This document is an excerpt from the EUR-Lex website
Document 32024R0436
Commission Delegated Regulation (EU) 2024/436 of 20 October 2023 supplementing Regulation (EU) 2022/2065 of the European Parliament and of the Council, by laying down rules on the performance of audits for very large online platforms and very large online search engines
Komission delegoitu asetus (EU) 2024/436, annettu 20 päivänä lokakuuta 2023, Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2065 täydentämisestä vahvistamalla säännöt erittäin suuria verkkoalustoja ja erittäin suuria verkossa toimivia hakukoneita koskevien tarkastusten suorittamisesta
Komission delegoitu asetus (EU) 2024/436, annettu 20 päivänä lokakuuta 2023, Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2065 täydentämisestä vahvistamalla säännöt erittäin suuria verkkoalustoja ja erittäin suuria verkossa toimivia hakukoneita koskevien tarkastusten suorittamisesta
C/2023/6807
EUVL L, 2024/436, 2.2.2024, ELI: http://data.europa.eu/eli/reg_del/2024/436/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
virallinen lehti |
FI Sarjan L |
|
2024/436 |
2.2.2024 |
KOMISSION DELEGOITU ASETUS (EU) 2024/436,
annettu 20 päivänä lokakuuta 2023,
Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2065 täydentämisestä vahvistamalla säännöt erittäin suuria verkkoalustoja ja erittäin suuria verkossa toimivia hakukoneita koskevien tarkastusten suorittamisesta
EUROOPAN KOMISSIO, joka
ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,
ottaa huomioon digitaalisten palvelujen sisämarkkinoista ja direktiivin 2000/31/EY muuttamisesta 19 päivänä lokakuuta 2022 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2065 (digipalvelusäädös) (1) ja erityisesti sen 37 artiklan 7 kohdan,
sekä katsoo seuraavaa:
|
(1) |
Riippumattomat tarkastukset ovat tärkeä väline valvottaessa, noudattavatko erittäin suurten verkkoalustojen ja erittäin suurten verkossa toimivien hakukoneiden tarjoajat asetuksen (EU) 2022/2065 mukaisia velvoitteitaan. Kyseisessä asetuksessa säädetään myös muista vastuuvelvollisuuteen liittyvistä välineistä, erityisesti julkisen valvonnan tehostamisesta avoimuusraportoinnin ja muiden tiedonantovaatimusten kautta. Riippumattomilla tarkastusorganisaatioilla on kuitenkin erityinen rooli arvioitaessa jo varhaisessa vaiheessa, noudattavatko tällaiset palveluntarjoajat kyseistä asetusta. Riippumattomien tarkastusten johtopäätökset, havainnot ja suositukset voivat tarkoituksenmukaisella tavalla vaikuttaa viranomaisvalvontaan. Riippumattomat tarkastukset ovat samalla yksi monista tieto- ja analyysilähteistä, joita sääntelyviranomaiset voivat käyttää valvonta- ja täytäntöönpanotehtävässään. |
|
(2) |
Jotta riippumattomat tarkastukset voidaan suorittaa tuloksellisesti, tehokkaasti, oikea-aikaisesti ja vertailukelpoisesti asetuksen (EU) 2022/2065 soveltamispäivästä alkaen siten kuin sen 92 ja 93 artiklassa määritetään, komission tulisi vahvistaa tarkastusten suorittamista koskevat säännöt erityisesti tarkastettavien palveluntarjoajien oikeudellisista velvoitteista sekä menettelyvaiheista sen varmistamiseksi, että tarkastuksia suorittavat organisaatiot täyttävät asetuksen (EU) 2022/2065 37 artiklan 3 kohdassa säädetyt riippumattomuutta, eturistiriitoja, asiantuntemusta ja ammattietiikkaa koskevat ehdot. |
|
(3) |
Jotta helpotetaan tarkastusten asianmukaista suorittamista korkeatasoisella asiantuntemuksella ja ehkäistään tahattomia seurauksia tarkastuspalvelujen markkinoilla, olisi selvennettävä, että asetuksen (EU) 2022/2065 37 artiklan mukaisen tarkastuksen voi suorittaa useampi tarkastaja. Tarkastettava palveluntarjoaja voi teettää tarkastuksen eri tarkastusorganisaatioilla tai organisaatioiden yhteenliittymällä, jos se on tarpeen esimerkiksi siksi, että tarkastus vaatii erityisasiantuntemusta tiettyjen velvoitteiden tai sitoumusten vuoksi, esimerkiksi kun ne liittyvät algoritmisten järjestelmien suunnitteluun ja toimintaan, edellyttävät perusoikeuksiin kohdistuvien riskien selvittämistä tai liittyvät laittoman sisällön levittämiseen. Tarkastusorganisaatiot voivat myös huolehtia tarvittavasta asiantuntemuksesta alihankintana edellyttäen, että sekä tarkastusorganisaatio että alihankkijat noudattavat tarvittavia riippumattomuutta, eturistiriitoja, osoitettua objektiivisuutta ja ammattietiikkaa koskevia ehtoja ja että ne täyttävät yhteisesti teknistä asiantuntemusta koskevat edellytykset. Tällaisissa tapauksissa tarkastettavan palveluntarjoajan tulisi edelleen varmistaa, että kaikkien asetuksen (EU) 2022/2065 37 artiklan 1 kohdassa tarkoitettujen velvoitteiden ja sitoumusten noudattaminen tarkastetaan vähintään kerran vuodessa. |
|
(4) |
Tarkastusorganisaatioiden pitäisi antaa asetuksen (EU) 2022/2065 37 artiklan 4 kohdan g alakohdassa tarkoitetut tarkastuslausunnot kohtuullisella varmuudella. Kohtuullisen varmuustason saavuttamiseksi tarkastusorganisaatiolla tulisi olla suuri mutta ei kuitenkaan täydellinen varmuus siitä, ettei tarkastuslausunnossa ole virheellisyyksiä, joita ei havaittu tarkastuksessa, kuten puuttuvia, vääriä tai virheellisiä seikkoja. Tällaisen varmuustason varmistamiseksi tarkastusorganisaation olisi muun muassa hankittava riittävä näyttö ja käytettävä arvioinnissaan asianmukaisia tarkastusmenetelmiä. |
|
(5) |
Asetuksen (EU) 2022/2065 37 artiklan 1 kohdan mukaan riippumattomat tarkastukset tulisi tehdä vähintään kerran vuodessa kyseisen asetuksen 34 artiklassa tarkoitettujen riskinarviointien vuosittaisessa syklissä. Joissain tapauksissa voi kuitenkin olla tarpeen tehdä tarkastuksia useammin. Tarkastusten jaksotuksella olisi varmistettava, että voidaan valvoa jatkuvasti, noudattavatko tarkastettavat palveluntarjoajat asetusta (EU) 2022/2065 sekä sovellettavia käytännesääntöjä ja kriisiprotokollia. Tarkastettavan palveluntarjoajan olisi varmistettava, että ajanjakso, jolta velvoitteiden ja sitoumusten noudattamista arvioidaan yksittäisessä tarkastuksessa, täydentää ajanjaksoa, jolta kyseisten velvoitteiden ja sitoumusten noudattaminen tarkastettiin edellisen kerran palveluntarjoajan osalta, ja alkaa viimeistään silloin, kun edellisen tarkastuksen kattama ajanjakso päättyy. Koska tarkastuksen päättäminen edellyttää sekä tarkastusorganisaation tekemää arviointia että tarkastuskertomuksen laatimista, tarkastettujen palveluntarjoajien tulisi varmistaa, että tarkastuksen kesto mahdollistaa tarkastusten päättämisen vähintään kerran vuodessa ja että tarkastuskertomukset toimitetaan komissiolle ja digitaalisten palvelujen koordinaattorille ilman aiheetonta viivytystä asetuksen (EU) 2022/2065 42 artiklan 4 kohdan mukaisesti. |
|
(6) |
Tarkastettavat palveluntarjoajat eivät missään tapauksessa saisi puuttua tarkastuksen suorittamiseen ja tarkastuspäätelmiin, mutta niiden olisi asetuksen (EU) 2022/2065 37 artiklan mukaisia velvoitteitaan noudattaen muun muassa sovittava sopimusehdoista tarkastusorganisaation kanssa ja tarkistettava ennen tarkastusorganisaation valintaa, että kyseinen organisaatio täyttää asetuksen (EU) 2022/2065 37 artiklan 3 kohdassa säädetyt edellytykset. |
|
(7) |
Tarkastettavan palveluntarjoajan olisi esimerkiksi arvioitava sopimuksia, jotka se on aiemmin tehnyt tarkastusorganisaation kanssa, tai tarkastusorganisaation ja tarkastettavaan palveluntarjoajaan yhteydessä olevien oikeushenkilöiden välillä tehtyjä sopimuksia. Tarkastettavan palveluntarjoajan tulisi myös sisällyttää tarkastusorganisaatioiden kanssa tehtäviin sopimuksiin lausekkeita, joilla taataan asetuksen (EU) 2022/2065 37 artiklan 3 kohdassa säädettyjen edellytysten noudattaminen. Jos tarkastusorganisaatio koostuu useista yksiköistä, tarkastettavan palveluntarjoajan tulisi varmistaa, että kaikki kyseiset yhteisöt, myös mahdolliset alihankkijat, jotka tarkastusorganisaatio on palkannut tukemaan tarkastuksen suorittamista, täyttävät nämä edellytykset. Kunkin tarkastuksen suorittamisesta vastaavan yksikön olisi erikseen täytettävä riippumattomuutta ja eturistiriitojen välttämistä koskevat vaatimukset, ja niiden olisi yhteisesti täytettävä pätevyyttä, asiantuntemusta tai teknisiä resursseja koskevat vaatimukset. Näin eri yksiköt voivat suorittaa tarkastuksen eri osia ja osallistua tarkastuksen suorittamiseen tarvittavilla valmiuksilla, pätevyydellä ja asiantuntemuksella. Tarkastuskertomuksessa olisi täsmennettävä kunkin yksikön vastuu tarkastuksen eri osista. |
|
(8) |
Tarkistaessaan, täyttääkö tarkastusorganisaatio riippumattomuutta ja eturistiriitojen välttämistä koskevat vaatimukset, tarkastettavan palveluntarjoajan olisi asetuksen (EU) 2022/2065 37 artiklan 3 kohdan a alakohdan i alakohdan mukaisesti kiinnitettävä erityistä huomiota sen välttämiseen, että tarkastusorganisaatio tarjoaa tarkastettavalle palveluntarjoajalle muita kuin tarkastuspalveluja. Tarkastettavan palveluntarjoajan olisi esimerkiksi arvioitava, onko se saanut esimerkiksi järjestelmiin, ohjelmistoihin tai prosesseihin liittyviä palveluja asioissa, jotka kytkeytyvät tarkastettavaan velvoitteeseen tai sitoumukseen, kuten konsultointipalveluja suorituskyvyn, hallinnon ja ohjelmistojen arviointia varten, koulutuspalveluja, järjestelmien kehittämistä tai ylläpitoa tai sisällön moderointia alihankintana. Tällaisia palveluja ovat myös tarkastettavalle palveluntarjoajalle tarjottavat palvelut, joissa on kyse sisäisen valvonnan kehittämisestä tai siihen liittyvästä konsultoinnista tai joissa arvioidaan sisäisiin tarkoituksiin, noudattaako tarkastettava palveluntarjoaja asetusta (EU) 2022/2065 tai käytännesääntöjä ja kriisiprotokollia, myös silloin kun tämä rajoittuu täsmätesteihin, kuten sisällön moderointijärjestelmien suorituskykyä koskeviin kolmansien osapuolten testeihin. Tämä ei saisi sulkea pois tarkastusorganisaatioita, jotka ovat suorittaneet lakisääteisiä tilintarkastuksia. |
|
(9) |
Kun otetaan huomioon asetusta (EU) 2022/2065 koskevien säännönmukaisuuden tarkastusten monimutkaisuus ja erityinen luonne, tarkastusorganisaation aihekohtainen asiantuntemus on keskeinen edellytys, jotta tarkastukset voidaan suorittaa kohtuullisella varmuustasolla ja osoittaa ammatillista harkintaa ja skeptisyyttä ja jotta tarkastusorganisaatio voi näin esimerkiksi tietää, mitä informaatiota se tarvitsee tarkastusmenettelyjen suorittamiseksi tai ristiriitaisten tietojen kyseenalaistamiseksi. Tarkastettavan palveluntarjoajan pitäisi sen vuoksi todentaa, onko tarkastusorganisaatiolla tällaista asiantuntemusta, myös riskinhallinnan alalla, liittyen sekä tarkastusriskeihin että asetuksen (EU) 2022/2065 kohteeseen ja erityisesti sen 34 artiklassa tarkoitettuihin systeemisiin yhteiskunnallisiin riskeihin. Lisäksi tarkastettavan palveluntarjoajan olisi todennettava tarkastusorganisaation tekninen pätevyys ja valmiudet suhteessa kulloiseenkin tarkastettavaan palveluun, muun muassa aihekohtainen asiantuntemus koskien esimerkiksi algoritmisten järjestelmien kuten suosittelujärjestelmien ja muiden palveluntarjoajan ylläpitämien sosioteknisten järjestelmien toimintaa ja vaikutuksia. Tarkastusorganisaatiolla tulisi olla mahdollisuus alihankkia tai muulla tavoin hankkia ja ottaa käyttöön tarvittava asiantuntemus ja valmiudet, ja tarkastettavan palveluntarjoajan olisi todennettava ja varmistettava, että tarkastusorganisaatio pystyy hankkimaan tämän asiantuntemuksen ja nämä valmiudet ajoissa tarkastuksen suorittamista varten. |
|
(10) |
Todentaessaan, että tarkastusorganisaatiot täyttävät asetuksen (EU) 2022/2065 37 artiklan 3 kohdassa säädetyt edellytykset, tarkastettavan palveluntarjoajan olisi arvioitava asiaankuuluvaa näyttöä, mukaan lukien tarvittaessa tarkastusorganisaation antamat lausunnot, ilmoitukset ja tarkastuskertomukset. Tarvittavasta asiantuntemuksesta voi olla osoituksena esimerkiksi käytännön kokemus riskien arvioinnista ja hallinnasta samoin kuin akateeminen toiminta, tieteelliset julkaisut ja kokemus kyseeseen tulevista tarkastuksista. Tarkastuskertomuksissa tulisi olla kaikki asiaankuuluvat tositteet, jotka osoittavat, että tarkastusorganisaatio täyttää vaaditut edellytykset. |
|
(11) |
Tarkastettavan palveluntarjoajan on asetuksen (EU) 2022/2065 37 artiklan 2 kohdan mukaan tarjottava tarkastusorganisaatiolle kaikkea tarvittavaa yhteistyötä ja apua, jotta tarkastus voidaan suorittaa tuloksellisesti, tehokkaasti ja oikea-aikaisesti, puuttumatta kuitenkaan millään tavalla tarkastusorganisaation riippumattomiin päätöksiin. Tarkastettava palveluntarjoaja ei esimerkiksi saisi antaa määräyksiä tai ohjeita tai muulla tavoin vaikuttaa tarkastusorganisaatioon minkäänlaisilla sopimusperusteisilla tai muilla rajoituksilla tai kannustimilla tarkastusmenettelyjen ja -menetelmien valinnassa ja toteutuksessa, tietojen ja tarkastusevidenssin keräämisessä ja käsittelyssä, analyysissa, testeissä, tarkastuslausunnoissa tai tarkastuspäätelmien tekemisessä. |
|
(12) |
Jotta voidaan taata tarvittava yhteistyö ja apu tarkastuksen aikana, tarkastettavan palveluntarjoajan olisi varmistettava, että tarkastusorganisaatio saa käyttöönsä kaikki tarkastuksen suorittamiseksi tarvittavat tiedot. Tarkastettavan palveluntarjoajan tulisi lähettää kaikki tarvittavat asiakirjat ja selitykset mahdollisimman varhaisessa vaiheessa ja joka tapauksessa ennen kuin tarkastusorganisaatio alkaa suorittaa tarkastusmenettelyjä. Tarkastettavan palveluntarjoajan tulee esimerkiksi asetuksen (EU) 2022/2065 41 artiklan 3 kohdan d ja e alakohdan mukaan seurata sääntöjen noudattamisen valvontatoimintonsa avulla kaikkien tarkastettavien velvoitteiden ja sitoumusten noudattamista, minkä pitäisi johtaa sisäisen valvonnan käyttöön. Tarkastusorganisaatiolle olisi sen vuoksi annettava pääsy kaikkiin tällaiseen valvontaan liittyviin tietoihin ja kaikkiin muihin tietoihin, joissa esitetään tarkastettavan palveluntarjoajan strategia säännönmukaisuuden varmistamiseksi. Tarkastettavan palveluntarjoajan olisi erityisesti asetettava tarkastusorganisaation saataville vertailuarvot, joita se käyttää varmistaakseen asetuksen (EU) 2022/2065 noudattamisen, jotta tarkastusorganisaatio voi perustaa tarkastuskriteerit näihin tietoihin.. Lisäksi tarkastusorganisaatiolle olisi annettava mahdollisuus tutustua kaikkiin analyyseihin, joita tarkastettava palveluntarjoaja on saattanut tehdä luontaisista riskeistä ja kontrolliriskeistä. Tarkastettavan palveluntarjoajan olisi asetettava tarkastusorganisaation saataville tiedot, jotka auttavat luomaan käsityksen tarkastettavasta palvelusta, sen hallinnosta, kyseeseen tulevien tiimien pätevyydestä ja päätöksentekorakenteista, mukaan lukien sääntöjen noudattamisen valvontatoiminto, samoin kuin esittelyt sen IT-järjestelmistä ja data- ja rekisterirakenteista sekä tarkastuksen kannalta merkityksellisten algoritmisten järjestelmien vuorovaikutuksesta. |
|
(13) |
Tarkastusorganisaation olisi voitava pyytää muita tarvittavia tietoja milloin tahansa tarkastuksen aikana. Pääsy näihin tietoihin olisi myönnettävä ilman aiheetonta viivytystä tavalla, joka ei millään tavoin haittaa tarkastuksen suorittamista, ja eri lähteistä, kuten asiakirjoista, algoritmisista järjestelmistä, tietokannoista tai haastatteluista, mukaan lukien henkilötiedot. Tarkastettavan palveluntarjoajan olisi myös annettava tarkastusorganisaatiolle pääsy menettelyihin, prosesseihin ja IT-järjestelmiin kuten algoritmisiin ja tietojärjestelmiin, testausympäristöt mukaan lukien. Jotta tarkastusorganisaatio voisi tarkastaa tällaiset järjestelmät tarkoituksenmukaisesti, tarkastettavan palveluntarjoajan olisi annettava käyttöön kaikki tarvittavat resurssit, jotta tarkastusorganisaatio voi päästä järjestelmiin ja arvioimaan niitä, esimerkiksi antamalla käyttöön palveluntarjoajan pätevää henkilöstöä vastaamaan kysymyksiin tai käyttämään testausympäristöjä ja antamaan selvityksiä niiden toiminnasta tai helpottamalla muita tarvittavia yhteyksiä henkilöstöön sekä pääsyä tiloihin ja rakennuksiin. Pääsy menettelyihin ja prosesseihin voi tarkoittaa esimerkiksi mahdollisuutta tutustua kuvauksiin tai asiakirjoihin, jotka koskevat tarkastettavan palveluntarjoajan sisäistä päätöksentekoprosessia. Tarvittavien tietojen saanti voi edellyttää tarkastettavalta palveluntarjoajalta myös lisätoimia, jotta se voi täyttää yhteistyö- ja avunantovelvoitteensa. Esimerkiksi henkilöstön haastattelut voivat edellyttää, että tarkastettava palveluntarjoaja antaa käyttöön suojatut järjestelmät. Jos se on tarpeen tarkastuksen suorittamiseksi, tarkastettavien palveluntarjoajien olisi täytettävä velvoite tarjota yhteistyötä ja apua tarkastusorganisaatiolle muun muassa helpottamalla pääsyä sellaisiin käyttämiensä ulkopuolisten toimeksisaajien hallussa oleviin tietoihin, jotka liittyvät kyseisten tarkastettavien palveluntarjoajien toimintaan. Näin voi olla esimerkiksi, kun kyse on sisällön moderointitoimien tuloksista, koulutusmateriaalista tai ohjeistuksesta, jota käyttävät sisältöä moderoivat ulkopuoliset toimeksisaajat, tai IT-ratkaisujen myyjistä ja palveluntarjoajista, mukaan lukien esimerkiksi tarkastettavan palveluntarjoajan käyttämissä suosittelujärjestelmissä tai mainontajärjestelmissä käytettävät algoritmit ja sovellukset. |
|
(14) |
Jotta voidaan edistää tarkastushavaintojen läpinäkyvyyttä tarkoituksenmukaisella tavalla ja säätää asetuksen (EU) 2022/2065 37 artiklan 4 kohdassa tarkoitettujen tarkastuskertomusten ja sen 37 artiklan 6 kohdassa tarkoitettujen tarkastuksen täytäntöönpanokertomusten kattavasta ja vertailukelpoisesta muodosta, tässä asetuksessa olisi vahvistettava näiden kertomusten mallit tarvittavine liitteineen kullekin kertomukselle. Tässä asetuksessa esitetyt mallit edellyttävät kattavaa raportointia vaikuttamatta asetuksen (EU) 2022/2065 42 artiklan 4 ja 5 kohdassa säädettyihin raporttien julkaisemista koskeviin vaatimuksiin. |
|
(15) |
Sen varmistamiseksi, että tarkastusorganisaatio saa tarkastettavalta palveluntarjoajalta kaiken tarvittavan avun ilman, että jälkimmäinen vaikuttaa tarkastuksen suorittamiseen, ja että tarkastusorganisaatio täyttää kaikki tarkastuksen valmistelua koskevat edellytykset ja toimittaa tarkastuskertomuksen hyvissä ajoin ja riittävän laadukkaana kohtuullisen varmuustason saavuttamiseksi, olisi tietyillä säännöillä täsmennettävä menettelyt tarkastuksen valmistelua varten. Tarkastettavan palveluntarjoajan ja tarkastusorganisaation tehtävät ja vastuut, mukaan lukien kaikki alihankkijat tai kumppaniorganisaatiot sekä tarkastuksen suorittamisesta vastaava henkilöstö, olisi vahvistettava kirjallisessa sopimuksessa määrättävin ehdoin. Kirjallisessa sopimuksessa olisi täsmennettävä tarkastettavat velvoitteet ja sitoumukset, resurssien kohdentaminen sekä säännöt tarkastusorganisaation ja tarkastettavan palveluntarjoajan välisestä vuorovaikutuksesta ja yhteyspisteet niiden välillä. Kaikki tositteet ja sopimukset olisi liitettävä tarkastuskertomukseen, myös silloin, kun asiakirjat ovat tarkastustoimeksiannon tai muiden sopimusehtojen muodossa. |
|
(16) |
Kattavan yleiskatsauksen mahdollistamiseksi ja tarkastettavien palveluntarjoajien vastuuvelvollisuuden helpottamiseksi tarkastuskertomuksessa tulisi olla päätelmä tarkastusorganisaation arviosta kaikkien tarkastettavien velvoitteiden ja sitoumusten noudattamisesta, jotka tarkastettavalle palveluntarjoajalle kuuluvat. Kunkin tarkastuspäätelmän tulisi perustua kohtuulliseen varmuustasoon, ja sen olisi oltava joko ”myönteinen”, ”myönteinen ja huomautuksia sisältävä” tai ”kielteinen”, jotta se tukisi tarkastuslausuntoa asianmukaisesti. Päätelmien, jotka ovat ”myönteisiä ja huomautuksia sisältäviä”, ei pitäisi koskea itse säännönmukaisuuden arviointia. Huomautuksissa voidaan viitata esimerkiksi siihen, että palveluntarjoaja on tuottanut tietoa tarkastusorganisaation pyynnöstä, tai parannuksiin, joita tarkastettava palveluntarjoaja on tehnyt ylläpidossa tai valvonnassa, tai niissä voidaan huomioida muita riskinvähentämissuunnitelmia ja parannuksia, joihin palveluntarjoaja aikoo ryhtyä. Jos tarkastusorganisaatio katsoo, että tarkastettava palveluntarjoaja noudattaa jotain tarkastettavaa velvoitetta tai sitoumusta tarkastettavan palvelutarjoajan ilmoittamien vertailuarvojen mukaan, mutta katsoo tarpeelliseksi esittää huomioita näistä vertailuarvoista, tarkastuspäätelmän tulisi olla ”myönteinen ja huomautuksia sisältävä”, koska tällaiset huomautukset voivat olla hyödyllinen tieto palveluntarjoajalle mahdollisuuksista muuttaa sen vertailuarvoja tarkastusorganisaation tietämyksen ja asiantuntemuksen sekä ulkoisista lähteistä saatavien tietojen perusteella. Huomautuksia voitaisiin antaa esimerkiksi ottaen huomioon komission ohjeet, kuten asetuksen (EU) 2022/2065 35 artiklan 3 kohdassa tarkoitetut komission suuntaviivat sekä muut kyseisen asetuksen soveltamiseen liittyvät komission antamat suuntaviivat, mainitun asetuksen 35 artiklan 2 kohdassa tarkoitetut Euroopan digitaalisten palvelujen lautakunnan raportit, täytäntöönpanotoimet, komission kyseisen asetuksen nojalla tekemät päätökset, asiaa koskeva oikeuskäytäntö, kuten Euroopan unionin tuomioistuimen oikeuskäytäntö, sekä julkiset kuulemiset tai muut kyseeseen tulevat luotettavat lähteet. |
|
(17) |
Julkisen valvonnan ja viranomaisvalvonnan mahdollistamiseksi silloin, kun tarkastuspäätelmä on ”kielteinen” mutta vain rajoitetun ajan ja kun tarkastusorganisaatio katsoo, että tarkastettava palveluntarjoaja on noudattanut velvoitetta tai sitoumusta muun ajan tarkastettavaa ajanjaksoa, tämä olisi otettava huomioon tarkastuskertomuksessa kunkin kyseessä olevan velvoitteen tai sitoumuksen osalta. Tarkastuskertomuksen olisi sisällettävä tarkastusorganisaation huomiot tarkastettavan palveluntarjoajan sen käyttöön antamista tiedoista, jotka koskevat käytössä olevia tai suunniteltuja riskinvähentämissuunnitelmia säännönvastaisuuksien korjaamiseksi. |
|
(18) |
Kun otetaan huomioon asetuksen (EU) 2022/2065 III luvussa säädettyjen oikeudellisten velvoitteiden erilainen luonne ja sen 45, 46 ja 48 artiklan mukaisten käytännesääntöjen ja kriisiprotokollien nojalla tehdyt vapaaehtoiset sitoumukset, tarkastusorganisaation olisi annettava tarkastuslausunnot kyseisen luvun ja kunkin käytännesäännöstön ja kriisiprotokollan noudattamisesta. |
|
(19) |
Jotta tarkastus voidaan suorittaa kohtuullisella varmuustasolla ja jotta asianmukaiset tarkastusmenettelyt voidaan suunnitella käyttäen menetelmiä, joilla tarkastusriski minimoidaan alhaiselle tasolle, keskeisenä osana menetelmää tarkastuksen suorittamiseksi tulisi olla tarkastusriskien arviointi eli arvio siitä riskistä, että tarkastusorganisaatio antaa epäasianmukaisen tarkastuslausunnon tai -päätelmän. Tarkastusorganisaation olisi arvioitava tarkastusriski heti tarkastuksen alussa ennen tarkkojen menetelmien suunnittelua ja tarkastusmenettelyjen suorittamista. Analyysi tarkastusriskistä tarvitaan, jotta tarkastusorganisaatio voi valita tarkat menetelmät tarkastusta varten ja määrittää, kuinka kattavia tarkastusmenettelyjen tulee olla, jotta saavutetaan kohtuullinen varmuustaso tarkastuslausuntoa varten. Tarkastusorganisaation olisi tehtävä tarkastusriskin analyysi kaikkien tarkastettavien velvoitteiden tai sitoumusten noudattamisen arviointia varten ottaen huomioon luontaiset riskit, kontrolliriskit ja havaitsemisriskit. |
|
(20) |
Jotta tarkastusriskit voidaan arvioida oikein, tarkastusriskin analyysissä olisi otettava huomioon tarkastettavan palvelun luonne, erityisesti sen riskiprofiili, sekä tarkastuksen laajuus ja monimutkaisuus. On esimerkiksi todennäköistä, että verkkoalustoihin, jotka mahdollistavat etäsopimusten tekemisen kuluttajien välillä, liittyvät luontaiset riskit ovat erilaisia kuin videonjakoalustojen tai hakukoneiden tapauksessa. Lisäksi tulisi ottaa huomioon sosiaalinen ja taloudellinen toimintaympäristö, jossa tarkastettavaa palvelua tarjotaan, esimerkiksi tyypilliset käyttäjäryhmät, kuten alaikäiset, tai toistuva käyttäytyminen, kuten laaja epäaito käyttö ja koordinoitu käyttäytyminen disinformaatiokampanjoissa. Sosiaalista ja taloudellista toimintaympäristöä tarkastellessa pitäisi ottaa huomioon myös asetuksessa (EU) 2022/2065 tarkoitettu kriisitilanteille ja odottamattomille tapahtumille altistumisen todennäköisyys ja erikseen sen vakavuus. |
|
(21) |
Jotta tarkastusriskin analyysissä voidaan ottaa huomioon palveluun kohdistuvien riskien kehittyminen, sen olisi perustuttava myös tietoihin mahdollisista aiemmista tarkastuksista, joita tarkastettavalle palveluntarjoajalle on tehty, ja tietoihin muista lähteistä, kuten muita riskiprofiililtaan samankaltaisia palveluntarjoajia koskevista tarkastuskertomuksista. Jotta tarkastusriskin analyysi voidaan kaikilta osin pohjata uusimpaan näyttöön riskeistä samankaltaisissa yhteyksissä kuin missä tarkastettava palveluntarjoaja toimii ja luotettaviin lähteisiin, joilla on välitöntä merkitystä asetuksen (EU) 2022/2065 soveltamisen kannalta, analyysissä olisi soveltuvin osin tukeuduttava myös Euroopan digitaalisten palvelujen lautakunnan antamiin raportteihin tai komission suuntaviivoihin. Muita tietolähteitä voisivat olla myös tiedot tarkastuskertomuksista, joita muut erittäin suurten verkkoalustojen tai erittäin suurten verkossa toimivien hakukoneiden tarjoajat ovat julkaisseet asetuksen (EU) 2022/2065 42 artiklan 4 kohdan mukaisesti. |
|
(22) |
Tarkastusorganisaation olisi ilman tarkastettavan palveluntarjoajan vaikutusta laadittava tarkastusmenetelmät, joita käyttäen tarkastettavien velvoitteiden ja sitoumusten noudattamista arvioidaan. Tarkastuskriteerien olisi perustuttava tietoihin, jotka tarkastettava palveluntarjoaja toimittaa säännönmukaisuuden seurannassa käyttämistään vertailuarvoista. Menetelmissä voidaan myös ottaa huomioon muita tarkastettavan palveluntarjoajan käyttöön antamia tietoja, kuten luontaisten riskien analyysi, jos tarkastettu palveluntarjoaja on tehnyt tällaisen analyysin käyttämällä esimerkiksi sääntöjen noudattamisen valvojien tai ylimmän hallintoelimen asetuksen (EU) 2022/2065 41 artiklan mukaisesti kehittämiä toimenpiteitä tai muita toimenpiteitä, jotka sisältyvät palvelun toimintaan kyseisen asetuksen 34 artiklassa tarkoitettuja järjestelmäriskien arviointeja varten. |
|
(23) |
Jotta varmistetaan, että tarkastusmenetelmät ovat asianmukaisia tarkastuslausuntojen kohtuullisen varmuuden saavuttamiseksi, menetelmien valinnassa tarkastusmenettelyjä varten olisi otettava huomioon tarkastettavan velvoitteen tai sitoumuksen erityispiirteet ja menetelmien valintaa tulisi mukauttaa esimerkiksi tarkastettavan velvoitteen luonteen mukaan riippuen siitä, velvoittaako se palveluntarjoajaa keinojen käyttöön vai tuloksiin sääntöjen noudattamiseksi. Esimerkiksi tarkastusmenettelyissä, joilla arvioidaan asetuksen (EU) 2022/2065 15 artiklan mukaisen avoimuusraportoinnin noudattamista, tarkastusorganisaatio voi päätellä, julkaistiinko raportit kyseisessä asetuksessa vaadituissa määräajoissa ja muodoissa, olivatko ne täydellisiä ja olivatko raportoidut tiedot paikkansapitäviä, edustavia ja asianmukaisesti eriteltyjä esimerkiksi kulloisenkin toimenpiteisiin johtaneen laittoman sisällön luokan mukaan. |
|
(24) |
Menetelmän valinnan olisi myös perustuttava siihen, edellyttääkö säännönmukaisuuden arviointi tarkastusorganisaatiolta asiayhteyteen perustuvaa tulkintaa. Menetelmien valintaa olisi myös mukautettava luontaisiin riskeihin, joita liittyy palvelun tarjoamisen yhteydessä suoritettaviin toimintoihin ja palvelun tarjoamisen toimintaympäristöön, esimerkiksi siihen, liittyykö palveluun sellaisten tavaroiden myyntiä, jotka voivat olla laittomia, tai käyttävätkö palvelua pääasiassa alaikäiset. Esimerkiksi arvioidessaan, noudatetaanko asetuksen (EU) 2022/2065 28 artiklan 1 kohdan mukaisia velvoitteita ottaa käyttöön asianmukaisia ja oikeasuhteisia toimenpiteitä alaikäisten korkeatasoisen yksityisyyden ja turvallisuuden varmistamiseksi, tarkastusorganisaation tulisi käyttämiensä menetelmien avulla saada riittävä käsitys siitä, miten alaikäiset käyttävät tarkastettavaa palvelua, millaisia riskejä heidän yksityisyydelleen ja turvallisuudelleen voi aiheutua ja mitkä ovat asianmukaisia ja oikeasuhteisia toimenpiteitä, kun on kyse tarkastettavasta palvelusta ja sen käytöstä alaikäisten keskuudessa. Tätä varten tarkastusorganisaatioiden olisi jaoteltava arviointi tarkoituksenmukaisiksi vaiheiksi. Niiden olisi arvioitava tarkastusriskit tarkastettavan palveluntarjoajan riskiprofiilin perusteella ja muun muassa se, onko palvelu alaikäisten saatavilla tai käyttävätkö sitä pääasiassa alaikäiset. Niiden olisi esimerkiksi arvioitava, onko palveluntarjoaja ottanut käyttöön välineitä iänvarmistusta varten, ovatko ne tuloksellisia ja miten tarkastettava palveluntarjoaja arvioi ja seuraa niiden tuloksellisuutta. Niiden olisi arvioitava, onko tarkastettava palveluntarjoaja ottanut käyttöön asianmukaisia toimenpiteitä havaitakseen palvelunsa vihamielisen (adversarial) käytön ja käyttäytymismallit, joiden tarkoitus on vahingoittaa tai jotka todennäköisesti vahingoittavat alaikäisiä. |
|
(25) |
Menetelmien valintaa olisi mukautettava kontrolliriskeihin toimenpiteissä, joita tarkastettava palveluntarjoaja on ottanut käyttöön sääntöjen noudattamiseksi, sekä havaitsemisriskeihin eli riskeihin siitä, ettei havaita palveluntarjoajan tarkastusorganisaatiolle toimittamissa tiedoissa olevia virheellisyyksiä. Jos tarkastettava velvoite voi esimerkiksi edellyttää tarkastusta algoritmisesta järjestelmästä, joka perustuu yksilöllistämiseen tarkastettavan palvelun yksittäisiä vastaanottajia varten ja algoritmisen järjestelmän toistuviin päivityksiin, esimerkiksi kun on kyse velvoitteista antaa tietoa suosittelujärjestelmistä asetuksen (EU) 2022/2065 27 artiklan mukaisesti, tarkastusorganisaation tulisi valitsemansa menetelmän pohjalta voida suunnitella asianmukaiset testit havaitsemisriskien minimoimiseksi. Vastaavasti jos tarkastusorganisaatio pyrkii arvioimaan, onko kaikkia kyseeseen tulevia riskejä lievennetty laajoihin kielimalleihin perustuvien sovellusten suunnittelussa, toiminnassa ja käytössä, kuten tarkastettavan palveluntarjoajan käyttämissä chat-toimintoissa tai suosittelujärjestelmissä, tarkastusorganisaation tulisi ensin arvioida palveluntarjoajan käyttöön ottamien valvontatoimien tarkoituksenmukaisuus. Testien valinnassa tulisi ottaa huomioon tämän sisäisen valvonnan luotettavuus. Tarkastusmenettelyjen tulisi perustua menetelmien yhdistelmään erityisesti mutta ei pelkästään niissä tapauksissa, joissa sisäinen valvonta on liian heikkoa, puutteellista tai epävarmaa, jotta sääntöjen noudattamista voitaisiin arvioida ottaen huomioon tarkastettavan palvelun vastaanottajapopulaatio. Menetelmiin voi kuulua esimerkiksi aineistopohjaisia analyysimenetelmiä, kuten analyysiä vuorovaikutuksista kaikkien algoritmisten järjestelmien välillä suosittelujärjestelmissä ja niihin liittyvistä päätöksentekosäännöistä ja -prosesseista näiden suosittelujärjestelmien pääparametrien määrittämiseksi, mukaan lukien havainnot digitaalisista tallenteista ja lokeista. Menetelmiin tulisi kuulua myös järjestelmän testaus, kuten simuloiduissa ympäristöissä tehtävät testit. |
|
(26) |
Jotta varmistetaan, että menetelmä on relevantti ja että uudet havainnot voidaan ottaa huomioon tarkastuksen aikana, menetelmien valinnassa olisi käytettävä ohjenuorana tarkastusorganisaation ammatillista harkintaa ja menetelmien valintaa olisi mukautettava tällaisiin uusiin havaintoihin erityisesti silloin, kun tarkastusorganisaatiolla on perusteltuja epäilyjä tarkastettavan palveluntarjoajan toimittamien tietojen suhteen. Tarkastusorganisaation tulisi osoittaa ammatillista skeptisyyttä asiantuntemuksensa ja muiden asetuksen (EU) 2022/2065 soveltamisen kannalta erityisen merkittävien tietolähteiden pohjalta, mukaan lukien Euroopan digitaalisten palvelujen lautakunnan raportit, komission ohjeet, mainitun asetuksen 45, 46 ja 48 artiklassa tarkoitettujen käytännesääntöjen tai kriisiprotokollien pohjalta laaditut tarkastuskertomukset tai tarkastuksen aikana esiin tulleet tiedot, muun muassa niiden liittyessä sellaisiin tapahtumiin, erityisesti kriisitilanteisiin, jotka edellyttävät tarkastettavalta palveluntarjoajalta lisätoimia tiettyjen tarkastettavien velvoitteiden tai sitoumusten noudattamisen varmistamiseksi. |
|
(27) |
Sen varmistamiseksi, että tarkastuksen aikana kerätään riittävästi tarkastusevidenssiä, tarkastusorganisaatioiden olisi sekä arvioitava tarkastettavan palveluntarjoajan sisäistä valvontaa että suoritettava aineistotarkastusmenettelyjä voidakseen arvioida, noudattaako tarkastettava palveluntarjoaja sääntöjä. Tietyissä tapauksissa tarkastusorganisaation olisi myös suoritettava testejä. |
|
(28) |
Kun otetaan huomioon verkkoalustojen tarjoajien käyttämien algoritmisten järjestelmien monimutkaisuus ja niiden tärkeä rooli useiden asetuksessa (EU) 2022/2065 säädettyjen velvoitteiden noudattamisessa, erityistä huomiota olisi kiinnitettävä tarvittavien ja asianmukaisten menetelmien valintaan algoritmisten järjestelmien tarkastamista varten. Tämä pätee sekä silloin, kun algoritmiset järjestelmät ovat osa tarkastettavan palveluntarjoajan käyttöön ottamaa valvontaa, että silloin, kun ne ovat tarkastettavien velvoitteiden tai sitoumusten kohteena, kuten suosittelujärjestelmien osalta esimerkiksi asetuksen (EU) 2022/2065 27, 34, 35 ja 38 artiklan nojalla, mainontajärjestelmien osalta esimerkiksi sen 26, 28, 34, 35 ja 39 artiklan nojalla, sisällön moderointijärjestelmien osalta esimerkiksi sen 14, 15, 34 ja 35 artiklan nojalla tai minkä tahansa muun algoritmisen järjestelmän osalta, joka vaikuttaa kyseisen asetuksen 34 artiklassa tarkoitettuihin riskeihin. |
|
(29) |
Olisi myös käytettävä aineistopohjaisten analyysimenetelmien yhdistelmää, tarvittaessa pohjautuen havaintoihin tarkastettavan palveluntarjoajan prosesseista ja toimista algoritmisten järjestelmien suunnittelussa, kehittämisessä, käytössä, testauksessa ja seurannassa tai havaintoihin järjestelmien tuottamista digitaalisista tallenteista ja lokitiedoista. Menetelmiä olisi mukautettava algoritmisten järjestelmien erityispiirteisiin, mukaan lukien niiden hallinnointi ja eri algoritmisten järjestelmien ja niihin liittyvien tiedonhallintajärjestelmien välinen vuorovaikutus, sekä näiden algoritmisten järjestelmien perustana oleviin teknologioihin, mukaan lukien generatiiviset mallit tai muut luokittimet, valinta- tai hakualgoritmit. |
|
(30) |
Lisäksi algoritmisten järjestelmien tarkastusmenetelmiin olisi sisällyttävä testejä, esimerkiksi testejä sellaisten tietojen keräämiseksi, joita tarkastettava palveluntarjoaja ei ole aiemmin dokumentoinut, tai tarkkuusindikaattoreiden tulosten toistamiseksi ja arvioimiseksi riippumattomasti, testiympäristöissä tai simuloiduissa ympäristöissä tehtäviä testejä tai tuotantojärjestelmissä tehtäviä testejä, mukaan lukien tiedonharavointi tai testaus adversariaalihyökkäyksillä (adversarial testing). |
|
(31) |
Koska tarkastusevidenssin korkea laatu on välttämätön edellytys sille, että tarkastusorganisaatio voi muodostaa tarkastuslausunnon kohtuullisella varmuudella, tietojen, joita se päättää käyttää tarkastusevidenssinä, tulisi olla asianmukaisia ja riittäviä tarkastusriskien vähentämiseksi. Lisäksi tarkastusevidenssin tulisi olla luotettavaa tarkastusorganisaation ammatillisen harkinnan ja skeptisyyden perusteella ja soveltuvin osin vaihtoehtoisten tietolähteiden valossa. Ammatilliseen harkintaan ja skeptisyyteen olisi sisällyttävä tarkastusevidenssin ja mahdollisten virheellisyyksien kriittinen arviointi. Näitä laatustandardeja pitäisi soveltaa kaikkeen tarkastusevidenssiin riippumatta siitä, onko sen toimittanut tarkastettava palveluntarjoaja vai onko se kerätty muista lähteistä. |
|
(32) |
Tarkastusorganisaation olisi harkittava erityyppisiä tietolähteitä, joita voisivat olla esimerkiksi tarkastettavan palveluntarjoajan henkilöstön tai toimeksisaajien haastattelut, mukaan lukien sääntöjen noudattamisen valvojat, insinöörit, datatutkijat, ohjelmistoarkkitehdit tai sisäisen tarkastuksen ryhmien jäsenet. Tietolähteisiin voi sisältyä myös tekninen dokumentaatio, joka koskee kyseessä olevan järjestelmän suunnittelua, täytäntöönpanoa, testausta ja seurantaa, myös tietojen laatua ja hallinnointia sekä järjestelmän päivityksiä ja versioita, sekä muut asiakirjat tarkastettavan palveluntarjoajan hallinto- ja päätöksentekoprosesseista, mukaan lukien painopisteet, resurssit, tehtävien ja vastuiden jakaminen tai henkilöstön asiantuntemus. |
|
(33) |
Jotta voidaan varmistaa tarkastuksen tehokkuus ja oikeasuhteisuus, tarkastusorganisaation olisi voitava poimia dataa ja informaatiota edustavan otoksen muodostamiseksi, jotta se voi antaa tarkastuslausunnon kohtuullisella varmuudella. Tarkastusmenettelyjen avoimuuden ja uusittavuuden varmistamiseksi tarkastusorganisaation olisi esitettävä tarkastuskertomuksessa perustelut otoksen kokoa ja otantamenetelmää koskeville valinnoille. Otoksen koko ja menetelmät olisi esimerkiksi valittava ottaen huomioon, mikä on tehokasta sen kannalta, että voidaan saavuttaa yksittäisen tarkastettavan velvoitteen tai sitoumuksen tarkastuksen tavoite ja minimoida riski siitä, että tietyn otoksen tarkastuksen päätelmä poikkeaa päätelmästä, joka saataisiin, jos tarkastusmenettelyä sovellettaisiin koko evidenssijoukkoon. Otoksen koko ja menetelmät tulisi valita ottaen huomioon tarkastuksen täysi laajuus sekä sisäiset tai ulkoiset muutokset tarkastettavassa palvelussa tänä aikana. Niitä olisi myös mukautettava algoritmisten järjestelmien erityispiirteisiin, mukaan lukien profiloinnin avulla tapahtuvan yksilöllistäminen. Osana tätä näkökohtaa tarkastusorganisaation olisi esimerkiksi huolehdittava siitä, että otannan piiriin kuuluvat asianmukaisesti eri kohortit tai ositukset, joita voi muodostua yksilöllistämiseen käytettyjen tekniikoiden seurauksena, tai määritettävä virhemarginaali ja perusteltava, miksi se on hyväksyttävällä tasolla. |
|
(34) |
Asetuksen (EU) 2022/2065 tiettyjen säännösten uutuuden vuoksi on tarpeen vahvistaa metodologiset periaatteet, mukaan lukien tarkastuskysymykset ja muut suuntaviivat tarkastusmenetelmien ja tarkastusevidenssin valitsemiseksi näiden säännösten noudattamisen arviointia varten, erityisesti arvioitaessa, noudatetaanko asetuksen (EU) 2022/2065 34, 35 ja 36 artiklaa, jotka koskevat tarkastettavien palveluntarjoajien toteuttamia riskinanalyysejä ja niiden käyttöön ottamia riskinvähentämistoimenpiteitä sekä kriisinhallintaan liittyvien velvoitteiden soveltamista. |
|
(35) |
Koska tarkastusorganisaatioiden olisi myös arvioitava, noudattaako tarkastettava palveluntarjoaja asetuksen (EU) 2022/2065 37 artiklaa, olisi myös annettava lisäeritelmiä täsmällisestä tarkastuksesta, jonka pohjalta noudattamista olisi arvioitava, erityisesti eturistiriitojen välttämiseksi tarkastusorganisaation osalta. |
|
(36) |
Käytännesääntöjen ja kriisiprotokollien vapaaehtoisuuden vuoksi on tarpeen vahvistaa erityiset säännöt asetuksen (EU) 2022/2065 45, 46 ja 48 artiklan noudattamisen tarkastamiseksi, erityisesti jotta tarkastusorganisaatioilla olisi käytössään kaikki tarvittavat tiedot, jotta ne voisivat suorittaa tarkastukset liittyen nimenomaan kunkin käytännesäännöstön ja kriisiprotokollan mukaisiin sitoumuksiin, |
ON HYVÄKSYNYT TÄMÄN ASETUKSEN:
I JAKSO
Yleiset säännökset
1 artikla
Kohde
Tässä asetuksessa vahvistetaan asetuksen (EU) 2022/2065 37 artiklan mukaisten tarkastusten suorittamista koskevat säännöt seuraavia varten:
|
a) |
menettelyvaiheet sen varmistamiseksi, että valittava tarkastusorganisaatio täyttää asetuksen (EU) 2022/2065 37 artiklan 3 kohdassa säädetyt edellytykset; |
|
b) |
menettelyvaiheet tarkastettavan palveluntarjoajan tarkastusten suorittamisessa tarjoamaa yhteistyötä ja apua varten, mukaan lukien pääsy asiaankuuluviin tietoihin tarkastusevidenssin saamiseksi; |
|
c) |
tarkastusmenetelmien määrittely ja valinta; |
|
d) |
tarkastuskertomuksen ja tarkastuksen täytäntöönpanokertomuksen mallit. |
2 artikla
Määritelmät
Tässä asetuksessa tarkoitetaan:
|
1) |
’tarkastusorganisaatiolla’ yksittäistä organisaatiota taikka konsortiota tai muuta organisaatioiden yhdistelmää, jonka tehtäväksi tarkastettava palveluntarjoaja on antanut riippumattoman tarkastuksen asetuksen (EU) 2022/2065 37 artiklan mukaisesti, mukaan lukien myös mahdolliset alihankkijat; |
|
2) |
’tarkastavalla palvelulla’ asetuksen (EU) 2022/2065 33 artiklan mukaisesti nimettyä erittäin suurta verkkoalustaa tai erittäin suurta verkossa toimivaa hakukonetta; |
|
3) |
’tarkastettavalla palveluntarjoajalla’ tarkastettavan palvelun tarjoajaa, johon sovelletaan kyseisen asetuksen 37 artiklan 1 kohdan mukaisia riippumattomia tarkastuksia; |
|
4) |
’tarkastettavalla velvoitteella tai sitoumuksella’ asetuksen (EU) 2022/2065 37 artiklan 1 kohdassa tarkoitettua velvoitetta tai sitoumusta, joka on tarkastuksen kohteena; |
|
5) |
’tarkastuskriteereillä’ perusteita, joiden mukaisesti tarkastusorganisaatio arvioi kunkin tarkastettavan velvoitteen tai sitoumuksen noudattamista; |
|
6) |
’tarkastusevidenssillä’ tietoja, joita tarkastusorganisaatio käyttää tarkastushavaintojen ja -päätelmien tukena ja tarkastuslausunnon antamiseen, mukaan lukien asiakirjoista, tietokannoista tai IT-järjestelmistä, haastatteluista tai suoritetusta testauksesta saatavat tiedot; |
|
7) |
’virheellisyydellä’ tahallista tai tahatonta puuttuvaa, väärää tai virheellistä seikkaa tarkastettavan palveluntarjoajan tarkastusorganisaatiolle raportoimissa tai toimittamissa ilmoituksissa tai tiedoissa taikka testausympäristössä, jonka tarkastettava palveluntarjoaja on asettanut tarkastusorganisaation saataville; |
|
8) |
’tarkastusriskillä’ riskiä siitä, että tarkastusorganisaatio antaa virheellisen tarkastuslausunnon tai tekee virheellisen päätelmän siitä, noudattaako tarkastettava palveluntarjoaja tarkastettavaa velvoitetta tai sitoumusta, ottaen huomioon kyseiseen tarkastettavaan velvoitteeseen tai sitoumukseen liittyvät havaitsemisriskit, luontaiset riskit ja kontrolliriskit; |
|
9) |
’havaitsemisriskillä’ riskiä siitä, että tarkastusorganisaatio ei havaitse virheellisyyttä, jolla on merkitystä arvioitaessa, noudattaako tarkastettava palveluntarjoaja tarkastettavaa velvoitetta tai sitoumusta; |
|
10) |
’luontaisella riskillä’ sellaista sääntöjen noudattamatta jättämisen riskiä, joka liittyy olennaisesti tarkastettavan palvelun luonteeseen, suunnitteluun, toimintaan ja käyttöön sekä sen toimintaympäristöön, ja tarkastettavan velvoitteen tai sitoumuksen luonteeseen liittyvää sääntöjen noudattamatta jättämisen riskiä; |
|
11) |
’kontrolliriskillä’ riskiä siitä, että virheellisyyttä ei estetä, havaita ja korjata oikea-aikaisesti tarkastettavan palveluntarjoajan sisäisellä valvonnalla; |
|
12) |
’olennaisuusrajalla’ kynnysarvoa, jonka ylittyessä tarkastettavan palveluntarjoajan poikkeamat tai virheellisyydet yksittäin tai yhdessä kohtuudella vaikuttaisivat tarkastuksen havaintoihin, päätelmiin ja lausuntoihin; |
|
13) |
’kohtuullisella varmuustasolla’ suurta mutta ei kuitenkaan täydellistä varmuutta, jonka pohjalta tarkastusorganisaatio voi todeta tarkastuslausunnossaan ja tarkastuspäätelmissään riittävän ja asianmukaisen näytön perusteella, noudattaako tarkastettava palveluntarjoaja tarkastettavia velvoitteita tai sitoumuksia; |
|
14) |
’sisäisellä valvonnalla’ kaikkia tarkastettavan palveluntarjoajan, mukaan lukien sen sääntöjen noudattamisen valvojat ja ylin hallintoelin, suunnittelemia, käyttöönottamia ja ylläpitämiä toimenpiteitä, mukaan lukien prosessit ja testit, joiden avulla seurataan ja varmistetaan, että tarkastettava palveluntarjoaja noudattaa tarkastettavaa velvoitetta tai sitoumusta; |
|
15) |
’hyväksytyllä tutkijalla’ asetuksen (EU) 2022/2065 40 artiklan 8 kohdan mukaisesti hyväksyttyä tutkijaa; |
|
16) |
’tarkastusmenettelyllä’ mitä tahansa tekniikoita, joita tarkastusorganisaatio soveltaa tarkastuksen suorittamisessa, mukaan lukien tietojen keruu, menetelmien kuten testien ja aineistopohjaisten analyysimenetelmien valinta ja soveltaminen sekä kaikki muut toimet tietojen keräämiseksi ja analysoimiseksi, tarkastusevidenssin keräämiseksi ja tarkastuspäätelmien tekemiseksi, lukuun ottamatta tarkastuslausunnon tai tarkastuskertomuksen antamista; |
|
17) |
’testillä’ tarkastusmenetelmää, joka koostuu mittauksista, kokeista tai muista tarkistuksista, mukaan lukien algoritmisten järjestelmien tarkistukset, joiden avulla tarkastusorganisaatio arvioi, noudattaako tarkastettava palveluntarjoaja tarkastettavaa velvoitetta tai sitoumusta; |
|
18) |
’aineistopohjaisella analyysimenetelmällä’ tarkastusmenetelmää, jota tarkastusorganisaatio käyttää arvioidakseen tietoja johtopäätösten tekemiseksi tarkastusriskeistä tai tarkastettavan velvoitteen tai sitoumuksen noudattamisesta. |
3 artikla
Tarkastuksen laajuus ja kohtuullinen varmuustaso
1. Tarkastus on suoritettava sellaisella tavalla ja sen kestoisena, että tarkastusorganisaatio voi kohtuullisella varmuudella arvioida, noudattaako tarkastettava palveluntarjoaja kaikkia tarkastettavia velvoitteita ja sitoumuksia.
2. Tarkastuksen on katettava ajanjakso, joka alkaa välittömästi edellisen tarkastuksen kattaman ajanjakson jälkeen ja kestää siihen saakka, että tarkastusorganisaatio voi suorittaa tarkastuksen asetuksen (EU) 2022/2065 37 artiklan 1 kohdassa edellytetyssä määräajassa, muun muassa vahvistamalla arvionsa 1 kohdan mukaisesti kyseisen ajanjakson aikana kerätyn näytön ja sen aikana toteutettujen tarkastusmenettelyjen perusteella sekä laatimalla ja toimittamalla kyseisen asetuksen 37 artiklan 4 kohdan mukaisen tarkastuskertomuksen tarkastettavalle palveluntarjoajalle.
3. Jos aiempaa tarkastusta ei ole suoritettu, tarkastus kattaa ajanjakson, joka alkaa neljän kuukauden kuluttua asetuksen (EU) 2022/2065 33 artiklan 6 kohdan ensimmäisessä alakohdassa tarkoitetusta ilmoituksesta, ja tarkastuksen keston on mahdollistettava 6 artiklan 1 kohdan mukaisen tarkastuskertomuksen valmistuminen viimeistään vuoden kuluessa tarkastettavan ajanjakson alusta.
II JAKSO
Tarkastuksen suorittamisen edellytykset
4 artikla
Tarkastusorganisaation valinta
1. Ennen kuin tarkastusorganisaatio valitaan suorittamaan tarkastus, tarkastettavan palveluntarjoajan on tarkistettava, täyttääkö valittava organisaatio asetuksen (EU) 2022/2065 37 artiklan 3 kohdassa säädetyt vaatimukset.
2. Jos valittava tarkastusorganisaatio koostuu useammasta kuin yhdestä oikeushenkilöstä tai aikoo käyttää yhtä tai useampaa alihankkijaa, tarkastettavan palveluntarjoajan on tarkistettava, täyttävätkö kaikki kyseiset oikeushenkilöt tai alihankkijat
|
a) |
yksittäin asetuksen (EU) 2022/2065 37 artiklan 3 kohdan a ja c alakohdassa säädetyt vaatimukset; |
|
b) |
yhdessä asetuksen (EU) 2022/2065 37 artiklan 3 kohdan b alakohdassa säädetyn vaatimuksen. |
5 artikla
Yhteistyö ja apu tarkastettavan palveluntarjoajan ja tarkastusorganisaation välillä
1. Tarkastettavan palveluntarjoajan on toimitettava valitulle tarkastusorganisaatiolle vähintään seuraavat tiedot tarkastusorganisaation kanssa sovittuna ajankohtana ja joka tapauksessa ennen tarkastusmenettelyjen suorittamista:
|
a) |
kuvaus kunkin tarkastettavan velvoitteen ja sitoumuksen osalta käyttöön otetusta sisäisestä valvonnasta, mukaan lukien siihen liittyvät indikaattorit ja kaikki nykyiset ja aikaisemmat mittaukset sekä vertailuarvot, joita tarkastettava palveluntarjoaja käyttää vahvistaakseen tarkastettavien velvoitteiden ja sitoumusten noudattamisen tai seuratakseen sitä, samoin kuin mahdolliset tositteet; |
|
b) |
alustava analyysi luontaisista riskeistä ja kontrolliriskeistä, jos tarkastettava palveluntarjoaja on tehnyt tällaisen analyysin, sekä mahdolliset tositteet; |
|
c) |
tiedot kaikista asiaan liittyvistä päätöksentekorakenteista ja palveluntarjoajan osastojen vastuualueista ja pätevyydestä, mukaan lukien asetuksen (EU) 2022/2065 41 artiklan mukainen sääntöjen noudattamisen valvontatoiminto, asiaankuuluvat IT-järjestelmät, datalähteet, datan käsittely ja tallentaminen sekä selvitykset kyseeseen tulevista algoritmisista järjestelmistä ja niiden vuorovaikutuksesta. |
2. Tarkastettavan palveluntarjoajan on annettava tarkastusorganisaatiolle ilman aiheetonta viivytystä pääsy kaikkiin tarkastuksen suorittamiseksi tarvittaviin tietoihin, mukaan lukien henkilötiedot, asiakirjat, menettelyjä ja prosesseja koskevat tiedot, ja kyseisen palveluntarjoajan IT-järjestelmiin, testausympäristöihin ja tiloihin sekä yhteydet henkilöstöön ja mahdollisiin alihankkijoihin.
3. Tarkastettavan palveluntarjoajan on asetettava kaikki tarvittavat resurssit tarkastusorganisaation saataville ja annettava sille tarvittava apu ja selvitykset, jotta tarkastusorganisaatio voi analysoida tarvitsemansa tiedot ja suorittaa testit, myös silloin, kun tarkastusorganisaation asetuksen (EU) 2022/2065 37 artiklan 3 kohdan mukaisesti pyytämät tiedot ovat tarkastettavan palveluntarjoajan ulkopuolisen toimeksisaajan hallussa.
III JAKSO
Tarkastusten suorittaminen
6 artikla
Tarkastuskertomus ja tarkastuksen täytäntöönpanokertomus
1. Tarkastusorganisaation on laadittava asetuksen (EU) 2022/2065 37 artiklan 4 kohdassa tarkoitettu tarkastuskertomus tarkastettavan palveluntarjoajan puuttumatta asiaan. Tarkastuskertomus on laadittava liitteessä I olevan mallin mukaisesti, ja sen on sisällettävä yksityiskohtaiset ja perustellut päätelmät kaikista mallissa mainituista elementeistä.
2. Asetuksen (EU) 2022/2065 37 artiklan 6 kohdassa tarkoitettu tarkastuksen täytäntöönpanokertomus on soveltuvin osin laadittava liitteessä II olevan mallin mukaisesti.
7 artikla
Menettelyt tarkastuksen valmistelua varten
1. Tarkastettavan palveluntarjoajan ja tarkastusorganisaation on tehtävä kirjallinen sopimus, jossa vahvistetaan
|
a) |
tyhjentävä luettelo tarkastettavista velvoitteista ja sitoumuksista; |
|
b) |
tarkastusorganisaation vastuut, mukaan lukien tarvittaessa yksityiskohtaiset tiedot kustakin tarkastusorganisaation muodostavasta oikeushenkilöstä sekä osapuolista, joilla on valtuudet allekirjoittaa tarkastuskertomus; |
|
c) |
menettelyt ja yhteyspisteet, jotka tarkastettava palveluntarjoaja asettaa tarkastusorganisaation käyttöön pääsyn pyytämiseksi 5 artiklan 2 kohdassa tarkoitettuihin tietoihin; |
|
d) |
tarkastuksen aikataulu, mukaan lukien tarkastusmenettelyjen alkamis- ja päättymispäivä sekä tarkastuskertomuksen valmistuminen; |
|
e) |
menettely, jolla ratkaistaan tarkastettavan palveluntarjoajan ja tarkastusorganisaation väliset tarkastuksen suorittamisesta johtuvat riidat. |
2. Edellä 1 kohdassa tarkoitettu sopimus sekä mahdolliset muut tarkastusorganisaation ja tarkastettavan palveluntarjoajan väliset sopimukset tai toimeksiantokirjeet, jotka koskevat tarkastuksen suorittamista, on liitettävä tarkastuskertomukseen.
3. Jos 1 kohdassa tarkoitettuun sopimukseen tehdään muutoksia tarkastuksen suorittamisen aikana, ne on nimenomaisesti ilmoitettava tarkastuskertomuksessa.
8 artikla
Tarkastuslausunto, tarkastuspäätelmät ja suositukset
1. Tarkastuskertomuksen on sisällettävä tarkastuksen päätelmät, jotka tarkastusorganisaatio on tehnyt siitä, noudattaako tarkastettava palveluntarjoaja kutakin tarkastettavaa velvoitetta ja sitoumusta. Tarkastuksen päätelmä voi olla joko:
|
a) |
”myönteinen”, jos tarkastusorganisaatio päättelee kohtuullisella varmuudella, että tarkastettava palveluntarjoaja on noudattanut tarkastettavaa velvoitetta tai sitoumusta; |
|
b) |
”myönteinen ja huomautuksia sisältävä”, jos tarkastusorganisaatio päättelee kohtuullisella varmuudella, että tarkastettava palveluntarjoaja on noudattanut tarkastettavaa velvoitetta tai sitoumusta, mutta
|
|
c) |
”kielteinen”, jos tarkastusorganisaatio päättelee kohtuullisella varmuudella, että tarkastettava palveluntarjoaja ei ole noudattanut tarkastettavaa velvoitetta tai sitoumusta. |
2. Jos tarkastusraportti sisältää toimintasuosituksia asetuksen (EU) 2022/2065 37 artiklan 4 kohdan h alakohdan mukaisesti, kyseisten suositusten ja niille suositellun aikataulun on koskettava erikseen kutakin tarkastettavaa velvoitetta tai sitoumusta, jonka osalta 1 kohdan mukainen tarkastuspäätelmä on ”myönteinen ja huomautuksia sisältävä” tai ”kielteinen”.
3. Jos 2 kohdassa tarkoitettuihin toimintasuosituksiin sisältyy erityisiä toimenpiteitä sääntöjen noudattamiseksi, ne on muotoiltava siten, että niissä selitetään tarkastusorganisaation arvio siitä, miten tällaiset toimenpiteet vaikuttaisivat olennaisuusrajaan verrattuna kyseistä tarkastettavaa velvoitetta tai sitoumusta koskevaan tarkastuspäätelmään.
4. Tarkastuskertomuksen on tarkastuspäätelmien perusteella sisällettävä tarkastuslausunto siitä, miten tarkastettava palveluntarjoaja on noudattanut kaikkia asetuksen (EU) 2022/2065 37 artiklan 1 kohdan a alakohdassa tarkoitettuja tarkastettavia velvoitteita.
5. Tarkastuskertomuksen on kaikkia tarkastettavia sitoumuksia koskevien päätelmien perusteella soveltuvin osin sisällettävä tarkastuslausunto tai -lausunnot siitä, miten tarkastettava palveluntarjoaja on noudattanut kaikkia asetuksen (EU) 2022/2065 37 artiklan 1 kohdan b alakohdassa tarkoitettuja kunkin käytännesäännöstön ja kriisiprotokollan mukaisesti tekemiään tarkastettavia sitoumuksia.
6. Edellä 4 ja 5 kohdassa tarkoitetut tarkastuslausunnot ovat joko
|
a) |
”myönteisiä”, jos tarkastusorganisaatio on tehnyt ”myönteisen” tarkastuspäätelmän kaikkien tarkastettavien velvoitteiden tai sitoumusten osalta; |
|
b) |
”myönteisiä ja huomautuksia sisältäviä”, jos tarkastusorganisaatio on tehnyt vähintään yhden tarkastuspäätelmän, joka on ”myönteinen ja huomautuksia sisältävä” jonkin tarkastettavan velvoitteen tai sitoumuksen osalta tekemättä ”kielteistä” tarkastuspäätelmää minkään tarkastettavan velvoitteen tai sitoumuksen osalta; |
|
c) |
”kielteisiä”, jos tarkastusorganisaatio on tehnyt ”kielteisen” tarkastuspäätelmän vähintään yhden tarkastettavan velvoitteen tai sitoumuksen osalta. |
7. Jos tarkastusorganisaatio arvioi, ettei palveluntarjoaja ole noudattanut tarkastettavaa velvoitetta tai sitoumusta tietyltä ajalta 3 artiklan 2 kohdassa tarkoitettuna ajanjaksona, tarkastuskertomuksessa on asianmukaisesti dokumentoitava tämä arvio.
8. Jos tarkastusorganisaatio ei voi kohtuullisella varmuustasolla antaa 1 kohdan mukaista tarkastuspäätelmää tai 4 ja 5 kohdan mukaista tarkastuslausuntoa, tarkastuskertomuksessa on selostettava olosuhteet ja syyt, joiden vuoksi tällaista varmuustasoa ei voitu saavuttaa.
IV JAKSO
Tarkastusmenetelmät
9 artikla
Tarkastusriskien analyysi
1. Tarkastuskertomuksen on sisällettävä perusteltu tarkastusriskin analyysi, jonka tarkastusorganisaatio tekee arvioidakseen, noudattaako tarkastettava palveluntarjoaja kutakin tarkastettavaa velvoitetta tai sitoumusta.
2. Tarkastusriskin analyysi on tehtävä ennen tarkastusmenettelyjen suorittamista, ja sitä on päivitettävä tarkastuksen aikana sellaisen uuden tarkastusevidenssin perusteella, joka tarkastusorganisaation ammatillisen harkinnan mukaan muuttaa olennaisesti tarkastusriskin arviointia.
3. Tarkastusriskin analyysissä on otettava huomioon
|
a) |
luontaiset riskit; |
|
b) |
kontrolliriskit; |
|
c) |
havaitsemisriskit. |
4. Tarkastusriskin analyysissä on otettava huomioon
|
a) |
tarkastettavan palvelun luonne ja yhteiskunnalliset ja taloudelliset olosuhteet, joissa tarkastettava palvelu tapahtuu, mukaan lukien kriisitilanteille ja odottamattomille tapahtumille altistumisen todennäköisyys ja vakavuus; |
|
b) |
velvoitteiden ja sitoumusten luonne; |
|
c) |
muut asiaankuuluvat tiedot, mukaan lukien:
|
10 artikla
Asianmukaiset tarkastusmenetelmät
1. Rajoittamatta 13, 14 ja 15 artiklassa säädettyjen erityisten tarkastusmenetelmien soveltamista tarkastukset on suoritettava käyttämällä asianmukaisia tarkastusmenetelmiä arvioitujen tarkastusriskien vähentämiseksi tasolle, jolla tarkastusorganisaatio voi tehdä tarkastuspäätelmät kohtuullisella varmuustasolla.
2. Tarkastuskertomuksen on sisällettävä kuvaus tarkastusmenetelmistä, jotka tarkastusorganisaatio on suunnitellut ennen tarkastusmenettelyjen suorittamista, ja vähintään seuraavista:
|
a) |
kunkin tarkastettavan velvoitteen tai sitoumuksen noudattamisen arvioinnissa käytettävät tarkastuskriteerit määriteltyinä 5 artiklan 1 kohdan a alakohdan mukaisten tietojen perusteella sekä hyväksyttävä olennaisuusraja laadullisesti tai määrällisesti ilmaistuna tapauksen mukaan; |
|
b) |
kaikki testit ja aineistopohjaiset analyysimenetelmät sekä tarkastusevidenssi, joita tarkastusorganisaatio aikoo käyttää arvioidakseen kunkin tarkastettavan velvoitteen tai sitoumuksen noudattamista. |
Tarkastuskertomuksen on sisällettävä kuvaus mahdollisista muutoksista tarkastuksen aikana käytetyissä menetelmissä verrattuna menetelmiin, jotka oli suunniteltu ennen tarkastusmenettelyjen suorittamista.
3. Jos tarkastusorganisaatiolla on perusteltuja epäilyjä tarkastuksen suorittamisen yhteydessä arvioitavista tiedoista, erityisesti tarkastettavan palveluntarjoajan esittämistä tiedoista, menetelmän valintaa ja soveltamista on mukautettava siten, että tarkastusorganisaatio saa käyttöönsä tarvittavan tarkastusevidenssin 11 artiklan mukaisesti.
4. Edellä 3 kohdassa tarkoitettujen perusteltujen epäilyjen katsotaan syntyvän erityisesti jostakin seuraavista syistä:
|
a) |
ammatillinen harkinta ja skeptisyys tietojen arvioinnissa, muun muassa liittyen tarkastettavan palveluntarjoajan sisäiseen valvontaan, mikä saa tarkastusorganisaation esittämään perusteltuja epäilyjä; |
|
b) |
tarkastusriskeihin viittaavat ulkoiset seikat, erityisesti asetuksen (EU) 2022/2065 35 artiklan 2 kohdassa tarkoitetut Euroopan digitaalisten palvelujen lautakunnan raportit, komission ohjeet, mukaan lukien mainitun asetuksen 35 artiklan 3 kohdassa tarkoitetut suuntaviivat, ja muut asetuksen (EU) 2022/2065 soveltamiseen liittyvät komission antamat ohjeet sekä mainitun asetuksen 45, 46 ja 48 artiklassa tarkoitettujen käytännesääntöjen tai kriisiprotokollien pohjalta laaditut tarkastuskertomukset; |
|
c) |
tiedot sellaisista tapahtumista tarkastuksen ajalta, muun muassa kriisitilanteista, jotka edellyttävät tarkastettavalta palveluntarjoajalta lisätoimia tiettyjen tarkastettavien velvoitteiden tai sitoumusten noudattamisen varmistamiseksi. |
5. Tarkastusmenettelyihin on sisällyttävä vähintään:
|
a) |
testien ja aineistopohjaisten analyysimenetelmien suorittaminen liittyen sisäiseen valvontaan, jonka tarkastettava palveluntarjoaja on ottanut käyttöön kunkin tarkastettavan velvoitteen tai sitoumuksen osalta; |
|
b) |
aineistopohjaisten analyysimenetelmien suorittaminen kunkin tarkastettavan velvoitteen ja sitoumuksen noudattamisen arvioimiseksi, muun muassa algoritmisten järjestelmien osalta; |
|
c) |
testien suorittaminen, muun muassa algoritmisista järjestelmistä, liittyen sellaisiin tarkastettaviin velvoitteisiin ja sitoumuksiin, joiden suhteen tarkastusorganisaatiolla on 4 kohdassa tarkoitettuja perusteltuja epäilyjä, ja liittyen tarkastettaviin velvoitteisiin ja sitoumuksiin silloin kun tarkastusorganisaatio katsoo testien suorittamisen tarpeelliseksi valitessaan menetelmiä 1 kohdan mukaisesti. |
6. Jos asetuksen (EU) 2022/2065 37 artiklan 1 kohdassa tarkoitetuissa velvoitteissa tai sitoumuksissa edellytetään, että tarkastettava palveluntarjoaja raportoi tietyt tiedot julkisesti, tarkastusmenetelmiin on sisällyttävä arvio siitä, onko raportoitu informaatio vapaa asiavirheistä tai puutteista, jotka muutoin voisivat tehdä siitä harhaanjohtavaa.
11 artikla
Tarkastusevidenssin laatu
Tarkastuspäätelmien ja tarkastuslausuntojen on perustuttava tarkastusevidenssiin, joka täyttää molemmat seuraavista vaatimuksista:
|
a) |
se on olennaista ja riittävää, jotta voidaan vähentää 9 artiklan mukaisesti tunnistettuja tarkastusriskejä ja jotta tarkastusorganisaatio voi antaa tarkastuspäätelmät ja -lausunnot 8 artiklan mukaisesti; |
|
b) |
se on tarkastusorganisaation ammatillisen harkinnan ja skeptisyyden mukaan luotettavaa. |
12 artikla
Otantamenetelmät
1. Jos tarkastusevidenssi osittain tai kokonaan perustuu datasta tai informaatiosta poimittuun otokseen, otoksen koko ja otantamenetelmä on valittava siten, että voidaan minimoida havaitsemisriski, ja tarkastettavan palveluntarjoajan puuttumatta asiaan.
2. Otoksen koko ja otantamenetelmä on valittava siten, että varmistetaan datan tai informaation edustavuus ja otetaan soveltuvin osin huomioon kaikki seuraavat:
|
a) |
otoksen edustavuus 3 artiklan 2 ja 3 kohdassa tarkoitetun ajanjakson ajalta; |
|
b) |
olennaiset muutokset tarkastettavassa palvelussa kyseisenä ajanjaksona; |
|
c) |
olennaiset muutokset tarkastettavan palvelun toimintaympäristössä kyseisenä ajanjaksona; |
|
d) |
tarvittaessa olennaiset algoritmisten järjestelmien ominaisuudet, mukaan lukien profilointiin tai muihin kriteereihin perustuva yksilöllistäminen; |
|
e) |
muut kyseeseen tulevat tarkasteltavan datan, informaation ja näytön ominaisuudet tai jaottelut; |
|
f) |
tarvittaessa tiettyihin ryhmiin kuten alaikäisiin tai haavoittuvassa asemassa oleviin ryhmiin ja vähemmistöihin liittyvien kysymysten edustettuna oleminen ja asianmukainen analysointi suhteessa tarkastettavaan velvoitteeseen tai sitoumukseen. |
3. Tarkastuskertomuksessa on esitettävä perustelut otoskoon ja otantamenetelmän valinnalle.
13 artikla
Erityiset menetelmät sen tarkastamiseksi, noudatetaanko asetuksen (EU) 2022/2065 34 artiklaa riskianalyysistä
1. Arviointiin siitä, noudattaako tarkastettava palveluntarjoaja asetuksen (EU) 2022/2065 34 artiklaa, on sisällyttävä muun muassa mutta ei ainoastaan analyysi kaikista seuraavista:
|
a) |
onko tarkastettava palveluntarjoaja tunnistanut, analysoinut ja arvioinut huolellisesti asetuksen (EU) 2022/2065 34 artiklan 1 kohdan ensimmäisessä alakohdassa tarkoitetut unionissa esiintyvät järjestelmäriskit muun muassa arvioimalla
|
|
b) |
tehtiinkö riskianalyysi asetuksen (EU) 2022/2065 34 artiklan 1 kohdan toisessa alakohdassa säädetyissä määräajoissa ja soveltuvin osin niiden määräaikojen kuluessa, jotka on vahvistettu riskinvähentämistoimenpiteinä käyttöön otettaville toimille kyseisen asetuksen 35 artiklan 1 kohdan f alakohdassa tarkoitettujen järjestelmäriskien havaitsemiseksi; |
|
c) |
miten tarkastettava palveluntarjoaja on asetuksen (EU) 2022/2065 34 artiklan 1 kohdan toisen alakohdan nojalla yksilöinyt toiminnot, joilla on todennäköisesti kriittinen vaikutus riskeihin, joiden osalta on tehtävä riskinarvioinnit ennen kyseisten toimintojen käyttöönottoa, ja tunnistettiinko kyseiset toiminnot oikein ja toteutettiinko riskianalyysi asianmukaisesti; |
|
d) |
onko tarkastettava palveluntarjoaja yksilöinyt oikein tositteet, jotka olisi säilytettävä riskianalyysista, ja ottanut käyttöön tarvittavat keinot sen varmistamiseksi, että tämä dokumentaatio säilytetään vähintään kolmen vuoden ajan asetuksen (EU) 2022/2065 34 artiklan 3 kohdan mukaisesti, ja onko dokumentaatio säilytetty vastaavasti. |
2. Rajoittamatta mahdollisia muita analyyseja, jotka ovat tarpeen kohtuullisen varmuustason saavuttamiseksi, menetelmiin asetuksen (EU) 2022/2065 34 artiklan noudattamisen tarkastamiseksi on sisällyttävä vähintään tarkastusorganisaation arviointi seuraavista:
|
a) |
sisäinen valvonta, jonka tarkastettava palveluntarjoaja on ottanut käyttöön seuratakseen riskinarviointien suorittamista kunkin asetuksen (EU) 2022/2065 34 artiklan 2 kohdan ensimmäisessä alakohdassa tarkoitetun tekijän osalta; tällaisen arvioinnin on
|
|
b) |
toimet, keinot ja prosessit, jotka tarkastettava palveluntarjoaja on ottanut käyttöön asetuksen (EU) 2022/2065 34 artiklan noudattamisen varmistamiseksi, ja niiden tulokset; tällaisen arvioinnin on perustuttava seuraaviin:
|
3. Tietoihin, joita tarkastusorganisaatio analysoi tämän artiklan mukaisesti suorittamansa arvioinnin tueksi, on sisällyttävä muun muassa seuraavat:
|
a) |
tarkastettavan palveluntarjoajan laatima riskianalyysiraportti tarkastettavalta ajanjaksolta, mukaan lukien soveltuvin osin luottamukselliset tiedot, jotka eivät kuulu mainitun asetuksen 42 artiklan 2 kohdan mukaisesti julkaistaviin tietoihin, sekä kaikki tositteet; |
|
b) |
tarvittaessa tarkastettavan palveluntarjoajan muut riskinarviointiraportit ja niiden tositteet; |
|
c) |
tarkastettavan palveluntarjoajan 5 artiklan mukaisesti toimittamat tiedot; |
|
d) |
kaikki asiaankuuluvat asetuksen (EU) 2022/2065 15 artiklan 1 kohdassa tarkoitetut tarkastettavan palveluntarjoajan avoimuusraportit; |
|
e) |
mahdolliset muut testitulokset, dokumentaatio, näyttö, lausunnot vastauksena tarkastusorganisaation tarkastettavan palveluntarjoajan henkilöstölle osoittamiin kirjallisiin tai suullisiin kysymyksiin sekä tarvittaessa toimitiloissa tehdyt havainnot; |
|
f) |
muu olennainen näyttö, muun muassa tarkastettavan palveluntarjoajan saataville asettamien tietojen pohjalta; |
|
g) |
soveltuvin osin asetuksen (EU) 2022/2065 35 artiklan 2 kohdassa tarkoitetut raportit ja komission ohjeet, mukaan lukien mainitun asetuksen 35 artiklan 3 kohdan mukaisesti annetut suuntaviivat sekä muut asetuksen (EU) 2022/2065 soveltamiseen liittyvät komission antamat ohjeet. |
4. Tarkastusorganisaation analysoimiin tietoihin voivat tapauksen mukaan kuulua asetuksen (EU) 2022/2065 42 artiklan 4 kohdassa tarkoitetut tiedot muun muassa tarkastuskertomuksista, riskianalyysiraporteista ja riskien vähentämistä koskevista raporteista, jotka koskevat muita erittäin suuria verkkoalustoja tai erittäin suuria verkossa toimivia hakukoneita, tai hyväksyttyjen tutkijoiden mainitun asetuksen 40 artiklan 8 kohdan g alakohdan mukaisesti julkisesti saataville asettamat tiedot ja tutkimukset.
14 artikla
Erityiset menetelmät sen tarkastamiseksi, noudatetaanko asetuksen (EU) 2022/2065 35 artiklaa riskien vähentämisestä
1. Arviointiin siitä, noudattaako tarkastettava palveluntarjoaja asetuksen (EU) 2022/2065 35 artiklaa, on sisällyttävä muun muassa mutta ei ainoastaan analyysi kaikista seuraavista:
|
a) |
miten tarkastettava palveluntarjoaja on yksilöinyt riskinvähentämistoimenpiteet kunkin asetuksen (EU) 2022/2065 34 artiklan 1 kohdassa tarkoitetun järjestelmäriskin osalta ja onko näiden toimenpiteiden yksilöinti toteutettu huolellisesti; |
|
b) |
miten tarkastettava palveluntarjoaja on arvioinut, olivatko asetuksen (EU) 2022/2065 35 artiklan 1 kohdan a–k alakohdassa tarkoitetut riskinvähentämistoimenpiteet sovellettavissa tarkastettavaan palveluun ja oliko kyseisen arvioinnin päätelmä asianmukainen, mukaan lukien toimenpiteet, joita tarkastettava palveluntarjoaja ei soveltanut; |
|
c) |
ovatko tarkastettavan palveluntarjoajan käyttöön ottamat riskinvähentämistoimenpiteet kohtuullisia, oikeasuhteisia ja tehokkaita kulloistenkin riskien vähentämisen kannalta, muun muassa
|
2. Rajoittamatta mahdollisia muita analyyseja, jotka ovat tarpeen kohtuullisen varmuustason saavuttamiseksi, menetelmiin asetuksen (EU) 2022/2065 35 artiklan noudattamisen tarkastamiseksi on sisällyttävä vähintään tarkastusorganisaation arviointi seuraavista:
|
a) |
sisäinen valvonta, jonka tarkastettava palveluntarjoaja on ottanut käyttöön seuratakseen asetuksen (EU) 2022/2065 35 artiklan 1 kohdassa tarkoitettujen riskinvähentämistoimenpiteiden soveltamista ja sitä, ovatko ne kohtuullisia, oikeasuhteisia ja tehokkaita; tällaisen arvioinnin on
|
|
b) |
tarkastettavien palveluntarjoajien käyttöön ottamat riskinvähentämistoimenpiteet; tällaisen arvioinnin on perustuttava seuraaviin:
|
3. Tietoihin, joita tarkastusorganisaatio analysoi tämän artiklan mukaisesti suorittamansa arvioinnin tueksi, on sisällyttävä muun muassa seuraavat:
|
a) |
tarkastettavan palveluntarjoajan laatima riskianalyysiraportti ja riskien vähentämistä koskeva raportti tarkastettavalta ajanjaksolta, mukaan lukien soveltuvin osin luottamukselliset tiedot, jotka eivät kuulu asetuksen (EU) 2022/2065 42 artiklan 2 kohdan mukaisesti julkaistaviin tietoihin, ja kaikki tositteet; |
|
b) |
tarvittaessa tarkastettavan palveluntarjoajan muut raportit riskien arvioinnista ja vähentämisestä ja niiden tositteet; |
|
c) |
tarkastettavan palveluntarjoajan 5 artiklan mukaisesti toimittamat tiedot; |
|
d) |
kaikki asiaankuuluvat asetuksen (EU) 2022/2065 15 artiklan 1 kohdassa tarkoitetut tarkastettavan palveluntarjoajan avoimuusraportit; |
|
e) |
tarvittaessa aiemmat raportit riskien vähentämisestä ja niiden tositteet muilta kuin tarkastettavalta ajanjaksolta, mukaan lukien soveltuvin osin luottamukselliset tiedot, jotka eivät kuulu asetuksen (EU) 2022/2065 42 artiklan 2 kohdan mukaisesti julkaistaviin tietoihin; |
|
f) |
mahdolliset muut testitulokset, dokumentaatio, näyttö, lausunnot vastauksena tarkastusorganisaation tarkastettavan palveluntarjoajan henkilöstölle osoittamiin kirjallisiin ja/tai suullisiin kysymyksiin sekä tarvittaessa toimitiloissa tehdyt havainnot; |
|
g) |
muu olennainen näyttö, muun muassa tarkastettavan palveluntarjoajan saataville asettamien tietojen pohjalta; |
|
h) |
soveltuvin osin asetuksen (EU) 2022/2065 35 artiklan 2 kohdassa tarkoitetut raportit ja komission ohjeet, mukaan lukien mainitun asetuksen 35 artiklan 3 kohdan mukaisesti annetut suuntaviivat sekä muut asetuksen (EU) 2022/2065 soveltamiseen liittyvät komission antamat ohjeet. |
4. Tarkastusorganisaation analysoimiin tietoihin voivat tapauksen mukaan kuulua asetuksen (EU) 2022/2065 42 artiklan 4 kohdassa tarkoitetut tiedot, kuten tarkastuskertomukset, riskianalyysiraportit ja riskien vähentämistä koskevat raportit, jotka koskevat muita erittäin suuria verkkoalustoja tai erittäin suuria verkossa toimivia hakukoneita, tai hyväksyttyjen tutkijoiden asetuksen (EU) 2022/2065 40 artiklan 8 kohdan g alakohdan mukaisesti julkisesti saataville asettamat tiedot ja tutkimukset.
15 artikla
Erityiset menetelmät sen tarkastamiseksi, noudatetaanko asetuksen (EU) 2022/2065 36 artiklaa kriisinhallintamenettelystä
1. Arviointiin siitä, noudattaako tarkastettava palveluntarjoaja asetuksen (EU) 2022/2065 36 artiklan 1 kohdan ensimmäisen alakohdan a alakohtaa, on sisällyttävä muun muassa mutta ei ainoastaan analyysi siitä, onko tarkastettava palveluntarjoaja suorittanut vaaditut toimet ja miten, ja erityisesti:
|
a) |
onko tarkastettava palveluntarjoaja yksilöinyt palvelunsa toimintaan ja käyttöön liittyvät järjestelmät, jotka myötävaikuttavat merkittävästi vakavaan uhkaan, ja millä tavoin, ja yksilöitiinkö kyseiset järjestelmät asianmukaisesti; |
|
b) |
onko tarkastettava palveluntarjoaja määritellyt merkittävän myötävaikutuksen vakaavaan uhkaan ja millä tavoin, onko se seurannut tätä vaikutusta ja millä tavoin ja oliko sen arviointi asianmukainen; |
|
c) |
soveltuvin osin muut asetuksen (EU) 2022/2065 36 artiklan 1 kohdassa tai 7 kohdan toisessa alakohdassa tarkoitetussa komission päätöksessä täsmennetyt vaatimukset. |
2. Arviointiin siitä, noudattaako tarkastettava palveluntarjoaja asetuksen (EU) 2022/2065 36 artiklan 1 kohdan ensimmäisen alakohdan b alakohtaa, on sisällyttävä muun muassa mutta ei ainoastaan analyysi siitä, onko tarkastettava palveluntarjoaja suorittanut vaaditut toimet ja miten, ja erityisesti:
|
a) |
onko tarkastettava palveluntarjoaja yksilöinyt toimenpiteitä, joilla voidaan estää myötävaikutus vakavaan uhkaan, poistaa se tai rajoittaa sitä, ja miten nämä toimenpiteet on yksilöity; |
|
b) |
onko tarkastettavan palveluntarjoajan toimenpiteissä otettu huomioon vakavan uhan vakavuus ja toimenpiteiden kiireellisyys ja millä tavoin ja olivatko toimenpiteet tältä osin asianmukaisia; |
|
c) |
onko tarkastettava palveluntarjoaja yksilöinyt osapuolet, joihin toimenpiteet vaikuttavat, ja niiden oikeutetut edut ja millä tavoin; miten tarkastettu palveluntarjoaja on arvioinut toimenpiteiden tosiasialliset tai mahdolliset vaikutukset kyseisten osapuolten oikeuksiin, mukaan lukien perusoikeudet, ja oikeutettuihin etuihin; |
|
d) |
olivatko tarkastettavan palvelutarjoajan toteuttamat toimenpiteet tehokkaita ja oikeasuhteisia; |
|
e) |
soveltuvin osin muut asetuksen (EU) 2022/2065 36 artiklan 1 kohdassa tai 7 kohdan toisessa alakohdassa tarkoitetussa komission päätöksessä täsmennetyt vaatimukset. |
3. Arviointiin siitä, noudattaako tarkastettava palveluntarjoaja asetuksen (EU) 2022/2065 36 artiklan 1 kohdan ensimmäisen alakohdan c alakohtaa, on sisällyttävä muun muassa mutta ei ainoastaan analyysi siitä, miten tarkastettava palveluntarjoaja on toteuttanut vaaditun toimen, ja erityisesti siitä, onko tarkastettu palveluntarjoaja toimittanut komissiolle asetuksen (EU) 2022/2065 36 artiklan 1 kohdassa tai 7 kohdan toisessa alakohdassa tarkoitetussa komission päätöksessä vaaditut tiedot ja olivatko raportoidut tiedot paikkansapitäviä.
16 artikla
Tarkastus siitä, noudatetaanko asetuksen (EU) 2022/2065 37 artiklaa riippumattomasta tarkastuksesta
1. Asetuksen (EU) 2022/2065 37 artiklassa ja tässä asetuksessa säädettyjen velvoitteiden noudattaminen on arvioitava suhteessa nykyistä tarkastusjaksoa edeltävältä vuosittaiselta jaksolta suoritettuun tarkastukseen tai tarkastuksiin.
2. Sen lisäksi, mitä 1 kohdassa säädetään, tarkastukseen on sisällyttävä arviointi siitä, noudattaako tarkastettava palveluntarjoaja asetuksen (EU) 2022/2065 37 artiklan 2 kohtaa nykyisen tarkastuksen osalta.
3. Jos 1 kohdassa tarkoitetun aiemman tarkastuksen tai tarkastukset on suorittanut sama tarkastusorganisaatio, joka suorittaa nykyisen tarkastuksen, tai jos nykyisen tarkastuksen suorittavaan tarkastusorganisaatioon kuuluu vähintään yksi oikeussubjekti, joka osallistui aiempaan tarkastukseen, tarkastuskertomuksessa on oltava selvitys siitä, millä tavoin tarkastusorganisaatio on varmistanut arvioinnin objektiivisuuden.
17 artikla
Käytännesääntöjen ja kriisiprotokollien noudattamisen tarkastaminen
1. Tarkastettavan palveluntarjoajan on asetettava tarkastusorganisaation saataville:
|
a) |
luettelo kaikista asetuksen (EU) 2022/2065 45 ja 46 artiklassa tarkoitetuista käytännesäännöistä ja kyseisen asetuksen 48 artiklassa tarkoitetuista kriisiprotokollista, jotka tarkastettava palveluntarjoaja on allekirjoittanut, sekä kyseisten käytännesääntöjen ja kriisiprotokollien teksti; |
|
b) |
yksityiskohtainen luettelo sitoumuksista, jotka tarkastettava palveluntarjoaja on tehnyt kyseisissä käytännesäännöissä ja kriisiprotokollissa; |
|
c) |
soveltuvin osin kunkin käytännesäännöstön ja kriisiprotokollan mukaisesti sovitut keskeiset tulosindikaattorit; |
|
d) |
soveltuvin osin mahdolliset saatavilla olevat mittaukset, tiedot ja dokumentaatio sekä tarkastettavan palveluntarjoajan laatimat raportit liittyen siihen, noudattaako tarkastettava palveluntarjoaja tehtyjä sitoumuksia, mukaan lukien pääsy kaikkiin tietoihin, jotka koskevat tarkastettavan palveluntarjoajan tarjoamien palvelujen toimintaa silloin kun ne ovat merkityksellisiä käytännesääntöjen tai kriisiprotokollan täytäntöönpanon kannalta; |
|
e) |
soveltuvin osin muut mittaukset, data ja dokumentaatio käytännesääntöjen tai kriisiprotokollan allekirjoittajilta sekä asetuksen (EU) 2022/2065 45 artiklan 4 kohdassa tarkoitetut komission tai lautakunnan arvioinnit. |
2. Arviointiin siitä, noudattaako tarkastettava palveluntarjoaja asetuksen (EU) 2022/2065 45 artiklassa tarkoitettuja käytännesääntöjä, on kuuluttava muun muassa mutta ei ainoastaan käytännesäännöissä kyseisen asetuksen 45 artiklan 3 kohdan mukaisesti sovittujen keskeisten tulosindikaattorien mittaaminen, täsmentäen tarkastuspäätelmien olennaisuusraja, ja se, ovatko raportoidut tiedot paikkansapitäviä.
V JAKSO
Loppusäännökset
18 artikla
Voimaantulo
Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.
Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.
Tehty Brysselissä 20 päivänä lokakuuta 2023.
Komission puolesta
Puheenjohtaja
Ursula VON DER LEYEN
LIITE I
6 artiklassa tarkoitetun tarkastuskertomuksen malli
Sisällys
|
OSA B: Tarkastusorganisaatio(t) Lisätään tarvittava määrä rivejä kuhunkin kohtaan. |
||||||||||||||||||||||||||||||
|
|
OSA F.1: Kolmannet osapuolet, joita on kuultu Toistetaan tämä osa kunkin konsultoidun kolmannen osapuolen osalta ja annetaan kullekin osalle nimi uudella numerolla (F.1, F.2 jne.). |
||||||||
|
|
OSA G: Muut tiedot, jotka tarkastuselin haluaa sisällyttää tarkastuskertomukseen (kuten kuvaus mahdollisista luontaisista rajoitteista) |
|
|
|
|
Lisätään tarvittava määrä rivejä 7 artiklan 1 kohdan b alakohdassa tarkoitettujen vastuiden ja valtuuksien mukaisesti |
|
Päiväys: … |
Allekirjoittanut: … |
|
Paikka: … |
Seuraavan puolesta: … |
|
|
Vastuualueenaan: … |
Tarkastuskertomuksen liitteet (soveltuvin osin):
Tämän asetuksen 7 artiklan 2 kohdan mukaisesti pyydettävät asiakirjat.
Tämän asetuksen 9 artiklan mukaiseen tarkastusriskin analyysiin liittyvät asiakirjat.
Asiakirjat osoituksena siitä, että tarkastusorganisaatio täyttää asetuksen (EU) 2022/2065 37 artiklan 3 kohdan a alakohdan mukaiset velvoitteet.
Asiakirjat osoituksena siitä, että tarkastusorganisaatio täyttää asetuksen (EU) 2022/2065 37 artiklan 3 kohdan b alakohdan mukaiset velvoitteet.
Asiakirjat osoituksena siitä, että tarkastusorganisaatio täyttää asetuksen (EU) 2022/2065 37 artiklan 3 kohdan c alakohdan mukaiset velvoitteet.
Dokumentaatio ja tulokset mahdollisista tarkastusorganisaation tekemistä testeistä muun muassa tarkastettavan palveluntarjoajan algoritmisten järjestelmien osalta.
Asetuksen (EU) 2022/2065 45 ja 46 artiklassa tarkoitetut käytännesäännöt, joiden mukaisesti tarkastettava palveluntarjoaja on tehnyt sitoumuksia, mukaan lukien selkeä erittely kaikista tehdyistä sitoumuksista ja mahdollisista kunkin sitoumuksen osalta sovituista keskeisistä tulosindikaattoreista.
Asetuksen (EU) 2022/2065 48 artiklassa tarkoitetut kriisiprotokollat, joita tarkastettu palveluntarjoaja soveltaa.
Muut asiakirjat, jotka tarkastusorganisaatio haluaa liittää mukaan.
LIITE II
6 artiklassa tarkoitetun tarkastuksen täytäntöönpanokertomuksen malli
Sisällys
|
OSA A: Yleiset tiedot |
||||||||||||||||||||||||
|
||||||||||||||||||||||||
|
|
ELI: http://data.europa.eu/eli/reg_del/2024/436/oj
ISSN 1977-0812 (electronic edition)