Κανονισμός (ΕΚ) 2018/1807 της 14ης Νοεμβρίου 2018 σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση

Κανονισμός (ΕΚ) 2018/1807 της 14ης Νοεμβρίου 2018 σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση

ΚΑΝΟΝΙΣΜΟΣ (ΕΕ) 2018/1807 ΤΟΥ ΕΥΡΩΠΑΪΚΟΥ ΚΟΙΝΟΒΟΥΛΙΟΥ ΚΑΙ ΤΟΥ ΣΥΜΒΟΥΛΙΟΥ
της 14ης Νοεμβρίου 2018 σχετικά με ένα πλαίσιο για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ευρωπαϊκή Ένωση


(Κείμενο που παρουσιάζει ενδιαφέρον για τον ΕΟΧ)

ΤΟ ΕΥΡΩΠΑΪΚΟ ΚΟΙΝΟΒΟΥΛΙΟ ΚΑΙ ΤΟ ΣΥΜΒΟΥΛΙΟ ΤΗΣ ΕΥΡΩΠΑΪΚΗΣ ΕΝΩΣΗΣ,

Έχοντας υπόψη τη Συνθήκη για τη λειτουργία της Ευρωπαϊκής 'Ένωσης, και ιδίως το άρθρο 114,

Έχοντας υπόψη την πρόταση της Ευρωπαϊκής Επιτροπής,

Κατόπιν διαβίβασης του σχεδίου νομοθετικής πράξης στα εθνικά κοινοβούλια,

Έχοντας υπόψη τη γνώμη της Ευρωπαϊκής Οικονομικής και Κοινωνικής Επιτροπής (1),

Αφού ζήτησαν τη γνώμη της Επιτροπής των Περιφερειών,

Αποφασίζοντας σύμφωνα με τη συνήθη νομοθετική διαδικασία (2),

Εκτιμώντας τα ακόλουθα:

(1) Η ψηφιοποίηση της οικονομίας επιταχύνεται. Η τεχνολογία των πληροφοριών και των επικοινωνιών δεν αποτελεί πλέον ειδικό τομέα, αλλά το θεμέλιο όλων των σύγχρονων καινοτόμων οικονομικών συστημάτων και κοινωνιών. Τα ηλεκτρονικά δεδομένα αποτελούν τον πυρήνα των εν λόγω συστημάτων και μπορούν να δημιουργήσουν υψηλή αξία όταν αναλύονται ή συνδυάζονται με υπηρεσίες και προϊόντα. Ταυτόχρονα, η ραγδαία ανάπτυξη της οικονομίας δεδομένων και των αναδυόμενων τεχνολογιών, όπως η τεχνητή νοημοσύνη, τα προϊόντα και οι υπηρεσίες του διαδικτύου των πραγμάτων, τα αυτόνομα συστήματα, καθώς και τα δίκτυα 5G, εγείρουν νέα νομικά ζητήματα ως προς την πρόσβαση και την επαναχρησιμοποίηση των δεδομένων, την ευθύνη, τη δεοντολογία και την αλληλεγγύη. Θα πρέπει να εξεταστεί η εργασία όσον αφορά το ζήτημα της ευθύνης, κυρίως μέσω της εφαρμογής κωδίκων αυτορρύθμισης και άλλων βέλτιστων πρακτικών, λαμβάνοντας υπόψη τις συστάσεις, τις αποφάσεις και τα μέτρα που έχουν ληφθεί χωρίς ανθρώπινη παρέμβαση σε όλο το μήκος της αλυσίδας αξίας της επεξεργασίας των δεδομένων. Η εργασία αυτή θα μπορούσε επίσης να περιλαμβάνει κατάλληλους μηχανισμούς για τον προσδιορισμό της ευθύνης, για τη μεταβίβαση της ευθύνης μεταξύ των συνεργαζόμενων υπηρεσιών, για την ασφάλιση και για τον λογιστικό έλεγχο.

(2) Οι αλυσίδες αξίας δεδομένων αποτελούνται από διάφορες δραστηριότητες δεδομένων: τη δημιουργία και συλλογή δεδομένων· τη συγκέντρωση και οργάνωση δεδομένων· την επεξεργασία δεδομένων· την ανάλυση, την εμπορία και τη διανομή δεδομένων· τη χρήση και την επαναχρησιμοποίηση δεδομένων. Η αποδοτική και αποτελεσματική λειτουργία της επεξεργασίας δεδομένων αποτελεί θεμέλιο λίθο οποιασδήποτε αλυσίδας αξίας δεδομένων. Ωστόσο, η αποδοτική και αποτελεσματική λειτουργία της επεξεργασίας δεδομένων και η ανάπτυξη της οικονομίας δεδομένων στην Ένωση παρεμποδίζονται, πιο συγκεκριμένα, από δύο τύπους εμποδίων στην κινητικότητα των δεδομένων και στην εσωτερική αγορά: απαιτήσεις τοπικοποίησης των δεδομένων που τίθενται από τις αρχές των κρατών μελών και πρακτικές εγκλωβισμού σε συγκεκριμένο πάροχο στον ιδιωτικό τομέα.

(3) Η ελευθερία εγκαταστάσεως και η ελευθερία παροχής υπηρεσιών βάσει της Συνθήκης για τη λειτουργία της Ευρωπαϊκής Ένωσης («ΣΛΕΕ») ισχύουν για τις υπηρεσίες επεξεργασίας δεδομένων. Ωστόσο, η παροχή των εν λόγω υπηρεσιών παρεμποδίζεται ή αποτρέπεται ενίοτε λόγω της ύπαρξης ορισμένων εθνικών, περιφερειακών ή τοπικών απαιτήσεων περιορισμού τοπικοποίησης των δεδομένων σε συγκεκριμένη επικράτεια.

(4) Τα εν λόγω εμπόδια στην ελεύθερη κυκλοφορία των υπηρεσιών επεξεργασίας δεδομένων, καθώς και στο δικαίωμα εγκαταστάσεως παρόχων υπηρεσιών επεξεργασίας δεδομένων οφείλονται στην ύπαρξη απαιτήσεων στα δίκαια των κρατών μελών για τη θέση των δεδομένων σε συγκεκριμένη γεωγραφική περιοχή ή επικράτεια με σκοπό την επεξεργασία. Αλλοι κανόνες ή διοικητικές πρακτικές έχουν παρόμοιο αποτέλεσμα διά της επιβολής συγκεκριμένων απαιτήσεων, οι οποίες δυσχεραίνουν ακόμη περισσότερο την επεξεργασία των δεδομένων εκτός συγκεκριμένης γεωγραφικής περιοχής ή επικράτειας στην Ένωση, όπως απαιτήσεις χρήσης τεχνολογικών εγκαταστάσεων οι οποίες έχουν πιστοποιηθεί ή εγκριθεί σε συγκεκριμένο κράτος μέλος. Η έλλειψη ασφάλειας δικαίου όσον αφορά την έκταση των νόμιμων και παράτυπων απαιτήσεων τοπικοποίησης των δεδομένων περιορίζει περαιτέρω τις επιλογές που είναι διαθέσιμες στους φορείς της αγοράς και στον δημόσιο τομέα όσον αφορά τη θέση επεξεργασίας των δεδομένων. Ο παρών κανονισμός δεν περιορίζει με κανέναν τρόπο την ελευθερία των επιχειρήσεων να συνάπτουν συμβάσεις που προσδιορίζουν τη θέση στην οποία θα βρίσκονται τα δεδομένα. Ο παρών κανονισμός αποσκοπεί απλώς στη διασφάλιση της εν λόγω ελευθερίας, εξασφαλί-ζοντας ότι η συμφωνημένη θέση δύναται να βρίσκεται οπουδήποτε εντός της Ένωσης.

(5) Ταυτόχρονα, η κινητικότητα των δεδομένων στην 'Ένωση παρεμποδίζεται επίσης από περιορισμούς στον ιδιωτικό τομέα: νομικά, συμβατικά και τεχνικά ζητήματα που παρεμποδίζουν ή αποτρέπουν τους χρήστες υπηρεσιών επεξεργασίας δεδομένων να μεταφέρουν τα δεδομένα τους από έναν πάροχο υπηρεσιών σε άλλον ή να τα επιστρέφουν στα δικά τους συστήματα τεχνολογίας πληροφοριών (ΤΠ), μεταξύ άλλων σε περίπτωση καταγγελίας της σύμβασής τους με πάροχο υπηρεσιών.

(6) Ο συνδυασμός των εμποδίων αυτών έχει προκαλέσει έλλειψη ανταγωνισμού μεταξύ των παρόχων υπηρεσιών υπολογι¬στικού νέφους στην Ένωση, διάφορα ζητήματα εγκλωβισμού σε συγκεκριμένο πάροχο (vendor lock-in) καθώς και σοβαρή έλλειψη κινητικότητας δεδομένων. Ομοίως, οι πολιτικές τοπικοποίησης δεδομένων έχουν υπονομεύσει την ικανότητα των επιχειρήσεων έρευνας και ανάπτυξης να διευκολύνουν τη συνεργασία μεταξύ εταιρειών, πανεπιστημίων και άλλων ερευνητικών οργανισμών, ώστε να προωθούν την καινοτομία.

(7) Για λόγους ασφάλειας δικαίου και εξαιτίας της ανάγκης για ίσους όρους ανταγωνισμού εντός της Ένωσης, ένα ενιαίο σύνολο κανόνων για όλους τους συμμετέχοντες στην αγορά αποτελεί καίριο στοιχείο για τη λειτουργία της εσωτερικής αγοράς. Προκειμένου να εξαλειφθούν τα εμπόδια για το εμπόριο και οι στρεβλώσεις του ανταγωνισμού που οφείλονται σε αποκλίσεις μεταξύ των εθνικών νομοθεσιών και να αποτραπούν περαιτέρω πιθανά εμπόδια για το εμπόριο και σημαντικές στρεβλώσεις του ανταγωνισμού, είναι απαραίτητη η θέσπιση ομοιόμορφων κανόνων οι οποίοι θα ισχύουν σε όλα τα κράτη μέλη.

(8) Το νομικό πλαίσιο για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα και για τον σεβασμό της ιδιωτικής ζωής και την προστασία των δεδομένων προσωπικού χαρακτήρα στις ηλεκτρονικές επικοινωνίες και ιδίως ο κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (3) και οι οδηγίες (ΕΕ) 2016/680 (4) και 2002/58/ΕΚ (5) του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου δεν θίγονται από τον παρόντα κανονισμό.

(9) Μεγάλες πηγές δεδομένων μη προσωπικού χαρακτήρα είναι το επεκτεινόμενο διαδίκτυο των πραγμάτων, η τεχνητή νοημοσύνη και η εκμάθηση μηχανής, για παράδειγμα ως αποτέλεσμα της χρήση τους σε αυτοματοποιημένες διαδικασίες βιομηχανικής παραγωγής. Συγκεκριμένα παραδείγματα δεδομένων μη προσωπικού χαρακτήρα είναι τα συγκεντρωτικά και ανωνυμοποιημένα σύνολα δεδομένων που χρησιμοποιούνται για την ανάλυση μαζικών δεδομένων, τα δεδομένα για τη γεωργία ακριβείας που μπορούν να συμβάλουν στην παρακολούθηση και τη βελτιστοποίηση της χρήσης φυτοφαρμάκων και νερού ή τα δεδομένα σχετικά με τις ανάγκες συντήρησης για βιομηχανικά μηχανήματα. Εάν οι τεχνολογικές εξελίξεις καταστήσουν δυνατή τη μετατροπή ανωνυμοποιημένων δεδομένων σε δεδομένα προσωπικού χαρακτήρα, τότε αυτά τα δεδομένα θα αντιμετωπίζονται ως δεδομένα προσωπικού χαρακτήρα και θα εφαρμόζεται αναλόγως ο κανονισμός (ΕΕ) 2016/679.

(10) Σύμφωνα με τον κανονισμό (ΕΕ) 2016/679, τα κράτη μέλη δεν δύνανται να περιορίζουν ούτε να απαγορεύουν την ελεύθερη κυκλοφορία δεδομένων προσωπικού χαρακτήρα εντός της Ένωσης για λόγους που σχετίζονται με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα. Στον παρόντα κανονισμό διατυπώνεται η ίδια αρχή της ελεύθερης κυκλοφορίας εντός της Ένωσης για τα δεδομένα μη προσωπικού χαρακτήρα όταν ο περιορισμός ή η απαγόρευση δικαιολογείται για λόγους δημόσιας ασφάλειας. Ο κανονισμός (ΕΕ) 2016/679 και ο παρών κανονισμός παρέχουν ένα συνεκτικό σύνολο κανόνων που διέπουν την ελεύθερη κυκλοφορία διάφορων τύπων δεδομένων. Ακόμη, ο παρών κανονισμός δεν επιβάλλει υποχρέωση χωριστής αποθήκευσης των διαφορετικών τύπων δεδομένων.

(11) Για τη δημιουργία ενός πλαισίου για την ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ένωση και προκειμένου να τεθούν τα θεμέλια για την ανάπτυξη της οικονομίας δεδομένων και την ενίσχυση της ανταγωνιστικότητας της βιομηχανίας της Ένωσης, είναι απαραίτητος ο προσδιορισμός ενός σαφούς, ολοκληρωμένου και προβλέψιμου νομικού πλαισίου για την επεξεργασία δεδομένων μη προσωπικού χαρακτήρα στην εσωτερική αγορά. Η υιοθέτηση προσέγγισης βάσει αρχών η οποία προβλέπει συνεργασία μεταξύ των κρατών μελών, καθώς και αυτορρύθμιση, θα πρέπει να διασφαλίσει ένα επαρκώς ευέλικτο πλαίσιο ώστε να μπορούν να συνυπολογίζονται οι εξελισσόμενες ανάγκες των χρηστών, των παρόχων υπηρεσιών και των εθνικών αρχών στην Ένωση. Προκειμένου να αποφευχθεί ο κίνδυνος αλληλεπικαλύψεων με υφιστάμενους μηχανισμούς και, κατ' επέκταση, να αποφευχθεί η περαιτέρω επιβάρυνση των κρατών μελών και των επιχειρήσεων, δεν θα πρέπει να θεσπιστούν αναλυτικοί τεχνικοί κανόνες.

(12) Ο παρών κανονισμός δεν θα πρέπει να επηρεάζει την επεξεργασία δεδομένων εφόσον εκτελείται ως μέρος μιας δραστηριότητας που δεν εμπίπτει στο πεδίο εφαρμογής του ενωσιακού δικαίου. Ειδικότερα, θα πρέπει να υπενθυμιστεί ότι, σύμφωνα με το άρθρο 4 της Συνθήκης για την Ευρωπαϊκή Ένωση («ΣΕΕ»), η εθνική ασφάλεια αποτελεί αποκλειστική ευθύνη εκάστου κράτους μέλους.

(13) Η ελεύθερη ροή των δεδομένων εντός της 'Ένωσης θα διαδραματίσει σημαντικό ρόλο στην επίτευξη της ανάπτυξης και της καινοτομίας που βασίζονται στα δεδομένα. Όπως και οι επιχειρήσεις και οι καταναλωτές, οι δημόσιες αρχές και οργανισμοί δημοσίου δικαίου των κρατών μελών θα ωφεληθούν από τη μεγαλύτερη ελευθερία επιλογής όσον αφορά τους παρόχους υπηρεσιών που βασίζονται στα δεδομένα, από τις ανταγωνιστικότερες τιμές και από την αποτελεσματικότερη παροχή υπηρεσιών στους πολίτες. Δεδομένου του μεγάλου αριθμού δεδομένων που χειρίζονται οι δημόσιες αρχές και οργανισμοί δημοσίου δικαίου, είναι υψίστης σημασίας να ηγηθούν δίνοντας το παράδειγμα για την αφομοίωση των υπηρεσιών επεξεργασίας δεδομένων και να αποφύγουν κάθε περιορισμό στην τοπικοποίηση των δεδομένων όταν κάνουν χρήση υπηρεσιών επεξεργασίας δεδομένων. Κατά συνέπεια, οι δημόσιες αρχές και οργανισμοί δημοσίου δικαίου θα πρέπει να καλύπτονται από τον παρόντα κανονισμό. Στο πλαίσιο αυτό, η αρχή της ελεύθερης ροής δεδομένων μη προσωπικού χαρακτήρα που προβλέπεται από τον παρόντα κανονισμό θα πρέπει να ισχύει επίσης στις γενικές και πάγιες διοικητικές πρακτικές και άλλες απαιτήσεις τοπικοποίησης δεδομένων στον τομέα των δημοσίων συμβάσεων, με την επιφύλαξη της οδηγίας 2014/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (6).

(14) Όπως και στην περίπτωση της οδηγίας 2014/24/ΕΕ, ο παρών κανονισμός ισχύει με την επιφύλαξη των νομοθετικών, κανονιστικών και διοικητικών διατάξεων οι οποίες σχετίζονται με την εσωτερική οργάνωση των κρατών μελών και οι οποίες κατανέμουν, μεταξύ δημόσιων αρχών και οργανισμών δημόσιου δικαίου, εξουσίες και αρμοδιότητες για την επεξεργασία δεδομένων χωρίς συμβατική αμοιβή των ιδιωτών, καθώς και των νομοθετικών, κανονιστικών και διοικητικών διατάξεων των κρατών μελών οι οποίες προβλέπουν την άσκηση των εν λόγω εξουσιών και αρμοδιοτήτων. Ενώ οι δημόσιες αρχές και οργανισμοί δημόσιου δικαίου ενθαρρύνονται να εξετάσουν τα οικονομικά και άλλα πλεονεκτήματα της ανάθεσης σε εξωτερικούς παρόχους υπηρεσιών, ενδέχεται να έχουν θεμιτούς λόγους να επιλέγουν αυτοεφοδιασμό των υπηρεσιών ή εσωτερική ανάθεση. Συνεπώς, καμία διάταξη του παρόντος κανονισμού δεν υποχρεώνει τα κράτη μέλη να αναθέτουν σε τρίτους ή σε εξωτερικούς φορείς την παροχή υπηρεσιών που επιθυμούν να παρέχουν τα ίδια ή να οργανώνουν με άλλα μέσα πλην των δημόσιων συμβάσεων.

(15) Ο παρών κανονισμός θα πρέπει να εφαρμόζεται σε φυσικά ή νομικά πρόσωπα τα οποία παρέχουν υπηρεσίες επεξεργασίας δεδομένων σε χρήστες που διαμένουν ή έχουν την έδρα της επιχείρησής τους στην Ένωση, συμπεριλαμβανομένων όσων παρέχουν υπηρεσίες επεξεργασίας δεδομένων στην Ένωση χωρίς να έχουν την έδρα της επιχείρησής τους σε αυτή. Ο παρών κανονισμός θα πρέπει επομένως να μην εφαρμόζεται σε υπηρεσίες επεξεργασίας δεδομένων που λαμβάνουν χώρα εκτός της Ένωσης και σε απαιτήσεις τοπικοποίησης δεδομένων που σχετίζονται με τα εν λόγω δεδομένα.

(16) Ο παρών κανονισμός δεν θεσπίζει κανόνες σχετικά με τον προσδιορισμό του εφαρμοστέου δικαίου σε εμπορικές υποθέσεις και, ως εκ τούτου, δεν θίγει τον κανονισμό (ΕΚ) αριθ. 593/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (7). Ειδικότερα, στο μέτρο που το εφαρμοστέο στη σύμβαση δίκαιο δεν έχει επιλεγεί σύμφωνα με τον εν λόγω κανονισμό, μια σύμβαση για την παροχή υπηρεσιών διέπεται, καταρχήν, από το δίκαιο της χώρας στην οποία ο πάροχος υπηρεσίας έχει τη συνήθη διαμονή του.

(17) Ο παρών κανονισμός θα πρέπει να εφαρμόζεται στην επεξεργασία δεδομένων υπό την ευρύτερη δυνατή έννοια, συμπεριλαμβανομένης της χρήσης όλων των τύπων συστημάτων ΤΠ, είτε αυτά βρίσκονται στις εγκαταστάσεις του χρήστη είτε ανατίθενται εξωτερικά σε πάροχο υπηρεσιών. Θα πρέπει να καλύπτει την επεξεργασία δεδομένων διαφορετικών επιπέδων έντασης, από την αποθήκευση δεδομένων (υποδομή ως υπηρεσία (IaaS)) μέχρι την επεξεργασία δεδομένων σε πλατφόρμες (πλατφόρμα ως υπηρεσία (PaaS)) ή σε εφαρμογές (λογισμικό ως υπηρεσία (SaaS)).

(18) Οι απαιτήσεις τοπικοποίησης των δεδομένων αποτελούν σαφές εμπόδιο στην ελεύθερη παροχή υπηρεσιών επεξεργασίας δεδομένων στην Ένωση και στην εσωτερική αγορά. Ως τέτοιες, θα πρέπει να απαγορευτούν, εκτός εάν η ύπαρξή τους δικαιολογείται από λόγους δημόσιας ασφάλειας, όπως ορίζεται στο ενωσιακό δίκαιο, ιδίως κατά την έννοια του άρθρου 52 ΣΛΕΕ, και εφόσον πληρούν την αρχή της αναλογικότητας που κατοχυρώνεται στο άρθρο 5 ΣΕΕ. Προκειμένου να τηρηθεί αποτελεσματικά η αρχή της ελεύθερης ροής των δεδομένων μη προσωπικού χαρακτήρα πέραν συνόρων, να εφαρμοστεί η ταχεία κατάργηση των υφιστάμενων απαιτήσεων τοπικοποίησης των δεδομένων και να καταστεί εφικτή, για επιχειρησιακούς λόγους, η επεξεργασία δεδομένων σε πολλαπλές θέσεις στην Ένωση, και δεδομένου ότι στον παρόντα κανονισμό προβλέπεται η λήψη μέτρων για τη διασφάλιση της διαθεσιμότητας των δεδομένων για λόγους διενέργειας ρυθμιστικών ελέγχων, τα κράτη μέλη θα πρέπει να μπορούν να επικαλούνται μόνο τη δημόσια ασφάλεια ως λόγο για τις απαιτήσεις τοπικοποίησης δεδομένων.

(19) Η έννοια της «δημόσιας ασφάλειας», κατά την έννοια του άρθρου 52 ΣΛΕΕ και όπως ερμηνεύεται από το Δικαστήριο, καλύπτει τόσο την εσωτερική όσο και την εξωτερική ασφάλεια ενός κράτους μέλους, καθώς και ζητήματα δημόσιας ασφάλειας, προκειμένου, ιδίως, να καθίσταται δυνατή η διερεύνηση, η ανίχνευση και η δίωξη ποινικών αδικημάτων. Προϋποθέτει την ύπαρξη πραγματικής και αρκούντως σοβαρής απειλής έναντι κάποιου από τα θεμελιώδη συμφέροντα της κοινωνίας, όπως η απειλή έναντι της λειτουργίας των θεσμών και των βασικών δημοσίων υπηρεσιών, η απειλή έναντι της επιβίωσης του πληθυσμού, καθώς και ο κίνδυνος σοβαρής διαταραχής των εξωτερικών σχέσεων ή της ειρηνικής συνύπαρξης των λαών ή ο κίνδυνος έναντι στρατιωτικών συμφερόντων. Σύμφωνα με την αρχή της αναλογικότητας, οι απαιτήσεις τοπικοποίησης των δεδομένων που δικαιολογούνται από λόγους δημόσιας ασφάλειας θα πρέπει να είναι κατάλληλες για την επίτευξη του επιδιωκόμενου στόχου, και δεν θα πρέπει να υπερβαίνουν ό,τι είναι αναγκαίο για την επίτευξη του στόχου αυτού.

(20) Προκειμένου να διασφαλιστεί η αποτελεσματική εφαρμογή της αρχής της ελεύθερης ροής των δεδομένων μη προσωπικού χαρακτήρα πέραν συνόρων και προκειμένου να αποτραπεί η δημιουργία νέων εμποδίων όσον αφορά την εύρυθμη λειτουργία της εσωτερικής αγοράς, τα κράτη μέλη θα πρέπει να γνωστοποιούν αμέσως στην Επιτροπή κάθε σχέδιο πράξης που θεσπίζει νέα απαίτηση τοπικοποίησης δεδομένων ή τροποποιεί υφιστάμενη ανάλογη απαίτηση. Αυτά τα σχέδια πράξεων θα πρέπει να υποβάλλονται και να αξιολογούνται σύμφωνα με την οδηγία (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (8).

(21) Επιπλέον, προκειμένου να εξαλειφθούν πιθανά υφιστάμενα εμπόδια, τα κράτη μέλη θα πρέπει στη διάρκεια μεταβατικής περιόδου 24 μηνών από την ημερομηνία εφαρμογής του παρόντος κανονισμού να επανεξετάσουν τις υφιστάμενες νομοθετικές, κανονιστικές ή διοικητικές διατάξεις γενικού χαρακτήρα που θεσπίζουν απαιτήσεις τοπικοποίησης δεδομένων και να ανακοινώσουν στην Επιτροπή τυχόν τέτοια απαίτηση τοπικοποίησης δεδομένων η οποία κρίνουν ότι είναι σύμφωνη προς τον παρόντα κανονισμό, μαζί με τη σχετική αιτιολόγηση. Τούτο θα πρέπει να παρέχει στην Επιτροπή τη δυνατότητα να εξετάζει τη συμμόρφωση τυχόν υπολειπόμενων απαιτήσεων τοπικοποίησης δεδομένων. Η Επιτροπή θα πρέπει να έχει τη δυνατότητα, όπου απαιτείται, να διατυπώνει παρατηρήσεις προς τα εν λόγω κράτη μέλη. Οι εν λόγω παρατηρήσεις θα μπορούσαν να περιλαμβάνουν σύσταση για την τροποποίηση ή κατάργηση της απαίτησης τοπικοποίησης δεδομένων.

(22) Οι υποχρεώσεις γνωστοποίησης των υφιστάμενων απαιτήσεων τοπικοποίησης δεδομένων και σχεδίων πράξεων προς την Επιτροπή, οι οποίες θεσπίζονται με τον παρόντα κανονισμό, θα πρέπει να εφαρμόζονται στις ρυθμιστικές απαιτήσεις τοπικοποίησης δεδομένων και στα σχέδια πράξεων γενικού χαρακτήρα, αλλά όχι στις αποφάσεις που απευθύνονται σε συγκεκριμένο φυσικό ή νομικό πρόσωπο.

(23) Προκειμένου να διασφαλιστεί η διαφάνεια των απαιτήσεων τοπικοποίησης δεδομένων στα κράτη μέλη οι οποίες θεσπίζονται με νομοθετικές, κανονιστικές ή διοικητικές διατάξεις γενικού χαρακτήρα για φυσικά και νομικά πρόσωπα, όπως οι πάροχοι υπηρεσιών και οι χρήστες υπηρεσιών επεξεργασίας δεδομένων, τα κράτη μέλη θα πρέπει να δημοσιεύουν πληροφορίες επί των απαιτήσεων αυτών σε ένα εθνικό επιγραμμικό ενιαίο σημείο πληροφόρησης και να επικαιροποιούν τακτικά τις εν λόγω πληροφορίες. Εναλλακτικά, τα κράτη μέλη θα πρέπει να παρέχουν επικαιροποιημένες πληροφορίες επί των εν λόγω απαιτήσεων σε ένα κεντρικό σημείο πληροφόρησης που θα συσταθεί βάσει άλλης ενωσιακής πράξης. Για τη δέουσα πληροφόρηση των φυσικών και νομικών προσώπων σχετικά με τις απαιτήσεις τοπικοποίησης δεδομένων στην Ένωση, τα κράτη μέλη θα πρέπει να κοινοποιούν στην Επιτροπή τις διευθύνσεις των εν λόγω ενιαίων σημείων πληροφόρησης. Η Επιτροπή θα πρέπει να δημοσιεύει τις πληροφορίες αυτές στον δικτυακό της τόπο, μαζί με έναν τακτικά επικαιροποιούμενο ενοποιημένο κατάλογο όλων των απαιτήσεων τοπικοποίησης δεδομένων που ισχύουν στα κράτη μέλη, συμπεριλαμβανομένων συνοπτικών πληροφοριών σχετικά με τις απαιτήσεις αυτές.

(24) Οι απαιτήσεις τοπικοποίησης δεδομένων οφείλονται συχνά σε έλλειψη εμπιστοσύνης στην επεξεργασία δεδομένων πέραν συνόρων, η οποία απορρέει από την εικαζόμενη μη διαθεσιμότητα δεδομένων για τους σκοπούς των αρμόδιων αρχών των κρατών μελών, όπως η διενέργεια επιθεώρησης και ελέγχου στο πλαίσιο ρυθμιστικού ή εποπτικού ελέγχου. Αυτή η έλλειψη εμπιστοσύνης δεν μπορεί να αντιμετωπισθεί αποκλειστικά με την ακυρότητα των συμβατικών ρητρών που απαγορεύουν τη νόμιμη πρόσβαση σε δεδομένα από τις αρμόδιες αρχές για την επιτέλεση των επίσημων καθηκόντων τους. Ως εκ τούτου, ο παρών κανονισμός θα πρέπει να ορίζει με σαφήνεια ότι δεν θίγονται οι αρμοδιότητες των αρμόδιων αρχών να ζητούν ή να αποκτούν πρόσβαση στα δεδομένα σύμφωνα με το ενωσιακό ή το εθνικό δίκαιο, καθώς και ότι η εν λόγω πρόσβαση των αρμόδιων αρχών στα δεδομένα δεν μπορεί να απορρίπτεται με την αιτιολογία ότι τα δεδομένα υποβάλλονται σε επεξεργασία σε άλλο κράτος μέλος. Οι αρμόδιες αρχές θα μπορούσαν να επιβάλουν λειτουργικές απαιτήσεις για τη στήριξη της πρόσβασης στα δεδομένα, όπως την απαίτηση να κρατούνται στο οικείο κράτος μέλος οι περιγραφές του συστήματος.

(25) Τα φυσικά ή τα νομικά πρόσωπα που υπόκεινται σε υποχρεώσεις παροχής δεδομένων στις αρμόδιες αρχές μπορούν να συμμορφώνονται προς τις εν λόγω υποχρεώσεις παρέχοντας και διασφαλίζοντας την αποτελεσματική και έγκαιρη ηλεκτρονική πρόσβαση των αρμόδιων αρχών στα δεδομένα, ανεξαρτήτως του κράτους μέλους στην επικράτεια του οποίου τα δεδομένα υποβάλλονται σε επεξεργασία. Η εν λόγω πρόσβαση μπορεί να διασφαλίζεται με την πρόβλεψη συγκεκριμένων όρων και προϋποθέσεων στις συμβάσεις μεταξύ του φυσικού ή του νομικού προσώπου που υπόκειται στην υποχρέωση παροχής πρόσβασης και του παρόχου υπηρεσιών.

(26) Σε περίπτωση που ένα φυσικό ή νομικό πρόσωπο υπόκειται σε υποχρέωση παροχής δεδομένων και δεν συμμορφώνεται προς αυτήν, η αρμόδια αρχή θα πρέπει να μπορεί να ζητήσει τη συνδρομή των αρμόδιων αρχών άλλων κρατών μελών. Σε αυτές τις περιπτώσεις, οι αρμόδιες αρχές θα πρέπει να αξιοποιούν συγκεκριμένες πράξεις του ενωσιακού δικαίου ή βάσει διεθνών συμφωνιών που αφορούν τη συνεργασία, ανάλογα με το αντικείμενο της εκάστοτε περίπτωσης, όπως, για παράδειγμα, στον τομέα της αστυνομικής συνεργασίας, της ποινικής ή της αστικής δικαιοσύνης ή σε διοικητικά θέματα αντιστοίχως, την απόφαση-πλαίσιο 2006/960/ΔΕΥ (9), την οδηγία 2014/41/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (10), τη σύμβαση κατά του ηλεκτρονικού εγκλήματος του Συμβουλίου της Ευρώπης (11), τον κανονισμό (ΕΚ) αριθ. 1206/2001 του Συμβουλίου (12), την οδηγία 2006/112/ΕΚ του Συμβουλίου (13) και τον κανονισμό (ΕΕ) αριθ. 904/2010 του Συμβουλίου (14). Ελλείψει παρόμοιων ειδικών μηχανισμών συνεργασίας, οι αρμόδιες αρχές θα πρέπει να συνεργάζονται μεταξύ τους προκειμένου να παρέχουν πρόσβαση στα ζητούμενα δεδομένα, μέσω καθορισμένων ενιαίων σημείων επαφής.

(27) Εφόσον αίτημα συνδρομής συνεπάγεται την απόκτηση πρόσβασης σε εγκαταστάσεις φυσικού ή νομικού προσώπου, καθώς και σε κάθε εξοπλισμό και μέσο επεξεργασίας δεδομένων, από την αιτούμενη αρχή, η εν λόγω πρόσβαση πρέπει να είναι σύμφωνη με το ενωσιακό δίκαιο ή το εθνικό δικονομικό δίκαιο, συμπεριλαμβανομένης τυχόν απαίτησης εκ των προτέρων λήψης δικαστικής άδειας.

(28) Ο παρών κανονισμός δεν θα πρέπει να παρέχει τη δυνατότητα στους χρήστες να επιχειρούν να αποφύγουν την εφαρμογή του εθνικού δικαίου. Επομένως, θα πρέπει να προβλεφθεί η επιβολή από τα κράτη μέλη αποτελεσματικών, αναλογικών και αποτρεπτικών κυρώσεων στους χρήστες που εμποδίζουν τις αρμόδιες αρχές να αποκτούν πρόσβαση στα δικά τους δεδομένα που είναι αναγκαία για την εκτέλεση των επίσημων καθηκόντων των αρμόδιων αρχών σύμφωνα με το ενωσιακό και το εθνικό δίκαιο. Σε επείγουσες περιπτώσεις, όταν χρήστης κάνει κατάχρηση του δικαιώματός του, τα κράτη μέλη θα πρέπει να μπορούν να επιβάλλουν αυστηρώς αναλογικά προσωρινά μέτρα. Κάθε προσωρινό μέτρο που απαιτεί την επανατοπικοποίηση των δεδομένων για διάστημα μεγαλύτερο των 180 ημερών μετά την επανατοπικοποίηση θα απέκλινε από την αρχή της ελεύθερης κυκλοφορίας των δεδομένων για σημαντική χρονική περίοδο και, ως εκ τούτου, θα πρέπει να γνωστοποιείται στην Επιτροπή για την εξέταση της συμβατότητάς του με το ενωσιακό δίκαιο.

(29) Η ικανότητα μεταφοράς δεδομένων χωρίς εμπόδια αποτελεί βασικό παράγοντα στη διευκόλυνση των επιλογών των χρηστών και του αποτελεσματικού ανταγωνισμού στις αγορές υπηρεσιών επεξεργασίας δεδομένων. Οι πραγματικές ή οι αντιληπτές δυσκολίες στη μεταφορά δεδομένων πέραν συνόρων υπονομεύουν επίσης την εμπιστοσύνη των επαγγελματιών χρηστών στην αξιοποίηση προσφορών εκτός συνόρων και, ως εκ τούτου, την εμπιστοσύνη τους στην εσωτερική αγορά. Παρότι οι μεμονωμένοι καταναλωτές ωφελούνται από το ισχύον ενωσιακό δίκαιο, δεν διευκολύνεται η ικανότητα να αλλάζουν παρόχους υπηρεσιών για εκείνους τους χρήστες που δρουν στο πλαίσιο των επιχειρηματικών ή των επαγγελματικών τους δραστηριοτήτων. Η συνέπεια των τεχνικών απαιτήσεων σε ολόκληρη την Ένωση, είτε αφορά τεχνική εναρμόνιση, αμοιβαία αναγνώριση είτε προαιρετική εναρμόνιση, συμβάλλει επίσης στην ανάπτυξη μιας ανταγωνιστικής εσωτερικής αγοράς για τις υπηρεσίες επεξεργασίας δεδομένων.

(30) Προκειμένου να αξιοποιήσουν πλήρως το ανταγωνιστικό περιβάλλον, οι επαγγελματίες χρήστες θα πρέπει να μπορούν να προβαίνουν σε τεκμηριωμένες επιλογές και να συγκρίνουν εύκολα τα επιμέρους χαρακτηριστικά των διαφόρων υπηρεσιών επεξεργασίας δεδομένων που παρέχονται στην εσωτερική αγορά, συμπεριλαμβανομένου σε ό,τι αφορά τους συμβατικούς όρους και προϋποθέσεις μεταφοράς δεδομένων κατά την καταγγελία σύμβασης. Προκειμένου να ευθυγραμμίζονται με το δυναμικό καινοτομίας της αγοράς και να λαμβάνουν υπόψη την πείρα και την εμπειρογνωσία των παρόχων υπηρεσιών και των επαγγελματιών χρηστών υπηρεσιών επεξεργασίας δεδομένων, οι απαιτήσεις αναλυτικής πληροφόρησης και οι επιχειρησιακές απαιτήσεις όσον αφορά τη μεταφορά δεδομένων θα πρέπει να καθορίζονται από τους φορείς της αγοράς μέσω αυτορρύθμισης, να ενθαρρύνονται, να διευκολύνονται και να παρακολουθούνται από την Επιτροπή, υπό μορφή ενωσιακών κωδίκων δεοντολογίας οι οποίοι ενδέχεται να περιλαμβάνουν υποδείγματα συμβατικών όρων και προϋποθέσεων.

(31) Για να είναι αποτελεσματικοί και να καταστήσουν ευκολότερη την αλλαγή παρόχων υπηρεσιών και τη μεταφορά των δεδομένων, οι εν λόγω κώδικες δεοντολογίας θα πρέπει να είναι ολοκληρωμένοι και να καλύπτουν τουλάχιστον τις βασικές πτυχές που είναι σημαντικές κατά τη διαδικασία της μεταφοράς δεδομένων, όπως τις διαδικασίες και τη θέση εφεδρικών αντιγράφων δεδομένων, τους διαθέσιμους μορφοτύπους δεδομένων και τα υποθέματα, την απαιτούμενη διαμόρφωση παραμέτρων ΤΠ και το απαιτούμενο ελάχιστο εύρος ζώνης δικτύου, τον χρόνο που απαιτείται πριν από την έναρξη της διαδικασίας μεταφοράς και το χρονικό διάστημα κατά τη διάρκεια του οποίου τα δεδομένα θα παραμείνουν διαθέσιμα για μεταφορά, καθώς και τις εγγυήσεις πρόσβασης στα δεδομένα σε περίπτωση πτώχευσης του παρόχου υπηρεσιών. Οι κώδικες δεοντολογίας θα πρέπει επίσης να καθιστούν σαφές ότι ο εγκλωβισμός σε συγκεκριμένο πάροχο δεν αποτελεί αποδεκτή επιχειρηματική πρακτική, θα πρέπει να περιέχουν προβλέψεις για τεχνολογίες που αυξάνουν την εμπιστοσύνη και θα πρέπει να επικαιροποιούνται τακτικά προκειμένου να συμβαδίζουν με τις τεχνολογικές εξελίξεις. Η Επιτροπή θα πρέπει να διασφαλίζει ότι πραγματοποιούνται διαβουλεύσεις με όλους τους σχετικούς συμφεροντούχους, συμπεριλαμβανομένων ενώσεων μικρών και μεσαίων επιχειρήσεων (ΜΜΕ) και νεοσύστατων επιχειρήσεων, των χρηστών και των παρόχων υπηρεσιών υπολογιστικού νέφους, καθ' όλη τη διάρκεια της διαδικασίας. Η Επιτροπή θα πρέπει να αξιολογεί τη δημιουργία και την αποτελεσματικότητα της εφαρμογής των εν λόγω κωδίκων δεοντολογίας.

(32) Σε περίπτωση που μια αρμόδια αρχή ενός κράτους μέλους ζητήσει τη συνδρομή άλλου κράτους μέλους για την απόκτηση πρόσβασης σε δεδομένα βάσει του παρόντος κανονισμού, θα πρέπει να υποβάλει, μέσω καθορισμένου ενιαίου σημείου επαφής, δεόντως αιτιολογημένο αίτημα στο καθορισμένο ενιαίο σημείο επαφής του τελευταίου κράτους μέλους, το οποίο θα πρέπει να συμπεριλαμβάνει γραπτή επεξήγηση των λόγων και των νομικών βάσεων για τα οποία ζητείται η πρόσβαση στα δεδομένα. Το ενιαίο σημείο επαφής που έχει οριστεί από το κράτος μέλος του οποίου ζητείται η συνδρομή θα πρέπει να διευκολύνει τη διαβίβαση του αιτήματος στη σχετική αρμόδια αρχή του κράτους μέλους από το οποίο ζητείται η συνδρομή. Προκειμένου να διασφαλίζεται η αποτελεσματική συνεργασία, η αρχή στην οποία διαβιβάζεται ένα αίτημα θα πρέπει να παρέχει άνευ αδικαιολόγητης καθυστέρησης συνδρομή ανταποκρινόμενη σε δεδομένο αίτημα ή να παρέχει πληροφορίες σχετικά με τις δυσκολίες που αντιμετώπισε κατά την ικανοποίηση του εν λόγω αιτήματος ή τους λόγους για τους οποίους αρνείται την ικανοποίηση του αιτήματος.

(33) Η ενίσχυση της εμπιστοσύνης στην ασφάλεια της επεξεργασίας δεδομένων πέραν συνόρων θα πρέπει να περιορίσει την τάση των φορέων της αγοράς και του δημόσιου τομέα να χρησιμοποιούν την τοπικοποίηση των δεδομένων ως μέσο για τη διασφάλιση της ασφάλειας των δεδομένων. Θα πρέπει επίσης να βελτιώσει την ασφάλεια δικαίου για τις επιχειρήσεις όσον αφορά τη συμμόρφωση προς τις ισχύουσες απαιτήσεις ασφάλειας κατά την εξωτερική ανάθεση των δραστηριοτήτων τους επεξεργασίας δεδομένων σε παρόχους υπηρεσιών, συμπεριλαμβανομένων εκείνων σε άλλα κράτη μέλη.

(34) Οποιεσδήποτε απαιτήσεις ασφάλειας σχετιζόμενες με την επεξεργασία δεδομένων οι οποίες εφαρμόζονται κατά τρόπο αιτιολογημένο και αναλογικό με βάση το ενωσιακό ή εθνικό δίκαιο και σε συμμόρφωση με το ενωσιακό δίκαιο που ισχύει στο κράτος μέλος διαμονής ή εγκατάστασης των φυσικών ή των νομικών προσώπων τα οποία είναι οι κάτοχοι των σχετικών δεδομένων θα πρέπει να συνεχίσουν να ισχύουν για την επεξεργασία των εν λόγω δεδομένων σε άλλο κράτος μέλος. Τα εν λόγω φυσικά ή νομικά πρόσωπα θα πρέπει να μπορούν να εκπληρώνουν τις εν λόγω απαιτήσεις είτε τα ίδια είτε μέσω συμβατικών όρων που περιλαμβάνονται σε συμβάσεις με παρόχους υπηρεσιών.

(35) Οι απαιτήσεις ασφάλειας που θεσπίζονται σε εθνικό επίπεδο θα πρέπει να είναι αναγκαίες και ανάλογες των κινδύνων που ενέχει η επεξεργασία δεδομένων που εμπίπτει στο πεδίο εφαρμογής του εθνικού δικαίου στο οποίο καθορίζονται οι εν λόγω απαιτήσεις.

(36) Στην οδηγία 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου (15) προβλέπεται η λήψη μέτρων για την ενίσχυση του γενικού επιπέδου κυβερνοασφάλειας στην Ένωση. Οι υπηρεσίες επεξεργασίας δεδομένων συγκαταλέγονται μεταξύ των ψηφιακών υπηρεσιών που καλύπτει η εν λόγω οδηγία. Σύμφωνα με την εν λόγω οδηγία, τα κράτη μέλη πρέπει να εξασφαλίζουν ότι οι πάροχοι ψηφιακών υπηρεσιών προσδιορίζουν και λαμβάνουν κατάλληλα και αναλογικά τεχνικά και οργανωτικά μέτρα για τη διαχείριση των κινδύνων όσον αφορά την ασφάλεια των συστημάτων δικτύου και πληροφοριών που χρησιμοποιούν. Τα εν λόγω μέτρα θα πρέπει να διασφαλίζουν επίπεδο ασφάλειας ανάλογο του παρουσιαζόμενου κινδύνου και θα πρέπει να λαμβάνουν υπόψη την ασφάλεια συστημάτων και εγκαταστάσεων, τη διαχείριση περιστατικών, τη διαχείριση της επιχειρηματικής συνέχειας, την παρακολούθηση, τον έλεγχο και τις δοκιμές, καθώς και τη συμμόρφωση προς τα διεθνή πρότυπα. Τα εν λόγω στοιχεία θα εξειδικεύσει περαιτέρω η Επιτροπή σε εκτελεστικές πράξεις δυνάμει της εν λόγω οδηγίας.

(37) Η Επιτροπή θα πρέπει να υποβάλλει έκθεση σχετικά με την εφαρμογή του παρόντος κανονισμού, ιδίως προκειμένου να καθορίζεται η ανάγκη τροποποίησης υπό το πρίσμα των εξελίξεων στην τεχνολογία ή τις αγορές. Η έκθεση αυτή θα πρέπει, πιο συγκεκριμένα, να αξιολογεί τον παρόντα κανονισμό, ιδίως την εφαρμογή του στα σύνολα δεδομένων που συντίθενται από δεδομένα τόσο προσωπικού όσο και μη προσωπικού χαρακτήρα, καθώς και την εφαρμογή της εξαίρεσης για λόγους δημόσιας ασφάλειας. Πριν από την έναρξη εφαρμογής του παρόντος κανονισμού, η Επιτροπή θα πρέπει επίσης να δημοσιεύσει ενημερωτικές κατευθυντήριες γραμμές για τον τρόπο χειρισμού των συνόλων δεδομένων που συντίθενται από δεδομένα τόσο προσωπικού όσο και μη προσωπικού χαρακτήρα, προκειμένου οι επιχειρήσεις, συμπεριλαμβανομένων των ΜΜΕ, να κατανοήσουν καλύτερα την αλληλεπίδραση μεταξύ του παρόντος κανονισμού και του κανονισμού (ΕΕ) 2016/679 και να διασφαλίσουν τη συμμόρφωση και με τους δύο κανονισμούς.

(38) Ο παρών κανονισμός σέβεται τα θεμελιώδη δικαιώματα και τηρεί τις αρχές που αναγνωρίζονται ιδίως από τον Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης και θα πρέπει να ερμηνεύεται και να εφαρμόζεται σύμφωνα με τα εν λόγω δικαιώματα και αρχές, συμπεριλαμβανομένων των δικαιωμάτων προστασίας των δεδομένων προσωπικού χαρακτήρα, της ελευθερίας της έκφρασης και ενημέρωσης και της επιχειρηματικής ελευθερίας.

(39) Δεδομένου ότι ο στόχος του παρόντος κανονισμού, δηλαδή η διασφάλιση της ελεύθερης ροής δεδομένων μη προσωπικού χαρακτήρα στην Ένωση, δεν μπορεί να επιτευχθεί επαρκώς από τα κράτη μέλη, μπορεί όμως, εξαιτίας της κλίμακας και των αποτελεσμάτων του, να επιτευχθεί καλύτερα σε επίπεδο Ένωσης, η Ένωση δύναται να λάβει μέτρα, σύμφωνα με την αρχή της επικουρικότητας του άρθρου 5 ΣΕΕ. Σύμφωνα με την αρχή της αναλογικότητας, όπως διατυπώνεται στο ίδιο άρθρο, ο παρών κανονισμός δεν υπερβαίνει τα αναγκαία όρια για την επίτευξη του στόχου αυτού,

ΕΞΕΔΩΣΑΝ ΤΟΝ ΠΑΡΟΝΤΑ ΚΑΝΟΝΙΣΜΟ:

Άρθρο 1
Αντικείμενο


Ο παρών κανονισμός έχει ως στόχο να διασφαλισθεί η ελεύθερη ροή των δεδομένων μη προσωπικού χαρακτήρα στην Ένωση με τον καθορισμό κανόνων σχετικά με τις απαιτήσεις τοπικοποίησης δεδομένων, τη δυνατότητα πρόσβασης των αρμόδιων αρχών σε δεδομένα και τη μεταφορά δεδομένων για τους επαγγελματίες χρήστες.

Άρθρο 2
Πεδίο εφαρμογής


1. Ο παρών κανονισμός εφαρμόζεται στην επεξεργασία ηλεκτρονικών δεδομένων μη προσωπικού χαρακτήρα στην Ένωση, η οποία:
α) παρέχεται ως υπηρεσία σε χρήστες που έχουν τόπο διαμονής ή εγκατάσταση στην Ένωση, ανεξαρτήτως εάν ο πάροχος της υπηρεσίας έχει την έδρα της επιχείρησής του στην Ένωση, ή
β) διεκπεραιώνεται από φυσικό ή νομικό πρόσωπο που έχει τόπο διαμονής ή εγκατάσταση στην Ένωση για τις δικές του ανάγκες.

2. Στην περίπτωση συνόλου δεδομένων που συντίθεται τόσο από δεδομένα προσωπικού όσο και από δεδομένα μη προσωπικού χαρακτήρα, ο παρών κανονισμός εφαρμόζεται στο μέρος του συνόλου δεδομένων που αφορά τα δεδομένα μη προσωπικού χαρακτήρα. Όταν τα δεδομένα προσωπικού και μη προσωπικού χαρακτήρα σε ένα σύνολο δεδομένων είναι άρρηκτα συνδεδεμένα, ο παρών κανονισμός εφαρμόζεται με την επιφύλαξη του κανονισμού (ΕΕ) 2016/679.

3. Ο παρών κανονισμός δεν εφαρμόζεται σε δραστηριότητα που δεν εμπίπτει στο πεδίο εφαρμογής του ενωσιακού δικαίου.
Ο παρών κανονισμός ισχύει με την επιφύλαξη των νομοθετικών, κανονιστικών και διοικητικών διατάξεων οι οποίες σχετίζονται με την εσωτερική οργάνωση των κρατών μελών και οι οποίες κατανέμουν, μεταξύ των δημόσιων αρχών και οργανισμών δημόσιου δικαίου που ορίζονται στο άρθρο 2 παράγραφος 1 σημείο 4) της οδηγίας 2014/24/ΕΕ, εξουσίες και αρμοδιότητες για την επεξεργασία δεδομένων χωρίς συμβατική αμοιβή ιδιωτών, καθώς και των νομοθετικών, κανονιστικών και διοικητικών διατάξεων των κρατών μελών οι οποίες προβλέπουν την άσκηση των εν λόγω εξουσιών και αρμοδιοτήτων.

Άρθρο 3
Ορισμοί


Για τους σκοπούς του παρόντος κανονισμού ισχύουν οι ακόλουθοι ορισμοί:
1) «δεδομένα»: δεδομένα μη προσωπικού χαρακτήρα όπως ορίζονται στο άρθρο 4 σημείο 1) του κανονισμού (ΕΕ) 2016/679,
2) «επεξεργασία»: οποιαδήποτε πράξη ή σειρά πράξεων που πραγματοποιείται, με ή χωρίς τη χρήση αυτοματοποιημένων μέσων, σε δεδομένα ή σε σύνολα δεδομένων σε ηλεκτρονική μορφή, όπως η συλλογή, η καταχώριση, η οργάνωση, η διάρθρωση, η αποθήκευση, η προσαρμογή ή η μεταβολή, η ανάκτηση, η αναζήτηση πληροφοριών, η χρήση, η κοινοποίηση με διαβίβαση, η διάδοση ή κάθε άλλη μορφή διάθεσης, η συσχέτιση ή ο συνδυασμός, ο περιορισμός, η διαγραφή ή η καταστροφή,
3) «σχέδιο νομοθετικής πράξης»: κείμενο το οποίο έχει διατυπωθεί με στόχο τη θέσπισή του ως νομοθετικής, κανονιστικής ή διοικητικής διάταξης γενικού χαρακτήρα και βρίσκεται στο στάδιο της σύνταξης, στο οποίο είναι ακόμη δυνατόν να επέλθουν ουσιαστικές τροποποιήσεις,
4) «πάροχος υπηρεσιών»: φυσικό ή νομικό πρόσωπο το οποίο παρέχει υπηρεσίες επεξεργασίας δεδομένων,
5) «απαίτηση τοπικοποίησης δεδομένων»: οποιαδήποτε υποχρέωση, απαγόρευση, προϋπόθεση, όριο ή άλλη απαίτηση προβλεπόμενη από νομοθετικές, κανονιστικές ή διοικητικές διατάξεις κράτους μέλους ή απορρέουσα από γενικές και συνεπείς διοικητικές πρακτικές κράτους μέλους και οργανισμών δημόσιου δικαίου, μεταξύ άλλων και στον τομέα των δημόσιων προμηθειών, με την επιφύλαξη της οδηγίας 2014/24/ΕΕ, βάσει της οποίας επιβάλλεται η επεξεργασία δεδομένων στην επικράτεια συγκεκριμένου κράτους μέλους ή απαγορεύεται η επεξεργασία δεδομένων σε άλλο κράτος μέλος,
6) «αρμόδια αρχή»: αρχή κράτους μέλους ή οποιαδήποτε άλλη οντότητα εξουσιοδοτημένη από το εθνικό δίκαιο να επιτελεί δημόσιο λειτούργημα ή να ασκεί δημόσια εξουσία, η οποία έχει την αρμοδιότητα να αποκτά πρόσβαση σε δεδομένα υποβληθέντα σε επεξεργασία από φυσικό ή νομικό πρόσωπο για την επιτέλεση των επίσημων καθηκόντων της, όπως προβλέπεται στο ενωσιακό ή εθνικό δίκαιο,
7) «χρήστης»: φυσικό ή νομικό πρόσωπο, συμπεριλαμβανομένης δημόσιας αρχής ή οργανισμού δημόσιου δικαίου, το οποίο χρησιμοποιεί ή ζητά την παροχή υπηρεσίας επεξεργασίας δεδομένων,
8) «επαγγελματίας χρήστης»: φυσικό ή νομικό πρόσωπο, συμπεριλαμβανομένης δημόσιας αρχής ή οργανισμού δημόσιου δικαίου, που χρησιμοποιεί ή ζητά την παροχή υπηρεσίας επεξεργασίας δεδομένων για λόγους σχετιζόμενους με τις εμπορικές συναλλαγές του, την επιχείρησή του, το επάγγελμά του ή την εργασία του.

Άρθρο 4
Ελεύθερη κυκλοφορία των δεδομένων στην Ένωση


1. Οι απαιτήσεις τοπικοποίησης δεδομένων απαγορεύονται, εκτός εάν δικαιολογούνται από λόγους δημόσιας ασφάλειας σύμφωνα με την αρχή της αναλογικότητας.
Το πρώτο εδάφιο της παρούσας παραγράφου δεν θίγει την παράγραφο 3 και τις απαιτήσεις τοπικοποίησης δεδομένων που προβλέπονται με βάση το ισχύον ενωσιακό δίκαιο.

2. Τα κράτη μέλη κοινοποιούν αμέσως στην Επιτροπή τυχόν σχέδιο νομοθετικής πράξης η οποία εισάγει νέα απαίτηση τοπικοποίησης δεδομένων ή επιφέρει αλλαγές σε υφιστάμενη απαίτηση τοπικοποίησης δεδομένων σύμφωνα με τις διαδικασίες που καθορίζονται στα άρθρα 5, 6 και 7 της οδηγίας (ΕΕ) 2015/1535.

3. Έως τις 30 Μαΐου 2021, τα κράτη μέλη διασφαλίζουν την κατάργηση οποιασδήποτε υπάρχουσας απαίτησης τοπικοποίησης δεδομένων που ορίζεται σε νομοθετική, κανονιστική ή διοικητική διάταξη γενικού χαρακτήρα και η οποία δεν είναι σύμφωνη με την παράγραφο 1 του παρόντος άρθρου.
Έως τις 30 Μαΐου 2021, σε περίπτωση που ένα κράτος μέλος κρίνει ότι ένα υπάρχον μέτρο που περιλαμβάνει απαίτηση τοπικοποίησης δεδομένων είναι σύμφωνο με την παράγραφο 1 του παρόντος άρθρου και, ως εκ τούτου, μπορεί να εξακολουθήσει να ισχύει, γνωστοποιεί το εν λόγω μέτρο στην Επιτροπή, μαζί με τους λόγους για τους οποίους αυτό διατηρείται σε ισχύ. Με την επιφύλαξη του άρθρου 258 ΣΛΕΕ, η Επιτροπή, εντός έξι μηνών από την ημερομηνία παραλαβής της γνωστοποίησης αυτής, εξετάζει τη συμμόρφωση του εν λόγω μέτρου με την παράγραφο 1 του παρόντος άρθρου και, κατά περίπτωση, διατυπώνει παρατηρήσεις στο οικείο κράτος μέλος, συνιστώντας, μεταξύ άλλων, εφόσον κριθεί απαραίτητο, την τροποποίηση ή την κατάργηση του μέτρου.

4. Τα κράτη μέλη δημοσιοποιούν τις λεπτομέρειες οποιασδήποτε απαίτησης τοπικοποίησης δεδομένων, που ορίζεται σε νομοθετική, κανονιστική ή διοικητική διάταξη γενικού χαρακτήρα και που εφαρμόζεται στην επικράτειά του μέσω εθνικού επιγραμμικού ενιαίου σημείου πληροφόρησης το οποίο επικαιροποιούν ή παρέχουν τις εν λόγω επικαιροποιημένες λεπτομέρειες κάθε τέτοιας απαίτησης τοπικοποίησης σε κεντρικό σημείο πληροφόρησης που θα συσταθεί βάσει άλλης ενωσιακής πράξης.

5. Τα κράτη μέλη ενημερώνουν την Επιτροπή σχετικά με τη διεύθυνση του οικείου ενιαίου σημείου πληροφόρησης που αναφέρεται στην παράγραφο 4. Η Επιτροπή δημοσιοποιεί τον σύνδεσμο ή τους συνδέσμους προς το εν λόγω κέντρο ή κέντρα στον ιστότοπό της, μαζί με ενοποιημένο κατάλογο όλων των απαιτήσεων τοπικοποίησης δεδομένων, όπως αναφέρεται στην παράγραφο 4, ο οποίος επικαιροποιείται τακτικά, συμπεριλαμβανομένων συνοπτικών πληροφοριών σχετικά με τις απαιτήσεις αυτές.

Άρθρο 5
Δυνατότητα πρόσβασης των αρμόδιων αρχών σε δεδομένα


1. Ο παρών κανονισμός δεν θίγει τις αρμοδιότητες των αρμόδιων αρχών να ζητούν ή να αποκτούν πρόσβαση σε δεδομένα με σκοπό την επιτέλεση των επίσημων καθηκόντων τους σύμφωνα με το ενωσιακό ή εθνικό δίκαιο. Δεν επιτρέπεται η άρνηση της πρόσβασης αρμόδιων αρχών σε δεδομένα με την αιτιολογία ότι τα δεδομένα έχουν υποβληθεί σε επεξεργασία σε άλλο κράτος μέλος.

2. Σε περίπτωση που, μετά την αίτηση πρόσβασης στα δεδομένα ενός χρήστη, μια αρμόδια αρχή δεν αποκτά πρόσβαση και αν δεν υπάρχει κανένας ειδικός μηχανισμός συνεργασίας βάσει του ενωσιακού δικαίου ή διεθνών συμφωνιών για την ανταλλαγή δεδομένων μεταξύ των αρμόδιων αρχών των διάφορων κρατών μελών, η εν λόγω αρμόδια αρχή δύναται να ζητήσει τη συνδρομή αρμόδιας αρχής άλλου κράτους μέλους σύμφωνα με τη διαδικασία που ορίζεται στο άρθρο 7.

3. Εφόσον αίτημα συνδρομής συνεπάγεται την απόκτηση πρόσβασης σε εγκαταστάσεις φυσικού ή νομικού προσώπου, καθώς και σε κάθε εξοπλισμό και μέσο επεξεργασίας δεδομένων, από την αιτούμενη αρχή, η εν λόγω πρόσβαση πρέπει να είναι σύμφωνη με το ενωσιακό δίκαιο ή το εθνικό δικονομικό δίκαιο.

4. Τα κράτη μέλη μπορούν να επιβάλλουν αποτελεσματικές, αναλογικές και αποτρεπτικές κυρώσεις λόγω μη συμμόρφωσης με την υποχρέωση παροχής δεδομένων, σύμφωνα με το ενωσιακό και το εθνικό δίκαιο.
Σε περίπτωση κατάχρησης δικαιωμάτων από χρήστη, κράτος μέλος μπορεί, εφόσον τούτο δικαιολογείται από τον επείγοντα χαρακτήρα της πρόσβασης στα δεδομένα και λαμβάνοντας υπόψη τα συμφέροντα των ενδιαφερόμενων μερών, να επιβάλει αυστηρώς αναλογικά προσωρινά μέτρα επί του εν λόγω χρήστη. Εάν ένα προσωρινό μέτρο επιβάλλει επανατοπικοποίηση των δεδομένων για διάστημα που υπερβαίνει τις 180 ημέρες μετά την επανατοπικοποίηση, γνωστοποιείται εντός αυτής της περιόδου των 180 ημερών στην Επιτροπή. Η Επιτροπή εξετάζει, το ταχύτερο δυνατό, το μέτρο και τη συμβατότητά του με το ενωσιακό δίκαιο και, εφόσον κριθεί απαραίτητο, λαμβάνει τα αναγκαία μέτρα. Η Επιτροπή ανταλλάσσει με τα ενιαία σημεία επαφής των κρατών μελών που αναφέρονται στο άρθρο 7 πληροφορίες σχετικά με εμπειρίες της στο πλαίσιο αυτό.

Άρθρο 6
Μεταφορά δεδομένων


1. Η Επιτροπή ενθαρρύνει και διευκολύνει την ανάπτυξη κωδίκων δεοντολογίας αυτορρύθμισης στο επίπεδο της Ένωσης («κώδικες δεοντολογίας»), προκειμένου να συμβάλει σε μια ανταγωνιστική οικονομία των δεδομένων, με βάση τις αρχές της διαφάνειας και της διαλειτουργικότητας και λαμβάνοντας δεόντως υπόψη τα ανοικτά πρότυπα, καλύπτοντας μεταξύ άλλων και τις ακόλουθες πτυχές:
α) βέλτιστες πρακτικές για τη διευκόλυνση της αλλαγής παρόχων υπηρεσιών και της μεταφοράς δεδομένων σε δομημένο, ευρέως χρησιμοποιούμενο μορφότυπο με δυνατότητα ανάγνωσης από υπολογιστή, συμπεριλαμβανομένων μορφοτύπων ανοικτών προτύπων όταν αυτό ζητείται ή απαιτείται από τον πάροχο υπηρεσιών που λαμβάνει τα δεδομένα,
β) ελάχιστες απαιτήσεις ενημέρωσης για να διασφαλιστεί ότι οι επαγγελματίες χρήστες θα έχουν στη διάθεσή τους, πριν από τη σύναψη σύμβασης για επεξεργασία δεδομένων, επαρκώς διεξοδικές, σαφείς και διαφανείς πληροφορίες σε ό,τι αφορά τις διαδικασίες, τις τεχνικές απαιτήσεις, τις προθεσμίες και τις οικονομικές επιβαρύνσεις που ισχύουν σε περίπτωση που ένας επαγγελματίας χρήστης επιθυμεί να αλλάξει πάροχο υπηρεσιών ή να επαναφέρει δεδομένα στα δικά του συστήματα ΤΠ,
γ) προσεγγίσεις όσον αφορά τα συστήματα πιστοποίησης που διευκολύνουν τη σύγκριση των προϊόντων και των υπηρεσιών επεξεργασίας δεδομένων για επαγγελματίες χρήστες, λαμβανομένων υπόψη των καθιερωμένων εθνικών ή διεθνών προτύπων, για να διευκολυνθεί η συγκρισιμότητα των εν λόγω προϊόντων και υπηρεσιών. Οι προσεγγίσεις αυτές μπορούν να περιλαμβάνουν, μεταξύ άλλων, τη διαχείριση της ποιότητας, τη διαχείριση της ασφάλειας των πληροφοριών, τη διαχείριση της συνέχισης των δραστηριοτήτων και την περιβαλλοντική διαχείριση,
δ) πορείες γνωστοποιήσεων, υιοθετώντας μια πολυτομεακή προσέγγιση με στόχο την ευαισθητοποίηση των ενδιαφερόμενων μερών σχετικά με τους κώδικες δεοντολογίας.

2. Η Επιτροπή διασφαλίζει ότι οι κώδικες δεοντολογίας αναπτύσσονται σε στενή συνεργασία με όλους τους σχετικούς συμφεροντούχους, συμπεριλαμβανομένων των ενώσεων των ΜΜΕ και των νεοσύστατων επιχειρήσεων, των χρηστών και των παρόχων υπηρεσιών υπολογιστικού νέφους.

3. Η Επιτροπή ενθαρρύνει τους παρόχους υπηρεσιών να ολοκληρώσουν την ανάπτυξη των κωδίκων δεοντολογίας έως 29 Νοεμβρίου 2019 και να τους εφαρμόσουν αποτελεσματικά έως τις 29 Μαΐου 2020.

Άρθρο 7
Διαδικασία συνεργασίας μεταξύ των αρχών


1. Κάθε κράτος μέλος ορίζει ένα ενιαίο σημείο επαφής το οποίο συνδέεται με τα ενιαία σημεία επαφής των άλλων κρατών μελών και την Επιτροπή σχετικά με θέματα εφαρμογής του παρόντος κανονισμού. Τα κράτη μέλη κοινοποιούν στην Επιτροπή τα ορισμένα ενιαία σημεία επαφής, καθώς και τυχόν μετέπειτα αλλαγή τους.

2. Σε περίπτωση που αρμόδια αρχή κράτους μέλους ζητήσει τη συνδρομή άλλου κράτους μέλους βάσει του άρθρου 5 παράγραφος 2, προκειμένου να αποκτήσει πρόσβαση σε δεδομένα, υποβάλλει στο ορισμένο ενιαίο σημείο επαφής του τελευταίου κράτους μέλους δεόντως αιτιολογημένο αίτημα. Το αίτημα περιλαμβάνει γραπτή επεξήγηση των λόγων και των νομικών βάσεων για τα οποία ζητείται η πρόσβαση στα δεδομένα.

3. Το ενιαίο σημείο επαφής αναγνωρίζει τη σχετική αρμόδια αρχή του κράτους μέλους στο οποίο ανήκει και διαβιβάζει το παραληφθέν αίτημα σύμφωνα με την παράγραφο 2 στην εν λόγω αρμόδια αρχή.

4. Η σχετική αρμόδια αρχή στην οποία υποβάλλεται το αίτημα, άνευ αδικαιολόγητης καθυστέρησης και εντός χρονοδιαγράμματος αναλογικού με τον επείγοντα χαρακτήρα του αιτήματος, απαντά γνωστοποιώντας τα δεδομένα που ζητήθηκαν ή ενημερώνοντας την αιτούσα αρμόδια αρχή ότι δεν θεωρεί ότι πληρούνται οι προϋποθέσεις για την αίτηση συνδρομής δυνάμει του παρόντος κανονισμού.

5. Κάθε πληροφορία που ανταλλάσσεται στο πλαίσιο αιτούμενης και παρεχόμενης συνδρομής σύμφωνα με το άρθρο 5 παράγραφος 2 χρησιμοποιείται αποκλειστικά για το θέμα για το οποίο ζητήθηκε.

6. Τα ενιαία σημεία επαφής παρέχουν στους χρήστες γενικές πληροφορίες σχετικά με τον παρόντα κανονισμό, συμπεριλαμβανομένων των κωδίκων δεοντολογίας.

Άρθρο 8
Αξιολόγηση και κατευθυντήριες γραμμές


1. Το αργότερο στις 29 Νοεμβρίου 2022, η Επιτροπή υποβάλλει στο Ευρωπαϊκό Κοινοβούλιο, το Συμβούλιο και την Ευρωπαϊκή Οικονομική και Κοινωνική Επιτροπή έκθεση για την αξιολόγηση της εφαρμογής του παρόντος κανονισμού, ιδίως όσον αφορά:
α) την εφαρμογή του παρόντος κανονισμού, ιδίως στα σύνολα δεδομένων που συντίθενται τόσο από δεδομένα προσωπικού όσο και από δεδομένα μη προσωπικού χαρακτήρα, υπό το πρίσμα των εξελίξεων στην αγορά και των τεχνολογικών εξελίξεων, οι οποίες ενδέχεται να επεκτείνουν τις δυνατότητες αποανωνυμοποίησης των δεδομένων,
β) την εφαρμογή του άρθρου 4 παράγραφος 1 από τα κράτη μέλη και ιδίως της εξαίρεσης που αφορά τη δημόσια ασφάλεια και
γ) τη δημιουργία και την αποτελεσματική εφαρμογή των κωδίκων δεοντολογίας και την αποτελεσματική παροχή πληροφοριών από τους παρόχους υπηρεσιών.

2. Τα κράτη μέλη παρέχουν στην Επιτροπή τα αναγκαία στοιχεία για την εκπόνηση της έκθεσης που αναφέρεται στην παράγραφο 1.

3. Έως τις 29 Μαΐου 2019, η Επιτροπή δημοσιεύει ενημερωτικές κατευθυντήριες γραμμές σχετικά με την αλληλεπίδραση μεταξύ του παρόντος κανονισμού και του κανονισμού (ΕΕ) 2016/679, ιδίως όσον αφορά τα σύνολα δεδομένων που συντίθενται από δεδομένα τόσο προσωπικού όσο και μη προσωπικού χαρακτήρα.

Άρθρο 9
Τελικές διατάξεις


Ο παρών κανονισμός αρχίζει να ισχύει την εικοστή ημέρα από τη δημοσίευσή του στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης.

Ο παρών κανονισμός εφαρμόζεται έξι μήνες μετά τη δημοσίευσή του.

Ο παρών κανονισμός είναι δεσμευτικός ως προς όλα τα μέρη του και ισχύει άμεσα σε κάθε κράτος μέλος.

Στρασβούργο, 14 Νοεμβρίου 2018.

Για το Ευρωπαϊκό Κοινοβούλιο
Ο Πρόεδρος A. TAJANI

Για το Συμβούλιο
H Πρόεδρος K. EDTSTADLER




(1)ΕΕ C 227 της 28.6.2018, σ. 78.
(2)Θέση του Ευρωπαϊκού Κοινοβουλίου της 4ης Οκτωβρίου 2018 (δεν έχει ακόμη δημοσιευθεί στην Επίσημη Εφημερίδα) και απόφαση του Συμβουλίου της 6ης Νοεμβρίου 2018.
(3)Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της οδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων) (ΕΕ L 119 της 4.5.2016, σ. 1).
(4)Οδηγία (EE) 2016/680 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 27ης Απριλίου 2016, για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από αρμόδιες αρχές για τους σκοπούς της πρόληψης, διερεύνησης, ανίχνευσης ή δίωξης ποινικών αδικημάτων ή της εκτέλεσης ποινικών κυρώσεων και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση της απόφασης-πλαίσιο 2008/977/ΔΕΥ του Συμβουλίου (ΕΕ L 119 της 4.5.2016, σ. 89).
(5)Οδηγία 2002/58/ΕΚ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 12ης Ιουλίου 2002, σχετικά με την επεξεργασία των δεδομένων προσωπικού χαρακτήρα και την προστασία της ιδιωτικής ζωής στον τομέα των ηλεκτρονικών επικοινωνιών (οδηγία για την προστασία της ιδιωτικής ζωής στις ηλεκτρονικές επικοινωνίες) (ΕΕ L 201 της 31.7.2002, σ. 37).
(6)Οδηγία 2014/24/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 26ης Φεβρουαρίου 2014, σχετικά με τις διαδικασίες σύναψης δημοσίων συμβάσεων και την κατάργηση της οδηγίας 2004/18/ΕΚ (ΕΕ L 94 της 28.3.2014, σ. 65).
(7)Κανονισμός (ΕΕ) αριθ. 593/2008 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 17ης Ιουνίου 2008, για το εφαρμοστέο δίκαιο στις συμβατικές ενοχές (Ρώμη Ι) (ΕΕ L 177 της 4.7.2008, σ. 6).
(8)Οδηγία (ΕΕ) 2015/1535 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 9ης Σεπτεμβρίου 2015, για την καθιέρωση μιας διαδικασίας πληροφόρησης στον τομέα των τεχνικών κανόνων σχετικά με τις υπηρεσίες της κοινωνίας των πληροφοριών (ΕΕ L 241 της 17.9.2015, σ. 1).
(9)Απόφαση-πλαίσιο 2006/960/ΔΕΥ του Συμβουλίου, της 18ης Δεκεμβρίου 2006, για την απλούστευση της ανταλλαγής πληροφοριών και στοιχείων μεταξύ των αρχών επιβολής του νόμου των κρατών μελών της Ευρωπαϊκής Ένωσης (ΕΕ L 386 της 29.12.2006, σ. 89).
(10)Οδηγία 2014/41/ΕΕ του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 3ης Απριλίου 2014, περί της ευρωπαϊκής εντολής έρευνας σε ποινικές υποθέσεις (ΕΕ L 130 της 1.5.2014, σ. 1).
(11)Σύμβαση κατά του ηλεκτρονικού εγκλήματος του Συμβουλίου της Ευρώπης, CETS αριθ. 185.
(12)Κανονισμός (ΕΚ) αριθ. 1206/2001 του Συμβουλίου, της 28ης Μαΐου 2001, για τη συνεργασία μεταξύ των δικαστηρίων των κρατών μελών κατά τη διεξαγωγή αποδείξεων σε αστικές ή εμπορικές υποθέσεις (ΕΕ L 174 της 27.6.2001, σ. 1).
(13)Οδηγία 2006/112/ΕΚ του Συμβουλίου, της 28ης Νοεμβρίου 2006, σχετικά με το κοινό σύστημα φόρου προστιθέμενης αξίας (ΕΕ L 347 της 11.12.2006, σ. 1).
(14)Κανονισμός (ΕΕ) αριθ. 904/2010 του Συμβουλίου, της 7ης Οκτωβρίου 2010, για τη διοικητική συνεργασία και την καταπολέμηση της απάτης στον τομέα του φόρου προστιθέμενης αξίας (ΕΕ L 268 της 12.10.2010, σ. 1).
(15)Οδηγία (EE) 2016/1148 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 6ης Ιουλίου 2016, σχετικά με μέτρα για υψηλό κοινό επίπεδο ασφάλειας συστημάτων δικτύου και πληροφοριών σε ολόκληρη την Ένωση (ΕΕ L 194 της 19.7.2016, σ. 1).

Πηγή: Taxheaven