A BIZOTTSÁG (EU) 2024/607 VÉGREHAJTÁSI RENDELETE

(2024. február 15.)

az (EU) 2022/2065 európai parlamenti és tanácsi rendelet (a digitális szolgáltatásokról szóló jogszabály) szerinti információmegosztási rendszer működésére vonatkozó gyakorlati és operatív szabályokról

AZ EURÓPAI BIZOTTSÁG,

tekintettel az Európai Unió működéséről szóló szerződésre,

tekintettel a digitális szolgáltatások egységes piacáról és a 2000/31/EK irányelv módosításáról szóló, 2022. október 19-i (EU) 2022/2065 európai parlamenti és tanácsi rendeletre (1) (a digitális szolgáltatásokról szóló jogszabály) és különösen annak 85. cikkére,

Az (EU) 2022/2065 rendelet 88. cikke szerinti digitális szolgáltatásokkal foglalkozó bizottsággal folytatott konzultációt követően,

mivel:

(1)

Az (EU) 2022/2065 rendelet célja annak biztosítása, hogy a digitális tér biztonságos legyen a felhasználók számára, ugyanakkor az alapvető jogok ne sérüljenek. Ezt úgy valósítja meg, hogy kötelezettségeket ír elő a közvetítő szolgáltatók számára a jogellenes online tartalom terjedésének megakadályozása érdekében, és szabályozza az említett szolgáltatóknak a szolgáltatásaik tekintetében alkalmazott tartalommoderálási szabályait. Az ahhoz kapcsolódó hatékony felügyelet, vizsgálatok, jogérvényesítés és nyomon követés, hogy a szóban forgó szolgáltatók megfelelnek-e az említett kötelezettségeknek, együttműködést és zökkenőmentes információcserét követel meg a tagállamok között, illetőleg a tagállamok és a Bizottság között.

(2)

E célból az (EU) 2022/2065 rendelet 85. cikke előírja a Bizottság számára egy olyan megbízható, biztonságos és interoperábilis információmegosztási rendszer (a továbbiakban: AGORA) létrehozását és működtetését, amely támogatja a digitális szolgáltatási koordinátorok, a Bizottság és a Digitális Szolgáltatások Európai Testülete (a továbbiakban: testület) közötti kommunikációt. Szükség esetén más illetékes hatóságok is hozzáférést kaphatnak az AGORA-hoz az (EU) 2022/2065 rendelettel összhangban rájuk ruházott feladatok ellátása érdekében. A digitális szolgáltatási koordinátoroknak, a Bizottságnak és a testületnek az (EU) 2022/2065 rendelet szerinti valamennyi kommunikáció céljából az AGORA-t kell használniuk.

(3)

Az AGORA az interneten keresztül elérhető szoftveralkalmazás, amelyet a Bizottság fejleszt ki. Az AGORA egy olyan kommunikációs mechanizmust biztosít, amely megkönnyíti a digitális szolgáltatási koordinátorok, a Bizottság és a testület közötti, az (EU) 2022/2065 rendelet szerinti, határokon átnyúló információcserét és kölcsönös segítségnyújtást. Az AGORA-nak különösen támogatnia kell a digitális szolgáltatási koordinátorokat, a Bizottságot és a testületet az (EU) 2022/2065 rendelet szerinti felügyelethez, vizsgálatokhoz, jogérvényesítéshez és nyomon követéshez kapcsolódó információcsere egyszerű és egységes eljárásokon alapuló kezelésében.

(4)

Ez a rendelet meghatározza az AGORA létrehozására, fenntartására és működtetésére vonatkozó gyakorlati és operatív szabályokat az (EU) 2022/2065 rendelet szerinti felügyelet, vizsgálatok, jogérvényesítés és nyomon követés céljából, amelyek kiterjedhetnek többek között a digitális szolgáltatási koordinátorok, a Bizottság, a testület és az AGORA-hoz az (EU) 2022/2065 rendelettel összhangban hozzáféréssel rendelkező egyéb illetékes hatóságok (a továbbiakban: az AGORA-t használó szereplők) közötti kétszereplős információcserére, az bejelentései eljárásokra, a riasztási mechanizmusokra, a kölcsönös segítségnyújtási megállapodásokra és problémamegoldásra.

(5)

Tekintettel a közvetítői szolgáltatások határokon, illetve ágazatokon átívelő relevanciájára, ahhoz, hogy biztosítani lehessen az (EU) 2022/2065 rendelet szerinti felügyelet, vizsgálatok, jogérvényesítés és nyomon követés következetes alkalmazását, valamint a releváns információknak az információmegosztási rendszeren keresztüli rendelkezésre állását, nagy fokú koordinációra és együttműködésre van szükség.

(6)

A nyelvi akadályok leküzdése érdekében az AGORA-nak az Unió valamennyi hivatalos nyelvén rendelkezésre kell állnia. E célból az AGORA-nak – az azon keresztül továbbított dokumentumok és üzenetek fordításához – a felhasználók rendelkezésére kell bocsátania a Bizottság számára jelenleg elérhető, teljesen automatizált gépi fordítási eszközöket. A Bizottságnak ilyen eszközöket kell biztosítania a digitális szolgáltatási koordinátorok, a Bizottság, a testület vagy az AGORA-hoz hozzáféréssel rendelkező egyéb illetékes hatóságok felügyelete alatt dolgozó természetes személyek (a továbbiakban: AGORA-felhasználó), valamint a digitális szolgáltatási koordinátorok, a Bizottság és a Testület által adminisztrátorként kijelölt AGORA-felhasználók (a továbbiakban: AGORA-adminisztrátor) számára. Az automatizált gépi fordítási eszközöknek összeegyeztethetőknek kell lenniük az AGORA-n zajló információcserére vonatkozó biztonsági és titoktartási követelményekkel.

(7)

Az (EU) 2022/2065 rendelet szerinti feladataik ellátása érdekében előfordulhat, hogy a digitális szolgáltatási koordinátoroknak, a Bizottságnak és a testületnek olyan információkat kell cserélniük, amelyek személyes adatokat is tartalmaznak. Minden ilyen információcserének meg kell felelnie a személyes adatok védelmére vonatkozóan az (EU) 2016/679 (2) és az (EU) 2018/1725 (3) európai parlamenti és tanácsi rendeletben meghatározott szabályoknak. Ennek megfelelően a személyes adatoknak az (EU) 2022/2065 rendeletben meghatározott kötelezettségek teljesítéséhez és feladatok ellátásához szükséges cseréje az (EU) 2018/1725 rendelet 5. cikkének a) pontja és az (EU) 2016/679 rendelet 6. cikke (1) bekezdésének e) pontja értelmében a jogszerű adatkezelés hatálya alá tartozik.

(8)

Az AGORA-nak az olyan információk – beleértve szükség esetén a személyes adatokat is – cseréjére használt eszköznek kell lennie, amelyek cseréjére egyébként más módon kerülne sor, többek között a digitális szolgáltatási koordinátorokra, a Bizottságra, a testületre és az AGORA-hoz az (EU) 2022/2065 rendelettel összhangban hozzáféréssel rendelkező egyéb illetékes hatóságokra rótt jogi kötelezettség alapján történő postai vagy elektronikus levelezést is. Az AGORA-ban keresztül kicserélt személyes adatok kizárólag az (EU) 2022/2065 rendelet szerinti felügyelet, vizsgálatok, jogérvényesítés és nyomon követés céljából dolgozhatók fel. Amennyiben az AGORA működtetése során személyes adatokat kezelnek információk megosztása, kérése és az azokhoz való hozzáférés, továbbá információkérések megválaszolása, bejelentések tétele, intézkedések kérelmezése és támogatáskérés céljából, a digitális szolgáltatási koordinátoroknak az általuk végzett adatkezelési tevékenységek tekintetében az (EU) 2016/679 rendelet értelmében vett, önálló adatkezelőknek kell lenniük.

(9)

Minden digitális szolgáltatási koordinátor dönthet úgy, hogy az AGORA-t használja az (EU) 2022/2065 rendelet szerinti felügyelet, vizsgálat, jogérvényesítés és nyomon követés céljából végzett, saját ügykezelési tevékenységeihez. Amennyiben az AGORA-ban nem kerül sor személyes adatok cseréjére az információk megosztása, kérése és az azokhoz való hozzáférés, továbbá információkérések megválaszolása, bejelentések tétele, intézkedések kérelmezése és támogatáskérés céljából, minden egyes digitális szolgáltatási koordinátornak és adott esetben az AGORA-hoz hozzáféréssel rendelkező egyéb illetékes hatóságoknak az (EU) 2016/679 rendelet és az (EU) 2018/1725 rendelet értelmében vett, kizárólagos adatkezelőként kell eljárnia AGORA révén végzett adatkezelési tevékenységek tekintetében.

(10)

A természetes személyek személyes adatainak továbbítását, tárolását és egyéb kezelését – az AGORA-t használó szereplők közötti, az (EU) 2022/2065 rendelet szerinti felügyelettel, vizsgálattal, jogérvényesítéssel és nyomon követéssel kapcsolatos ügykezelési tevékenységek végzése céljából folytatott kommunikáció támogatása érdekében – az AGORA-ban kell végezni.

(11)

Az AGORA-nak az (EU) 2022/2065 rendelet szerinti felügyelethez, vizsgálatokhoz, jogérvényesítéshez és nyomon követéshez feltétlenül szükséges mértékben kell kezelnie a személyes adatokat. Az AGORA-nak kezelnie kell a személyes adatokat, többek között az azonosító adatokat (pl. név, becenév, felvett név, születési idő, születési hely, állampolgárság, személyazonosító okmányok és szükség esetén az azonosítást elősegítő egyéb adatok), elérhetőségi adatokat (pl. munkahelyi cím és lakcím, e-mail-cím és telefonszám), az ügyben való érintettségére vonatkozó adatokat (pl. a természetes személy vállalkozásban betöltött pozíciója és munkaköre, egyéb szerepei, például gyanúsított, áldozat, visszaélést bejelentő személy, informátor vagy tanú), az üggyel kapcsolatos adatok (pl. dokumentumok, képek, videók, hangfelvételek, nyilatkozatok, vélemények és adatrekordok) és az (EU) 2022/2065 rendelet szerinti követelmények teljesítéséhez szükségesnek ítélt egyéb információk.

(12)

Az AGORA-t a beépített és alapértelmezett adatvédelem elveit követve, az adatvédelmi jogszabályok követelményeinek kellő figyelembevételével kell kidolgozni és megtervezni, különösen az AGORA-ban kicserélt személyes adatokhoz való hozzáférésre vonatkozó korlátozások miatt. Az AGORA-nak ezért lényegesen magasabb szintű védelmet és biztonságot kell garantálnia az információcsere egyéb módszereinél, például a telefon, a postai levél vagy e-mail útján történő információcserénél.

(13)

A Bizottságnak kell biztosítania és kezelnie az AGORA szoftverét és informatikai infrastruktúráját, biztosítania kell az AGORA megbízhatóságát, biztonságát, rendelkezésre állását, karbantartását és üzemeltetését, továbbá részt kell vennie az AGORA-adminisztrátorok és az AGORA-felhasználók képzésében, valamint az őket támogató technikai segítségnyújtásban.

(14)

Azon tagállami hatáskört, amelynek értelmében eldöntik, hogy mely nemzeti hatóságok teljesítik az e rendeletből eredő kötelezettségeket, az (EU) 2022/2065 rendelet 49. és 62. cikkével összhangban kell gyakorolni. A tagállamok számára lehetővé kell tenni, hogy az AGORA-val kapcsolatos funkciókat és felelősségi köröket hozzáigazítsák belső közigazgatási szerkezetükhöz, valamint hogy az AGORA-ban egy adott munkatípust vagy egy adott munkafolyamat szakaszainak sorrendjét bevezessék.

(15)

Minden digitális szolgáltatási koordinátornak ki kell jelölnie a saját tagállamában legalább egy, az AGORA-val kapcsolatos kérdésekkel foglalkozó AGORA-adminisztrátort, és az adminisztrátor kilétéről értesítenie kell a Bizottságot. Minden digitális szolgáltatási koordinátornak felelősnek kell lennie továbbá a hozzá tartozó, az AGORA-hoz az (EU) 2022/2065 rendelet alapján hozzáféréssel rendelkező, megfelelő illetékes hatóságok AGORA-adminisztrátorok kinevezéséért. Az egyes AGORA-adminisztrátorok feladata a saját AGORA-felhasználóinak regisztrálása, valamint az AGORA-hoz való hozzáférésük megadása és visszavonása. Annak érdekében, hogy az (EU) 2022/2065 rendelet hatálya alá tartozó szolgáltatások tekintetében a felügyelet, vizsgálat, jogérvényesítés és nyomon követés hatékonyan végezhető legyen az AGORA-n, a tagállamoknak biztosítaniuk kell, hogy AGORA-adminisztrátoraik és AGORA-felhasználóik az (EU) 2022/2065 rendelet 50. cikkének (1) bekezdésével összhangban rendelkezzenek a kötelezettségeik teljesítéséhez szükséges erőforrásokkal.

(16)

Az AGORA-n keresztül a digitális szolgáltatási koordinátor, a Bizottság, a testület vagy az AGORA-hoz hozzáféréssel rendelkező más illetékes hatóság által más digitális szolgáltatási koordinátortól, a Bizottságtól, a testülettől vagy egy másik ilyen illetékes hatóságtól kapott információk – a vonatkozó uniós és nemzeti jogszabályokkal összhangban – nem veszíthetik el a büntető-, polgári vagy közigazgatási eljárásokban bizonyítékként való felhasználhatóságukat pusztán azon az alapon, hogy más tagállamból származnak vagy elektronikus úton érkeztek, és azokat az AGORA-t használó érintett szereplőnek ugyanúgy kell kezelnie, mint a saját tagállamából származó hasonló dokumentumokat.

(17)

Lehetővé kell tenni az AGORA-adminisztrátorok és AGORA-felhasználók nevének és elérhetőségeinek kezelését az (EU) 2022/2065 rendelet és e rendelet célkitűzéseinek eléréséhez szükséges mértékben, beleértve az AGORA alkalmazás AGORA-adminisztrátorok és AGORA-felhasználók általi felhasználásának, a kommunikációnak, a képzésnek és a figyelemfelkeltő kezdeményezéseknek a monitorozását, továbbá az (EU) 2022/2065 rendelet hatálya alá tartozó szolgáltatások tekintetében végzett felügyelettel, vizsgálatokkal, jogérvényesítéssel és nyomon követéssel kapcsolatos információk gyűjtését, valamint az említett rendelet szerinti kölcsönös segítségnyújtást.

(18)	Az AGORA működésének hatékony nyomon követése és az arról való jelentéstétel biztosítása érdekében a digitális szolgáltatási koordinátoroknak, a testületnek és az AGORA-hoz hozzáféréssel rendelkező egyéb illetékes hatóságoknak a vonatkozó információkat a Bizottság rendelkezésére kell bocsátaniuk.

(19)

Az érintetteket tájékoztatni kell a személyes adataiknak az AGORA-ben történő kezeléséről, valamint az őket illető jogokról, különösen arról, hogy e rendeletnek és az (EU) 2016/679 és az (EU) 2018/1725 rendeletnek megfelelően joguk van a velük kapcsolatos adatokhoz való hozzáféréshez, valamint a pontatlan adatok helyesbíttetésére és a jogtalanul feldolgozott adatok töröltetésére.

(20)

Az AGORA-t használó minden szereplőnek – mint az (EU) 2022/2065 rendelet hatálya alá tartozó szolgáltatások tekintetében végzett felügyelethez, vizsgálatokhoz, jogérvényesítéshez és nyomon követéshez kapcsolódó adatkezelési tevékenységek adatkezelőjének – biztosítania kell, hogy az érintettek az (EU) 2016/679 rendelettel és az (EU) 2018/1725 rendelettel összhangban gyakorolhassák jogaikat. Ennek keretében többek között létre kell hozniuk egy, az adatkezelés biztonságát garantáló, a technikai és szervezési intézkedések hatékonyságának rendszeres tesztelésére, felmérésére és értékelésére szolgáló eljárást.

(21)

E rendelet végrehajtását és az AGORA teljesítményét az AGORA statisztikai adatai, valamint egyéb releváns adatok alapján nyomon kell követni az AGORA működéséről szóló jelentésben. A Bizottságnak a jelentést az Európai Parlamentnek, a tanácsnak és az európai adatvédelmi biztosnak kell benyújtania. A digitális szolgáltatási koordinátorok, a testület és az AGORA-hoz hozzáféréssel rendelkező egyéb illetékes hatóságok teljesítményét többek között az átlagos válaszadási idő alapján kell értékelni, azzal a céllal, hogy a válaszadás hatékonyan és kielégítő módon történjen. Az említett jelentésnek ki kell térnie a személyes adatok AGORA-ban való védelmével – többek között az adatbiztonsággal – kapcsolatos szempontokra is.

(22)	Az európai adatvédelmi biztossal az (EU) 2018/1725 rendelet 42. cikkének (1) bekezdésével összhangban konzultációra került sor, és a biztos 2024. január 4-én véleményt nyilvánított.

ELFOGADTA EZT A RENDELETET:

I. FEJEZET

ÁLTALÁNOS RENDELKEZÉSEK

1. cikk

Tárgy és hatály

Ez a rendelet az (EU) 2022/2065 rendelet szerinti felügyeletre, vizsgálatokra, jogérvényesítésre és nyomon követésre szolgáló megbízható és biztonságos információmegosztási rendszer (a továbbiakban: AGORA) működésére vonatkozó gyakorlati és operatív szabályokat állapítja meg.

2. cikk

Információmegosztási rendszer

(1) Létrejön az AGORA információmegosztási rendszer.

(2) Az AGORA az interneten keresztül hozzáférhető szoftveralkalmazás, valamint az olyan információk – beleértve szükség esetén a személyes adatokat is – cseréjére használt eszköz, amelyre egyébként más módon kerülne sor, ideértve a postai vagy az elektronikus levelezést is.

(3) Az AGORA a digitális szolgáltatási koordinátorok, a Bizottság és a Digitális Szolgáltatások Európai Testülete (a továbbiakban: a testület), valamint az AGORA-hoz hozzáféréssel rendelkező egyéb illetékes hatóságok közötti, az (EU) 2022/2065 rendelettel összhangban rájuk ruházott feladatok ellátása érdekében a felügyelethez, a vizsgálatokhoz, a jogérvényesítéshez és a nyomon követéshez kapcsolódóan folytatott információcserére – ideértve a személyes adatokat tartalmazó információcserét is – szolgál.

3. cikk

Fogalommeghatározások

E rendelet alkalmazásában az (EU) 2022/2065 rendelet 3. cikkében és 49. cikkének (1) bekezdésében, az (EU) 2016/679 rendelet 4. cikkében és az (EU) 2018/1725 rendelet 3. cikkében foglalt fogalommeghatározásokon túlmenően a következő fogalommeghatározásokat kell alkalmazni:

„AGORA”: a Bizottság által azzal a céllal létrehozott és működtetett információmegosztási rendszer, hogy támogasson minden olyan, az (EU) 2022/2065 rendelet szerinti kommunikációt, amelyet az AGORA-t használó szereplők az említett rendelet szerinti felügyelet, vizsgálatok, jogérvényesítés és nyomon követés céljából folytatnak;

b)	„az AGORA-t használó szereplők”: a digitális szolgáltatási koordinátorok, a Bizottság, a Testület, illetve más olyan illetékes hatóságok, amelyek számára hozzáférést biztosítottak vagy biztosíthatnak az AGORA-hoz az (EU) 2022/2065 rendelettel összhangban rájuk ruházott feladatok ellátása érdekében;

c)	„AGORA-felhasználó”: olyan természetes személy, aki az (EU) 2022/2065 rendelet által az AGORA-t használó valamely szereplőre ruházott feladatok ellátása céljából az AGORA-t használó adott szereplő felügyelete alatt dolgozik, és az AGORA-ban ilyen felhasználóként regisztrálva van;

d)	„AGORA-adminisztrátor”: egy, az AGORA-t használó szereplő által kijelölt AGORA-felhasználó, aki az AGORA-t kezeli az adott szereplő számára.

II. fejezet

AZ AGORA-HOZ KAPCSOLÓDÓ FELADAT- ÉS HATÁSKÖRÖK

4. cikk

A Bizottság felelősségi körei

(1) A Bizottság felelős az AGORA-val kapcsolatos alábbi feladatok elvégzéséért:

a)	az AGORA elérhetővé tétele az Unió valamennyi hivatalos nyelvén, valamint az AGORA működtetése;

b)	az AGORA-hoz szükséges szoftver és informatikai infrastruktúra megbízhatóságának, biztonságának, rendelkezésre állásának, karbantartásának és fejlesztésének biztosítása;

c)	automatizált gépi fordítási eszközök biztosítása az AGORA-n keresztül továbbított dokumentumok és üzenetek lefordításához;

d)	támogatás nyújtása az AGORA-t használó egyéb szereplőknek az AGORA használata során;

e)	minden egyes digitális szolgáltatási koordinátor, valamint a testület számára legalább egy AGORA-adminisztrátor regisztrálása, továbbá a regisztrált adminisztrátorok számára hozzáférés biztosítása az AGORA-hoz;

f)	legalább egy AGORA-adminisztrátor kinevezése;

g)	az e rendeletben meghatározott esetekben a személyes adatok kezelésével kapcsolatos műveletek elvégzése az AGORA-ban az (EU) 2022/2065 rendelet szerinti felügyelet, vizsgálatok, jogérvényesítés és nyomon követés céljából;

h)	az (EU) 2022/2065 rendelet alapján az AGORA ellenőrzéséhez és nyomon követéséhez szükséges ellenőrzés, nyomon követés és jelentéskészítés;

i)	ismeretek átadása, illetve képzés és támogatás nyújtása az AGORA-adminisztrátorok számára, beleértve a technikai segítségnyújtást is;

j)	az AGORA-t használó valamennyi egyéb szereplő teljesítményének nyomon követése e rendelet 15. cikkével összhangban.

(2) Annak érdekében, hogy segítsék a Bizottságot az (1) bekezdésben felsorolt feladatok ellátásában, az AGORA-t használó többi szereplő tájékoztatja a Bizottságot az általuk az AGORA-ban végrehajtott műveletekről.

5. cikk

A személyes adatok Bizottság általi kezelése

(1) Az AGORA-adminisztrátorok regisztrálása során végzett személyesadat-kezelés tekintetében a Bizottság az (EU) 2018/1725 rendelet 3. cikkének 12. pontja értelmében vett adatfeldolgozónak minősül.

(2) A saját AGORA-adminisztrátoraira és AGORA-felhasználóira vonatkozó személyes adatok kezelése tekintetében a Bizottság az (EU) 2018/1725 rendelet 3. cikkének 8. pontja értelmében vett önálló adatkezelőnek minősül.

(3) Amennyiben a Bizottság az AGORA üzemeltetése során személyes adatokat kezel információk megosztása, kérése és az azokhoz való hozzáférés, továbbá intézkedések kérelmezése és támogatáskérés céljából, az általa végzett személyesadat-kezelési tevékenységek tekintetében az (EU) 2018/1725 rendelet 3. cikkének 8. pontja értelmében vett, az AGORA-t használó más szereplőtől különálló adatkezelőnek tekintendő.

(4) Amennyiben a Bizottság az AGORA üzemeltetése során az AGORA-t használó más szereplő nevében személyes adatokat kezel információk megosztása, kérése és az azokhoz való hozzáférés, továbbá intézkedések kérelmezése és támogatáskérés céljából, az általa végzett személyesadat-kezelési tevékenységek tekintetében az (EU) 2018/1725 rendelet 3. cikkének 12. pontja értelmében vett adatfeldolgozónak tekintendő.

(5) E rendelet alkalmazásában a Bizottság, mint adatfeldolgozó felelősségét – az AGORA-ban az azt használó egyéb, említett szereplők által végzett adatfeldolgozási tevékenységek tekintetében – a II. melléklettel összhangban kell meghatározni.

6. cikk

A digitális szolgáltatási koordinátorok felelősségi körei

(1) Minden digitális szolgáltatási koordinátornak ki kell neveznie tagállama számára legalább egy AGORA-adminisztrátort.

(2) Minden digitális szolgáltatási koordinátor felelős annak biztosításáért, hogy az (EU) 2022/2065 rendelet szerint ráruházott feladatok ellátása során csak az engedélyezett AGORA-felhasználók férjenek hozzá az AGORA-hoz.

(3) Minden digitális szolgáltatási koordinátor haladéktalanul tájékoztatja a Bizottságot az általa az (1) bekezdéssel összhangban kinevezett AGORA-adminisztrátorról. A Bizottság a kinevezett adminisztrátorokkal kapcsolatos információkat megosztja a többi digitális szolgáltatási koordinátorral és a testülettel.

(4) Minden digitális szolgáltatási koordinátor gondoskodik az AGORA-adminisztrátor e rendelet szerinti feladatainak teljesítéséről.

(5) A digitális szolgáltatási koordinátorok az AGORA-felhasználóik regisztrálása, valamint az AGORA-hoz való hozzáférésük megadása során végzett személyesadat-kezelés tekintetében az (EU) 2016/679 rendelet 4. cikkének 7. pontja értelmében vett önálló adatkezelőnek minősülnek.

(6) Amennyiben a digitális szolgáltatási koordinátorok az AGORA működtetése során személyes adatokat kezelnek információk megosztása, kérése és az azokhoz való hozzáférés, továbbá információkérések megválaszolása, bejelentések tétele, intézkedések kérelmezése és támogatáskérés céljából, az általuk végzett adatkezelési tevékenységek tekintetében az (EU) 2016/679 rendelet értelmében vett önálló adatkezelőnek minősülnek.

(7) Amennyiben a tagállamok által az (EU) 2022/2065 rendelet 49. cikkének (1) bekezdése alapján kijelölt olyan egyéb illetékes hatóságok, amelyek nem minősülnek digitális szolgáltatási koordinátornak, az AGORA működése során személyes adatokat kezelnek, e hatóságok az (EU) 2016/679 rendelet értelmében vett önálló adatkezelőnek minősülnek.

7. cikk

A testület felelősségi körei

(1) A testület kinevez egy AGORA-adminisztrátort. Az AGORA-adminisztrátor részt vesz a testületnek az (EU) 2022/2065 rendelet 62. cikkének (4) bekezdése alapján nyújtott igazgatási és elemzési támogatás biztosításában.

(2) A testület felelős annak biztosításáért, hogy csak az engedélyezett AGORA-felhasználók férjenek hozzá az AGORA-hoz.

(3) A testület haladéktalanul tájékoztatja a Bizottságot az (1) bekezdés szerint kinevezett AGORA-adminisztrátor kilétéről, valamint azokról a feladatokról, amelyekért e rendelet 8. cikke értelmében felelősséggel tartoznak. A Bizottság ezeket az információkat megosztja a digitális szolgáltatási koordinátorokkal.

8. cikk

Az AGORA-adminisztrátorok felelősségi körei

Az AGORA-adminisztrátorok a következőkért felelősek:

a)	az AGORA-felhasználók regisztrálása, valamint az AGORA-hoz történő hozzáférés engedélyezése és visszavonása;

b)	fő kapcsolattartó pont szerepének betöltése a Bizottság számára az AGORA-val kapcsolatos kérdésekben, többek között tájékoztatás nyújtása a személyes adatok e rendelettel, az (EU) 2016/679 rendelettel és az (EU) 2018/1725 rendelettel összhangban történő védelmével kapcsolatos kérdésekről;

c)	ismeretek átadása, képzés és támogatás nyújtása az általuk regisztrált AGORA-felhasználók számára, beleértve a technikai segítségnyújtást és ügyfélszolgálat biztosítását is;

d)	annak biztosítása, hogy az AGORA-t használó szereplők megfelelő válaszokat adjanak.

9. cikk

Az AGORA-t használó szereplők hozzáférési jogai

(1) Az AGORA-t használó szereplők a felelősségi körükbe tartozó AGORA-adminisztrátoroknak hozzáférési jogokat biztosítanak, valamint visszavonják azokat.

(2) Csak az arra jogosult AGORA-adminisztrátorok és AGORA-felhasználók férhetnek hozzá az AGORA-hoz.

(3) Az AGORA-t használó szereplők megfelelő eszközöket hoznak létre annak biztosítására, hogy az AGORA-adminisztrátorok és az AGORA-felhasználók kizárólag akkor férhessenek hozzá az AGORA-ban kezelt személyes adatokhoz, ha az feltétlenül szükséges az (EU) 2022/2065 rendelet szerinti felügyelethez, vizsgálatokhoz, jogérvényesítéshez és nyomon követéshez.

(4) Amennyiben az (EU) 2022/2065 rendelet szerinti felügyelettel, vizsgálatokkal, jogérvényesítéssel és nyomon követéssel kapcsolatos eljárás személyes adatok kezelésével jár, az ilyen személyes adatokhoz csak az AGORA-adminisztrátorok és az AGORA-felhasználók férhetnek hozzá.

10. cikk

Titoktartás

(1) Minden tagállam és a Bizottság a nemzeti vagy uniós joggal összhangban saját szakmai titoktartási vagy azzal egyenértékű titoktartási szabályokat alkalmaz saját AGORA-adminisztrátorai és AGORA-felhasználói tekintetében.

(2) Az AGORA-t használó valamennyi szereplő biztosítja, hogy a felügyeletük alatt dolgozó AGORA-adminisztrátorok és AGORA-felhasználók eleget tegyenek az AGORA-t használó más szereplőktől származó, az AGORA-ban kicserélt információk bizalmas kezelésére vonatkozó kéréseknek.

III. FEJEZET

SZEMÉLYES ADATOK KEZELÉSE ÉS ADATBIZTONSÁG

11. cikk

A személyes adatok AGORA-ban történő kezelése

(1) A személyes adatok AGORA-ban történő továbbítására, tárolására és egyéb kezelésére csak a szükséges és arányos mértékben, és kizárólag a következő célokból kerülhet sor:

a)	az AGORA-t használó szereplők közötti, az (EU) 2022/2065 rendelet szerinti felügyelettel, vizsgálatokkal, jogérvényesítéssel és nyomon követéssel kapcsolatos kommunikáció támogatása;

b)	az (EU) 2022/2065 rendelet szerinti felügyelettel, vizsgálatokkal, jogérvényesítéssel és nyomon követéssel kapcsolatos tevékenységek során az AGORA-t használó szereplők által végzett ügykezelés;

c)	az e rendeletben felsorolt adatok üzleti és technikai átalakításának elvégzése, amennyiben ez az a) és b) pontban említett információcsere lehetővé tételéhez szükséges.

(2) Az AGORA-ban személyes adatok kezelésére kizárólag az érintettek következő kategóriái tekintetében kerülhet sor:

a)	azon természetes személyek, akiknek a személyes adatait az (EU) 2022/2065 rendelet szerinti felügyelettel, vizsgálatokkal, jogérvényesítéssel és nyomon követéssel kapcsolatban beszerzett dokumentumok tartalmazzák;

b)	az AGORA-hoz hozzáféréssel rendelkező AGORA-adminisztrátorok és AGORA-felhasználók.

(3) Az AGORA-ban személyes adatok kezelésére kizárólag a személyes adatok következő kategóriái tekintetében kerülhet sor:

a)	azonosító adatok, elérhetőségek, az ügyben való érintettségre vonatkozó adatok, az üggyel kapcsolatos adatok, valamint az (EU) 2022/2065 rendelet szerinti felügyelethez, vizsgálatokhoz, jogérvényesítéshez és nyomon követéshez szükségesnek ítélt bármely egyéb adat;

b)	a (2) bekezdés b) pontjában említett AGORA-adminisztrátorok és AGORA-felhasználók neve, címe, elérhetősége, kapcsolattartási telefonszáma és felhasználói azonosítója.

(4) Az AGORA tárolja az e rendelet 11. cikkének (3) bekezdésében felsorolt személyesadat-kategóriákat, valamint az (EU) 2022/2065 rendelet szerinti felügyelet, vizsgálat, jogérvényesítés és nyomon követés céljából kicserélt adatok áramlásásra és mozgására vonatkozó információkat tartalmazó naplókat.

(5) A (2) bekezdésben említett adatok tárolását az Európai Gazdasági Térségben található információtechnológiai infrastruktúra használatával kell végezni.

(6) Az AGORA-t használó valamennyi szereplő biztosítja, hogy az érintettek az (EU) 2016/679 rendelettel és az (EU) 2018/1725 rendelettel összhangban gyakorolhassák jogaikat, valamint felelős az e rendeleteknek való megfelelésért a megbízásából végzett személyesadat-kezelési tevékenységek tekintetében.

(7) A nemzeti felügyeleti hatóságok és az európai adatvédelmi biztos – saját hatáskörükön belül eljárva – biztosítják az AGORA koordinált felügyeletét, valamint lehetővé teszik annak az AGORA-adminisztrátorok és az AGORA-felhasználók általi használatát.

12. cikk

Közös adatkezelés az AGORA-ban

(1) A digitális szolgáltatási koordinátorok az (EU) 2016/679 rendelet 26. cikkének (1) bekezdése szerinti közös adatkezelőknek minősülnek a testületnek az (EU) 2022/2065 rendelet szerinti felügyelettel, vizsgálattal, jogérvényesítéssel és nyomon követéssel összefüggő, a személyes adatoknak az AGORA-ban történő továbbításához, tárolásához és egyéb kezeléséhez kapcsolódó tevékenységei tekintetében.

(2) Amennyiben az (EU) 2022/2065 rendelet 60. cikke alapján az (EU) 2022/2065 rendelet szerinti felügyelet, vizsgálat, jogérvényesítés és nyomon követés összefüggésében közös vizsgálatokra kerül sor, az érintett digitális szolgáltatási koordinátorok az (EU) 2016/679 rendelet 26. cikkének (1) bekezdése értelmében vett közös adatkezelőknek minősülnek a személyes adatoknak az AGORA-ban egy adott közös vizsgálattal összefüggésben történő továbbítása, tárolása és egyéb kezelése tekintetében.

(3) Az (1) és (2) bekezdés alkalmazásában a felelősség az I. mellékletben foglaltak szerint oszlik meg a közös adatkezelők között.

(4) A Bizottság az (EU) 2018/1725 rendelet 3. cikkének 12. pontja értelmében vett adatfeldolgozónak minősül a személyes adatoknak a testület tevékenységei céljából, a digitális szolgáltatási koordinátorok nevében végzett kezelése, valamint az (EU) 2022/2065 rendelet 60. cikkében meghatározott, az (EU) 2022/2065 rendelet szerinti felügyelettel, vizsgálattal, jogérvényesítéssel és nyomon követéssel összefüggő közös vizsgálatok tekintetében.

13. cikk

Biztonság

(1) A Bizottság a szükséges, legkorszerűbb intézkedések meghozatala – többek között az adatokhoz való hozzáférés megfelelő ellenőrzése és egy naprakészen tartandó adatbiztonsági terv készítése – révén biztosítja az AGORA-ban feldolgozott személyes adatok védelmét.

(2) Biztonsági incidens esetén a Bizottság meghozza a szükséges, legkorszerűbb intézkedéseket, továbbá korrekciós intézkedéseket hoz, valamint biztosítja annak ellenőrizhetőségét, hogy az AGORA-ban mikor, milyen személyes adatokat dolgoztak fel, illetve ki és milyen célból végezte a feldolgozást.

IV. FEJEZET

ZÁRÓ RENDELKEZÉSEK

14. cikk

Fordítás

(1) A Bizottság az AGORA-t az Unió valamennyi hivatalos nyelvén elérhetővé teszi, és automatizált gépi fordítási eszközöket biztosít az AGORA-felhasználók számára az AGORA-ban kicserélt dokumentumok és üzenetek lefordításához.

(2) Az (EU) 2022/2065 rendelettel összhangban rá ruházott bármely feladat ellátása keretében a digitális szolgáltatási koordinátor vagy az AGORA-hoz hozzáféréssel rendelkező bármely más illetékes hatóság – a hasonló információk beszerzését a saját országában lehetővé tevő alapon, az adatgyűjtés eredeti céljával összeegyeztethető célból, valamint a vonatkozó uniós és nemzeti jogszabályokkal összhangban – hozzáférhet minden olyan információhoz, dokumentumhoz, megállapításhoz, nyilatkozathoz vagy hitelesített másolathoz, amely az AGORA-ban beérkezett hozzá.

15. cikk

Nyomon követés és jelentéstétel

(1) A Bizottság rendszeresen nyomon követi az AGORA működését, és rendszeresen értékeli annak teljesítményét.

(2) A Bizottság 2027. február 17-ig, majd azt követően háromévente jelentést nyújt be az Európai Parlamentnek, a Tanácsnak és az európai adatvédelmi biztosnak e rendelet végrehajtásáról. A jelentés információkat tartalmaz az (1) bekezdéssel összhangban végzett nyomon követésről és értékelésről, valamint az AGORA-t használó szereplőknek a hatékony információmegosztás és a kielégítő válaszadás biztosításával összefüggő, az AGORA-val kapcsolatos teljesítményéről. A jelentésnek ki kell térnie a személyes adatok AGORA-ban való védelmével – többek között az adatbiztonsággal – kapcsolatos végrehajtási szempontokra is.

(3) A (2) bekezdésben említett jelentés elkészítése céljából a digitális szolgáltatási koordinátorok, a testület és azon egyéb illetékes hatóságok, amelyek számára szükség esetén biztosított az AGORA-hoz való hozzáférés az (EU) 2022/2065 rendelettel összhangban rájuk ruházott feladatok elvégzése céljából, éves rendszerességgel jelentések formájában a Bizottság rendelkezésére bocsátanak minden, az e rendelet alkalmazása szempontjából releváns – ideértve az e rendeletben meghatározott adatvédelmi követelmények és adatbiztonság alkalmazására vonatkozó – információt.

16. cikk

Költségek

(1) Az AGORA létrehozásával, fenntartásával és működtetésével kapcsolatban felmerülő költségeket a Bizottság által az (EU) 2022/2065 rendelet 43. cikkének (2) bekezdésével és az (EU) 2023/1127 felhatalmazáson alapuló bizottsági rendelettel (4) összhangban beszedett éves felügyeleti díjak fedezik.

(2) A tagállami szintű AGORA-műveletek – beleértve a képzéssel, előléptetéssel, technikai segítségnyújtással és ügyfélszolgálattal kapcsolatos tevékenységek – költségeit, az AGORA nemzeti szintű igazgatásának költségeit, valamint a nemzeti hálózatok és információs rendszerek mindennemű szükséges kiigazításával kapcsolatos költségeket az a tagállam viseli, amelyiknél az adott költség felmerül.

17. cikk

Hatékony alkalmazás

A tagállamok meghoznak valamennyi szükséges intézkedést annak biztosítására, hogy az AGORA-t használó szereplők hatékonyan alkalmazzák ezt a rendeletet.

18. cikk

Hatálybalépés

Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

Kelt Brüsszelben,2024. február 15-én.

a Bizottság részéről

az elnök

Ursula VON DER LEYEN

(1) HL L 277., 2022.10.27., 1. o., ELI: http://data.europa.eu/eli/reg/2022/2065/oj.

(2) Az Európai Parlament és a Tanács (EU) 2016/679 rendelete (2016. április 27.) a természetes személyeknek a személyes adatok kezelése tekintetében történő védelméről és az ilyen adatok szabad áramlásáról, valamint a 95/46/EK rendelet hatályon kívül helyezéséről (általános adatvédelmi rendelet) (HL L 119., 2016.5.4., 1. o., ELI: http://data.europa.eu/eli/reg/2016/679/oj)

(3) Az Európai Parlament és a Tanács (EU) 2018/1725 rendelete (2018. október 23.) a természetes személyeknek a személyes adatok uniós intézmények, szervek, hivatalok és ügynökségek általi kezelése tekintetében való védelméről és az ilyen adatok szabad áramlásáról, valamint a 45/2001/EK rendelet és az 1247/2002/EK határozat hatályon kívül helyezéséről (HL L 295., 2018.11.21., 39. o., ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(4) A Bizottság (EU) 2023/1127 felhatalmazáson alapuló rendelete (2023. március 2.) az (EU) 2022/2065 európai parlamenti és tanácsi rendeletnek a Bizottság által az online óriásplatformokat és nagyon népszerű online keresőprogramokat üzemeltető szolgáltatók felé felszámított felügyeleti díjakra vonatkozó részletes módszertanokkal és eljárásokkal történő kiegészítéséről (HL L 149., 2023.3.2., 16. o., ELI: http://data.europa.eu/eli/reg_del/2023/1127/oj).

I. MELLÉKLET

A közös vizsgálatokhoz és a testület tevékenységeihez kapcsolódó, az agorával összefüggésben végzett adatkezelési tevékenységek tekintetében közös adatkezelőként eljáró digitális szolgáltatási koordinátorok felelősségi köre

1. SZAKASZ

1. alszakasz

A közös adatkezelési megállapodás hatálya

(1)

A következő közös adatkezelési megállapodás alkalmazandó az érintett digitális szolgáltatási koordinátorokra az (EU) 2022/2065 rendelet 60. cikke szerinti közös vizsgálatok lefolytatása során.

(2)

A következő közös adatkezelési megállapodás alkalmazandó a testület tagjaként eljáró digitális szolgáltatási koordinátorokra a testület által az (EU) 2022/2065 rendelet hatálya alá tartozó szolgáltatásokhoz kapcsolódó felügyelet, vizsgálatok, jogérvényesítés és nyomon követés összefüggésben és az említett rendelettel összhangban végzett személyesadat-kezelési tevékenységek tekintetében.

2. alszakasz

A felelősségi körök megosztása

(1)

A közös adatkezelők az AGORA-n keresztül kezelik a személyes adatokat.

(2)

A digitális szolgáltatási koordinátorok maradnak a személyes adatok AGORA-n kívüli gyűjtéséért, felhasználásáért, közzétételéért és bármely egyéb kezeléséért felelős egyedüli adatkezelők. A digitális szolgáltatási koordinátorok maradnak továbbá az egyedüli adatkezelők az (EU) 2022/2065 rendelet hatálya alá tartozó szolgáltatásokhoz kapcsolódó felügyelet, vizsgálatok, jogérvényesítés és nyomon követés céljából az AGORA-n belül végzett személyesadat-kezelési tevékenységek tekintetében.

(3)

Minden közös adatkezelő felelős azért, hogy a személyes adatoknak az AGORA-ban történő kezelése az (EU) 2016/679 rendelet 5., 24. és 26. cikkével összhangban történjen.

(4)

Minden adatkezelő létrehoz egy funkcionális postafiókkal rendelkező kapcsolattartó pontot a közös adatkezelők közötti, valamint a közös adatkezelők és az adatfeldolgozó közötti kommunikáció biztosítására.

(5)

Kérésre minden közös adatkezelő gyors és hatékony segítséget nyújt a többi közös adatkezelőnek e megállapodás végrehajtásához, miközben eleget tesz az (EU) 2016/679 rendelet valamennyi alkalmazandó követelményének és más alkalmazandó adatvédelmi szabályoknak, beleértve a saját felügyeleti hatóságával szembeni kötelezettségeket is.

(6)

A közös adatkezelők meghatározzák azokat a munkamódszereket, amelyek révén a személyes adatok AGORA-n keresztüli kezelésére sor kerül, és kölcsönösen elfogadott utasításokat adnak a Bizottságnak, mint adatfeldolgozónak.

(7)

Az adatfeldolgozónak szóló utasításokat a közös adatkezelők kapcsolattartó pontjai küldik meg a többi közös adatkezelő hozzájárulásával. A közös adatkezelő írásban küldi meg az utasításokat az adatfeldolgozó részére, és erről tájékoztatja az összes többi közös adatkezelőt. Ha a szóban forgó kérdés annyira időérzékeny, hogy nem lehet összehívni a közös adatkezelők ülését, ennek ellenére adható utasítás, de a közös adatkezelők visszavonhatják azt. Az utasítást írásban kell megadni, és arról az utasítás megküldésekor minden más közös adatkezelőt tájékoztatni kell.

(8)

A közös adatkezelők által alkalmazott munkamódszerek nem zárhatják ki, hogy a közös adatkezelők egyéni hatáskörüket gyakorolva az (EU) 2016/679 rendelet 24. és 33. cikkével összhangban tájékoztassák az illetékes felügyeleti hatóságukat. Az ilyen értesítéshez nem szükséges a többi közös adatkezelő hozzájárulása.

(9)

A közös adatkezelők által alkalmazott munkamódszerek nem zárhatják ki, hogy az (EU) 2016/679 rendelet és az (EU) 2018/1725 rendelet szerinti közös adatkezelők egyéni hatáskörüket gyakorolva együttműködhessenek az illetékes felügyeleti hatóságukkal.

(10)

A kicserélt személyes adatokhoz csak az egyes közös adatkezelők által felhatalmazott személyek férhetnek hozzá.

(11)

Valamennyi közös adatkezelő nyilvántartást vezet a felelősségi körébe tartozó adatkezelési tevékenységekről. A közös adatkezelést egy ilyen nyilvántartásban kell feltüntetni.

3. alszakasz

Az érintettek kéréseinek kezelésével és az érintettek tájékoztatásával kapcsolatos felelősségi körök és feladatok

(1)

Minden adatkezelő – az (EU) 2016/679 rendelet 14. cikkével összhangban – tájékoztatja azokat a természetes személyeket, akiknek adatait az (EU) 2022/2065 rendelet hatálya alá tartozó szolgáltatásokhoz kapcsolódó felügyelet, vizsgálatok, jogérvényesítés és nyomon követés összefüggésben végzett közös vizsgálatok és a testület tevékenységei céljából kezelik, kivéve, ha ez lehetetlennek bizonyulna vagy aránytalan erőfeszítést tenne szükségessé.

(2)

Az egyes adatkezelők kapcsolattartó pontként szolgálnak azon természetes személyek számára, akiknek a személyes adatait kezelték, és foglalkoznak az érintettek vagy képviselőik által jogaiknak az (EU) 2016/679 rendelettel összhangban történő gyakorlása keretében benyújtott kérelmekkel. Amennyiben egy közös adatkezelőhöz egy másik közös adatkezelő általi adatkezelésre vonatkozó kérelem érkezik az érintettől, közli az érintettel a felelős közös adatkezelő kilétét és elérhetőségét. Egy másik közös adatkezelő kérésére a közös adatkezelők segítik egymást az érintettek kérelmeinek kezelésében, és indokolatlan késedelem nélkül, de legkésőbb a segítségnyújtás iránti kérelem kézhezvételétől számított 1 hónapon belül választ adnak egymásnak.

(3)

Minden adatkezelő az érintettek rendelkezésére bocsátja e melléklet tartalmát.

2. SZAKASZ

A BIZTONSÁGI INCIDENSEK – TÖBBEK KÖZÖTT AZ ADATVÉDELMI INCIDENSEK – KEZELÉSE

(1)

A közös adatkezelők segítik egymást a biztonsági események azonosításában és kezelésében, ideértve az adatvédelmi incidensek azon eseteit is, amelyek az AGORA-ban történő adatkezeléshez kapcsolódnak.

(2)

A közös adatkezelők különösen a következőkről értesítik egymást:

a)	az AGORA-ban való adatkezelés tárgyát képező személyes adatok rendelkezésre állását, bizalmas jellegét és/vagy épségét fenyegető potenciális vagy tényleges kockázatokról;

adatvédelmi incidensek, az adatvédelmi incidens valószínűsíthető következményei, a természetes személyek jogait és szabadságait érintő kockázatok értékelése, valamint az adatvédelmi incidens kezelése és a természetes személyek jogait és szabadságait érintő kockázatok csökkentése érdekében hozott intézkedések; valamint

c)	az AGORA-ban végzett adatkezelési műveletek technikai és/vagy szervezési biztosítékainak megsértése.

(3)

A közös adatkezelők az (EU) 2016/679 rendelet 33. és 34. cikkével összhangban vagy a Bizottság által küldött értesítést követően tájékoztatják a Bizottságot, az illetékes adatvédelmi felügyeleti hatóságokat és szükség esetén az érintetteket az AGORA-ban végzett adatkezelési műveletekkel kapcsolatos minden adatvédelmi incidensről.

(4)

Valamennyi adatkezelő megfelelő műszaki és szervezési intézkedéseket hajt végre, amelyek célja:

a)	a közösen feldolgozott személyes adatok elérhetőségének, integritásának és bizalmas jellegének biztosítása és védelme;

b)	a birtokában lévő személyes adatok jogosulatlan vagy jogellenes kezelése, elvesztése, felhasználása, felfedése, megszerzése vagy az azokhoz való hozzáférés elleni védelem; valamint

c)	annak biztosítása, hogy a személyes adatokhoz való hozzáférést a címzetteken vagy az adatfeldolgozókon kívül más személy számára ne tegyék lehetővé vagy engedélyezzék.

3. SZAKASZ

ADATVÉDELMI HATÁSVIZSGÁLAT

Ha egy adatkezelőnek az (EU) 2016/679 rendelet 35. és 36. cikke szerinti kötelezettségek teljesítése érdekében egy másik adatkezelőtől vagy az adatfeldolgozótól információra van szüksége, erre irányulóan kérelmet kell küldenie az 1. szakasz 2. alszakaszának 4. pontjában említett funkcionális postafiókba. A másik adatkezelő minden tőle telhetőt megtesz annak érdekében, hogy a szóban forgó információt maradéktalanul rendelkezésre bocsátsa.

II. MELLÉKLET

A Bizottság, mint az AGORA-val összefüggésben a nemzeti hatóságoktól és a testülettől különböző digitális szolgáltatási koordinátorok által végzett adatkezelési tevékenységekért felelős adatfeldolgozó felelősségi köre

(1)

A Bizottság:

a digitális szolgáltatási koordinátorok, más nemzeti hatóságok és a testület nevében létrehoz és biztosít egy, az összehangolt vizsgálatokhoz, a következetességet célzó mechanizmusokhoz és a testület tevékenységeihez szükséges információcserét támogató, biztonságos és megbízható kommunikációs infrastruktúrát (AGORA); valamint

a személyes adatokat kizárólag az adatkezelők és a közös adatkezelők dokumentált utasításai alapján kezeli, kivéve, ha az adatok kezelésére uniós vagy tagállami jogszabályok vonatkoznak; ebben az esetben a Bizottság az adatfeldolgozás megkezdése előtt tájékoztatja az adatkezelőket és a közös adatkezelőket az említett jogi előírásról, kivéve, ha a szóban forgó jogszabály fontos közérdekből tiltja az ilyen tájékoztatást.

(2)

A digitális szolgáltatási koordinátorok, más nemzeti hatóságok és a testület adatfeldolgozójaként fennálló kötelezettségeinek teljesítése érdekében a Bizottság további adatfeldolgozóként harmadik feleket is igénybe vehet. Ebben az esetben az adatkezelők és a közös adatkezelők felhatalmazzák a Bizottságot további adatfeldolgozók igénybevételére vagy szükség esetén a további adatfeldolgozók leváltására. A Bizottság tájékoztatja az adatkezelőket és a közös adatkezelőket a további adatfeldolgozók említett igénybevételéről vagy leváltásáról, lehetővé téve ezáltal az adatkezelők és a közös adatkezelők számára, hogy kifogást emeljenek az ilyen változtatásokkal szemben. A Bizottság gondoskodik arról, hogy az e rendeletben foglalt adatvédelmi kötelezettségek az említett további adatfeldolgozókra is alkalmazandók legyenek.

(3)

A Bizottság által végzett adatkezelés a következőket foglalja magában:

a)	hitelesítés és hozzáférés-ellenőrzés valamennyi AGORA-adminisztrátor és AGORA-felhasználó tekintetében;

b)	az AGORA-adminisztrátorok és az AGORA-felhasználók felhatalmazása az AGORA-ban található bejegyzések és információk létrehozására, frissítésére és törlésére;

az e rendelet 12. cikkének (3) bekezdésében említett, a nemzeti AGORA-felhasználók és AGORA-adminisztrátorok által feltöltött személyes adatok fogadása olyan alkalmazásprogramozási felület biztosításával, amely lehetővé teszi a nemzeti AGORA-felhasználók és AGORA-adminisztrátorok számára a vonatkozó adatok feltöltését;

d)	a személyes adatok tárolása az AGORA-ban;

e)	a személyes adatok rendelkezésre bocsátása az AGORA-adminisztrátorok és az AGORA-felhasználók általi hozzáférés és letöltés céljából, valamint minden egyéb szükséges adatkezelési tevékenység céljára;

f)	a személyes adatok törlése azok lejárati napján vagy az azokat benyújtó adatkezelő utasítására;

g)	minden fennmaradó személyes adat törlése a szolgáltatásnyújtás végét követően, kivéve, ha uniós vagy tagállami jogszabály előírja az említett személyes adatok tárolását.

(4)

Az AGORA működésének biztosítása érdekében a Bizottság meghoz minden korszerű szervezeti, fizikai és logikai biztonsági intézkedést. A Bizottság e célból:

a)	kijelöl egy, az AGORA biztonsági irányításáért felelős szervezetet, közli a közös adatkezelőkkel annak elérhetőségét, és biztosítja, hogy az képes legyen reagálni a biztonsági fenyegetésekre;

b)	felelősséget vállal az AGORA biztonságáért, beleértve a biztonsági intézkedések tesztelésének, értékelésének és felmérésének rendszeres elvégzését;

c)	biztosítja, hogy az AGORA-hoz hozzáféréssel rendelkező AGORA-adminisztrátorok és AGORA-felhasználókra szerződéses, szakmai vagy jogszabályban előírt titoktartási kötelezettség vonatkozzon.

(5)

A Bizottság minden szükséges biztonsági intézkedést megtesz annak érdekében, hogy az AGORA zavartalan működése ne kerüljön veszélybe. Ebbe beleértendők a következők:

a)	kockázatértékelési eljárások az AGORA-t fenyegető potenciális veszélyek azonosítása és mértékük megbecslése érdekében;

ellenőrzési és felülvizsgálati eljárás a következők céljából:

—	a végrehajtott biztonsági intézkedések és az alkalmazandó biztonsági politika közötti megfelelés ellenőrzése,

—	az AGORA fájljai, a biztonsági paraméterek és a megadott engedélyek megbízhatóságának rendszeres ellenőrzése,

—	a biztonsági szabályok megsértésének és az AGORA-ba való behatolásoknak a felderítése,

—	módosítások végrehajtása az AGORA meglévő biztonsági hiányosságainak csökkentése érdekében,

—

azon feltételek meghatározása, amelyek mellett – többek között az adatkezelők kérésére – engedélyezni lehet a független ellenőrzések elvégzését és hozzá lehet járulni azokhoz, ideértve a biztonsági intézkedésekkel kapcsolatos ellenőrzéseket és felülvizsgálatokat is, az Európai Unió működéséről szóló szerződéshez csatolt, az Európai Unió kiváltságairól és mentességeiről szóló 7. jegyzőkönyvet tiszteletben tartó feltételek mellett;

az ellenőrzési eljárás módosítása annak érdekében, hogy a módosítás végrehajtása előtt dokumentálható és értékelhető legyen a változás hatása, és hogy az adatkezelők és közös adatkezelők tájékoztatást kapjanak minden olyan változásról, amely hatással lehet az AGORA-val való kommunikációra és/vagy annak biztonságára;

d)	karbantartási és javítási eljárások meghatározása az AGORA berendezéseinek karbantartása és/vagy javítása esetén követendő szabályok és feltételek meghatározása céljából;

biztonsági incidensekre vonatkozó eljárás meghatározása a jelentési és eszkalációs rendszer meghatározására, az érintett adatkezelők késedelem nélküli tájékoztatása, az adatkezelők késedelem nélküli tájékoztatása, hogy értesíthessék a nemzeti adatvédelmi felügyeleti hatóságokat minden adatvédelmi incidensről, valamint az AGORA biztonsági szabályainak megsértése esetén fegyelmi eljárás meghatározása.

(6)

A Bizottság korszerű fizikai és/vagy logikai biztonsági intézkedéseket hoz az AGORA berendezéseinek otthont adó létesítmények számára, valamint az adatok és az azokhoz való biztonsági hozzáférés ellenőrzése tekintetében. A Bizottság e célból:

a)	érvényre juttatja a fizikai biztonságot a különleges biztonsági övezetek kialakítása és az AGORA biztonsági szabályai megsértésének felderítése érdekében;

b)	ellenőrzi az AGORA létesítményeihez való hozzáférést, és nyomon követés céljából nyilvántartást vezet az AGORA látogatókról;

c)	biztosítja, hogy az épületekbe való belépési engedéllyel rendelkező külső személyeket megfelelő felhatalmazással rendelkező személyzet kísérje;

d)	biztosítja, hogy a kijelölt felelős szervek előzetes engedélye nélkül ne kerülhessen sor berendezések bevitelére, cseréjére vagy eltávolítására;

e)	ellenőrzi az AGORA által biztosított és az AGORA-hoz való hozzáférést;

f)	biztosítja az AGORA-hoz hozzáféréssel rendelkező AGORA-adminisztrátorok és AGORA-felhasználók azonosítását és hitelesítését;

g)	felülvizsgálja az AGORA-hoz való hozzáféréssel kapcsolatos engedélyezési jogokat a biztonsági szabályoknak az AGORA-t érintő megsértése esetén;

h)	megőrzi az AGORA-n továbbított információk sértetlenségét;

i)	technikai és szervezési biztonsági intézkedéseket vezet be a személyes adatokhoz való jogosulatlan hozzáférés megakadályozására az AGORA-ban;

j)	szükség esetén intézkedéseket kell végrehajtani az AGORA-hoz való jogosulatlan hozzáférés megakadályozása érdekében (pl. egy helyszín/IP-cím letiltása).

(7)

A Bizottság:

a)	a minőség és a biztonság alapelveitől és fogalmaitól való lényeges eltérés esetén lépéseket tesz a domén védelme érdekében, ideértve a kapcsolatok megszakítását is;

b)	a felelősségi körével kapcsolatban kockázatkezelési tervet tart fenn;

c)	valós időben nyomon követi az AGORA valamennyi szolgáltatási elemének teljesítményét, rendszeres statisztikákat készít és nyilvántartást vezet;

d)	támogatást nyújt az AGORA-val kapcsolatban angol nyelven az AGORA-adminisztrátorok és az AGORA-felhasználók számára;

e)	megfelelő technikai és szervezési intézkedésekkel támogatást nyújt az adatkezelőknek és a közös adatkezelőknek azon kötelezettségük teljesítéséhez, hogy válaszoljanak az érintettek jogainak gyakorlásával kapcsolatos kérelmekre, mely jogokat az (EU) 2016/679 rendelet III. fejezete határozza meg;

f)	támogatást biztosít az adatkezelőknek és a közös adatkezelőknek azáltal, hogy tájékoztatást nyújt az AGORA-ról az (EU) 2016/679 rendelet 32., 33., 34., 35. és 36. cikke szerinti kötelezettségek végrehajtása érdekében;

g)	gondoskodik arról, hogy az AGORA-ban kezelt adatok minden, hozzáférési jogosultsággal nem rendelkező személy számára értelmezhetetlenek legyenek;

h)	megtesz minden szükséges intézkedést az AGORA-n keresztül továbbított személyes adatokhoz való jogosulatlan hozzáférés megakadályozása érdekében;

i)	intézkedéseket hoz az adatkezelők és a közös adatkezelők közötti kommunikáció elősegítése érdekében;

j)	az (EU) 2018/1725 rendelet 31. cikke (2) bekezdésének megfelelően nyilvántartást vezet az adatkezelők és a közös adatkezelők nevében végzett adatkezelési tevékenységekről.