(EU) 2025/2050Nařízení Komise v přenesené pravomoci (EU) 2025/2050 ze dne 1. července 2025, kterým se doplňuje nařízení Evropského parlamentu a Rady (EU) 2022/2065 stanovením technických podmínek a postupů, za nichž mají poskytovatelé velmi velkých online platforem a velmi velkých internetových vyhledávačů sdílet údaje s prověřenými výzkumnými pracovníky
| Publikováno: | Úř. věst. L 2050, 9.10.2025 | Druh předpisu: | Nařízení v přenesené pravomoci |
| Přijato: | 1. července 2025 | Autor předpisu: | |
| Platnost od: | 29. října 2025 | Nabývá účinnosti: | 29. října 2025 |
| Platnost předpisu: | Ano | Pozbývá platnosti: | |
 Obsah  Tisk  Export  Skrýt přehled Celkový přehled  Skrýt názvy Zobrazit názvy
|
|||
Předpisem se mění
Provádí předpisy
Oblasti
Věcný rejstřík
Třídění
- Deskriptor EUROVOC:
; ; ; digitální technologie; internetový vyhledávací stroj; poskytování služeb; technická specifikace; výzkumný pracovník; zprostředkování dat - Oblast:
Vnitřní trh - zásady; Volný pohyb služeb - Kód oblastí:
06 PRÁVO USAZOVÁNÍ A VOLNÝ POHYB SLUŽEB; 06.20 Uplatnění v odvětvích; 06.20.20 Služby; 13 PRŮMYSLOVÁ POLITIKA A VNITŘNÍ TRH; 13.20 Průmyslová politika:odvětvová opatření; 13.20.60 Informační technologie, telekomunikace a zpracování dat
Předpisy EU
|
Úřední věstník |
CS Řada L |
|
2025/2050 |
9.10.2025 |
NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) 2025/2050
ze dne 1. července 2025,
kterým se doplňuje nařízení Evropského parlamentu a Rady (EU) 2022/2065 stanovením technických podmínek a postupů, za nichž mají poskytovatelé velmi velkých online platforem a velmi velkých internetových vyhledávačů sdílet údaje s prověřenými výzkumnými pracovníky
(Text s významem pro EHP)
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského parlamentu a Rady (EU) 2022/2065 ze dne 19. října 2022 o jednotném trhu digitálních služeb a o změně směrnice 2000/31/ES (1), a zejména na čl. 40 odst. 13 uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
Článek 40 nařízení (EU) 2022/2065 stanoví pravidla týkající se přístupu k údajům, který mají poskytovatelé velmi velkých online platforem a velmi velkých internetových vyhledávačů poskytnout. Umožňuje zejména, aby výzkumným pracovníkům, kteří prošli procesem prokazujícím, že splňují podmínky stanovené v odstavci 8 uvedeného článku („prověření výzkumní pracovníci“), byl takový přístup poskytnut. |
|
(2) |
Podle čl. 40 odst. 4 nařízení (EU) 2022/2065 mají mít prověření výzkumní pracovníci přístup k údajům, které jim pomohou studovat systémová rizika v Unii a posuzovat účinnost opatření pro jejich zmírnění. Jejich zjištění mohou být cenným přínosem pro prosazování nařízení (EU) 2022/2065 a mohou posílit odpovědnost poskytovatelů velmi velkých online platforem a velmi velkých internetových vyhledávačů. Účelem tohoto nařízení je stanovit technické podmínky a postupy nezbytné pro umožnění takového přístupu bezpečným a účinným způsobem, který bude jednotný pro všechny koordinátory digitálních služeb, a způsobem, který zajistí rovné zacházení s výzkumnými pracovníky a poskytovateli údajů. |
|
(3) |
Aby byl proces přístupu k údajům jednotný pro všechny koordinátory digitálních služeb a aby byl pro všechny jasný a transparentní, je nutné vytvořit specializovanou digitální infrastrukturu (dále jen „portál pro přístup k údajům dle nařízení o digitálních službách“). Portál pro přístup k údajům dle nařízení o digitálních službách by měl umožnit výzkumným pracovníkům, poskytovatelům údajů a koordinátorům digitálních služeb účastnit se procesu přístupu k údajům, mít přístup k příslušným informacím, jako jsou podrobnosti o vyhrazených kontaktních místech, a šířit je a vzájemně komunikovat. Portál pro přístup k údajům dle nařízení o digitálních službách by neměl být považován za jeden ze způsobů přístupu, který má být použit pro poskytnutí přístupu k údajům na základě odůvodněné žádosti. |
|
(4) |
Poskytovatelé údajů a výzkumní pracovníci, kteří se chtějí účastnit procesu přístupu k údajům, by si měli za tímto účelem vytvořit účet na portálu pro přístup k údajům dle nařízení o digitálních službách. Aby bylo zajištěno, že koordinátoři digitálních služeb budou mít přístup k informacím předloženým prostřednictvím portálu pro přístup k údajům dle nařízení o digitálních službách, aniž si musí na portálu vytvářet samostatný účet, měl by tento portál být interoperabilní se systémem pro sdílení informací AGORA zřízeným prováděcím nařízením Komise (EU) 2024/607 (2). |
|
(5) |
Aby byla zajištěna transparentnost procesu přístupu k údajům pro všechny zúčastněné strany a aby bylo možné sledovat účinnost a efektivitu procesu přístupu k údajům a soulad s čl. 40 odst. 4 nařízení (EU) 2022/2065 a tímto nařízením, měl by portál pro přístup k údajům dle nařízení o digitálních službách generovat automatická oznámení týkající se různých kroků a aktualizací procesu. |
|
(6) |
Aby byly výzkumným pracovníkům poskytovány konzistentní informace o procesu přístupu k údajům, měli by koordinátoři digitálních služeb na svých online rozhraních zpřístupnit informace týkající se procesu přístupu k údajům a usnadnit přístup k nim, včetně odkazů na portál pro přístup k údajům dle nařízení o digitálních službách. Aby se předešlo zbytečné administrativní zátěži, zvýšila se efektivita a usnadnila se komunikace mezi všemi stranami zapojenými do procesu přístupu k údajům, jsou koordinátoři digitálních služeb vyzýváni, aby usnadnili správu informací souvisejících s procesem přístupu k údajům, a to i z jazykového hlediska. |
|
(7) |
Aby mohli výzkumní pracovníci identifikovat příslušné údaje pro účely stanovené v čl. 40 odst. 4 nařízení (EU) 2022/2065, měli by poskytovatelé údajů pro své služby zpřístupnit datové katalogy dle nařízení o digitálních službách. Tyto katalogy by měly být snadno vyhledatelné a přístupné na online rozhraních poskytovatelů údajů a měly by popisovat dostupná datová aktiva, jejich strukturu a metadata, o jejichž zpřístupnění lze požádat podle čl. 40 odst. 4 nařízení (EU) 2022/2065. Při zpřístupňování datových katalogů dle nařízení o digitálních službách by poskytovatelé údajů měli brát ohled na rizika pro důvěrnost, zabezpečení údajů nebo ochranu osobních údajů, která by mohla vyplynout ze zveřejnění těchto informací. |
|
(8) |
S cílem přispět k rozvoji příslušných výzkumných projektů pro účely stanovené v čl. 40 odst. 4 nařízení (EU) 2022/2065 by datové katalogy dle nařízení o digitálních službách měly obsahovat zejména údaje týkající se systémových rizik v Unii, která poskytovatelé údajů identifikovali ve svých ročních posouzeních rizik podle článku 34 uvedeného nařízení, jakož i údaje týkající se všech opatření ke zmírnění rizik uvedených v článku 35 uvedeného nařízení. Aby byla zajištěna relevance a aktuálnost datových katalogů dle nařízení o digitálních službách, měly by být tyto katalogy pravidelně aktualizovány s náležitým ohledem na nově zjištěná systémová rizika a vývoj systémových rizik. Měly by například odrážet nově vznikající rizika zjištěná na základě posouzení rizik ad hoc podle článku 34 nařízení (EU) 2022/2065 nebo na základě zprávy o auditu podle článku 37 uvedeného nařízení. Aby se minimalizovala procesní zátěž pro poskytovatele údajů, mohou tyto katalogy případně vycházet ze stávajících zdrojů dokumentace údajů používaných pro jiné účely a publikum, jako je reklama, tvorba obsahu nebo vývoj aplikací třetích stran. Datové katalogy dle nařízení o digitálních službách by neměly být vyčerpávající, a proto by neměly žádající výzkumné pracovníky v jejich žádostech o přístup k údajům zavazovat ani omezovat. |
|
(9) |
Aby se usnadnilo určování způsobů přístupu koordinátorem digitálních služeb v zemi usazení a snížila se celková zátěž procesu přístupu k údajům pro všechny zúčastněné subjekty, měli by poskytovatelé údajů zveřejnit své navrhované způsoby přístupu k údajům popsaným v datových katalozích dle nařízení o digitálních službách. Tyto navrhované způsoby přístupu by měly být přiměřené citlivosti údajů a měly by zahrnovat informace o možných technických, organizačních a právních podmínkách, které poskytovatelé údajů považují za vhodné pro umožnění poskytnutí údajů. Způsoby přístupu navržené poskytovateli údajů by neměly být závazné pro koordinátory digitálních služeb v zemi usazení, kteří by měli mít i nadále pravomoc určit vhodné způsoby přístupu. |
|
(10) |
Aby se zajistilo, že se s žádostmi o přístup k údajům zachází stejně, nezávisle na tom, kterému koordinátorovi digitálních služeb je žádost o přístup k údajům předložena nebo od kterého pochází odůvodněná žádost, měl by být stanoven časový rámec pro formulování odůvodněných žádostí, aby se zajistila jednotnost u všech koordinátorů digitálních služeb. Pokud formulace odůvodněné žádosti vyžaduje dodatečný čas, měl by koordinátor digitálních služeb v zemi usazení informovat vedoucího výzkumného pracovníka a uvést důvody zpoždění. Mezi tyto důvody může patřit potřeba dodatečného ověření ze strany koordinátora digitálních služeb výzkumné organizace nebo v zemi usazení, například pokud žádosti o přístup k údajům znamenají přeshraniční tok údajů nebo pokud koordinátor digitálních služeb v zemi usazení zjistil potenciální rizika pro bezpečnost Unie, pokud by údaje měly být sdíleny. S cílem sladit také kroky v procesu přístupu k údajům, které předcházejí formulování odůvodněných žádostí, včetně posuzování žádostí o přístup k údajům a udělování statusu prověřeného výzkumného pracovníka, se koordinátoři digitálních služeb vyzývají, aby v rámci Evropského sboru pro digitální služby vypracovali konzistentní a koordinovaný způsob práce, včetně společných provozních kritérií. |
|
(11) |
V zájmu zefektivnění postupů pro formulaci odůvodněných žádostí by všichni koordinátoři digitálních služeb v zemi usazení měli být povinni ověřit, zda byly v žádostech o přístup k údajům řádně zahrnuty určité společné prvky procesu přístupu k údajům. Za tímto účelem by měli koordinátoři digitálních služeb v zemi usazení ověřit, zda všichni žádající výzkumní pracovníci, kteří jsou uvedeni v žádosti o přístup k údajům, prokázali své přidružení k výzkumné organizaci, například předložením dokladů o pracovní smlouvě nebo jiné formě právního spojení s výzkumnou organizací. Koordinátoři digitálních služeb v zemi usazení by měli rovněž ověřit, zda žádající výzkumní pracovníci prokázali svou nezávislost na komerčních zájmech, například prostřednictvím příslušného prohlášení. |
|
(12) |
Koordinátor digitálních služeb v zemi usazení by měl ověřit, zda je v žádosti o přístup k údajům uvedeno financování výzkumného projektu, pro který jsou údaje požadovány. Informace poskytnuté žádajícími výzkumnými pracovníky by měly obsahovat podrobnosti o příspěvcích, jako je financující subjekt, částka, povaha a doba trvání příspěvku, včetně toho, zda již bylo financování poskytnuto nebo zda je žádost o financování stále v procesu hodnocení, a v příslušných případech také příslušné odkazy na projekty financované Unií. Pokud je to možné, měla by žádost o přístup k údajům obsahovat také výsledky hodnocení provedených subjektem nebo subjekty poskytujícími financování. |
|
(13) |
Koordinátor digitálních služeb v zemi usazení by měl ověřit, zda žádost o přístup k údajům popisuje způsob výběru údajů a formátu údajů s ohledem na požadavky na nezbytnost a přiměřenost účelu plánovaného výzkumu. Pokud jsou požadované údaje k dispozici i z jiných zdrojů, měl by koordinátor digitálních služeb v zemi usazení posoudit, zda je žádost o tyto údaje v žádosti o přístup k údajům řádně odůvodněná, a to s ohledem na informace v žádosti o přístup k údajům. Mezi možná odůvodnění může patřit důkaz o špatné kvalitě nebo nespolehlivosti takových údajů pocházejících z jiných zdrojů nebo o nevhodnosti formátu, v němž mohou být takové údaje získány z jiných zdrojů pro účely výzkumného projektu, což by bránilo provádění výzkumného projektu. Údaje, které lze požadovat za účelem studia systémových rizik nebo jejich zmírňování v Unii, se mohou v budoucnu vyvíjet. Mezi současné příklady takových údajů patří údaje týkající se uživatelů služeb, jako jsou informace o profilu, sítě vztahů, vystavení vůči obsahu na individuální úrovni a historie zapojení; údaje o interakcích, jako jsou komentáře nebo jiné aktivity; údaje související s doporučováním obsahu, včetně údajů používaných k personalizaci doporučení; údaje související se zacílením reklam a profilováním, včetně údajů o ceně za kliknutí a dalších ukazatelů cen reklamy; údaje týkající se testování nových funkcí před jejich zavedením, včetně výsledků A/B testů; údaje související s moderováním a správou obsahu, jako jsou údaje o algoritmických nebo jiných systémech a procesech moderování obsahu, včetně chronologických seznamů změn, archivů nebo úložišť dokumentujících moderovaný obsah, včetně účtů, jakož i údaje týkající se cen, množství a vlastností zboží nebo služeb poskytovaných nebo zprostředkovaných poskytovatelem údajů. |
|
(14) |
Koordinátor digitálních služeb v zemi usazení by měl ověřit, zda žádost o přístup k údajům obsahuje dostatečné informace, které prokazují, že výzkumný pracovník je schopen splnit zvláštní požadavky na důvěrnost, bezpečnost a ochranu osobních údajů, pokud jde o požadované údaje, identifikuje možná rizika vyplývající z přístupu k těmto údajům a jejich zpracování pro účely výzkumu a doloží veškeré navrhované způsoby přístupu, včetně právních, organizačních a technických podmínek, které budou zavedeny za účelem minimalizace zjištěných rizik, například prostřednictvím dopisu se závazkem výzkumné organizace, který potvrzuje přístup k prostředkům, jež mohou představovat příslušná ochranná opatření, nebo jiných podpůrných dokumentů. |
|
(15) |
Pokud jsou požadovány osobní údaje, měl by koordinátor digitálních služeb v zemi usazení ověřit, zda žádost o přístup k údajům obsahuje informace o právním základu pro zpracování osobních údajů, případně včetně zvláštních kategorií osobních údajů, a zda je tento právní základ v souladu s čl. 6 odst. 1 písm. e) nebo f) a v příslušných případech čl. 9 odst. 2 písm. g) nebo j) nařízení Evropského parlamentu a Rady (EU) 2016/679 (3). Kromě toho by měl koordinátor digitálních služeb v zemi usazení ověřit, zda žádost o přístup k údajům obsahuje dostatečné údaje o tom, že výzkumní pracovníci posoudili rizika pro ochranu osobních údajů. To lze prokázat například posouzením vlivu na ochranu osobních údajů ve smyslu článku 35 uvedeného nařízení. Aby byl zajištěn přístup k osobním údajům v souladu s nařízením (EU) 2016/679, měli by mít koordinátoři digitálních služeb možnost konzultovat příslušné dozorové úřady zřízené podle článku 51 uvedeného nařízení, které jsou i nadále příslušné k posuzování souladu s nařízením (EU) 2016/679. |
|
(16) |
Pro usnadnění formulace odůvodněné žádosti a zachování integrity informací obsažených v žádosti o přístup k údajům by měl koordinátor digitálních služeb v zemi usazení ověřit, zda žádost o přístup k údajům obsahuje shrnutí. Toto shrnutí by mělo obsahovat přehled informací, které budou součástí odůvodněné žádosti zveřejněné na portálu pro přístup k údajům dle nařízení o digitálních službách v případech, kdy posouzení žádosti o přístup k údajům vede k formulaci odůvodněné žádosti. |
|
(17) |
Aby bylo zajištěno, že způsoby přístupu, které určí koordinátor digitálních služeb v zemi usazení, jsou přiměřené citlivosti konkrétních údajů požadovaných v žádosti o přístup k údajům, měl by koordinátor digitálních služeb v zemi usazení provést posouzení každého jednotlivého případu na základě informací uvedených v žádosti o přístup k údajům. Způsoby přístupu stanovené v odůvodněné žádosti by měly být vhodné pro splnění požadavků na zabezpečení údajů, důvěrnost údajů a ochranu osobních údajů a zároveň by měly umožňovat dosažení výzkumných cílů výzkumného projektu. Přístup k údajům se může uskutečnit například prostřednictvím přenosu údajů prověřeným výzkumným pracovníkům prostřednictvím vhodného rozhraní a za využití vhodného způsobu uchovávání údajů; předáváním údajů do bezpečného zpracovatelského prostředí provozovaného poskytovatelem údajů nebo poskytovatelem, který je třetí stranou, k němuž mají prověření výzkumní pracovníci přístup, a uchováváním údajů v tomto prostředí, kde ale nedochází k předávání údajů prověřeným výzkumným pracovníkům, nebo jinými způsoby přístupu, které zřídí nebo zprostředkuje poskytovatel údajů. Při specifikaci způsobů přístupu by měl koordinátor digitálních služeb v zemi usazení uvést také všechny právní, technické nebo organizační podmínky, kterým má přístup podléhat. V případech, kdy poskytování přístupu zahrnuje předávání osobních údajů třetím zemím nebo mezinárodním organizacím ve smyslu kapitoly V nařízení (EU) 2016/679, by způsoby přístupu měly rovněž zahrnovat informace o potřebě zavést vhodný mechanismus předávání, aby bylo zajištěno, že poskytovatel údajů přijme nezbytná opatření k dosažení souladu s uvedeným nařízením. |
|
(18) |
Aby bylo zajištěno, že způsoby přístupu k údajům jsou vhodné pro řešení specifických citlivých otázek z hlediska ochrany údajů, zabezpečení údajů nebo důvěrnosti, měl by mít koordinátor digitálních služeb v zemi usazení na základě informací obdržených v žádosti o přístup k údajům možnost požadovat, aby byl přístup k údajům zajištěn prostřednictvím bezpečného zpracovatelského prostředí. V takových případech by měl koordinátor digitálních služeb v zemi usazení zajistit, aby zvolené prostředí fungovalo v souladu s nejvhodnější technologií a umožňovalo prověřeným výzkumným pracovníkům dosáhnout cílů jejich výzkumu. |
|
(19) |
Aby byla zajištěna konzistentnost informací předávaných koordinátory digitálních služeb v zemi usazení poskytovatelům údajů, je nutné upřesnit obsah odůvodněných žádostí. |
|
(20) |
V zájmu ochrany zájmů poskytovatelů údajů a snížení četnosti žádostí o změnu v průběhu času a usnadnění formulování příslušných žádostí o přístup k údajům ze strany výzkumných pracovníků by měl být přehled každé odůvodněné žádosti, včetně všech jejích změn a aktualizací, zveřejněn na portálu pro přístup k údajům dle nařízení o digitálních službách koordinátorem digitálních služeb v zemi usazení, který příslušné odůvodněné žádosti vydal. |
|
(21) |
Aby se zajistilo, že koordinátor digitálních služeb v zemi usazení bude mít k dispozici relevantní informace pro posouzení žádosti o změnu, a aby se usnadnil jednotný přístup při posuzování žádostí o změnu, mělo by se od poskytovatele údajů vyžadovat, aby uvedl důvody takové žádosti, jak je uvedeno v čl. 40 odst. 5 nařízení (EU) 2022/2065. Konkrétněji řečeno, při posuzování žádosti o změnu předložené na základě toho, že poskytovatel údajů nemá přístup k údajům, by měl být koordinátor digitálních služeb v zemi usazení schopen přezkoumat, zda je údajná nemožnost řádně odůvodněna, například tím, že požadované údaje neexistují, nebo technickými omezeními, jako je šifrování, a měl by mít k dispozici informace nezbytné k posouzení, zda je nemožnost přístupu trvalá nebo dočasná. V tomto ohledu by mělo být zřejmé, že obchodní důvody by neměly být považovány za důvod k automatickému odmítnutí přístupu k požadovaným údajům, ale spíše za důvod k úpravě způsobu poskytování přístupu k údajům, což může vést k předložení dalších požadavků na zabezpečení a důvěrnost údajů. |
|
(22) |
V zájmu zajištění účinného řešení sporů a podpory nalezení oboustranně přijatelného řešení by poskytovatelé údajů měli mít možnost po podání žádosti o změnu požádat koordinátory digitálních služeb v zemi usazení o účast na mediaci. Tato účast by měla být dobrovolná po celou dobu mediačního řízení a neměla by vést k žádnému závaznému výsledku pro koordinátora digitálních služeb v zemi usazení, který je nadále příslušný k rozhodování o žádostech o změnu. Všechny strany zapojené do mediačního řízení by měly jednat v dobré víře a usilovat o dosažení spravedlivé a oboustranně přijatelné dohody. |
|
(23) |
Aby se zabránilo tomu, že mediace prodlouží proces přístupu k údajům na neurčito, měly by se předání písemné žádosti o mediaci, výběr mediátora a samotný proces mediace uskutečnit ve stanovených lhůtách. Koordinátoři digitálních služeb v zemi usazení by měli stanovit lhůtu pro mediační řízení ve vztahu k dané odůvodněné žádosti a mediátor by měl mít pravomoc mediační řízení za určitých okolností ukončit. |
|
(24) |
V zájmu zachování vzájemné důvěry mezi stranami zapojenými do mediace by měl koordinátor digitálních služeb v zemi usazení zajistit, aby navrhovaný mediátor splňoval požadavky nestrannosti a nezávislosti a měl příslušné odborné znalosti v oblasti předmětu mediace. |
|
(25) |
Pro účely usnadnění informovaného a účinného rozhodování v souvislosti s procesem přístupu k údajům by koordinátoři digitálních služeb měli mít možnost vyžádat si odborná stanoviska ke konkrétním prvkům procesu přístupu k údajům, jako je stanovení způsobů přístupu, včetně vhodných rozhraní, formulace odůvodněné žádosti a případných žádostí o změnu ze strany poskytovatele údajů. Konzultovaní odborníci by měli mít prokazatelné odborné znalosti v oblasti, ke které je požadováno jejich stanovisko, a měli by být nezávislí. Zejména by neměli být ve střetu zájmů, například v důsledku vazeb na žádající výzkumné pracovníky nebo na poskytovatele údajů. |
|
(26) |
Aby se zvýšila transparentnost a koordinátoři digitálních služeb mohli stavět na svých odborných znalostech získaných v průběhu času, měla by být každá žádost o odbornou konzultaci a následné kroky, které z ní vyplynou, zaznamenány v systému AGORA. |
|
(27) |
Aby se usnadnil účinný dohled nad dodržováním podmínek stanovených v odůvodněné žádosti, měl by poskytovatel údajů koordinátorovi digitálních služeb v zemi usazení do tří pracovních dnů oznámit datum, kdy byl prověřeným výzkumným pracovníkům poskytnut přístup, a datum ukončení přístupu. |
|
(28) |
Aby mohli prověření výzkumní pracovníci použít požadované údaje pro účely výzkumu a poskytnout relevantní kontextové informace, měli by poskytovatelé údajů poskytnout prověřeným výzkumným pracovníkům příslušná metadata a dokumentaci popisující zpřístupněné údaje, jako jsou kódovací knihy, chronologické seznamy změn a dokumentace architektury dat. |
|
(29) |
V zájmu usnadnění smysluplného výzkumu ze strany prověřených výzkumných pracovníků, a to i tím, že umožní kombinaci požadovaných údajů s údaji dostupnými z jiných zdrojů, by poskytovatelé údajů neměli ukládat žádná omezení analytickým nástrojům používaným prověřenými výzkumnými pracovníky, včetně příslušných softwarových knihoven, a neměli by předkládat požadavky na archivaci, ukládání, obnovování a mazání, pokud nejsou výslovně uvedeny ve způsobech přístupu uvedených v odůvodněné žádosti. |
|
(30) |
Pokud údaje poskytnuté prověřeným výzkumným pracovníkům zahrnují osobní údaje ve smyslu článku 4 nařízení (EU) 2016/679, měl by poskytovatel údajů dodržovat pravidla stanovená v uvedeném nařízení. Zejména čl. 40 odst. 4 nařízení (EU) 2022/2065 zakládá právní povinnost ve smyslu čl. 6 odst. 1 písm. c) nařízení (EU) 2016/679 pro jakékoli zpracování osobních údajů, které je nezbytné k tomu, aby poskytovatel údajů poskytl přístup k údajům uvedeným v odůvodněné žádosti. Pokud mají být zpracovávány zvláštní kategorie osobních údajů ve smyslu článku 9 nařízení (EU) 2016/679, splňuje toto nařízení požadavek čl. 9 odst. 2 písm. g) nařízení (EU) 2016/679. |
|
(31) |
V souladu s čl. 42 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2018/1725 (4) byl konzultován evropský inspektor ochrany údajů, který vydal stanovisko dne 4. prosince 2024. |
|
(32) |
Po konzultaci s Evropským sborem pro digitální služby v souladu s čl. 40 odst. 13 nařízení (EU) 2022/2065 a po získání jeho souhlasu, |
PŘIJALA TOTO NAŘÍZENÍ:
Kapitola I
OBECNÁ USTANOVENÍ
Článek 1
Předmět
Toto nařízení stanoví postupy a technické podmínky pro poskytování přístupu prověřeným výzkumným pracovníkům k údajům uchovávaným poskytovateli velmi velkých online platforem a velmi velkých internetových vyhledávačů podle čl. 40 odst. 4 nařízení (EU) 2022/2065, zejména:
|
a) |
technické podmínky pro vývoj a fungování portálu pro přístup k údajům; |
|
b) |
postupy a technické podmínky pro řízení procesu přístupu k údajům ze strany koordinátorů digitálních služeb a poskytovatelů údajů; |
|
c) |
požadavky na formulaci odůvodněných žádostí a posuzování žádostí o změnu; |
|
d) |
technické podmínky pro poskytování přístupu k údajům ze strany poskytovatelů údajů. |
Článek 2
Definice
Pro účely tohoto nařízení se použijí definice uvedené v článku 4 nařízení Evropského parlamentu a Rady (EU) 2016/679 a v článku 3 nařízení (EU) 2018/1725. Použijí se rovněž tyto definice:
|
1) |
„žádostí o přístup k údajům“ se rozumí informace a příslušná dokumentace, kterou žádající výzkumní pracovníci předloží koordinátorovi digitálních služeb v zemi usazení nebo koordinátorovi digitálních služeb členského státu výzkumné organizace, k níž je vedoucí výzkumný pracovník přidružen, aby získali status „prověřeného výzkumného pracovníka“ podle čl. 40 odst. 8 prvního pododstavce nařízení (EU) 2022/2065 pro konkrétní výzkumný projekt zahrnující přístup k údajům od poskytovatele údajů; |
|
2) |
„procesem přístupu k údajům“ se rozumí kroky a postupy, které mohou vést k poskytnutí přístupu k údajům, jak je uvedeno v čl. 40 odst. 4 nařízení (EU) 2022/2065; |
|
3) |
„žádajícím výzkumným pracovníkem“ se rozumí fyzická osoba, která žádá o přístup k údajům podle čl. 40 odst. 4 nařízení (EU) 2022/2065, a to buď samostatně, ve skupině, nebo jako součást subjektu; |
|
4) |
„vedoucím výzkumným pracovníkem“ se rozumí žádající výzkumný pracovník, který podává žádost o přístup k údajům jako jednotlivec nebo jménem subjektu či skupiny žádajících výzkumných pracovníků; |
|
5) |
„poskytovatelem údajů“ se rozumí poskytovatel velmi velké online platformy nebo velmi velkého internetového vyhledávače, který je jako takový určen v souladu s čl. 33 odst. 4 nařízení (EU) 2022/2065 a kterému může být určena odůvodněná žádost; |
|
6) |
„odůvodněnou žádostí“ se rozumí odůvodněná žádost o přístup k údajům podle čl. 40 odst. 4 nařízení (EU) 2022/2065; |
|
7) |
„žádostí o změnu“ se rozumí žádost o změnu podle čl. 40 odst. 5 nařízení (EU) 2022/2065, kterou poskytovatel údajů předloží koordinátorovi digitálních služeb v zemi usazení po obdržení odůvodněné žádosti; |
|
8) |
„bezpečným zpracovatelským prostředím“ se rozumí bezpečné zpracovatelské prostředí ve smyslu čl. 2 bodu 20 nařízení Evropského parlamentu a Rady (EU) 2022/868 (5). |
Kapitola II
INFORMACE A KONTAKTNÍ POVINNOSTI
Článek 3
Portál pro přístup k údajům dle nařízení o digitálních službách
1. Komise zřídí a provozuje portál pro přístup k údajům dle nařízení o digitálních službách.
2. Portál pro přístup k údajům dle nařízení o digitálních službách má tyto funkce:
|
a) |
podpořit a zefektivnit řízení procesu přístupu k údajům pro výzkumné pracovníky, poskytovatele údajů a koordinátory digitálních služeb; |
|
b) |
sloužit jako ústřední digitální místo pro informace o procesu přístupu k údajům a usnadňovat výměnu informací podle tohoto nařízení mezi žádajícími výzkumnými pracovníky, prověřenými výzkumnými pracovníky, poskytovateli údajů a koordinátory digitálních služeb. |
3. Portál pro přístup k údajům dle nařízení o digitálních službách je interoperabilní se systémem pro sdílení informací AGORA zřízeným prováděcím nařízením (EU) 2024/607. Koordinátoři digitálních služeb mají v systému AGORA přístup k informacím předloženým prostřednictvím portálu pro přístup k údajům dle nařízení o digitálních službách.
4. Poskytovatelé údajů musí mít účet na portálu pro přístup k údajům dle nařízení o digitálních službách.
5. Pro účast v procesu přístupu k údajům musí mít žádající výzkumní pracovníci účet na portálu pro přístup k údajům dle nařízení o digitálních službách.
Článek 4
Role a odpovědnost při zpracování osobních údajů na portálu pro přístup k údajům dle nařízení o digitálních službách
1. Koordinátoři digitálních služeb jsou samostatnými správci, pokud jde o zpracování osobních údajů, které provádějí za účelem řízení procesu přístupu k údajům a zveřejňování příslušných informací.
2. Zpracovatelem osobních údajů zpracovávaných v rámci portálu pro přístup k údajům dle nařízení o digitálních službách je Komise.
3. Odpovědnost Komise jako zpracovatele za činnosti zpracování údajů prováděné na portálu pro přístup k údajům dle nařízení o digitálních službách je stanovena v příloze.
Článek 5
Zpracování osobních údajů na portálu pro přístup k údajům dle nařízení o digitálních službách
1. Pokud jsou osobní údaje registrovány a vyměňovány prostřednictvím portálu pro přístup k údajům dle nařízení o digitálních službách, zpracovávají se pouze v rozsahu, který je přiměřený a nezbytný pro účely procesu přístupu k údajům a zveřejnění příslušných informací.
2. Zpracovávání osobních údajů v rámci portálu pro přístup k údajům dle nařízení o digitálních službách probíhá pouze u těchto kategorií subjektů údajů:
|
a) |
fyzické osoby, které mají účet na portálu pro přístup k údajům dle nařízení o digitálních službách; |
|
b) |
fyzické osoby, jejichž osobní údaje jsou obsaženy na portálu pro přístup k údajům dle nařízení o digitálních službách nebo v jakékoli jiné výměně údajů podle tohoto nařízení, která se týká procesu přístupu k údajům. |
3. Zpracování osobních údajů v portálu pro přístup k údajům dle nařízení o digitálních službách probíhá pouze u těchto kategorií osobních údajů:
|
a) |
identifikační údaje jako je jméno, ID uživatele; |
|
b) |
kontaktní údaje jako je adresa, e-mailová adresa, kontaktní údaje; |
|
c) |
osobní údaje obsažené v dokumentaci prokazující přidružení k výzkumné organizaci a veškeré další osobní údaje, které jsou považovány za nezbytné pro účely účasti v procesu přístupu k údajům. |
4. Zpracování osobních údajů uvedených v odstavci 1 se provádí pomocí infrastruktury informačních technologií, která se nachází v Evropském hospodářském prostoru.
Článek 6
Kontaktní místa a veřejné informace o procesu přístupu k údajům
1. Každý koordinátor digitálních služeb a každý poskytovatel údajů zřídí zvláštní kontaktní místo, jehož úkolem je poskytovat informace a podporu v procesu přístupu k údajům.
2. Koordinátoři digitálních služeb a poskytovatelé údajů sdělí co nejdříve svá kontaktní místa Komisi. Komise zveřejní údaje o kontaktních místech uvedených v odstavci 1 ve veřejném rozhraní portálu pro přístup k údajům dle nařízení o digitálních službách.
3. Každý koordinátor digitálních služeb zpřístupní ve svém online rozhraní údaje o kontaktním místě zřízeném podle odstavce 1 spolu s odkazem na portál pro přístup k údajům dle nařízení o digitálních službách a umožní jejich snadné vyhledání.
4. Poskytovatelé údajů zpřístupní následující informace a umožní jejich snadné vyhledání ve svých online rozhraních:
|
a) |
údaje o kontaktním místě, které zřídili podle odstavce 1; |
|
b) |
odkaz na portál pro přístup k údajům dle nařízení o digitálních službách; |
|
c) |
datový katalog dle nařízení o digitálních službách, který popisuje datová aktiva, k nimž lze přistupovat pro účely stanovené v čl. 40 odst. 4 nařízení EU 2022/2065, jakož i jejich datovou strukturu a metadata; |
|
d) |
navržené způsoby přístupu k údajům v katalogu podle písmene c), odpovídající úrovni citlivosti různých datových aktiv. |
5. Informace uvedené v odst. 4 písm. c) a d) se pravidelně aktualizují, zejména s cílem zohlednit údaje týkající se posouzení rizik provedených podle článku 34 nařízení (EU) 2022/2065 a auditů provedených podle článku 37 uvedeného nařízení.
Kapitola III
POŽADAVKY NA FORMULACI A ZPRACOVÁNÍ ODŮVODNĚNÝCH ŽÁDOSTÍ
Článek 7
Formulace odůvodněné žádosti
1. Do 80 pracovních dnů od podání žádosti o přístup k údajům rozhodne koordinátor digitálních služeb v zemi usazení s náležitým přihlédnutím k předpokladům stanoveným v článku 8 a v příslušných případech k jakémukoli dalšímu posouzení, které je pro tyto účely relevantní, zda lze formulovat odůvodněnou žádost, a provede jedno z následujících opatření:
|
a) |
formuluje odůvodněnou žádost, předloží ji poskytovateli údajů a informuje vedoucího výzkumného pracovníka o předložení odůvodněné žádosti; |
|
b) |
informuje vedoucího výzkumného pracovníka o důvodech, proč nebylo možné odůvodněnou žádost formulovat. |
2. Pokud v řádně odůvodněných případech potřebuje koordinátor digitálních služeb v zemi usazení dodatečný čas na vypracování odůvodněné žádosti, oznámí to co nejdříve vedoucímu výzkumnému pracovníkovi a uvede důvody zpoždění, jakož i nové datum pro provedení opatření uvedených v odstavci 1.
Článek 8
Předpoklady pro formulaci odůvodněné žádosti
Koordinátor digitálních služeb v zemi usazení rozhodne, zda lze formulovat odůvodněnou žádost s ohledem na následující prvky:
|
a) |
pro každého žádajícího výzkumného pracovníka:
|
|
b) |
informace o financování výzkumného projektu, pro který jsou údaje požadovány; |
|
c) |
popis požadovaných údajů, včetně formátu, rozsahu a pokud možno konkrétních atributů, příslušných metadat a dokumentace údajů, a to i s ohledem na informace zpřístupněné podle čl. 6 odst. 4 tohoto nařízení; |
|
d) |
informace o nezbytnosti a přiměřenosti přístupu k údajům a informace o časovém rámci výzkumu, pro který jsou údaje požadovány; |
|
e) |
informace o zjištěných rizicích z hlediska důvěrnosti, zabezpečení údajů a ochrany osobních údajů souvisejících s údaji, k nimž by byl získán přístup, popis technických, právních a organizačních opatření, která budou zavedena, včetně případných navrhovaných způsobů přístupu, aby se tato rizika při zpracování požadovaných údajů zmírnila; |
|
f) |
popis výzkumných činností, které mají být s požadovanými údaji prováděny; |
|
g) |
shrnutí žádosti pro přístup k údajům obsahující tyto prvky:
|
Článek 9
Způsoby přístupu
1. Koordinátor digitálních služeb v zemi usazení určí způsoby, včetně technických, právních a organizačních opatření, které má poskytovatel údajů použít pro poskytování přístupu k údajům prověřeným výzkumným pracovníkům.
2. Koordinátoři digitálních služeb mají možnost konzultovat příslušné orgány dohledu zřízené podle článku 51 nařízení (EU) 2016/679.
3. Při určování způsobů přístupu zohlední koordinátor digitálních služeb v zemi usazení informace uvedené v žádosti o přístup k údajům, zejména informace uvedené v čl. 8 písm. e), přičemž zohlední rovněž práva a zájmy poskytovatelů údajů a příjemců dotčené služby, včetně ochrany důvěrných informací, obchodního tajemství a zachování bezpečnosti jejich služby a informací, které poskytovatelé údajů zpřístupní podle čl. 6 odst. 4 písm. d).
4. Kromě prvků uvedených v odstavci 3 zohlední koordinátor digitálních služeb v zemi usazení při určování způsobů přístupu tyto prvky:
|
a) |
pokud přístup zahrnuje zpracování osobních údajů:
|
|
b) |
příslušná opatření pro zabezpečení sítě, šifrování, mechanismy řízení přístupu, zásady zálohování, mechanismy integrity dat, plány reakce na incidenty; |
|
c) |
v příslušných případech informace o plánované době uchovávání a příslušných plánech na zničení dat; |
|
d) |
veškerá organizační opatření, jako jsou interní přezkumné procesy, omezení přístupových práv a sdílení informací; |
|
e) |
všechny navrhované smluvní doložky, jako jsou dohody o mlčenlivosti, dohody o údajích a jakékoli jiné typy písemných prohlášení, které stanoví možné podmínky přístupu a zpracování mezi vedoucím výzkumným pracovníkem a poskytovatelem údajů; |
|
f) |
existence školení o zabezpečení údajů a ochraně osobních údajů, které absolvovali žádající výzkumní pracovníci; |
|
g) |
zda je pro zpracování údajů nutné bezpečné zpracovatelské prostředí. |
5. Pokud se koordinátor digitálních služeb v zemi usazení domnívá, že pro zajištění přístupu k požadovaným údajům má být použito bezpečné zpracovatelské prostředí, vyžádá si dokumentaci potvrzující, že provozovatel tohoto prostředí:
|
a) |
stanoví podmínky přístupu do bezpečného zpracovatelského prostředí, aby se minimalizovalo riziko neoprávněného čtení, kopírování, úpravy nebo odstranění údajů umístěných v bezpečném zpracovatelském prostředí; |
|
b) |
zajišťuje, že prověření výzkumní pracovníci mají přístup pouze k údajům, na které se vztahuje odůvodněná žádost, a to prostřednictvím individuálních a jedinečných uživatelských identit a důvěrných přístupových režimů; |
|
c) |
vede identifikovatelné protokoly o přístupu do bezpečného zpracovatelského prostředí po dobu nezbytnou pro ověření a audit všech zpracovatelských operací v tomto prostředí; |
|
d) |
zajišťuje, že výpočetní výkon, který mají prověření výzkumní pracovníci k dispozici, je vhodný a dostatečný pro účely výzkumného projektu; |
|
e) |
sleduje účinnost opatření uvedených v písmenech a) až d). |
Článek 10
Obsah odůvodněné žádosti
1. Odůvodněná žádost musí obsahovat alespoň tyto prvky:
|
a) |
datum, do kterého poskytovatel údajů umožní přístup k požadovaným údajům, a datum ukončení tohoto přístupu; |
|
b) |
způsoby přístupu stanovené podle článku 9; |
|
c) |
shrnutí žádosti o přístup k údajům podle čl. 8 písm. g). |
2. Koordinátor digitálních služeb v zemi usazení může v odůvodněné žádosti uvést jména a kontaktní údaje všech prověřených výzkumných pracovníků uvedených v žádosti o přístup k údajům, pokud je to nezbytné pro umožnění přístupu k požadovaným údajům v souladu se způsoby přístupu uvedenými v odůvodněné žádosti.
3. Pokud poskytnutí přístupu zahrnuje předání osobních údajů do třetí země nebo mezinárodní organizaci ve smyslu kapitoly V nařízení (EU) 2016/679, musí odůvodněná žádost obsahovat informace o potřebě zavést nebo odkázat na vhodný mechanismus předávání, aby byl zajištěn soulad s nařízením (EU) 2016/679.
Článek 11
Zveřejnění přehledu odůvodněné žádosti na portálu pro přístup k údajům dle nařízení o digitálních službách
1. Po formulování odůvodněné žádosti zveřejní koordinátor digitálních služeb v zemi usazení přehled odůvodněné žádosti ve veřejném rozhraní portálu pro přístup k údajům dle nařízení o digitálních službách. Přehled obsahuje všechny tyto informace:
|
a) |
shrnutí žádosti o přístup k údajům podle čl. 8 písm. g); |
|
b) |
způsoby přístupu stanovené podle článku 9. |
2. Přehled uvedený v odstavci 1 se aktualizuje tak, aby odrážel veškeré změny vyplývající z úpravy jednoho nebo více prvků po posouzení žádosti o změnu nebo výsledku mediace v souladu s článkem 13.
Článek 12
Postupy pro posuzování žádostí o změnu
1. Po obdržení žádosti o změnu podle čl. 40 odst. 5 nařízení (EU) 2022/2065 informuje koordinátor digitálních služeb v zemi usazení dotčeného vedoucího výzkumného pracovníka.
2. Při rozhodování o žádosti o změnu podané podle čl. 40 odst. 5 písm. a) nařízení (EU) 2022/2065 zohlední koordinátor digitálních služeb v zemi usazení tyto skutečnosti:
|
a) |
zda jsou důvody údajného nedostatečného přístupu k údajům náležitě odůvodněny; |
|
b) |
zda je tento nedostatek přístupu k údajům trvalý nebo dočasný. |
3. Při rozhodování o žádosti o změnu podané podle čl. 40 odst. 5 písm. b) nařízení (EU) 2022/2065 zohlední koordinátor digitálních služeb v zemi usazení následující skutečnosti:
|
a) |
zda jsou údajné zranitelnosti a jejich význam náležitě odůvodněny; |
|
b) |
pravděpodobnost a závažnost škody vyplývající z těchto údajných významných zranitelností; |
|
c) |
do jaké míry způsoby přístupu uvedené v odůvodněné žádosti účinně zmírňují riziko vzniku takové újmy. |
4. Koordinátor digitálních služeb v zemi usazení může kdykoli během posuzování žádosti o změnu požádat poskytovatele údajů nebo vedoucího výzkumného pracovníka o jakékoli doplňující informace, které považuje za nezbytné pro dokončení posouzení.
5. Taková žádost o dodatečné informace se podá co nejdříve, aby měl poskytovatel údajů nebo vedoucí výzkumný pracovník dostatek času na odpověď, a v žádném případě neovlivní lhůtu stanovenou v čl. 40 odst. 6 druhém pododstavci nařízení (EU) 2022/2065. Pokud poskytovatel údajů nebo vedoucí výzkumný pracovník neposkytne požadované informace vůbec nebo ve lhůtě stanovené koordinátorem digitálních služeb v zemi usazení nebo poskytne informace jen částečně, koordinátor digitálních služeb v místě usazení rozhodne ve lhůtě stanovené v čl. 40 odst. 6 nařízení (EU) 2022/2065 na základě informací, které mu byly poskytnuty v přiměřené lhůtě.
Článek 13
Mediace
1. Pokud poskytovatel údajů nesouhlasí s rozhodnutím koordinátora digitálních služeb v zemi usazení o žádosti o změnu, může do pěti pracovních dnů od sdělení koordinátora digitálních služeb v místě usazení podle čl. 40 odst. 6 druhého pododstavce nařízení (EU) 2022/2065 písemně požádat koordinátora digitálních služeb v místě usazení o účast na mediaci.
2. Koordinátor digitálních služeb v zemi usazení není povinen účastnit se mediačního řízení.
3. Písemná žádost uvedená v odstavci 1 musí obsahovat stručný popis konkrétních prvků rozhodnutí, jak je sdělil koordinátor digitálních služeb v zemi usazení podle čl. 40 odst. 6 druhého pododstavce nařízení (EU) 2022/2065, proti kterému poskytovatel údajů vznáší námitky.
4. Koordinátor digitálních služeb v zemi usazení a poskytovatel údajů se dohodnou na jmenování mediátora a zahájí mediaci do dvaceti pracovních dnů od podání žádosti o mediaci podle odstavce 3.
5. Před souhlasem se jmenováním mediátora koordinátor digitálních služeb v zemi usazení ověří, zda je mediátor nestranný a nezávislý a zda má příslušné odborné znalosti týkající se předmětu popsaného v písemné žádosti uvedené v odstavci 1.
6. Veškeré náklady na mediaci nese poskytovatel údajů.
7. Koordinátor digitálních služeb v zemi usazení informuje vedoucího výzkumného pracovníka o žádosti o mediaci podle odstavce 1 bez zbytečného odkladu a může rozhodnout, že vedoucího výzkumného pracovníka přizve jako stranu k mediaci. Pokud byla žádost o přístup k údajům předložena koordinátorovi digitálních služeb výzkumné organizace, může koordinátor digitálních služeb v zemi usazení vyzvat koordinátora digitálních služeb výzkumné organizace, aby se mediačního řízení zúčastnil. Strana, kterou koordinátor digitálních služeb v zemi usazení vyzve, aby se k mediaci připojila, není povinna se mediačního řízení účastnit.
8. Účastí na mediaci není dotčeno právo stran zahájit soudní řízení kdykoli před mediací, během ní nebo po jejím skončení.
9. Koordinátor digitálních služeb v zemi usazení stanoví lhůtu pro mediaci, která nesmí překročit 40 pracovních dnů ode dne zahájení mediace podle odstavce 4.
10. Mediátor může mediaci ukončit dříve v jednom z následujících případů:
|
a) |
jedna ze stran výslovně požádá o ukončení mediace; |
|
b) |
je zřejmé, že chování stran během mediace, včetně neochoty jednat v dobré víře, činí dosažení dohody nepravděpodobným. |
11. Pokud je výsledkem mediace dohoda mezi stranami, koordinátor digitálních služeb v zemi usazení tuto dohodu zohlední a případně upraví odůvodněnou žádost a informuje o této úpravě vedoucího výzkumného pracovníka.
12. Pokud strany nedosáhnou dohody, oznámí koordinátor digitálních služeb v zemi usazení poskytovateli údajů, že rozhodnutí koordinátora digitálních služeb v místě usazení o žádosti o změnu, které bylo naposledy sděleno podle čl. 40 odst. 6 druhého pododstavce nařízení (EU) 2022/2065, se považuje za platné a slouží jako příslušný základ pro další kroky v procesu, a informuje vedoucího výzkumného pracovníka.
13. Koordinátor digitálních služeb v zemi usazení zaeviduje v systému AGORA souhrnný záznam z mediace, který vypracuje mediátor a podepíší všechny strany. Záznam musí obsahovat tyto informace:
|
a) |
datum písemné žádosti poskytovatele údajů o mediaci; |
|
b) |
totožnost a kontaktní údaje stran; |
|
c) |
datum počátku a konce mediace; |
|
d) |
výsledek mediace, včetně dosažené dohody nebo důvodu ukončení mediace. |
Článek 14
Konzultace nezávislých odborníků
1. Před formulováním odůvodněné žádosti nebo před přijetím rozhodnutí o žádosti o změnu může koordinátor digitálních služeb rozhodnout o konzultaci s odborníky.
2. Odborníci musí být nezávislí a nestranní, musí mít příslušné odborné znalosti a prokázané dovednosti a musí mít kapacitu a zdroje k provedení stanoveného úkolu bez zbytečného prodlení.
3. Na důkaz nestrannosti podepíší odborníci prohlášení, v němž potvrdí, že:
|
a) |
nemají žádné finanční ani osobní vazby na poskytovatele údajů ani na žádající výzkumné pracovníky; |
|
b) |
nemají žádný zájem na výsledku procesu přístupu k údajům; |
|
c) |
nejsou ve střetu zájmů. |
4. Koordinátor digitálních služeb bez zbytečného odkladu zakóduje v systému AGORA veškeré konzultace provedené podle odstavce 1 spolu s odborným stanoviskem, které obdržel v reakci na konzultaci.
Kapitola IV
PODMÍNKY PRO POSKYTOVÁNÍ POŽADOVANÝCH ÚDAJŮ PROVĚŘENÝM VÝZKUMNÝM PRACOVNÍKŮM
Článek 15
Sdílení údajů a jejich dokumentace
1. Poskytovatelé údajů do tří pracovních dnů oznámí koordinátorovi digitálních služeb v zemi usazení:
|
a) |
že přístup k požadovaným údajům byl poskytnut prověřeným výzkumným pracovníkům v souladu s odůvodněnou žádostí; |
|
b) |
že přístup prověřených výzkumných pracovníků byl ukončen. |
2. Poskytovatelé údajů poskytnou prověřeným výzkumným pracovníkům veškeré další informace potřebné pro přístup k požadovaným údajům a jejich pochopení, například kódovací knihy, chronologické seznamy změn a dokumentaci architektury dat. V případech, kdy by poskytnutí takových informací mohlo vést k významné zranitelnosti služeb poskytovatele údajů, oznámí poskytovatel údajů koordinátorovi digitálních služeb v zemi usazení toto riziko a pokud je to možné, navrhne alternativní informace.
3. Při poskytování přístupu k údajům poskytovatelé údajů neukládají prověřeným výzkumným pracovníkům požadavky na správu údajů, jako jsou požadavky na archivaci, ukládání, obnovování a mazání, nebo omezení používání standardních analytických nástrojů, které by mohly bránit provádění příslušného výzkumu, pokud takové požadavky nebo omezení nejsou výslovně uvedeny v odůvodněné žádosti.
4. Pokud jsou osobní údaje zpracovávány, nesmí poskytovatelé údajů ukládat prověřeným výzkumným pracovníkům žádné jiné podmínky v souvislosti se zpracováním sdílených osobních údajů než ty, které jsou uvedeny v odůvodněné žádosti.
Kapitola V
ZÁVĚREČNÁ USTANOVENÍ
Článek 16
Vstup v platnost
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 1. července 2025.
Za Komisi
předsedkyně
Ursula VON DER LEYEN
(1) Úř. věst. L 277, 27.10.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2065/oj.
(2) Prováděcí nařízení Komise (EU) 2024/607 ze dne 15. února 2024 o praktických a provozních opatřeních pro fungování systému pro sdílení informací podle nařízení Evropského parlamentu a Rady (EU) 2022/2065 (nařízení o digitálních službách) (Úř. věst. L 2024/607, 16.2.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/607/oj).
(3) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(4) Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(5) Nařízení Evropského parlamentu a Rady (EU) 2022/868 ze dne 30. května 2022 o evropské správě dat a o změně nařízení (EU) 2018/1724 (akt o správě dat) (Úř. věst. L 152, 3.6.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/868/oj).
(6) Směrnice Evropského parlamentu a Rady (EU) 2019/790 ze dne 17. dubna 2019 o autorském právu a právech s ním souvisejících na jednotném digitálním trhu a o změně směrnic 96/9/ES a 2001/29/ES (Úř. věst. L 130, 17.5.2019, s. 92, ELI: http://data.europa.eu/eli/dir/2019/790/oj).
PŘÍLOHA
Odpovědnost Komise jako zpracovatele za činnosti zpracování údajů prováděné v rámci portálu pro přístup k údajům dle nařízení o digitálních službách
1.
Komise jménem koordinátorů digitálních služeb zřídí a zajistí portál pro přístup k údajům dle nařízení o digitálních službách, bezpečnou a spolehlivou IT infrastrukturu, která podporuje a zefektivňuje řízení procesu přístupu k údajům pro výzkumné pracovníky, výzkumné organizace, poskytovatele údajů a koordinátory digitálních služeb.
2.
V zájmu plnění svých povinností zpracovatele pro koordinátory digitálních služeb může Komise využít třetí strany jako dílčí zpracovatele. V takovém případě správci zmocní Komisi, aby v případě potřeby využila dílčí zpracovatele nebo je nahradila. Komise informuje správce o uvedeném využití nebo nahrazení dílčích zpracovatelů, čímž správcům poskytne možnost vznést proti takovým změnám námitky. Komise zajistí, aby se na tyto dílčí zpracovatele vztahovaly stejné povinnosti v oblasti ochrany údajů, jaké jsou stanoveny v tomto nařízení.
3.
Komise zpracovává osobní údaje pouze v rozsahu nezbytném pro:|
a) |
ověřování a řízení přístupu ve vztahu ke všem uživatelům portálu pro přístup k údajům dle nařízení o digitálních službách; |
|
b) |
provádění autorizace žádostí uživatelů portálu pro přístup k údajům dle nařízení o digitálních službách o vytváření, aktualizaci a mazání jakýchkoli informací obsažených v žádosti v rámci portálu pro přístup k údajům dle nařízení o digitálních službách; |
|
c) |
přijetí osobních údajů uvedených v čl. 5 odst. 3 tohoto nařízení, které nahráli uživatelé portálu pro přístup k údajům dle nařízení o digitálních službách; |
|
d) |
uložení osobních údajů na portálu pro přístup k údajům dle nařízení o digitálních službách; |
|
e) |
mazání osobních údajů k datu skončení jejich platnosti nebo na základě pokynu správce; |
|
f) |
po ukončení poskytování služeb portálu pro přístup k údajům dle nařízení o digitálních službách vymazání všech zbývajících osobních údajů, pokud právo Unie nebo členského státu nepožaduje uchovávání daných osobních údajů. |
4.
Komise přijme veškerá nejmodernější organizační, fyzická a logická bezpečnostní opatření pro zajištění fungování portálu pro přístup k údajům dle nařízení o digitálních službách. Za tímto účelem Komise:|
a) |
určí subjekt odpovědný za řízení zabezpečení portálu pro přístup k údajům dle nařízení o digitálních službách, oznámí správcům jeho kontaktní údaje a zajistí jeho dostupnost pro reakci na bezpečnostní hrozby; |
|
b) |
převezme odpovědnost za zabezpečení portálu pro přístup k údajům dle nařízení o digitálních službách, včetně pravidelného testování, hodnocení a posuzování bezpečnostních opatření. |
5.
Komise přijme veškerá nezbytná bezpečnostní opatření, aby nedošlo k ohrožení řádného fungování portálu pro přístup k údajům dle nařízení o digitálních službách. Ta zahrnují:|
a) |
postupy posouzení rizik s cílem identifikovat a odhadnout potenciální hrozby pro portál pro přístup k údajům dle nařízení o digitálních službách; |
|
b) |
audit a přezkum s cílem:
|
|
c) |
změnu kontrolního postupu, pokud jde o dokumentaci a měření dopadu změny před jejím provedením, a informování správců o všech změnách, které mohou ovlivnit komunikaci s infrastrukturami anebo bezpečnost portálu pro přístup k údajům dle nařízení o digitálních službách; |
|
d) |
stanovení postupu pro údržbu a opravy, ve kterém budou stanovena pravidla a podmínky, jež musí být dodržovány při údržbě a/nebo opravách portálu pro přístup k údajům dle nařízení o digitálních službách; |
|
e) |
stanovení postupu pro bezpečnostní incidenty, ve kterém budou definovány postupy pro hlášení a eskalaci, neprodlené informování dotčených správců, neprodlené informování správců, aby mohli dále informovat příslušné vnitrostátní dozorové úřady pro ochranu údajů o jakémkoliv porušení zabezpečení osobních údajů, a definování disciplinárního postupu pro řešení porušení zabezpečení portálu pro přístup k údajům dle nařízení o digitálních službách. |
6.
Komise přijme nejmodernější fyzická a logická bezpečnostní opatření pro zařízení, v nichž se nachází vybavení portálu pro přístup k údajům dle nařízení o digitálních službách, a pro kontroly údajů a zabezpečení souvisejícího přístupu. Za tímto účelem Komise:|
a) |
vynucuje fyzickou bezpečnost s cílem vytvořit rozlišená bezpečnostní pásma a umožnit odhalování případů narušení portálu pro přístup k údajům dle nařízení o digitálních službách; |
|
b) |
řídí přístup k zařízením portálu pro přístup k údajům dle nařízení o digitálních službách; |
|
c) |
zajistí, aby zařízení nebylo možné přidat, nahradit nebo odstranit zařízení bez předchozího povolení ze strany určených odpovědných orgánů; |
|
d) |
řídí přístup z portálu pro přístup k údajům dle nařízení o digitálních službách a do něj; |
|
e) |
zajistí, aby uživatelé portálu pro přístup k údajům dle nařízení o digitálních službách, kteří k portálu přistupují, byli ověřeni; |
|
f) |
přezkoumá oprávnění související s přístupem k portálu pro přístup k údajům dle nařízení o digitálních službách v případě narušení bezpečnosti, které má na portál vliv; |
|
g) |
zajistí zachování integrity informací přenášených prostřednictvím portálu pro přístup k údajům dle nařízení o digitálních službách; |
|
h) |
zavede technická a organizační bezpečnostní opatření, která zabrání neoprávněnému přístupu k osobním údajům v portálu pro přístup k údajům dle nařízení o digitálních službách; |
|
i) |
v případě potřeby zajistí zavedení opatření směřujících k zablokování neoprávněného přístupu do portálu pro přístup k údajům dle nařízení o digitálních službách (např. blokaci podle lokality / IP adresy). |
7.
Komise:|
a) |
podnikne kroky k ochraně své domény, včetně přerušení připojení, v případě závažného odchýlení od zásad a koncepcí v oblasti kvality a bezpečnosti; |
|
b) |
spravuje plán řízení rizik v oblasti své působnosti; |
|
c) |
v reálném čase sleduje výkonnost všech složek portálu pro přístup k údajům dle nařízení o digitálních službách, vypracovává pravidelné statistiky a vede záznamy; |
|
d) |
poskytuje uživatelům portálu pro přístup k údajům dle nařízení o digitálních službách podporu v angličtině; |
|
e) |
pomáhá správcům prostřednictvím vhodných technických a organizačních opatření při plnění povinnosti správců reagovat na žádosti o výkon práv subjektu údajů, jak jsou stanovena v kapitole III nařízení (EU) 2016/679; |
|
f) |
podporuje správce poskytováním informací o portálu pro přístup k údajům dle nařízení o digitálních službách za účelem plnění povinností podle článků 32, 33, 34, 35 a 36 nařízení (EU) 2016/679; |
|
g) |
zajišťuje, aby údaje zpracovávané v rámci portálu pro přístup k údajům dle nařízení o digitálních službách byly nečitelné pro všechny osoby, které nejsou oprávněny k nim přistupovat; |
|
h) |
přijme veškerá příslušná opatření, aby zabránila neoprávněnému přístupu k osobním údajům předávaným prostřednictvím portálu pro přístup k údajům dle nařízení o digitálních službách; |
|
i) |
přijme opatření k usnadnění komunikace mezi správci; |
|
j) |
vede záznamy o činnostech zpracování prováděných jménem správce podle čl. 31 odst. 2 nařízení (EU) 2018/1725. |
ELI: http://data.europa.eu/eli/reg_del/2025/2050/oj
ISSN 1977-0626 (electronic edition)