This document is an excerpt from the EUR-Lex website
Document 32024R3084
Commission Implementing Regulation (EU) 2024/3084 of 4 December 2024 on the functioning of the information system pursuant to Regulation (EU) 2023/1115 of the European Parliament and of the Council on the making available on the Union market and the export from the Union of certain commodities and products associated with deforestation and forest degradation
Kommissionens gennemførelsesforordning (EU) 2024/3084 af 4. december 2024 om informationssystemets funktionsmåde i henhold til Europa-Parlamentets og Rådets forordning (EU) 2023/1115 om tilgængeliggørelse på EU-markedet og eksport fra Unionen af visse råvarer og produkter, der er forbundet med skovrydning og skovforringelse
Kommissionens gennemførelsesforordning (EU) 2024/3084 af 4. december 2024 om informationssystemets funktionsmåde i henhold til Europa-Parlamentets og Rådets forordning (EU) 2023/1115 om tilgængeliggørelse på EU-markedet og eksport fra Unionen af visse råvarer og produkter, der er forbundet med skovrydning og skovforringelse
C/2024/8691
EUT L, 2024/3084, 6.12.2024, ELI: http://data.europa.eu/eli/reg_impl/2024/3084/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
- Date of document:
- 04/12/2024; Vedtagelsesdato
- Date of effect:
- 09/12/2024; ikrafttrædelse off.gørelsesdato +3 se art 19
- Date of end of validity:
- No end date
- Author:
- Europa-Kommissionen, Generaldirektoratet for Miljø
- Responsible body:
- Directorate-General for Environment
- Form:
- Gennemførelsesforordning
- Treaty:
- Traktat om Den Europæiske Unions funktionsmåde
- Legal basis:
-
- 32023R1115 - A33
- Link
- Link
- Link
- Select all documents mentioning this document
- Instruments cited:
- EUROVOC descriptor:
- Subject matter:
- Directory code:
-
- 03.30.60.00 Landbrug / Landbrugsstrukturer / Skove og skovbrug
- 13.30.99.00 Industripolitik og det indre marked / Det indre marked: tilnærmelse af lovgivningen / Tilnærmelse af lovgivning inden for andre sektorer
- 15.10.30.10 Miljø, forbrugere og sundhed / Miljø / Rum, miljø og naturressourcerne / Forvaltning og effektiv udnyttelse af rum, miljø og naturressourcer
|
Den Europæiske Unions |
DA L-udgaven |
|
2024/3084 |
6.12.2024 |
KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2024/3084
af 4. december 2024
om informationssystemets funktionsmåde i henhold til Europa-Parlamentets og Rådets forordning (EU) 2023/1115 om tilgængeliggørelse på EU-markedet og eksport fra Unionen af visse råvarer og produkter, der er forbundet med skovrydning og skovforringelse
EUROPA-KOMMISSIONEN HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde,
under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2023/1115 af 31. maj 2023 om tilgængeliggørelse på EU-markedet og eksport fra Unionen af visse råvarer og produkter, der er forbundet med skovrydning og skovforringelse, og om ophævelse af forordning (EU) nr. 995/2010 (1), særlig artikel 33, og
ud fra følgende betragtninger:
|
(1) |
Forordning (EU) 2023/1115 fastsætter regler, der har til formål at minimere Unionens andel af skovrydning og skovforringelse. Med henblik herpå er der ved forordningen indført due diligence-forpligtelser for operatører og forhandlere, der bringer visse råvarer og produkter i omsætning, gør dem tilgængelige på eller eksporterer dem fra EU-markedet. Enhver henvisning til operatører i denne forordning bør forstås som henvisning til forhandlere, der ikke er SMV'er, og som gør relevante produkter tilgængelige på markedet, hvis bestemmelserne i denne forordning generelt finder anvendelse på dem i overensstemmelse med deres forpligtelser i henhold til forordning (EU) 2023/1115, navnlig artikel 5, stk. 1. |
|
(2) |
Operatørerne påtager sig formelt ansvaret for, at de relevante produkter, som de agter at bringe i omsætning eller eksportere, opfylder kravene, ved at stille due diligence-erklæringer (»due diligence-erklæringer«) til rådighed. |
|
(3) |
Det er nødvendigt at udvikle et informationssystem og give operatører og forhandlere og, hvis det er relevant, deres bemyndigede repræsentanter, kompetente myndigheder og toldmyndigheder adgang til dette system, så de kan opfylde deres respektive forpligtelser i henhold til forordning (EU) 2023/1115. Informationssystemet bør lette overførslen af oplysninger mellem medlemsstaternes kompetente myndigheder og toldmyndighederne. |
|
(4) |
Informationssystemet bør være en softwareapplikation, der bygger på Traces-platformen, der blev oprettet ved Europa-Parlamentets og Rådets forordning (EU) 2017/625 (2), og det skal udvikles og vedligeholdes af Kommissionen. |
|
(5) |
Det er derfor nødvendigt at fastsætte de praktiske og operationelle ordninger for informationssystemets funktionsmåde for at fremme en effektiv og harmoniseret gennemførelse og håndhævelse af forordning (EU) 2023/1115. |
|
(6) |
For at undgå sproglige barrierer bør informationssystemet være tilgængeligt på alle de officielle EU-sprog. Med henblik herpå bør Kommissionen oversætte informationssystemets brugergrænseflade til alle de officielle EU-sprog. |
|
(7) |
For at opfylde deres forpligtelser og udføre deres opgaver i henhold til forordning (EU) 2023/1115 kan operatører, forhandlere, kompetente myndigheder, toldmyndigheder og Kommissionen have behov for at udveksle oplysninger, der kan omfatte personoplysninger. Enhver sådan udveksling af oplysninger bør overholde reglerne om beskyttelse af personoplysninger i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (3) og (EU) 2018/1725 (4). Således falder den udveksling af personoplysninger, der er nødvendig for at opfylde de forpligtelser og udføre de opgaver, der er fastsat i forordning (EU) 2023/1115, ind under anvendelsesområdet for den lovlige behandling af oplysninger i henhold til artikel 5, stk. 1, litra a), i forordning (EU) 2018/1725 og artikel 6, stk. 1, litra e), i forordning (EU) 2016/679. |
|
(8) |
Informationssystemet bør anvendes til at understøtte operatørerne, forhandlerne og de kompetente myndigheder i at fremlægge og få adgang til de nødvendige oplysninger om relevante produkter, der bringes i omsætning eller gøres tilgængelige på markedet eller eksporteres. Personoplysninger, som måtte blive udvekslet via informationssystemet, bør kun behandles med henblik på opfyldelse af forpligtelser og udførelse af opgaver inden for rammerne af forordning (EU) 2023/1115. Hvis personoplysninger behandles i forbindelse med driften af informationssystemet med henblik på at opfylde forpligtelser og opgaver i henhold til forordning (EU) 2023/1115, bør operatørerne og forhandlerne og, hvis det er relevant, deres bemyndigede repræsentanter, kompetente myndigheder og toldmyndigheder være dataansvarlige som omhandlet i forordning (EU) 2016/679, og Kommissionen bør være dataansvarlig som omhandlet i forordning (EU) 2018/1725 for den behandling, som de udfører. De kompetente myndigheder og toldmyndighederne bør være fælles dataansvarlige som omhandlet i forordning (EU) 2016/679 for behandlingsaktiviteterne, når de samarbejder om at udføre opgaver, jf. artikel 21 i forordning (EU) 2023/1115. |
|
(9) |
Behandling, videregivelse, lagring og anden behandling af fysiske personers personoplysninger bør finde sted i informationssystemet med henblik på at opfylde forpligtelserne og opgaverne i henhold til forordning (EU) 2023/1115. |
|
(10) |
I informationssystemet bør behandles personoplysninger i det omfang, det er strengt nødvendigt for at opfylde forpligtelserne i henhold til forordning (EU) 2023/1115. Informationssystemet bør kun behandle de kategorier af personoplysninger, der er anført i artikel 12, stk. 2, i denne gennemførelsesforordning. |
|
(11) |
Informationssystemet bør ikke lagre de personoplysninger, der indgives af informationssystembrugerne, i en form, der gør det muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt for de formål, hvortil personoplysningerne behandles. Denne periode bør være ti år fra datoen for indgivelse af due diligence-erklæringen gennem informationssystemet, idet der tages hensyn til fremstillingsprocesser, der løber over en lang periode, for at give operatører og forhandlere og, hvis det er relevant, deres bemyndigede repræsentanter mulighed for at henvise til eksisterende due diligence-erklæringer i henhold til artikel 33, stk. 2, litra c), i forordning (EU) 2023/1115 og opfylde deres forpligtelser til at sikre, at der er udøvet due diligence i forbindelse med de relevante produkter, der er indeholdt i eller fremstillet af de relevante produkter, i henhold til artikel 4, stk. 9, i forordning (EU) 2023/1115. Det bør være muligt at opbevare og behandle personoplysninger i et længere tidsrum, hvis det er nødvendigt for at opfylde informationssystemaktørernes individuelle ansvar og forpligtelser som fastsat i forordning (EU) 2023/1115. |
|
(12) |
Kommissionen bør give den brede offentlighed adgang til informationssystemets datasæt i et komplet anonymiseret og maskinlæsbart åbent format i overensstemmelse med Unionens politik om åben adgang for data, som oprettes i form af behørigt aggregerede og anonymiserede datasæt, der bør være tilgængelige på Kommissionens websted. |
|
(13) |
I overensstemmelse med principperne om beskyttelse gennem design og gennem standardindstillinger, og navnlig på grund af begrænsningerne med hensyn til adgangen til personoplysninger, der udveksles i informationssystemet, bør informationssystemet udvikles og udformes under behørig hensyntagen til kravene i databeskyttelseslovgivningen. Informationssystemet bør følgelig give et langt højere beskyttelses- og sikkerhedsniveau end andre metoder til informationsudveksling såsom telefon, almindelige breve eller e-mail. |
|
(14) |
Kommissionen bør levere og forvalte softwaren og IT-infrastrukturen til informationssystemet, sikre dets pålidelighed, sikkerhed, tilgængelighed, vedligeholdelse og drift og bidrage til uddannelse af og teknisk bistand til informationssystemaktører og informationssystembrugere. Informationssystemet bør muliggøre en effektiv dataudveksling ved hjælp af relevante systemer og datakilder fra Kommissionens tjenestegrene. |
|
(15) |
Medlemsstaterne bør kunne tilpasse deres funktioner og ansvarsområder i forbindelse med informationssystemet i overensstemmelse med deres interne administrative strukturer, og de bør kunne implementere en bestemt type arbejde eller rækkefølge af faser i en given arbejdsproces i informationssystemet, samtidig med at de overholder deres forpligtelser i henhold til kapitel 3 i forordning (EU) 2023/1115. |
|
(16) |
For at fremme en effektiv gennemførelse af forordning (EU) 2023/1115 bør de kompetente myndigheder være i stand til at gennemføre foranstaltninger inden for informationssystemet for at sikre overholdelse af nævnte forordning, herunder fastlæggelse af risikoprofil for den plan for tilsyn, der er omhandlet i artikel 16, stk. 5, i forordning (EU) 2023/1115, resultatet af tilsyn med operatører og forhandlere, suspension af udstedelsen af referencenumre, der er tildelt due diligence-erklæringerne, og, hvis der er tale om manglende afhjælpning og alvorlig manglende overholdelse, at afvise de pågældende due diligence-erklæringer. I henhold til artikel 16, stk. 1, i forordning (EU) 2023/1115, hvor det fastsættes, at de kompetente myndigheder foretager tilsyn på deres område, bør de kompetente myndigheder kunne handle på grundlag af de due diligence-erklæringer, for hvilke der afgives oplysninger i informationssystemet af informationssystembrugerne vedrørende den medlemsstat, i hvilken et produkt indføres eller forlader eller gøres tilgængeligt på EU-markedet. Hvis sådanne oplysninger mangler, bør de kompetente myndigheder kunne handle på grundlag af due diligence-erklæringerne fra de informationssystembrugere, der er etableret i eller tilknyttet deres medlemsstat. |
|
(17) |
Oplysninger, som den kompetente myndighed, toldmyndigheden, Kommissionen eller enhver anden myndighed, der er blevet tildelt adgang til oplysningerne gennem informationssystemet, har modtaget fra en anden kompetent myndighed, toldmyndighed, Kommissionen eller en anden sådan myndighed, bør ikke miste sin værdi som bevismateriale i strafferetlige, civilretlige eller forvaltningsretlige sager i overensstemmelse med relevant EU-lovgivning og national lovgivning, blot fordi de stammer fra en anden medlemsstat eller er modtaget elektronisk. Sådanne oplysninger bør behandles af de relevante informationssystembrugere på samme måde som lignende dokumenter, der hidrører fra deres medlemsstat. |
|
(18) |
Det bør være muligt at foretage den behandling af navne og kontaktoplysninger på informationssystembrugere, hvis det er nødvendigt for at opfylde målene og forpligtelserne i henhold til forordning (EU) 2023/1115 og nærværende forordning, herunder overvågning af informationssystemadministratorernes og informationssystembrugernes anvendelse af informationssystemet, kommunikations-, uddannelses- og oplysningsinitiativer samt indsamling af oplysninger i forbindelse med anvendelsesområdet for forordning (EU) 2023/1115, eller gensidig bistand inden for rammerne af nævnte forordning. |
|
(19) |
For at sikre effektiv overvågning af og rapportering om informationssystemets funktionsmåde, bør de kompetente myndigheder, toldmyndighederne eller andre myndigheder, der er blevet tildelt adgang til informationssystemet, stille relevante oplysninger til rådighed for Kommissionen, hvis sådanne oplysninger er nødvendige for, at Kommissionen kan opfylde sine forpligtelser i henhold til forordning (EU) 2023/1115 og nærværende forordning. |
|
(20) |
En registreret bør oplyses om behandlingen af deres personoplysninger i informationssystemet og deres rettigheder i overensstemmelse med forordning (EU) 2016/679 og forordning (EU) 2018/1725, navnlig retten til indsigt i oplysningerne om dem og retten til at få urigtige oplysninger berigtiget og ulovligt behandlede oplysninger slettet. |
|
(21) |
Hver informationssystembruger bør som dataansvarlig for de databehandlingsaktiviteter, som den pågældende udfører i forbindelse med anvendelsesområdet for forordning (EU) 2023/1115, sikre, at de registrerede kan udøve deres rettigheder i overensstemmelse med forordning (EU) 2016/679 og forordning (EU) 2018/1725. Dette bør omfatte indførelse af en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed. |
|
(22) |
Gennemførelsen af denne forordning og informationssystemets ydeevne bør overvåges i rapporten om informationssystemets funktionsmåde på grundlag af statistiske data fra informationssystemet og alle andre relevante data. Kommissionen bør fremsende rapporten til Europa-Parlamentet, Rådet og Den Europæiske Tilsynsførende for Databeskyttelse. Rapporten bør også omhandle aspekter vedrørende beskyttelse af personoplysninger i informationssystemet, herunder datasikkerhed. |
|
(23) |
Den Europæiske Tilsynsførende for Databeskyttelse er i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725 blevet hørt og afgav udtalelse den 5. november 2024. |
|
(24) |
Foranstaltningerne i denne forordning er i overensstemmelse med udtalelse fra Den Europæiske Unions (EU) Komité for forordningen om skovrydningsfrie produkter — |
VEDTAGET DENNE FORORDNING:
KAPITEL I
ALMINDELIGE BESTEMMELSER
Artikel 1
Genstand
Ved denne forordning fastsættes reglerne for informationssystemets funktionsmåde, herunder regler for beskyttelse af personoplysninger og udveksling af data med andre IT-systemer.
Artikel 2
Indførelse og anvendelse af informationssystemet
1. Kommissionen skal:
|
a) |
udvikle informationssystemet som et uafhængigt modul i Traces-platformen |
|
b) |
sikre informationssystemets funktion og vedligeholdelse, yde bistand og udføre eventuelle nødvendige opdateringer eller udviklinger. |
2. Informationssystemet skal anvendes af operatører og forhandlere og, hvis det er relevant, deres bemyndigede repræsentanter til at indgive og forvalte due diligence-erklæringer og kontrollere gyldigheden af referencenumre, og det skal anvendes af kompetente myndigheder, toldmyndigheder og Kommissionen til at få adgang til og handle på grundlag af due diligence-erklæringer, herunder udveksling af oplysninger, der indeholder personoplysninger, mellem kompetente myndigheder, toldmyndigheder og Kommissionen i forbindelse med gennemførelsen og håndhævelsen af forordning (EU) 2023/1115. Enhver sådan udveksling af oplysninger skal overholde reglerne om beskyttelse af personoplysninger i forordning (EU) 2016/679 og (EU) 2018/1725.
3. Due diligence-erklæringerne rettes i informationssystemet til de kompetente myndigheder i følgende rækkefølge:
|
a) |
Hvis brugeren af informationssystemets afgiver information med oplysning om den medlemsstat, hvori det pågældende produkt indføres eller forlader EU-markedet, eller i mangel heraf, hvis det pågældende produkt bringes i omsætning eller gøres tilgængeligt på markedet, skal due diligence-erklæringerne rettes til de kompetente myndigheder i den pågældende medlemsstat |
|
b) |
Hvis de oplysninger, der kræves i henhold til litra a), mangler, rettes due diligence-erklæringerne til de kompetente myndigheder i den medlemsstat, i hvilken brugeren af informationssystemet er etableret. Hvis brugeren af informationssystemet er etableret uden for Unionen, rettes due diligence-erklæringerne til de kompetente myndigheder i den medlemsstat, som brugeren af informationssystemet er tilknyttet, i overensstemmelse med den identifikator, der er angivet ved registreringen i informationssystemet. |
Artikel 3
Definitioner
Ud over definitionerne i artikel 2 i forordning (EU) 2023/1115, artikel 4 i forordning (EU) 2016/679 og artikel 3 i forordning (EU) 2018/1725 gælder følgende definitioner ved anvendelsen af denne forordning:
|
a) |
»informationssystem«: det informationssystem, der oprettes og vedligeholdes af Kommissionen i henhold til artikel 33 i forordning (EU) 2023/1115 |
|
b) |
»informationssystemaktør«: de kompetente myndigheder og toldmyndigheder, der er omhandlet i forordning (EU) 2023/1115, og Kommissionen, i forbindelse med udførelsen af de opgaver, som de er blevet pålagt i henhold til forordning (EU) 2023/1115 |
|
c) |
»informationssystembruger«: operatører og forhandlere og, hvor det er relevant, deres bemyndigede repræsentanter i henhold til forordning (EU) 2023/1115, som identificeres ved individuel registrering i EU Login, der er Europa-Kommissionens brugerautentificeringstjeneste |
|
d) |
»due diligence-erklæring«: den due diligence-erklæring, der indgives af informationssystembrugeren i henhold til forordning (EU) 2023/1115 |
|
e) |
»referencenummer«: det referencenummer, der via informationssystemet er blevet tildelt den due diligence-erklæring, der indgives af informationssystembrugeren i henhold til forordning (EU) 2023/1115 |
|
f) |
»kontrolnummer«: et sikkerhedsnummer, som informationssystemet tildeler den due diligence-erklæring, der indgives af informationssystembrugeren, for at sikre yderligere sikkerhed for de data, der indgår i due diligence-erklæringen |
|
g) |
»fastlæggelse af risikoprofil«: identifikation, på grundlag af risikokriterier, af risikoen for, at et relevant produkt, der er omfattet af forordning (EU) 2023/1115 inden for rammerne af informationssystemet, ikke opfylder kravene, med henblik på at tildele hver due diligence-erklæring, der indgives i informationssystemet, herunder efter enhver ændring heraf, en risikostatus, der afspejler denne risiko. |
KAPITEL II
INFORMATIONSSYSTEMETS FUNKTIONSMÅDE
Artikel 4
Indgivelse af due diligence-erklæringer
1. Bortset fra tilfælde hvor due diligence-erklæringen stilles til rådighed via den elektroniske grænseflade, der er omhandlet i artikel 28, stk. 2, i forordning (EU) 2023/1115, skal informationssystembrugerne indgive og forvalte due diligence-erklæringerne for relevante produkter i informationssystemet.
2. Hvis et relevant produkt indeholder eller er fremstillet af træ, skal informationssystembrugerne i due diligence-erklæringen anføre de almindeligt anvendte navne og de fulde videnskabelige navne på de træsorter, som de relevante produkter indeholder eller er fremstillet af.
Artikel 5
Ændring og tilbagekaldelse af due diligence-erklæringer
1. Informationssystemet skal gøre det muligt for informationssystembrugerne at ændre eller tilbagekalde due diligence-erklæringer senest 72 timer, efter at referencenummeret for due diligence-erklæringen er gjort tilgængeligt i informationssystemet.
2. Due diligence-erklæringer kan ikke ændres eller tilbagekaldes inden for den periode, der er fastsat i stk. 1, efter at due diligence-erklæringen er anvendt som reference i en due diligence-erklæring, der er indgivet af samme eller en anden informationssystembruger.
3. En due diligence-erklæring må ikke ændres eller tilbagekaldes af en informationssystembruger, efter at:
|
a) |
informationssystembrugeren er blevet underrettet om hensigten om at foretage en kontrol af due diligence-erklæringen eller af det relevante produkt, som due diligence-erklæringen omfatter, i den periode, som tilsynet pågår |
|
b) |
det pågældende produkt er bragt i omsætning eller gjort tilgængeligt på EU-markedet i henhold til forordning (EU) 2023/1115 |
|
c) |
due diligence-erklæringens referencenummer er meddelt eller stillet til rådighed for toldmyndighederne inden overgangen til fri omsætning eller eksport af et relevant produkt, der indføres på eller forlader markedet som led i de procedurer, der er fastsat i kapitel 4 i forordning (EU) 2023/1115. |
4. Uanset stk. 2 og 3 kan de kompetente myndigheder efter individuel og begrundet anmodning fra en informationssystembruger først forlænge den periode, der er omhandlet i stk. 1, når den i stk. 1 omhandlede periode er udløbet. En sådan forlængelse må ikke overstige otte kalenderdage. Anmodningen skal bero på grunde, som ligger uden for informationssystembrugerens kontrol, og denne skal i sin begrundede anmodning anføre, at stk. 3 i denne artikel ikke finder anvendelse. En sådan forlængelse skal også være mulig med tilbagevirkende kraft, efter at den periode, der er omhandlet i stk. 1, er udløbet.
5. Ændrede due diligence-erklæringer skal være omfattet af den fastlæggelse af risikoprofil, der er omhandlet i artikel 6. Fastlæggelse af risikoprofilen gælder for hele den ændrede due diligence-erklæring.
Artikel 6
Fastlæggelse af risikoprofil
1. Informationssystemet skal gøre det muligt for de kompetente myndigheder at identificere situationer i informationssystemet, hvor relevante produkter udgør en så høj risiko for manglende overholdelse, at de kræver øjeblikkelige tiltag, inden disse relevante produkter bringes i omsætning eller gøres tilgængelige på markedet eller eksporteres i henhold til artikel 17 i forordning (EU) 2023/1115, og at informere de kompetente myndigheder om, hvilke kontroller der skal gennemføres og udføre de opgaver, som de pålægges i henhold til kapitel 3 i forordning (EU) 2023/1115.
2. Med henblik på stk. 1 skal informationssystemet gøre det muligt for de kompetente myndigheder at oprette risikoprofiler i informationssystemet til støtte for en informeret beslutning om udvælgelse af operatører, forhandlere eller relevante produkter, der er forbundet med due diligence-erklæringer, for hvilke der skal føres tilsyn. Disse risikoprofiler skal bl.a. baseres på de risikokriterier, der er fastsat i deres årlige plan for tilsyn i henhold til artikel 16, stk. 5, i forordning (EU) 2023/1115, der fastlægges i overensstemmelse med deres risikobaserede tilgang i henhold til artikel 16, stk. 3, i forordning (EU) 2023/1115.
3. Hver due diligence-erklæring skal gennemgå en automatiseret elektronisk fastlæggelse af risikoprofil, når den indgives i informationssystemet, og informationssystemet skal tildele hver due diligence-erklæring en risikostatus.
4. På et hvilket som helst trin i processen efter indgivelsen af en due diligence-erklæring kan de kompetente myndigheder gennemgå en due diligence-erklæring for at vurdere, om et relevant produkt er i overensstemmelse med artikel 3 i forordning (EU) 2023/1115. I så fald kan de tildele due diligence-erklæringen en ny risikostatus som følge af gennemgangen. Hvis den kompetente myndighed tildeler en ny risikostatus til en due diligence-erklæring, har en sådan ny risikostatus forrang frem for en risikostatus, der er tildelt i henhold til denne artikels stk. 3.
Artikel 7
Tildeling og tilrådighedsstillelse af referencenumre
1. Informationssystemet skal uden unødigt ophold tildele et referencenummer og et kontrolnummer til hver due diligence-erklæring, der indgives af informationssystembrugeren, efter at fastlæggelsen af den risikoprofil, der er omhandlet i artikel 6, er afsluttet.
2. Referencenummeret og kontrolnummeret skal stilles til rådighed for informationssystembrugeren, når fastlæggelsen af den risikoprofil, der er omhandlet i artikel 6, er afsluttet.
3. Informationssystemet skal gøre det muligt for de kompetente myndigheder at udsætte tilrådighedsstillelsen af referencenummeret for at fastslå, om de relevante produkter er i overensstemmelse med artikel 3 i forordning (EU) 2023/1115, og navnlig kontrollere, at den konstaterede situation, der er omhandlet i nærværende forordnings artikel 6, stk. 1, ikke finder anvendelse på det relevante produkt. En sådan forsinkelse skal være kortest mulig og må ikke vare længere end den periode, der er fastsat i artikel 17, stk. 3, i forordning (EU) 2023/1115. En yderligere forlængelse er mulig efter den kompetente myndigheds skøn.
Artikel 8
Afvisning af due diligence-erklæringer
1. For at forhindre, at et relevant produkt, der ikke overholder forordning (EU) 2023/1115, bringes i omsætning eller gøres tilgængeligt på markedet eller eksporteres i henhold til artikel 17 i forordning (EU) 2023/1115, kan de kompetente myndigheder afvise en due diligence-erklæring, medmindre referencenummeret på en due diligence-erklæring allerede er blevet stillet til rådighed for informationssystembrugeren.
2. Det relevante produkt, der er anmeldt i en afvist due diligence-erklæring, anses for ikke at være omfattet af en due diligence-erklæring som omhandlet i artikel 3, litra c), i forordning (EU) 2023/1115.
3. Afvisningen skal afspejles i informationssystemet ved at tildele den pågældende due diligence-erklæring en bestemt status.
KAPITEL III
FUNKTIONER OG ANSVARSOMRÅDER I FORBINDELSE MED INFORMATIONSSYSTEMET
Artikel 9
Kommissionens funktioner og ansvarsområder
Ud over de opgaver, der er anført i artikel 2, stk. 1, er Kommissionen ansvarlig for at udføre følgende opgaver i forbindelse med informationssystemet:
|
a) |
tilvejebringelse af viden, uddannelse og ydelse af bistand, herunder teknisk bistand, til informationssystembrugere og informationssystemaktører i forbindelse med anvendelsen af informationssystemet |
|
b) |
at give adgang til informationssystemaktører, der er udpeget af hver enkelt medlemsstat |
|
c) |
give adgang til informationssystembrugere, der er underlagt de kompetente myndigheders tilsyn |
|
d) |
behandling af personoplysninger i informationssystemet, hvis det kræves i henhold til denne forordning, eller med henblik på gennemførelse og håndhævelse i henhold til forordning (EU) 2023/1115 |
|
e) |
levering af webtjenester til informationssystembrugere med henblik på at indgive og forvalte due diligence-erklæringer i informationssystemet på en automatiseret måde |
|
f) |
levering af webtjenester til medlemsstaternes kompetente myndigheder med henblik på udførelse af opgaver vedrørende indgivne due diligence-erklæringer i informationssystemet på en automatiseret måde |
|
g) |
levering af den elektroniske grænseflade i henhold til artikel 28 i forordning (EU) 2023/1115 |
|
h) |
ophævelse og tilbagetrækning af adgang for informationssystembrugere efter anmodning fra de kompetente myndigheder i den medlemsstat, i hvilken informationssystembrugeren er etableret, eller, hvis brugeren er etableret uden for Unionen, de kompetente myndigheder i den medlemsstat, som informationssystembrugeren er tilknyttet, i overensstemmelse med den identifikator, der blev tildelt ved registreringen i informationssystemet. |
Artikel 10
Adgangsrettigheder for informationssystembrugere
1. Kun registrerede informationssystembrugere har adgang til informationssystemet.
2. Autentificering til informationssystemet finder sted via EU Login, der er Europa-Kommissionens autentificeringstjeneste.
3. Informationssystembrugere skal have adgang til de oplysninger i informationssystemet, som de har indgivet, eller som de har fået tildelt adgang til af en anden informationssystembruger, ved hjælp af referencenumre og kontrolnumre på de tilknyttede due diligence-erklæringer.
Artikel 11
Adgangsrettigheder for informationssystemaktører
1. Kommissionen skal have adgang til alle data, oplysninger og dokumenter i informationssystemet med henblik på udarbejdelsen af rapporter samt udviklingen, funktionsmåden og vedligeholdelsen af systemet.
2. Kommissionen tildeler og kan tilbagekalde adgangsrettigheder til informationssystemets aktører ved ændrede beføjelser i henhold til artikel 14, stk. 2, i forordning (EU) 2023/1115.
3. Autentificering til informationssystemet finder sted via EU Login, der er Europa-Kommissionens autentificeringstjeneste.
4. Informationssystemaktører indfører passende midler til at sikre, at individuelle brugere, der repræsenterer informationssystemaktører i informationssystemet, kun får adgang til personoplysninger, der behandles i informationssystemet, hvis det er strengt nødvendigt for gennemførelsen og håndhævelsen i henhold til forordning (EU) 2023/1115.
5. Informationssystemaktørerne skal have adgang til alle de relevante oplysninger i informationssystemet, der er nødvendige for at opfylde deres forpligtelser og opgaver i henhold til forordning (EU) 2023/1115.
KAPITEL IV
BEHANDLING AF PERSONOPLYSNINGER OG SIKKERHED
Artikel 12
Behandling af personoplysninger i informationssystemet
1. Videregivelse, lagring og anden behandling af personoplysninger i informationssystemet må kun finde sted, hvis det er nødvendigt og foregår på en forholdsmæssig måde, og kun til følgende formål:
|
a) |
støtte til kommunikation mellem informationssystemaktørerne i forbindelse med gennemførelsen og håndhævelsen inden for rammerne af forordning (EU) 2023/1115 |
|
b) |
informationssystemaktørers sagsbehandling, når de udfører deres egne aktiviteter i forbindelse med gennemførelse og håndhævelse inden for rammerne af forordning (EU) 2023/1115 |
|
c) |
gennemførelse af de forretningsmæssige og tekniske ændringer af de oplysninger, der er anført i denne forordning, hvis dette er nødvendigt for at muliggøre den udveksling og anvendelse af oplysninger, der er omhandlet i litra a) og b). |
2. Behandlingen af personoplysninger må i informationssystemet kun finde sted med henblik på følgende kategorier af personoplysninger:
|
a) |
identifikationsoplysninger: fornavn og efternavn, entydig identifikator, herunder økonomiske operatørers registrerings- og identifikationsnummer (»EORI«), jf. artikel 9 i Europa-Parlamentets og Rådets forordning (EU) nr. 952/2013 (5), hvis det er relevant |
|
b) |
arbejdskontaktoplysninger: e-mail- og postadresse, bopælsland eller det land, hvor det vedtægtsmæssige hjemsted er beliggende, telefonnummer og faxnummer, hvis det er relevant |
|
c) |
informationssystembrugerens funktion |
|
d) |
data om geolokalisering i henhold til artikel 2, stk. 28, i forordning (EU) 2023/1115, hvis fysiske personer kan identificeres |
|
e) |
brugerautentificering og adgangsdata til at få adgang til informationssystemet: IP-adresse og brugernavn. |
3. I informationssystemet lagres de kategorier af personoplysninger, der er anført i stk. 2, og som er blevet behandlet med henblik på gennemførelsen og håndhævelsen i henhold til forordning (EU) 2023/1115.
4. Lagringen af data i henhold til stk. 2 skal udføres ved hjælp af informationsteknologiinfrastruktur, der er beliggende i Det Europæiske Økonomiske Samarbejdsområde.
5. Informationssystemet skal lagre de personoplysninger, der indgår i due diligence-erklæringerne, i en periode på højst ti år fra den dato, hvor de indgives i informationssystemet. Opbevaringsperioden kan forlænges yderligere af Kommissionen efter individuel anmodning fra informationssystembrugere eller informationssystemaktører, hvis det er nødvendigt for at opfylde deres ansvar og forpligtelser i henhold til forordning (EU) 2023/1115.
6. Uden at det berører de databehandlingsaktiviteter, der er omhandlet i artikel 14, er hver informationssystemaktør en særskilt dataansvarlig som omhandlet i forordning (EU) 2016/679 og (EU) 2018/1725, hvad angår de databehandlingsaktiviteter, som informationssystemaktøren udfører.
7. De nationale tilsynsmyndigheder og Den Europæiske Tilsynsførende for Databeskyttelse, der hver især handler inden for deres respektive kompetence, sikrer koordineret tilsyn med informationssystemet og med informationssystemaktørernes og informationssystembrugerenes anvendelse i henhold til artikel 62 i forordning (EU) 2018/1725.
Artikel 13
Kommissionens behandling af personoplysninger
1. Kommissionen er dataansvarlig som omhandlet i artikel 3, nr. 8), i forordning (EU) 2018/1725 med hensyn til behandling af personoplysninger for informationssystembrugere, herunder behandling af personoplysninger ved registreringen af informationssystembrugere i informationssystemet.
2. Hvis Kommissionen behandler personoplysninger i forbindelse med driften af informationssystemet på vegne af andre informationssystemaktører med henblik på udveksling af oplysninger i henhold til artikel 27 i forordning (EU) 2023/1115, betragtes Kommissionen som databehandler som omhandlet i artikel 3, nr. 12), i forordning (EU) 2018/1725.
3. Kommissionen er databehandler, jf. artikel 3, nr. 12), i forordning (EU) 2018/1725, for så vidt angår behandling af personoplysninger, der foretages i forbindelse med fælles undersøgelser i henhold til artikel 21 i forordning (EU) 2023/1115, der foretages i forbindelse med gennemførelsen og håndhævelsen inden for rammerne af forordning (EU) 2023/1115.
Artikel 14
Fælles dataansvar i informationssystemet
Hvis kompetente myndigheder og toldmyndigheder i henhold til forordning (EU) 2023/1115 i fællesskab udfører gennemførelse og håndhævelse i henhold til artikel 21 i forordning (EU) 2023/1115, er de pågældende kompetente myndigheder og toldmyndigheder fælles dataansvarlige som omhandlet i artikel 26, stk. 1, i forordning (EU) 2016/679, for videregivelse, opbevaring og anden behandling af personoplysninger i informationssystemet inden for rammerne af et sådant særligt samarbejde. Hvis det kræves i henhold til artikel 26, stk. 1, i forordning (EU) 2016/679, fastlægger de dataansvarlige deres respektive ansvar for overholdelse af forpligtelserne i henhold til forordning (EU) 2016/679 ved hjælp af en ordning mellem dem.
Artikel 15
Sikkerhed
1. Kommissionen træffer de nødvendige tidssvarende foranstaltninger med henblik på at garantere sikkerheden af de personoplysninger, der behandles i informationssystemet, herunder passende adgangskontrol og en sikkerhedsplan, der løbende ajourføres.
2. Kommissionen træffer de nødvendige tidssvarende foranstaltninger i tilfælde af en sikkerhedsrelateret hændelse, træffer afhjælpende foranstaltninger og sikrer, at det er muligt at kontrollere, hvilke personoplysninger der er blevet behandlet i informationssystemet, hvornår, af hvem og til hvilket formål.
3. Kommissionen skal informere de kompetente myndigheder om de foranstaltninger, der vedtages med henblik på denne artikels stk. 1 og 2.
Artikel 16
Fortrolighed
1. Hver medlemsstat og Kommissionen anvender i overensstemmelse med den nationale lovgivning eller EU-lovgivningen sine egne regler for tavshedspligt eller andre tilsvarende fortrolighedskrav i forbindelse med informationssystemet.
2. Hver informationssystemaktør sikrer, at krav fra andre informationssystemaktører om fortrolig behandling af oplysninger, der udveksles i informationssystemet, efterkommes af personer, der arbejder under deres myndighed.
KAPITEL V
AFSLUTTENDE BESTEMMELSER
Artikel 17
Oversættelse
1. Kommissionen stiller informationssystemet til rådighed på alle officielle EU-sprog.
2. En informationssystemaktør kan i forbindelse med udførelsen af enhver af de opgaver, den er blevet pålagt i overensstemmelse med forordning (EU) 2023/1115, forelægge og anvende alle oplysninger, dokumenter, undersøgelsesresultater, erklæringer eller bekræftede kopier, som systemaktøren har modtaget i informationssystemet, på samme grundlag som tilsvarende oplysninger indhentet i systemaktørens eget land til formål, der er forenelige med de formål, hvortil oplysningerne oprindeligt blev indsamlet, og i overensstemmelse med relevant EU-lovgivning og national lovgivning.
Artikel 18
Omkostninger
1. Omkostningerne i forbindelse med oprettelsen, vedligeholdelsen og driften af informationssystemet afholdes af Kommissionen.
2. Omkostningerne vedrørende informationssystemet på medlemsstatsplan, herunder de menneskelige ressourcer, der er nødvendige for uddannelse, markedsføring og teknisk bistand samt for anvendelsen af informationssystemet på nationalt plan og eventuelle tilpasninger, der kræves af nationale netværk og informationssystemer, afholdes af den medlemsstat, der pådrager sig dem.
Artikel 19
Ikrafttræden
Denne forordning træder i kraft på tredjedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Bruxelles, den 4. december 2024.
På Kommissionens vegne
Ursula VON DER LEYEN
Formand
(1) EUT L 150 af 9.6.2023, s. 206, ELI: http://data.europa.eu/eli/reg/2023/1115/oj.
(2) Europa-Parlamentets og Rådets forordning (EU) 2017/625 af 15. marts 2017 om offentlig kontrol og andre officielle aktiviteter med henblik på at sikre anvendelsen af fødevare- og foderlovgivningen og reglerne for dyresundhed og dyrevelfærd, plantesundhed og plantebeskyttelsesmidler, om ændring af Europa-Parlamentets og Rådets forordning (EF) nr. 999/2001, (EF) nr. 396/2005, (EF) nr. 1069/2009, (EF) nr. 1107/2009, (EU) nr. 1151/2012, (EU) nr. 652/2014, (EU) 2016/429 og (EU) 2016/2031, Rådets forordning (EF) nr. 1/2005 og (EF) nr. 1099/2009 samt Rådets direktiv 98/58/EF, 1999/74/EF, 2007/43/EF, 2008/119/EF og 2008/120/EF og om ophævelse af Europa-Parlamentets og Rådets forordning (EF) nr. 854/2004 og (EF) nr. 882/2004, Rådets direktiv 89/608/EØF, 89/662/EØF, 90/425/EØF, 91/496/EØF, 96/23/EF, 96/93/EF og 97/78/EF og Rådets afgørelse 92/438/EØF (forordningen om offentlig kontrol) (EUT L 95 af 7.4.2017, s. 1, ELI: http://data.europa.eu/eli/reg/2017/625/oj).
(3) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (EUT L 119 af 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(4) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(5) Europa-Parlamentets og Rådets forordning (EU) nr. 952/2013 af 9. oktober 2013 om EU-toldkodeksen (EUT L 269 af 10.10.2013, s. 1, ELI: http://data.europa.eu/eli/reg/2013/952/oj).
ELI: http://data.europa.eu/eli/reg_impl/2024/3084/oj
ISSN 1977-0634 (electronic edition)
