![]() |
officiella tidning |
SV Serien L |
2024/607 |
16.2.2024 |
KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2024/607
av den 15 februari 2024
om praktiska och operativa bestämmelser för driften av systemet för informationsutbyte i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2065 (förordningen om digitala tjänster)
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) 2022/2065 av den 19 oktober 2022 om en inre marknad för digitala tjänster och om ändring av direktiv 2000/31/EG (förordningen om digitala tjänster) (1), särskilt artikel 85,
efter samråd med kommittén för digitala tjänster i enlighet med artikel 88 i förordning (EU) 2022/2065, och
av följande skäl:
(1) |
Förordning (EU) 2022/2065 syftar till att säkerställa såväl ett tryggt digitalt utrymme för användarna som respekt för de grundläggande rättigheterna. Detta sker genom att leverantörer av förmedlingstjänster åläggs skyldigheter att förhindra spridning av olagligt innehåll online och genom att dessa leverantörers policy för innehållsmoderering på sina tjänster regleras. En effektiv tillsyn, undersökning, efterlevnadskontroll och övervakning av dessa leverantörers fullgörande av sina skyldigheter kräver samarbete mellan medlemsstaterna och med kommissionen samt ett smidigt informationsutbyte mellan medlemsstaterna och med kommissionen. |
(2) |
Därför kräver artikel 85 i förordning (EU) 2022/2065 att kommissionen inrättar och upprätthåller ett tillförlitligt, säkert och interoperabelt system för informationsutbyte, kallat Agora, för kommunikation mellan samordnarna för digitala tjänster, kommissionen och den europeiska nämnden för digitala tjänster (nämnden). Andra behöriga myndigheter kan beviljas åtkomst till Agora om det är nödvändigt för att de ska kunna utföra de uppgifter som de tilldelats i enlighet med förordning (EU) 2022/2065. Samordnarna för digitala tjänster, kommissionen och nämnden är skyldiga att använda Agora för all kommunikation som görs i enlighet med förordning (EU) 2022/2065. |
(3) |
Agora är en programvara som kommer att utvecklas av kommissionen och vara tillgänglig via internet. Agora tillhandahåller en kommunikationsmekanism för att underlätta gränsöverskridande informationsutbyte och ömsesidigt bistånd mellan samordnare för digitala tjänster, kommissionen och nämnden i enlighet med förordning (EU) 2022/2065. Agora bör särskilt stödja samordnarna för digitala tjänster, kommissionen och nämnden när det gäller att förvalta informationsutbytet i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065 på grundval av enkla och enhetliga förfaranden. |
(4) |
I denna förordning fastställs praktiska och operativa bestämmelser för inrättande, upprätthållande och drift av Agora för tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065, vilka bland annat kan omfatta informationsutbyte mellan två parter, anmälningsförfaranden, varningsmekanismer, arrangemang för ömsesidigt bistånd och problemlösning mellan samordnare för digitala tjänster, kommissionen, nämnden och andra behöriga myndigheter som har beviljats åtkomst till Agora i enlighet med förordning (EU) 2022/2065 (Agora-aktörer). |
(5) |
Med tanke på förmedlingstjänsternas gränsöverskridande och sektorsövergripande relevans är det nödvändigt med en hög grad av samordning och samarbete mellan de olika berörda aktörerna för att säkerställa konsekvent tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065 och tillgång till relevant information genom Agora för detta ändamål. |
(6) |
För att undvika språkförbistring bör Agora finnas tillgängligt på unionens alla officiella språk. I detta syfte bör Agora erbjuda fullständigt automatiserade maskinöversättningsverktyg som kommissionen för närvarande har tillgång till för översättning av dokument och meddelanden som utbyts genom systemet. Kommissionen bör ställa dessa verktyg till förfogande för fysiska personer som arbetar under överinseende av samordnarna för digitala tjänster, kommissionen, nämnden eller andra behöriga myndigheter som har beviljats åtkomst till Agora (Agora-användare) samt Agora-användare som utsetts till administratörer av samordnarna för digitala tjänster, kommissionen och nämnden (Agora-administratör). De automatiska maskinöversättningsverktygen bör uppfylla säkerhets- och konfidentialitetskraven för informationsutbytet i Agora. |
(7) |
För att fullgöra sina uppgifter enligt förordning (EU) 2022/2065 kan samordnarna för digitala tjänster, kommissionen och nämnden behöva utbyta information som kan inbegripa personuppgifter. Allt sådant informationsutbyte bör vara förenligt med reglerna om skydd av personuppgifter i Europaparlamentets och rådets förordningar (EU) 2016/679 (2) och (EU) 2018/1725 (3). Följaktligen omfattas utbyte av personuppgifter som är nödvändigt för att fullgöra de skyldigheter och uppgifter som fastställs i förordning (EU) 2022/2065 av laglig behandling av uppgifter i enlighet med artikel 5 a i förordning (EU) 2018/1725 och artikel 6.1 e i förordning (EU) 2016/679. |
(8) |
Agora bör vara det verktyg som används för utbyte av information, vid behov inbegripet personuppgifter, vilket annars skulle ske på andra sätt, såsom vanlig post eller e-post, på grundval av en rättslig skyldighet som åläggs samordnarna för digitala tjänster, kommissionen, nämnden och andra behöriga myndigheter som har beviljats åtkomst till Agora i enlighet med förordning (EU) 2022/2065. Personuppgifter som utbyts via Agora bör endast behandlas för tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065. Om personuppgifter behandlas vid driften av Agora i syfte att dela, begära och få tillgång till information, besvara begäranden om information, göra hänskjutanden samt begära åtgärder och stöd bör samordnarna för digitala tjänster vara separata personuppgiftsansvariga i den mening som avses i förordning (EU) 2016/679 för den behandling som de utför. |
(9) |
Varje samordnare för digitala tjänster får också besluta att använda Agora för sin egen ärendehanteringsverksamhet som utförs för tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065. Om personuppgifter inte ska utbytas i Agora i syfte att dela, begära och få tillgång till information, besvara begäranden om information, göra hänskjutanden samt begära åtgärder och stöd, bör varje samordnare för digitala tjänster och, i tillämpliga fall, andra behöriga myndigheter som har beviljats åtkomst till Agora vara ensamt personuppgiftsansvarig i den mening som avses i förordning (EU) 2016/679 och förordning (EU) 2018/1725 med avseende på den uppgiftsbehandling som utförs med hjälp av Agora. |
(10) |
Överföring, lagring och annan behandling av fysiska personers personuppgifter bör ske i Agora i syfte att stödja kommunikationen mellan Agora-aktörer så att de kan handlägga ärenden i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065. |
(11) |
Agora bör behandla personuppgifter i den mån det är absolut nödvändigt för tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065. Agora bör behandla personuppgifter, såsom identifieringsuppgifter (t.ex. namn, smeknamn, alias, födelsedatum, födelseort, nationalitet, identitetshandlingar och vid behov andra kännetecken som kan underlätta identifieringen), kontaktuppgifter (t.ex. arbetsplatsadress och privat adress, e-postadress och telefonnummer), uppgifter om involvering i ärendet (t.ex. den fysiska personens ställning och funktion i ett företag, andra roller såsom misstänkt, offer, visselblåsare, uppgiftslämnare och vittne), ärenderelaterade uppgifter (t.ex. dokument, bild, video, ljudinspelning, uttalande, åsikter och protokoll) och all annan information som anses nödvändig för att uppfylla kraven i förordning (EU) 2022/2065. |
(12) |
I enlighet med principerna om inbyggt dataskydd och dataskydd som standard bör Agora utvecklas och utformas med vederbörlig hänsyn till kraven i dataskyddslagstiftningen, särskilt på grund av begränsningar av åtkomsten till personuppgifter som utbyts i Agora. Agora bör därför erbjuda ett betydligt starkare skydd och en betydligt högre säkerhet än andra metoder av informationsutbyte såsom telefon, vanlig post eller e-post. |
(13) |
Kommissionen bör tillhandahålla och förvalta Agoras programvara och it-infrastruktur, säkerställa dess tillförlitlighet, säkerhet, tillgänglighet, underhåll och drift samt delta i utbildning av och tekniskt stöd till Agora-administratörer och Agora-användare. |
(14) |
Medlemsstaternas behörighet att besluta vilka nationella myndigheter som ska fullgöra de skyldigheter som följer av denna förordning bör utövas i enlighet med artiklarna 49 och 62 i förordning (EU) 2022/2065. Medlemsstaterna bör kunna anpassa funktioner och ansvarsområden i förhållande till Agora så att de återspeglar deras interna administrativa strukturer och i Agora implementera en viss typ av arbete eller ordningsföljd i en viss arbetsprocess. |
(15) |
Varje samordnare för digitala tjänster bör utse och till kommissionen anmäla minst en Agora-administratör i sin medlemsstat för frågor som rör Agora. Varje samordnare för digitala tjänster bör också ansvara för utseendet av Agora-administratörer för sina respektive behöriga myndigheter som har beviljats åtkomst till Agora i enlighet med förordning (EU) 2022/2065. Varje Agora-administratör bör registrera, bevilja och återkalla åtkomst till Agora för sina egna Agora-användare. För att uppnå ett effektivt samarbete vad gäller tillsyn, undersökning, efterlevnadskontroll och övervakning av tjänster som omfattas av förordning (EU) 2022/2065 genom Agora bör medlemsstaterna se till att deras respektive Agora-administratörer och Agora-användare har de resurser de behöver för att fullgöra sina skyldigheter i enlighet med artikel 50.1 i förordning (EU) 2022/2065. |
(16) |
Information som en samordnare för digitala tjänster, kommissionen, nämnden eller en annan behörig myndighet som har beviljats åtkomst till Agora mottagit genom Agora från en annan samordnare för digitala tjänster, kommissionen, nämnden eller en annan sådan behörig myndighet bör inte förlora sitt värde som bevis i straffrättsliga, civilrättsliga eller administrativa förfaranden i enlighet med relevant EU-lagstiftning och nationell lagstiftning enbart på grund av att den har sitt ursprung i en annan medlemsstat eller att den mottogs på elektronisk väg, och den berörda Agora-aktören bör behandla den på samma sätt som liknande handlingar som har sitt ursprung i den egna medlemsstaten. |
(17) |
Det bör vara möjligt att behandla Agora-administratörers och Agora-användares namn och kontaktuppgifter när detta krävs för att uppfylla målen i förordning (EU) 2022/2065 och den här förordningen, inbegripet för övervakning av Agora-administratörernas och Agora-användarnas användning av Agora, kommunikation, utbildning och medvetandehöjande initiativ samt insamling av information i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning av tjänster som omfattas av förordning (EU) 2022/2065 eller ömsesidigt bistånd i samband med detta. |
(18) |
För att säkerställa en effektiv övervakning av och rapportering om Agoras funktion bör samordnarna för digitala tjänster, nämnden och andra behöriga myndigheter som har beviljats åtkomst till Agora göra relevant information tillgänglig för kommissionen. |
(19) |
Registrerade bör informeras om behandlingen av deras personuppgifter i Agora och om de rättigheter de åtnjuter, särskilt rätten att få tillgång till uppgifter som gäller dem och rätten att få felaktiga uppgifter korrigerade och olagligt behandlade uppgifter raderade, i enlighet med förordning (EU) 2016/679 och förordning (EU) 2018/1725. |
(20) |
Varje Agora-aktör bör, i egenskap av personuppgiftsansvarig med avseende på uppgiftsbehandling som den utför i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning av tjänster som omfattas av förordning (EU) 2022/2065, säkerställa att registrerade kan utöva sina rättigheter i enlighet med förordning (EU) 2016/679 och förordning (EU) 2018/1725. De bör bland annat inrätta en process för att regelbundet testa, bedöma och utvärdera de tekniska och organisatoriska åtgärdernas ändamålsenlighet för att trygga att behandlingen är säker. |
(21) |
Genomförandet av denna förordning och Agoras prestanda bör övervakas i den rapport om Agoras funktion som grundar sig på statistiska uppgifter från Agora och andra relevanta uppgifter. Kommissionen bör överlämna rapporten till Europaparlamentet, rådet och Europeiska datatillsynsmannen. Resultaten för samordnarna för digitala tjänster, nämnden och andra behöriga myndigheter som har beviljats åtkomst till Agora bör bland annat utvärderas på grundval av genomsnittliga svarstider i syfte att säkerställa effektiva och adekvata svar. I rapporten bör man också ta upp aspekter som rör skyddet av personuppgifter i Agora, inbegripet datasäkerhet. |
(22) |
Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i förordning (EU) 2018/1725 och avgav ett yttrande den 4 januari 2024. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
KAPITEL I
ALLMÄNNA BESTÄMMELSER
Artikel 1
Innehåll och tillämpningsområde
I denna förordning fastställs praktiska och operativa bestämmelser för driften av ett tillförlitligt och säkert system för informationsutbyte, kallat Agora, för tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065.
Artikel 2
System för informationsutbyte
1. Härmed inrättas Agora, ett system för informationsutbyte.
2. Agora är en programvaruapplikation som är tillgänglig via internet och det verktyg som används för utbyte av information, vid behov även personuppgifter, som annars skulle ske på andra sätt, såsom med vanlig post eller e-post.
3. Agora ska användas för utbyte av information, inbegripet utbyte av information som innehåller personuppgifter, mellan samordnarna för digitala tjänster, kommissionen och den europeiska nämnden för digitala tjänster (nämnden) samt med andra behöriga myndigheter som beviljas åtkomst till Agora för att kunna utföra de uppgifter som de tilldelats i enlighet med förordning (EU) 2022/2065 i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning av den förordningen.
Artikel 3
Definitioner
Utöver definitionerna i artiklarna 3 och 49.1 i förordning (EU) 2022/2065, artikel 4 i förordning (EU) 2016/679 och artikel 3 i förordning (EU) 2018/1725 gäller i denna förordning följande definitioner:
a) |
Agora: det system för informationsutbyte som inrättats och upprätthålls av kommissionen för att stödja all kommunikation i enlighet med förordning (EU) 2022/2065 mellan Agora-aktörer för tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065. |
b) |
Agora-aktör: samordnarna för digitala tjänster, kommissionen, nämnden eller andra behöriga myndigheter som har beviljats eller kan komma att beviljas åtkomst till Agora när det är nödvändigt för att de ska kunna utföra de uppgifter som de tilldelats i enlighet med förordning (EU) 2022/2065. |
c) |
Agora-användare: en fysisk person som arbetar under en Agora-aktörs överinseende, och är registrerad i Agora i enlighet med detta, för att utföra de uppgifter som Agora-aktören tilldelats genom förordning (EU) 2022/2065. |
d) |
Agora-administratör: en Agora-användare som utsetts av en Agora-aktör för att administrera Agora för den aktören. |
KAPITEL II
FUNKTIONER OCH ANSVARSOMRÅDEN I FÖRHÅLLANDE TILL AGORA
Artikel 4
Kommissionens ansvarsområden
1. Kommissionen ska ansvara för att utföra följande uppgifter i förhållande till Agora:
a) |
Tillhandahålla Agora på unionens alla officiella språk och upprätthålla Agora. |
b) |
Säkerställa tillförlitligheten, säkerheten, tillgängligheten, underhållet och utvecklingen när det gäller Agoras programvara och it-infrastruktur. |
c) |
Erbjuda automatiska maskinöversättningsverktyg för översättning av dokument och meddelanden som utbyts via Agora. |
d) |
Ge stöd till andra Agora-aktörer när det gäller användningen av Agora. |
e) |
Registrera minst en Agora-administratör för varje samordnare för digitala tjänster och nämnden samt ge dem åtkomst till Agora. |
f) |
Utse minst en Agora-administratör. |
g) |
Behandla personuppgifter i Agora, när så föreskrivs i denna förordning, för tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065. |
h) |
Sköta revision och övervakning och utarbeta rapporter som behövs för revision och övervakning av Agora enligt förordning (EU) 2022/2065. |
i) |
Tillhandahålla kunskap, utbildning och stöd, inbegripet tekniskt stöd, till Agora-administratörer. |
j) |
Övervaka alla andra Agora-aktörers arbete enligt denna förordning i enlighet med artikel 15. |
2. För att bistå kommissionen i utförandet av de uppgifter som anges i punkt 1 ska de övriga Agora-aktörerna förse kommissionen med information om de transaktioner de utfört i Agora.
Artikel 5
Kommissionens behandling av personuppgifter
1. Kommissionen ska vara personuppgiftsbiträde i den mening som avses i artikel 3.12 i förordning (EU) 2018/1725 när det gäller behandling av personuppgifter vid registrering av Agora-administratörer.
2. Kommissionen ska vara separat personuppgiftsansvarig i den mening som avses i artikel 3.8 i förordning (EU) 2018/1725 när det gäller behandling av de egna Agora-administratörernas och Agora-användarnas personuppgifter.
3. Om kommissionen behandlar personuppgifter i samband med driften av Agora i syfte att dela, begära och få tillgång till information och begära åtgärder och stöd, ska den anses vara personuppgiftsansvarig, i den mening som avses i artikel 3.8 i förordning (EU) 2018/1725, separat från de andra Agora-aktörerna för den behandling av personuppgifter som den utför.
4. Om kommissionen behandlar personuppgifter i samband med driften av Agora för andra Agora-aktörers räkning i syfte att dela, begära och få tillgång till information och begära åtgärder och stöd, ska den anses vara personuppgiftsbiträde i den mening som avses i artikel 3.12 i förordning (EU) 2018/1725.
5. Vid tillämpningen av denna förordning ska kommissionens ansvar i egenskap av personuppgiftsbiträde för uppgiftsbehandling som utförs i Agora av dessa andra Agora-aktörer fastställas i enlighet med bilaga II.
Artikel 6
Ansvarsområden för samordnarna för digitala tjänster
1. Varje samordnare för digitala tjänster ska för sin medlemsstat utse minst en Agora-administratör.
2. Varje samordnare för digitala tjänster ska ansvara för att säkerställa att endast behöriga Agora-användare har åtkomst till Agora i samband med utförandet av de uppgifter som den tilldelats i enlighet med förordning (EU) 2022/2065.
3. Varje samordnare för digitala tjänster ska utan dröjsmål informera kommissionen om den Agora-administratör som den utsett i enlighet med punkt 1. Kommissionen ska dela denna information med de andra samordnarna för digitala tjänster och nämnden.
4. Varje samordnare för digitala tjänster ska säkerställa att Agora-administratörens skyldigheter enligt denna förordning fullgörs.
5. Samordnarna för digitala tjänster ska vara separata personuppgiftsansvariga i den mening som avses i artikel 4.7 i förordning (EU) 2016/679 när det gäller behandling av personuppgifter när de registrerar sina Agora-användare och beviljar dem åtkomst till Agora.
6. Om samordnarna för digitala tjänster behandlar personuppgifter vid driften av Agora i syfte att dela, begära och få tillgång till information, besvara begäranden om information, göra hänskjutanden samt begära åtgärder och stöd ska de vara separata personuppgiftsansvariga i den mening som avses i förordning (EU) 2016/679 för den behandling som de utför.
7. Om andra behöriga myndigheter som utsetts av medlemsstaterna i enlighet med artikel 49.1 i förordning (EU) 2022/2065, men som inte är samordnare för digitala tjänster, behandlar personuppgifter vid driften av Agora, ska dessa myndigheter vara separata personuppgiftsansvariga i den mening som avses i förordning (EU) 2016/679.
Artikel 7
Nämndens ansvarsområden
1. Nämnden ska utse en Agora-administratör. Agora-administratören ska vara en del av det administrativa och analytiska stöd som ges till nämnden i enlighet med artikel 62.4 i förordning (EU) 2022/2065.
2. Nämnden ska ansvara för att säkerställa att endast behöriga Agora-användare har åtkomst till Agora.
3. Nämnden ska utan dröjsmål informera kommissionen om vem den utsett till sin Agora-förvaltare i enlighet med punkt 1 och om de uppgifter som denna ansvarar för enligt artikel 8 i denna förordning. Kommissionen ska dela denna information med samordnarna för digitala tjänster.
Artikel 8
Agora-administratörernas ansvarsområden
Agora-administratörer ska ansvara för att
a) |
registrera Agora-användare och bevilja och återkalla åtkomst till Agora, |
b) |
fungera som huvudsaklig kontaktpunkt för kommissionen i frågor som rör Agora och bland annat lämna information om aspekter som rör skyddet av personuppgifter i enlighet med denna förordning, förordning (EU) 2016/679 och förordning (EU) 2018/1725, |
c) |
tillhandahålla kunskap, utbildning och stöd, inbegripet tekniskt stöd och en helpdesk, till Agora-användare som de registrerat, |
d) |
säkerställa att Agora-aktörerna effektivt tillhandahåller adekvata åtgärder. |
Artikel 9
Agora-aktörernas åtkomsträttigheter
1. Agora-aktörerna ska bevilja och återkalla åtkomsträttigheter för Agora-administratörer som de ansvarar för.
2. Endast behöriga Agora-administratörer och behöriga Agora-användare ska ha åtkomst till Agora.
3. Agora-aktörer ska införa lämpliga metoder för att säkerställa att Agora-administratörer och Agora-användare har rätt att få åtkomst till personuppgifter som behandlas i Agora endast när det är absolut nödvändigt för tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065.
4. Om ett förfarande som rör tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065 inbegriper behandling av personuppgifter ska endast Agora-administratörer och Agora-användare som deltar i det förfarandet ha åtkomst till personuppgifterna.
Artikel 10
Konfidentialitet
1. Varje medlemsstat och kommissionen ska tillämpa sina egna regler om tystnadsplikt eller andra motsvarande konfidentialitetskrav på sina Agora-administratörer och Agora-användare i enlighet med nationell rätt eller unionsrätt.
2. Varje Agora-aktör ska säkerställa att begäranden från andra Agora-aktörer om konfidentiell behandling av information som utbyts i Agora uppfylls av Agora-administratörer och Agora-användare som arbetar under deras överinseende.
KAPITEL III
BEHANDLING AV PERSONUPPGIFTER OCH SÄKERHET
Artikel 11
Behandling av personuppgifter i Agora
1. Överföring, lagring och annan behandling av personuppgifter i Agora får endast ske i den mån det är nödvändigt och proportionellt och endast för följande ändamål:
a) |
Stödja kommunikation mellan Agora-aktörer i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065. |
b) |
Hantera ärenden när Agora-aktörer utför sin egen verksamhet i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065. |
c) |
Utföra de verksamhetsrelaterade och tekniska omvandlingar av uppgifter som förtecknas i denna förordning, när detta är nödvändigt för att möjliggöra det informationsutbyte som avses i leden a och b. |
2. Behandling av personuppgifter får ske i Agora endast avseende följande kategorier av registrerade:
a) |
Fysiska personer vars personuppgifter ingår i dokument som erhållits i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065. |
b) |
Agora-administratörer och Agora-användare som har beviljats åtkomst till Agora. |
3. Behandling av personuppgifter får ske i Agora endast avseende följande kategorier av personuppgifter:
a) |
Identifieringsuppgifter, kontaktuppgifter, uppgifter om involvering i ärendet, ärenderelaterade uppgifter och all annan information som anses nödvändig för tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065. |
b) |
Namn, adress, kontaktuppgifter, kontaktnummer och användarnamn för Agora-administratörer och Agora-användare som avses i punkt 2 b. |
4. Agora ska lagra de kategorier av personuppgifter som förtecknas i artikel 11.3 i denna förordning och loggar som anger information om flödet och förflyttningar av utbytta uppgifter i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065.
5. Lagring av uppgifter som avses i punkt 2 ska utföras med hjälp av it-infrastruktur som finns i Europeiska ekonomiska samarbetsområdet.
6. Varje Agora-aktör ska säkerställa att registrerade kan utöva sina rättigheter i enlighet med förordning (EU) 2016/679 och förordning (EU) 2018/1725 och ska ansvara för efterlevnaden av dessa förordningar när det gäller behandling av personuppgifter som utförs för dess räkning.
7. De nationella tillsynsmyndigheterna och Europeiska datatillsynsmannen ska, inom ramen för sina respektive befogenheter, säkerställa en samordnad tillsyn av Agora och Agora-administratörernas och Agora-användarnas användning av systemet.
Artikel 12
Gemensamt personuppgiftsansvar i Agora
1. Samordnarna för digitala tjänster ska vara gemensamt personuppgiftsansvariga i enlighet med artikel 26.1 i förordning (EU) 2016/679 för överföring, lagring och annan behandling av personuppgifter i Agora med avseende på nämndens verksamhet som utförs i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065.
2. När gemensamma undersökningar genomförs i enlighet med artikel 60 i förordning (EU) 2022/2065 i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065 ska de berörda samordnarna för digitala tjänster vara gemensamt personuppgiftsansvariga, i den mening som avses i artikel 26.1 i förordning (EU) 2016/679, för överföring, lagring och annan behandling av personuppgifter i Agora i samband med en viss gemensam undersökning.
3. Vid tillämpningen av punkterna 1 och 2 ska ansvaret fördelas mellan de gemensamt personuppgiftsansvariga i enlighet med bilaga I.
4. Kommissionen ska vara personuppgiftsbiträde i den mening som avses i artikel 3.12 i förordning (EU) 2018/1725 för behandling av personuppgifter som utförs på uppdrag av samordnarna för digitala tjänster med avseende på nämndens verksamhet och för gemensamma undersökningar enligt artikel 60 i förordning (EU) 2022/2065 som genomförs i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning enligt förordning (EU) 2022/2065.
Artikel 13
Säkerhet
1. Kommissionen ska införa nödvändiga toppmoderna åtgärder för att trygga säkerheten för de personuppgifter som behandlas i Agora, inbegripet lämplig åtkomstkontroll och en säkerhetsplan som ska hållas uppdaterad.
2. Kommissionen ska införa nödvändiga toppmoderna åtgärder i händelse av en säkerhetsincident, vidta avhjälpande åtgärder och se till att det är möjligt att kontrollera vilka personuppgifter som har behandlats i Agora, när det har skett, vem som har behandlat dem och för vilket ändamål.
KAPITEL IV
SLUTBESTÄMMELSER
Artikel 14
Översättning
1. Kommissionen ska göra Agora tillgängligt på unionens alla officiella språk och erbjuda Agora-användarna automatiska maskinöversättningsverktyg för översättning av dokument och meddelanden som utbyts i Agora.
2. En samordnare för digitala tjänster eller en annan behörig myndighet som beviljats åtkomst till Agora får, i samband med utförandet av någon av de uppgifter som den tilldelats i enlighet med förordning (EU) 2022/2065, ta fram alla uppgifter, dokument, resultat, utlåtanden eller bestyrkta kopior som den har mottagit i Agora, på samma grunder som liknande information som erhållits i det egna landet, för ändamål som är förenliga med de ändamål för vilka uppgifterna ursprungligen samlades in och i enlighet med relevant EU-lagstiftning och nationell lagstiftning.
Artikel 15
Övervakning och rapportering
1. Kommissionen ska regelbundet övervaka Agoras funktion och regelbundet utvärdera dess resultat.
2. Senast den 17 februari 2027 och därefter vart tredje år ska kommissionen till Europaparlamentet, rådet och Europeiska datatillsynsmannen överlämna en rapport om genomförandet av denna förordning. Rapporten ska innehålla information om den övervakning och utvärdering som utförts i enlighet med punkt 1 och om Agora-aktörernas resultat i samband med Agora i syfte att säkerställa ett effektivt informationsutbyte och lämpliga svar. I rapporten ska man också ta upp aspekter av genomförandet som rör skyddet av personuppgifter i Agora, inbegripet datasäkerhet.
3. För att utarbeta den rapport som avses i punkt 2 ska samordnarna för digitala tjänster, nämnden och andra behöriga myndigheter som beviljas åtkomst när det är nödvändigt för att de ska kunna utföra de uppgifter de tilldelats i enlighet med förordning (EU) 2022/2065 årligen förse kommissionen med all information som är relevant för tillämpningen av denna förordning i form av rapporter, inbegripet om tillämpningen av de krav på dataskydd och datasäkerhet som fastställs i den.
Artikel 16
Kostnader
1. Kostnaderna för inrättande, upprätthållande och drift av Agora ska täckas av de årliga tillsynsavgifter som tas ut av kommissionen i enlighet med artikel 43.2 i förordning (EU) 2022/2065 och kommissionens delegerade förordning (EU) 2023/1127 (4).
2. Kostnaderna för Agora-verksamhet på medlemsstatsnivå, inbegripet de personalresurser som behövs för utbildning, marknadsföring, tekniskt stöd och helpdesk samt för administrationen av Agora på nationell nivå och alla anpassningar som krävs av nationella nätverk och informationssystem, ska bäras av den medlemsstat som ådrar sig dem.
Artikel 17
Effektiv tillämpning
Medlemsstaterna ska vidta alla åtgärder som är nödvändiga för att se till att denna förordning tillämpas effektivt av Agora-aktörerna.
Artikel 18
Ikraftträdande
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 15 februari 2024.
På kommissionens vägnar
Ursula VON DER LEYEN
Ordförande
(1) EUT L 277, 27.10.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj.
(2) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (EUT L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(3) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(4) Kommissionens delegerade förordning (EU) 2023/1127 av den 2 mars 2023 om komplettering av Europaparlamentets och rådets förordning (EU) 2022/2065 vad gäller detaljerade metoder och förfaranden för de tillsynsavgifter som kommissionen tar ut av leverantörer av mycket stora onlineplattformar och mycket stora onlinesökmotorer (EUT L 149, 2.3.2023, s. 16, ELI: http://data.europa.eu/eli/reg_del/2023/1127/oj).
BILAGA I
Ansvarsområden för samordnarna av digitala tjänster i egenskap av gemensamt personuppgiftsansvariga för uppgiftsbehandling som utförs inom ramen för Agora för gemensamma undersökningar och för nämndens verksamhet
AVSNITT 1
Underavsnitt 1
Tillämpningsområde för arrangemanget för gemensamt personuppgiftsansvar
1. |
Följande arrangemang för gemensamt personuppgiftsansvar ska tillämpas på de berörda samordnarna för digitala tjänster när de genomför gemensamma undersökningar i enlighet med artikel 60 i förordning (EU) 2022/2065. |
2. |
Följande arrangemang för gemensamt personuppgiftsansvar ska tillämpas på samordnarna för digitala tjänster i egenskap av ledamöter av nämnden när nämnden behandlar personuppgifter i enlighet med förordning (EU) 2022/2065 i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning av tjänster som omfattas av förordning (EU) 2022/2065. |
Underavsnitt 2
Ansvarsfördelning
1. |
De gemensamt personuppgiftsansvariga ska behandla personuppgifter genom Agora. |
2. |
Samordnarna för digitala tjänster ska förbli ensamt personuppgiftsansvariga för insamling, användning, utlämnande och all annan behandling av personuppgifter som utförs utanför Agora. Samordnarna för digitala tjänster ska också förbli ensamt personuppgiftsansvariga för den behandling av personuppgifter de utför inom Agora för tillsyn, undersökning, efterlevnadskontroll och övervakning av tjänster som omfattas av förordning (EU) 2022/2065. |
3. |
Varje gemensamt personuppgiftsansvarig ska ansvara för behandlingen av personuppgifter i Agora i enlighet med artiklarna 5, 24 och 26 i förordning (EU) 2016/679. |
4. |
Varje gemensamt personuppgiftsansvarig ska inrätta en kontaktpunkt med en funktionsbrevlåda för kommunikationen mellan de gemensamt personuppgiftsansvariga och mellan de gemensamt personuppgiftsansvariga och personuppgiftsbiträdet. |
5. |
Varje gemensamt personuppgiftsansvarig ska på begäran ge snabbt och effektivt stöd till de andra gemensamt personuppgiftsansvariga vid verkställandet av detta arrangemang, samtidigt som de följer alla tillämpliga krav i förordning (EU) 2016/679 och andra tillämpliga dataskyddsregler, inbegripet skyldigheter gentemot den egna respektive tillsynsmyndigheten. |
6. |
De gemensamt personuppgiftsansvariga ska fastställa arbetsformerna för behandling av personuppgifter genom Agora och ska lämna överenskomna instruktioner till kommissionen i dess egenskap av personuppgiftsbiträde. |
7. |
Instruktioner till personuppgiftsbiträdet ska skickas via någon av de gemensamt personuppgiftsansvarigas kontaktpunkter, i samförstånd med övriga gemensamt personuppgiftsansvariga. Den gemensamt personuppgiftsansvariga som tillhandahåller instruktioner ska lämna dem skriftligen till personuppgiftsbiträdet och informera alla andra gemensamt personuppgiftsansvariga om detta. Om den aktuella frågan är så tidskritisk att det inte är möjligt att behandla den vid ett möte mellan de gemensamt personuppgiftsansvariga kan en instruktion ändå ges, men den kan upphävas av de gemensamt personuppgiftsansvariga. Denna instruktion ska ges skriftligen, och alla andra gemensamt personuppgiftsansvariga ska informeras om detta när instruktionen ges. |
8. |
Arbetsformerna mellan gemensamt personuppgiftsansvariga ska inte utesluta någon av de gemensamt personuppgiftsansvarigas individuella behörighet att göra anmälan till sin behöriga tillsynsmyndighet i enlighet med artiklarna 24 och 33 i förordning (EU) 2016/679. En sådan anmälan ska inte kräva samtycke från någon av de andra gemensamt personuppgiftsansvariga. |
9. |
Arbetsformerna mellan gemensamt personuppgiftsansvariga ska inte utesluta att någon av de gemensamt personuppgiftsansvariga samarbetar med sin behöriga tillsynsmyndighet som inrättats i enlighet med förordning (EU) 2016/679 och förordning (EU) 2018/1725. |
10. |
Endast personer som bemyndigats av varje gemensamt personuppgiftsansvarig ska ha åtkomst till de personuppgifter som utbyts. |
11. |
Varje gemensamt personuppgiftsansvarig ska föra register över all behandling som utförts under dess ansvar. Det gemensamma personuppgiftsansvaret ska anges i registret. |
Underavsnitt 3
Ansvarsområden och roller vid hantering av begäranden från och information till registrerade
1. |
Varje personuppgiftsansvarig ska tillhandahålla information till fysiska personer vars uppgifter behandlas för gemensamma undersökningar och nämndens verksamhet som utförs i samband med tillsyn, undersökning, efterlevnadskontroll och övervakning av tjänster som omfattas av förordning (EU) 2022/2065, i enlighet med artikel 14 i förordning (EU) 2016/679, såvida inte detta skulle visa sig vara omöjligt eller innebära en oproportionell ansträngning. |
2. |
Varje personuppgiftsansvarig ska fungera som kontaktpunkt för fysiska personer vars personuppgifter den har behandlat och ska hantera begäranden från de registrerade eller deras företrädare när de utövar sina rättigheter i enlighet med förordning (EU) 2016/679. Om en gemensamt personuppgiftsansvarig tar emot en begäran från en registrerad som rör behandling som utförts av en annan gemensamt personuppgiftsansvarig ska den informera den registrerade om denna gemensamt personuppgiftsansvarigas identitet och kontaktuppgifter. Om en annan gemensamt personuppgiftsansvarig begär bistånd med hanteringen av registrerades begäranden ska de gemensamt personuppgiftsansvariga bistå varandra och svara varandra utan onödigt dröjsmål, senast inom en månad från mottagandet av en begäran om bistånd. |
3. |
Varje personuppgiftsansvarig ska göra innehållet i denna bilaga tillgängligt för registrerade. |
AVSNITT 2
HANTERING AV SÄKERHETSINCIDENTER, INBEGRIPET PERSONUPPGIFTSINCIDENTER
1. |
De gemensamt personuppgiftsansvariga ska bistå varandra i identifiering och hantering av alla säkerhetsincidenter, inbegripet personuppgiftsincidenter, som har koppling till behandlingen i Agora. |
2. |
De gemensamt personuppgiftsansvariga ska särskilt underrätta varandra om följande:
|
3. |
De gemensamt personuppgiftsansvariga ska anmäla alla personuppgiftsincidenter som rör behandlingen i Agora till kommissionen, till behöriga dataskyddstillsynsmyndigheter och, där så krävs, till registrerade, i enlighet med artiklarna 33 och 34 i förordning (EU) 2016/679 eller efter anmälan av kommissionen. |
4. |
Varje personuppgiftsansvarig ska vidta lämpliga tekniska och organisatoriska åtgärder för att
|
AVSNITT 3
KONSEKVENSBEDÖMNING AVSEENDE DATASKYDD
Om en personuppgiftsansvarig behöver information från en annan personuppgiftsansvarig eller från personuppgiftsbiträdet för att kunna uppfylla sina skyldigheter enligt artiklarna 35 och 36 i förordning (EU) 2016/679 ska en särskild begäran skickas till den funktionsbrevlåda som avses i avsnitt 1 underavsnitt 2.4. Den senare ska göra sitt yttersta för att tillhandahålla sådan information.
BILAGA II
Ansvarsområden för kommissionen i egenskap av personuppgiftsbiträde för uppgiftsbehandling som utförs inom ramen för Agora av samordnare av digitala tjänster, andra nationella myndigheter och nämnden
1. |
Kommissionen ska
|
2. |
För att fullgöra sina skyldigheter som personuppgiftsbiträde för samordnarna för digitala tjänster, andra nationella myndigheter och nämnden får kommissionen anlita tredje parter som underentreprenörer. Om detta är fallet ska de personuppgiftsansvariga och gemensamt personuppgiftsansvariga ge kommissionen tillstånd att anlita underentreprenörer eller vid behov byta ut underentreprenörerna. Kommissionen ska informera de personuppgiftsansvariga och gemensamt personuppgiftsansvariga om sådant anlitande eller utbyte av underentreprenörer, och därigenom ge de personuppgiftsansvariga och gemensamt personuppgiftsansvariga möjlighet att invända mot sådana ändringar. Kommissionen ska säkerställa att dataskyddsskyldigheterna i denna förordning även tillämpas på dessa underentreprenörer. |
3. |
Kommissionens behandling ska omfatta följande:
|
4. |
Kommissionen ska vidta alla toppmoderna organisatoriska, fysiska och logiska säkerhetsåtgärder för att säkerställa att Agora fungerar. Kommissionen ska i detta syfte göra följande:
|
5. |
Kommissionens ska vidta alla säkerhetsåtgärder som krävs för att Agora ska fungera smidigt. Detta ska innefatta följande:
|
6. |
Kommissionen ska vidta toppmoderna fysiska och logiska säkerhetsåtgärder för de anläggningar som hyser Agora och för kontroller av åtkomst till uppgifter och säkert tillträde till anläggningarna. Kommissionen ska i detta syfte göra följande:
|
7. |
Kommissionen ska göra följande:
|
ELI: http://data.europa.eu/eli/reg_impl/2024/607/oj
ISSN 1977-0820 (electronic edition)