This document is an excerpt from the EUR-Lex website
Document 32024R0436
Commission Delegated Regulation (EU) 2024/436 of 20 October 2023 supplementing Regulation (EU) 2022/2065 of the European Parliament and of the Council, by laying down rules on the performance of audits for very large online platforms and very large online search engines
Kommissionens delegerede forordning (EU) 2024/436 af 20. oktober 2023 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) 2022/2065 for så vidt angår fastsættelse af regler om gennemførelse af revision af meget store onlineplatforme og meget store onlinesøgemaskiner
Kommissionens delegerede forordning (EU) 2024/436 af 20. oktober 2023 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) 2022/2065 for så vidt angår fastsættelse af regler om gennemførelse af revision af meget store onlineplatforme og meget store onlinesøgemaskiner
C/2023/6807
EUT L, 2024/436, 2.2.2024, ELI: http://data.europa.eu/eli/reg_del/2024/436/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force: This act has been changed. Current consolidated version:
02/02/2024
|
Tidende |
DA Serie L |
|
2024/436 |
2.2.2024 |
KOMMISSIONENS DELEGEREDE FORORDNING (EU) 2024/436
af 20. oktober 2023
om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) 2022/2065 for så vidt angår fastsættelse af regler om gennemførelse af revision af meget store onlineplatforme og meget store onlinesøgemaskiner
EUROPA-KOMMISSIONEN HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde,
under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2022/2065 af 19. oktober 2022 om et indre marked for digitale tjenester og om ændring af direktiv 2000/31/EF (forordning om digitale tjenester) (1), særlig artikel 37, stk. 7, og
ud fra følgende betragtninger:
|
(1) |
Uafhængige revisioner er et vigtigt redskab i tilsynet med, at udbydere af meget store onlineplatforme og meget store onlinesøgemaskiner overholder deres forpligtelser i henhold til forordning (EU) 2022/2065. Selv om der er fastsat andre ansvarlighedsværktøjer i nævnte forordning, ikke mindst gennem øget offentlig kontrol med gennemsigtighedsrapporter og andre krav om offentliggørelse af data, spiller uafhængige revisionsinstanser en særlig rolle i vurderingen af sådanne udbyderes overholdelse af nævnte forordning på et tidligt tidspunkt. Konklusionerne og resultaterne af sådanne uafhængige revisioner og anbefalingerne herfra kan underrette tilsynet på en formålstjenlig måde. Samtidig udgør uafhængige revisioner en af flere kilder til oplysninger og analyser, som tilsynsmyndighederne kan anvende i deres tilsyns- og håndhævelsesrolle. |
|
(2) |
For at sikre, at uafhængige revisioner foretages på en effektiv, virkningsfuld, rettidig og sammenlignelig måde fra datoen for anvendelse af forordning (EU) 2022/2065, som defineret i samme forordnings artikel 92 og 93, bør Kommissionen fastsætte regler for gennemførelsen af revisioner, navnlig for så vidt angår de retlige forpligtelser for udbydere, der er underlagt revision, og de proceduremæssige skridt med henblik på at sikre, at instanser, der gennemfører revisioner, opfylder betingelserne om uafhængighed, ingen interessekonflikter, ekspertise og faglig etik som fastsat i artikel 37, stk. 3, i forordning (EU) 2022/2065. |
|
(3) |
For at lette en hensigtsmæssig gennemførelse af revisioner med et højt ekspertiseniveau og foregribe utilsigtede konsekvenser på markedet for revisionstjenester bør det præciseres, at revisioner, der foretages i overensstemmelse med artikel 37 i forordning (EU) 2022/2065, kan udføres af flere revisorer. Hvis det er nødvendigt, f.eks. på grund af behovet for særlig ekspertise inden for revision af visse forpligtelser eller tilsagn, f.eks. vedrørende udformningen og funktionen af algoritmiske systemer, forståelse for risiciene for de grundlæggende rettigheder eller spredningen af ulovligt indhold, kan udbyderen, der er underlagt revision, indgå aftale med forskellige revisionsinstanser eller et konsortium af instanser om at foretage revisionen. Revisionsinstanserne kan også give den nødvendige ekspertise i underentreprise, forudsat at både revisionsinstansen og underleverandørerne opfylder de nødvendige betingelser om uafhængighed, ikke-interessekonflikt, udviser objektivitet og overholder fagetiske standarder, og at de samlet set opfylder betingelserne om teknisk ekspertise. I sådanne tilfælde bør udbyderen, der er underlagt revision, stadig sikre, at dennes opfyldelse af alle de i artikel 37, stk. 1, i forordning (EU) 2022/2065 omhandlede forpligtelser og tilsagn, revideres mindst én gang om året. |
|
(4) |
Revisionserklæringerne, som er fastsat i artikel 37, stk. 4, litra g), i forordning (EU) 2022/2065, bør fremsættes af revisionsinstanser med et rimeligt niveau af revisionssikkerhed. For at opnå et rimeligt niveau af revisionssikkerhed bør revisionsinstansen have en høj, men ikke absolut, grad af tillid til, at der ikke har været nogen ukorrekte angivelser såsom udeladelser, urigtige oplysninger eller fejl, som ikke er blevet opdaget under revisionen. For at sikre et sådant niveau af revisionssikkerhed bør revisionsinstansen bl.a. indhente tilstrækkelig dokumentation og anvende passende revisionsmetoder i sin vurdering. |
|
(5) |
I henhold til artikel 37, stk. 1, i forordning (EU) 2022/2065 bør der gennemføres uafhængige revisioner mindst én gang om året i overensstemmelse med den årlige cyklus af risikovurderinger som fastsat i nævnte forordnings artikel 34. I visse tilfælde kan det dog være nødvendigt at foretage hyppigere revisioner. Rækkefølgen af revisioner bør sikre et kontinuerligt tilsyn med, at udbyderne, der er underlagt revision, overholder forordning (EU) 2022/2065 og relevante adfærdskodekser og kriseprotokoller. Udbyderen, der er underlagt revision, bør sikre, at den periode, hvor en given revision vurderer opfyldelsen af de forpligtelser og tilsagn, der er underlagt revision, supplerer den periode, der er omfattet af den foregående revision af udbyderens opfyldelse af disse forpligtelser og tilsagn, og at den begynder senest ved afslutningen af den af foregående revision omfattede periode. Da konklusionen på en revision omfatter både revisionsinstansens vurdering og udarbejdelsen af en revisionsrapport, bør de udbydere, der er underlagt revision, sikre, at revisionens varighed gør det muligt at afslutte revisioner mindst én gang om året, og at revisionsrapporterne derefter fremsendes til Kommissionen og koordinatoren for digitale tjenester uden unødig forsinkelse, jf. artikel 42, stk. 4, i forordning (EU) 2022/2065. |
|
(6) |
Selv om udbydere, der er underlagt revision, under ingen omstændigheder bør forsøge at øve indflydelse på gennemførelsen af revisionen og dens konklusioner, skal de opfylde deres forpligtelser i henhold til artikel 37 i forordning (EU) 2022/2065, herunder ved at aftale kontraktmæssige vilkår med revisionsinstansen og inden udvælgelsen af en revisionsinstans kontrollere, at denne instans opfylder betingelserne i artikel 37, stk. 3, i forordning (EU) 2022/2065. |
|
(7) |
Udbyderen, der er underlagt revision, bør f.eks. vurdere kontrakter, som denne tidligere har indgået med revisionsinstansen, eller kontrakter, der er indgået mellem revisionsinstansen og juridiske personer med tilknytning til udbyderen, der er underlagt revision. Udbyderen, der er underlagt revision, bør også medtage kontraktbestemmelser over for revisionsinstanser for at sikre, at betingelserne i artikel 37, stk. 3, i forordning (EU) 2022/2065 er opfyldt. Hvis revisionsinstansen består af flere enheder, bør udbyderen, der er underlagt revision, sikre sig, at alle disse enheder opfylder nævnte betingelser, herunder, hvis det er relevant, eventuelle underleverandører, der er ansat af revisionsinstansen med henblik på at yde støtte til gennemførelsen af revisionen i denne henseende. Selv om hver enhed, der gennemfører revisionen, hver især skal opfylde uafhængighedskravene og kravene om ingen interessekonflikter, bør disse enheder i fællesskab opfylde kravene vedrørende kompetence, ekspertise eller tekniske ressourcer og dermed give de forskellige enheder mulighed for at gennemføre forskellige dele af revisionen og bidrage med den kapacitet, kompetence og ekspertise, der er nødvendig for gennemførelse af revisionen. Hver af disse enheders ansvar for de respektive dele af revisionen bør fremgå af revisionsrapporten. |
|
(8) |
I henhold til artikel 37, stk. 3, litra a), nr. i), i forordning (EU) 2022/2065 bør udbyderen, der er underlagt revision, være særlig opmærksom på at undgå, at revisionsinstansen yder ikkerevisionsydelser til udbyderen, der er underlagt revision, når den kontrollerer, om en revisionsinstans opfylder uafhængighedskravene og kravene om ingen interessekonflikter. Udbyderen, der er underlagt revision, bør f.eks. vurdere, om der blev ydet tjenesteydelser, såsom dem, der er knyttet til systemer, software eller processer i forbindelse med spørgsmål, der er relevante for forpligtelsen eller tilsagnet, der er underlagt revision, såsom konsulenttjenester i forbindelse med vurdering af ydeevne, styring og software, uddannelsestjenester, udvikling eller vedligeholdelse af systemer eller udførelse af indholdsmoderation i underentreprise. Sådanne tjenester omfatter også tjenester, der ydes udbyderen, der er underlagt revision, og som består i at konsultere eller udvikle interne kontroller eller til interne formål vurdere, om udbyderne, der er underlagt revision, overholder forordning (EU) 2022/2065 eller adfærdskodekser og kriseprotokoller, herunder når dette er begrænset til regelmæssige test, såsom prøvninger udført af tredjemand af indholdsmoderationssystemers effektivitet. Dette bør ikke udelukke revisionsinstanser, der har udført lovpligtig finansiel revision. |
|
(9) |
I betragtning af kompleksiteten og den særlige karakter af juridisk-kritiske revisioner i forbindelse med forordning (EU) 2022/2065 er revisionsinstansens faglige ekspertise afgørende for gennemførelsen af revisioner med et rimeligt niveau af revisionssikkerhed og for udøvelsen af den faglige dømmekraft og skepsis, der gør det muligt for den nævnte instans f.eks. at vide, hvilke oplysninger der er nødvendige for at gennemføre revisionsprocedurerne eller anfægte modstridende oplysninger. Udbyderen, der er underlagt revision, bør derfor kontrollere, om revisionsinstansen giver adgang til en sådan ekspertise, herunder inden for risikostyring, både med hensyn til revisionsrisici og genstanden for forordning (EU) 2022/2065 og navnlig de systemiske risici af samfundsmæssig betydning som fastsat i nævnte forordnings artikel 34. Desuden bør udbyderen, der er underlagt revision, kontrollere revisionsinstansens tekniske kompetence og kapacitet med henblik på den specifikke tjeneste, der er underlagt revision, herunder dens faglige ekspertise, f.eks. med hensyn til funktionen og virkningerne af algoritmiske systemer såsom anbefalingssystemer og andre sociotekniske systemer, der anvendes af udbyderen. Revisionsinstansen bør have mulighed for at give den nødvendige ekspertise og kapacitet i underentreprise eller på anden måde erhverve og anvende den nødvendige ekspertise og kapacitet, og udbyderen, der er underlagt revision, bør kontrollere og sikre, at revisionsinstansen er i stand til at erhverve denne ekspertise og kapacitet inden revisionens gennemførelse. |
|
(10) |
Ved kontrollen af, at revisionsinstanser opfylder betingelserne i artikel 37, stk. 3, i forordning (EU) 2022/2065, bør udbyderen, der er underlagt revision, vurdere relevant dokumentation, herunder, hvis det er relevant, certificeringer, erklæringer og revisionsrapporter udstedt af revisionsinstansen. Den passende ekspertise kan f.eks. dokumenteres ved hjælp af praktiske erfaringer med vurdering og styring af risici samt ved akademisk aktivitet, videnskabelige publikationer og erfaring med relevante revisioner. Revisionsrapporter bør indeholde al relevant dokumentation for, at revisionsinstansen opfylder de nødvendige betingelser. |
|
(11) |
I henhold til artikel 37, stk. 2, i forordning (EU) 2022/2065 skal udbyderen, der er underlagt revision, yde det nødvendige samarbejde og den nødvendige bistand til, at revisionsinstansen kan foretage revisionen effektivt og rettidigt, og vedkommende skal samtidig afholde sig fra på nogen måde at blande sig i revisionsinstansens uafhængige afgørelser. Udbyderen, der er underlagt revision, bør f.eks. ikke pålægge, vejlede eller på anden måde påvirke revisionsinstansen gennem nogen form for kontraktlige eller andre begrænsninger eller incitamenter i forbindelse med revisionsinstansens valg og håndtering af revisionsprocedurer, metoder, indsamling og behandling af oplysninger og revisionsbevis, analyser, test, revisionserklæring eller udarbejdelse af revisionskonklusioner. |
|
(12) |
For at sikre det nødvendige samarbejde og den nødvendige bistand under revisionen bør udbyderen, der er underlagt revision, sikre, at revisionsinstansen får adgang til alle de oplysninger, der er nødvendige for gennemførelsen af revisionen. Udbyderen, der er underlagt revision, bør hurtigst muligt og under alle omstændigheder inden revisionsinstansen begynder at gennemføre revisionsprocedurer, fremsende alle de nødvendige dokumenter og begrundelser. I henhold til artikel 41, stk. 3, litra d) og e), i forordning (EU) 2022/2065 skal compliancefunktionen hos udbyderen, der er underlagt revision, f.eks. overvåge opfyldelsen af alle forpligtelser og tilsagn, som er underlagt revision, hvilket bør medføre udarbejdelse af interne kontroller. Revisionsinstansen bør derfor gives adgang til alle oplysninger vedrørende sådanne kontroller og alle andre oplysninger vedrørende den overholdelsesstrategi, der anvendes af udbyderen, der er underlagt revision. Den udbyder, der er underlagt revision, bør navnlig stille de benchmarks til rådighed for revisionsorganisationen, som vedkommende benytter til at sikre overholdelsen af forordning (EU) 2022/2065, således at revisionsorganisationen kan basere revisionskriterierne på disse oplysninger. Desuden bør revisionsorganisationen gives adgang til enhver analyse, som den udbyder, der er underlagt revision, måtte have foretaget af iboende risici og kontrolrisici. Udbyderen bør stille oplysninger til rådighed for revisionsorganisationen, hvor disse oplysninger letter forståelsen af den tjeneste, der er underlagt revision, dens ledelse, de respektive arbejdsgruppers kompetencer, dens beslutningsstrukturer, herunder dens compliancefunktion, samt præsentationer af dens IT-systemer, data- og registreringsstrukturer og samspillet mellem forskellige algoritmiske systemer af relevans for revisionen. |
|
(13) |
Revisionsinstansen bør til enhver tid i forbindelse med gennemførelsen af revisionen kunne anmode om andre nødvendige oplysninger. Adgang til disse oplysninger bør gives uden unødig forsinkelse på en måde, der på ingen måde hindrer gennemførelsen af revisionen. Dette bør omfatte adgang til data, herunder personoplysninger, der er indsamlet fra forskellige kilder, såsom dokumentation, algoritmiske systemer, databaser eller interviews, alt efter hvad der er relevant. Udbyderen, der er underlagt revision, bør også give revisionsinstansen adgang til procedurer og processer, IT-systemer såsom algoritmiske systemer og informationssystemer, herunder testmiljøer. For at gøre det muligt for revisionsinstansen at kontrollere sådanne systemer på en formålstjenlig måde bør udbyderen, der er underlagt revision, stille alle nødvendige ressourcer til rådighed for at bistå instansen med at få adgang til og vurdere systemerne, f.eks. ved at stille udbyderens kompetente personale til rådighed med henblik på at besvare spørgsmål eller drive testmiljøer og redegøre for deres funktion eller lette enhver anden nødvendig adgang til personale og lokaler såsom bygninger. Adgang til procedurer og processer kan f.eks. indebære adgang til beskrivelser eller dokumentation vedrørende den interne beslutningsproces hos udbyderen, der er underlagt revision. Adgang til relevante oplysninger kan også kræve andre supplerende foranstaltninger fra udbyderen, der er underlagt revision, for at denne opfylder sin forpligtelse til samarbejde og bistand. F.eks. kan interviews med personale kræve, at udbyderen, der er underlagt revision, stiller sikre faciliteter til rådighed. Hvor det er nødvendigt for udførelsen af revisionen, bør de udbydere, der er underlagt revision, opfylde forpligtelsen til samarbejde og bistand over for revisionsorganisationen, bl.a. ved at lette adgangen til relevante data vedrørende deres aktiviteter, der opbevares hos deres tredjepartskontrahenter. Dette kan f.eks. være tilfældet med hensyn til resultater af indholdsmoderation, undervisningsmateriale eller vejledning anvendt af indholdsmodererende tredjepartskontrahenter eller udbydere og tjenesteudbydere af IT-løsninger, herunder f.eks. algoritmer og applikationer, som anvendes i de anbefalingssystemer eller reklamesystemer, der anvendes af den udbyder, der er underlagt revision. |
|
(14) |
For at fremme formålstjenlig gennemsigtighed i revisionsresultaterne og indføre et sammenhængende og sammenligneligt format for de revisionsrapporter, der er omhandlet i artikel 37, stk. 4, i forordning (EU) 2022/2065, og de revisionsrapporter om gennemførelsen af revisioner, der er omhandlet i artikel 37, stk. 6, i nævnte forordning, bør der ved nærværende forordning fastlægges skabeloner for disse rapporter og stilles krav om en række bilag for hver af rapporterne. Selv om skabelonerne i denne forordning kræver omfattende rapportering, bør de ikke påvirke kravene om offentliggørelse af rapporter, jf. artikel 42, stk. 4 og 5, i forordning (EU) 2022/2065. |
|
(15) |
For at sikre at revisionsinstansen ydes den nødvendige bistand af udbyderen, der er underlagt revision, uden indblanding i gennemførelsen af revisionen, og at revisionsinstansen opfylder alle betingelser for udarbejdelsen af revisionen og afleverer revisionsrapporten rettidigt og med den kvalitet, der er nødvendig for at opnå et rimeligt niveau af revisionssikkerhed, bør visse regler præcisere procedurerne for udarbejdelsen af revisionen. De opgaver og det ansvar, der påhviler udbyderen, som er underlagt revision, og revisionsinstansen, herunder alle underleverandører eller partnerorganisationer og det personale, der er ansvarligt for at foretage revisionen, bør fastlægges i en skriftlig aftale, herunder gennem kontraktbestemmelser. I den skriftlige aftale bør de forpligtelser og tilsagn, der er underlagt revision, fordelingen af ressourcer og reglerne for interaktion og kontaktpunkter mellem revisionsinstansen og udbyderen, der er underlagt revision, også præciseres. Al dokumentation og alle kontrakter skal vedlægges revisionsrapporten, også når dokumentationen tager form af en revisionstilsagnsskrivelse eller andre kontraktbestemmelser. |
|
(16) |
For at give et samlet overblik og lette ansvarligheden for udbydere, der er underlagt revision, bør revisionsrapporten indeholde en konklusion på revisionsinstansens vurdering af, om udbyderen, der er underlagt revision, opfylder hver enkelt forpligtelse eller tilsagn, der er underlagt revision. Hver revisionskonklusion bør være baseret på et rimeligt niveau af revisionssikkerhed og bør være enten »positiv«, »positiv med bemærkninger« eller »negativ«, for på passende vis at kunne danne grundlag for revisionserklæringen. Konklusioner, der er »positive med bemærkninger«, bør ikke vedrøre selve vurderingen af overholdelsen. Sådanne bemærkninger kan f.eks. vedrøre udbyderens fremlæggelse af oplysninger efter anmodning fra revisionsinstansen eller forbedringer af den vedligeholdelse eller kontrol, som udbyderen, der er underlagt revision, har indført, eller vedrøre yderligere afbødende foranstaltninger eller forbedringer, som den pågældende udbyder agter at indføre. Hvis revisionsinstansen under alle omstændigheder vurderer, at den udbyder, der er underlagt revision, opfylder en forpligtelse eller et tilsagn, der er underlagt revision, i henhold til de benchmarks, som den nævnte leverandør har indberettet, men finder det nødvendigt at fremsætte bemærkninger til disse benchmarks, bør revisionskonklusionen være »positiv med bemærkninger«, da sådanne bemærkninger med fordel kan gøre udbyderen opmærksom på muligheder for potentielle ændringer af sine benchmarks på grundlag af revisionsinstansens viden og ekspertise samt oplysninger fra eksterne kilder. Bemærkningerne kan f.eks. baseres på vejledning fra Kommissionen, herunder Kommissionens retningslinjer, jf. artikel 35, stk. 3, i forordning (EU) 2022/2065, og andre relevante retningslinjer udstedt af Kommissionen med hensyn til anvendelsen af nævnte forordning, rapporter fra Det Europæiske Råd for Digitale Tjenester, jf. artikel 35, stk. 2, i nævnte forordning, håndhævelsesforanstaltninger, afgørelser truffet af Kommissionen i henhold til nævnte forordning, relevant retspraksis, navnlig fra Den Europæiske Unions Domstol, offentlige høringer eller relevante autoritative kilder. |
|
(17) |
For at muliggøre offentlig kontrol og myndighedstilsyn, hvis en revisionskonklusion er »negativ«, men kun gælder i en begrænset periode, og revisionsinstansen vurderer, at udbyderen, der er underlagt revision, har opfyldt forpligtelsen eller tilsagnet i resten af den periode, revisionen omfatter, bør dette afspejles i revisionsrapporten for hver af de pågældende forpligtelser eller tilsagn. Rapporten bør indeholde revisionsinstansens bemærkninger til alle oplysninger, som den udbyder, der er underlagt revision, har stillet til rådighed for dem, for så vidt angår eksisterende eller planlagte afbødningsplaner for at afhjælpe den manglende overholdelse. |
|
(18) |
I lyset af de forskellige retlige forpligtelser, der er fastsat i kapitel III i forordning (EU) 2022/2065, og de frivillige tilsagn, der er afgivet gennem adfærdskodekser og kriseprotokoller i henhold til artikel 45, 46 og 48 i nævnte forordning, bør revisionsinstansen afgive revisionserklæringer om overholdelsen af nævnte kapitel og af hver kodeks og protokol. |
|
(19) |
For at gennemføre revisionen med et rimeligt niveau af revisionssikkerhed og udforme passende revisionshandlinger i overensstemmelse med metoder, der bringer revisionsrisikoen ned på et lavt niveau, bør en central del af metoden til gennemførelse af revisionen være et skøn over revisionsrisiciene, nemlig risikoen for, at revisionsinstansen afgiver en revisionserklæring eller -konklusion, som er uhensigtsmæssig. Revisionsinstansen bør derfor vurdere revisionsrisikoen allerede i begyndelsen af revisionen, inden udformningen af den præcise metode og gennemførelsen af revisionsprocedurer. Revisionsrisikoanalysen er nødvendig for at give revisionsinstansen mulighed for at vælge de præcise revisionsmetoder og fastslå, hvor omfattende revisionsprocedurerne skal være for at opnå et rimeligt niveau af revisionssikkerhed for revisionserklæringen. Revisionsinstansen bør foretage revisionsrisikoanalysen til vurdering af opfyldelsen af hver enkelt forpligtelse eller tilsagn, der er underlagt revision, under hensyntagen til iboende risici, kontrolrisici og opdagelsesrisici. |
|
(20) |
For at kunne vurdere revisionsrisiciene korrekt bør der i revisionsrisikoanalysen tages hensyn til arten af den tjeneste, der er underlagt revision, især dens risikoprofil, samt revisionens omfang og kompleksitet. Det er f.eks. sandsynligt, at onlineplatforme, der giver forbrugere mulighed for at indgå aftaler om fjernsalg, vil have andre iboende risici end videodelingsplatforme eller søgemaskiner. Desuden bør den samfundsmæssige og økonomiske kontekst, hvori tjenesten, der er underlagt revision, ydes, tages i betragtning, f.eks. med hensyn til typiske brugergrupper såsom mindreårige eller hyppig adfærd såsom høj forekomst af ikkeautentisk brug og koordineret adfærd i forbindelse med desinformationskampagner. Den samfundsmæssige og økonomiske kontekst, der skal tages i betragtning, bør også omfatte sandsynligheden for af eksponering for krisesituationer og uventede begivenheder som fastsat i forordning (EU) 2022/2065; alvoren af denne eksponering bør også medtages som et uafhængigt element. |
|
(21) |
For at sikre at revisionsrisikoanalysen afspejler udviklingen i de risici, som tjenesten er underlagt, bør revisionsrisikoanalysen, hvis det er relevant, også baseres på oplysninger fra tidligere revisioner, som udbyderen, der er underlagt revision, var underlagt, og på oplysninger fra kilder såsom andre revisionsrapporter vedrørende andre udbydere med en lignende risikoprofil. For at sikre at revisionsrisikoanalysen er fuldt ud baseret på det nyeste inden for dokumentation af risici under omstændigheder, der svarer til dem, som udbyderen, der er underlagt revision, opererer under, samt på autoritative kilder af direkte relevans for anvendelsen af forordning (EU) 2022/2065, bør analysen også baseres på oplysninger fra rapporter fra Det Europæiske Råd for Digitale Tjenester eller retningslinjer fra Kommissionen, hvis det er relevant. Andre oplysninger kan også omfatte oplysninger fra revisionsrapporter, der er offentliggjort i henhold til artikel 42, stk. 4, i forordning (EU) 2022/2065 af andre udbydere af meget store onlineplatforme eller af meget store onlinesøgemaskiner. |
|
(22) |
Revisionsinstansen bør, uden påvirkninger fra udbyderen, der er underlagt revision, udarbejde de revisionsmetoder, som anvendes til at vurdere opfyldelsen af de forpligtelser og tilsagn, der er underlagt revision. Revisionskriterierne bør være baseret på oplysninger, som udbyderen, der er underlagt revision, har indgivet med hensyn til de benchmarks, som udbyderen, der er underlagt revision, anvender til at overvåge overholdelsen. Der kan i metoderne også tages hensyn til andre oplysninger, der stilles til rådighed af den udbyder, der er underlagt revision, såsom analysen af iboende risici, når udbyderen, der er underlagt revision, har foretaget en sådan analyse, f.eks. gennem foranstaltninger udviklet af compliancerådgiveren eller ledelsesorganet i overensstemmelse med artikel 41 i forordning (EU) 2022/2065, eller andre foranstaltninger indeholdt i tjenestens virkemåde med henblik på vurderinger af de systemiske risici som fastsat i artikel 34 i nævnte forordning. |
|
(23) |
For at sikre at revisionsmetoderne er egnede til at opnå et rimeligt niveau af revisionssikkerhed for revisionserklæringerne, bør der ved valg af metode til gennemførelse af revisionsprocedurerne tages hensyn til de særlige forhold, der gør sig gældende for den forpligtelse eller det tilsagn, der er underlagt revision, og metoderne bør f.eks. tilpasses karakteren af den forpligtelse, der er underlagt revision, som en forpligtelse med hensyn til midler eller resultater, som udbyderen skal opfylde for at overholde kravene. Revisionsprocedurer til vurdering af opfyldelsen af rapporteringsforpligtelser vedrørende gennemsigtighed i henhold til artikel 15 i forordning (EU) 2022/2065 kan f.eks. give revisionsinstansen mulighed for at konkludere, om rapporterne blev offentliggjort inden for de frister og i de formater, der kræves i nævnte forordning, samt om de data, der er rapporteret, var nøjagtige, repræsentative og korrekt opdelt f.eks. efter kategori af ulovligt indhold, som der er skredet til værks over for. |
|
(24) |
Valget af metode bør også afhænge af, om vurderingen af overholdelse kræver kontekstuelle fortolkninger fra revisionsinstansens side. Valget af metoder bør også tilpasses de iboende risici, der er forbundet med de aktiviteter, der udføres i forbindelse med ydelsen af tjenesten, og den sammenhæng, hvori tjenesten ydes, f.eks. om tjenesten omfatter salg af varer, der kan være ulovlige, eller om tjenesten primært anvendes af mindreårige. Metoderne til vurdering af opfyldelsen af forpligtelserne til at indføre passende og forholdsmæssige foranstaltninger til at sikre et højt niveau af privatlivets fred, tryghed og sikkerhed for mindreårige i henhold til artikel 28, stk. 1, i forordning (EU) 2022/2065 bør f.eks. give revisionsinstansen mulighed for at få tilstrækkelig forståelse af, hvordan tjenesten, der er underlagt revision, anvendes af mindreårige, af de mulige risici for deres privatliv, tryghed og sikkerhed samt af det, der udgør en passende og forholdsmæssig foranstaltning i forbindelse med tjenesten, der er underlagt revision, og mindreåriges brug heraf. Med henblik herpå bør revisionsinstanserne opdele vurderingen i passende trin. De bør vurdere revisionsrisiciene i henhold til risikoprofilen for den udbyder, der er underlagt revision, navnlig om den kan tilgås eller hovedsagelig anvendes af mindreårige. De bør f.eks. vurdere, om udbyderen har indført værktøjer til alderskontrol, om disse er effektive, og hvordan den udbyder, der er underlagt revision, vurderer og overvåger deres effektivitet. De bør vurdere, om den udbyder, der er underlagt revision, har indført passende foranstaltninger til at opdage ondsindet brug af deres tjenester og adfærdsmønstre, der søger at skade eller sandsynligvis vil skade mindreårige. |
|
(25) |
Metodevalget bør tilpasses til de kontrolrisici, der er forbundet med de overholdelsesforanstaltninger, som udbyderen, der er underlagt revision, har indført, samt til opdagelsesrisiciene, navnlig risikoen for ikke at opdage ukorrekte angivelser i de oplysninger, som udbyderen stiller til rådighed for revisionsinstansen. Hvis en forpligtelse, der er underlagt revision, f.eks. omfatter revision af et algoritmisk system baseret på personalisering til de enkelte tjenestemodtagere af tjenesten, der er underlagt revision, og på tilbagevendende ajourføringer af det algoritmiske system, såsom oplysningsforpligtelserne for anbefalingssystemer i henhold til artikel 27 i forordning (EU) 2022/2065, bør valget af metode give revisionsinstansen mulighed for at udforme passende test for at minimere opdagelsesrisikoen. Hvor revisionsinstansen søger at vurdere, om alle relevante risici er blevet afbødet i forbindelse med udformningen, funktionen og anvendelsen af applikationer baseret på store sprogmodeller (»large language models« — LLM'er) såsom chatfunktioner eller anbefalingssystemer, der anvendes af den udbyder, der er underlagt revision, bør revisionsinstansen ligeledes først vurdere hensigtsmæssigheden af de kontroller, som udbyderen har indført. Valget af test bør være baseret på robustheden af disse interne kontroller. Navnlig, men ikke udelukkende i de tilfælde, hvor de interne kontroller er svage, ufuldstændige eller ufyldestgørende med hensyn til at vurdere, om reglerne overholdes, når populationen af modtagere af tjenesten, der er underlagt revision, tages i betragtning, bør revisionsprocedurerne baseres på en kombination af metoder. Metoderne kan f.eks. indeholde omfattende analytiske procedurer såsom en analyse af interaktionerne mellem alle de algoritmiske systemer, der er involveret i anbefalingssystemerne, og de deraf følgende regler for beslutningstagning og processer til fastlæggelse af de vigtigste parametre for disse anbefalingssystemer, bemærkninger til digitale registreringer og logfiler. Metoderne bør også omfatte test af systemet, f.eks. test i simulerede miljøer. |
|
(26) |
For at sikre at metoden er relevant og tilpasset nye resultater under gennemførelsen af revisionen, bør valget af metoder være baseret på revisionsinstansens faglige skøn og tilpasses for at tage højde for disse nye resultater, navnlig når revisionsinstansen nærer begrundet tvivl med hensyn til de oplysninger, som udbyderen, der er underlagt revision, har indgivet. Revisionsinstansens faglige skepsis bør baseres på dens ekspertise samt på andre informationskilder af særlig relevans for anvendelsen af forordning (EU) 2022/2065, såsom rapporter fra Det Europæiske Råd for Digitale Tjenester, vejledning fra Kommissionen, revisionsrapporter fra adfærdskodekser eller kriseprotokoller som fastsat i nævnte forordnings artikel 45, 46 og 48 eller oplysninger, der fremkommer under gennemførelsen af revisionen, herunder når de vedrører begivenheder, navnlig krisesituationer, der kræver yderligere foranstaltninger fra udbyderen, der er underlagt revision, for at sikre opfyldelse af visse forpligtelser eller tilsagn, der er underlagt revision. |
|
(27) |
For at sikre, at der indsamles tilstrækkeligt revisionsbevis under revisionen, bør revisionsinstanserne både vurdere den interne kontrol hos udbyderen, der er underlagt revision, og gennemføre omfattende revisionsprocedurer til vurdering af, om vedkommende overholder reglerne. I visse tilfælde bør revisionsinstansen også foretage test. |
|
(28) |
I betragtning af kompleksiteten af de algoritmiske systemer, der anvendes af udbydere af onlineplatforme, og deres vigtige rolle med hensyn til at opfylde flere forpligtelser som fastsat i forordning (EU) 2022/2065, bør der lægges særlig vægt på de nødvendige og passende valg af metoder til revision af algoritmiske systemer. Dette gør sig både gældende, når algoritmiske systemer indgår i den kontrol, der er indført af udbyderen, der er underlagt revision, og når de selv er genstand for forpligtelser eller tilsagn, der er underlagt revision, såsom med hensyn til anbefalingssystemer, f.eks. i henhold til artikel 27, 34, 35 og 38 i forordning (EU) 2022/2065, eller reklamesystemer, f.eks. i henhold til artikel 26, 28, 34, 35 og 39 i nævnte forordning, indholdsmoderationssystemer, f.eks. i henhold til artikel 14, 15, 34 og 35 i nævnte forordning, eller ethvert andet algoritmisk system, der bidrager til de risici, der er fastsat i nævnte forordnings artikel 34. |
|
(29) |
Der bør også anvendes en kombination af omfattende analytiske procedurer, herunder, hvis det er relevant, baseret på bemærkninger til processer og aktiviteter, udbyderen, der er underlagt revision, gennemfører i forbindelse med udformning, udvikling, drift, afprøvning og overvågning af algoritmiske systemer eller bemærkninger til digitale registreringer og logfiler, der genereres af systemerne. Metoderne bør tilpasses de særlige forhold, der gør sig gældende for algoritmiske systemer, herunder deres forvaltning, interaktionen mellem forskellige algoritmiske systemer samt de dertil hørende datastyringssystemer, og de teknologier, der ligger til grund for disse algoritmiske systemer, såsom generative modeller eller andre klassifikatorer samt udvælgelses- eller søgealgoritmer. |
|
(30) |
Endvidere bør revisionsmetoder for algoritmiske systemer omfatte test til f.eks. at indsamle oplysninger, som udbyderen, der er underlagt revision, ikke tidligere har dokumenteret, eller test til at reproducere og vurdere resultaterne af nøjagtighedsindikatorer, test i datasandkasser eller simulerede miljøer eller test i produktionssystemer, herunder gennem data scraping eller test af sikkerhed mod ondsindet brug. |
|
(31) |
Da revisionsbevisets høje kvalitet er en nødvendig betingelse for, at revisionsinstansen kan afgive en revisionserklæring med et rimeligt niveau af revisionssikkerhed, bør de oplysninger, som revisionsinstansen beslutter at anvende som revisionsbevis, være relevante og tilstrækkelige til at begrænse revisionsrisiciene. Desuden bør revisionsbeviset være pålideligt efter revisionsinstansens professionelle dømmekraft og skepsis og, hvor det er hensigtsmæssigt, i lyset af alternative informationskilder. Professionel dømmekraft og skepsis bør omfatte en kritisk vurdering af revisionsbeviset og eventuelle ukorrekte angivelser. Disse kvalitetsstandarder bør gælde for alle revisionsbeviser, uanset om de er blevet fremlagt af udbyderen, der er underlagt revision, eller indsamlet fra andre kilder. |
|
(32) |
Revisionsinstansen bør overveje en række informationskilder, som f.eks. kan omfatte interviews med personale eller kontrahenter hos udbyderen, der er underlagt revision, herunder compliancerådgivere, ingeniører, dataforskere, softwarearkitekter eller medlemmer af interne revisionshold. De kan også omfatte teknisk dokumentation om udformning, gennemførelse, afprøvning og overvågning af et relevant system, herunder om datakvalitet og -styring og om ajourføringer og versioner af systemet, samt anden dokumentation vedrørende ledelsesordninger og beslutningsprocesser hos udbyderen, der er underlagt revision, herunder med hensyn til prioriteter, ressourcer, fordeling af opgaver og ansvarsområder eller ekspertise hos det relevante personale. |
|
(33) |
For at sikre effektivitet og proportionalitet i gennemførelsen af revisionen bør revisionsinstansen have mulighed for at udtage stikprøver af data og oplysninger under behørig hensyntagen til at nå frem til en repræsentativ stikprøve, således at revisionsinstansen kan fremlægge en revisionserklæring med et rimeligt niveau af revisionssikkerhed. For at sikre revisionsprocedurernes gennemsigtighed og reproducerbarhed bør revisionsinstansen begrunde valget af stikprøvestørrelse og stikprøvemetode i revisionsrapporten. F.eks. bør stikprøvestørrelsen og -metoden vælges under hensyntagen til, hvad der er effektivt med hensyn til at opfylde formålet med at gennemføre revision af den specifikke forpligtelse eller det specifikke tilsagn, der er underlagt revisionen, og for at minimere risikoen for, at konklusionen af revisionen af den specifikke stikprøve er forskellig fra, hvad konklusionen ville være, hvis hele bevispopulationen blev underlagt revisionsproceduren. Stikprøvestørrelsen og -metoden bør udvælges under hensyntagen til revisionens fulde omfang samt interne eller eksterne ændringer af tjenesten, der er underlagt revision, i denne periode. Stikprøven bør også tilpasses de særlige forhold ved algoritmiske systemer, herunder med hensyn til tilpasning gennem profilering. Som led i denne betragtning bør revisionsinstansen f.eks. på passende vis udtage stikprøver fra de forskellige kohorter eller opdelinger, der ville kunne opstå som følge af tilpassede teknikker, eller identificere fejlmargenen og begrunde, hvorfor den ligger på et acceptabelt niveau. |
|
(34) |
Da visse bestemmelser i forordning (EU) 2022/2065 er nye, er det nødvendigt at fastsætte metodologiske principper, herunder revisionsspørgsmål, og yderligere retningslinjer for valg af revisionsmetoder og revisionsbevis til vurdering af overholdelsen af disse bestemmelser, nemlig for vurdering af overholdelsen af artikel 34, 35 og 36 i forordning (EU) 2022/2065 om gennemførelse af risikovurderinger og vedtagelse af risikobegrænsende foranstaltninger fra udbydere, der er underlagt revision, og om anvendelsen af forpligtelser med hensyn til kriserespons. |
|
(35) |
Eftersom revisionsinstanserne også bør vurdere, om udbyderen, der er underlagt revision, overholder artikel 37 i forordning (EU) 2022/2065, bør der også udstikkes yderligere specifikationer for den præcise revision, i henhold til hvilke overholdelsen bør vurderes, navnlig for at undgå interessekonflikter for revisionsinstansen. |
|
(36) |
I betragtning af den frivillige karakter af adfærdskodekser og kriseprotokoller er det nødvendigt at fastsætte specifikke regler for revision af overholdelse af artikel 45, 46 og 48 i forordning (EU) 2022/2065, navnlig for at sikre, at revisionsinstanserne råder over alle de oplysninger, der er nødvendige for at gennemføre revisioner, der specifikt vedrører forpligtelserne i henhold til hver adfærdskodeks og kriseprotokol. |
VEDTAGET FØLGENDE FORORDNING:
AFDELING I
Almindelige bestemmelser
Artikel 1
Genstand
Denne forordning fastsætter regler for gennemførelsen af revisioner i henhold til artikel 37 i forordning (EU) 2022/2065 for så vidt angår:
|
a) |
de proceduremæssige skridt med henblik på at sikre, at den valgte revisionsinstans opfylder betingelserne i artikel 37, stk. 3, i forordning (EU) 2022/2065 |
|
b) |
de proceduremæssige skridt for at sikre, at udbyderen, der er underlagt revision, yder det nødvendige samarbejde og den nødvendige bistand i forbindelse med gennemførelsen af revisioner, herunder adgang til relevante oplysninger med henblik på at tilvejebringe revisionsbevis |
|
c) |
definitionen og valget af revisionsmetoder |
|
d) |
skabelonerne til revisionsrapporten og revisionsrapporten om gennemførelsen af revision. |
Artikel 2
Definitioner
I denne forordning forstås ved:
|
1) |
»revisionsinstans«: en individuel instans, et konsortium eller en anden sammensætning af instanser, herunder eventuelle underleverandører, med hvem udbyderen, der er underlagt revision, har indgået aftale om at gennemføre en uafhængig revision i overensstemmelse med artikel 37 i forordning (EU) 2022/2065 |
|
2) |
»tjeneste, der er underlagt revision«: en meget stor onlineplatform eller en meget stor onlinesøgemaskine, som er udpeget i overensstemmelse med artikel 33 i forordning (EU) 2022/2065 |
|
3) |
»udbyder, der er underlagt revision«: udbyderen af en tjeneste, der er underlagt uafhængige revisioner i henhold til artikel 37, stk. 1, i nævnte forordning |
|
4) |
»forpligtelse eller tilsagn, der er underlagt revision«: en forpligtelse eller et tilsagn som fastsat i artikel 37, stk. 1, i forordning (EU) 2022/2065, som er genstand for revisionen |
|
5) |
»revisionskriterier«: de kriterier, som revisionsinstansen anvender til at vurdere opfyldelsen af de enkelte forpligtelser eller tilsagn, der er underlagt revision |
|
6) |
»revisionsbevis«: alle oplysninger, som revisionsinstansen anvender til at understøtte revisionsresultaterne og -konklusionerne og til at afgive en revisionserklæring, herunder data indsamlet fra dokumenter, databaser eller IT-systemer samt gennemførte interviews eller test |
|
7) |
»ukorrekte angivelser«: en forsætlig eller utilsigtet udeladelse, opgivelse af forkerte oplysninger eller fejl i de erklæringer eller data, der rapporteres eller afgives af udbyderen, der er underlagt revision, til revisionsinstansen, eller i det testmiljø, som udbyderen, der er underlagt revision, har stillet til rådighed for revisionsinstansen |
|
8) |
»revisionsrisiko«: risikoen for, at revisionsinstansen afgiver en forkert revisionserklæring eller drager en forkert konklusion i vurderingen af, hvorvidt udbyderen, der er underlagt revision, opfylder en forpligtelse eller et tilsagn, der er underlagt revision, under hensyntagen til opdagelsesrisici, iboende risici og kontrolrisici med hensyn til forpligtelsen eller tilsagnet, der er underlagt revision |
|
9) |
»opdagelsesrisiko«: risikoen for, at revisionsinstansen ikke opdager en ukorrekt angivelse, der er relevant for vurderingen af, om udbyderen, der er underlagt revision, opfylder en forpligtelse eller et tilsagn, der er underlagt revision |
|
10) |
»iboende risiko«: risikoen for manglende overholdelse, der er uløseligt forbundet med arten, udformningen, aktiviteten og anvendelsen af tjenesten, der er underlagt revision, samt den sammenhæng, hvori den anvendes, og risikoen for manglende overholdelse i forbindelse med arten af forpligtelsen eller tilsagnet, der er underlagt revision |
|
11) |
»kontrolrisiko«: risikoen for, at en ukorrekt angivelse ikke forhindres, opdages og korrigeres rettidigt ved hjælp af den interne kontrol hos udbyderen, der er underlagt revision |
|
12) |
»væsentlighedstærskel«: den tærskel, over hvilken afvigelser eller ukorrekte angivelser fra udbyderen, der er underlagt revision, enkeltvis eller samlet, med rimelighed kan påvirke revisionsresultaterne, -konklusionerne og -erklæringerne |
|
13) |
»rimeligt niveau af revisionssikkerhed«: et højt, men ikke absolut niveau af revisionssikkerhed, som gør det muligt for revisionsinstansen i sin revisionserklæring og sine revisionskonklusioner at fastslå, om den udbyder, der er underlagt revision, opfylder forpligtelserne eller tilsagnene, der er underlagt revision, på grundlag af tilstrækkelig og passende dokumentation |
|
14) |
»intern kontrol«: alle foranstaltninger, herunder processer og test, der udformes, gennemføres og vedligeholdes af udbyderen, der er underlagt revision, herunder dennes compliancerådgivere og ledelsesorgan, med henblik på at overvåge og sikre, at udbyderen, der er underlagt revision, har opfyldt forpligtelsen eller tilsagnet, der er underlagt revision |
|
15) |
»kontrolunderlagt forsker«: en forsker underlagt kontrol i henhold til artikel 40, stk. 8, i forordning (EU) 2022/2065 |
|
16) |
»revisionsprocedure«: enhver teknik, som revisionsinstansen anvender i forbindelse med gennemførelsen af revisionen, herunder dataindsamling, valg og anvendelse af metoder såsom test og omfattende analytiske procedurer og enhver anden foranstaltning, der træffes for at indsamle og analysere oplysninger med henblik på at indsamle revisionsbevis og udarbejde revisionskonklusioner bortset fra afgivelse af en revisionserklæring eller af revisionsrapporten |
|
17) |
»test«: en revisionsmetode, der består af målinger, forsøg eller andre kontroller, herunder kontrol af algoritmiske systemer, hvorigennem revisionsinstansen vurderer, om udbyderen, der er underlagt revision, opfylder forpligtelsen eller tilsagnet, der er underlagt revision |
|
18) |
»omfattende analytisk procedure«: en revisionsmetode, som revisionsinstansen anvender til at vurdere oplysninger med henblik på at udlede revisionsrisici eller opfyldelse af forpligtelsen eller tilsagnet, der er underlagt revision. |
Artikel 3
Revisionens omfang og et rimeligt niveau af revisionssikkerhed
1. Revisionen skal udføres på en måde og med en varighed, der gør det muligt for revisionsinstansen at vurdere, om udbyderen, der er underlagt revision, har opfyldt alle forpligtelser og tilsagn, der er underlagt revision, med et rimeligt niveau af revisionssikkerhed.
2. Revisionen skal omfatte den periode, der begynder umiddelbart efter den periode, der er omfattet af den foregående revision, og slutter på en dato, der gør det muligt for revisionsinstansen at udføre revisionen inden for den tidsramme, der er fastsat i artikel 37, stk. 1, i forordning (EU) 2022/2065, herunder ved at gøre sin vurdering gældende i henhold til stk. 1 på grundlag af den indsamlede dokumentation og de revisionsprocedurer, der er gennemført i denne periode, og ved at udfylde og indsende revisionsrapporten i henhold til artikel 37, stk. 4, i nævnte forordning til den udbyder, der er underlagt revision.
3. Hvis der ikke tidligere er udført revision, skal revisionen omfatte den periode, der begynder fire måneder efter den meddelelse, der er omhandlet i artikel 33, stk. 6, første afsnit, i forordning (EU) 2022/2065, og varigheden af revisionen skal gøre det muligt at færdiggøre revisionsrapporten i henhold til artikel 6, stk. 1, senest et år fra begyndelsen af revisionsperioden.
AFDELING II
Betingelser for gennemførelsen af revisionen
Artikel 4
Valg af revisionsinstans
1. Forud for valg af en revisionsinstans med henblik på gennemførelse af revisionen skal udbyderen, der er underlagt revision, kontrollere, om den valgte instans opfylder kravene i artikel 37, stk. 3, i forordning (EU) 2022/2065.
2. Hvis den valgte revisionsinstans består af mere end én juridisk person eller har til hensigt at gøre brug af en eller flere underleverandører, skal udbyderen, der er underlagt revision, kontrollere, hvorvidt alle disse juridiske personer eller underleverandører:
|
a) |
hver især opfylder kravene i artikel 37, stk. 3, litra a) og c), i forordning (EU) 2022/2065 |
|
b) |
samlet opfylder kravet i artikel 37, stk. 3, litra b), i forordning (EU) 2022/2065. |
Artikel 5
Samarbejde og bistand mellem udbyderen, der er underlagt revision, og revisionsinstansen
1. På et tidspunkt, der aftales med revisionsinstansen, og under alle omstændigheder forud for gennemførelsen af en eventuel revisionsprocedure, skal udbyderen, der er underlagt revision, som minimum fremsende følgende oplysninger til den valgte revisionsinstans:
|
a) |
en beskrivelse af de interne kontroller, der er indført for hver forpligtelse og hvert tilsagn, der er underlagt revision, herunder relaterede indikatorer og alle nuværende og historiske målinger heraf, og benchmarks, som udbyderen, der er underlagt revision, har anvendt til at sikre eller overvåge opfyldelsen af de forpligtelser og tilsagn, som er underlagt revision, samt eventuel dokumentation |
|
b) |
sin foreløbige analyse af iboende risici og kontrolrisici, hvis udbyderen, der er underlagt revision, har foretaget en sådan analyse, og eventuel dokumentation |
|
c) |
oplysninger om relevante beslutningsstrukturer, kompetencer hos udbyderens forskellige afdelinger, herunder compliancefunktionen i henhold til artikel 41 i forordning (EU) 2022/2065, relevante IT-systemer, datakilder, behandling og lagring samt forklaringer af relevante algoritmiske systemer og deres interaktioner. |
2. Udbyderen, der er underlagt revision, skal uden unødig forsinkelse give revisionsinstansen adgang til alle de data, der er nødvendige for gennemførelsen af revisionen, herunder personoplysninger, dokumentation, oplysninger om procedurer og processer, samt til IT-systemer, testmiljøer, personale og lokaler hos den pågældende udbyder og eventuelle relevante underleverandører.
3. Udbyderen, der er underlagt revision, skal stille alle nødvendige ressourcer til rådighed og yde revisionsinstansen den bistand og de forklaringer, der er nødvendige for, at revisionsinstansen kan analysere de relevante oplysninger og udføre test, herunder hvis de oplysninger, som revisionsorganisationen anmoder om i henhold til artikel 37, stk. 3, i forordning (EU) 2022/2065, opbevares af en tredjepart, som udbyderen, der er underlagt revision, har indgået kontrakt med.
AFDELING III
Gennemførelse af revisioner
Artikel 6
Revisionsrapport og revisionsrapport om gennemførelsen af revision
1. Den i artikel 37, stk. 4, i forordning (EU) 2022/2065 omhandlede revisionsrapport udarbejdes af revisionsinstansen uden indblanding fra udbyderen, der er underlagt revision. Denne revisionsrapport udarbejdes i overensstemmelse med skabelonen i bilag I og skal indeholde detaljerede og underbyggede konklusioner vedrørende alle elementerne i skabelonen.
2. Hvis det er relevant, udarbejdes den revisionsrapport om gennemførelsen af revision, der er omhandlet i artikel 37, stk. 6, i forordning (EU) 2022/2065, i overensstemmelse med skabelonen i bilag II.
Artikel 7
Procedurer for udarbejdelse af revisionen
1. Udbyderen, der er underlagt revision, og revisionsinstansen skal indgå en skriftlig aftale, hvoraf følgende fremgår:
|
a) |
den udtømmende liste over de forpligtelser og tilsagn, der er underlagt revision |
|
b) |
revisionsinstansens ansvarsområder, herunder, hvis det er relevant, detaljerede oplysninger om den enkelte juridiske person, der udgør revisionsinstansen, og de parter, der er tillagt beføjelse til at underskrive revisionsrapporten |
|
c) |
de procedurer og kontaktpunkter, som udbyderen, der er underlagt revision, stiller til rådighed for revisionsinstansen med henblik på at anmode om adgang til de i artikel 5, stk. 2, omhandlede data |
|
d) |
tidsrammen for revisionen, herunder start- og slutdatoen for revisionsprocedurerne og færdiggørelsen af revisionsrapporten |
|
e) |
en procedure for bilæggelse af tvister mellem udbyderen, der er underlagt revision, og revisionsinstansen som følge af gennemførelsen af revisionen. |
2. Den i stk. 1 omhandlede aftale samt eventuelle andre aftaler eller forpligtelser mellem revisionsinstansen og udbyderen, der er underlagt revision, vedrørende gennemførelsen af revisionen vedlægges som bilag til revisionsrapporten.
3. Hvis der under gennemførelsen af revisionen foretages ændringer i den i stk. 1 omhandlede aftale, skal der eksplicit redegøres for disse ændringer i revisionsrapporten.
Artikel 8
Revisionserklæring, -konklusioner og -anbefalinger
1. Revisionsrapporten skal indeholde de revisionskonklusioner, som revisionsinstansen har draget med hensyn til, om udbyderen, der er underlagt revision, opfylder de enkelte forpligtelser og tilsagn, der er underlagt revision. Revisionskonklusionerne er enten:
|
a) |
»positive«, hvis revisionsinstansen med et rimeligt niveau af revisionssikkerhed konkluderer, at udbyderen, der er underlagt revision, har opfyldt en forpligtelse eller et tilsagn, der er underlagt revision |
|
b) |
»positive med bemærkninger«, hvis revisionsinstansen med et rimeligt niveau af revisionssikkerhed konkluderer, at udbyderen, der er underlagt revision, har opfyldt en forpligtelse eller et tilsagn, der er underlagt revision, men:
|
|
c) |
»negative«, hvis revisionsinstansen med et rimeligt niveau af revisionssikkerhed konkluderer, at udbyderen, der er underlagt revision, ikke har opfyldt en forpligtelse eller et tilsagn, der er underlagt revision. |
2. Hvis en revisionsrapport indeholder operationelle anbefalinger i henhold til artikel 37, stk. 4, litra h), i forordning (EU) 2022/2065 skal disse anbefalinger og deres anbefalede tidsramme specifikt gælde for hver enkelt forpligtelse eller tilsagn, der er underlagt revision, for hvilken revisionskonklusionen i henhold til stk. 1 er »positiv med bemærkninger« eller »negativ«.
3. Hvis de i stk. 2 omhandlede operationelle anbefalinger omfatter specifikke foranstaltninger til at opnå overholdelse, skal de udformes på en sådan måde, at der redegøres for revisionsinstansens vurdering af, hvordan sådanne foranstaltninger vil påvirke væsentlighedstærsklen i forhold til revisionskonklusionen for den pågældende forpligtelse eller tilsagn, der er underlagt revision.
4. På grundlag af revisionskonklusionerne skal revisionsrapporten indeholde en revisionserklæring om, at udbyderen, der er underlagt revision, opfylder alle de i artikel 37, stk. 1, litra a), i forordning (EU) 2022/2065 omhandlede forpligtelser, der er underlagt revision.
5. På grundlag af konklusionerne vedrørende alle forpligtelserne, der er underlagt revision, skal revisionsrapporten indeholde en eller flere revisionserklæringer, alt efter hvad der er relevant, om, at udbyderen, der er underlagt revision, opfylder alle de i artikel 37, stk. 1, litra b), i forordning (EU) 2022/2065, omhandlede tilsagn, der er underlagt revision, som er afgivet af udbyderen, der er underlagt revision, i henhold til hver adfærdskodeks og kriseprotokol.
6. Revisionserklæringer i henhold til stk. 4 og 5 er enten:
|
a) |
»positive«, hvis revisionsinstansen er nået frem til en »positiv« revisionskonklusion for alle forpligtelser eller tilsagn, der er underlagt revision |
|
b) |
»positive med bemærkninger«, hvis revisionsinstansen har draget mindst én revisionskonklusion, som er »positiv med bemærkninger« vedrørende en forpligtelse eller et tilsagn, der er underlagt revision, og ikke har draget en »negativ« revisionskonklusion vedrørende nogen af de forpligtelser eller tilsagn, der er underlagt revision |
|
c) |
»negative«, hvis revisionsinstansen har draget en »negativ« revisionskonklusion vedrørende mindst én forpligtelse eller ét tilsagn, der er underlagt revision. |
7. Hvis revisionsinstansen vurderer, at udbyderen i en begrænset periode i løbet af den i artikel 3, stk. 2, omhandlede periode ikke har opfyldt en forpligtelse eller et tilsagn, der er underlagt revision, skal den vurdering behørigt dokumenteres i revisionsrapporten.
8. Hvis revisionsinstansen ikke med et rimeligt niveau af revisionssikkerhed kan afgive en revisionskonklusion i henhold til stk. 1 eller en revisionserklæring i henhold til stk. 4 og 5, skal revisionsrapporten indeholde en redegørelse for omstændighederne og årsagerne til, at et sådant niveau af revisionssikkerhed ikke kunne opnås.
AFDELING IV
Revisionsmetoder
Artikel 9
Revisionsrisikoanalyse
1. Revisionsrapporten skal indeholde en underbygget revisionsrisikoanalyse foretaget af revisionsinstansen med henblik på vurdering af, om udbyderen, der er underlagt revision, opfylder hver enkelt forpligtelse eller tilsagn, der er underlagt revision.
2. Revisionsrisikoanalysen foretages forud for gennemførelsen af revisionsprocedurer og ajourføres i løbet af gennemførelsen af revisionen i lyset af eventuelle nye revisionsbeviser, som efter revisionsinstansens faglige skøn ændrer vurderingen af revisionsrisikoen væsentligt.
3. I revisionsrisikoanalysen skal der tages hensyn til:
|
a) |
iboende risici |
|
b) |
kontrolrisici |
|
c) |
opdagelsesrisici. |
4. Revisionsrisikoanalysen gennemføres under hensyntagen til:
|
a) |
arten af tjenesten, der er underlagt revision, og den samfundsmæssige og økonomiske kontekst, i hvilken tjenesten, der er underlagt revision, ydes, herunder sandsynligheden for og alvoren af eksponering for krisesituationer og uventede begivenheder |
|
b) |
arten af forpligtelserne og tilsagnene |
|
c) |
andre relevante oplysninger, herunder:
|
Artikel 10
Passende revisionsmetoder
1. Uden at det berører de specifikke revisionsmetoder, der er fastsat i artikel 13, 14 og 15, gennemføres revisioner ved hjælp af passende revisionsmetoder for at begrænse de vurderede revisionsrisici til et niveau, der gør det muligt for revisionsinstansen at drage revisionskonklusioner med et rimeligt niveau af revisionssikkerhed.
2. Revisionsrapporten skal indeholde en beskrivelse af de revisionsmetoder, der er udformet af revisionsinstansen forud for gennemførelsen af eventuelle revisionsprocedurer, herunder som minimum:
|
a) |
de revisionskriterier, der er defineret på grundlag af information i henhold til artikel 5, stk. 1, litra a), til vurdering af, om de enkelte forpligtelser eller tilsagn, der er underlagt revision, er opfyldt, samt væsentlighedstærsklen, der accepteres og udtrykkes kvalitativt eller kvantitativt, alt efter hvad der er relevant |
|
b) |
alle test og omfattende analytiske procedurer samt revisionsbeviser, som revisionsinstansen har til hensigt at anvende med henblik på at vurdere, om de enkelte forpligtelser eller tilsagn, der er underlagt revision, er opfyldt. |
Revisionsrapporten skal indeholde en beskrivelse af eventuelle ændringer af de metoder, der anvendes under gennemførelsen af revisionen, i forhold til de metoder, der er udformet forud for gennemførelsen af revisionsprocedurer.
3. Hvis en revisionsinstans nærer begrundet tvivl om de oplysninger, der er vurderet i forbindelse med gennemførelsen af revisionen, navnlig for så vidt angår de oplysninger, som udbyderen, der er underlagt revision, har fremlagt, tilpasses valget og anvendelsen af metoden, så den pågældende instans får det nødvendige revisionsbevis i overensstemmelse med artikel 11.
4. Den i stk. 3 omhandlede begrundede tvivl anses navnlig for at opstå ved forekomsten af et eller flere af følgende elementer:
|
a) |
professionel dømmekraft og skepsis i forbindelse med vurderingen af oplysninger, herunder oplysninger vedrørende den interne kontrol hos den udbyder, der er underlagt revision, som får revisionsinstansen til at give udtryk for rimelig tvivl |
|
b) |
ydre tegn, der peger i retning af revisionsrisici, navnlig rapporter fra Det Europæiske Råd for Digitale Tjenester, jf. artikel 35, stk. 2, i forordning (EU) 2022/2065, vejledning fra Kommissionen, herunder retningslinjer, jf. artikel 35, stk. 3, i nævnte forordning, og anden relevant vejledning udstedt af Kommissionen med hensyn til anvendelsen af forordning (EU) 2022/2065 og revisionsrapporter udstedt i henhold til adfærdskodekser eller kriseprotokoller som omhandlet i nævnte forordnings artikel 45, 46 og 48 |
|
c) |
oplysninger om begivenheder, der indtræffer under gennemførelsen af revisionen, herunder krisesituationer, der kræver yderligere foranstaltninger fra udbyderen, der er underlagt revision, for at sikre opfyldelse af visse forpligtelser eller tilsagn, der er underlagt revision. |
5. Revisionsprocedurerne skal som minimum omfatte:
|
a) |
gennemførelse af test og omfattende analytiske procedurer vedrørende de interne kontroller, som udbyderen, der er underlagt revision, har indført for de enkelte forpligtelser eller tilsagn, der er underlagt revision |
|
b) |
gennemførelse af omfattende analytiske procedurer til vurdering af, om de enkelte forpligtelser og tilsagn, der er underlagt revision, er opfyldt, herunder med hensyn til algoritmiske systemer |
|
c) |
gennemførelse af test, herunder med hensyn til algoritmiske systemer vedrørende de forpligtelser og tilsagn, der er underlagt revision, og hvor revisionsinstansen nærer begrundet tvivl, jf. stk. 4, og vedrørende de forpligtelser og tilsagn, der er underlagt revision, hvor revisionsinstansen finder det nødvendigt at foretage test i forbindelse med sit valg af metode i henhold til stk. 1. |
6. Hvor de forpligtelser eller tilsagn, der er omhandlet i artikel 37, stk. 1, i forordning (EU) 2022/2065, kræver, at den udbyder, der er underlagt revision, rapporterer visse oplysninger offentligt, skal revisionsmetoderne omfatte en vurdering af, om de rapporterede oplysninger er fri for væsentlige fejl eller udeladelser, som ellers kunne gøre dem vildledende.
Artikel 11
Kvaliteten af revisionsbeviset
Revisionskonklusionerne og revisionserklæringerne baseres på revisionsbevis, der opfylder begge følgende krav:
|
a) |
det er relevant og tilstrækkeligt til at begrænse de revisionsrisici, der er identificeret i overensstemmelse med artikel 9, og til at give revisionsinstansen mulighed for at drage revisionskonklusioner og fremlægge revisionserklæringer i overensstemmelse med artikel 8 |
|
b) |
det er pålideligt i henhold til revisionsinstansens faglige skøn og skepsis. |
Artikel 12
Stikprøvemetoder
1. Hvis revisionsbeviset helt eller delvist er baseret på en stikprøve af data eller oplysninger, vælges stikprøvestørrelsen og -metoden med henblik på at minimere opdagelsesrisikoen og uden indblanding fra udbyderen, der er underlagt revision.
2. Stikprøvestørrelsen og -metoden vælges på en sådan måde, at det sikres, at dataene eller oplysningerne er repræsentative, og i givet fald under hensyntagen til følgende:
|
a) |
at stikprøven er repræsentativ i den i artikel 3, stk. 2 og 3, omhandlede periode |
|
b) |
relevante ændringer af tjenesten, der er underlagt revision, i den pågældende periode |
|
c) |
relevante ændringer i den sammenhæng, hvori den tjeneste, der er underlagt revision, ydes i den pågældende periode |
|
d) |
relevante karakteristika ved algoritmiske systemer, hvis det er relevant, herunder individualisering baseret på profilering eller andre kriterier |
|
e) |
andre relevante karakteristika eller opdelinger af de data, oplysninger og beviser, der er under vurdering |
|
f) |
repræsentation og passende analyse af bekymringer vedrørende særlige grupper, hvor det er relevant, såsom mindreårige eller sårbare grupper og minoriteter, i forbindelse med den forpligtelse eller det tilsagn, det er underlagt revision. |
3. Revisionsrapporten skal indeholde en begrundelse for valget af stikprøvestørrelse og -metode.
Artikel 13
Særlige revisionsmetoder vedrørende overholdelse af artikel 34 i forordning (EU) 2022/2065 om risikovurdering
1. Vurderingen af, om udbyderen, der er underlagt revision, overholder artikel 34 i forordning (EU) 2022/2065 bør omfatte, men ikke være begrænset til, en analyse af følgende:
|
a) |
om udbyderen, der er underlagt revision, omhyggeligt har identificeret, analyseret og vurderet de systemiske risici i Unionen som fastsat i artikel 34, stk. 1, første afsnit, i forordning (EU) 2022/2065, herunder ved at vurdere:
|
|
b) |
om risikovurderingen blev foretaget inden for de frister, der er fastsat i artikel 34, stk. 1, andet afsnit, i forordning (EU) 2022/2065, og, hvis det er relevant, inden for de frister, der er fastsat for aktiviteter, der er fastsat som risikobegrænsende foranstaltninger til opdagelse af systemiske risici i henhold til artikel 35, stk. 1, litra f), i nævnte forordning |
|
c) |
hvordan udbyderen, der er underlagt revision, har identificeret funktionaliteter, som sandsynligvis vil have en kritisk indvirkning på de risici, der skal risikovurderes forud for deres indførelse i henhold til artikel 34, stk. 1, andet afsnit, i forordning (EU) 2022/2065, om disse funktionaliteter er korrekt identificeret, og om risikovurderingen er foretaget korrekt |
|
d) |
om udbyderen, der er underlagt revision, har identificeret dokumentationen, der bør opbevares vedrørende risikovurderingen, om vedkommende har anvendt de nødvendige midler til at sikre, at dokumentationen opbevares i mindst tre år, jf. artikel 34, stk. 3, i forordning (EU) 2022/2065, og om dokumentationen er opbevaret i overensstemmelse hermed. |
2. Uden at det berører andre analyser, der er nødvendige for at opnå et rimeligt niveau af revisionssikkerhed, skal revisionsmetoderne vedrørende overholdelse af artikel 34 i forordning (EU) 2022/2065 som minimum omfatte en vurdering fra revisionsinstansens side af følgende elementer:
|
a) |
de interne kontroller, som udbyderen, der er underlagt revision, har indført for at overvåge gennemførelsen af risikovurderinger for hver faktor som fastsat i artikel 34, stk. 2, første afsnit, i forordning (EU) 2022/2065; en sådan vurdering skal:
|
|
b) |
de tiltag, midler og processer, som udbyderen, der er underlagt revision, har indført for at sikre overholdelse af artikel 34 i forordning (EU) 2022/2065 og resultaterne heraf. En sådan vurdering skal baseres på:
|
3. Oplysninger, der analyseres af revisionsinstansen til støtte for den vurdering, der foretages i henhold til denne artikel, bør omfatte, men ikke være begrænset til:
|
a) |
risikovurderingsrapporten for den periode, som revisionen omfatter, og som er udarbejdet af udbyderen, der er underlagt revision, herunder om nødvendigt fortrolige oplysninger, der ikke indgår i de oplysninger, der offentliggøres i henhold til artikel 42, stk. 2, i nævnte forordning, og alle støttedokumenter |
|
b) |
hvis det er relevant, andre risikovurderingsrapporter fra udbyderen, der er underlagt revision, og tilhørende dokumentation |
|
c) |
oplysninger indgivet af udbyderen, der er underlagt revision, i henhold til artikel 5 |
|
d) |
alle relevante gennemsigtighedsrapporter fra udbyderen, der er underlagt revision, jf. artikel 15, stk. 1, i forordning (EU) 2022/2065 |
|
e) |
eventuelle andre testresultater, dokumenter, beviser, erklæringer fremsat som svar på skriftlige eller mundtlige forespørgsler fra revisionsinstansen til personalet hos udbyderen, der er underlagt revision, samt bemærkninger fremsat på stedet, hvis det er relevant |
|
f) |
anden relevant dokumentation, herunder på grundlag af oplysninger, som udbyderen, der er underlagt revision, har stillet til rådighed |
|
g) |
hvor det er muligt, rapporter som omhandlet i artikel 35, stk. 2, i forordning (EU) 2022/2065 og vejledning udstedt af Kommissionen, herunder retningslinjer udstedt i henhold til artikel 35, stk. 3, i nævnte forordning og anden relevant vejledning udstedt af Kommissionen med hensyn til anvendelsen af forordning (EU) 2022/2065. |
4. Oplysninger, der analyseres af revisionsinstansen, kan, hvis det er relevant, omfatte de oplysninger, der er omhandlet i artikel 42, stk. 4, i forordning (EU) 2022/2065, herunder oplysninger fra revisions-, risikovurderings- og risikobegrænsningsrapporter, vedrørende andre meget store onlineplatforme eller meget store onlinesøgemaskiner eller data og forskning, der er gjort offentligt tilgængeligt af kontrolunderlagte forskere i henhold til nævnte forordnings artikel 40, stk. 8, litra g).
Artikel 14
Særlige revisionsmetoder vedrørende overholdelse af artikel 35 i forordning (EU) 2022/2065 om afbødning af risici
1. Vurderingen af, om udbyderen, der er underlagt revision, overholder artikel 35 i forordning (EU) 2022/2065 bør omfatte, men ikke være begrænset til, en analyse af følgende:
|
a) |
hvordan udbyderen, der er underlagt revision, har identificeret risikobegrænsende foranstaltninger for hver af de systemiske risici, der nævnes i artikel 34, stk. 1, i forordning (EU) 2022/2065, og om sådanne risikobegrænsende foranstaltninger er blevet omhyggeligt identificeret |
|
b) |
hvordan udbyderen, der er underlagt revision, har vurderet, om de risikobegrænsende foranstaltninger i artikel 35, stk. 1, litra a)-k), i forordning (EU) 2022/2065 fandt anvendelse på tjenesten, der er underlagt revision, og om konklusionen af denne vurdering var hensigtsmæssig, herunder for så vidt angår de foranstaltninger, der ikke blev anvendt af udbyderen, der er underlagt revision |
|
c) |
om de afbødende foranstaltninger, som er indført af den udbyder, der er underlagt revision, er rimelige, forholdsmæssige og effektive med hensyn til at afbøde de respektive risici, herunder ved at
|
2. Uden at det berører andre analyser, der er nødvendige for at opnå et rimeligt niveau af revisionssikkerhed, skal revisionsmetoderne vedrørende overholdelse af artikel 35 i forordning (EU) 2022/2065 som minimum omfatte en vurdering fra revisionsinstansens side af følgende elementer:
|
a) |
de interne kontroller, som udbyderen, der er underlagt revision, har indført for at overvåge anvendelsen af risikobegrænsende foranstaltninger som fastsat i artikel 35, stk. 1, i forordning (EU) 2022/2065, og om de er rimelige, forholdsmæssige og effektive. En sådan vurdering skal:
|
|
b) |
afbødende foranstaltninger, som udbyderen, der er underlagt revision, har indført. En sådan vurdering skal baseres på:
|
3. Oplysninger, der analyseres af revisionsinstansen til støtte for den vurdering, der foretages i henhold til denne artikel, bør omfatte, men ikke være begrænset til:
|
a) |
rapporterne om risikovurdering og risikobegrænsning for den periode, revisionen omfatter, og som er udarbejdet af udbyderen, der er underlagt revision, herunder om nødvendigt fortrolige oplysninger, der ikke indgår i de oplysninger, der offentliggøres i henhold til artikel 42, stk. 2, i forordning (EU) 2022/2065, og alle støttedokumenter |
|
b) |
hvis det er relevant, andre rapporter om risikovurdering og risikobegrænsning fra udbyderen, der er underlagt revision, samt tilhørende støttedokumenter |
|
c) |
oplysninger indgivet af udbyderen, der er underlagt revision, i henhold til artikel 5 |
|
d) |
alle relevante gennemsigtighedsrapporter fra udbyderen, der er underlagt revision, jf. artikel 15, stk. 1, i forordning (EU) 2022/2065 |
|
e) |
hvis det er relevant, tidligere rapporter om risikobegrænsning og dokumentation, som vedrører perioder, der ikke er omfattet af den periode, revisionen omfatter, herunder om nødvendigt fortrolige oplysninger, der ikke indgår i de oplysninger, der offentliggøres i henhold til artikel 42, stk. 2, i forordning (EU) 2022/2065 |
|
f) |
eventuelle andre testresultater, dokumenter, beviser, erklæringer fremsat som svar på skriftlige eller mundtlige forespørgsler fra revisionsinstansen til personalet hos udbyderen, der er underlagt revision, samt bemærkninger fremsat på stedet, hvis det er relevant |
|
g) |
anden relevant dokumentation, herunder på grundlag af oplysninger, som udbyderen, der er underlagt revision, har stillet til rådighed |
|
h) |
hvor det er muligt, rapporter som omhandlet i artikel 35, stk. 2, i forordning (EU) 2022/2065 og vejledning udstedt af Kommissionen, herunder retningslinjer udstedt i henhold til artikel 35, stk. 3, i nævnte forordning og anden relevant vejledning udstedt af Kommissionen med hensyn til anvendelsen af forordning (EU) 2022/2065. |
4. Oplysninger, der analyseres af revisionsinstansen, kan, hvis det er relevant, omfatte de oplysninger, der er omhandlet i artikel 42, stk. 4, i forordning (EU) 2022/2065, herunder oplysninger fra revisions-, risikovurderings- og risikobegrænsningsrapporter, vedrørende andre meget store onlineplatforme eller meget store onlinesøgemaskiner eller data og forskning, der er gjort offentligt tilgængeligt af kontrolunderlagte forskere i henhold til artikel 40, stk. 8, litra g), i forordning (EU) 2022/2065.
Artikel 15
Særlige revisionsmetoder vedrørende overholdelse af artikel 36 i forordning (EU) 2022/2065 om krisereaktionsmekanismen
1. Vurderingen af, om udbyderen, der er underlagt revision, overholder artikel 36, stk. 1, første afsnit, litra a), i forordning (EU) 2022/2065 bør omfatte, men ikke være begrænset til, en analyse af, hvorvidt og hvordan udbyderen, der er underlagt revision, har gennemført de nødvendige foranstaltninger, navnlig:
|
a) |
om og hvordan udbyderen, der er underlagt revision, har identificeret de relevante systemer, der er forbundet med virkemåden og brugen af deres tjenester, som væsentligt bidrager til den alvorlige trussel, og om disse systemer var behørigt identificeret |
|
b) |
om og hvordan udbyderen, der er underlagt revision, har defineret og overvåget det væsentlige bidrag til den alvorlige trussel, og om dennes vurdering var passende |
|
c) |
eventuelle andre krav, der er anført i Kommissionens afgørelse, jf. artikel 36, stk. 1, eller stk. 7, andet afsnit, i forordning (EU) 2022/2065, alt efter hvad der er relevant. |
2. Vurderingen af, om udbyderen, der er underlagt revision, overholder artikel 36, stk. 1, første afsnit, litra b), i forordning (EU) 2022/2065 bør omfatte, men ikke være begrænset til, en analyse af, hvorvidt og hvordan udbyderen, der er underlagt revision, har gennemført de nødvendige foranstaltninger, navnlig:
|
a) |
om og hvordan udbyderen, der er underlagt revision, har identificeret foranstaltninger for at forebygge, eliminere eller begrænse ethvert bidrag til den alvorlige trussel |
|
b) |
om og hvordan de foranstaltninger, som er truffet af udbyderen, der er underlagt revision, har taget hensyn til, hvor alvorlig den alvorlige trussel er, hvor meget foranstaltningerne haster, og om foranstaltningerne var hensigtsmæssige i denne henseende |
|
c) |
om og hvordan udbyderen, der er underlagt revision, har identificeret de berørte parter i forbindelse med foranstaltningerne og deres legitime interesser, og hvordan udbyderen, der er underlagt revision, har vurderet foranstaltningernes faktiske eller potentielle indvirkning på disse parters rettigheder, herunder grundlæggende rettigheder, og legitime interesser |
|
d) |
om de foranstaltninger, der er truffet af udbyderen, der er underlagt revision, har været effektive og forholdsmæssige |
|
e) |
eventuelle andre krav, der er anført i Kommissionens afgørelse, jf. artikel 36, stk. 1, eller stk. 7, andet afsnit, i forordning (EU) 2022/2065, alt efter hvad der er relevant. |
3. Vurderingen af, om udbyderen, der er underlagt revision, overholder artikel 36, stk. 1, første afsnit, litra c), i forordning (EU) 2022/2065 bør omfatte, men ikke være begrænset til, en analyse af, hvordan udbyderen, der er underlagt revision, har gennemført den nødvendige foranstaltning, navnlig om udbyderen, der er underlagt revision, har givet Kommissionen de oplysninger, der kræves i Kommissionens afgørelse som fastsat i artikel 36, stk. 1 eller stk. 7, andet afsnit, i forordning (EU) 2022/2065, og om disse rapporter var nøjagtige.
Artikel 16
Revision vedrørende overholdelse af artikel 37 i forordning (EU) 2022/2065 om uafhængig revision
1. Opfyldelsen af de forpligtelser, der er fastsat i artikel 37 i forordning (EU) 2022/2065 og i nærværende forordning, vurderes i forhold til den eller de revisioner, der er gennemført for året forud for den aktuelle revision.
2. Ud over stk. 1 skal revisionen omfatte en vurdering af, om udbyderen, der er underlagt revision, overholder artikel 37, stk. 2, i forordning (EU) 2022/2065 med hensyn til den aktuelle revision.
3. Hvis den eller de tidligere revisioner, der er omhandlet i stk. 1, er gennemført af den samme revisionsinstans som den aktuelle revision, eller hvis revisionsinstansen, der gennemfører den aktuelle revision, består af mindst én juridisk enhed, der har deltaget i den foregående revision, skal revisionsrapporten indeholde en redegørelse for de foranstaltninger, som revisionsinstansen har truffet for at sikre objektivitet i forbindelse med vurderingen.
Artikel 17
Revision vedrørende overholdelse af adfærdskodekser og kriseprotokoller
1. Udbyderen, der er underlagt revision, skal stille følgende til rådighed for revisionsinstansen:
|
a) |
en liste over og teksten til alle de i artikel 45 og 46 i forordning (EU) 2022/2065 omhandlede adfærdskodekser og de i artikel 48 i nævnte forordning omhandlede kriseprotokoller, og som er undertegnet af udbyderen, der er underlagt revision |
|
b) |
en detaljeret liste over tilsagn vedrørende de adfærdskodekser og kriseprotokoller, som er afgivet af udbyderen, der er underlagt revision |
|
c) |
hvis det er relevant, de centrale resultatindikatorer, der er aftalt i henhold til hver enkelt adfærdskodeks og kriseprotokol |
|
d) |
hvis det er relevant, eventuelle tilgængelige målinger, data og dokumentation og eventuelle rapporter, som udbyderen, der er underlagt revision, har udarbejdet med hensyn til, om udbyderen, der er underlagt revision, overholder de afgivne tilsagn, herunder adgang til alle relevante oplysninger og data vedrørende virkemåden af de tjenester, som ydes af udbyderen, der er underlagt revision, og som er relevante for gennemførelsen af adfærdskodeksen eller kriseprotokollen |
|
e) |
hvis det er relevant, andre målinger, data og dokumentation udarbejdet af underskriverne af adfærdskodeksen eller kriseprotokollen samt vurderingerne fra Kommissionen eller rådet som omhandlet i artikel 45, stk. 4, i forordning (EU) 2022/2065. |
2. Vurderingen af, om udbyderen, der er underlagt revision, overholder de adfærdskodekser, der er omhandlet i artikel 45 i forordning (EU) 2022/2065, bør omfatte, men ikke være begrænset til, målingen af centrale resultatindikatorer, der er aftalt i adfærdskodeksen i henhold til artikel 45, stk. 3, i nævnte forordning, med angivelse af væsentlighedstærsklen for revisionskonklusionerne, og hvorvidt de rapporterede data er nøjagtige.
AFDELING V
Afsluttende bestemmelser
Artikel 18
Ikrafttræden
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i enhver medlemsstat.
Udfærdiget i Bruxelles, den 20. oktober 2023.
På Kommissionens vegne
Ursula VON DER LEYEN
Formand
BILAG I
SKABELON TIL REVISIONSRAPPORTEN, DER ER OMHANDLET I ARTIKEL 6
Indholdsfortegnelse
|
AFDELING B: Revisionsinstans(er) Indsæt så mange linjer som nødvendigt pr. punkt for at udfylde afdelingen nedenfor. |
||||||||||||||||||||||||||||||
|
|
AFDELING F.1: Tredjeparter, der er blevet hørt Denne afdeling gentages for hver tredjepart, der er blevet hørt, idet navnet på afdelingen øges med én (f.eks. F.1, F.2 osv.). |
||||||||
|
|
AFDELING G: Eventuelle andre oplysninger, som revisionsorganet ønsker at medtage i revisionsrapporten (såsom en beskrivelse af eventuelle iboende begrænsninger). |
|
|
|
|
Medtag så mange linjer som nødvendigt i overensstemmelse med ansvarsfordelingen og styrkelse af indflydelsen som omhandlet i artikel 7, stk. 1, litra b) |
|
Dato: … |
Underskrevet af: … |
|
Sted: … |
På vegne af: … |
|
|
Ansvarlig for: … |
Bilag til revisionsrapporten (hvis det er relevant):
Dokumentation, der er anmodet om i henhold til artikel 7, stk. 2, i denne forordning.
Dokumentation vedrørende revisionsrisikoanalysen i henhold til artikel 9 i denne forordning.
Dokumentation, der bekræfter, at revisionsinstansen opfylder de forpligtelser, der er fastsat i artikel 37, stk. 3, litra a), i forordning (EU) 2022/2065.
Dokumentation, der bekræfter, at revisionsinstansen opfylder de forpligtelser, der er fastsat i artikel 37, stk. 3, litra b), i forordning (EU) 2022/2065.
Dokumentation, der bekræfter, at revisionsinstansen opfylder de forpligtelser, der er fastsat i artikel 37, stk. 3, litra c), i forordning (EU) 2022/2065.
Dokumentation og resultater af eventuelle test, der er udført af revisionsinstansen, herunder for så vidt angår algoritmiske systemer hos udbyderen, der er underlagt revision.
De adfærdskodekser, der er omhandlet i artikel 45 og 46 i forordning (EU) 2022/2065, i henhold til hvilke udbyderen, der er underlagt revision, har afgivet tilsagn, herunder tydelig angivelse af eventuelle afgivne tilsagn og centrale resultatindikatorer, der er aftalt for det pågældende tilsagn.
De kriseprotokoller, der er omhandlet i artikel 48 i forordning (EU) 2022/2065, som er gennemført af udbyderen, der er underlagt revision.
Eventuelle andre bilag, som revisionsinstansen ønsker medtaget.
BILAG II
SKABELON FOR REVISIONSRAPPORTEN OM GENNEMFØRELSE AF REVISIONER, DER ER OMHANDLET I ARTIKEL 6
Indholdsfortegnelse
|
AFDELING A: Generelle oplysninger |
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
|
ELI: http://data.europa.eu/eli/reg_del/2024/436/oj
ISSN 1977-0634 (electronic edition)