KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2022/1504

af 6. april 2022

om nærmere regler for anvendelsen af Rådets forordning (EU) nr. 904/2010 for så vidt angår oprettelse af et centralt elektronisk system med betalingsoplysninger (CESOP) til bekæmpelse af momssvig

EUROPA-KOMMISSIONEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Rådets forordning (EU) nr. 904/2010 af 7. oktober 2010 om administrativt samarbejde og bekæmpelse af svig vedrørende merværdiafgift (1), særlig artikel 24e, og

ud fra følgende betragtninger:

(1)

Rådets direktiv 2006/112/EF (2), som ændret ved direktiv (EU) 2020/284 (3), indfører indberetningspligter for betalingstjenesteudbydere fra den 1. januar 2024. Fra dette tidspunkt skal betalingstjenesteudbydere, som er etableret eller udbyder betalingstjenester i Den Europæiske Union, føre visse registre over grænseoverskridende betalinger fra betalere i medlemsstaterne og visse oplysninger om betalingsmodtagerne og fremsende disse registre til medlemsstaterne med henblik på bekæmpelse af momssvig.

(2)	I henhold til forordning (EU) nr. 904/2010, som ændret ved forordning (EU) 2020/283 (4), skal medlemsstaterne fremsende disse registreringer til et centralt elektronisk system med betalingsoplysninger (»CESOP«), som skal udvikles, vedligeholdes, hostes og drives teknisk af Kommissionen.

(3)

I henhold til artikel 24e, litra a), i forordning (EU) nr. 904/2010 og for at sikre, at CESOP fungerer korrekt, er det nødvendigt at vedtage de tekniske foranstaltninger til oprettelse af CESOP. Disse foranstaltninger bør sikre de nødvendige funktionaliteter i CESOP til udvikling af CESOP's varetagelse af opgaver som beskrevet i artikel 24c i forordning (EU) nr. 904/2010. Foranstaltningerne bør også sikre en høj grad af brugervenlighed ved at stille søgnings- og visualiseringsværktøjer til rådighed i CESOP. Desuden bør CESOP lette udvekslingen af oplysninger mellem Eurofiscforbindelsesembedsmænd ved at give mulighed for, at de hurtigt og sikkert kan udveksle oplysninger om momssvig direkte i CESOP. De foranstaltninger, som Kommissionen bør træffe for at vedligeholde CESOP, efter at det er sat i drift, bør også fastlægges for at sikre de operationelle kvalitetsstandarder for CESOP's IT-infrastruktur og funktionaliteter, og for at de nødvendige opdateringer foretages, når det er nødvendigt for at håndtere systemhændelser mellem Kommissionen og medlemsstaterne.

(4)

Mens medlemsstaterne som dataansvarlige for CESOP er ansvarlige for driften, har Kommissionen en række ansvarsområder, der er begrænset til den tekniske drift af CESOP som host og databehandler, jf. artikel 24e, litra b), i forordning (EU) nr. 904/2010. Disse bør omfatte de tekniske opgaver, der er nødvendige for den daglige administration af CESOP såsom at føre register over Eurofiscforbindelsesembedsmænds adgang til CESOP, at føre register over de betalingstjenesteudbydere, som har overført data til medlemsstaterne, at fastlægge passende organisatoriske sikkerhedsforanstaltninger for CESOP og at sørge for den nødvendige uddannelse og støtte til Eurofiscforbindelsesembedsmænd med henblik på effektiv anvendelse af CESOP.

(5)

I henhold til artikel 24b, stk. 1, litra b), i forordning (EU) nr. 904/2010 skal medlemsstaterne sende data til CESOP i et fælles format. De dataelementer, som betalingstjenesteudbydere skal indberette i form af et XML-dokument, bør fastlægges. For at sikre den overordnede interoperabilitet mellem de nationale elektroniske systemer og CESOP inden for rammerne af artikel 24b, stk. 3, i forordning (EU) nr. 904/2010 bør medlemsstaterne kontrollere, at de data, som betalingstjenesteudbyderne fremsender, omfatter obligatoriske og syntaktisk korrekte dataelementer i overensstemmelse med artikel 243d i direktiv 2006/112/EF, da CESOP kun kan fungere, hvis de obligatoriske data er registreret korrekt i CESOP.

(6)

Medlemsstaterne bør udpege de Eurofiscforbindelsesembedsmænd, der skal have adgang til CESOP, og underrette Kommissionen om deres valg. I den forbindelse bør Kommissionen give disse embedsmænd en unik identifikator med henblik på adgang til CESOP og føre en liste over alle Eurofiscforbindelsesembedsmænd, der har adgang til CESOP, på grundlag af de oplysninger, den har modtaget fra medlemsstaterne.

(7)

I henhold til artikel 24e, litra g), i forordning (EU) nr. 904/2010 skal Kommissionen fastlægge procedurer, der sikrer de relevante tekniske og organisatoriske sikkerhedsforanstaltninger til udviklingen og driften af CESOP. Flere sikkerhedsaspekter af CESOP's centrale komponenter afhænger også af gennemførelsen af nationale sikkerhedsforanstaltninger såsom foranstaltninger til kontrol af sikkerheden af de overførte data og foranstaltninger til at sikre, at kun Eurofiscforbindelsesembedsmænd med en gyldig unik identifikator kan få adgang til CESOP. Medlemsstaterne bør derfor underrette Kommissionen om deres egne sikkerhedsforanstaltninger. Medlemsstaterne og Kommissionen bør holde hinanden underrettet om de sikkerhedsforanstaltninger, der træffes, og om behovet for at ajourføre disse foranstaltninger.

(8)

Behandlingen af personoplysninger i henhold til denne forordning samt medlemsstaternes og Kommissionens ansvar er omfattet af bestemmelserne i Europa-Parlamentets og Rådets forordning (EU) 2016/679 (5) og i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (6). I henhold til artikel 24e, litra h), i forordning (EU) nr. 904/2010 bør medlemsstaternes og Kommissionens rolle og ansvar med hensyn rollen som dataansvarlig fastlægges. Medlemsstaterne bør i fællesskab betragtes som dataansvarlige for CESOP, da de beslutter, med hvilke hjælpemidler oplysningerne behandles i CESOP, og hvordan de anvendes. Kommissionen bør betragtes som databehandler, da den handler på medlemsstaternes vegne ved udførelsen af alle sine opgaver.

(9)	Denne forordning bør først anvendes fra den 1. januar 2024 med henblik på overensstemmelse med anvendelsen af forordning (EU) 2020/283 og direktiv (EU) 2020/284.

(10)	Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725 og afgav udtalelse den 2. februar 2022.

(11)	Foranstaltningerne i denne forordning er i overensstemmelse med udtalelse fra Det Stående Udvalg for Administrativt Samarbejde —

VEDTAGET DENNE FORORDNING:

Artikel 1

Tekniske foranstaltninger til oprettelse og vedligeholdelse af CESOP

1. Kommissionen udvikler tekniske foranstaltninger til oprettelse af CESOP med følgende funktionaliteter:

a)	modtagelse af betalingsdata fremsendt af medlemsstaterne

b)	sikker lagring af betalingsdata i en periode på højst 5 år fra udgangen af det kalenderår, hvor medlemsstaterne fremsendte oplysningerne til CESOP

c)	rensning af betalingsdata for afvigelser og fejl, herunder duplikater af den samme betaling

d)	samling af betalingsdata vedrørende hver betalingsmodtager

e)	mulighed for søgninger og visualisering af betalingsdata i CESOP

f)	analyse og krydskontrol af betalingsdataene i forhold til de data, der er lagret og udvekslet i overensstemmelse med artikel 17, stk. 1, litra a), b), d), e) og f), og artikel 33, stk. 2, litra b), i forordning (EU) nr. 904/2010

g)	udførelse af automatiske analyser og udpegelse af mistænkelige betalingsmodtagere

h)	mulighed for, at Eurofiscforbindelsesembedsmænd kan udføre ikkeautomatisk kontrol og analyse

i)	udarbejdelse af rapporter om resultaterne af analyser og kontroller udført af CESOP og Eurofiscforbindelsesembedsmænd

j)	tilrådighedsstillelse af infrastruktur til forvaltning af brugeradgangskontrol for Eurofiscforbindelsesembedsmænd

k)	mulighed for, at Eurofiscforbindelsesembedsmænd kan udveksle oplysninger vedrørende grænseoverskridende efterforskning og afsløring af momssvig direkte i CESOP

l)	tilrådighedsstillelse af den tekniske infrastruktur, således at medlemsstaterne kan forvalte adgangsrettighederne for deres Eurofiscforbindelsesembedsmænd.

2. Kommissionen varetager følgende opgaver i forbindelse med opretholdelsen af CESOP:

a)	sikring af, at CESOP og dets funktionaliteter er operationelle

b)	udførelse af vedligeholdelse uden for arbejdstiden

c)	sikring af de tekniske opdateringer, der er nødvendige med henblik på CESOP's korrekte funktion og forbedring

d)	håndtering af tekniske problemer.

Artikel 2

Kommissionens opgaver i forbindelse med den tekniske drift af CESOP

Kommissionen varetager følgende opgaver i forbindelse med den tekniske drift af CESOP:

a)	opbevaring og ajourføring af listen over Eurofiscforbindelsesembedsmænd, der har adgang til CESOP, og deres unikke personlige brugeridentifikation i overensstemmelse med artikel 5

b)	gennemførelse af de organisatoriske og tekniske sikkerhedsforanstaltninger, der er omhandlet i artikel 6

c)	oprettelse, opbevaring og ajourføring af en liste over betalingstjenesteudbydere, der har indberettet data, jf. artikel 24b, stk. 1, i forordning (EU) nr. 904/2010, i overensstemmelse med de data, som medlemsstaterne har fremsendt

d)	sikring af automatisk adgang for Eurofiscforbindelsesembedsmænd, der har adgang til CESOP, til den liste, der føres i henhold til litra c)

e)	ydelse af teknisk bistand til Eurofiscforbindelsesembedsmænd ved anvendelse af CESOP

f)	sikring af uddannelse til Eurofiscforbindelsesembedsmænd i brugen af CESOP.

Artikel 3

Forbindelse og overordnet interoperabilitet mellem CESOP og nationale elektroniske systemer

1. Medlemsstaterne træffer alle nødvendige foranstaltninger for at sikre, at de nationale elektroniske systemer til indsamling af betalingsoplysninger, der er oprettet i medfør af artikel 24b, stk. 2, i forordning (EU) nr. 904/2010, fungerer og kan anvendes til indsamling af betalingsoplysningerne, jf. artikel 24b, stk. 1, i nævnte forordning.

2. Medlemsstaterne sender kun de betalingsoplysninger til CESOP, hvor alle obligatoriske felter er udfyldt, jf. artikel 243d i direktiv 2006/112/EF, og som er i overensstemmelse med kravene i bilaget til denne forordning.

3. Kommissionen sikrer interoperabilitet mellem CESOP og de nationale elektroniske systemer, som er omhandlet i stk. 1.

Artikel 4

Elektronisk standardformular

Den elektroniske standardformular, der er omhandlet i artikel 24b, stk. 1, litra b), i forordning (EU) nr. 904/2010, fremsendes i et standardiseret XML-format i overensstemmelse med datatabellen i bilaget til nærværende forordning.

Artikel 5

Praktiske ordninger vedrørende de Eurofiscforbindelsesembedsmænd, der får adgang til CESOP

1. Medlemsstaterne udpeger de Eurofiscforbindelsesembedsmænd, der skal have adgang til CESOP, og meddeler Kommissionen deres navne og e-mailadresser.

2. Medlemsstaterne underretter Kommissionen om eventuelle ændringer i oplysningerne i stk. 1, herunder ændringer med hensyn til de udpegede Eurofiscforbindelsesembedsmænd, i god tid og senest 30 kalenderdage efter, at ændringen har fundet sted.

3. Kommissionen giver straks de i stk. 1 omhandlede Eurofiscforbindelsesembedsmænd en unik personlig brugeridentifikation med henblik på adgang til CESOP.

Artikel 6

Procedurer for tekniske og organisatoriske sikkerhedsforanstaltninger til udviklingen og driften af CESOP

1. Medlemsstaterne forelægger Kommissionen oplysninger om anvendelsen og enhver ajourføring af deres egne sikkerhedsforanstaltninger på nationalt plan.

Oplysningerne skal omfatte en nærmere redegørelse for de foranstaltninger, der er truffet for at sikre, at det kun er de i artikel 5 omhandlede Eurofiscforbindelsesembedsmænd, som har adgang til CESOP, og en nærmere redegørelse for de foranstaltninger, der er truffet for at sikre kryptering af de data, som medlemsstaterne fremsender.

2. Kommissionen underretter senest den 30. april hvert år fra året efter denne forordnings anvendelsesdato medlemsstaterne om de foranstaltninger, der er truffet med hensyn til CESOP's sikkerhed.

Disse oplysninger skal som minimum omfatte følgende:

a)	de sikkerhedshændelser, der er indtruffet i løbet af det foregående år, og hvordan de er blevet afhjulpet

b)	nærmere oplysninger om vedtagne sikkerhedsforanstaltninger eller ændringer af de eksisterende sikkerhedsforanstaltninger

c)	en vurdering af de eksisterende sikkerhedsforanstaltninger og Kommissionens vurdering af, om det er nødvendigt at ændre disse foranstaltninger.

Artikel 7

De dataansvarliges og databehandlerens roller og ansvarsområder

1. Medlemsstaterne er i fællesskab CESOP's dataansvarlige som defineret i artikel 4, nr. 7), i forordning (EU) 2016/679. Det ansvar, der påhviler dataansvarlige for CESOP, fastlægges i en aftale mellem de dataansvarlige om reglerne for udøvelsen af den registreredes rettigheder og deres pligter i forbindelse med meddelelse af de oplysninger, der er omhandlet i artikel 13 og 14 i forordning (EU) 2016/679.

Medlemsstaterne er ansvarlige for følgende:

udarbejdelse af tekniske specifikationer for CESOP og om nødvendigt tilpasning af dem, således at Kommissionen kan:

a)	oprette og vedligeholde CESOP, jf. artikel 1 i denne forordning

b)	varetage den tekniske drift af CESOP, jf. artikel 2 i denne forordning

c)	sikre interoperabilitet mellem de nationale elektroniske systemer, der er omhandlet i artikel 24b i forordning (EU) nr. 904/2010, og CESOP, jf. artikel 3, stk. 3, i nærværende forordning

d)	træffe sikkerhedsforanstaltninger, jf. artikel 6, stk. 2, første afsnit, i denne forordning

b)	fastsættelse af regler og procedurer for udvælgelse af Eurofiscforbindelsesembedsmænd, der skal have adgang til CESOP

c)	besvarelse af anmodninger fra registrerede vedrørende udøvelsen af rettighederne i kapitel III i forordning (EU) 2016/679.

2. Kommissionen er CESOP's databehandler som defineret i artikel 3, nr. 12), i forordning (EU) 2018/1725.

Kommissionen:

a)	behandler personoplysningerne på medlemsstaternes vegne efter deres instruks og opbevarer dokumentation for disse instrukser

b)	sikrer fortroligheden af personoplysninger, når de behandles inden for rammerne af denne forordning

c)	tilvejebringer den nødvendige tekniske infrastruktur, så medlemsstaterne kan besvare de anmodninger, der er omhandlet i stk. 1, litra c)

d)	bistår medlemsstaterne med at opfylde forpligtelserne i artikel 33-41 i forordning (EU) 2016/679

e)	sikrer sletning af alle personoplysninger, der opbevares i CESOP i overensstemmelse med artikel 24c, stk. 2, i forordning (EU) nr. 904/2010

stiller alle de oplysninger til rådighed for medlemsstaterne, der er nødvendige for at vise, at forpligtelserne i denne artikel er opfyldt, og for at muliggøre og bidrage til revisioner, herunder inspektioner, der foretages af medlemsstaterne eller en anden revisor, der er bemyndiget af medlemsstaterne, under fuld overholdelse af protokol (nr. 7) til traktaten om Den Europæiske Unions funktionsmåde vedrørende Den Europæiske Unions privilegier og immuniteter.

Artikel 8

Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Den finder anvendelse fra den 1. januar 2024.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 6. april 2022.

På Kommissionens vegne

Ursula VON DER LEYEN

Formand

(1) EUT L 268 af 12.10.2010, s. 1.

(2) Rådets direktiv 2006/112/EF af 28. november 2006 om det fælles merværdiafgiftssystem (EUT L 347 af 11.12.2006, s. 1).

(3) Rådets direktiv (EU) 2020/284 af 18. februar 2020 om ændring af direktiv 2006/112/EF for så vidt angår indførelse af visse krav til betalingstjenesteudbydere (EUT L 62 af 2.3.2020, s. 7).

(4) Rådets forordning (EU) 2020/283 af 18. februar 2020 om ændring af forordning (EU) nr. 904/2010 for så vidt angår foranstaltninger til styrkelse af det administrative samarbejde med henblik på bekæmpelse af momssvig (EUT L 62 af 2.3.2020, s. 1).

(5) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1).

(6) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39).

BILAG

Elektronisk formular til fremsendelse af data

Rubrik nr.

Dataelementets navn

Artikel 243d

Beskrivelse

Eksempel på format

Obligatorisk

Kontrol ved fremsendelse til CESOP

BIC/ID for den indberettende betalingstjenesteudbyder

stk. 1, litra a)

BIC som defineret i artikel 2, nr. 16), i Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 (1) eller enhver anden forretningsidentifikationskode, der entydigt identificerer den betalingstjenesteudbyder, der fremsender dataene.

BIC for den betalingstjenesteudbyder, der fremsender dataene.

Tilstedeværelse, syntaktisk kontrol af BIC

Betalingsmodtagerens navn

stk. 1, litra b)

Alle betalingsmodtagerens navne, som er tilgængelige i betalingstjenesteudbydernes registre, herunder juridisk navn og virksomhedsnavn.

Kortmodtagers navn, forretningsdrivendes navn, kreditors navn.

Tilstedeværelse

Betalingsmodtagerens moms- eller skattenummer

stk. 1, litra c)

Betalingsmodtagerens momsnummer og/eller ethvert andet nationalt skattenummer.

Valgfri Obligatorisk

Syntaktisk kontrol af momsnumrene fra EU-medlemsstaterne

Betalingsmodtagers konto-ID

stk. 1, litra d)

IBAN som defineret i artikel 2, nr. 15), i forordning (EU) nr. 260/2012 eller, hvis det ikke foreligger, en anden identifikator, som utvetydigt identificerer den betalingsmodtager, der er involveret i transaktionen, og angiver det sted, hvor vedkommende befinder sig.

IBAN, kortmodtagers ID, forretningsdrivendes ID, identifikationskode for elektronisk konto.

Ja, når der overføres midler til betalingsmodtagerens betalingskonto

Tilstedeværelse, syntaktisk kontrol af IBAN

BIC/ID for den betalingstjenesteudbyder, der modtager betalingen

stk. 1, litra e)

BIC eller enhver forretningsidentifikationskode, som utvetydigt identificerer betalingstjenesteudbyderen, der handler på vegne af betalingsmodtageren, og angiver det sted, hvor vedkommende befinder sig, hvis betalingsmodtageren modtager midler uden at have en betalingskonto.

BIC.

Kun når betalingsmodtageren modtager midler uden at have en betalingskonto

Tilstedeværelse, syntaktisk kontrol af BIC

Betalingsmodtagerens adresse

stk. 1, litra f)

Alle betalingsmodtagerens adresser, som er tilgængelige i betalingstjenesteudbydernes registre (registreret adresse, forretningsadresse, lageradresse).

Kortmodtagers adresse, forretningsdrivendes adresse, kontoejerens adresse.

Valgfri Obligatorisk

Tilbagebetaling

stk. 1, litra h)

Enhver henvisning til, at transaktionen er en tilbagebetaling, og forbindelsen til den tidligere indberettede transaktion.

Hvis relevant

Tilstedeværelse

Dato/tidspunkt

stk. 2, litra a)

Dato og tidspunkt for gennemførelsen af betalingstransaktionen eller tilbagebetalingen.

Købsdato, gennemførelsesdato og dato for transaktionsoprettelse.

Tilstedeværelse, syntaktisk kontrol

Beløb

stk. 2, litra b)

Betalingstransaktionens eller tilbagebetalingsbeløbets størrelse.

Tilstedeværelse

Valuta

stk. 2, litra b)

Den anvendte valuta ved betalingstransaktionen eller tilbagebetalingen.

Tilstedeværelse, syntaktisk kontrol af valutakoden

Oprindelsesmedlemsstat for betaling

stk. 2, litra c)

Oprindelsesmedlemsstaten for den betaling, som betalingsmodtageren modtager.

Betalerens landekode.

Hvis transaktionen er en betaling

Tilstedeværelse, syntaktisk kontrol af landekoden

Bestemmelsesmedlemsstat for tilbagebetaling

stk. 2, litra c)

Medlemsstat, der er bestemmelsessted for tilbagebetalingen.

Landekode for modtageren af tilbagebetalingen.

Hvis transaktionen er en tilbagebetaling, jf. rubrik 7

Tilstedeværelse, syntaktisk kontrol af landekoden

Oplysninger om betalerens geografiske placering

stk. 2, litra c)

Angivelse af de oplysninger, der er anvendt til at fastslå betalingens oprindelse eller tilbagebetalingens bestemmelsessted.

Nærmere detaljer vedrørende oplysningerne må ikke videregives for at undgå identifikation af betaleren.

Betalingstjenesteudbyderne angiver, at den geografiske placering blev udledt af

—	betalerens IBAN

—	Kortindehaverens BIN-interval

—

Andet.

Selve ID (IBAN, BIN, adresse) bør aldrig fremsendes.

Tilstedeværelse

Transaktions-ID

stk. 2, litra d)

Enhver reference, som utvetydigt identificerer betalingen.

Reference for indløser, transaktions-ID.

Tilstedeværelse

Fysisk tilstedeværelse

stk. 2, litra e)

Enhver henvisning, der angiver betalerens tilstedeværelse i den forretningsdrivendes fysiske lokaler, når betalingen initieres.

Indgang på salgsstedet

Hvis relevant

Tilstedeværelse

(1) Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og om ændring af forordning (EF) nr. 924/2009 (EUT L 94 af 30.3.2012, s. 22).