KOMISJONI RAKENDUSMÄÄRUS (EL) 2024/607,

15. veebruar 2024,

mis käsitleb teabevahetussüsteemi toimimise praktilist ja operatiivset korda vastavalt Euroopa Parlamendi ja nõukogu määrusele (EL) 2022/2065 (digiteenuste määrus)

EUROOPA KOMISJON,

võttes arvesse Euroopa Liidu toimimise lepingut,

võttes arvesse Euroopa Parlamendi ja nõukogu 19. oktoobri 2022. aasta määrust (EL) 2022/2065, mis käsitleb digiteenuste ühtset turgu ja millega muudetakse direktiivi 2000/31/EÜ (digiteenuste määrus), (1) eriti selle artiklit 85,

olles konsulteerinud digiteenuste komiteega kooskõlas määruse (EL) 2022/2065 artikliga 88

ning arvestades järgmist:

(1)

Määruse (EL) 2022/2065 eesmärk on tagada, et veebikeskkond on kasutajatele turvaline, kuid et samas austatakse põhiõigusi. Selleks pannakse määrusega vahendusteenuste osutajatele kohustus hoida ära ebaseadusliku veebisisu levik ja reguleeritakse nende teenuseosutajate teenuste sisu modereerimise põhimõtteid. Tulemuslik järelevalve, uurimine, täitmise tagamine ja jälgimine tagamaks, et kõnealused teenuseosutajad nimetatud kohustusi täidavad, eeldab koostööd liikmesriikide vahel ja komisjoniga ning sujuvat teabevahetust liikmesriikide vahel ja komisjoniga.

(2)

Sel eesmärgil peab komisjon määruse (EL) 2022/2065 artikli 85 kohaselt looma usaldusväärse, turvalise ja koostalitlusvõimelise teabevahetussüsteemi (edaspidi „AGORA“) digiteenuste koordinaatorite, komisjoni ja Euroopa digiteenuste nõukoja (edaspidi „nõukoda“) vaheliseks teabevahetuseks ning seda haldama. Juurdepääsu AGORA-le võib anda ka teistele pädevatele asutustele, kui see on vajalik neile määrusega (EL) 2022/2065 antud ülesannete täitmiseks. Digiteenuste koordinaatorid, komisjon ja nõukoda peavad AGORAt kasutama kogu määruse (EL) 2022/2065 kohases teabevahetuses.

(3)

AGORA on interneti kaudu toimiv tarkvararakendus, mille töötab välja komisjon. AGORA on sidemehhanism, mis peab hõlbustama digiteenuste koordinaatorite, komisjoni ja nõukoja piiriülest teabevahetust ja vastastikust abi määruse (EL) 2022/2065 kohaselt. Eelkõige peaks AGORA toetama digiteenuste koordinaatoreid, komisjoni ja nõukoda määruse (EL) 2022/2065 kohase järelevalve, uurimise, täitmise tagamise ja jälgimisega seotud teabevahetuse haldamisel lihtsate ja ühtsete menetluste abil.

(4)

Käesoleva määrusega kehtestatakse praktiline ja operatiivne kord AGORA loomiseks, hooldamiseks ja käitamiseks määruse (EL) 2022/2065 kohase järelevalve, uurimise, täitmise tagamise ja jälgimise eesmärgil, mis võib muu hulgas hõlmata üks-ühele teabevahetust, teavitamismenetlusi, hoiatusmehhanisme, vastastikust abi puudutavaid kokkuleppeid ning probleemide lahendamist digiteenuste koordinaatorite, komisjoni, nõukoja ja muude selliste pädevate asutuste vahel, kellele on määruse (EL) 2022/2065 kohaselt antud juurdepääs AGORA-le (edaspidi „AGORA osalised“).

(5)

Võttes arvesse vahendusteenuste piiriülest ja valdkondadevahelist tähtsust, on vaja kõrgetasemelist koordineerimist ja koostööd erinevate asjaomaste osaliste vahel, et tagada määruse (EL) 2022/2065 kohane järjepidev järelevalve, uurimine, täitmise tagamine ja jälgimine ning see, et asjakohane teave oleks sel eesmärgil AGORA kaudu kättesaadav.

(6)

Keelebarjääri ületamiseks peaks AGORA olema kättesaadav kõigis liidu ametlikes keeltes. Selleks peaks AGORA pakkuma selle kaudu vahetatavate dokumentide ja sõnumite tõlkimiseks automatiseeritud masintõlkevahendeid, mis on praegu komisjonile kättesaadavad. Komisjon peaks andma sellised vahendid digiteenuste koordinaatorite, komisjoni, nõukoja või muude pädevate asutuste alluvuses töötavatele füüsilistele isikutele, kellele on antud juurdepääs AGORA-le (edaspidi „AGORA kasutaja“), ning AGORA kasutajatele, kelle digiteenuste koordinaatorid, komisjon ja nõukoda on määranud halduriks (edaspidi „AGORA haldur“). Automatiseeritud masintõlkevahendid peaksid vastama turva- ja konfidentsiaalsusnõuetele, mida kohaldatakse teabe vahetamise suhtes AGORA kaudu.

(7)

Selleks et täita määrusest (EL) 2022/2065 tulenevaid ülesandeid, võib digiteenuste koordinaatoritel, komisjonil ja nõukojal olla vaja vahetada teavet, mis võib sisaldada isikuandmeid. Igasugune selline teabevahetus peaks olema kooskõlas Euroopa Parlamendi ja nõukogu määrustes (EL) 2016/679 (2) ja (EL) 2018/1725 sätestatud isikuandmete kaitse normidega. Seega kujutab määruses (EL) 2022/2065 sätestatud kohustuste ja ülesannete täitmiseks vajalik isikuandmete vahetamine enesest andmete seaduslikku töötlemist määruse (EL) 2018/1725 (3) artikli 5 punkti a ning määruse (EL) 2016/679 artikli 6 lõike 1 punkti e kohaselt.

(8)

AGORA peaks olema vahend, mida kasutatakse selliseks teabevahetuseks (kaasa arvatud vajaduse korral isikuandmete vahetamiseks), mis muidu toimuks muude vahendite kaudu, sealhulgas tavaposti või e-postiga vastavalt õiguslikule kohustusele, mis on kehtestatud määrusega (EL) 2022/2065 digiteenuste koordinaatoritele, komisjonile, nõukojale ja muudele pädevatele asutustele, kellele on antud juurdepääs AGORA-le. AGORA kaudu vahetatavaid isikuandmeid tuleks töödelda üksnes määruse (EL) 2022/2065 kohase järelevalve, uurimise, täitmise tagamise ja jälgimise eesmärgil. Kui AGORA käitamise käigus töödeldakse isikuandmeid teabe jagamise, taotlemise ja sellele juurdepääsu, teabepäringutele vastamise, edastamiste, meetme taotlemise ja toe taotlemise eesmärgil, peaksid digiteenuste koordinaatorid olema oma töötlemistoimingute puhul eraldiseisvad vastutavad töötlejad määruse (EL) 2016/679 tähenduses.

(9)

Samuti võib iga digiteenuste koordinaator otsustada, et ta kasutab AGORAt ka oma juhtumite menetlemisel, mis toimub määruse (EL) 2022/2065 kohase järelevalve, uurimise, täitmise tagamise ja jälgimise eesmärgil. Kui isikuandmeid ei vahetata AGORA kaudu teabe jagamise, taotlemise ja sellele juurdepääsu, teabepäringutele vastamise, edastamiste, meetme taotlemise ja toe taotlemise eesmärgil, peaks iga digiteenuste koordinaator ja vajaduse korral muud pädevad asutused, kellele on antud juurdepääs AGORA-le, olema AGORA kaudu tehtavate andmetöötlustoimingute puhul ainus vastutav töötleja määruse (EL) 2016/679 ja määruse (EL) 2018/1725 tähenduses.

(10)	Füüsiliste isikute isikuandmete edastamine, säilitamine ja muul viisil töötlemine peaks toimuma AGORAs, et võimaldada AGORA osaliste vahelist suhtlust juhtumite menetlemisel määruse (EL) 2022/2065 kohase järelevalve, uurimise, täitmise tagamise ja jälgimise raames.

(11)

AGORAs peaks isikuandmeid töötlema niivõrd, kui see on määruse (EL) 2022/2065 kohaseks järelevalveks, uurimiseks, täitmise tagamiseks ja jälgimiseks rangelt vajalik. AGORAs peaks töötlema isikuandmeid, nagu tuvastusandmed (nt nimi, hüüdnimi, varjunimi, sünniaeg, sünnikoht, kodakondsus, isikut tõendavad dokumendid ja vajaduse korral muud tunnused, mis võivad olla abiks isiku tuvastamisel), kontaktandmeid (nt töökoha ja kodune aadress, e-posti aadress ja telefon), juhtumiga seotuse andmeid (nt füüsilise isiku ametikoht ja ülesanded ettevõttes, muud rollid, nagu kahtlustatav, ohver, rikkumisest teataja, informaator ja tunnistaja), juhtumiga seotud andmeid (nt dokument, pilt, video, helisalvestis, avaldus, arvamus ja kirje) ja mis tahes muud teavet, mida peetakse määruse (EL) 2022/2065 nõuete täitmiseks vajalikuks.

(12)

Lõimitud ja vaikimisi andmekaitse põhimõtete kohaselt tuleks AGORA väljatöötamisel ja kavandamisel kõigiti arvesse võtta andmekaitset käsitlevates õigusaktides kehtestatud nõudeid, eelkõige piiranguid, mis puudutavad AGORAs vahetatud isikuandmetele juurdepääsu. Seepärast peaks AGORA tagama märkimisväärselt suurema kaitse ja turvalisuse kui muud teabevahetusmeetodid, näiteks telefon, tavapost või e-post.

(13)	Komisjon peaks vastutama AGORA tarkvara ja IT-taristu tagamise ja haldamise eest, tagama selle usaldusväärsuse, turvalisuse, käideldavuse, hoolduse ja toimimise ning osalema AGORA haldurite ja AGORA kasutajate koolitamises ja neile antavas tehnilises abis.

(14)

Liikmesriikide pädevust otsustada, millised riiklikud asutused täidavad käesolevast määrusest tulenevaid kohustusi, tuleks teostada kooskõlas määruse (EL) 2022/2065 artiklitega 49 ja 62. Liikmesriikidel peaks olema võimalik kohandada AGORAga seotud ülesandeid ja kohustusi vastavalt oma sisemistele haldusstruktuuridele ning rakendada AGORAs konkreetset liiki tööde või konkreetse tööprotsessi etappide järjestust.

(15)

Iga digiteenuste koordinaator peaks määrama oma liikmesriigis vähemalt ühe AGORA halduri, kes tegeleb AGORAga seotud küsimustega, ja teatama tema andmed komisjonile. Iga digiteenuste koordinaator peaks vastutama ka selliste AGORA haldurite määramise eest oma vastavates pädevates asutustes, kellele on määruse (EL) 2022/2065 kohaselt antud juurdepääs AGORA-le. Iga AGORA haldur peaks oma AGORA kasutajatele juurdepääsu AGORA-le ise registreerima, andma ja tühistama. Selleks et tagada AGORA kaudu tõhus koostöö määruse (EL) 2022/2065 kohaldamisalasse kuuluvate teenuste järelevalves, uurimises, täitmise tagamises ja jälgimises, peaksid liikmesriigid tagama, et nende vastavatel AGORA halduritel ja AGORA kasutajatel on määruse (EL) 2022/2065 artikli 50 lõike 1 kohaste kohustuste täitmiseks vajalikud vahendid.

(16)

Teave, mille digiteenuste koordinaator, komisjon, nõukoda või muu pädev asutus, kellele on antud juurdepääs AGORA-le, on saanud AGORA kaudu teiselt digiteenuste koordinaatorilt, komisjonilt, nõukojalt või muult selliselt pädevalt asutuselt, ei tohiks kaotada oma väärtust ELi ja riigisiseste õigusaktide alusel kohaldatavates kriminaal-, tsiviil- või haldusmenetluses kasutatava tõendusmaterjalina üksnes seepärast, et see pärineb teisest liikmesriigist või saadi elektrooniliselt, ning asjaomane AGORA osaline peaks sellist teavet töötlema samamoodi nagu oma liikmesriigist pärinevaid analoogseid dokumente.

(17)

Võimalik peaks olema töödelda AGORA haldurite ja AGORA kasutajate nimesid ja kontaktandmeid, mis on vajalikud määruse (EL) 2022/2065 ja käesoleva määruse eesmärkide täitmiseks, sealhulgas AGORA haldajate ja AGORA kasutajate AGORA kasutamise jälgimine, teabevahetusalgatused, koolitus- ja teadlikkuse suurendamise algatused ning teabe kogumine seoses määruse (EL) 2022/2065 kohaldamisalasse kuuluvate teenuste järelevalve, uurimise, täitmise tagamise ja jälgimisega või sellega seotud vastastikuse abiga.

(18)	Selleks et tagada AGORA toimimise tulemuslik järelevalve ja aruandlus, peaksid digiteenuste koordinaatorid, nõukoda ja muud pädevad asutused, kellele on antud juurdepääs AGORA-le, tegema komisjonile asjakohase teabe kättesaadavaks.

(19)

Vastavalt määrusele (EL) 2016/679 ja määrusele (EL) 2018/1725 tuleks andmesubjekte teavitada nende isikuandmete töötlemisest AGORAs ja nende õigustest, eelkõige õigusest pääseda juurde iseendaga seotud andmetele ning õigustest lasta parandada ebaõiged andmed ja kustutada ebaseaduslikult töödeldud andmed.

(20)

Iga AGORA osaline peaks vastutava töötlejana seoses andmetöötlustoimingutega, mida ta teeb seoses määruse (EL) 2022/2065 kohaldamisalasse kuuluvate teenuste järelevalve, uurimise, täitmise tagamise ja jälgimisega, tagama, et andmesubjektid saavad kasutada oma õigusi kooskõlas määrusega (EL) 2016/679 ja määrusega (EL) 2018/1725. Muu hulgas tuleks selle raames kehtestada tehniliste ja korralduslike meetmete toimivuse korrapärase testimise ja hindamise kord isikuandmete töötlemise turvalisuse tagamiseks.

(21)

Käesoleva määruse rakendamise ja AGORA sooritusvõime kohta tuleks koostada AGORA toimimise aruanne, mis põhineb AGORA statistilistel andmetel ja muudel asjakohastel andmetel. Komisjon peaks aruande esitama Euroopa Parlamendile, nõukogule ja Euroopa Andmekaitseinspektorile. Digiteenuste koordinaatorite, nõukoja ja muude pädevate asutuste, kellele on antud juurdepääs AGORA-le, tegevust tuleks hinnata muu hulgas keskmise vastamisaja alusel, et tagada vastuste mõjusus ja asjakohasus. Aruandes tuleks käsitleda ka aspekte, mis puudutavad isikuandmete kaitset AGORAs, sealhulgas andmeturvet.

(22)	Euroopa Andmekaitseinspektoriga on konsulteeritud kooskõlas määruse (EL) 2018/1725 artikli 42 lõikega 1 ning ta esitas arvamuse 4. jaanuaril 2024,

ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:

I PEATÜKK

ÜLDSÄTTED

Artikkel 1

Reguleerimisese ja kohaldamisala

Käesoleva määrusega kehtestatakse usaldusväärse ja turvalise teabevahetussüsteemi (edaspidi „AGORA“) toimimise praktiline ja operatiivne kord määruse (EL) 2022/2065 kohaseks järelevalveks, uurimiseks, täitmise tagamiseks ja jälgimiseks.

Artikkel 2

Teabevahetussüsteem

1. Käesolevaga luuakse teabevahetussüsteem AGORA.

2. AGORA on interneti kaudu toimiv tarkvararakendus ja vahend, mida kasutatakse selliseks teabevahetuseks, sealhulgas vajaduse korral isikuandmete vahetamiseks, mis muidu toimuks muude vahendite, sealhulgas tavaposti või e-posti kaudu.

3. AGORAt kasutatakse teabevahetuseks, sealhulgas isikuandmeid sisaldava teabe vahetamiseks digiteenuste koordinaatorite, komisjoni ja Euroopa digiteenuste nõukoja (edaspidi „nõukoda“) vahel ning muude pädevate asutustega, kellele on antud juurdepääs AGORA-le, et täita neile määruse (EL) 2022/2065 alusel antud ülesandeid, mis seisnevad kõnealuse määruse kohases järelevalves, uurimises, täitmise tagamises ja jälgimises.

Artikkel 3

Mõisted

Käesolevas määruses kasutatakse lisaks määruse (EL) 2022/2065 artiklis 3 ja artikli 49 lõikes 1, määruse (EL) 2016/679 artiklis 4 ja määruse (EL) 2018/1725 artiklis 3 sätestatud mõistetele järgmisi mõisteid:

(a)	„AGORA“ – komisjoni loodud ja hooldatav teabevahetussüsteem, mille kaudu toimub kogu AGORA osaliste vaheline teabevahetus vastavalt määrusele (EL) 2022/2065 määruse (EL) 2022/2065 kohase järelevalve, uurimise, täitmise tagamise ja jälgimise eesmärgil;

(b)	„AGORA osaline“ – digiteenuste koordinaatorid, komisjon, nõukoda või muud pädevad asutused, kellel on või kellele võidakse anda juurdepääs AGORA-le, kui see on vajalik neile kooskõlas määrusega (EL) 2022/2065 antud ülesannete täitmiseks;

(c)	„AGORA kasutaja“ – füüsiline isik, kes töötab AGORA osalise alluvuses (ja on AGORAs vastavalt registreeritud) selleks, et täita AGORA osalisele määrusega (EL) 2022/2065 antud ülesandeid;

(d)	„AGORA haldur“ – AGORA kasutaja, kelle AGORA osaline on määranud AGORA haldamiseks selle osalise nimel.

II PEATÜKK

AGORAga SEOTUD ÜLESANDED JA KOHUSTUSED

Artikkel 4

Komisjoni kohustused

1. Komisjon vastutab järgmiste AGORAga seotud ülesannete täitmise eest:

(a)	pakkuda AGORAt kõigis liidu ametlikes keeltes ja hooldada AGORAt;

(b)	tagada AGORA tarkvara ja IT-taristu töökindlus, turvalisus, käideldavus, hooldamine ja arendamine;

(c)	pakkuda automatiseeritud masintõlkevahendeid AGORA kaudu vahetatavate dokumentide ja sõnumite tõlkimiseks;

(d)	pakkuda teistele AGORA osalistele tuge AGORA kasutamisel;

(e)	registreerida iga digiteenuste koordinaatori ja nõukoja nimel vähemalt üks AGORA haldur ning anda talle AGORA-le juurdepääs;

(f)	määrata vähemalt üks AGORA haldur;

(g)	töödelda AGORAs isikuandmeid, kui see on käesoleva määrusega ette nähtud määruse (EL) 2022/2065 kohaseks järelevalveks, uurimiseks, täitmise tagamiseks ja jälgimiseks;

(h)	auditeerida, teha järelevalvet ja koostada aruandeid, kui see on määruse (EL) 2022/2065 alusel AGORA auditeerimiseks ja jälgimiseks vajalik;

(i)	tagada AGORA halduritele teadmised, koolitus ja tugi, sealhulgas tehniline abi;

(j)	teha järelevalvet kõigi teiste AGORA osaliste tulemuslikkuse üle käesoleva määrusega artikli 15 alusel.

2. Selleks et abistada komisjoni lõikes 1 loetletud ülesannete täitmisel, esitavad teised AGORA osalised komisjonile teavet oma toimingute kohta, mida nad on AGORAs teinud.

Artikkel 5

Isikuandmete töötlemine komisjoni poolt

1. Kui komisjon töötleb AGORA haldurite registreerimisel isikuandmeid, on ta volitatud töötleja määruse (EL) 2018/1725 artikli 3 punkti 12 tähenduses.

2. Kui komisjon töötleb iseenda AGORA haldurite ja AGORA kasutajate isikuandmeid, on ta vastutav töötleja määruse (EL) 2018/1725 artikli 3 punkti 8 tähenduses.

3. Kui komisjon töötleb AGORA käitamisel isikuandmeid teabe jagamise, taotlemise ja sellele juurdepääsu, teabepäringutele vastamise, meetme taotlemise ja toe taotlemise eesmärgil, käsitatakse teda isikuandmete töötlemistoimingute tegemisel teistest AGORA osalistest eraldiseisva vastutava töötlejana määruse (EL) 2018/1725 artikli 3 punkti 8 tähenduses.

4. Kui komisjon töötleb AGORA käitamisel isikuandmeid teiste AGORA osaliste nimel teabe jagamise, taotlemise ja sellele juurdepääsu, teabepäringutele vastamise, meetme taotlemise ja toe taotlemise eesmärgil, käsitatakse teda volitatud töötlejana määruse (EL) 2018/1725 artikli 3 punkti 12 tähenduses.

5. Käesoleva määruse kohaldamisel määratletakse komisjoni kohustused volitatud töötlejana seoses andmetöötlustoimingutega, mida teevad AGORAs need teised AGORA osalised, vastavalt II lisale.

Artikkel 6

Digiteenuste koordinaatorite kohustused

1. Iga digiteenuste koordinaator määrab oma liikmesriigi jaoks vähemalt ühe AGORA halduri.

2. Iga digiteenuste koordinaator vastutab selle tagamise eest, et talle määrusega (EL) 2022/2065 antud ülesannete täitmisel on AGORA-le juurdepääs ainult volitatud AGORA kasutajatel.

3. Iga digiteenuste koordinaator teatab komisjonile viivitamata AGORA haldurist, kelle ta on lõike 1 kohaselt määranud. Komisjon jagab seda teavet teiste digiteenuste koordinaatorite ja nõukojaga.

4. Iga digiteenuste koordinaator tagab, et käesolevast määrusest tulenevad AGORA halduri kohustused on täidetud.

5. Kui digiteenuste koordinaatorid töötlevad oma AGORA kasutajate registreerimisel ja neile AGORA-le juurdepääsu andmisel isikuandmeid, on nad eraldiseisvad vastutavad töötlejad määruse (EL) 2016/679 artikli 4 punkti 7 tähenduses.

6. Kui digiteenuste koordinaatorid töötlevad AGORA käitamise käigus isikuandmeid teabe jagamise, taotlemise ja sellele juurdepääsu, teabepäringutele vastamise, edastamiste, meetme taotlemise ja toe taotlemise eesmärgil, on nad töötlemistoimingute tegemisel eraldiseisvad vastutavad töötlejad määruse (EL) 2016/679 tähenduses.

7. Kui AGORA käitamise käigus töötlevad isikuandmeid muud pädevad asutused, kelle liikmesriigid on määranud määruse (EL) 2022/2065 artikli 49 lõike 1 kohaselt ja kes ei ole digiteenuste koordinaatorid, on sellised asutused eraldiseisvad vastutavad töötlejad määruse (EL) 2016/679 tähenduses.

Artikkel 7

Nõukoja kohustused

1. Nõukoda määrab ühe AGORA halduri. AGORA haldur on kaasatud haldus- ja analüütilises toe pakkumisse nõukojale määruse (EL) 2022/2065 artikli 62 lõike 4 kohaselt.

2. Nõukoda vastutab selle eest, et AGORA-le on juurdepääs üksnes volitatud AGORA kasutajatel.

3. Nõukoda teatab komisjonile viivitamata AGORA halduri andmed, kelle ta on lõike 1 kohaselt määranud, ja tema ülesanded, mille eest haldur käesoleva määruse artikli 8 kohaselt vastutab. Komisjon jagab seda teavet teiste digiteenuste koordinaatoritega.

Artikkel 8

AGORA haldurite kohustused

AGORA haldurid vastutavad järgmise eest:

(a)	registreerida AGORA kasutajad ning anda ja tühistada AGORA-le juurdepääs;

(b)	tegutseda komisjoni peamise kontaktpunktina AGORAga seotud küsimustes, sealhulgas anda teavet isikuandmete kaitsega seotud aspektide kohta kooskõlas käesoleva määrusega, määrusega (EL) 2016/679 ja määrusega (EL) 2018/1725;

(c)	tagada nende poolt registreeritud AGORA kasutajatele teadmised, koolitus ja tugi, sealhulgas tehniline abi ja kasutajatugi;

(d)	tagada, et AGORA osaliste vastused on mõjusad ja asjakohased.

Artikkel 9

AGORA osaliste juurdepääsuõigused

1. AGORA osalised annavad ja tühistavad nende AGORA haldurite juurdepääsuõigusi, kelle eest nad vastutavad.

2. AGORA-le on juurdepääs ainult volitatud AGORA halduritel ja volitatud AGORA kasutajatel.

3. AGORA osalised võtavad kasutusele asjakohased vahendid tagamaks, et AGORA halduritel ja AGORA kasutajatel on juurdepääs AGORAs töödeldavatele isikuandmetele üksnes juhul, kui see on määruse (EL) 2022/2065 kohaseks järelevalveks, uurimiseks, täitmise tagamiseks ja jälgimiseks rangelt vajalik.

4. Kui menetlus, mis puudutab määruse (EL) 2022/2065 kohast järelevalvet, uurimist, täitmise tagamist ja jälgimist, hõlmab isikuandmete töötlemist, on sellistele isikuandmetele juurdepääs ainult AGORA halduritel ja AGORA kasutajatel, kes selles menetluses osalevad.

Artikkel 10

Konfidentsiaalsus

1. Iga liikmesriik ja komisjon kohaldavad oma AGORA haldurite ja AGORA kasutajate suhtes ametisaladuse hoidmise reegleid või muid samaväärseid konfidentsiaalsuskohustusi kooskõlas riigisisese või liidu õigusega.

2. Iga AGORA osaline tagab, et tema alluvuses töötavad AGORA haldurid ja AGORA kasutajad rahuldavad teiste AGORA osaliste taotluse töödelda AGORAs vahetatavat teavet konfidentsiaalselt.

III PEATÜKK

ISIKUANDMETE TÖÖTLEMINE JA TURVALISUS

Artikkel 11

Isikuandmete töötlemine AGORAs

1. Isikuandmeid võib AGORAs edastada, säilitada ja muul viisil töödelda üksnes juhul, kui see on vajalik ja proportsionaalne, ning üksnes järgmistel eesmärkidel:

(a)	toetada AGORA osaliste vahelist teabevahetust määruse (EL) 2022/2065 kohase järelevalve, uurimise, täitmise tagamise ja jälgimise raames;

(b)	käsitleda juhtumeid AGORA osaliste poolt, kui nad teevad oma toiminguid määruse (EL) 2022/2065 kohase järelevalve, uurimise, täitmise tagamise ja jälgimise raames;

(c)	teisendada äriliselt ja tehniliselt käesolevas määruses loetletud andmeid, kui see on vajalik punktides a ja b osutatud teabe vahetamise võimaldamiseks.

2. Isikuandmete töötlemine AGORAs võib toimuda üksnes järgmiste andmesubjektide kategooriate puhul:

(a)	füüsilised isikud, kelle isikuandmeid sisaldavad dokumendid on saadud määruse (EL) 2022/2065 kohase järelevalve, uurimise, täitmise tagamise ja jälgimise raames;

(b)	AGORA haldurid ja AGORA kasutajad, kellele on antud juurdepääs AGORA-le.

3. Isikuandmete töötlemine AGORAs võib toimuda üksnes järgmiste isikuandmete kategooriate puhul:

(a)	isikutuvastusandmed, kontaktandmed, juhtumiga seotuse andmed, juhtumiga seotud andmed ja mis tahes muu teave, mida peetakse vajalikuks määruse (EL) 2022/2065 kohase järelevalve, uurimise, täitmise tagamise ja jälgimise raames;

(b)	lõike 2 punktis b osutatud AGORA haldurite ja AGORA kasutajate nimi, aadress, kontaktandmed, kontaktnumber ja kasutajatunnus.

4. AGORA säilitab käesoleva määruse artikli 11 lõikes 3 loetletud kategooriatesse kuuluvaid isikuandmeid ja selliseid logisid, mis sisaldavad teavet määruse (EL) 2022/2065 kohase järelevalve, uurimise, täitmise tagamise ja jälgimise eesmärgil vahetatud teabe voogude ja liikumiste kohta.

5. Lõikes 2 osutatud andmeid säilitatakse Euroopa Majanduspiirkonnas asuvat IT-taristut kasutades.

6. Iga AGORA osaline tagab, et andmesubjektid saavad kasutada oma õigusi kooskõlas määrusega (EL) 2016/679 ja määrusega (EL) 2018/1725, ning vastutab nende määruste järgimise eest, kui isikuandmete töötlemistoiminguid tehakse tema nimel.

7. Riiklikud järelevalveasutused ja Euroopa Andmekaitseinspektor, tegutsedes igaüks oma pädevuse piires, tagavad kooskõlastatud järelevalve AGORA ja selle üle, kuidas AGORA haldurid ja AGORA kasutajad seda kasutavad.

Artikkel 12

Kaasvastutus AGORAs

1. Digiteenuste koordinaatorid on määruse (EL) 2016/679 artikli 26 lõike 1 kohased kaasvastutavad töötlejad, kui isikuandmeid AGORAs edastatakse, säilitatakse ja muul viisil töödeldakse seoses nõukoja toimingutega, mida tehakse määruse (EL) 2022/2065 kohase järelevalve, uurimise, täitmise tagamise ja jälgimise raames.

2. Kui ühisuurimisi viiakse läbi määruse (EL) 2022/2065 artikli 60 alusel määruse (EL) 2022/2065 kohase järelevalve, uurimise, täitmise tagamise ja jälgimise raames, on asjaomased digiteenuste koordinaatorid konkreetse ühisuurimise raames AGORAs isikuandmete edastamisel, säilitamisel ja muul viisil töötlemisel kaasvastutavad töötlejad määruse (EL) 2016/679 artikli 26 lõike 1 tähenduses.

3. Lõigete 1 ja 2 kohaldamisel jaotatakse kohustused kaasvastutavate töötlejate vahel vastavalt I lisale.

4. Komisjon on volitatud töötleja määruse (EL) 2018/1725 artikli 3 punkti 12 tähenduses, kui isikuandmeid töödeldakse digiteenuste koordinaatorite nimel nõukoja tegevuse raames ning määruse (EL) 2022/2065 artikli 60 kohaste ühisuurimiste raames, mis viiakse läbi määruse (EL) 2022/2065 kohase järelevalve, uurimise, täitmise tagamise ja jälgimise raames.

Artikkel 13

Turvalisus

1. Komisjon kehtestab vajalikud ajakohased meetmed, et tagada AGORAs töödeldavate isikuandmete turvalisus, sealhulgas asjakohane andmetele juurdepääsu kontroll ja turvalisuse tagamise kava, mida ajakohastatakse.

2. Komisjon kehtestab turvaintsidentideks vajalikud ajakohased meetmed, võtab parandusmeetmeid ja tagab, et on võimalik kontrollida, milliseid isikuandmeid on AGORAs töödeldud, millal, kelle poolt ja mis eesmärgil.

IV PEATÜKK

LÕPPSÄTTED

Artikkel 14

Tõlkimine

1. Komisjon teeb AGORA kättesaadavaks kõigis liidu ametlikes keeltes ning pakub AGORA kasutajatele automatiseeritud masintõlkevahendeid AGORAs vahetatud dokumentide ja sõnumite tõlkimiseks.

2. Digiteenuste koordinaator või muu pädev asutus, kellele on antud juurdepääs AGORA-le, võib talle määrusega (EL) 2022/2065 antud ülesannete täitmise raames esitada AGORAs igasugust saadud teavet, dokumente, järeldusi, avaldusi või tõestatud koopiaid samadel alustel nagu oma riigis saadud samalaadset teavet eesmärkidel, milleks andmeid algselt koguti, ning kooskõlas asjakohaste ELi ja riigisiseste õigusaktidega.

Artikkel 15

Järelevalve ja aruandlus

1. Komisjon teeb korrapäraselt järelevalvet AGORA toimimise üle ja hindab korrapäraselt selle sooritusvõimet.

2. Komisjon esitab 17. veebruariks 2027 ja seejärel iga viie aasta järel Euroopa Parlamendile, nõukogule ning Euroopa Andmekaitseinspektorile aruande käesoleva määruse kohaldamise kohta. Aruandes esitatakse teave lõike 1 kohaselt tehtud järelevalve ja hindamise kohta ning AGORA osaliste tegevuse tulemuslikkuse kohta seoses AGORAga, et tagada tõhus teabevahetus ja vastuste asjakohasus. Aruandes käsitletakse ka AGORAs isikuandmete kaitsega seotud rakendamise aspekte, sealhulgas andmeturvet.

3. Lõikes 2 osutatud aruande koostamiseks esitavad digiteenuste koordinaatorid, nõukoda ja muud pädevad asutused, kellele on antud juurdepääs, kui see on vajalik neile määrusega (EL) 2022/2065 antud ülesannete täitmiseks, komisjonile igal aastal aruannete vormis kogu teabe, mis on käesoleva määruse kohaldamise seisukohast oluline, sealhulgas selles sätestatud andmekaitsenõuete ja andmeturbe kohaldamise kohta.

Artikkel 16

Kulud

1. AGORA loomise, hooldamise ja käitamisega seotud kulud kaetakse iga-aastastest järelevalvetasudest, mida komisjon kogub kooskõlas määruse (EL) 2022/2065 artikli 43 lõikega 2 ja komisjoni delegeeritud määrusega (EL) 2023/1127 (4).

2. Liikmesriigi tasandil AGORA käitamisega seotud kulud, sealhulgas kulud, mis on seotud inimressurssidega, mida on vaja koolituseks, müügiedenduseks, tehniliseks abiks ja kasutajatoeks ning AGORA riiklikul tasandil haldamiseks, ning kulud, mis on seotud kohandustega, mis on vaja teha riigisisestes võrkudes ja infosüsteemides, kannab liikmesriik, kus need kulud tekivad.

Artikkel 17

Tulemuslik kohaldamine

Liikmesriigid võtavad kõik vajalikud meetmed, et tagada käesoleva määruse tulemuslik kohaldamine nende AGORA osaliste poolt.

Artikkel 18

Jõustumine

Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.

Brüssel, 15. veebruar 2024

Komisjoni nimel

president

Ursula VON DER LEYEN

(1) ELT L 277, 27.10.2022, lk 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj.

(2) Euroopa Parlamendi ja nõukogu 27. aprilli 2016. aasta määrus (EL) 2016/679 füüsiliste isikute kaitse kohta isikuandmete töötlemisel ja selliste andmete vaba liikumise ning direktiivi 95/46/EÜ kehtetuks tunnistamise kohta (isikuandmete kaitse üldmäärus) (ELT L 119, 4.5.2016, lk 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3) Euroopa Parlamendi ja nõukogu 23. oktoobri 2018. aasta määrus (EL) 2018/1725, mis käsitleb füüsiliste isikute kaitset isikuandmete töötlemisel liidu institutsioonides, organites ja asutustes ning isikuandmete vaba liikumist, ning millega tunnistatakse kehtetuks määrus (EÜ) nr 45/2001 ja otsus nr 1247/2002/EÜ (ELT L 295, 21.11.2018, lk 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(4) Komisjoni 2. märtsi 2023. aasta delegeeritud määrus (EL) 2023/1127, millega täiendatakse Euroopa Parlamendi ja nõukogu määrust (EL) 2022/2065, määrates kindlaks üksikasjaliku metoodika ja menetlused seoses järelevalvetasudega, mida komisjon nõuab väga suurte digiplatvormide ja väga suurte internetipõhiste otsingumootorite pakkujatelt (ELT L 149, 2.3.2023, lk 16, ELI: http://data.europa.eu/eli/reg_del/2023/1127/oj).

I LISA

Digiteenuste koordinaatorite kohustused kaasvastutavate töötlejatena seoses AGORAs ühisuurimiste ja nõukoja tegevuse raames tehtavate andmetöötlustoimingutega

1. JAGU

1. alajagu

Kaasvastutuse kokkuleppe kohaldamisala

(1)

Määruse (EL) 2022/2065 artikli 60 kohaste ühisuurimiste korraldamisel kohaldatakse asjaomaste digiteenuste koordinaatorite suhtes järgmist kaasvastutuse kokkulepet.

(2)

Järgmist kaasvastutuse kokkulepet kohaldatakse digiteenuste koordinaatorite kui nõukoja liikmete suhtes, kui nõukoda teeb määruse (EL) 2022/2065 kohaselt isikuandmete töötlemise toiminguid määruse (EL) 2022/2065 kohaldamisalasse kuuluvate teenuste järelevalve, uurimise, täitmise tagamise ja jälgimise raames.

2. alajagu

Kohustuste jaotus

(1)

Kaasvastutavad töötlejad töötlevad isikuandmeid AGORA kaudu.

(2)

Kui isikuandmeid kogutakse, kasutatakse, avalikustatakse ja muul viisil töödeldakse väljaspool AGORAt, on ainsad vastutavad töötlejad digiteenuste koordinaatorid. Digiteenuste koordinaatorid on ka ainsad vastutavad töötlejad isikuandmete töötlemise selliste toimingute puhul, mida nad teevad AGORAs määruse (EL) 2022/2065 kohaldamisalasse kuuluvate teenuste järelevalve, uurimise, täitmise tagamise ja jälgimise raames.

(3)

Iga kaasvastutav töötleja vastutab AGORAs isikuandmete töötlemise eest kooskõlas määruse (EL) 2016/679 artiklitega 5, 24 ja 26.

(4)

Iga kaasvastutav töötleja näeb teabe vahetamiseks nii kaasvastutavate töötlejate vahel kui ka kaasvastutavate töötlejate ja volitatud töötleja vahel ette kontaktpunkti ja üldpostkasti.

(5)

Iga kaasvastutav töötleja osutab taotluse korral teistele kaasvastutavatele töötlejatele käesoleva kokkuleppe täitmisel kiiret ja tõhusat abi ning täidab seda tehes kõiki määruses (EL) 2016/679 sätestatud nõudeid ja muid kohaldatavaid andmekaitsenorme, sealhulgas kohustusi oma vastava järelevalveasutuse ees.

(6)

Kaasvastutavad töötlejad määravad kindlaks töökorra, mille alusel isikuandmeid AGORAs töödeldakse, ning annavad komisjonile kui volitatud töötlejale kokkulepitud juhised.

(7)

Juhiseid volitatud töötlejale saadetakse kaasvastutavate töötlejate kontaktpunktide kaudu kokkuleppel teiste kaasvastutavate töötlejatega. Juhiseid andev kaasvastutav töötleja esitab need volitatud töötlejale kirjalikult ja teatab sellest kõigile teistele kaasvastutavatele töötlejatele. Kui arutlusel olev küsimus on nii kiireloomuline, et kaasvastutavaid töötlejaid ei ole võimalik kokku kutsuda, võib siiski anda juhise, kuid kaasvastutavad töötlejad võivad selle tühistada. See juhis antakse kirjalikult ning kõigile teistele kaasvastutavatele töötlejatele teatatakse sellest juhise andmise ajal.

(8)

Kaasvastutavate töötlejate vaheline töökord ei välista kaasvastutavate töötlejate individuaalset pädevust teavitada oma pädevat järelevalveasutust kooskõlas määruse (EL) 2016/679 artiklitega 24 ja 33. Kõnealuseks teavitamiseks ei ole vaja ühegi teise kaasvastutava töötleja nõusolekut.

(9)

Kaasvastutavate töötlejate töökord ei välista kaasvastutaval töötlejal tegemast koostööd oma vastava pädeva järelevalveasutusega, mis on loodud määruse (EL) 2016/679 ja määruse (EL) 2018/1725 alusel.

(10)

Vahetatud isikuandmetele pääsevad juurde ainult kaasvastutavate töötlejate volitatud isikud.

(11)

Iga kaasvastutav töötleja peab registrit oma vastutusalasse kuuluvate töötlemistoimingute kohta. Kaasvastutus märgitakse registrisse.

3. alajagu

Andmesubjektide taotluste käsitlemise ja teavitamisega seotud kohustused ja rollid

(1)

Kooskõlas määruse (EL) 2016/679 artikliga 14 annab iga vastutav töötleja füüsilistele isikutele, kelle andmeid töödeldakse ühisuurimiste ja nõukoja tegevuse raames määruse (EL) 2022/2065 kohaldamisalasse kuuluvate teenuste järelevalve, uurimise, täitmise tagamise ja jälgimise eesmärgil, sellest teada, välja arvatud juhul, kui see osutub võimatuks või nõuaks ebaproportsionaalseid jõupingutusi.

(2)

Iga vastutav töötleja tegutseb selliste füüsiliste isikute kontaktpunktina, kelle isikuandmeid ta on töödelnud, ja menetleb taotlusi, mille on esitanud andmesubjektid või nende esindajad, kes kasutavad oma õigusi kooskõlas määrusega (EL) 2016/679. Kui kaasvastutav töötleja saab andmesubjektilt taotluse, mis on seotud teise kaasvastutava töötleja poolse andmete töötlemisega, teatab ta andmesubjektile asjasse puutuva kaasvastutava töötleja nime ja tema kontaktandmed. Kui mõni kaasvastutav töötleja seda taotleb, abistavad teised kaasvastutavad töötlejad teda andmesubjektide taotluste menetlemisel ning vastavad üksteisele põhjendamatu viivituseta ja hiljemalt ühe kuu jooksul alates abitaotluse saamisest.

(3)

Iga vastutav töötleja teeb käesoleva lisa sisu andmesubjektidele kättesaadavaks.

2. JAGU

TURVAINTSIDENTIDE, SEALHULGAS ISIKUANDMETEGA SEOTUD RIKKUMISTE HALDAMINE

(1)

Kaasvastutavad töötlejad abistavad üksteist AGORAs andmete töötlemisega seotud turvaintsidentide, sealhulgas isikuandmetega seotud rikkumiste kindlakstegemisel ja käsitlemisel.

(2)

Kaasvastutavad töötlejad teavitavad üksteist eelkõige

(a)	kõigist võimalikest või tegelikest ohtudest AGORAs töödeldavate isikuandmete käideldavusele, konfidentsiaalsusele ja/või terviklusele;

(b)

kõigist isikuandmetega seotud rikkumistest, isikuandmetega seotud rikkumise tõenäolistest tagajärgedest ja füüsiliste isikute õigusi ja vabadusi ähvardava ohu hindamisest ning kõigist meetmetest, mis on võetud isikuandmetega seotud rikkumise käsitlemiseks ning füüsiliste isikute õigusi ja vabadusi ähvardava riski maandamiseks, ning

(c)	AGORAs töötlemistoimingutega seotud tehniliste ja/või korralduslike kaitsemeetmete mis tahes rikkumisest.

(3)

Kaasvastutavad töötlejad teavitavad komisjoni, pädevaid andmekaitse järelevalveasutusi ja vajaduse korral andmesubjekte kooskõlas määruse (EL) 2016/679 artiklitega 33 ja 34 või pärast komisjonilt teate saamist kõigist isikuandmetega seotud rikkumistest, mis leiavad aset AGORAs toimuvate töötlemistoimingute käigus.

(4)

Iga vastutav töötleja rakendab asjakohaseid tehnilisi ja korralduslikke meetmeid, mille eesmärk on

(a)	tagada ühiselt töödeldavate isikuandmete käideldavus, terviklus ja konfidentsiaalsus ja seda kaitsta;

(b)	kaitsta tema valduses olevaid isikuandmeid loata või ebaseadusliku töötlemise, kaotsimineku, kasutamise, avalikustamise või omandamise või neile juurdepääsu eest, ning

(c)	tagada, et juurdepääsu isikuandmetele ei avaldata ega anta mitte kellelegi teisele peale vastuvõtjate või volitatud töötleja.

3. JAGU

ANDMEKAITSEALANE MÕJUHINNANG

Kui vastutav töötleja vajab määruse (EL) 2016/679 artiklite 35 ja 36 kohaste kohustuste täitmiseks teavet teiselt vastutavalt töötlejalt või volitatud töötlejalt, saadab ta konkreetse taotluse 1. jao 2. alajao punktis 4 osutatud üldpostkasti. Konkreetse taotluse saanud vastutav töötleja teeb asjaomase teabe andmiseks kõik endast oleneva.

II LISA

Komisjoni kohustused volitatud töötlejana seoses AGORAs digiteenuste koordinaatorite, muude riiklike asutuste ja nõukoja tehtavate andmetöötlustoimingutega

(1)

Komisjon teeb järgmist:

(a)	loob ja tagab digiteenuste koordinaatorite, muude riiklike asutuste ja nõukoja nimel turvalise ja usaldusväärse sidetaristu AGORA, mille kaudu toimib teabevahetus koordineeritud uurimiste, järjepidevuse mehhanismide ja nõukoja tegevuse jaoks, ning

(b)

töötleb isikuandmeid üksnes vastutavate töötlejate ja kaasvastutavate töötlejate dokumenteeritud juhiste alusel, välja arvatud juhul, kui nõutakse töötlemist liidu või liikmesriigi õiguse alusel; sel juhul teatab komisjon sellest õiguslikust nõudest enne isikuandmete töötlemistoimingu tegemist vastutavatele töötlejatele ja kaasvastutavatele töötlejatele, kui selline teatamine ei ole olulise avaliku huvi tõttu kõnealuse õigusega keelatud.

(2)

Selleks et täita oma kohustusi digiteenuste koordinaatorite, muude riiklike asutuste ja nõukoja volitatud töötlejana, võib komisjon kasutada alamtöötlejatena kolmandaid isikuid. Sellisel juhul volitavad vastutavad töötlejad ja kaasvastutavad töötlejad komisjoni kasutama alamtöötlejaid või neid vajaduse korral asendama. Komisjon teavitab vastutavaid töötlejaid ja kaasvastutavaid töötlejaid alamtöötlejate kasutamisest või asendamisest ning annab seeläbi vastutavatele töötlejatele ja kaasvastutavatele töötlejatele võimaluse esitada selliste muudatuste suhtes vastuväiteid. Komisjon tagab, et nende alamtöötlejate suhtes kohaldatakse samu andmekaitsekohustusi, mis on sätestatud käesolevas määruses.

(3)

Andmete töötlemine komisjoni poolt hõlmab järgmist:

(a)	autentimine ja juurdepääsukontroll kõigi AGORA haldurite ja AGORA kasutajate puhul;

(b)	AGORA haldurite ja AGORA kasutajate volitamist AGORAs sisalduvate andmete ja teabe loomiseks, ajakohastamiseks ja kustutamiseks;

(c)	selliste käesoleva määruse artikli 12 lõikes 3 osutatud isikuandmete vastuvõtmist, mille on üles laadinud riiklikud AGORA kasutajad ja AGORA haldurid, pakkudes rakendusliidest, mis võimaldab riiklikel AGORA kasutajatel ja AGORA halduritel asjakohaseid andmeid üles laadida;

(d)	isikuandmete säilitamist AGORAs;

(e)	isikuandmete kättesaadavaks tegemist, et AGORA haldurid ja AGORA kasutajad saaksid nendega tutvuda ja neid alla laadida ning mis tahes muuks andmetöötlustoiminguks, mida on vaja teha;

(f)	isikuandmete kustutamist nende aegumisel või need esitanud vastutava töötleja juhiste kohaselt;

(g)	kõigi süsteemi allesjäänud isikuandmete kustutamist pärast teenuse osutamise lõppu, välja arvatud juhul, kui liidu või liikmesriigi õigusaktidega nõutakse selliste isikuandmete säilitamist.

(4)

Komisjon võtab AGORA toimimise tagamiseks kõik ajakohased korralduslikud, füüsilised ja loogilised turvameetmed. Sel eesmärgil teeb komisjon järgmist:

(a)	määrab AGORA turbehalduse eest vastutava üksuse, edastab vastutavatele töötlejatele selle kontaktandmed ja tagab, et üksus on turvaohtudele reageerimiseks kättesaadav;

(b)	võtab vastutuse AGORA turvalisuse eest, tegeledes muu hulgas turvameetmete korrapärase katsetamise ja hindamisega;

(c)	tagab, et AGORA haldajate ja AGORA kasutajate suhtes, kellele on antud juurdepääs AGORA-le, kohaldatakse lepingulist, kutsealast või seadusjärgset konfidentsiaalsuskohustust.

(5)

Komisjon võtab kõik vajalikud turvameetmed, et mitte ohustada AGORA tõrgeteta toimimist. See hõlmab järgmist:

(a)	riskihindamismenetlused, et teha kindlaks võimalikud AGORAt ähvardavad ohud ja neid hinnata;

(b)

auditeerimis- ja läbivaatamismenetlus, mille eesmärk on:

—	kontrollida rakendatud turvameetmete ja kohaldatava turbepoliitika omavahelist vastavust;

—	kontrollida korrapäraselt AGORA failide, turvaparameetrite ja antud lubade terviklust;

—	avastada turvarikkumised ja sissetungid AGORAsse;

—	teha muudatusi, et leevendada AGORAs olemasolevaid vajakajäämisi turvalisuses;

—

määrata kindlaks tingimused, mille alusel lubada, sealhulgas vastutavate töötlejate taotluse korral, sõltumatute auditite korraldamist, sealhulgas kontrolle, ja vaadata läbi julgeolekumeetmed, tingimusel et järgitakse Euroopa Liidu toimimise lepingu protokolli (nr 7) Euroopa Liidu privileegide ja immuniteetide kohta, ning nende toimumisele kaasa aidata;

(c)	muudatuste kontrollimise menetluse muutmine, et dokumenteerida ja mõõta muudatuse mõju enne selle rakendamist ning teavitada vastutavaid töötlejaid ja kaasvastutavaid töötlejaid kõigist muudatustest, mis võivad mõjutada AGORA teabevahetust ja/või selle turvalisust;

(d)	hooldus- ja remondimenetluse kehtestamine, et täpsustada AGORA seadmete hoolduse ja/või remondi korral kohaldatavaid eeskirju ja tingimusi;

(e)

turvaintsidentide korral kasutatava menetluse kehtestamine, et määrata kindlaks aruandlus- ja eskalatsioonikava, teavitada viivitamata mõjutatud vastutavaid töötlejaid, teavitada viivitamata vastutavaid töötlejaid, et nad saaksid teatada riiklikele andmekaitse järelevalveasutustele igast isikuandmetega seotud rikkumisest, ning määrata kindlaks distsiplinaarmenetlus AGORAt puudutanud turvarikkumistega tegelemiseks.

(6)

Komisjon rakendab tipptasemel füüsilisi ja loogilisi turvameetmeid, mis puudutavad ruume, kus asuvad AGORA seadmed, ning andmete kontrolli ning neile mõlemale juurdepääsukontrolli. Sel eesmärgil teeb komisjon järgmist:

(a)	tagab füüsilise julgeoleku, määrates eraldi turvaperimeetrid ja võimaldades rikkumiste avastamist AGORAs;

(b)	kontrollib juurdepääsu AGORA ruumidele ja peab jälgimise eesmärgil AGORA külastajate registrit;

(c)	tagab, et väliseid isikuid, kellele on antud juurdepääs ruumidele, saadavad nõuetekohaselt volitatud töötajad;

(d)	tagab, et seadmeid ei saa lisada, asendada ega eemaldada ilma selleks määratud vastutavate asutuste eelneva loata;

(e)	kontrollib juurdepääsu AGORA kaudu ja AGORA-le;

(f)	tagab, et AGORA haldurid ja AGORA kasutajad, kellel on juurdepääs AGORA-le, idenditakse ja autenditakse;

(g)	vaatab AGORAt mõjutava turvanõuete rikkumise korral uuesti läbi AGORA taristule juurdepääsuga seotud loa andmise õigused;

(h)	säilitab AGORA kaudu edastatud teabe tervikluse;

(i)	rakendab tehnilisi ja organisatsioonilisi turvameetmeid, et hoida ära loata juurdepääs AGORAs sisalduvatele isikuandmetele;

(j)	rakendab vajaduse korral meetmeid, et blokeerida loata juurdepääs AGORA-le (st blokeerib asukoha/IP-aadressi).

(7)

Komisjon teeb järgmist:

(a)	võtab meetmeid (sealhulgas ühenduste katkestamine), et kaitsta oma domeeni olulise kõrvalekalde korral kvaliteedi- ja turvapõhimõtetest ja -kontseptsioonidest;

(b)	haldab oma vastutusalaga seotud riskijuhtimiskava;

(c)	jälgib AGORA kõigi teenusekomponentide toimimist reaalajas, koostab korrapäraselt statistikat ja registreerib toiminguid;

(d)	pakub AGORA halduritele ja AGORA kasutajatele tuge inglise keeles;

(e)	abistab vastutavaid töötlejaid ja kaasvastutavaid töötlejaid asjakohaste tehniliste ja organisatsiooniliste meetmetega, et nad saaksid täita vastutava töötleja kohustust vastata määruse (EL) 2016/679 III peatükis sätestatud taotlustele andmesubjekti õiguste kasutamiseks;

(f)	toetab vastutavaid töötlejaid ja kaasvastutavaid töötlejaid, andes AGORAt puudutavat teavet, et täita määruse (EL) 2016/679 artiklites 32, 33, 34, 35 ja 36 sätestatud kohustusi;

(g)	tagab, et AGORAs töödeldavad andmed on loetamatud kõigile isikutele, kellel ei ole juurdepääsuõigust;

(h)	võtab kõik asjakohased meetmed, et hoida ära loata juurdepääs AGORA kaudu edastatavatele isikuandmetele;

(i)	võtab meetmeid, et hõlbustada vastutavate töötlejate ja kaasvastutavate töötlejate vahelist suhtlust;

(j)	peab registrit vastutavate töötlejate ja kaasvastutavate töötlejate nimel tehtud töötlemistoimingute kohta vastavalt määruse (EL) 2018/1725 artikli 31 lõikele 2.