ROZPORZĄDZENIE WYKONAWCZE KOMISJI (UE) 2024/3084
z dnia 4 grudnia 2024 r.
w sprawie funkcjonowania systemu informacyjnego przewidzianego w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2023/1115 w sprawie udostępniania na rynku unijnym i wywozu z Unii niektórych towarów i produktów związanych z wylesianiem i degradacją lasów
KOMISJA EUROPEJSKA,
uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,
uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2023/1115 z dnia 31 maja 2023 r. w sprawie udostępniania na rynku unijnym i wywozu z Unii niektórych towarów i produktów związanych z wylesianiem i degradacją lasów oraz uchylenia rozporządzenia (UE) nr 995/2010 (1), w szczególności jego art. 33,
a także mając na uwadze, co następuje:
| (1) | W rozporządzeniu (UE) 2023/1115 ustanowiono przepisy mające przyczynić się do zminimalizowania wkładu Unii w wylesianie i degradację lasów. W tym celu w rozporządzeniu tym nałożono obowiązki w zakresie należytej staranności na podmioty i podmioty handlowe wprowadzające do obrotu w Unii niektóre towary i produkty, udostępniające je na rynku unijnym lub wywożące je z niego. Odesłanie do podmiotów w niniejszym rozporządzeniu należy rozumieć jako odnoszące się również do podmiotów handlowych niebędących MŚP udostępniających odnośne produkty na rynku, jeżeli przepisy niniejszego rozporządzenia mają do nich ogólne zastosowanie zgodnie z ich obowiązkami wynikającymi z rozporządzenia (UE) 2023/1115, w szczególności jego art. 5 ust. 1. |
| (2) | Podmioty formalnie przyjmują odpowiedzialność za zgodność odnośnych produktów, które zamierzają wprowadzić do obrotu lub wywozić, przedstawiając oświadczenie o należytej staranności („oświadczenie o należytej staranności”). |
| (3) | Konieczne jest opracowanie systemu informacyjnego i zapewnienie dostępu do niego podmiotom i podmiotom handlowym oraz, w stosownych przypadkach, ich upoważnionym przedstawicielom, właściwym organom i organom celnym, aby mogli wypełniać nałożone na nich odpowiednie obowiązki określone w rozporządzeniu (UE) 2023/1115. System informacyjny powinien ułatwiać przekazywanie informacji między właściwymi organami państw członkowskich a organami celnymi. |
| (4) | System informacyjny powinien być aplikacją opartą na platformie TRACES ustanowionej rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2017/625 (2), która zostanie opracowana przez Komisję i będzie przez nią zarządzana. |
| (5) | W związku z tym konieczne jest określenie praktycznych i operacyjnych ustaleń dotyczących funkcjonowania tego systemu informacyjnego, aby ułatwić skuteczne i zharmonizowane wdrażanie i egzekwowanie rozporządzenia (UE) 2023/1115. |
| (6) | Aby pokonać bariery językowe, system informacyjny powinien być dostępny we wszystkich językach urzędowych Unii. W tym celu Komisja powinna przetłumaczyć interfejs użytkownika systemu informacyjnego na wszystkie języki urzędowe Unii. |
| (7) | Aby wypełniać swoje obowiązki i wykonywać zadania wynikające z rozporządzenia (UE) 2023/1115, podmioty, podmioty handlowe, właściwe organy, organy celne oraz Komisja mogą być zmuszone do wymieniania się między sobą informacjami obejmującymi dane osobowe. Wszelka taka wymiana informacji powinna być zgodna z przepisami dotyczącymi ochrony danych osobowych określonymi w rozporządzeniach Parlamentu Europejskiego i Rady (UE) 2016/679 (3) i (UE) 2018/1725 (4). W związku z tym wymiana danych osobowych niezbędnych do wypełnienia obowiązków i wykonywania zadań określonych w rozporządzeniu (UE) 2023/1115 wchodzi w zakres zgodnego z prawem przetwarzania danych na podstawie art. 5 ust. 1 lit. a) rozporządzenia (UE) 2018/1725 oraz art. 6 ust. 1 lit. e) rozporządzenia (UE) 2016/679. |
| (8) | System informacyjny powinien służyć do wspierania podmiotów, podmiotów handlowych i właściwych organów w przedstawianiu niezbędnych informacji dotyczących odnośnych produktów wprowadzanych do obrotu, udostępnianych na rynku lub wywożonych i w uzyskiwaniu dostępu do takich informacji. Dane osobowe, które mogą być wymieniane za pośrednictwem systemu informacyjnego, powinny być przetwarzane wyłącznie w celu wypełnienia obowiązków i wykonywania zadań wynikających z rozporządzenia (UE) 2023/1115. Jeżeli dane osobowe są przetwarzane w ramach funkcjonowania systemu informacyjnego w celu wypełnienia obowiązków i wykonywania zadań wynikających z rozporządzenia (UE) 2023/1115, podmioty i podmioty handlowe oraz, w stosownych przypadkach, ich upoważnieni przedstawiciele, właściwe organy i organy celne powinni być administratorami w rozumieniu rozporządzenia (UE) 2016/679, a Komisja powinna być administratorem w rozumieniu rozporządzenia (UE) 2018/1725, w odniesieniu do prowadzonych przez nich czynności przetwarzania. Właściwe organy i organy celne powinny być współadministratorami w rozumieniu rozporządzenia (UE) 2016/679 w odniesieniu do czynności przetwarzania, gdy wykonują zadania we współpracy ze sobą zgodnie z art. 21 rozporządzenia (UE) 2023/1115. |
| (9) | Przetwarzanie, przekazywanie, przechowywanie i inne przetwarzanie danych osobowych osób fizycznych powinno odbywać się w systemie informacyjnym do celów wypełniania obowiązków i wykonywania zadań wynikających z rozporządzenia (UE) 2023/1115. |
| (10) | System informacyjny powinien przetwarzać dane osobowe w zakresie, w jakim jest to absolutnie niezbędne do celów wypełnienia obowiązków wynikających z rozporządzenia (UE) 2023/1115. System informacyjny powinien przetwarzać wyłącznie kategorie danych osobowych wymienione w art. 12 ust. 2 niniejszego rozporządzenia wykonawczego. |
| (11) | System informacyjny nie powinien przechowywać danych osobowych przekazanych przez użytkowników systemu informacyjnego w formie umożliwiającej identyfikację osób, których dane dotyczą, dłużej niż jest to absolutnie niezbędne do celów, w których te dane osobowe są przetwarzane. Okres ten powinien wynosić dziesięć lat od daty złożenia oświadczenia o należytej staranności za pośrednictwem systemu informacyjnego, z uwzględnieniem procesów produkcji przez długi okres, aby umożliwić podmiotom i podmiotom handlowym oraz, w stosownych przypadkach, ich upoważnionym przedstawicielom odnoszenie się do istniejących oświadczeń o należytej staranności zgodnie z art. 33 ust. 2 lit. c) rozporządzenia (UE) 2023/1115 oraz wypełnianie ich obowiązków w zakresie upewnienia się, że zachowano należytą staranność w odniesieniu do odnośnych produktów zawartych w odnośnych produktach lub wytworzonych z odnośnych produktów zgodnie z art. 4 ust. 9 rozporządzenia (UE) 2023/1115. Dłuższe przechowywanie i przetwarzanie danych osobowych powinno być możliwe, jeżeli jest to konieczne do wypełnienia indywidualnych odpowiedzialności i obowiązków uczestników systemu informacyjnego określonych w rozporządzeniu (UE) 2023/1115. |
| (12) | Komisja powinna zapewnić ogółowi społeczeństwa dostęp, zgodnie z unijną polityką otwartych danych, do całkowicie zanonimizowanych zbiorów danych systemu informacyjnego w otwartym formacie nadającym się do odczytu maszynowego, które to dane utrwala się w formie odpowiednio zagregowanych i zanonimizowanych zbiorów danych, które powinny być dostępne na stronie internetowej Komisji. |
| (13) | Zgodnie z zasadą uwzględniania ochrony w fazie projektowania i zasadą domyślnej ochrony system informacyjny należy opracować i zaprojektować z należytym poszanowaniem wymogów przepisów o ochronie danych, w szczególności ze względu na ograniczenia nałożone na dostęp do danych osobowych wymienianych za pośrednictwem systemu informacyjnego. W związku z tym system informacyjny powinien zapewniać znacznie wyższy poziom ochrony i bezpieczeństwa niż inne metody wymiany informacji, takie jak rozmowa telefoniczna, poczta tradycyjna lub poczta elektroniczna. |
| (14) | Komisja powinna dostarczać oprogramowanie i infrastrukturę informatyczną na potrzeby systemu informacyjnego oraz zarządzać nimi, zapewniać jego niezawodność, bezpieczeństwo, dostępność, utrzymanie i eksploatację, a także być zaangażowana w szkolenie uczestników i użytkowników systemu informacyjnego oraz zapewnianie im pomocy technicznej. System informacyjny powinien umożliwiać skuteczną wymianę danych z odpowiednimi systemami i źródłami danych służb Komisji. |
| (15) | Państwa członkowskie powinny mieć możliwość dostosowania swoich funkcji i obowiązków w odniesieniu do systemu informacyjnego w celu odzwierciedlenia swoich wewnętrznych struktur administracyjnych oraz wdrożenia w systemie informacyjnym określonego rodzaju pracy lub kolejności etapów danego procesu pracy, przy jednoczesnym poszanowaniu swoich obowiązków wynikających z rozdziału 3 rozporządzenia (UE) 2023/1115. |
| (16) | Aby ułatwić skuteczne wdrożenie rozporządzenia (UE) 2023/1115, właściwe organy powinny mieć możliwość podejmowania działań w ramach systemu informacyjnego w celu zapewnienia zgodności z tym rozporządzeniem, w tym tworzenia profili ryzyka do celów planu kontroli, o którym mowa w art. 16 ust. 5 rozporządzenia (UE) 2023/1115, rejestrowania wyników kontroli podmiotów i podmiotów handlowych, zawieszania wydawania numerów referencyjnych przypisanych do oświadczeń o należytej staranności, a w przypadku niemożliwej do skorygowania niezgodności - odrzucenia odnośnych oświadczeń o należytej staranności. Zgodnie z art. 16 ust. 1 rozporządzenia (UE) 2023/1115, który przewiduje, że właściwe organy przeprowadzają na swoim terytorium kontrole, właściwe organy powinny mieć możliwość podejmowania działań w oparciu o oświadczenia o należytej staranności, w odniesieniu do których użytkownicy systemu informacyjnego przekazują w systemie informacyjnym informacje dotyczące państwa członkowskiego, w którym produkt jest wprowadzany na rynek unijny, z którego jest wyprowadzany lub w którym jest udostępniany na rynku unijnym. W przypadku braku takich informacji właściwe organy powinny mieć możliwość podejmowania działań na podstawie oświadczeń o należytej staranności składanych przez użytkowników systemu informacyjnego mających siedzibę w ich państwie członkowskim lub z nim powiązanych. |
| (17) | Informacje otrzymane przez właściwy organ, organ celny, Komisję lub jakikolwiek inny organ, któremu udzielono dostępu do tych informacji za pośrednictwem systemu informacyjnego, od innego właściwego organu, innego organu celnego, Komisji lub innego takiego organu nie powinny być uznawane za pozbawione wartości dowodowej w postępowaniu karnym, cywilnym lub administracyjnym zgodnie z odpowiednim prawem unijnym i krajowym wyłącznie z tego powodu, że pochodzą z innego państwa członkowskiego lub zostały otrzymane drogą elektroniczną. Informacje takie powinny być traktowane przez odpowiednich użytkowników systemu informacyjnego w taki sam sposób jak podobne dokumenty pochodzące z państwa członkowskiego, z którego uzyskano te informacje. |
| (18) | Powinna istnieć możliwość przetwarzania, w stosownych przypadkach, imion, nazwisk i danych kontaktowych użytkowników systemu informacyjnego na potrzeby osiągnięcia celów i wypełnienia obowiązków wynikających z rozporządzenia (UE) 2023/1115 i niniejszego rozporządzenia, w tym monitorowania korzystania z systemu informacyjnego przez jego administratorów i użytkowników, inicjatyw w zakresie komunikacji, szkoleń i podnoszenia świadomości oraz gromadzenia informacji w związku z zakresem stosowania rozporządzenia (UE) 2023/1115 lub wzajemnej pomocy przewidzianej w tym rozporządzeniu. |
| (19) | Aby zapewnić skuteczne monitorowanie funkcjonowania systemu informacyjnego i sprawozdawczość w tym zakresie, właściwe organy, organy celne lub inne organy, którym przyznano dostęp do systemu informacyjnego, powinny udostępniać Komisji odpowiednie informacje, jeżeli są one niezbędne Komisji do wypełnienia jej obowiązków wynikających z rozporządzenia (UE) 2023/1115 i niniejszego rozporządzenia. |
| (20) | Osoby, których dane dotyczą, powinny być informowane o przetwarzaniu ich danych osobowych w systemie informacyjnym oraz o prawach przysługujących im zgodnie z rozporządzeniem (UE) 2016/679 i rozporządzeniem (UE) 2018/1725, w szczególności o prawie dostępu do dotyczących ich danych oraz o prawie do poprawienia nieprawidłowych danych i usunięcia danych przetwarzanych niezgodnie z prawem. |
| (21) | Każdy użytkownik systemu informacyjnego, działając w charakterze administratora w odniesieniu do czynności przetwarzania danych, które wykonuje w związku z zakresem stosowania rozporządzenia (UE) 2023/1115, powinien zapewnić, aby osoby, których dane dotyczą, mogły wykonywać swoje prawa zgodnie z rozporządzeniem (UE) 2016/679 i rozporządzeniem (UE) 2018/1725. Powinno to obejmować ustanowienie procesu regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania. |
| (22) | Wdrażanie niniejszego rozporządzenia oraz skuteczność systemu informacyjnego należy monitorować w sprawozdaniu z funkcjonowania systemu informacyjnego na podstawie danych statystycznych pochodzących z systemu informacyjnego oraz wszelkich innych istotnych danych. Komisja powinna przedłożyć sprawozdanie Parlamentowi Europejskiemu, Radzie i Europejskiemu Inspektorowi Ochrony Danych. Sprawozdanie to powinno również dotyczyć aspektów związanych z ochroną danych osobowych w systemie informacyjnym, w tym bezpieczeństwa danych. |
| (23) | Zgodnie z art. 42 ust. 1 rozporządzenia (UE) 2018/1725 skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię dnia 5 listopada 2024 r. |
| (24) | Środki przewidziane w niniejszym rozporządzeniu są zgodne z opinią Komitetu Unii Europejskiej (UE) ds. rozporządzenia w sprawie produktów niepowodujących wylesiania, |
PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:
ROZDZIAŁ I
PRZEPISY OGÓLNE
Artykuł 1
Przedmiot
Niniejsze rozporządzenie ustanawia przepisy dotyczące funkcjonowania systemu informacyjnego, w tym przepisy dotyczące ochrony danych osobowych i wymiany danych z innymi systemami informatycznymi.
Artykuł 2
Wdrożenie i wykorzystanie systemu informacyjnego
1. Komisja:
| a) | opracowuje system informacyjny jako niezależny moduł platformy TRACES; |
| b) | zapewnia funkcjonowanie, utrzymanie, wsparcie oraz wszelkie niezbędne aktualizacje lub rozwój systemu informacyjnego. |
2. System informacyjny jest wykorzystywany przez podmioty i podmioty handlowe oraz, w stosownych przypadkach, ich upoważnionych przedstawicieli do składania oświadczeń o należytej staranności i zarządzania nimi i do weryfikowania ważności numerów referencyjnych oraz przez właściwe organy, organy celne i Komisję do celów dostępu do oświadczeń o należytej staranności i podejmowania działań na ich podstawie, w tym do wymiany informacji zawierających dane osobowe między właściwymi organami, organami celnymi i Komisją w związku z wdrażaniem i egzekwowaniem rozporządzenia (UE) 2023/1115. Wszelka taka wymiana informacji musi być zgodna z przepisami dotyczącymi ochrony danych osobowych określonymi w rozporządzeniach (UE) 2016/679 i (UE) 2018/1725.
3. Oświadczenia o należytej staranności przypisuje się w systemie informacyjnym do właściwych organów w następującej kolejności:
| a) | jeżeli użytkownik systemu informacyjnego przedstawi informacje wskazujące państwo członkowskie, w którym odnośny produkt jest wprowadzany na rynek unijny lub z niego wyprowadzany lub, w przypadku braku takich informacji, w którym odnośny produkt jest wprowadzany do obrotu lub udostępniany na rynku, oświadczenia o należytej staranności przypisuje się do właściwych organów tego państwa członkowskiego; |
| b) | w przypadku braku informacji wymaganych w lit. a) oświadczenia o należytej staranności przypisuje się do właściwych organów państwa członkowskiego, w którym użytkownik systemu informacyjnego ma siedzibę. W przypadku gdy użytkownik systemu informacyjnego ma siedzibę poza Unią, oświadczenia o należytej staranności przypisuje się do właściwych organów państwa członkowskiego, z którym użytkownik systemu informacyjnego jest powiązany zgodnie z jego identyfikatorem podanym przy rejestracji w systemie informacyjnym. |
Artykuł 3
Definicje
Do celów niniejszego rozporządzenia, oprócz definicji określonych w art. 2 rozporządzenia (UE) 2023/1115, art. 4 rozporządzenia (UE) 2016/679 i art. 3 rozporządzenia (UE) 2018/1725, stosuje się następujące definicje:
| a) | „system informacyjny” oznacza system informacyjny ustanowiony i utrzymywany przez Komisję zgodnie z art. 33 rozporządzenia (UE) 2023/1115; |
| b) | „uczestnik systemu informacyjnego” oznacza właściwe organy i organy celne w rozumieniu rozporządzenia (UE) 2023/1115 oraz Komisję do celów wykonywania zadań powierzonych im zgodnie z rozporządzeniem (UE) 2023/1115; |
| c) | „użytkownik systemu informacyjnego” oznacza podmioty i podmioty handlowe oraz, w stosownych przypadkach, ich upoważnionych przedstawicieli w rozumieniu rozporządzenia (UE) 2023/1115, którzy są identyfikowani w drodze indywidualnej rejestracji w ramach EU Login - usługi uwierzytelniania użytkownika Komisji Europejskiej; |
| d) | „oświadczenie o należytej staranności” oznacza oświadczenie o należytej staranności złożone przez użytkownika systemu informacyjnego zgodnie z rozporządzeniem (UE) 2023/1115; |
| e) | „numer referencyjny” oznacza numer referencyjny przypisany przez system informacyjny oświadczeniu o należytej staranności złożonemu przez użytkownika systemu informacyjnego zgodnie z rozporządzeniem (UE) 2023/1115; |
| f) | „numer weryfikacyjny” oznacza numer zabezpieczający przypisany przez system informacyjny oświadczeniu o należytej staranności złożonemu przez użytkownika systemu informacyjnego w celu zapewnienia dodatkowego zabezpieczenia danych zawartych w oświadczeniu o należytej staranności; |
| g) | „tworzenie profilu ryzyka” oznacza identyfikację ryzyka niezgodności odnośnego produktu objętego zakresem stosowania rozporządzenia (UE) 2023/1115 w systemie informacyjnym, na podstawie kryteriów ryzyka, do celów przypisania każdemu oświadczeniu o należytej staranności składanemu w systemie informacyjnym, w tym po każdej jego zmianie, statusu ryzyka odzwierciedlającego to ryzyko. |
ROZDZIAŁ II
FUNKCJONOWANIE SYSTEMU INFORMACYJNEGO
Artykuł 4
Składanie oświadczeń o należytej staranności
1. Z wyjątkiem sytuacji, w których oświadczenie o należytej staranności jest udostępniane za pośrednictwem elektronicznego interfejsu, o którym mowa w art. 28 ust. 2 rozporządzenia (UE) 2023/1115, użytkownicy systemu informacyjnego składają oświadczenia o należytej staranności dotyczące odnośnych produktów i zarządzają nimi w systemie informacyjnym.
2. W przypadku gdy odnośny produkt zawiera drewno lub został wytworzony z drewna, użytkownicy systemu informacyjnego wprowadzają do oświadczenia o należytej staranności nazwy zwyczajowe i pełne nazwy naukowe gatunków drewna, które odnośne produkty zawierają lub z których zostały wytworzone.
Artykuł 5
Zmiana i wycofanie oświadczeń o należytej staranności
1. System informacyjny musi umożliwiać użytkownikom systemu informacyjnego zmianę lub wycofanie oświadczeń o należytej staranności w ciągu 72 godzin od udostępnienia w systemie informacyjnym numeru referencyjnego oświadczenia o należytej staranności.
2. Oświadczeń o należytej staranności nie można zmienić ani wycofać w terminie określonym w ust. 1 po tym, jak do danego oświadczenia o należytej staranności odniesiono się w oświadczeniu o należytej staranności złożonym przez tego samego lub innego użytkownika systemu informacyjnego.
3. Użytkownik systemu informacyjnego nie może zmienić ani wycofać oświadczenia o należytej staranności po tym, jak:
| a) | użytkownik systemu informacyjnego został powiadomiony o zamiarze przeprowadzenia kontroli oświadczenia o należytej staranności lub odnośnego produktu powiązanego z oświadczeniem o należytej staranności, przez okres kontroli; |
| b) | odnośny produkt został wprowadzony do obrotu lub udostępniony na rynku unijnym zgodnie z rozporządzeniem (UE) 2023/1115; |
| c) | numer referencyjny oświadczenia o należytej staranności został przekazany lub udostępniony organom celnym przed dopuszczeniem do obrotu lub wywozem odnośnego produktu wprowadzanego do obrotu na rynku lub opuszczającego rynek w ramach procedur określonych w rozdziale 4 rozporządzenia (UE) 2023/1115. |
4. Bez uszczerbku dla ust. 2 i 3, na indywidualny i uzasadniony wniosek użytkownika systemu informacyjnego właściwe organy mogą przedłużyć termin, o którym mowa w ust. 1, wyłącznie po upływie takiego terminu, o którym mowa w ust. 1. Takie przedłużenie nie może być dłuższe niż 8 dni kalendarzowych. U podstaw takiego wniosku muszą leżeć przyczyny niezależne od użytkownika systemu informacyjnego, który w swoim uzasadnionym wniosku oświadcza, że ust. 3 niniejszego artykułu nie ma zastosowania. Takie przedłużenie może być również wydane z mocą wsteczną po upływie terminu, o którym mowa w ust. 1.
5. Zmienione oświadczenie o należytej staranności podlega utworzeniu profilu ryzyka określonemu w art. 6. Utworzenie profilu ryzyka ma zastosowanie do całego zmienionego oświadczenia o należytej staranności.
Artykuł 6
Tworzenie profilu ryzyka
1. System informacyjny musi umożliwiać właściwym organom zidentyfikowanie w systemie informacyjnym sytuacji, w których odnośne produkty stwarzają tak wysokie ryzyko niezgodności, że wymagane jest podjęcie natychmiastowego działania przed wprowadzeniem tych odnośnych produktów do obrotu, udostępnieniem ich na rynku lub wywozem, zgodnie z art. 17 rozporządzenia (UE) 2023/1115, oraz uzyskanie przez właściwe organy informacji na potrzeby dokonania identyfikacji kontroli, które należy przeprowadzić, i do wykonania zadań powierzonych im na podstawie rozdziału 3 rozporządzenia (UE) 2023/1115.
2. Do celów ust. 1 system informacyjny musi umożliwiać właściwym organom tworzenie w systemie informacyjnym profili ryzyka, które pomogą podjąć świadomą decyzję dotyczącą wyboru podmiotów lub podmiotów handlowych, lub odnośnych produktów związanych z oświadczeniami o należytej staranności, w odniesieniu do których należy przeprowadzić kontrole. Te profile ryzyka opierają się między innymi na kryteriach ryzyka określonych w ich rocznym planie kontroli zgodnym z art. 16 ust. 5 rozporządzenia (UE) 2023/1115, który ustanawia się zgodnie z ich podejściem opartym na ryzyku zgodnie z art. 16 ust. 3 rozporządzenia (UE) 2023/1115.
3. Po przedłożeniu w systemie informacyjnym każde oświadczenie o należytej staranności podlega automatycznemu elektronicznemu utworzeniu profilu ryzyka, a system informacyjny nadaje status ryzyka każdemu oświadczeniu o należytej staranności.
4. Na każdym etapie po przedłożeniu oświadczenia o należytej staranności właściwe organy mogą dokonać przeglądu oświadczenia o należytej staranności w celu ustalenia, czy odnośny produkt jest zgodny z art. 3 rozporządzenia (UE) 2023/1115. W takim przypadku w wyniku przeglądu mogą one nadać nowy status ryzyka oświadczeniu o należytej staranności. Jeżeli właściwy organ nada oświadczeniu o należytej staranności nowy status ryzyka, taki nowy status ryzyka ma pierwszeństwo przed statusem ryzyka nadanym na podstawie ust. 3 niniejszego artykułu.
Artykuł 7
Przypisywanie i udostępnianie numerów referencyjnych
1. Po zakończeniu tworzenia profilu ryzyka, o którym mowa w art. 6, system informacyjny bez zbędnej zwłoki przypisuje numer referencyjny i numer weryfikacyjny oświadczeniu o należytej staranności złożonemu przez użytkownika systemu informacyjnego.
2. Numer referencyjny i numer weryfikacyjny udostępnia się użytkownikowi systemu informacyjnego po zakończeniu tworzenia profilu ryzyka, o którym mowa w art. 6.
3. System informacyjny musi umożliwiać właściwym organom opóźnienie udostępnienia numeru referencyjnego w celu ustalenia, czy odnośne produkty są zgodne z art. 3 rozporządzenia (UE) 2023/1115, a w szczególności w celu sprawdzenia, czy określona sytuacja, o której mowa w art. 6 ust. 1 niniejszego rozporządzenia, nie ma zastosowania do tego odnośnego produktu. Takie opóźnienie musi być jak najkrótsze i nie może przekraczać okresu określonego w art. 17 ust. 3 rozporządzenia (UE) 2023/1115. Opóźnienie to może zostać wydłużone według uznania właściwego organu.
Artykuł 8
Odrzucanie oświadczeń o należytej staranności
1. Właściwe organy mogą odrzucić oświadczenie o należytej staranności, aby zapobiec na podstawie art. 17 rozporządzenia (UE) 2023/1115 wprowadzeniu do obrotu lub udostępnieniu na rynku lub wywiezieniu odnośnego produktu niezgodnego z rozporządzeniem (UE) 2023/1115, chyba że użytkownik systemu informacyjnego uzyskał już dostęp do numeru referencyjnego oświadczenia o należytej staranności.
2. Odnośny produkt zgłoszony w odrzuconym oświadczeniu o należytej staranności uznaje się za nieobjęty oświadczeniem o należytej staranności wymaganym w art. 3 lit. c) rozporządzenia (UE) 2023/1115.
3. Odrzucenie uwzględnia się w systemie informacyjnym, przypisując danemu oświadczeniu o należytej staranności określony status.
ROZDZIAŁ III
FUNKCJE I OBOWIĄZKI ZWIĄZANE Z SYSTEMEM INFORMACYJNYM
Artykuł 9
Funkcje i obowiązki Komisji
Oprócz zadań wymienionych w art. 2 ust. 1 Komisja jest odpowiedzialna za wykonywanie następujących zadań w odniesieniu do systemu informacyjnego:
| a) | zapewnianie wiedzy, szkoleń i wsparcia, w tym pomocy technicznej, użytkownikom systemu informacyjnego i uczestnikom systemu informacyjnego w związku z korzystaniem z tego systemu; |
| b) | udzielanie dostępu uczestnikom systemu informacyjnego wyznaczonym przez każde państwo członkowskie; |
| c) | udzielanie dostępu użytkownikom systemu informacyjnego, którzy podlegają nadzorowi właściwych organów; |
| d) | przetwarzanie danych osobowych w systemie informacyjnym, jeżeli jest to wymagane na mocy niniejszego rozporządzenia, lub do celów wdrażania i egzekwowania przepisów na podstawie rozporządzenia (UE) 2023/1115; |
| e) | świadczenie usług sieciowych na rzecz użytkowników systemu informacyjnego w celu automatycznego składania w systemie informacyjnym oświadczeń o należytej staranności i zarządzania nimi; |
| f) | świadczenie usług sieciowych na rzecz właściwych organów państw członkowskich w celu automatycznego wykonywania zadań w odniesieniu do złożonych oświadczeń o należytej staranności w systemie informacyjnym; |
| g) | zapewnienie elektronicznego interfejsu zgodnie z art. 28 rozporządzenia (UE) 2023/1115; |
| h) | zawieszanie i cofanie dostępu użytkowników systemu informacyjnego na wniosek właściwych organów państwa członkowskiego, w którym dany użytkownik systemu informacyjnego ma siedzibę, lub - w przypadku gdy użytkownik ma siedzibę poza Unią - właściwych organów państwa członkowskiego, z którym użytkownik systemu informacyjnego jest powiązany zgodnie z jego identyfikatorem podanym przy rejestracji w systemie informacyjnym. |
Artykuł 10
Prawa dostępu użytkowników systemu informacyjnego
1. Dostęp do systemu informacyjnego mają wyłącznie zarejestrowani użytkownicy systemu informacyjnego.
2. Uwierzytelnianie dostępu do systemu informacyjnego odbywa się za pośrednictwem EU Login - usługi uwierzytelniania Komisji Europejskiej.
3. Użytkownicy systemu informacyjnego mają dostęp do informacji zawartych w systemie informacyjnym, które przekazali lub do których inny użytkownik systemu informacyjnego dał im dostęp, za pomocą numerów referencyjnych i numerów weryfikacyjnych powiązanych oświadczeń o należytej staranności.
Artykuł 11
Prawa dostępu uczestników systemu informacyjnego
1. Komisja ma dostęp do wszystkich danych, informacji i dokumentów w systemie informacyjnym do celów sporządzania sprawozdań oraz na potrzeby opracowywania, obsługi i utrzymania systemu.
2. Komisja przyznaje i może cofać prawa dostępu uczestnikom systemu informacyjnego w przypadku zmiany kompetencji zgodnie z art. 14 ust. 2 rozporządzenia (UE) 2023/1115.
3. Uwierzytelnianie dostępu do systemu informacyjnego odbywa się za pośrednictwem EU Login - usługi uwierzytelniania Komisji Europejskiej.
4. Uczestnicy systemu informacyjnego wprowadzają odpowiednie środki w celu zapewnienia, aby indywidualni użytkownicy reprezentujący w systemie informacyjnym uczestników systemu informacyjnego mogli uzyskać dostęp do danych osobowych przetwarzanych w systemie informacyjnym wyłącznie wtedy, gdy jest to absolutnie niezbędne do wdrożenia i egzekwowania przepisów na podstawie rozporządzenia (UE) 2023/1115.
5. Uczestnicy systemu informacyjnego mają dostęp do wszystkich istotnych informacji w systemie informacyjnym, które są niezbędne do wypełnienia ich obowiązków i wykonania zadań na podstawie rozporządzenia (UE) 2023/1115.
ROZDZIAŁ IV
PRZETWARZANIE DANYCH OSOBOWYCH I BEZPIECZEŃSTWO
Artykuł 12
Przetwarzanie danych osobowych w systemie informacyjnym
1. Przekazywanie, przechowywanie i innego rodzaju przetwarzanie danych osobowych w systemie informacyjnym może odbywać się, o ile jest to konieczne i proporcjonalne oraz wyłącznie w następujących celach:
| a) | wspieranie komunikacji między uczestnikami systemu informacyjnego w związku z wdrażaniem i egzekwowaniem przepisów na podstawie rozporządzenia (UE) 2023/1115; |
| b) | rozpatrywanie spraw przez uczestników systemu informacyjnego podczas prowadzenia własnej działalności w związku z wdrażaniem i egzekwowaniem przepisów na podstawie rozporządzenia (UE) 2023/1115; |
| c) | przeprowadzanie transformacji biznesowej i technicznej danych wymienionych w niniejszym rozporządzeniu, jeżeli jest to konieczne do umożliwienia wymiany i wykorzystania informacji, o których mowa w lit. a) i b). |
2. Przetwarzanie danych osobowych w systemie informacyjnym może się odbywać wyłącznie w odniesieniu do następujących kategorii danych osobowych:
| a) | dane dotyczące tożsamości: imię i nazwisko, niepowtarzalny identyfikator, w tym numer rejestracyjny i identyfikacyjny przedsiębiorcy („EORI”), zgodnie z art. 9 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 952/2013 (5), w stosownych przypadkach; |
| b) | służbowe dane kontaktowe: adres e-mail i adres pocztowy, państwo zamieszkania lub państwo siedziby statutowej, numer telefonu i numer faksu, w stosownych przypadkach; |
| c) | rola użytkownika systemu informacyjnego; |
| d) | dane dotyczące geolokalizacji w rozumieniu art. 2 pkt 28 rozporządzenia (UE) 2023/1115, na podstawie których można zidentyfikować poszczególne osoby; |
| e) | dane uwierzytelniające użytkownika i dane dostępu umożliwiające dostęp do systemu informacyjnego: adres IP i nazwa użytkownika. |
3. W systemie informacyjnym przechowuje się kategorie danych osobowych wymienione w ust. 2 przetworzone w celu wdrożenia i egzekwowania przepisów na podstawie rozporządzenia (UE) 2023/1115.
4. Przechowywanie danych, o których mowa w ust. 2, odbywa się z wykorzystaniem infrastruktury informatycznej znajdującej się na terytorium Europejskiego Obszaru Gospodarczego.
5. System informacyjny przechowuje dane osobowe zawarte w oświadczeniach o należytej staranności przez okres nie dłuższy niż dziesięć lat od daty złożenia oświadczenia o należytej staranności w systemie informacyjnym. Komisja może dodatkowo przedłużyć okres przechowywania danych na indywidualny wniosek użytkowników systemu informacyjnego lub uczestników systemu informacyjnego, jeżeli jest to konieczne do wypełnienia ich odpowiedzialności i obowiązków wynikających z rozporządzenia (UE) 2023/1115.
6. Bez uszczerbku dla czynności przetwarzania danych określonych w art. 14 każdy uczestnik systemu informacyjnego jest odrębnym administratorem w rozumieniu rozporządzeń (UE) 2016/679 oraz (UE) 2018/1725 w odniesieniu do czynności przetwarzania danych wykonywanych przez tego uczestnika systemu informacyjnego.
7. Krajowe organy nadzorcze i Europejski Inspektor Ochrony Danych, działając w ramach swoich odpowiednich kompetencji, zapewniają skoordynowany nadzór nad systemem informacyjnym oraz korzystaniem z niego przez uczestników systemu informacyjnego i użytkowników systemu informacyjnego zgodnie z art. 62 rozporządzenia (UE) 2018/1725.
Artykuł 13
Przetwarzanie danych osobowych przez Komisję
1. Komisja jest administratorem w rozumieniu art. 3 pkt 8 rozporządzenia (UE) 2018/1725 w odniesieniu do przetwarzania danych osobowych użytkowników systemu informacyjnego, w tym przetwarzania danych osobowych podczas rejestracji użytkowników systemu informacyjnego w systemie informacyjnym.
2. W przypadku gdy Komisja przetwarza dane osobowe w ramach funkcjonowania systemu informacyjnego w imieniu innych uczestników systemu informacyjnego do celów wymiany informacji na podstawie art. 27 rozporządzenia (UE) 2023/1115, uznaje się ją za podmiot przetwarzający w rozumieniu art. 3 pkt 12 rozporządzenia (UE) 2018/1725.
3. Komisja jest podmiotem przetwarzającym w rozumieniu art. 3 pkt 12 rozporządzenia (UE) 2018/1725 w odniesieniu do przetwarzania danych osobowych prowadzonego na potrzeby wspólnych dochodzeń prowadzonych na podstawie art. 21 rozporządzenia (UE) 2023/1115 w kontekście wdrażania i egzekwowania przepisów na podstawie rozporządzenia (UE) 2023/1115.
Artykuł 14
Współadministrowanie systemem informacyjnym
W przypadku gdy właściwe organy i organy celne w rozumieniu rozporządzenia (UE) 2023/1115 wdrażają i egzekwują przepisy we współpracy zgodnie z art. 21 rozporządzenia (UE) 2023/1115, zainteresowane właściwe organy i organy celne są współadministratorami w rozumieniu art. 26 ust. 1 rozporządzenia (UE) 2016/679 w odniesieniu do przekazywania, przechowywania i innego przetwarzania danych osobowych w systemie informacyjnym w kontekście takiej konkretnej współpracy. Jeżeli jest to wymagane zgodnie z art. 26 ust. 1 rozporządzenia (UE) 2016/679, administratorzy określają swoje odpowiednie obowiązki w zakresie wypełniania obowiązków wynikających z rozporządzenia (UE) 2016/679 w drodze wzajemnych uzgodnień.
Artykuł 15
Bezpieczeństwo
1. Komisja wprowadza najnowocześniejsze środki niezbędne do zapewnienia bezpieczeństwa danych osobowych przetwarzanych w systemie informacyjnym, w tym stosowną kontrolę dostępu do danych oraz plan bezpieczeństwa, który podlega stałej aktualizacji.
2. Komisja wprowadza niezbędne, najnowocześniejsze środki w przypadku incydentu cyberbezpieczeństwa, podejmuje działania naprawcze i zapewnia możliwość sprawdzenia, jakie dane osobowe zostały przetworzone w systemie informacyjnym, kiedy, przez kogo i w jakim celu.
3. Komisja informuje właściwe organy o środkach dotyczących ust. 1 i 2 niniejszego artykułu.
Artykuł 16
Poufność
1. Każde państwo członkowskie i Komisja stosują własne przepisy dotyczące tajemnicy zawodowej lub innych równoważnych obowiązków zachowania poufności wobec systemu informacyjnego i użytkowników systemu informacyjnego zgodnie z prawem krajowym lub unijnym.
2. Każdy uczestnik systemu informacyjnego zapewnia, aby osoby pracujące pod jego zwierzchnictwem zaspokajały żądania innych uczestników systemu informacyjnego dotyczących poufnego traktowania informacji wymienianych w systemie informacyjnym.
ROZDZIAŁ V
PRZEPISY KOŃCOWE
Artykuł 17
Tłumaczenie
1. Komisja udostępnia system informacyjny we wszystkich językach urzędowych Unii.
2. Uczestnik systemu informacyjnego może sporządzić i wykorzystywać, w związku z wykonywaniem któregokolwiek z zadań powierzonych mu zgodnie z rozporządzeniem (UE) 2023/1115, wszelkie informacje, dokumenty, ustalenia, oświadczenia lub poświadczone za zgodność z oryginałem kopie otrzymane w systemie informacyjnym, na takich samych zasadach co podobne informacje uzyskane w jego własnym państwie, do celów zgodnych z celami, do których dane zostały pierwotnie zebrane, oraz zgodnie z odpowiednimi przepisami unijnymi i krajowymi.
Artykuł 18
Koszty
1. Koszty poniesione w związku z utworzeniem, utrzymaniem i eksploatacją systemu informacyjnego ponosi Komisja.
2. Koszty związane z systemem informacyjnym na poziomie państw członkowskich, w tym koszty zasobów ludzkich niezbędnych do prowadzenia szkoleń, promocji, zapewnienia pomocy technicznej, a także użytkowania systemu informacyjnego na szczeblu krajowym, oraz koszty wszelkich niezbędnych dostosowań krajowych sieci i systemów informacyjnych pokrywa państwo członkowskie, które je ponosi.
Artykuł 19
Wejście w życie
Niniejsze rozporządzenie wchodzi w życie trzeciego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.
Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.
Sporządzono w Brukseli dnia 4 grudnia 2024 r.
W imieniu Komisji
Przewodnicząca
Ursula VON DER LEYEN
(1) Dz.U. L 150 z 9.6.2023, s. 206, ELI: http://data.europa.eu/eli/reg/2023/1115/oj.
(2) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2017/625 z dnia 15 marca 2017 r. w sprawie kontroli urzędowych i innych czynności urzędowych przeprowadzanych w celu zapewnienia stosowania prawa żywnościowego i paszowego oraz zasad dotyczących zdrowia i dobrostanu zwierząt, zdrowia roślin i środków ochrony roślin, zmieniające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 999/2001, (WE) nr 396/2005, (WE) nr 1069/2009, (WE) nr 1107/2009, (UE) nr 1151/2012, (UE) nr 652/2014, (UE) 2016/429 i (UE) 2016/2031, rozporządzenia Rady (WE) nr 1/2005 i (WE) nr 1099/2009 oraz dyrektywy Rady 98/58/WE, 1999/74/WE, 2007/43/WE, 2008/119/WE i 2008/120/WE, oraz uchylające rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 854/2004 i (WE) nr 882/2004, dyrektywy Rady 89/608/EWG, 89/662/EWG, 90/425/EWG, 91/496/EWG, 96/23/WE, 96/93/WE i 97/78/WE oraz decyzję Rady 92/438/EWG (rozporządzenie w sprawie kontroli urzędowych) (Dz.U. L 95 z 7.4.2017, s. 1, ELI: http://data.europa.eu/eli/reg/2017/625/oj).
(3) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. L 119 z 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(4) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
(5) Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 952/2013 z dnia 9 października 2013 r. ustanawiające unijny kodeks celny (Dz.U. L 269 z 10.10.2013, s. 1, ELI: http://data.europa.eu/eli/reg/2013/952/oj).
POTRZEBUJESZ POMOCY?Konsultanci pracują od poniedziałku do piątku w godzinach 8:00 - 17:00
