(1)

Digitaliseringen af økonomien går stadig hurtigere. Informations- og kommunikationsteknologi er ikke længere en specifik sektor, men grundlaget for alle moderne innovative økonomiske systemer og samfund. Elektroniske data er kernen i disse systemer og kan skabe stor værdi, når de analyseres eller kombineres med tjenester og varer. Samtidig betyder den hastige udvikling af dataøkonomien og de fremspirende teknologier som f.eks. kunstig intelligens, produkter og tjenesteydelser med tilknytning til tingenes internet, autonome systemer og 5G, at der opstår nye retlige spørgsmål med hensyn til adgang til og genanvendelse af data, ansvarsforhold, etik og solidaritet. Der bør overvejes at iværksætte en arbejdsindsats vedrørende ansvarsforhold, navnlig ved gennemførelse af selvregulerende kodekser og andre former for bedste praksis, under hensyntagen til henstillinger, afgørelser og handlinger, der udføres uden menneskelig medvirken gennem hele databehandlingsværdikæden. Dette arbejde kan også omfatte passende mekanismer til ansvarsplacering, til overførsel af ansvar mellem samarbejdende tjenester, til forsikring og til audit.

(2)

Dataværdikæder bygger på forskellige dataaktiviteter: frembringelse og indsamling af data; aggregering og organisation af data; behandling af data; analyse, markedsføring og distribution af data; anvendelse og genanvendelse af data. Formålstjenlig og effektiv behandling af data er en grundlæggende byggesten i dataværdikæden. Dog hæmmes den formålstjenlige og effektive databehandlings funktion og udviklingen af dataøkonomien i Unionen af navnlig to typer af hindringer for datamobilitet og for det indre marked: dataplaceringskrav fastsat af medlemsstaternes myndigheder og praksis med leverandørbinding i den private sektor.

(3)

Etableringsfriheden og den frie udveksling af tjenesteydelser i henhold til traktaten om Den Europæiske Unions funktionsmåde (»TEUF«) gælder også for databehandlingstjenester. Imidlertid bliver leveringen af disse tjenester hæmmet eller forhindret af visse nationale, regionale eller lokale krav vedrørende datas placering i et bestemt område.

(4)

Disse hindringer for fri udveksling af databehandlingstjenester og for etableringsretten for tjenesteleverandører skyldes krav i medlemsstaternes lovgivninger om, at data behandles inden for et bestemt geografisk område eller territorium. Andre regler eller anden administrativ praksis har en tilsvarende virkning ved at pålægge specifikke krav, som gør det vanskeligere at behandle data uden for et bestemt geografisk område eller territorium inden for Unionen, f.eks. krav om brug af teknologiske faciliteter, der er certificeret eller godkendt i en bestemt medlemsstat. Usikkerhed om retstilstanden med hensyn til rækkevidden af berettigede og uberettigede dataplaceringskrav begrænser yderligere markedsdeltagernes og den offentlige sektors valgmuligheder med hensyn til, hvor data behandles. Denne forordning begrænser på ingen måde virksomheder i at indgå kontrakter, der angiver, hvor data skal placeres. Denne forordning har blot som hensigt at garantere denne frihed ved at sikre, at en aftalt placering kan ligge overalt inden for Unionen.

(5)

Samtidig hæmmes datamobilitet i Unionen også af begrænsninger i den private sektor: retlige, kontraktmæssige og tekniske hindringer gør det svært eller umuligt for brugere af databehandlingstjenester at få overført deres data fra én tjenesteleverandør til en anden eller tilbage til deres egne systemer til informationsteknologi (»IT«), ikke mindst efter udløbet af deres kontrakt med en tjenesteleverandør.

(6)

Kombinationen af disse hindringer har ført til mangel på konkurrence mellem cloudtjenesteleverandører i Unionen, til forskellige problemer med leverandørbinding og til en alvorlig mangel på datamobilitet. Tilsvarende har dataplaceringspolitikker undergravet forsknings- og udviklingsvirksomheders mulighed for at fremme samarbejde mellem virksomheder, universiteter og andre forskningsinstitutioner med henblik på at fremme innovation.

(7)

Hensynet til retssikkerheden og behovet for lige konkurrencevilkår inden for Unionen gør et fælles regelsæt for alle markedsaktører til en vigtig forudsætning for et velfungerende indre marked. For at fjerne de hindringer for samhandelen og de konkurrenceforvridninger, som forskelle mellem de nationale lovgivninger medfører, og for at forhindre, at der opstår yderligere hindringer for samhandelen og væsentlige konkurrenceforvridninger, er det nødvendigt at vedtage ensartede regler, der gælder i alle medlemsstaterne.

(8)

De retlige rammer for beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og for respekten for privatliv og beskyttelse af personoplysninger i forbindelse med elektronisk kommunikation, og navnlig Europa-Parlamentets og Rådets forordning (EU) 2016/679 (3), samt Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (4) og 2002/58/EF (5) berøres ikke af nærværende forordning.

(9)

Det ekspanderende tingenes internet, kunstig intelligens og maskinindlæring udgør en vigtig kilde til andre data end personoplysninger, f.eks. som et resultat af, at de anvendes i automatiserede industrielle produktionsprocesser. Konkrete eksempler på andre data end personoplysninger omfatter aggregerede og anonymiserede datasæt, som indgår i big data-analyser, data om præcisionsdyrkning, der kan bidrage til at overvåge og optimere anvendelsen af pesticider og vand, eller data om industrielle maskiners vedligeholdelsesbehov. Hvis teknologiske udviklinger gør det muligt at omdanne anonymiserede data til personoplysninger, behandles sådanne data som personoplysninger, og forordning (EU) 2016/679 skal da finde tilsvarende anvendelse.

(10)

I henhold til forordning (EU) 2016/679 må medlemsstaterne hverken indskrænke eller forbyde den frie udveksling af personoplysninger inden for Unionen af grunde, der vedrører beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger. Ved nærværende forordning fastsættes samme princip om fri udveksling inden for Unionen for andre data end personoplysninger, medmindre en indskrænkning eller et forbud er berettiget af hensyn til den offentlige sikkerhed. Ved forordning (EU) 2016/679 og nærværende forordning tilvejebringes et sammenhængende sæt af regler, der tager højde for fri bevægelighed for forskellige typer af data. Desuden indfører nærværende forordning ikke en forpligtelse til at lagre de forskellige typer af data hver for sig.

(11)

For at skabe en ramme for fri udveksling af andre data end personoplysninger i Unionen og danne grundlag for at videreudvikle dataøkonomien og styrke Unionens industris konkurrenceevne er det nødvendigt at fastlægge en klar, dækkende og forudsigelig retlig ramme for behandling af andre data end personoplysninger på det indre marked. En principbaseret tilgang, der omfatter samarbejde mellem medlemsstaterne og selvregulering, bør sikre, at rammen er tilstrækkelig fleksibel, til at der tages hensyn til udviklingen i behovene hos brugere, tjenesteleverandører og nationale myndigheder i Unionen. For at undgå risikoen for overlap med eksisterende ordninger og dermed undgå at øge byrden for både medlemsstater og virksomheder bør der ikke fastlægges detaljerede tekniske regler.

(12)

Denne forordning bør ikke berøre databehandling, for så vidt som den udføres som led i en aktivitet, der falder uden for EU-rettens anvendelsesområde. Navnlig bør det erindres, at den nationale sikkerhed i overensstemmelse med artikel 4 i traktaten om Den Europæiske Union (»TEU«) er den enkelte medlemsstats eneansvar.

(13)

Den fri udveksling af data inden for Unionen vil spille en vigtig rolle i forhold til at opnå datadreven vækst og innovation. I lighed med virksomheder og forbrugere vil medlemsstaternes offentlige myndigheder og offentligretlige organer kunne drage fordel af øget valgfrihed med hensyn til datadrevne tjenesteleverandører, af mere konkurrencedygtige priser og af en mere effektiv levering af tjenesteydelser til borgerne. I betragtning af de store mængder data, som offentlige myndigheder og offentligretlige organer håndterer, er det af største vigtighed, at de går foran med et godt eksempel med hensyn til anvendelse af tjenester for elektronisk databehandling, og at de afholder sig fra at lægge begrænsninger på dataplacering, når de gør brug af tjenester for databehandlingstjenester. Offentlige myndigheder og offentligretlige organer bør derfor være omfattet af denne forordning. I denne forbindelse bør princippet om fri udveksling af andre data end personoplysninger, der er fastsat i denne forordning, også finde anvendelse på almen og fast administrativ praksis og på andre dataplaceringskrav inden for offentlige udbud, uden at dette berører Europa-Parlamentets og Rådets direktiv 2014/24/EU (6).

(14)

Som det er tilfældet med direktiv 2014/24/EU, berører denne forordning ikke love og administrative bestemmelser vedrørende medlemsstaternes interne organisation og fordeling blandt offentlige myndigheder og offentligretlige organer af beføjelser og ansvar vedrørende databehandling uden kontraktmæssig betaling til private parter og berører heller ikke medlemsstaternes love og administrative bestemmelser vedrørende gennemførelsen af disse beføjelser og ansvar. Selv om de offentlige myndigheder og offentligretlige organer tilskyndes til at overveje de økonomiske og andre fordele ved outsourcing til eksterne tjenesteleverandører, kan de have legitime grunde til at vælge selvforsyning med tjenesteydelser eller insourcing. Følgelig pålægger denne forordning på ingen måde medlemsstaterne en forpligtelse til at outsource eller eksternalisere levering af tjenesteydelser, som de ønsker selv at levere eller at organisere på anden vis end gennem offentlige kontrakter.

(15)

Denne forordning bør finde anvendelse på fysiske og juridiske personer, der leverer databehandlingstjenester til brugere, som er bosiddende eller etableret i Unionen, herunder på fysiske og juridiske personer, der leverer databehandlingstjenester i Unionen uden at være etableret der. Denne forordning bør derfor ikke finde anvendelse på databehandlingstjenester, der finder sted uden for Unionen, og på dataplaceringskrav vedrørende sådanne data.

(16)

Denne forordning fastlægger ikke lovvalgsregler på det handelsretlige område og berører derfor ikke Europa-Parlamentets og Rådets forordning (EF) nr. 593/2008 (7). Navnlig er en kontrakt om levering af tjenesteydelser i princippet underlagt loven i det land, hvor tjenesteleverandøren har sit sædvanlige opholdssted, for så vidt som der ikke er foretaget et lovvalg i overensstemmelse med nævnte forordning.

(17)

Nærværende forordning bør gælde for databehandling i bredeste forstand og omfatte brugen af alle typer IT-systemer, uanset om de er placeret i brugerens lokaler eller outsourcet til en tjenesteleverandør. Den bør dække forskellige grader af databehandling, fra datalagring (Infrastructure-as-a-Service (IaaS)) til behandling af data på platforme (Platform-as-a-Service (PaaS)) eller i applikationer (Software-as-a-Service (SaaS)).

(18)

Dataplaceringskrav udgør en klar hindring for fri udveksling af databehandlingstjenester i Unionen og for det indre marked. Sådanne krav bør forbydes, medmindre de er begrundet i hensynet til den offentlige sikkerhed som fastlagt i EU-retten, navnlig i den i artikel 52 i TEUF anvendte betydning, og overholder proportionalitetsprincippet, der er forankret i artikel 5 i TEU. For at gennemføre princippet om fri udveksling af andre data end personoplysninger på tværs af grænserne, sikre en hurtig afskaffelse af eksisterende dataplaceringskrav og gøre det muligt af driftsmæssige årsager at foretage databehandling flere steder i Unionen, og da der ved denne forordning indføres foranstaltninger til at sikre myndighederne adgang til data i regulerings- og tilsynsøjemed, bør medlemsstaterne kun kunne påberåbe sig hensynet til den offentlige sikkerhed som begrundelse for dataplaceringskrav.

(19)

Begrebet »den offentlige sikkerhed«, som omhandlet i artikel 52 i TEUF og som fortolket af Domstolen, omfatter både den interne og eksterne sikkerhed i en medlemsstat samt spørgsmål vedrørende offentlig tryghed med henblik på navnlig at fremme efterforskning, afsløring og retsforfølgelse af strafbare handlinger. Det forudsætter, at der foreligger en reel og tilstrækkelig alvorlig trussel, der påvirker en af de grundlæggende samfundsinteresser, såsom en trussel for driften af institutionerne og de livsvigtige offentlige tjenester og for befolkningens overlevelse samt risikoen for en alvorlig forstyrrelse af de internationale relationer eller af nationers fredelige sameksistens, eller en trussel mod militære interesser. I overensstemmelse med proportionalitetsprincippet bør dataplaceringskrav, der er begrundet i hensynet til den offentlige sikkerhed, være egnede til at nå det tilsigtede mål og ikke gå ud over, hvad der er nødvendigt for at nå dette mål.

(20)

For at sikre en effektiv anvendelse af princippet om fri udveksling af andre data end personoplysninger på tværs af grænserne og undgå, at der opstår nye hindringer på det indre marked, bør medlemsstaterne straks underrette Kommissionen om ethvert udkast til retsakt, der indfører nye dataplaceringskrav eller ændrer eksisterende krav. Disse udkast til retsakter bør forelægges og vurderes i overensstemmelse med Europa-Parlamentets og Rådets direktiv (EU) 2015/1535 (8).

(21)

For at fjerne eventuelle eksisterende hindringer bør medlemsstaterne desuden i løbet af en overgangsperiode på 24 måneder fra denne forordnings anvendelsesdato, tage eksisterende love og administrative bestemmelser af generel karakter, der fastsætter dataplaceringskrav, op til revision og meddele Kommissionen eventuelle dataplaceringskrav, som de anser for at være i overensstemmelse med denne forordning, samt give en begrundelse herfor. Dette bør sætte Kommissionen i stand til at undersøge, om eventuelle resterende dataplaceringskrav er i overensstemmelse. Kommissionen bør have mulighed for, hvor det er hensigtsmæssigt, at fremsætte bemærkninger over for den pågældende medlemsstat. Disse bemærkninger kan omfatte en anbefaling om ændring eller ophævelse af et dataplaceringskrav.

(22)

De forpligtelser til at underrette Kommissionen om eksisterende dataplaceringskrav og udkast til retsakter, der er fastsat ved denne forordning, bør finde anvendelse på reguleringsmæssige dataplaceringskrav og udkast til retsakter af generel karakter, men ikke på afgørelser, der retter sig til en konkret fysisk eller juridisk person.

(23)

For at skabe klarhed om dataplaceringskravene i medlemsstaterne fastlagt ved lov og administrative bestemmelser af generel karakter for fysiske og juridiske personer, som f.eks. tjenesteleverandører og brugere af databehandlingstjenester, bør medlemsstaterne offentliggøre oplysninger om sådanne krav og jævnligt ajourføre oplysningerne om sådanne foranstaltninger på et nationalt centralt onlineinformationssted. Alternativt bør medlemsstaterne indgive ajourførte oplysninger om sådanne krav til et centralt informationssted, der er oprettet i henhold til en anden EU-retsakt. Med henblik på at sikre, at fysiske og juridiske personer informeres på passende vis om dataplaceringskrav overalt i Unionen, bør medlemsstaterne meddele Kommissionen adresserne på disse nationale centrale onlineinformationssteder. Kommissionen bør offentliggøre disse oplysninger på sit eget websted sammen med en regelmæssigt ajourført, konsolideret liste over samtlige gældende dataplaceringskrav i medlemsstaterne, herunder opsummerede oplysninger om disse krav.

(24)

Dataplaceringskrav beror ofte på manglende tillid til databehandling i andre lande, der udspringer af en formodning om, at dataene ikke er tilgængelige for medlemsstaternes kompetente myndigheder, når de f.eks. skal foretage inspektion og audit i regulerings- eller tilsynsøjemed. Sådan manglende tillid kan ikke overvindes udelukkende ved at erklære kontraktvilkår, som forhindrer kompetente myndigheder i at få lovlig adgang til data med henblik på varetagelse af deres officielle opgaver, ugyldige. Denne forordning bør derfor klart fastslå, at den ikke berører de kompetente myndigheders beføjelser til at anmode om eller få adgang til data i overensstemmelse med EU-retten eller national ret, og at kompetente myndigheder ikke kan nægtes adgang til data med den begrundelse, at dataene behandles i en anden medlemsstat. De kompetente myndigheder kan pålægge funktionelle krav for at understøtte adgang til data, såsom krav om, at systembeskrivelser opbevares i den berørte medlemsstat.

(25)

Fysiske og juridiske personer, der er underlagt forpligtelser til at indberette data til de kompetente myndigheder, kan opfylde disse forpligtelser ved at give og garantere de kompetente myndigheder effektiv og rettidig elektronisk adgang til dataene, uanset i hvilken medlemsstat dataene behandles. Sådan adgang kan sikres gennem konkrete vilkår og betingelser i kontrakten mellem den fysiske eller juridiske person, der er underlagt forpligtelsen til at give adgang, og tjenesteleverandøren.

(26)

Når en fysisk eller juridisk person er underlagt en forpligtelse til at indberette data og ikke opfylder denne forpligtelse, bør den kompetente myndighed kunne søge bistand hos de kompetente myndigheder i andre medlemsstater. I sådanne tilfælde bør de kompetente myndigheder, alt afhængigt af emnet i det pågældende tilfælde, gøre brug af særlige samarbejdsinstrumenter i EU-retten eller internationale aftaler, f.eks., inden for henholdsvis politisamarbejde og samarbejde i strafferetlige, civilretlige og administrative anliggender, Rådets rammeafgørelse 2006/960/RIA (9), Europa-Parlamentets og Rådets direktiv 2014/41/EU (10), Europarådets konvention om IT-kriminalitet (11), Rådets forordning (EF) nr. 1206/2001 (12), Rådets direktiv 2006/112/EF (13) henholdsvis Rådets forordning (EU) nr. 904/2010 (14). I mangel af sådanne særlige samarbejdsordninger bør de kompetente myndigheder samarbejde med hinanden gennem udpegede centrale kontaktpunkter med henblik på at give adgang til de ønskede data.

(27)

Hvis en anmodning om bistand indebærer, at den adspurgte myndighed skal have adgang til en fysisk eller juridisk persons lokaler, herunder til udstyr og midler til databehandling, skal en sådan adgang være i overensstemmelse med EU-retten eller national procesret, herunder eventuelle krav om, at der indhentes forudgående retskendelse.

(28)

Denne forordning bør ikke gøre det muligt for brugerne at forsøge at unddrage sig anvendelsen af national ret. Den bør derfor fastsætte bestemmelser, som gør det muligt for medlemsstaterne at pålægge brugerne effektive, forholdsmæssige og afskrækkende sanktioner, såfremt de forhindrer de kompetente myndigheder i at få adgang til de nødvendige data med henblik på varetagelsen af de kompetente myndigheders officielle opgaver i henhold til EU-retten eller national ret. I hastende tilfælde, hvor en bruger misbruger sine rettigheder, bør medlemsstaterne have mulighed for at pålægge strengt forholdsmæssige foreløbige foranstaltninger. Foreløbige foranstaltninger, der kræver relokalisering af data i længere tid end 180 dage efter relokaliseringen, ville indebære en tilsidesættelse af princippet om fri udveksling af data i et væsentligt tidsrum, og Kommissionen bør derfor underrettes herom med henblik på en kontrol af deres forenelighed med EU-retten.

(29)

Muligheden for at portere data uden hindringer er en afgørende faktor, der øger brugernes valgmuligheder og fremmer effektiv konkurrence på markederne for databehandlingstjenester. De reelle eller formodede problemer med at portere data på tværs af grænserne undergraver også professionelle brugeres tillid til tilbud i andre lande og dermed deres tillid til det indre marked. Mens fysiske personer og forbrugere nyder godt af eksisterende EU-ret, fremmer den ikke mulighederne for at skifte tjenesteleverandør for brugere, der handler i forbindelse med deres forretnings- eller erhvervsmæssige aktiviteter. Ensartede tekniske krav i Unionen, uanset om det drejer sig om teknisk harmonisering, gensidig anerkendelse eller frivillig harmonisering, bidrager også til at udvikle et konkurrencedygtigt indre marked for databehandlingstjenester.

(30)

For at høste det fulde udbytte af et konkurrencepræget miljø bør professionelle brugere kunne træffe informerede valg og nemt kunne sammenligne de enkelte elementer i de forskellige databehandlingstjenester, der udbydes på det indre marked, herunder af kontraktvilkår og -betingelser for dataportering ved opsigelse af en kontrakt. På baggrund af innovationspotentialet på markedet samt erfaringerne og ekspertisen hos tjenesteleverandører og professionelle brugere af databehandlingstjenester bør markedsdeltagerne ved selvregulering fastlægge detaljerede informationskrav og operationelle krav vedrørende dataportering, og selvreguleringen bør fremmes og overvåges af Kommissionen og tage form af EU-adfærdskodekser, som kan omfatte standardkontraktvilkår og -betingelser.

(31)

For at være effektive og gøre leverandørskift og dataportering lettere bør sådanne adfærdskodekser være omfattende og dække mindst de centrale aspekter, som er vigtige under dataporteringsprocessen, såsom procedurerne, der finder anvendelse for, og placeringen af databackup, de dataformater og -medier, der er til rådighed, den krævede IT-konfiguration og minimumsbåndbredde, hvor lang tid der går, inden porteringsprocessen kan sættes i gang, og hvor lang tid dataene forbliver tilgængelige til portering, samt garantierne for adgang til data, såfremt tjenesteleverandøren går konkurs. Adfærdskodekserne bør også gøre det klart, at leverandørbinding ikke er acceptabel forretningspraksis, de bør fastsætte bestemmelser om tillidsfremmende teknologier og bør ajourføres regelmæssigt for at holde trit med den teknologiske udvikling. Kommissionen bør sikre, at alle berørte interessenter, herunder sammenslutninger af små og mellemstore virksomheder (SMV'er) og nystartede virksomheder, brugere og cloudtjenesteleverandører høres igennem hele processen. Kommissionen bør evaluere udviklingen og effektiviteten af gennemførelsen af sådanne adfærdskodekser.

(32)

Når en kompetent myndighed i en medlemsstat anmoder om bistand fra en anden medlemsstat til at få adgang til data i henhold til denne forordning, bør den gennem et centralt kontaktpunkt indgive en behørigt begrundet anmodning til sidstnævntes centrale kontaktpunkt, herunder en skriftlig redegørelse for begrundelsen og retsgrundlaget for at søge adgang til dataene. Det centrale kontaktpunkt, der er udpeget af den medlemsstat, der anmodes om bistand, bør lette videresendelsen af anmodningen til den relevante kompetente myndighed i den anmodede medlemsstat. For at sikre et effektivt samarbejde bør den myndighed, som anmodningen er sendt til, uden unødigt ophold yde den bistand, der anmodes om i en given anmodning, eller oplyse om opståede vanskeligheder med at imødekomme anmodningen eller om begrundelsen for at afvise den.

(33)

Hvis tilliden til sikkerheden i forbindelse med databehandling i andre medlemsstater styrkes, bør det mindske tilbøjeligheden hos markedsdeltagerne og i den offentlige sektor til at bruge placeringen af data som substitut for datasikkerhed. Det bør også forbedre retssikkerheden for virksomhederne med hensyn til overholdelse af gældende sikkerhedskrav, når de outsourcer deres databehandling til tjenesteleverandører, herunder sådanne i andre medlemsstater.

(34)

Ethvert sikkerhedskrav vedrørende databehandling, der anvendes på en berettiget og forholdsmæssig måde på grundlag af EU-retten eller national ret i overensstemmelse med EU-retten i den medlemsstat, hvor den fysiske eller juridiske person, hvis data er berørt, er bosiddende eller etableret, bør fortsat finde anvendelse på behandling af disse data i en anden medlemsstat. Disse fysiske og juridiske personer bør kunne opfylde sådanne krav egenhændigt eller i kraft af bestemmelser i kontrakter med tjenesteleverandørerne.

(35)

Sikkerhedskrav, der fastsættes på nationalt plan, bør være nødvendige og stå i et rimeligt forhold til de sikkerhedsrisici i forbindelse med databehandling, der er omfattet af den nationale lovgivning, hvori disse krav fastsættes.

(36)

Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 (15) indeholder bestemmelser om retlige foranstaltninger, der skal øge det samlede cybersikkerhedsniveau i Unionen. Databehandlingstjenester er blandt de digitale tjenester, der er omfattet af nævnte direktiv. I henhold til nævnte direktiv skal medlemsstaterne sikre, at tjenesteleverandører af digitale tjenester identificerer og træffer passende og forholdsmæssige tekniske og organisatoriske foranstaltninger for at styre risiciene i forhold til sikkerheden i net- og informationssystemer, som de anvender. Disse foranstaltninger bør garantere et sikkerhedsniveau, der står i forhold til risikoen, idet der tages hensyn til systemers og faciliteters sikkerhed, håndtering af hændelser, styring af driftskontinuitet, overvågning, audit og testning og overholdelse af internationale standarder. Disse elementer skal specificeres yderligere i gennemførelsesretsakter, som Kommissionen vedtager i henhold til direktivet.

(37)

Kommissionen bør forelægge en rapport om gennemførelsen af denne forordning, særlig med henblik på at afgøre, om der er behov for ændringer i lyset af udviklingen i de teknologiske betingelser og markedsvilkårene. Denne rapport bør navnlig evaluere denne forordning, særlig anvendelsen heraf i forhold til datasæt bestående af både personoplysninger og andre data end personoplysninger, samt gennemførelsen af undtagelsen med hensyn til den offentlige sikkerhed. Inden denne forordning begynder at finde anvendelse, bør Kommissionen ligeledes offentliggøre retningslinjer for håndtering af datasæt bestående af både personoplysninger og andre data end personoplysninger, således at virksomheder, herunder SMV'er, bedre forstår samspillet mellem denne forordning og forordning (EU) 2016/679, og det sikres, at begge forordninger overholdes.

(38)

Nærværende forordning respekterer de grundlæggende rettigheder og overholder de principper, som anerkendes i bl.a. Den Europæiske Unions charter om grundlæggende rettigheder, og bør fortolkes og anvendes i overensstemmelse med disse rettigheder og principper, herunder retten til beskyttelse af personoplysninger, ytrings- og informationsfriheden og friheden til at oprette og drive egen virksomhed.

(39)

Målet for denne forordning, nemlig at sikre fri udveksling af andre data end personoplysninger i Unionen, kan ikke i tilstrækkelig grad opfyldes af medlemsstaterne, men kan på grund af dets omfang og virkninger bedre nås på EU-plan; Unionen kan derfor vedtage foranstaltninger i overensstemmelse med nærhedsprincippet, jf. artikel 5 i TEU. I overensstemmelse med proportionalitetsprincippet, jf. nævnte artikel, går denne forordning ikke videre, end hvad der er nødvendigt for at nå dette mål —