EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 02024R0436-20240202

Consolidated text: Delegirana uredba Komisije (EU) 2024/436 оd 20. listopada 2023. o dopuni Uredbe (EU) 2022/2065 Europskog parlamenta i Vijeća utvrđivanjem pravila o provedbi revizija za vrlo velike internetske platforme i vrlo velike internetske tražilice

ELI: http://data.europa.eu/eli/reg_del/2024/436/2024-02-02

02024R0436 — HR — 02.02.2024 — 000.001


Ovaj je tekst namijenjen isključivo dokumentiranju i nema pravni učinak. Institucije Unije nisu odgovorne za njegov sadržaj. Vjerodostojne inačice relevantnih akata, uključujući njihove preambule, one su koje su objavljene u Službenom listu Europske unije i dostupne u EUR-Lexu. Tim službenim tekstovima može se izravno pristupiti putem poveznica sadržanih u ovom dokumentu.

►B

DELEGIRANA UREDBA KOMISIJE (EU) 2024/436

оd 20. listopada 2023.

o dopuni Uredbe (EU) 2022/2065 Europskog parlamenta i Vijeća utvrđivanjem pravila o provedbi revizija za vrlo velike internetske platforme i vrlo velike internetske tražilice

( L 436 2.2.2024, 1)


Koju je ispravio:

►C1

Ispravak,  L 90160, 8.3.2024,  1 ((EU) 2024/4362024/436)




▼B

DELEGIRANA UREDBA KOMISIJE (EU) 2024/436

оd 20. listopada 2023.

o dopuni Uredbe (EU) 2022/2065 Europskog parlamenta i Vijeća utvrđivanjem pravila o provedbi revizija za vrlo velike internetske platforme i vrlo velike internetske tražilice



ODJELJAK I.

Opće odredbe

Članak 1.

Predmet

Ovom se Uredbom utvrđuju pravila o provedbi revizija u skladu s člankom 37. Uredbe (EU) 2022/2065 u pogledu:

(a) 

postupovnih koraka kojima se osigurava da revizijska organizacija koja će biti odabrana ispunjava uvjete iz članka 37. stavka 3. Uredbe (EU) 2022/2065;

(b) 

postupovnih koraka za suradnju i pomoć pružatelja nad kojim se provodi revizija u provedbi revizija, uključujući pristup relevantnim informacijama radi pribavljanja revizijskih dokaza;

(c) 

definicije i odabira revizijskih metodologija;

(d) 

predložaka za izvješće o reviziji i izvješće o provedbi revizije.

Članak 2.

Definicije

Za potrebe ove Uredbe primjenjuju se sljedeće definicije:

1. 

„revizijska organizacija” znači pojedinačna organizacija, konzorcij ili druga kombinacija organizacija, uključujući sve podugovaratelje, s kojom je pružatelj nad kojim se provodi revizija sklopio ugovor za obavljanje neovisne revizije u skladu s člankom 37. Uredbe (EU) 2022/2065;

2. 

„usluga obuhvaćena revizijom” znači vrlo velika internetska platforma ili vrlo velika internetska tražilica utvrđena u skladu s člankom 33. Uredbe (EU) 2022/2065;

3. 

„pružatelj nad kojim se provodi revizija” znači pružatelj usluge obuhvaćene revizijom koji podliježe neovisnim revizijama u skladu s člankom 37. stavkom 1. te uredbe;

4. 

„obveza koja je predmet revizije” znači obveza iz članka 37. stavka 1. Uredbe (EU) 2022/2065 koja je predmet revizije;

5. 

„kriteriji revizije” znači kriteriji prema kojima revizijska organizacija ocjenjuje usklađenost sa svakom obvezom koja je predmet revizije;

6. 

„revizijski dokazi” znači sve informacije koje je revizijska organizacija upotrijebila kako bi potkrijepila nalaze i zaključke revizije i izdala revizorsko mišljenje, uključujući podatke prikupljene iz dokumenata, baza podataka ili IT sustava te provedenih razgovora ili testiranja;

7. 

„pogrešno prikazivanje” znači namjerno ili nenamjerno izostavljanje, krivo tumačenje ili pogreška u izjavama ili podacima koje je pružatelj nad kojim se provodi revizija naveo u izvješćima ili dao revizijskoj organizaciji ili u okruženju za testiranje koje je pružatelj nad kojim se provodi revizija stavio na raspolaganje revizijskoj organizaciji;

8. 

„revizijski rizik” znači rizik da će revizijska organizacija dati netočno revizorsko mišljenje ili donijeti netočan zaključak o usklađenosti pružatelja nad kojim se provodi revizija s obvezom koja je predmet revizije, s obzirom na rizike neotkrivanja, inherentne rizike i kontrolne rizike povezane s obvezom koja je predmet revizije;

9. 

„rizik neotkrivanja” znači rizik da revizijska organizacija neće otkriti pogrešno prikazivanje koje je relevantno za ocjenjivanje usklađenosti pružatelja nad kojim se provodi revizija s obvezom koja je predmet revizije;

10. 

„inherentni rizik” znači rizik od neusklađenosti koji je neraskidivo povezan s prirodom, dizajnom, aktivnošću i korištenjem usluge obuhvaćene revizijom, kao i s kontekstom u kojem se pruža, te rizik od neusklađenosti povezan s prirodom obveze koja je predmet revizije;

11. 

„kontrolni rizik” znači rizik od toga da se pogrešno prikazivanje ne spriječi, otkrije i ispravi na vrijeme provedbom internih kontrola pružatelja nad kojim se provodi revizija;

12. 

„prag značajnosti” znači prag iznad kojeg bi odstupanja ili pogrešna prikazivanja pružatelja nad kojim se provodi revizija pojedinačno ili skupno razumno utjecala na nalaze i zaključke revizije te revizorska mišljenja;

13. 

„razumna razina jamstva” znači visoka, ali ne i apsolutna razina jamstva koja revizijskoj organizaciji omogućuje da u svojem revizorskom mišljenju i zaključcima revizije na temelju dostatnih i primjerenih dokaza utvrdi je li pružatelj nad kojim se provodi revizija postupao u skladu s obvezama koje su predmet revizije;

14. 

„interna kontrola” znači bilo koja mjera, uključujući postupke i testove, koju pružatelj nad kojim se provodi revizija, uključujući njegove službenike za praćenje usklađenosti i upravljačko tijelo, osmisli, provede i održava kako bi pratio i osigurao svoju usklađenost s obvezom koja je predmet revizije;

15. 

„provjereni istraživač” znači istraživač koji je provjeren u skladu s člankom 40. stavkom 8. Uredbe (EU) 2022/2065;

16. 

„revizijski postupak” znači bilo koja tehnika koju revizijska organizacija primjenjuje tijekom provedbe revizije, među ostalim prikupljanje podataka, odabir i primjena metodologija kao što su testovi i dokazni analitički postupci te bilo koja druga radnja prikupljanja i analiziranja informacija radi prikupljanja revizijskih dokaza i formuliranja zaključaka revizije, što ne uključuje izdavanje revizorskog mišljenja ili izvješća o reviziji;

17. 

„test” znači revizijska metodologija koja se sastoji od mjerenja, eksperimenata ili drugih provjera, uključujući provjere algoritamskih sustava, kojima revizijska organizacija ocjenjuje usklađenost pružatelja nad kojim se provodi revizija s obvezom koja je predmet revizije;

18. 

„dokazni analitički postupak” znači revizijska metodologija koju revizijska organizacija upotrebljava za procjenu informacija radi utvrđivanja revizijskih rizika ili usklađenosti s obvezom koja je predmet revizije.

Članak 3.

Opseg revizije i razumna razina jamstva

1.  
Revizija se provodi na način i u trajanju koji revizijskoj organizaciji omogućuju da s razumnom razinom jamstva ocijeni usklađenost pružatelja nad kojim se provodi revizija sa svim obvezama koje su predmet revizije.
2.  
Revizija obuhvaća razdoblje koje počinje neposredno nakon razdoblja obuhvaćenog prethodnom revizijom i završava na datum koji revizijskoj organizaciji omogućuje da reviziju provede u roku propisanom člankom 37. stavkom 1. Uredbe (EU) 2022/2065, među ostalim potvrđivanjem svoje ocjene iz stavka 1. na temelju prikupljenih dokaza i revizijskih postupaka provedenih u tom razdoblju te dovršetkom i podnošenjem izvješća o reviziji u skladu s člankom 37. stavkom 4. te uredbe pružatelju nad kojim se provodi revizija.
3.  
Ako nije provedena prethodna revizija, revizija obuhvaća razdoblje koje počinje četiri mjeseca od obavijesti iz članka 33. stavka 6. prvog podstavka Uredbe (EU) 2022/2065, a trajanje revizije omogućuje da se izvješće o reviziji u skladu s člankom 6. stavkom 1. dovrši najkasnije u roku od jedne godine od početka razdoblja obuhvaćenog revizijom.

ODJELJAK II.

Uvjeti za provedbu revizije

Članak 4.

Odabir revizijske organizacije

1.  
Prije odabira revizijske organizacije radi provedbe revizije pružatelj nad kojim se provodi revizija provjerava ispunjava li organizacija koju će odabrati zahtjeve iz članka 37. stavka 3. Uredbe (EU) 2022/2065.
2.  

Ako se revizijska organizacija koja će biti odabrana sastoji od više pravnih osoba ili namjerava angažirati jednog ili više podugovaratelja, pružatelj nad kojim se provodi revizija provjerava ispunjavaju li sve te pravne osobe ili podugovaratelji:

(a) 

pojedinačno zahtjeve iz članka 37. stavka 3. točaka (a) i (c) Uredbe (EU) 2022/2065;

(b) 

zajednički zahtjev iz članka 37. stavka 3. točke (b) Uredbe (EU) 2022/2065.

Članak 5.

Suradnja i pomoć između pružatelja nad kojim se provodi revizija i revizijske organizacije

1.  

U vrijeme dogovoreno s revizijskom organizacijom, a u svakom slučaju prije provedbe bilo kojeg revizijskog postupka, pružatelj nad kojim se provodi revizija odabranoj revizijskoj organizaciji dostavlja barem sljedeće informacije:

(a) 

opis internih kontrola uspostavljenih za svaku obvezu koja je predmet revizije, uključujući povezane pokazatelje i sva trenutačna i povijesna mjerenja te referentne vrijednosti koje pružatelj nad kojim se provodi revizija upotrebljava za potvrđivanje ili praćenje usklađenosti s obvezama koje su predmet revizije, kao i svu popratnu dokumentaciju;

(b) 

svoju preliminarnu analizu inherentnih i kontrolnih rizika, ako je pružatelj nad kojim se provodi revizija proveo takvu analizu, te svu popratnu dokumentaciju;

(c) 

informacije o svim relevantnim strukturama za donošenje odluka, nadležnostima odjela pružatelja, uključujući funkciju praćenja usklađenosti na temelju članka 41. Uredbe (EU) 2022/2065, relevantnim IT sustavima, izvorima, obradi i pohrani podataka te objašnjenja relevantnih algoritamskih sustava i njihovih interakcija.

2.  
Pružatelj nad kojim se provodi revizija revizijskoj organizaciji bez nepotrebne odgode omogućuje pristup svim podacima potrebnima za provedbu revizije, uključujući osobne podatke, dokumentaciju, informacije o postupcima i procesima, kao i sustavima informacijske tehnologije, okruženjima za testiranje, svojem osoblju i objektima te svim relevantnim podugovarateljima.
3.  
Pružatelj nad kojim se provodi revizija stavlja revizijskoj organizaciji na raspolaganje sve potrebne resurse te pomoć i objašnjenja koji su joj potrebni za analizu relevantnih informacija i provedbu ispitivanjâ, među ostalim i kad su informacije koje je zatražila revizijska organizacija u skladu s člankom 37. stavkom 3. Uredbe (EU) 2022/2065 u posjedu treće strane koju je angažirao taj pružatelj.

ODJELJAK III.

Provedba revizija

Članak 6.

Izvješće o reviziji i izvješće o provedbi revizije

1.  
Izvješće o reviziji iz članka 37. stavka 4. Uredbe (EU) 2022/2065 sastavlja revizijska organizacija bez uplitanja pružatelja nad kojim se provodi revizija. To izvješće o reviziji sastavlja se prema predlošku iz Priloga I. i sadržava detaljne i obrazložene zaključke o svim elementima predloška.
2.  
Ako je to primjenjivo, izvješće o provedbi revizije iz članka 37. stavka 6. Uredbe (EU) 2022/2065 sastavlja se u skladu s predloškom iz Priloga II.

Članak 7.

Postupci za pripremu revizije

1.  

Pružatelj nad kojim se provodi revizija i revizijska organizacija sklapaju pisani ugovor kojim se utvrđuje sljedeće:

(a) 

potpuni popis obveza koje su predmet revizije;

(b) 

odgovornosti revizijske organizacije, uključujući, prema potrebi, detaljan opis odgovornosti za svaku pravnu osobu koja je dio revizijske organizacije i stranke ovlaštene za potpisivanje izvješća o reviziji;

(c) 

postupke i kontaktne točke koje je pružatelj nad kojim se provodi revizija stavio na raspolaganje revizijskoj organizaciji kako bi mogla zatražiti pristup podacima iz članka 5. stavka 2.;

(d) 

rokovi za reviziju, uključujući datum početka i završetka revizijskih postupaka i dovršetka izvješća o reviziji;

(e) 

postupak rješavanja sporova između pružatelja nad kojim se provodi revizija i revizijske organizacije koji proizlaze iz provedbe revizije.

2.  
Ugovor iz stavka 1., kao i svi drugi ugovori ili pisma o angažmanu između revizijske organizacije i pružatelja nad kojim se provodi revizija povezana s provedbom revizije, prilažu se izvješću o reviziji.
3.  
Ako se u ugovor iz stavka 1. tijekom provedbe revizije unesu izmjene, one se izričito navode u izvješću o reviziji.

Članak 8.

Revizorsko mišljenje, zaključci revizije i preporuke

1.  

Izvješće o reviziji sadržava zaključke revizije koje je revizijska organizacija donijela o usklađenosti pružatelja nad kojim se provodi revizija sa svakom obvezom koja je predmet revizije. Zaključci revizije su:

(a) 

„pozitivni” ako revizijska organizacija s razumnom razinom jamstva zaključi da je pružatelj nad kojim se provodi revizija postupao u skladu s obvezom koja je predmet revizije;

(b) 

„pozitivni s komentarima” ako revizijska organizacija s razumnom razinom jamstva zaključi da je pružatelj nad kojim se provodi revizija postupao u skladu s obvezom koja je predmet revizije, ali:

i. 

revizijska organizacija unese komentare o referentnim vrijednostima koje je dao pružatelj nad kojim se provodi revizija u skladu s člankom 5. stavkom 1. točkom (a); ili

ii. 

revizijska organizacija preporučuje poboljšanja koja sadržajno ne utječu na njezin zaključak;

(c) 

„negativni” ako revizijska organizacija s razumnom razinom jamstva zaključi da pružatelj nad kojim se provodi revizija nije postupao u skladu s obvezom koja je predmet revizije.

2.  
Ako izvješće o reviziji sadržava operativne preporuke u skladu s člankom 37. stavkom 4. točkom (h) Uredbe (EU) 2022/2065, te preporuke i njihovi preporučeni rokovi specifični su za svaku obvezu koja je predmet revizije, a za koju je zaključak revizije u skladu sa stavkom 1. „pozitivan s komentarima” ili „negativan”.
3.  
Ako operativne preporuke iz stavka 2. sadržavaju posebne mjere za postizanje usklađenosti, one se formuliraju tako da objašnjavaju procjenu revizijske organizacije o tome kako bi takve mjere utjecale na prag značajnosti u usporedbi sa zaključkom revizije za određenu obvezu koja je predmet revizije.
4.  
Na temelju zaključaka revizije izvješće o reviziji sadržava revizorsko mišljenje o usklađenosti pružatelja nad kojim se provodi revizija sa svim obvezama koje su predmet revizije iz članka 37. stavka 1. točke (a) Uredbe (EU) 2022/2065.
5.  
Na temelju zaključaka o svim obvezama koje su predmet revizije izvješće o reviziji sadržava revizorsko mišljenje ili, prema potrebi, mišljenja o usklađenosti pružatelja nad kojim se provodi revizija sa svim obvezama koje su predmet revizije, a koje je pružatelj nad kojim se provodi revizija preuzeo na temelju svakog kodeksa ponašanja i kriznog protokola iz članka 37. stavka 1. točke (b) Uredbe (EU) 2022/2065.
6.  

Revizorska mišljenja u skladu sa stavcima 4. i 5. su:

(a) 

„pozitivna” ako je revizijska organizacija donijela „pozitivan” zaključak revizije za sve obveze koje su predmet revizije;

(b) 

„pozitivna s komentarima” ako je revizijska organizacija donijela barem jedan zaključak revizije koji je „pozitivan s komentarima” za neku obvezu koja je predmet revizije i nije donijela „negativan” zaključak revizije ni za jednu obvezu koja je predmet revizije;

(c) 

„negativna” ako je revizijska organizacija donijela „negativan” zaključak revizije za najmanje jednu obvezu koja je predmet revizije.

7.  
Ako revizijska organizacija ocijeni da pružatelj tijekom ograničenog vremena u razdoblju iz članka 3. stavka 2. nije postupao u skladu s obvezom koja je predmet revizije, tu ocjenu propisno dokumentira u izvješću o reviziji.
8.  
Ako revizijska organizacija ne može izdati zaključak revizije u skladu sa stavkom 1. ili revizorsko mišljenje u skladu sa stavcima 4. i 5. s razumnom razinom jamstva, u izvješću o reviziji objašnjavaju se okolnosti i razlozi zašto takvu razinu jamstva nije bilo moguće dosegnuti.

ODJELJAK IV.

Revizijske metodologije

Članak 9.

Analiza revizijskih rizika

1.  
Izvješće o reviziji sadržava potkrijepljenu analizu revizijskih rizika koju je provela revizijska organizacija radi ocjene usklađenosti pružatelja nad kojim se provodi revizija sa svakom obvezom koja je predmet revizije.
2.  
Analiza revizijskih rizika provodi se prije provođenja revizijskih postupaka i ažurira se za vrijeme provedbe revizije s obzirom na sve nove revizijske dokaze koji prema stručnoj prosudbi revizijske organizacije značajno mijenjaju ocjenu revizijskog rizika.
3.  

U analizi revizijskih rizika razmatraju se:

(a) 

inherentni rizici;

(b) 

kontrolni rizici;

(c) 

rizici neotkrivanja.

4.  

Analiza revizijskih rizika provodi se uzimajući u obzir:

(a) 

prirodu usluge obuhvaćene revizijom te društveni i gospodarski kontekst u kojem se usluga koja je predmet revizije pruža, uključujući vjerojatnost i ozbiljnost izlaganja kriznim situacijama i neočekivanim događajima;

(b) 

prirodu obveza;

(c) 

druge odgovarajuće informacije, među ostalim:

i. 

ako je primjenjivo, informacije iz prethodnih revizija provedenih nad uslugom obuhvaćenom revizijom;

ii. 

ako je primjenjivo, informacije iz izvješća Europskog odbora za digitalne usluge ili uputa Komisije, uključujući smjernice izdane na temelju članka 35. stavaka 2. i 3. Uredbe (EU) 2022/2065 te sve druge relevantne upute koje je Komisija izdala o primjeni Uredbe (EU) 2022/2065;

iii. 

ako je primjenjivo, informacije iz izvješća o reviziji koja su u skladu s člankom 42. stavkom 4. Uredbe (EU) 2022/2065 objavili drugi pružatelji vrlo velikih internetskih platformi ili vrlo velikih internetskih tražilica koji posluju u sličnim uvjetima ili pružaju usluge slične usluzi obuhvaćenoj revizijom.

Članak 10.

Odgovarajuće revizijske metodologije

1.  
Ne dovodeći u pitanje posebne revizijske metodologije utvrđene u člancima 13., 14. i 15., revizije se provode primjenom odgovarajućih revizijskih metodologija kako bi se procijenjeni revizijski rizici smanjili na razinu koja revizijskoj organizaciji omogućuje da donese zaključke revizije uz razumnu razinu jamstva.
2.  

Izvješće o reviziji sadržava opis revizijskih metodologija koje je revizijska organizacija osmislila prije provedbe bilo kojeg revizijskog postupka, uključujući barem:

(a) 

kriterije revizije za ocjenjivanje usklađenosti sa svakom obvezom koja je predmet revizije, definirane na temelju informacija iz članka 5. stavka 1. točke (a), i prag značajnosti koji se tolerira i izražava, prema potrebi, kvalitativno ili kvantitativno;

(b) 

sve testove i dokazne analitičke postupke te revizijske dokaze koje revizijska organizacija namjerava upotrijebiti za ocjenjivanje usklađenosti za svaku obvezu koja je predmet revizije.

Izvješće o reviziji sadržava opis svih promjena metodologija koje se primjenjuju u provedbi revizije u odnosu na metodologije osmišljene prije provedbe revizijskih postupaka.

3.  
Ako revizijska organizacija osnovano sumnja u informacije ocijenjene u okviru provedbe revizije, posebno ako je riječ o informacijama koje je dostavio pružatelj nad kojim se provodi revizija, odabir i primjena metodologije prilagođavaju se kako bi ta organizacija pribavila potrebne revizijske dokaze u skladu s člankom 11.
4.  

Smatra se da su se osnovane sumnje iz stavka 3. pojavile osobito ako postoji bilo koji od sljedećih elemenata:

(a) 

stručna prosudba i skepticizam u procjeni informacija, među ostalim o unutarnjim kontrolama pružatelja nad kojim je provedena revizija, na temelju kojih revizijska organizacija izrazi opravdane sumnje;

(b) 

vanjske naznake koje upućuju na revizijske rizike, posebno izvješća Europskog odbora za digitalne usluge iz članka 35. stavka 2. Uredbe (EU) 2022/2065, upute Komisije, uključujući smjernice iz članka 35. stavka 3. te uredbe i sve ostale relevantne upute koje je Komisija izdala o primjeni Uredbe (EU) 2022/2065 te izvješća o reviziji izdana na temelju kodeksa ponašanja ili kriznih protokola iz članaka 45., 46. i 48. te uredbe;

(c) 

informacije koje se odnose na događaje do kojih je došlo za vrijeme provedbe revizije, uključujući krizne situacije, za koje su potrebne dodatne mjere pružatelja nad kojim se provodi revizija kako bi se osigurala usklađenost s određenim obvezama koje su predmet revizije.

5.  

Revizijski postupci obuhvaćaju najmanje:

(a) 

provedbu testova i dokaznih analitičkih postupaka za interne kontrole koje je pružatelj nad kojim se provodi revizija uspostavio za svaku obvezu koja je predmet revizije;

(b) 

provedbu dokaznih analitičkih postupaka radi ocjenjivanja usklađenosti sa svakom obvezom koja je predmet revizije, među ostalim u pogledu algoritamskih sustava;

(c) 

provedbu testova, među ostalim u pogledu algoritamskih sustava, u vezi s obvezama koje su predmet revizije za koje revizijska organizacija ima osnovane sumnje, kao što je navedeno u stavku 4., te u vezi s obvezama koje su predmet revizije ako revizijska organizacija smatra potrebnim provesti testove pri odabiru metodologije u skladu sa stavkom 1.

6.  
Ako pružatelj nad kojim se provodi revizija mora zbog obveza iz članka 37. stavka 1. Uredbe (EU) 2022/2065 javno iznijeti određene informacije, revizijske metodologije uključuju procjenu jesu li iznesene informacije lišene bitnih pogrešaka ili propusta zbog kojih bi inače mogle biti obmanjujuće.

Članak 11.

Kvaliteta revizijskih dokaza

Zaključci revizije i revizorska mišljenja temelje se na revizijskim dokazima koji ispunjavaju oba sljedeća zahtjeva:

(a) 

relevantni su i dostatni da se smanje revizijski rizici utvrđeni u skladu s člankom 9. i da revizijskoj organizaciji omoguće donošenje zaključaka revizije i revizorskih mišljenja u skladu s člankom 8.;

(b) 

pouzdani su prema profesionalnoj prosudbi i skepticizmu revizijske organizacije.

Članak 12.

Metode uzorkovanja

1.  
Ako se revizijski dokazi djelomično ili u cijelosti temelje na uzorku podataka ili informacija, veličina uzorka i metodologija uzorkovanja odabiru se tako da se smanji rizik neotkrivanja te bez uplitanja pružatelja nad kojim se provodi revizija.
2.  

Veličina uzorka i metodologija uzorkovanja odabiru se na način kojim se osigurava reprezentativnost podataka ili informacija i, prema potrebi, uzimajući u obzir sve od sljedećeg:

(a) 

reprezentativnost uzorka za razdoblje iz članka 3. stavaka 2 i 3.;

(b) 

relevantne promjene usluge obuhvaćene revizijom u tom razdoblju;

(c) 

relevantne promjene konteksta u kojem se pruža usluga obuhvaćena revizijom u tom razdoblju;

(d) 

relevantne značajke algoritamskih sustava, ako je primjenjivo, uključujući personalizaciju na temelju izrade profila ili drugih kriterija;

(e) 

ostale relevantne karakteristike ili razdiobe podataka, informacija i dokaza koji se razmatraju.

(f) 

prema potrebi, opis i odgovarajuću analizu spornih pitanja povezanih s određenim skupinama, kao što su maloljetnici ili ranjive skupine i manjine, koja se odnose na obveze koje su predmet revizije.

3.  
Izvješće o reviziji uključuje obrazloženje odabira veličine uzorka i metodologije uzorkovanja.

Članak 13.

Posebne metodologije za reviziju usklađenosti s člankom 34. Uredbe (EU) 2022/2065 o procjeni rizika

1.  

Ocjenjivanje usklađenosti pružatelja nad kojim se provodi revizija s člankom 34. Uredbe (EU) 2022/2065 uključuje, ali nije ograničeno na, analizu svih sljedećih elemenata:

(a) 

je li pružatelj nad kojim se provodi revizija s dužnom pažnjom utvrdio, analizirao i procijenio sistemske rizike u Uniji iz članka 34. stavka 1. prvog podstavka Uredbe (EU) 2022/2065, među ostalim ocjenjivanjem:

i. 

načina na koji je pružatelj nad kojim se provodi revizija utvrdio rizike povezane sa svojom uslugom, uzimajući u obzir regionalne i jezične aspekte korištenja te usluge, među ostalim kad su specifični za državu članicu, te jesu li rizici pravilno utvrđeni;

ii. 

načina na koji je pružatelj nad kojim se provodi revizija analizirao i procijenio svaki rizik, među ostalim načina na koji je razmotrio vjerojatnost i ozbiljnost rizika, te je li ta procjena bila primjerena;

iii. 

načina na koji je pružatelj nad kojim se provodi revizija analizirao i procijenio čimbenike iz članka 34. stavka 2. prvog podstavka Uredbe (EU) 2022/2065, jesu li primjereno utvrđeni te u kojoj mjeri takvi čimbenici utječu na rizike utvrđene u stavku 1. tog članka;

iv. 

koje je izvore informacija pružatelj nad kojim se provodi revizija koristio i kako je prikupio informacije, među ostalim je li se i na koji način oslanjao na znanstvene i tehničke uvide;

v. 

je li i na koji način pružatelj nad kojim se provodi revizija ispitao pretpostavke o rizicima skupina koje su najviše pogođene određenim rizicima;

(b) 

je li procjena rizika provedena u rokovima iz članka 34. stavka 1. drugog podstavka Uredbe (EU) 2022/2065 i, ako je primjenjivo, u rokovima za aktivnosti utvrđene kao mjere za smanjenje rizika radi otkrivanja sistemskih rizika u skladu s člankom 35. stavkom 1. točkom (f) te uredbe;

(c) 

načina na koji je pružatelj nad kojim se provodi revizija utvrdio funkcionalnosti koje će vjerojatno imati ključan utjecaj na rizike za koje se procjene rizika provode prije uvođenja tih funkcionalnosti, u skladu s člankom 34. stavkom 1. drugim podstavkom Uredbe (EU) 2022/2065, jesu li te funkcionalnosti ispravno utvrđene i je li procjena rizika odgovarajuće provedena;

(d) 

je li pružatelj nad kojim se provodi revizija ispravno utvrdio popratnu dokumentaciju koju je potrebno čuvati u pogledu procjene rizika i je li uspostavio potrebna sredstva kako bi osigurao njezino čuvanje najmanje tri godine u skladu s člankom 34. stavkom 3. Uredbe (EU) 2022/2065 i je li dokumentacija čuvana u skladu s time.

2.  

Ne dovodeći u pitanje bilo koju drugu analizu potrebnu za postizanje razumne razine jamstva, metodologije za reviziju usklađenosti s člankom 34. Uredbe (EU) 2022/2065 uključuju barem ocjenjivanje sljedećih elemenata koje provodi revizijska organizacija:

(a) 

internih kontrola koje je pružatelj nad kojim se provodi revizija uspostavio radi praćenja provedbe procjena rizika za svaki čimbenik iz članka 34. stavka 2. prvog podstavka Uredbe (EU) 2022/2065; to ocjenjivanje:

i. 

temelji se na dokaznim analitičkim postupcima za te kontrole;

ii. 

temelji se na testiranju kojim se utvrđuje jesu li te kontrole pomno osmišljene, provedene i praćene te njihova pouzdanost;

iii. 

njime se evaluira kako su službenici za praćenje usklađenosti provodili svoje zadaće s obzirom na članak 41. stavak 3. točke (b), (d), (e) i, prema potrebi, (f) Uredbe (EU) 2022/2065 i kako je upravljačko tijelo pružatelja nad kojim se provodi revizija sudjelovalo u odlukama o upravljanju rizikom na temelju članka 41. stavaka 6. i 7. te uredbe;

(b) 

aktivnosti, sredstava i procesa koje je pružatelj nad kojim se provodi revizija uspostavio kako bi osigurao usklađenost s člankom 34. Uredbe (EU) 2022/2065 i njihovih rezultata; takva se ocjena temelji na:

i. 

dokaznim analitičkim postupcima;

ii. 

testovima, među ostalim algoritamskih sustava, ako revizijska organizacija ima osnovane sumnje nakon rezultata dokaznih analitičkih postupaka i ocjene internih kontrola ili ako revizijska organizacija smatra potrebnim provesti testove pri odabiru metodologije u skladu s člankom 10. stavkom 1.

3.  

Informacije koje revizijska organizacija analizira za potrebe ocjenjivanja koje se provodi u skladu s ovim člankom uključuju, ali nisu ograničene na:

(a) 

izvješće o procjeni rizika za relevantno razdoblje obuhvaćeno revizijom koje je izradio pružatelj nad kojim se provodi revizija, prema potrebi uključujući povjerljive informacije koje nisu dio informacija objavljenih u skladu s člankom 42. stavkom 2. te uredbe, kao i sve popratne dokumente;

(b) 

prema potrebi, druga izvješća o procjenama rizika pružatelja nad kojim se provodi revizija i njihove popratne dokumente;

(c) 

informacije koje je pružatelj nad kojim se provodi revizija dostavio u skladu s člankom 5.;

(d) 

sva relevantna izvješća radi transparentnosti pružatelja nad kojim se provodi revizija iz članka 15. stavka 1. Uredbe (EU) 2022/2065;

(e) 

sve ostale rezultate testova, dokumentaciju, dokaze, izjave dane kao odgovor na pisana ili usmena pitanja koja je revizijska organizacija uputila osoblju pružatelja nad kojim se provodi revizija te, prema potrebi, opažanja iznesena u prostorijama pružatelja;

(f) 

ostale relevantne dokaze, među ostalim one koji se temelje na informacijama koje je pružatelj nad kojim se provodi revizija stavio na raspolaganje;

(g) 

ako postoje, izvješća iz članka 35. stavka 2. Uredbe (EU) 2022/2065 i upute Komisije, uključujući smjernice izdane na temelju članka 35. stavka 3. te uredbe te sve druge relevantne upute koje je Komisija izdala o primjeni Uredbe (EU) 2022/2065.

4.  
Informacije koje revizijska organizacija analizira mogu, prema potrebi, uključivati informacije iz članka 42. stavka 4. Uredbe (EU) 2022/2065, uključujući informacije iz izvješća o reviziji, procjeni rizika i smanjenju rizika koje se odnose na druge vrlo velike internetske platforme ili vrlo velike internetske tražilice, odnosno podatke i istraživanje koje su javno objavili provjereni istraživači u skladu s člankom 40. stavkom 8. točkom (g) te uredbe.

Članak 14.

Posebne metodologije za reviziju usklađenosti s člankom 35. Uredbe (EU) 2022/2065 o smanjenju rizika

1.  

Ocjenjivanje usklađenosti pružatelja nad kojim se provodi revizija s člankom 35. Uredbe (EU) 2022/2065 uključuje, ali nije ograničeno na analizu svih sljedećih elemenata:

(a) 

načina na koji je pružatelj nad kojim se provodi revizija utvrdio mjere za smanjenje rizika za svaki od sistemskih rizika iz članka 34. stavka 1. Uredbe (EU) 2022/2065 i je li utvrđivanje takvih mjera za smanjenje rizika provedeno s dužnom pažnjom;

(b) 

načina na koji je pružatelj nad kojim se provodi revizija ocijenio jesu li mjere za smanjenje rizika iz članka 35. stavka 1. točaka od (a) do (k) Uredbe (EU) 2022/2065 primjenjive na uslugu obuhvaćenu revizijom i je li zaključak te ocjene primjeren, među ostalim u pogledu mjera koje pružatelj nad kojim se provodi revizija nije primijenio;

▼C1

(c) 

jesu li mjere smanjenja koje je uspostavio pružatelj nad kojim se provodi revizija razumne, razmjerne i djelotvorne za smanjenje odgovarajućih rizika, među ostalim:

i. 

procjenom aktiviraju li se zajednički na sve rizike, pri čemu se osobito uzimaju u obzir rizici povezani s ostvarivanjem temeljnih prava;

ii. 

komparativnom procjenom načina na koji su se rizici rješavali prije i nakon uvođenja posebnih mjera za smanjenje rizika;

iii. 

procjenom jesu li mjere za smanjenje rizika primjereno osmišljene i provedene.

▼B

2.  

Ne dovodeći u pitanje bilo koju drugu analizu potrebnu za postizanje razumne razine jamstva, metodologije za reviziju usklađenosti s člankom 35. Uredbe (EU) 2022/2065 uključuju barem ocjenjivanje sljedećih elemenata koje provodi revizijska organizacija:

(a) 

internih kontrola koje je pružatelj nad kojim se provodi revizija uspostavio radi praćenja primjene mjera za smanjenje rizika iz članka 35. stavka 1. Uredbe (EU) 2022/2065 te jesu li one razumne, razmjerne i djelotvorne; to ocjenjivanje:

i. 

temelji se na dokaznim analitičkim postupcima za te kontrole;

ii. 

temelji se na testiranju kojim se utvrđuje jesu li te kontrole pomno osmišljene, provedene i praćene te njihova pouzdanost;

iii. 

njime se evaluira kako su službenici za praćenje usklađenosti provodili svoje zadaće s obzirom na članak 41. stavak 3. točke (b), (d), (e) i, prema potrebi, (f) Uredbe (EU) 2022/2065 te kako je upravljačko tijelo pružatelja sudjelovalo na temelju članka 41. stavaka 6. i 7. te uredbe;

(b) 

mjera za smanjenje rizika koje su uspostavili pružatelji nad kojima se provodi revizija; takva se ocjena temelji na:

i. 

dokaznim analitičkim postupcima;

ii. 

testovima, među ostalim algoritamskih sustava, ako revizijska organizacija ima osnovane sumnje nakon rezultata dokaznih analitičkih postupaka i ocjene internih kontrola ili ako revizijska organizacija smatra potrebnim provesti testove pri odabiru metodologije u skladu s člankom 10. stavkom 1.

3.  

Informacije koje revizijska organizacija analizira za potrebe ocjenjivanja koje se provodi u skladu s ovim člankom uključuju, ali nisu ograničene na:

(a) 

izvješća o procjeni rizika i smanjenju rizika za relevantno razdoblje obuhvaćeno revizijom koja je izradio pružatelj nad kojim se provodi revizija, prema potrebi uključujući povjerljive informacije koje nisu dio informacija objavljenih u skladu s člankom 42. stavkom 2. Uredbe (EU) 2022/2065, kao i sve popratne dokumente;

(b) 

prema potrebi, druga izvješća o procjeni rizika i smanjenju rizika pružatelja nad kojim se provodi revizija i njihove popratne dokumente;

(c) 

informacije koje je pružatelj nad kojim se provodi revizija dostavio u skladu s člankom 5.;

(d) 

sva relevantna izvješća radi transparentnosti pružatelja nad kojim se provodi revizija iz članka 15. stavka 1. Uredbe (EU) 2022/2065;

(e) 

prema potrebi, prošla izvješća o smanjenju rizika i njihove popratne dokumente koji se odnose na razdoblja koja nisu dio razdoblja obuhvaćenog revizijom, prema potrebi uključujući povjerljive informacije koje nisu dio informacija objavljenih u skladu s člankom 42. stavkom 2. Uredbe (EU) 2022/2065;

(f) 

sve ostale rezultate testova, dokumentaciju, dokaze, izjave dane kao odgovor na pisana i/ili usmena pitanja koja je revizijska organizacija uputila osoblju pružatelja nad kojim se provodi revizija te, prema potrebi, opažanja iznesena u prostorijama pružatelja;

(g) 

ostale relevantne dokaze, među ostalim one koji se temelje na informacijama koje je pružatelj nad kojim se provodi revizija stavio na raspolaganje;

(h) 

ako postoje, izvješća iz članka 35. stavka 2. Uredbe (EU) 2022/2065 i upute Komisije, uključujući smjernice izdane na temelju članka 35. stavka 3. te uredbe te sve druge relevantne upute koje je Komisija izdala o primjeni Uredbe (EU) 2022/2065.

4.  
Informacije koje revizijska organizacija analizira mogu, prema potrebi, uključivati informacije iz članka 42. stavka 4. Uredbe (EU) 2022/2065, uključujući informacije iz izvješća o reviziji, procjeni rizika i smanjenju rizika koje se odnose na druge vrlo velike internetske platforme ili vrlo velike internetske tražilice, odnosno podatke i istraživanje koje su javno objavili provjereni istraživači u skladu s člankom 40. stavkom 8. točkom (g) Uredbe (EU) 2022/2065.

Članak 15.

Posebne metodologije za reviziju usklađenosti s člankom 36. Uredbe (EU) 2022/2065 o mehanizmu za odgovor na krizu

1.  

Ocjenjivanje usklađenosti pružatelja nad kojim se provodi revizija s člankom 36. stavkom 1. prvim podstavkom točkom (a) Uredbe (EU) 2022/2065 uključuje, ali nije ograničeno na, analizu toga li i na koji način pružatelj nad kojim se provodi revizija proveo potrebne mjere, posebno:

(a) 

je li i na koji način pružatelj nad kojim se provodi revizija utvrdio relevantne sustave uključene u funkcioniranje i korištenje svoje usluge koji znatno doprinose ozbiljnoj prijetnji i jesu li ti sustavi odgovarajuće utvrđeni;

(b) 

je li i na koji način pružatelj nad kojim se provodi revizija definirao i pratio znatan doprinos ozbiljnoj prijetnji i je li njegova procjena bila odgovarajuća;

(c) 

prema potrebi, analizu svih drugih zahtjeva navedenih u odluci Komisije iz članka 36. stavaka 1. ili 7. drugog podstavka Uredbe (EU) 2022/2065.

2.  

Ocjenjivanje usklađenosti pružatelja nad kojim se provodi revizija s člankom 36. stavkom 1. prvim podstavkom točkom (b) Uredbe (EU) 2022/2065 uključuje, ali nije ograničeno na, analizu je li i na koji način pružatelj nad kojim se provodi revizija proveo potrebne mjere, posebno:

(a) 

je li i na koji način pružatelj nad kojim se provodi revizija utvrdio mjere za sprečavanje, uklanjanje ili ograničavanje svakog doprinosa ozbiljnoj prijetnji;

(b) 

jesu li i na koji način mjere koje je primijenio pružatelj nad kojim se provodi revizija uvažile ozbiljnost ozbiljne prijetnje, hitnost mjera te jesu li mjere u tom pogledu bile primjerene;

(c) 

je li i na koji način pružatelj nad kojim se provodi revizija identificirao strane na koje se mjere odnose i njihove zakonite interese te na koji je način pružatelj nad kojim se provodi revizija procijenio stvarni ili potencijalni učinak mjera na zakonite interese i prava tih stranaka, među ostalim temeljna prava;

(d) 

jesu li mjere koje je primijenio pružatelj nad kojim se provodi revizija bile djelotvorne i razmjerne;

(e) 

prema potrebi, analizu svih drugih zahtjeva navedenih u odluci Komisije iz članka 36. stavaka 1. ili 7. drugog podstavka Uredbe (EU) 2022/2065.

3.  
Ocjenjivanje usklađenosti pružatelja nad kojim se provodi revizija s člankom 36. stavkom 1. prvim podstavkom točkom (c) Uredbe (EU) 2022/2065 uključuje, ali nije ograničeno na analizu načina na koji je pružatelj nad kojim se provodi revizija proveo potrebnu mjeru, posebno je li pružatelj nad kojim se provodi revizija Komisiji dostavio informacije koje je zatražila u odluci Komisije iz članka 36. stavka 1. ili 7. drugog podstavka Uredbe (EU) 2022/2065 te jesu li ta izvješća točna.

Članak 16.

Revizija usklađenosti s člankom 37. Uredbe (EU) 2022/2065 o neovisnoj reviziji

1.  
Usklađenost s obvezama iz članka 37. Uredbe (EU) 2022/2065 i u ovoj Uredbi ocjenjuje se u odnosu na reviziju ili revizije provedene za godišnje razdoblje koje prethodi razdoblju trenutačne revizije.
2.  
Dodatno uz stavak 1. revizija obuhvaća ocjenjivanje usklađenosti pružatelja nad kojim se provodi revizija s člankom 37. stavkom 2. Uredbe (EU) 2022/2065 u pogledu trenutačne revizije.
3.  
Ako je prethodnu reviziju ili revizije iz stavka 1. provela ista revizijska organizacija koja provodi trenutačnu reviziju ili ako revizijska organizacija koja provodi trenutačnu reviziju uključuje najmanje jedan pravni subjekt koji je sudjelovao u prethodnoj reviziji, u izvješću o reviziji objašnjavaju se koraci koje je revizijska organizacija uspostavila kako bi osigurala objektivnost ocjene.

Članak 17.

Revizija usklađenosti s kodeksima ponašanja i kriznim protokolima

1.  

Pružatelj nad kojim se provodi revizija revizijskoj organizaciji stavlja na raspolaganje:

(a) 

popis i tekst svih kodeksa ponašanja iz članaka 45. i 46. Uredbe (EU) 2022/2065 i kriznih protokola iz članka 48. te uredbe čiji je potpisnik pružatelj nad kojim se provodi revizija;

(b) 

detaljan popis obveza iz tih kodeksa ponašanja i kriznih protokola koje je pružatelj nad kojim se provodi revizija preuzeo;

(c) 

ako je primjenjivo, ključne pokazatelje uspješnosti dogovorene u okviru svakog kodeksa ponašanja i kriznog protokola;

(d) 

ako je primjenjivo, sva dostupna mjerenja, podatke i dokumentaciju te sva izvješća koja je pružatelj nad kojim se provodi revizija sastavio u pogledu svoje usklađenosti s preuzetim obvezama, uključujući pristup svim relevantnim informacijama i podacima povezanima s funkcioniranjem usluga koje nudi pružatelj nad kojim se provodi revizija, a koji su relevantni za provedbu kodeksa ponašanja ili kriznog protokola;

(e) 

ako je primjenjivo, ostala mjerenja, podatke i dokumentaciju koje su pripremili potpisnici kodeksa ponašanja ili kriznog protokola te procjene Komisije ili Odbora iz članka 45. stavka 4. Uredbe (EU) 2022/2065.

2.  
Ocjenjivanje usklađenosti pružatelja nad kojim se provodi revizija s kodeksima ponašanja iz članka 45. Uredbe (EU) 2022/2065 uključuje, ali nije ograničeno na, mjerenje ključnih pokazatelja uspješnosti dogovorenih u kodeksu ponašanja u skladu s člankom 45. stavkom 3. te uredbe, specificiranje praga značajnosti za zaključke revizije i jesu li dostavljeni podaci točni.

ODJELJAK V.

Završne odredbe

Članak 18.

Stupanje na snagu

Ova Uredba stupa na snagu dvadesetog dana od dana objave u Službenom listu Europske unije.

Ova je Uredba u cijelosti obvezujuća i izravno se primjenjuje u svim državama članicama.




PRILOG I.

PREDLOŽAK ZA IZVJEŠĆE O REVIZIJI IZ ČLANKA 6.

Sadržaj

image



ODJELJAK B: revizijska organizacija ili organizacije

Za popunjavanje ovog odjeljka u svakoj točki dodati retke prema potrebi.

1.  Ime organizacije ili organizacija koje čine revizijsku organizaciju:

2.  Informacije o timu za reviziju revizijske organizacije:

Za svakog člana revizorskog tima navesti:

1.  ime i prezime;

2.  pojedinačnu organizaciju koja je dio revizijske organizacije, a s kojom je član tima povezan;

3.  službenu e-adresu;

4.  opis njegovih odgovornosti i rada koji je obavio za vrijeme revizije.

3.  Kvalifikacije revizorâ:

a.  Pregled stručnih kvalifikacija pojedinaca koji su proveli reviziju, uključujući područja stručnosti i certifikate, prema potrebi:

b.  Dokumenti kojima se potvrđuje da revizijska organizacija ispunjava zahtjeve iz članka 37. stavka 3. točke (b) Uredbe (EU) 2022/2065 priloženi su ovom izvješću u obliku priloga:

4.  Neovisnost revizorâ:

a.  Izjava o interesima:

b.  Upućivanja na sve standarde relevantne za neovisnost revizorskog tima kojih se revizijska organizacija ili organizacije pridržavaju:

c.  Popis dokumenata kojima se potvrđuje da revizijska organizacija ispunjava obveze iz članka 37. stavka 3. točaka (a) i (c) Uredbe (EU) 2022/2065 priloženih ovom izvješću u obliku priloga.

5.  Prema potrebi, upućivanja na sve revizijske standarde primijenjene u reviziji:

6.  Prema potrebi, upućivanja na sve standarde upravljanja kvalitetom kojih se revizijska organizacija pridržava: