1. Šīs regulas mērķis ir nodrošināt datu, kas nav persondati, brīvu plūsmu Savienībā, paredzot noteikumus par datu teritoriālas ierobežošanas prasībām un datu pieejamību kompetentām iestādēm, kā arī profesionāliem lietotājiem paredzētus noteikumus par datu pārnešanu.
1. Šo regulu piemēro Savienībā veiktai elektronisku datu, kas nav persondati, apstrādei:.
a) ko nodrošina kā pakalpojumu lietotājiem, kuriem Savienībā ir pastāvīga dzīvesvieta vai reģistrācijas vieta, neatkarīgi no tā, vai pakalpojuma sniedzējs ir vai nav reģistrēts Savienībā; vai
b) ko savām vajadzībām veic fiziska vai juridiska persona, kurai Savienībā ir pastāvīga dzīvesvieta vai reģistrācijas vieta.
2. Tādu datu kopu gadījumā, kas sastāv gan no persondatiem, gan no nepersondatiem, šo regulu piemēro datu kopas nepersondatu daļai. Ja persondati un nepersondati datu kopā ir nedalāmi saistīti, šī regula neskar Regulas (ES) 2016/679 piemērošanu.
3. Šo regulu nepiemēro darbībai, kas neietilpst Savienības tiesību aktu piemērošanas jomā.
Šī regula neskar normatīvos un administratīvos aktus, kas ir saistīti ar dalībvalstu iekšējo organizāciju un ar ko publiskām iestādēm un Direktīvas 2014/24/ES 2. panta 1. punkta 4) apakšpunktā definētiem publisko tiesību subjektiem piešķir pilnvaras un pienākumus attiecībā uz datu apstrādi bez līgumā noteikta privāto tiesību subjektu atalgojuma, kā arī dalībvalstu normatīvos un administratīvos aktus, ar ko paredz minēto pilnvaru un pienākumu īstenošanu.
Šajā regulā piemēro šādas definīcijas:
1) “dati” ir dati, kas nav persondati, kā definēts Regulas (ES) 2016/679 4. panta 1) punktā;
2) “apstrāde” ir jebkura operācija vai operāciju kopums, ko ar elektroniskiem datiem vai datu kopām veic ar vai bez automatizētiem līdzekļiem, piemēram, vākšana, reģistrācija, organizēšana, strukturēšana, glabāšana, pielāgošana vai pārveidošana, atgūšana, aplūkošana, izmantošana, atklāšana nosūtot, izplatot vai citādi datus darot pieejamus, sakārtošana vai kombinēšana, ierobežošana, dzēšana vai iznīcināšana;:
3) “akta projekts” ir teksts, kas izstrādāts ar mērķi to ieviest kā vispārīgu normatīvu vai administratīvu aktu un kas ir tādā sagatavošanas pakāpē, kad vēl ir iespējams izdarīt būtiskus grozījumus;
3) “pakalpojumu sniedzējs” ir fiziska vai juridiska persona, kas sniedz datu apstrādes pakalpojumus;
4) “datu teritoriālas ierobežošanas prasība” ir jebkāds dalībvalstu normatīvajos vai administratīvajos aktos noteikts vai no dalībvalstu un publisku tiesību subjektu vispārējas un konsekventas prakses – tostarp publiskā iepirkuma jomā, neskarot Direktīvu 2014/24/ES, – izrietošs pienākums, aizliegums, nosacījums, ierobežojums vai cita prasība, kas paredz datu apstrādi konkrētas dalībvalsts teritorijā vai kavē datu apstrādi jebkurā citā dalībvalstī;.
5) “kompetentā iestāde” ir dalībvalsts iestāde vai jebkura cita struktūra, kurai ar valsts tiesību aktiem ir atļauts pildīt publisku funkciju vai īstenot valsts varu un kura ir pilnvarota iegūt piekļuvi fiziskas vai juridiskas personas apstrādātiem datiem savu oficiālo pienākumu pildīšanas nolūkā, kā noteikts Savienības vai valsts tiesību aktos;
6) “lietotājs” ir fiziska vai juridiska persona, tostarp publiska iestāde vai publisko tiesību subjekts, kas izmanto vai pieprasa datu apstrādes pakalpojumu;
7) “profesionāls lietotājs” ir fiziska vai juridiska persona, tostarp publiska iestāde vai publisko tiesību subjekts, kas izmanto vai pieprasa datu apstrādes pakalpojumu savām ar tirdzniecību, uzņēmējdarbību, arodu, profesiju vai uzdevumu saistītām vajadzībām;
1. Datu teritoriālas ierobežošanas prasības ir aizliegtas, ja vien tās nav pamatotas ar sabiedriskās drošības apsvērumiem, ievērojot proporcionalitātes principu.
Šā punkta pirmā daļa neskar 3. punktu un datu teritoriālas ierobežošanas prasības, kas noteiktas, pamatojoties uz spēkā esošajiem Savienības tiesību aktiem.
2. Dalībvalstis nekavējoties paziņo Komisijai par ikvienu akta projektu, ar kuru ievieš jaunu datu teritoriālas ierobežošanas prasību vai groza kādu spēkā esošu datu teritoriālas ierobežošanas prasību, atbilstīgi Direktīvas (ES) 2015/1535 5., 6. un 7. pantā paredzētajām procedūrām.
3. Līdz 2021. gada 30. maijam dalībvalstis nodrošina, ka tiek atcelta ikviena spēkā esoša ar vispārēja rakstura normatīvu vai administratīvu aktu noteikta datu teritoriālas ierobežošanas prasība, kas neatbilst šā panta 1. punktam.
Ja dalībvalsts uzskata, ka kāds spēkā esošs pasākums, kas ietver datu teritoriālas ierobežošanas prasību, atbilst šā panta 1. punktam un tāpēc var palikt spēkā, tā līdz 2021. gada 30. maijam par minēto pasākumu paziņo Komisijai, pievienojot pamatojumu tā paturēšanai spēkā. Neskarot LESD 258. pantu, Komisija sešu mēnešu laikā pēc šāda paziņojuma saņemšanas dienas pārbauda minētā pasākuma atbilstību šā panta 1. punktam un attiecīgā gadījumā dalībvalstij sniedz komentārus, tostarp nepieciešamības gadījumā iesakot pasākumu grozīt vai atcelt.
4. Dalībvalstis, izmantojot valsts vienotu tiešsaistes informācijas punktu, kuru tās pastāvīgi atjaunina, tiešsaistē dara publiski pieejamu detalizētu informāciju par visām ar vispārēja rakstura normatīvu vai administratīvu aktu noteiktām un to teritorijā piemērojamām datu teritoriālas ierobežošanas prasībām vai arī sniedz centrālajam informācijas punktam, kas izveidots ar citu Savienības tiesību aktu, atjauninātu detalizētu informāciju par visām šādām teritoriālas ierobežošanas prasībām.
5. Šā panta 4. punktā minētā vienotā informācijas punkta adresi dalībvalstis paziņo Komisijai. Komisija savā tīmekļa vietnē publicē saiti(-es) uz šādu(-iem) punktu(-iem), kā arī regulāri atjauninātu konsolidētu sarakstu ar visām 4. punktā minētajām datu teritoriālas ierobežošanas prasībām, tostarp kopsavilkuma informāciju par šīm prasībām.
1. Šī regula neskar kompetento iestāžu pilnvaras pieprasīt vai iegūt piekļuvi datiem savu oficiālo pienākumu pildīšanai saskaņā ar Savienības vai valsts tiesību aktiem. Kompetentajām iestādēm nedrīkst atteikt piekļuvi datiem, pamatojoties uz to, ka šie dati tiek apstrādāti citā dalībvalstī.
2. Ja kompetentā iestāde pēc tam, kad ir pieprasījusi piekļuvi lietotāja datiem, to neiegūst un ja nepastāv īpašs ar Savienības tiesību aktiem vai starptautiskiem nolīgumiem izveidots sadarbības mehānisms datu apmaiņai starp dažādu dalībvalstu kompetentajām iestādēm, minētā kompetentā iestāde var saskaņā ar 7. pantā izklāstīto procedūru lūgt palīdzību kompetentajai iestādei citā dalībvalstī.
3. Ja palīdzības pieprasījuma izpildes nolūkā lūgumu saņēmušajai iestādei ir jāiegūst piekļuve fiziskas vai juridiskas personas telpām, tostarp jebkādam datu apstrādes aprīkojumam un līdzekļiem, šādai piekļuvei ir jāatbilst Savienības tiesību aktiem vai valstu procesuālajiem noteikumiem.
4. Dalībvalstis saskaņā ar Savienības un valstu tiesību aktiem par datu sniegšanas pienākuma neizpildi var piemērot efektīvus, samērīgus un atturošus sodus.
Ja kāds lietotājs ļaunprātīgi izmanto tiesības, dalībvalsts tam var piemērot stingri samērīgus pagaidu pasākumus, ja tam par pamatojumu kalpo nepieciešamība steidzami piekļūt datiem un tiek ņemtas vērā attiecīgo pušu intereses. Ja pagaidu pasākums paredz datu atkārtotu teritoriālu ierobežošanu uz laiku, kas pārsniedz 180 dienas pēc atkārtotas teritoriālas ierobežošanas, par to minētajā 180 dienu periodā paziņo Komisijai. Komisija pēc iespējas īsākā laikā pārbauda minēto pasākumu un tā saderību ar Savienības tiesību aktiem un attiecīgā gadījumā veic nepieciešamos pasākumus. Komisija veic informācijas apmaiņu ar 7. pantā minētajiem dalībvalstu vienotajiem kontaktpunktiem par šajā sakarā iegūto pieredzi.
1. Lai veicinātu konkurētspējīgu datu ekonomiku, kas balstās uz pārredzamības un sadarbspējas principu un pienācīgi ņemot vērā atvērtos standartus, Komisija rosina un atvieglo pašregulējošu rīcības kodeksu (“rīcības kodeksi”) izstrādi Savienības līmenī, kuri cita starpā aptver šādus aspektus:
a) labākā prakse nolūkā atvieglot pakalpojumu sniedzēja maiņu un datu pārnešanu strukturētā, plaši izmantotā un mašīnlasāmā formātā, tostarp atvērto standartu formātā, ja pakalpojumu sniedzējam, kurš datus saņem, tas ir vajadzīgs vai viņš to pieprasa;
b) minimālās informācijas sniegšanas prasības, lai nodrošinātu, ka pirms līguma par datu apstrādi noslēgšanas profesionāliem lietotājiem tiek sniegta pietiekami detalizēta, skaidra un pārredzama informācija par procesiem, tehniskajām prasībām, termiņiem un maksu, ko piemēro gadījumos, kad profesionāls lietotājs vēlas mainīt pakalpojumu sniedzēju vai pārnest datus atpakaļ uz savām IT sistēmām;
c) pieejas sertificēšanas shēmām, kas profesionāliem lietotājiem atvieglo datu apstrādes produktu un pakalpojumu salīdzināšanu, ņemot vērā valsts noteiktās vai starptautiskās normas, lai atvieglotu minēto produktu un pakalpojumu salīdzināmību. Šādas pieejas cita starpā var ietvert arī kvalitātes pārvaldību, informācijas drošības pārvaldību, uzņēmējdarbības nepārtrauktības pārvaldību un vides pārvaldību;
d) komunikācijas ceļveži, kuros izmantota daudzdisciplīnu pieeja, lai veicinātu attiecīgo ieinteresēto personu izpratni par rīcības kodeksiem;
2. Komisija nodrošina, ka rīcības kodeksus izstrādā ciešā sadarbībā ar visām attiecīgajām ieinteresētajām personām, tostarp mazo un vidējo uzņēmumu (MVU) asociācijām un jaunuzņēmumiem, lietotājiem un mākoņpakalpojumu sniedzējiem.
3. Komisija mudina pakalpojumu sniedzējus rīcības kodeksu izstrādi pabeigt līdz 2019. gada 29. novembrim un tos efektīvi īstenot līdz 2020. gada 29. maijam.
1. Katra dalībvalsts izraugās vienotu kontaktpunktu, kas attiecībā uz šīs regulas piemērošanu uztur sakarus ar citu dalībvalstu vienotajiem kontaktpunktiem un Komisiju. Dalībvalstis izraudzītos vienotos kontaktpunktus un jebkādas turpmākas ar tiem saistītas izmaiņas paziņo Komisijai.
2. Ja kādas dalībvalsts kompetentā iestāde, ievērojot 5. panta 2. punktu, lūdz citas dalībvalsts palīdzību, lai iegūtu piekļuvi datiem, tā šīs citas dalībvalsts izraudzītajam vienotajam kontaktpunktam iesniedz pienācīgi pamatotu pieprasījumu. Pieprasījumā iekļauj rakstisku skaidrojumu par nepieciešamās datu piekļuves iemesliem un juridiskajiem pamatiem.
3. Vienotais kontaktpunkts nosaka attiecīgo savas dalībvalsts kompetento iestādi un nosūta tai saskaņā ar 2. punktu saņemto pieprasījumu.
4. Attiecīgā kompetentā iestāde bez liekas kavēšanās un laikā, kas ir samērīgs ar pieprasījuma steidzamību, sniedz atbildi, nosūtot prasītos datus vai informējot pieprasījumu iesniegušo kompetento iestādi par to, ka tā neuzskata, ka pieprasījums atbilst šajā regulā noteiktajiem palīdzības lūgšanas nosacījumiem.
5. Jebkādu informāciju, kas saņemta lūgtās palīdzības kontekstā un sniegta saskaņā ar 5. panta 2. punktu, izmanto tikai saistībā ar jautājumu, kura risināšanai tā pieprasīta.
6. Vienotie kontaktpunkti lietotājiem sniedz vispārēju informāciju par šo regulu, tostarp par rīcības kodeksu izstrādi.
1. Ne vēlāk kā 2022. gada 29. novembrī Komisija iesniedz Eiropas Parlamentam, Padomei un Eiropas Ekonomikas un sociālo lietu komitejai ziņojumu, kurā izvērtē šīs regulas īstenošanu, jo īpaši attiecībā uz:
a) šīs regulas piemērošanu – jo īpaši datu kopām, kuras sastāv gan no persondatiem, gan no nepersondatiem, – ņemot vērā norises tirgū un tehnoloģisko attīstību, kas varētu paplašināt datu deanonimizācijas iespējas;
b) to, kā dalībvalstis īsteno 4. panta 1. punktu, un jo īpaši sabiedriskās drošības izņēmumu; un
c) rīcības kodeksu izstrādi un efektīvu īstenošanu un pakalpojumu sniedzēju veiktu efektīvu informācijas sniegšanu.
2. Dalībvalstis sniedz Komisijai informāciju, kas nepieciešama 1. punktā minētā ziņojuma sagatavošanai.
3. Līdz 2019. gada 29. maijam Komisija publicē informatīvas pamatnostādnes par šīs regulas un Regulas (ES) 2016/679 mijiedarbību attiecībā uz datu kopām, kas sastāv gan no persondatiem, gan no nepersondatiem.
Šī regula stājas spēkā divdesmitajā dienā pēc tās publicēšanas Eiropas Savienības Oficiālajā Vēstnesī.
Šo regulu sāk piemērot sešus mēnešus pēc tās publicēšanas.
Šī regula uzliek saistības kopumā un ir tieši piemērojama visās dalībvalstīs.
Strasbūrā, 2018. gada 14. novembrī
Skati arī: Regulu "Par fizisku personu aizsardzību attiecībā uz personas datu apstrādi un šādu datu brīvu apriti"