Δήλωση Απορρήτου

ΚΕΝΤΡΙΚΟ ΗΛΕΚΤΡΟΝΙΚΟ ΣΥΣΤΗΜΑ ΠΛΗΡΟΦΟΡΙΩΝ ΓΙΑ ΠΛΗΡΩΜΕΣ (Central Electronic System of Payments information – «CESOP»)

- ΔΗΛΩΣΗ ΠΡΟΣΤΑΣΙΑΣ ΠΡΟΣΩΠΙΚΩΝ ΔΕΔΟΜΕΝΩΝ - 

Η επεξεργασία των δεδομένων προσωπικού χαρακτήρα διενεργείται από τις αρμόδιες αρχές των Κρατών Μελών που αναφέρονται στο άρθρο 3 του Κανονισμού (ΕΕ) αριθμ. 904/2010 του Συμβουλίου σχετικά με τη διοικητική συνεργασία και την καταπολέμηση της απάτης στον τομέα του φόρου προστιθέμενης αξίας. Οι αρχές αυτές απαριθμούνται στην Επίσημη Εφημερίδα της Ευρωπαϊκής Ένωσης (2017/C 155/03) και ενεργούν από κοινού ως υπεύθυνοι επεξεργασίας. Εφεξής, οι αρμόδιες αρχές των Κρατών Μελών θα αναφέρονται ως «εμείς» ή «εμάς» ή «μας». Η Επιτροπή ενεργεί για λογαριασμό των αρμόδιων αρχών των Κρατών Μελών υπό την ιδιότητα του εκτελούντος την επεξεργασία.

Όπου στο παρόν έγγραφο γίνεται αναφορά σε «εσείς» ή «σας» ως το υποκείμενο των δεδομένων, η αναφορά αυτή περιλαμβάνει επίσης και τα υποκείμενα των δεδομένων που είναι υποκείμενα φόρου.

1. Εισαγωγή

Εμείς, οι αρμόδιες αρχές των Κρατών Μελών, δεσμευόμαστε να προστατεύουμε και να σεβόμαστε την ιδιωτικότητά σας. 

Καθόσον το Κεντρικό Ηλεκτρονικό Σύστημα πληροφοριών για Πληρωμές (Central Electronic System of Payments information – «CESOP») επεξεργάζεται δεδομένα προσωπικού χαρακτήρα, εφαρμόζεται ο Κανονισμός (ΕΕ) 2016/679 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου της 27ης Απριλίου 2016 για την προστασία των φυσικών προσώπων έναντι της επεξεργασίας των δεδομένων προσωπικού χαρακτήρα και για την ελεύθερη κυκλοφορία των δεδομένων αυτών και την κατάργηση τηςΟδηγίας 95/46/ΕΚ (Γενικός Κανονισμός για την Προστασία Δεδομένων – GDPR).

Η παρούσα δήλωση προστασίας προσωπικών δεδομένων εξηγεί τους λόγους για την επεξεργασία των δεδομένων προσωπικού χαρακτήρα σας, τον τρόπο με τον οποίο αυτά συλλέγονται και τυγχάνουν χειρισμού, καθώς και τον τρόπο με τον οποίο διασφαλίζεται η προστασία των προσωπικού χαρακτήρα δεδομένων σας. Επιπλέον, η παρούσα δήλωση προστασίας προσωπικών δεδομένων καλύπτει τα εξής:

• ποια από τα προσωπικού χαρακτήρα δεδομένα σας υποβάλλονται σε επεξεργασία,
• πώς χρησιμοποιούνται τα προσωπικού χαρακτήρα δεδομένα σας,
• για πόσο χρονικό διάστημα τα προσωπικού χαρακτήρα δεδομένα σας διατηρούνται/αποθηκεύονται,
• ποιοι έχουν πρόσβαση στα προσωπικού χαρακτήρα δεδομένα σας,
• ποια είναι τα δικαιώματά σας ως υποκειμένου των δεδομένων και
• πώς μπορείτε να ασκήσετε τα δικαιώματά σας.

Εμείς, οι αρμόδιες αρχές των Κρατών Μελών, ενεργούμε ως από κοινού υπεύθυνοι επεξεργασίας, ενώ η Ευρωπαϊκή Επιτροπή ενεργεί αποκλειστικά υπό την ιδιότητα του εκτελούντος την επεξεργασία.

2. Γιατί επεξεργαζόμαστε τα προσωπικού χαρακτήρα δεδομένα σας; 

Οι πάροχοι υπηρεσιών πληρωμών (Payment Service Providers – PSPs) που προσφέρουν υπηρεσίες πληρωμών στην Ευρωπαϊκή Ένωση υποχρεούνται να παρακολουθούν τους δικαιούχους (αποδέκτες / payees) των διασυνοριακών πληρωμών. Από την 1η Ιανουαρίου 2024, αυτοί υποχρεούνται να διαβιβάζουν πληροφορίες σχετικά με τα πρόσωπα που λαμβάνουν περισσότερες από 25 διασυνοριακές πληρωμές ανά τρίμηνο στις αρμόδιες διοικήσεις των Κρατών Μελών της Ευρωπαϊκής Ένωσης. 

Οι πληροφορίες αυτές αποθηκεύονται στη βάση δεδομένων του Κεντρικού Ηλεκτρονικού Συστήματος πληροφοριών για Πληρωμές (Central Electronic System of Payments information – «CESOP»), όπου θα συγκεντρώνονται και θα διασταυρώνονται με άλλες ευρωπαϊκές βάσεις δεδομένων. Όλες οι πληροφορίες στο CESOP καθίστανται διαθέσιμες στους εμπειρογνώμονες καταπολέμησης της απάτης των Κρατών Μελών μέσω του Eurofisc, του δικτύου της Ευρωπαϊκής Ένωσης των εμπειρογνωμόνων επί θεμάτων καταπολέμησης της απάτης από 27 Κράτη Μέλη και τη Νορβηγία.

Τα νέα αυτά μέτρα παρέχουν στις φορολογικές αρχές των Κρατών Μελών τα κατάλληλα εργαλεία για να εντοπίζουν πιθανούς κινδύνους ΦΠΑ και περιπτώσεις απάτης στον τομέα του ΦΠΑ που διαπράττονται από πωλητές εγκατεστημένους σε άλλο Κράτος Μέλος ή σε τρίτη χώρα εκτός ΕΕ. 

Επιτρέπεται να επεξεργαζόμαστε τα προσωπικού χαρακτήρα δεδομένα σας βάσει των εξής:

• Οδηγία 2006/112/ΕΚ του Συμβουλίου
• Κανονισμός (ΕΕ) αριθμ. 904/2010 του Συμβουλίου
• Εκτελεστικός Κανονισμός (ΕΕ) 2022/1504 της Επιτροπής
• Εκτελεστικός Κανονισμός (ΕΕ) αριθμ. 79/2012 της Επιτροπής
• Κανονισμός (ΕΕ) 2020/283 του Συμβουλίου
• Εθνική νομοθεσία περί ΦΠΑ

Η νομική βάση για τις πληροφορίες που οφείλουν να παρέχουν οι πάροχοι υπηρεσιών πληρωμών (PSPs) καθορίζεται στην Οδηγία 2006/112/ΕΚ του Συμβουλίου.

Η νομική βάση για την ανταλλαγή δεδομένων και πληροφοριών ΦΠΑ είναι ο Κανονισμός (ΕΕ) αριθμ. 904/2010 του Συμβουλίου, της 7ης Οκτωβρίου 2010, σχετικά με τη διοικητική συνεργασία και την καταπολέμηση της απάτης στον τομέα του φόρου προστιθέμενης αξίας, καθώς και ο Εκτελεστικός Κανονισμός (ΕΕ) αριθμ. 79/2012 της Επιτροπής, της 31ης Ιανουαρίου 2012.

Στο πλαίσιο του εύρους των δεδομένων που υποβάλλονται στο Κεντρικό Ηλεκτρονικό Σύστημα πληροφοριών για Πληρωμές (Central Electronic System of Payments information – «CESOP»), επεξεργαζόμαστε τα προσωπικού χαρακτήρα δεδομένα σας προκειμένου να εντοπίσουμε απώλεια ΦΠΑ/αποφυγή ΦΠΑ, ιδίως πιθανούς κινδύνους ΦΠΑ στο διασυνοριακό ηλεκτρονικό εμπόριο και απάτη ΦΠΑ, καθώς και για να λάβουμε τα αναγκαία μέτρα για την καταπολέμηση οποιασδήποτε μορφής παράνομης δραστηριότητας συναφούς με αυτά.

Όλες οι πληροφορίες στο Κεντρικό Ηλεκτρονικό Σύστημα πληροφοριών για Πληρωμές (Central Electronic System of Payments information – «CESOP») καθίστανται διαθέσιμες στους εμπειρογνώμονες καταπολέμησης της απάτης των Κρατών Μελών μέσω του Eurofisc, με πλήρη συμμόρφωση προς τις αρχές που καθορίζονται στον Κανονισμό (ΕΕ) 2016/679 (GDPR). Το ίδιο περιλαμβάνει και την αυτοματοποιημένη λήψη αποφάσεων, όπου αυτή εφαρμόζεται.

Τα δεδομένα που αποστέλλονται στα Κράτη Μέλη δύνανται να αποθηκεύονται και να υποβάλλονται σε επεξεργασία από τα αντίστοιχα Κράτη Μέλη εκτός του Κεντρικού Ηλεκτρονικού Συστήματος πληροφοριών για Πληρωμές, σύμφωνα με την εκάστοτε εθνική νομοθεσία και βάσει των εθνικών Δηλώσεων προστασίας προσωπικών δεδομένων.
 

3. Ποια δεδομένα προσωπικού χαρακτήρα συλλέγουμε και υποβάλλουμε σε επεξεργασία;

Δεδομένα προσωπικού χαρακτήρα σημαίνουν κάθε πληροφορία που σας αφορά ως ταυτοποιημένο ή ταυτοποιήσιμο φυσικό πρόσωπο (οι δικαιούχοι δεν χρειάζεται να επιβεβαιωθούν για τον σκοπό αυτό)

Τα ακόλουθα (είδη) δεδομένων προσωπικού χαρακτήρα υποβάλλονται σε επεξεργασία:             
 

1. Όνομα Δικαιούχου

2. Αριθμός ΦΠΑ Δικαιούχου / ΑΦΜ / άλλος αριθμός ταυτοποίησης

3. Διεύθυνση Δικαιούχου [1]

Για την εκτέλεση των δραστηριοτήτων μας, αιτούμεθα και λαμβάνουμε τα προσωπικού χαρακτήρα δεδομένα σας από τους παρόχους υπηρεσιών πληρωμών (PSPs), συμπεριλαμβανομένων των παραλλαγών των εν λόγω δεδομένων προσωπικού χαρακτήρα που αποθηκεύονται για τα υποκείμενα των δεδομένων. Οι εν λόγω παραλλαγές πρέπει να παρέχονται σε περίπτωση αιτήματος πρόσβασης σε δεδομένα.            

1. Νομιμότητα της πράξης επεξεργασίας

Η επεξεργασία είναι νόμιμη και αναγκαία για τη συμμόρφωση με νομική υποχρέωση στην οποία υπαγόμαστε εμείς, οι αρμόδιες αρχές των Κρατών Μελών, ή όταν η επεξεργασία είναι αναγκαία για την εκτέλεση καθήκοντος που ασκείται προς το δημόσιο συμφέρον ή κατά την άσκηση δημόσιας εξουσίας που έχει ανατεθεί σε θεσμικό όργανο ή οργανισμό της Ένωσης. Η νομική βάση για την παροχή επιβεβαίωσης της εγκυρότητας ενός αριθμού φορολογικού μητρώου ΦΠΑ, καθώς και του σχετικού ονόματος και της διεύθυνσης, είναι το Κεφάλαιο V του Κανονισμού (ΕΕ) αριθμ. 904/2010 του Συμβουλίου.   
 

4. Για πόσο χρόνο διατηρούμε τα δεδομένα σας;

Για τους σκοπούς του Κεντρικού Ηλεκτρονικού Συστήματος πληροφοριών για Πληρωμές (Central Electronic System of Payments information – «CESOP») και σύμφωνα με το άρθρο 1 παράγραφος 2 στοιχείο (γ) του Κανονισμού (ΕΕ) 2020/283 του Συμβουλίου, καθώς και με το άρθρο 24γ του Κανονισμού (ΕΕ) αριθμ. 904/2010 του Συμβουλίου, η Επιτροπή, για λογαριασμό των Κρατών Μελών, αποθηκεύει τα δεδομένα σας για περίοδο διατήρησης πέντε (5) ετών από το τέλος του έτους εντός του οποίου της διαβιβάστηκαν οι πληροφορίες.
         

5. Πώς προστατεύουμε τα δεδομένα σας;

Η Επιτροπή διασφαλίζει ότι έχουν τεθεί σε εφαρμογή όλα τα κατάλληλα οργανωτικά και τεχνικά μέτρα ασφαλείας, με σκοπό την προστασία των προσωπικού χαρακτήρα δεδομένων σας από τυχαία ή παράνομη καταστροφή ή απώλεια, καθώς και από μη εξουσιοδοτημένη πρόσβαση, αλλοίωση ή διαβίβαση. 

Έχουμε εφαρμόσει τα ακόλουθα μέτρα ασφαλείας:

• ασφαλή κανάλια επικοινωνίας για την προστασία των δεδομένων κατά τη διαβίβαση,
• κρυπτογράφηση των δεδομένων από την Επιτροπή για την προστασία των δεδομένων που συλλέγονται σε επίπεδο κεντρικού συστήματος CESOP,
• καθορισμένες διαδικασίες για τη διαχείριση της πρόσβασης του χρήστη,
• μηχανισμούς ελέγχου πρόσβασης χρήστη για την αποτροπή μη εξουσιοδοτημένης πρόσβασης στα κεντρικά δεδομένα του CESOP,
• κεντρική παρακολούθηση και έλεγχο των πτυχών ποιότητας των δεδομένων από την Επιχειρησιακή Ομάδα του CESOP,
• αυτοματοποιημένους μηχανισμούς για τη διασφάλιση ότι η αποθήκευση των δεδομένων στο σύστημα συμμορφώνεται με τις πολιτικές διατήρησης δεδομένων.   

Ο παραπάνω κατάλογος δεν είναι εξαντλητικός.

Η χρήση της υπηρεσίας του κεντρικού CESOP παρακολουθείται και αναλύεται στενά σε καθημερινή βάση από την Ευρωπαϊκή Επιτροπή, ήτοι από τους αναδόχους της, με σκοπό την παρεμπόδιση καταχρηστικής χρήσης του CESOP. Σε περιπτώσεις όπου ορισμένες ενέργειες αναγνωρισθούν ως καταχρηστική χρήση της υπηρεσίας, ο αποστολέας του αιτήματος (συγκεκριμένες διευθύνσεις IP) θα αποκλείεται και θα λαμβάνονται τα κατάλληλα μέτρα.

Τα συστήματα της Ευρωπαϊκής Επιτροπής ή των αναδόχων της, που διενεργούν πράξεις επεξεργασίας για λογαριασμό της Ευρωπαϊκής Επιτροπής, συμμορφώνονται με την Απόφαση (ΕΕ, Ευρατόμ) 2017/46 της Επιτροπής, της 10ης Ιανουαρίου 2017, σχετικά με την ασφάλεια των συστημάτων επικοινωνίας  και πληροφοριών στην Ευρωπαϊκή Επιτροπή.

Οι ανάδοχοι της Επιτροπής δεσμεύονται από ειδική συμβατική ρήτρα για κάθε πράξη επεξεργασίας των δεδομένων σας για λογαριασμό ημών ή της Επιτροπής, καθώς και από τις υποχρεώσεις εμπιστευτικότητας που απορρέουν από τη μεταφορά στην εθνική έννομη τάξη του Κανονισμού (ΕΕ) 2018/1725 του Ευρωπαϊκού Κοινοβουλίου και του Συμβουλίου, της 23ης Οκτωβρίου 2018, σχετικά με την προστασία των φυσικών προσώπων έναντι της επεξεργασίας δεδομένων προσωπικού χαρακτήρα από τα θεσμικά και λοιπά όργανα, και τους οργανισμούς της Ένωσης και την ελεύθερη κυκλοφορία των δεδομένων αυτών και για την κατάργηση του Κανονισμού (ΕΚ) αριθμ. 45/2001 και της Απόφασης αριθμ. 1247/2002/ΕΚ.

Για την ανάπτυξη και τη συντήρηση του συστήματος πληροφορικής, η Επιτροπή συνάπτει συμβάσεις με εξωτερικούς παρόχους υπηρεσιών (αναδόχους). Οι ανάδοχοι αυτοί διαθέτουν υπεύθυνο ασφαλείας που τον έχουν ορίσει, του οποίου ο ρόλος είναι να διασφαλίζει την επαρκή εφαρμογή των μέτρων ασφαλείας. Η συμμόρφωση με τον κανονισμό για την προστασία των δεδομένων απαιτείται δυνάμει επιμέρους συμβάσεων.

6. Ποιοι έχουν πρόσβαση στα δεδομένα σας και σε ποιους αυτά γνωστοποιούνται;

Σύμφωνα με το άρθρο 24δ του Κανονισμού (ΕΕ) αριθμ. 904/2010 του Συμβουλίου, πρόσβαση στο CESOP παρέχεται αποκλειστικά σε υπαλλήλους συνδέσμους του Eurofisc, οι οποίοι διαθέτουν ταυτοποίηση προσωπικού χρήστη για το CESOP και μόνο όταν η πρόσβαση αυτή συνδέεται με έρευνα για πιθανούς κινδύνους ΦΠΑ ή αποσκοπεί στον εντοπισμό απάτης σχετικής με τον ΦΠΑ.

Η Επιτροπή έχει θεσπίσει τα αναγκαία μέτρα διασφάλισης και έχει συνάψει συμφωνίες με τους εταίρους της, ώστε να εξασφαλίζεται ότι το επαρκές επίπεδο προστασίας των προσωπικού χαρακτήρα δεδομένων σας δεν τίθεται σε κίνδυνο.      
 

7. Ποια είναι τα δικαιώματά σας και πώς μπορείτε να τα ασκήσετε;

1. Δικαίωμα πρόσβασης του υποκειμένου των δεδομένων

Έχετε, ανά πάσα στιγμή, το δικαίωμα πρόσβασης και διόρθωσης των προσωπικού χαρακτήρα δεδομένων σας που λαμβάνονται από τους παρόχους υπηρεσιών πληρωμών (PSPs), σύμφωνα με το άρθρο 15 και επ. του Κανονισμού (ΕΕ) 2016/679, και/ή σε περίπτωση που τα δεδομένα είναι ανακριβή ή ελλιπή. Σύμφωνα με την εθνική νομοθεσία και όπως εξηγείται στην ενότητα 7.3, ενδέχεται να έχετε δικαιώματα πρόσβασης, ενημέρωσης και διόρθωσης. Ωστόσο, το πεδίο εφαρμογής των δικαιωμάτων σας μπορεί να περιορίζεται, σύμφωνα με το άρθρο 55 του Κανονισμού (ΕΕ) αριθ. 904/2010 του Συμβουλίου, μόνο στον βαθμό που είναι απολύτως αναγκαίος για τη διασφάλιση των συμφερόντων που αναφέρονται στο στοιχείο (ε) της παραγράφου 1 του άρθρου 23 του Κανονισμού (ΕΕ) 2016/679.  

2.  Άσκηση των δικαιωμάτων σας

Μπορείτε να ασκήσετε τα δικαιώματά σας επικοινωνώντας με οποιοδήποτε ή και με όλα τα Κράτη Μέλη υπό την ιδιότητά τους ως Υπεύθυνοι Επεξεργασίας. Ο κατάλογος των εθνικών πυλών CESOP (national CESOP portals) χρησιμεύει για τη διευκόλυνση της επικοινωνίας με το αρμόδιο σημείο επαφής, βάσει του κωδικού χώρας του IBAN λογαριασμού σας. 

Εάν θεωρείτε ότι τα δικαιώματά σας παραβιάζονται με οποιονδήποτε τρόπο, έχετε το δικαίωμα να υποβάλετε καταγγελία στην Εθνική Αρχή που είναι αρμόδια στη δικαιοδοσία εντός της οποίας ενδέχεται να έχουν παραβιαστεί τα δικαιώματά σας, καθώς και στην αρμόδια εθνική αρχή που έχει εκδώσει τον αριθμό φορολογικού μητρώου ΦΠΑ, ακολουθώντας την εφαρμοστέα εθνική διαδικασία.  
 
3.  Περιορισμοί στα δικαιώματά σας

Έχετε επίσης το δικαίωμα να αντιταχθείτε στην επεξεργασία των προσωπικού χαρακτήρα δεδομένων σας για νόμιμους και επιτακτικούς λόγους, εκτός εάν:

• τα δεδομένα προσωπικού χαρακτήρα συλλέγονται προκειμένου να τηρηθεί νομική υποχρέωση, ή
• η επεξεργασία είναι αναγκαία για την εκτέλεση σύμβασης στην οποία είστε συμβαλλόμενο μέρος, ή
• τα δεδομένα προσωπικού χαρακτήρα πρόκειται να χρησιμοποιηθούν για σκοπό για τον οποίο έχετε παράσχει σαφή και ρητή συγκατάθεση.

 4. Τι θα συμβεί σε περίπτωση παραβίασης δεδομένων

Σε περίπτωση παραβίασης δεδομένων, θα διαχειριστούμε το περιστατικό σύμφωνα με τον Γενικό Κανονισμό για την Προστασία των Δεδομένων (GDPR)) και την εθνική μας νομοθεσία.

Όταν η παραβίαση δεδομένων προσωπικού χαρακτήρα ενδέχεται να έχει ως αποτέλεσμα υψηλό κίνδυνο για τα δικαιώματα και τις ελευθερίες σας, θα σας ενημερώσουμε άμεσα, προκειμένου να μπορέσετε να λάβετε τα αναγκαία προληπτικά μέτρα.
 

8. Στοιχεία επικοινωνίας 

Εάν έχετε σχόλια ή ερωτήσεις, οποιαδήποτε ανησυχία ή παράπονο σχετικά με τη συλλογή και χρήση των προσωπικού χαρακτήρα δεδομένων σας, μπορείτε να επικοινωνήσετε με την αντίστοιχη αρμόδια εθνική αρχή.

Περίληψη των στοιχείων επικοινωνίας:

[1] Διεύθυνση δικαιούχου, συμπεριλαμβανομένων όλων των παραλλαγών των εν λόγω δεδομένων προσωπικού χαρακτήρα που είναι αποθηκευμένα για τα υποκείμενα των δεδομένων.