PROVEDBENA UREDBA KOMISIJE (EU) 2024/3210

оd 18. prosinca 2024.

o utvrđivanju pravila za primjenu Uredbe (EU) 2023/956 Europskog parlamenta i Vijeća u pogledu CBAM registra

(Tekst značajan za EGP)

EUROPSKA KOMISIJA,

uzimajući u obzir Ugovor o funkcioniranju Europske unije,

uzimajući u obzir Uredbu (EU) 2023/956 Europskog parlamenta i Vijeća od 10. svibnja 2023. o uspostavi mehanizma za ugljičnu prilagodbu na granicama (1), a posebno njezin članak 14. stavak 6.,

budući da:

(1)

Uredbom (EU) 2023/956 od Komisije se zahtijeva da na razini Unije uspostavi standardiziranu i sigurnu elektroničku bazu podataka za upravljanje CBAM certifikatima, CBAM deklaracije, zahtjeve za dobivanje statusa ovlaštenog CBAM deklaranta, registraciju operatora i postrojenja iz trećih zemalja („operatori”) te za osiguravanje pristupa i obradu predmeta uz zaštitu povjerljivosti. Komisija već ima iskustvo s uspostavom registra za potrebe mehanizma za ugljičnu prilagodbu na granicama (CBAM) iz uvođenja prijelaznog CBAM registra u skladu s Provedbenom uredbom Komisije (EU) 2023/1773 (2).

(2)	U skladu s Uredbom (EU) 2023/956 Komisija treba donijeti provedbena pravila za funkcioniranje CBAM registra.

(3)

CBAM registar trebao bi biti sustav za podnošenje i upravljanje CBAM deklaracijama, uključujući provjere, okvirne procjene i postupke preispitivanja. CBAM registar trebao bi sadržavati podatke o ovlaštenim CBAM deklarantima, podnositeljima zahtjeva za dodjelu statusa ovlaštenog CBAM deklaranta („podnositelji zahtjeva”), operatorima i akreditiranim CBAM verifikatorima. Informacije o operatorima čuvaju se u zasebnom odjeljku CBAM registra. CBAM registar trebao bi uključivati i informatičku infrastrukturu potrebnu za obavljanje analitičkih zadaća povezanih s funkcijama analize rizika u okviru CBAM-a koje treba obavljati Komisija.

(4)

Kako bi se obveze izvješćivanja točno procjenjivale, carinskim tijelima omogućio pristup podacima u CBAM-u za potrebe provjere CBAM formalnosti tijekom carinjenja te poduprla analiza rizika i praćenje izbjegavanja mjera, uključujući istrage, u skladu s člancima 15., 19. i 27. Uredbe (EU) 2023/956, CBAM registar trebao bi biti interoperabilan s postojećim carinskim sustavima, a posebno bi trebao razmjenjivati podatke prikupljene u okviru nadzora u skladu s člankom 56. stavkom 5. Uredbe (EU) br. 952/2013 Europskog parlamenta i Vijeća (3). CBAM registar stoga bi trebao koristiti standardizirane razmjene podataka s postojećim carinskim sustavima.

(5)

Kako bi se osigurao djelotvoran i ujednačen sustav izvješćivanja, trebalo bi utvrditi tehničke mjere za funkcioniranje CBAM registra. Te mjere uključuju mjere za razvoj CBAM registra, sučelja, zaštitu podataka, ažuriranje podataka, ograničenje obrade podataka, vlasništvo nad sustavom i sigurnost sustava, kao i ispitivanje, uvođenje, održavanje i moguće izmjene. Te bi mjere trebale biti u skladu s načelom tehničke i integrirane zaštite podataka iz članka 27. Uredbe (EU) 2018/1725 Europskog parlamenta i Vijeća (4) i članka 25. Uredbe (EU) 2016/679 Europskog parlamenta i Vijeća (5), kao i sa sigurnošću obrade u skladu s člankom 33. Uredbe (EU) 2018/1725 i člankom 32. Uredbe (EU) 2016/679.

(6)

Kako bi se osigurao pristup CBAM registru, za upravljanje autentifikacijom i postupkom provjere pristupa za podnositelje zahtjeva, ovlaštene CBAM deklarante kao i predstavnike nadležnih tijela trebao bi se koristiti sustav za Jedinstveno upravljanje korisnicima i digitalni potpis (UUM&DS), kako je naveden u članku 16. Provedbene uredbe Komisije (EU) 2023/1070 (6). Iz tehničkih razloga podnositeljima zahtjeva za status ovlaštenog CBAM deklaranta, ovlaštenim DBAM deklarantima ili osobama čiji je status ovlaštenog CBAM deklaranta opozvan trebalo bi omogućiti da delegiraju pristup osobi koja djeluje u njihovo ime, a da pritom ostanu odgovorni za ispunjavanje obveza utvrđenih u Uredbi (EU) 2023/956.

(7)

Za potrebe identifikacije podnositelja zahtjeva i ovlaštenih CBAM deklaranata na temelju njihovih registracijskih i identifikacijskih brojeva gospodarskog subjekta (EORI) CBAM registar trebao bi biti interoperabilan sa sustavom EORI, kako je naveden u članku 30. Provedbene uredbe Komisije (EU) 2023/1070. Ta interoperabilnost trebala bi omogućivati točne procjene obveza u okviru CBAM-a i podupirati provedbu analiza rizika, preispitivanja i praćenja izbjegavanja mjera.

(8)

Za potrebe dohvaćanja informacija o carinskim uvoznim deklaracijama za robu navedenu u Prilogu I. Uredbi (EU) 2023/956 i informacija o toj robi te radi provjera CBAM deklaracija i usklađenosti s obvezama u okviru CBAM-a za potrebe analize rizika, preispitivanja i praćenja izbjegavanja mjera iz članaka 15., 19. i 27. Uredbe (EU) 2023/956 CBAM registar trebao bi biti međusobno povezan sa sustavom Surveillance, razvijenim u projektu Surveillance 3 u okviru CZU-a (SURV3), kako je naveden u članku 99. Provedbene uredbe (EU) 2023/1070. Te bi informacije trebale uključivati slučajeve iz članka 2. stavka 2. Uredbe (EU) 2023/956.

(9)

Kako bi se provjerilo da robu uvozi samo ovlašteni CBAM deklarant i da su ispunjene obveze za robu ili prerađene proizvode iz članka 2. stavka 2. Uredbe (EU) 2023/956, CBAM registar trebao bi biti međusobno povezan s okruženjem jedinstvenog sučelja EU-a, uspostavljenim u skladu s člankom 3. Uredbe (EU) 2022/2399 Europskog parlamenta i Vijeća (7).

(10)

Za potrebe provjere i izvješćivanja, kao i za analizu rizika, praćenje izbjegavanja mjera i preispitivanje u skladu s člancima 15., 19. i 27. Uredbe (EU) 2023/956, nacionalni carinski sustavi trebali bi pružati potrebne informacije o uvozu i ponovnom izvozu, kako je navedeno u Provedbenoj odluci Komisije (EU) 2023/2879 (8). Ako nacionalni carinski sustavi informacije ne mogu razmjenjivati automatski, CBAM registar trebao bi omogućiti da se informacije u njega unose izravno. Te bi informacije trebale uključivati informacije o uvozu robe navedene u Prilogu I. Uredbi (EU) 2023/956, informacije o robi stavljenoj u postupak unutarnje proizvodnje, informacije o puštanju u slobodni promet prerađenih proizvoda s robom u okviru CBAM-a kao ulaznim materijalom, kao i informacije o robi ili prerađenim proizvodima iz članka 2. stavka 2. Uredbe (EU) 2023/956.

(11)	Za identifikaciju uvezene robe navedene na popisu u Prilogu I. Uredbi (EU) 2023/956 trebalo bi se koristiti razvrstavanje te robe u kombiniranu nomenklaturu („KN”) u skladu s Uredbom Vijeća (EEZ) br. 2658/87 (9).

(12)

Za potrebe razmjene informacija o riziku i rezultata analize rizika između carinskih tijela, nadležnih tijela i Komisije CBAM registar trebao bi biti međusobno povezan sa sustavom za upravljanje rizicima u carinskim pitanjima (CRMS2) iz članka 36. Provedbene uredbe Komisije (EU) 2015/2447 (10) i članka 69. Provedbene uredbe (EU) 2023/1070.

(13)	Kako bi kontinuitet sustava u svakom trenutku bio zajamčen, važno je predvidjeti alternativna rješenja za slučaj privremenog kvara CBAM registra. U tu svrhu Komisija bi trebala utvrditi plan kontinuiteta poslovanja za CBAM.

(14)

Nadležna tijela i Komisija obrađuju osobne podatke upisane u CBAM registar u skladu sa svojim zadaćama utvrđenima u Uredbi (EU) 2023/956 i kao takvi, za upravljanje CBAM registrom, deklaracijama i CBAM certifikatima djeluju kao voditelji obrade podataka u smislu članka 26. Uredbe (EU) 2016/679 i članka 28. Uredbe (EU) 2018/1725. Osobni podaci trebali bi se čuvati u obliku koji omogućuje identifikaciju ispitanika samo onoliko dugo koliko je potrebno u svrhe u koje se osobni podaci obrađuju. U tom pogledu razdoblje čuvanja podataka za CBAM registar ograničava se na sedam godina od upisa u CBAM registar u svrhu analize funkcioniranja CBAM-a, a posebno analiza zaključaka donesenih na temelju preispitivanja CBAM deklaracija.

(15)	Ova se Uredba odnosi na pružanje javne usluge za olakšavanje prekograničnog pristupa i upravljanja informacijama propisanima Uredbom o CBAM-u te će biti u skladu sa zahtjevima iz Akta o interoperabilnoj Europi (Uredba (EU) 2024/903 Europskog parlamenta i Vijeća (11)).

(16)	Odluke o strategiji razvoja i nabave u području informacijske tehnologije trebat će prethodno odobriti Odbor Europske komisije za informacijsku tehnologiju i kibernetičku sigurnost.

(17)	Kako bi se omogućila njezina pravodobna primjena, ova bi Uredba trebala stupiti na snagu sljedećeg dana od dana objave u Službenom listu Europske unije.

(18)	Provedeno je savjetovanje s Europskim nadzornikom za zaštitu podataka u skladu s člankom 42. stavkom 1. Uredbe (EU) 2018/1725 te je on dao mišljenje 27. studenog 2024.

(19)	Mjere predviđene u ovoj Uredbi u skladu su s mišljenjem Odbora za CBAM,

DONIJELA JE OVU UREDBU:

POGLAVLJE I.

PREDMET I DEFINICIJE

Članak 1.

Predmet

Ovom se Uredbom utvrđuju pravila o infrastrukturi i posebnim procesima i postupcima CBAM registra.

Članak 2.

Definicije

Za potrebe ove Uredbe primjenjuju se sljedeće definicije:

1.	„nacionalna komponenta” znači sastavni dio elektroničkog sustava razvijen na nacionalnoj razini, koji je dostupan u državi članici koja je takav dio uspostavila;

2.	„transeuropski sustav” znači skup suradničkih sustava u kojima su nadležnosti raspodijeljene među različitim nacionalnim upravama i Komisijom te koji su razvijeni u suradnji s Komisijom;

3.	„podnositelj zahtjeva” znači uvoznik ili neizravni carinski zastupnik koji podnosi zahtjev za status ovlaštenog CBAM deklaranta.

POGLAVLJE II.

CBAM REGISTAR

ODJELJAK 1.

CBAM registar

Članak 3.

Funkcije CBAM registra

1. CBAM registar je standardizirana i sigurna elektronička baza podataka koja sadržava podatkovne elemente računa za CBAM, CBAM deklaracija, zahtjeva za dodjelu statusa ovlaštenog CBAM deklaranta, registracija operatora i izvješća o verifikaciji koja izdaju akreditirani verifikatori te koja omogućuje pristup, obradu predmeta i povjerljivost.

2. CBAM registar omogućuje priopćivanje, obavješćivanje, upis, provjere i razmjene informacija između Komisije, nadležnih tijela, carinskih tijela i ovlaštenih CBAM deklaranata, podnositelja zahtjeva, osoba čiji je status ovlaštenog CBAM deklaranta opozvan i operatora.

3. CBAM registar omogućuje analitičke zadaće povezane s funkcijama analize rizika u okviru CBAM-a koje obavlja Komisija.

4. Komisija je vlasnik sustava CBAM registra.

Članak 4.

Struktura CBAM registra

1. CBAM registar sastoji se od sljedećih komponenti:

(a)	CBAM portala za deklarante (CBAM DP);

(b)	CBAM portala za nacionalna nadležna tijela (CBAM NCA);

(c)	CBAM portala za Europsku komisiju (CBAM COM);

(d)	CBAM portala za operatore (CBAM Operator).

2. Nadležno tijelo države članice poslovnog nastana ovlaštenog CBAM deklaranta i tijelo nadležno za osobu koja nije ovlašteni CBAM deklarant koja unosi robu na carinsko područje Unije u slučajevima u skladu s člankom 26. stavkom 2. Uredbe (EU) 2023/956 putem CBAM registra obavješćuju Komisiju o odlukama o sankcijama.

Članak 5.

Interoperabilnost s carinskim sustavima

1. CBAM registar interoperabilan je sa sljedećim sustavima:

(a)	sustavom za Jedinstveno upravljanje korisnicima i digitalni potpis (UUM&DS) za upravljanje registracijom korisnika i pristupom iz članka 16. Provedbene uredbe (EU) 2023/1070 za države članice, Komisiju, ovlaštene CBAM deklarante, podnositelje zahtjeva i osobe čije je ovlaštenje opozvano;

(b)	sustavom za registraciju i identifikaciju gospodarskih subjekata (EORI) iz članka 30. Provedbene uredbe (EU) 2023/1070 kako bi se podaci za EORI utvrđeni u Prilogu I. ovoj Uredbi mogli unakrsno provjeravati;

(c)	sustavom Surveillance, razvijenim u projektu Surveillance 3 u okviru CZU-a (SURV3), kako je navedeno u članku 99. Provedbene uredbe (EU) 2023/1070;

(d)	integriranom tarifom Europske unije (TARIC) iz Uredbe (EEZ) br. 2658/87;

(e)	sustavom za upravljanje rizicima u carinskim pitanjima, kako je naveden u članku 36. Provedbene uredbe (EU) 2015/2447 i članku 69. Provedbene uredbe (EU) 2023/1070;

2. CBAM registar omogućuje digitalnu suradnju putem okruženja jedinstvenog sučelja EU-a za carinu iz članka 3. Uredbe (EU) 2022/2399.

Članak 6.

Kontaktne točke za elektroničke sustave

Komisija i nadležna tijela određuju kontaktne točke za svaku od komponenti i sustava iz članaka 4. i 5. ove Uredbe radi razmjene informacija kako bi se osigurali koordinirani razvoj, rad i održavanje tih komponenti. Nadležna tijela mogu se koristiti postojećim kontaktnim točkama.

Komisija i države članice jedne drugima dostavljaju podatke svojih kontaktnih točaka i odmah se međusobno obavješćuju o svim promjenama tih podataka.

Članak 7.

Uvjeti suradnje u CBAM registru

Komisija predlaže uvjete suradnje, sporazum o razini usluga i sigurnosni plan, koje dogovara s nadležnim tijelima. Komisija koristi CBAM registar u skladu s uvjetima suradnje.

ODJELJAK 2.

Upravljanje pristupom i portali

Članak 8.

Upravljanje pristupom korisnika CBAM-a

1. Autentifikacija i provjera pristupa ovlaštenih CBAM deklaranata, podnositelja zahtjeva i osoba čiji je status ovlaštenog CBAM deklaranta opozvan za potrebe pristupa komponentama CBAM registra provode se uz pomoć sustava UUM&DS.

2. Komisija pruža usluge autentifikacije koje korisnicima CBAM registra omogućuju siguran pristup tom registru.

3. Komisija upotrebljava sustav UUM&DS kako bi svojem osoblju dodijelila ovlaštenje i pristup CBAM registru.

4. Nadležna tijela države članice upotrebljavaju UUM&DS za dodjeljivanje ovlaštenja i pristupa CBAM registru svojem osoblju, ovlaštenim CBAM deklarantima, podnositeljima zahtjeva i osobama čiji je status ovlaštenog CBAM deklaranta opozvan koji imaju poslovni nastan u toj državi članici.

5. Nadležno tijelo države članice može za pružanje potrebnih podataka za pristup CBAM registru koristiti sustav za upravljanje identifikacijom i pristupom uspostavljen u toj državi članici (nacionalni carinski sustav eIDAS).

6. Podnositelj zahtjeva, ovlašteni CBAM deklarant ili osobe čiji je status ovlaštenih CBAM deklaranata opozvan mogu delegirati pristup CBAM registru osobama koje djeluju u njihovo ime. Delegati ostaju odgovorni za ispunjavanje svojih obveza utvrđenih u Uredbi (EU) 2023/956.

Članak 9.

CBAM portal za deklarante

1. CBAM portal za deklarante je jedinstvena ulazna točka CBAM registra za ovlaštene CBAM deklarante i podnositelje zahtjeva. Portalu se može pristupiti na internetu.

2. CBAM portal za deklarante koristi se za sljedeće radnje:

(a)	zahtjeve za dodjelu statusa ovlaštenog CBAM deklaranta i opoziv tog statusa;

(b)	podnošenje CBAM deklaracija;

(c)	obavijesti i komunikaciju o CBAM obvezama, uključujući upravljanje CBAM deklaracijama.

3. Pristupom CBAM portalu za deklarante upravlja se u skladu s člankom 8.

Članak 10.

CBAM portal za operatore

1. CBAM portal za operatore je jedinstvena ulazna točka CBAM registra za operatore. Portalu se može pristupiti na internetu.

2. CBAM portal za operatore koriste operatori u skladu s člankom 10. Uredbe (EU) 2023/956 za sljedeće radnje:

(a)	upis informacija o tom operatoru i njegovim postrojenjima;

(b)	upis informacija o robi proizvedenoj u postrojenju;

(c)	upis u registar podataka o emisijama i verifikacijskih izvješća;

(d)	primanje obavijesti i informacija povezanih s upisom tih informacija i njihovom korištenjem u CBAM registru.

3. Operatori Komisiji podnose zahtjev da im se dodijeli profil kako bi imali pristup CBAM portalu za operatore. Takvom zahtjevu prilažu se popratni dokumenti kojima se dokazuje pravna registracija ili aktivnost subjekta u trećoj zemlji poslovnog nastana, uključujući ime, adresu, podatke za kontakt i matični ili osobni identifikacijski broj poslovnog subjekta. Zahtjevu se prilažu dokazi da osoba koja podnosi zahtjev ima ovlaštenje za djelovanje u ime operatora i isprave koje dokazuju identitet te osobe. Ako su ti popratni dokumenti dovoljni da se potvrdi točnost u njima sadržanih informacija, Komisija dodjeljuje traženi profil operatoru koji je podnio zahtjev.

4. Kako bi zatražio pristup CBAM registru, operator koristi središnju uslugu pristupa EU-a kojom upravlja Komisija.

Članak 11.

CBAM portal za nacionalna nadležna tijela

1. CBAM portal za nacionalna nadležna tijela je jedinstvena ulazna točka CBAM registra za nadležna tijela. Portalu se može pristupiti na internetu.

2. CBAM portal za nacionalna nadležna tijela koristi se u svrhu obavljanja zadaća utvrđenih u Uredbi (EU) 2023/956, koje uključuju obavješćivanje i komunikaciju.

3. CBAM registar omogućuje prijenos podataka iz registra koji su nacionalnim tijelima potrebni za izvršavanje njihovih obveza.

4. Pristupom CBAM portalu za nacionalna nadležna tijela upravlja se u skladu s člankom 8.

Članak 12.

CBAM portal za Europsku komisiju

1. CBAM portal za Europsku komisiju je jedinstvena ulazna točka CBAM registra za Komisiju.

2. CBAM portal za Europsku komisiju koristi Komisija za obavljanje zadaća utvrđenih u Uredbi (EU) 2023/956.

3. Pristupom CBAM portalu za Europsku komisiju upravlja se u skladu s člankom 8.

Članak 13.

Sustavi država članica za upravljanje identitetom i pristupom

Države članice uspostavljaju novi sustav UUM&DS za upravljanje identitetima pristupom ili koriste vlastiti postojeći carinski sustav UUM&DS za sljedeće funkcije:

(a)	siguran upis u registar i pohranu identifikacijskih podataka ovlaštenih CBAM deklaranata, podnositelja zahtjeva i drugih osoba koje imaju pristup CBAM registru;

(b)	sigurnu razmjenu potpisanih i šifriranih identifikacijskih podataka ovlaštenih CBAM deklaranata, podnositelja zahtjeva i drugih osoba koje imaju pristup CBAM registru.

ODJELJAK 3.

Funkcioniranje CBAM registra

Članak 14.

Razvoj, testiranje, puštanje u rad i upravljanje CBAM registrom

1. Komisija razvija, testira i pušta u rad komponente CBAM registra te njima upravlja, a testirati ih mogu i države članice.

2. Komisija osmišljava i održava zajedničke specifikacije sučelja navedenih u člancima 4., 5. i 11. u bliskoj suradnji s državama članicama.

3. Kako bi se uvele pravodobno, Komisija tehničke specifikacije prema potrebi utvrđuje u bliskoj suradnji s nadležnim tijelima i na temelju njihova preispitivanja tih specifikacija. Komisija i države članice surađuju s CBAM deklarantima, podnositeljima zahtjeva i drugim dionicima.

4. Komisija u suradnji s nadležnim tijelima testira i potvrđuje interoperabilnost između CBAM registra i sustava iz članka 5. kako bi osigurala točnu, učinkovitu i povjerljivu unakrsnu provjeru podataka.

Članak 15.

Održavanje i izmjene CBAM registra

1. CBAM registar održava Komisija.

2. Komisija ažurira komponente CBAM registra kako bi popravila kvarove i dodala nove ili izmijenila postojeće funkcije.

3. Komisija unaprijed obavješćuje nadležna tijela, ovlaštene CBAM deklarante i operatore o izmjenama i ažuriranjima komponenata CBAM registra.

Članak 16.

Privremeni kvar CBAM registra

1. U slučaju privremenog kvara CBAM registra CBAM deklaranti i podnositelji zahtjeva dostavljaju informacije potrebne za ispunjavanje svojih obveza u okviru CBAM-a na temelju Uredbe (EU) 2023/956 na način utvrđen u planu kontinuiteta poslovanja za CBAM.

2. Komisija obavješćuje nadležna tijela o svakoj znatnoj nedostupnosti CBAM registra koja će utjecati na razine dostupnosti utvrđene u sporazumima o razini usluga iz članka 7.

3. Komisija obavješćuje ovlaštene CBAM deklarante i operatore o zahtjevima, važnim ažuriranjima i dugotrajnoj nedostupnosti CBAM registra u skladu s planom kontinuiteta poslovanja za CBAM.

Članak 17.

Obuka i potpora za korištenje i funkcioniranje CBAM registra

1. Komisija podupire nadležna tijela u korištenju i funkcioniranju komponenti CBAM registra tako što im osigurava osposobljavanje i informativne materijale.

2. Nadležna tijela osiguravaju podršku CBAM deklarantima i podnositeljima zahtjeva preko nacionalne službe za podršku.

POGLAVLJE III.

SIGURNOST CBAM REGISTRA I ZAŠTITA PODATAKA

Članak 18.

Zaštita osobnih podataka

Nadležna tijela i Komisija obrađuju osobne podatke upisane u CBAM registar i komponente elektroničkih sustava razvijene na nacionalnoj razini u sljedeće svrhe:

(a)	autentifikacija i upravljanje pristupom;

(b)	obrada zahtjeva i upravljanje zahtjevima;

(c)	podnošenje CBAM deklaracija i upravljanje deklaracijama;

(d)	praćenje, provjere i preispitivanje CBAM deklaracija;

(e)	upravljanje operatorima i verifikatorima;

(f)	upravljanje CBAM certifikatima;

(g)	komunikacija i obavijesti;

(h)	osiguravanje usklađenosti;

(i)	funkcioniranje IT infrastrukture, uključujući interoperabilnost s nacionalnim sustavima i transeuropskim decentraliziranim sustavima na temelju ove Uredbe;

(j)	statistika i preispitivanje funkcioniranja Uredbe (EU) 2023/956;

(k)	analiza rizika i praćenje izbjegavanja mjera;

(l)	provjeravanje obavlja li uvoz robe i ponovni izvoz robe u slučajevima predviđenima u članku 2. stavku 2. Uredbe (EU) 2023/956 ovlašteni CBAM deklarant.

Članak 19.

Posebna uloga Komisije i nadležnih tijela

1. Komisija je voditelj obrade za:

(a)	obradu osobnih podataka za upravljanje pristupom portalu za Europsku komisiju u skladu s člankom 12. ove Uredbe;

(b)	obradu osobnih podataka koji se registriraju na portalu za CBAM operatore;

(c)	korištenje, potvrđivanje i dohvaćanje podataka iz EORI-ja ili drugih podataka za potrebe analize rizika i praćenja izbjegavanja mjera kako je predviđeno u člancima 15. i 27. Uredbe (EU) 2023/956.

2. Nadležna tijela su voditelji obrade za:

(a)	obradu osobnih podataka radi donošenja odluka o dodjeli i opozivu ovlaštenja CBAM deklaranta u skladu s Uredbom (EU) 2023/956;

(b)	obradu osobnih podataka radi donošenja odluka o sankcijama u skladu s člankom 26. Uredbe (EU) 2023/956;

(c)	obradu osobnih podataka za upravljanje pristupom deklaranata koji imaju poslovni nastan u njihovoj državi članici u skladu s člancima 8., 11. i 13. ove Uredbe;

(d)	obradu osobnih podataka akreditiranih verifikatora.

3. Nadležna tijela i Komisija su zajednički voditelji obrade za:

(a)	upravljanje CBAM registrom;

(b)	obradu osobnih podataka za upravljanje CBAM deklaracijama u skladu s Uredbom (EU) 2023/956;

(c)	obradu osobnih podataka za upravljanje CBAM certifikatima u skladu s Uredbom (EU) 2023/956;

Članak 20.

Odgovornost voditelja obrade u odnosu na ispitanike

Ako voditelj obrade primi zahtjev ispitanika koji nije pod njegovom odgovornošću u skladu s člankom 19., taj zahtjev prosljeđuje odgovornom voditelju obrade bez odgode, a najkasnije u roku od tri radna dana od primitka zahtjeva.

Članak 21.

Ograničenje pristupa podacima, obrada podataka i povjerljivost

1. Sve informacije pohranjene u CBAM registru smatraju se povjerljivima.

Ovlašteni CBAM deklaranti i podnositelji zahtjeva mogu pristupati svojim osobnim podacima u CBAM registru nakon što se upišu u registar.

2. Operatori mogu pristupati svojim osobnim podacima upisanima u CBAM registar nakon što se upišu u CBAM registar. U skladu s člankom 10. Uredbe (EU) 2023/956 ovlašteni CBAM deklaranti mogu pristupati osobnim podacima koje su operatori upisali u CBAM registar ili na drugi način obrađivati te podatke ako su operatori za to dali odobrenje.

3. Komisija i nadležna tijela mogu pristupati osobnim podacima i drugim podacima iz carinskih uvoznih deklaracija za robu koja nije navedena u Prilogu I. Uredbi (EU) 2023/956 te ih na drugi način obrađivati u skladu s člancima 15., 19. i 27. Uredbe (EU) 2023/956.

Komisija i nadležna tijela mogu pristupati podacima iz sustava EORI i na drugi način ih obrađivati u skladu s člancima 15., 19. i 27. Uredbe (EU) 2023/956.

Članak 22.

Sigurnost sustava

1. Komisija provodi odgovarajuće tehničke i organizacijske mjere za sigurnost sustava nakon savjetovanja s nadležnim tijelima.

2. Nadležna tijela provode odgovarajuće organizacijske mjere za sigurnost sustava.

3. Tehničke i organizacijske mjere iz stavaka 1. i 2. ovog članka namijenjene su:

(a)	jamčenju sigurnosti, cjelovitosti, povjerljivosti, dostupnosti i kontinuiteta osobnih podataka koji se obrađuju;

(b)	zaštiti od neovlaštene ili nezakonite obrade, izmjene, gubitka, upotrebe, otkrivanja ili pristupa bilo kojem osobnom podatku koji je u njihovu posjedu;

(c)	ograničavanju otkrivanja ili pristupa osobnim podacima isključivo na predviđene primatelje u skladu s ovom Uredbom i Uredbom (EU) 2023/956.

4. Komisija i nadležna tijela međusobno se obavješćuju i pružaju pomoć u slučaju teških sigurnosnih incidenata kojima se aktivira plan kontinuiteta poslovanja za CBAM ako takvi incidenti podrazumijevaju povredu osobnih podataka u smislu članka 4. stavka 12. Uredbe (EU) 2016/679 i članka 3. stavka 16. Uredbe (EU) 2018/1725.

5. Komisija i države članice redovito procjenjuju komponente CBAM registra za koje su odgovorne te analiziraju sigurnost i integritet tih komponenti i povjerljivost podataka koji se obrađuju u tim komponentama.

Članak 23.

Razdoblje čuvanja podataka

1. Pri obradi osobnih podataka u svrhe navedene u članku 18. nadležna tijela i Komisija zadržavaju podatke samo onoliko dugo koliko je potrebno za ispunjavanje tih svrha, a najviše sedam godina od upisa osobnih podataka u CBAM registar.

2. Neovisno o stavku 1., ako je podnesena žalba ili su pokrenuti sudski postupci koji uključuju podatke pohranjene u CBAM registar, ti se podaci čuvaju do okončanja žalbenog ili sudskog postupka i koriste samo za potrebe tog žalbenog ili sudskog postupka.

POGLAVLJE IV.

ZAVRŠNE ODREDBE

Članak 24.

Stupanje na snagu i primjena

1. Ova Uredba stupa na snagu sljedećeg dana od dana objave u Službenom listu Europske unije.

2. Primjenjuje se od 31. prosinca 2024.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.

Sastavljeno u Bruxellesu 18. prosinca 2024.

Za Komisiju

Predsjednica

Ursula VON DER LEYEN

(1) SL L 130, 16.5.2023., str. 52., ELI: http://data.europa.eu/eli/reg/2023/956/oj.

(2) Provedbena uredba Komisije (EU) 2023/1773 od 17. kolovoza 2023. o utvrđivanju pravila za primjenu Uredbe (EU) 2023/956 Europskog parlamenta i Vijeća u pogledu obveza izvješćivanja za potrebe mehanizma za ugljičnu prilagodbu na granicama tijekom prijelaznog razdoblja (SL L 228, 15.9.2023., str. 94., ELI: http://data.europa.eu/eli/reg_impl/2023/1773/oj).

(3) Uredba (EU) br. 952/2013 Europskog parlamenta i Vijeća od 9. listopada 2013. o Carinskom zakoniku Unije (SL L 269, 10.10.2013., str. 1., ELI: http://data.europa.eu/eli/reg/2013/952/oj).

(4) Uredba (EU) 2018/1725 Europskog parlamenta i Vijeća od 23. listopada 2018. o zaštiti pojedinaca u vezi s obradom osobnih podataka u institucijama, tijelima, uredima i agencijama Unije i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Uredbe (EZ) br. 45/2001 i Odluke br. 1247/2002/EZ (SL L 295, 21.11.2018., str. 39., ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(5) Uredba (EU) 2016/679 Europskog parlamenta i Vijeća od 27. travnja 2016. o zaštiti pojedinaca u vezi s obradom osobnih podataka i o slobodnom kretanju takvih podataka te o stavljanju izvan snage Direktive 95/46/EZ (Opća uredba o zaštiti podataka) (SL L 119, 4.5.2016., str. 1., ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(6) Provedbena uredba Komisije (EU) 2023/1070 od 1. lipnja 2023. o tehničkim protokolima za razvoj, održavanje i upotrebu elektroničkih sustava za razmjenu i pohranu informacija u skladu s Uredbom (EU) br. 952/2013 Europskog parlamenta i Vijeća (SL L 143, 2.6.2023., str. 65., ELI: http://data.europa.eu/eli/reg_impl/2023/1070/oj).

(7) Uredba (EU) 2022/2399 Europskog parlamenta i Vijeća od 23. studenoga 2022. o uspostavi okruženja jedinstvenog sučelja Europske unije za carinu i izmjeni Uredbe (EU) br. 952/2013 (SL L 317, 9.12.2022., str. 1., ELI: http://data.europa.eu/eli/reg/2022/2399/oj).

(8) Provedbena odluka Komisije (EU) 2023/2879 оd 15. prosinca 2023. o uspostavi programa rada u pogledu razvoja i uvođenja elektroničkih sustava iz Carinskog zakonika Unije (SL L, 2023/2879, 22.12.2023., ELI: http://data.europa.eu/eli/dec_impl/2023/2879/oj).

(9) Uredba Vijeća (EEZ) br. 2658/87 od 23. srpnja 1987. o tarifnoj i statističkoj nomenklaturi i o Zajedničkoj carinskoj tarifi (SL L 256, 7.9.1987., str. 1., ELI: http://data.europa.eu/eli/reg/1987/2658/oj).

(10) Provedbena uredba Komisije (EU) 2015/2447 оd 24. studenoga 2015. o utvrđivanju detaljnih pravila za provedbu određenih odredbi Uredbe (EU) br. 952/2013 Europskog parlamenta i Vijeća o Carinskom zakoniku Unije (SL L 343, 29.12.2015., str. 558., ELI: http://data.europa.eu/eli/reg_impl/2015/2447/oj).

(11) Uredba (EU) 2024/903 Europskog parlamenta i Vijeća od 13. ožujka 2024. o utvrđivanju mjera za visoku razinu interoperabilnosti javnog sektora u Uniji (Akt o interoperabilnoj Europi) (SL L, 2024/903, 22.3.2024., ELI: http://data.europa.eu/eli/reg/2024/903/oj).