KOMISIJOS ĮGYVENDINIMO REGLAMENTAS (ES) 2024/607

2024 m. vasario 15 d.

dėl dalijimosi informacija sistemos veikimo praktinės ir veiklos tvarkos pagal Europos Parlamento ir Tarybos reglamentą (ES) 2022/2065 (Skaitmeninių paslaugų aktą)

EUROPOS KOMISIJA,

atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,

atsižvelgdama į 2022 m. spalio 19 d. Europos Parlamento ir Tarybos reglamentą (ES) 2022/2065 dėl bendrosios skaitmeninių paslaugų rinkos, kuriuo iš dalies keičiama Direktyva 2000/31/EB (Skaitmeninių paslaugų aktas) (1), visų pirma į jo 85 straipsnį,

pasikonsultavusi su Skaitmeninių paslaugų komitetu pagal Reglamento (ES) 2022/2065 88 straipsnį,

kadangi:

(1)

Reglamentu (ES) 2022/2065 siekiama užtikrinti, kad skaitmeninė erdvė būtų saugi ir kad kartu būtų gerbiamos pagrindinės teisės. Tai daroma tarpininkavimo paslaugų teikėjams nustatant įpareigojimus užkirsti kelią neteisėto turinio plitimui internete ir reglamentuojant šių paslaugų teikėjų vykdomą turinio moderavimo politiką, susijusią su jų teikiamomis paslaugomis. Siekiant veiksmingai prižiūrėti, tirti ir stebėti, kaip šie paslaugų teikėjai laikosi tų įpareigojimų, ir užtikrinti jų vykdymą, reikia, kad valstybės narės ir Komisija bendradarbiautų tarpusavyje ir kad jos sklandžiai keistųsi informacija;

(2)

Reglamento (ES) 2022/2065 85 straipsnyje reikalaujama, kad Komisija sukurtų ir palaikytų patikimą, saugią ir sąveikią skaitmeninių paslaugų koordinatorių, Komisijos ir Europos skaitmeninių paslaugų valdybos (toliau – Valdyba) bendravimui skirtą dalijimosi informacija sistemą (toliau – AGORA). Prieiga prie AGORA gali būti suteikiama ir kitoms kompetentingoms institucijoms, jei tai yra būtina, kad jos galėtų atlikti pagal Reglamentą (ES) 2022/2065 joms pavestas užduotis. Skaitmeninių paslaugų koordinatoriai, Komisija ir Valdyba sistemą AGORA turi naudoti visam bendravimui pagal Reglamentą (ES) 2022/2065;

(3)

AGORA – internetu prieinama taikomoji programinė įranga, kurią turi sukurti Komisija. AGORA yra ryšių palaikymo mechanizmas, kuriuo siekiama sudaryti palankesnes sąlygas skaitmeninių paslaugų koordinatoriams, Komisijai ir Valdybai tarpvalstybiniu lygmeniu keistis informacija ir teikti savitarpio pagalbą pagal Reglamentą (ES) 2022/2065. Visų pirma AGORA turėtų padėti skaitmeninių paslaugų koordinatoriams, Komisijai ir Valdybai pagal paprastas ir vienodas procedūras valdyti keitimąsi informacija, atliekant su priežiūra, tyrimu, vykdymo užtikrinimu ir stebėsena pagal Reglamentą (ES) 2022/2065 susijusias užduotis;

(4)

šiuo reglamentu nustatoma sistemos AGORA sukūrimo, techninės priežiūros ir veikimo siekiant priežiūros, tikrinimo, vykdymo užtikrinimo ir stebėsenos pagal Reglamentą (ES) 2022/2065 tikslų praktinė ir veiklos tvarka, galinti, be kita ko, apimti dvišalį keitimąsi informacija, pranešimo procedūras, įspėjimo mechanizmus, susitarimus dėl savitarpio pagalbos ir tarp skaitmeninių paslaugų koordinatorių, Komisijos, Valdybos ir kitų kompetentingų institucijų, kurioms pagal Reglamentą (ES) 2022/2065 suteikta prieiga prie AGORA (toliau – AGORA dalyviai), kylančių problemų sprendimą;

(5)

atsižvelgiant į tarpvalstybinę ir tarpsektorinę tarpininkavimo paslaugų svarbą, siekiant užtikrinti nuoseklią priežiūrą, tyrimą, vykdymo užtikrinimą ir stebėseną pagal Reglamentą (ES) 2022/2065, būtinas aukštas įvairių atitinkamų dalyvių veiklos koordinavimo ir bendradarbiavimo lygis ir galimybė šiuo tikslu gauti atitinkamą informaciją per AGORA;

(6)

siekiant įveikti kalbos barjerus, AGORA turėtų būti prieinama visomis oficialiosiomis Sąjungos kalbomis. Šiuo tikslu AGORA turėtų siūlyti šiuo metu Komisijos naudojamas visiškai automatizuotas mašininio vertimo priemones, kad būtų galima versti dokumentus ir pranešimus, kuriais keičiamasi per šią sistemą. Komisija tokias priemones turėtų suteikti skaitmeninių paslaugų koordinatoriams, Komisijai, Valdybai ar kitoms kompetentingoms institucijoms, kurioms suteikta prieiga prie AGORA, pavaldiems fiziniams asmenims (toliau – AGORA naudotojai) ir AGORA naudotojams, kuriuos skaitmeninių paslaugų koordinatoriai, Komisija ir Valdyba paskyrė administratoriais (toliau – AGORA administratoriai). Automatizuotos mašininio vertimo priemonės turėtų derėti su keitimuisi informacija per AGORA taikomais saugumo ir konfidencialumo reikalavimais;

(7)

kad galėtų vykdyti pagal Reglamentą (ES) 2022/2065 jiems pavestas užduotis, skaitmeninių paslaugų koordinatoriams, Komisijai ir Valdybai gali prireikti keistis informacija, kuri gali apimti asmens duomenis. Bet koks toks keitimasis informacija turėtų atitikti Europos Parlamento ir Tarybos reglamentuose (ES) 2016/679 (2) ir (ES) 2018/1725 (3) nustatytas asmens duomenų apsaugos taisykles. Todėl keitimasis asmens duomenimis, būtinas Reglamente (ES) 2022/2065 nustatytiems įpareigojimams vykdyti ir užduotims atlikti, patenka į teisėto duomenų tvarkymo sritį pagal Reglamento (ES) 2018/1725 5 straipsnio a punktą ir Reglamento (ES) 2016/679 6 straipsnio 1 dalies e punktą;

(8)

AGORA turėtų būti priemonė, kurią, vykdydami jiems nustatytą teisinę prievolę, skaitmeninių paslaugų koordinatoriai, Komisija, Valdyba ir kitos kompetentingos institucijos, kurioms pagal Reglamentą (ES) 2022/2065 suteikta prieiga prie šios sistemos, naudoja siekdami keistis informacija, įskaitant prireikus asmens duomenis, kuri antraip būtų perduodama kitomis priemonėmis, įskaitant įprastą paštą arba elektroninį paštą. Asmens duomenys, kuriais keičiamasi per AGORA, turėtų būti tvarkomi tik priežiūros, tyrimo, vykdymo užtikrinimo ir stebėsenos pagal Reglamentą (ES) 2022/2065 tikslais. Kai naudojant sistemą AGORA asmens duomenys tvarkomi siekiant dalytis informacija, jos prašyti ir gauti prieigą prie jos, atsakyti į prašymus suteikti informaciją, perduoti klausimą, prašyti imtis veiksmų ir prašyti paramos, skaitmeninių paslaugų koordinatoriai duomenis turėtų tvarkyti kaip Reglamente (ES) 2016/679 apibrėžti atskiri duomenų valdytojai;

(9)

kiekvienas skaitmeninių paslaugų koordinatorius taip pat gali nuspręsti sistemą AGORA naudoti, kad priežiūros, tyrimo, vykdymo užtikrinimo ir stebėsenos pagal Reglamentą (ES) 2022/2065 tikslais galėtų vykdyti bylų nagrinėjimo veiklą. Kai asmens duomenimis sistemoje AGORA neturi būti keičiamasi siekiant dalytis informacija, jos prašyti ir gauti prieigą prie jos, atsakyti į prašymus suteikti informaciją, perduoti klausimą, prašyti imtis veiksmų ir prašyti paramos, kiekvienas skaitmeninių paslaugų koordinatorius ir, kai taikoma, kitos kompetentingos institucijos, kurioms suteikta prieiga prie AGORA, duomenis šioje sistemoje turėtų tvarkyti kaip Reglamente (ES) 2016/679 ir Reglamente (ES) 2018/1725 apibrėžtas vienintelis duomenų valdytojas;

(10)	fizinių asmenų asmens duomenys sistemoje AGORA turėtų būti perduodami, saugojami ir kitaip tvarkomi siekiant padėti sistemos dalyviams bendrauti, kad jie galėtų vykdyti bylų nagrinėjimo veiklą, susijusią su priežiūra, tyrimu, vykdymo užtikrinimu ir stebėsena pagal Reglamentą (ES) 2022/2065;

(11)

sistemoje AGORA asmens duomenys turėtų būti tvarkomi tik tiek, kiek to tikrai reikia priežiūrai, tyrimui, vykdymo užtikrinimui ir stebėsenai pagal Reglamentą (ES) 2022/2065 vykdyti. Sistemoje AGORA turėtų būti tvarkomi tokie asmens duomenys, kaip tapatybės duomenys (pvz., vardas, pavardė, pravardė, slapyvardis, gimimo data, gimimo vieta, pilietybė, tapatybės nustatymo dokumentai ir, jei reikia, kiti požymiai, galintys padėti nustatyti tapatybę), kontaktiniai duomenys (pvz., darbo ir namų adresas, e. pašto adresas ir telefonas), dalyvavimo byloje duomenys (pvz., fizinio asmens pareigos ir funkcijos įmonėje, kiti vaidmenys, pavyzdžiui, kaip įtariamojo, aukos, pranešėjo, informatoriaus ir liudytojo), su byla susiję duomenys (pvz., dokumentas, vaizdas, vaizdo įrašas, balso įrašas, pareiškimas, nuomonė ir protokolas) ir visa kita informacija, kuri laikoma būtina Reglamente (ES) 2022/2065 nustatytiems reikalavimams įvykdyti;

(12)

vadovaujantis pritaikytosios ir standartizuotosios duomenų apsaugos principais, AGORA turėtų būti kuriama ir projektuojama tinkamai atsižvelgiant į duomenų apsaugos teisės aktų reikalavimus, visų pirma dėl prieigos prie asmens duomenų, kuriais keičiamasi sistemoje AGORA, apribojimų. Todėl AGORA užtikrinamas apsaugos ir saugumo lygis turėtų būti gerokai aukštesnis nei kitų keitimosi informacija priemonių, pavyzdžiui, telefono, įprasto pašto ar elektroninio pašto;

(13)	Komisija turėtų tiekti ir valdyti sistemai AGORA reikalingą programinę įrangą ir IT infrastruktūrą, užtikrinti jos patikimumą, saugumą, prieinamumą, techninę priežiūrą ir veikimą, taip pat prisidėti prie AGORA administratorių bei naudotojų mokymų ir teikti jiems techninę pagalbą;

(14)

kompetencija nuspręsti, kurios nacionalinės valdžios institucijos vykdo šiuo reglamentu nustatytus įpareigojimus, valstybės narės turėtų naudotis pagal Reglamento (ES) 2022/2065 49 ir 62 straipsnius. Valstybėms narėms turėtų būti suteikta galimybė pritaikyti su AGORA susijusias funkcijas ir pareigas prie savo vidaus administracinių struktūrų, taip pat šioje sistemoje integruoti tam tikros rūšies darbą arba nuspręsti dėl konkretaus darbo proceso etapų sekos;

(15)

kiekvienas skaitmeninių paslaugų koordinatorius turėtų paskirti bent vieną AGORA administratorių savo valstybėje narėje su šia sistema susijusiems klausimams spręsti ir apie jį pranešti Komisijai. Kiekvienas skaitmeninių paslaugų koordinatorius taip pat turėtų būti atsakingas už savo atitinkamų kompetentingų institucijų, kurioms pagal Reglamentą (ES) 2022/2065 suteikta prieiga prie AGORA, šios sistemos administratorių paskyrimą. Kiekvienas AGORA administratorius turėtų užregistruoti, suteikti ir panaikinti prieigą prie šios sistemos jos naudotojams. Siekdamos veiksmingai bendradarbiauti per AGORA, atliekant į Reglamento (ES) 2022/2065 taikymo sritį patenkančių paslaugų priežiūrą, tyrimą, vykdymo užtikrinimą ir stebėseną, valstybės narės turėtų užtikrinti, kad jų atitinkami AGORA administratoriai ir naudotojai turėtų reikiamų išteklių savo įsipareigojimams pagal Reglamento (ES) 2022/2065 50 straipsnio 1 dalį vykdyti;

(16)

skaitmeninių paslaugų koordinatoriaus, Komisijos, Valdybos ar kitos kompetentingos institucijos, kuriai suteikta prieiga prie AGORA, per šią sistemą iš kito skaitmeninių paslaugų koordinatoriaus, Komisijos, Valdybos ar kitos tokios kompetentingos institucijos gauta informacija, pagal atitinkamus ES ir nacionalinės teisės aktus, neturėtų prarasti įrodomosios vertės baudžiamosiose, civilinėse ar administracinėse bylose vien dėl to, kad ji gauta iš kitos valstybės narės arba elektroninėmis priemonėmis, ir atitinkamas AGORA dalyvis turėtų ją vertinti taip pat, kaip ir panašius dokumentus, gautus savo valstybėje narėje;

(17)

turėtų būti sudarytos sąlygos tvarkyti AGORA administratorių ir naudotojų vardus, pavardes ir kontaktinius duomenis, būtinus Reglamento (ES) 2022/2065 ir šio reglamento tikslams pasiekti, be kita ko, kai to reikia siekiant vykdyti AGORA administratorių ir naudotojų naudojimosi sistema stebėseną, įgyvendinti komunikacijos, mokymo ir informuotumo didinimo iniciatyvas ir rinkti informaciją, atliekant į Reglamento (ES) 2022/2065 taikymo sritį patenkančių paslaugų priežiūrą, tyrimą, vykdymo užtikrinimą ir stebėseną arba teikiant savitarpio pagalbą;

(18)	siekiant užtikrinti veiksmingą sistemos AGORA veikimo stebėseną ir ataskaitų teikimą, skaitmeninių paslaugų koordinatoriai, Valdyba ir kitos kompetentingos institucijos, kurioms suteikta prieiga prie šios sistemos, turėtų užtikrinti, kad atitinkama informacija būtų prieinama Komisijai;

(19)

duomenų subjektai turėtų būti informuojami apie jų asmens duomenų tvarkymą sistemoje AGORA ir apie jų teises, visų pirma apie Reglamente (ES) 2016/679 ir Reglamente (ES) 2018/1725 nustatytą teisę susipažinti su duomenimis, kurie yra su jais susiję, ir teisę reikalauti, kad netikslūs duomenys būtų ištaisyti, o neteisėtai tvarkomi duomenys būtų ištrinti;

(20)

kiekvienas AGORA dalyvis, kaip duomenų valdytojas, atsakingas už duomenų tvarkymo veiklą, kurią jis vykdo atlikdamas į Reglamento (ES) 2022/2065 taikymo sritį patenkančių paslaugų priežiūrą, tyrimą, vykdymo užtikrinimą ir stebėseną, turėtų užtikrinti, kad duomenų subjektai galėtų naudotis savo teisėmis pagal Reglamentą (ES) 2016/679 ir Reglamentą (ES) 2018/1725. Be kita ko, turėtų būti nustatytas reguliaraus techninių ir organizacinių priemonių, kuriomis užtikrinamas duomenų tvarkymo saugumas, veiksmingumo testavimo, tikrinimo ir vertinimo procesas;

(21)

šio reglamento įgyvendinimo ir sistemos AGORA efektyvumo stebėjimo rezultatai turėtų būti aptariami jos veikimo ataskaitoje, grindžiamoje iš šios sistemos gautais statistiniais duomenimis ir kitais atitinkamais duomenimis. Šią ataskaitą Komisija turėtų pateikti Europos Parlamentui, Tarybai ir Europos duomenų apsaugos priežiūros pareigūnui. Skaitmeninių paslaugų koordinatorių, Valdybos ir kitų kompetentingų institucijų, kurioms suteikta prieiga prie AGORA, veiklos efektyvumas turėtų būti vertinami, be kita ko, remiantis vidutine atsakymo pateikimo trukme, siekiant užtikrinti, kad atsakymai būtų veiksmingi ir tinkami. Šioje ataskaitoje taip pat turėtų būti nagrinėjami su sistemoje AGORA esančių asmens duomenų apsauga, įskaitant duomenų saugumą, susiję aspektai;

(22)	vadovaujantis Reglamento (ES) 2018/1725 42 straipsnio 1 dalimi pasikonsultuota su Europos duomenų apsaugos priežiūros pareigūnu ir jis pateikė nuomonę 2024 m. sausio 4 d.,

PRIĖMĖ ŠĮ REGLAMENTĄ:

I skyrius

BENDROSIOS NUOSTATOS

1 straipsnis

Dalykas ir taikymo sritis

Šiuo reglamentu nustatoma patikimos ir saugios dalijimosi informacija sistemos (toliau – AGORA), skirtos priežiūrai, tikrinimui, vykdymo užtikrinimui ir stebėsenai pagal Reglamentą (ES) 2022/2065 vykdyti, veikimo praktinė ir veiklos tvarka.

2 straipsnis

Dalijimosi informacija sistema

1. Sukuriama dalijimosi informacija sistema AGORA.

2. AGORA – internetu prieinama taikomoji programinė įranga ir priemonė, naudojama keičiantis informacija, įskaitant prireikus asmens duomenis, kuri antraip būtų perduodama kitomis priemonėmis, įskaitant įprastą paštą arba elektroninį paštą.

3. AGORA naudojama tam, kad skaitmeninių paslaugų koordinatoriai, Komisija ir Europos skaitmeninių paslaugų valdyba (toliau – Valdyba), taip pat kitos kompetentingos institucijos, kurioms suteikta prieiga prie AGORA, kad jos galėtų vykdyti pagal Reglamentą (ES) 2022/2065 joms pavestas užduotis, susijusias su priežiūra, tyrimu, vykdymo užtikrinimu ir stebėsena pagal tą reglamentą, galėtų keistis informacija, įskaitant informaciją, kurioje yra asmens duomenų.

3 straipsnis

Apibrėžtys

Šiame reglamente vartojamų terminų apibrėžtys, papildančios Reglamento (ES) 2022/2065 3 straipsnyje ir 49 straipsnio 1 dalyje, Reglamento (ES) 2016/679 4 straipsnyje ir Reglamento (ES) 2018/1725 3 straipsnyje pateiktas terminų apibrėžtis:

a)	AGORA – Komisijos sukurta ir palaikoma visų šios sistemos dalyvių bendravimui pagal Reglamentą (ES) 2022/2065 skirta dalijimosi informacija sistema, naudojama vykdant priežiūrą, tyrimą, vykdymo užtikrinimą ir stebėseną pagal Reglamentą (ES) 2022/2065;

b)	AGORA dalyvis – skaitmeninių paslaugų koordinatoriai, Komisija, Valdyba arba kitos kompetentingos institucijos, kurioms suteikta arba gali būti suteikiama prieiga prie šios sistemos, jei tai yra būtina pagal Reglamentą (ES) 2022/2065 joms pavestoms užduotims atlikti;

c)	AGORA naudotojas – šios sistemos dalyviui pavaldus fizinis asmuo, atitinkamai joje užregistruotas, kad galėtų atlikti Reglamentu (ES) 2022/2065 sistemos dalyviui pavestas užduotis;

d)	AGORA administratorius – šios sistemos naudotojas, kurį jos dalyvis paskyrė valdyti to dalyvio vardu.

II skyrius

SU AGORA SUSIJUSIOS FUNKCIJOS IR PAREIGOS

4 straipsnis

Komisijos pareigos

1. Komisija atlieka šias su AGORA susijusias užduotis:

a)	parengia sistemą AGORA visomis oficialiosiomis Sąjungos kalbomis ir ją palaiko;

b)	užtikrina sistemos AGORA programinės įrangos ir IT infrastruktūros patikimumą, saugumą, prieinamumą, techninę priežiūrą ir plėtojimą;

c)	siūlo automatizuotas mašininio vertimo priemones dokumentams ir pranešimams, kuriais keičiamasi per AGORA, versti;

d)	teikia paramą, susijusią su AGORA naudojimu, kitiems šios sistemos dalyviams;

e)	užregistruoja bent po vieną AGORA administratorių kiekvieno skaitmeninių paslaugų koordinatoriaus ir Valdybos vardu ir suteikia jiems prieigą prie AGORA;

f)	paskiria bent vieną AGORA administratorių;

g)	atlieka šiame reglamente numatytas asmens duomenų tvarkymo operacijas sistemoje AGORA priežiūros, tyrimo, vykdymo užtikrinimo ir stebėsenos pagal Reglamentą (ES) 2022/2065 tikslais;

h)	atlieka auditą ir stebėseną ir rengia ataskaitas, reikalingas sistemos AGORA auditui ir stebėsenai vykdyti pagal Reglamentą (ES) 2022/2065;

i)	teikia žinias, mokymus ir paramą, įskaitant techninę pagalbą, AGORA administratoriams;

j)	atlieka visų kitų AGORA dalyvių veiklos pagal šį reglamentą stebėseną pagal 15 straipsnį.

2. Siekdami padėti Komisijai atlikti 1 dalyje išvardytas užduotis, kiti AGORA dalyviai teikia jai informaciją, susijusią su šioje sistemoje jų vykdomomis operacijomis.

5 straipsnis

Komisijos vykdomas asmens duomenų tvarkymas

1. Registruodama AGORA administratorius, Komisija asmens duomenis tvarko kaip Reglamento (ES) 2018/1725 3 straipsnio 12 punkte apibrėžta duomenų tvarkytoja.

2. Savo pačios AGORA administratorių ir naudotojų asmens duomenis Komisija tvarko kaip Reglamento (ES) 2018/1725 3 straipsnio 8 punkte apibrėžta atskira duomenų valdytoja.

3. Kai Komisija, naudodama sistemą AGORA, asmens duomenis tvarko dalijimosi informacija, jos prašymo ir prieigos prie jos gavimo, prašymo imtis veiksmų ir paramos suteikimo tikslais, ji laikoma Reglamento (ES) 2018/1725 3 straipsnio 8 punkte apibrėžta nuo kitų AGORA dalyvių atskira duomenų valdytoja.

4. Kai Komisija, naudodama sistemą AGORA, asmens duomenis tvarko kitų jos dalyvių vardu dalijimosi informacija, jos prašymo ir prieigos prie jos gavimo, prašymo imtis veiksmų ir paramos suteikimo tikslais, ji laikoma Reglamento (ES) 2018/1725 3 straipsnio 12 punkte apibrėžta duomenų tvarkytoja.

5. Šiame reglamente Komisijos, kaip duomenų tvarkytojos, atsakomybė už tų kitų AGORA dalyvių vykdomą duomenų tvarkymo veiklą šioje sistemoje apibrėžiama pagal II priedą.

6 straipsnis

Skaitmeninių paslaugų koordinatorių pareigos

1. Kiekvienas skaitmeninių paslaugų koordinatorius savo valstybėje narėje paskiria bent vieną AGORA administratorių.

2. Kiekvienas skaitmeninių paslaugų koordinatorius atsako už tai, kad, vykdant pagal Reglamentą (ES) 2022/2065 jam pavestas užduotis, prieigą prie AGORA turėtų tik įgalioti jos naudotojai.

3. Kiekvienas skaitmeninių paslaugų koordinatorius nedelsdamas informuoja Komisiją apie pagal 1 dalį paskirtą AGORA administratorių. Komisija šia informacija dalijasi su kitais skaitmeninių paslaugų koordinatoriais ir Valdyba.

4. Kiekvienas skaitmeninių paslaugų koordinatorius užtikrina, kad AGORA administratorius vykdytų savo pareigas pagal šį reglamentą.

5. Registruodami savo AGORA naudotojus ir suteikdami jiems prieigą prie jos, skaitmeninių paslaugų koordinatoriai asmens duomenis tvarko kaip Reglamento (ES) 2016/679 4 straipsnio 7 punkte apibrėžti atskiri duomenų valdytojai.

6. Kai skaitmeninių paslaugų koordinatoriai sistemoje AGORA asmens duomenis tvarko dalijimosi informacija, jos prašymo ir prieigos prie jos gavimo, atsakymo į prašymus suteikti informaciją, klausimų perdavimo, prašymo imtis veiksmų ir paramos prašymo tikslais, jie duomenis tvarko kaip Reglamente (ES) 2016/679 apibrėžti atskiri duomenų valdytojai.

7. Kai kitos pagal Reglamento (ES) 2022/2065 49 straipsnio 1 dalį valstybių narių paskirtos kompetentingos institucijos, kurios nėra skaitmeninių paslaugų koordinatorius, asmens duomenis tvarko naudodamos sistemą AGORA, tokios institucijos yra Reglamente (ES) 2016/679 apibrėžti atskiri duomenų valdytojai.

7 straipsnis

Valdybos pareigos

1. Valdyba paskiria vieną AGORA administratorių. AGORA administratorius dalyvauja teikiant administracinę ir analitinę paramą Valdybai pagal Reglamento (ES) 2022/2065 62 straipsnio 4 dalį.

2. Valdyba yra atsakinga už tai, kad prieigą prie AGORA turėtų tik įgalioti jos naudotojai.

3. Valdyba nedelsdama informuoja Komisiją apie pagal 1 dalį paskirto AGORA administratoriaus tapatybę ir apie užduotis, už kurias jis yra atsakingas pagal šio reglamento 8 straipsnį. Komisija šia informacija dalijasi su skaitmeninių paslaugų koordinatoriais.

8 straipsnis

AGORA administratorių pareigos

AGORA administratoriai:

a)	registruoja AGORA naudotojus, suteikia ir panaikina prieigą prie AGORA;

b)	veikia kaip pagrindinis Komisijos kontaktinis punktas su AGORA susijusiais klausimais, be kita ko, teikia informaciją apie asmens duomenų apsaugos pagal šį reglamentą, Reglamentą (ES) 2016/679 ir Reglamentą (ES) 2018/1725 aspektus;

c)	teikia žinias, mokymus ir paramą, įskaitant techninę pagalbą ir pagalbos tarnybos paslaugą jų užregistruotiems AGORA naudotojams;

d)	užtikrina, kad AGORA dalyviai veiksmingai teiktų tinkamus atsakymus.

9 straipsnis

AGORA dalyvių prieigos teisės

1. AGORA dalyviai suteikia ir panaikina prieigos teises AGORA administratoriams, už kuriuos jie yra atsakingi.

2. Prieigą prie AGORA turi tik įgalioti jos administratoriai ir įgalioti jos naudotojai.

3. AGORA dalyviai įdiegia tinkamas priemones, kuriomis užtikrinama, kad AGORA administratoriams ir naudotojams būtų leidžiama su šioje sistemoje tvarkomais asmens duomenimis susipažinti tik tais atvejais, kai tai tikrai būtina priežiūrai, tyrimui, vykdymo užtikrinimui ir stebėsenai pagal Reglamentą (ES) 2022/2065 vykdyti.

4. Jei procedūra, susijusi su priežiūra, tyrimu, vykdymo užtikrinimu ir stebėsena pagal Reglamentą (ES) 2022/2065, apima asmens duomenų tvarkymą, prieigą prie tokių asmens duomenų turi tik dalyvaujantys toje procedūroje AGORA administratoriai ir naudotojai.

10 straipsnis

Konfidencialumas

1. Kiekviena valstybė narė ir Komisija savo AGORA administratoriams ir naudotojams taiko savo profesinės paslapties taisykles arba kitas lygiavertes konfidencialumo prievoles pagal nacionalinę arba Sąjungos teisę.

2. Kiekvienas AGORA dalyvis užtikrina, kad šios sistemos administratoriai ir jiems pavaldūs sistemos naudotojai laikytųsi kitų šios sistemos dalyvių reikalavimų dėl informacijos, kuria keičiamasi sistemoje, konfidencialumo.

III skyrius

ASMENS DUOMENŲ TVARKYMAS IR SAUGUMAS

11 straipsnis

Asmens duomenų tvarkymas sistemoje AGORA

1. Perduoti, saugoti ir kitaip tvarkyti asmens duomenis sistemoje AGORA galima tik tokiu atveju, jei tai būtina ir proporcinga, ir tik toliau nurodytais tikslais:

a)	remti AGORA dalyvių bendravimą vykdant priežiūrą, tyrimą, vykdymo užtikrinimą ir stebėseną pagal Reglamentą (ES) 2022/2065;

b)	užtikrinti, kad AGORA dalyviai atliktų bylos nagrinėjimą, vykdydami su priežiūra, tyrimu, vykdymo užtikrinimu ir stebėsena pagal Reglamentą (ES) 2022/2065 susijusią veiklą;

c)	atlikti šiame reglamente išvardytų duomenų operacinį ir techninį pertvarkymą, kai tai būtina siekiant sudaryti sąlygas keistis a ir b punktuose nurodyta informacija.

2. Sistemoje AGORA gali būti tvarkomi tik šių kategorijų duomenų subjektų asmens duomenys:

a)	fizinių asmenų, kurių asmens duomenys yra dokumentuose, gautuose vykdant priežiūrą, tyrimą, vykdymo užtikrinimą ir stebėseną pagal Reglamentą (ES) 2022/2065;

b)	AGORA administratorių ir naudotojų, kuriems suteikta prieiga prie šios sistemos.

3. Sistemoje AGORA gali būti tvarkomi tik šių kategorijų asmens duomenys:

a)	tapatybės duomenys, kontaktiniai duomenys, dalyvavimo byloje duomenys, su byla susiję duomenys ir visa kita informacija, kuri laikoma būtina priežiūrai, tyrimui, vykdymo užtikrinimui ir stebėsenai pagal Reglamentą (ES) 2022/2065 vykdyti;

b)	2 dalies b punkte nurodytų AGORA administratorių ir naudotojų vardas, pavardė, adresas, kontaktiniai duomenys, kontaktinis numeris ir naudotojo identifikatorius.

4. Sistemoje AGORA saugomi šio reglamento 11 straipsnio 3 dalyje išvardytų kategorijų asmens duomenys ir registracijos žurnalai, kuriuose nurodoma informacija apie duomenų, kuriais keičiamasi vykdant priežiūrą, tyrimą, vykdymo užtikrinimą ir stebėseną pagal Reglamentą (ES) 2022/2065, srautą ir judėjimą.

5. 2 dalyje nurodyti duomenys saugomi naudojant Europos ekonominėje erdvėje esančią informacinių technologijų infrastruktūrą.

6. Kiekvienas AGORA dalyvis užtikrina, kad duomenų subjektai galėtų naudotis savo teisėmis pagal Reglamentą (ES) 2016/679 ir Reglamentą (ES) 2018/1725, ir yra atsakingas už šių reglamentų laikymąsi, kai jo vardu vykdoma asmens duomenų tvarkymo veikla.

7. Nacionalinės priežiūros institucijos ir Europos duomenų apsaugos priežiūros pareigūnas, veikdami pagal savo atitinkamą kompetenciją, užtikrina koordinuotą sistemos AGORA ir jos administratorių bei naudotojų naudojimosi ja priežiūrą.

12 straipsnis

Bendras sistemos AGORA duomenų valdymas

1. Asmens duomenis, susijusius su Valdybos veikla, vykdoma atliekant priežiūrą, tyrimą, vykdymo užtikrinimą ir stebėseną pagal Reglamentą (ES) 2022/2065, skaitmeninių paslaugų koordinatoriai perduoda, saugo ir kitaip sistemoje AGORA tvarko kaip Reglamento (ES) 2016/679 26 straipsnio 1 dalyje apibrėžti bendri duomenų valdytojai.

2. Kai pagal Reglamento (ES) 2022/2065 60 straipsnį atliekami bendri tyrimai, susiję su priežiūra, tyrimu, vykdymo užtikrinimu ir stebėsena pagal Reglamentą (ES) 2022/2065, asmens duomenis, susijusius su konkrečiu bendru tyrimu, atitinkami skaitmeninių paslaugų koordinatoriai perduoda, saugo ir kitaip sistemoje AGORA tvarko kaip Reglamento (ES) 2016/679 26 straipsnio 1 dalyje apibrėžti bendri duomenų valdytojai.

3. Taikant 1 ir 2 dalis, atsakomybė bendriems duomenų valdytojams paskirstoma pagal I priedą.

4. Komisija yra Reglamento (ES) 2018/1725 3 straipsnio 12 punkte apibrėžta tvarkytoja duomenų, kai asmens duomenys tvarkomi skaitmeninių paslaugų koordinatorių vardu Valdybos veiklos tikslais ir kai bendri tyrimai pagal Reglamento (ES) 2022/2065 60 straipsnį atliekami vykdant priežiūrą, tyrimą, vykdymo užtikrinimą ir stebėseną pagal Reglamentą (ES) 2022/2065.

13 straipsnis

Saugumas

1. Komisija įdiegia reikiamas pažangiausias priemones, skirtas sistemoje AGORA tvarkomų asmens duomenų saugumui užtikrinti, įskaitant tinkamą prieigos prie duomenų kontrolę ir nuolat atnaujinamą saugumo planą.

2. Įvykus saugumo incidentui, Komisija įdiegia reikiamas pažangiausias priemones, imasi taisomųjų veiksmų ir užtikrina, kad būtų galima patikrinti, kokie asmens duomenys, kada, kieno ir kokiu tikslu buvo tvarkomi sistemoje AGORA.

IV SKYRIUS

BAIGIAMOSIOS NUOSTATOS

14 straipsnis

Vertimas

1. Komisija užtikrina, kad AGORA būtų prieinama visomis oficialiosiomis Sąjungos kalbomis, ir siūlo AGORA naudotojams automatizuotas mašininio vertimo priemones, kad būtų galima versti dokumentus ir pranešimus, kuriais keičiamasi per šią sistemą.

2. Skaitmeninių paslaugų koordinatorius arba bet kuri kita kompetentinga institucija, kuriai suteikta prieiga prie AGORA, vykdydama pagal Reglamentą (ES) 2022/2065 jai pavestas užduotis, bet kokią sistemoje AGORA gautą informaciją, dokumentą, išvadą, pareiškimą ar patvirtintą kopiją gali pateikti tuo pačiu pagrindu, kaip ir savo šalyje gautą panašią informaciją, tikslais, suderinamais su tais, dėl kurių duomenys buvo iš pradžių surinkti, ir pagal atitinkamus ES ir nacionalinės teisės aktus.

15 straipsnis

Stebėsena ir ataskaitų teikimas

1. Komisija reguliariai stebi sistemos AGORA veikimą ir reguliariai vertina jos efektyvumą.

2. Ne vėliau kaip 2027 m. vasario 17 d. ir vėliau kas trejus metus Komisija pateikia Europos Parlamentui, Tarybai ir Europos duomenų apsaugos priežiūros pareigūnui šio reglamento įgyvendinimo ataskaitą. Ataskaitoje pateikiama informacija apie stebėseną ir vertinimą, atliktus pagal 1 dalį, ir apie AGORA dalyvių veiklą, susijusią su šia sistema, siekiant užtikrinti veiksmingą dalijimąsi informacija ir tinkamus atsakymus. Šioje ataskaitoje taip pat nagrinėjami įgyvendinimo aspektai, susiję su sistemoje AGORA esančių asmens duomenų apsauga, įskaitant duomenų saugumą.

3. Rengdami 2 dalyje nurodytą ataskaitą, skaitmeninių paslaugų koordinatoriai, Valdyba ir kitos kompetentingos institucijos, kurioms suteikiama prieiga, kai tai būtina pagal Reglamentą (ES) 2022/2065 joms pavestoms užduotims atlikti, kasmet ataskaitų forma teikia Komisijai visą su šio reglamento taikymu susijusią informaciją, įskaitant informaciją apie jame nustatytų duomenų apsaugos reikalavimų taikymą ir duomenų saugumą.

16 straipsnis

Išlaidos

1. Sistemos AGORA sukūrimo, techninės priežiūros ir eksploatavimo išlaidos padengiamos iš metinių priežiūros mokesčių, kuriuos Komisija renka pagal Reglamento (ES) 2022/2065 43 straipsnio 2 dalį ir Komisijos deleguotąjį reglamentą (ES) 2023/1127 (4).

2. Sistemos AGORA veikimo valstybės narės lygmeniu išlaidas, įskaitant išlaidas žmogiškiesiems ištekliams, kurių reikia mokymams, reklamai, techninei pagalbai ir pagalbos tarnybos veiklai vykdyti, taip pat sistemai AGORA administruoti nacionaliniu lygmeniu ir bet kokiems reikalingiems nacionalinių tinklų ir informacinių sistemų pritaikymams atlikti, padengia išlaidas patirianti valstybė narė.

17 straipsnis

Veiksmingas taikymas

Valstybės narės imasi visų priemonių, būtinų siekiant užtikrinti, kad jų AGORA dalyviai veiksmingai taikytų šį reglamentą.

18 straipsnis

Įsigaliojimas

Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.

Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.

Priimta Briuselyje 2024 m. vasario 15 d.

Komisijos vardu

Pirmininkė

Ursula VON DER LEYEN

(1) OL L 277, 2022 10 27, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj.

(2) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (OL L 119, 2016 5 4, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3) 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018 11 21, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(4) 2023 m. kovo 2 d. Komisijos deleguotasis reglamentas (ES) 2023/1127, kuriuo Europos Parlamento ir Tarybos reglamentas (ES) 2022/2065 papildomas išsamia metodika ir procedūromis, susijusiomis su priežiūros mokesčiais, kuriuos Komisija taiko labai didelių interneto platformų ir labai didelių interneto paieškos sistemų paslaugų teikėjams (OL L 149, 2023 3 2, p. 16, ELI: http://data.europa.eu/eli/reg_del/2023/1127/oj).

I PRIEDAS

Skaitmeninių paslaugų koordinatorių, kaip bendrų duomenų valdytojų, atsakomybė už sistemoje AGORA vykdomą duomenų tvarkymo veiklą, kai atliekmi bendri tyrimai ir vykdoma valdybos veikla

1 SKIRSNIS

1 poskirsnis

Bendro duomenų valdymo susitarimo taikymo sritis

Šis bendro duomenų valdymo susitarimas taikomas atitinkamiems skaitmeninių paslaugų koordinatoriams, kai jie atlieka bendrus tyrimus pagal Reglamento (ES) 2022/2065 60 straipsnį.

Šis bendro duomenų valdymo susitarimas taikomas skaitmeninių paslaugų koordinatoriams, kaip Valdybos nariams, kai Valdyba pagal Reglamentą (ES) 2022/2065 vykdo asmens duomenų tvarkymo veiklą į Reglamento (ES) 2022/2065 taikymo sritį patenkančių paslaugų priežiūros, tyrimo, vykdymo užtikrinimo ir stebėsenos tikslais.

2 poskirsnis

Atsakomybės paskirstymas

Bendri duomenų valdytojai asmens duomenis tvarko per AGORA.

Skaitmeninių paslaugų koordinatoriai išlieka vieninteliai duomenų valdytojai, kai asmens duomenys renkami, naudojami, atskleidžiami ir kitaip tvarkomi ne sistemoje AGORA. Skaitmeninių paslaugų koordinatoriai taip pat išlieka vieninteliai duomenų valdytojai, kai asmens duomenis sistemoje AGORA jie tvarko į Reglamento (ES) 2022/2065 taikymo sritį patenkančių paslaugų priežiūros, tyrimo, vykdymo užtikrinimo ir stebėsenos tikslais.

Kiekvienas bendras duomenų valdytojas atsako už asmens duomenų tvarkymą sistemoje AGORA pagal Reglamento (ES) 2016/679 5, 24 ir 26 straipsnius.

Kiekvienas bendras duomenų valdytojas sukuria funkcinę e. pašto dėžutę turintį kontaktinį punktą, per kurį palaikomi ryšiai tarp bendrų duomenų valdytojų ir tarp bendrų duomenų valdytojų ir duomenų tvarkytojo.

Kiekvienas bendras duomenų valdytojas, gavęs prašymą, skubiai ir veiksmingai padeda kitiems bendriems duomenų valdytojams vykdyti šį susitarimą, laikydamasis visų taikomų Reglamento (ES) 2016/679 reikalavimų ir kitų taikomų duomenų apsaugos taisyklių, įskaitant įsipareigojimus savo atitinkamai priežiūros institucijai.

Bendri duomenų valdytojai nustato darbo tvarką, pagal kurią asmens duomenys tvarkomi per AGORA, ir pateikia Komisijai, kaip duomenų tvarkytojai, suderintus nurodymus.

Nurodymus duomenų tvarkytojui siunčia bet kuris iš bendrų duomenų valdytojų kontaktinių punktų, susitaręs su kitais bendrais duomenų valdytojais. Nurodymus duomenų tvarkytojui bendras duomenų valdytojas pateikia raštu ir apie tai informuoja visus kitus bendrus duomenų valdytojus. Jei tam tikrą klausimą būtina išspręsti gana skubiai ir dėl to neįmanoma surengti bendrų duomenų valdytojų posėdžio, nurodymą galima pateikti ir nesusitarus, tačiau bendri duomenų valdytojai gali jį atšaukti. Šis nurodymas pateikiamas raštu ir jį pateikiant apie tai informuojami visi kiti bendri duomenų valdytojai.

Bendrų duomenų valdytojų darbo tvarka netrukdo nė vienam bendram duomenų valdytojui naudotis individualiais savo įgaliojimais teikti savo kompetentingai priežiūros institucijai informaciją pagal Reglamento (ES) 2016/679 33 ir 24 straipsnius. Tokiems pranešimams teikti kitų bendrų duomenų valdytojų sutikimas nereikalingas.

Bendrų duomenų valdytojų darbo tvarka netrukdo nė vienam bendram duomenų valdytojui bendradarbiauti su savo atitinkama kompetentinga priežiūros institucija, įsteigta pagal Reglamentą (ES) 2016/679 ir Reglamentą (ES) 2018/1725.

10.

Prieiga prie asmens duomenų, kuriais keičiamasi, suteikiama tik kiekvieno bendro duomenų valdytojo įgaliotiems asmenims.

11.

Kiekvienas bendras duomenų valdytojas tvarko duomenų tvarkymo veiklos, už kurią jis atsako, įrašus. Šiuose įrašuose nurodoma, kad duomenys valdomi bendrai.

3 poskirsnis

Su duomenų subjektų prašymų nagrinėjimu ir duomenų subjektų informavimu susijusi atsakomybė ir funkcijos

Kiekvienas duomenų valdytojas pagal Reglamento (ES) 2016/679 14 straipsnį teikia informaciją fiziniams asmenims, kurių duomenys tvarkomi vykdant bendrus tyrimus ir Valdybos veiklą, susijusią su paslaugų, patenkančių į Reglamento (ES) 2022/2065 taikymo sritį, priežiūra, tyrimu, vykdymo užtikrinimu ir stebėsena, išskyrus atvejus, kai to padaryti neįmanoma arba kai tam reikia neproporcingų pastangų.

Kiekvienas duomenų valdytojas atlieka kontaktinio punkto, į kurį gali kreiptis fiziniai asmenys, kurių asmens duomenis jis tvarko, funkciją ir nagrinėja duomenų subjektų arba jų atstovų prašymus, pateiktus naudojantis savo teisėmis pagal Reglamentą (ES) 2016/679. Jei bendras duomenų valdytojas iš duomenų subjekto gauna prašymą, kuris yra susijęs su kito bendro duomenų valdytojo atliekamu duomenų tvarkymu, jis tam duomenų subjektui nurodo atsakingą bendrą duomenų valdytoją ir pateikia jo kontaktinius duomenis. Gavę kito bendro duomenų valdytojo prašymą, bendri duomenų valdytojai padeda vieni kitiems nagrinėti duomenų subjektų prašymus ir atsako vieni kitiems nepagrįstai nedelsdami ir ne vėliau kaip per vieną mėnesį nuo pagalbos prašymo gavimo dienos.

Kiekvienas duomenų valdytojas supažindina duomenų subjektus su šio priedo turiniu.

2 SKIRSNIS

Saugumo incidentų, įskaitant asmens duomenų saugumo pažeidimus, valdymas

Bendri duomenų valdytojai padeda vieni kitiems nustatyti ir nagrinėti bet kokius saugumo incidentus, įskaitant asmens duomenų saugumo pažeidimus, susijusius su duomenų tvarkymu sistemoje AGORA.

Visų pirma bendri duomenų valdytojai vieni kitiems praneša apie:

a)	bet kokią galimą arba faktinę riziką sistemoje AGORA tvarkomų asmens duomenų prieinamumui, konfidencialumui ir (arba) vientisumui;

b)	bet kokį asmens duomenų saugumo pažeidimą, galimus asmens duomenų saugumo pažeidimo padarinius ir nustatytą riziką fizinių asmenų teisėms ir laisvėms, taip pat apie priemones, kurių imtasi siekiant pašalinti asmens duomenų saugumo pažeidimą ir sumažinti riziką fizinių asmenų teisėms ir laisvėms, ir

c)	bet kokį techninių ir (arba) organizacinių apsaugos priemonių, susijusių su duomenų tvarkymo operacija sistemoje AGORA, pažeidimą.

Apie bet kokius asmens duomenų saugumo pažeidimus, susijusius su duomenų tvarkymo sistemoje AGORA operacija, bendri duomenų valdytojai pagal Reglamento (ES) 2016/679 33 ir 34 straipsnius arba gavę Komisijos pranešimą praneša Komisijai, kompetentingoms duomenų apsaugos priežiūros institucijoms ir, kai būtina, duomenų subjektams.

Kiekvienas duomenų valdytojas įdiegia tinkamas technines ir organizacines priemones, kurių paskirtis:

a)	užtikrinti ir apsaugoti bendrai tvarkomų asmens duomenų saugumą, vientisumą ir konfidencialumą;

b)	apsaugoti nuo bet kokio neleistino ar neteisėto jo turimų asmens duomenų tvarkymo, praradimo, naudojimo, atskleidimo, įsigijimo ar prieigos prie jų, ir

c)	užtikrinti, kad asmens duomenys būtų atskleidžiami ar prieinami tik duomenų gavėjams ar tvarkytojui.

3 SKIRSNIS

POVEIKIO DUOMENŲ APSAUGAI VERTINIMAS

Jei tam, kad duomenų valdytojas galėtų vykdyti Reglamento (ES) 2016/679 35 ir 36 straipsniuose nurodytas pareigas, jam reikia informacijos iš kito duomenų valdytojo ar tvarkytojo, jis nusiunčia specialų prašymą į 1 skirsnio 2 poskirsnio 4 punkte nurodytą funkcinę e. pašto dėžutę. Duomenų valdytojas arba tvarkytojas, kuriam skirtas prašymas, deda visas pastangas pateikti tokią informaciją.

II PRIEDAS

Komisijos, kaip duomenų tvarkytojos, atsakomybė už skaitmeninių paslaugų koordinatorių, kitų nacionalinių institucijų ir valdybos sistemoje AGORA vykdomą duomenų tvarkymo veiklą

Komisija:

skaitmeninių paslaugų koordinatorių, kitų nacionalinių institucijų ir Valdybos vardu sukuria saugią ir patikimą ryšių infrastruktūrą – sistemą AGORA, kuri leidžia keistis informacija, reikalinga koordinuotiems tyrimams, nuoseklumo užtikrinimo mechanizmams ir Valdybos veiklai vykdyti, ir užtikrina jos veikimą, ir

asmens duomenis tvarko tik pagal duomenų valdytojų ir bendrų duomenų valdytojų dokumentais įformintus nurodymus, išskyrus atvejus, kai ji juos tvarkyti privalo pagal Sąjungos arba valstybės narės teisės aktus; tokiu atveju Komisija, prieš pradėdama tvarkyti duomenis, apie tokį teisinį reikalavimą praneša duomenų valdytojams ir bendriems duomenų valdytojams, išskyrus atvejus, kai pagal atitinkamą teisės aktą pateikti tokią informaciją draudžiama dėl svarbių viešojo intereso priežasčių.

Kad įvykdytų savo, kaip duomenų tvarkytojos skaitmeninių paslaugų koordinatorių, kitų nacionalinių institucijų ir Valdybos vardu pareigas, Komisija gali kaip pagalbines duomenų tvarkytojas pasitelkti trečiąsias šalis. Tokiu atveju duomenų valdytojai ir bendri duomenų valdytojai leidžia Komisijai pasitelkti pagalbinius duomenų tvarkytojus arba prireikus juos pakeisti. Komisija informuoja duomenų valdytojus ir bendrus duomenų valdytojus apie minėtą pagalbinių duomenų tvarkytojų pasitelkimą arba jų pakeitimą, taip suteikdama duomenų valdytojams galimybę pateikti prieštaravimą tokiems pokyčiams. Komisija užtikrina, kad šiems pagalbiniams duomenų tvarkytojams būtų taikomi tokie pat kaip šiame Reglamente nustatyti duomenų apsaugos įpareigojimai.

Tvarkydama duomenis Komisija:

a)	atlieka visų AGORA administratorių ir naudotojų tapatybės nustatymą ir vykdo jų prieigos kontrolę;

b)	suteikia leidimą AGORA administratoriams ir naudotojams sukurti, atnaujinti ir ištrinti visus sistemoje AGORA sistemoje esančius įrašus ir informaciją;

c)	priima šio reglamento 12 straipsnio 3 dalyje nurodytus nacionalinių AGORA naudotojų ir administratorių įkeliamus asmens duomenis, sukurdama programų sąsają, suteikiančią galimybę nacionaliniams AGORA naudotojams ir administratoriams įkelti atitinkamus duomenis;

d)	saugo asmens duomenis sistemoje AGORA;

e)	sudaro sąlygas AGORA administratoriams ir naudotojams susipažinti su asmens duomenimis ir juos atsisiųsti, taip pat vykdyti bet kokią kitą būtiną duomenų tvarkymo veiklą;

f)	ištrina asmens duomenis, kai sueina jų galiojimo pabaigos data arba kai tą padaryti nurodo juos pateikęs duomenų valdytojas;

g)	kai paslauga baigiama teikti, ištrina visus likusius asmens duomenis, išskyrus atvejus, kai tokius asmens duomenis reikalaujama saugoti pagal Sąjungos arba valstybės narės teisės aktus.

Komisija imasi visų pažangiausių organizacinio, fizinio ir loginio saugumo priemonių sistemos AGORA veikimui užtikrinti. Šiuo tikslu Komisija:

a)	paskiria subjektą, atsakingą už sistemos AGORA saugumo valdymą, pateikia bendriems duomenų valdytojams jo kontaktinius duomenis ir užtikrina, kad jis būtų pasirengęs reaguoti į grėsmes saugumui;

b)	prisiima atsakomybę už sistemos AGORA saugumą, be kita ko, reguliariai atlieka saugumo priemonių bandymus, vertinimus ir tikrinimus;

c)	užtikrina, kad AGORA administratoriams ir naudotojams, kuriems suteikta prieiga prie AGORA, būtų taikomi sutartiniai, profesiniai arba teisės aktais nustatyti konfidencialumo įpareigojimai.

Komisija imasi visų būtinų saugumo priemonių, padedančių užtikrinti, kad nebūtų sutrikdytas sklandus AGORA veikimas. Tai apima:

a)	rizikos vertinimo procedūras, kurių tikslas – nustatyti ir įvertinti galimas grėsmes sistemai AGORA;

audito ir peržiūros procedūrą, kurios tikslai:

—	patikrinti, ar įdiegtos saugumo priemonės atitinka taikomą saugumo politiką;

—	reguliariai tikrinti sistemos AGORA rinkmenų, saugumo parametrų ir suteiktų leidimų vientisumą;

—	aptikti saugumo pažeidimus ir įsibrovimus į AGORA;

—	atlikti pakeitimus siekiant mažinti esamas sistemos AGORA saugumo spragas;

—

nustatyti sąlygas, kuriomis galima leisti, taip pat ir duomenų valdytojų prašymu, atlikti nepriklausomus saugumo priemonių auditus (įskaitant tikrinimus) ir peržiūras ir prie jų prisidėti, su sąlyga, kad būtų laikomasi Sutarties dėl Europos Sąjungos veikimo protokolo (Nr. 7) dėl Europos Sąjungos privilegijų ir imunitetų;

c)	kontrolės procedūros keitimą siekiant dokumentuoti ir įvertinti pakeitimo poveikį iki jo įgyvendinimo ir informuoti duomenų valdytojus ir bendrus duomenų valdytojus apie visus pakeitimus, kurie gali paveikti ryšį su AGORA ir (arba) jos saugumą;

d)	techninės priežiūros ir remonto tvarkos nustatymą siekiant nustatyti taisykles ir sąlygas, kurių turi būti laikomasi atliekant sistemos AGORA įrangos techninę priežiūrą ir (arba) remontą;

saugumo incidentų valdymo procedūros nustatymą siekiant nustatyti pranešimo apie incidentus ir perdavimo juos spręsti tvarką, nedelsiant informuoti atitinkamus duomenų valdytojus apie visus asmens duomenų saugumo pažeidimus, taip pat informuoti juos apie tuos pažeidimus, kad jie apie juos praneštų nacionalinėms duomenų apsaugos priežiūros institucijoms, ir nustatyti drausmines procedūras, taikytinas saugumo pažeidimų sistemoje AGORA atvejais.

Komisija imasi pažangiausių fizinio ir loginio saugumo priemonių, skirtų naudoti patalpose, kuriose yra AGORA, ir prieigos prie duomenų bei saugios prieigos kontrolei. Šiuo tikslu Komisija:

a)	užtikrina, kad būtų taikomos fizinio saugumo priemonės, padedančios apibrėžti aiškią apsaugos zoną ir aptikti pažeidimus sistemoje AGORA;

b)	kontroliuoja patekimą į patalpas, kuriose yra AGORA, ir atsekamumo tikslais registruoja lankytojus;

c)	užtikrina, kad išorės asmenys, kuriems leista patekti į patalpas, būtų lydimi tinkamai įgaliotų darbuotojų;

d)	užtikrina, kad be išankstinio paskirtųjų atsakingų įstaigų leidimo nebūtų galima papildyti, pakeisti arba pašalinti įrangos;

e)	kontroliuoja prieigą iš ir prie sistemos AGORA;

f)	užtikrina, kad AGORA administratoriai ir prie jos besijungiantys naudotojai būtų identifikuojami ir būtų nustatyta jų tapatybė;

g)	peržiūri leidimo teises, susijusias su prieiga prie AGORA, jeigu padaromas ją veikiantis saugumo pažeidimas;

h)	palaiko informacijos, perduodamos per AGORA, vientisumą;

i)	įdiegia techninio ir organizacinio saugumo priemones, kad užkirstų kelią neteisėtai prieigai prie asmens duomenų sistemoje AGORA;

j)	prireikus įgyvendina priemones, skirtas neteisėtai prieigai prie AGORA blokuoti (t. y. blokuoja vietos (IP) adresą).

Komisija:

a)	imasi domeno apsaugos veiksmų, įskaitant ryšių nutraukimą, jeigu nustatomas esminis nukrypimas nuo kokybės ir saugumo principų ir koncepcijų;

b)	taiko su jos atsakomybės sritimi susijusį rizikos valdymo planą;

c)	realiuoju laiku stebi visų AGORA paslaugų komponentų veikimą, reguliariai rengia statistinius duomenis ir tvarko įrašus;

d)	anglų kalba teikia su AGORA susijusią pagalbą jos administratoriams ir naudotojams;

e)	padeda duomenų valdytojams ir bendriems duomenų valdytojams taikydama tinkamas technines ir organizacines priemones, kad būtų įvykdyta duomenų valdytojo pareiga atsakyti į prašymus pasinaudoti Reglamento (ES) 2016/679 III skyriuje nustatytomis duomenų subjekto teisėmis;

f)	teikdama informaciją apie AGORA, padeda duomenų valdytojams ir bendriems duomenų valdytojams vykdyti Reglamento (ES) 2016/679 32, 33, 34, 35 ir 36 straipsniuose nustatytas pareigas;

g)	užtikrina, kad sistemoje AGORA tvarkomi duomenys asmeniui, neturinčiam prieigos prie jos leidimo, būtų nesuprantami;

h)	imasi visų tinkamų priemonių, kad užkirstų kelią neteisėtai prieigai prie duomenų, perduodamų per AGORA;

i)	imasi priemonių, kad palengvintų duomenų valdytojų ir bendrų duomenų valdytojų bendravimą;

j)	pagal Reglamento (ES) 2018/1725 31 straipsnio 2 dalį tvarko duomenų valdytojų ir bendrų duomenų valdytojų vardu vykdomos duomenų tvarkymo veiklos įrašus.