РЕГЛАМЕНТ ЗА ИЗПЪЛНЕНИЕ (ЕС) 2024/607 НА КОМИСИЯТА

от 15 февруари 2024 година

относно практическите и оперативните договорености за функционирането на системата за обмен на информация съгласно Регламент (ЕС) 2022/2065 на Европейския парламент и на Съвета („Акт за цифровите услуги“)

ЕВРОПЕЙСКАТА КОМИСИЯ,

като взе предвид Договора за функционирането на Европейския съюз,

като взе предвид Регламент (ЕС) 2022/2065 на Европейския парламент и на Съвета от 19 октомври 2022 г. относно единния пазар на цифрови услуги и за изменение на Директива 2000/31/ЕО (Акт за цифровите услуги) (1), и по-специално член 85 от него,

след консултация с Комитета за цифровите услуги в съответствие с член 88 от Регламент (ЕС) 2022/2065,

като има предвид, че:

(1)

Регламент (ЕС) 2022/2065 има за цел да гарантира безопасно цифрово пространство за ползвателите, като същевременно гарантира зачитането на основните права. Това се постига чрез налагане на задължения на доставчиците на посреднически услуги с цел предотвратяване на разпространението на незаконно съдържание онлайн и чрез регулиране на политиките на тези доставчици за модериране на съдържание във връзка с техните услуги. Ефективният надзор, разследване, осигуряване на спазването и контрол по отношение на тези задължения на въпросните доставчици изискват сътрудничество между държавите членки и с Комисията, както и безпрепятствен обмен на информация между държавите членки и с Комисията.

(2)

За тази цел съгласно член 85 от Регламент (ЕС) 2022/2065 Комисията е длъжна да създаде и поддържа надеждна, сигурна и оперативно съвместима система за обмен на информация, наричана по-нататък „AGORA“, в подкрепа на комуникацията между координаторите за цифровите услуги, Комисията и Европейския съвет за цифровите услуги („Европейски съвет за цифровите услуги“). Други компетентни органи могат да получат достъп до AGORA, когато това е необходимо за изпълнение на възложените им в съответствие с Регламент (ЕС) 2022/2065 задачи. Координаторите за цифровите услуги, Комисията и Европейският съвет за цифровите услуги са длъжни да използват AGORA за цялата комуникация съгласно Регламент (ЕС) 2022/2065.

(3)

AGORA е софтуерно приложение, достъпно чрез интернет, което ще бъде разработено от Комисията. То осигурява механизъм за комуникация, насочен към улесняване на трансграничния обмен на информация и на взаимопомощта между координаторите за цифровите услуги, Комисията и Европейския съвет за цифровите услуги съгласно Регламент (ЕС) 2022/2065. По-специално AGORA следва да подпомага координаторите за цифровите услуги, Комисията и Европейския съвет за цифровите услуги при управлението на обмена на информация във връзка с надзора, разследването, осигуряването на спазването и контрола по Регламент (ЕС) 2022/2065 въз основа на опростени и единни процедури.

(4)

С настоящия регламент се определят практическите и оперативните договорености за създаването, поддръжката и експлоатацията на AGORA за целите на надзора, разследването, осигуряването на спазването и контрола по Регламент (ЕС) 2022/2065, които може да обхващат, наред с другото, индивидуален обмен на информация, процедури за уведомяване, механизми за предупреждение, договорености за взаимопомощ и решаване на проблеми между координаторите за цифровите услуги, Комисията, Европейския съвет за цифровите услуги и други компетентни органи, на които е предоставен достъп до AGORA съгласно Регламент (ЕС) 2022/2065 („участници в AGORA“).

(5)

Предвид трансграничното и междусекторното значение на посредническите услуги е необходимо високо равнище на координация и сътрудничество между различните съответни участници, за да се гарантира последователният надзор, разследване, осигуряване на спазването и контрол по Регламент (ЕС) 2022/2065, както и наличието на подходяща информация чрез AGORA за тази цел.

(6)

За да се преодолеят езиковите бариери, AGORA следва да бъде на разположение на всички официални езици на Съюза. За тази цел AGORA следва да предлага напълно автоматизираните инструменти за машинен превод, които понастоящем са на разположение на Комисията, с цел превод на обменяните чрез AGORA документи и съобщения. Комисията следва да предостави такива инструменти на физическите лица, работещи под ръководството на координаторите за цифровите услуги, Комисията, Европейския съвет за цифровите услуги или други компетентни органи, на които е предоставен достъп до AGORA („ползвател на AGORA“), както и на ползвателите на AGORA, назначени за администратори от координаторите за цифровите услуги, Комисията и Европейския съвет за цифровите услуги („администратор на AGORA“). Автоматизираните инструменти за машинен превод следва да бъдат съвместими с изискванията за сигурност и поверителност при обмена на информация в AGORA.

(7)

За да изпълняват задачите си съгласно Регламент (ЕС) 2022/2065, на координаторите за цифровите услуги, Комисията и Европейския съвет за цифровите услуги може да им се наложи да обменят информация, потенциално съдържаща лични данни. Всеки такъв обмен на информация следва да е в съответствие с правилата за защита на личните данни, определени в регламенти (ЕС) 2016/679 (2) и в (ЕС) 2018/1725 (3) на Европейския парламент и на Съвета. В съответствие с това обменът на лични данни, необходим за спазване на задълженията и изпълнение на задачите, предвидени в Регламент (ЕС) 2022/2065, попада в обхвата на законосъобразното обработване на данни съгласно член 5, буква а) от Регламент (ЕС) 2018/1725 и на член 6, параграф 1, буква д) от Регламент (ЕС) 2016/679.

(8)

AGORA следва да бъде инструментът, използван за обмен на информация, включително при необходимост на лични данни, който в противен случай би се осъществявал чрез други средства, включително обикновена или електронна поща, въз основа на правно задължение, наложено на координаторите за цифровите услуги, Комисията, Европейския съвет за цифровите услуги и други компетентни органи, на които е предоставен достъп до AGORA съгласно Регламент (ЕС) 2022/2065. Личните данни, обменяни чрез AGORA, следва да се обработват единствено за целите на надзора, разследването, осигуряването на спазването и контрола по Регламент (ЕС) 2022/2065. Когато при експлоатацията на AGORA се обработват лични данни с цел обмен, искане и осъществяване на достъп до информация, отговаряне на искания за информация, сезирания, искания за действия и искания за подкрепа, координаторите за цифровите услуги следва да бъдат отделни администратори по смисъла на Регламент (ЕС) 2016/679 за дейностите по обработване, които извършват.

(9)

Всеки координатор за цифровите услуги може също така да вземе решение да използва AGORA за собствените си дейности по разглеждане на случаи за целите на надзора, разследването, осигуряването на спазването и контрола по Регламент (ЕС) 2022/2065. Когато чрез AGORA няма да се обменят лични данни с цел обмен, искане и осъществяване на достъп до информация, отговаряне на искания за информация, сезирания, искания за действия и искания за подкрепа, всеки координатор за цифровите услуги и по целесъобразност други компетентни органи, на които е предоставен достъп до AGORA, следва да бъдат единственият администратор по смисъла на Регламент (ЕС) 2016/679 и на Регламент (ЕС) 2018/1725 по отношение на дейностите по обработване на данни, извършвани чрез AGORA.

(10)

Предаването, съхранението и другите видове обработване на лични данни на физически лица следва да се извършват в AGORA с цел подпомагане на комуникацията между участниците в AGORA за извършване на дейности по разглеждане на случаи във връзка с надзора, разследването, осигуряването на спазването и контрола по Регламент (ЕС) 2022/2065.

(11)

В AGORA следва да се обработват лични данни, доколкото това е строго необходимо за надзора, разследването, осигуряването на спазването и контрола по Регламент (ЕС) 2022/2065. В AGORA следва да се обработват лични данни като данни за установяване на самоличността (например име, прякор, псевдоним, дата на раждане, място на раждане, гражданство, документи за самоличност и при необходимост други характеристики, които биха могли да спомогнат за установяването на самоличността), данни за контакт (например професионален и личен адрес, електронен адрес и телефон), данни за участие в случая (например длъжност и функция на физическото лице в дадено предприятие, други роли като заподозряно лице, жертва, лице, сигнализиращо за нередности, информатор и свидетел), свързани със случая данни (например документ, изображение, видеоматериал, запис на глас, изявление, становище и запис) и всякаква друга информация, която се счита за необходима за изпълнението на изискванията по Регламент (ЕС) 2022/2065.

(12)

В съответствие с принципите за защита на данните на етапа на проектирането и по подразбиране AGORA следва да бъде проектирана и разработена при надлежно спазване на изискванията на законодателството за защита на данните, по-специално поради ограниченията по отношение на достъпа до лични данни, обменяни в AGORA. Поради това AGORA следва да предлага значително по-висока степен на защита и сигурност в сравнение с други методи за обмен на информация като телефон, обикновена поща или електронна поща.

(13)	Комисията следва да достави и управлява софтуера и ИТ инфраструктурата за AGORA, да гарантира нейната надеждност, сигурност, наличност, поддръжка и експлоатация, както и да участва в обучението на администраторите на AGORA и ползвателите на AGORA и в техническата помощ за тях.

(14)

Компетентността на държавите членки да решават кои национални органи да изпълняват задълженията, произтичащи от настоящия регламент, следва да се упражнява в съответствие с член 49 и член 62 от Регламент (ЕС) 2022/2065. Държавите членки следва да могат да адаптират функциите и отговорностите във връзка с AGORA, така че да отразяват вътрешните им административни структури, и да могат да изпълняват в AGORA конкретен вид дейност или последователност от етапи на даден работен процес.

(15)

Всеки координатор за цифровите услуги следва да назначи поне един администратор на AGORA в своята държава членка по въпроси, свързани с AGORA, и да уведоми Комисията в тази връзка. Всеки координатор за цифровите услуги следва също така да отговаря за назначаването на администраторите на AGORA в съответните си компетентни органи, на които е предоставен достъп до AGORA съгласно Регламент (ЕС) 2022/2065. Всеки администратор на AGORA следва да регистрира, предоставя и отнема достъпа на своите ползватели на AGORA до системата. За да се постигне ефективно сътрудничество в областта на надзора, разследването, осигуряването на спазването и контрола на попадащите в обхвата на Регламент (ЕС) 2022/2065 услуги чрез AGORA, държавите членки следва да гарантират, че съответните им администратори на AGORA и ползватели на AGORA разполагат с необходимите ресурси, за да изпълняват задълженията си в съответствие с член 50, параграф 1 от Регламент (ЕС) 2022/2065.

(16)

Информацията, която даден координатор за цифровите услуги, Комисията, Европейският съвет за цифровите услуги или друг компетентен орган, на който е предоставен достъп до AGORA, получава чрез AGORA от друг координатор за цифровите услуги, Комисията, Европейския съвет за цифровите услуги или друг такъв компетентен орган, не следва да бъде лишавана от своята стойност като доказателство в наказателни, граждански или административни производства в съответствие с приложимото право на ЕС и национално право единствено на основание, че произхожда от друга държава членка или е получена по електронен път и следва да бъде третирана от съответния участник в AGORA по същия начин като сходни документи, произхождащи от неговата държава членка

(17)

Следва да бъде възможно да се обработват името и данните за контакт на администраторите на AGORA и на ползвателите на AGORA, необходими за изпълнение на целите на Регламент (ЕС) 2022/2065 и на настоящия регламент, включително мониторинг на използването на AGORA от администраторите на AGORA и ползвателите на AGORA, комуникация, обучение и инициативи за повишаване на осведомеността, както и събиране на информация във връзка с надзора, разследването, осигуряването на спазването и контрола на услугите в обхвата на Регламент (ЕС) 2022/2065 или взаимопомощ в тази връзка.

(18)

За да се гарантират ефективен мониторинг и докладване на функционирането на AGORA, координаторите за цифровите услуги, Европейският съвет за цифровите услуги и други компетентни органи, на които е предоставен достъп до AGORA, следва да предоставят съответната информация на разположение на Комисията.

(19)

В съответствие с Регламент (ЕС) 2016/679 и Регламент (ЕС) 2018/1725 субектите на данни следва да бъдат информирани за обработването на техни лични данни в AGORA, както и за правата, от които се ползват, по-специално правото на достъп до свързани с тях данни и правото да изискат поправка на неточни данни и заличаване на незаконосъобразно обработени данни.

(20)

Всеки участник в AGORA, в качеството си на администратор по отношение на дейностите по обработване на данни, които извършва във връзка с надзора, разследването, осигуряването на спазването и контрола на услугите, попадащи в обхвата на Регламент (ЕС) 2022/2065, следва да гарантира, че субектите на данни могат да упражняват правата си в съответствие с Регламент (ЕС) 2016/679 и Регламент (ЕС) 2018/1725. Това следва да включва установяването на процес на редовно изпитване, преценяване и оценка на ефективността на техническите и организационните мерки с оглед да се гарантира сигурността на обработването.

(21)

Прилагането на настоящия регламент и резултатите от работата на AGORA следва да бъдат проследени в доклада относно функционирането на AGORA въз основа на статистически данни от AGORA и всякакви други относими данни. Комисията следва да представи доклада на Европейския парламент, Съвета и Европейския надзорен орган по защита на данните. Работата на координаторите за цифровите услуги, на Европейския съвет за цифровите услуги и на други компетентни органи, на които е предоставен достъп до AGORA, следва да се оценява, наред с другото, въз основа на средното време за отговор с цел да се гарантират ефикасни и адекватни отговори. В този доклад следва да бъдат разгледани и аспектите, свързани със защитата на личните данни в AGORA, включително сигурността на данните.

(22)	Европейският надзорен орган по защита на данните беше консултиран в съответствие с член 42, параграф 1 от Регламент (ЕС) 2018/1725 и прие своето становище на 4 януари 2024 г.,

ПРИЕ НАСТОЯЩИЯ РЕГЛАМЕНТ:

Глава I

ОБЩИ РАЗПОРЕДБИ

Член 1

Предмет и приложно поле

С настоящия регламент се определят практическите и оперативните договорености за функционирането на надеждна и сигурна система за обмен на информация, наричана по-нататък „AGORA“, за целите на надзора, разследването, осигуряването на спазването и контрола по Регламент (ЕС) 2022/2065.

Член 2

Система за обмен на информация

1. Създава се система за обмен на информация AGORA.

2. AGORA е софтуерно приложение, достъпно чрез интернет, и е инструментът, използван за обмен на информация, включително при необходимост на лични данни, който в противен случай би се осъществявал чрез други средства, включително обикновена или електронна поща.

3. AGORA се използва за обмен на информация, включително за обмен на информация, съдържаща лични данни, между координаторите за цифровите услуги, Комисията и Европейския съвет за цифровите услуги („Европейски съвет за цифровите услуги“), както и с други компетентни органи, на които е предоставен достъп до AGORA, за да изпълняват задачите, възложени им в съответствие с Регламент (ЕС) 2022/2065, във връзка с надзора, разследването, осигуряването на спазването и контрола по посочения регламент.

Член 3

Определения

За целите на настоящия регламент в допълнение към определенията, посочени в член 3 и член 49, параграф 1 от Регламент (ЕС) 2022/2065, член 4 от Регламент (ЕС) 2016/679 и член 3 от Регламент (ЕС) 2018/1725, се прилагат следните определения:

а)	„AGORA“ означава системата за обмен на информация, създадена и поддържана от Комисията в подкрепа на комуникацията съгласно Регламент (ЕС) 2022/2065 между участниците в AGORA за целите на надзора, разследването, осигуряването на спазването и контрола по Регламент (ЕС) 2022/2065;

б)

„участник в AGORA“ означава координаторите за цифровите услуги, Комисията, Европейския съвет за цифровите услуги или други компетентни органи, на които е предоставен или може да бъде предоставен достъп до AGORA, когато това е необходимо за изпълнението на възложените им задачи в съответствие с Регламент (ЕС) 2022/2065;

в)	„ползвател на AGORA“ означава физическо лице, което работи под ръководството на участник в AGORA и е регистрирано като такова в AGORA с цел изпълнение на задачите, възложени на участника в AGORA по силата на Регламент (ЕС) 2022/2065;

г)	„администратор на AGORA“ означава ползвател на AGORA, определен от участник в AGORA за целите на управлението на AGORA за този участник.

Глава II

ФУНКЦИИ И ОТГОВОРНОСТИ, СВЪРЗАНИ С AGORA

Член 4

Отговорности на Комисията

1. Комисията отговаря за изпълнението на следните задачи във връзка с AGORA:

а)	осигуряване на AGORA на всички официални езици на Съюза и поддържане на AGORA;

б)	гарантиране на надеждността, сигурността, наличността, поддръжката и разработването на софтуера и на ИТ инфраструктура на AGORA;

в)	предлагане на автоматизирани инструменти за машинен превод с цел превод на обменяните чрез AGORA документи и съобщения;

г)	осигуряване на подкрепа за други участници в AGORA във връзка с използването на AGORA;

д)	регистриране на поне един администратор на AGORA от името на всеки координатор за цифровите услуги и на Европейския съвет за цифровите услуги и предоставяне на достъп до AGORA на същия;

е)	назначаване на поне един администратор на AGORA;

ж)	извършване на операции по обработване на лични данни в AGORA, когато това е предвидено в настоящия регламент, за целите на надзора, разследването, осигуряването на спазването и мониторинга на Регламент (ЕС) 2022/2065;

з)	одитиране, наблюдение и изготвяне на доклади, необходими за одита и наблюдението на AGORA съгласно Регламент (ЕС) 2022/2065;

и)	осигуряване на знания, обучение и подкрепа, включително техническа помощ, на администраторите на AGORA;

й)	мониторинг в съответствие с член 15 на изпълнението от страна на всички други участници в AGORA съгласно настоящия регламент.

2. С цел подпомагане на Комисията при изпълнението на задачите, изброени в параграф 1, останалите участници в AGORA предоставят на Комисията информация относно извършваните от тях операции в AGORA.

Член 5

Обработване на лични данни от Комисията

1. Комисията е обработващ лични данни по смисъла на член 3, точка 12 от Регламент (ЕС) 2018/1725 по отношение на обработването на лични данни при регистрирането на администратори на AGORA.

2. Комисията е отделен администратор по смисъла на член 3, точка 8 от Регламент (ЕС) 2018/1725 по отношение на обработването на лични данни на собствените си администратори на AGORA и ползватели на AGORA.

3. Когато Комисията обработва лични данни в рамките на функционирането на AGORA с цел обмен, искане и осъществяване на достъп до информация, искане за действие и искане за подкрепа, тя се счита за отделен администратор по смисъла на член 3, точка 8 от Регламент (ЕС) 2018/1725 от другите участници в AGORA за извършваните от нея дейности по обработване на лични данни.

4. Когато Комисията обработва лични данни в рамките на функционирането на AGORA от името на други участници в AGORA с цел обмен, искане и осъществяване на достъп до информация, искане за действие и искане за подкрепа, тя се счита за обработващ лични данни по смисъла на член 3, точка 12 от Регламент (ЕС) 2018/1725.

5. За целите на настоящия регламент отговорностите на Комисията като обработващ лични данни за дейностите по обработване на данни, извършвани в AGORA от въпросните други участници в AGORA, се определят в съответствие с приложение II.

Член 6

Отговорности на координаторите за цифровите услуги

1. Всеки координатор за цифровите услуги назначава поне един администратор на AGORA за своята държава членка.

2. Всеки координатор за цифровите услуги е длъжен да гарантира, че във връзка с изпълнението на задачите, които са му възложени в съответствие с Регламент (ЕС) 2022/2065, достъп до AGORA имат само упълномощени ползватели на AGORA.

3. Всеки координатор за цифровите услуги незабавно информира Комисията за определения от него администратор на AGORA в съответствие с параграф 1. Комисията споделя тази информация с останалите координатори за цифровите услуги и с Европейския съвет за цифровите услуги.

4. Всеки координатор за цифровите услуги гарантира, че отговорностите на администратора на AGORA съгласно настоящия регламент се изпълняват.

5. Координаторите за цифровите услуги са отделни администратори по смисъла на член 4, точка 7 от Регламент (ЕС) 2016/679 по отношение на обработването на лични данни при регистрирането на техните ползватели на AGORA и когато им предоставят достъп до AGORA.

6. Когато при експлоатацията на AGORA координаторите за цифровите услуги обработват лични данни с цел обмен на информация, искане и осъществяване на достъп до информация, отговаряне на искания за информация, сезирания, искания за действия и искания за подкрепа, те са отделни администратори по смисъла на Регламент (ЕС) 2016/679 за дейностите по обработване, които извършват.

7. Когато други компетентни органи, определени от държавите членки съгласно член 49, параграф 1 от Регламент (ЕС) 2022/2065, които не са координаторът на цифровите услуги, обработват лични данни в рамките на функционирането на AGORA, тези органи са отделни администратори по смисъла на Регламент (ЕС) 2016/679.

Член 7

Отговорности на Европейския съвет за цифровите услуги

1. Европейският съвет за цифровите услуги назначава един администратор на AGORA. Администраторът на AGORA е част от административната и аналитичната подкрепа, осигурявана от Европейския съвет за цифровите услуги съгласно член 62, параграф 4 от Регламент (ЕС) 2022/2065.

2. Европейският съвет за цифровите услуги е длъжен да гарантира, че достъп до AGORA имат само упълномощени ползватели на AGORA.

3. Европейският съвет за цифровите услуги незабавно информира Комисията за самоличността на своя администратор на AGORA, назначен в съответствие с параграф 1, и за задачите, за които отговаря съгласно член 8 от настоящия регламент. Комисията споделя тази информация с останалите координатори за цифровите услуги.

Член 8

Отговорности на администраторите на AGORA

Администраторите на AGORA отговарят за:

а)	регистриране на ползвателите на AGORA и за предоставяне и отнемане на достъпа до AGORA;

б)	функциониране като главно звено за контакт с Комисията по въпроси, свързани с AGORA, включително предоставяне на информация по аспекти, свързани със защитата на личните данни, в съответствие с настоящия регламент, Регламент (ЕС) 2016/679 и Регламент (ЕС) 2018/1725;

в)	осигуряване на знания, обучение и подкрепа, включително техническа помощ и бюро за помощ, на регистрираните от тях ползватели на AGORA;

г)	гарантиране на ефективно осигуряване на адекватни отговори от участниците в AGORA.

Член 9

Права на достъп на участниците в AGORA

1. Участниците в AGORA предоставят и отнемат правата на достъп на администраторите на AGORA, за които отговарят.

2. Достъп до AGORA имат единствено упълномощените администратори на AGORA и упълномощените ползватели на AGORA.

3. Участниците в AGORA въвеждат подходящи средства, за да гарантират, че администраторите на AGORA и ползвателите на AGORA имат право на достъп до лични данни, обработвани в AGORA, само когато това е строго необходимо за надзора, разследването, осигуряването на спазването и мониторинга на Регламент (ЕС) 2022/2065.

4. Когато процедура, свързана с надзора, разследването, осигуряването на спазването и мониторинга на Регламент (ЕС) 2022/2065, включва обработването на лични данни, достъп до тези лични данни имат само администраторите на AGORA и ползвателите на AGORA, участващи в тази процедура.

Член 10

Поверителност

1. Всяка държава членка и Комисията прилагат своите собствени правила относно професионалната тайна или други равностойни задължения за поверителност по отношение на своите администратори на AGORA и ползватели на AGORA в съответствие с националното право или правото на Съюза.

2. Всеки участник в AGORA гарантира, че исканията на други участници в AGORA за поверително третиране на информация, обменяна в AGORA, се спазват от администраторите на AGORA и ползвателите на AGORA, които работят под тяхно ръководство.

Глава III

ОБРАБОТВАНЕ НА ЛИЧНИ ДАННИ И СИГУРНОСТ

Член 11

Обработване на лични данни в AGORA

1. Предаването, съхранението и други видове обработване на лични данни в AGORA могат да се извършват само когато това е необходимо и пропорционално и само за следните цели:

а)	подпомагане на комуникацията между участниците в AGORA във връзка с надзора, разследването, осигуряването на спазването и мониторинга на Регламент (ЕС) 2022/2065;

б)	разглеждане на случаи от участници в AGORA, когато извършват своите собствени дейности във връзка с надзора, разследването, осигуряването на спазването и мониторинга на Регламент (ЕС) 2022/2065;

в)	извършване на стопанското и техническото преобразуване на данните, изброени в настоящия регламент, когато това е необходимо, за да се даде възможност за обмена на информация, посочен в букви а) и б).

2. Обработването на лични данни може да се извършва в AGORA само по отношение на следните категории субекти на данни:

а)	физически лица, чиято лична информация се съдържа в документи, получени във връзка с надзора, разследването, осигуряването на спазването и мониторинга на Регламент (ЕС) 2022/2065;

б)	администратори на AGORA и ползватели на AGORA, на които е предоставен достъп до AGORA.

3. Обработването на лични данни може да се извършва в AGORA само по отношение на следните категории лични данни:

а)	данни за установяване на самоличността, данни за контакт, данни за участие в случая, свързани със случая данни и всякаква друга информация, която се счита за необходима за надзора, разследването, осигуряването на спазването и контрола по Регламент (ЕС) 2022/2065;

б)	име, адрес, информация за контакт, номер за връзка и потребителско име на администраторите на AGORA и на ползвателите на AGORA, посочени в параграф 2, буква б).

4. В AGORA се съхраняват категориите лични данни, изброени в член 11, параграф 3 от настоящия регламент, и записите с информация за обмена и потока на обменените данни, извършван за целите на надзора, разследването, осигуряването на спазването и контрола по Регламент (ЕС) 2022/2065.

5. Съхранението на данните, посочено в параграф 2, се извършва чрез използване на информационно-технологична инфраструктура, намираща се в Европейското икономическо пространство.

6. Всеки участник в AGORA гарантира, че субектите на данни могат да упражняват правата си в съответствие с Регламент (ЕС) 2016/679 и Регламент (ЕС) 2018/1725 и отговаря за спазването на тези регламенти по отношение на дейностите по обработване на лични данни, извършвани от негово име.

7. Националните надзорни органи и Европейският надзорен орган по защита на данните, всеки от които действа в рамките на съответната си компетентност, гарантират координиран надзор на AGORA и на използването ѝ от администраторите на AGORA и ползвателите на AGORA.

Член 12

Съвместно администриране в AGORA

1. Координаторите за цифровите услуги са съвместни администратори съгласно член 26, параграф 1 от Регламент (ЕС) 2016/679 за предаването, съхранението и другите видове обработване на лични данни в AGORA по отношение на дейностите на Европейския съвет за цифровите услуги, извършвани в контекста на надзора, разследването, осигуряването на спазването и контрола по Регламент (ЕС) 2022/2065.

2. Когато се извършват съвместни разследвания съгласно член 60 от Регламент (ЕС) 2022/2065 в контекста на надзора, разследването, осигуряването на спазването и контрола по Регламент (ЕС) 2022/2065, съответните координатори за цифровите услуги са съвместни администратори по смисъла на член 26, параграф 1 от Регламент (ЕС) 2016/679 за предаването, съхранението и другите видове обработване на лични данни в AGORA в контекста на конкретно съвместно разследване.

3. За целите на параграфи 1 и 2 отговорностите се разпределят между съвместните администратори в съответствие с приложение I.

4. Комисията е обработващ лични данни по смисъла на член 3, точка 12 от Регламент (ЕС) 2018/1725 за обработването на лични данни, извършвано от името на координаторите за цифровите услуги за целите на дейностите на Европейския съвет за цифровите услуги, както и за съвместните разследвания съгласно член 60 от Регламент (ЕС) 2022/2065, извършвани в контекста на надзора, разследването, осигуряването на спазването и контрола по Регламент (ЕС) 2022/2065.

Член 13

Сигурност

1. Комисията въвежда необходимите мерки, съобразени с най-съвременните технологии, за гарантиране на сигурността на обработените в AGORA лични данни, включително подходящ контрол по отношение на достъпа до данните и план за сигурността, който се актуализира редовно.

2. Комисията въвежда необходимите мерки, съобразени с най-съвременните технологии, за реагиране в случай на инцидент, свързан със сигурността, предприема корективни действия и гарантира, че е възможно да се провери какви лични данни са били обработени в AGORA, кога, от кого и с каква цел.

ГЛАВА IV

ЗАКЛЮЧИТЕЛНИ РАЗПОРЕДБИ

Член 14

Превод

1. Комисията предприема действия, така че AGORA да е достъпна на всички официални езици на Съюза, и предлага на ползвателите на AGORA автоматизирани инструменти за машинен превод с цел превод на обменяните в AGORA документи и съобщения.

2. Координаторът за цифровите услуги или всеки друг компетентен орган, на който е предоставен достъп до AGORA, може във връзка с изпълнението на всяка от задачите, възложени му в съответствие с Регламент (ЕС) 2022/2065, да представя всякаква информация, документ, констатация, декларация или заверено копие, които е получил в AGORA, на същата основа като сходна информация, получена в собствената му държава, за цели, съвместими с тези, за които първоначално са събрани данните, и в съответствие с приложимото право на ЕС и национално право.

Член 15

Мониторинг и докладване

1. Комисията осъществява редовен мониторинг на функционирането на AGORA и редовно оценява резултатите от нейната работа.

2. До 17 февруари 2027 г. и на всеки три години след това Комисията представя на Европейския парламент, на Съвета и на Европейския надзорен орган по защита на данните доклад за прилагането на настоящия регламент. Докладът включва информация относно мониторинга и оценката, извършени в съответствие с параграф 1, и относно резултатите от дейността на участниците в AGORA във връзка с AGORA с цел да се гарантира ефикасен обмен на информация и адекватни отговори. В този доклад се разглеждат и аспектите на прилагането, свързани със защитата на личните данни в AGORA, включително сигурността на данните.

3. За целите на изготвянето на доклада, посочен в параграф 2, координаторите за цифровите услуги, Европейският съвет за цифровите услуги и други компетентни органи, на които е предоставен достъп, когато това е необходимо за изпълнението на задачите, възложени им в съответствие с Регламент (ЕС) 2022/2065, ежегодно предоставят на Комисията всякаква информация от значение за прилагането на настоящия регламент под формата на доклади, включително относно прилагането на определените в него изисквания за защита на данните и сигурност на данните.

Член 16

Разходи

1. Разходите за създаването, поддръжката и експлоатацията на AGORA се покриват от годишните такси за надзор, събирани от Комисията в съответствие с член 43, параграф 2 от Регламент (ЕС) 2022/2065 и Делегиран регламент (ЕС) 2023/1127 на Комисията (4).

2. Разходите за операциите на AGORA на равнището на държавите членки, включително човешките ресурси, необходими за дейностите по обучение, популяризиране, техническа помощ и осигуряване на бюро за помощ, както и за управлението на AGORA на национално равнище и всякакви необходими адаптации по националните мрежи и информационни системи, се поемат от държавата членка, която ги извършва.

Член 17

Ефективно прилагане

Държавите членки предприемат всички необходими мерки, за да гарантират ефективното прилагане на настоящия регламент от своите участници в AGORA.

Член 18

Влизане в сила

Настоящият регламент влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.

Настоящият регламент е задължителен в своята цялост и се прилага пряко във всички държави членки.

Съставено в Брюксел на 15 февруари 2024 година.

За Комисията

Председател

Ursula VON DER LEYEN

(1) ОВ L 277, 27.10.2022 г., стр. 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj.

(2) Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 г. относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/ЕО (ОВ L 119, 4.5.2016 г., стр. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3) Регламент (EC) 2018/1725 на Европейския парламент и на Съвета от 23 октомври 2018 г. относно защитата на физическите лица във връзка с обработването на лични данни от институциите, органите, службите и агенциите на Съюза и относно свободното движение на такива данни и за отмяна на Регламент (ЕО) № 45/2001 и Решение № 1247/2002/ЕО (OB L 295, 21.11.2018 г., стр. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(4) Делегиран регламент (ЕС) 2023/1127 на Комисията от 2 март 2023 г. за допълнение на Регламент (ЕС) 2022/2065 на Европейския парламент и на Съвета с подробните методики и процедури по отношение на таксите за надзор, начислявани от Комисията на доставчиците на много големи онлайн платформи и много големи онлайн търсачки (ОВ L 149, 2.3.2023 г., стр. 16, ELI: http://data.europa.eu/eli/reg_del/2023/1127/oj).

ПРИЛОЖЕНИЕ I

Отговорности НА координаторите за цифровите услуги като съвместни администратори за дейности по обработване на данни, извършвани в контекста на AGORA за съвместни разследвания и за дейностите на Европейския съвет за цифровите услуги

РАЗДЕЛ 1

Подраздел 1

Обхват на договореността за съвместно администриране

Следната договореност за съвместно администриране се прилага по отношение на съответните координатори за цифровите услуги при провеждането на съвместни разследвания съгласно член 60 от Регламент (ЕС) 2022/2065.

Следната договореност за съвместно администриране се прилага по отношение на координаторите за цифровите услуги като членове на Европейския съвет за цифровите услуги за дейностите по обработване на лични данни, осъществявани от Европейския съвет за цифровите услуги съгласно Регламент (ЕС) 2022/2065, които се извършват в контекста на надзора, разследването, осигуряването на спазването и контрола на услугите, попадащи в обхвата на Регламент (ЕС) 2022/2065.

Подраздел 2

Разпределяне на отговорностите

Съвместните администратори обработват лични данни чрез AGORA.

Координаторите за цифровите услуги остават единствените администратори за събирането, използването, разкриването и всяко друго обработване на лични данни, извършвано извън AGORA. Координаторите за цифровите услуги също така остават единствените администратори за дейностите по обработване на лични данни, които извършват в AGORA за целите на надзора, разследването, осигуряването на спазването и контрола на услугите, попадащи в обхвата на Регламент (ЕС) 2022/2065.

Всеки съвместен администратор е отговорен за обработването на лични данни в AGORA в съответствие с членове 5, 24 и 26 от Регламент (ЕС) 2016/679.

Всеки съвместен администратор създава звено за контакт с функционална пощенска кутия за връзка както между самите съвместни администратори, така и между съвместните администратори и обработващия лични данни.

Когато това бъде поискано от него, всеки съвместен администратор предоставя бързо и ефикасно съдействие на останалите съвместни администратори при изпълнението на настоящата договореност, като същевременно спазва всички приложими изисквания на Регламент (ЕС) 2016/679 и други приложими правила за защита на данните, включително задълженията към съответния си надзорен орган.

Съвместните администратори определят условията на работа, съгласно които се извършва обработването на лични данни чрез AGORA, и предоставят вече договорени инструкции на Комисията като обработващ лични данни.

Указанията за обработващия лични данни се изпращат от звеното за контакт на който и да е от съвместните администратори съгласувано с останалите съвместни администратори. Съвместният администратор, който дава указанието, го предоставя на обработващия лични данни в писмен вид и уведомява всички останали съвместни администратори за това. Ако разглежданият въпрос е достатъчно неотложен, така че да не позволява провеждането на заседание на съвместните администратори, може въпреки това да бъде предоставено указание, но то може да бъде отменено от съвместните администратори. Това указание се дава в писмен вид и всички останали съвместни администратори се информират за това в момента на даване на указанието.

Условията на работа между съвместните администратори не накърняват по никакъв начин индивидуалните компетентности на съвместните администратори да информират своя компетентен надзорен орган в съответствие с членове 24 и 33 от Регламент (ЕС) 2016/679. За такова уведомление не се изисква съгласието на никой от другите съвместни администратори.

Условията на работа между съвместните администратори не възпрепятстват съвместните администратори да си сътрудничат със съответния си компетентен надзорен орган, създаден съгласно Регламент (ЕС) 2016/679 и Регламент (ЕС) 2018/1725.

10)

Достъп до обменените лични данни имат единствено лицата, упълномощени от всеки съвместен администратор.

11)

Всеки съвместен администратор поддържа регистър на дейностите по обработване, за които отговаря. В този регистър се посочва съвместното администриране.

Подраздел 3

Отговорности и роли във връзка с информирането на субектите на данни и разглеждането на подадени от тях искания

В съответствие с член 14 от Регламент (ЕС) 2016/679 всеки администратор предоставя информация на физическите лица, чиито данни се обработват за съвместни разследвания и дейности на Европейския съвет за цифровите услуги, извършвани в контекста на надзора, разследването, осигуряването на спазването и контрола на услуги, попадащи в обхвата на Регламент (ЕС) 2022/2065, освен ако това би било невъзможно или би изисквало непропорционално големи усилия.

Всеки администратор изпълнява ролята на звено за контакт за физическите лица, чиито лични данни е обработил, и разглежда искания, подадени от субекти на данни или техни представители при упражняването на правата им в съответствие с Регламент (ЕС) 2016/679. Ако съвместен администратор получи искане от субект на данни, свързано с обработване на данни от страна на друг съвместен администратор, той уведомява субекта на данни за самоличността и данните за контакт на отговорния съвместен администратор. При поискване от друг съвместен администратор съвместните администратори взаимно се подпомагат при разглеждането на искания на субекти на данни и отговарят един на друг без ненужно забавяне, но при всички случаи не по-късно от един месец от получаването на искане за помощ.

Всеки администратор предоставя съдържанието на настоящото приложение на разположение на субектите на данни.

РАЗДЕЛ 2

УПРАВЛЕНИЕ НА ИНЦИДЕНТИ, СВЪРЗАНИ СЪС СИГУРНОСТТА, ВКЛЮЧИТЕЛНО НАРУШЕНИЯ НА СИГУРНОСТТА НА ЛИЧНИТЕ ДАННИ

Съвместните администратори взаимно се подпомагат при идентифицирането и реагирането при всякакви инциденти, свързани със сигурността, включително нарушения на сигурността на личните данни, свързани с обработването на данни в AGORA.

По-специално съвместните администратори взаимно се уведомяват за:

а)	всички потенциални или действителни рискове за наличността, поверителността и/или цялостността на личните данни, които са предмет на обработване в AGORA;

б)

всяко нарушение на сигурността на личните данни, вероятните последици от нарушението на сигурността на личните данни и оценката на риска за правата и свободите на физическите лица, както и за всички мерки, предприети за отстраняване на нарушението на сигурността на личните данни и намаляване на риска за правата и свободите на физическите лица; както и

в)	всяко нарушение на техническите и/или организационните гаранции на операцията по обработване в AGORA.

В съответствие с членове 33 и 34 от Регламент (ЕС) 2016/679 или след уведомление от Комисията съвместните администратори съобщават на Комисията, на компетентните надзорни органи за защита на данните, а при наличие на такова изискване — и на субектите на данни, за всяко нарушение на сигурността на лични данни, свързано с операцията по обработване в AGORA.

Всеки администратор прилага подходящи технически и организационни мерки, имащи за цел:

а)	гарантиране и защита на наличността, цялостността и поверителността на съвместно обработваните лични данни;

б)	защита срещу неразрешено или незаконно обработване, загуба, използване, разкриване или придобиване на лични данни, с които разполага, или за достъп до такива данни; както и

в)	гарантиране, че достъпът до личните данни не се разкрива, нито се предоставя на лице, което не е получател или обработващ на тези данни.

РАЗДЕЛ 3

ОЦЕНКА НА ВЪЗДЕЙСТВИЕТО ПО ОТНОШЕНИЕ НА ЗАЩИТАТА НА ДАННИТЕ

Ако с оглед на изпълнението на задълженията си съгласно членове 35 и 36 от Регламент (ЕС) 2016/679 даден администратор се нуждае от информация от друг администратор или от обработващия лични данни, той изпраща специално искане до функционалната пощенска кутия, посочена в раздел 1, подраздел 2, точка 4. Последният полага всички усилия да предостави информацията.

ПРИЛОЖЕНИЕ II

Отговорности на Комисията като обработващ лични данни за дейностите по обработване на данни, извършвани в контекста на AGORA от координаторите за цифрови услуги, други национални органи и Европейския съвет за цифровите услуги

Комисията:

а)

създава и гарантира сигурна и надеждна комуникационна инфраструктура — AGORA — от името на координаторите за цифровите услуги, други национални органи и Европейския съвет за цифровите услуги, която подпомага обмена на информация за координирани разследвания, механизми за съгласуваност и дейности на Европейския съвет за цифровите услуги, както и

б)

обработва лични данни единствено въз основа на документирани указания от администраторите и съвместните администратори, доколкото не се изисква друго съгласно правото на Съюза или на дадена държава членка; в този случай Комисията информира администраторите и съвместните администратори за това правно изискване преди извършване на дейността по обработване, освен когато приложимото законодателство забранява предоставянето на такава информация по важни съображения, свързани с обществения интерес.

За да изпълни задълженията си като обработващ лични данни за координаторите за цифровите услуги, други национални органи и Европейския съвет за цифровите услуги, Комисията може да използва трети страни като подизпълнители. В такъв случай администраторите и съвместните администратори упълномощават Комисията да използва обработващи лични данни подизпълнители или, когато е необходимо, да заменя обработващи лични данни подизпълнители. Комисията информира администраторите и съвместните администратори за въпросното използване или замяна на обработващи лични данни подизпълнители, като по този начин дава възможност на администраторите и съвместните администратори да възразят срещу такива промени. Комисията гарантира, че тези обработващи лични данни подизпълнители имат същите задължения за защита на личните данни като посочените в настоящия регламент.

Обработването от Комисията включва:

а)	автентификация и контрол на достъпа по отношение на всички администратори на AGORA и ползватели на AGORA;

б)	упълномощаване на администраторите на AGORA и ползвателите на AGORA да създават, актуализират и заличават записи и информация, съдържащи се в AGORA;

в)	приемане на личните данни по член 12, параграф 3 от настоящия регламент, качвани от националните ползватели на AGORA и администратори на AGORA, чрез осигуряване на приложно-програмен интерфейс, позволяващ на националните ползватели на AGORA и администратори на AGORA да качват съответните данни;

г)	съхраняване на лични данни в AGORA;

д)	предоставяне на личните данни на разположение с цел осъществяване на достъп и изтегляне от администраторите на AGORA и ползвателите на AGORA, както и всякакви други необходими дейности по обработване на данни;

е)	заличаване на лични данни при изтичане на срока им на валидност или по искане на администратора, който ги е подал;

ж)	след края на предоставянето на услугата — заличаване на всички останали лични данни, освен когато правото на Съюза или на съответната държава членка изисква съхраняването на такива лични данни.

Комисията предприема всички най-съвременни мерки за осигуряване на организационната, физическата и логическата сигурност с цел да се гарантира функционирането на AGORA. За тази цел Комисията:

а)	определя отговорен субект за управлението на сигурността на AGORA, предава на съвместните администратори информацията за връзка с него и гарантира готовността му да реагира на заплахи за сигурността;

б)	поема отговорността за сигурността на AGORA, включително като провежда редовно тестове на мерките за сигурност и ги оценява;

в)	гарантира, че администраторите на AGORA и ползвателите на AGORA, на които е предоставен достъп до AGORA, са обвързани с договорно, професионално или законоустановено задължение за поверителност.

Комисията предприема всички необходими мерки за сигурност, така че да не се допусне компрометиране на безпрепятственото функциониране на AGORA. Това включва:

а)	процедури за оценка на риска, чрез които да се открият и преценят потенциалните заплахи за AGORA;

б)

процедура за одит и контрол с цел:

—	проверка на съответствието между въведените мерки за сигурност и приложимата политика за сигурност;

—	редовен контрол на цялостността на файловете в AGORA, на параметрите за сигурност и на дадените разрешения за достъп;

—	откриване на нарушения на сигурността и проникване в AGORA;

—	въвеждане на промени за смекчаване на съществуващи слабости в сигурността на AGORA;

—

определяне на условията, съгласно които да разрешава, включително по искане на администраторите, и да допринася за извършването на независими одити, включително инспекции, и прегледи на мерките за сигурност, при спазване на условията, свързани с Протокол № 7 към Договора за функционирането на Европейския съюз за привилегиите и имунитетите на Европейския съюз;

в)	промяна на процедурата за контрол по отношение на документиране, измерване на въздействието на дадена промяна преди нейното въвеждане и текущо информиране на администраторите и съвместните администратори за всички промени, които могат да засегнат комуникацията с AGORA и/или сигурността на AGORA;

г)	определяне на процедура за техническа поддръжка и ремонт с цел уточняване на правилата и условията, които да се спазват при необходимост от извършване на техническа поддръжка и/или ремонт на оборудване на AGORA;

д)

определяне на процедура за инцидентите, свързани със сигурността, с цел да се установи схема за сигнализиране и предаване на сигнала по компетентност, незабавно уведомяване на засегнатите администратори, незабавно уведомяване на администраторите, за да могат те да уведомят националните надзорни органи по защита на данните за всяко нарушение на сигурността на личните данни, както и дефиниране на дисциплинарна процедура за разглеждане на нарушения на сигурността в AGORA.

Комисията предприема най-съвременни мерки за осигуряване на физическата и логическата сигурност на съоръженията, хостващи AGORA, както и за проверка на достъпа до данните и сигурността на достъпа до тях. За тази цел Комисията:

а)	обезпечава физическата сигурност с цел установяване на отделни периметри на сигурност и предоставяне на възможност за откриване на нарушения в AGORA;

б)	контролира достъпа до съоръженията на AGORA и поддържа регистър на посетителите в AGORA за целите на проследяването;

в)	осигурява придружаването на външни лица, получили достъп до помещенията, от служители, които имат необходимото разрешение;

г)	гарантира, че добавянето, замяната или премахването на оборудване се извършва само с предварително разрешение на определените отговорни органи;

д)	контролира достъпа от и до AGORA;

е)	осигурява идентифициране и удостоверяване на автентичността на администраторите на AGORA и ползвателите на AGORA, които имат достъп до AGORA;

ж)	преразглежда правата за разрешаване на достъп до AGORA в случай на нарушение на сигурността, което засяга AGORA;

з)	опазва цялостността на информацията, предадена чрез AGORA;

и)	въвежда мерки за техническата и организационната сигурност с цел предотвратяване на непозволен достъп до лични данни в AGORA;

й)	при необходимост предприема мерки за блокиране на неразрешен достъп до AGORA (т.е. блокиране на местоположение/IP адрес).

Комисията:

а)	предприема действия за защита на своя домейн, включително прекъсване на връзките, при значително отклонение от принципите и концепциите за качество и сигурност;

б)	поддържа план за управление на риска в своята област на отговорност;

в)	следи в реално време работата на всички компоненти на услугите на AGORA, изготвя редовно статистическа информация и води регистри;

г)	предоставя подкрепа за AGORA на английски език на администраторите на AGORA и ползвателите на AGORA;

д)	помага на администраторите и съвместните администратори чрез подходящи технически и организационни мерки да изпълняват задължението си да отговарят на искания във връзка с упражняването на правата на субектите на данни, предвидени в глава III от Регламент (EС) 2016/679;

е)	подпомага администраторите и съвместните администратори, като предоставя информация относно AGORA с цел изпълнение на задълженията съгласно членове 32, 33, 34, 35 и 36 от Регламент (ЕС) 2016/679;

ж)	гарантира, че обработваните в рамките на AGORA данни са неразбираеми за лице, което няма разрешение за достъп до тях;

з)	предприема всички необходими мерки за предотвратяване на неразрешен достъп до предадени чрез AGORA лични данни;

и)	предприема мерки за улесняване на комуникацията между администраторите и съвместните администратори;

й)	поддържа регистър на дейностите по обработване, извършвани от името на администраторите и съвместните администратори в съответствие с член 31, параграф 2 от Регламент (ЕС) 2018/1725.