(EU) 2022/1504Prováděcí nařízení Komise (EU) 2022/1504 ze dne 6. dubna 2022, kterým se stanoví prováděcí pravidla k nařízení Rady (EU) č. 904/2010, pokud jde o vytvoření centrálního elektronického systému platebních informací pro boj proti podvodům v oblasti DPH
Publikováno: | Úř. věst. L 235, 12.9.2022, s. 19-27 | Druh předpisu: | Prováděcí nařízení |
Přijato: | 6. dubna 2022 | Autor předpisu: | Evropská komise |
Platnost od: | 2. října 2022 | Nabývá účinnosti: | 1. ledna 2024 |
Platnost předpisu: | Ano | Pozbývá platnosti: | |
Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.
12.9.2022 |
CS |
Úřední věstník Evropské unie |
L 235/19 |
PROVÁDĚCÍ NAŘÍZENÍ KOMISE (EU) 2022/1504
ze dne 6. dubna 2022,
kterým se stanoví prováděcí pravidla k nařízení Rady (EU) č. 904/2010, pokud jde o vytvoření centrálního elektronického systému platebních informací pro boj proti podvodům v oblasti DPH
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Rady (EU) č. 904/2010 ze dne 7. října 2010 o správní spolupráci a boji proti podvodům v oblasti daně z přidané hodnoty (1), a zejména na čl. 24e uvedeného nařízení,
vzhledem k těmto důvodům:
(1) |
Směrnice Rady 2006/112/ES (2) ve znění směrnice (EU) 2020/284 (3) zavádí od 1. ledna 2024 pro poskytovatele platebních služeb povinnost vést záznamy. Od této doby mají poskytovatelé platebních služeb, kteří jsou usazeni v Evropské unii, nebo v ní poskytují platební služby, vést určité záznamy o přeshraničních platbách pocházejících od plátců v členských státech a určité informace o příjemcích a předávat tyto záznamy členským státům za účelem boje proti podvodům v oblasti daně z přidané hodnoty (DPH). |
(2) |
Podle nařízení (EU) č. 904/2010 ve znění nařízení (EU) 2020/283 (4) mají členské státy předávat tyto záznamy do centrálního elektronického systému platebních informací (dále jen „CESOP“), který má být vyvinut, udržován, hostován a technicky spravován Komisí. |
(3) |
K zajištění řádného fungování CESOP a podle čl. 24e písm. a) nařízení (EU) č. 904/2010 je nezbytné přijmout technická opatření pro zřízení CESOP. Tato opatření by měla zajistit nezbytné funkce CESOP pro rozvoj schopností CESOP plnit úkoly, jak je popsáno v článku 24c nařízení (EU) č. 904/2010. Opatření by měla rovněž zajistit vysokou uživatelskou vstřícnost poskytnutím vyhledávacích a vizualizačních nástrojů v CESOP. Kromě toho by měl CESOP usnadňovat výměnu informací mezi kontaktními úředníky Eurofiscu tím, že jim umožní rychlou a bezpečnou výměnu informací o podvodech v oblasti DPH přímo v CESOP. Opatření, která by Komise měla přijmout za účelem údržby CESOP poté, co bude uveden do provozu, by rovněž měla být stanovena, aby byly zajištěny normy provozní kvality infrastruktury IT CESOP a jejích funkcí a aby byly v případě potřeby prováděny potřebné aktualizace pro řešení incidentů systému mezi Komisí a členskými státy. |
(4) |
Zatímco členské státy jakožto správci CESOP jsou odpovědné za jeho řízení, Komise má z titulu hostujícího subjektu a zpracovatele řadu povinností, které jsou omezeny na technickou správu CESOP podle čl. 24e písm. b) nařízení (EU) č. 904/2010. Tyto povinnosti by měly zahrnovat technické úkoly nezbytné pro každodenní správu CESOP, jako je vedení záznamů o kontaktním úředníkovi Eurofiscu, který má přístup k systému CESOP, vedení záznamů o poskytovatelích platebních služeb, kteří předali údaje členským státům, zavedení vhodných organizačních bezpečnostních opatření pro CESOP, jakož i poskytování nezbytné odborné přípravy a podpory kontaktním úředníkům Eurofiscu, aby mohli CESOP účinně využívat. |
(5) |
Podle čl. 24b odst. 1 písm. b) nařízení (EU) č. 904/2010 mají členské státy zasílat údaje do CESOP v jednotném formátu. Měly by být stanoveny datové prvky, které mají poskytovatelé platebních služeb vykazovat ve formátu dokumentu XML. Aby byla zajištěna celková interoperabilita mezi vnitrostátními elektronickými systémy a CESOP podle čl. 24b odst. 3 nařízení (EU) č. 904/2010, měly by členské státy zkontrolovat, zda údaje předávané poskytovateli platebních služeb obsahují povinné a syntakticky správné datové prvky podle článku 243d směrnice 2006/112/ES, neboť CESOP může fungovat pouze tehdy, jsou-li povinné údaje do CESOP správně zaznamenány. |
(6) |
Členské státy by měly určit kontaktní úředníky Eurofiscu, kteří budou mít přístup k CESOP, a informovat Komisi o svém rozhodnutí. V tomto ohledu by Komise měla těmto úředníkům poskytnout specifický identifikátor pro přístup do CESOP a vést seznam všech kontaktních úředníků Eurofiscu, kteří mají přístup k CESOP, a to na základě informací obdržených od členských států. |
(7) |
Podle čl. 24e písm. g) nařízení (EU) č. 904/2010 má Komise stanovit postupy, které zajistí zavedení vhodných technických a organizačních bezpečnostních opatření pro rozvoj a provoz CESOP. Několik bezpečnostních aspektů ústředních složek CESOP závisí rovněž na provádění vnitrostátních bezpečnostních opatření, jako jsou opatření ke kontrole bezpečnosti předávaných údajů a opatření k zajištění toho, aby do CESOP měl přístup pouze kontaktní úředník Eurofiscu s platným specifickým identifikátorem. Členské státy by proto měly Komisi poskytovat informace o svých vlastních bezpečnostních opatřeních. Členské státy a Komise by se měly vzájemně informovat o přijatých bezpečnostních opatřeních a o potřebě jejich případné modernizace. |
(8) |
Zpracování osobních údajů podle tohoto nařízení, jakož i povinnosti členských států a Komise se řídí pravidly stanovenými v nařízení Evropského parlamentu a Rady (EU) 2016/679 (5) a v nařízení Evropského parlamentu a Rady (EU) 2018/1725 (6). Podle čl. 24e písm. h) nařízení (EU) č. 904/2010 by měly být stanoveny úlohy a povinnosti členských států a Komise, pokud jde o správu CESOP. Členské státy by měly být společně považovány za správce CESOP, neboť rozhodují o způsobech zpracování a používání údajů v CESOP. Komise by měla být považována za zpracovatele, neboť při plnění všech svých úkolů jedná jménem členských států. |
(9) |
Toto nařízení by se mělo použít až ode dne 1. ledna 2024, aby bylo v souladu s uplatňováním nařízení (EU) 2020/283 a směrnice (EU) 2020/284. |
(10) |
Evropský inspektor ochrany údajů byl konzultován v souladu s čl. 42 odst. 1 nařízení (EU) 2018/1725 a dne 2. února 2022 vydal své stanovisko. |
(11) |
Opatření stanovená tímto nařízením jsou v souladu se stanoviskem Stálého výboru pro správní spolupráci, |
PŘIJALA TOTO NAŘÍZENÍ:
Článek 1
Technická opatření pro zřízení a údržbu CESOP
1. Komise vypracuje technická opatření pro zřízení CESOP s těmito funkcemi:
a) |
přijímání údajů o platbách předaných členskými státy; |
b) |
bezpečné uchovávání údajů o platbách po dobu nejvýše pěti let od konce kalendářního roku, v němž do něj členské státy předaly informace; |
c) |
očišťování údajů o platbách od neobvyklých a běžných chyb, včetně duplicit týchž plateb; |
d) |
shromažďování údajů o platbách ve vztahu ke každému příjemci; |
e) |
možnost vyhledávání a vizualizace platebních údajů v CESOP; |
f) |
analýza a provádění křížových kontrol údajů o platbách, přičemž údaje se uchovávají a vyměňují v souladu s čl. 17 odst. 1 písm. a), b), d), e) a f) a čl. 33 odst. 2 písm. b) nařízení č. 904/2010: |
g) |
provádění automatické analýzy a označení podezřelých příjemců; |
h) |
možnost kontaktních úředníků Eurofiscu provádět neautomatické kontroly a analýzy; |
i) |
vypracovávání zpráv o výsledcích analýzy a kontrol, které provádí CESOP a kontaktní úředníci Eurofiscu; |
j) |
poskytování infrastruktury řízení přístupu uživatelů kontaktním úředníkům Eurofiscu; |
k) |
možnost kontaktních úředníků Eurofiscu vyměňovat si informace týkající se přeshraničního vyšetřování a odhalování podvodů v oblasti DPH přímo v CESOP; |
l) |
poskytování technické infrastruktury členským státům za účelem správy přístupových práv jejich kontaktních úředníků Eurofiscu. |
2. Za účelem údržby CESOP Komise plní tyto úkoly:
a) |
zajištění celkové funkčnosti CESOP i jeho jednotlivých funkcí; |
b) |
provádění údržby mimo pracovní dobu; |
c) |
poskytování nezbytných technických aktualizací pro řádné fungování a zlepšování systému CESOP; |
d) |
řešení technických problémů. |
Článek 2
Úkoly Komise při technické správě systému CESOP
Za účelem technické správy CESOP Komise plní tyto úkoly:
a) |
vede a aktualizuje seznam kontaktních úředníků Eurofiscu, kteří mají přístup k CESOP a jejich specifický identifikátor uživatele v souladu s článkem 5; |
b) |
provádí organizační a technická bezpečnostní opatření uvedená v článku 6; |
c) |
sestavuje, uchovává a vede seznam poskytovatelů platebních služeb, kteří oznamovali údaje podle čl. 24b odst. 1 nařízení (EU) č. 904/2010, v souladu s údaji poskytnutými členskými státy; |
d) |
poskytuje kontaktním úředníkům Eurofiscu, kteří mají přístup k CESOP, automatizovaný přístup k seznamu vedenému podle písmene c); |
e) |
poskytuje technickou pomoc kontaktním úředníkům Eurofiscu při používání systému CESOP; |
f) |
školí kontaktní úředníky Eurofiscu ohledně používání systému CESOP. |
Článek 3
Propojení a celková interoperabilita mezi CESOP a vnitrostátními elektronickými systémy
1. Členské státy přijmou veškerá nezbytná opatření k zajištění toho, aby vnitrostátní elektronické systémy pro shromažďování informací o platbách zřízené podle čl. 24b odst. 2 nařízení (EU) č. 904/2010 byly funkční a byly schopny shromažďovat informace o platbách podle čl. 24b odst. 1 uvedeného nařízení.
2. Členské státy CESOP předají pouze platební informace, které jsou úplné, včetně všech povinných polí podle článku 243d směrnice 2006/112/ES, a jsou v souladu s požadavky stanovenými v příloze tohoto nařízení.
3. Komise zajistí interoperabilitu mezi CESOP a vnitrostátními elektronickými systémy uvedenými v odstavci 1.
Článek 4
Elektronický standardní formulář
Elektronický standardní formulář uvedený v čl. 24b odst. 1 písm. b) nařízení (EU) č. 904/2010 se předkládá ve standardizovaném formátu XML v souladu s tabulkou údajů v příloze tohoto nařízení.
Článek 5
Praktická opatření týkající se kontaktních úředníků Eurofiscu, kteří budou mít přístup k systému CESOP
1. Členské státy určí kontaktní úředníky Eurofiscu, kteří budou mít přístup k systému CESOP, a sdělí jejich jména a e-mailové adresy Komisi.
2. Členské státy informují Komisi o veškerých změnách informací poskytnutých podle odstavce 1, včetně změn týkajících se určených kontaktních úředníků Eurofiscu, a to včas, nejpozději však do 30 kalendářních dnů poté, co ke změně došlo.
3. Komise neprodleně poskytne kontaktním úředníkům Eurofiscu uvedeným v odstavci 1 jedinečnou osobní uživatelskou identifikaci pro přístup do CESOP.
Článek 6
Postupy pro technická a organizační bezpečnostní opatření pro rozvoj a provoz systému CESOP
1. Členské státy poskytnou Komisi informace o uplatňování a každé aktualizaci svých vlastních bezpečnostních opatření na vnitrostátní úrovni.
Tyto informace zahrnují podrobnosti o opatřeních přijatých k zajištění toho, aby k systému CESOP měli přístup pouze kontaktní úředníci Eurofiscu uvedení v článku 5, a podrobnosti o opatřeních přijatých k zajištění šifrování údajů předávaných členskými státy.
2. Komise do 30. dubna každého roku počínaje rokem následujícím po datu použitelnosti tohoto nařízení informuje členské státy o opatřeních přijatých k zajištění bezpečnosti CESOP.
Informace zahrnují alespoň tyto údaje:
a) |
bezpečnostní incidenty, k nimž došlo v předchozím roce, a způsob, jakým byly vyřešeny; |
b) |
podrobnosti o přijatých bezpečnostních opatřeních nebo změnách stávajících bezpečnostních opatření; |
c) |
posouzení stávajících bezpečnostních opatření a toho, zda Komise zvažuje nějaké změny těchto opatření. |
Článek 7
Úlohy a povinnosti správců a zpracovatele
1. Členské státy jsou společně správci CESOP ve smyslu čl. 4 bodu 7 nařízení (EU) 2016/679. Povinnosti správců CESOP se stanoví v dohodě mezi správci, která stanoví pravidla pro výkon práv subjektů údajů a jejich povinností v souvislosti s poskytováním informací uvedených v článcích 13 a 14 nařízení (EU) 2016/679.
Členské státy odpovídají za:
a) |
vypracování technických specifikací CESOP a v případě potřeby jejich přizpůsobení, aby Komise mohla:
|
b) |
stanovení pravidel a postupů pro výběr kontaktních úředníků Eurofiscu, kteří budou mít přístup k CESOP; |
c) |
odpovědi na žádosti subjektů údajů týkající se výkonu práv stanovených v kapitole III nařízení (EU) 2016/679. |
2. Komise je zpracovatelem CESOP ve smyslu čl. 3 bodu 12 nařízení (EU) 2018/1725.
Komise:
a) |
zpracovává osobní údaje jménem členských států podle jejich pokynů a uchovává dokumentaci pro tyto pokyny; |
b) |
zajišťuje důvěrnost osobních údajů při zpracování podle tohoto nařízení; |
c) |
poskytuje členským státům nezbytnou technickou infrastrukturu, aby mohly reagovat na žádosti uvedené v odst. 1 písm. c); |
d) |
pomáhá členským státům plnit povinnosti stanovené v článcích 33 až 41 nařízení (EU) 2016/679; |
e) |
zajišťuje výmaz všech osobních údajů uložených v CESOP v souladu s čl. 24c odst. 2 nařízení (EU) č. 904/2010; |
f) |
zpřístupňuje členským státům veškeré informace nezbytné k prokázání dodržování povinností stanovených v tomto článku a umožňuje audity, včetně inspekcí, prováděné členskými státy nebo jiným auditorem pověřeným členskými státy a přispívá k nim, a to při plném dodržování Protokolu (č. 7) o výsadách a imunitách Evropské unie připojeného ke Smlouvě o fungování Evropské unie. |
Článek 8
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Použije se ode dne 1. ledna 2024.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 6. dubna 2022.
Za Komisi
předsedkyně
Ursula VON DER LEYEN
(1) Úř. věst. L 268, 12.10.2010, s. 1.
(2) Směrnice Rady 2006/112/ES ze dne 28. listopadu 2006 o společném systému daně z přidané hodnoty (Úř. věst. L 347, 11.12.2006, s. 1).
(3) Směrnice Rady (EU) 2020/284 ze dne 18. února 2020, kterou se mění směrnice 2006/112/ES, pokud jde o zavedení určitých požadavků na poskytovatele platebních služeb (Úř. věst. L 62, 2.3.2020, s. 7).
(4) Nařízení Rady (EU) 2020/283 ze dne 18. února 2020, kterým se mění nařízení (EU) č. 904/2010, pokud jde o opatření k posílení správní spolupráce za účelem boje proti podvodům v oblasti DPH (Úř. věst. L 62, 2.3.2020, s. 1).
(5) Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Úř. věst. L 119, 4.5.2016, s. 1).
(6) Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39).
PŘÍLOHA
Elektronický formulář pro předávání údajů
Kolonka č. |
Název datového prvku |
čl. 243d |
Popis |
Příklad formátu |
Povinné |
Kontroly prováděné při předání do CESOP |
||||||
1 |
BIC/ID poskytovatele platebních služeb |
odst. 1 písm. a) |
Kód BIC ve smyslu čl. 2 bodu 16 nařízení Evropského parlamentu a Rady (EU) č. 260/2012 (1) či jakýkoli jiný identifikační kód podniku, který jednoznačně označuje poskytovatele platebních služeb předávajícího údaje. |
Kód BIC poskytovatele platebních služeb, který údaje poskytuje. |
Ano |
Uvedeno, syntaktická kontrola kódu BIC |
||||||
2 |
Název příjemce |
odst. 1 písm. b) |
Veškerá jména příjemce, která jsou k dispozici v záznamech poskytovatelů platebních služeb, včetně oficiálního názvu a obchodního jména. |
Jméno příjemce karty, obchodní firma, jméno věřitele. |
Ano |
Uvedeno |
||||||
3 |
DPH/DIČ příjemce |
odst. 1 písm. c) |
Identifikační číslo pro účely DPH a/nebo jakékoli jiné vnitrostátní daňové číslo příjemce. |
|
Nepovinné Povinné |
Syntaktická kontrola identifikačních čísel pro účely DPH z členských států EU |
||||||
4 |
Identifikační číslo účtu příjemce |
odst. 1 písm. d) |
IBAN ve smyslu čl. 2 bodu 15 nařízení (EU) č. 260/2012 nebo, není-li k dispozici, jakýkoli jiný identifikátor, který jednoznačně označuje příjemce, který se transakce účastní, a jeho místo usazení. |
IBAN, ID příjemce karty, identifikační číslo obchodníka, identifikátor elektronického účtu. |
Ano, jsou-li peněžní prostředky převedeny na platební účet příjemce |
Uvedeno, syntaktická kontrola kódu IBAN |
||||||
5 |
BIC/ID poskytovatele platebních služeb příjemce |
odst. 1 písm. e) |
Kód BIC či jiný identifikační kód podniku, který jednoznačně označuje poskytovatele platebních služeb jednajícího jménem příjemce, a jeho místo usazení, pokud příjemce přijímá peněžní prostředky, aniž by měl platební účet. |
Kód BIC |
Pouze v případě, že příjemce obdrží peněžní prostředky, aniž by měl platební účet. |
Uvedeno, syntaktická kontrola kódu BIC |
||||||
6 |
Adresa příjemce |
odst. 1 písm. f) |
Veškeré adresy příjemce, které jsou k dispozici v záznamech poskytovatelů platebních služeb (oficiální adresa, sídlo, adresa skladu). |
Ulice příjemce karty, adresa obchodníka, adresa majitele účtu. |
Nepovinné Povinné |
|
||||||
7 |
Vrácená platba |
odst. 1 písm. h) |
Jakýkoli odkaz na to, že transakce je vrácenou platbou, a souvislost s předchozí vykázanou transakcí. |
|
Je-li to relevantní |
Uvedeno |
||||||
8 |
Datum/čas |
odst. 2 písm. a) |
Datum a čas provedení platební transakce nebo vrácení platby. |
Datum nákupu, datum provedení a datum vytvoření transakce. |
Ano |
Uvedeno, syntaktická kontrola |
||||||
9 |
Částka |
odst. 2 písm. b) |
Částka platební transakce nebo vrácené platby. |
|
Ano |
Uvedeno |
||||||
10 |
Měna |
odst. 2 písm. b) |
Měna platební transakce nebo vrácené platby. |
|
Ano |
Uvedeno, syntaktická kontrola kódu měny |
||||||
11 |
Členský stát původu platby |
odst. 2 písm. c) |
Členský stát původu platby, kterou obdržel příjemce. |
Kód země plátce. |
Je-li transakce platbou |
Uvedeno, syntaktická kontrola kódu země |
||||||
12 |
Členský stát místa určení vracené platby. |
odst. 2 písm. c) |
Členský stát určení vracené platby. |
Kód země příjemce vracené platby. |
Je-li transakce vrácenou platbou podle kolonky 7 |
Uvedeno, syntaktická kontrola kódu země |
||||||
13 |
Informace o místě plátce |
odst. 2 písm. c) |
Údaj o informacích použitých k určení původu platby nebo místa určení vracené platby. Podrobné údaje o těchto informacích se nepředávají, aby se zabránilo zjištění totožnosti plátce. |
Poskytovatelé platebních služeb uvádějí, že umístění bylo odvozeno z
Nikdy by nemělo dojít k předání samotného identifikačního údaje (IBAN, BIN, adresa). |
Ano |
Uvedeno |
||||||
14 |
Identifikační kód transakce |
odst. 2 písm. d) |
Jakékoli údaje, které jednoznačně označují platební transakci. |
Odkaz na nabyvatele, identifikační číslo transakce. |
Ano |
Uvedeno |
||||||
15 |
Fyzická přítomnost |
odst. 2 písm. e) |
Jakýkoli odkaz, který uvádí přítomnost plátce ve fyzických prostorách obchodníka při iniciování platby. |
Vstupní režim prodejního místa (POS) |
Je-li to relevantní |
Uvedeno |
(1) Nařízení Evropského parlamentu a Rady (EU) č. 260/2012 ze dne 14. března 2012, kterým se stanoví technické a obchodní požadavky pro úhrady a inkasa v eurech a kterým se mění nařízení (ES) č. 924/2009 (Úř. věst. L 94, 30.3.2012, s. 22).