási tervek, valamint a nyomon követés, az értékelés és a jelentéstétel szabályai
A szabályok alkalmazásának kezdetétől számított öt év múlva átfogó értékelésre kerül sor azok hatékonyságának és arányosságának értékelése céljából. Ez az értékelés a minőségi jogalkotásra vonatkozó iránymutatással összhangban fog folyni.
Különösen azt kell megvizsgálnia, hogy a rendelet hozzájárult-e az adatlokalizálási korlátozások számának és hatókörének csökkentéséhez, valamint a fennmaradó (indokolt és arányos) követelmények tekintetében a jogbiztonság és az átláthatóság fokozásához. Az értékelésnek azt is meg kell határoznia, hogy a szakpolitikai kezdeményezés hozzájárult-e a nem személyes adatok szabad áramlása iránti bizalom javításához, a tagállamok kielégítő módon hozzáférhetnek-e szabályozási ellenőrzés céljából a külföldön tárolt adatokhoz, valamint a rendelet javította-e az adathordozás feltételeivel kapcsolatos átláthatóságot.
A tervek szerint a tagállami egyedüli kapcsolattartó pontok értékes információforrást jelentenek majd a jogszabály utólagos értékelésének szakaszában.
Az említett területeken az előrelépés mérését konkrét mutatók segítenék (a hatásvizsgálatban javasoltak szerint). A tervek az Eurostat-adatok és a digitális gazdaság és társadalom fejlettségét mérő mutató alkalmazására is kiterjednek. E célból sor kerülhet Eurobarométer-különkiadás alkalmazására is.
•A javaslat egyes rendelkezéseinek részletes magyarázata
Az 1–3. cikk rögzíti a javaslat célját, a rendelet alkalmazási körét, valamint a rendeletben alkalmazott fogalmak meghatározását.
A 4. cikk meghatározza a nem személyes adatok Unión belüli szabad mozgásának elvét. Ez az elv tilt minden olyan adatlokalizálási követelményt, amelyet nem támasztanak alá közbiztonsági indokok. Emellett rendelkezik a meglévő követelmények felülvizsgálatáról, a fennmaradó vagy új követelményekről a Bizottságnak nyújtandó értesítésről, valamint az átláthatósági intézkedésekről.
Az 5. cikk célja annak biztosítása, hogy az illetékes hatóságok számára a szabályozási ellenőrzés elvégzéséhez rendelkezésre álljanak az adatok. Ennek érdekében a felhasználók nem tagadhatják meg az illetékes hatóságoktól az adatokhoz való hozzáférést azzal az indokkal, hogy az adattárolás vagy egyéb adatkezelés egy másik tagállamban történik. Miután az illetékes hatóság minden lehetséges módon megpróbált hozzáférést szerezni az adatokhoz, az érintett illetékes hatóság segítséget kérhet egy másik tagállam hatóságától, amennyiben nem létezik célzott együttműködési mechanizmus.
A 6. cikk megállapítja, hogy a Bizottság ösztönzi, hogy a szolgáltatók és a foglalkozásszerű felhasználók dolgozzanak ki és alkalmazzanak az adathordozás feltételeire – ezen belül a technikai és működési követelményekre – vonatkozó információkat részletező magatartási kódexeket, amelyeket a szolgáltatóknak a szerződések megkötése előtt kellően részletes, egyértelmű és átlátható módon a foglalkozásszerű felhasználók rendelkezésére kell bocsátaniuk. A Bizottság legkésőbb két évvel e rendelet alkalmazásának kezdete után ellenőrzi ezen magatartási kódexek kidolgozását és eredményes alkalmazását.
A 7. cikk értelmében minden tagállam kijelöl egy egyedüli kapcsolattartó pontot, amely e rendelet alkalmazásával összefüggésben biztosítja a kapcsolattartást a többi tagállam kapcsolattartó pontjaival és a Bizottsággal. A 7. cikk emellett az illetékes tagállamok közötti, 5. cikk szerinti segítségkérésre vonatkozó eljárási feltételekről is rendelkezik.
A 8. cikk szerint a Bizottság munkáját az adatok szabad áramlásával foglalkozó bizottság segíti, mely bizottság a 182/2011/EU rendelet értelmében vett bizottságnak minősül.
A 9. cikk a rendelet alkalmazásának kezdetétől számított öt éven belül elvégzendő felülvizsgálatról rendelkezik.
A 10. cikk értelmében a rendeletet a kihirdetését követő hat hónap elteltével kell alkalmazni.
2017/0228 (COD)
Javaslat
AZ EURÓPAI PARLAMENT ÉS A TANÁCS RENDELETE
a nem személyes adatok Európai Unióban való szabad áramlásának keretéről
AZ EURÓPAI PARLAMENT ÉS AZ EURÓPAI UNIÓ TANÁCSA,
tekintettel az Európai Unió működéséről szóló szerződésre és különösen annak 114. cikkére,
tekintettel az Európai Bizottság javaslatára,
a jogalkotási aktus tervezete nemzeti parlamenteknek való megküldését követően,
tekintettel az Európai Gazdasági és Szociális Bizottság véleményére 28 ,
tekintettel a Régiók Bizottságának véleményére 29 ,
rendes jogalkotási eljárás keretében,
mivel:
(1)A gazdaság digitalizálása gyorsul. Az információs és kommunikációs technológiák (IKT) már nem minősülnek külön ágazatnak, hanem a modern, innovatív gazdasági rendszerek és társadalmak alapját képezik. Az elektronikus adatok e rendszerek központi elemei, és elemzést követően vagy szolgáltatásokkal és termékekkel kombinálva nagyon értékesek lehetnek.
(2)Az adatértékláncok alapját az adatokkal végzett különböző tevékenységek képezik: az adatok létrehozása és gyűjtése; az adatok összesítése és rendszerezése; adattárolás és adatkezelés; az adatok elemzése, piaci értékesítése és forgalmazása; az adatok felhasználása és újrafelhasználása. Az adattárolás és az adatok más kezelésének hatékony és eredményes működése minden adatértékláncban alapvető építőelem. Ezt a hatékony és eredményes működést és az adatvezérelt gazdaság kialakulását az Unióban azonban két akadálytípus hátráltatja: az adatok mobilitásával és a belső piaccal kapcsolatos akadályok.
(3)Az Európai Unió működéséről szóló szerződésben szereplő letelepedés szabadsága és szolgáltatásnyújtás szabadsága az adattárolásra és más adatkezelési szolgáltatásokra is alkalmazandó. Ugyanakkor az említett szolgáltatások nyújtását olykor az adatok meghatározott területen való tárolására vonatkozó bizonyos nemzeti követelmények hátráltatják, illetve akadályozzák.
(4)Az adattárolás vagy más adatkezelési szolgáltatások szabad mozgása, illetve az adattárolást vagy más adatkezelési műveletet kínáló szolgáltatók letelepedési joga előtt álló akadályok a tagállamok nemzeti jogában foglalt arra vonatkozó követelményekből erednek, hogy az adatokat tárolás vagy más kezelés céljából adott földrajzi területen kell elhelyezni. Ezzel megegyező hatása van más konkrét követelményeket előíró szabályoknak vagy közigazgatási gyakorlatoknak, melyek megnehezítik az adatoknak az Unió egy adott földrajzi területén kívüli tárolását vagy más típusú kezelését. Ilyen követelmény lehet például, hogy egy adott tagállamban jóváhagyott vagy tanúsított technológiai létesítményeket kell használni. A jogszerű és jogszerűtlen adatlokalizálási előírásokkal kapcsolatos jogbizonytalanság tovább korlátozza a piaci szereplők és az állami szektor választási lehetőségeit az adatok tárolásának vagy más kezelésének helyét illetően.
(5)Az adatok Unión belüli mobilitását ugyanakkor magánjellegű korlátozások is akadályozzák: az adattárolási vagy más adatkezelési szolgáltatások felhasználóit jogi, szerződéses és technikai kérdések is gátolják vagy megakadályozzák abban, hogy átvigyék adataikat egyik szolgáltatótól egy másikhoz, vagy akár visszavigyék őket saját informatikai rendszerükbe, még akkor is, amikor lejár a szolgáltatóval kötött szerződésük.
(6)A jogbiztonság érdekében és az Unión belüli egyenlő versenyfeltételek szükségessége miatt a belső piac működése szempontjából kulcsfontosságú, hogy valamennyi piaci szereplőre egységes szabályozás vonatkozzon. Az eltérő tagállami szabályozásból eredő kereskedelmi akadályok és versenytorzulások megszüntetése, illetve a további valószínűsíthető kereskedelmi akadályok és jelentős versenytorzulások kialakulásának megelőzése érdekében tehát egységes, minden tagállamban alkalmazandó szabályok meghatározására van szükség.
(7)A nem személyes adatok Unión belüli szabad áramlása keretének megteremtése és az adatvezérelt gazdaság kialakításához szükséges alapok létrehozása, valamint az európai ipar versenyképessége fokozásának céljából egyértelmű, átfogó és kiszámítható jogi keretet kell kialakítani a személyes adatoktól eltérő adatok tárolásához és egyéb kezeléséhez a belső piacon. A tagállamok közötti együttműködésről és az önszabályozásról rendelkező, elvvezérlet megközelítésnek biztosítania kell, hogy a keret rugalmas legyen annyira, hogy képes legyen figyelembe venni az uniós felhasználók, szolgáltatók és nemzeti hatóságok igényeinek változásait. A meglévő mechanizmusokkal való átfedések kockázatának elkerülése érdekében, és ezáltal a tagállamokra és a vállalkozásokra háruló magasabb terhek elkerülése céljából nem kell részletes technikai szabályokat megállapítani.
(8)Ezt a rendeletet olyan jogi vagy természetes személyekre kell alkalmazni, akik az Unióban rezidens vagy letelepedett felhasználók számára nyújtanak adattárolási vagy egyéb adatkezelési szolgáltatásokat, ideértve azon szolgáltatókat is, akik az Unióban való letelepedés nélkül nyújtanak szolgáltatásokat az Unióban.
(9)Ez a rendelet nem érinti a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmét, különös tekintettel az (EU) 2016/679 rendeletre 30 , az (EU) 2016/680 irányelvre 31 , valamint a 2002/58/EK irányelvre 32 .
(10)Az (EU) 2016/679 rendelet szerint a tagállamok nem korlátozhatják vagy nem tilthatják meg a személyes adatok Unión belüli szabad áramlását a természetes személyeknek a személyes adatok kezelése tekintetében történő védelmével összefüggő okokból. Ez a rendelet ugyanezeket az elveket rögzíti a nem személyes adatok Unión belüli szabad mozgása tekintetében, kivéve, ha a korlátozás vagy a tiltás biztonsági okokkal indokolható.
(11)Ezt a rendeletet kell alkalmazni a legszélesebb értelemben vett adattárolásra és adatkezelésre, amely valamennyi típusú informatikai rendszer alkalmazását magában foglalja függetlenül attól, hogy az adattárolás és az adatok egyéb kezelése a felhasználó telephelyén történik, vagy kiszervezték-e ezeket a tevékenységeket egy szolgáltatóhoz. Ki kell terjednie a különböző intenzitási szintű adatkezelésre, az adattárolástól (Infrastructure-as-a-Service (IaaS)) az adatok platformokon (Platform-as-a-Service (PaaS)) vagy alkalmazásokban (Software-as-a-Service (SaaS)) történő feldolgozásáig. E különböző szolgáltatásoknak mind a rendelet hatálya alá kell tartozniuk, kivéve, ha az adattárolás vagy az egyéb adatkezelés egy másik típusú szolgáltatás pusztán járulékos része, például a szolgáltatók és a fogyasztók vagy üzleti felhasználók között közvetítőként biztosított online piactér esetében.
(12)Az adatlokalizálási előírások egyértelműen gátolják az adattárolási és egyéb adatkezelési szolgáltatások szabad nyújtását az Unióban és a belső piacon. Mint ilyenek, el kellene törölni őket, kivéve azokban az esetekben, amikor az adatlokalizálás az uniós jogszabályok szerint, különösen az Európai Unió működéséről szóló szerződés 52. cikke alapján közbiztonsági okokból indokolt, és megfelel az Európai Unióról szóló szerződés 5. cikkében szereplő arányosság elvének. Annak érdekében, hogy megvalósulhasson a nem személyes adatok határokon átnyúló szabad áramlásának elve, hogy biztosítható legyen a meglévő adatlokalizálási előírások gyors eltörlése, valamint hogy működtetési okokból lehetőség legyen az adattárolási és egyéb adatkezelési szolgáltatások Unión belüli, több helyszínen történő nyújtására, továbbá mivel e rendelet szabályozási ellenőrzés céljából az adatok hozzáférhetőségét biztosító intézkedésekről rendelkezik, a tagállamok a közbiztonságtól eltérő okokkal nem indokolhatják az adatlokalizálást.
(13)Annak érdekében, hogy biztosítsuk a nem személyes adatok határokon átnyúló szabad mozgása elvének hatékony alkalmazását, valamint hogy megelőzzük a belső piac zavartalan működését gátló új akadályok kialakulását, a tagállamoknak értesíteniük kell a Bizottságot minden olyan jogiaktus-tervezetről, amely új adatlokalizálási követelményt tartalmaz, vagy egy meglévő adatlokalizálási követelményt módosít. Ezeket az értesítéseket az (EU) 2015/1535 irányelvben 33 meghatározott eljárásnak megfelelően kell benyújtani és értékelni.
(14)Ezenkívül a meglévő potenciális akadályok megszüntetése céljából a tagállamoknak 12 hónapos átmeneti időszak során felül kell vizsgálniuk meglévő nemzeti adatlokalizálási előírásaikat, valamint értesíteniük kell a Bizottságot bármely olyan adatlokalizálási követelményről – és azok indokolásáról –, amelyeket e rendeletnek megfelelőnek tartanak. Ezen értesítések lehetővé kell, hogy tegyék a Bizottság számára bármely megmaradó adatlokalizálási követelmény megfelelőségének értékelését.
(15)Annak érdekében, hogy biztosítsuk a tagállamok adatlokalizálási követelményeinek átláthatóságát a természetes és jogi személyek számára, továbbá az adattárolási és egyéb adatkezelési szolgáltatások nyújtói és felhasználói számára, a tagállamoknak az ilyen intézkedéseket egyedüli online információs ponton kell közzétenniük és rendszeresen frissíteniük. A természetes és jogi személyek Unió-szerte hatályos adatlokalizálási követelményekről való megfelelő tájékoztatása érdekében a tagállamoknak értesíteniük kell a Bizottságot az ilyen online pontok címéről. A Bizottság ezen információkat közzéteszi saját weboldalán.
(16)Az adatlokalizálási követelmények hátterében gyakran az adatok határokon átnyúló tárolásába vagy egyéb kezelésébe vetett bizalom hiánya áll, mely abból a feltételezésből fakad, hogy így az adatok nem állnak majd a tagállamok illetékes hatóságainak rendelkezésére, például a szabályozási vagy felügyeleti ellenőrzések céljából folytatott vizsgálatokhoz és auditokhoz. Ezért a rendeletnek egyértelműen ki kell mondania, hogy nem sérti az illetékes hatóságok azon hatáskörét, hogy az uniós vagy nemzeti jognak megfelelően adatokhoz való hozzáférést kérjenek és kapjanak, valamint hogy az illetékes hatóságok adatokhoz való hozzáférése nem utasítható el azon az alapon, hogy az adatok tárolása vagy egyéb kezelése egy másik tagállamban történik.
(17)Azon természetes vagy jogi személyek, akik kötelesek adatokat szolgáltatni illetékes hatóságok részére, úgy felelhetnek meg az ilyen kötelezettségnek, hogy valós és időben történő elektronikus hozzáférést biztosítanak és garantálnak az adatokhoz az illetékes hatóságok számára, attól függetlenül, hogy az adatok tárolása vagy egyéb kezelése melyik tagállamban történik. Az ilyen hozzáférés a hozzáférés biztosítására kötelezett természetes vagy jogi személy és az adattárolási vagy egyéb adatkezelési szolgáltatást nyújtó szolgáltató közötti szerződésben szereplő konkrét feltételek útján biztosítható.
(18)Amennyiben az adatokhoz való hozzáférés biztosítására kötelezett természetes vagy jogi személy nem teljesíti e kötelezettségét, és feltéve, hogy az illetékes hatóság valamennyi alkalmazható eszköz lehetőségét kimerítette az ilyen adatokhoz való hozzáférés céljából, az illetékes hatóságnak lehetősége kell, hogy legyen segítséget kérni más tagállamok illetékes hatóságaitól. Az ilyen esetekben az illetékes hatóságoknak az uniós jog vagy nemzetközi megállapodások szerinti konkrét együttműködési eszközöket kell alkalmaznia, az adott ügy tárgyától függően, például a rendőrségi együttműködés, a büntető vagy polgári igazságszolgáltatás, illetve az igazgatási kérdések terén a 2006/960 kerethatározatot 34 , az Európai Parlament és a Tanács 2014/41/EU irányelvét 35 , az Európa Tanács számítástechnikai bűnözésről szóló egyezményét 36 , a Tanács 1206/2001/EK rendeletét 37 , a Tanács 2006/112/EK irányelvét 38 , illetve a Tanács (EU) 904/2010 rendeletét 39 . Ilyen meghatározott együttműködési mechanizmus hiányában az illetékes hatóságok együttműködnek egymással azzal a céllal, hogy a kijelölt egyedüli kapcsolattartó pontokon keresztül hozzáférést biztosítsanak a kért adatokhoz, kivéve ha ez ellentétes lenne a megkeresett tagállam közrendjével.
(19)Amennyiben egy segítségnyújtás iránti megkeresés következtében hozzáférés szükséges egy természetes vagy jogi személy épületéhez, ideértve az adattárolásra vagy egyéb adatkezelésre szolgáló berendezéshez és eszközhöz való hozzáférést, az ilyen hozzáférésnek összhangban kell állnia az Unió vagy a tagállam eljárási jogszabályaival, ideértve az előzetes bírói engedély megszerzésének követelményét is.
(20)Az akadálytalan adathordozhatóság alapvető eleme a felhasználók szabad választásának és az adattárolási és egyéb adatkezelési piacokon kialakuló tényleges versenynek. A határokon átnyúló adathordozhatóság valós vagy vélt nehézségei aláássák a foglalkozásszerű felhasználók határokon átnyúló ajánlatok elfogadásába vetett bizalmát, és ezáltal a belső piacba vetett bizalmukat is. Jóllehet a természetes személyek és a fogyasztók élvezik a jelenlegi uniós jogszabályok előnyeit, azok nem könnyítik meg a szolgáltatók közti váltás lehetőségét azon felhasználók számára, akik üzleti vagy szakmai tevékenységük folytatása során tennék ezt.
(21)A verseny által jellemzett környezet előnyeinek teljes mértékű kihasználása érdekében a foglalkozásszerű felhasználókat olyan helyzetbe kell hozni, hogy megalapozott döntéseket hozhassanak és könnyen összehasonlíthassák a belső piacon kínált különböző adattárolási és egyéb adatkezelési szolgáltatások egyedi összetevőit, ideértve az adathordozhatóságnak a szerződés megszüntetése esetén érvényes szerződéses feltételeit is. Azzal a céllal, hogy igazodni lehessen a piac innovációs potenciáljához, valamint figyelembe lehessen venni az adattárolási és egyéb adatkezelési szolgáltatások foglalkozásszerű felhasználóinak és szolgáltatóinak tapasztalatát és szakértelmét, a piaci szereplőknek önszabályozás útján meg kell határozniuk az adathordozhatóságra vonatkozó részletes információkat és működési követelményeket. A Bizottságnak akár szerződésifeltétel-mintákat is magukban foglaló magatartási kódexek formájában kell ösztönözni és elősegíteni az önszabályozást. Ugyanakkor, ha észszerű időn belül nem születnek ilyen magatartási kódexek és nem alkalmazzák őket hatékonyan, a Bizottságnak felül kell vizsgálnia a helyzetet.
(22)A tagállamok közötti zökkenőmentes együttműködés elősegítése érdekében minden tagállamnak ki kell jelölnie egy egyedüli kapcsolattartó pontot, amely e rendelet alkalmazásával összefüggésben biztosítja a kapcsolattartást a többi tagállam és a Bizottság kapcsolattartó pontjaival. Amennyiben az egyik tagállam illetékes hatósága egy másik tagállam segítségét kéri annak érdekében, hogy e rendelet alapján hozzáférést kapjon bizonyos adatokhoz, megfelelően indokolt kérelmet kell benyújtania a megkeresett tagállam kijelölt egyedüli kapcsolattartó pontjához, amelyben írásban ismerteti, hogy milyen indok és jogalap alapján kíván hozzáférni az adatokhoz. A segítségkérés céljából megkeresett tagállam által kijelölt egyedüli kapcsolattartó pontnak meg kell könnyítenie a hatóságok közötti segítségnyújtást azáltal, hogy azonosítja a megkeresett tagállam illetékes hatóságát és továbbítja a kérelmet az azonosított hatóságnak. A hatékony együttműködés biztosítása érdekében annak a hatóságnak, amelynek továbbították a kérelmet indokolatlan késedelem nélkül segítséget kell nyújtania az adott ügyben, vagy tájékoztatást kell nyújtania arról, hogy milyen nehézségekbe ütközik az adott kérés teljesítése vagy milyen indokok alapján tagadja meg a segítségnyújtást.
(23)A tagállamok illetékes hatóságai közötti segítségnyújtási eljárás hatékony alkalmazásának biztosítása érdekében a Bizottság végrehajtási jogi aktusokat fogadhat el a mintadokumentumokra, a kérelmek nyelvére, az időkorlátokra és a segítségnyújtási kérelmekkel összefüggő eljárások egyéb részleteire vonatkozóan. Ezeket a hatásköröket a 182/2011/EU európai parlamenti és tanácsi rendeletnek 40 megfelelően kell gyakorolni.
(24)A határokon átnyúló adattárolási vagy egyéb adatkezelési megoldásokba vetett bizalom erősödése nyomán a piaci szereplők és a közszféra várhatóan kevésbé lesz hajlamos arra, hogy adatlokalizálást alkalmazzon az adatbiztonság biztosítása érdekében. Az erősödő bizalom továbbá nagyobb jogbiztonságot fog nyújtani a vállalkozásoknak azzal kapcsolatban, hogy milyen biztonsági követelmények alkalmazandók adattárolási vagy egyéb adatkezelési tevékenységeik – többek között más tagállamokban működő szolgáltatóknak való – kiszervezése során.
(25)Az adatok más tagállamban végzett tárolására vagy egyéb kezelésére vonatkozóan is alkalmazni kell az adattároláshoz vagy egyéb adatkezelési tevékenységhez kapcsolódóan támasztott bármely olyan biztonsági követelményt, amelyet az érintett adatokat tulajdonló természetes vagy jogi személy lakóhelye vagy letelepedési helye szerinti tagállamban az uniós jog vagy a nemzeti jog alapján indokoltan és arányosan, az uniós jognak megfelelően alkalmaznak. Ezeknek a természetes vagy jogi személyeknek képesnek kell lenniük az ilyen követelmények teljesítésére saját erejükből vagy a szolgáltatókkal kötött szerződésekben szereplő rendelkezések révén.
(26) A nemzeti szinten meghatározott biztonsági követelményeknek szükségesnek kell lenniük és arányban kell állniuk az adattárolás vagy egyéb adatkezelés biztonságát azon nemzeti jog hatálya alá tartozó területen fenyegető kockázatok mértékével, amely az adott követelményeket meghatározza.
(27)Az (EU) 2016/1148 irányelv 41 olyan jogi intézkedésekről rendelkezik, amelyek elősegítik a kiberbiztonság általános szintjének emelkedését az egész Unióban. Az adattárolási és egyéb adatkezelési szolgáltatások az említett irányelv hatálya alá tartozó digitális szolgáltatások között szerepelnek. Az irányelv 16. cikke értelmében a tagállamok biztosítják, hogy a digitális szolgáltatók megfelelő és arányos műszaki és szervezési intézkedéseket határoznak és tesznek meg az általuk használt hálózati és információs rendszerek biztonságát fenyegető kockázatok kezelése érdekében. Ezeknek az intézkedéseknek a felmerülő kockázatnak megfelelő biztonsági szintet kell biztosítaniuk, és figyelembe kell venniük a következő elemeket: a rendszerek és a létesítmények biztonsága, a biztonsági események kezelése, üzletmenetfolytonosság-menedzsment, monitoring, ellenőrzés és vizsgálat, valamint a nemzetközi szabványoknak való megfelelés. Ezeket az elemeket a Bizottság említett irányelv értelmében elfogadott végrehajtási jogi aktusaiban részletesebben meg kell határozni.
(28)A Bizottságnak e rendelet rendelkezéseit időszakonként felül kell vizsgálnia, különösen annak megállapítása céljából, hogy a technológiai és piaci feltételek változásai tükrében szükség van-e azok módosítására.
(29)Ez a rendelet tiszteletben tartja a különösen az Európai Unió Alapjogi Chartája által elismert alapvető jogokat és szem előtt tartja az abban rögzített elveket, és ezen jogokkal és elvekkel – különösen a személyes adatok védelmének jogával (8. cikk), a vállalkozás szabadságával (16. cikk), valamint a véleménynyilvánítás és a tájékozódás szabadságával (11. cikk) – összhangban kell értelmezni és alkalmazni.
(30)Mivel e rendelet célját, nevezetesen a nem személyes adatok Európai Unióban való szabad mozgását, a tagállamok nem tudják kielégítően megvalósítani, ezzel szemben, terjedelme és hatása miatt az Unió szintjén jobban megvalósítható, az Unió intézkedéseket hozhat az Európai Unióról szóló szerződés 5. cikkében foglalt szubszidiaritás elvének megfelelően. Az említett cikkben foglalt arányosság elvének megfelelően ez a rendelet nem lépi túl az e cél eléréséhez szükséges mértéket.
ELFOGADTA EZT A RENDELETET:
1. cikk
Tárgy
Ez a rendelet biztosítani kívánja a személyes adatoktól eltérő adatok Unión belüli szabad mozgását azáltal, hogy meghatározza az adatlokalizálási követelményekkel, az adatok illetékes hatóságok számára való rendelkezésre állásával, valamint a foglalkozásszerű felhasználók által végzett adathordozással kapcsolatos szabályokat.
2. cikk
Hatály
(1)Ez a rendelet a személyes adatoktól eltérő elektronikus adatok Unióban végzett tárolásának vagy egyéb kezelésének azon eseteire alkalmazandó, amikor:
a)az adattárolási vagy egyéb adatkezelési tevékenységet szolgáltatásként nyújtják az Unióban lakóhellyel vagy letelepedési hellyel rendelkező felhasználók számára, függetlenül attól, hogy a szolgáltató letelepedett-e az Unióban vagy sem, vagy
b)az adattárolási vagy egyéb adatkezelési tevékenységet az Unióban lakóhellyel vagy letelepedési hellyel rendelkező természetes vagy jogi személy végzi saját szükségleteinek kielégítése érdekében.
(2)Ez a rendelet az uniós jog hatályán kívül eső tevékenységekre nem alkalmazandó.
3. cikk
Fogalommeghatározások
E rendelet alkalmazásában:
1.„adat”: az (EU) 2016/679 rendelet 4. cikkének (1) bekezdésében meghatározott személyes adatoktól eltérő adat;
2.„adattárolás”: az adatok bármilyen, elektronikus formában történő tárolása;
3.„jogiaktus-tervezet”: általános jellegű törvényi, rendeleti vagy közigazgatási rendelkezésként történő hatályba helyezésre szánt szöveg, amelynek kidolgozása olyan szakaszban van, hogy az még lehetővé teszi az értesítő tagállam általi érdemi módosításokat;
4.„szolgáltató”: adattárolási vagy egyéb adatkezelési szolgáltatásokat kínáló természetes vagy jogi személy;
5.„adatlokalizálási követelmény”: bármely olyan, tagállami törvényben, rendeletben vagy közigazgatási rendelkezésben meghatározott kötelezettség, tilalom, feltétel, korlátozás vagy más követelmény, amely előírja, hogy az adattárolási vagy az egyéb adatkezelési tevékenységeket egy adott tagállam területén kell végezni, vagy akadályozza, hogy az adattárolás vagy egyéb adatkezelés bármely más tagállamban történjen.
6.„illetékes hatóság”: egy tagállam azon hatósága, amely a nemzeti vagy uniós jognak megfelelően hivatali kötelezettségei teljesítése érdekében jogosult hozzáférést szerezni a természetes vagy jogi személyek által tárolt vagy kezelt adatokhoz;
7.„felhasználó”: adattárolási vagy egyéb adatkezelési szolgáltatásokat használó vagy igénylő természetes vagy jogi személy;
8.„foglalkozásszerű felhasználó”: olyan természetes vagy jogi személy – ideértve a közszektorbeli szervezeteket is –, amely kereskedelmi, üzleti, kézműipari, szakmai tevékenységéhez vagy feladataihoz kapcsolódóan használ vagy igényel adattárolási vagy egyéb adatkezelési szolgáltatásokat.
4. cikk
Az adatok Unión belüli szabad mozgása
(1)Az Unión belüli adattárolás és egyéb adatkezelés helyszíne nem korlátozható egy adott tagállam területére, és a más tagállamban történő adattárolás vagy egyéb adatfeldolgozás kizárólag közbiztonsági indokok alapján tiltható vagy korlátozható.
(2)A tagállamoknak az (EU) 2015/1535 irányelvet átültető nemzeti jogszabályokban meghatározott eljárásokkal összhangban értesíteniük kell a Bizottságot minden olyan jogiaktus-tervezetről, amely új adatlokalizálási követelményt vezet be, vagy egy meglévő adatlokalizálási követelményt módosít.
(3)A tagállamoknak az e rendelet alkalmazásának kezdetétől számított 12 hónapon belül biztosítaniuk kell minden olyan adatlokalizálási követelmény hatályon kívül helyezését, amely nem felel meg az (1) bekezdésben foglalt előírásoknak. Amennyiben egy tagállam úgy véli, hogy egy adatlokalizálási követelmény megfelel az (1) bekezdésnek és ezért hatályban maradhat, akkor erről az intézkedésről értesítenie kell a Bizottságot, megindokolva a követelmény hatályban tartását.
(4)A tagállamoknak a területükön alkalmazandó bármely adatlokalizálási követelményekről részletes, online elérhető információkat kell közzétenniük egy egyedüli online információs ponton, és ezeket az információkat rendszeresen frissíteniük kell.
(5)A tagállamok tájékoztatják a Bizottságot arról, hogy milyen címen érhető el a (4) bekezdésben említett egyedüli online információs pontjuk. A Bizottság az ezekhez az információs pontokhoz vezető hivatkozásokat közzéteszi a honlapján.
5. cikk
Az adatok rendelkezésre állása az illetékes hatóságok számára
(1)E rendelet nem érinti az illetékes hatóságok azon jogát, hogy az uniós vagy nemzeti jognak megfelelően adatokhoz való hozzáférést kérjenek és kapjanak hivatali kötelezettségeik teljesítése érdekében. Azzal az indokkal, hogy az adattárolás vagy egyéb adatkezelés egy másik tagállamban történik, nem tagadható meg az adatokhoz való hozzáférés az illetékes hatóságoktól.
(2)Amennyiben az illetékes hatóság minden lehetséges módon megpróbált hozzáférést szerezni az adatokhoz, a 7. cikkben meghatározott eljárásnak megfelelően segítséget kérhet egy másik tagállam illetékes hatóságától, és a megkeresett illetékes hatóságnak a 7. cikkben meghatározott eljárással összhangban segítséget kell nyújtania, kivéve, ha az ellentétes a megkeresett tagállam közrendjével.
(3)Amennyiben a segítségkérés keretében a kérelmező hatóság hozzáférést kér egy természetes vagy jogi személy bármilyen létesítményéhez – beleértve az adattárolási vagy egyéb adatkezelési eszközöket vagy módokat –, akkor a kért hozzáférésnek meg kell felelnie az uniós vagy tagállami eljárásjognak.
(4)A (2) bekezdés csak akkor alkalmazandó, ha az uniós jogban vagy nemzetközi megállapodások keretében nem létezik célzott együttműködési mechanizmus a különböző tagállamok illetékes hatóságai közötti együttműködésre.
6. cikk
Adathordozás
(1)A Bizottság ösztönzi és segíti önszabályozás révén létrejövő uniós szintű magatartási kódexek kidolgozását a szolgáltatóváltás megkönnyítésének bevált módszereiről szóló iránymutatások meghatározása, valamint annak biztosítása érdekében, hogy az említett iránymutatások az adattárolásról vagy adatkezelésről szóló szerződések megkötése előtt kellően részletes, egyértelmű és átlátható információt nyújtsanak a foglalkozásszerű felhasználóknak a következő kérdésekkel kapcsolatban:
a)az alkalmazandó folyamatok, technikai követelmények, időkeretek és terhek – beleértve az adatokról készült bármely biztonsági másolathoz kapcsolódó folyamatokat és azok helyét, a rendelkezésre álló adatformátumokat és adathordozókat, a szükséges IT-konfigurációt és a minimális sávszélességet – abban az esetben, ha egy foglalkozásszerű felhasználó az adatait egyik szolgáltatótól egy másikhoz kívánja átvinni vagy saját informatikai rendszerébe szeretné visszavinni; az adathordozási folyamat megkezdése előtt szükséges idő, valamint az az időtartam, amely alatt az adatok hordozhatóak maradnak; azok a garanciák, amelyek biztosítják az adatokhoz való hozzáférést a szolgáltató csődje esetén, valamint
b)az adatok strukturált, általánosan használt és géppel olvasható formátumban történő áthelyezésére vagy hordozására vonatkozó operatív követelmények, amelyek elegendő időt biztosítanak a felhasználónak az adatok áthelyezésére vagy hordozására.
(2)A Bizottság ösztönzi a szolgáltatókat arra, hogy e rendelet alkalmazásának kezdetétől számítva egy éven belüli ténylegesen hajtsák végre az (1) bekezdésben említett magatartási kódexekben foglaltakat.
(3)A Bizottság legkésőbb két évvel e rendelet alkalmazásának kezdete után ellenőrzi e magatartási kódexek kidolgozását és eredményes végrehajtását, valamint a szolgáltatók általi információnyújtás tényleges megtörténtét.
7. cikk
Egyedüli kapcsolattartó pont
(1)Minden tagállam kijelöl egy egyedüli kapcsolattartó pontot, amely e rendelet alkalmazásával összefüggésben biztosítja a kapcsolattartást a többi tagállam kapcsolattartó pontjaival és a Bizottsággal. A tagállamok értesítik a Bizottságot a kijelölt egyedüli kapcsolattartó pontról és annak a kijelölést követő bármilyen változásáról.
(2)A tagállamok biztosítják, hogy az egyedüli kapcsolattartó pontok rendelkezzenek az e rendelet alkalmazásához szükséges erőforrásokkal.
(3)Amennyiben az egyik tagállam illetékes hatósága egy másik tagállam segítségét kéri annak érdekében, hogy az 5. cikk (2) bekezdése alapján hozzáférést kapjon bizonyos adatokhoz, megfelelően indokolt kérelmet nyújt be az utóbbi tagállam kijelölt egyedüli kapcsolattartó pontjához, amelyben írásban ismerteti, hogy milyen indok és jogalap alapján kíván hozzáférni az adatokhoz.
(4)Az egyedüli kapcsolattartó pont azonosítja a saját tagállama érintett illetékes hatóságát és a beérkezett kérelmet a (3) bekezdésnek megfelelően továbbítja az azonosított illetékes hatósághoz. Az így megkeresett hatóság indokolatlan késedelem nélkül
a)válaszol a kérelmet benyújtó illetékes hatóságnak és válaszáról értesíti az egyedüli kapcsolattartó pontot, valamint
b)tájékoztatja az egyedüli kapcsolattartó pontot és a kérelmet benyújtó illetékes hatóságot bármely esetleges nehézségről vagy – a kérelem elutasítása vagy a kérés részleges teljesítése esetén – az elutasítás vagy a részleges teljesítés indokáról.
(5)Az 5. cikk (2) bekezdése szerint kért és nyújtott segítségnyújtás keretében átadott bármely információ kizárólag abban az ügyben használható fel, amellyel kapcsolatban kérték.
(6)A Bizottság végrehajtási jogi aktusokat fogadhat el a mintadokumentumokra, a kérelmek nyelvére, az időkorlátokra és a segítségnyújtási kérelmekkel összefüggő eljárások egyéb részleteire vonatkozóan. Ezeket a végrehajtási jogi aktusokat a 8. cikkben említett eljárással összhangban kell elfogadni.
8. cikk
A bizottság
(1)A Bizottság munkáját az adatok szabad áramlásával foglalkozó bizottság segíti. Ez a bizottság a 182/2011/EU rendelet értelmében vett bizottságnak minősül.
(2)Az e bekezdésre történő hivatkozáskor a 182/2011/EU rendelet 5. cikkét kell alkalmazni.
9. cikk
Felülvizsgálat
(1)A Bizottság legkésőbb [a 10. cikk (2) bekezdésében említett dátumtól számított 5 év]-ig elvégzi e rendelet felülvizsgálatát és a főbb megállapításokról jelentést nyújt be az Európai Parlamentnek, a Tanácsnak és az Európai Gazdasági és Szociális Bizottságnak.
(2)A tagállamok az (1) bekezdésben említett jelentés elkészítéséhez szükséges információkat a Bizottság rendelkezésére bocsátják.
10. cikk
Záró rendelkezések
(1)Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.
(2)Ezt a rendeletet a kihirdetését követő hat hónap elteltével kell alkalmazni
Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.
Kelt Brüsszelben, -án/-én.
az Európai Parlament részéről a Tanács részéről
az elnök az elnök
IDC és Open Evidence: European Data Market, Final Report (Az európai adatpiac – Végleges jelentés), 2017. február 1. (SMART 2013/0063).
További gazdasági bizonyítékok gyűjtése érdekében tanulmány készült a felhőalapú számítástechnika európai gazdasági hatásáról (SMART 2014/0031, Deloitte, „Measuring the economic impact of cloud computing in Europe” (A számítási felhő gazdasági hatásának mérése Európában), 2016).