Rozporządzenie wykonawcze 2024/607 w sprawie ustaleń praktycznych i operacyjnych na potrzeby funkcjonowania systemu wymiany informacji na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2065 (akt o usługach cyfrowych)

ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2024/607
z dnia 15 lutego 2024 r.
w sprawie ustaleń praktycznych i operacyjnych na potrzeby funkcjonowania systemu wymiany informacji na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2065 ("akt o usługach cyfrowych")

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych) 1 , w szczególności jego art. 85,

po konsultacji z Komitetem ds. Usług Cyfrowych zgodnie z art. 88 rozporządzenia (UE) 2022/2065,

a także mając na uwadze, co następuje:

(1) Celem rozporządzenia (UE) 2022/2065 jest zapewnienie użytkownikom bezpiecznej przestrzeni cyfrowej przy jednoczesnym zapewnieniu poszanowania praw podstawowych. W tym celu rozporządzeniem (UE) 2022/2065 nakłada się na dostawców usług pośrednich obowiązki zapobiegania rozpowszechnianiu nielegalnych treści w internecie oraz reguluje się politykę moderowania treści przez tych dostawców w odniesieniu do ich usług. Skuteczny nadzór, skuteczne czynności sprawdzające, egzekwowanie i monitorowanie przestrzegania tych obowiązków przez wspomnianych dostawców wymaga współpracy między państwami członkowskimi i z Komisją, a także płynnej wymiany informacji między państwami członkowskimi i z Komisją.

(2) W tym celu w art. 85 rozporządzenia (UE) 2022/2065 nałożono na Komisję obowiązek ustanowienia i utrzymania niezawodnego, bezpiecznego i interoperacyjnego systemu wymiany informacji, zwanego dalej "systemem AGORA", wspierającego komunikację między koordynatorami ds. usług cyfrowych, Komisją i Radą ds. Usług Cyfrowych ("Rada Usług Cyfrowych"). Innym właściwym organom można przyznać dostęp do systemu AGORA w razie konieczności wykonywania przez nie zadań powierzonych im zgodnie z rozporządzeniem (UE) 2022/2065. Koordynatorzy ds. usług cyfrowych, Komisja i Rada Usług Cyfrowych są zobowiązane do korzystania z systemu AGORA do celów wszelkiej komunikacji prowadzonej zgodnie z rozporządzeniem (UE) 2022/2065.

(3) System AGORA jest aplikacją dostępną za pośrednictwem internetu, którą opracuje Komisja. System AGORA zapewnia mechanizm komunikacji w celu ułatwienia transgranicznej wymiany informacji i wzajemnej pomocy między koordynatorami ds. usług cyfrowych, Komisją i Radą Usług Cyfrowych na podstawie rozporządzenia (UE) 2022/2065. W szczególności system AGORA powinien wspierać koordynatorów ds. usług cyfrowych, Komisję i Radę Usług Cyfrowych w zarządzaniu wymianą informacji w związku z nadzorem, czynnościami sprawdzającymi, egzekwowaniem i monitorowaniem na podstawie rozporządzenia (UE) 2022/2065 w oparciu o proste i ujednolicone procedury.

(4) W niniejszym rozporządzeniu określa się praktyczne i operacyjne ustalenia dotyczące utworzenia, utrzymania i funkcjonowania systemu AGORA do celów nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065, które mogą obejmować między innymi wymianę informacji między dwiema zainteresowanymi stronami, procedury powiadamiania, mechanizmy ostrzegania, ustalenia dotyczące wzajemnej pomocy i rozwiązywanie problemów między koordynatorami ds. usług cyfrowych, Komisją, Radą Usług Cyfrowych i innymi właściwymi organami, którym przyznano dostęp do systemu AGORA na podstawie rozporządzenia (UE) 2022/2065 ("uczestnicy systemu AGORA").

(5) Ze względu na transgraniczne i międzysektorowe znaczenie usług pośrednich niezbędny jest wysoki poziom koordynacji i współpracy między różnymi odpowiednimi uczestnikami, aby zapewnić spójność nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065 oraz dostępność odpowiednich informacji za pośrednictwem systemu AGORA służących realizacji tego celu.

(6) Aby pokonać bariery językowe, system AGORA powinien być dostępny we wszystkich językach urzędowych Unii. W tym celu system AGORA powinien oferować dostępne obecnie Komisji narzędzia do w pełni automatycznego tłumaczenia maszynowego dokumentów i wiadomości wymienianych za pośrednictwem tego systemu. Komisja powinna zapewnić takie narzędzia osobom fizycznym pracującym pod zwierzchnictwem koordynatorów ds. usług cyfrowych, Komisji, Rady Usług Cyfrowych lub innych właściwych organów, którym przyznano dostęp do systemu AGORA ("użytkownik AGORA"), oraz użytkownikom systemu AGORA wyznaczonym jako administratorzy przez koordynatorów ds. usług cyfrowych, Komisję i Radę Usług Cyfrowych ("administrator systemu AGORA"). Narzędzia do automatycznego tłumaczenia maszynowego powinny być zgodne z wymogami bezpieczeństwa i poufności dotyczącymi wymiany informacji w systemie AGORA.

(7) Aby wykonywać swoje zadania wynikające z rozporządzenia (UE) 2022/2065, koordynatorzy ds. usług cyfrowych, Komisja i Rada Usług Cyfrowych mogą być zmuszone do wymiany informacji obejmujących dane osobowe. Wszelka taka wymiana informacji powinna być zgodna z przepisami dotyczącymi ochrony danych osobowych określonymi w rozporządzeniach Parlamentu Europejskiego i Rady (UE) 2016/679 2  i (UE) 2018/1725 3 . W związku z tym wymiana danych osobowych niezbędnych do wypełnienia obowiązków i zadań określonych w rozporządzeniu (UE) 2022/2065 wchodzi w zakres zgodnego z prawem przetwarzania danych na podstawie art. 5 ust. 1 lit. a) rozporządzenia (UE) 2018/1725 oraz art. 6 ust. 1 lit. e) rozporządzenia (UE) 2016/679.

(8) System AGORA powinien być narzędziem wykorzystywanym do wymiany informacji, w tym, w razie potrzeby, danych osobowych, która w przeciwnym razie odbywałaby się za pomocą innych środków, w tym tradycyjnej poczty lub poczty elektronicznej, na podstawie obowiązku prawnego nałożonego na koordynatorów ds. usług cyfrowych, Komisję, Radę Usług Cyfrowych i inne właściwe organy, którym przyznano dostęp do systemu AGORA na podstawie rozporządzenia (UE) 2022/2065. Dane osobowe wymieniane za pośrednictwem systemu AGORA należy przetwarzać wyłącznie do celów nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065. W przypadku gdy dane osobowe są przetwarzane w ramach funkcjonowania systemu AGORA do celów udostępniania informacji, zwracania się o informacje i dostępu do nich w odpowiedzi na wnioski o udzielenie informacji, skierowania sprawy do Komisji, wnioskowania o podjęcie działań i ubiegania się o wsparcie, koordynatorzy ds. usług cyfrowych powinni być odrębnymi administratorami w rozumieniu rozporządzenia (UE) 2016/679 w odniesieniu do czynności przetwarzania, które wykonują.

(9) Każdy koordynator ds. usług cyfrowych może również podjąć decyzję o wykorzystaniu systemu AGORA do własnych czynności związanych z rozpatrywaniem spraw prowadzonych na potrzeby nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065. W przypadku gdy dane osobowe nie mają być wymieniane za pośrednictwem systemu AGORA do celów udostępniania informacji, zwracania się o informacje i dostępu do nich w odpowiedzi na wnioski o udzielenie informacji, skierowanie sprawy do Komisji, wnioskowanie o podjęcie działań i ubieganie się o wsparcie, każdy koordynator ds. usług cyfrowych oraz, w stosownych przypadkach, inne właściwe organy, którym przyznano dostęp do systemu AGORA, powinien być jedynym administratorem w rozumieniu rozporządzenia (UE) 2016/679 i rozporządzenia (UE) 2018/1725 w odniesieniu do czynności przetwarzania danych prowadzonych za pośrednictwem AGORA.

(10) Przekazywanie, przechowywanie i innego rodzaju przetwarzanie danych osobowych osób fizycznych powinno odbywać się w systemie AGORA, aby wspierać komunikację między uczestnikami systemu AGORA w celu rozpatrywania spraw związanych z nadzorem, czynnościami sprawdzającymi, egzekwowaniem i monitorowaniem na podstawie rozporządzenia (UE) 2022/2065.

(11) W systemie AGORA należy przetwarzać dane osobowe, o ile jest to absolutnie niezbędne na potrzeby nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065. W systemie AGORA należy przetwarzać dane osobowe, takie jak dane identyfikacyjne (np. imię i nazwisko, pseudonimy, data urodzenia, miejsce urodzenia, obywatelstwo, dokumenty tożsamości oraz, w razie potrzeby, inne cechy, które mogą pomóc w identyfikacji), dane kontaktowe (np. adres służbowy i prywatny, adres e-mail i telefon), dane dotyczące udziału w sprawie (np. stanowisko i funkcja osoby fizycznej w przedsiębiorstwie, na temat statusu, takiego jak osoba podejrzana, ofiara, sygnalista, informator i świadek), dane dotyczące sprawy (np. dokument, obraz, wideo, nagranie głosowe, oświadczenie, opinia i zapis) oraz wszelkie inne informacje uznane za niezbędne do spełnienia wymogów określonych w rozporządzeniu (UE) 2022/2065.

(12) Zgodnie z zasadą uwzględniania ochrony danych w fazie projektowania i zasadą domyślnej ochrony danych system AGORA należy opracować i zaprojektować z należytym poszanowaniem wymogów przepisów o ochronie danych, w szczególności ze względu na ograniczenia nałożone na dostęp do danych osobowych wymienianych za pośrednictwem systemu AGORA. Dzięki temu system AGORA powinien zapewnić znacznie wyższy poziom ochrony i bezpieczeństwa niż inne metody wymiany informacji, takie jak rozmowa telefoniczna, poczta tradycyjna lub poczta elektroniczna.

(13) Komisja powinna dostarczać oprogramowanie i infrastrukturę informatyczną na potrzeby systemu AGORA oraz zarządzać nimi, zapewniać jego niezawodność, bezpieczeństwo, dostępność, utrzymanie i eksploatację, a także być zaangażowanym w szkolenie administratorów systemu AGORA i użytkowników systemu oraz zapewnienie im pomocy technicznej.

(14) Kompetencje państw członkowskich do decydowania, które organy krajowe wykonują obowiązki wynikające z niniejszego rozporządzenia, powinny być wykonywane zgodnie z art. 49 i 62 rozporządzenia (UE) 2022/2065. Państwa członkowskie powinny mieć możliwość dostosowania funkcji i obowiązków w odniesieniu do systemu AGORA w celu odzwierciedlenia swoich wewnętrznych struktur administracyjnych oraz wdrożenia w systemie AGORA określonego rodzaju prac lub kolejności etapów danego procesu pracy.

(15) Każdy koordynator ds. usług cyfrowych powinien wyznaczyć w swoim państwie członkowskim co najmniej jednego administratora systemu AGORA do spraw związanych z tym systemem i powiadomić o tym Komisję. Każdy koordynator ds. usług cyfrowych powinien być również odpowiedzialny za wyznaczenie administratorów systemu AGORA w odpowiednich właściwych organach, którym przyznano dostęp do systemu AGORA na podstawie rozporządzenia (UE) 2022/2065. Każdy administrator systemu AGORA powinien rejestrować, przyznawać i cofać dostęp do systemu AGORA w przypadku swoich własnych użytkowników tego systemu. Aby osiągnąć skuteczną współpracę w zakresie nadzoru, czynności sprawdzających, egzekwowania i monitorowania usług objętych zakresem rozporządzenia (UE) 2022/2065 za pośrednictwem systemu AGORA, państwa członkowskie powinny zapewnić, aby ich odpowiedni administratorzy systemu AGORA i użytkownicy tego systemu dysponowali zasobami niezbędnymi do wypełniania swoich obowiązków zgodnie z art. 50 ust. 1 rozporządzenia (UE) 2022/2065.

(16) Informacje otrzymane przez koordynatora ds. usług cyfrowych, Komisję, Radę Usług Cyfrowych lub inny właściwy organ, któremu przyznano dostęp do systemu AGORA za pośrednictwem systemu AGORA innego koordynatora ds. usług cyfrowych, Komisji, Rady Usług Cyfrowych lub innego właściwego organu, nie powinny być pozbawiane ich wartości dowodowej w postępowaniach karnych, cywilnych lub administracyjnych zgodnie z odpowiednimi przepisami unijnymi i krajowymi wyłącznie z tego powodu, że pochodzą z innego państwa członkowskiego lub zostały otrzymane drogą elektroniczną, i powinny być traktowane przez odpowiedniego uczestnika systemu AGORA w taki sam sposób jak podobne dokumenty pochodzące z jego państwa członkowskiego.

(17) Powinna istnieć możliwość przetwarzania nazwisk i danych kontaktowych administratorów systemu AGORA i użytkowników systemu AGORA niezbędnego do osiągnięcia celów rozporządzenia (UE) 2022/2065 i niniejszego rozporządzenia, w tym monitorowania korzystania z systemu AGORA przez administratorów systemu AGORA i użytkowników systemu AGORA, inicjatyw w zakresie komunikacji, szkoleń i podnoszenia świadomości oraz gromadzenia informacji w związku z nadzorem, czynnościami sprawdzającymi, egzekwowaniem i monitorowaniem usług objętych zakresem rozporządzenia (UE) 2022/2065 lub wzajemnej pomocy w tym zakresie.

(18) Aby zapewnić skuteczne monitorowanie i sprawozdawczość w zakresie funkcjonowania systemu AGORA, koordynatorzy ds. usług cyfrowych, Rada Usług Cyfrowych i inne właściwe organy, którym przyznano dostęp do systemu AGORA, powinny udostępniać Komisji odpowiednie informacje.

(19) Osoby, których dane dotyczą, powinny być informowane o przetwarzaniu ich danych osobowych w systemie AGORA oraz o przysługujących im prawach, w szczególności prawie dostępu do danych, które ich dotyczą, a także o prawie do sprostowania niedokładnych danych oraz żądania usunięcia danych przetwarzanych niezgodnie z prawem, zgodnie z rozporządzeniem (UE) 2016/679 i rozporządzeniem (UE) 2018/1725.

(20) Każdy uczestnik systemu AGORA, działając w charakterze administratora w odniesieniu do czynności przetwarzania danych, które wykonuje w związku z nadzorem, czynnościami sprawdzającymi, egzekwowaniem i monitorowaniem usług objętych zakresem rozporządzenia (UE) 2022/2065, powinien zapewnić, aby osoby, których dane dotyczą, mogły wykonywać swoje prawa zgodnie z rozporządzeniem (UE) 2016/679 i rozporządzeniem (UE) 2018/1725. Powinno to obejmować ustanowienie procesu regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

(21) Wdrażanie niniejszego rozporządzenia oraz skuteczność systemu AGORA należy monitorować w sprawozdaniu z funkcjonowania systemu AGORA w oparciu o dane statystyczne pochodzące z systemu AGORA oraz wszelkie inne istotne dane. Komisja powinna przedłożyć sprawozdanie Parlamentowi Europejskiemu, Radzie i Europejskiemu Inspektorowi Ochrony Danych. Skuteczność koordynatorów ds. usług cyfrowych, Rady Usług Cyfrowych i innych właściwych organów, którym przyznano dostęp do systemu AGORA, należy oceniać między innymi na podstawie średniego czasu odpowiedzi, przy czym celem jest zapewnienie skutecznych i adekwatnych odpowiedzi. Sprawozdanie to powinno również dotyczyć aspektów związanych z ochroną danych osobowych w systemie AGORA, w tym bezpieczeństwa danych.

(22) Zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię dnia 4 stycznia 2024 r.,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

ROZDZIAŁ  I

PRZEPISY OGÓLNE

Artykuł  1

Przedmiot i zakres stosowania

W niniejszym rozporządzeniu określa się ustalenia praktyczne i operacyjne na potrzeby funkcjonowania niezawodnego i bezpiecznego systemu wymiany informacji, zwanego dalej "systemem AGORA", do celów nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065.

Artykuł  2

System wymiany informacji

1. 
Niniejszym ustanawia się system wymiany informacji AGORA.
2. 
System AGORA jest aplikacją dostępną przez internet oraz narzędziem wykorzystywanym do wymiany informacji, w tym, w razie potrzeby, danych osobowych, która w przeciwnym razie odbywałaby się za pomocą innych środków, w tym tradycyjnej poczty lub poczty elektronicznej.
3. 
System AGORA jest wykorzystywany do wymiany informacji, w tym wymiany informacji zawierających dane osobowe, między koordynatorami ds. usług cyfrowych, Komisją i Europejską Radą ds. Usług Cyfrowych ("Rada Usług Cyfrowych"), a także z innymi właściwymi organami, którym przyznano dostęp do systemu AGORA w celu wykonywania zadań powierzonych im zgodnie z rozporządzeniem (UE) 2022/2065 w odniesieniu do nadzoru, czynności sprawdzających, egzekwowania i monitorowania wynikających z tego rozporządzenia.
Artykuł  3

Definicje

Do celów niniejszego rozporządzenia, oprócz definicji określonych w art. 3 i art. 49 ust. 1 rozporządzenia (UE) 2022/2065, art. 4 rozporządzenia (UE) 2016/679 i art. 3 rozporządzenia (UE) 2018/1725, stosuje się następujące definicje:

a)
"system AGORA" oznacza system wymiany informacji ustanowiony i utrzymywany przez Komisję do celów wspierania wszelkiej komunikacji prowadzonej zgodnie z rozporządzeniem (UE) 2022/2065 między uczestnikami systemu AGORA na potrzeby nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065;
b)
"uczestnik systemu AGORA" oznacza koordynatorów ds. usług cyfrowych, Komisję, Radę Usług Cyfrowych lub inne właściwe organy, którym przyznano lub można przyznać dostęp do systemu AGORA, jeżeli jest to konieczne do wykonywania przez nich zadań powierzonych im zgodnie z rozporządzeniem (UE) 2022/2065;
c)
"użytkownik systemu AGORA" oznacza osobę fizyczną pracującą pod zwierzchnictwem uczestnika systemu AGORA, i zarejestrowaną jako taka w systemie AGORA, do celów wykonywania zadań powierzonych uczestnikowi systemu AGORA na mocy rozporządzenia (UE) 2022/2065;
d)
"administrator systemu AGORA" oznacza użytkownika systemu AGORA wyznaczonego przez uczestnika systemu AGORA w celu zarządzania systemem AGORA w imieniu tego uczestnika.

ROZDZIAŁ  II

FUNKCJE I OBOWIĄZKI ZWIĄZANE Z SYSTEMEM AGORA

Artykuł  4

Obowiązki Komisji

1. 
Komisja jest odpowiedzialna za wykonywanie następujących zadań w odniesieniu do systemu AGORA:
a)
zapewnienie, aby system AGORA funkcjonował we wszystkich językach urzędowych Unii oraz utrzymywanie systemu AGORA;
b)
zapewnienie niezawodności, bezpieczeństwa, dostępności, utrzymania oraz rozwoju oprogramowania i infrastruktury informatycznej na potrzeby systemu AGORA;
c)
oferowanie narzędzi do automatycznego tłumaczenia maszynowego dokumentów i wiadomości wymienianych za pośrednictwem systemu AGORA;
d)
udzielanie wsparcia innym uczestnikom systemu AGORA w związku z korzystaniem z systemu AGORA;
e)
zarejestrowanie co najmniej jednego administratora systemu AGORA w imieniu każdego koordynatora ds. usług cyfrowych i Rady Usług Cyfrowych oraz udzielenie im dostępu do systemu AGORA;
f)
wyznaczenie co najmniej jednego administratora systemu AGORA;
g)
wykonywanie operacji przetwarzania danych osobowych w systemie AGORA, w przypadkach przewidzianych w niniejszym rozporządzeniu, do celów nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065;
h)
audyt, monitorowanie i przygotowywanie sprawozdań niezbędnych do audytu i monitorowania systemu AGORA na podstawie rozporządzenia (UE) 2022/2065;
i)
zapewnianie wiedzy, szkoleń i wsparcia, w tym pomocy technicznej, administratorom systemu AGORA;
j)
monitorowanie wykonania niniejszego rozporządzenia przez wszystkich pozostałych uczestników systemu AGORA zgodnie z art. 15.
2. 
W celu wsparcia Komisji w wykonywaniu zadań wymienionych w ust. 1 pozostali uczestnicy systemu AGORA przekazują Komisji informacje dotyczące operacji wykonywanych przez nich w systemie AGORA.
Artykuł  5

Przetwarzanie danych osobowych przez Komisję

1. 
Komisja jest podmiotem przetwarzającym w rozumieniu art. 3 pkt 12 rozporządzenia (UE) 2018/1725 w odniesieniu do przetwarzania danych osobowych podczas rejestracji administratorów systemu AGORA.
2. 
Komisja jest odrębnym administratorem w rozumieniu art. 3 pkt 8 rozporządzenia (UE) 2018/1725 w odniesieniu do przetwarzania danych osobowych swoich administratorów systemu AGORA i swoich użytkowników systemu AGORA.
3. 
W przypadku gdy Komisja przetwarza dane osobowe w ramach funkcjonowania systemu AGORA do celów udostępniania informacji, składania wniosków o udzielenie informacji i dostępu do nich, wnioskowania o podjęcie działań i ubiegania się o wsparcie, uznaje się ją za odrębnego administratora w rozumieniu art. 3 pkt 8 rozporządzenia (UE) 2018/1725 od pozostałych uczestników systemu AGORA w odniesieniu do czynności przetwarzania, które wykonuje.
4. 
W przypadku gdy Komisja przetwarza dane osobowe w ramach funkcjonowania systemu AGORA w imieniu innych uczestników systemu AGORA do celów udostępniania informacji, składania wniosków o udzielenie informacji i dostępu do nich, wnioskowania o podjęcie działań i ubiegania się o wsparcie, uznaje się ją za podmiot przetwarzający w rozumieniu art. 3 pkt 12 rozporządzenia (UE) 2018/1725.
5. 
Do celów niniejszego rozporządzenia obowiązki Komisji jako podmiotu przetwarzającego w odniesieniu do czynności przetwarzania danych prowadzonych w systemie AGORA przez tych innych uczestników systemu AGORA określa się zgodnie z załącznikiem II.
Artykuł  6

Obowiązki koordynatorów ds. usług cyfrowych

1. 
Każdy koordynator ds. usług cyfrowych wyznacza dla swojego państwa członkowskiego co najmniej jednego administratora systemu AGORA.
2. 
Każdy koordynator ds. usług cyfrowych odpowiada za zapewnienie, aby, w związku z wykonywaniem zadań powierzonych mu zgodnie z rozporządzeniem (UE) 2022/2065, dostęp do systemu AGORA mieli wyłącznie upoważnieni użytkownicy systemu AGORA.
3. 
Każdy koordynator ds. usług cyfrowych niezwłocznie informuje Komisję o administratorze systemu AGORA wyznaczonym przez siebie zgodnie z ust. 1. Komisja przekazuje te informacje pozostałym koordynatorom ds. usług cyfrowych oraz Radzie Usług Cyfrowych.
4. 
Każdy koordynator ds. usług cyfrowych zapewnia, aby administrator systemu AGORA wypełniał obowiązki zgodnie z niniejszym rozporządzeniem.
5. 
Koordynatorzy ds. usług cyfrowych są odrębnymi administratorami w rozumieniu art. 4 pkt 7 rozporządzenia (UE) 2016/679 w odniesieniu do przetwarzania danych osobowych podczas rejestracji swoich użytkowników systemu AGORA i udzielania im dostępu do systemu AGORA.
6. 
W przypadku gdy koordynatorzy ds. usług cyfrowych przetwarzają dane osobowe w ramach funkcjonowania systemu AGORA do celów udostępniania informacji, zwracania się o informacje i dostępu do nich w odpowiedzi na wnioski o udzielenie informacji, skierowanie sprawy do Komisji, wnioskowanie o podjęcie działań i ubieganie się o wsparcie, powinni być odrębnymi administratorami w rozumieniu rozporządzenia (UE) 2016/679 w odniesieniu do czynności przetwarzania, które wykonują.
7. 
W przypadku gdy inne właściwe organy wyznaczone przez państwa członkowskie na podstawie art. 49 ust. 1 rozporządzenia (UE) 2022/2065, które nie są koordynatorem ds. usług cyfrowych, przetwarzają dane osobowe w ramach funkcjonowania systemu AGORA, są one odrębnymi administratorami w rozumieniu rozporządzenia (UE) 2016/679.
Artykuł  7

Obowiązki Rady Usług Cyfrowych

1. 
Rada Usług Cyfrowych wyznacza jednego administratora systemu AGORA. Administrator systemu AGORA jest częścią wsparcia administracyjnego i analitycznego udzielanego Radzie Usług Cyfrowych zgodnie z art. 62 ust. 4 rozporządzenia (UE) 2022/2065.
2. 
Rada Usług Cyfrowych odpowiada za zapewnienie, aby dostęp do systemu AGORA mieli wyłącznie upoważnieni użytkownicy systemu AGORA.
3. 
Rada Usług Cyfrowych niezwłocznie informuje Komisję o tożsamości swojego administratora systemu AGORA wyznaczonego zgodnie z ust. 1 oraz o zadaniach administratorów wynikających z art. 8 niniejszego rozporządzenia. Komisja przekazuje te informacje koordynatorom ds. usług cyfrowych.
Artykuł  8

Obowiązki administratorów systemu AGORA

Administratorzy systemu AGORA są odpowiedzialni za:

a)
rejestrację użytkowników systemu AGORA oraz przyznawanie i cofanie dostępu do systemu AGORA;
b)
pełnienie funkcji głównego punktu kontaktowego działającego w imieniu Komisji w kwestiach związanych z systemem AGORA, w tym dostarczanie informacji na temat aspektów związanych z ochroną danych osobowych zgodnie z niniejszym rozporządzeniem, rozporządzeniem (UE) 2016/679 i rozporządzeniem (UE) 2018/1725;
c)
zapewnianie wiedzy, szkoleń i wsparcia, w tym pomocy technicznej i punktu informacyjnego, zarejestrowanym przez nich użytkownikom systemu AGORA;
d)
skuteczne zapewnienie odpowiedniego reagowania przez uczestników systemu AGORA.
Artykuł  9

Prawa dostępu dla uczestników systemu AGORA

1. 
Uczestnicy systemu AGORA przyznają i cofają prawa dostępu administratorom systemu AGORA pozostającym pod ich zwierzchnictwem.
2. 
Dostęp do systemu AGORA mają wyłącznie upoważnieni administratorzy systemu AGORA i upoważnieni użytkownicy systemu AGORA.
3. 
Uczestnicy systemu AGORA wprowadzają odpowiednie środki w celu zapewnienia, aby administratorzy systemu AGORA i użytkownicy systemu AGORA mieli dostęp do danych osobowych przetwarzanych w systemie AGORA tylko wtedy, gdy jest to absolutnie niezbędne do celów nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065.
4. 
Jeżeli postępowanie związane z nadzorem, czynnościami sprawdzającymi, egzekwowaniem i monitorowaniem na podstawie rozporządzenia (UE) 2022/2065 wiąże się z przetwarzaniem danych osobowych, dostęp do takich danych osobowych mają wyłącznie administratorzy systemu AGORA i użytkownicy systemu AGORA uczestniczący w tej procedurze.
Artykuł  10

Poufność

1. 
Każde państwo członkowskie i Komisja stosują własne przepisy dotyczące tajemnicy zawodowej lub innych równoważnych obowiązków zachowania poufności wobec swoich administratorów systemu AGORA i użytkowników systemu AGORA zgodnie z prawem krajowym lub unijnym.
2. 
Każdy uczestnik systemu AGORA zapewnia, aby pracujący pod jego zwierzchnictwem administratorzy systemu AGORA oraz użytkownicy systemu AGORA zaspokajali żądania innych uczestników systemu AGORA dotyczące poufnego traktowania informacji wymienianych w systemie AGORA.

ROZDZIAŁ  III

PRZETWARZANIE DANYCH OSOBOWYCH I BEZPIECZEŃSTWO

Artykuł  11

Przetwarzanie danych osobowych w systemie AGORA

1. 
Przekazywanie, przechowywanie i innego rodzaju przetwarzanie danych osobowych w systemie AGORA może odbywać się, o ile jest to konieczne i proporcjonalne oraz wyłącznie w następujących celach:
a)
wspieranie komunikacji między uczestnikami systemu AGORA w związku z nadzorem, czynnościami sprawdzającymi, egzekwowaniem i monitorowaniem na podstawie rozporządzenia (UE) 2022/2065;
b)
rozpatrywanie spraw przez uczestników systemu AGORA podczas prowadzenia własnej działalności w związku z nadzorem, czynnościami sprawdzającymi, egzekwowaniem i monitorowaniem na podstawie rozporządzenia (UE) 2022/2065;
c)
przeprowadzanie transformacji biznesowej i technicznej danych wymienionych w niniejszym rozporządzeniu, jeżeli jest to konieczne do umożliwienia wymiany informacji, o których mowa w lit. a) i b).
2. 
Przetwarzanie danych osobowych w systemie AGORA może się odbywać wyłącznie w odniesieniu do następujących kategorii osób, których dane dotyczą:
a)
osoby fizyczne, których dane osobowe zawarte są w dokumentach uzyskanych w związku z nadzorem, czynnościami sprawdzającymi, egzekwowaniem i monitorowaniem na podstawie rozporządzenia (UE) 2022/2065;
b)
administratorzy systemu AGORA i użytkownicy systemu AGORA, którym przyznano dostęp do systemu AGORA.
3. 
Przetwarzanie danych osobowych w systemie AGORA może się odbywać wyłącznie w odniesieniu do następujących kategorii danych osobowych:
a)
dane identyfikacyjne, dane kontaktowe, dane dotyczące udziału w sprawie, dane związane ze sprawą oraz wszelkie inne informacje uznane za niezbędne do celów nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065;
b)
imię i nazwisko, adres, dane kontaktowe, numer kontaktowy oraz identyfikator użytkownika administratorów systemu AGORA i użytkowników systemu AGORA, o których mowa w ust. 2 lit. b).
4. 
W systemie AGORA przechowuje się kategorie danych osobowych wymienione w art. 11 ust. 3 niniejszego rozporządzenia oraz rejestry wskazujące informacje na temat przepływu i ruchu wymienionych danych do celów nadzoru, czynności sprawdzających, egzekwowania i monitorowania rozporządzenia (UE) 2022/2065.
5. 
Przechowywanie danych, o których mowa w ust. 2, odbywa się z wykorzystaniem infrastruktury informatycznej znajdującej się na terytorium Europejskiego Obszaru Gospodarczego.
6. 
Każdy uczestnik systemu AGORA zapewnia, aby osoby, których dane dotyczą, mogły wykonywać swoje prawa zgodnie z rozporządzeniem (UE) 2016/679 i rozporządzeniem (UE) 2018/1725 oraz jest odpowiedzialny za przestrzeganie przepisów tych rozporządzeń w odniesieniu do czynności przetwarzania danych osobowych prowadzonych w jego imieniu.
7. 
Krajowe organy nadzorcze i Europejski Inspektor Ochrony Danych, działając w ramach swoich odpowiednich kompetencji, zapewniają skoordynowany nadzór nad systemem AGORA oraz korzystaniem z niego przez administratorów systemu AGORA i użytkowników systemu AGORA.
Artykuł  12

Współadministrowanie systemem AGORA

1. 
Koordynatorzy ds. usług cyfrowych są współadministratorami na podstawie art. 26 ust. 1 rozporządzenia (UE) 2016/679 w odniesieniu do przekazywania, przechowywania i innego rodzaju przetwarzania danych osobowych w systemie AGORA w odniesieniu do działań Rady Usług Cyfrowych przeprowadzanych w kontekście nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065.
2. 
Jeżeli prowadzone są wspólne czynności sprawdzające na podstawie art. 60 rozporządzenia (UE) 2022/2065 w kontekście nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065, zainteresowani koordynatorzy ds. usług cyfrowych są współadministratorami w rozumieniu art. 26 ust. 1 rozporządzenia (UE) 2016/679 do celów przekazywania, przechowywania i innego rodzaju przetwarzania danych osobowych w systemie AGORA w kontekście konkretnej wspólnej czynności sprawdzającej.
3. 
Do celów ust. 1 i 2 obowiązki dzieli się między współadministratorów zgodnie z załącznikiem I.
4. 
Komisja jest podmiotem przetwarzającym w rozumieniu art. 3 pkt 12 rozporządzenia (UE) 2018/1725 w odniesieniu do przetwarzania danych osobowych prowadzonego w imieniu koordynatorów ds. usług cyfrowych do celów działalności Rady Usług Cyfrowych oraz na potrzeby wspólnych czynności sprawdzających prowadzonych na podstawie art. 60 rozporządzenia (UE) 2022/2065 w kontekście nadzoru, czynności sprawdzających, egzekwowania i monitorowania na podstawie rozporządzenia (UE) 2022/2065.
Artykuł  13

Bezpieczeństwo

1. 
Komisja wprowadza najnowocześniejsze środki niezbędne do zapewnienia bezpieczeństwa danych osobowych przetwarzanych w systemie AGORA, w tym stosowną kontrolę dostępu do danych oraz plan bezpieczeństwa, który podlega stałej aktualizacji.
2. 
Komisja wprowadza niezbędne, najnowocześniejsze środki w przypadku incydentu cyberbezpieczeństwa, podejmuje działania naprawcze i zapewnia możliwość sprawdzenia, jakie dane osobowe zostały przetworzone w systemie AGORA, kiedy, przez kogo i w jakim celu.

ROZDZIAŁ  IV

POSTANOWIENIA KOŃCOWE

Artykuł  14

Tłumaczenie

1. 
Komisja udostępnia system AGORA we wszystkich językach urzędowych Unii i oferuje użytkownikom systemu AGORA narzędzia do automatycznego tłumaczenia maszynowego dokumentów i wiadomości wymienianych za pośrednictwem tego systemu.
2. 
Koordynator ds. usług cyfrowych lub każdy inny właściwy organ, któremu przyznano dostęp do systemu AGORA, może przedstawić, w związku z wykonywaniem któregokolwiek z zadań powierzonych mu zgodnie z rozporządzeniem (UE) 2022/2065, wszelkie informacje, dokumenty, ustalenia, oświadczenia lub poświadczone za zgodność z oryginałem kopie otrzymane w systemie AGORA, na takich samych zasadach co podobne informacje uzyskane w jego własnym państwie, do celów zgodnych z celami, do których dane zostały pierwotnie zebrane, oraz zgodnie z odpowiednimi przepisami unijnymi i krajowymi.
Artykuł  15

Monitorowanie i sprawozdawczość

1. 
Komisja regularnie monitoruje funkcjonowanie systemu AGORA i regularnie ocenia jego skuteczność.
2. 
Do dnia 17 lutego 2027 r., a następnie co trzy lata, Komisja przedkłada Parlamentowi Europejskiemu, Radzie i Europejskiemu Inspektorowi Ochrony Danych sprawozdanie dotyczące wdrożenia niniejszego rozporządzenia. Sprawozdanie zawiera informacje na temat monitorowania i oceny przeprowadzonych zgodnie z ust. 1 oraz na temat skuteczności uczestników systemu AGORA w związku z systemem AGORA pod kątem zapewnienia skutecznej wymiany informacji i odpowiednich odpowiedzi. Sprawozdanie to dotyczy również aspektów wdrożenia związanych z ochroną danych osobowych w systemie AGORA, w tym bezpieczeństwa danych.
3. 
Do celów sporządzenia sprawozdania, o którym mowa w ust. 2, koordynatorzy ds. usług cyfrowych, Rada Usług Cyfrowych i inne właściwe organy, którym przyznano dostęp, jeżeli jest to konieczne do wykonywania zadań powierzonych im zgodnie z rozporządzeniem (UE) 2022/2065, co roku przekazują Komisji w formie sprawozdań wszelkie informacje istotne dla stosowania niniejszego rozporządzenia, w tym na temat stosowania określonych w nim wymogów ochrony danych i bezpieczeństwa danych.
Artykuł  16

Koszty

1. 
Koszty poniesione na utworzenie, utrzymanie i funkcjonowanie systemu AGORA pokrywa się z rocznych opłat nadzorczych pobieranych przez Komisję zgodnie z art. 43 ust. 2 rozporządzenia (UE) 2022/2065 i rozporządzeniem delegowanym Komisji (UE) 2023/1127 4 .
2. 
Koszty funkcjonowania systemu AGORA na poziomie państw członkowskich, w tym zasoby ludzkie niezbędne do prowadzenia szkoleń, promocji, zapewnienia pomocy technicznej i działalności punktu informacyjnego, a także zarządzania systemem AGORA na szczeblu krajowym, oraz koszty wszelkich niezbędnych dostosowań krajowych sieci i systemów informatycznych pokrywa państwo członkowskie, które je ponosi.
Artykuł  17

Skuteczne stosowanie

Państwa członkowskie przyjmują wszelkie środki konieczne do zapewnienia skutecznego stosowania niniejszego rozporządzenia przez swych uczestników systemu AGORA.

Artykuł  18

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 15 lutego 2024 r.

ZAŁĄCZNIKI

ZAŁĄCZNIK  I

Obowiązki koordynatorów ds. usług cyfrowych jako współadministratorów w odniesieniu do czynności w zakresie przetwarzania danych prowadzonych w kontekście systemu AGORA na potrzeby wspólnych czynności sprawdzających i działalności rady usług cyfrowych

SEKCJA  1

Podsekcja 1

Zakres uzgodnienia o współadministrowaniu
1)
Następujące uzgodnienia o współadministrowaniu mają zastosowanie do zainteresowanych koordynatorów ds. usług cyfrowych podczas prowadzenia wspólnych czynności sprawdzających na podstawie art. 60 rozporządzenia (UE) 2022/2065.
2)
Następujące uzgodnienia o współadministrowaniu mają zastosowanie do koordynatorów ds. usług cyfrowych jako członków Rady Usług Cyfrowych w zakresie czynności przetwarzania danych osobowych przez Radę Usług Cyfrowych na podstawie rozporządzenia (UE) 2022/2065, prowadzonych w kontekście nadzoru, czynności sprawdzających, egzekwowania i monitorowania usług objętych zakresem rozporządzenia (UE) 2022/2065.

Podsekcja 2

Podział obowiązków

1)
Współadministratorzy przetwarzają dane osobowe za pośrednictwem systemu AGORA.
2)
Koordynatorzy ds. usług cyfrowych pozostają jedynymi administratorami w odniesieniu do zbierania, wykorzystywania, ujawniania i wszelkiego rodzaju innego przetwarzania danych osobowych prowadzonego poza systemem AGORA. Koordynatorzy ds. usług cyfrowych pozostają również jedynymi administratorami w odniesieniu do czynności przetwarzania danych osobowych, które prowadzą w ramach systemu AGORA do celów nadzoru, czynności sprawdzających, egzekwowania i monitorowania usług objętych zakresem rozporządzenia (UE) 2022/2065.
3)
Każdy współadministrator odpowiada za przetwarzanie danych osobowych w systemie AGORA zgodnie z art. 5, 24 i 26 rozporządzenia (UE) 2016/679.
4)
Każdy współadministrator ustanawia punkt kontaktowy posiadający funkcyjną skrzynkę pocztową do komunikacji między samymi współadministratorami oraz między współadministratorami a podmiotem przetwarzającym.
5)
Każdy współadministrator, na wniosek, zapewnia szybką i skuteczną pomoc pozostałym współadministratorom w wykonaniu niniejszego uzgodnienia, przestrzegając przy tym wszystkich mających zastosowanie wymogów rozporządzenia (UE) 2016/679 i innych mających zastosowanie przepisów o ochronie danych, w tym obowiązków wobec własnego odpowiedniego organu nadzorczego.
6)
Współadministratorzy określają metody pracy, za pomocą których odbywa się przetwarzanie danych osobowych za pośrednictwem systemu AGORA, oraz dostarczają uzgodnione instrukcje dla Komisji jako podmiotu przetwarzającego.
7)
Instrukcje dla podmiotu przetwarzającego są wysyłane przez punkty kontaktowe któregokolwiek z współadministra- torów w porozumieniu z pozostałymi współadministratorami. Współadministrator, który wydaje instrukcje, przekazuje je podmiotowi przetwarzającemu na piśmie i informuje o tym wszystkich pozostałych współadministratorów. Jeżeli omawiana kwestia jest na tyle pilna, że nie pozwala na posiedzenie współadministratorów, można mimo to wydać instrukcje, ale współadministratorzy mogą je unieważnić. Instrukcje te wydaje się na piśmie, a wszyscy pozostali współadministratorzy są o tym informowani w momencie wydawania instrukcji.
8)
Metody pracy współadministratorów nie wykluczają indywidualnych kompetencji współadministratorów do informowania ich właściwego organu nadzorczego zgodnie z art. 24 i 33 rozporządzenia (UE) 2016/679. Takie powiadomienie nie wymaga zgody żadnego z pozostałych współadministratorów.
9)
Metody pracy współadministratorów nie wykluczają współpracy żadnego z współadministratorów z ich odpowiednim właściwym organem nadzorczym ustanowionym na podstawie rozporządzenia (UE) 2016/679 i rozporządzenia (UE) 2018/1725.
10)
Dostęp do wymienianych danych osobowych mają wyłącznie osoby upoważnione przez każdego współadministratora.
11)
Każdy współadministrator prowadzi rejestr czynności przetwarzania, za które jest odpowiedzialny. W rejestrze tym wskazuje się współadministrowanie.

Podsekcja 3

Obowiązki i role w zakresie rozpatrywania wniosków osób, których dane dotyczą, oraz w zakresie informowania takich osób

1)
Każdy administrator udziela informacji osobom fizycznym, których dane są przetwarzane na potrzeby wspólnych czynności sprawdzających i działań Rady Usług Cyfrowych prowadzonych w kontekście nadzoru, czynności sprawdzających, egzekwowania i monitorowania usług objętych zakresem rozporządzenia (UE) 2022/2065, zgodnie z art. 14 rozporządzenia (UE) 2016/679, chyba że okaże się to niemożliwe lub wymagałoby niewspółmiernie dużego wysiłku.
2)
Każdy administrator pełni rolę punktu kontaktowego dla osób fizycznych, których dane osobowe przetwarzał, i rozpatruje wnioski składane przez osoby, których dane dotyczą, lub ich przedstawicieli w ramach wykonywania ich praw zgodnie z rozporządzeniem (UE) 2016/679. Jeżeli współadministrator otrzyma od osoby, której dane dotyczą, wniosek w sprawie przetwarzania przez innego współadministratora, informuje osobę, której dane dotyczą, o tożsamości i danych kontaktowych tego współadministratora. Jeżeli zostaną o to poproszeni przez innego współadministratora, współadministratorzy pomagają sobie nawzajem w rozpatrywaniu wniosków osób, których dane dotyczą, i udzielają sobie nawzajem odpowiedzi bez zbędnej zwłoki, przy czym nie później niż w terminie jednego miesiąca od otrzymania prośby o udzielenie pomocy.
3)
Każdy administrator udostępnia treść niniejszego załącznika osobom, których dane dotyczą.

SEKCJA  2

ZARZĄDZANIE CYBERINCYDENTAMI, W TYM NARUSZENIAMI OCHRONY DANYCH OSOBOWYCH

1)
Współadministratorzy pomagają sobie nawzajem w identyfikacji cyberincydentów i reagowaniu na cyberincydenty, w tym w przypadku naruszeń ochrony danych osobowych, w związku z przetwarzaniem w systemie AGORA.
2)
Współadministratorzy w szczególności powiadamiają się nawzajem o kwestiach takich, jak:
a)
wszelkie potencjalne lub faktyczne ryzyko dla dostępności, poufności lub integralności danych osobowych podlegających przetwarzaniu w systemie AGORA;
b)
każde naruszenie ochrony danych osobowych, prawdopodobne konsekwencje naruszenia ochrony danych osobowych oraz ocena ryzyka naruszenia praw i wolności osób fizycznych, a także wszelkie środki wdrożone w celu przeciwdziałania naruszaniu ochrony danych osobowych i łagodzenia ryzyka naruszenia praw i wolności osób fizycznych oraz
c)
każde naruszenie technicznych lub organizacyjnych zabezpieczeń dotyczących operacji przetwarzania w systemie AGORA.
3)
Współadministratorzy powiadamiają o wszelkich naruszeniach ochrony danych osobowych związanych z operacjami przetwarzania w systemie AGORA Komisję, właściwe organy nadzorcze odpowiedzialne za ochronę danych osobowych i, jeśli jest to wymagane, osoby, których dane dotyczą, zgodnie z art. 33 i 34 rozporządzenia (UE) 2016/679 lub po otrzymaniu powiadomienia ze strony Komisji.
4)
Każdy administrator wdraża odpowiednie środki techniczne i organizacyjne, mające na celu:
a)
zapewnienie i ochronę dostępności, integralności i poufności wspólnie przetwarzanych danych osobowych;
b)
ochronę danych osobowych będących w jego posiadaniu przed wszelkiego rodzaju przetwarzaniem, utratą, wykorzystaniem, ujawnieniem lub nabyciem, które jest nieuprawnione lub niezgodne z prawem, lub przed nieuprawnionym lub niezgodnym z prawem dostępem do tych danych oraz
c)
zapewnienie, aby dostęp do danych osobowych nie był ujawniany ani nie był przyznawany nikomu innemu niż odbiorcom lub podmiotowi przetwarzającemu.

SEKCJA  3

OCENA SKUTKÓW DLA OCHRONY DANYCH

Jeżeli administrator, w celu wypełnienia swoich obowiązków wynikających z art. 35 i 36 rozporządzenia (UE) 2016/679, potrzebuje informacji od innego administratora lub od podmiotu przetwarzającego, wysyła specjalny wniosek na adres funkcyjnej skrzynki pocztowej, o której mowa w sekcji 1 podsekcja 2 pkt 4. Administrator, który otrzymał taki wniosek, dokłada wszelkich starań, aby takie informacje przekazać.

ZAŁĄCZNIK  II

Obowiązki komisji jako podmiotu przetwarzającego w odniesieniu do czynności przetwarzania danych prowadzonych w kontekście systemu AGORA przez koordynatorów ds. usług cyfrowych, inne organy krajowe i radę usług cyfrowych

1)
Komisja:
a)
tworzy i zapewnia bezpieczną i niezawodną infrastrukturę komunikacyjną, system AGORA - na rzecz koordynatorów ds. usług cyfrowych, innych organów krajowych i Rady Usług Cyfrowych - który wspiera wymianę informacji na potrzeby skoordynowanych czynności sprawdzających, mechanizmów spójności i działań Rady Usług Cyfrowych, oraz
b)
przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratorów i współadministratorów, chyba że obowiązek taki wynika z prawa Unii lub z prawa państwa członkowskiego; w takim przypadku przed rozpoczęciem czynności przetwarzania Komisja informuje administratorów i współadministratorów o tym wymogu prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny.
2)
Aby wypełnić swoje obowiązki jako podmiotu przetwarzającego na rzecz koordynatorów ds. usług cyfrowych, innych organów krajowych i Rady Usług Cyfrowych, Komisja może korzystać z osób trzecich działających w charakterze podwykonawców przetwarzania. W takim przypadku administratorzy i współadministratorzy upoważniają Komisję do korzystania z podwykonawców przetwarzania lub zastąpienia w razie potrzeby podwykonawców przetwarzania. Komisja informuje administratorów i współadministratorów o takim skorzystaniu z podwykonawców przetwarzania lub zastąpieniu ich, dając tym samym administratorom i współadministratorom możliwość zgłoszenia sprzeciwu wobec wszelkich takich zmian. Komisja zapewnia, aby do podwykonawców przetwarzania zastosowanie miały takie same obowiązki dotyczące ochrony danych jak obowiązki określone w niniejszym rozporządzeniu.
3)
Przetwarzanie przez Komisję obejmuje:
a)
uwierzytelnianie i kontrolę dostępu w odniesieniu do wszystkich administratorów systemu AGORA i użytkowników systemu AGORA;
b)
upoważnienie administratorów systemu AGORA i użytkowników systemu AGORA do tworzenia, aktualizowania i usuwania wszelkich zapisów i informacji zawartych w systemie AGORA;
c)
odbiór danych osobowych, o których mowa w art. 12 ust. 3 niniejszego rozporządzenia, załadowanych przez krajowych użytkowników systemu AGORA i administratorów systemu AGORA, poprzez udostępnienie interfejsu programowania aplikacji, który umożliwia krajowym użytkownikom systemu AGORA i administratorom systemu AGORA załadowanie odpowiednich danych;
d)
przechowywanie danych osobowych w systemie AGORA;
e)
udostępnianie danych osobowych do wglądu i pobierania przez administratorów systemu AGORA i użytkowników systemu AGORA oraz wykonywanie wszelkich innych niezbędnych czynności przetwarzania danych;
f)
usuwanie danych osobowych z datą ich wygaśnięcia lub na polecenie administratora, który je przedłożył;
g)
po zakończeniu świadczenia usługi usuwanie wszelkich pozostałych danych osobowych, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie takich danych osobowych.
4)
Komisja wprowadza wszelkie najnowocześniejsze organizacyjne, fizyczne i logiczne środki bezpieczeństwa w celu zapewnienia funkcjonowania systemu AGORA. W tym celu Komisja:
a)
wyznacza podmiot odpowiedzialny za zarządzanie bezpieczeństwem systemu AGORA, przekazuje współadmini- stratorom dane kontaktowe tego podmiotu oraz zapewnia jego dostępność w celu reagowania na zagrożenia dla bezpieczeństwa;
b)
ponosi odpowiedzialność za bezpieczeństwo systemu AGORA, w tym za regularne przeprowadzanie testów, ocen i badań środków bezpieczeństwa;
c)
zapewnia, aby administratorzy systemu AGORA i użytkownicy systemu AGORA, którym przyznano dostęp do systemu AGORA, podlegali umownemu, zawodowemu lub ustawowemu obowiązkowi zachowania poufności.
5)
Komisja wprowadza wszystkie niezbędne środki bezpieczeństwa, aby nie dopuścić do zakłócenia sprawnego funkcjonowania systemu AGORA. Działania te obejmują:
a)
procedury oceny ryzyka, by wykryć i oszacować potencjalne zagrożenia dla systemu AGORA;
b)
procedurę audytu i przeglądu w celu:
sprawdzania zgodności między wprowadzonymi środkami bezpieczeństwa a mającą zastosowanie polityką bezpieczeństwa,
przeprowadzania regularnych kontroli integralności plików systemu AGORA, parametrów bezpieczeństwa i przyznanych zezwoleń,
wykrywania naruszeń bezpieczeństwa i wtargnięć do systemu AGORA,
wdrażania zmian, których celem jest ograniczenie istniejących uchybień w zakresie bezpieczeństwa w systemie AGORA,
określania warunków w zakresie upoważniania, w tym na wniosek administratorów, do przeprowadzania niezależnych audytów, w tym kontroli, i przeglądów środków bezpieczeństwa, oraz wnoszenia wkładu w przeprowadzanie tych audytów, kontroli i przeglądów, z zastrzeżeniem warunków, które są zgodne z Protokołem (nr 7) do Traktatu o funkcjonowaniu Unii Europejskiej w sprawie przywilejów i immunitetów Unii Europejskiej;
c)
zmiany procedury kontroli, aby udokumentować i zmierzyć wpływ zmiany przed jej wdrożeniem oraz na bieżąco informować administratorów i współadministratorów o wszelkich zmianach, które mogą wpłynąć na łączność z ich infrastrukturą lub na bezpieczeństwo systemu AGORA;
d)
ustanowienia procedury konserwacji i naprawy, by określić zasady i warunki, których należy przestrzegać w przypadku konieczności przeprowadzenia konserwacji lub naprawy sprzętu systemu AGORA;
e)
ustanowienia procedury dotyczącej cyberincydentów na potrzeby określenia systemu zgłaszania i eskalacji, bezzwłocznego informowania administratorów, których to dotyczy, bezzwłocznego informowania administratorów, aby mogli zgłosić krajowym organom nadzorczym odpowiedzialnym za ochronę danych wszelkie naruszenia ochrony danych osobowych, a także na potrzeby określenia procesu dyscyplinarnego w przypadku naruszeń zasad bezpieczeństwa w systemie AGORA.
6)
Komisja wprowadza najnowocześniejsze fizyczne lub logiczne środki bezpieczeństwa w odniesieniu do obiektów, w których znajduje się system AGORA, oraz w odniesieniu do kontroli dostępu do danych i bezpiecznego dostępu. W tym celu Komisja:
a)
egzekwuje bezpieczeństwo fizyczne, by ustanowić wyraźne granice bezpieczeństwa i umożliwić wykrywanie naruszeń w systemie AGORA;
b)
kontroluje dostęp do obiektów systemu AGORA i prowadzi rejestr odwiedzających system AGORA do celów identyfikacyjnych;
c)
zapewnia, aby osobom z zewnątrz, którym przyznano dostęp do obiektów, towarzyszył odpowiednio upoważniony członek personelu;
d)
zapewnia, aby sprzętu nie można było dodać, wymienić ani usunąć bez uprzedniej zgody wyznaczonych odpowiedzialnych podmiotów;
e)
kontroluje dostęp do systemu AGORA i z systemu AGORA;
f)
zapewnia identyfikację i uwierzytelnienie administratorów systemu AGORA i użytkowników systemu AGORA mających dostęp do systemu AGORA;
g)
dokonuje przeglądu uprawnień do udzielania zezwoleń na dostęp do systemu AGORA w przypadku wykrycia naruszenia bezpieczeństwa mającego wpływ na system AGORA;
h)
zachowuje integralność informacji przekazywanych za pośrednictwem systemu AGORA;
i)
wprowadza techniczne i organizacyjne środki bezpieczeństwa, by zapobiec nieuprawnionemu dostępowi do danych osobowych w systemie AGORA;
j)
wdraża, w razie potrzeby, środki mające na celu zablokowanie nieuprawnionego dostępu do systemu AGORA (tj. zablokowanie lokalizacji/adresu IP).
7)
Komisja:
a)
podejmuje działania w celu ochrony swojej domeny obejmujące zerwanie połączeń, w przypadku znacznych odstępstw od zasad i koncepcji jakości i bezpieczeństwa;
b)
utrzymuje plan zarządzania ryzykiem związany ze swoim zakresem odpowiedzialności;
c)
monitoruje - w czasie rzeczywistym - wydajność wszystkich komponentów usług systemu AGORA, tworzy regularne statystyki i prowadzi rejestry;
d)
zapewnia wsparcie dla systemu AGORA w języku angielskim administratorom systemu AGORA i użytkownikom systemu AGORA;
e)
wspiera administratorów i współadministratorów za pośrednictwem odpowiednich środków technicznych i organizacyjnych w wywiązywaniu się ze spoczywającego na administratorze obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III rozporządzenia (UE) 2016/679;
f)
wspiera administratorów i współadministratorów poprzez dostarczanie informacji dotyczących systemu AGORA w celu wypełnienia obowiązków wynikających z art. 32, 33, 34, 35 i 36 rozporządzenia (UE) 2016/679;
g)
zapewnia, aby dane przetwarzane w ramach systemu AGORA były niemożliwe do odczytania dla każdej osoby, która nie jest uprawniona do uzyskania do nich dostępu;
h)
wprowadza wszelkie stosowne środki, aby zapobiec nieuprawnionemu dostępowi do przekazywanych danych osobowych za pośrednictwem systemu AGORA;
i)
wprowadza środki w celu ułatwienia komunikacji między administratorami a współadministratorami;
j)
prowadzi rejestr czynności przetwarzania dokonywanych w imieniu administratorów i współadministratorów zgodnie z art. 31 ust. 2 rozporządzenia (UE) 2018/1725.
1 Dz.U. L 277 z 27.10.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj.
2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. L 119 z 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
3 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
4 Rozporządzenie delegowane Komisji (UE) 2023/1127 z dnia 2 marca 2023 r. uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 o szczegółową metodykę i procedury dotyczące opłat nadzorczych pobieranych przez Komisję od dostawców bardzo dużych platform internetowych i bardzo dużych wyszukiwarek internetowych (Dz.U. L 149 z 2.3.2023, s. 16, ELI: https://eur- lex.europa.eu/eli/reg_del/2023/1127/oj?locale=pl).

Zmiany w prawie

Bez konsultacji społecznych nie będzie nowego prawa

Już od jutra rządowi trudniej będzie, przy tworzeniu nowego prawa, omijać proces konsultacji publicznych, wykorzystując w tym celu projekty poselskie. W czwartek, 31 października, wchodzą w życie zmienione przepisy regulaminu Sejmu, które nakazują marszałkowi Sejmu kierowanie projektów poselskich do konsultacji publicznych i wymagają sporządzenia do nich oceny skutków regulacji. Każdy obywatel będzie mógł odtąd zgłosić własne uwagi do projektów poselskich, korzystając z Systemu Informacyjnego Sejmu.

Grażyna J. Leśniak 30.10.2024
Nowy urlop dla rodziców wcześniaków coraz bliżej - rząd przyjął projekt ustawy

Rada Ministrów przyjęła we wtorek przygotowany w Ministerstwie Rodziny, Pracy i Polityki Społecznej projekt ustawy wprowadzający nowe uprawnienie – uzupełniający urlop macierzyński dla rodziców wcześniaków i rodziców dzieci urodzonych w terminie, ale wymagających dłuższej hospitalizacji po urodzeniu. Wymiar uzupełniającego urlopu macierzyńskiego będzie wynosił odpowiednio do 8 albo do 15 tygodni.

Grażyna J. Leśniak 29.10.2024
Na zwolnieniu w jednej pracy, w drugiej - w pełni sił i... płacy

Przebywanie na zwolnieniu lekarskim w jednej pracy nie wykluczy już możliwości wykonywania pracy i pobierania za nią wynagrodzenia w innej firmie czy firmach. Ministerstwo Rodziny, Pracy i Polityki Społecznej przygotowało właśnie projekt ustawy, który ma wprowadzić też m.in. definicję pracy zarobkowej - nie będzie nią podpisanie w czasie choroby firmowych dokumentów i nie spowoduje to utraty świadczeń. Zwolnienie lekarskie będzie mogło przewidywać miejsce pobytu w innym państwie. To rewolucyjne zmiany. Zdaniem prawników, te propozycje mają sens, nawet jeśli znajdą się tacy, którzy będą chcieli nadużywać nowych przepisów.

Beata Dązbłaż 29.10.2024
Bez kary za brak lekarza w karetce do połowy przyszłego roku

W ponad połowie specjalistycznych Zespołów Ratownictwa Medycznego brakuje lekarzy. Ministerstwo Zdrowia wydłuża więc po raz trzeci czas, kiedy Narodowy Fundusz Zdrowia nie będzie pobierał kar umownych w przypadku niezapewnienia lekarza w zespołach ratownictwa medycznego. Ostatnio termin wyznaczono na koniec tego roku, teraz ma to być czerwiec 2025 r.

Beata Dązbłaż 23.09.2024
Darowizny dla ofiar powodzi z zerową stawką VAT

Można już stosować zerową stawkę VAT na darowizny dla ofiar powodzi - rozporządzenie w tej sprawie obowiązuje od 18 września, ale z możliwością stosowania go do darowizn towarów i nieodpłatnych usług przekazanych począwszy od 12 września do 31 grudnia 2024 r. Stawka 0 proc. będzie stosowana do darowizn wszelkiego rodzaju towarów lub usług niezbędnych do wsparcia poszkodowanych.

Monika Sewastianowicz 18.09.2024
Lewiatan: Za reformę płacy minimalnej będą musieli zapłacić pracodawcy

Projekt ustawy o minimalnym wynagrodzeniu jest słaby legislacyjnie. Nie tylko nie realizuje celów zawartych w unijnej dyrektywie, ale może przyczynić się do pogłębienia problemów firm i spadku zatrudnienia. Nie poprawi też jakości pracy w naszym kraju. Utrwala zwiększanie presji płacowej – uważa Konfederacja Lewiatan.

Grażyna J. Leśniak 10.09.2024
Metryka aktu
Identyfikator:

Dz.U.UE.L.2024.607

Rodzaj: Rozporządzenie
Tytuł: Rozporządzenie wykonawcze 2024/607 w sprawie ustaleń praktycznych i operacyjnych na potrzeby funkcjonowania systemu wymiany informacji na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2022/2065 (akt o usługach cyfrowych)
Data aktu: 15/02/2024
Data ogłoszenia: 16/02/2024
Data wejścia w życie: 07/03/2024