Prováděcí nařízení Komise (EU) 2022/1504 ze dne 6. dubna 2022 , kterým se stanoví prováděcí pravidla k nařízení Rady (EU) č. 904/2010, pokud jde o vytvoření centrálního elektronického systému platebních informací pro boj proti podvodům v oblasti DPH
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Rady (EU) č. 904/2010 ze dne 7. října 2010 o správní spolupráci a boji proti podvodům v oblasti daně z přidané hodnoty [Pozn: Úř. věst. L 268, 12.10.2010, s. 1 .] , a zejména na čl. 24e uvedeného nařízení,
vzhledem k těmto důvodům:
(1) Směrnice Rady 2006/112/ES [Pozn: Směrnice Rady 2006/112/ES ze dne 28. listopadu 2006 o společném systému daně z přidané hodnoty ( Úř. věst. L 347, 11.12.2006, s. 1 ).] ve znění směrnice (EU) 2020/284 [Pozn: Směrnice Rady (EU) 2020/284 ze dne 18. února 2020 , kterou se mění směrnice 2006/112/ES, pokud jde o zavedení určitých požadavků na poskytovatele platebních služeb ( Úř. věst. L 62, 2.3.2020, s. 7 ).] zavádí od 1. ledna 2024 pro poskytovatele platebních služeb povinnost vést záznamy. Od této doby mají poskytovatelé platebních služeb, kteří jsou usazeni v Evropské unii, nebo v ní poskytují platební služby, vést určité záznamy o přeshraničních platbách pocházejících od plátců v členských státech a určité informace o příjemcích a předávat tyto záznamy členským státům za účelem boje proti podvodům v oblasti daně z přidané hodnoty (DPH).
(2) Podle nařízení (EU) č. 904/2010 ve znění nařízení (EU) 2020/283 [Pozn: Nařízení Rady (EU) 2020/283 ze dne 18. února 2020 , kterým se mění nařízení (EU) č. 904/2010, pokud jde o opatření k posílení správní spolupráce za účelem boje proti podvodům v oblasti DPH ( Úř. věst. L 62, 2.3.2020, s. 1 ).] mají členské státy předávat tyto záznamy do centrálního elektronického systému platebních informací (dále jen " CESOP " ), který má být vyvinut, udržován, hostován a technicky spravován Komisí.
(3) K zajištění řádného fungování CESOP a podle čl. 24e písm. a) nařízení (EU) č. 904/2010 je nezbytné přijmout technická opatření pro zřízení CESOP. Tato opatření by měla zajistit nezbytné funkce CESOP pro rozvoj schopností CESOP plnit úkoly, jak je popsáno v článku 24c nařízení (EU) č. 904/2010. Opatření by měla rovněž zajistit vysokou uživatelskou vstřícnost poskytnutím vyhledávacích a vizualizačních nástrojů v CESOP. Kromě toho by měl CESOP usnadňovat výměnu informací mezi kontaktními úředníky Eurofiscu tím, že jim umožní rychlou a bezpečnou výměnu informací o podvodech v oblasti DPH přímo v CESOP. Opatření, která by Komise měla přijmout za účelem údržby CESOP poté, co bude uveden do provozu, by rovněž měla být stanovena, aby byly zajištěny normy provozní kvality infrastruktury IT CESOP a jejích funkcí a aby byly v případě potřeby prováděny potřebné aktualizace pro řešení incidentů systému mezi Komisí a členskými státy.
(4) Zatímco členské státy jakožto správci CESOP jsou odpovědné za jeho řízení, Komise má z titulu hostujícího subjektu a zpracovatele řadu povinností, které jsou omezeny na technickou správu CESOP podle čl. 24e písm. b) nařízení (EU) č. 904/2010. Tyto povinnosti by měly zahrnovat technické úkoly nezbytné pro každodenní správu CESOP, jako je vedení záznamů o kontaktním úředníkovi Eurofiscu, který má přístup k systému CESOP, vedení záznamů o poskytovatelích platebních služeb, kteří předali údaje členským státům, zavedení vhodných organizačních bezpečnostních opatření pro CESOP, jakož i poskytování nezbytné odborné přípravy a podpory kontaktním úředníkům Eurofiscu, aby mohli CESOP účinně využívat.
(5) Podle čl. 24b odst. 1 písm. b) nařízení (EU) č. 904/2010 mají členské státy zasílat údaje do CESOP v jednotném formátu. Měly by být stanoveny datové prvky, které mají poskytovatelé platebních služeb vykazovat ve formátu dokumentu XML. Aby byla zajištěna celková interoperabilita mezi vnitrostátními elektronickými systémy a CESOP podle čl. 24b odst. 3 nařízení (EU) č. 904/2010, měly by členské státy zkontrolovat, zda údaje předávané poskytovateli platebních služeb obsahují povinné a syntakticky správné datové prvky podle článku 243d směrnice 2006/112/ES, neboť CESOP může fungovat pouze tehdy, jsou-li povinné údaje do CESOP správně zaznamenány.
(6) Členské státy by měly určit kontaktní úředníky Eurofiscu, kteří budou mít přístup k CESOP, a informovat Komisi o svém rozhodnutí. V tomto ohledu by Komise měla těmto úředníkům poskytnout specifický identifikátor pro přístup do CESOP a vést seznam všech kontaktních úředníků Eurofiscu, kteří mají přístup k CESOP, a to na základě informací obdržených od členských států.
(7) Podle čl. 24e písm. g) nařízení (EU) č. 904/2010 má Komise stanovit postupy, které zajistí zavedení vhodných technických a organizačních bezpečnostních opatření pro rozvoj a provoz CESOP. Několik bezpečnostních aspektů ústředních složek CESOP závisí rovněž na provádění vnitrostátních bezpečnostních opatření, jako jsou opatření ke kontrole bezpečnosti předávaných údajů a opatření k zajištění toho, aby do CESOP měl přístup pouze kontaktní úředník Eurofiscu s platným specifickým identifikátorem. Členské státy by proto měly Komisi poskytovat informace o svých vlastních bezpečnostních opatřeních. Členské státy a Komise by se měly vzájemně informovat o přijatých bezpečnostních opatřeních a o potřebě jejich případné modernizace.
(8) Zpracování osobních údajů podle tohoto nařízení, jakož i povinnosti členských států a Komise se řídí pravidly stanovenými v nařízení Evropského parlamentu a Rady (EU) 2016/679 [Pozn: Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) ( Úř. věst. L 119, 4.5.2016, s. 1 ).] a v nařízení Evropského parlamentu a Rady (EU) 2018/1725 [Pozn: Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES ( Úř. věst. L 295, 21.11.2018, s. 39 ).] . Podle čl. 24e písm. h) nařízení (EU) č. 904/2010 by měly být stanoveny úlohy a povinnosti členských států a Komise, pokud jde o správu CESOP. Členské státy by měly být společně považovány za správce CESOP, neboť rozhodují o způsobech zpracování a používání údajů v CESOP. Komise by měla být považována za zpracovatele, neboť při plnění všech svých úkolů jedná jménem členských států.
(9) Toto nařízení by se mělo použít až ode dne 1. ledna 2024 , aby bylo v souladu s uplatňováním nařízení (EU) 2020/283 a směrnice (EU) 2020/284.
(10) Evropský inspektor ochrany údajů byl konzultován v souladu s čl. 42 odst. 1 nařízení (EU) 2018/1725 a dne 2. února 2022 vydal své stanovisko.
(11) Opatření stanovená tímto nařízením jsou v souladu se stanoviskem Stálého výboru pro správní spolupráci,
PŘIJALA TOTO NAŘÍZENÍ:
Článek 1
1. Komise vypracuje technická opatření pro zřízení CESOP s těmito funkcemi:
a) přijímání údajů o platbách předaných členskými státy;
b) bezpečné uchovávání údajů o platbách po dobu nejvýše pěti let od konce kalendářního roku, v němž do něj členské státy předaly informace;
c) očišťování údajů o platbách od neobvyklých a běžných chyb, včetně duplicit týchž plateb;
d) shromažďování údajů o platbách ve vztahu ke každému příjemci;
e) možnost vyhledávání a vizualizace platebních údajů v CESOP;
f) analýza a provádění křížových kontrol údajů o platbách, přičemž údaje se uchovávají a vyměňují v souladu s čl. 17 odst. 1 písm. a), b), d), e) a f) a čl. 33 odst. 2 písm. b) nařízení č. 904/2010:
g) provádění automatické analýzy a označení podezřelých příjemců;
h) možnost kontaktních úředníků Eurofiscu provádět neautomatické kontroly a analýzy;
i) vypracovávání zpráv o výsledcích analýzy a kontrol, které provádí CESOP a kontaktní úředníci Eurofiscu;
j) poskytování infrastruktury řízení přístupu uživatelů kontaktním úředníkům Eurofiscu;
k) možnost kontaktních úředníků Eurofiscu vyměňovat si informace týkající se přeshraničního vyšetřování a odhalování podvodů v oblasti DPH přímo v CESOP;
l) poskytování technické infrastruktury členským státům za účelem správy přístupových práv jejich kontaktních úředníků Eurofiscu.
2. Za účelem údržby CESOP Komise plní tyto úkoly:
a) zajištění celkové funkčnosti CESOP i jeho jednotlivých funkcí;
b) provádění údržby mimo pracovní dobu;
c) poskytování nezbytných technických aktualizací pro řádné fungování a zlepšování systému CESOP;
d) řešení technických problémů.
Článek 2
Za účelem technické správy CESOP Komise plní tyto úkoly:
- a)vede a aktualizuje seznam kontaktních úředníků Eurofiscu, kteří mají přístup k CESOP a jejich specifický identifikátor uživatele v souladu s článkem 5;
- b)provádí organizační a technická bezpečnostní opatření uvedená v článku 6;
- c)sestavuje, uchovává a vede seznam poskytovatelů platebních služeb, kteří oznamovali údaje podle čl. 24b odst. 1 nařízení (EU) č. 904/2010, v souladu s údaji poskytnutými členskými státy;
- d)poskytuje kontaktním úředníkům Eurofiscu, kteří mají přístup k CESOP, automatizovaný přístup k seznamu vedenému podle písmene c);
- e)poskytuje technickou pomoc kontaktním úředníkům Eurofiscu při používání systému CESOP;
- f)školí kontaktní úředníky Eurofiscu ohledně používání systému CESOP.
Článek 3
1. Členské státy přijmou veškerá nezbytná opatření k zajištění toho, aby vnitrostátní elektronické systémy pro shromažďování informací o platbách zřízené podle čl. 24b odst. 2 nařízení (EU) č. 904/2010 byly funkční a byly schopny shromažďovat informace o platbách podle čl. 24b odst. 1 uvedeného nařízení.
2. Členské státy CESOP předají pouze platební informace, které jsou úplné, včetně všech povinných polí podle článku 243d směrnice 2006/112/ES, a jsou v souladu s požadavky stanovenými v příloze tohoto nařízení.
3. Komise zajistí interoperabilitu mezi CESOP a vnitrostátními elektronickými systémy uvedenými v odstavci 1.
Článek 4
Elektronický standardní formulář uvedený v čl. 24b odst. 1 písm. b) nařízení (EU) č. 904/2010 se předkládá ve standardizovaném formátu XML v souladu s tabulkou údajů v příloze tohoto nařízení.
Článek 5
1. Členské státy určí kontaktní úředníky Eurofiscu, kteří budou mít přístup k systému CESOP, a sdělí jejich jména a e-mailové adresy Komisi.
2. Členské státy informují Komisi o veškerých změnách informací poskytnutých podle odstavce 1, včetně změn týkajících se určených kontaktních úředníků Eurofiscu, a to včas, nejpozději však do 30 kalendářních dnů poté, co ke změně došlo.
3. Komise neprodleně poskytne kontaktním úředníkům Eurofiscu uvedeným v odstavci 1 jedinečnou osobní uživatelskou identifikaci pro přístup do CESOP.
Článek 6
1. Členské státy poskytnou Komisi informace o uplatňování a každé aktualizaci svých vlastních bezpečnostních opatření na vnitrostátní úrovni. Tyto informace zahrnují podrobnosti o opatřeních přijatých k zajištění toho, aby k systému CESOP měli přístup pouze kontaktní úředníci Eurofiscu uvedení v článku 5, a podrobnosti o opatřeních přijatých k zajištění šifrování údajů předávaných členskými státy.
2. Komise do 30. dubna každého roku počínaje rokem následujícím po datu použitelnosti tohoto nařízení informuje členské státy o opatřeních přijatých k zajištění bezpečnosti CESOP. Informace zahrnují alespoň tyto údaje:
a) bezpečnostní incidenty, k nimž došlo v předchozím roce, a způsob, jakým byly vyřešeny;
b) podrobnosti o přijatých bezpečnostních opatřeních nebo změnách stávajících bezpečnostních opatření;
c) posouzení stávajících bezpečnostních opatření a toho, zda Komise zvažuje nějaké změny těchto opatření.
Článek 7
1. Členské státy jsou společně správci CESOP ve smyslu čl. 4 bodu 7 nařízení (EU) 2016/679. Povinnosti správců CESOP se stanoví v dohodě mezi správci, která stanoví pravidla pro výkon práv subjektů údajů a jejich povinností v souvislosti s poskytováním informací uvedených v článcích 13 a 14 nařízení (EU) 2016/679. Členské státy odpovídají za:
a) zřídit a udržovat systém CESOP podle článku 1 tohoto nařízení;
b) technicky spravovat CESOP podle článku 2 tohoto nařízení;
c) zajišťovat interoperabilitu vnitrostátních elektronických systémů uvedených v článku 24b nařízení (EU) č. 904/2010 a CESOP podle čl. 3 odst. 3 tohoto nařízení;
d) přijímat bezpečnostní opatření podle čl. 6 odst. 2 prvního pododstavce tohoto nařízení;
2. Komise je zpracovatelem CESOP ve smyslu čl. 3 bodu 12 nařízení (EU) 2018/1725. Komise:
a) zpracovává osobní údaje jménem členských států podle jejich pokynů a uchovává dokumentaci pro tyto pokyny;
b) zajišťuje důvěrnost osobních údajů při zpracování podle tohoto nařízení;
c) poskytuje členským státům nezbytnou technickou infrastrukturu, aby mohly reagovat na žádosti uvedené v odst. 1 písm. c);
d) pomáhá členským státům plnit povinnosti stanovené v článcích 33 až 41 nařízení (EU) 2016/679;
e) zajišťuje výmaz všech osobních údajů uložených v CESOP v souladu s čl. 24c odst. 2 nařízení (EU) č. 904/2010;
f) zpřístupňuje členským státům veškeré informace nezbytné k prokázání dodržování povinností stanovených v tomto článku a umožňuje audity, včetně inspekcí, prováděné členskými státy nebo jiným auditorem pověřeným členskými státy a přispívá k nim, a to při plném dodržování Protokolu (č. 7) o výsadách a imunitách Evropské unie připojeného ke Smlouvě o fungování Evropské unie.
Článek 8
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie .
Použije se ode dne 1. ledna 2024 .
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 6. dubna 2022 .
Za Komisi
předsedkyně
Ursula von der Leyen
Annex 1
L CS CSPŘÍLOHA
Elektronický formulář pro předávání údajů
| Kolonka č. | Název datového prvku | čl. 243d | Popis | Příklad formátu | Povinné | Kontroly prováděné při předání do CESOP |
| BIC/ID poskytovatele platebních služeb | odst. 1 písm. a) | Kód BIC ve smyslu čl. 2 bodu 16 nařízení Evropského parlamentu a Rady (EU) č. 260/2012 či jakýkoli jiný identifikační kód podniku, který jednoznačně označuje poskytovatele platebních služeb předávajícího údaje. | Kód BIC poskytovatele platebních služeb, který údaje poskytuje. | Ano | Uvedeno, syntaktická kontrola kódu BIC | |
| Název příjemce | odst. 1 písm. b) | Veškerá jména příjemce, která jsou k dispozici v záznamech poskytovatelů platebních služeb, včetně oficiálního názvu a obchodního jména. | Jméno příjemce karty, obchodní firma, jméno věřitele. | Ano | Uvedeno | |
| DPH/DIČ příjemce | odst. 1 písm. c) | Identifikační číslo pro účely DPH a/nebo jakékoli jiné vnitrostátní daňové číslo příjemce. | Nepovinné Povinné | Syntaktická kontrola identifikačních čísel pro účely DPH z členských států EU | ||
| Identifikační číslo účtu příjemce | odst. 1 písm. d) | IBAN ve smyslu čl. 2 bodu 15 nařízení (EU) č. 260/2012 nebo, není-li k dispozici, jakýkoli jiný identifikátor, který jednoznačně označuje příjemce, který se transakce účastní, a jeho místo usazení. | IBAN, ID příjemce karty, identifikační číslo obchodníka, identifikátor elektronického účtu. | Ano, jsou-li peněžní prostředky převedeny na platební účet příjemce | Uvedeno, syntaktická kontrola kódu IBAN | |
| BIC/ID poskytovatele platebních služeb příjemce | odst. 1 písm. e) | Kód BIC či jiný identifikační kód podniku, který jednoznačně označuje poskytovatele platebních služeb jednajícího jménem příjemce, a jeho místo usazení, pokud příjemce přijímá peněžní prostředky, aniž by měl platební účet. | Kód BIC | Pouze v případě, že příjemce obdrží peněžní prostředky, aniž by měl platební účet. | Uvedeno, syntaktická kontrola kódu BIC | |
| Adresa příjemce | odst. 1 písm. f) | Veškeré adresy příjemce, které jsou k dispozici v záznamech poskytovatelů platebních služeb (oficiální adresa, sídlo, adresa skladu). | Ulice příjemce karty, adresa obchodníka, adresa majitele účtu. | Nepovinné Povinné | ||
| Vrácená platba | odst. 1 písm. h) | Jakýkoli odkaz na to, že transakce je vrácenou platbou, a souvislost s předchozí vykázanou transakcí. | Je-li to relevantní | Uvedeno | ||
| Datum/čas | odst. 2 písm. a) | Datum a čas provedení platební transakce nebo vrácení platby. | Datum nákupu, datum provedení a datum vytvoření transakce. | Ano | Uvedeno, syntaktická kontrola | |
| Částka | odst. 2 písm. b) | Částka platební transakce nebo vrácené platby. | Ano | Uvedeno | ||
| Měna | odst. 2 písm. b) | Měna platební transakce nebo vrácené platby. | Ano | Uvedeno, syntaktická kontrola kódu měny | ||
| Členský stát původu platby | odst. 2 písm. c) | Členský stát původu platby, kterou obdržel příjemce. | Kód země plátce. | Je-li transakce platbou | Uvedeno, syntaktická kontrola kódu země | |
| Členský stát místa určení vracené platby. | odst. 2 písm. c) | Členský stát určení vracené platby. | Kód země příjemce vracené platby. | Je-li transakce vrácenou platbou podle kolonky 7 | Uvedeno, syntaktická kontrola kódu země | |
| Informace o místě plátce | odst. 2 písm. c) | Údaj o informacích použitých k určení původu platby nebo místa určení vracené platby. Podrobné údaje o těchto informacích se nepředávají, aby se zabránilo zjištění totožnosti plátce. | Poskytovatelé platebních služeb uvádějí, že umístění bylo odvozeno z
Nikdy by nemělo dojít k předání samotného identifikačního údaje (IBAN, BIN, adresa). | Ano | Uvedeno | |
| Identifikační kód transakce | odst. 2 písm. d) | Jakékoli údaje, které jednoznačně označují platební transakci. | Odkaz na nabyvatele, identifikační číslo transakce. | Ano | Uvedeno | |
| Fyzická přítomnost | odst. 2 písm. e) | Jakýkoli odkaz, který uvádí přítomnost plátce ve fyzických prostorách obchodníka při iniciování platby. | Vstupní režim prodejního místa (POS) | Je-li to relevantní | Uvedeno |