|
12.9.2022 |
SL |
Uradni list Evropske unije |
L 235/19 |
IZVEDBENA UREDBA KOMISIJE (EU) 2022/1504
z dne 6. aprila 2022
o določitvi podrobnih pravil za uporabo Uredbe Sveta (EU) št. 904/2010 glede vzpostavitve osrednjega elektronskega sistema informacij o plačilih (CESOP) za boj proti goljufijam na področju DDV
EVROPSKA KOMISIJA JE –
ob upoštevanju Pogodbe o delovanju Evropske unije,
ob upoštevanju Uredbe Sveta (EU) št. 904/2010 z dne 7. oktobra 2010 o upravnem sodelovanju in boju proti goljufijam na področju davka na dodano vrednost (1) ter zlasti člena 24e Uredbe,
ob upoštevanju naslednjega:
|
(1) |
Direktiva Sveta 2006/112/ES (2), kakor je bila spremenjena z Direktivo (EU) 2020/284 (3), uvaja obveznosti poročanja za ponudnike plačilnih storitev od 1. januarja 2024. Od takrat morajo ponudniki plačilnih storitev, ki imajo sedež v Evropski uniji ali v njej opravljajo plačilne storitve, voditi nekatere evidence o čezmejnih plačilih, ki izvirajo od plačnikov znotraj držav članic, in hraniti nekatere informacije o prejemnikih plačil ter navedene evidence posredovati državam članicam za namene boja proti goljufijam na področju davka na dodano vrednost (DDV). |
|
(2) |
V skladu z Uredbo (EU) št. 904/2010, kakor je bila spremenjena z Uredbo Sveta (EU) 2020/283 (4), morajo države članice te evidence posredovati v osrednji elektronski sistem informacij o plačilih (v nadaljnjem besedilu: CESOP), ki ga bo razvila, vzdrževala, gostila in tehnično upravljala Komisija. |
|
(3) |
Za zagotovitev pravilnega delovanja CESOP in v skladu s členom 24e, točka (a), Uredbe (EU) št. 904/2010 je treba sprejeti tehnične ukrepe za vzpostavitev CESOP. Ti ukrepi bi morali zagotoviti potrebne funkcije CESOP za razvoj zmogljivosti CESOP, kakor so opisane v členu 24c Uredbe (EU) št. 904/2010. Ukrepi bi morali zagotoviti tudi visoko raven prijaznosti do uporabnika z zagotavljanjem orodij za iskanje in vizualizacijo v CESOP. Poleg tega bi moral CESOP olajšati izmenjavo informacij med uradniki za zvezo Eurofisca, tako da bi jim omogočil hitro in varno izmenjavo informacij o goljufijah na področju DDV neposredno v CESOP. Določiti bi bilo treba tudi ukrepe, ki bi jih morala Komisija sprejeti za vzdrževanje sistema CESOP po začetku njegovega delovanja, da se zagotovijo operativni standardi kakovosti informacijske infrastrukture CESOP in njegovih funkcij ter da se med Komisijo in državami članicami po potrebi izvedejo potrebne posodobitve za obvladovanje incidentov v sistemu. |
|
(4) |
Medtem ko so za upravljanje CESOP odgovorne države članice kot njegove upravljavke, ima Komisija v skladu s členom 24e, točka (b), Uredbe (EU) št. 904/2010 kot gostiteljica in obdelovalka CESOP vrsto odgovornosti, ki so omejene na njegovo tehnično upravljanje. Te odgovornosti bi morale zajemati tehnične naloge, potrebne za vsakodnevno upravljanje sistema CESOP, kot so vodenje evidenc uradnikov za zvezo Eurofisca, ki dostopajo do CESOP, vodenje evidenc ponudnikov plačilnih storitev, ki so državam članicam posredovali podatke, vzpostavitev ustreznih organizacijskih varnostnih ukrepov za CESOP ter zagotavljanje potrebnega usposabljanja in podpore uradnikom za zvezo Eurofisca za učinkovito uporabo sistema CESOP. |
|
(5) |
V skladu s členom 24b(1), točka (b), Uredbe (EU) št. 904/2010 morajo države članice poslati podatke v sistem CESOP v enotni obliki. Določiti bi bilo treba podatkovne elemente, ki jih morajo ponudniki plačilnih storitev sporočiti v obliki dokumenta XML. Za zagotovitev splošne operabilnosti med nacionalnimi elektronskimi sistemi in sistemom CESOP v skladu s členom 24b(3) Uredbe (EU) št. 904/2010 bi morale države članice preveriti, ali podatki, ki jih posredujejo ponudniki plačilnih storitev, vsebujejo obvezne in sintaktično pravilne podatkovne elemente v skladu s členom 243d Direktive 2006/112/ES, saj lahko sistem CESOP deluje le, če so obvezni podatki pravilno vneseni v sistem CESOP. |
|
(6) |
Države članice bi morale imenovati uradnike za zvezo Eurofisca, ki bodo imeli dostop do sistema CESOP, in o svoji odločitvi obvestiti Komisijo. V zvezi s tem bi morala Komisija navedenim uradnikom zagotoviti edinstveni identifikator za dostop do sistema CESOP in na podlagi informacij, prejetih od držav članic, voditi seznam vseh uradnikov za zvezo Eurofisca, ki imajo dostop do sistema CESOP. |
|
(7) |
V skladu s členom 24e, točka (g), Uredbe (EU) št. 904/2010 mora Komisija vzpostaviti postopke za zagotovitev, da so vzpostavljeni ustrezni tehnični in organizacijski varnostni ukrepi za razvoj in delovanje CESOP. Več varnostnih vidikov osrednjih komponent sistema CESOP je odvisnih tudi od izvajanja nacionalnih varnostnih ukrepov, kot so ukrepi za nadzor varnosti posredovanih podatkov in ukrepi za zagotovitev, da lahko do CESOP dostopajo le uradniki za zvezo Eurofisca z veljavnim edinstvenim identifikatorjem. Zato bi morale države članice Komisiji posredovati informacije o svojih varnostnih ukrepih. Države članice in Komisija bi se morale medsebojno obveščati o sprejetih varnostnih ukrepih in o potrebi po kakršni koli nadgradnji teh ukrepov. |
|
(8) |
Za obdelavo osebnih podatkov na podlagi te uredbe ter za odgovornosti držav članic in Komisije se uporabljajo pravila iz Uredbe (EU) 2016/679 Evropskega parlamenta in Sveta (5) ter Uredbe (EU) 2018/1725 Evropskega parlamenta in Sveta (6). V skladu s členom 24e, točka (h), Uredbe (EU) št. 904/2010 bi bilo treba določiti vloge in odgovornosti držav članic in Komisije v zvezi z upravljanjem CESOP. Države članice bi bilo treba skupaj šteti za upravljavke CESOP, saj odločajo o načinih obdelave in uporabe podatkov v CESOP. Komisija bi se morala šteti za obdelovalko, saj pri opravljanju vseh svojih nalog deluje v imenu držav članic. |
|
(9) |
Ta uredba bi se morala uporabljati šele od 1. januarja 2024, da se tako uskladi z uporabo Uredbe (EU) 2020/283 in Direktive (EU) 2020/284. |
|
(10) |
V skladu s členom 42(1) Uredbe (EU) 2018/1725 je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je mnenje podal 2. februarja 2022. |
|
(11) |
Ukrepi iz te uredbe so v skladu z mnenjem Stalnega odbora za upravno sodelovanje – |
SPREJELA NASLEDNJO UREDBO:
Člen 1
Tehnični ukrepi za vzpostavitev in vzdrževanje CESOP
1. Komisija razvije tehnične ukrepe za vzpostavitev CESOP z naslednjimi funkcijami:
|
(a) |
prejemanje podatkov o plačilih, ki jih posredujejo države članice; |
|
(b) |
varna hramba podatkov o plačilih za obdobje največ 5 let od konca koledarskega leta, v katerem so ji države članice posredovale informacije; |
|
(c) |
čiščenje anomalij in napak v podatkih o plačilih, tudi podvojitev istih plačil; |
|
(d) |
združevanje podatkov o plačilih v zvezi s posameznim prejemnikom plačila; |
|
(e) |
omogočanje iskanj in vizualizacije podatkov o plačilih v CESOP; |
|
(f) |
analiza in navzkrižno preverjanje podatkov o plačilih s podatki, shranjenimi in izmenjanimi v skladu s členom 17(1), točke (a), (b), (d), (e) in (f), ter členom 33(2), točka (b), Uredbe (EU) št. 904/2010; |
|
(g) |
izvajanje avtomatske analitike in označevanje sumljivih prejemnikov plačil; |
|
(h) |
omogočanje uradnikom za zvezo Eurofisca, da izvajajo neavtomatske kontrole in analize; |
|
(i) |
priprava poročil o rezultatih analiz in kontrol, ki so jih opravili CESOP in uradniki za zvezo Eurofisca; |
|
(j) |
zagotavljanje infrastrukture za upravljanje nadzora dostopa uporabnikov za uradnike za zvezo Eurofisca; |
|
(k) |
omogočanje uradnikom za zvezo Eurofisca, da si izmenjujejo informacije v zvezi s čezmejnimi preiskavami in odkrivanjem goljufij na področju DDV neposredno v CESOP; |
|
(l) |
zagotavljanje tehnične infrastrukture državam članicam za upravljanje pravic dostopa za njihove uradnike za zvezo Eurofisca. |
2. Komisija opravlja naslednje naloge za vzdrževanje CESOP:
|
(a) |
zagotavljanje delovanja CESOP in njegovih funkcij; |
|
(b) |
vzdrževanje zunaj delovnega časa; |
|
(c) |
zagotavljanje potrebnih tehničnih posodobitev za pravilno delovanje in izboljšanje CESOP; |
|
(d) |
reševanje tehničnih težav. |
Člen 2
Naloge Komisije za tehnično upravljanje CESOP
Komisija opravlja naslednje naloge za tehnično upravljanje CESOP:
|
(a) |
hramba in posodabljanje seznama uradnikov za zvezo Eurofisca, ki imajo dostop do CESOP, in njihovih edinstvenih osebnih uporabniških identifikacij v skladu s členom 5; |
|
(b) |
izvajanje organizacijskih in tehničnih varnostnih ukrepov iz člena 6; |
|
(c) |
vzpostavitev, hramba in vodenje seznama ponudnikov plačilnih storitev, ki so sporočili podatke v skladu s členom 24b(1) Uredbe (EU) št. 904/2010, skladno s podatki, ki jih zagotovijo države članice; |
|
(d) |
omogočanje avtomatiziranega dostopa do seznama, ki se vodi v skladu s točko (c), uradnikom za zvezo Eurofisca, ki imajo dostop do CESOP; |
|
(e) |
zagotavljanje tehnične pomoči uradnikom za zvezo Eurofisca pri uporabi CESOP; |
|
(f) |
zagotavljanje usposabljanja za uradnike za zvezo Eurofisca glede uporabe CESOP. |
Člen 3
Povezava in splošna interoperabilnost med CESOP in nacionalnimi elektronskimi sistemi
1. Države članice sprejmejo vse potrebne ukrepe za zagotovitev, da so nacionalni elektronski sistemi za zbiranje informacij o plačilih, vzpostavljeni v skladu s členom 24b(2) Uredbe (EU) št. 904/2010, funkcionalni in zmožni zbirati informacije o plačilih v skladu s členom 24b(1) navedene uredbe.
2. Države članice v CESOP posredujejo samo informacije o plačilih, ki so popolne z vsemi obveznimi polji v skladu s členom 243d Direktive 2006/112/ES in so v skladu z zahtevami iz Priloge k tej uredbi.
3. Komisija zagotavlja interoperabilnost med CESOP in nacionalnimi elektronskimi sistemi iz odstavka 1.
Člen 4
Standardni elektronski obrazec
Standardni elektronski obrazec iz člena 24b(1)(b) Uredbe (EU) št. 904/2010 se predloži v standardizirani obliki XML v skladu s podatkovno tabelo iz Priloge k tej uredbi.
Člen 5
Praktična ureditev v zvezi z uradniki za zvezo Eurofisca, ki bodo imeli dostop do CESOP
1. Države članice imenujejo uradnike za zvezo Eurofisca, ki bodo imeli dostop do sistema CESOP, ter njihova imena in elektronske naslove sporočijo Komisiji.
2. Države članice Komisijo pravočasno obvestijo o vseh spremembah informacij iz odstavka 1, vključno s spremembami glede imenovanih uradnikov za zvezo Eurofisca, najpozneje pa 30 koledarskih dni po nastopu spremembe.
3. Komisija uradnikom za zvezo Eurofisca iz odstavka 1 nemudoma zagotovi edinstveno osebno uporabniško identifikacijo za dostop do CESOP.
Člen 6
Postopki za tehnične in organizacijske varnostne ukrepe za razvoj in delovanje CESOP
1. Države članice Komisiji zagotovijo informacije o uporabi in vsaki posodobitvi svojih varnostnih ukrepov na nacionalni ravni.
Te informacije vključujejo podrobnosti o ukrepih, sprejetih za zagotovitev, da imajo dostop do CESOP samo uradniki za zvezo Eurofisca iz člena 5, in podrobnosti o ukrepih, sprejetih za zagotovitev šifriranja podatkov, ki jih posredujejo države članice.
2. Komisija od leta, ki sledi datumu začetka uporabe te uredbe, vsako leto do 30. aprila obvesti države članice o ukrepih, sprejetih za varnost CESOP.
Navedene informacije zajemajo vsaj naslednje:
|
(a) |
varnostne incidente, ki so se zgodili v preteklem letu, in kako so bili odpravljeni; |
|
(b) |
podrobnosti o sprejetih varnostnih ukrepih ali spremembah obstoječih varnostnih ukrepov; |
|
(c) |
oceno obstoječih varnostnih ukrepov in ali Komisija meni, da so potrebne kakršne koli spremembe teh ukrepov. |
Člen 7
Vloge in odgovornosti upravljavcev in obdelovalca
1. Države članice so skupne upravljavke, kakor je opredeljeno v členu 4(7) Uredbe (EU) 2016/679, CESOP. Odgovornosti upravljavcev CESOP se določijo v sporazumu med upravljavci, ki določa pravila za uresničevanje pravic posameznikov, na katere se nanašajo osebni podatki, in njihove dolžnosti v zvezi z zagotavljanjem informacij iz členov 13 in 14 Uredbe (EU) 2016/679.
Države članice so odgovorne za:
|
(a) |
pripravo tehničnih specifikacij CESOP in po potrebi njihovo prilagoditev, da Komisija lahko:
|
|
(b) |
določitev pravil in postopkov za izbor uradnikov za zvezo Eurofisca, ki bodo imeli dostop do CESOP; |
|
(c) |
odgovarjanje na zahteve posameznikov, na katere se nanašajo osebni podatki, v zvezi z uresničevanjem pravic iz poglavja III Uredbe (EU) 2016/679. |
2. Komisija je obdelovalka, kakor je opredeljeno v členu 3, točka 12, Uredbe (EU) 2018/1725, CESOP.
Komisija:
|
(a) |
obdeluje osebne podatke v imenu držav članic po njihovih navodilih in hrani dokumentacijo za ta navodila; |
|
(b) |
zagotavlja zaupnost osebnih podatkov pri obdelavi v skladu s to uredbo; |
|
(c) |
zagotovi potrebno tehnično infrastrukturo, da lahko države članice odgovorijo na zahteve iz odstavka 1, točka (c); |
|
(d) |
pomaga državam članicam pri izpolnjevanju obveznosti iz členov 33 do 41 Uredbe (EU) 2016/679; |
|
(e) |
zagotovi izbris vseh osebnih podatkov, shranjenih v CESOP, v skladu s členom 24c(2) Uredbe (EU) št. 904/2010; |
|
(f) |
državam članicam da na voljo vse informacije, potrebne za dokazovanje izpolnjevanja obveznosti iz tega člena, ter omogoči revizije, vključno z inšpekcijskimi pregledi, ki jih izvajajo države članice ali drug revizor, ki ga pooblastijo države članice, in prispeva k njim, in sicer ob polnem spoštovanju Protokola (št. 7) k Pogodbi o delovanju Evropske unije o privilegijih in imunitetah Evropske unije. |
Člen 8
Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
Uporablja se od 1. januarja 2024.
Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.
V Bruslju, 6. aprila 2022
Za Komisijo
predsednica
Ursula VON DER LEYEN
(1) UL L 268, 12.10.2010, str. 1.
(2) Direktiva Sveta 2006/112/ES z dne 28. novembra 2006 o skupnem sistemu davka na dodano vrednost (UL L 347, 11.12.2006, str. 1).
(3) Direktiva Sveta (EU) 2020/284 z dne 18. februarja 2020 o spremembi Direktive 2006/112/ES glede uvedbe nekaterih zahtev za ponudnike plačilnih storitev (UL L 62, 2.3.2020, str. 7).
(4) Uredba Sveta (EU) 2020/283 z dne 18. februarja 2020 o spremembi Uredbe (EU) št. 904/2010 v zvezi z ukrepi za krepitev upravnega sodelovanja za boj proti goljufijam na področju DDV (UL L 62, 2.3.2020, str. 1).
(5) Uredba (EU) 2016/679 Evropskega parlamenta in Sveta z dne 27. aprila 2016 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov) (UL L 119, 4.5.2016, str. 1).
(6) Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39).
PRILOGA
Elektronski obrazec za posredovanje podatkov
|
Rubrika št. |
Ime podatkovnega elementa |
Člen 243d |
Opis |
Primer oblike |
Obvezno |
Preverjanje ob posredovanju v CESOP |
||||||
|
1 |
BIC/identifikator ponudnika plačilnih storitev, ki poroča |
(1), točka (a) |
Koda BIC, kot je opredeljena v členu 2, točka 16, Uredbe (EU) št. 260/2012 Evropskega parlamenta in Sveta (1), ali katera koli druga identifikacijska koda podjetja, ki nedvoumno določa ponudnika plačilnih storitev, ki posreduje podatke. |
Koda BIC ponudnika plačilnih storitev, ki zagotavlja podatke. |
Da |
Prisotnost, sintaktični pregled kode BIC |
||||||
|
2 |
Ime prejemnika plačila |
(1), točka (b) |
Vsa imena prejemnika plačila, kot so na voljo v evidencah ponudnikov plačilnih storitev, vključno s pravnim imenom in poslovnim imenom. |
Ime osebe, ki sprejema kartice, ime trgovca, ime upnika. |
Da |
Prisotnost |
||||||
|
3 |
IŠD/Identifikacijska številka za DDV prejemnika plačila |
(1), točka (c) |
Identifikacijska številka za DDV in/ali katera koli druga nacionalna davčna številka prejemnika plačila. |
|
Izbirno Obvezno |
Sintaktični pregled identifikacijske številke za DDV iz držav članic EU |
||||||
|
4 |
Identifikacijska oznaka računa prejemnika plačila |
(1), točka (d) |
Številka IBAN, kot je opredeljena v členu 2, točka 15, Uredbe (EU) št. 260/2012, ali, če ni na voljo, kateri koli drug identifikator, ki nedvoumno določa prejemnika plačila, vključenega v transakcijo, in navaja njegovo lokacijo. |
Številka IBAN, identifikator osebe, ki sprejema kartice, identifikator trgovca, identifikator e-računa. |
Da, kadar se sredstva prenesejo na plačilni račun prejemnika plačila |
Prisotnost, sintaktični pregled kode IBAN |
||||||
|
5 |
BIC/identifikator ponudnika plačilnih storitev, ki je prejemnik plačila |
(1), točka (e) |
Koda BIC ali katera koli druga poslovna identifikacijska koda, ki nedvoumno določa ponudnika plačilnih storitev, ki deluje v imenu prejemnika plačila, in njegovo lokacijo, kadar prejemnik plačila prejme sredstva, ne da bi imel plačilni račun. |
Koda BIC. |
Samo kadar prejemnik plačila prejme sredstva, ne da bi imel plačilni račun. |
Prisotnost, sintaktični pregled kode BIC |
||||||
|
6 |
Naslov prejemnika plačila |
(1), točka (f) |
Vsi naslovi prejemnika plačila, kot so na voljo v evidencah ponudnikov plačilnih storitev (uradni naslov, poslovni naslov, naslov skladišča). |
Ulica osebe, ki sprejema kartice, naslov trgovca, naslov lastnika računa. |
Izbirno Obvezno |
|
||||||
|
7 |
Vračilo |
(1), točka (h) |
Vsako sklicevanje, da je transakcija vračilo, in sklic na prejšnjo sporočeno transakcijo. |
|
Po potrebi |
Prisotnost |
||||||
|
8 |
Datum/čas |
(2), točka (a) |
Datum in čas izvršitve plačilne transakcije ali vračila plačila. |
Datum nakupa, datum izvršitve, datum ustvarjene transakcije. |
Da |
Prisotnost, sintaktični pregled |
||||||
|
9 |
Znesek |
(2), točka (b) |
Znesek plačilne transakcije ali vračila plačila. |
|
Da |
Prisotnost |
||||||
|
10 |
Valuta |
(2), točka (b) |
Valuta plačilne transakcije ali vračila plačila. |
|
Da |
Prisotnost, sintaktični pregled oznake valute |
||||||
|
11 |
DČ izvora plačila |
(2), točka (c) |
Država članica izvora plačila, ki ga je prejel prejemnik plačila. |
Koda države plačnika. |
Če je transakcija plačilo |
Prisotnost, sintaktični pregled kode države |
||||||
|
12 |
Namembna DČ vračila |
(2), točka (c) |
Namembna država članica vračila. |
Koda države upravičenca do vračila. |
Če je transakcija vračilo v skladu z rubriko 7 |
Prisotnost, sintaktični pregled kode države |
||||||
|
13 |
Podatki o lokaciji plačnika |
(2), točka (c) |
Navedba informacij, uporabljenih za ugotovitev izvora plačila ali namembnega kraja vračila. Podrobnosti o informacijah se ne posredujejo, da bi se izognili identifikaciji plačnika. |
Ponudniki plačilnih storitev navedejo, da je bila lokacija izpeljana iz:
Sam identifikator (številka IBAN, številka BIN, naslov) se nikoli ne sme posredovati. |
Da |
Prisotnost |
||||||
|
14 |
ID transakcije |
(2), točka (d) |
Vsak sklic, ki nedvoumno določa plačilno transakcijo. |
Sklic pridobitelja, ID transakcije. |
Da |
Prisotnost |
||||||
|
15 |
Fizična prisotnost |
(2), točka (e) |
Vsaka navedba, ki izkazuje prisotnost plačnika v fizičnih prostorih trgovca ob odreditvi plačila. |
Način vnosa na prodajnem mestu (POS) |
Po potrebi |
Prisotnost |
(1) Uredba (EU) št. 260/2012 Evropskega parlamenta in Sveta z dne 14. marca 2012 o uvajanju tehničnih in poslovnih zahtev za kreditne prenose in direktne bremenitve v eurih in o spremembi Uredbe (ES) št. 924/2009 (UL L 94, 30.3.2012, str. 22).