KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2024/607

av den 15 februari 2024

om praktiska och operativa bestämmelser för driften av systemet för informationsutbyte i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2065 (förordningen om digitala tjänster)

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) 2022/2065 av den 19 oktober 2022 om en inre marknad för digitala tjänster och om ändring av direktiv 2000/31/EG (förordningen om digitala tjänster) (1), särskilt artikel 85,

efter samråd med kommittén för digitala tjänster i enlighet med artikel 88 i förordning (EU) 2022/2065, och

av följande skäl:

(1)

Förordning (EU) 2022/2065 syftar till att säkerställa såväl ett tryggt digitalt utrymme för användarna som respekt för de grundläggande rättigheterna. Detta sker genom att leverantörer av förmedlingstjänster åläggs skyldigheter att förhindra spridning av olagligt innehåll online och genom att dessa leverantörers policy för innehållsmoderering på sina tjänster regleras. En effektiv tillsyn, undersökning, efterlevnadskontroll och övervakning av dessa leverantörers fullgörande av sina skyldigheter kräver samarbete mellan medlemsstaterna och med kommissionen samt ett smidigt informationsutbyte mellan medlemsstaterna och med kommissionen.

(2)

Därför kräver artikel 85 i förordning (EU) 2022/2065 att kommissionen inrättar och upprätthåller ett tillförlitligt, säkert och interoperabelt system för informationsutbyte, kallat Agora, för kommunikation mellan samordnarna för digitala tjänster, kommissionen och den europeiska nämnden för digitala tjänster (nämnden). Andra behöriga myndigheter kan beviljas åtkomst till Agora om det är nödvändigt för att de ska kunna utföra de uppgifter som de tilldelats i enlighet med förordning (EU) 2022/2065. Samordnarna för digitala tjänster, kommissionen och nämnden är skyldiga att använda Agora för all kommunikation som görs i enlighet med förordning (EU) 2022/2065.

(3)

Agora är en programvara som kommer att utvecklas av kommissionen och vara tillgänglig via internet. Agora tillhandahåller en kommunikationsmekanism för att underlätta gränsöverskridande informationsutbyte och ömsesidigt bistånd mellan samordnare för digitala tjänster, kommissionen och nämnden i enlighet med förordning (EU) 2022/2065. Agora bör särskilt stödja samordnarna för digitala tjänster, kommissionen och nämnden när det gäller att förvalta informationsutbytet i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065 på grundval av enkla och enhetliga förfaranden.

(4)

I denna förordning fastställs praktiska och operativa bestämmelser för inrättande, upprätthållande och drift av Agora för tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065, vilka bland annat kan omfatta informationsutbyte mellan två parter, anmälningsförfaranden, varningsmekanismer, arrangemang för ömsesidigt bistånd och problemlösning mellan samordnare för digitala tjänster, kommissionen, nämnden och andra behöriga myndigheter som har beviljats åtkomst till Agora i enlighet med förordning (EU) 2022/2065 (Agora-aktörer).

(5)

Med tanke på förmedlingstjänsternas gränsöverskridande och sektorsövergripande relevans är det nödvändigt med en hög grad av samordning och samarbete mellan de olika berörda aktörerna för att säkerställa konsekvent tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065 och tillgång till relevant information genom Agora för detta ändamål.

(6)

För att undvika språkförbistring bör Agora finnas tillgängligt på unionens alla officiella språk. I detta syfte bör Agora erbjuda fullständigt automatiserade maskinöversättningsverktyg som kommissionen för närvarande har tillgång till för översättning av dokument och meddelanden som utbyts genom systemet. Kommissionen bör ställa dessa verktyg till förfogande för fysiska personer som arbetar under överinseende av samordnarna för digitala tjänster, kommissionen, nämnden eller andra behöriga myndigheter som har beviljats åtkomst till Agora (Agora-användare) samt Agora-användare som utsetts till administratörer av samordnarna för digitala tjänster, kommissionen och nämnden (Agora-administratör). De automatiska maskinöversättningsverktygen bör uppfylla säkerhets- och konfidentialitetskraven för informationsutbytet i Agora.

(7)

För att fullgöra sina uppgifter enligt förordning (EU) 2022/2065 kan samordnarna för digitala tjänster, kommissionen och nämnden behöva utbyta information som kan inbegripa personuppgifter. Allt sådant informationsutbyte bör vara förenligt med reglerna om skydd av personuppgifter i Europaparlamentets och rådets förordningar (EU) 2016/679 (2) och (EU) 2018/1725 (3). Följaktligen omfattas utbyte av personuppgifter som är nödvändigt för att fullgöra de skyldigheter och uppgifter som fastställs i förordning (EU) 2022/2065 av laglig behandling av uppgifter i enlighet med artikel 5 a i förordning (EU) 2018/1725 och artikel 6.1 e i förordning (EU) 2016/679.

(8)

Agora bör vara det verktyg som används för utbyte av information, vid behov inbegripet personuppgifter, vilket annars skulle ske på andra sätt, såsom vanlig post eller e-post, på grundval av en rättslig skyldighet som åläggs samordnarna för digitala tjänster, kommissionen, nämnden och andra behöriga myndigheter som har beviljats åtkomst till Agora i enlighet med förordning (EU) 2022/2065. Personuppgifter som utbyts via Agora bör endast behandlas för tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065. Om personuppgifter behandlas vid driften av Agora i syfte att dela, begära och få tillgång till information, besvara begäranden om information, göra hänskjutanden samt begära åtgärder och stöd bör samordnarna för digitala tjänster vara separata personuppgiftsansvariga i den mening som avses i förordning (EU) 2016/679 för den behandling som de utför.

(9)

Varje samordnare för digitala tjänster får också besluta att använda Agora för sin egen ärendehanteringsverksamhet som utförs för tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065. Om personuppgifter inte ska utbytas i Agora i syfte att dela, begära och få tillgång till information, besvara begäranden om information, göra hänskjutanden samt begära åtgärder och stöd, bör varje samordnare för digitala tjänster och, i tillämpliga fall, andra behöriga myndigheter som har beviljats åtkomst till Agora vara ensamt personuppgiftsansvarig i den mening som avses i förordning (EU) 2016/679 och förordning (EU) 2018/1725 med avseende på den uppgiftsbehandling som utförs med hjälp av Agora.

(10)	Överföring, lagring och annan behandling av fysiska personers personuppgifter bör ske i Agora i syfte att stödja kommunikationen mellan Agora-aktörer så att de kan handlägga ärenden i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065.

(11)

Agora bör behandla personuppgifter i den mån det är absolut nödvändigt för tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065. Agora bör behandla personuppgifter, såsom identifieringsuppgifter (t.ex. namn, smeknamn, alias, födelsedatum, födelseort, nationalitet, identitetshandlingar och vid behov andra kännetecken som kan underlätta identifieringen), kontaktuppgifter (t.ex. arbetsplatsadress och privat adress, e-postadress och telefonnummer), uppgifter om involvering i ärendet (t.ex. den fysiska personens ställning och funktion i ett företag, andra roller såsom misstänkt, offer, visselblåsare, uppgiftslämnare och vittne), ärenderelaterade uppgifter (t.ex. dokument, bild, video, ljudinspelning, uttalande, åsikter och protokoll) och all annan information som anses nödvändig för att uppfylla kraven i förordning (EU) 2022/2065.

(12)

I enlighet med principerna om inbyggt dataskydd och dataskydd som standard bör Agora utvecklas och utformas med vederbörlig hänsyn till kraven i dataskyddslagstiftningen, särskilt på grund av begränsningar av åtkomsten till personuppgifter som utbyts i Agora. Agora bör därför erbjuda ett betydligt starkare skydd och en betydligt högre säkerhet än andra metoder av informationsutbyte såsom telefon, vanlig post eller e-post.

(13)	Kommissionen bör tillhandahålla och förvalta Agoras programvara och it-infrastruktur, säkerställa dess tillförlitlighet, säkerhet, tillgänglighet, underhåll och drift samt delta i utbildning av och tekniskt stöd till Agora-administratörer och Agora-användare.

(14)

Medlemsstaternas behörighet att besluta vilka nationella myndigheter som ska fullgöra de skyldigheter som följer av denna förordning bör utövas i enlighet med artiklarna 49 och 62 i förordning (EU) 2022/2065. Medlemsstaterna bör kunna anpassa funktioner och ansvarsområden i förhållande till Agora så att de återspeglar deras interna administrativa strukturer och i Agora implementera en viss typ av arbete eller ordningsföljd i en viss arbetsprocess.

(15)

Varje samordnare för digitala tjänster bör utse och till kommissionen anmäla minst en Agora-administratör i sin medlemsstat för frågor som rör Agora. Varje samordnare för digitala tjänster bör också ansvara för utseendet av Agora-administratörer för sina respektive behöriga myndigheter som har beviljats åtkomst till Agora i enlighet med förordning (EU) 2022/2065. Varje Agora-administratör bör registrera, bevilja och återkalla åtkomst till Agora för sina egna Agora-användare. För att uppnå ett effektivt samarbete vad gäller tillsyn, undersökning, efterlevnadskontroll och övervakning av tjänster som omfattas av förordning (EU) 2022/2065 genom Agora bör medlemsstaterna se till att deras respektive Agora-administratörer och Agora-användare har de resurser de behöver för att fullgöra sina skyldigheter i enlighet med artikel 50.1 i förordning (EU) 2022/2065.

(16)

Information som en samordnare för digitala tjänster, kommissionen, nämnden eller en annan behörig myndighet som har beviljats åtkomst till Agora mottagit genom Agora från en annan samordnare för digitala tjänster, kommissionen, nämnden eller en annan sådan behörig myndighet bör inte förlora sitt värde som bevis i straffrättsliga, civilrättsliga eller administrativa förfaranden i enlighet med relevant EU-lagstiftning och nationell lagstiftning enbart på grund av att den har sitt ursprung i en annan medlemsstat eller att den mottogs på elektronisk väg, och den berörda Agora-aktören bör behandla den på samma sätt som liknande handlingar som har sitt ursprung i den egna medlemsstaten.

(17)

Det bör vara möjligt att behandla Agora-administratörers och Agora-användares namn och kontaktuppgifter när detta krävs för att uppfylla målen i förordning (EU) 2022/2065 och den här förordningen, inbegripet för övervakning av Agora-administratörernas och Agora-användarnas användning av Agora, kommunikation, utbildning och medvetandehöjande initiativ samt insamling av information i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning av tjänster som omfattas av förordning (EU) 2022/2065 eller ömsesidigt bistånd i samband med detta.

(18)	För att säkerställa en effektiv övervakning av och rapportering om Agoras funktion bör samordnarna för digitala tjänster, nämnden och andra behöriga myndigheter som har beviljats åtkomst till Agora göra relevant information tillgänglig för kommissionen.

(19)

Registrerade bör informeras om behandlingen av deras personuppgifter i Agora och om de rättigheter de åtnjuter, särskilt rätten att få tillgång till uppgifter som gäller dem och rätten att få felaktiga uppgifter korrigerade och olagligt behandlade uppgifter raderade, i enlighet med förordning (EU) 2016/679 och förordning (EU) 2018/1725.

(20)

Varje Agora-aktör bör, i egenskap av personuppgiftsansvarig med avseende på uppgiftsbehandling som den utför i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning av tjänster som omfattas av förordning (EU) 2022/2065, säkerställa att registrerade kan utöva sina rättigheter i enlighet med förordning (EU) 2016/679 och förordning (EU) 2018/1725. De bör bland annat inrätta en process för att regelbundet testa, bedöma och utvärdera de tekniska och organisatoriska åtgärdernas ändamålsenlighet för att trygga att behandlingen är säker.

(21)

Genomförandet av denna förordning och Agoras prestanda bör övervakas i den rapport om Agoras funktion som grundar sig på statistiska uppgifter från Agora och andra relevanta uppgifter. Kommissionen bör överlämna rapporten till Europaparlamentet, rådet och Europeiska datatillsynsmannen. Resultaten för samordnarna för digitala tjänster, nämnden och andra behöriga myndigheter som har beviljats åtkomst till Agora bör bland annat utvärderas på grundval av genomsnittliga svarstider i syfte att säkerställa effektiva och adekvata svar. I rapporten bör man också ta upp aspekter som rör skyddet av personuppgifter i Agora, inbegripet datasäkerhet.

(22)	Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i förordning (EU) 2018/1725 och avgav ett yttrande den 4 januari 2024.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

ALLMÄNNA BESTÄMMELSER

Artikel 1

Innehåll och tillämpningsområde

I denna förordning fastställs praktiska och operativa bestämmelser för driften av ett tillförlitligt och säkert system för informationsutbyte, kallat Agora, för tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065.

Artikel 2

System för informationsutbyte

1. Härmed inrättas Agora, ett system för informationsutbyte.

2. Agora är en programvaruapplikation som är tillgänglig via internet och det verktyg som används för utbyte av information, vid behov även personuppgifter, som annars skulle ske på andra sätt, såsom med vanlig post eller e-post.

3. Agora ska användas för utbyte av information, inbegripet utbyte av information som innehåller personuppgifter, mellan samordnarna för digitala tjänster, kommissionen och den europeiska nämnden för digitala tjänster (nämnden) samt med andra behöriga myndigheter som beviljas åtkomst till Agora för att kunna utföra de uppgifter som de tilldelats i enlighet med förordning (EU) 2022/2065 i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning av den förordningen.

Artikel 3

Definitioner

Utöver definitionerna i artiklarna 3 och 49.1 i förordning (EU) 2022/2065, artikel 4 i förordning (EU) 2016/679 och artikel 3 i förordning (EU) 2018/1725 gäller i denna förordning följande definitioner:

a)	Agora: det system för informationsutbyte som inrättats och upprätthålls av kommissionen för att stödja all kommunikation i enlighet med förordning (EU) 2022/2065 mellan Agora-aktörer för tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065.

b)	Agora-aktör: samordnarna för digitala tjänster, kommissionen, nämnden eller andra behöriga myndigheter som har beviljats eller kan komma att beviljas åtkomst till Agora när det är nödvändigt för att de ska kunna utföra de uppgifter som de tilldelats i enlighet med förordning (EU) 2022/2065.

c)	Agora-användare: en fysisk person som arbetar under en Agora-aktörs överinseende, och är registrerad i Agora i enlighet med detta, för att utföra de uppgifter som Agora-aktören tilldelats genom förordning (EU) 2022/2065.

d)	Agora-administratör: en Agora-användare som utsetts av en Agora-aktör för att administrera Agora för den aktören.

KAPITEL II

FUNKTIONER OCH ANSVARSOMRÅDEN I FÖRHÅLLANDE TILL AGORA

Artikel 4

Kommissionens ansvarsområden

1. Kommissionen ska ansvara för att utföra följande uppgifter i förhållande till Agora:

a)	Tillhandahålla Agora på unionens alla officiella språk och upprätthålla Agora.

b)	Säkerställa tillförlitligheten, säkerheten, tillgängligheten, underhållet och utvecklingen när det gäller Agoras programvara och it-infrastruktur.

c)	Erbjuda automatiska maskinöversättningsverktyg för översättning av dokument och meddelanden som utbyts via Agora.

d)	Ge stöd till andra Agora-aktörer när det gäller användningen av Agora.

e)	Registrera minst en Agora-administratör för varje samordnare för digitala tjänster och nämnden samt ge dem åtkomst till Agora.

f)	Utse minst en Agora-administratör.

g)	Behandla personuppgifter i Agora, när så föreskrivs i denna förordning, för tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065.

h)	Sköta revision och övervakning och utarbeta rapporter som behövs för revision och övervakning av Agora enligt förordning (EU) 2022/2065.

i)	Tillhandahålla kunskap, utbildning och stöd, inbegripet tekniskt stöd, till Agora-administratörer.

j)	Övervaka alla andra Agora-aktörers arbete enligt denna förordning i enlighet med artikel 15.

2. För att bistå kommissionen i utförandet av de uppgifter som anges i punkt 1 ska de övriga Agora-aktörerna förse kommissionen med information om de transaktioner de utfört i Agora.

Artikel 5

Kommissionens behandling av personuppgifter

1. Kommissionen ska vara personuppgiftsbiträde i den mening som avses i artikel 3.12 i förordning (EU) 2018/1725 när det gäller behandling av personuppgifter vid registrering av Agora-administratörer.

2. Kommissionen ska vara separat personuppgiftsansvarig i den mening som avses i artikel 3.8 i förordning (EU) 2018/1725 när det gäller behandling av de egna Agora-administratörernas och Agora-användarnas personuppgifter.

3. Om kommissionen behandlar personuppgifter i samband med driften av Agora i syfte att dela, begära och få tillgång till information och begära åtgärder och stöd, ska den anses vara personuppgiftsansvarig, i den mening som avses i artikel 3.8 i förordning (EU) 2018/1725, separat från de andra Agora-aktörerna för den behandling av personuppgifter som den utför.

4. Om kommissionen behandlar personuppgifter i samband med driften av Agora för andra Agora-aktörers räkning i syfte att dela, begära och få tillgång till information och begära åtgärder och stöd, ska den anses vara personuppgiftsbiträde i den mening som avses i artikel 3.12 i förordning (EU) 2018/1725.

5. Vid tillämpningen av denna förordning ska kommissionens ansvar i egenskap av personuppgiftsbiträde för uppgiftsbehandling som utförs i Agora av dessa andra Agora-aktörer fastställas i enlighet med bilaga II.

Artikel 6

Ansvarsområden för samordnarna för digitala tjänster

1. Varje samordnare för digitala tjänster ska för sin medlemsstat utse minst en Agora-administratör.

2. Varje samordnare för digitala tjänster ska ansvara för att säkerställa att endast behöriga Agora-användare har åtkomst till Agora i samband med utförandet av de uppgifter som den tilldelats i enlighet med förordning (EU) 2022/2065.

3. Varje samordnare för digitala tjänster ska utan dröjsmål informera kommissionen om den Agora-administratör som den utsett i enlighet med punkt 1. Kommissionen ska dela denna information med de andra samordnarna för digitala tjänster och nämnden.

4. Varje samordnare för digitala tjänster ska säkerställa att Agora-administratörens skyldigheter enligt denna förordning fullgörs.

5. Samordnarna för digitala tjänster ska vara separata personuppgiftsansvariga i den mening som avses i artikel 4.7 i förordning (EU) 2016/679 när det gäller behandling av personuppgifter när de registrerar sina Agora-användare och beviljar dem åtkomst till Agora.

6. Om samordnarna för digitala tjänster behandlar personuppgifter vid driften av Agora i syfte att dela, begära och få tillgång till information, besvara begäranden om information, göra hänskjutanden samt begära åtgärder och stöd ska de vara separata personuppgiftsansvariga i den mening som avses i förordning (EU) 2016/679 för den behandling som de utför.

7. Om andra behöriga myndigheter som utsetts av medlemsstaterna i enlighet med artikel 49.1 i förordning (EU) 2022/2065, men som inte är samordnare för digitala tjänster, behandlar personuppgifter vid driften av Agora, ska dessa myndigheter vara separata personuppgiftsansvariga i den mening som avses i förordning (EU) 2016/679.

Artikel 7

Nämndens ansvarsområden

1. Nämnden ska utse en Agora-administratör. Agora-administratören ska vara en del av det administrativa och analytiska stöd som ges till nämnden i enlighet med artikel 62.4 i förordning (EU) 2022/2065.

2. Nämnden ska ansvara för att säkerställa att endast behöriga Agora-användare har åtkomst till Agora.

3. Nämnden ska utan dröjsmål informera kommissionen om vem den utsett till sin Agora-förvaltare i enlighet med punkt 1 och om de uppgifter som denna ansvarar för enligt artikel 8 i denna förordning. Kommissionen ska dela denna information med samordnarna för digitala tjänster.

Artikel 8

Agora-administratörernas ansvarsområden

Agora-administratörer ska ansvara för att

a)	registrera Agora-användare och bevilja och återkalla åtkomst till Agora,

b)	fungera som huvudsaklig kontaktpunkt för kommissionen i frågor som rör Agora och bland annat lämna information om aspekter som rör skyddet av personuppgifter i enlighet med denna förordning, förordning (EU) 2016/679 och förordning (EU) 2018/1725,

c)	tillhandahålla kunskap, utbildning och stöd, inbegripet tekniskt stöd och en helpdesk, till Agora-användare som de registrerat,

d)	säkerställa att Agora-aktörerna effektivt tillhandahåller adekvata åtgärder.

Artikel 9

Agora-aktörernas åtkomsträttigheter

1. Agora-aktörerna ska bevilja och återkalla åtkomsträttigheter för Agora-administratörer som de ansvarar för.

2. Endast behöriga Agora-administratörer och behöriga Agora-användare ska ha åtkomst till Agora.

3. Agora-aktörer ska införa lämpliga metoder för att säkerställa att Agora-administratörer och Agora-användare har rätt att få åtkomst till personuppgifter som behandlas i Agora endast när det är absolut nödvändigt för tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065.

4. Om ett förfarande som rör tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065 inbegriper behandling av personuppgifter ska endast Agora-administratörer och Agora-användare som deltar i det förfarandet ha åtkomst till personuppgifterna.

Artikel 10

Konfidentialitet

1. Varje medlemsstat och kommissionen ska tillämpa sina egna regler om tystnadsplikt eller andra motsvarande konfidentialitetskrav på sina Agora-administratörer och Agora-användare i enlighet med nationell rätt eller unionsrätt.

2. Varje Agora-aktör ska säkerställa att begäranden från andra Agora-aktörer om konfidentiell behandling av information som utbyts i Agora uppfylls av Agora-administratörer och Agora-användare som arbetar under deras överinseende.

KAPITEL III

BEHANDLING AV PERSONUPPGIFTER OCH SÄKERHET

Artikel 11

Behandling av personuppgifter i Agora

1. Överföring, lagring och annan behandling av personuppgifter i Agora får endast ske i den mån det är nödvändigt och proportionellt och endast för följande ändamål:

a)	Stödja kommunikation mellan Agora-aktörer i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065.

b)	Hantera ärenden när Agora-aktörer utför sin egen verksamhet i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065.

c)	Utföra de verksamhetsrelaterade och tekniska omvandlingar av uppgifter som förtecknas i denna förordning, när detta är nödvändigt för att möjliggöra det informationsutbyte som avses i leden a och b.

2. Behandling av personuppgifter får ske i Agora endast avseende följande kategorier av registrerade:

a)	Fysiska personer vars personuppgifter ingår i dokument som erhållits i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065.

b)	Agora-administratörer och Agora-användare som har beviljats åtkomst till Agora.

3. Behandling av personuppgifter får ske i Agora endast avseende följande kategorier av personuppgifter:

a)	Identifieringsuppgifter, kontaktuppgifter, uppgifter om involvering i ärendet, ärenderelaterade uppgifter och all annan information som anses nödvändig för tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065.

b)	Namn, adress, kontaktuppgifter, kontaktnummer och användarnamn för Agora-administratörer och Agora-användare som avses i punkt 2 b.

4. Agora ska lagra de kategorier av personuppgifter som förtecknas i artikel 11.3 i denna förordning och loggar som anger information om flödet och förflyttningar av utbytta uppgifter i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065.

5. Lagring av uppgifter som avses i punkt 2 ska utföras med hjälp av it-infrastruktur som finns i Europeiska ekonomiska samarbetsområdet.

6. Varje Agora-aktör ska säkerställa att registrerade kan utöva sina rättigheter i enlighet med förordning (EU) 2016/679 och förordning (EU) 2018/1725 och ska ansvara för efterlevnaden av dessa förordningar när det gäller behandling av personuppgifter som utförs för dess räkning.

7. De nationella tillsynsmyndigheterna och Europeiska datatillsynsmannen ska, inom ramen för sina respektive befogenheter, säkerställa en samordnad tillsyn av Agora och Agora-administratörernas och Agora-användarnas användning av systemet.

Artikel 12

Gemensamt personuppgiftsansvar i Agora

1. Samordnarna för digitala tjänster ska vara gemensamt personuppgiftsansvariga i enlighet med artikel 26.1 i förordning (EU) 2016/679 för överföring, lagring och annan behandling av personuppgifter i Agora med avseende på nämndens verksamhet som utförs i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065.

2. När gemensamma undersökningar genomförs i enlighet med artikel 60 i förordning (EU) 2022/2065 i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065 ska de berörda samordnarna för digitala tjänster vara gemensamt personuppgiftsansvariga, i den mening som avses i artikel 26.1 i förordning (EU) 2016/679, för överföring, lagring och annan behandling av personuppgifter i Agora i samband med en viss gemensam undersökning.

3. Vid tillämpningen av punkterna 1 och 2 ska ansvaret fördelas mellan de gemensamt personuppgiftsansvariga i enlighet med bilaga I.

4. Kommissionen ska vara personuppgiftsbiträde i den mening som avses i artikel 3.12 i förordning (EU) 2018/1725 för behandling av personuppgifter som utförs på uppdrag av samordnarna för digitala tjänster med avseende på nämndens verksamhet och för gemensamma undersökningar enligt artikel 60 i förordning (EU) 2022/2065 som genomförs i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065.

Artikel 13

Säkerhet

1. Kommissionen ska införa nödvändiga toppmoderna åtgärder för att trygga säkerheten för de personuppgifter som behandlas i Agora, inbegripet lämplig åtkomstkontroll och en säkerhetsplan som ska hållas uppdaterad.

2. Kommissionen ska införa nödvändiga toppmoderna åtgärder i händelse av en säkerhetsincident, vidta avhjälpande åtgärder och se till att det är möjligt att kontrollera vilka personuppgifter som har behandlats i Agora, när det har skett, vem som har behandlat dem och för vilket ändamål.

KAPITEL IV

SLUTBESTÄMMELSER

Artikel 14

Översättning

1. Kommissionen ska göra Agora tillgängligt på unionens alla officiella språk och erbjuda Agora-användarna automatiska maskinöversättningsverktyg för översättning av dokument och meddelanden som utbyts i Agora.

2. En samordnare för digitala tjänster eller en annan behörig myndighet som beviljats åtkomst till Agora får, i samband med utförandet av någon av de uppgifter som den tilldelats i enlighet med förordning (EU) 2022/2065, ta fram alla uppgifter, dokument, resultat, utlåtanden eller bestyrkta kopior som den har mottagit i Agora, på samma grunder som liknande information som erhållits i det egna landet, för ändamål som är förenliga med de ändamål för vilka uppgifterna ursprungligen samlades in och i enlighet med relevant EU-lagstiftning och nationell lagstiftning.

Artikel 15

Övervakning och rapportering

1. Kommissionen ska regelbundet övervaka Agoras funktion och regelbundet utvärdera dess resultat.

2. Senast den 17 februari 2027 och därefter vart tredje år ska kommissionen till Europaparlamentet, rådet och Europeiska datatillsynsmannen överlämna en rapport om genomförandet av denna förordning. Rapporten ska innehålla information om den övervakning och utvärdering som utförts i enlighet med punkt 1 och om Agora-aktörernas resultat i samband med Agora i syfte att säkerställa ett effektivt informationsutbyte och lämpliga svar. I rapporten ska man också ta upp aspekter av genomförandet som rör skyddet av personuppgifter i Agora, inbegripet datasäkerhet.

3. För att utarbeta den rapport som avses i punkt 2 ska samordnarna för digitala tjänster, nämnden och andra behöriga myndigheter som beviljas åtkomst när det är nödvändigt för att de ska kunna utföra de uppgifter de tilldelats i enlighet med förordning (EU) 2022/2065 årligen förse kommissionen med all information som är relevant för tillämpningen av denna förordning i form av rapporter, inbegripet om tillämpningen av de krav på dataskydd och datasäkerhet som fastställs i den.

Artikel 16

Kostnader

1. Kostnaderna för inrättande, upprätthållande och drift av Agora ska täckas av de årliga tillsynsavgifter som tas ut av kommissionen i enlighet med artikel 43.2 i förordning (EU) 2022/2065 och kommissionens delegerade förordning (EU) 2023/1127 (4).

2. Kostnaderna för Agora-verksamhet på medlemsstatsnivå, inbegripet de personalresurser som behövs för utbildning, marknadsföring, tekniskt stöd och helpdesk samt för administrationen av Agora på nationell nivå och alla anpassningar som krävs av nationella nätverk och informationssystem, ska bäras av den medlemsstat som ådrar sig dem.

Artikel 17

Effektiv tillämpning

Medlemsstaterna ska vidta alla åtgärder som är nödvändiga för att se till att denna förordning tillämpas effektivt av Agora-aktörerna.

Artikel 18

Ikraftträdande

Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 15 februari 2024.

På kommissionens vägnar

Ursula VON DER LEYEN

Ordförande

(1) EUT L 277, 27.10.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj.

(2) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (EUT L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(4) Kommissionens delegerade förordning (EU) 2023/1127 av den 2 mars 2023 om komplettering av Europaparlamentets och rådets förordning (EU) 2022/2065 vad gäller detaljerade metoder och förfaranden för de tillsynsavgifter som kommissionen tar ut av leverantörer av mycket stora onlineplattformar och mycket stora onlinesökmotorer (EUT L 149, 2.3.2023, s. 16, ELI: http://data.europa.eu/eli/reg_del/2023/1127/oj).

BILAGA I

Ansvarsområden för samordnarna av digitala tjänster i egenskap av gemensamt personuppgiftsansvariga för uppgiftsbehandling som utförs inom ramen för Agora för gemensamma undersökningar och för nämndens verksamhet

AVSNITT 1

Underavsnitt 1

Tillämpningsområde för arrangemanget för gemensamt personuppgiftsansvar

Följande arrangemang för gemensamt personuppgiftsansvar ska tillämpas på de berörda samordnarna för digitala tjänster när de genomför gemensamma undersökningar i enlighet med artikel 60 i förordning (EU) 2022/2065.

Följande arrangemang för gemensamt personuppgiftsansvar ska tillämpas på samordnarna för digitala tjänster i egenskap av ledamöter av nämnden när nämnden behandlar personuppgifter i enlighet med förordning (EU) 2022/2065 i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning av tjänster som omfattas av förordning (EU) 2022/2065.

Underavsnitt 2

Ansvarsfördelning

De gemensamt personuppgiftsansvariga ska behandla personuppgifter genom Agora.

Samordnarna för digitala tjänster ska förbli ensamt personuppgiftsansvariga för insamling, användning, utlämnande och all annan behandling av personuppgifter som utförs utanför Agora. Samordnarna för digitala tjänster ska också förbli ensamt personuppgiftsansvariga för den behandling av personuppgifter de utför inom Agora för tillsyn, undersökning, efterlevnadskontroll och övervakning av tjänster som omfattas av förordning (EU) 2022/2065.

Varje gemensamt personuppgiftsansvarig ska ansvara för behandlingen av personuppgifter i Agora i enlighet med artiklarna 5, 24 och 26 i förordning (EU) 2016/679.

Varje gemensamt personuppgiftsansvarig ska inrätta en kontaktpunkt med en funktionsbrevlåda för kommunikationen mellan de gemensamt personuppgiftsansvariga och mellan de gemensamt personuppgiftsansvariga och personuppgiftsbiträdet.

Varje gemensamt personuppgiftsansvarig ska på begäran ge snabbt och effektivt stöd till de andra gemensamt personuppgiftsansvariga vid verkställandet av detta arrangemang, samtidigt som de följer alla tillämpliga krav i förordning (EU) 2016/679 och andra tillämpliga dataskyddsregler, inbegripet skyldigheter gentemot den egna respektive tillsynsmyndigheten.

De gemensamt personuppgiftsansvariga ska fastställa arbetsformerna för behandling av personuppgifter genom Agora och ska lämna överenskomna instruktioner till kommissionen i dess egenskap av personuppgiftsbiträde.

Instruktioner till personuppgiftsbiträdet ska skickas via någon av de gemensamt personuppgiftsansvarigas kontaktpunkter, i samförstånd med övriga gemensamt personuppgiftsansvariga. Den gemensamt personuppgiftsansvariga som tillhandahåller instruktioner ska lämna dem skriftligen till personuppgiftsbiträdet och informera alla andra gemensamt personuppgiftsansvariga om detta. Om den aktuella frågan är så tidskritisk att det inte är möjligt att behandla den vid ett möte mellan de gemensamt personuppgiftsansvariga kan en instruktion ändå ges, men den kan upphävas av de gemensamt personuppgiftsansvariga. Denna instruktion ska ges skriftligen, och alla andra gemensamt personuppgiftsansvariga ska informeras om detta när instruktionen ges.

Arbetsformerna mellan gemensamt personuppgiftsansvariga ska inte utesluta någon av de gemensamt personuppgiftsansvarigas individuella behörighet att göra anmälan till sin behöriga tillsynsmyndighet i enlighet med artiklarna 24 och 33 i förordning (EU) 2016/679. En sådan anmälan ska inte kräva samtycke från någon av de andra gemensamt personuppgiftsansvariga.

Arbetsformerna mellan gemensamt personuppgiftsansvariga ska inte utesluta att någon av de gemensamt personuppgiftsansvariga samarbetar med sin behöriga tillsynsmyndighet som inrättats i enlighet med förordning (EU) 2016/679 och förordning (EU) 2018/1725.

10.

Endast personer som bemyndigats av varje gemensamt personuppgiftsansvarig ska ha åtkomst till de personuppgifter som utbyts.

11.

Varje gemensamt personuppgiftsansvarig ska föra register över all behandling som utförts under dess ansvar. Det gemensamma personuppgiftsansvaret ska anges i registret.

Underavsnitt 3

Ansvarsområden och roller vid hantering av begäranden från och information till registrerade

Varje personuppgiftsansvarig ska tillhandahålla information till fysiska personer vars uppgifter behandlas för gemensamma undersökningar och nämndens verksamhet som utförs i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning av tjänster som omfattas av förordning (EU) 2022/2065, i enlighet med artikel 14 i förordning (EU) 2016/679, såvida inte detta skulle visa sig vara omöjligt eller innebära en oproportionell ansträngning.

Varje personuppgiftsansvarig ska fungera som kontaktpunkt för fysiska personer vars personuppgifter den har behandlat och ska hantera begäranden från de registrerade eller deras företrädare när de utövar sina rättigheter i enlighet med förordning (EU) 2016/679. Om en gemensamt personuppgiftsansvarig tar emot en begäran från en registrerad som rör behandling som utförts av en annan gemensamt personuppgiftsansvarig ska den informera den registrerade om denna gemensamt personuppgiftsansvarigas identitet och kontaktuppgifter. Om en annan gemensamt personuppgiftsansvarig begär bistånd med hanteringen av registrerades begäranden ska de gemensamt personuppgiftsansvariga bistå varandra och svara varandra utan onödigt dröjsmål, senast inom en månad från mottagandet av en begäran om bistånd.

Varje personuppgiftsansvarig ska göra innehållet i denna bilaga tillgängligt för registrerade.

AVSNITT 2

HANTERING AV SÄKERHETSINCIDENTER, INBEGRIPET PERSONUPPGIFTSINCIDENTER

De gemensamt personuppgiftsansvariga ska bistå varandra i identifiering och hantering av alla säkerhetsincidenter, inbegripet personuppgiftsincidenter, som har koppling till behandlingen i Agora.

De gemensamt personuppgiftsansvariga ska särskilt underrätta varandra om följande:

a)	Alla potentiella eller faktiska risker för tillgängligheten, konfidentialiteten och/eller integriteten för de personuppgifter som behandlas i Agora.

b)	Varje personuppgiftsincident, de sannolika konsekvenserna av personuppgiftsincidenten och bedömningen av risken för fysiska personers rättigheter och friheter samt alla åtgärder som vidtagits för att åtgärda personuppgiftsincidenten och minska risken för fysiska personers rättigheter och friheter.

c)	Varje överträdelse av tekniska och/eller organisatoriska skyddsåtgärder avseende behandlingen i Agora.

De gemensamt personuppgiftsansvariga ska anmäla alla personuppgiftsincidenter som rör behandlingen i Agora till kommissionen, till behöriga dataskyddstillsynsmyndigheter och, där så krävs, till registrerade, i enlighet med artiklarna 33 och 34 i förordning (EU) 2016/679 eller efter anmälan av kommissionen.

Varje personuppgiftsansvarig ska vidta lämpliga tekniska och organisatoriska åtgärder för att

a)	säkerställa och skydda tillgängligheten, integriteten och konfidentialiteten för de personuppgifter som behandlas gemensamt,

b)	skydda mot obehörig eller olaglig behandling, förlust, användning, utlämnande eller förvärv av eller åtkomst till personuppgifter som den innehar, och

c)	säkerställa att åtkomst till personuppgifterna inte utlämnas till eller tillåts för någon annan än mottagaren eller personuppgiftsbiträdet.

AVSNITT 3

KONSEKVENSBEDÖMNING AVSEENDE DATASKYDD

Om en personuppgiftsansvarig behöver information från en annan personuppgiftsansvarig eller från personuppgiftsbiträdet för att kunna uppfylla sina skyldigheter enligt artiklarna 35 och 36 i förordning (EU) 2016/679 ska en särskild begäran skickas till den funktionsbrevlåda som avses i avsnitt 1 underavsnitt 2.4. Den senare ska göra sitt yttersta för att tillhandahålla sådan information.

BILAGA II

Ansvarsområden för kommissionen i egenskap av personuppgiftsbiträde för uppgiftsbehandling som utförs inom ramen för Agora av samordnare av digitala tjänster, andra nationella myndigheter och nämnden

Kommissionen ska

a)	på uppdrag av samordnarna för digitala tjänster, andra nationella myndigheter och nämnden inrätta och sörja för en säker och tillförlitlig kommunikationsinfrastruktur, Agora, som stöder informationsutbytet för samordnade undersökningar, mekanismer för enhetlighet och nämndens verksamhet, och

endast behandla personuppgifter på grundval av dokumenterade instruktioner från de personuppgiftsansvariga och gemensamt personuppgiftsansvariga, såvida inte behandlingen krävs enligt unionslagstiftningen eller en medlemsstats lagstiftning. I sådana fall ska kommissionen informera de personuppgiftsansvariga och gemensamt personuppgiftsansvariga om det rättsliga kravet innan någon behandling av uppgifterna sker, såvida det inte enligt den lagstiftningen är förbjudet att lämna sådan information med hänvisning till ett viktigt allmänintresse.

För att fullgöra sina skyldigheter som personuppgiftsbiträde för samordnarna för digitala tjänster, andra nationella myndigheter och nämnden får kommissionen anlita tredje parter som underentreprenörer. Om detta är fallet ska de personuppgiftsansvariga och gemensamt personuppgiftsansvariga ge kommissionen tillstånd att anlita underentreprenörer eller vid behov byta ut underentreprenörerna. Kommissionen ska informera de personuppgiftsansvariga och gemensamt personuppgiftsansvariga om sådant anlitande eller utbyte av underentreprenörer, och därigenom ge de personuppgiftsansvariga och gemensamt personuppgiftsansvariga möjlighet att invända mot sådana ändringar. Kommissionen ska säkerställa att dataskyddsskyldigheterna i denna förordning även tillämpas på dessa underentreprenörer.

Kommissionens behandling ska omfatta följande:

a)	Autentisering och åtkomstkontroll med avseende på alla Agora-administratörer och Agora-användare.

b)	Tillstånd för Agora-administratörer och Agora-användare att skapa, uppdatera och radera poster och information i Agora.

Mottagande av de personuppgifter som avses i artikel 12.3 i denna förordning och som laddats upp av nationella Agora-användare och Agora-administratörer genom att tillhandahålla ett gränssnitt för applikationsprogrammering som gör det möjligt för nationella Agora-användare och Agora-administratörer att ladda upp relevanta uppgifter.

d)	Lagring av personuppgifter i Agora.

e)	Tillgängliggörande av personuppgifter för att Agora-administratörer och Agora-användare ska få åtkomst till och kunna ladda ner dem och för all annan nödvändig uppgiftsbehandling.

f)	Radering av personuppgifterna efter föreskriven tid eller efter instruktion av den personuppgiftsansvariga som lämnat in dem.

g)	När tillhandahållandet av tjänsten har avslutats, radering av eventuella kvarvarande personuppgifter såvida inte lagring av personuppgifterna krävs enligt unionslagstiftningen eller en medlemsstats lagstiftning.

Kommissionen ska vidta alla toppmoderna organisatoriska, fysiska och logiska säkerhetsåtgärder för att säkerställa att Agora fungerar. Kommissionen ska i detta syfte göra följande:

a)	Utse en enhet som ansvarar för Agoras säkerhetsförvaltning, meddela de gemensamt personuppgiftsansvariga enhetens kontaktuppgifter och säkerställa att den är tillgänglig för att hantera säkerhetshot.

b)	Ta ansvaret för Agoras säkerhet, bland annat genom att regelbundet utföra tester, utvärderingar och bedömningar av säkerhetsåtgärderna.

c)	Säkerställa att Agora-administratörer och Agora-användare som har beviljats åtkomst till Agora omfattas av avtalsenlig, yrkesmässig eller lagstadgad tystnadsplikt.

Kommissionens ska vidta alla säkerhetsåtgärder som krävs för att Agora ska fungera smidigt. Detta ska innefatta följande:

a)	Riskbedömningsförfaranden för att identifiera och utvärdera potentiella hot mot Agora.

Ett revisions- och granskningsförfarande för att

—	kontrollera hur väl de införda säkerhetsåtgärderna motsvarar den tillämpliga säkerhetspolicyn,

—	regelbundet kontrollera Agorafilernas, säkerhetsparametrarnas och de beviljade tillståndens integritet,

—	upptäcka säkerhetsöverträdelser och intrång i Agora,

—	implementera ändringar för att minska befintliga säkerhetsbrister i Agora,

—

fastställa villkoren för att tillåta, även på begäran av personuppgiftsansvariga, och bidra till oberoende revisioner, inbegripet inspektioner, och översyner av säkerhetsåtgärder, på villkor som är förenliga med protokoll nr 7 till fördraget om Europeiska unionens funktionssätt om Europeiska unionens immunitet och privilegier.

c)	Ändring av kontrollförfarandet för att dokumentera och mäta effekten av en ändring innan den genomförs och hålla de personuppgiftsansvariga och gemensamt personuppgiftsansvariga informerade om samtliga ändringar som kan påverka kommunikationen med och/eller säkerheten i Agora.

d)	Inrättande av ett underhålls- och reparationsförfarande för att fastställa de regler och villkor som ska följas vid underhåll och/eller reparation av Agorautrustning.

Inrättande av ett förfarande för säkerhetsincidenter för att fastställa ett rapporterings- och eskaleringssystem, utan dröjsmål informera de personuppgiftsansvariga som berörs och utan dröjsmål informera de personuppgiftsansvariga så att de kan underrätta de nationella dataskyddstillsynsmyndigheterna om personuppgiftsincidenter samt för att fastställa ett disciplinärt förfarande för hantering av säkerhetsöverträdelser i Agora.

Kommissionen ska vidta toppmoderna fysiska och logiska säkerhetsåtgärder för de anläggningar som hyser Agora och för kontroller av åtkomst till uppgifter och säkert tillträde till anläggningarna. Kommissionen ska i detta syfte göra följande:

a)	Införa fysiska säkerhetsåtgärder för att upprätta tydliga säkerhetsperimetrar och möjliggöra att överträdelser i Agora upptäcks.

b)	Kontrollera tillträdet till Agora-anläggningar och upprätthålla ett Agora-besöksregister för spårning.

c)	Säkerställa att externa personer som beviljas tillträde till lokaler åtföljs av vederbörligen bemyndigad personal.

d)	Säkerställa att utrustning inte kan läggas till, ersättas eller avlägsnas utan förhandstillstånd från utsedda ansvariga organ.

e)	Kontrollera åtkomst från och till Agora.

f)	Säkerställa att Agora-administratörer och Agora-användare som har åtkomst till Agora identifieras och autentiseras.

g)	Se över de tillståndsrättigheter som gäller åtkomst till Agora vid säkerhetsöverträdelser som påverkar Agora.

h)	Bevara integriteten för den information som överförs via Agora.

i)	Vidta tekniska och organisatoriska säkerhetsåtgärder för att förhindra obehörig åtkomst till personuppgifter i Agora.

j)	Vid behov vidta åtgärder för att blockera obehörig åtkomst till Agora (dvs. blockera en plats/IP-adress).

Kommissionen ska göra följande:

a)	Vidta åtgärder för att skydda sin domän, inklusive genom frånkoppling, vid betydande avvikelser från principerna och koncepten för kvalitet och säkerhet.

b)	Upprätthålla en riskhanteringsplan för sitt ansvarsområde.

c)	I realtid övervaka prestandan för alla tjänstekomponenter i Agora, ta fram regelbunden statistik och upprätthålla register.

d)	Ge Agora-administratörer och Agora-användare stöd för Agora på engelska.

Bistå de personuppgiftsansvariga och gemensamt personuppgiftsansvariga med lämpliga tekniska och organisatoriska åtgärder så att de kan fullgöra den personuppgiftsansvarigas skyldigheter att besvara begäranden om utövande av den registrerades rättigheter enligt kapitel III i förordning (EU) 2016/679.

f)	Stödja de personuppgiftsansvariga och gemensamt personuppgiftsansvariga genom att tillhandahålla information om Agora för att fullgöra skyldigheterna enligt artiklarna 32, 33, 34, 35 och 36 i förordning (EU) 2016/679.

g)	Säkerställa att de uppgifter som behandlas i Agora är oläsliga för personer som inte är behöriga att få åtkomst till dem.

h)	Vidta alla relevanta åtgärder för att förhindra obehörig åtkomst till överförda personuppgifter via Agora.

i)	Vidta åtgärder för att underlätta kommunikationen mellan de personuppgiftsansvariga och gemensamt personuppgiftsansvariga.

j)	Föra ett register över behandling som utförts för de personuppgiftsansvarigas och gemensamt personuppgiftsansvarigas räkning i enlighet med artikel 31.2 i förordning (EU) 2018/1725.