Kommissionens genomförandeförordning (EU) 2024/3084 av den 4 december 2024 om informationssystemets funktion enligt Europaparlamentets och rådets förordning (EU) 2023/1115 om tillhandahållande på unionsmarknaden och export från unionen av vissa råvaror och produkter som är förknippade med avskogning och skogsförstörelse | Laglig.se

Europeiska unionens
officiella tidning

L-serien

2024/3084

6.12.2024

KOMMISSIONENS GENOMFÖRANDEFÖRORDNING (EU) 2024/3084

av den 4 december 2024

om informationssystemets funktion enligt Europaparlamentets och rådets förordning (EU) 2023/1115 om tillhandahållande på unionsmarknaden och export från unionen av vissa råvaror och produkter som är förknippade med avskogning och skogsförstörelse

EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt,

med beaktande av Europaparlamentets och rådets förordning (EU) 2023/1115 av den 31 maj 2023 om tillhandahållande på unionsmarknaden och export från unionen av vissa råvaror och produkter som är förknippade med avskogning och skogsförstörelse och om upphävande av förordning (EU) nr 995/2010 (1), särskilt artikel 33, och

av följande skäl:

(1)

I förordning (EU) 2023/1115 fastställs regler för att minimera unionens bidrag till avskogning och skogsförstörelse. Detta görs genom att införa skyldigheter avseende tillbörlig aktsamhet för verksamhetsutövare och handlare som släpper ut eller tillhandahåller vissa råvaror och produkter på unionsmarknaden eller exporterar vissa råvaror och produkter från unionen. När det hänvisas till verksamhetsutövare i denna förordning bör det förstås som att det även hänvisas till handlare som inte är små och medelstora företag och som tillhandahåller relevanta produkter på marknaden, om bestämmelserna i denna förordning är allmänt tillämpliga på dem i enlighet med deras skyldigheter enligt förordning (EU) 2023/1115, särskilt artikel 5.1.

(2)	Verksamhetsutövarna tar formellt ansvar för att de relevanta produkter som de avser att släppa ut på marknaden eller exportera uppfyller kraven i den förordningen genom att tillhandahålla förklaringar om tillbörlig aktsamhet.

(3)

Ett informationssystem måste utvecklas och göras tillgängligt för verksamhetsutövare och handlare, och i tillämpliga fall deras ombud, behöriga myndigheter och tullmyndigheter, så att de kan fullgöra sina respektive skyldigheter enligt förordning (EU) 2023/1115. Informationssystemet bör underlätta överföringen av information mellan medlemsstaternas behöriga myndigheter och tullmyndigheter.

(4)	Informationssystemet bör vara en programvaruapplikation som bygger på Traces-plattformen som inrättats genom Europaparlamentets och rådets förordning (EU) 2017/625 (2), och det ska utvecklas och underhållas av kommissionen.

(5)	Det bör därför fastställas praktiska och operativa arrangemang för informationssystemets funktion för att underlätta ett ändamålsenligt och harmoniserat genomförande och verkställande av förordning (EU) 2023/1115.

(6)	För att undvika språkförbistring bör informationssystemet finnas tillgängligt på alla unionens officiella språk. Kommissionen bör därför översätta informationssystemets användargränssnitt till alla unionens officiella språk.

(7)

För att kunna fullgöra sina skyldigheter och uppgifter enligt förordning (EU) 2023/1115 kan verksamhetsutövare, handlare, behöriga myndigheter, tullmyndigheter och kommissionen behöva utbyta information som kan inbegripa personuppgifter. Allt sådant informationsutbyte bör vara förenligt med de regler om skydd av personuppgifter som fastställs i Europaparlamentets och rådets förordningar (EU) 2016/679 (3) och (EU) 2018/1725 (4). Följaktligen omfattas utbyte av personuppgifter som är nödvändigt för att fullgöra de skyldigheter och uppgifter som fastställs i förordning (EU) 2023/1115 av laglig behandling av uppgifter i enlighet med artikel 5.1 a i förordning (EU) 2018/1725 och artikel 6.1 e i förordning (EU) 2016/679.

(8)

Informationssystemet bör användas för att hjälpa verksamhetsutövare, handlare och behöriga myndigheter att tillhandahålla och få tillgång till nödvändig information om relevanta produkter som släpps ut eller tillhandahålls på marknaden eller exporteras. Personuppgifter som kan utbytas via informationssystemet bör endast behandlas i syfte att fullgöra skyldigheter och uppgifter enligt förordning (EU) 2023/1115. Om personuppgifter behandlas vid driften av informationssystemet i syfte att fullgöra skyldigheter och uppgifter enligt förordning (EU) 2023/1115 bör verksamhetsutövare och handlare, och i tillämpliga fall deras ombud, behöriga myndigheter och tullmyndigheter, vara personuppgiftsansvariga i den mening som avses i förordning (EU) 2016/679 och kommissionen bör vara personuppgiftsansvarig i den mening som avses i förordning (EU) 2018/1725 för den behandling de utför. De behöriga myndigheterna och tullmyndigheterna bör vara gemensamt personuppgiftsansvariga i den mening som avses i förordning (EU) 2016/679 för behandlingen när de utför uppgifter i samarbete i enlighet med artikel 21 i förordning (EU) 2023/1115.

(9)	Behandling, överföring, lagring och annan behandling av fysiska personers personuppgifter bör ske i informationssystemet i syfte att fullgöra skyldigheter och uppgifter enligt förordning (EU) 2023/1115.

(10)	Informationssystemet bör behandla personuppgifter i den mån det är absolut nödvändigt för att fullgöra skyldigheterna enligt förordning (EU) 2023/1115. Informationssystemet bör endast behandla de kategorier av personuppgifter som anges i artikel 12.2 i denna genomförandeförordning.

(11)

Informationssystemet bör inte lagra de personuppgifter som lämnats av informationssystemets användare, i en form som gör det möjligt att identifiera de registrerade längre än vad som är absolut nödvändigt för de ändamål för vilka personuppgifterna behandlas. Denna period bör vara tio år från den dag då förklaringen om tillbörlig aktsamhet lämnas in via informationssystemet, med beaktande av tillverkningsprocesser under en lång tidsperiod för att göra det möjligt för verksamhetsutövare och handlare, och i tillämpliga fall deras ombud, att hänvisa till befintliga förklaringar om tillbörlig aktsamhet i enlighet med artikel 33.2 c i förordning (EU) 2023/1115 och fullgöra sina skyldigheter att säkerställa att tillbörlig aktsamhet avseende de relevanta produkter som ingår i eller har framställts av de relevanta produkterna har utövats i enlighet med artikel 4.9 i förordning (EU) 2023/1115. En längre lagring och behandling av personuppgifter bör vara möjlig om det är nödvändigt för att fullgöra det individuella ansvar och de skyldigheter för informationssystemets aktörer som anges i förordning (EU) 2023/1115.

(12)

I linje med unionens öppna datapolitik bör kommissionen ge allmänheten tillgång till informationssystemets dataset i ett fullständigt anonymiserat och maskinläsbart öppet format, som ska fastställas i form av korrekt aggregerade och anonymiserade dataset som bör vara tillgängliga på kommissionens webbplats.

(13)

I enlighet med principerna om inbyggt dataskydd och dataskydd som standard bör informationssystemet utvecklas och utformas med vederbörlig hänsyn till kraven i dataskyddslagstiftningen, särskilt på grund av begränsningar av tillgången till personuppgifter som utbyts i informationssystemet. Informationssystemet bör därför erbjuda ett betydligt starkare skydd och en betydligt högre säkerhet än andra metoder av informationsutbyte såsom telefon, vanlig post eller e-post.

(14)

Kommissionen bör tillhandahålla och förvalta informationssystemets programvara och it-infrastruktur, säkerställa dess tillförlitlighet, säkerhet, tillgänglighet, underhåll och drift samt delta i utbildning av och tekniskt stöd till informationssystemets aktörer och användare. Informationssystemet bör möjliggöra ett effektivt datautbyte med relevanta system och datakällor inom kommissionens avdelningar.

(15)

Medlemsstaterna bör kunna anpassa sina funktioner och ansvarsområden i samband med informationssystemet så att de återspeglar deras interna administrativa strukturer och i informationssystemet införa en viss typ av arbete eller ordningsföljd i en viss arbetsprocess, i överensstämmelse med sina skyldigheter enligt kapitel 3 i förordning (EU) 2023/1115.

(16)

För att underlätta ett ändamålsenligt genomförande av förordning (EU) 2023/1115 bör de behöriga myndigheterna kunna vidta åtgärder i informationssystemet för att säkerställa efterlevnad av den förordningen, inbegripet riskprofilering för den kontrollplan som avses i artikel 16.5 i förordning (EU) 2023/1115, resultat av kontroller av verksamhetsutövare och handlare, tillfälligt upphävande av utfärdandet av referensnummer som tilldelats förklaringarna om tillbörlig aktsamhet och, vid icke åtgärdbar och allvarlig bristande efterlevnad, avvisande av de berörda förklaringarna om tillbörlig aktsamhet. I enlighet med artikel 16.1 i förordning (EU) 2023/1115, där det föreskrivs att behöriga myndigheter ska utföra kontroller inom sitt territorium, bör de behöriga myndigheterna kunna agera på grundval av de förklaringar om tillbörlig aktsamhet för vilka information tillhandahålls i informationssystemet av informationssystemets användare om den medlemsstat där en produkt förs in i eller ut ur eller tillhandahålls på unionsmarknaden. I avsaknad av sådan information bör de behöriga myndigheterna kunna agera på grundval av förklaringar om tillbörlig aktsamhet från de användare av informationssystemet som är etablerade i eller associerade med deras medlemsstat.

(17)

Information som mottagits av en behörig myndighet, tullmyndighet, kommissionen eller någon annan myndighet som har beviljats tillgång till informationen via informationssystemet från en annan behörig myndighet, tullmyndighet, kommissionen eller någon annan sådan myndighet bör inte förlora sitt värde som bevis i straffrättsliga, civilrättsliga eller administrativa förfaranden i enlighet med relevant unionsrätt och nationell rätt enbart på grund av att den har sitt ursprung i en annan medlemsstat eller har mottagits på elektronisk väg. Sådan information bör behandlas av relevanta användare av informationssystemet på samma sätt som liknande handlingar som härrör från samma medlemsstat.

(18)

Det bör vara möjligt att behandla namn- och kontaktuppgifter för informationssystemets användare när så krävs för att uppnå målen och fullgöra skyldigheterna i förordning (EU) 2023/1115 och i den här förordningen, inbegripet övervakning av hur informationssystemets administratörer och användare använder informationssystemet, kommunikation, utbildning och medvetandehöjande initiativ samt insamling av information i samband med tillämpningsområdet för förordning (EU) 2023/1115 eller ömsesidigt bistånd enligt den förordningen.

(19)

För att säkerställa en ändamålsenlig övervakning av och rapportering om informationssystemets funktion bör de behöriga myndigheterna, tullmyndigheterna och andra myndigheter som har beviljats tillgång till informationssystemet göra relevant information tillgänglig för kommissionen, om sådan information är nödvändig för att kommissionen ska kunna fullgöra sina skyldigheter enligt förordning (EU) 2023/1115 och enligt den här förordningen.

(20)

De registrerade bör informeras om behandlingen av deras personuppgifter i informationssystemet och de rättigheter som de åtnjuter i enlighet med förordningarna (EU) 2016/679 och (EU) 2018/1725, särskilt rätten till tillgång till uppgifter som rör dem och rätten att få felaktiga uppgifter korrigerade och olagligt behandlade uppgifter raderade.

(21)

Varje användare av informationssystemet bör, i egenskap av personuppgiftsansvarig för den uppgiftsbehandling som denne utför i samband med tillämpningsområdet för förordning (EU) 2023/1115, säkerställa att de registrerade kan utöva sina rättigheter i enlighet med förordningarna (EU) 2016/679 och (EU) 2018/1725. Detta bör inbegripa inrättandet av en process för att regelbundet testa, bedöma och utvärdera de tekniska och organisatoriska åtgärdernas ändamålsenlighet för att trygga en säker behandling.

(22)

Genomförandet av denna förordning och informationssystemets prestanda bör övervakas i den rapport om informationssystemets funktion som grundar sig på statistiska uppgifter från informationssystemet och andra relevanta uppgifter. Kommissionen bör överlämna rapporten till Europaparlamentet, rådet och Europeiska datatillsynsmannen. I rapporten bör man också ta upp aspekter som rör skyddet av personuppgifter i informationssystemet, inbegripet datasäkerhet.

(23)	Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i förordning (EU) 2018/1725 och avgav ett yttrande den 5 november 2024.

(24)	De åtgärder som föreskrivs i denna förordning är förenliga med yttrandet från Europeiska unionens kommitté för förordningen om avskogningsfria produkter.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

ALLMÄNNA BESTÄMMELSER

Artikel 1

Innehåll

I denna förordning fastställs reglerna för informationssystemets funktion, inbegripet regler för skydd av personuppgifter och utbyte av uppgifter med andra it-system.

Artikel 2

Införande och användning av informationssystemet

1. Kommissionen ska

a)	utveckla informationssystemet som en oberoende modul i Traces-plattformen,

b)	säkerställa informationssystemets funktion, underhåll och stöd samt all uppdatering och utveckling som behövs för systemet.

2. Informationssystemet ska användas av verksamhetsutövare och handlare, och i tillämpliga fall deras ombud, för att lämna in och hantera förklaringar om tillbörlig aktsamhet och kontrollera referensnumrens giltighet, och av behöriga myndigheter, tullmyndigheter och kommissionen för att få tillgång till och agera på förklaringar om tillbörlig aktsamhet, inbegripet utbyte av information som innehåller personuppgifter mellan behöriga myndigheter, tullmyndigheter och kommissionen i samband med genomförandet och verkställandet av förordning (EU) 2023/1115. Allt sådant informationsutbyte ska vara förenligt med de regler om skydd av personuppgifter som fastställs i förordningarna (EU) 2016/679 och (EU) 2018/1725.

3. Förklaringarna om tillbörlig aktsamhet ska i informationssystemet tillskrivas de behöriga myndigheterna i följande ordning:

Om informationssystemets användare tillhandahåller information som anger den medlemsstat där den relevanta produkten förs in i eller ut ur unionsmarknaden, eller om så inte är fallet, där den relevanta produkten släpps ut eller tillhandahålls på marknaden, ska förklaringarna om tillbörlig aktsamhet tillskrivas de behöriga myndigheterna i den medlemsstaten.

I avsaknad av den information som krävs enligt led a ska förklaringarna om tillbörlig aktsamhet tillskrivas de behöriga myndigheterna i den medlemsstat där informationssystemets användare är etablerad. Om informationssystemets användare är etablerad utanför unionen ska förklaringarna om tillbörlig aktsamhet tillskrivas de behöriga myndigheterna i den medlemsstat som informationssystemets användare är associerad med enligt deras identifieringskod som tillhandahålls vid registreringen i informationssystemet.

Artikel 3

Definitioner

I denna förordning gäller följande definitioner, utöver de definitioner som anges i artikel 2 i förordning (EU) 2023/1115, artikel 4 i förordning (EU) 2016/679 och artikel 3 i förordning (EU) 2018/1725:

a)	informationssystem: det informationssystem som upprättas och underhålls av kommissionen i enlighet med artikel 33 i förordning (EU) 2023/1115.

b)	informationssystemets aktör: de behöriga myndigheter och tullmyndigheter som avses i förordning (EU) 2023/1115, och kommissionen, för att utföra de uppgifter som tilldelats dem i enlighet med förordning (EU) 2023/1115.

c)	informationssystemets användare: verksamhetsutövare och handlare och, i tillämpliga fall, deras ombud enligt förordning (EU) 2023/1115, som identifieras genom individuell registrering i EU Login, Europeiska kommissionens tjänst för användarautentisering.

d)	förklaring om tillbörlig aktsamhet: förklaring om tillbörlig aktsamhet som informationssystemets användare har lämnat in i enlighet med förordning (EU) 2023/1115.

e)	referensnummer: det referensnummer som informationssystemet tilldelar varje förklaring om tillbörlig aktsamhet som informationssystemets användare har lämnat in i enlighet med förordning (EU) 2023/1115.

f)	kontrollnummer: ett säkerhetsnummer som informationssystemet tilldelar den förklaring om tillbörlig aktsamhet som lämnas av informationssystemets användare för att säkerställa ytterligare säkerhet för de uppgifter som ingår i förklaringen om tillbörlig aktsamhet.

riskprofilering: identifiering av riskerna för bristande efterlevnad för en relevant produkt inom tillämpningsområdet för förordning (EU) 2023/1115 i informationssystemet, gjord på grundval av riskkriterier och i syfte att tilldela varje förklaring om tillbörlig aktsamhet som lämnas in i informationssystemet, även efter eventuella ändringar, en riskstatus som återspeglar dessa risker.

KAPITEL II

INFORMATIONSSYSTEMETS FUNKTION

Artikel 4

Inlämnande av förklaringar om tillbörlig aktsamhet

1. Informationssystemets användare ska lämna in och hantera förklaringarna om tillbörlig aktsamhet för relevanta produkter i informationssystemet, utom i de fall då förklaringen om tillbörlig aktsamhet görs tillgänglig via det elektroniska gränssnitt som avses i artikel 28.2 i förordning (EU) 2023/1115.

2. Om en relevant produkt innehåller eller har tillverkats av trä ska informationssystemets användare i förklaringen om tillbörlig aktsamhet ange de vedertagna namnen och de fullständiga vetenskapliga namnen på de träslag som de relevanta produkterna innehåller eller har tillverkats av.

Artikel 5

Ändring och återkallande av förklaringar om tillbörlig aktsamhet

1. Informationssystemet ska göra det möjligt för informationssystemets användare att ändra eller återkalla förklaringar om tillbörlig aktsamhet inom 72 timmar efter det att referensnumret för förklaringen om tillbörlig aktsamhet har gjorts tillgängligt i informationssystemet.

2. Förklaringar om tillbörlig aktsamhet får inte ändras eller återkallas inom den tidsperiod som anges i punkt 1 efter det att förklaringen om tillbörlig aktsamhet har använts som referens i en förklaring om tillbörlig aktsamhet som lämnats in av samma eller en annan användare av informationssystemet.

3. En förklaring om tillbörlig aktsamhet får inte ändras eller återkallas av en användare av informationssystemet efter det att

a)	informationssystemets användare har underrättats om avsikten att genomföra en kontroll av förklaringen om tillbörlig aktsamhet eller av den relevanta produkt som är förknippad med förklaringen om tillbörlig aktsamhet, under den period som kontrollen pågår,

b)	den relevanta produkten har släppts ut på eller tillhandahållits på unionsmarknaden i enlighet med förordning (EU) 2023/1115,

referensnumret för förklaringen om tillbörlig aktsamhet har tillhandahållits eller gjorts tillgängligt för tullmyndigheterna innan en relevant produkt som förs in på eller ut ur marknaden övergår till fri omsättning eller exporteras, som en del av de förfaranden som fastställs i kapitel 4 i förordning (EU) 2023/1115.

4. Utan att det påverkar tillämpningen av punkterna 2 och 3 får de behöriga myndigheterna efter en individuell och motiverad begäran från en användare av informationssystemet förlänga den period som avses i punkt 1 endast när den period som avses i punkt 1 har löpt ut. En sådan förlängning får inte vara längre än åtta kalenderdagar. Begäran ska grunda sig på skäl som ligger utanför kontrollen av informationssystemets användare, som i sin motiverade begäran ska ange att punkt 3 i denna artikel inte är tillämplig. En sådan förlängning ska också vara möjlig retroaktivt efter det att den period som avses i punkt 1 har löpt ut.

5. Ändrade förklaringar om tillbörlig aktsamhet ska omfattas av den riskprofilering som anges i artikel 6. Riskprofileringen ska tillämpas på hela den ändrade förklaringen om tillbörlig aktsamhet.

Artikel 6

Riskprofilering

1. Informationssystemet ska göra det möjligt för de behöriga myndigheterna att identifiera situationer i informationssystemet där relevanta produkter utgör en så hög risk för bristande efterlevnad att de kräver omedelbara åtgärder innan de relevanta produkterna släpps ut eller tillhandahålls på marknaden eller exporteras, i enlighet med artikel 17 i förordning (EU) 2023/1115, och att informera de behöriga myndigheterna om vilka kontroller som ska utföras och fullgöra de uppgifter som ålagts dem i enlighet med kapitel 3 i förordning (EU) 2023/1115.

2. Vid tillämpning av punkt 1 ska informationssystemet göra det möjligt för de behöriga myndigheterna att upprätta riskprofiler i informationssystemet för att stödja välgrundade beslut om urval av verksamhetsutövare eller handlare eller relevanta produkter som är förknippade med förklaringarna om tillbörlig aktsamhet och som ska kontrolleras. Dessa riskprofiler ska bland annat baseras på de riskkriterier som anges i deras årliga kontrollplan enligt artikel 16.5 i förordning (EU) 2023/1115, som upprättas i enlighet med deras riskbaserade metod enligt artikel 16.3 i förordning (EU) 2023/1115.

3. Varje förklaring om tillbörlig aktsamhet ska genomgå en automatiserad elektronisk riskprofilering när den lämnas in i informationssystemet, och informationssystemet ska tilldela varje förklaring om tillbörlig aktsamhet en riskstatus.

4. De behöriga myndigheterna får när som helst efter inlämnandet av en förklaring om tillbörlig aktsamhet granska en förklaring om tillbörlig aktsamhet för att avgöra om en relevant produkt uppfyller kraven i artikel 3 i förordning (EU) 2023/1115. I sådana fall får de tilldela förklaringen om tillbörlig aktsamhet en ny riskstatus som ett resultat av granskningen. Om den behöriga myndigheten tilldelar en ny riskstatus till en förklaring om tillbörlig aktsamhet, ska denna nya riskstatus ha företräde framför en riskstatus som tilldelats i enlighet med punkt 3 i denna artikel.

Artikel 7

Tilldelning och tillgängliggörande av referensnummer

1. Informationssystemet ska utan onödigt dröjsmål tilldela ett referensnummer och ett kontrollnummer till varje förklaring om tillbörlig aktsamhet som informationssystemets användare har lämnat in efter att ha slutfört den riskprofilering som avses i artikel 6.

2. Referensnumret och kontrollnumret ska göras tillgängliga för informationssystemets användare när den riskprofilering som avses i artikel 6 har slutförts.

3. Informationssystemet ska göra det möjligt för de behöriga myndigheterna att fördröja tillgängliggörandet av referensnumret för att fastställa huruvida de relevanta produkterna uppfyller kraven i artikel 3 i förordning (EU) 2023/1115 och särskilt för att kontrollera att den identifierade situation som avses i artikel 6.1 i den här förordningen inte är tillämplig på den relevanta produkten. En sådan fördröjning ska vara så kort som möjligt och får inte överskrida den period som anges i artikel 17.3 i förordning (EU) 2023/1115. Fördröjningen får förlängas ytterligare efter den behöriga myndighetens eget gottfinnande.

Artikel 8

Avvisande av förklaringar om tillbörlig aktsamhet

1. För att förhindra att en relevant produkt som inte uppfyller kraven i förordning (EU) 2023/1115 släpps ut eller tillhandahålls på marknaden eller exporteras i enlighet med artikel 17 i förordning (EU) 2023/1115, får de behöriga myndigheterna avvisa en förklaring om tillbörlig aktsamhet, såvida inte referensnumret för en förklaring om tillbörlig aktsamhet redan har blivit tillgängligt för informationssystemets användare.

2. Den relevanta produkt som anges i en avvisad förklaring om tillbörlig aktsamhet ska anses inte omfattas av en förklaring om tillbörlig aktsamhet enligt artikel 3 c i förordning (EU) 2023/1115.

3. Avvisandet ska återspeglas i informationssystemet genom att den berörda förklaringen om tillbörlig aktsamhet tilldelas en särskild status.

KAPITEL III

UPPGIFTER OCH ANSVARSOMRÅDEN I SAMBAND MED INFORMATIONSSYSTEMET

Artikel 9

Kommissionens uppgifter och ansvarsområden

Utöver de uppgifter som anges i artikel 2.1 ska kommissionen ansvara för att utföra följande uppgifter i samband med informationssystemet:

a)	Tillhandahålla kunskap, utbildning och stöd, inklusive tekniskt stöd, till informationssystemets användare och informationssystemets aktörer i samband med användningen av informationssystemet.

b)	Bevilja tillgång till informationssystemets aktörer, som utsetts av varje medlemsstat.

c)	Bevilja tillgång till informationssystemets användare, som står under de behöriga myndigheternas tillsyn.

d)	Behandla personuppgifter i informationssystemet, om så krävs enligt denna förordning eller för genomförande och verkställande enligt förordning (EU) 2023/1115.

e)	Tillhandahålla webbtjänster för informationssystemets användare så att de kan lämna in och hantera förklaringar om tillbörlig aktsamhet i informationssystemet på ett automatiserat sätt.

f)	Tillhandahålla webbtjänster för medlemsstaternas behöriga myndigheter så att de kan utföra uppgifter om inlämnade förklaringar om tillbörlig aktsamhet i informationssystemet på ett automatiserat sätt.

g)	Tillhandahålla det elektroniska gränssnitt som avses i artikel 28 i förordning (EU) 2023/1115.

Tillfälligt upphäva och återkalla tillgången för informationssystemets användare på begäran av de behöriga myndigheterna i den medlemsstat där informationssystemets användare är etablerad eller, om användaren är etablerad utanför unionen, de behöriga myndigheterna i den medlemsstat som informationssystemets användare är associerad med enligt den identifieringskod som tillhandahålls vid registreringen i informationssystemet.

Artikel 10

Åtkomsträttigheter för informationssystemets användare

1. Endast registrerade användare av informationssystemet ska ha tillgång till informationssystemet.

2. Autentisering till informationssystemet ska ske via EU Login, Europeiska kommissionens autentiseringstjänst.

3. Informationssystemets användare ska ha tillgång till den information i informationssystemet som de har lämnat in eller som de har fått tillgång till av en annan användare av informationssystemet genom referensnummer och kontrollnummer i tillhörande förklaringar om tillbörlig aktsamhet.

Artikel 11

Åtkomsträttigheter för informationssystemets aktörer

1. Kommissionen ska ha tillgång till alla uppgifter, all information och alla handlingar i informationssystemet för att kunna utarbeta rapporter och för att utveckla, driva och underhålla systemet.

2. Kommissionen ska bevilja och får återkalla åtkomsträttigheter till informationssystemets aktörer vid förändrade behörigheter i enlighet med artikel 14.2 i förordning (EU) 2023/1115.

3. Autentisering till informationssystemet ska ske via EU Login, Europeiska kommissionens autentiseringstjänst.

4. Informationssystemets aktörer ska införa lämpliga medel för att säkerställa att enskilda användare som företräder informationssystemets aktörer i informationssystemet endast får tillgång till personuppgifter som behandlas i informationssystemet när det är absolut nödvändigt för genomförande och verkställande enligt förordning (EU) 2023/1115.

5. Informationssystemets aktörer ska ha tillgång till all relevant information i informationssystemet som är nödvändig för att de ska kunna fullgöra sina skyldigheter och uppgifter enligt förordning (EU) 2023/1115.

KAPITEL IV

BEHANDLING AV PERSONUPPGIFTER OCH SÄKERHET

Artikel 12

Behandling av personuppgifter i informationssystemet

1. Överföring, lagring och annan behandling av personuppgifter i informationssystemet får endast ske i den mån det är nödvändigt och proportionerligt och endast för följande ändamål:

a)	Stödja kommunikation mellan informationssystemets aktörer i samband med genomförande och verkställande enligt förordning (EU) 2023/1115.

b)	Hantera ärenden, då detta görs av informationssystemets aktörer när de utför sin egen verksamhet i samband med genomförande och verkställande enligt förordning (EU) 2023/1115.

c)	Utföra de verksamhetsrelaterade och tekniska omvandlingar av de uppgifter som förtecknas i denna förordning, om detta är nödvändigt för att möjliggöra utbyte och användning av den information som avses i leden a och b.

2. Behandling av personuppgifter får ske i informationssystemet endast avseende följande kategorier av personuppgifter:

a)	Identifieringsuppgifter: förnamn och efternamn, unik identifieringskod inklusive registrerings- och identitetsnummer för ekonomiska aktörer (Eori-nummer), i enlighet med artikel 9 i Europaparlamentets och rådets förordning (EU) nr 952/2013 (5), i tillämpliga fall.

b)	Yrkesmässiga kontaktuppgifter: e-postadress och postadress, hemvistland eller land där det registrerade sätet finns, telefonnummer och i tillämpliga fall faxnummer.

c)	Roll som informationssystemets användare har.

d)	Uppgifter om geolokalisering enligt artikel 2.28 i förordning (EU) 2023/1115, om fysiska personer kan identifieras.

e)	Användarautentisering och åtkomstuppgifter vid tillgång till informationssystemet: IP-adress och användarnamn.

3. Informationssystemet ska lagra de kategorier av personuppgifter som förtecknas i punkt 2 och som behandlats för genomförande och verkställande enligt förordning (EU) 2023/1115.

4. Lagring av uppgifter enligt punkt 2 ska utföras med hjälp av it-infrastruktur som finns i Europeiska ekonomiska samarbetsområdet.

5. Informationssystemet ska lagra de personuppgifter som ingår i förklaringarna om tillbörlig aktsamhet i högst tio år från det datum då de lämnats in i informationssystemet. Lagringsperioden får förlängas ytterligare av kommissionen efter individuell begäran från informationssystemets användare eller informationssystemets aktörer, om det är nödvändigt för att uppfylla deras ansvar och skyldigheter enligt förordning (EU) 2023/1115.

6. Utan att det påverkar den uppgiftsbehandling som anges i artikel 14 ska varje aktör i informationssystemet vara separat personuppgiftsansvarig i den mening som avses i förordningarna (EU) 2016/679 och (EU) 2018/1725 med avseende på den uppgiftsbehandling som aktören i informationssystemet utför.

7. De nationella tillsynsmyndigheterna och Europeiska datatillsynsmannen ska, inom ramen för sina respektive befogenheter, säkerställa en samordnad tillsyn av informationssystemet och informationssystemets aktörers och användares användning av systemet i enlighet med artikel 62 i förordning (EU) 2018/1725.

Artikel 13

Kommissionens behandling av personuppgifter

1. Kommissionen ska vara personuppgiftsansvarig i den mening som avses i artikel 3.8 i förordning (EU) 2018/1725 när det gäller behandling av personuppgifter för informationssystemets användare, inbegripet behandling av personuppgifter vid registrering av informationssystemets användare i informationssystemet.

2. Om kommissionen behandlar personuppgifter vid driften av informationssystemet på uppdrag av andra aktörer i informationssystemet i syfte att utbyta information enligt artikel 27 i förordning (EU) 2023/1115, ska kommissionen anses vara personuppgiftsbiträde i den mening som avses i artikel 3.12 i förordning (EU) 2018/1725.

3. Kommissionen ska vara personuppgiftsbiträde i den mening som avses i artikel 3.12 i förordning (EU) 2018/1725 för den behandling av personuppgifter som utförs för gemensamma undersökningar enligt artikel 21 i förordning (EU) 2023/1115 som utförs i samband med genomförande och verkställande enligt förordning (EU) 2023/1115.

Artikel 14

Gemensamt personuppgiftsansvar i informationssystemet

När behöriga myndigheter och tullmyndigheter enligt förordning (EU) 2023/1115 samarbetar om genomförande och verkställande enligt artikel 21 i förordning (EU) 2023/1115, ska de berörda behöriga myndigheterna och tullmyndigheterna vara gemensamt personuppgiftsansvariga, i den mening som avses i artikel 26.1 i förordning (EU) 2016/679, avseende överföring, lagring och annan behandling av personuppgifter i informationssystemet inom ramen för det särskilda samarbetet. Om så krävs enligt artikel 26.1 i förordning (EU) 2016/679 ska de personuppgiftsansvariga fastställa sitt respektive ansvar för att fullgöra skyldigheterna enligt förordning (EU) 2016/679 genom ett inbördes arrangemang.

Artikel 15

Säkerhet

1. Kommissionen ska vidta nödvändiga åtgärder enligt den senaste tekniken för att trygga säkerheten för personuppgifter som behandlas i informationssystemet, inbegripet lämplig kontroll av tillgång till uppgifter och en säkerhetsplan som ska hållas uppdaterad.

2. Kommissionen ska vidta nödvändiga åtgärder enligt den senaste tekniken i händelse av säkerhetsincidenter, vidta korrigerande åtgärder och se till att det är möjligt att kontrollera vilka personuppgifter som har behandlats i informationssystemet, när det har skett, vem som har behandlat dem och för vilket ändamål.

3. Kommissionen ska informera de behöriga myndigheterna om de åtgärder som vidtas med avseende på punkterna 1 och 2 i denna artikel.

Artikel 16

Konfidentialitet

1. Varje medlemsstat och kommissionen ska tillämpa sina egna regler om tystnadsplikt eller andra motsvarande konfidentialitetskrav med avseende på informationssystemet i enlighet med nationell rätt eller unionsrätten.

2. Alla informationssystemets aktörer ska se till att andra informationssystemets aktörers krav på konfidentiell behandling av information som utbyts i informationssystemet uppfylls av personer som arbetar under deras ledning.

KAPITEL V

SLUTBESTÄMMELSER

Artikel 17

Översättning

1. Kommissionen ska göra informationssystemet tillgängligt på alla unionens officiella språk.

2. Informationssystemets aktörer får, i samband med utförandet av någon av de uppgifter som de tilldelats i enlighet med förordning (EU) 2023/1115, ta fram och använda information, handlingar, resultat, utlåtanden och bestyrkta kopior som de har mottagit i informationssystemet, på samma grundval som liknande information som erhållits i det egna landet, för ändamål som är förenliga med de ändamål för vilka uppgifterna ursprungligen samlades in och i enlighet med relevant unionsrätt och nationell rätt.

Artikel 18

Kostnader

1. Kommissionen ska stå för de kostnader som uppstår i samband med inrättande, underhåll och drift av informationssystemet.

2. Kostnaderna för informationssystemet på medlemsstatsnivå, inbegripet de mänskliga resurser som behövs för utbildning, marknadsföring och tekniskt stöd, samt för användningen av informationssystemet på nationell nivå och eventuella anpassningar som krävs av nationella nätverk och informationssystem, ska bäras av den medlemsstat som ådrar sig dem.

Artikel 19

Ikraftträdande

Denna förordning träder i kraft den tredje dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.

Utfärdad i Bryssel den 4 december 2024.

På kommissionens vägnar

Ursula VON DER LEYEN

Ordförande

(1) EUT L 150, 9.6.2023, s. 206, ELI: http://data.europa.eu/eli/reg/2023/1115/oj.

(2) Europaparlamentets och rådets förordning (EU) 2017/625 av den 15 mars 2017 om offentlig kontroll och annan offentlig verksamhet för att säkerställa tillämpningen av livsmedels- och foderlagstiftningen och av bestämmelser om djurs hälsa och djurskydd, växtskydd och växtskyddsmedel samt om ändring av Europaparlamentets och rådets förordningar (EG) nr 999/2001, (EG) nr 396/2005, (EG) nr 1069/2009, (EG) nr 1107/2009, (EU) nr 1151/2012, (EU) nr 652/2014, (EU) 2016/429 och (EU) 2016/2031, rådets förordningar (EG) nr 1/2005 och (EG) nr 1099/2009 och rådets direktiv 98/58/EG, 1999/74/EG, 2007/43/EG, 2008/119/EG och 2008/120/EG och om upphävande av Europaparlamentets och rådets förordningar (EG) nr 854/2004 och (EG) nr 882/2004, rådets direktiv 89/608/EEG, 89/662/EEG, 90/425/EEG, 91/496/EEG, 96/23/EG, 96/93/EG och 97/78/EG samt rådets beslut 92/438/EEG (förordningen om offentlig kontroll) (EUT L 95, 7.4.2017, s. 1, ELI: http://data.europa.eu/eli/reg/2017/625/oj).

(3) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (EUT L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(5) Europaparlamentets och rådets förordning (EU) nr 952/2013 av den 9 oktober 2013 om fastställande av en tullkodex för unionen (EUT L 269, 10.10.2013, s. 1, ELI: http://data.europa.eu/eli/reg/2013/952/oj).

ELI: http://data.europa.eu/eli/reg_impl/2024/3084/oj

ISSN 1977-0820 (electronic edition)