(1)

Η ψηφιοποίηση της οικονομίας επιταχύνεται. Η τεχνολογία των πληροφοριών και των επικοινωνιών δεν αποτελεί πλέον ειδικό τομέα, αλλά το θεμέλιο όλων των σύγχρονων καινοτόμων οικονομικών συστημάτων και κοινωνιών. Τα ηλεκτρονικά δεδομένα αποτελούν τον πυρήνα των εν λόγω συστημάτων και μπορούν να δημιουργήσουν υψηλή αξία όταν αναλύονται ή συνδυάζονται με υπηρεσίες και προϊόντα. Ταυτόχρονα, η ραγδαία ανάπτυξη της οικονομίας δεδομένων και των αναδυόμενων τεχνολογιών, όπως η τεχνητή νοημοσύνη, τα προϊόντα και οι υπηρεσίες του διαδικτύου των πραγμάτων, τα αυτόνομα συστήματα, καθώς και τα δίκτυα 5G, εγείρουν νέα νομικά ζητήματα ως προς την πρόσβαση και την επαναχρησιμοποίηση των δεδομένων, την ευθύνη, τη δεοντολογία και την αλληλεγγύη. Θα πρέπει να εξεταστεί η εργασία όσον αφορά το ζήτημα της ευθύνης, κυρίως μέσω της εφαρμογής κωδίκων αυτορρύθμισης και άλλων βέλτιστων πρακτικών, λαμβάνοντας υπόψη τις συστάσεις, τις αποφάσεις και τα μέτρα που έχουν ληφθεί χωρίς ανθρώπινη παρέμβαση σε όλο το μήκος της αλυσίδας αξίας της επεξεργασίας των δεδομένων. Η εργασία αυτή θα μπορούσε επίσης να περιλαμβάνει κατάλληλους μηχανισμούς για τον προσδιορισμό της ευθύνης, για τη μεταβίβαση της ευθύνης μεταξύ των συνεργαζόμενων υπηρεσιών, για την ασφάλιση και για τον λογιστικό έλεγχο.

(2)

Οι αλυσίδες αξίας δεδομένων αποτελούνται από διάφορες δραστηριότητες δεδομένων: τη δημιουργία και συλλογή δεδομένων· τη συγκέντρωση και οργάνωση δεδομένων· την επεξεργασία δεδομένων· την ανάλυση, την εμπορία και τη διανομή δεδομένων· τη χρήση και την επαναχρησιμοποίηση δεδομένων. Η αποδοτική και αποτελεσματική λειτουργία της επεξεργασίας δεδομένων αποτελεί θεμέλιο λίθο οποιασδήποτε αλυσίδας αξίας δεδομένων. Ωστόσο, η αποδοτική και αποτελεσματική λειτουργία της επεξεργασίας δεδομένων και η ανάπτυξη της οικονομίας δεδομένων στην Ένωση παρεμποδίζονται, πιο συγκεκριμένα, από δύο τύπους εμποδίων στην κινητικότητα των δεδομένων και στην εσωτερική αγορά: απαιτήσεις τοπικοποίησης των δεδομένων που τίθενται από τις αρχές των κρατών μελών και πρακτικές εγκλωβισμού σε συγκεκριμένο πάροχο στον ιδιωτικό τομέα.

(3)

Η ελευθερία εγκαταστάσεως και η ελευθερία παροχής υπηρεσιών βάσει της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης («ΣΛΕΕ») ισχύουν για τις υπηρεσίες επεξεργασίας δεδομένων. Ωστόσο, η παροχή των εν λόγω υπηρεσιών παρεμποδίζεται ή αποτρέπεται ενίοτε λόγω της ύπαρξης ορισμένων εθνικών, περιφερειακών ή τοπικών απαιτήσεων περιορισμού τοπικοποίησης των δεδομένων σε συγκεκριμένη επικράτεια.

(4)

Τα εν λόγω εμπόδια στην ελεύθερη κυκλοφορία των υπηρεσιών επεξεργασίας δεδομένων, καθώς και στο δικαίωμα εγκαταστάσεως παρόχων υπηρεσιών επεξεργασίας δεδομένων οφείλονται στην ύπαρξη απαιτήσεων στα δίκαια των κρατών μελών για τη θέση των δεδομένων σε συγκεκριμένη γεωγραφική περιοχή ή επικράτεια με σκοπό την επεξεργασία. Άλλοι κανόνες ή διοικητικές πρακτικές έχουν παρόμοιο αποτέλεσμα διά της επιβολής συγκεκριμένων απαιτήσεων, οι οποίες δυσχεραίνουν ακόμη περισσότερο την επεξεργασία των δεδομένων εκτός συγκεκριμένης γεωγραφικής περιοχής ή επικράτειας στην Ένωση, όπως απαιτήσεις χρήσης τεχνολογικών εγκαταστάσεων οι οποίες έχουν πιστοποιηθεί ή εγκριθεί σε συγκεκριμένο κράτος μέλος. Η έλλειψη ασφάλειας δικαίου όσον αφορά την έκταση των νόμιμων και παράτυπων απαιτήσεων τοπικοποίησης των δεδομένων περιορίζει περαιτέρω τις επιλογές που είναι διαθέσιμες στους φορείς της αγοράς και στον δημόσιο τομέα όσον αφορά τη θέση επεξεργασίας των δεδομένων. Ο παρών κανονισμός δεν περιορίζει με κανέναν τρόπο την ελευθερία των επιχειρήσεων να συνάπτουν συμβάσεις που προσδιορίζουν τη θέση στην οποία θα βρίσκονται τα δεδομένα. Ο παρών κανονισμός αποσκοπεί απλώς στη διασφάλιση της εν λόγω ελευθερίας, εξασφαλίζοντας ότι η συμφωνημένη θέση δύναται να βρίσκεται οπουδήποτε εντός της Ένωσης.

(5)

Ταυτόχρονα, η κινητικότητα των δεδομένων στην Ένωση παρεμποδίζεται επίσης από περιορισμούς στον ιδιωτικό τομέα: νομικά, συμβατικά και τεχνικά ζητήματα που παρεμποδίζουν ή αποτρέπουν τους χρήστες υπηρεσιών επεξεργασίας δεδομένων να μεταφέρουν τα δεδομένα τους από έναν πάροχο υπηρεσιών σε άλλον ή να τα επιστρέφουν στα δικά τους συστήματα τεχνολογίας πληροφοριών (ΤΠ), μεταξύ άλλων σε περίπτωση καταγγελίας της σύμβασής τους με πάροχο υπηρεσιών.

(6)

Ο συνδυασμός των εμποδίων αυτών έχει προκαλέσει έλλειψη ανταγωνισμού μεταξύ των παρόχων υπηρεσιών υπολογιστικού νέφους στην Ένωση, διάφορα ζητήματα εγκλωβισμού σε συγκεκριμένο πάροχο (vendor lock-in) καθώς και σοβαρή έλλειψη κινητικότητας δεδομένων. Ομοίως, οι πολιτικές τοπικοποίησης δεδομένων έχουν υπονομεύσει την ικανότητα των επιχειρήσεων έρευνας και ανάπτυξης να διευκολύνουν τη συνεργασία μεταξύ εταιρειών, πανεπιστημίων και άλλων ερευνητικών οργανισμών, ώστε να προωθούν την καινοτομία.

(7)

Για λόγους ασφάλειας δικαίου και εξαιτίας της ανάγκης για ίσους όρους ανταγωνισμού εντός της Ένωσης, ένα ενιαίο σύνολο κανόνων για όλους τους συμμετέχοντες στην αγορά αποτελεί καίριο στοιχείο για τη λειτουργία της εσωτερικής αγοράς. Προκειμένου να εξαλειφθούν τα εμπόδια για το εμπόριο και οι στρεβλώσεις του ανταγωνισμού που οφείλονται σε αποκλίσεις μεταξύ των εθνικών νομοθεσιών και να αποτραπούν περαιτέρω πιθανά εμπόδια για το εμπόριο και σημαντικές στρεβλώσεις του ανταγωνισμού, είναι απαραίτητη η θέσπιση ομοιόμορφων κανόνων οι οποίοι θα ισχύουν σε όλα τα κράτη μέλη.

(8)

Το νομικό πλαίσιο για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για τον σεβασμό της ιδιωτικής ζωής και την προστασία των δεδομένων προσωπικού χαρακτήρα στις ηλεκτρονικές επικοινωνίες και ιδίως ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (3) και οι οδηγίες (ΕΕ) 2016/680 (4) και 2002/58/ΕΚ (5) του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου δεν θίγονται από τον παρόντα κανονισμό.

(9)

Μεγάλες πηγές δεδομένων μη προσωπικού χαρακτήρα είναι το επεκτεινόμενο διαδίκτυο των πραγμάτων, η τεχνητή νοημοσύνη και η εκμάθηση μηχανής, για παράδειγμα ως αποτέλεσμα της χρήση τους σε αυτοματοποιημένες διαδικασίες βιομηχανικής παραγωγής. Συγκεκριμένα παραδείγματα δεδομένων μη προσωπικού χαρακτήρα είναι τα συγκεντρωτικά και ανωνυμοποιημένα σύνολα δεδομένων που χρησιμοποιούνται για την ανάλυση μαζικών δεδομένων, τα δεδομένα για τη γεωργία ακριβείας που μπορούν να συμβάλουν στην παρακολούθηση και τη βελτιστοποίηση της χρήσης φυτοφαρμάκων και νερού ή τα δεδομένα σχετικά με τις ανάγκες συντήρησης για βιομηχανικά μηχανήματα. Εάν οι τεχνολογικές εξελίξεις καταστήσουν δυνατή τη μετατροπή ανωνυμοποιημένων δεδομένων σε δεδομένα προσωπικού χαρακτήρα, τότε αυτά τα δεδομένα θα αντιμετωπίζονται ως δεδομένα προσωπικού χαρακτήρα και θα εφαρμόζεται αναλόγως ο κανονισμός (ΕΕ) 2016/679.

(10)

Σύμφωνα με τον κανονισμό (ΕΕ) 2016/679, τα κράτη μέλη δεν δύνανται να περιορίζουν ούτε να απαγορεύουν την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Στον παρόντα κανονισμό διατυπώνεται η ίδια αρχή της ελεύθερης κυκλοφορίας εντός της Ένωσης για τα δεδομένα μη προσωπικού χαρακτήρα όταν ο περιορισμός ή η απαγόρευση δικαιολογείται για λόγους δημόσιας ασφάλειας. Ο κανονισμός (ΕΕ) 2016/679 και ο παρών κανονισμός παρέχουν ένα συνεκτικό σύνολο κανόνων που διέπουν την ελεύθερη κυκλοφορία διάφορων τύπων δεδομένων. Ακόμη, ο παρών κανονισμός δεν επιβάλλει υποχρέωση χωριστής αποθήκευσης των διαφορετικών τύπων δεδομένων.

(11)

Για τη δημιουργία ενός πλαισίου για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ένωση και προκειμένου να τεθούν τα θεμέλια για την ανάπτυξη της οικονομίας δεδομένων και την ενίσχυση της ανταγωνιστικότητας της βιομηχανίας της Ένωσης, είναι απαραίτητος ο προσδιορισμός ενός σαφούς, ολοκληρωμένου και προβλέψιμου νομικού πλαισίου για την επεξεργασία δεδομένων μη προσωπικού χαρακτήρα στην εσωτερική αγορά. Η υιοθέτηση προσέγγισης βάσει αρχών η οποία προβλέπει συνεργασία μεταξύ των κρατών μελών, καθώς και αυτορρύθμιση, θα πρέπει να διασφαλίσει ένα επαρκώς ευέλικτο πλαίσιο ώστε να μπορούν να συνυπολογίζονται οι εξελισσόμενες ανάγκες των χρηστών, των παρόχων υπηρεσιών και των εθνικών αρχών στην Ένωση. Προκειμένου να αποφευχθεί ο κίνδυνος αλληλεπικαλύψεων με υφιστάμενους μηχανισμούς και, κατ' επέκταση, να αποφευχθεί η περαιτέρω επιβάρυνση των κρατών μελών και των επιχειρήσεων, δεν θα πρέπει να θεσπιστούν αναλυτικοί τεχνικοί κανόνες.

(12)

Ο παρών κανονισμός δεν θα πρέπει να επηρεάζει την επεξεργασία δεδομένων εφόσον εκτελείται ως μέρος μιας δραστηριότητας που δεν εμπίπτει στο πεδίο εφαρμογής του ενωσιακού δικαίου. Ειδικότερα, θα πρέπει να υπενθυμιστεί ότι, σύμφωνα με το άρθρο 4 της Συνθήκης για την Ευρωπαϊκή Ένωση («ΣΕΕ»), η εθνική ασφάλεια αποτελεί αποκλειστική ευθύνη εκάστου κράτους μέλους.

(13)

Η ελεύθερη ροή των δεδομένων εντός της Ένωσης θα διαδραματίσει σημαντικό ρόλο στην επίτευξη της ανάπτυξης και της καινοτομίας που βασίζονται στα δεδομένα. Όπως και οι επιχειρήσεις και οι καταναλωτές, οι δημόσιες αρχές και οργανισμοί δημοσίου δικαίου των κρατών μελών θα ωφεληθούν από τη μεγαλύτερη ελευθερία επιλογής όσον αφορά τους παρόχους υπηρεσιών που βασίζονται στα δεδομένα, από τις ανταγωνιστικότερες τιμές και από την αποτελεσματικότερη παροχή υπηρεσιών στους πολίτες. Δεδομένου του μεγάλου αριθμού δεδομένων που χειρίζονται οι δημόσιες αρχές και οργανισμοί δημοσίου δικαίου, είναι υψίστης σημασίας να ηγηθούν δίνοντας το παράδειγμα για την αφομοίωση των υπηρεσιών επεξεργασίας δεδομένων και να αποφύγουν κάθε περιορισμό στην τοπικοποίηση των δεδομένων όταν κάνουν χρήση υπηρεσιών επεξεργασίας δεδομένων. Κατά συνέπεια, οι δημόσιες αρχές και οργανισμοί δημοσίου δικαίου θα πρέπει να καλύπτονται από τον παρόντα κανονισμό. Στο πλαίσιο αυτό, η αρχή της ελεύθερης ροής δεδομένων μη προσωπικού χαρακτήρα που προβλέπεται από τον παρόντα κανονισμό θα πρέπει να ισχύει επίσης στις γενικές και πάγιες διοικητικές πρακτικές και άλλες απαιτήσεις τοπικοποίησης δεδομένων στον τομέα των δημοσίων συμβάσεων, με την επιφύλαξη της οδηγίας 2014/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (6).

(14)

Όπως και στην περίπτωση της οδηγίας 2014/24/ΕΕ, ο παρών κανονισμός ισχύει με την επιφύλαξη των νομοθετικών, κανονιστικών και διοικητικών διατάξεων οι οποίες σχετίζονται με την εσωτερική οργάνωση των κρατών μελών και οι οποίες κατανέμουν, μεταξύ δημόσιων αρχών και οργανισμών δημόσιου δικαίου, εξουσίες και αρμοδιότητες για την επεξεργασία δεδομένων χωρίς συμβατική αμοιβή των ιδιωτών, καθώς και των νομοθετικών, κανονιστικών και διοικητικών διατάξεων των κρατών μελών οι οποίες προβλέπουν την άσκηση των εν λόγω εξουσιών και αρμοδιοτήτων. Ενώ οι δημόσιες αρχές και οργανισμοί δημόσιου δικαίου ενθαρρύνονται να εξετάσουν τα οικονομικά και άλλα πλεονεκτήματα της ανάθεσης σε εξωτερικούς παρόχους υπηρεσιών, ενδέχεται να έχουν θεμιτούς λόγους να επιλέγουν αυτοεφοδιασμό των υπηρεσιών ή εσωτερική ανάθεση. Συνεπώς, καμία διάταξη του παρόντος κανονισμού δεν υποχρεώνει τα κράτη μέλη να αναθέτουν σε τρίτους ή σε εξωτερικούς φορείς την παροχή υπηρεσιών που επιθυμούν να παρέχουν τα ίδια ή να οργανώνουν με άλλα μέσα πλην των δημόσιων συμβάσεων.

(15)

Ο παρών κανονισμός θα πρέπει να εφαρμόζεται σε φυσικά ή νομικά πρόσωπα τα οποία παρέχουν υπηρεσίες επεξεργασίας δεδομένων σε χρήστες που διαμένουν ή έχουν την έδρα της επιχείρησής τους στην Ένωση, συμπεριλαμβανομένων όσων παρέχουν υπηρεσίες επεξεργασίας δεδομένων στην Ένωση χωρίς να έχουν την έδρα της επιχείρησής τους σε αυτή. Ο παρών κανονισμός θα πρέπει επομένως να μην εφαρμόζεται σε υπηρεσίες επεξεργασίας δεδομένων που λαμβάνουν χώρα εκτός της Ένωσης και σε απαιτήσεις τοπικοποίησης δεδομένων που σχετίζονται με τα εν λόγω δεδομένα.

(16)

Ο παρών κανονισμός δεν θεσπίζει κανόνες σχετικά με τον προσδιορισμό του εφαρμοστέου δικαίου σε εμπορικές υποθέσεις και, ως εκ τούτου, δεν θίγει τον κανονισμό (ΕΚ) αριθ. 593/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (7). Ειδικότερα, στο μέτρο που το εφαρμοστέο στη σύμβαση δίκαιο δεν έχει επιλεγεί σύμφωνα με τον εν λόγω κανονισμό, μια σύμβαση για την παροχή υπηρεσιών διέπεται, καταρχήν, από το δίκαιο της χώρας στην οποία ο πάροχος υπηρεσίας έχει τη συνήθη διαμονή του.

(17)

Ο παρών κανονισμός θα πρέπει να εφαρμόζεται στην επεξεργασία δεδομένων υπό την ευρύτερη δυνατή έννοια, συμπεριλαμβανομένης της χρήσης όλων των τύπων συστημάτων ΤΠ, είτε αυτά βρίσκονται στις εγκαταστάσεις του χρήστη είτε ανατίθενται εξωτερικά σε πάροχο υπηρεσιών. Θα πρέπει να καλύπτει την επεξεργασία δεδομένων διαφορετικών επιπέδων έντασης, από την αποθήκευση δεδομένων (υποδομή ως υπηρεσία (IaaS)) μέχρι την επεξεργασία δεδομένων σε πλατφόρμες (πλατφόρμα ως υπηρεσία (PaaS)) ή σε εφαρμογές (λογισμικό ως υπηρεσία (SaaS)).

(18)

Οι απαιτήσεις τοπικοποίησης των δεδομένων αποτελούν σαφές εμπόδιο στην ελεύθερη παροχή υπηρεσιών επεξεργασίας δεδομένων στην Ένωση και στην εσωτερική αγορά. Ως τέτοιες, θα πρέπει να απαγορευτούν, εκτός εάν η ύπαρξή τους δικαιολογείται από λόγους δημόσιας ασφάλειας, όπως ορίζεται στο ενωσιακό δίκαιο, ιδίως κατά την έννοια του άρθρου 52 ΣΛΕΕ, και εφόσον πληρούν την αρχή της αναλογικότητας που κατοχυρώνεται στο άρθρο 5 ΣΕΕ. Προκειμένου να τηρηθεί αποτελεσματικά η αρχή της ελεύθερης ροής των δεδομένων μη προσωπικού χαρακτήρα πέραν συνόρων, να εφαρμοστεί η ταχεία κατάργηση των υφιστάμενων απαιτήσεων τοπικοποίησης των δεδομένων και να καταστεί εφικτή, για επιχειρησιακούς λόγους, η επεξεργασία δεδομένων σε πολλαπλές θέσεις στην Ένωση, και δεδομένου ότι στον παρόντα κανονισμό προβλέπεται η λήψη μέτρων για τη διασφάλιση της διαθεσιμότητας των δεδομένων για λόγους διενέργειας ρυθμιστικών ελέγχων, τα κράτη μέλη θα πρέπει να μπορούν να επικαλούνται μόνο τη δημόσια ασφάλεια ως λόγο για τις απαιτήσεις τοπικοποίησης δεδομένων.

(19)

Η έννοια της «δημόσιας ασφάλειας», κατά την έννοια του άρθρου 52 ΣΛΕΕ και όπως ερμηνεύεται από το Δικαστήριο, καλύπτει τόσο την εσωτερική όσο και την εξωτερική ασφάλεια ενός κράτους μέλους, καθώς και ζητήματα δημόσιας ασφάλειας, προκειμένου, ιδίως, να καθίσταται δυνατή η διερεύνηση, η ανίχνευση και η δίωξη ποινικών αδικημάτων. Προϋποθέτει την ύπαρξη πραγματικής και αρκούντως σοβαρής απειλής έναντι κάποιου από τα θεμελιώδη συμφέροντα της κοινωνίας, όπως η απειλή έναντι της λειτουργίας των θεσμών και των βασικών δημοσίων υπηρεσιών, η απειλή έναντι της επιβίωσης του πληθυσμού, καθώς και ο κίνδυνος σοβαρής διαταραχής των εξωτερικών σχέσεων ή της ειρηνικής συνύπαρξης των λαών ή ο κίνδυνος έναντι στρατιωτικών συμφερόντων. Σύμφωνα με την αρχή της αναλογικότητας, οι απαιτήσεις τοπικοποίησης των δεδομένων που δικαιολογούνται από λόγους δημόσιας ασφάλειας θα πρέπει να είναι κατάλληλες για την επίτευξη του επιδιωκόμενου στόχου, και δεν θα πρέπει να υπερβαίνουν ό,τι είναι αναγκαίο για την επίτευξη του στόχου αυτού.

(20)

Προκειμένου να διασφαλιστεί η αποτελεσματική εφαρμογή της αρχής της ελεύθερης ροής των δεδομένων μη προσωπικού χαρακτήρα πέραν συνόρων και προκειμένου να αποτραπεί η δημιουργία νέων εμποδίων όσον αφορά την εύρυθμη λειτουργία της εσωτερικής αγοράς, τα κράτη μέλη θα πρέπει να γνωστοποιούν αμέσως στην Επιτροπή κάθε σχέδιο πράξης που θεσπίζει νέα απαίτηση τοπικοποίησης δεδομένων ή τροποποιεί υφιστάμενη ανάλογη απαίτηση. Αυτά τα σχέδια πράξεων θα πρέπει να υποβάλλονται και να αξιολογούνται σύμφωνα με την οδηγία (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (8).

(21)

Επιπλέον, προκειμένου να εξαλειφθούν πιθανά υφιστάμενα εμπόδια, τα κράτη μέλη θα πρέπει στη διάρκεια μεταβατικής περιόδου 24 μηνών από την ημερομηνία εφαρμογής του παρόντος κανονισμού να επανεξετάσουν τις υφιστάμενες νομοθετικές, κανονιστικές ή διοικητικές διατάξεις γενικού χαρακτήρα που θεσπίζουν απαιτήσεις τοπικοποίησης δεδομένων και να ανακοινώσουν στην Επιτροπή τυχόν τέτοια απαίτηση τοπικοποίησης δεδομένων η οποία κρίνουν ότι είναι σύμφωνη προς τον παρόντα κανονισμό, μαζί με τη σχετική αιτιολόγηση. Τούτο θα πρέπει να παρέχει στην Επιτροπή τη δυνατότητα να εξετάζει τη συμμόρφωση τυχόν υπολειπόμενων απαιτήσεων τοπικοποίησης δεδομένων. Η Επιτροπή θα πρέπει να έχει τη δυνατότητα, όπου απαιτείται, να διατυπώνει παρατηρήσεις προς τα εν λόγω κράτη μέλη. Οι εν λόγω παρατηρήσεις θα μπορούσαν να περιλαμβάνουν σύσταση για την τροποποίηση ή κατάργηση της απαίτησης τοπικοποίησης δεδομένων.

(22)

Οι υποχρεώσεις γνωστοποίησης των υφιστάμενων απαιτήσεων τοπικοποίησης δεδομένων και σχεδίων πράξεων προς την Επιτροπή, οι οποίες θεσπίζονται με τον παρόντα κανονισμό, θα πρέπει να εφαρμόζονται στις ρυθμιστικές απαιτήσεις τοπικοποίησης δεδομένων και στα σχέδια πράξεων γενικού χαρακτήρα, αλλά όχι στις αποφάσεις που απευθύνονται σε συγκεκριμένο φυσικό ή νομικό πρόσωπο.

(23)

Προκειμένου να διασφαλιστεί η διαφάνεια των απαιτήσεων τοπικοποίησης δεδομένων στα κράτη μέλη οι οποίες θεσπίζονται με νομοθετικές, κανονιστικές ή διοικητικές διατάξεις γενικού χαρακτήρα για φυσικά και νομικά πρόσωπα, όπως οι πάροχοι υπηρεσιών και οι χρήστες υπηρεσιών επεξεργασίας δεδομένων, τα κράτη μέλη θα πρέπει να δημοσιεύουν πληροφορίες επί των απαιτήσεων αυτών σε ένα εθνικό επιγραμμικό ενιαίο σημείο πληροφόρησης και να επικαιροποιούν τακτικά τις εν λόγω πληροφορίες. Εναλλακτικά, τα κράτη μέλη θα πρέπει να παρέχουν επικαιροποιημένες πληροφορίες επί των εν λόγω απαιτήσεων σε ένα κεντρικό σημείο πληροφόρησης που θα συσταθεί βάσει άλλης ενωσιακής πράξης. Για τη δέουσα πληροφόρηση των φυσικών και νομικών προσώπων σχετικά με τις απαιτήσεις τοπικοποίησης δεδομένων στην Ένωση, τα κράτη μέλη θα πρέπει να κοινοποιούν στην Επιτροπή τις διευθύνσεις των εν λόγω ενιαίων σημείων πληροφόρησης. Η Επιτροπή θα πρέπει να δημοσιεύει τις πληροφορίες αυτές στον δικτυακό της τόπο, μαζί με έναν τακτικά επικαιροποιούμενο ενοποιημένο κατάλογο όλων των απαιτήσεων τοπικοποίησης δεδομένων που ισχύουν στα κράτη μέλη, συμπεριλαμβανομένων συνοπτικών πληροφοριών σχετικά με τις απαιτήσεις αυτές.

(24)

Οι απαιτήσεις τοπικοποίησης δεδομένων οφείλονται συχνά σε έλλειψη εμπιστοσύνης στην επεξεργασία δεδομένων πέραν συνόρων, η οποία απορρέει από την εικαζόμενη μη διαθεσιμότητα δεδομένων για τους σκοπούς των αρμόδιων αρχών των κρατών μελών, όπως η διενέργεια επιθεώρησης και ελέγχου στο πλαίσιο ρυθμιστικού ή εποπτικού ελέγχου. Αυτή η έλλειψη εμπιστοσύνης δεν μπορεί να αντιμετωπισθεί αποκλειστικά με την ακυρότητα των συμβατικών ρητρών που απαγορεύουν τη νόμιμη πρόσβαση σε δεδομένα από τις αρμόδιες αρχές για την επιτέλεση των επίσημων καθηκόντων τους. Ως εκ τούτου, ο παρών κανονισμός θα πρέπει να ορίζει με σαφήνεια ότι δεν θίγονται οι αρμοδιότητες των αρμόδιων αρχών να ζητούν ή να αποκτούν πρόσβαση στα δεδομένα σύμφωνα με το ενωσιακό ή το εθνικό δίκαιο, καθώς και ότι η εν λόγω πρόσβαση των αρμόδιων αρχών στα δεδομένα δεν μπορεί να απορρίπτεται με την αιτιολογία ότι τα δεδομένα υποβάλλονται σε επεξεργασία σε άλλο κράτος μέλος. Οι αρμόδιες αρχές θα μπορούσαν να επιβάλουν λειτουργικές απαιτήσεις για τη στήριξη της πρόσβασης στα δεδομένα, όπως την απαίτηση να κρατούνται στο οικείο κράτος μέλος οι περιγραφές του συστήματος.

(25)

Τα φυσικά ή τα νομικά πρόσωπα που υπόκεινται σε υποχρεώσεις παροχής δεδομένων στις αρμόδιες αρχές μπορούν να συμμορφώνονται προς τις εν λόγω υποχρεώσεις παρέχοντας και διασφαλίζοντας την αποτελεσματική και έγκαιρη ηλεκτρονική πρόσβαση των αρμόδιων αρχών στα δεδομένα, ανεξαρτήτως του κράτους μέλους στην επικράτεια του οποίου τα δεδομένα υποβάλλονται σε επεξεργασία. Η εν λόγω πρόσβαση μπορεί να διασφαλίζεται με την πρόβλεψη συγκεκριμένων όρων και προϋποθέσεων στις συμβάσεις μεταξύ του φυσικού ή του νομικού προσώπου που υπόκειται στην υποχρέωση παροχής πρόσβασης και του παρόχου υπηρεσιών.

(26)

Σε περίπτωση που ένα φυσικό ή νομικό πρόσωπο υπόκειται σε υποχρέωση παροχής δεδομένων και δεν συμμορφώνεται προς αυτήν, η αρμόδια αρχή θα πρέπει να μπορεί να ζητήσει τη συνδρομή των αρμόδιων αρχών άλλων κρατών μελών. Σε αυτές τις περιπτώσεις, οι αρμόδιες αρχές θα πρέπει να αξιοποιούν συγκεκριμένες πράξεις του ενωσιακού δικαίου ή βάσει διεθνών συμφωνιών που αφορούν τη συνεργασία, ανάλογα με το αντικείμενο της εκάστοτε περίπτωσης, όπως, για παράδειγμα, στον τομέα της αστυνομικής συνεργασίας, της ποινικής ή της αστικής δικαιοσύνης ή σε διοικητικά θέματα αντιστοίχως, την απόφαση-πλαίσιο 2006/960/ΔΕΥ (9), την οδηγία 2014/41/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (10), τη σύμβαση κατά του ηλεκτρονικού εγκλήματος του Συμβουλίου της Ευρώπης (11), τον κανονισμό (ΕΚ) αριθ. 1206/2001 του Συμβουλίου (12), την οδηγία 2006/112/ΕΚ του Συμβουλίου (13) και τον κανονισμό (ΕΕ) αριθ. 904/2010 του Συμβουλίου (14). Ελλείψει παρόμοιων ειδικών μηχανισμών συνεργασίας, οι αρμόδιες αρχές θα πρέπει να συνεργάζονται μεταξύ τους προκειμένου να παρέχουν πρόσβαση στα ζητούμενα δεδομένα, μέσω καθορισμένων ενιαίων σημείων επαφής.

(27)

Εφόσον αίτημα συνδρομής συνεπάγεται την απόκτηση πρόσβασης σε εγκαταστάσεις φυσικού ή νομικού προσώπου, καθώς και σε κάθε εξοπλισμό και μέσο επεξεργασίας δεδομένων, από την αιτούμενη αρχή, η εν λόγω πρόσβαση πρέπει να είναι σύμφωνη με το ενωσιακό δίκαιο ή το εθνικό δικονομικό δίκαιο, συμπεριλαμβανομένης τυχόν απαίτησης εκ των προτέρων λήψης δικαστικής άδειας.

(28)

Ο παρών κανονισμός δεν θα πρέπει να παρέχει τη δυνατότητα στους χρήστες να επιχειρούν να αποφύγουν την εφαρμογή του εθνικού δικαίου. Επομένως, θα πρέπει να προβλεφθεί η επιβολή από τα κράτη μέλη αποτελεσματικών, αναλογικών και αποτρεπτικών κυρώσεων στους χρήστες που εμποδίζουν τις αρμόδιες αρχές να αποκτούν πρόσβαση στα δικά τους δεδομένα που είναι αναγκαία για την εκτέλεση των επίσημων καθηκόντων των αρμόδιων αρχών σύμφωνα με το ενωσιακό και το εθνικό δίκαιο. Σε επείγουσες περιπτώσεις, όταν χρήστης κάνει κατάχρηση του δικαιώματός του, τα κράτη μέλη θα πρέπει να μπορούν να επιβάλλουν αυστηρώς αναλογικά προσωρινά μέτρα. Κάθε προσωρινό μέτρο που απαιτεί την επανατοπικοποίηση των δεδομένων για διάστημα μεγαλύτερο των 180 ημερών μετά την επανατοπικοποίηση θα απέκλινε από την αρχή της ελεύθερης κυκλοφορίας των δεδομένων για σημαντική χρονική περίοδο και, ως εκ τούτου, θα πρέπει να γνωστοποιείται στην Επιτροπή για την εξέταση της συμβατότητάς του με το ενωσιακό δίκαιο.

(29)

Η ικανότητα μεταφοράς δεδομένων χωρίς εμπόδια αποτελεί βασικό παράγοντα στη διευκόλυνση των επιλογών των χρηστών και του αποτελεσματικού ανταγωνισμού στις αγορές υπηρεσιών επεξεργασίας δεδομένων. Οι πραγματικές ή οι αντιληπτές δυσκολίες στη μεταφορά δεδομένων πέραν συνόρων υπονομεύουν επίσης την εμπιστοσύνη των επαγγελματιών χρηστών στην αξιοποίηση προσφορών εκτός συνόρων και, ως εκ τούτου, την εμπιστοσύνη τους στην εσωτερική αγορά. Παρότι οι μεμονωμένοι καταναλωτές ωφελούνται από το ισχύον ενωσιακό δίκαιο, δεν διευκολύνεται η ικανότητα να αλλάζουν παρόχους υπηρεσιών για εκείνους τους χρήστες που δρουν στο πλαίσιο των επιχειρηματικών ή των επαγγελματικών τους δραστηριοτήτων. Η συνέπεια των τεχνικών απαιτήσεων σε ολόκληρη την Ένωση, είτε αφορά τεχνική εναρμόνιση, αμοιβαία αναγνώριση είτε προαιρετική εναρμόνιση, συμβάλλει επίσης στην ανάπτυξη μιας ανταγωνιστικής εσωτερικής αγοράς για τις υπηρεσίες επεξεργασίας δεδομένων.

(30)

Προκειμένου να αξιοποιήσουν πλήρως το ανταγωνιστικό περιβάλλον, οι επαγγελματίες χρήστες θα πρέπει να μπορούν να προβαίνουν σε τεκμηριωμένες επιλογές και να συγκρίνουν εύκολα τα επιμέρους χαρακτηριστικά των διαφόρων υπηρεσιών επεξεργασίας δεδομένων που παρέχονται στην εσωτερική αγορά, συμπεριλαμβανομένου σε ό,τι αφορά τους συμβατικούς όρους και προϋποθέσεις μεταφοράς δεδομένων κατά την καταγγελία σύμβασης. Προκειμένου να ευθυγραμμίζονται με το δυναμικό καινοτομίας της αγοράς και να λαμβάνουν υπόψη την πείρα και την εμπειρογνωσία των παρόχων υπηρεσιών και των επαγγελματιών χρηστών υπηρεσιών επεξεργασίας δεδομένων, οι απαιτήσεις αναλυτικής πληροφόρησης και οι επιχειρησιακές απαιτήσεις όσον αφορά τη μεταφορά δεδομένων θα πρέπει να καθορίζονται από τους φορείς της αγοράς μέσω αυτορρύθμισης, να ενθαρρύνονται, να διευκολύνονται και να παρακολουθούνται από την Επιτροπή, υπό μορφή ενωσιακών κωδίκων δεοντολογίας οι οποίοι ενδέχεται να περιλαμβάνουν υποδείγματα συμβατικών όρων και προϋποθέσεων.

(31)

Για να είναι αποτελεσματικοί και να καταστήσουν ευκολότερη την αλλαγή παρόχων υπηρεσιών και τη μεταφορά των δεδομένων, οι εν λόγω κώδικες δεοντολογίας θα πρέπει να είναι ολοκληρωμένοι και να καλύπτουν τουλάχιστον τις βασικές πτυχές που είναι σημαντικές κατά τη διαδικασία της μεταφοράς δεδομένων, όπως τις διαδικασίες και τη θέση εφεδρικών αντιγράφων δεδομένων, τους διαθέσιμους μορφοτύπους δεδομένων και τα υποθέματα, την απαιτούμενη διαμόρφωση παραμέτρων ΤΠ και το απαιτούμενο ελάχιστο εύρος ζώνης δικτύου, τον χρόνο που απαιτείται πριν από την έναρξη της διαδικασίας μεταφοράς και το χρονικό διάστημα κατά τη διάρκεια του οποίου τα δεδομένα θα παραμείνουν διαθέσιμα για μεταφορά, καθώς και τις εγγυήσεις πρόσβασης στα δεδομένα σε περίπτωση πτώχευσης του παρόχου υπηρεσιών. Οι κώδικες δεοντολογίας θα πρέπει επίσης να καθιστούν σαφές ότι ο εγκλωβισμός σε συγκεκριμένο πάροχο δεν αποτελεί αποδεκτή επιχειρηματική πρακτική, θα πρέπει να περιέχουν προβλέψεις για τεχνολογίες που αυξάνουν την εμπιστοσύνη και θα πρέπει να επικαιροποιούνται τακτικά προκειμένου να συμβαδίζουν με τις τεχνολογικές εξελίξεις. Η Επιτροπή θα πρέπει να διασφαλίζει ότι πραγματοποιούνται διαβουλεύσεις με όλους τους σχετικούς συμφεροντούχους, συμπεριλαμβανομένων ενώσεων μικρών και μεσαίων επιχειρήσεων (ΜΜΕ) και νεοσύστατων επιχειρήσεων, των χρηστών και των παρόχων υπηρεσιών υπολογιστικού νέφους, καθ' όλη τη διάρκεια της διαδικασίας. Η Επιτροπή θα πρέπει να αξιολογεί τη δημιουργία και την αποτελεσματικότητα της εφαρμογής των εν λόγω κωδίκων δεοντολογίας.

(32)

Σε περίπτωση που μια αρμόδια αρχή ενός κράτους μέλους ζητήσει τη συνδρομή άλλου κράτους μέλους για την απόκτηση πρόσβασης σε δεδομένα βάσει του παρόντος κανονισμού, θα πρέπει να υποβάλει, μέσω καθορισμένου ενιαίου σημείου επαφής, δεόντως αιτιολογημένο αίτημα στο καθορισμένο ενιαίο σημείο επαφής του τελευταίου κράτους μέλους, το οποίο θα πρέπει να συμπεριλαμβάνει γραπτή επεξήγηση των λόγων και των νομικών βάσεων για τα οποία ζητείται η πρόσβαση στα δεδομένα. Το ενιαίο σημείο επαφής που έχει οριστεί από το κράτος μέλος του οποίου ζητείται η συνδρομή θα πρέπει να διευκολύνει τη διαβίβαση του αιτήματος στη σχετική αρμόδια αρχή του κράτους μέλους από το οποίο ζητείται η συνδρομή. Προκειμένου να διασφαλίζεται η αποτελεσματική συνεργασία, η αρχή στην οποία διαβιβάζεται ένα αίτημα θα πρέπει να παρέχει άνευ αδικαιολόγητης καθυστέρησης συνδρομή ανταποκρινόμενη σε δεδομένο αίτημα ή να παρέχει πληροφορίες σχετικά με τις δυσκολίες που αντιμετώπισε κατά την ικανοποίηση του εν λόγω αιτήματος ή τους λόγους για τους οποίους αρνείται την ικανοποίηση του αιτήματος.

(33)

Η ενίσχυση της εμπιστοσύνης στην ασφάλεια της επεξεργασίας δεδομένων πέραν συνόρων θα πρέπει να περιορίσει την τάση των φορέων της αγοράς και του δημόσιου τομέα να χρησιμοποιούν την τοπικοποίηση των δεδομένων ως μέσο για τη διασφάλιση της ασφάλειας των δεδομένων. Θα πρέπει επίσης να βελτιώσει την ασφάλεια δικαίου για τις επιχειρήσεις όσον αφορά τη συμμόρφωση προς τις ισχύουσες απαιτήσεις ασφάλειας κατά την εξωτερική ανάθεση των δραστηριοτήτων τους επεξεργασίας δεδομένων σε παρόχους υπηρεσιών, συμπεριλαμβανομένων εκείνων σε άλλα κράτη μέλη.

(34)

Οποιεσδήποτε απαιτήσεις ασφάλειας σχετιζόμενες με την επεξεργασία δεδομένων οι οποίες εφαρμόζονται κατά τρόπο αιτιολογημένο και αναλογικό με βάση το ενωσιακό ή εθνικό δίκαιο και σε συμμόρφωση με το ενωσιακό δίκαιο που ισχύει στο κράτος μέλος διαμονής ή εγκατάστασης των φυσικών ή των νομικών προσώπων τα οποία είναι οι κάτοχοι των σχετικών δεδομένων θα πρέπει να συνεχίσουν να ισχύουν για την επεξεργασία των εν λόγω δεδομένων σε άλλο κράτος μέλος. Τα εν λόγω φυσικά ή νομικά πρόσωπα θα πρέπει να μπορούν να εκπληρώνουν τις εν λόγω απαιτήσεις είτε τα ίδια είτε μέσω συμβατικών όρων που περιλαμβάνονται σε συμβάσεις με παρόχους υπηρεσιών.

(35)

Οι απαιτήσεις ασφάλειας που θεσπίζονται σε εθνικό επίπεδο θα πρέπει να είναι αναγκαίες και ανάλογες των κινδύνων που ενέχει η επεξεργασία δεδομένων που εμπίπτει στο πεδίο εφαρμογής του εθνικού δικαίου στο οποίο καθορίζονται οι εν λόγω απαιτήσεις.

(36)

Στην οδηγία 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (15) προβλέπεται η λήψη μέτρων για την ενίσχυση του γενικού επιπέδου κυβερνοασφάλειας στην Ένωση. Οι υπηρεσίες επεξεργασίας δεδομένων συγκαταλέγονται μεταξύ των ψηφιακών υπηρεσιών που καλύπτει η εν λόγω οδηγία. Σύμφωνα με την εν λόγω οδηγία, τα κράτη μέλη πρέπει να εξασφαλίζουν ότι οι πάροχοι ψηφιακών υπηρεσιών προσδιορίζουν και λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν. Τα εν λόγω μέτρα θα πρέπει να διασφαλίζουν επίπεδο ασφάλειας ανάλογο του παρουσιαζόμενου κινδύνου και θα πρέπει να λαμβάνουν υπόψη την ασφάλεια συστημάτων και εγκαταστάσεων, τη διαχείριση περιστατικών, τη διαχείριση της επιχειρηματικής συνέχειας, την παρακολούθηση, τον έλεγχο και τις δοκιμές, καθώς και τη συμμόρφωση προς τα διεθνή πρότυπα. Τα εν λόγω στοιχεία θα εξειδικεύσει περαιτέρω η Επιτροπή σε εκτελεστικές πράξεις δυνάμει της εν λόγω οδηγίας.

(37)

Η Επιτροπή θα πρέπει να υποβάλλει έκθεση σχετικά με την εφαρμογή του παρόντος κανονισμού, ιδίως προκειμένου να καθορίζεται η ανάγκη τροποποίησης υπό το πρίσμα των εξελίξεων στην τεχνολογία ή τις αγορές. Η έκθεση αυτή θα πρέπει, πιο συγκεκριμένα, να αξιολογεί τον παρόντα κανονισμό, ιδίως την εφαρμογή του στα σύνολα δεδομένων που συντίθενται από δεδομένα τόσο προσωπικού όσο και μη προσωπικού χαρακτήρα, καθώς και την εφαρμογή της εξαίρεσης για λόγους δημόσιας ασφάλειας. Πριν από την έναρξη εφαρμογής του παρόντος κανονισμού, η Επιτροπή θα πρέπει επίσης να δημοσιεύσει ενημερωτικές κατευθυντήριες γραμμές για τον τρόπο χειρισμού των συνόλων δεδομένων που συντίθενται από δεδομένα τόσο προσωπικού όσο και μη προσωπικού χαρακτήρα, προκειμένου οι επιχειρήσεις, συμπεριλαμβανομένων των ΜΜΕ, να κατανοήσουν καλύτερα την αλληλεπίδραση μεταξύ του παρόντος κανονισμού και του κανονισμού (ΕΕ) 2016/679 και να διασφαλίσουν τη συμμόρφωση και με τους δύο κανονισμούς.

(38)

Ο παρών κανονισμός σέβεται τα θεμελιώδη δικαιώματα και τηρεί τις αρχές που αναγνωρίζονται ιδίως από τον Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και θα πρέπει να ερμηνεύεται και να εφαρμόζεται σύμφωνα με τα εν λόγω δικαιώματα και αρχές, συμπεριλαμβανομένων των δικαιωμάτων προστασίας των δεδομένων προσωπικού χαρακτήρα, της ελευθερίας της έκφρασης και ενημέρωσης και της επιχειρηματικής ελευθερίας.

(39)

Δεδομένου ότι ο στόχος του παρόντος κανονισμού, δηλαδή η διασφάλιση της ελεύθερης ροής δεδομένων μη προσωπικού χαρακτήρα στην Ένωση, δεν μπορεί να επιτευχθεί επαρκώς από τα κράτη μέλη, μπορεί όμως, εξαιτίας της κλίμακας και των αποτελεσμάτων του, να επιτευχθεί καλύτερα σε επίπεδο Ένωσης, η Ένωση δύναται να λάβει μέτρα, σύμφωνα με την αρχή της επικουρικότητας του άρθρου 5 ΣΕΕ. Σύμφωνα με την αρχή της αναλογικότητας, όπως διατυπώνεται στο ίδιο άρθρο, ο παρών κανονισμός δεν υπερβαίνει τα αναγκαία όρια για την επίτευξη του στόχου αυτού,