(1)

ekonomika vis sparčiau skaitmeninama. Informacinės ir ryšių technologijos – jau ne atskiras sektorius, o visų modernių novatoriškų ekonomikos ir visuomenės sistemų pamatas. Tose sistemose svarbiausi yra elektroniniai duomenys, kurie gali sukurti didelę vertę juos nagrinėjant arba sujungiant su paslaugomis ar prekėmis. Tuo pat metu sparti duomenų ekonomikos plėtra ir naujos technologijos, kaip antai dirbtinis intelektas, daiktų interneto produktai ir paslaugos, autonominės sistemos ir 5G kelia naujų teisinių klausimų, susijusių su prieiga prie duomenų ir jų pakartotiniu naudojimu, atsakomybe, etika ir solidarumu. Turėtų būti svarstomas darbas atsakomybės klausimu, visų pirma įgyvendinant savireguliavimo kodeksus ir kitą geriausią praktiką, atsižvelgiant į rekomendacijas, sprendimus ir veiksmus, kurių imamasi be žmogaus įsikišimo visoje duomenų tvarkymo vertės grandinėje. Atliekant tokį darbą taip pat galėtų būti įtraukiami tinkami mechanizmai dėl atsakomybės nustatymo, dėl atsakomybės perdavimo tarp bendradarbiaujančių tarnybų, dėl draudimo ir dėl audito;

(2)

duomenų vertės grandinės sudarytos iš įvairių veiksmų su duomenimis: duomenų kūrimo ir rinkimo; duomenų agregavimo ir organizavimo; duomenų tvarkymo; duomenų analizės, pardavimo ir skirstymo; duomenų naudojimo ir pakartotinio naudojimo. Tačiau veiksmingai ir efektyviai tvarkyti duomenis ir Sąjungoje sukurti duomenų ekonomiką visų pirma trukdo dvi duomenų judėjimą ir vidaus rinką varžančios kliūtys: valstybių narių institucijų nustatyti duomenų vietos reikalavimai ir privačiajame sektoriuje esanti susaistymo su pardavėju praktika;

(3)

įsisteigimo laisvė ir paslaugų teikimo laisvė duomenų tvarkymo paslaugoms taikoma pagal Sutartį dėl Europos Sąjungos veikimo (toliau – SESV). Tačiau tų paslaugų teikimui yra sudaromos kliūtys arba kartais užkertamas kelias jas teikti dėl nustatytų tam tikrų nacionalinių, regioninių ar vietos reikalavimų duomenis laikyti konkrečioje teritorijoje;

(4)

tokios kliūtys laisvam duomenų tvarkymo paslaugų teikimui ir paslaugų teikėjų steigimosi teisei kilo dėl valstybių narių teisės aktų reikalavimų, kad duomenų tvarkymo tikslais duomenys turi būti laikomi konkrečioje geografinėje vietovėje arba teritorijoje. Panašų poveikį sukelia ir kitos taisyklės ar administracinė praktika, kuriomis nustatomi konkretūs reikalavimai, dėl kurių sunku duomenis tvarkyti už konkrečios Sąjungos geografinės vietovės arba teritorijos ribų, kaip antai, reikalavimas naudoti tam tikros valstybės narės sertifikuotas ir patvirtintas technines priemones. Teisinio tikrumo dėl teisėto ar neteisėto duomenų vietos reikalavimų apimties nebuvimas dar labiau apriboja rinkos dalyvių ir viešojo sektoriaus pasirinkimo galimybes dėl duomenų tvarkymo vietos. Šiuo reglamentu jokiu būdu nevaržoma verslininkų laisvė sudaryti sutartis, kuriose nurodoma, kur turi būti saugomi duomenys. Šiuo reglamentu tik norima apsaugoti tą laisvę užtikrinant, kad sutarta vieta galėtų būti bet kurioje Sąjungos vietoje;

(5)

tuo pačiu metu, duomenims judėti Sąjungoje trukdo ir privačiajame sektoriuje nusistatomi apribojimai: teisinės, sutartinės ir techninės nuostatos kliudo arba užkerta kelią duomenų tvarkymo paslaugų naudotojams savo duomenis persikelti iš vieno paslaugų teikėjo pas kitą paslaugų teikėją arba atgal į nuosavas informacinių technologijų sistemas, net kai yra pasibaigęs sutarties su paslaugų teikėju galiojimas;

(6)

dėl visų tų kliūčių nebėra konkurencijos tarp Sąjungos debesijos kompiuterijos paslaugų teikėjų, kyla įvairių susaistymo su pardavėjais problemų ir labai trūksta duomenų judumo. Be to, duomenų vietos nustatymo politika pakenkė mokslinių tyrimų ir technologinės plėtros bendrovių gebėjimams sudaryti palankias sąlygas įmonių, universitetų ir kitų mokslinių tyrimų organizacijų bendradarbiavimui siekiant skatinti inovacijų diegimą;

(7)

teisinio tikrumo sumetimais ir dėl poreikio užtikrinti vienodas veiklos sąlygas Sąjungoje, visiems rinkos dalyviams skirtas bendras taisyklių rinkinys yra vienas iš pagrindinių veiksnių vidaus rinkos veikimui užtikrinti. Siekiant pašalinti kliūtis prekybai ir konkurencijos iškraipymus, kuriuos sukelia nacionalinių įstatymų skirtumai, taip pat neleisti rastis kitoms galimoms kliūtims prekybai ir reikšmingiems konkurencijos iškraipymams, būtina priimti visose valstybėse narėse taikytinas vienodas taisykles;

(8)

šiuo reglamentu nedaromas poveikis teisiniam pagrindui dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl teisės į privatų gyvenimą ir asmens duomenų apsaugos elektroninių ryšių sektoriuje, ir visų pirma Europos Parlamento ir Tarybos reglamentui (ES) 2016/679 (3) ir Europos Parlamento ir Tarybos direktyvoms (ES) 2016/680 (4) ir 2002/58/EB (5);

(9)

besiplečiantis daiktų internetas, dirbtinis intelektas ir mašinų mokymasis yra svarbūs ne asmens duomenų šaltiniai, pavyzdžiui, dėl jų diegimo automatizuotuose pramonės gamybos procesuose. Konkretūs ne asmens duomenų pavyzdžiai: suvestiniai ir anonimizuoti duomenų rinkiniai, naudojami didžiųjų duomenų analizei, duomenys apie tikslųjį ūkininkavimą, kurie gali padėti stebėti ir optimizuoti pesticidų ir vandens naudojimą, arba duomenys apie pramonės mašinų techninės priežiūros poreikius. Jei dėl technologijų pokyčių anonimizuotus duomenis tampa įmanoma paversti asmens duomenimis, tokie duomenys turi būti laikomi asmens duomenimis ir atitinkamai turi būti taikomas Reglamentas (ES) 2016/679;

(10)

pagal Reglamentą (ES) 2016/679 valstybėms narėms negalima riboti arba uždrausti laisvo asmens duomenų judėjimo Sąjungoje dėl priežasčių, susijusių su fizinių asmenų apsauga tvarkant asmens duomenis. Šiuo reglamentu nustatomas toks pats laisvo ne asmens duomenų judėjimo Sąjungoje principas, išskyrus kai duomenų judėjimo apribojimas arba draudimas yra pateisinamas su visuomenės saugumu susijusiomis priežastimis. Reglamente (ES) 2016/679 ir šiame reglamente nustatytas darnus taisyklių rinkinys, reglamentuojantis laisvą įvairių rūšių duomenų judėjimą. Be to, šiuo reglamentu nenustatoma pareiga atskirai saugoti įvairių rūšių duomenis;

(11)

siekiant nustatyti laisvo ne asmens duomenų judėjimo Sąjungoje pagrindus ir suteikti pamatą plėtoti duomenų ekonomiką bei didinti Sąjungos pramonės konkurencingumą, būtina nustatyti aiškų, išsamų ir nuspėjamą duomenų, išskyrus asmens duomenis, tvarkymo vidaus rinkoje teisinį pagrindą. Remiantis požiūriu, grindžiamu valstybių narių bendradarbiavimo ir savitvarkos principais, turėtų būti užtikrinta, kad tas pagrindas būtų pakankamai lankstus, jog būtų atsižvelgta į kintančius naudotojų, paslaugų teikėjų ir nacionalinių institucijų poreikius Sąjungoje. Siekiant išvengti esamų mechanizmų dubliavimo pavojaus, ir taip išvengiant didesnės naštos ir valstybėms narėms, ir verslininkams, nereikėtų nustatyti išsamių techninių taisyklių;

(12)

šiuo reglamentu neturėtų būti daromas poveikis duomenų tvarkymui, jeigu jis yra veiklos, kuri nepatenka į Sąjungos teisės taikymo sritį, dalis. Visų pirma, turėtų būti priminta, kad pagal Europos Sąjungos sutarties (toliau – ES sutartis) 4 straipsnį kiekviena valstybė narė yra išimtinai atsakinga už savo nacionalinį saugumą;

(13)

laisvas duomenų judėjimas Sąjungoje atliks svarbų vaidmenį užtikrinant duomenimis grindžiamą ekonomikos augimą ir inovacijas. Valstybių narių valdžios institucijoms ir viešosios teisės reglamentuojamiems subjektams, kaip ir įmonėms bei vartotojams, naudinga turėti daugiau laisvės pasirinkti duomenimis grindžiamų paslaugų teikėjus, turėti konkurencingesnes kainas ir efektyvesnį paslaugų teikimą piliečiams. Atsižvelgiant į tai, kad valdžios institucijos ir viešosios teisės reglamentuojami subjektai tvarko didelius duomenų kiekius, labai svarbu, kad naudodamos duomenų tvarkymo paslaugas jos rodytų pavyzdį ir nesiimtų duomenų vietos apribojimo priemonių naudojantis duomenų tvarkymo paslaugomis. Todėl šis reglamentas turėtų būti taikomas valdžios institucijoms bei viešosios teisės reglamentuojamiems subjektams. Šiuo atžvilgiu šiame reglamente numatytas laisvas ne asmens duomenų judėjimo principas turėtų būti taip pat taikomas bendrajai ir nuosekliai administracinei praktikai ir kitiems duomenų vietos reikalavimams viešųjų pirkimų srityje nedarant poveikio Europos Parlamento ir Tarybos direktyvai 2014/24/ES (6);

(14)

kaip ir Direktyvos 2014/24/ES atveju, šiuo reglamentu nedaromas poveikis valstybių narių įstatymams ir kitiems teisės aktams, kurie susiję su valstybių narių vidaus organizavimu ir pagal kuriuos valdžios institucijoms ir viešosios teisės reglamentuojamiems subjektams suteikiami duomenų tvarkymo įgaliojimai ir pareigos be privačių šalių atlygio pagal sutartį, taip pat valstybių narių įstatymams ir kitiems teisės aktams, kuriuose numatomas tų įgaliojimų ir pareigų įgyvendinimas. Nors valdžios institucijos ir viešosios teisės reglamentuojami subjektai skatinami atsižvelgti į ekonominę ir kitą užsakomųjų paslaugų perdavimo išorės paslaugų teikėjams teikiamą naudą, jie gali turėti pagrįstų priežasčių pasirinkti sau paslaugas teikti patiems arba naudojantis vidaus ištekliais. Todėl nė viena šio reglamento nuostata neįpareigoja valstybių narių sudaryti paslaugų, kurias jos nori teikti pačios, teikimo sutarčių arba naudotis išorės paslaugomis, arba paslaugų teikimą organizuoti kitu būdu nei sudarant viešąsias sutartis;

(15)

šis reglamentas turėtų būti taikomas fiziniams arba juridiniams asmenims, kurie duomenų tvarkymo paslaugas teikia Sąjungoje gyvenantiems arba įsisteigusiems naudotojams, įskaitant tuos, kurie duomenų tvarkymo paslaugas teikia Sąjungoje nebūdami įsisteigę Sąjungoje. Todėl šis reglamentas neturėtų būti taikomas ne Sąjungoje teikiamoms duomenų tvarkymo paslaugoms ir su tokiais duomenimis susijusiems duomenų vietos reikalavimams;

(16)

šiuo reglamentu nenustatomos taisyklės, susijusios su taikytinos teisės nustatymu komercinėse bylose, todėl šiuo reglamentu nedaromas poveikis Europos Parlamento ir Tarybos reglamentui (EB) Nr. 593/2008 (7). Visų pirma, jeigu sutarčiai taikytina teisė nebuvo pasirinkta pagal tą reglamentą, paslaugų teikimo sutartį iš esmės reglamentuoja valstybės, kurioje yra paslaugų teikėjo įprastinė gyvenamoji vieta, teisė;

(17)

šis reglamentas turėtų būti taikomas plačiausiąja duomenų tvarkymo prasme, todėl jis siejamas su visų rūšių informacinių technologijų sistemų, kurias naudotojas turi savo patalpose arba kurias perka iš duomenų tvarkymo paslaugų teikėjo, naudojimu. Jis turėtų būti taikomas įvairaus intensyvumo duomenų tvarkymui – nuo duomenų saugojimo (paslauga – infrastruktūra) iki duomenų apdorojimo platformose (paslauga – platforma) arba taikomosiomis programomis (paslauga – programinė įranga);

(18)

duomenų vietos reikalavimai yra aiški kliūtis laisvam duomenų tvarkymo paslaugų teikimui visoje Sąjungoje ir vidaus rinkai. Tuo remiantis jie turėtų būti uždrausti, nebent jų taikymą galima pagrįsti visuomenės saugumo priežastimis, kaip apibrėžta Sąjungos teisėje, ypač SESV 52 straipsnio prasme, ir jie turi atitikti ES sutarties 5 straipsnyje įtvirtintą proporcingumo principą. Kad būtų taikomas tarpvalstybinio laisvo ne asmens duomenų judėjimo principas, sparčiai šalinami galiojantys duomenų vietos reikalavimai ir atsirastų galimybė, remiantis veiklos motyvais, duomenis tvarkyti keliose vietose visoje Sąjungoje, ir kadangi šiame reglamente numatytomis priemonėmis užtikrinama prieiga prie duomenų reguliavimo kontrolės tikslais, valstybės narės, pagrįsdamos duomenų vietos reikalavimus, turėtų galėti remtis tik visuomenės saugumu;

(19)

visuomenės saugumo sąvoka, kaip apibrėžta SESV 52 straipsnyje ir kaip išaiškinta Teisingumo Teismo, apima tiek valstybės narės vidaus, tiek išorės saugumą, tiek visuomenės saugumo klausimus, tam, kad, visų pirma, būtų sudarytos sąlygos vykdyti nusikalstamų veikų tyrimą, atskleidimą ir baudžiamąjį persekiojimą už jas. Tokiu būdu daroma prielaida, kad kyla tikra ir pakankamai rimta grėsmė vienam iš pagrindinių visuomenės interesų, kaip antai grėsmė institucijų veikimui ir esminių viešųjų paslaugų teikimui bei gyventojų išlikimui, taip pat kyla pavojus, jog bus rimtai sutrikdyti išorės santykiai, arba pavojus taikiam tautų sambūviui, arba grėsmė kariniams interesams. Laikantis proporcingumo principo duomenų vietos reikalavimai, grindžiami visuomenės saugumo priežastimis, turėtų būti tinkami siekiamam tikslui įgyvendinti ir neturėtų viršyti to, kas būtina tam tikslui pasiekti;

(20)

kad tarpvalstybinio laisvo ne asmens duomenų judėjimo principas būtų taikomas veiksmingai ir būtų užkirstas kelias kurti naujas kliūtis sklandžiam vidaus rinkos veikimui, valstybės narės turėtų Komisijai nedelsiant pateikti visus teisės aktų projektus, kuriais nustatomas naujas arba keičiamas galiojantis duomenų vietos reikalavimas. Tie teisės aktų projektai turėtų būti teikiami ir vertinami pagal Europos Parlamento ir Tarybos direktyvą (ES) 2015/1535 (8);

(21)

be to, kad būtų pašalintos tikėtinos esamos kliūtys, valstybės narės turėtų pereinamuoju 24 mėnesių laikotarpiu nuo šio reglamento taikymo pradžios datos peržiūrėti galiojančius bendro pobūdžio įstatymus ir kitus teisės aktus, kuriais nustatomi duomenų vietos reikalavimai ir visus tokius, jų manymų, šį reglamentą atitinkančius duomenų vietos reikalavimus kartu su jų nustatymo pagrindimu pateikti Komisijai. Tuo remdamasi Komisija turėtų galėti išnagrinėti paliktų galioti duomenų vietos reikalavimų tinkamumą. Komisija turėtų galėti, kai tinkama, atitinkamai valstybei narei teikti pastabas. Į tokias pastabas turėtų būti įtraukta rekomendacija iš dalies pakeisti arba panaikinti duomenų vietos reikalavimą;

(22)

šiuo reglamentu nustatytos pareigos pateikti Komisijai esamus duomenų vietos reikalavimus ir aktų projektus turėtų būti taikomos teisės aktais nustatytiems duomenų vietos reikalavimams ir bendro pobūdžio teisės aktų projektams, o ne konkrečiam fiziniam ar juridiniam asmeniui skirtiems sprendimams;

(23)

kad fiziniams ir juridiniams asmenims, kaip antai paslaugų teikėjams ir duomenų tvarkymo naudotojams, būtų užtikrintas valstybių narių duomenų vietos reikalavimų, nustatytų bendro pobūdžio įstatyme ar kitame teisės akte, skaidrumas, valstybės narės informaciją apie tokius reikalavimus turėtų skelbti per nacionalinį bendrąjį informacijos elektroninėmis priemonėmis centrą ir nuolat atnaujinti tą informaciją. Alternatyviai valstybės narės turėtų teikti atnaujintą informaciją apie tokius reikalavimus centriniam informacijos centrui, įsteigtam pagal kitą Sąjungos aktą. Kad fiziniai ir juridiniai asmenys būtų tinkamai informuojami apie duomenų vietos reikalavimus visoje Sąjungoje, valstybės narės Komisijai turėtų pateikti tokių bendrųjų informacijos centrų adresus. Komisija šią informaciją turėtų skelbti savo interneto svetainėje kartu su reguliariai atnaujinamu visų duomenų vietos reikalavimų, galiojančių valstybėse narėse, suvestiniu sąrašu, į kurį būtų įtraukta apibendrinta informacija apie tuos reikalavimus;

(24)

duomenų vietos reikalavimai dažnai atsiranda dėl pasitikėjimo tarpvalstybiniu duomenų tvarkymu stygiaus, dėl tariamo duomenų nebuvimo valstybių narių kompetentingų institucijų vykdomų veiksmų tikslais, kaip antai patikrinimui ir auditui reguliavimo arba priežiūros kontrolės tikslais. Tokio pasitikėjimo stygiaus negalima išspręsti vien tuo, kad sutarties sąlygos, pagal kurias kompetentingoms institucijoms neleidžiama teisėtai susipažinti su duomenimis atliekant savo oficialias pareigas, laikomos negaliojančiomis. Todėl šiame reglamente turėtų būti aiškiai nustatyta, kad juo nedaromas poveikis kompetentingų institucijų įgaliojimams prašyti prieigos prie duomenų arba ją gauti pagal Sąjungos arba nacionalinės teisės aktus ir kad negalima atsisakyti suteikti kompetentingoms institucijoms prieigos prie duomenų tuo pagrindu, kad duomenys tvarkomi kitoje valstybėje narėje. Kompetentingos institucijos galėtų nustatyti funkcinius reikalavimus, kuriais būtų remiama prieiga prie duomenų, kaip antai reikalavimą, kad sistemos aprašai turi būti saugomi atitinkamoje valstybėje narėje;

(25)

fiziniai arba juridiniai asmenys, kuriems taikoma pareiga pateikti duomenis kompetentingai institucijai, gali tokias pareigas įvykdyti teikdami ir užtikrindami kompetentingoms institucijoms veiksmingą ir laiku teikiamą elektroninę prieigą prie duomenų, nesvarbu, kurios valstybės narės teritorijoje duomenys yra tvarkomi. Tokia prieiga gali būti užtikrinama konkrečiomis nuostatomis, įrašomomis į fizinio arba juridinio asmens, kuriam taikoma pareiga suteikti prieigą, ir paslaugų teikėjo sudaromas sutartis;

(26)

jei fizinis arba juridinis asmuo, kuriam taikoma pareiga pateikti duomenis, tos pareigos nevykdo, kompetentinga institucija turėtų turėti galimybę kreiptis pagalbos į kompetentingą instituciją kitose valstybėse narėse. Tokiais atvejais kompetentingos institucijos turėtų naudotis Sąjungos teisės aktuose arba tarptautiniuose susitarimuose numatytomis bendradarbiavimo priemonėmis, atsižvelgiant į konkretaus atvejo dalyką, kaip antai bendradarbiavimo policijos, baudžiamosios arba civilinės teisės arba administraciniais klausimais, reguliuojamo atitinkamai Tarybos pamatiniu sprendimu 2006/960/TVR (9), Europos Parlamento ir Tarybos direktyva 2014/41/ES (10), Europos Tarybos konvencija dėl elektroninių nusikaltimų (11), Tarybos reglamentu (EB) Nr. 1206/2001 (12), Tarybos direktyva 2006/112/EB (13) ir Tarybos reglamentu (ES) Nr. 904/2010 (14). Jei tokie konkretūs bendradarbiavimo mechanizmai nesukurti, kompetentingos institucijos, siekdamos gauti prieigą prie norimų duomenų, turėtų viena su kita bendradarbiauti per paskirtus bendrus informacinius centrus;

(27)

jei vykdant pagalbos prašymą reikia, kad pagalbos prašymą gavusi institucija gautų prieigą prie fizinio arba juridinio asmens patalpų, įskaitant duomenų tvarkymo įrangą ir priemones, tokia prieiga turi atitikti Sąjungos teisę arba nacionalinę proceso teisę, įskaitant reikalavimą iš anksto gauti teismo leidimą;

(28)

šiuo reglamentu neturėtų būti leidžiama naudotojams bandyti išvengti nacionalinės teisės aktų taikymo. Todėl jame turėtų būti numatyta, kad valstybės narės taikytų veiksmingas, proporcingas ir atgrasomas sankcijas naudotojams, kurie neleidžia kompetentingoms institucijoms gauti prieigos prie savo duomenų, būtinų kompetentingų institucijų oficialioms pareigoms atlikti pagal Sąjungos ir nacionalinę teisę. Skubiais atvejais, kai naudotojas piktnaudžiauja savo teise, valstybės narės turėtų galėti taikyti griežtai proporcingas laikinąsias apsaugos priemones. Taikant bet kokias laikinąsias apsaugos priemones, dėl kurių turi būti keičiama duomenų tvarkymo vieta ilgesniu nei 180 dienų laikotarpiu nuo duomenų tvarkymo vietos pakeitimo, būtų ilgu laikotarpiu nukrypstama nuo laisvo duomenų judėjimo principo, todėl jos turėtų būti pateiktos Komisijai, kad ši išnagrinėtų jų suderinamumą su Sąjungos teise;

(29)

galimybė netrukdomai persikelti duomenis – vienas iš svarbiausių veiksnių, sudarant palankias galimybes naudotojams rinktis ir veiksmingai konkurencijai duomenų tvarkymo paslaugų rinkose. Tikros arba menamos kliūtys persikelti duomenis iš vienos valstybės narės į kitą taip pat griauna profesionaliųjų naudotojų pasitikėjimą kitose valstybėse narėse teikiamais pasiūlymais, taigi ir pasitikėjimą apskritai vidaus rinka. Nors atskiri vartotojai naudojasi galiojančiais Sąjungos teisės aktais suteikiama nauda, naudotojams, kurie užsiima verslu arba profesine veikla, nesudarytos sąlygos lengviau pasirinkti kitus paslaugų teikėjus. Nuoseklūs techniniai reikalavimai visoje Sąjungoje, nesvarbu, ar dėl techninio suderinimo, tarpusavio pripažinimo ar savanoriško suderinimo, taip pat padeda kurti konkurencingą duomenų tvarkymo paslaugų vidaus rinką;

(30)

kad galėtų pasinaudoti visa konkurencingos aplinkos teikiama nauda, profesionalieji naudotojai turėtų galėti sprendimus priimti turėdami informacijos ir turėtų galėti lengvai palyginti vidaus rinkoje siūlomų įvairių duomenų tvarkymo paslaugų sudedamąsias dalis, įskaitant sutarties sąlygas dėl duomenų perkėlimo nutraukus sutartį. Kad būtų orientuojamasi į naujovių diegimo galimybes rinkoje ir atsižvelgiama į duomenų tvarkymo paslaugų teikėjų ir profesionaliųjų naudotojų patirtį ir specialiąsias žinias, rinkos dalyviai išsamią informaciją ir veiklos reikalavimus, susijusius su duomenų perkėlimu, turėtų nustatyti patys, Komisijai skatinant, remiant ir stebint, savitvarkos būdu parengtuose Sąjungos elgesio taisyklių sąvaduose, į kuriuos galėtų būti įtrauktos pavyzdinės sutarčių sąlygos;

(31)

siekiant, kad tokie elgesio taisyklių sąvadai būtų veiksmingi, o paslaugų teikėjo keitimas ir duomenų perkėlimas būtų lengvesnis, tokie elgesio taisyklių sąvadai turėtų būti išsamūs ir apimti bent pagrindinius aspektus, kurie svarbūs vykstant duomenų perkėlimo procesui, kaip antai bet kokios duomenų atsarginės kopijos darymo procesus ir vietą; turimus duomenų formatus ir laikmenas; būtiną IT konfigūraciją ir minimalų tinklo pralaidumą; laiką, kurio reikia norint pradėti duomenų perkėlimo procedūrą, ir laiką, kurį duomenys galės būti prieinami perkėlimui; bei garantijas, skirtas prieigai prie duomenų, jei paslaugų teikėjas bankrutuotų. Elgesio taisyklių sąvaduose turėtų būti aiškiai nurodyta, kad susaistymas su pardavėju yra nepriimtina verslo praktika, juose turėtų būti numatytos pasitikėjimą didinančios technologijos ir jie turėtų būti nuolat atnaujinami atsižvelgiant į technologinę pažangą. Komisija turėtų užtikrinti, kad viso proceso metu būtų konsultuojamasi su visais susijusiais suinteresuotaisiais subjektais, įskaitant mažųjų ir vidutinių įmonių (toliau – MVĮ) ir startuolių asociacijas, naudotojus ir debesijos kompiuterijos paslaugų teikėjus. Komisija turėtų įvertinti tokių elgesio taisyklių sąvadų rengimą ir jų įgyvendinimo efektyvumą;

(32)

kai vienos valstybės narės kompetentinga institucija prašo kitos valstybės narės padėti pagal šį reglamentą gauti prieigą prie duomenų, ji turėtų per paskirtąjį bendrąjį informacinį centrą pastarosios valstybės narės bendrajam informaciniam centrui pateikti tinkamai pagrįstą prašymą, kuriame turėtų būti rašytinis prašomos prieigos prie duomenų priežasčių paaiškinimas ir teisinis pagrindas. Pagalbos prašymą gavęs valstybės narės paskirtas bendrasis informacinis centras turėtų padėti prašymą perduoti atitinkamai kompetentingai institucijai valstybėje narėje, kurios pagalbos prašoma. Kad bendradarbiavimas būtų veiksmingas, institucija, kuriai perduotas prašymas, turėtų nedelsiant į jį atsakydama suteikti pagalbą arba pateikti informaciją apie iškilusius sunkumus įvykdyti tokį prašymą arba apie atsisakymo patenkinti prašymą priežastis;

(33)

kai pasitikėjimas tarptautiniu duomenų tvarkymu bus didesnis, rinkos dalyviai ir viešasis sektorius duomenų vietos reikalavimą mažiau tapatins su duomenų saugumu. Pasitikėjimą turėtų didinti ir bendrovėms užtikrinamas teisinis tikrumas, kiek tai susiję su atitiktimi taikytiniems saugumo reikalavimams, kai jie duomenų tvarkymo paslaugas perka iš paslaugų teikėjų, įskaitant kitose valstybėse narėse;

(34)

visi su fizinio arba juridinio asmens duomenų tvarkymu susiję saugumo reikalavimai, kurie jo gyvenamojoje arba įsisteigimo valstybėje narėje pagrįstai ir proporcingai taikomi pagal Sąjungos teisės aktus arba pagal nacionalinės teisės aktus, priimtus laikantis Sąjungos teisės aktų, turėtų būti toliau taikomi tų duomenų tvarkymui kitoje valstybėje narėje. Tie fiziniai arba juridiniai asmenys turėtų tokius reikalavimus įvykdyti arba patys, arba sutarčių su paslaugų teikėjais nuostatomis;

(35)

nacionaliniu lygmeniu nustatomi saugumo reikalavimai turėtų būti būtini ir proporcingi rizikai, kylančiai duomenų tvarkymui tose srityse, kuriose taikomi nacionalinės teisės aktai, kuriais tie reikalavimai nustatomi;

(36)

Europos Parlamento ir Tarybos direktyvoje (ES) 2016/1148 (15) numatytos teisinės priemonės bendram kibernetinio saugumo Sąjungoje lygiui didinti. Duomenų tvarkymo paslaugos yra vienos iš tų skaitmeninių paslaugų, kurioms taikoma ta direktyva. Pagal tą direktyvą valstybės narės turi užtikrinti, kad skaitmeninių paslaugų teikėjai pastebėtų riziką ir imtųsi tinkamų ir proporcingų techninių ir organizacinių priemonių, kad galėtų valdyti riziką, kylančią tinklų ir informacinių sistemų, kuriais jie naudojasi, saugumui. Tokiomis priemonėmis užtikrinamas saugumo lygis turi atitikti kylančią riziką, jos turėtų būti parengtos atsižvelgiant į sistemų ir įrenginių saugumą; incidentų valdymą; verslo tęstinumo valdymą; stebėjimą, auditą bei bandymą; ir į tarptautinių standartų laikymąsi. Tų elementų specifikacijas Komisija pagal šią direktyvą turi išsamiau nustatyti įgyvendinimo aktais;

(37)

Komisija turėtų pateikti ataskaitą dėl šio reglamento įgyvendinimo, visų pirma stengdamasi nustatyti, ar reikia jį keisti atsižvelgiant į technologijų arba rinkos pokyčius. Toje ataskaitoje visų pirma turėtų būti įvertintas šis reglamentas, ypač jo taikymas duomenų rinkiniams, kuriuos sudaro ir asmens, ir ne asmens duomenys, taip pat išimties dėl visuomenės saugumo įgyvendinimas. Anksčiau nei šio reglamento taikymo pradžios datą Komisija taip pat turėtų paskelbti informacines gaires, kaip tvarkyti duomenų rinkinius, kuriuos sudaro ir asmens, ir ne asmens duomenys, kad bendrovės, įskaitant MVĮ, geriau suprastų šio reglamento ir Reglamento (ES) 2016/679 sąveiką ir užtikrinti, kad būtų laikomasi abiejų reglamentų;

(38)

šiame reglamente laikomasi pagrindinių teisių ir principų, pripažintų Europos Sąjungos pagrindinių teisių chartijoje, todėl jis turėtų būti aiškinamas ir taikomas laikantis tų teisių ir principų, įskaitant teisę į asmens duomenų apsaugą, saviraiškos ir informacijos laisvę bei laisvę užsiimti verslu;

(39)

kadangi šio reglamento tikslo, t. y. užtikrinti laisvą duomenų, išskyrus asmens duomenis, judėjimą Sąjungoje, valstybės narės negali deramai pasiekti, o dėl jo masto ir poveikio to tikslo būtų geriau siekti Sąjungos lygmeniu, laikydamasi ES sutarties 5 straipsnyje nustatyto subsidiarumo principo Sąjunga gali patvirtinti priemones. Pagal tame straipsnyje nustatytą proporcingumo principą šiuo reglamentu neviršijama to, kas būtina nurodytam tikslui pasiekti,