IZVEDBENA UREDBA KOMISIJE (EU) 2024/607

z dne 15. februarja 2024

o praktičnih in operativnih ureditvah za delovanje sistema za izmenjavo informacij v skladu z Uredbo (EU) 2022/2065 Evropskega parlamenta in Sveta (Akt o digitalnih storitvah)

EVROPSKA KOMISIJA JE –

ob upoštevanju Pogodbe o delovanju Evropske unije,

ob upoštevanju Uredbe (EU) 2022/2065 Evropskega parlamenta in Sveta z dne 19. oktobra 2022 o enotnem trgu digitalnih storitev in spremembi Direktive 2000/31/ES (Akt o digitalnih storitvah) (1) in zlasti člena 85 Uredbe,

po posvetovanju z Odborom za digitalne storitve v skladu s členom 88 Uredbe (EU) 2022/2065,

ob upoštevanju naslednjega:

(1)

Namen Uredbe (EU) 2022/2065 je uporabnikom zagotoviti varen digitalni prostor ob hkratnem spoštovanju temeljnih pravic. To si prizadeva doseči z naložitvijo obveznosti ponudnikom posredniških storitev, da preprečijo širjenje nezakonitih spletnih vsebin, in z zakonsko ureditvijo politik moderiranja vsebin, ki jih v zvezi s svojimi storitvami izvajajo navedeni ponudniki. Za učinkovit nadzor, preiskave, izvrševanje in spremljanje izpolnjevanja navedenih obveznosti s strani teh ponudnikov sta potrebna sodelovanje med državami članicami in s Komisijo ter nemotena izmenjava informacij med državami članicami in s Komisijo.

(2)

V ta namen člen 85 Uredbe (EU) 2022/2065 od Komisije zahteva, da vzpostavi in vzdržuje zanesljiv, varen in interoperabilen sistem za izmenjavo informacij (v nadaljnjem besedilu: sistem AGORA), ki podpira komunikacijo med koordinatorji digitalnih storitev, Komisijo in Evropskim odborom za digitalne storitve (v nadaljnjem besedilu: Odbor). Drugim pristojnim organom se lahko dostop do sistema AGORA odobri, kadar je to potrebno za opravljanje nalog, ki so jim dodeljene v skladu z Uredbo (EU) 2022/2065. Koordinatorji digitalnih storitev, Komisija in Odbor morajo sistem AGORA uporabljati za vso komunikacijo na podlagi Uredbe (EU) 2022/2065.

(3)

Sistem AGORA je prek interneta dostopna programska aplikacija, ki jo bo razvila Komisija. Zagotavlja mehanizem za komunikacijo, da se olajšata čezmejna izmenjava informacij in medsebojna pomoč med koordinatorji digitalnih storitev, Komisijo in Odborom v skladu z Uredbo (EU) 2022/2065. Natančneje, sistem AGORA bi moral podpirati koordinatorje digitalnih storitev, Komisijo in Odbor pri upravljanju izmenjave informacij v zvezi z nadzorom, preiskavami, izvrševanjem in spremljanjem na podlagi Uredbe (EU) 2022/2065 z uporabo enostavnih in enotnih postopkov.

(4)

Ta uredba določa praktične in operativne ureditve za vzpostavitev, vzdrževanje in delovanje sistema AGORA za namene nadzora, preiskav, izvrševanja in spremljanja na podlagi Uredbe (EU) 2022/2065, ki lahko med drugim zajemajo izmenjavo informacij med dvema stranema, postopke obveščanja, mehanizme opozarjanja ter dogovore o medsebojni pomoči in reševanje težav med koordinatorji digitalnih storitev, Komisijo, Odborom in drugimi pristojnimi organi, ki jim je bil odobren dostop do sistema AGORA v skladu z Uredbo (EU) 2022/2065 (v nadaljnjem besedilu: udeleženci v sistemu AGORA).

(5)

Zaradi čezmejnega in medsektorskega pomena posredniških storitev je potrebna visoka raven usklajevanja in sodelovanja med različnimi zadevnimi udeleženci, da se zagotovijo dosleden nadzor, preiskave, izvrševanje in spremljanje na podlagi Uredbe (EU) 2022/2065 ter razpoložljivost ustreznih informacij prek sistema AGORA za ta namen.

(6)

Da bi premagali jezikovne ovire, bi moral biti sistem AGORA na voljo v vseh uradnih jezikih Unije. Zato bi moral sistem AGORA ponujati orodja za popolnoma avtomatizirano strojno prevajanje, ki so trenutno na voljo Komisiji za prevajanje dokumentov in sporočil, ki se izmenjujejo prek njega. Komisija bi morala taka orodja zagotoviti fizičnim osebam, ki delajo pod nadzorom koordinatorjev digitalnih storitev, Komisije, Odbora ali drugih pristojnih organov, ki jim je bil odobren dostop do sistema AGORA (v nadaljnjem besedilu: uporabnik sistema AGORA), ter uporabnikom sistema AGORA, ki so jih koordinatorji digitalnih storitev, Komisija in Odbor imenovali za skrbnike (v nadaljnjem besedilu: skrbniki sistema AGORA). Orodja za samodejno strojno prevajanje bi morala biti združljiva z zahtevami glede varnosti in zaupnosti za izmenjavo informacij v sistemu AGORA.

(7)

Koordinatorji digitalnih storitev, Komisija in Odbor bodo morda morali za izpolnjevanje svojih nalog v skladu z Uredbo (EU) 2022/2065 izmenjevati informacije, ki lahko vključujejo osebne podatke. Vsaka taka izmenjava informacij bi morala biti v skladu s pravili o varstvu osebnih podatkov iz uredb (EU) 2016/679 (2) in (EU) 2018/1725 Evropskega parlamenta in Sveta (3). Zato izmenjava osebnih podatkov, potrebna za izpolnjevanje obveznosti in nalog iz Uredbe (EU) 2022/2065, spada na področje zakonite obdelave podatkov v skladu s členom 5, točka (a), Uredbe (EU) 2018/1725 ter členom 6(1), točka (e), Uredbe (EU) 2016/679.

(8)

Sistem AGORA bi moral biti orodje, ki se uporablja za izmenjavo informacij, po potrebi vključno z osebnimi podatki, ki bi sicer potekala z drugimi sredstvi, tudi po običajni ali elektronski pošti, in sicer na podlagi pravne obveznosti, naložene koordinatorjem digitalnih storitev, Komisiji, Odboru in drugim pristojnim organom, ki jim je bil odobren dostop do sistema AGORA v skladu z Uredbo (EU) 2022/2065. Osebni podatki, izmenjani prek sistema AGORA, bi se morali obdelovati le za namene nadzora, preiskav, izvrševanja in spremljanja na podlagi Uredbe (EU) 2022/2065. Kadar se osebni podatki obdelujejo v okviru delovanja sistema AGORA za namene izmenjave informacij, zahteve zanje in dostopa do njih, odgovorov na zahteve za informacije, napotitev ter zahteve za ukrepanje in podporo, bi morali biti koordinatorji digitalnih storitev ločeni upravljavci v smislu Uredbe (EU) 2016/679 za dejavnosti obdelave, ki jih izvajajo.

(9)

Vsak koordinator digitalnih storitev se lahko tudi odloči, da bo sistem AGORA uporabil za lastne dejavnosti obravnave zadev, ki jih izvaja za nadzor, preiskave, izvrševanje in spremljanje na podlagi Uredbe (EU) 2022/2065. Kadar se osebni podatki v sistemu AGORA ne smejo izmenjevati za namene izmenjave informacij, zahteve zanje in dostopa do njih, odgovorov na zahteve za informacije, napotitev ter zahteve za ukrepanje in podporo, bi moral biti vsak koordinator digitalnih storitev in po potrebi drugi pristojni organi, ki jim je bil odobren dostop do sistema AGORA, edini upravljavec v smislu Uredbe (EU) 2016/679 in Uredbe (EU) 2018/1725 v zvezi z dejavnostmi obdelave podatkov, ki se izvajajo prek sistema AGORA.

(10)

Prenos, shranjevanje in druga obdelava osebnih podatkov fizičnih oseb bi morali v sistemu AGORA potekati za podporo komunikaciji med udeleženci v sistemu AGORA, da bi izvajali dejavnosti obravnave zadev, povezane z nadzorom, preiskavami, izvrševanjem in spremljanjem na podlagi Uredbe (EU) 2022/2065.

(11)

Osebne podatke bi bilo treba v sistemu AGORA obdelovati le toliko, kolikor je nujno potrebno za nadzor, preiskave, izvrševanje in spremljanje na podlagi Uredbe (EU) 2022/2065. V sistemu AGORA bi bilo treba obdelovati osebne podatke, kot so identifikacijski podatki (npr. ime, vzdevek, privzeto ime, datum rojstva, kraj rojstva, državljanstvo, identifikacijski dokumenti in po potrebi druge lastnosti, ki bi bile lahko v pomoč pri identifikaciji), kontaktne podatke (npr. službeni in domači naslov, elektronski naslov in telefon), podatke o povezanosti z zadevo (npr. položaj in funkcija fizične osebe v podjetju, druge vloge, kot so osumljenec, žrtev, žvižgač, obveščevalec in priča), podatke v zvezi z zadevo (npr. dokumenti, slike, videoposnetki, glasovni posnetki, izjave, mnenja in zapisi) in vse druge informacije, ki se štejejo za potrebne za izpolnitev zahtev iz Uredbe (EU) 2022/2065.

(12)

Sistem AGORA bi bilo treba v skladu z načeloma vgrajenega in privzetega varstva podatkov razviti in zasnovati ob ustreznem upoštevanju zahtev iz zakonodaje o varstvu podatkov, zlasti zaradi omejitev glede dostopa do osebnih podatkov, ki se izmenjujejo v sistemu AGORA. Zato bi morala biti raven varstva in varnosti sistema AGORA bistveno višja kot pri drugih načinih izmenjave informacij, kot so telefon, običajna pošta ali elektronska pošta.

(13)	Komisija bi morala priskrbeti in upravljati programsko opremo in infrastrukturo IT za sistem AGORA, zagotavljati njuno zanesljivost, varnost, razpoložljivost, vzdrževanje in delovanje ter biti vključena v usposabljanje in tehnično pomoč, ki sta na voljo skrbnikom in uporabnikom sistema AGORA.

(14)

Pristojnost držav članic za odločanje, kateri nacionalni organi izvajajo obveznosti iz te uredbe, bi bilo treba izvajati v skladu s členoma 49 in 62 Uredbe (EU) 2022/2065. Države članice bi morale imeti možnost, da prilagodijo funkcije in odgovornosti v zvezi s sistemom AGORA, da bi odražale njihove notranje upravne strukture, ter da v sistem AGORA vključijo določeno vrsto dela ali vrstni red faz v določenem delovnem procesu.

(15)

Vsak koordinator digitalnih storitev bi moral v svoji državi članici imenovati vsaj enega skrbnika sistema AGORA za vprašanja v zvezi s tem sistemom in o njem uradno obvestiti Komisijo. Vsak koordinator digitalnih storitev bi moral biti tudi odgovoren, da imenuje skrbnike sistema AGORA v svojih pristojnih organih, ki jim je bil odobren dostop do sistema AGORA v skladu z Uredbo (EU) 2022/2065. Vsak skrbnik sistema AGORA bi moral za svoje uporabnike sistema AGORA registrirati dostop do tega sistema, ga odobriti in preklicati. Da bi prek sistema AGORA dosegli učinkovito sodelovanje pri nadzoru, preiskavah, izvrševanju in spremljanju storitev s področja uporabe Uredbe (EU) 2022/2065, bi morale države članice svojim skrbnikom in uporabnikom sistema AGORA zagotoviti potrebne vire za izpolnjevanje njihovih obveznosti v skladu s členom 50(1) Uredbe (EU) 2022/2065.

(16)

Informacijam, ki jih je koordinator digitalnih storitev, Komisija, Odbor ali drug pristojni organ, ki mu je bil odobren dostop do sistema AGORA, prek sistema AGORA prejel od drugega koordinatorja digitalnih storitev, Komisije, Odbora ali drugega takega pristojnega organa, ne bi smela biti odvzeta dokazna vrednost v kazenskih, civilnih ali upravnih postopkih v skladu z ustrezno zakonodajo EU in nacionalno zakonodajo zgolj zato, ker izvirajo iz druge države članice ali so bile prejete z elektronskimi sredstvi, in bi jih moral zadevni udeleženec v sistemu AGORA obravnavati enako kot podobne dokumente, ki izvirajo iz njegove države članice.

(17)

Obstajati bi morala možnost obdelave imena in kontaktnih podatkov skrbnikov in uporabnikov sistema AGORA, ki so potrebni za izpolnitev ciljev Uredbe (EU) 2022/2065 in te uredbe, vključno s spremljanjem uporabe sistema AGORA s strani skrbnikov in uporabnikov tega sistema, pobudami za komuniciranje, usposabljanje in ozaveščanje ter zbiranjem informacij v zvezi z nadzorom, preiskavami, izvrševanjem in spremljanjem storitev s področja uporabe Uredbe (EU) 2022/2065 ali medsebojno pomočjo pri tem.

(18)	Za zagotovitev učinkovitega spremljanja delovanja sistema AGORA in poročanja o tem bi morali koordinatorji digitalnih storitev, Odbor in drugi pristojni organi, ki jim je bil odobren dostop do sistema AGORA, Komisiji dati na voljo ustrezne informacije.

(19)

Posamezniki, na katere se nanašajo osebni podatki, bi morali biti obveščeni o obdelavi njihovih osebnih podatkov v sistemu AGORA in pravicah, ki jih imajo v skladu z Uredbo (EU) 2016/679 in Uredbo (EU) 2018/1725, zlasti o pravici do dostopa do podatkov, ki se nanje nanašajo, ter pravici, da zahtevajo popravek netočnih podatkov in izbris nezakonito obdelanih podatkov.

(20)

Vsak udeleženec v sistemu AGORA kot upravljavec za dejavnosti obdelave podatkov, ki jih izvaja v zvezi z nadzorom, preiskavami, izvrševanjem in spremljanjem storitev s področja uporabe Uredbe (EU) 2022/2065, bi moral zagotoviti, da lahko posamezniki, na katere se nanašajo osebni podatki, uveljavljajo svoje pravice v skladu z Uredbo (EU) 2016/679 in Uredbo (EU) 2018/1725. To bi moralo vključevati vzpostavitev postopka rednega preizkušanja, ocenjevanja in vrednotenja učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnostni obdelave.

(21)

Izvajanje te uredbe in učinkovitosti sistema AGORA bi bilo treba spremljati v poročilu o delovanju sistema AGORA na podlagi statističnih podatkov sistema AGORA in vseh drugih ustreznih podatkov. Komisija bi morala predložiti poročilo Evropskemu parlamentu, Svetu in Evropskemu nadzorniku za varstvo podatkov. Učinkovitost koordinatorjev digitalnih storitev, Odbora in drugih pristojnih organov, ki jim je bil odobren dostop do sistema AGORA, bi bilo treba med drugim ovrednotiti na podlagi povprečnega odzivnega časa, da bi se zagotovili učinkoviti in ustrezni odgovori. V tem poročilu bi bilo treba obravnavati tudi vidike, povezane z varstvom osebnih podatkov v sistemu AGORA, vključno z varnostjo podatkov.

(22)	V skladu s členom 42(1) Uredbe (EU) 2018/1725 je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je mnenje podal 4. januarja 2024 –

SPREJELA NASLEDNJO UREDBO:

POGLAVJE I

SPLOŠNE DOLOČBE

Člen 1

Predmet urejanja in področje uporabe

Ta uredba določa praktične in operativne ureditve za delovanje zanesljivega in varnega sistema za izmenjavo informacij (v nadaljnjem besedilu: sistem AGORA) za nadzor, preiskave, izvrševanje in spremljanje v skladu z Uredbo (EU) 2022/2065.

Člen 2

Sistem za izmenjavo informacij

1. Vzpostavi se sistem za izmenjavo informacij AGORA.

2. Sistem AGORA je prek interneta dostopna programska aplikacija in orodje, ki se uporablja za izmenjavo informacij, po potrebi vključno z osebnimi podatki, ki bi sicer potekala z drugimi sredstvi, tudi po običajni ali elektronski pošti.

3. Sistem AGORA se uporablja za izmenjavo informacij, vključno z izmenjavo informacij, ki vsebujejo osebne podatke, med koordinatorji digitalnih storitev, Komisijo in Evropskim odborom za digitalne storitve (v nadaljnjem besedilu: Odbor) ter z drugimi pristojnimi organi, ki jim je odobren dostop do sistema AGORA za opravljanje nalog, ki so jim bile dodeljene v skladu z Uredbo (EU) 2022/2065, v zvezi z nadzorom, preiskavami, izvrševanjem in spremljanjem na podlagi navedene uredbe.

Člen 3

Opredelitev pojmov

V tej uredbi se poleg opredelitev pojmov iz člena 3 in člena 49(1) Uredbe (EU) 2022/2065, člena 4 Uredbe (EU) 2016/679 ter člena 3 Uredbe (EU) 2018/1725 uporabljajo naslednje opredelitve pojmov:

(a)	„sistem AGORA“ pomeni sistem za izmenjavo informacij, ki ga vzpostavi in vzdržuje Komisija za podporo vsem komunikacijam v skladu z Uredbo (EU) 2022/2065 med udeleženci v sistemu AGORA za nadzor, preiskave, izvrševanje in spremljanje na podlagi Uredbe (EU) 2022/2065;

(b)	„udeleženec v sistemu AGORA“ pomeni koordinatorje digitalnih storitev, Komisijo, Odbor ali druge pristojne organe, ki jim je ali bi jim lahko bil odobren dostop do sistema AGORA, kadar je to potrebno za opravljanje nalog, ki so jim bile dodeljene v skladu z Uredbo (EU) 2022/2065;

(c)	„uporabnik sistema AGORA“ pomeni fizično osebo, ki dela pod nadzorom udeleženca v sistemu AGORA in je kot taka registrirana v sistemu AGORA za opravljanje nalog, ki so bile udeležencu v sistemu AGORA dodeljene z Uredbo (EU) 2022/2065;

(d)	„skrbnik sistema AGORA“ pomeni uporabnika sistema AGORA, ki ga je udeleženec v sistemu AGORA imenoval, da zanj upravlja sistem AGORA.

POGLAVJE II

FUNKCIJE IN ODGOVORNOSTI V ZVEZI S SISTEMOM AGORA

Člen 4

Odgovornosti Komisije

1. Komisija je odgovorna za izvajanje naslednjih nalog v zvezi s sistemom AGORA:

(a)	zagotavljanje sistema AGORA v vseh uradnih jezikih Unije in vzdrževanje tega sistema;

(b)	zagotavljanje zanesljivosti, varnosti, razpoložljivosti, vzdrževanja in razvoja programske opreme in infrastrukture IT sistema AGORA;

(c)	zagotavljanje orodij za samodejno strojno prevajanje dokumentov in sporočil, ki se izmenjujejo prek sistema AGORA;

(d)	zagotavljanje podpore drugim udeležencem v sistemu AGORA v zvezi z uporabo tega sistema;

(e)	registracijo vsaj enega skrbnika sistema AGORA v imenu vsakega koordinatorja digitalnih storitev in Odbora ter odobritev njegovega dostopa do tega sistema;

(f)	imenovanje vsaj enega skrbnika sistema AGORA;

(g)	izvajanje dejanj obdelave osebnih podatkov v sistemu AGORA, kadar je tako določeno v tej uredbi, za nadzor, preiskave, izvrševanje in spremljanje na podlagi Uredbe (EU) 2022/2065;

(h)	revidiranje, spremljanje in pripravo poročil, potrebnih za revizijo in spremljanje sistema AGORA v skladu z Uredbo (EU) 2022/2065;

(i)	zagotavljanje znanja, usposabljanja in podpore, vključno s tehnično pomočjo, skrbnikom sistema AGORA;

(j)	spremljanje učinkovitosti vseh drugih udeležencev v sistemu AGORA v skladu s členom 15 te uredbe.

2. Za pomoč Komisiji pri izvajanju nalog iz odstavka 1 ji drugi udeleženci v sistemu AGORA zagotovijo informacije o dejanjih, ki jih izvajajo v sistemu AGORA.

Člen 5

Obdelava osebnih podatkov s strani Komisije

1. Komisija je obdelovalec v smislu člena 3, točka 12, Uredbe (EU) 2018/1725 za obdelavo osebnih podatkov pri registraciji skrbnikov sistema AGORA.

2. Komisija je ločen upravljavec v smislu člena 3, točka 8, Uredbe (EU) 2018/1725 za obdelavo osebnih podatkov svojih skrbnikov in uporabnikov sistema AGORA.

3. Kadar Komisija obdeluje osebne podatke v okviru delovanja sistema AGORA za namene izmenjave informacij, zahteve zanje in dostopa do njih ter zahteve za ukrepanje in podporo, se v okviru dejavnosti obdelave osebnih podatkov, ki jih izvaja, šteje za upravljavca v smislu člena 3, točka 8, Uredbe (EU) 2018/1725, ki je ločen od drugih udeležencev v sistemu AGORA.

4. Kadar Komisija obdeluje osebne podatke v okviru delovanja sistema AGORA v imenu drugih udeležencev v sistemu AGORA za namene izmenjave informacij, zahteve zanje in dostopa do njih ter zahteve za ukrepanje in podporo, se šteje za obdelovalca v smislu člena 3, točka 12, Uredbe (EU) 2018/1725.

5. Za namene te uredbe se odgovornosti Komisije kot obdelovalca za dejavnosti obdelave podatkov, ki jih v sistemu AGORA izvajajo ti drugi udeleženci v sistemu AGORA, opredelijo v skladu s Prilogo II.

Člen 6

Odgovornosti koordinatorjev digitalnih storitev

1. Vsak koordinator digitalnih storitev za svojo državo članico imenuje vsaj enega skrbnika sistema AGORA.

2. Vsak koordinator digitalnih storitev je odgovoren za zagotavljanje, da imajo v okviru opravljanja nalog, ki so mu bile dodeljene v skladu z Uredbo (EU) 2022/2065, dostop do sistema AGORA le pooblaščeni uporabniki sistema AGORA.

3. Vsak koordinator digitalnih storitev Komisijo nemudoma obvesti o skrbniku sistema AGORA, ki ga je imenoval v skladu z odstavkom 1. Komisija te informacije deli z drugimi koordinatorji digitalnih storitev in Odborom.

4. Vsak koordinator digitalnih storitev zagotovi, da skrbnik sistema AGORA izpolnjuje odgovornosti v skladu s to uredbo.

5. Koordinatorji digitalnih storitev so ločeni upravljavci v smislu člena 4, točka 7, Uredbe (EU) 2016/679 za obdelavo osebnih podatkov, kadar registrirajo svoje uporabnike sistema AGORA in jim odobrijo dostop do tega sistema.

6. Kadar koordinatorji digitalnih storitev obdelujejo osebne podatke v okviru delovanja sistema AGORA za namene izmenjave informacij, zahteve zanje in dostopa do njih, odgovorov na zahteve za informacije, izvedbe napotitev ter zahteve za ukrepanje in podporo, so za dejavnostih obdelave, ki jih izvajajo, ločeni upravljavci v smislu Uredbe (EU) 2016/679.

7. Kadar drugi pristojni organi, ki jih imenujejo države članice v skladu s členom 49(1) Uredbe (EU) 2022/2065 in ki niso koordinator digitalnih storitev, obdelujejo osebne podatke v okviru delovanja sistema AGORA, so taki organi ločeni upravljavci v smislu Uredbe (EU) 2016/679.

Člen 7

Odgovornosti Odbora

1. Odbor imenuje enega skrbnika sistema AGORA. Skrbnik sistema AGORA je vključen v upravno in analitično podporo, ki se Odboru zagotavlja v skladu s členom 62(4) Uredbe (EU) 2022/2065.

2. Odbor je odgovoren za zagotavljanje, da imajo dostop do sistema AGORA le pooblaščeni uporabniki tega sistema.

3. Odbor Komisijo nemudoma obvesti o identiteti svojega skrbnika sistema AGORA, imenovanega v skladu z odstavkom 1, in o nalogah, za katere je odgovoren v skladu s členom 8 te uredbe. Komisija te informacije deli s koordinatorji digitalnih storitev.

Člen 8

Odgovornosti skrbnikov sistema AGORA

Skrbniki sistema AGORA so odgovorni za:

(a)	registracijo uporabnikov sistema AGORA ter odobritev in preklic dostopa do sistema AGORA;

(b)	delovanje kot glavna kontaktna točka za Komisijo za vprašanja v zvezi s sistemom AGORA, vključno z zagotavljanjem informacij o vidikih varstva osebnih podatkov v skladu s to uredbo, Uredbo (EU) 2016/679 in Uredbo (EU) 2018/1725;

(c)	zagotavljanje znanja, usposabljanja in podpore, vključno s tehnično pomočjo in službo za pomoč uporabnikom, uporabnikom sistema AGORA, ki so jih registrirali;

(d)	zagotavljanje učinkovitega ustreznega odziva udeležencev v sistemu AGORA.

Člen 9

Pravice do dostopa udeležencev v sistemu AGORA

1. Udeleženci v sistemu AGORA skrbnikom sistema AGORA, za katere so odgovorni, podelijo in pravice do dostopa in jih prekličejo.

2. Dostop do sistema AGORA imajo le pooblaščeni skrbniki sistema AGORA in pooblaščeni uporabniki sistema AGORA.

3. Udeleženci v sistemu AGORA vzpostavijo ustrezna sredstva za zagotovitev, da je skrbnikom in uporabnikom sistema AGORA dovoljeno dostopati do osebnih podatkov, obdelanih v sistemu AGORA, le kadar je to nujno potrebno za nadzor, preiskave, izvrševanje in spremljanje na podlagi Uredbe (EU) 2022/2065.

4. Kadar postopek v zvezi z nadzorom, preiskavami, izvrševanjem in spremljanjem na podlagi Uredbe (EU) 2022/2065 vključuje obdelavo osebnih podatkov, imajo dostop do takih osebnih podatkov le skrbniki in uporabniki sistema AGORA, ki sodelujejo v tem postopku.

Člen 10

Zaupnost

1. Vsaka država članica in Komisija za svoje skrbnike in uporabnike sistema AGORA uporabljata svoja pravila o poslovni skrivnosti ali druge enakovredne obveze zaupnosti v skladu z nacionalnim pravom ali pravom Unije

2. Vsak udeleženec v sistemu AGORA zagotovi, da skrbniki in uporabniki sistema AGORA, ki delajo pod njegovim nadzorom, upoštevajo zahteve drugih udeležencev v sistemu AGORA za zaupno obravnavo informacij, izmenjanih v sistemu AGORA.

POGLAVJE III

OBDELAVA OSEBNIH PODATKOV IN VARNOST

Člen 11

Obdelava osebnih podatkov v sistemu AGORA

1. Prenos, shranjevanje in druga obdelava osebnih podatkov v sistemu AGORA se lahko izvajajo le, če je to potrebno in sorazmerno in le za naslednje namene:

(a)	podpiranje komunikacije med udeleženci v sistemu AGORA v zvezi z nadzorom, preiskavami, izvrševanjem in spremljanjem na podlagi Uredbe (EU) 2022/2065;

(b)	obravnavanje zadev s strani udeležencev v sistemu AGORA, ko ti izvajajo lastne dejavnosti v zvezi z nadzorom, preiskavami, izvrševanjem in spremljanjem na podlagi Uredbe (EU) 2022/2065;

(c)	izvajanje poslovnega in tehničnega preoblikovanja podatkov, navedenih v tej uredbi, kadar je to potrebno, da se omogoči izmenjava informacij iz točk (a) in (b).

2. Obdelava osebnih podatkov se lahko v sistemu AGORA izvaja le za naslednje kategorije posameznikov, na katere se nanašajo osebni podatki:

(a)	fizične osebe, katerih osebni podatki so v dokumentih, pridobljenih v zvezi z nadzorom, preiskavami, izvrševanjem in spremljanjem na podlagi Uredbe (EU) 2022/2065;

(b)	skrbnike in uporabnike sistema AGORA, ki jim je bil odobren dostop do tega sistema.

3. Obdelava osebnih podatkov se lahko v sistemu AGORA izvaja le za naslednje kategorije osebnih podatkov:

(a)	identifikacijske podatke, kontaktne podatke, podatke o povezanosti z zadevo, podatke v zvezi z zadevo in vse druge informacije, ki se štejejo za potrebne za nadzor, preiskave, izvrševanje in spremljanje na podlagi Uredbe (EU) 2022/2065;

(b)	ime, naslov, kontaktne podatke, kontaktno številko ter uporabniško identifikacijsko oznako skrbnikov in uporabnikov sistema AGORA iz odstavka 2, točka (b).

4. V sistemu AGORA se hranijo kategorije osebnih podatkov iz člena 11(3) te uredbe in dnevniki, v katerih so navedene informacije o toku in premikih izmenjanih podatkov, ki se izvajajo za nadzor, preiskave, izvrševanje in spremljanje na podlagi Uredbe (EU) 2022/2065.

5. Podatki iz odstavka 2 se shranjujejo z uporabo infrastrukture informacijske tehnologije, ki se nahaja v Evropskem gospodarskem prostoru.

6. Vsak udeleženec v sistemu AGORA zagotovi, da lahko posamezniki, na katere se nanašajo osebni podatki, uveljavljajo svoje pravice v skladu z Uredbo (EU) 2016/679 in Uredbo (EU) 2018/1725, in je odgovoren za to, da so dejavnosti obdelave osebnih podatkov, ki se izvajajo v njegovem imenu, skladne s tema uredbama.

7. Nacionalni nadzorni organi in Evropski nadzornik za varstvo podatkov v okviru svojih pristojnosti zagotovijo usklajen nadzor nad sistemom AGORA in njegovo uporabo s strani skrbnikov in uporabnikov sistema AGORA.

Člen 12

Skupno upravljanje v sistemu AGORA

1. Koordinatorji digitalnih storitev so skupni upravljavci v skladu s členom 26(1) Uredbe (EU) 2016/679 za prenos, shranjevanje in drugo obdelavo osebnih podatkov v sistemu AGORA za dejavnosti Odbora, ki se izvajajo v okviru nadzora, preiskav, izvrševanja in spremljanja na podlagi Uredbe (EU) 2022/2065.

2. Kadar se skupne preiskave v skladu s členom 60 Uredbe (EU) 2022/2065 izvajajo v okviru nadzora, preiskav, izvrševanja in spremljanja na podlagi Uredbe (EU) 2022/2065, so zadevni koordinatorji digitalnih storitev skupni upravljavci v smislu člena 26(1) Uredbe (EU) 2016/679 za prenos, shranjevanje in drugo obdelavo osebnih podatkov v sistemu AGORA v okviru določene skupne preiskave.

3. Za namene odstavkov 1 in 2 se odgovornosti dodelijo skupnim upravljavcem v skladu s Prilogo I.

4. Komisija je obdelovalec v smislu člena 3, točka 12, Uredbe (EU) 2018/1725 za obdelavo osebnih podatkov, ki se izvaja v imenu koordinatorjev digitalnih storitev za dejavnosti Odbora, in za skupne preiskave v skladu s členom 60 Uredbe (EU) 2022/2065, ki se izvajajo v okviru nadzora, preiskav, izvrševanja in spremljanja na podlagi Uredbe (EU) 2022/2065.

Člen 13

Varnost

1. Komisija uvede najsodobnejše ukrepe, ki so potrebni za zagotovitev varnosti osebnih podatkov, obdelanih v sistemu AGORA, vključno z ustreznim nadzorom dostopa do podatkov in varnostnim načrtom, ki se redno posodablja.

2. Komisija uvede najsodobnejše ukrepe, potrebne v primeru varnostnega incidenta, sprejme popravne ukrepe in zagotovi, da je mogoče preveriti, kateri osebni podatki so bili obdelani v sistemu AGORA, kdaj so bili obdelani ter kdo jih je obdelal in za kakšen namen.

POGLAVJE IV

KONČNE DOLOČBE

Člen 14

Prevajanje

1. Komisija zagotovi razpoložljivost sistema AGORA v vseh uradnih jezikih Unije in uporabnikom sistema AGORA ponudi orodja za avtomatizirano strojno prevajanje dokumentov in sporočil, ki se izmenjujejo v sistemu AGORA.

2. Koordinator digitalnih storitev ali kateri koli drugi pristojni organ, ki mu je odobren dostop do sistema AGORA, lahko za opravljanje vseh nalog, ki so mu bile dodeljene v skladu z Uredbo (EU) 2022/2065, predloži vse informacije, dokumente, ugotovitve, izjave ali overjeno verodostojno kopijo, ki jo je prejel v sistemu AGORA, na enaki podlagi kot podobne informacije, pridobljene v njegovi državi, za namene, ki so združljivi s tistimi, za katere so bili podatki prvotno zbrani, ter v skladu z ustrezno zakonodajo EU in nacionalno zakonodajo.

Člen 15

Spremljanje in poročanje

1. Komisija redno spremlja delovanje sistema AGORA in redno vrednoti njegovo učinkovitost.

2. Komisija najpozneje do 17. februarja 2027 in nato vsaka tri leta Evropskemu parlamentu, Svetu in Evropskemu nadzorniku za varstvo podatkov predloži poročilo o izvajanju te uredbe. Poročilo vključuje informacije o spremljanju in vrednotenju, opravljenima v skladu z odstavkom 1, ter o učinkovitosti udeležencev v sistemu AGORA v zvezi s tem sistemom, da se zagotovijo učinkovita izmenjava informacij in ustrezni odgovori. V poročilu so obravnavani tudi vidiki izvajanja, povezani z varstvom osebnih podatkov v sistemu AGORA, vključno z varnostjo podatkov.

3. Za namene priprave poročila iz odstavka 2 koordinatorji digitalnih storitev, Odbor in drugi pristojni organi, ki jim je odobren dostop, kadar je to potrebno za opravljanje nalog, ki so jim bile dodeljene v skladu z Uredbo (EU) 2022/2065, Komisiji vsako leto v obliki poročil predložijo vse informacije, pomembne za uporabo te uredbe, vključno z uporabo zahtev glede varstva in varnosti podatkov, določenih v njej.

Člen 16

Stroški

1. Stroški vzpostavitve, vzdrževanja in delovanja sistema AGORA se krijejo z letnimi pristojbinami za nadzor, ki jih Komisija pobere v skladu s členom 43(2) Uredbe (EU) 2022/2065 in Delegirano uredbo Komisije (EU) 2023/1127 (4).

2. Stroške delovanja sistema AGORA na ravni držav članic, vključno s človeškimi viri, potrebnimi za usposabljanje, promocijo, tehnično pomoč in dejavnosti službe za pomoč uporabnikom, pa tudi stroške upravljanja sistema AGORA na nacionalni ravni in vseh potrebnih prilagoditev nacionalnih omrežij in informacijskih sistemov krije država članica, v kateri nastanejo.

Člen 17

Učinkovita uporaba

Države članice sprejmejo vse potrebne ukrepe za zagotovitev učinkovite uporabe te uredbe s strani svojih udeležencev v sistemu AGORA.

Člen 18

Začetek veljavnosti

Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.

Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.

V Bruslju, 15. februarja 2024

Za Komisijo

predsednica

Ursula VON DER LEYEN

(1) UL L 277, 27.10.2022, str. 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj.

(2) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (UL L 119, 4.5.2016, str. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3) Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(4) Delegirana uredba Komisije (EU) 2023/1127 z dne 2. marca 2023 o dopolnitvi Uredbe (EU) 2022/2065 Evropskega parlamenta in Sveta s podrobnimi metodologijami in postopki v zvezi s pristojbinami za nadzor, ki jih Komisija zaračunava ponudnikom zelo velikih spletnih platform in zelo velikih spletnih iskalnikov (UL L 149, 2.3.2023, str. 16, ELI: http://data.europa.eu/eli/reg_del/2023/1127/oj).

PRILOGA I

Odgovornosti koordinatorjev digitalnih storitev kot skupnih upravljavcev za dejavnosti obdelave podatkov, ki se izvajajo v sistemu AGORA za skupne preiskave in za dejavnosti Odbora

ODDELEK 1

Pododdelek 1

Področje uporabe dogovora o skupnem upravljanju

(1)

Za zadevne koordinatorje digitalnih storitev se pri izvajanju skupnih preiskav v skladu s členom 60 Uredbe (EU) 2022/2065 uporablja naslednji dogovor o skupnem upravljanju.

(2)

Naslednji dogovor o skupnem upravljanju se uporablja za koordinatorje digitalnih storitev kot člane Odbora za dejavnosti obdelave osebnih podatkov, ki jih izvaja Odbor v skladu z Uredbo (EU) 2022/2065 v okviru nadzora, preiskav, izvrševanja in spremljanja storitev s področja uporabe Uredbe (EU) 2022/2065.

Pododdelek 2

Dodelitev odgovornosti

(1)

Skupni upravljavci osebne podatke obdelujejo prek sistema AGORA.

(2)

Koordinatorji digitalnih storitev ostajajo edini upravljavci za zbiranje, uporabo, razkritje in kakršno koli drugo obdelavo osebnih podatkov, ki se izvaja zunaj sistema AGORA. Koordinatorji digitalnih storitev ostajajo tudi edini upravljavci za dejavnosti obdelave osebnih podatkov, ki jih izvajajo v sistemu AGORA za nadzor, preiskave, izvrševanje in spremljanje storitev s področja uporabe Uredbe (EU) 2022/2065.

(3)

Vsak skupni upravljavec je odgovoren za obdelavo osebnih podatkov v sistemu AGORA v skladu s členi 5, 24 in 26 Uredbe (EU) 2016/679.

(4)

Vsak skupni upravljavec vzpostavi kontaktno točko z namenskim poštnim predalom za komunikacijo med skupnimi upravljavci ter med skupnimi upravljavci in obdelovalcem.

(5)

Vsak skupni upravljavec na zahtevo zagotovi drugim skupnim upravljavcem hitro in učinkovito pomoč pri izvajanju tega dogovora, pri čemer izpolnjuje vse veljavne zahteve iz Uredbe (EU) 2016/679 in druga veljavna pravila o varstvu podatkov, vključno z obveznostmi do svojega zadevnega nadzornega organa.

(6)

Skupni upravljavci določijo načine dela, po katerih poteka obdelava osebnih podatkov prek sistema AGORA, in predložijo dogovorjena navodila Komisiji kot obdelovalcu.

(7)

Navodila obdelovalcu pošlje katera koli od kontaktnih točk skupnih upravljavcev v dogovoru z drugimi skupnimi upravljavci. Skupni upravljavec, ki daje navodila, jih pisno posreduje obdelovalcu in o tem obvesti vse druge skupne upravljavce. Če je obravnavana zadeva tako nujna, da ni možen sestanek skupnih upravljavcev, je kljub temu mogoče dati navodilo, ki pa ga lahko skupni upravljavci prekličejo. To navodilo se da v pisni obliki, ob zagotovitvi navodila pa so o tem obveščeni vsi drugi skupni upravljavci.

(8)

Načini dela med skupnimi upravljavci ne izključujejo individualne pristojnosti katerih koli skupnih upravljavcev, da obvestijo svoj pristojni nadzorni organ v skladu s členoma 24 in 33 Uredbe (EU) 2016/679. Za tako uradno obvestilo ni potrebna privolitev drugih skupnih upravljavcev.

(9)

Načini dela med skupnimi upravljavci nobenemu skupnemu upravljavcu ne preprečujejo, da sodeluje s svojim ustreznim pristojnim nadzornim organom, ustanovljenim na podlagi Uredbe (EU) 2016/679 in Uredbe (EU) 2018/1725.

(10)

Dostop do izmenjanih osebnih podatkov imajo samo osebe, ki jih pooblasti vsak skupni upravljavec.

(11)

Vsak skupni upravljavec vodi evidenco dejavnosti obdelave, za katere je odgovoren. V taki evidenci se navede skupno upravljanje.

Pododdelek 3

Odgovornosti in vloge pri obravnavanju zahtev in obveščanju posameznikov, na katere se nanašajo osebni podatki

(1)

Vsak upravljavec fizičnim osebam, katerih podatki se obdelujejo za namene skupnih preiskav in dejavnosti Odbora, ki se izvajajo v okviru nadzora, preiskav, izvrševanja in spremljanja storitev s področja uporabe Uredbe (EU) 2022/2065, zagotovi informacije v skladu s členom 14 Uredbe (EU) 2016/679, razen če bi se to izkazalo za nemogoče ali bi vključevalo nesorazmeren napor.

(2)

Vsak upravljavec deluje kot kontaktna točka za fizične osebe, katerih osebne podatke je obdelal, in obravnava zahteve, ki jih posamezniki, na katere se nanašajo osebni podatki, ali njihovi predstavniki predložijo pri uveljavljanju svojih pravic v skladu z Uredbo (EU) 2016/679. Če skupni upravljavec prejme zahtevo posameznika, na katerega se nanašajo osebni podatki, ki se nanaša na obdelavo s strani drugega skupnega upravljavca, obvesti posameznika, na katerega se nanašajo osebni podatki, o identiteti in kontaktnih podatkih odgovornega skupnega upravljavca. Na zahtevo drugega skupnega upravljavca si skupni upravljavci medsebojno pomagajo pri obravnavi zahtev posameznikov, na katere se nanašajo osebni podatki, ter drug drugemu odgovarjajo brez nepotrebnega odlašanja in najpozneje v enem mesecu po prejemu zahteve za pomoč.

(3)

Vsak upravljavec da posameznikom, na katere se nanašajo osebni podatki, na voljo vsebino te priloge.

ODDELEK 2

Obvladovanje varnostnih incidentov, vključno s kršitvami varstva osebnih podatkov

(1)

Skupni upravljavci si medsebojno pomagajo pri ugotavljanju in obravnavi vseh morebitnih varnostnih incidentov, vključno s kršitvami varstva osebnih podatkov, povezanih z obdelavo v sistemu AGORA.

(2)

Skupni upravljavci se zlasti medsebojno obvestijo o:

(a)	vseh morebitnih ali dejanskih tveganjih glede razpoložljivosti, zaupnosti in/ali celovitosti osebnih podatkov, ki se obdelujejo v sistemu AGORA;

(b)	vseh kršitvah varstva osebnih podatkov, verjetnih posledicah kršitve varstva osebnih podatkov in oceni tveganja za pravice in svoboščine fizičnih oseb ter kakršnih koli ukrepih, sprejetih za odpravo kršitve varstva osebnih podatkov in zmanjšanje tveganja za pravice in svoboščine fizičnih oseb, ter

(c)	vseh kršitvah tehničnih in/ali organizacijskih zaščitnih ukrepov pri dejanjih obdelave v sistemu AGORA.

(3)

Skupni upravljavci Komisiji, pristojnim nadzornim organom za varstvo podatkov in, kadar se to zahteva, posameznikom, na katere se nanašajo osebni podatki, sporočijo vse kršitve varstva osebnih podatkov, povezane z dejanjem obdelave podatkov v sistemu AGORA, v skladu s členoma 33 in 34 Uredbe (EU) 2016/679 ali na podlagi obvestila Komisije.

(4)

Vsak upravljavec sprejme ustrezne tehnične in organizacijske ukrepe za:

(a)	zagotovitev in zaščito razpoložljivosti, celovitosti in zaupnosti osebnih podatkov, ki so predmet skupne obdelave;

(b)	zaščito pred kakršno koli nedovoljeno ali nezakonito obdelavo, izgubo, uporabo, razkritjem ali pridobitvijo osebnih podatkov, s katerimi razpolaga, in pred kakršnim koli nedovoljenim ali nezakonitim dostopom do njih, ter

(c)	zagotovitev, da se dostop do osebnih podatkov ne razkrije ali odobri nikomur razen prejemnikom ali obdelovalcu.

ODDELEK 3

Ocena učinka v zvezi z varstvom podatkov

Če upravljavec za izpolnjevanje svojih obveznosti na podlagi členov 35 in 36 Uredbe (EU) 2016/679 potrebuje informacije od drugega upravljavca ali od obdelovalca, pošlje specifično zahtevo v namenski poštni predal iz pododdelka 2(4) oddelka 1. Slednji si po svojih najboljših močeh prizadeva zagotoviti vse take informacije.

PRILOGA II

Odgovornosti Komisije kot obdelovalca za dejavnosti obdelave podatkov, ki jih v sistemu AGORA izvajajo koordinatorji digitalnih storitev, drugi nacionalni organi in Odbor

(1)

Komisija:

(a)	v imenu koordinatorjev digitalnih storitev, drugih nacionalnih organov in Odbora vzpostavi in zagotovi varno in zanesljivo komunikacijsko infrastrukturo, tj. sistem AGORA, ki podpira izmenjavo informacij za usklajene preiskave, mehanizme za doslednost in dejavnosti Odbora, ter

(b)

obdeluje osebne podatke le na podlagi dokumentiranih navodil upravljavcev in skupnih upravljavcev, razen če to od nje zahteva pravo Unije ali pravo države članice; v slednjem primeru Komisija o navedeni pravni zahtevi pred obdelavo podatkov obvesti upravljavce in skupne upravljavce, razen če zadevno pravo prepoveduje predložitev takih informacij iz pomembnih razlogov v javnem interesu.

(2)

Da bi Komisija izpolnila svoje obveznosti obdelovalca za koordinatorje digitalnih storitev, druge nacionalne organe in Odbor, lahko uporabi tretje osebe kot podobdelovalce. V tem primeru upravljavci in skupni upravljavci Komisijo pooblastijo, da po potrebi uporabi podobdelovalce ali jih zamenja. Komisija obvesti upravljavce in podupravljavce o tej uporabi ali zamenjavi podobdelovalcev, s čimer upravljavcem in skupnim upravljavcem omogoči, da nasprotujejo kakršni koli taki spremembi. Komisija zagotovi, da se za te podobdelovalce uporabljajo enake obveznosti glede varstva podatkov, kot so določene v tej uredbi.

(3)

Obdelava s strani Komisije vključuje:

(a)	avtentikacijo in nadzor dostopa v zvezi z vsemi skrbniki in uporabniki sistema AGORA;

(b)	pooblastitev skrbnikov in uporabnikov sistema AGORA, da ustvarijo, posodabljajo in izbrišejo vse zapise in informacije v sistemu AGORA;

(c)	prejem osebnih podatkov iz člena 12(3) te uredbe, ki jih naložijo nacionalni uporabniki in skrbniki sistema AGORA, z zagotavljanjem vmesnika za aplikacijsko programiranje, ki nacionalnim uporabnikom in skrbnikom sistema AGORA omogoča nalaganje ustreznih podatkov;

(d)	shranjevanje osebnih podatkov v sistemu AGORA;

(e)	zagotavljanje razpoložljivosti osebnih podatkov, da lahko do njih dostopajo oziroma jih prenesejo skrbniki in uporabniki sistema AGORA, ter za vse druge potrebne dejavnosti obdelave podatkov;

(f)	izbris osebnih podatkov na datum izteka njihove veljavnosti ali po navodilu upravljavca, ki jih je predložil;

(g)	izbris vseh preostalih osebnih podatkov po koncu zagotavljanja storitve, razen če pravo Unije ali držav članic zahteva hrambo takih osebnih podatkov.

(4)

Komisija sprejme vse najsodobnejše organizacijske, fizične in logične varnostne ukrepe za zagotovitev delovanja sistema AGORA. V ta namen Komisija:

(a)	imenuje subjekt, odgovoren za upravljanje varnosti sistema AGORA, sporoči njegove kontaktne podatke skupnim upravljavcem in zagotovi njegovo razpoložljivost za odzivanje na varnostne grožnje;

(b)	prevzame odgovornost za varnost sistema AGORA, vključno z rednim izvajanjem preizkusov, vrednotenj in ocenjevanj varnostnih ukrepov;

(c)	zagotovi, da za skrbnike in uporabnike sistema AGORA, ki jim je odobren dostop do tega sistema, velja pogodbena, poklicna ali zakonska obveznost zaupnosti.

(5)

Komisija sprejme vse potrebne varnostne ukrepe, da prepreči ogrožanje nemotenega operativnega delovanja sistema AGORA. To vključuje:

(a)	postopke za oceno tveganja za ugotovitev in oceno morebitnih groženj sistemu AGORA;

(b)

postopek revizije in pregleda za:

—	preverjanje, ali izvedeni varnostni ukrepi ustrezajo veljavni varnostni politiki,

—	redno preverjanje celovitosti datotek, varnostnih parametrov in pravic za dostop v sistemu AGORA,

—	odkrivanje varnostnih kršitev v sistemu AGORA in vdorov vanj,

—	uvedbo sprememb za zmanjšanje obstoječih varnostnih pomanjkljivosti v sistemu AGORA,

—

opredelitev pogojev za dovolitev (tudi na zahtevo upravljavcev) izvedbe neodvisnih revizij, vključno z inšpekcijskimi pregledi, in prispevanje k njim ter pregledov varnostnih ukrepov pod pogoji, ki upoštevajo Protokol (št. 7) k Pogodbi o delovanju Evropske unije o privilegijih in imunitetah Evropske unije;

(c)	spremembo postopka nadzora za dokumentiranje, merjenje vpliva spremembe pred njeno izvedbo in obveščanje upravljavcev ter skupnih upravljavcev o vseh spremembah, ki lahko vplivajo na komunikacijo s sistemom AGORA in/ali na njegovo varnost;

(d)	določitev postopka vzdrževanja in popravil za opredelitev pravil in pogojev, ki jih je treba upoštevati, ko je potrebno vzdrževanje in/ali popravilo opreme sistema AGORA;

(e)

določitev postopka pri varnostnih incidentih za opredelitev sheme poročanja in stopnjevanja, takojšnje obveščanje zadevnih upravljavcev, takojšnje obveščanje upravljavcev, da obvestijo nacionalne nadzorne organe za varstvo podatkov o vseh kršitvah varstva osebnih podatkov, ter opredelitev disciplinskega postopka za obravnavo varnostnih kršitev v sistemu AGORA.

(6)

Komisija sprejme najsodobnejše fizične in logične varnostne ukrepe za objekte z opremo sistema AGORA ter kontrole podatkov in varnostnega dostopa do njih. V ta namen Komisija:

(a)	izvaja fizično varovanje za vzpostavitev ločenih varnostnih območij in omogočanje odkrivanja kršitev v sistemu AGORA;

(b)	nadzoruje dostop do objektov sistema AGORA in vodi register obiskovalcev sistema AGORA za namene sledenja;

(c)	zagotovi, da zunanje posameznike, ki jim je odobren dostop do prostorov, spremlja ustrezno pooblaščeno osebje;

(d)	zagotovi, da opreme ni mogoče dodati, zamenjati ali odstraniti brez predhodnega dovoljenja imenovanih pristojnih organov;

(e)	nadzoruje dostop iz sistema AGORA in do njega;

(f)	zagotovi identifikacijo in avtentikacijo skrbnikov in uporabnikov sistema AGORA, ki dostopajo do sistema AGORA;

(g)	pregleda pravice za dostop, povezane z dostopom do sistema AGORA, v primeru kršitve varnosti, ki vpliva na sistem AGORA;

(h)	ohranja celovitost informacij, ki se prenašajo prek sistema AGORA;

(i)	izvaja tehnične in organizacijske varnostne ukrepe za preprečitev nepooblaščenega dostopa do osebnih podatkov v sistemu AGORA;

(j)	po potrebi izvaja ukrepe za preprečitev nepooblaščenega dostopa do sistema AGORA (tj. blokiranje lokacije/naslova IP).

(7)

Komisija:

(a)	sprejme ukrepe za zaščito svoje domene, vključno s prekinitvijo povezav, v primeru pomembnega odstopanja od načel in konceptov kakovosti in varnosti;

(b)	pripravi načrt za obvladovanje tveganj v zvezi s svojim področjem odgovornosti;

(c)	v realnem času spremlja delovanje vseh storitvenih komponent sistema AGORA, redno pripravlja statistične podatke in vodi evidence;

(d)	skrbnikom in uporabnikom sistema AGORA zagotavlja podporo za sistem AGORA v angleščini;

(e)	pomaga upravljavcem in skupnim upravljavcem z ustreznimi tehničnimi in organizacijskimi ukrepi za izpolnjevanje obveznosti upravljavca, da odgovori na zahteve za uveljavljanje pravic posameznika, na katerega se nanašajo osebni podatki, iz poglavja III Uredbe (EU) 2016/679;

(f)	z zagotavljanjem informacij o sistemu AGORA podpira upravljavce in skupne upravljavce pri izpolnjevanju obveznosti iz členov 32, 33, 34, 35 in 36 Uredbe (EU) 2016/679;

(g)	zagotovi, da so podatki, ki se obdelujejo v sistemu AGORA, nerazumljivi vsem, ki nimajo dovoljenja za dostop do njih;

(h)	sprejme vse ustrezne ukrepe za preprečitev nepooblaščenega dostopa do osebnih podatkov, ki se prenašajo prek sistema AGORA;

(i)	sprejme ukrepe, da bi olajšala komunikacijo med upravljavci in skupnimi upravljavci;

(j)	vodi evidenco dejavnosti obdelave, ki se izvajajo v imenu upravljavcev in skupnih upravljavcev v skladu s členom 31(2) Uredbe (EU) 2018/1725.