|
12.9.2022 |
SV |
Europeiska unionens officiella tidning |
L 235/19 |
KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2022/1504
av den 6 april 2022
om tillämpningsföreskrifter för rådets förordning (EU) nr 904/2010 vad gäller inrättandet av ett centralt elektroniskt system för betalningsinformation (Cesop) för att bekämpa mervärdesskattebedrägeri
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av rådets förordning (EU) nr 904/2010 av den 7 oktober 2010 om administrativt samarbete och kampen mot mervärdesskattebedrägeri (1), särskilt artikel 24e, och
av följande skäl:
|
(1) |
Genom rådets direktiv 2006/112/EG (2)„ ändrat genom direktiv (EU) 2020/284 (3), införs rapporteringsskyldigheter för betaltjänstleverantörer från och med den 1 januari 2024. Från och med det datumet ska betaltjänstleverantörer som är etablerade eller tillhandahåller betaltjänster i Europeiska unionen dokumentera gränsöverskridande betalningar från betalare i medlemsstater och viss information om betalningsmottagarna och överföra denna dokumentation till medlemsstaterna för kampen mot mervärdesskattebedrägeri (momsbedrägeri). |
|
(2) |
Enligt förordning (EU) nr 904/2010, ändrad genom förordning (EU) 2020/283 (4) ska medlemsstaterna överföra denna dokumentation till ett centralt elektroniskt system för betalningsinformation (Cesop) som ska utvecklas, underhållas, hysas och tekniskt förvaltas av kommissionen. |
|
(3) |
I enlighet med artikel 24e a i förordning (EU) nr 904/2010, och för att säkerställa att Cesop fungerar väl, är det nödvändigt att anta de tekniska åtgärderna för att inrätta Cesop. Dessa åtgärder bör omfatta de Cesop-funktioner som är nödvändiga för att utveckla Cesops kapacitet enligt beskrivningen i artikel 24c i förordning (EU) nr 904/2010. Åtgärderna bör också säkerställa en hög nivå av användarvänlighet genom att tillhandahålla sök- och visualiseringsverktyg i Cesop. Cesop bör underlätta informationsutbyte mellan Eurofiscs sambandstjänstemän genom att göra det möjligt för dem att på ett snabbt och säkert sätt utbyta information direkt i Cesop om momsbedrägerier. De åtgärder som kommissionen bör vidta för att underhålla Cesop efter att systemet tagits i drift, bör också fastställas för att säkerställa kvalitetsstandarder för driften av Cesops it-infrastruktur och funktioner och säkerställa att nödvändiga uppdateringar görs när det behövs för att hantera incidenter i systemet mellan kommissionen och medlemsstaterna. |
|
(4) |
Som personuppgiftsansvariga för Cesop ansvarar medlemsstaterna för förvaltningen av systemet, medan kommissionen har ett antal ansvarsområden begränsade till den tekniska förvaltningen av Cesop som ansvarig för att hysa systemet och som personuppgiftsbiträde, i enlighet med artikel 24e b i förordning (EU) nr 904/2010. Dessa ansvarsområden bör innefatta de tekniska uppgifter som är nödvändiga för den dagliga administrationen av Cesop, som att föra register över den sambandstjänsteman för Eurofisc som har åtkomst till Cesop, föra register över betaltjänstleverantörer som har överfört data till medlemsstaterna, upprätta lämpliga organisatoriska säkerhetsåtgärder för Cesop samt tillhandahålla den fortbildning och det stöd som Eurofiscs sambandstjänstemän behöver för att kunna använda Cesop effektivt. |
|
(5) |
Enligt artikel 24b.1 b i förordning (EU) nr 904/2010 ska medlemsstaterna sända data till Cesop i ett gemensamt format. De dataelement som ska rapporteras av betaltjänstleverantörer i ett XML-dokument bör fastställas. För att säkerställa allmän interoperabilitet mellan nationella elektroniska system och Cesop i enlighet med artikel 24b.3 i förordning (EU) nr 904/2010 bör medlemsstaterna kontrollera att de data som överförts av betaltjänstleverantörerna innehåller de obligatoriska och syntaktiskt korrekta dataelementen enligt artikel 243d i direktiv 2006/112/EG, eftersom Cesop endast kan fungera om obligatoriska data registreras korrekt i Cesop. |
|
(6) |
Medlemsstaterna bör utse de sambandstjänstemän för Eurofisc som kommer att ha åtkomst till Cesop och meddela kommissionen sitt beslut. I detta hänseende bör kommissionen förse dessa tjänstemän med en unik identifierare för åtkomst till Cesop och föra en förteckning över alla Eurofiscs sambandstjänstemän som har åtkomst till Cesop baserat på informationen från medlemsstaterna. |
|
(7) |
I enlighet med artikel 24e g i förordning (EU) nr 904/2010 ska kommissionen upprätta förfaranden för att säkerställa att lämpliga tekniska och organisatoriska säkerhetsåtgärder vidtas för utvecklingen och driften av Cesop. Flera säkerhetsaspekter av Cesops centrala komponenter beror också på genomförandet av nationella säkerhetsåtgärder, såsom åtgärder för att kontrollera säkerheten för data som överförts och åtgärder för att säkerställa att endast sambandstjänstemän för Eurofisc som har en giltig identifierare får åtkomst till CESOP. Därför bör medlemsstaterna informera kommissionen om sina egna säkerhetsåtgärder. Medlemsstaterna och kommissionen bör hålla varandra informerade om säkerhetsåtgärder som vidtagits och behovet av uppgraderingar av dessa åtgärder. |
|
(8) |
Behandlingen av personuppgifter enligt denna förordning och medlemsstaternas och kommissionens ansvarsområden omfattas av de regler som fastställs i Europaparlamentets och rådets förordning (EU) 2016/679 (5) och Europaparlamentets och rådets förordning (EU) 2018/1725 (6). I enlighet med artikel 24e h i förordning (EU) nr 904/2010 bör medlemsstaternas och kommissionens roller och ansvarsområden fastställas vad gäller personuppgiftsansvar för Cesop. Medlemsstaterna bör gemensamt anses som personuppgiftsansvariga för Cesop eftersom de beslutar om metoderna för behandling och användning av data i Cesop. Kommissionen bör anses som personuppgiftsbiträde eftersom den agerar på medlemsstaternas vägnar när den utför sina uppgifter. |
|
(9) |
Denna förordning ska tillämpas först från och med den 1 januari 2024, som en anpassning till tillämpningen av förordning (EU) 2020/283 och direktiv (EU) 2020/284. |
|
(10) |
Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i förordning (EU) 2018/1725 och avgav ett yttrande den 2 februari 2022. |
|
(11) |
De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från ständiga kommittén för administrativt samarbete. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Tekniska åtgärder för att inrätta och underhålla Cesop
1. Kommissionen ska utarbeta tekniska åtgärder för inrättandet av Cesop med följande funktioner:
|
a) |
Mottagande av betalningsdata som överförs av medlemsstaterna. |
|
b) |
Säker lagring av betalningsdata i högst fem år räknat från utgången av det kalenderår då medlemsstaten överförde informationen till Cesop. |
|
c) |
Rensning av betalningsdata från anomalier och misstag, inbegripet dubbla uppgifter om en och samma betalning. |
|
d) |
Aggregering av betalningsdata för varje betalningsmottagare. |
|
e) |
Möjliggörande av sökningar och visualisering av betalningsdata i Cesop. |
|
f) |
Analys och utförande av korsvis kontroll av betalningsdata mot data som lagras och utbyts i enlighet med artikel 17.1 a, b, d, e och f och artikel 33.2 b i förordning (EU) nr 904/2010: |
|
g) |
Genomförande av automatisk analys och flaggning av misstänkta betalningsmottagare. |
|
h) |
Möjliggörande för Eurofiscs sambandstjänstemän att utföra icke-automatiska kontroller och analyser. |
|
i) |
Generering av rapporter om resultaten av de analyser och kontroller som görs av Cesop och Eurofiscs sambandstjänstemän. |
|
j) |
Tillhandahållande av infrastruktur för förvaltning av åtkomstkontroll för Eurofiscs sambandstjänstemän. |
|
k) |
Möjlighet för Eurofiscs sambandstjänstemän att direkt i Cesop utbyta information om utredningar och upptäckt av gränsöverskridande momsbedrägerier. |
|
l) |
Tillhandahållande av teknisk infrastruktur för medlemsstaterna för förvaltningen av åtkomsträttigheter för deras Eurofiscs sambandstjänstemän. |
2. Kommissionen ska utföra följande uppgifter för underhåll av Cesop:
|
a) |
Säkerställa att Cesop och dess funktioner är operativa. |
|
b) |
Utföra underhåll utanför normal arbetstid. |
|
c) |
Tillhandahålla de tekniska uppdateringar som krävs för att Cesop ska fungera väl och förbättras. |
|
d) |
Hantera tekniska problem. |
Artikel 2
Kommissionens uppgifter i den tekniska förvaltningen av Cesop
Kommissionen ska utföra följande uppgifter vad gäller den tekniska förvaltningen av Cesop:
|
a) |
Föra och uppdatera förteckningen över Eurofiscs sambandstjänstemän med åtkomst till Cesop och deras unika personliga användaridentitet i enlighet med artikel 5. |
|
b) |
Genomföra de organisatoriska och tekniska säkerhetsåtgärder som avses i artikel 6. |
|
c) |
Upprätta, bevara och underhålla en förteckning över betaltjänstleverantörer som rapporterar data enligt artikel 24b.1 i förordning (EU) nr 904/2010, i enlighet med de data som tillhandahålls av medlemsstaterna. |
|
d) |
Ge Eurofiscs sambandstjänstemän som har åtkomst till Cesop automatisk åtkomst till den förteckning som underhålls i enlighet med led c. |
|
e) |
Tillhandahålla Eurofiscs sambandstjänstemän tekniskt bistånd vid användning av Cesop. |
|
f) |
Tillhandahålla utbildning om användningen av Cesop för Eurofiscs sambandstjänstemän. |
Artikel 3
Sammankoppling och allmän interoperabilitet mellan Cesop och nationella elektroniska system
1. Medlemsstaterna ska vidta alla åtgärder som är nödvändiga för att säkerställa att de nationella elektroniska systemen för insamling av betalningsinformation som inrättats i enlighet med artikel 24b.2 i förordning (EU) nr 904/2010 fungerar och klarar att samla in betalningsinformation i enlighet med artikel 24b.1 i den förordningen.
2. Medlemsstaterna ska till Cesop endast överföra betalningsinformation som är komplett och omfattar alla obligatoriska fält i enlighet med artikel 243d i direktiv 2006/112/EG och som uppfyller kraven i bilagan till denna förordning.
3. Kommissionen ska säkerställa interoperabilitet mellan Cesop och de nationella elektroniska system som avses i punkt 1.
Artikel 4
Elektroniskt standardformulär
Det elektroniska standardformulär som avses i artikel 24b.1 b i förordning (EU) nr 904/2010 ska lämnas in i ett standardiserat XML-format i enlighet med datatabellen i bilagan till den här förordningen.
Artikel 5
Praktiska arrangemang avseende Eurofiscs sambandstjänstemän som ska ha åtkomst till Cesop
1. Medlemsstaterna ska utse de sambandstjänstemän för Eurofisc som ska ha åtkomst till Cesop och meddela kommissionen deras namn och e-postadresser.
2. Medlemsstaterna ska informera kommissionen om alla ändringar av den information som tillhandahålls enligt punkt 1, även ändringar vad gäller de utsedda sambandstjänstemännen för Eurofisc, utan dröjsmål och inte senare än 30 kalenderdagar efter att ändringen skett.
3. Kommissionen ska omedelbart förse de sambandstjänstemän för Eurofisc som avses i punkt 1 med en unik personlig användaridentitet för åtkomst till Cesop.
Artikel 6
Förfaranden för de tekniska och organisatoriska säkerhetsåtgärderna för utvecklingen och driften av Cesop
1. Medlemsstaterna ska förse kommissionen med information om tillämpningen av sina egna säkerhetsåtgärder på nationell nivå och varje uppdatering av dessa.
Denna information ska omfatta uppgifter om de åtgärder som vidtagits för att säkerställa att endast Eurofiscs sambandstjänstemän enligt artikel 5 har åtkomst till Cesop och uppgifter om de åtgärder som vidtagits för att säkerställa krypteringen av de data som överförs av medlemsstaterna.
2. Kommissionen ska senast den 30 april varje år, från och med det år som följer på denna förordnings tillämpningsdag, informera medlemsstaterna om de åtgärder som vidtagits för Cesops säkerhet.
Åtminstone följande ska anges i den informationen:
|
a) |
De säkerhetsincidenter som har inträffat under det föregående året och hur dessa har åtgärdats. |
|
b) |
Uppgifter om de säkerhetsåtgärder som vidtagits eller de ändringar av befintliga säkerhetsåtgärder som gjorts. |
|
c) |
En bedömning av de befintliga säkerhetsåtgärderna och om kommissionen anser att de behöver ändras på något sätt. |
Artikel 7
Den personuppgiftsansvariges och personuppgiftsbiträdets roller och ansvarsområden
1. Medlemsstaterna ska gemensamt vara personuppgiftsansvariga, enligt definitionen i artikel 4.7 i förordning (EU) 2016/679, för Cesop. Ansvarsområdena för de personuppgiftsansvariga för Cesop ska fastställas genom överenskommelse mellan de personuppgiftsansvariga, som ska fastställa reglerna för utövandet av den registrerades rättigheter och deras skyldigheter i samband med tillhandahållandet av den information som avses i artiklarna 13 och 14 i förordning (EU) 2016/679.
Medlemsstaterna ska ansvara för följande:
|
a) |
Utarbeta de tekniska specifikationerna för Cesop och vid behov anpassa dessa, så att kommissionen kan
|
|
b) |
fastställa reglerna och förfarandena för urvalet av Eurofiscs sambandstjänstemän som får åtkomst till Cesop, och |
|
c) |
besvara frågor från de registrerade om utövandet av de rättigheter som fastställs i kapitel III i förordning (EU) 2016/679. |
2. Kommissionen ska vara personuppgiftsbiträde, enligt definitionen i artikel 3.12 i förordning (EU) 2018/1725, för Cesop.
Kommissionen ska
|
a) |
behandla personuppgifter på medlemsstaternas vägnar på deras anvisning och bevara dokumentationen för dessa anvisningar, |
|
b) |
säkerställa konfidentialiteten för personuppgifter som behandlas i enlighet med denna förordning, |
|
c) |
tillhandahålla den tekniska infrastruktur som medlemsstaterna behöver till följd av de krav som avses i punkt 1 c, |
|
d) |
hjälpa medlemsstaterna att uppfylla de skyldigheter som fastställs i artiklarna 33–41 i förordning (EU) 2016/679, |
|
e) |
säkerställa att alla personuppgifter som lagras i Cesop raderas i enlighet med artikel 24c.2 i förordning (EU) nr 904/2010, och |
|
f) |
åt medlemsstaterna tillhandahålla all information som är nödvändig för att visa att de skyldigheter som fastställs i denna artikel fullgörs och möjliggöra och bidra till revisioner, inbegripet inspektioner, som utförs av medlemsstaterna eller annan revisor på medlemsstaternas uppdrag, med fullt iakttagande av protokoll 7 om Europeiska unionens immunitet och privilegier som fogats till fördraget om Europeiska unionens funktionssätt. |
Artikel 8
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Den ska tillämpas från och med den 1 januari 2024.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 6 april 2022.
På kommissionens vägnar
Ursula VON DER LEYEN
Ordförande
(1) EUT L 268, 12.10.2010, s. 1.
(2) Rådets direktiv 2006/112/EG av den 28 november 2006 om ett gemensamt system för mervärdesskatt (EUT L 347, 11.12.2006, s. 1).
(3) Rådets direktiv (EU) 2020/284 av den 18 februari 2020 om ändring av direktiv 2006/112/EG vad gäller införandet av vissa krav för betaltjänstleverantörer (EUT L 62, 2.3.2020, s. 7).
(4) Rådets förordning (EU) 2020/283 av den 18 februari 2020 om ändring av förordning (EU) nr 904/2010 vad gäller åtgärder för att stärka det administrativa samarbetet för att bekämpa mervärdesskattebedrägeri (EUT L 62, 2.3.2020, s. 1).
(5) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).
(6) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).
BILAGA
Elektroniskt formulär för överföring av data
|
Fält Nummer |
Data Element namn |
Artikel 243d |
Beskrivning |
Format - exempel |
Obligatoriskt |
Kontroller utförda vid överföring till Cesop |
||||||
|
1 |
BIC/ID rapporterande betaltjänstleverantör |
punkt 1 led a |
BIC enligt definitionen i artikel 2.16 i Europaparlamentets och rådets förordning (EU) nr 260/2012 (1) eller annan företagsidentifieringskod som på ett otvetydigt sätt identifierar den betaltjänstleverantör som överför data. |
BIC för den betaltjänstleverantör som tillhandahåller data. |
Ja |
Närvaro, syntaktisk kontroll av BIC |
||||||
|
2 |
Betalningsmottagarens namn |
punkt 1 led b |
Alla namn på betalningsmottagaren som finns registrerade hos betaltjänstleverantörerna, inbegripet juridiskt namn och firmanamn. |
Kortmottagarens namn, säljföretagets namn, kreditgivarens namn. |
Ja |
Närvaro |
||||||
|
3 |
Betalningsmottagarens momsregistreringsnummer/skatteregistreringsnummer |
punkt 1 led c |
Momsregistreringsnummer och/eller annat nationellt skattenummer för betalningsmottagaren. |
|
Frivilligt Obligatoriskt |
Syntaktisk kontroll av momsregistreringsnummer från EU-medlemsstater |
||||||
|
4 |
Betalningsmottagarens konto-ID |
punkt 1 led d |
IBAN enligt definitionen i artikel 2.15 i förordning (EU) nr 260/2012 eller, om det saknas, annan identifierare som otvetydigt identifierar och ger platsangivelsen för den betalningsmottagare som är involverad i transaktionen. |
IBAN, kortmottagarens ID, säljföretagets ID, E-kontoidentifierare. |
Ja, när medlen överförs till betalningsmottagarens betalkonto |
Närvaro, syntaktisk kontroll av IBAN |
||||||
|
5 |
BIC/ID betalningsmottagarens betaltjänstleverantör |
punkt 1 led e |
BIC-kod eller annan företagsidentifieringskod som otvetydigt identifierar den betaltjänstleverantör som agerar på uppdrag av betalningsmottagaren och anger betaltjänstleverantörens plats om betalningsmottagaren mottar medel utan att inneha ett betalkonto. |
BIC. |
Endast när betalningsmottagaren tar emot medel utan att ha ett betalkonto |
Närvaro, syntaktisk kontroll av BIC |
||||||
|
6 |
Betalningsmottagarens adress |
punkt 1 led f |
Alla adresser för betalningsmottagaren som finns registrerade hos betaltjänstleverantörerna (officiell adress, företagsadress, lageradress). |
Kortmottagarens gatuadress, säljföretagets adress, kontoinnehavarens adress, |
Frivilligt Obligatoriskt |
|
||||||
|
7 |
Återbetalning |
punkt 1 led h |
Hänvisning till att transaktionen är en återbetalning och länk till föregående rapporterad transaktion. |
|
Om tillämpligt |
Närvaro |
||||||
|
8 |
Datum/klockslag |
punkt 2 led a |
Datum och klockslag för genomförandet av betalningstransaktionen eller återbetalningen. |
Inköpsdatum, datum för genomförandet, datum då transaktionen skapades. |
Ja |
Närvaro, syntaktisk kontroll |
||||||
|
9 |
Belopp |
punkt 2 led b |
Belopp för betalningstransaktionen eller återbetalningen. |
|
Ja |
Närvaro |
||||||
|
10 |
Valuta |
punkt 2 led b |
Valuta för betalningstransaktionen eller återbetalningen. |
|
Ja |
Närvaro, syntaktisk kontroll av valutakoden |
||||||
|
11 |
Ursprungsmedlemsstat för betalningen |
punkt 2 led c |
Urspungsmedlemsstat för den betalning som mottagits av betalningsmottagaren. |
Landskod för betalaren |
Om transaktionen är en betalning |
Närvaro, syntaktisk kontroll av landskoden |
||||||
|
12 |
Medlemsstat som är destination för återbetalningen |
punkt 2 led c |
Medlemsstat som är destination för återbetalningen. |
Landskod för mottagaren av återbetalningen. |
Om transaktionen är en återbetalning enligt fält 7 |
Närvaro, syntaktisk kontroll av landskoden |
||||||
|
13 |
Platsuppgifter för betalaren |
punkt 2 led c |
Angivelse av den information som använts för att fastställa betalningens ursprung eller destinationen för återbetalningen. Detaljerna i informationen ska inte överföras, för att undvika identifiering av betalaren. |
Betaltjänstleverantörer anger att platsen härleddes från
Själva ID (IBAN-nummer, BIN-nummer, adress) bör aldrig överföras. |
Ja |
Närvaro |
||||||
|
14 |
Transaktions-ID |
punkt 2 led d |
Varje hänvisning som otvetydigt identifierar betalningstransaktionen. |
Inlösarens referens, transaktions-ID |
Ja |
Närvaro |
||||||
|
15 |
Fysisk närvaro |
punkt 2 led e |
Varje hänvisning som visar att betalaren befann sig i säljföretagets lokaler när betalningen initierades. |
Försäljningsställe (POS) – införandemetod (Entry Mode) |
Om tillämpligt |
Närvaro |
(1) Europaparlamentets och rådets förordning (EU) nr 260/2012 av den 14 mars 2012 om antagande av tekniska och affärsmässiga krav för betalningar och autogireringar i euro och om ändring av förordning (EG) nr 924/2009 (EUT L 94, 30.3.2012, s. 22).