12.9.2022   

HR

Službeni list Europske unije

L 235/19

PROVEDBENA UREDBA KOMISIJE (EU) 2022/1504

оd 6. travnja 2022.

o utvrđivanju detaljnih pravila za primjenu Uredbe Vijeća (EU) br. 904/2010 u pogledu uspostave središnjeg elektroničkog sustava za informacije o plaćanjima (CESOP) radi suzbijanja prijevara u vezi s PDV-om

EUROPSKA KOMISIJA,

uzimajući u obzir Ugovor o funkcioniranju Europske unije,

uzimajući u obzir Uredbu Vijeća (EU) br. 904/2010 od 7. listopada 2010. o administrativnoj suradnji i suzbijanju prijevare u području poreza na dodanu vrijednost (1), a posebno njezin članak 24.e,

budući da:

(1)

Direktivom Vijeća 2006/112/EZ (2), kako je izmijenjena Direktivom (EU) 2020/284 (3), uvode se obveze izvješćivanja za pružatelje platnih usluga od 1. siječnja 2024. Od tog datuma pružatelji platnih usluga koji imaju poslovni nastan u Europskoj uniji ili koji u Europskoj uniji pružaju platne usluge dužni su voditi određene evidencije prekograničnih plaćanja koja potječu od platitelja u državama članicama i određene informacije o primateljima plaćanja te ih proslijediti državama članicama radi suzbijanja prijevara povezanih s porezom na dodanu vrijednost (PDV).

(2)

U skladu s Uredbom (EU) br. 904/2010, kako je izmijenjena Uredbom (EU) 2020/283 (4), države članice dostavljaju tu evidenciju u središnji elektronički sustav za informacije o plaćanju („CESOP”), koji Komisija treba razviti, održavati, smjestiti i tehnički upravljati.

(3)

Kako bi se osiguralo pravilno funkcioniranje CESOP-a i u skladu s člankom 24.e točkom (a) Uredbe (EU) br. 904/2010, potrebno je donijeti tehničke mjere za uspostavu CESOP-a. Tim bi se mjerama trebale predvidjeti funkcionalnosti CESOP-a potrebne za razvoj kapaciteta CESOP-a kako je opisano u članku 24.c Uredbe (EU) br. 904/2010. Mjerama bi se trebala osigurati i visoka razina prilagođenosti korisnicima pružanjem alata za pretraživanje i vizualizaciju u CESOP-u. CESOP bi ujedno trebao olakšati razmjenu informacija među službenicima za vezu za Eurofisc omogućujući im brzu i zaštićenu razmjenu informacija o prijevarama u vezi s PDV-om izravno u CESOP-u. Trebalo bi utvrditi i mjere koje bi Komisija trebala poduzeti radi održavanja CESOP-a nakon njegova puštanja u rad kako bi se osigurali standardi kvalitete rada infrastrukture informacijske tehnologije CESOP-a i njegovih funkcionalnosti te kako bi se prema potrebi provela potrebna ažuriranja za rješavanje incidenata u sustavu između Komisije i država članica.

(4)

Iako su države članice kao voditelji obrade CESOP-a odgovorne za njegovo upravljanje, Komisija ima niz odgovornosti ograničenih na tehničko upravljanje CESOP-om jer je Komisija izvršitelj obrade CESOP-a i odgovorna je za njegov smještaj, u skladu s člankom 24.e točkom (b) Uredbe (EU) br. 904/2010. Te bi odgovornosti trebale uključivati tehničke zadaće potrebne za svakodnevno upravljanje CESOP-om, kao što su vođenje evidencije službenika za vezu za Eurofisc koji pristupaju CESOP-u, vođenje evidencije o pružateljima platnih usluga koji su poslali podatke državama članicama, uspostavljanje odgovarajućih organizacijskih sigurnosnih mjera za CESOP te pružanje potrebnog osposobljavanja i potpore kako bi službenici za vezu za Eurofisc mogli uspješno upotrebljavati CESOP.

(5)

U skladu s člankom 24.b stavkom 1. točkom (b) Uredbe (EU) br. 904/2010 države članice šalju podatke CESOP-u u zajedničkom formatu. Trebalo bi utvrditi podatkovne elemente koje pružatelji platnih usluga trebaju dostavljati u formatu XML dokumenta. Kako bi se osigurala opća operativnost između nacionalnih elektroničkih sustava i CESOP-a u skladu s člankom 24.b stavkom 3. Uredbe (EU) br. 904/2010, države članice trebale bi provjeriti uključuju li podaci koje dostavljaju pružatelji platnih usluga obvezne i sintaktički točne podatkovne elemente u skladu s člankom 243.d Direktive 2006/112/EZ, jer CESOP može funkcionirati samo ako su obvezni podaci ispravno uneseni u CESOP.

(6)

Države članice trebale bi imenovati službenike za vezu za Eurofisc koji će imati pristup CESOP-u i obavijestiti Komisiju o tim imenovanjima. Komisija bi u tu svrhu tim službenicima trebala dostaviti jedinstveni identifikator za pristup CESOP-u i voditi popis svih službenika za vezu za Eurofisc koji imaju pristup CESOP-u na temelju informacija primljenih od država članica.

(7)

U skladu s člankom 24.e točkom (g) Uredbe (EU) br. 904/2010 Komisija treba utvrditi postupke kojima se osigurava uvođenje odgovarajućih tehničkih i organizacijskih sigurnosnih mjera za razvoj i rad CESOP-a. Niz sigurnosnih aspekata središnjih komponenti CESOP-a ovisi i o provedbi nacionalnih sigurnosnih mjera, kao što su mjere za kontrolu sigurnosti poslanih podataka i mjere kojima se osigurava da CESOP-u može pristupiti samo službenik za vezu za Eurofisc s valjanim jedinstvenim identifikatorom. Stoga bi države članice trebale Komisiji dostaviti informacije o vlastitim sigurnosnim mjerama. Države članice i Komisija trebali bi se međusobno obavješćivati o poduzetim sigurnosnim mjerama i o potrebi za bilo kakvom nadogradnjom tih mjera.

(8)

Obrada osobnih podataka na temelju ove Uredbe te odgovornosti država članica i Komisije podliježu pravilima utvrđenima u Uredbi (EU) 2016/679 Europskog parlamenta i Vijeća (5) i u Uredbi (EU) 2018/1725 Europskog parlamenta i Vijeća (6). U skladu s člankom 24.e točkom (h) Uredbe (EU) br. 904/2010 trebalo bi utvrditi uloge i odgovornosti država članica i Komisije u pogledu vođenja CESOP-a. Države članice trebale bi se zajednički smatrati voditeljima obrade CESOP-a jer odlučuju o načinima obrade i uporabe podataka u CESOP-u. Komisija bi se trebala smatrati izvršiteljem obrade jer u obavljanju svih svojih zadaća djeluje u ime država članica.

(9)

Ova bi se Uredba trebala primjenjivati tek od 1. siječnja 2024. kako bi se uskladila s primjenom Uredbe (EU) 2020/283 i Direktive (EU) 2020/284.

(10)

Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 42. stavkom 1. Uredbe (EU) 2018/1725 te je on dao mišljenje 2. veljače 2022.

(11)

Mjere propisane ovom Uredbom u skladu su s mišljenjem Stalnog odbora za administrativnu suradnju,

DONIJELA JE OVU UREDBU:

Članak 1.

Tehničke mjere za uspostavu i održavanje CESOP-a

1.   Komisija razvija tehničke mjere za uspostavu CESOP-a sa sljedećim funkcionalnostima:

(a)

primanje podataka o plaćanjima koje su poslale države članice;

(b)

sigurna pohrana podataka o plaćanjima u razdoblju od najdulje pet godina od kraja kalendarske godine u kojoj su im države članice dostavile informacije;

(c)

uklanjanje odstupanja i pogrešaka iz podataka o plaćanju, uključujući udvostručivanje istog plaćanja;

(d)

objedinjavanje podataka o plaćanjima u odnosu na svakog primatelja plaćanja;

(e)

omogućivanje pretraživanja i vizualizacije podataka o plaćanju u CESOP-u;

(f)

analiziranje i provedba unakrsnih provjera podataka o plaćanjima s podacima pohranjenima i razmijenjenima u skladu s člankom 17. stavkom 1. točkama (a), (b), (d), (e) i (f) i člankom 33. stavkom 2. točkom (b) Uredbe 904/2010:

(g)

provođenje automatske analize i označivanje sumnjivih primatelja plaćanja;

(h)

omogućivanje službenicima za vezu za Eurofisc da provode neautomatske kontrole i analize;

(i)

sastavljanje izvješća o rezultatima analiza i kontrola koje su proveli CESOP i službenici za vezu za Eurofisc;

(j)

osiguravanje infrastrukture za upravljanje kontrolom pristupa korisnika za službenike za vezu za Eurofisc;

(k)

omogućivanje službenicima za vezu za Eurofisc da izravno u CESOP-u razmjenjuju informacije o prekograničnim istragama i otkrivanju prijevara u vezi s PDV-om;

(l)

pružanje tehničke infrastrukture kojom se državama članicama omogućuje upravljanje pravima pristupa za svoje službenike za vezu za Eurofisc.

2.   Komisija obavlja sljedeće zadaće održavanja CESOP-a:

(a)

osiguravanje rada CESOP-a i njegovih funkcionalnosti;

(b)

obavljanje održavanja izvan radnog vremena;

(c)

osiguravanje potrebnih tehničkih ažuriranja za pravilno funkcioniranje i poboljšavanje CESOP-a;

(d)

rješavanje tehničkih problema.

Članak 2.

Zadaće Komisije za tehničko upravljanje CESOP-om

Komisija obavlja sljedeće zadaće tehničkog upravljanja CESOP-om:

(a)

vođenje i ažuriranje popisa službenika za vezu za Eurofisc koji imaju pristup CESOP-u i njihovih jedinstvenih osobnih korisničkih identifikacija u skladu s člankom 5.;

(b)

provedba organizacijskih i tehničkih sigurnosnih mjera iz članka 6.;

(c)

sastavljanje, vođenje i održavanje popisa pružatelja platnih usluga koji su prijavili podatke u skladu s člankom 24.b stavkom 1. Uredbe (EU) br. 904/2010, na temelju podataka koje su dostavile države članice;

(d)

osiguravanje da službenici za vezu za Eurofisc s pristupom CESOP-u imaju i automatizirani pristup popisu koji se vodi u skladu s točkom (c);

(e)

pružanje tehničke pomoći službenicima za vezu za Eurofisc pri upotrebi CESOP-a;

(f)

pružanje osposobljavanja službenicima za vezu za Eurofisc o upotrebi CESOP-a.

Članak 3.

Povezivanje i opća interoperabilnost CESOP-a i nacionalnih elektroničkih sustava

1.   Države članice poduzimaju sve potrebne mjere kako bi osigurale funkcioniranje nacionalnih elektroničkih sustava za prikupljanje informacija o plaćanjima uspostavljenih u skladu s člankom 24.b stavkom 2. Uredbe (EU) br. 904/2010 i da se u tim sustavima mogu prikupljati informacije o plaćanjima u skladu s člankom 24.b stavkom 1. te uredbe.

2.   Države članice dostavljaju CESOP-u samo potpune informacije o plaćanju s ispunjenim svim obveznim poljima u skladu s člankom 243.d Direktive 2006/112/EZ i koje su u skladu sa zahtjevima utvrđenima u Prilogu ovoj Uredbi.

3.   Komisija osigurava interoperabilnost CESOP-a i nacionalnih elektroničkih sustava iz stavka 1.

Članak 4.

Standardni elektronički obrazac

Elektronički standardni obrazac iz članka 24.b stavka 1. točke (b) Uredbe (EU) br. 904/2010 podnosi se u standardiziranom formatu XML u skladu s tablicom podataka iz Priloga ovoj Uredbi.

Članak 5.

Praktični aranžmani u pogledu službenika za vezu za Eurofisc koji će imati pristup CESOP-u

1.   Države članice imenuju službenike za vezu za Eurofisc koji će imati pristup CESOP-u i Komisiji priopćuju njihova imena i adrese e-pošte.

2.   Države članice pravodobno obavješćuju Komisiju o svim promjenama informacija dostavljenih u skladu sa stavkom 1., uključujući promjene u pogledu imenovanih službenika za vezu za Eurofisc, a najkasnije 30 kalendarskih dana od promjene.

3.   Komisija službenicima za vezu za Eurofisc iz stavka 1. odmah dostavlja jedinstvenu osobnu korisničku identifikaciju za pristup CESOP-u.

Članak 6.

Postupci za tehničke i organizacijske sigurnosne mjere za razvoj i rad CESOP-a

1.   Države članice dostavljaju Komisiji informacije o primjeni i svakom ažuriranju sigurnosnih mjera na nacionalnoj razini.

Te informacije uključuju pojedinosti o mjerama donesenima kako bi se osiguralo da samo službenici za vezu za Eurofisc iz članka 5. imaju pristup CESOP-u i pojedinosti o mjerama donesenima kako bi se osiguralo šifriranje podataka koje prenose države članice.

2.   Komisija do 30. travnja svake godine od godine koja slijedi nakon datuma početka primjene ove Uredbe obavješćuje države članice o mjerama poduzetima radi očuvanja sigurnosti CESOP-a.

Te informacije obuhvaćaju barem sljedeće:

(a)

sigurnosne incidente koji su se dogodili tijekom prethodne godine i način njihova rješavanja;

(b)

pojedinosti o uvedenim sigurnosnim mjerama ili promjenama postojećih sigurnosnih mjera;

(c)

procjenu postojećih sigurnosnih mjera i razmatra li Komisija određene promjene tih mjera.

Članak 7.

Uloge i odgovornosti voditelja obrade i izvršitelja obrade

1.   Države članice zajednički su voditelji obrade CESOP-a, kako je definirano u članku 4. točki 7. Uredbe (EU) 2016/679. Odgovornosti voditeljâ obrade CESOP-a utvrđuju se sporazumom voditeljâ obrade, kojim se utvrđuju pravila za ostvarivanje prava ispitanika i dužnosti voditeljâ obrade u pogledu pružanja informacija iz članaka 13. i 14. Uredbe (EU) 2016/679.

Države članice odgovorne su za:

(a)

izradu tehničkih specifikacija CESOP-a i, prema potrebi, njihovu prilagodbu kako bi Komisija mogla:

(a)

uspostaviti i održavati CESOP u skladu s člankom 1. ove Uredbe;

(b)

tehnički upravljati CESOP-om u skladu s člankom 2. ove Uredbe;

(c)

osigurati interoperabilnost nacionalnih elektroničkih sustava iz članka 24.b Uredbe (EU) br. 904/2010 i CESOP-a na temelju članka 3. stavka 3. ove Uredbe;

(d)

poduzimati sigurnosne mjere u skladu s člankom 6. stavkom 2. prvim podstavkom ove Uredbe;

(b)

utvrđivanje pravila i postupka odabira službenika za vezu za Eurofisc koji će imati pristup CESOP-u;

(c)

odgovaranje na zahtjeve ispitanikâ u vezi s ostvarivanjem prava utvrđenih u poglavlju III. Uredbe (EU) 2016/679.

2.   Komisija je izvršitelj obrade CESOP-a, kako je definirano u članku 3. točki 12. Uredbe (EU) 2018/1725.

Komisija:

(a)

obrađuje osobne podatke u ime država članica u skladu s njihovim uputama i čuva dokumentaciju za te upute;

(b)

osigurava povjerljivost osobnih podataka tijekom obrade na temelju ove Uredbe;

(c)

osigurava potrebnu tehničku infrastrukturu kako bi države članice mogle odgovoriti na zahtjeve iz stavka 1. točke (c);

(d)

pomaže državama članicama u ispunjavanju obveza utvrđenih u člancima od 33. do 41. Uredbe (EU) 2016/679;

(e)

osigurava brisanje svih osobnih podataka pohranjenih u CESOP-u u skladu s člankom 24.c stavkom 2. Uredbe (EU) br. 904/2010;

(f)

državama članicama stavlja na raspolaganje sve informacije potrebne kako bi se dokazalo ispunjavanje obaveza utvrđenih u ovom članku te omogućila provedba revizija, uključujući inspekcije, koje provode države članice ili drugi revizor kojeg su ovlastile države članice, te sudjeluje u tim revizijama, uz potpuno poštovanje Protokola (br. 7) Ugovora o funkcioniranju Europske unije o povlasticama i imunitetima Europske unije.

Članak 8.

Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Primjenjuje se od 1. siječnja 2024.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu 6. travnja 2022.

Za Komisiju

Predsjednica

Ursula VON DER LEYEN

(1)   SL L 268, 12.10.2010., str. 1.

(2)  Direktiva Vijeća 2006/112/EZ od 28. studenoga 2006. o zajedničkom sustavu poreza na dodanu vrijednost (SL L 347, 11.12.2006., str. 1.).

(3)  Direktiva Vijeća (EU) 2020/284 od 18. veljače 2020. o izmjeni Direktive 2006/112/EZ u pogledu uvođenja određenih zahtjeva za pružatelje platnih usluga (SL L 62, 2.3.2020., str. 7.).

(4)  Uredba Vijeća (EU) 2020/283 od 18. veljače 2020. o izmjeni Uredbe (EU) br. 904/2010 u pogledu mjera za jačanje administrativne suradnje radi suzbijanja prijevara u vezi s PDV-om (SL L 62, 2.3.2020., str. 1.).

(5)  Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1.).

(6)  Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39.).

PRILOG

Elektronički obrazac za prijenos podataka

Polje br.

Naziv podatkovnog elementa

Članak 243.d

Opis

Primjer formata

Obvezno

Provjere obavljene pri slanju u CESOP

1.

BIC/Identifikacijska oznaka pružatelja platnih usluga koji šalje podatke

stavak 1. točka (a)

BIC kako je definiran u članku 2. točki 16. Uredbe (EU) br. 260/2012 Europskog parlamenta i Vijeća (1) ili bilo koja druga poslovna identifikacijska oznaka kojom se nedvosmisleno identificira pružatelj platnih usluga koji prenosi podatke.

BIC pružatelja platnih usluga koji dostavlja podatke.

Da

Prisutnost, sintaktička provjera BIC-a

2.

Ime primatelja plaćanja

stavak 1. točka (b)

Sva imena primatelja plaćanja dostupna u evidenciji pružatelja platnih usluga, uključujući pravni naziv i naziv tvrtke

Ime prihvatitelja kartice, trgovačko ime, ime vjerovnika.

Da

Prisutnost

3.

PDV/PIB broj primatelja plaćanja

stavak 1. točka (c)

Identifikacijski broj za PDV i/ili bilo koji drugi nacionalni porezni broj primatelja plaćanja.

 

Neobvezno Obvezno

Sintaktička provjera PDV brojeva iz država članica

4.

Identifikacijska oznaka računa primatelja plaćanja

stavak 1. točka (d)

IBAN kako je definiran u članku 2. točki 15. Uredbe (EU) br. 260/2012 ili, ako nije dostupan, bilo koja druga identifikacijska oznaka kojom se nedvosmisleno identificira primatelja plaćanja uključenog u transakciju i pruža njegova lokacija.

IBAN, identifikacijska oznaka prihvatitelja kartice, trgovca ili e-računa.

Da, ako se sredstva prenose na primateljev račun za plaćanje

Prisutnost, sintaktička provjera IBAN-a

5.

BIC/Identifikacijska oznaka pružatelja koji pruža platne usluge primatelju plaćanja

stavak 1. točka (e)

BIC ili bilo koja druga poslovna identifikacijska oznaka kojom se nedvosmisleno identificira i daje lokacija pružatelja platnih usluga koji djeluje u ime primatelja plaćanja kada primatelj plaćanja prima novčana sredstva, a sam nema račun za plaćanje.

BIC.

Samo ako primatelj prima sredstva bez otvorenog računa za plaćanje

Prisutnost, sintaktička provjera BIC-a

6.

Adresa primatelja plaćanja

stavak 1. točka (f)

Sve adrese primatelja plaćanja dostupne u evidenciji pružatelja platnih usluga (pravna adresa, poslovna adresa, adresa skladišta).

Ulica prihvatitelja kartice, adresa trgovca, adresa vlasnika računa.

Neobvezno Obvezno

 

7.

Povrat

stavak 1. točka (h)

Bilo kakva oznaka da je riječ o povratu sredstava i upućivanje na prethodnu prijavljenu transakciju.

 

Ako je primjenjivo

Prisutnost

8.

Datum/vrijeme

stavak 2. točka (a)

Datum i vrijeme izvršenja platne transakcije ili povrata plaćanja.

Datum kupnje, datum izvršenja, datum izrade transakcije.

Da

Prisutnost, sintaktička provjera

9.

Iznos

stavak 2. točka (b)

Iznos platne transakcije ili povrata plaćanja.

 

Da

Prisutnost

10.

Valuta

stavak 2. točka (b)

Valuta platne transakcije ili povrata plaćanja.

 

Da

Prisutnost, sintaktička provjera oznake valute

11.

Država članica podrijetla plaćanja

stavak 2. točka (c)

Država članica podrijetla plaćanja koje je primio primatelj plaćanja.

Oznaka države platitelja.

Ako je riječ o plaćanju

Prisutnost, sintaktička provjera oznake države

12.

Država odredišta povrata

stavak 2. točka (c)

Država članica odredišta povrata.

Oznaka države korisnika povrata.

Ako je za transakciju u polju 7. navedeno da je riječ o povratu.

Prisutnost, sintaktička provjera oznake države

13.

Informacije o lokaciji platitelja

stavak 2. točka (c)

Navođenje podataka upotrijebljenih za utvrđivanje podrijetla plaćanja ili odredišta povrata.

Pojedinosti o informacijama ne prenose se kako bi se onemogućila identifikacija platitelja.

Pružatelji platnih usluga navode da je lokacija utvrđena na temelju:

IBAN-a platitelja,

raspona BIN-a imatelja kartice

ili drugog podatka.

Konkretna identifikacijska oznaka (IBAN, BIN, adresa) nikada se ne smije prenositi.

Da

Prisutnost

14.

Identifikacijska oznaka transakcije

stavak 2. točka (d)

Bilo kakva oznaka kojom se platna transakcija nedvosmisleno identificira.

Referentna oznaka stjecatelja, identifikacijska oznaka transakcije.

Da

Prisutnost

15.

Fizička prisutnost

stavak 2. točka (e)

Bilo kakva oznaka na temelju koje se zaključuje da je platitelj bio fizički prisutan u prostorijama trgovca pri iniciranju plaćanja.

Način unosa na prodajnom mjestu (POS).

Ako je primjenjivo

Prisutnost

(1)  Uredba (EU) br. 260/2012 Europskog parlamenta i Vijeća od 14. ožujka 2012. o utvrđivanju tehničkih i poslovnih zahtjeva za kreditne transfere i izravna terećenja u eurima i o izmjeni Uredbe (EZ) br. 924/2009 (SL L 94, 30.3.2012., str. 22.).