a także mając na uwadze, co następuje:(1) Dyrektywa Rady 2006/112/WE 2 , zmieniona dyrektywą Rady (UE) 2020/284 3 , wprowadza od dnia 1 stycznia 2024 r. obowiązki dostawców usług płatniczych w zakresie przekazywania informacji. Od tego czasu dostawcy usług płatniczych, którzy mają siedzibę i świadczą usługi płatnicze w Unii Europejskiej, mają przechowywać określoną ewidencję płatności transgranicznych pochodzących od płatników w państwach członkowskich i określone informacje o odbiorcach płatności oraz przekazywać tę ewidencję państwom członkowskim w celu zwalczania oszustw związanych z podatkiem od wartości dodanej (VAT).
(2) Zgodnie z rozporządzeniem (UE) nr 904/2010, zmienionym rozporządzeniem Rady (UE) 2020/283 4 , państwa członkowskie mają przekazywać tę ewidencję do centralnego elektronicznego systemu informacji o płatnościach ("CESOP"), który ma zostać opracowany przez Komisję i być przez nią utrzymywany, prowadzony i zarządzany pod względem technicznym.
(3) W celu zapewnienia prawidłowego funkcjonowania CESOP oraz zgodnie z art. 24e lit. a) rozporządzenia (UE) nr 904/2010 konieczne jest przyjęcie środków technicznych w celu ustanowienia CESOP. Środki te powinny zapewniać niezbędne funkcje CESOP na potrzeby rozwoju możliwości CESOP opisanych w art. 24c rozporządzenia (UE) nr 904/2010. Środki te powinny również zapewniać wysoki poziom przyjazności dla użytkownika poprzez uwzględnienie narzędzi wyszukiwania i wizualizacji w CESOP. Ponadto CESOP powinien ułatwiać wymianę informacji między urzędnikami łącznikowymi Eurofisc poprzez umożliwianie im szybkiej i bezpiecznej wymiany informacji na temat oszustw związanych z VAT bezpośrednio w CESOP. Należy również określić środki, jakie powinna przyjąć Komisja w celu utrzymania systemu CESOP po jego uruchomieniu, aby zapewnić operacyjne standardy jakości infrastruktury informatycznej CESOP i jej funkcjonalności oraz aby w razie potrzeby dokonywane były wymagane aktualizacje w celu reagowania na incydenty systemu mające miejsce w komunikacji między Komisją a państwami członkowskimi.
(4) Państwa członkowskie jako administratorzy CESOP są odpowiedzialne za zarządzanie systemem, natomiast Komisja jako podmiot prowadzący i przetwarzający ma szereg obowiązków ograniczających się do zarządzania CESOP pod względem technicznym zgodnie z art. 24e lit. b) rozporządzenia (UE) nr 904/2010. Obowiązki te powinny obejmować zadania techniczne niezbędne do codziennego administrowania CESOP, takie jak prowadzenie ewidencji urzędników łącznikowych Eurofisc mających dostęp do CESOP, prowadzenie ewidencji dostawców usług płatniczych, którzy przekazali dane do państw członkowskich, wprowadzanie odpowiednich organizacyjnych środków bezpieczeństwa na potrzeby CESOP, a także zapewnianie niezbędnych szkoleń i wsparcia dla urzędników łącznikowych Eurofisc w celu efektywnego korzystania z CESOP.
(5) Zgodnie z art. 24b ust. 1 lit. b) rozporządzenia (UE) nr 904/2010 państwa członkowskie mają przesyłać dane do CESOP w standardowym formacie. Należy określić elementy danych, jakie mają być przekazywane przez dostawców usług płatniczych w formacie dokumentu XML. W celu zapewnienia ogólnej operacyjności między krajowymi systemami elektronicznymi i CESOP zgodnie z art. 24b ust. 3 rozporządzenia (UE) nr 904/2010 państwa członkowskie powinny sprawdzać, czy dane przekazywane przez dostawców usług płatniczych zawierają obowiązkowe i syntak- tycznie poprawne elementy danych zgodnie z art. 243d dyrektywy 2006/112/WE, ponieważ CESOP działa tylko wówczas, gdy dane obowiązkowe zostały prawidłowo wprowadzone do CESOP.
(6) Państwa członkowskie powinny wyznaczyć urzędników łącznikowych Eurofisc, którzy będą mieli dostęp do CESOP, i poinformować Komisję o swojej decyzji. W tym względzie Komisja powinna zapewnić tym urzędnikom niepowtarzalny identyfikator dostępu do CESOP i prowadzić wykaz wszystkich urzędników łącznikowych Eurofisc, którzy mają dostęp do CESOP, na podstawie informacji otrzymywanych od państw członkowskich.
(7) Zgodnie z art. 24e lit. g) rozporządzenia (UE) nr 904/2010 Komisja ma ustanowić procedury zapewniające stosowanie odpowiednich technicznych i organizacyjnych środków bezpieczeństwa do celów rozwoju i funkcjonowania CESOP. Szereg aspektów bezpieczeństwa centralnych komponentów CESOP zależy również od wdrożenia krajowych środków bezpieczeństwa, takich jak środki kontroli bezpieczeństwa przekazywanych danych oraz środki zapewniające, by dostęp do CESOP mieli wyłącznie urzędnicy łącznikowi Eurofisc z ważnym niepowtarzalnym identyfikatorem. W związku z tym państwa członkowskie powinny przekazać Komisji informacje na temat swoich własnych środków bezpieczeństwa. Państwa członkowskie i Komisja powinny informować się wzajemnie o wprowadzonych środkach bezpieczeństwa oraz o potrzebie ewentualnego ulepszenia tych środków.
(8) Przetwarzanie danych osobowych na podstawie niniejszego rozporządzenia oraz obowiązki państw członkowskich i Komisji podlegają przepisom określonym w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 5 oraz w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2018/1725 6 . Zgodnie z art. 24e lit. h) rozporządzenia (UE) nr 904/2010 należy określić role i obowiązki państw członkowskich i Komisji w odniesieniu do administrowania systemem CESOP. Państwa członkowskie należy wspólnie uznać za administratorów CESOP, ponieważ to one decydują o sposobach przetwarzania i wykorzystywania danych w CESOP. Komisję należy uznać za podmiot przetwarzający, ponieważ wykonuje ona wszystkie swoje zadania w imieniu państw członkowskich.
(9) Niniejsze rozporządzenie powinno mieć zastosowanie dopiero od dnia 1 stycznia 2024 r. w celu dostosowania go do stosowania rozporządzenia (UE) 2020/283 i dyrektywy (UE) 2020/284.
(10) Zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię dnia 2 lutego 2022 r.
(11) Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią Stałego Komitetu Współpracy Administracyjnej,
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.Sporządzono w Brukseli dnia 6 kwietnia 2022 r.