(1)

Digitalizarea economiei se accelerează. Tehnologiile informației și comunicațiilor nu mai reprezintă un sector specific, ci fundamentul tuturor sistemelor economice și al societăților inovatoare moderne. Datele electronice se află în centrul acestor sisteme și pot genera o valoare semnificativă atunci când sunt analizate sau utilizate împreună cu servicii și produse. În același timp, dezvoltarea rapidă a economiei bazate pe date și a tehnologiilor emergente, cum ar fi inteligența artificială, produsele și serviciile legate de internetul obiectelor, sistemele autonome și 5G, prezintă noi aspecte juridice privind accesul la date și reutilizarea acestora, răspunderea, etica și solidaritatea. Ar trebui să se lucreze în ceea ce privește chestiunea răspunderii, în special prin implementarea unor coduri de autoreglementare și a altor bune practici, având în vedere recomandările, deciziile și acțiunile adoptate fără interacțiune umană de-a lungul întregului lanț valoric de prelucrare a datelor. Această muncă ar putea să privească de asemenea mecanismele adecvate pentru stabilirea răspunderii, pentru transferul responsabilității între serviciile care cooperează, pentru asigurări și pentru audit.

(2)

Lanțurile valorice ale datelor se bazează pe diferite activități legate de date: crearea și colectarea datelor; agregarea și organizarea datelor; prelucrarea datelor; analiza, comercializarea și distribuirea datelor; utilizarea și reutilizarea datelor. Funcționarea eficace și eficientă a prelucrării datelor este o componentă fundamentală a oricărui lanț valoric al datelor. Cu toate acestea, funcționarea eficace și eficientă a prelucrării datelor și dezvoltarea economiei bazate pe date în Uniune sunt afectate, în special, de două tipuri de obstacole în calea mobilității datelor și a pieței interne: cerințele stabilite de către autoritățile statelor membre privind localizarea datelor și practicile privind dependența de furnizor („vendor lock-in”) în sectorul privat.

(3)

Libertatea de stabilire și libertatea de a furniza servicii în temeiul Tratatului privind funcționarea Uniunii Europene (TFUE) se aplică serviciilor de prelucrare a datelor. Totuși, furnizarea acestor servicii este îngreunată sau uneori împiedicată de anumite cerințe naționale, regionale sau locale de localizare a datelor într-un anumit teritoriu.

(4)

Aceste obstacole în calea liberei circulații a serviciilor de prelucrare a datelor și a dreptului de stabilire a furnizorilor de servicii sunt generate de cerințele prevăzute de legislațiile statelor membre de a localiza datele într-o anumită zonă geografică sau într-un anumit teritoriu în scopul prelucrării datelor. Alte norme sau practici administrative au un efect echivalent prin impunerea unor cerințe specifice care fac mai dificilă prelucrarea datelor în afara unei anumite zone geografice sau a unui anumit teritoriu din Uniune, cum ar fi cerințele de a utiliza mijloacele tehnologice care sunt certificate sau aprobate într-un anumit stat membru. Securitatea juridică, în măsura în care privește cerințele legitime și ilegitime de localizare a datelor, limitează și mai mult opțiunile aflate la dispoziția actorilor de pe piață și a sectorului public în ceea privește localizarea prelucrării datelor. Prezentul regulament nu limitează în niciun fel libertatea întreprinderilor de a încheia contracte care precizează locul în care trebuie să se afle datele. Prezentul regulament urmărește doar să protejeze această libertate, prin garantarea faptului că locul convenit poate fi situat oriunde în Uniune.

(5)

În același timp, mobilitatea datelor în Uniune este împiedicată, de asemenea, de restricții private: aspecte juridice, contractuale și tehnice care îi stânjenesc sau îi împiedică pe utilizatorii de servicii de prelucrare a datelor să își porteze datele de la un furnizor de servicii la altul sau înapoi către propriile sisteme informatice, în special la încetarea contractului lor cu un furnizor de servicii.

(6)

Combinarea acestor obstacole a dus la o lipsă a concurenței între furnizorii de servicii de cloud din Uniune, la diferite probleme legate de dependența de furnizor și la o gravă lipsă de mobilitate a datelor. În mod similar, politicile de localizare a datelor au subminat capacitatea întreprinderilor din domeniul cercetării și dezvoltării de a facilita colaborarea între întreprinderi, universități și alte organizații de cercetare pentru a stimula inovarea.

(7)

Din motive de securitate juridică și datorită necesității unor condiții de concurență echitabile în Uniune, un set unic de norme pentru toți participanții la piață reprezintă un element-cheie pentru funcționarea pieței interne. Pentru a elimina obstacolele din calea schimburilor comerciale și denaturările concurenței generate de divergențele dintre legislațiile naționale și pentru a împiedica apariția unor noi astfel de obstacole în calea schimburilor comerciale și denaturări semnificative ale concurenței, este necesar să se adopte norme uniforme aplicabile în toate statele membre.

(8)

Cadrul juridic privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind respectarea vieții private și protecția datelor cu caracter personal în comunicațiile electronice, în special Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului (3) și Directivele (UE) 2016/680 (4) și 2002/58/CE (5) ale Parlamentului European și ale Consiliului nu sunt afectate de prezentul regulament.

(9)

Internetul obiectelor, inteligența artificială și învățarea automatizată, aflate în expansiune, constituie surse importante de date fără caracter personal, de exemplu ca urmare a utilizării acestora în procesele automatizate de producție industrială. Exemple specifice de date fără caracter personal includ seturile de date agregate și anonimizate utilizate pentru analiza volumelor mari de date, datele privind agricultura de precizie, care pot contribui la monitorizarea și optimizarea utilizării pesticidelor și a apei sau date privind necesitățile de întreținere a mașinilor industriale. Dacă progresele tehnologice fac posibilă transformarea datelor anonimizate în date cu caracter personal, astfel de date urmează să fie tratate ca date cu caracter personal, iar Regulamentul (UE) 2016/679 urmează să se aplice în mod corespunzător.

(10)

În temeiul Regulamentului (UE) 2016/679, statele membre nu pot nici să limiteze, nici să interzică libera circulație a datelor cu caracter personal în cadrul Uniunii din motive legate de protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal. Prezentul regulament stabilește același principiu al liberei circulații în cadrul Uniunii pentru datele fără caracter personal, cu excepția cazului în care o restricție sau o interdicție este justificată din motive de securitate publică. Regulamentul (UE) 2016/679 și prezentul regulament prevăd o serie coerentă de norme care reglementează libera circulație a diferitelor tipuri de date. În plus, prezentul regulament nu impune obligația de a stoca separat diferitele tipuri de date.

(11)

În vederea creării unui cadru pentru libera circulație a datelor fără caracter personal în Uniune și a fundamentului pentru dezvoltarea unei economii bazate pe date și sporirea competitivității industriei Uniunii, este necesar să se definească un cadru juridic clar, cuprinzător și previzibil pentru prelucrarea datelor, altele decât datele cu caracter personal, în piața internă. O abordare bazată pe principii care prevede cooperarea dintre statele membre, precum și autoreglementarea ar trebui să asigure o flexibilitate suficientă a cadrului încât acesta să poată ține seama de nevoile în continuă evoluție ale utilizatorilor, ale furnizorilor de servicii și ale autorităților naționale din Uniune. Pentru a evita riscul de suprapunere cu mecanismele existente și, prin urmare, o sporire a sarcinii suportate atât de statele membre, cât și de întreprinderi, nu ar trebui stabilite norme tehnice detaliate.

(12)

Prezentul regulament nu ar trebui să afecteze prelucrarea datelor, în măsura în care se desfășoară ca parte dintr-o activitate care nu intră sub incidența dreptului Uniunii. În special, ar trebui reamintit faptul că, în conformitate cu articolul 4 din Tratatul privind Uniunea Europeană (TUE), securitatea națională ține de responsabilitatea exclusivă a fiecărui stat membru.

(13)

Libera circulație a datelor în Uniune va juca un rol important în realizarea creșterii și a inovării bazate pe date. La fel ca întreprinderile și consumatorii, autoritățile publice și organismele de drept public ale statelor membre urmează să beneficieze de o libertate mai mare de alegere în ceea ce privește furnizorii de servicii bazate pe date, de prețuri mai competitive și de furnizarea mai eficientă a serviciilor pentru cetățeni. Având în vedere cantitățile mari de date pe care le gestionează, este extrem de important ca autoritățile publice și organismele de drept public să dea un exemplu prin utilizarea serviciilor de prelucrare a datelor și să nu impună restricții în materie de localizare a datelor când folosesc servicii de prelucrare a datelor. Prin urmare, autoritățile publice și organismele de drept public ar trebui să facă obiectul prezentului regulament. În această privință, principiul liberei circulații a datelor fără caracter personal prevăzut de prezentul regulament ar trebui să se aplice, de asemenea, practicilor administrative generale și consecvente și altor cerințe în materie de localizare a datelor în domeniul achizițiilor publice, fără a aduce atingere Directivei 2014/24/UE a Parlamentului European și a Consiliului (6).

(14)

La fel ca în cazul Directivei 2014/24/UE, prezentul regulament nu aduce atingere actelor cu putere de lege și actelor administrative referitoare la organizarea internă a statelor membre și care atribuie, în rândul autorităților publice și organismelor de drept public, competențe și responsabilități pentru procesarea datelor, fără remunerarea contractuală a părților private, precum și actelor cu putere de lege și actelor administrative ale statelor membre care reglementează punerea în aplicare a acestor competențe și responsabilități. Chiar dacă autoritățile publice și organismele de drept public sunt încurajate să ia în considerare avantajele economice și alte beneficii ale externalizării către furnizori externi de servicii, aceștia pot avea motive legitime pentru a alege furnizarea internă a serviciilor sau internalizarea. În consecință, nicio dispoziție din prezentul regulament nu obligă statele membre să contracteze sau să externalizeze furnizarea serviciilor pe care doresc să le presteze ele însele sau să le organizeze prin alte mijloace decât prin contracte de achiziții publice.

(15)

Prezentul regulament ar trebui să se aplice persoanelor fizice sau juridice care furnizează servicii de prelucrare a datelor pentru utilizatori care își au reședința sau sunt stabiliți în Uniune, inclusiv celor care furnizează servicii de prelucrare a datelor pe teritoriul Uniunii fără a fi stabiliți în Uniune. Prezentul regulament nu ar trebui să se aplice, așadar, serviciilor de prelucrare a datelor care sunt furnizate în afara Uniunii și cerințelor de localizare a datelor referitoare la astfel de date.

(16)

Prezentul regulament nu prevede normele referitoare la stabilirea legii aplicabile în materie comercială și, prin urmare, nu aduce atingere dispozițiilor din Regulamentul (CE) nr. 593/2008 al Parlamentului European și al Consiliului (7). În special, în măsura în care legea aplicabilă unui contract nu a fost aleasă în conformitate cu regulamentul respectiv, un contract de furnizare de servicii este, în principiu, reglementat de dreptul țării în care își are sediul obișnuit furnizorul de servicii.

(17)

Prezentul regulament ar trebui să se aplice prelucrării datelor în sensul cel mai larg, cuprinzând utilizarea tuturor tipurilor de sisteme informatice, indiferent dacă acestea se află la sediul utilizatorului sau sunt externalizate către un furnizor de servicii. Prezentul regulament ar trebui să acopere prelucrarea datelor la diferite niveluri de intensitate, de la stocarea datelor [infrastructura ca serviciu (IaaS)] la prelucrarea datelor pe platforme [platforma ca serviciu (PaaS)] sau în aplicații [software-ul ca serviciu (SaaS)].

(18)

Cerințele de localizare a datelor reprezintă un obstacol clar în calea liberei furnizări a serviciilor de prelucrare a datelor în Uniune și în calea pieței interne. Prin urmare, acestea ar trebui interzise, cu excepția cazului în care sunt justificate din motive de siguranță publică, astfel cum sunt definite de dreptul Uniunii, în special în sensul articolului 52 din TFUE, și respectă principiul proporționalității, prevăzut la articolul 5 din TUE. Pentru a pune în aplicare principiul liberei circulații a datelor fără caracter personal la nivel transfrontalier, pentru a asigura eliminarea rapidă a cerințelor existente de localizare a datelor și pentru a permite, din motive operaționale, prelucrarea datelor în mai multe locuri din Uniune și deoarece prezentul regulament prevede măsuri de asigurare a disponibilității datelor în scopuri de control de reglementare, statele membre ar trebui să poată invoca numai siguranța publică drept justificare pentru cerințele de localizare a datelor.

(19)

Conceptul de „siguranță publică”, în sensul articolului 52 din TFUE și conform interpretării date de Curtea de Justiție, cuprinde atât securitatea internă, cât și cea externă a unui stat membru, precum și aspectele siguranței publice, în special pentru a facilita investigarea, depistarea și urmărirea penală a infracțiunilor. Aceasta presupune existența unei amenințări reale și suficient de grave care afectează unul dintre interesele fundamentale ale societății, cum ar fi o amenințare la adresa funcționării instituțiilor și a serviciilor publice esențiale și la adresa supraviețuirii populației, precum și riscul unei perturbări grave a relațiilor externe sau a conviețuirii pașnice a națiunilor ori un risc la adresa intereselor militare. În conformitate cu principiul proporționalității, cerințele privind localizarea datelor care sunt justificate din motive de siguranță publică ar trebui să fie adecvate pentru îndeplinirea obiectivului urmărit și nu ar trebui să depășească ceea ce este necesar pentru atingerea acestui obiectiv.

(20)

Pentru a se asigura aplicarea eficace a principiului liberei circulații a datelor fără caracter personal la nivel transfrontalier și pentru a preveni apariția unor noi bariere în calea bunei funcționări a pieței interne, statele membre ar trebui să comunice imediat Comisiei orice proiect de act care introduce o nouă cerință de localizare a datelor sau modifică o cerință existentă de localizare a datelor. Aceste proiecte de acte ar trebui să fie prezentate și evaluate în conformitate cu Directiva (UE) 2015/1535 a Parlamentului European și a Consiliului (8).

(21)

În plus, pentru a elimina potențialele bariere existente, în decursul unei perioade de tranziție de 24 de luni de la data aplicării prezentului regulament, statele membre ar trebui să efectueze o examinare a actelor cu putere de lege și a actelor administrative cu caracter general care stabilesc cerințele existente de localizare a datelor și să comunice Comisiei orice astfel de cerință de localizare a datelor pe care o consideră ca fiind conformă cu prezentul regulament, împreună cu o justificare pentru aceasta. Acest fapt ar trebui să permită Comisiei să examineze conformitatea oricăror cerințe rămase de localizare a datelor. Comisia ar trebui să poată, după caz, să trimită observații statului membru în cauză. Astfel de observații ar putea include o recomandare de modificare sau de abrogare a cerinței de localizare a datelor.

(22)

Obligația stabilită prin prezentul regulament de a comunica Comisiei cerințele existente de localizare a datelor și proiectele de acte ar trebui să se aplice cerințelor normative de localizare a datelor și proiectelor de acte cu caracter general, dar nu deciziilor adresate unei anumite persoane fizice sau juridice.

(23)

În vederea asigurării transparenței cerințelor de localizare a datelor în statele membre stabilite într-un act cu putere de lege sau act administrativ cu caracter general pentru persoanele fizice și juridice, cum ar fi furnizorii de servicii și utilizatorii de servicii de prelucrare a datelor, statele membre ar trebui să publice informații privind astfel de cerințe la un punct național unic de informare online și să actualizeze periodic aceste informații. În mod alternativ, statele membre ar trebui să ofere informații actualizate cu privire la astfel de cerințe la un punct de informare central stabilit în temeiul altui act al Uniunii. Pentru a informa în mod corespunzător persoanele fizice și juridice cu privire la cerințele de localizare a datelor la nivelul întregii Uniuni, statele membre ar trebui să notifice Comisiei adresele acestor puncte unice de informare. Comisia ar trebui să publice aceste informații pe propriul site web, împreună cu o listă consolidată actualizată periodic a tuturor cerințelor de localizare a datelor în vigoare în statele membre, care include și informații pe scurt referitoare la respectivele cerințe.

(24)

Cerințele de localizare a datelor decurg în mod frecvent dintr-o lipsă de încredere în prelucrarea datelor la nivel transfrontalier, care rezultă din presupusa indisponibilitate a datelor pentru scopurile autorităților competente din statele membre, cum ar fi inspecția și auditul sau controlul de reglementare sau de supraveghere. Această lipsă de încredere nu poate fi depășită numai prin nulitatea clauzelor contractuale care interzic accesul legal la date din partea autorităților competente pentru îndeplinirea atribuțiilor lor oficiale. Prin urmare, prezentul regulament ar trebui să stipuleze în mod clar faptul că nu aduce atingere competențelor autorităților competente de a solicita și de a obține accesul la date, în conformitate cu dreptul Uniunii sau cu dreptul intern, și că autorităților competente nu le poate fi refuzat accesul la date pe motiv că datele sunt prelucrate în alt stat membru. Autoritățile competente pot impune cerințe funcționale pentru a sprijini accesul la date, cum ar fi obligația ca descrierile sistemului să fie păstrate în statul membru în cauză.

(25)

Persoanele fizice sau juridice care sunt supuse obligațiilor de a furniza date autorităților competente se pot conforma acestor obligații prin furnizarea și garantarea accesului electronic eficace și în timp util la date pentru autoritățile competente, indiferent de statul membru pe teritoriul căruia datele sunt prelucrate. Acest acces poate fi asigurat prin intermediul termenilor și clauzelor concrete prevăzute în contractele încheiate între persoanele fizice sau juridice supuse obligației de a oferi acces și furnizorii de servicii.

(26)

În cazul în care o persoană fizică sau juridică este supusă obligației de a furniza date și nu respectă obligația respectivă, autoritatea competentă ar trebui să fie în măsură să solicite asistență din partea autorităților competente din alte state membre. În astfel de cazuri, autoritățile competente ar trebui să utilizeze instrumentele de cooperare specifice prevăzute în dreptul Uniunii sau în acordurile internaționale, în funcție de obiectul specific fiecărui caz, de exemplu, în domeniul cooperării polițienești, al justiției penale sau civile sau, respectiv, în materie administrativă, Decizia-cadru 2006/960/JAI a Consiliului (9), Directiva 2014/41/UE a Parlamentului European și a Consiliului (10), Convenția Consiliului Europei privind criminalitatea informatică (11), Regulamentul (CE) nr. 1206/2001 al Consiliului (12), Directiva 2006/112/CE a Consiliului (13) și Regulamentul (UE) nr. 904/2010 al Consiliului (14). În absența unor astfel de mecanisme de cooperare specifice, autoritățile competente ar trebui să coopereze pentru a oferi acces la datele solicitate, prin intermediul punctelor unice de contact desemnate.

(27)

În cazul în care o cerere de asistență implică obținerea accesului la orice spațiu al unei persoane fizice sau juridice, inclusiv la orice echipamente și mijloace de prelucrare a datelor, de către autoritatea solicitată, acest acces trebuie să fie conform cu dreptul Uniunii sau cu dreptul procedural intern, inclusiv orice obligație de a obține o autorizație judiciară prealabilă.

(28)

Prezentul regulament nu ar trebui să permită utilizatorilor să încerce să eludeze aplicarea dreptului intern. Prin urmare, statele membre ar trebui să prevadă sancțiuni eficace, proporționale și disuasive pentru utilizatorii care împiedică autoritățile competente să primească acces la datele lor necesare pentru îndeplinirea sarcinilor oficiale ale autorităților competente în conformitate cu dreptul Uniunii și dreptul intern. În cazuri urgente, atunci când un utilizator abuzează de dreptul său, statele membre ar trebui să aibă capacitatea să impună măsuri strict proporționale și provizorii. Orice măsură provizorie care necesită relocalizarea datelor pentru o perioadă mai lungă de 180 de zile de la relocalizare s-ar îndepărta de principiul liberei circulații a datelor pentru o perioadă semnificativă și, așadar, ar trebui să fie comunicată Comisiei pentru verificarea compatibilității sale cu dreptul Uniunii.

(29)

Capacitatea de a porta datele fără obstacole este un factor esențial în facilitarea posibilității de alegere a utilizatorului și a concurenței eficace pe piețele de servicii de prelucrare a datelor. Dificultățile reale sau percepute de a porta datele la nivel transfrontalier subminează, de asemenea, încrederea utilizatorilor profesioniști atunci când acceptă ofertele transfrontaliere și, prin urmare, încrederea acestora în piața internă. În timp ce consumatorii individuali beneficiază de dreptul existent al Uniunii, capacitatea de a schimba furnizorii de servicii nu este facilitată pentru utilizatori în cadrul activităților comerciale sau profesionale ale acestora. Existența unor cerințe tehnice consecvente pe întreg teritoriul Uniunii, fie în legătură cu armonizarea tehnică, fie prin recunoaștere reciprocă sau armonizare voluntară contribuie, de asemenea, la dezvoltarea unei piețe interne competitive a serviciilor de prelucrare a datelor.

(30)

Pentru a beneficia pe deplin de mediul concurențial, utilizatorii profesioniști ar trebui să fie în măsură să facă alegeri în cunoștință de cauză și să compare cu ușurință componentele individuale ale diverselor servicii de prelucrare a datelor oferite pe piața internă, inclusiv în ceea ce privește termenii și clauzele contractuale de portare a datelor la încheierea unui contract. În vederea alinierii la potențialul de inovare al pieței și pentru a lua în considerare experiența și cunoștințele de specialitate ale furnizorilor de servicii și ale utilizatorilor profesioniști de servicii de prelucrare a datelor, informațiile detaliate și cerințele operaționale pentru portarea datelor ar trebui să fie definite de actorii de pe piață prin autoreglementare, încurajată, facilitată și monitorizată de Comisie, sub formă de coduri de conduită ale Uniunii care ar putea include un model de termeni și clauze contractuale.

(31)

Pentru a fi eficiente și pentru a facilita schimbarea furnizorului de servicii și portarea datelor, astfel de coduri de conduită ar trebui să fie cuprinzătoare și să includă cel puțin aspectele esențiale importante în cadrul procesului de portare a datelor, precum procesele folosite pentru copiile de siguranță ale datelor și locația acestora; formatele și suporturile disponibile ale datelor; configurația informatică necesară și lărgimea minimă de bandă; perioada de timp necesară înainte de a începe procesul de portare și perioada de timp pe parcursul căreia datele vor rămâne disponibile pentru portare; și garanțiile privind accesarea datelor în cazul falimentului furnizorului de servicii. De asemenea, codurile de conduită ar trebui să precizeze clar că dependența de furnizor nu este o practică comercială acceptabilă, să prevadă tehnologii care să mărească încrederea clienților și să fie actualizate periodic pentru a ține pasul cu evoluțiile tehnologice. Comisia ar trebui să se asigure că toate părțile interesate relevante, inclusiv asociațiile de întreprinderi mici și mijlocii (IMM-uri) și de întreprinderi nou-înființate, utilizatorii și furnizorii de servicii de tip cloud să fie consultate în acest proces. Comisia ar trebui să evalueze elaborarea și eficacitatea aplicării unor astfel de coduri de conduită.

(32)

În cazul în care o autoritate competentă dintr-un stat membru solicită asistență din partea unui alt stat membru pentru a obține acces la date în temeiul prezentului regulament, aceasta ar trebui ca, printr-un punct unic de contact desemnat, să transmită punctului unic de contact desemnat din cel din urmă stat membru o cerere motivată în mod corespunzător, care ar trebui să includă o explicație scrisă a motivelor și temeiurile juridice pentru solicitarea accesului la date. Punctul unic de contact desemnat de statul membru a cărui asistență este solicitată ar trebui să faciliteze transmiterea cererii către autoritatea competentă relevantă din statul membru solicitat. Pentru a se asigura o cooperare eficace, autoritatea căreia îi este transmisă cererea ar trebui să ofere asistență fără întârzieri nejustificate ca răspuns la o anumită cerere sau să furnizeze informații privind dificultățile întâmpinate în soluționarea unei astfel de cereri sau privind motivele de refuz al acesteia.

(33)

Consolidarea încrederii în securitatea prelucrării datelor la nivel transfrontalier ar trebui să reducă tendința actorilor de pe piață și a sectorului public de a utiliza localizarea datelor ca un indicator pentru securitatea datelor. De asemenea, aceasta ar trebui să îmbunătățească securitatea juridică pentru întreprinderi cu privire la îndeplinirea cerințelor de securitate aplicabile atunci când își externalizează activitățile de prelucrare a datelor către furnizorii de servicii, inclusiv către cei din alte state membre.

(34)

Orice cerințe de securitate legate de prelucrarea datelor care se aplică în mod justificat și proporțional în temeiul dreptului Uniunii sau al dreptului intern în conformitate cu dreptul Uniunii în statul membru de ședere sau de stabilire al persoanelor fizice sau juridice ale căror date sunt vizate ar trebui să continue să se aplice pentru prelucrarea acestor date în alt stat membru. Respectivele persoane fizice sau juridice ar trebui să fie în măsură să îndeplinească aceste cerințe fie direct, fie prin intermediul unor clauze contractuale prevăzute în contractele încheiate cu furnizorii de servicii.

(35)

Cerințele de securitate stabilite la nivel național ar trebui să fie necesare și proporționale cu riscurile la adresa securității prelucrării datelor din domeniul de aplicare al dreptului intern în care sunt stabilite aceste cerințe.

(36)

Directiva (UE) 2016/1148 a Parlamentului European și a Consiliului (15) prevede măsuri juridice pentru sporirea nivelului global al securității cibernetice în Uniune. Serviciile de prelucrare a datelor se numără printre serviciile digitale care intră sub incidența directivei menționate. Conform directivei menționate, statele membre urmează să se asigure că furnizorii de servicii digitale identifică și iau măsuri tehnice și organizatorice adecvate și proporționale pentru a gestiona riscurile la adresa securității rețelelor și a sistemelor informatice pe care le utilizează. Aceste măsuri ar trebui să asigure un nivel de securitate adecvat riscului existent și să țină cont de securitatea sistemelor și a instalațiilor, de gestionarea incidentelor, de gestionarea continuității activității, de monitorizare, auditare și testare, precum și de conformitatea cu standardele internaționale. Aceste elemente urmează să fie precizate de către Comisie în actele de punere în aplicare în temeiul directivei menționate.

(37)

Comisia ar trebui să prezinte un raport cu privire la punerea în aplicare a prezentului regulament, în special pentru a stabili dacă este necesar să se efectueze modificări ca urmare a evoluțiilor tehnologice sau ale pieței. Acest raport ar trebui să evalueze îndeosebi punerea în aplicare a prezentului regulament în ceea ce privește seturile de date compuse din date cu caracter personal și date fără caracter personal, precum și punerea în aplicare a excepției privind siguranța publică. Înainte ca prezentul regulament să înceapă să se aplice, Comisia ar trebui de asemenea să publice orientări cu caracter informativ cu privire la modalitatea de gestionare a seturilor de date compuse din date cu caracter personal și date fără caracter personal, pentru ca întreprinderile, inclusiv IMM-urile, să înțeleagă mai bine interacțiunea dintre prezentul regulament și Regulamentul (UE) 2016/679 și să asigure conformitatea cu ambele.

(38)

Prezentul regulament respectă drepturile fundamentale și principiile recunoscute, în special, de Carta drepturilor fundamentale a Uniunii Europene, și ar trebui să fie interpretat și aplicat în conformitate cu aceste drepturi și principii, inclusiv dreptul la protecția datelor cu caracter personal, libertatea de expresie și de informare și libertatea de a desfășura o activitate comercială.

(39)

Deoarece obiectivul prezentului regulament, și anume asigurarea liberei circulații a datelor, altele decât datele cu caracter personal în Uniune, nu poate fi realizat în mod satisfăcător de către statele membre, dar, având în vedere amploarea și efectele sale, poate fi realizat mai bine la nivelul Uniunii, aceasta poate adopta măsuri, în conformitate cu principiul subsidiarității, astfel cum este prevăzut la articolul 5 din TUE. În conformitate cu principiul proporționalității, astfel cum este definit la articolul menționat, prezentul regulament nu depășește ceea ce este necesar pentru realizarea acestui obiectiv,