(1)

Digitalizácia hospodárstva postupuje čoraz rýchlejšie. Informačné a komunikačné technológie už nie sú osobitným sektorom, ale základom všetkých moderných inovačných hospodárskych systémov a spoločností. Ústredným prvkom týchto systémov sú elektronické údaje, ktoré môžu mať veľkú hodnotu pri analýze alebo v kombinácii so službami a s produktmi. Rýchly rozvoj dátového hospodárstva a vznikajúcich technológií, ako sú umelá inteligencia, produkty a služby internetu vecí, autonómne systémy a 5G, vyvoláva zároveň nové právne otázky týkajúce sa prístupu k údajom a ich opätovného použitia, právnej zodpovednosti, etiky a solidarity. Mala by sa zvážiť činnosť v otázkach právnej zodpovednosti, najmä prostredníctvom vykonávania samoregulačných kódexov a ďalších najlepších postupov, s ohľadom na odporúčania, rozhodnutia a opatrenia prijaté bez zásahu človeka v celom hodnotovom reťazci spracúvania údajov. Táto činnosť môže tiež zahŕňať vhodné mechanizmy na určenie právnej zodpovednosti, prenesenie zodpovednosti medzi spolupracujúce služby, poistenie a audit.

(2)

Hodnotové reťazce údajov sa zakladajú na rôznych činnostiach súvisiacich s údajmi: vytváranie a zhromažďovanie údajov, agregácia údajov a ich organizácia, spracúvanie údajov, analýza, marketing a distribúcia údajov, použitie a opätovné použitie údajov. Účinné a efektívne fungovanie spracúvania údajov je základným stavebným kameňom každého hodnotového reťazca údajov. Účinné a efektívne fungovanie spracúvania údajov a rozvoj dátového hospodárstva v Únii je však obmedzované, a to najmä prostredníctvom dvoch druhov prekážok pre mobilitu údajov pre vnútorný trh: požiadavkou na lokalizáciu údajov zavedenou orgánmi členských štátov a praktikami odkázanosti na určitého predajcu v súkromnom sektore.

(3)

Na služby spracúvania údajov sa uplatňuje sloboda usadiť sa a sloboda poskytovať služby v zmysle Zmluvy o fungovaní Európskej únie (ďalej len „ZFEÚ“). Poskytovanie týchto služieb je však obmedzované alebo sa mu niekedy zabraňuje prostredníctvom určitých vnútroštátnych, regionálnych alebo miestnych požiadaviek na lokalizáciu údajov v rámci určitého územia.

(4)

Takéto prekážky pre voľný pohyb služieb spracúvania údajov a pre právo poskytovateľov služieb usadiť sa vyplývajú z požiadaviek v právnych predpisoch členských štátov lokalizovať údaje v určitej geografickej oblasti alebo na určitom území na účely spracúvania údajov. Rovnaký účinok majú aj iné pravidlá alebo administratívne postupy, a to v dôsledku ukladania osobitných požiadaviek, ktorými sa komplikuje spracúvanie údajov mimo určitej geografickej oblasti alebo územia v rámci Únie, ako sú napríklad požiadavky na používanie technologických zariadení, ktoré sú certifikované alebo schválené v rámci konkrétneho členského štátu. Právnou neistotou, ktorá sa týka rozsahu legitímnych a nelegitímnych požiadaviek na lokalizáciu údajov, sa ďalej obmedzujú možnosti dostupné účastníkom trhu a verejnému sektoru, pokiaľ ide o miesto spracúvania údajov. Týmto nariadením sa v žiadnom prípade neobmedzuje sloboda podnikov uzatvárať zmluvy, v ktorých sa stanovuje, kde majú byť údaje lokalizované. Toto nariadenie má slúžiť iba na ochranu uvedenej slobody tým, že sa ním zabezpečuje, aby dohodnutá lokalizácia mohla byť situovaná kdekoľvek v Únii.

(5)

Zároveň je mobilita údajov v Únii obmedzená aj prostredníctvom súkromných obmedzení: právne, zmluvné a technické problémy, ktorými sa používateľom služieb spracúvania údajov prekáža alebo zabraňuje v prenose ich údajov od jedného poskytovateľa služieb k druhému alebo späť do svojich vlastných informačných systémov (IT systémy), v neposlednom rade po vypovedaní ich zmluvy s poskytovateľom služieb.

(6)

Kombinácia týchto prekážok viedla k nedostatočnej hospodárskej súťaži medzi poskytovateľmi cloudových služieb v Únii, k rôznym problémom spojeným s odkázanosťou na určitého predajcu a k závažnej nedostatočnej mobilite údajov. Podobne politiky v oblasti lokalizácie údajov oslabujú schopnosť spoločností zameraných na výskum a vývoj uľahčovať spoluprácu medzi podnikmi, univerzitami a ostatnými výskumnými organizáciami s cieľom podnecovať inovácie.

(7)

Z dôvodu právnej istoty a kvôli potrebe rovnakých podmienok v rámci Únie je jednotný súbor pravidiel pre všetkých účastníkov trhu kľúčovým prvkom fungovania vnútorného trhu. V snahe odstrániť prekážky pre obchod a narušenia hospodárskej súťaže vyplývajúce z rozdielov medzi vnútroštátnymi právnymi predpismi a s cieľom zabrániť vzniku ďalších pravdepodobných prekážok pre obchod a značných narušení hospodárskej súťaže je potrebné prijať jednotné pravidlá uplatniteľné vo všetkých členských štátoch.

(8)

Právny rámec o ochrane fyzických osôb, pokiaľ ide o spracúvanie osobných údajov, a o rešpektovaní súkromného života a ochrane osobných údajov v elektronických komunikáciách a najmä nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 (3) a smernice Európskeho parlamentu a Rady (EÚ) 2016/680 (4) a 2002/58/ES (5) nie sú týmto nariadením dotknuté.

(9)

Rozširujúci sa internet vecí, umelá inteligencia a strojové učenie predstavujú hlavné zdroje iných ako osobných údajov, napríklad ako výsledok ich využívania v automatizovaných procesoch priemyselnej výroby. Medzi konkrétne príklady iných ako osobných údajov patria agregované a anonymizované súbory údajov používané na analýzu veľkých dát, údaje o precíznom poľnohospodárstve, ktoré môžu pomôcť monitorovať a optimalizovať využívanie pesticídov a vody, alebo údaje o potrebách údržby priemyselných strojov. Ak technologický vývoj umožňuje konvertovať anonymizované údaje na osobné údaje, takéto údaje sa považujú za osobné údaje a zodpovedajúcim spôsobom sa na ne má vzťahovať nariadenie (EÚ) 2016/679.

(10)

Podľa nariadenia (EÚ) 2016/679 nesmú členské štáty obmedziť ani zakázať voľný pohyb osobných údajov v rámci Únie z dôvodov súvisiacich s ochranou fyzických osôb pri spracúvaní osobných údajov. Týmto nariadením sa ustanovujú rovnaké zásady voľného pohybu v rámci Únie pre iné ako osobné údaje s výnimkou prípadov, keď sú obmedzenie alebo zákaz opodstatnené z dôvodov verejnej bezpečnosti. Nariadenie (EÚ) 2016/679 a toto nariadenie poskytujú jednotný súbor pravidiel, ktoré sa týkajú voľného pohybu rôznych druhov údajov. Okrem toho sa v tomto nariadení nestanovuje povinnosť uchovávať odlišné druhy údajov oddelene.

(11)

S cieľom vytvoriť rámec pre voľný tok iných ako osobných údajov v rámci Únie a základ pre rozvoj dátového hospodárstva a posilnenie konkurencieschopnosti priemyslu Únie je nevyhnutné stanoviť jasný, komplexný a predvídateľný právny rámec pre spracúvanie iných ako osobných údajov na vnútornom trhu. Prístupom založeným na zásadách, ktorým sa zabezpečuje spolupráca medzi členskými štátmi, ako aj samoregulácia, by sa malo zabezpečiť, že uvedený rámec je dostatočne flexibilný, aby sa v ňom mohli zohľadniť meniace sa potreby používateľov, poskytovateľov služieb a vnútroštátnych orgánov v Únii. Aby sa zamedzilo riziku prekrývania s existujúcimi mechanizmami, a tým aj vyššiemu zaťaženiu pre členské štáty aj podniky, nemali by sa zavádzať podrobné technické pravidlá.

(12)

Toto nariadenie by nemalo mať vplyv na spracúvanie údajov, pokiaľ je vykonávané ako súčasť činnosti, ktorá nepatrí do rozsahu pôsobnosti práva Únie. Malo by sa predovšetkým pripomenúť, že v súlade s článkom 4 Zmluvy o Európskej únii (ďalej len „Zmluva o EÚ“), je národná bezpečnosť výlučnou zodpovednosťou každého členského štátu.

(13)

Voľný tok údajov v rámci Únie bude zohrávať významnú úlohu pri dosahovaní rastu a inovácií založených na údajoch. Podobne ako podniky a spotrebitelia aj verejné orgány a verejnoprávne inštitúcie členských štátov majú mať prospech z väčšej slobody výberu poskytovateľov služieb založených na údajoch, z konkurenčnejších cien a z efektívnejšieho poskytovania služieb občanom. Vzhľadom na veľké množstvo údajov, ktoré spracúvajú verejné orgány a verejnoprávne inštitúcie, je mimoriadne dôležité, aby šli pri zavádzaní služieb spracúvania údajov príkladom a aby sa pri využívaní služieb spracúvania údajov zdržali vytvárania obmedzení v oblasti lokalizácie údajov. Toto nariadenie by sa preto malo vzťahovať na verejné orgány a verejnoprávne inštitúcie. V tejto súvislosti by sa zásada voľného toku iných ako osobných údajov, ktorú stanovuje toto nariadenie, mala uplatňovať aj na všeobecné a konzistentné administratívne postupy a na iné požiadavky na lokalizáciu údajov v oblasti verejného obstarávania bez toho, aby bola dotknutá smernica Európskeho parlamentu a Rady 2014/24/EÚ (6).

(14)

Tak, ako v prípade smernice 2014/24/EÚ, týmto nariadením nie sú dotknuté zákony, iné právne predpisy a správne opatrenia, ktoré sa týkajú vnútornej organizácie členských štátov a ktorými sa rozdeľujú medzi verejnými orgánmi a verejnoprávnymi inštitúciami právomoci a povinnosti súvisiace so spracúvaním údajov bez zmluvnej odmeny súkromných subjektov, ako aj zákony, iné právne predpisy a správne opatrenia členských štátov, ktorými sa zabezpečuje vykonávanie uvedených právomocí a povinností. Hoci sú verejné orgány a verejnoprávne inštitúcie nabádané k tomu, aby zvážili ekonomické a iné výhody zadávania zákaziek externým poskytovateľom služieb, môžu mať oprávnené dôvody zvoliť si, že si služby zabezpečia samy alebo využijú svoje vnútorné zdroje. Z toho vyplýva, že žiadne z ustanovení tohto nariadenia neukladá členským štátom povinnosť zadávať alebo externalizovať poskytovanie služieb, ktoré chcú poskytovať samy alebo organizovať inými prostriedkami ako verejnými zákazkami.

(15)

Toto nariadenie by sa malo uplatňovať na fyzické alebo právnické osoby, ktoré poskytujú služby spracúvania údajov používateľom s pobytom alebo miestom usadenia v Únii vrátane tých, ktorí poskytujú služby spracúvania údajov v Únii bez toho, aby v nej boli usadení. Toto nariadenie by sa preto nemalo uplatňovať na služby spracúvania údajov, ktoré sa uskutočňuje mimo Únie, a na požiadavky na lokalizáciu údajov, ktoré sa týkajú takýchto údajov.

(16)

V tomto nariadení sa nestanovujú pravidlá týkajúce sa určovania rozhodného práva v obchodných veciach, a preto ním nie je dotknuté nariadenie Európskeho parlamentu a Rady (ES) č. 593/2008 (7). Najmä pokiaľ rozhodné právo pre zmluvu nebolo zvolené v súlade s uvedeným nariadením, zmluva o poskytovaní služieb sa v zásade riadi právom krajiny obvyklého pobytu poskytovateľa služieb.

(17)

Toto nariadenie by sa malo uplatňovať na spracúvanie údajov v širokom význame, a to pri zahrnutí používania všetkých druhov IT systémov, či už takých, ktoré sa nachádzajú v priestoroch používateľa, alebo u externých poskytovateľov služieb. Malo by sa vzťahovať na spracúvanie údajov na rôznych úrovniach intenzity, od uchovávania údajov [infraštruktúra ako služba – „Infrastructure-as-a-Service“ (IaaS)] až po spracúvanie údajov na platformách [platforma ako služba – „Platform-as-a-Service“ (PaaS)] alebo v aplikáciách [softvér ako služba – „Software-as-a-Service“ (SaaS)].

(18)

Požiadavky na lokalizáciu údajov predstavujú jasnú prekážku pre voľné poskytovanie služieb spracúvania údajov v celej Únii a pre vnútorný trh. Ako také by mali byť zakázané, pokiaľ nie sú opodstatnené z dôvodov verejnej bezpečnosti, ako sa vymedzuje prostredníctvom práva Únie, najmä v zmysle článku 52 ZFEÚ, a v súlade so zásadou proporcionality zakotvenou v článku 5 Zmluvy o EÚ. Na účely uplatňovania zásady voľného toku iných ako osobných údajov cez hranice, zabezpečenia rýchleho odstránenia existujúcich požiadaviek na lokalizáciu údajov a umožnenia toho, aby sa údaje z prevádzkových dôvodov spracúvali na viacerých miestach v celej Únii, a keďže sa týmto nariadením stanovujú opatrenia na zabezpečenie dostupnosti údajov na účely regulačnej kontroly, členské štáty by mali mať možnosť dovolávať sa len verejnej bezpečnosti ako odôvodnenia požiadavky na lokalizáciu údajov.

(19)

Pojem „verejná bezpečnosť“ v zmysle článku 52 ZFEÚ a ako ho vykladá Súdny dvor zahŕňa tak vnútornú, ako aj vonkajšiu bezpečnosť členského štátu, ako aj otázky verejnej bezpečnosti, s cieľom predovšetkým uľahčiť vyšetrovanie, odhaľovanie a stíhanie trestných činov. Predpokladá existenciu skutočnej a dostatočne vážnej hrozby ovplyvňujúcej jeden zo základných záujmov spoločnosti, akou je ohrozenie fungovania inštitúcií a základných verejných služieb a prežitie obyvateľstva, ako aj riziko vážneho narušenia zahraničných vzťahov, mierového spolužitia národov alebo riziko vojenských záujmov. V súlade so zásadou proporcionality by požiadavky na lokalizáciu údajov, ktoré sú odôvodnené verejnou bezpečnosťou, mali byť vhodné na dosiahnutie sledovaného cieľa a nemali by siahať nad rámec toho, čo je nevyhnutné na dosiahnutie tohto cieľa.

(20)

S cieľom zabezpečiť účinné uplatňovanie zásady voľného toku iných ako osobných údajov cez hranice a zabrániť vzniku nových prekážok pre riadne fungovanie vnútorného trhu by členské štáty mali Komisii okamžite oznámiť každý návrh aktu, ktorý zavádza novú požiadavku na lokalizáciu údajov alebo ktorým sa upravuje už existujúca požiadavka na lokalizáciu údajov. Tieto návrhy aktov by sa mali predkladať a posudzovať v súlade so smernicou Európskeho parlamentu a Rady (EÚ) 2015/1535 (8).

(21)

Okrem toho by s cieľom odstrániť možné existujúce bariéry počas prechodného obdobia 24 mesiacov odo dňa začatia uplatňovania tohto nariadenia členské štáty mali preskúmať existujúce zákony, iné právne predpisy alebo správne opatrenia všeobecnej povahy stanovujúce požiadavky na lokalizáciu údajov a oznámiť Komisii spolu s odôvodnením každú takúto požiadavku na lokalizáciu údajov, o ktorej sa domnievajú, že je v súlade s týmto nariadením. Toto by malo Komisii umožniť posúdiť súlad všetkých zostávajúcich požiadaviek na lokalizáciu údajov. Komisia by mala mať možnosť v prípade potreby predložiť príslušnému členskému štátu pripomienky. Takéto pripomienky by mohli obsahovať odporúčanie na zmenu alebo zrušenie požiadavky na lokalizáciu údajov.

(22)

Povinnosti oznamovať existujúce požiadavky na lokalizáciu údajov a návrhy aktov Komisii ustanovené týmto nariadením by sa mali uplatňovať na regulačné požiadavky na lokalizáciu údajov a návrhy aktov všeobecnej povahy, ale nie na rozhodnutia adresované konkrétnej fyzickej alebo právnickej osobe.

(23)

S cieľom zabezpečiť transparentnosť požiadaviek na lokalizáciu údajov v členských štátoch stanovených v zákone, inom právnom predpise alebo správnom opatrení všeobecnej povahy pre fyzické a právnické osoby, ako napríklad poskytovateľov služieb a používateľov služieb spracúvania údajov, by členské štáty mali na národnom online jednotnom informačnom mieste uverejniť informácie o takýchto požiadavkách a pravidelne takéto informácie aktualizovať. Členské štáty by prípadne mali poskytovať aktuálne informácie o takýchto požiadavkách ústrednému informačnému miestu zriadenému podľa iného aktu Únie. Členské štáty by mali Komisii oznamovať adresy takýchto jednotných informačných miest s cieľom vhodne informovať fyzické a právnické osoby o požiadavkách na lokalizáciu údajov v celej Únii. Komisia by tieto informácie mala uverejniť na svojom webovom sídle spolu s pravidelne aktualizovaným konsolidovaným zoznamom požiadaviek na lokalizáciu údajov, ktoré sú platné v členských štátoch, vrátane súhrnných informácií o týchto požiadavkách.

(24)

Požiadavky na lokalizáciu údajov často vyplývajú z nedostatočnej dôvery v cezhraničné spracúvanie údajov vyplývajúcej z predpokladanej nedostupnosti údajov pre príslušné orgány členských štátov na účely, ako sú napríklad inšpekcie a audit na regulačné kontroly alebo kontroly dohľadu. Takýto nedostatok dôvery nemožno prekonať len neplatnosťou zmluvných podmienok zakazujúcich príslušným orgánom zákonný prístup k údajom na výkon ich služobných povinností. Preto by sa v tomto nariadení malo jasne stanoviť, že ním nie sú dotknuté právomoci príslušných orgánov požadovať alebo získať prístup k údajom v súlade s právom Únie alebo vnútroštátnym právom a že príslušným orgánom sa nemôže zamietnuť prístup k údajom na základe toho, že údaje sa spracúvajú v inom členskom štáte. Príslušné orgány by mohli uložiť funkčné požiadavky na podporu prístupu k údajom, ako je požiadavka, aby sa opisy systému uchovávali v dotknutom členskom štáte.

(25)

Fyzické alebo právnické osoby, na ktoré sa vzťahujú povinnosti poskytovať údaje príslušným orgánom, môžu splniť takéto povinnosti tým, že príslušným orgánom poskytnú a zaručia účinný a včasný elektronický prístup k údajom bez ohľadu na to, na území ktorého členského štátu sa dané údaje spracúvajú. Takýto prístup sa môže zabezpečiť prostredníctvom konkrétnych podmienok v zmluvách medzi fyzickou alebo právnickou osobou, na ktorú sa vzťahuje povinnosť poskytovať prístup, a poskytovateľom služieb.

(26)

Ak má fyzická alebo právnická osoba povinnosť poskytovať údaje a uvedenú povinnosť nesplní, mal by mať príslušný orgán možnosť požiadať o pomoc príslušné orgány v iných členských štátoch. V takýchto prípadoch by príslušné orgány mali využívať osobitné nástroje spolupráce ustanovené v práve Únie alebo v medzinárodných dohodách, a to v závislosti od predmetu úpravy v danom prípade, ako napríklad v oblasti policajnej spolupráce, trestnej alebo občianskej justície alebo v správnych veciach, rámcové rozhodnutie Rady 2006/960/SVV (9), smernicu Európskeho parlamentu a Rady 2014/41/EÚ (10), Dohovor Rady Európy o počítačovej kriminalite (11), nariadenie Rady (ES) č. 1206/2001 (12), smernicu Rady 2006/112/ES (13) a nariadenie Rady (EÚ) č. 904/2010 (14). Ak takéto osobitné mechanizmy spolupráce neexistujú, príslušné orgány by mali navzájom spolupracovať s cieľom zabezpečiť prístup k požadovaným údajom prostredníctvom určených jednotných kontaktných miest.

(27)

Ak žiadosť o pomoc zahŕňa získanie prístupu zo strany dožiadaného orgánu do akýchkoľvek priestorov fyzickej alebo právnickej osoby, a to aj k akýmkoľvek zariadeniam a prostriedkom spracúvania údajov, takýto prístup musí byť v súlade s právom Únie alebo vnútroštátnym procesným právom, a to aj s každou požiadavkou na získanie predchádzajúceho súdneho povolenia.

(28)

Toto nariadenie by používateľom nemalo umožňovať, aby sa pokúšali obchádzať uplatňovanie vnútroštátneho práva. Malo by preto ustanoviť, aby členské štáty uložili účinné, primerané a odrádzajúce sankcie používateľom, ktoré príslušným orgánom bránia získať prístup k ich údajom potrebným na výkon služobných povinností príslušných orgánov podľa práva Únie a vnútroštátneho práva. V naliehavých prípadoch, keď používateľ zneužíva svoje právo, by mali mať členské štáty možnosť uložiť prísne primerané dočasné opatrenia. Akékoľvek dočasné opatrenia vyžadujúce relokalizáciu údajov na obdobie dlhšie ako 180 dní po relokalizácii by sa odchyľovali od zásady voľného pohybu údajov na značne dlhé časové obdobie, a preto by sa mali oznamovať Komisii, aby sa preskúmala ich zlučiteľnosť s právom Únie.

(29)

Možnosť prenášať údaje bez prekážok je kľúčovým faktorom uľahčujúcim voľbu používateľa a účinnú hospodársku súťaž na trhoch so službami spracúvania údajov. Skutočné alebo vnímané problémy pri cezhraničnom prenose údajov, taktiež narušujú dôveru profesionálnych používateľov, keď využívajú cezhraničné ponuky a tým aj ich dôveru vo vnútorný trh. Zatiaľ čo jednotliví spotrebitelia majú výhody z existujúceho práva Únie, možnosť zmeniť poskytovateľa služieb sa pre tých používateľov, ktorí konajú v rámci ich obchodnej alebo podnikateľskej činnosti neuľahčuje. Konzistentné technické požiadavky v celej Únii, či už sa týkajú technickej harmonizácie, vzájomného uznávania alebo dobrovoľnej harmonizácie tiež prispievajú k rozvoju konkurencieschopného vnútorného trhu so službami spracúvania údajov.

(30)

S cieľom v plnej miere využiť výhody konkurenčného prostredia by profesionálni používatelia mali mať možnosť prijímať informované rozhodnutia a ľahko porovnávať jednotlivé zložky rôznych služieb spracúvania údajov ponúkaných na vnútornom trhu, a to aj pokiaľ ide o zmluvné podmienky prenosu údajov po skončení zmluvy. Na účely zosúladenia s inovačným potenciálom trhu a s cieľom zohľadniť skúsenosti a odborné znalosti poskytovateľov služieb a profesionálnych používateľov služieb spracúvania údajov by mali účastníci trhu vymedziť podrobné informácie a prevádzkové požiadavky na prenos údajov prostredníctvom samoregulácie, s podporou a pomocou Komisie a monitorovanou Komisiou, a to vo forme kódexov správania Únie, ktoré môžu obsahovať vzorové zmluvné podmienky.

(31)

Aby boli takéto kódexy správania účinné a aby uľahčovali zmenu poskytovateľov služieb a prenos údajov, mali by byť komplexné a mali by zahŕňať aspoň kľúčové aspekty, ktoré sú dôležité počas procesu prenosu údajov, ako napríklad postupy používané na zálohovanie údajov a ich lokalizáciu, dostupné formáty údajov a dostupnú dátovú podporu, požadovanú IT konfiguráciu a minimálnu šírku pásma siete, čas potrebný pred začatím procesu prenosu a časové obdobie, v ktorom budú údaje dostupné na účely prenosu, ako aj záruky na prístup k údajom v prípade konkurzu poskytovateľa služieb. Kódexy správania by mali jasne stanovovať, že odkázanosť na určitého predajcu nie je prijateľnou obchodnou praxou, mali by presadzovať technológie, ktoré zvyšujú dôveru, a mali by byť pravidelne aktualizované, aby držali krok s technologickým vývojom. Komisia by mala zabezpečiť, aby sa v priebehu tohto procesu konzultovali všetky príslušné zainteresované strany vrátane združení malých a stredných podnikov (MSP) a začínajúcich podnikov, používateľov a poskytovateľov cloudových služieb. Komisia by mala vyhodnotiť vypracovanie a účinnosť vykonávania takýchto kódexov správania.

(32)

Ak príslušný orgán jedného členského štátu požiada o pomoc iný členský štát na účely získania prístupu k údajom podľa tohto nariadenia, mal by prostredníctvom určeného jednotného kontaktného miesta predložiť určenému jednotnému kontaktnému miestu iného členského štátu náležite odôvodnenú žiadosť, ktorá by mala obsahovať písomné vysvetlenie dôvodov a právny základ pre požadovanie prístupu k údajom. Jednotné kontaktné miesto určené členským štátom, o ktorého pomoc sa žiada, by malo uľahčiť zaslanie žiadosti zodpovednému príslušnému orgánu dožiadaného členského štátu. Na účely zabezpečenia účinnej spolupráce by mal orgán, ktorému sa žiadosť zaslala, bezodkladne poskytnúť pomoc v reakcii na danú žiadosť alebo poskytnúť informácie o ťažkostiach, pokiaľ ide o vyhovenie takejto žiadosti, alebo o dôvodoch jej zamietnutia.

(33)

Zvýšením dôvery v bezpečnosť cezhraničného spracúvania údajov by sa mala znížiť tendencia účastníkov trhu a verejného sektora využívať lokalizáciu údajov ako prostriedok na zaistenie bezpečnosti údajov. Mala by sa tým tiež zvýšiť právna istota spoločností pokiaľ ide o súlad s uplatniteľnými bezpečnostnými požiadavkami v prípade, že vykonávaním svojich činností spracúvania údajov poveria externých poskytovateľov služieb, a to aj v inom členskom štáte.

(34)

Všetky bezpečnostné požiadavky týkajúce sa spracúvania údajov, ktoré sa na základe práva Únie alebo vnútroštátneho práva v súlade s právom Únie uplatňujú opodstatneným a primeraným spôsobom v členskom štáte bydliska alebo sídla fyzických alebo právnických osôb, ktorých údaje sa spracúvajú, by sa mali aj naďalej uplatňovať na spracúvanie uvedených údajov v inom členskom štáte. Uvedené fyzické alebo právnické osoby by mali mať možnosť splniť takéto požiadavky buď sami alebo prostredníctvom zmluvných doložiek stanovených v zmluvách s poskytovateľmi služieb.

(35)

Bezpečnostné požiadavky stanovené na vnútroštátnej úrovni by mali byť potrebné a primerané vzhľadom na riziká súvisiace s bezpečnosťou spracúvania údajov v rozsahu pôsobnosti vnútroštátneho práva, v ktorom sú tieto požiadavky stanovené.

(36)

V smernici Európskeho parlamentu a Rady (EÚ) 2016/1148 (15) sa stanovujú právne opatrenia na zvýšenie celkovej úrovne kybernetickej bezpečnosti v Únii. Služby spracúvania údajov predstavujú jednu z digitálnych služieb, na ktoré sa uvedená smernica vzťahuje. Podľa uvedenej smernice musia členské štáty zabezpečiť, aby poskytovatelia digitálnych služieb identifikovali riziká súvisiace s bezpečnosťou sietí a informačných systémov, ktoré používajú, a aby prijali vhodné a primerané technické a organizačné opatrenia na riadenie týchto rizík. Takými opatreniami by sa mala zaistiť úroveň bezpečnosti, ktorá zodpovedá miere daného rizika, a zohľadňovať bezpečnosť systémov a zariadení, riešenie incidentov, riadenie kontinuity činností, monitorovanie, audit a skúšanie, ako aj súlad s medzinárodnými štandardmi. Tieto prvky má Komisia ďalej špecifikovať vo vykonávacích aktoch podľa uvedenej smernice.

(37)

Komisia by mala predložiť správu o vykonávaní tohto nariadenia, najmä s cieľom určiť potrebu úprav vzhľadom na technologický rozvoj alebo rozvoj trhu. V uvedenej správe by sa malo predovšetkým posúdiť toto nariadenie, najmä jeho uplatňovanie pokiaľ ide o súbory údajov pozostávajúce z osobných aj iných ako osobných údajov, ako aj uplatňovanie výnimky verejnej bezpečnosti. Komisia by pred začatím uplatňovania tohto nariadenia mala tiež uverejniť informatívne usmernenia, ako spravovať súbory údajov pozostávajúce z osobných aj iných ako osobných údajov, aby spoločnosti vrátane MSP lepšie chápali vzájomné pôsobenie tohto nariadenia a nariadenia (EÚ) 2016/679 a aby zabezpečili súlad s oboma.

(38)

V tomto nariadení sa rešpektujú základné práva a dodržujú zásady uznané v Charte základných práv Európskej únie, pričom toto nariadenie by sa malo vykladať a uplatňovať v súlade s týmito právami a zásadami vrátane práva na ochranu osobných údajov, slobody prejavu a práva na informácie a slobody podnikania.

(39)

Keďže cieľ tohto nariadenia, a to zabezpečiť voľný tok iných ako osobných údajov v Únii, nie je možné uspokojivo dosiahnuť na úrovni členských štátov, ale z dôvodu jeho rozsahu a účinkov ho možno lepšie dosiahnuť na úrovni Únie, môže Únia prijať opatrenia v súlade so zásadou subsidiarity podľa článku 5 Zmluvy o EÚ. V súlade so zásadou proporcionality podľa uvedeného článku toto nariadene neprekračuje rámec nevyhnutný na dosiahnutie tohto cieľa,