A BIZOTTSÁG (EU) 2024/436 FELHATALMAZÁSON ALAPULÓ RENDELETE

(2023. október 20.)

az (EU) 2022/2065 európai parlamenti és tanácsi rendeletnek az online óriásplatformokat és a nagyon népszerű online keresőprogramokat érintő ellenőrzések elvégzésére vonatkozó szabályok megállapítása tekintetében történő kiegészítéséről

AZ EURÓPAI BIZOTTSÁG,

tekintettel az Európai Unió működéséről szóló szerződésre,

tekintettel a digitális szolgáltatások egységes piacáról és a 2000/31/EK irányelv módosításáról szóló, 2022. október 19-i (EU) 2022/2065 európai parlamenti és tanácsi rendeletre (a digitális szolgáltatásokról szóló jogszabály) (1) és különösen annak 37. cikke (7) bekezdésére,

mivel:

(1)

A független ellenőrzések fontos eszközként szolgálnak annak felügyeletében, hogy az online óriásplatformok és a nagyon népszerű online keresőprogramok szolgáltatói eleget tesznek-e az (EU) 2022/2065 rendelet szerinti kötelezettségeiknek. Míg az említett rendelet más elszámoltathatósági eszközökről is rendelkezik – nem utolsósorban az átláthatósági jelentések és az adatok közzétételére vonatkozó más követelmények nyilvánosság általi fokozott ellenőrzése révén – az ellenőrzést végző független szervezetek különleges szerepet játszanak annak értékelésében, hogy a szóban forgó szolgáltatók már a kezdetektől megfelelnek-e az említett rendeletnek. Az ilyen független ellenőrzések következtetései és megállapításai, valamint ajánlásai hasznos információkkal szolgálhatnak a szabályozói felügyelet számára. Ugyanakkor a független ellenőrzések olyan információ- és elemzési források, amelyeket a szabályozó szervek felügyeleti és végrehajtási feladataikhoz felhasználhatnak.

(2)

Annak biztosítása érdekében, hogy az elvégzett független ellenőrzéseket az (EU) 2022/2065 rendelet alkalmazásának a rendelet 92. és 93. cikkében meghatározott kezdőnapjától kezdve eredményesen, hatékonyan, kellő időben és összehasonlítható módon végezzék, a Bizottságnak szabályokat kell megállapítania az ellenőrzések elvégzésére vonatkozóan, különös tekintettel az ellenőrzött szolgáltatók jogi kötelezettségeire, valamint azon eljárási lépésekre, amelyek biztosítják, hogy az ellenőrzéseket végző szervezetek teljesítsék az (EU) 2022/2065 rendelet 37. cikkének (3) bekezdésében meghatározott feltételeket, azaz hogy függetlenek, a tekintetükben nem áll fenn összeférhetetlenség, szakértelemmel rendelkeznek és szakmailag etikusak.

(3)

A magas szintű szakértelem jellemezte ellenőrzések megfelelő elvégzésének megkönnyítése, valamint az ellenőri szolgáltatások piacán jelentkező nem kívánt következmények megelőzése érdekében pontosítani kell, hogy az (EU) 2022/2065 rendelet 37. cikkével összhangban végzett ellenőrzéseket több ellenőr is végezheti. Szükség esetén, például ha bizonyos – például az algoritmikus rendszerek kialakításával és működésével, az alapvető jogokat érintő kockázatok felmérésével vagy jogellenes tartalom terjesztésével kapcsolatos – kötelezettségek vagy kötelezettségvállalások ellenőrzéséhez speciális szakértelem szükséges, az ellenőrzött szolgáltató különböző ellenőrzést végző szervezeteket, vagy egy szervezetek alkotta konzorciumot is megbízhat az ellenőrzés elvégzésével. Az ellenőrzést végző szervezeteknek lehetőségük van arra, hogy alvállalkozó révén biztosítsák a szükséges szakértelmet, feltéve, hogy mind az ellenőrzést végző szervezet, mind az alvállalkozók megfelelnek a függetlenségre, az összeférhetetlenség tilalmára, az igazolt objektivitásra és a szakmai etikára vonatkozóan előírt feltételeknek, és együttesen teljesítik a műszaki szakértelemre vonatkozó feltételeket. Ilyen esetekben az ellenőrzött szolgáltatónak változatlanul biztosítania kell, hogy az (EU) 2022/2065 rendelet 37. cikkének (1) bekezdésében említett valamennyi kötelezettségnek és kötelezettségvállalásnak való megfelelését évente legalább egyszer ellenőrizzék.

(4)

Az (EU) 2022/2065 rendelet 37. cikke (4) bekezdésének g) pontjában említett ellenőri véleményeket az ellenőrzést végző szervezeteknek észszerű megbízhatósági szint mellett kell megállapítaniuk. Az észszerű megbízhatósági szint elérése érdekében az ellenőrzést végző szervezetnek magas, de nem abszolút konfidenciaszinttel kell szolgálnia a tekintetben, hogy az ellenőrzés mentes a téves közlésektől, így nincsenek például kihagyások, megtévesztések vagy feltáratlan hibák. Az említett megbízhatósági szint biztosítása érdekében az ellenőrzést végző szervezetnek többek között elegendő bizonyítékot kell szereznie, és értékelése során megfelelő ellenőrzési módszereket kell alkalmaznia.

(5)

Az (EU) 2022/2065 rendelet 37. cikkének (1) bekezdése értelmében a független ellenőrzéseket legalább évente egyszer el kell végezni, a szóban forgó rendelet 34. cikkében említett éves kockázatértékelési ciklussal összhangban. Bizonyos esetekben azonban gyakoribb ellenőrzésekre lehet szükség. Az ellenőrzések elvégzését úgy kell ütemezni, hogy biztosítsák az ellenőrzött szolgáltatók (EU) 2022/2065 rendeletnek, valamint a vonatkozó magatartási kódexeknek és válságkezelési protokolloknak való megfelelésének folyamatos felügyeletét. Az ellenőrzött szolgáltatónak biztosítania kell, hogy az ellenőrzött kötelezettségeknek és kötelezettségvállalásoknak való megfelelést értékelő adott ellenőrzés időszaka közvetlenül kövesse a szolgáltató szóban forgó kötelezettségeknek és kötelezettségvállalásoknak való megfelelését értékelő előző ellenőrzés időszakát, és legkésőbb akkor kezdődjön, amikor az előzőleg ellenőrzött időszak véget ért. Mivel az ellenőrzés lezárása magában foglalja mind az ellenőrzést végző szervezet által készített értékelést, mind pedig az ellenőrzési jelentés elkészítését, az ellenőrzött szolgáltatóknak biztosítaniuk kell, hogy az ellenőrzés időtartama lehetővé tegye az ellenőrzések legalább évente egyszer történő lezárását, és hogy az ellenőrzési jelentéseknek a Bizottsághoz és a digitális szolgáltatási koordinátorhoz történő benyújtása az (EU) 2022/2065 rendelet 42. cikkének (4) bekezdése értelmében indokolatlan késedelem nélkül történjen.

(6)

Bár az ellenőrzött szolgáltatók semmilyen körülmények között sem avatkozhatnak be az ellenőrzés elvégzésébe és következtetéseibe, teljesíteniük kell az (EU) 2022/2065 rendelet 37. cikke szerinti kötelezettségeiket, így többek között meg kell állapodniuk az ellenőrzést végző szervezettel a szerződéses feltételekről, és az ellenőrzést végző szervezet kiválasztása előtt meg kell győződniük arról, hogy a szervezet teljesíti az (EU) 2022/2065 rendelet 37. cikkének (3) bekezdésében meghatározott feltételeket.

(7)

Az ellenőrzött szolgáltatónak például értékelnie kell az ellenőrzést végző szervezettel korábban kötött szerződéseket, illetve az ellenőrzést végző szervezet és az ellenőrzött szolgáltatóhoz kapcsolódó jogi személyek között kötött szerződéseket. Az ellenőrzött szolgáltatónak az ellenőrzést végző szervezetekkel kötött szerződésekbe olyan rendelkezéseket is bele kell foglalnia, amelyek szavatolják az (EU) 2022/2065 rendelet 37. cikkének (3) bekezdésében meghatározott feltételek teljesítését. Ha az ellenőrzést végző szervezet több jogalanyból áll, az ellenőrzött szolgáltatónak meg kell győződnie arról, hogy e szervezetek mindegyike teljesíti a szóban forgó feltételeket, beleértve adott esetben azokat az alvállalkozókat is, amelyeket az ellenőrzést végző szervezet az ellenőrzés elvégzésének bármiféle támogatása céljából bízott meg. Míg az ellenőrzést végző minden egyes jogalanynak egyénileg kell teljesítenie a függetlenségre és az összeférhetetlenség tilalmára vonatkozó követelményeket, e jogalanyoknak együttesen kell teljesíteniük a kompetenciákra, szakértelemre, illetve technikai erőforrásokra vonatkozó követelményeket; így az ellenőrzés különböző részeit végezheti más-más jogalany, az ellenőrzés elvégzéséhez szükséges képességekkel, kompetenciákkal és szakértelemmel hozzájárulva. Az ellenőrzési jelentésben meg kell jelölni az egyes jogalanyok felelősségét az ellenőrzés megfelelő részei tekintetében.

(8)

Az (EU) 2022/2065 rendelet 37. cikke (3) bekezdése a) pontjának i. alpontja értelmében az ellenőrzött szolgáltatónak különös figyelmet kell fordítania arra, hogy az ellenőrzést végző szervezet nem nyújthat nem ellenőri szolgáltatásokat az ellenőrzött szolgáltatónak, amikor ellenőrzi, hogy az ellenőrzést végző szervezet megfelel-e a függetlenségre és az összeférhetetlenség tilalmára vonatkozó követelményeknek. Az ellenőrzött szolgáltatónak többek között értékelnie kell, hogy nyújtottak-e például az ellenőrzött kötelezettséggel vagy kötelezettségvállalással kapcsolatos kérdésekben érintett bármely rendszerhez, szoftverhez vagy folyamathoz kapcsolódóan szolgáltatásokat, vagy például a teljesítmény, az irányítás és a szoftverek értékelésével kapcsolatos tanácsadási szolgáltatásokat, képzési szolgáltatásokat, rendszerfejlesztési vagy -karbantartási szolgáltatásokat, vagy sor került-e a tartalommoderálás alvállalkozásba adására. Ide tartoznak az ellenőrzött szolgáltatónak nyújtott olyan szolgáltatások is, amelyek konzultációból, belső kontrollmechanizmusok kidolgozásából, illetve belső célú értékelésből állnak azzal kapcsolatban, hogy az ellenőrzött szolgáltató megfelel-e az (EU) 2022/2065 rendeletnek, illetve a magatartási kódexeknek és a válságkezelési protokolloknak, ideértve azt az esetet is, amikor ez célzott tesztekre, például a tartalommoderálási rendszerek teljesítményét értékelő, harmadik fél által végzett tesztekre korlátozódik. Nem zárhatók ki azok az ellenőrzést végző szervezetek, amelyek jogszabályban előírt pénzügyi ellenőrzést végeztek.

(9)

Tekintettel az (EU) 2022/2065 rendelet szerinti szabályszerűségi ellenőrzések összetettségére és sajátos jellegére, az ellenőrzést végző szervezet szakterülettel kapcsolatos szakértelme alapvető fontosságú az ellenőrzések észszerű megbízhatósági szint melletti elvégzéséhez, valamint a szakmai megítélés és szkepticizmus gyakorlásához, amely többek között lehetővé teszi a szervezet számára, hogy tisztában legyen az ellenőrzési eljárások elvégzéséhez vagy az egymásnak ellentmondó információk vitatásához szükséges információkkal. Az ellenőrzött szolgáltatónak ezért meg kell győződnie arról, hogy az ellenőrzést végző szervezet rendelkezik ilyen szakértelemmel, többek között a kockázatkezelés területén, mind az ellenőrzési kockázatok, mind pedig az (EU) 2022/2065 rendelet tárgya és különösen az említett rendelet 34. cikkében említett rendszerszintű társadalmi kockázatok tekintetében. Ezen túlmenően az ellenőrzött szolgáltatónak meg kell győződnie az ellenőrzést végző szervezetnek a konkrét ellenőrzött szolgáltatás tekintetében meglévő technikai kompetenciájáról és képességeiről, beleértve a témával kapcsolatos szakértelmet, többek között a szolgáltató által fenntartott algoritmikus rendszerek, például ajánlórendszerek és egyéb társadalmi-technikai rendszerek működését és hatásait illetően. Az ellenőrzést végző szervezet számára lehetővé kell tenni, hogy alvállalkozásba adja, vagy más módon megszerezze és alkalmazza a szükséges szakértelmet és képességeket, az ellenőrzött szolgáltatónak pedig meg kell győződnie és gondoskodnia kell arról, hogy az ellenőrzést végző szervezet kellő időben képes szert tenni e szakértelemre és képességekre ahhoz, hogy az ellenőrzést elvégezze.

(10)

Annak ellenőrzése során, hogy az ellenőrzést végző szervezetek teljesítik-e az (EU) 2022/2065 rendelet 37. cikkének (3) bekezdésében meghatározott feltételeket, az ellenőrzött szolgáltatónak értékelnie kell a releváns bizonyítékokat, beleértve adott esetben az ellenőrzést végző szervezet által kiadott tanúsítványokat, nyilatkozatokat és ellenőrzési jelentéseket. A megfelelő szakértelem igazolható többek között a kockázatértékelés és -kezelés terén szerzett gyakorlati tapasztalatokkal, tudományos tevékenységgel, tudományos publikációkkal és releváns ellenőrzések során szerzett tapasztalatokkal. Az ellenőrzési jelentéseknek tartalmazniuk kell az összes releváns igazoló dokumentumot, amelyek alátámasztják, hogy az ellenőrzést végző szervezet teljesíti a szükséges feltételeket.

(11)

Az (EU) 2022/2065 rendelet 37. cikkének (2) bekezdése értelmében az ellenőrzött szolgáltatónak biztosítania kell az együttműködést és a segítségnyújtást, amely az ellenőrzést végző szervezet számára a hatékony, eredményes és időben elvégzett ellenőrzéshez szükséges, továbbá tartózkodnia kell attól, hogy bármilyen módon beavatkozzon az ellenőrzést végző szervezet független döntéseibe. Az ellenőrzött szolgáltató például nem írhat elő szerződéses vagy egyéb korlátozásokat, és nem adhat iránymutatást az ellenőrzést végző szervezetnek, továbbá egyéb módon sem befolyásolhatja azt ösztönzőkkel az ellenőrzési eljárások és módszerek kiválasztása és végrehajtása, az információk és ellenőrzési bizonyítékok gyűjtése és feldolgozása, az elemzés, a tesztek, az ellenőri vélemény, illetve az ellenőrzés következtetéseinek kialakítása terén.

(12)

Az ellenőrzés során szükséges együttműködés és segítségnyújtás biztosítása érdekében az ellenőrzött szolgáltatónak biztosítania kell, hogy az ellenőrzést végző szervezet hozzáférjen az ellenőrzés elvégzéséhez szükséges valamennyi információhoz. Az ellenőrzött szolgáltatónak a lehető leghamarabb, de minden esetben azt megelőzően, hogy az ellenőrzést végző szervezet megkezdi az ellenőrzési eljárásokat, el kell küldenie az összes szükséges dokumentumot és magyarázatot. Például az (EU) 2022/2065 rendelet 41. cikke (3) bekezdésének d) és e) pontja értelmében az ellenőrzött szolgáltató megfelelést támogató szervezeti egységének az összes ellenőrzött kötelezettség és kötelezettségvállalás tekintetében nyomon kell követnie a megfelelést, ami belső kontrollok kidolgozását eredményezheti. Az ellenőrzést végző szervezet számára ezért hozzáférést kell biztosítani az említett ellenőrzésekkel kapcsolatos valamennyi információhoz, továbbá valamennyi olyan információhoz, amely az ellenőrzött szolgáltatónak a megfelelés biztosítására irányuló stratégiájára vonatkozik. Az ellenőrzött szolgáltatónak különösen az ellenőrzés végző szervezet rendelkezésére kell bocsátania azokat a referenciaértékeket, amelyekre az (EU) 2022/2065 rendeletnek való megfelelés biztosítása érdekében támaszkodik, hogy az ellenőrzést végző szervezet az ellenőrzési kritériumokat ezekre az információkra alapozhassa. Ezenkívül az ellenőrzést végző szervezet számára hozzáférést kell biztosítani minden olyan elemzéshez, amelyet az ellenőrzött szolgáltató az eredendő kockázatokról és a kontrollkockázatokról készített. A szóban forgó szolgáltatónak az ellenőrzést végző szervezet rendelkezésére kell bocsátania azokat az információkat, amelyek megkönnyítik a következő területek megismerését: az ellenőrzött szolgáltatás, annak irányítása, az érintett csoportok és döntéshozatali struktúrák kompetenciája – beleértve a megfelelést támogató szervezeti egységet is –, a szolgáltató információtechnológiai rendszereinek, adat- és nyilvántartási struktúráinak bemutatása, valamint az ellenőrzés szempontjából releváns különböző algoritmikus rendszerek közötti kölcsönhatások.

(13)

Az ellenőrzést végző szervezet számára lehetővé kell tenni, hogy az ellenőrzés elvégzése során bármikor bekérje az egyéb szükséges információkat. Az említett információkhoz való hozzáférést indokolatlan késedelem nélkül, az ellenőrzés elvégzésének bármiféle akadályozását mellőzve kell biztosítani. Ennek magában kell foglalnia a különböző forrásokból – például dokumentumokból, algoritmikus rendszerekből, adatbázisokból vagy interjúkból – gyűjtött adatokhoz való hozzáférést, beleértve a személyes adatokat is. Az ellenőrzött szolgáltatónak hozzáférést kell biztosítania az ellenőrzést végző szervezet számára az eljárásokhoz és folyamatokhoz, informatikai rendszerekhez, például algoritmikus és információs rendszerekhez, beleértve a tesztelési környezeteket is. Ahhoz, hogy az ellenőrzést végző szervezet érdemben vizsgálhassa ezeket a rendszereket, az ellenőrzött szolgáltatónak minden szükséges erőforrást rendelkezésre kell bocsátania, hogy segítse a szervezetet a rendszerekhez való hozzáférésben és azok értékelésében. A szolgáltató ennek érdekében például rendelkezésre bocsáthatja kompetens személyzetét a kérdések megválaszolása vagy a tesztkörnyezetek használata, illetve működésének ismertetése céljából, továbbá megkönnyítheti az egyéb szükséges hozzáférést, például a személyzetével való kapcsolatfelvételt és a helyiségeibe, például az épületekbe való bejutást. Az eljárásokhoz és folyamatokhoz való hozzáférés magában foglalhatja például az ellenőrzött szolgáltató belső döntéshozatali eljárására vonatkozó leírásokhoz vagy dokumentumokhoz való hozzáférést. Előfordulhat, hogy együttműködési és segítségnyújtási kötelezettsége teljesítése érdekében az ellenőrzött szolgáltatónak egyéb kiegészítő intézkedéseket kell tennie a releváns információkhoz való hozzáférés terén. Például a személyzettel folytatott interjúkhoz szükség lehet az ellenőrzött szolgáltató által rendelkezésre bocsátott biztonságos létesítményekre. Amennyiben az ellenőrzés elvégzéséhez szükséges, az ellenőrzött szolgáltatóknak teljesíteniük kell az ellenőrzést végző szervezettel kapcsolatos együttműködési és segítségnyújtási kötelezettséget, többek között azáltal, hogy megkönnyítik a hozzáférést azokhoz a működésükkel kapcsolatos releváns adatokhoz, amelyeket külső vállalkozóik tárolnak. Ilyen eset adódhat például a tartalommoderálási intézkedések során, vagy azon képzési anyagok és iránymutatások alkalmazása eredményeként, amelyeket a tartalmat moderáló külső vállalkozók vagy az olyan informatikai megoldások értékesítői és szolgáltatói használnak, mint például az ellenőrzött szolgáltató által alkalmazott ajánlórendszerekben vagy hirdetési rendszerekben használt algoritmusok és alkalmazások.

(14)

Az ellenőrzés nyomán tett megállapítások érdemi átláthatóságának elősegítése, valamint az (EU) 2022/2065 rendelet 37. cikkének (4) bekezdésében említett ellenőrzési jelentések és az említett rendelet 37. cikkének (6) bekezdésében említett ellenőrzés-végrehajtási jelentések átfogó és összehasonlítható formátumának biztosítása érdekében e rendeletnek meg kell határoznia a jelentéstételi sablonokat, és minden egyes szóban forgó jelentéshez több mellékletet is elő kell írnia. Bár az e rendeletben meghatározott sablonok átfogó jelentéstételt írnak elő, nem érinthetik a jelentések közzétételére vonatkozóan az (EU) 2022/2065 rendelet 42. cikkének (4) és (5) bekezdésében előírt követelményeket.

(15)

Annak biztosítása érdekében, hogy az ellenőrzést végző szervezet minden szükséges, ám az ellenőrzés elvégzésébe való beavatkozást mellőző segítséget megkapjon az ellenőrzött szolgáltatótól, valamint hogy az ellenőrzést végző szervezet teljesítse az ellenőrzés előkészítéséhez szükséges valamennyi feltételt, és az ellenőrzési jelentést kellő időben és az észszerű megbízhatósági szint eléréséhez szükséges minőségben nyújtsa be, szabályokat kell meghatározni az ellenőrzéselőkészítő eljárásokra. Az ellenőrzött szolgáltató és az ellenőrzést végző szervezet – köztük az összes alvállalkozó vagy partnerszervezet és az ellenőrzés elvégzéséért felelős személyzet – feladatait és felelősségi körét írásbeli megállapodásban kell rögzíteni, többek között szerződéses feltételek révén. Az írásbeli megállapodásban meg kell határozni továbbá az ellenőrzött kötelezettségeket és kötelezettségvállalásokat, az ellenőrzés összefüggésében rendelkezésre bocsátandó forrásokat, valamint az ellenőrzést végző szervezet és az ellenőrzött szolgáltató közötti kapcsolattartás szabályait és a kapcsolattartó pontokat. Az összes igazoló dokumentumot és szerződést csatolni kell az ellenőrzési jelentéshez, beleértve azt az esetet is, amikor a dokumentumok ellenőri megbízás vagy egyéb szerződéses feltételek formáját öltik.

(16)

Annak érdekében, hogy átfogó áttekintést nyújtson az ellenőrzött szolgáltatókról és megkönnyítse elszámoltathatóságukat, az ellenőrzési jelentésnek tartalmaznia kell az ellenőrzést végző szervezet következtetését arról, hogy az ellenőrzött szolgáltató az ellenőrzés alapján eleget tesz-e az egyes ellenőrzött kötelezettségeknek, illetve kötelezettségvállalásoknak. A kellően megalapozott ellenőri vélemény érdekében az ellenőrzés minden egyes következtetésének észszerű megbízhatósági szinten kell alapulnia, és „kedvező”, „kedvező – észrevételekkel”, vagy „kedvezőtlen” véleménynek kell lennie. A „kedvező – észrevételekkel” minősítésű következtetések nem vonatkozhatnak magának a megfelelésnek az értékelésére. Ezek az észrevételek vonatkozhatnak például a szolgáltató által az ellenőrzést végző szervezet kérésére rendelkezésre bocsátott információkra, az ellenőrzött szolgáltató által bevezetett karbantartási vagy kontrollfolyamatok javítására vagy érinthetik a szolgáltató által végrehajtani kívánt egyéb kockázatcsökkentési terveket. Mindenesetre, ha az ellenőrzést végző szervezet úgy ítéli meg, hogy az ellenőrzött szolgáltató megfelel az ellenőrzött szolgáltató által bejelentett referenciamutatók szerinti ellenőrzött kötelezettségnek vagy kötelezettségvállalásnak, de szükségesnek tartja, hogy megjegyzéseket fűzzön ezekhez a referenciamutatókhoz, az ellenőrzés minősítése „kedvező – észrevételekkel”, mivel ezek az észrevételek – az ellenőrzést végző szervezet ismeretei és szakértelme, valamint a külső forrásokból származó információk alapján – hasznos tájékoztatást nyújthatnak a szolgáltatónak a referenciamutatókat érintő esetleges változtatási lehetőségekről. Az észrevételek alapulhatnak például a Bizottság iránymutatásán, többek között az (EU) 2022/2065 rendelet 35. cikkének (3) bekezdésében említett bizottsági iránymutatáson, valamint a Bizottság által az említett rendelet alkalmazása tekintetében kiadott bármely más releváns iránymutatáson, a szóban forgó rendelet 35. cikkének (2) bekezdésében említett, a Digitális Szolgáltatások Európai Testülete által készített jelentéseken, végrehajtási intézkedéseken, a Bizottság által az említett rendelet alapján hozott határozatokon, a vonatkozó ítélkezési gyakorlaton, különösen az Európai Unió Bíróságának ítélkezési gyakorlatán, nyilvános konzultációkon vagy releváns hiteles forrásokon.

(17)

Ha az ellenőrzés következtetése „kedvezőtlen”, de csak korlátozott időtartamra vonatkozik, és az ellenőrzést végző szervezet úgy ítéli meg, hogy az ellenőrzött szolgáltató az ellenőrzött időszak fennmaradó részében teljesítette a kötelezettséget vagy kötelezettségvállalást, a nyilvánosság általi ellenőrzés és a szabályozói felügyelet előmozdítása érdekében ezt az ellenőrzési jelentésben minden egyes érintett kötelezettségre, illetve kötelezettségvállalásra vonatkozóan fel kell tüntetni. A jelentésnek tartalmaznia kell az ellenőrzést végző szervezet észrevételeit valamennyi olyan információval kapcsolatban, amelyet az ellenőrzött szolgáltató folyamatban lévő kockázatcsökkentési tervekre vagy meg nem felelés orvoslására irányuló tervekre vonatkozóan bocsátott az ellenőrzést végző szervezet rendelkezésére.

(18)

Tekintettel az (EU) 2022/2065 rendelet III. fejezetében meghatározott jogi kötelezettségek, valamint az említett rendelet 45. és 46. cikke szerinti magatartási kódexek és 48. cikke szerinti válságkezelési protokollok keretében tett önkéntes kötelezettségvállalások eltérő jellegére, az ellenőrzést végző szervezetnek ellenőri véleményt kell kiadnia az említett fejezetnek, valamint az egyes kódexeknek és protokolloknak való megfelelésről.

(19)

Annak érdekében, hogy az ellenőrzést észszerű megbízhatósági szint mellett végezzék el, és hogy a megfelelő ellenőrzési eljárásokat az ellenőrzési kockázatot alacsony szintre minimalizáló módszerek alapján alakítsák ki, az ellenőrzés elvégzését alátámasztó módszertan alapvető részeként fel kell mérni az ellenőrzési kockázatokat, nevezetesen annak a kockázatát, hogy az ellenőrzést végző szervezet nem megfelelő ellenőri véleményt vagy következtetést fogalmaz meg. Ezért az ellenőrzést végző szervezetnek az ellenőrzés legelején, a pontos módszertan kidolgozását és az ellenőrzési eljárások elvégzését megelőzően fel kell mérnie az ellenőrzési kockázatot. Az ellenőrzési kockázatok elemzésére azért van szükség, hogy az ellenőrzést végző szervezet kiválaszthassa az ellenőrzés pontos módszereit, és meghatározhassa, hogy az ellenőrzési eljárásoknak milyen mértékben kell átfogónak lenniük ahhoz, hogy az ellenőri vélemény észszerű megbízhatósági szinttel szolgáljon. Az ellenőrzést végző szervezetnek az egyes ellenőrzött kötelezettségeknek vagy kötelezettségvállalásoknak való megfelelés értékelése céljából elemeznie kell az ellenőrzési kockázatokat, és ehhez figyelembe kell vennie az eredendő kockázatokat, a kontrollkockázatokat és a feltárási kockázatokat.

(20)

Az ellenőrzési kockázatok helyes értékelése érdekében az ellenőrzési kockázatok elemzése során figyelembe kell venni az ellenőrzött szolgáltatás jellegét, különösen annak kockázati profilját, valamint az ellenőrzés hatókörét és összetettségét. Valószínű például, hogy a fogyasztók közötti, távollevők között kötött szerződések megkötését lehetővé tevő online platformok, illetve a videomegosztó platformok és a keresőprogramok esetében eltérőek az eredendő kockázatok. Figyelembe kell venni továbbá azt a társadalmi és gazdasági környezetet, amelyben az ellenőrzött szolgáltatást nyújtják, többek között a tipikus felhasználói csoportok – például a kiskorúak – vagy a gyakori viselkedésminták – például a dezinformációs kampányok során gyakran előforduló nem autentikus használat és összehangolt magatartás – tekintetében. A társadalmi és gazdasági környezet mérlegelésekor az (EU) 2022/2065 rendeletben említettek szerint figyelembe kell venni a válsághelyzeteknek és váratlan eseményeknek való kitettség valószínűségét és ettől függetlenül annak súlyosságát is.

(21)

Annak biztosítása érdekében, hogy az ellenőrzési kockázatok elemzése tükrözze a szolgáltatást érintő kockázatok alakulását, az ellenőrzési kockázatok elemzése során adott esetben az ellenőrzött szolgáltató korábbi ellenőrzéseiből származó információkat is figyelembe kell venni, és az elemzéshez olyan forrásokból származó információkból kell kiindulni, mint például más, hasonló kockázati profillal rendelkező szolgáltatók ellenőrzési jelentései. Annak érdekében, hogy az ellenőrzés kockázatelemzése teljes mértékben az ellenőrzött szolgáltató működési körülményeihez hasonló kontextusban fennálló kockázatokra vonatkozó legkorszerűbb bizonyítékokon, valamint az (EU) 2022/2065 rendelet alkalmazása szempontjából közvetlenül releváns hiteles forrásokon alapuljon, az elemzésnek adott esetben a Digitális Szolgáltatások Európai Testülete által kiadott jelentésekből vagy a Bizottság iránymutatásaiból származó információkra is támaszkodnia kell. Az egyéb információk közé tartozhatnak az online óriásplatformokat vagy nagyon népszerű online keresőprogramokat üzemeltető egyéb szolgáltatók által az (EU) 2022/2065 rendelet 42. cikkének (4) bekezdése szerint közzétett ellenőrzési jelentésekből származó információk is.

(22)

Az ellenőrzést végző szervezetnek – anélkül, hogy az ellenőrzött szolgáltató befolyást gyakorolna – ki kell dolgoznia az ellenőrzött kötelezettségeknek és kötelezettségvállalásoknak való megfelelés értékelésére használt ellenőrzési módszereket. Az ellenőrzési kritériumoknak az ellenőrzött szolgáltató által a megfelelés nyomon követéséhez használt referenciaértékek tekintetében benyújtott információkon kell alapulniuk. A módszertan figyelembe veheti az ellenőrzött szolgáltató által rendelkezésre bocsátott egyéb információkat, például az eredendő kockázatok elemzését is, ha az ellenőrzött szolgáltató végzett ezirányú elemzést, például a megfelelési tisztviselő vagy a vezető testület által az (EU) 2022/2065 rendelet 41. cikkével összhangban kidolgozott intézkedések révén, vagy a rendszerszintű kockázatoknak az említett rendelet 34. cikkében említett értékelései tekintetében a szolgáltatás működésébe beágyazott egyéb intézkedések révén.

(23)

Annak biztosítása érdekében, hogy az ellenőrzési módszerek megfelelőek legyenek az ellenőri vélemények észszerű megbízhatósági szintjének eléréséhez, az ellenőrzési eljárások módszertanának megválasztásakor figyelembe kell venni az ellenőrzött kötelezettség vagy kötelezettségvállalás sajátosságait, és a módszertant hozzá kell igazítani például az ellenőrzött kötelezettség jellegéhez, aszerint, hogy a szolgáltatónak a megfelelés érdekében az eszközökre vagy eredményekre vonatkozóan kell a kötelezettséget teljesítenie. Például az (EU) 2022/2065 rendelet 15. cikke szerinti átláthatósági jelentéstételnek való megfelelés értékelésére szolgáló ellenőrzési eljárások nyomán az ellenőrzést végző szervezet megállapíthatja, hogy a jelentéseket az említett rendeletben előírt határidőkön belül és formátumoknak megfelelően tették-e közzé, azok hiánytalanok voltak-e, valamint hogy a bejelentett adatok pontosak és reprezentatívak voltak-e, illetve megfelelő – például a jogellenes tartalom kategóriája szerinti – bontásúak voltak-e.

(24)

A módszertan megválasztásakor azt is figyelembe kell venni, hogy a megfelelés értékelése igényel-e kontextushoz igazított értelmezéseket az ellenőrzést végző szervezet részéről. A módszerek kiválasztását a szolgáltatás nyújtása során végzett tevékenységekhez kapcsolódó eredendő kockázatokhoz és a szolgáltatásnyújtás körülményeihez is hozzá kell igazítani, például figyelembe kell venni, hogy a szolgáltatás jogellenesnek tekinthető áruk értékesítésével jár-e, vagy hogy a szolgáltatást elsősorban kiskorúak használják-e. Például az (EU) 2022/2065 rendelet 28. cikkének (1) bekezdése szerinti, a kiskorúak magas szintű magánéleti védelmét és biztonságát célzó megfelelő és arányos intézkedések bevezetésére vonatkozó kötelezettségeknek való megfelelés értékelésére szolgáló módszereknek lehetővé kell tenniük, hogy az ellenőrzést végző szervezet kellően megértse, hogy a kiskorúak hogyan használják az ellenőrzött szolgáltatást, és milyen kockázatok merülhetnek fel a magánéleti védelmüket és biztonságukat illetően, valamint hogy mi minősül megfelelő és arányos intézkedésnek az ellenőrzött szolgáltatás és annak kiskorúak általi használata konkrét összefüggésében. E célból az ellenőrzést végző szervezeteknek megfelelő lépésekre kell bontaniuk az értékelést. Az ellenőrzési kockázatokat az ellenőrzött szolgáltató kockázati profilja alapján kell értékelniük, vagyis, hogy az elérhető-e kiskorúak számára, vagy túlnyomórészt kiskorúak használják-e. Értékelniük kell például, hogy a szolgáltató bevezetett-e az életkor ellenőrzésére szolgáló eszközöket, hogy ezek hatékonyak-e, és hogy az ellenőrzött szolgáltató hogyan értékeli és követi nyomon azok eredményességét. Értékelniük kell, hogy az ellenőrzött szolgáltató megfelelő intézkedéseket vezetett-e be szolgáltatásaik ellenséges használatának, valamint a kiskorúak kárára törekvő vagy a kiskorúaknak valószínűsíthetően kárt okozó viselkedési mintáknak a feltárására.

(25)

A módszertan kiválasztása során igazodni kell az ellenőrzött szolgáltató által bevezetett megfelelési intézkedésekhez kapcsolódó kontrollkockázatokhoz csakúgy, mint a feltárási kockázatokhoz is, nevezetesen ahhoz a kockázathoz, hogy a szolgáltató által az ellenőrzést végző szervezet rendelkezésére bocsátott információkban nem tárják fel a téves közléseket. Ha például egy ellenőrzött kötelezettség magában foglalhatja egy, az ellenőrzött szolgáltatásnak az egyes igénybe vevők számára történő személyre szabásán és az algoritmikus rendszer ismétlődő frissítésein alapuló algoritmikus rendszer ellenőrzését – mint például az (EU) 2022/2065 rendelet 27. cikke szerinti, ajánlórendszerekre vonatkozó közzétételi kötelezettségek esetében –, a módszertant úgy kell kiválasztani, hogy az ellenőrzést végző szervezet megfelelő teszteket dolgozhasson ki a feltárási kockázatok minimalizálására. Hasonlóképpen, amennyiben az ellenőrzést végző szervezet annak értékelésére törekszik, hogy az ellenőrzött szolgáltató által alkalmazott, nagy méretű nyelvi modelleken alapuló alkalmazások – például csevegési funkciók vagy ajánlórendszerek – kialakítása, működése és használata során valamennyi releváns kockázatot csökkentették-e, az ellenőrző szervezetnek először a szolgáltató által végzett kontrollok megfelelőségét kell értékelnie. A tesztek kiválasztásakor figyelembe kell venni az említett belső kontrollok megbízhatóságát. Különösen – de nem kizárólag – azokban az esetekben, amikor a belső kontrollok gyengék, hiányosak vagy nem meggyőzőek annak értékeléséhez, hogy az ellenőrzött szolgáltatás igénybe vevői tekintetében betartják-e a szabályokat, az ellenőrzési eljárásoknak több módszer kombinációjára kell támaszkodniuk. A módszerek magukban foglalhatnak például olyan tételes elemző eljárásokat, mint az ajánlórendszerekben közreműködő valamennyi algoritmikus rendszer közötti kölcsönhatások, valamint az említett ajánlórendszerek fő paramétereinek megállapítására szolgáló kapcsolódó döntéshozatali szabályok és folyamatok elemzése, vagy a digitális nyilvántartások és naplók megfigyelései. A módszereknek magukban kell foglalniuk a rendszer tesztelését is, például szimulált környezetben végzett teszteket.

(26)

Annak biztosítása érdekében, hogy a módszertan az ellenőrzés elvégzése során tett új megállapítások tekintetében releváns legyen és igazodjon is azokhoz, a módszereket az ellenőrzést végző szervezet szakmai megítélése alapján kell kiválasztani, és a szóban forgó új megállapítások figyelembevétele érdekében ki kell igazítani, különösen akkor, ha az ellenőrzést végző szervezetnek megalapozott kétségei vannak az ellenőrzött szolgáltató által benyújtott információkkal kapcsolatban. Az ellenőrzést végző szervezet szakmai szkepticizmusának egyrészt a szakértelmén, másrészt az (EU) 2022/2065 rendelet alkalmazása szempontjából különösen releváns egyéb információforrásokon kell alapulnia, így például a Digitális Szolgáltatások Európai Testületének jelentésein, a Bizottság iránymutatásain, az említett rendelet 45. és 46. cikkében említett magatartási kódexek vagy 48. cikkében említett válságkezelési protokollok alapján kiadott ellenőrzési jelentéseken vagy az ellenőrzés elvégzése során felmerülő információkon, ideértve az olyan eseményekkel – különösen a válsághelyzetekkel – kapcsolatos információkat is, amelyek bizonyos ellenőrzött kötelezettségeknek vagy kötelezettségvállalásoknak való megfelelés biztosítása érdekében további intézkedéseket igényelnek az ellenőrzött szolgáltatótól.

(27)

Annak biztosítása érdekében, hogy az ellenőrzés során elegendő ellenőrzési bizonyítékot gyűjtsenek, az ellenőrzést végző szervezeteknek értékelniük kell az ellenőrzött szolgáltató belső kontrolljait, és tételes ellenőrzési eljárásokat kell végezniük az ellenőrzött szolgáltató megfelelésének értékelésére. Bizonyos esetekben az ellenőrzést végző szervezetnek teszteket is kell végeznie.

(28)

Tekintettel az online platformok szolgáltatói által használt algoritmikus rendszerek összetettségére és az (EU) 2022/2065 rendeletben meghatározott számos kötelezettségnek való megfelelésben betöltött fontos szerepükre, különös figyelmet kell fordítani az algoritmikus rendszerek ellenőrzéséhez szükséges és megfelelő módszerek kiválasztására. Ez érvényes akkor is, ha az algoritmikus rendszerek az ellenőrzött szolgáltató által bevezetett kontrollok részét képezik, és akkor is, ha maguk is az ellenőrzött kötelezettségek vagy kötelezettségvállalások tárgyát képezik, például az (EU) 2022/2065 rendelet 27., 34., 35. és 38. cikke szerinti ajánlórendszerek, vagy például az említett rendelet 26., 28., 34., 35. és 39. cikke szerinti hirdetési rendszerek, vagy például az említett rendelet 14., 15., 34. és 35. cikke szerinti tartalommoderálási rendszerek, vagy bármely más olyan algoritmikus rendszer tekintetében, amely hozzájárul az említett rendelet 34. cikkében említett kockázatokhoz.

(29)

Az ellenőrzött szolgáltatónak az algoritmikus rendszerek tervezése, fejlesztése, működtetése, tesztelése és nyomon követése tekintetében alkalmazott folyamatainak és tevékenységeinek megfigyelésein vagy a rendszerek által előállított digitális nyilvántartások és naplók megfigyelésein alapuló tételes elemző eljárások kombinációját is alkalmazni kell. A módszereket hozzá kell igazítani az algoritmikus rendszerek sajátosságaihoz, többek között azok irányításához, a különböző algoritmikus rendszerek közötti kölcsönhatásokhoz és a kapcsolódó adatkezelési rendszerekhez, valamint az ezen algoritmikus rendszerek alapjául szolgáló technológiákhoz, például a generatív modellekhez vagy más osztályozókhoz, kiválasztási vagy keresőalgoritmusokhoz.

(30)

Ezen túlmenően az algoritmikus rendszerekre alkalmazott ellenőrzési módszereknek magukban kell foglalniuk például az ellenőrzött szolgáltató által korábban nem dokumentált információk gyűjtésére irányuló teszteket, vagy az eredmények független reprodukálását és értékelését, a pontossági mutatók, a tesztkörnyezetben vagy szimulált környezetben végzett tesztek, vagy a termelési rendszerekben többek között adatkaparás vagy ellenséges (adversarial) vizsgálat útján végzett tesztek értékelése révén.

(31)

Tekintettel arra, hogy a magas színvonalú ellenőrzési bizonyítékok szükséges feltételei annak, hogy az ellenőrzést végző szervezet észszerű megbízhatósági szintű ellenőri véleményt alkosson, azoknak az információknak, amelyeket az ellenőrzést végző szervezet ellenőrzési bizonyítékként kíván felhasználni, megfelelőnek és elégségesnek kell lenniük az ellenőrzési kockázatok csökkentéséhez. Ezenkívül az ellenőrzési bizonyítékoknak az ellenőrzést végző szervezet szakmai megítélése és szkepticizmusa, valamint adott esetben alternatív információforrások alapján megbízhatónak kell lenniük. A szakmai megítélésnek és szkepticizmusnak ki kell terjednie az ellenőrzési bizonyítékok és az esetleges téves közlések kritikai alapon történő értékelésére. Ezeket a minőségi normákat minden ellenőrzési bizonyítékra alkalmazni kell, függetlenül attól, hogy azokat az ellenőrzött szolgáltató bocsátotta rendelkezésre vagy más forrásokból gyűjtötték.

(32)

Az ellenőrzést végző szervezetnek több különféle információforrást kell figyelembe vennie, amelyek magukban foglalhatják például az ellenőrzött szolgáltató személyzetével vagy vállalkozóival – többek között a megfelelési tisztviselőkkel, mérnökökkel, adattudósokkal, szoftverfejlesztőkkel vagy a belső ellenőrzési csoportok tagjaival – folytatott interjúkat. Magukban foglalhatják továbbá valamely releváns rendszer tervezésére, végrehajtására, tesztelésére és nyomon követésére vonatkozó műszaki dokumentációt, beleértve az adatminőségre és az adatkormányzásra, valamint a rendszer frissítéseire és verzióira vonatkozó műszaki dokumentációt, valamint az ellenőrzött szolgáltató irányítási és döntéshozatali folyamataira, így többek között a prioritásokra, az erőforrásokra, a feladatok és a felelősségi körök elosztására, illetve az érintett személyzet szakértelmére vonatkozó egyéb dokumentumokat.

(33)

Ahhoz, hogy az ellenőrzést hatékonyan és arányosan lehessen elvégezni, biztosítani kell, hogy észszerű megbízhatósági szintű ellenőri véleménye kialakítása érdekében az ellenőrzést végző szervezet – kellő figyelemmel a reprezentatív minta elérésére – adat- és információmintát vehessen. Az ellenőrzési eljárások átláthatóságának és reprodukálhatóságának biztosítása érdekében az ellenőrzést végző szervezetnek az ellenőrzési jelentésben meg kell indokolnia a mintaméret és a mintavételi módszer kiválasztását. Például a mintaméretet és a módszertant annak mérlegelésével kell megválasztani, hogy mi bizonyul hatékonynak az adott ellenőrzött kötelezettség vagy kötelezettségvállalás ellenőrzése céljából, továbbá minimalizálni kell annak kockázatát, hogy az adott minta ellenőrzése nyomán levont következtetés eltér attól a következtetéstől, amelyre akkor jutnának, ha az ellenőrzési eljárás az összes rendelkezésre álló adatra kiterjedne. A mintaméretet és a módszertant az ellenőrzés teljes hatókörének, valamint az ellenőrzött szolgáltatás ezen időszak alatt bekövetkező belső vagy külső változásainak figyelembevételével kell kiválasztani. Ezeket az algoritmikus rendszerek sajátosságaihoz is hozzá kell igazítani, többek között a profilalkotással történő személyre szabás tekintetében. E megfontolások részeként az ellenőrzést végző szervezetnek például megfelelő mintát kell vennie a személyre szabáshoz használt technikák eredményeképpen létrejött különböző kohorszokból vagy partíciókból, vagy meg kell határoznia a hibahatárt, és meg kell indokolnia, hogy az miért elfogadható.

(34)

Tekintettel az (EU) 2022/2065 rendelet egyes rendelkezéseinek újszerűségére, meg kell határozni a módszertani elveket, többek között az említett – nevezetesen az (EU) 2022/2065 rendelet 34. cikke szerinti, kockázatértékelések elvégzésére vonatkozó, 35. cikke szerinti, kockázatcsökkentő intézkedések ellenőrzött szolgáltatók általi elfogadására vonatkozó, valamint 36. cikke szerinti, válságreagálással kapcsolatos kötelezettségek alkalmazására vonatkozó – rendelkezéseknek való megfelelés értékeléséhez használt ellenőrzési módszerek és ellenőrzési bizonyítékok kiválasztásának összefüggésében az ellenőrzési kérdéseket és a további iránymutatásokat.

(35)

Tekintettel arra, hogy az ellenőrzést végző szervezeteknek azt is értékelniük kell, hogy az ellenőrzött szolgáltató megfelel-e az (EU) 2022/2065 rendelet 37. cikkének, különösen az ellenőrzést végző szervezet összeférhetetlenségének elkerülése érdekében meg kell határozni azokat az ellenőrzés pontos elvégzésével kapcsolatos további előírásokat, amelynek tekintetében a megfelelést értékelni kell.

(36)

Tekintettel a magatartási kódexek és a válságkezelési protokollok önkéntes jellegére, egyedi szabályokat kell megállapítani az (EU) 2022/2065 rendelet 45., 46. és 48. cikkének való megfelelés ellenőrzésére vonatkozóan, különösen annak biztosítása érdekében, hogy az ellenőrzést végző szervezetek rendelkezzenek az egyes magatartási kódexek és válságkezelési protokollok szerinti kötelezettségvállalásokhoz kapcsolódó ellenőrzések elvégzéséhez szükséges valamennyi információval,

ELFOGADTA EZT A RENDELETET:

I. SZAKASZ

Általános rendelkezések

1. cikk

Tárgy

Ez a rendelet szabályokat állapít meg az (EU) 2022/2065 rendelet 37. cikke szerinti ellenőrzések elvégzésére vonatkozóan a következők tekintetében:

a)	eljárási lépések annak biztosítására, hogy az ellenőrzés elvégzésére kiválasztandó szervezet teljesíti az (EU) 2022/2065 rendelet 37. cikkének (3) bekezdésében meghatározott feltételeket;

b)	eljárási lépések az ellenőrzött szolgáltató által az ellenőrzések elvégzése során folytatott együttműködésre és segítségnyújtásra vonatkozóan, beleértve a releváns információkhoz való hozzáférést az ellenőrzési bizonyítékok megszerzése céljából;

c)	az ellenőrzési módszerek meghatározása és kiválasztása;

d)	az ellenőrzési jelentés és az ellenőrzés-végrehajtási jelentés sablonjai.

2. cikk

Fogalommeghatározások

E rendelet alkalmazásában:

1.	„ellenőrzést végző szervezet”: az ellenőrzött szolgáltató által az (EU) 2022/2065 rendelet 37. cikkével összhangban független ellenőrzés elvégzésével megbízott egyéni szervezet, konzorcium vagy szervezetek egyéb kombinációja, ideértve az alvállalkozókat is;

2.	„ellenőrzött szolgáltatás”: az (EU) 2022/2065 rendelet 33. cikke értelmében online óriásplatformnak vagy nagyon népszerű online keresőprogramnak minősített szolgáltatás;

3.	„ellenőrzött szolgáltató”: az ellenőrzött szolgáltatást nyújtó szolgáltató, amelyet az említett rendelet 37. cikkének (1) bekezdése értelmében független ellenőrzés alá vonnak;

4.	„ellenőrzött kötelezettség vagy kötelezettségvállalás”: az (EU) 2022/2065 rendelet 37. cikkének (1) bekezdésében említett, az ellenőrzés tárgyát képező kötelezettség vagy kötelezettségvállalás;

5.	„ellenőrzési kritériumok”: azok a kritériumok, amelyek alapján az ellenőrzést végző szervezet az egyes ellenőrzött kötelezettségeknek vagy kötelezettségvállalásoknak való megfelelést értékeli;

„ellenőrzési bizonyíték”: bármely olyan információ, amelyet az ellenőrzést végző szervezet felhasznál az ellenőrzés megállapításainak és következtetéseinek alátámasztására, valamint az ellenőri vélemény kiadására, beleértve a dokumentumokból, adatbázisokból vagy informatikai rendszerekből, interjúkból vagy elvégzett tesztekből gyűjtött adatokat;

„téves közlés”: szándékos vagy nem szándékos kihagyás, megtévesztés vagy hiba az ellenőrzött szolgáltató által az ellenőrzést végző szervezet részére tett nyilatkozatokban, illetve bejelentett vagy rendelkezésre bocsátott adatokban, vagy az ellenőrzött szolgáltató által az ellenőrzést végző szervezet rendelkezésére bocsátott tesztelési környezetben;

„ellenőrzési kockázat”: az adott ellenőrzött kötelezettséghez vagy kötelezettségvállaláshoz kapcsolódó feltárási kockázatokat, eredendő kockázatokat és kontrollkockázatokat figyelembe véve annak kockázata, hogy az ellenőrzést végző szervezet helytelen ellenőri véleményt ad ki, vagy helytelen következtetésre jut azzal kapcsolatban, hogy az ellenőrzött szolgáltató eleget tesz-e az ellenőrzött kötelezettségnek vagy kötelezettségvállalásnak;

9.	„feltárási kockázat”: annak kockázata, hogy az ellenőrzést végző szervezet nem tár fel valamely téves közlést, amely releváns annak értékelése szempontjából, hogy az ellenőrzött szolgáltató eleget tesz-e az ellenőrzött kötelezettségnek vagy kötelezettségvállalásnak;

10.

„eredendő kockázat”: a meg nem felelés kockázata, amely szervesen kapcsolódik az ellenőrzött szolgáltatás jellegéhez, kialakításához, tevékenységéhez és használatához, valamint működtetési körülményeihez, továbbá az ellenőrzött kötelezettség vagy kötelezettségvállalás jellegéhez kapcsolódó meg nem felelés kockázata;

11.	„kontrollkockázat”: annak kockázata, hogy a téves közlést nem előzik meg, nem tárják fel és nem korrigálják kellő időben az ellenőrzött szolgáltató belső kontrolljai révén;

12.	„lényegességi küszöb”: az a küszöbérték, amely felett az ellenőrzött szolgáltató esetében észszerűen feltételezhető, hogy eltérései vagy téves közlései külön-külön vagy összesítve befolyásolják az ellenőrzés megállapításait, következtetéseit és az ellenőri véleményeket;

13.

„észszerű megbízhatósági szint”: a megbízhatóság magas, de nem abszolút szintje, amely lehetővé teszi az ellenőrzést végző szervezet számára, hogy ellenőri véleményében és az ellenőrzés következtetéseiben elegendő és megfelelő bizonyíték alapján megállapítsa, hogy az ellenőrzött szolgáltató eleget tesz-e az ellenőrzött kötelezettségeknek vagy kötelezettségvállalásoknak;

14.

„belső kontroll”: az ellenőrzött szolgáltató – beleértve a megfelelési tisztviselőket és a vezető testületet is – által, az ellenőrzött kötelezettségnek vagy kötelezettségvállalásnak való megfelelés nyomon követése és biztosítása érdekében kialakított, végrehajtott és fenntartott bármely intézkedés, beleértve a folyamatokat és a teszteket is;

15.	„ellenőrzött kutató”: az (EU) 2022/2065 rendelet 40. cikkének (8) bekezdése értelmében vett ellenőrzött kutató;

16.

„ellenőrzési eljárás”: az ellenőrzést végző szervezet által az ellenőrzés elvégzése során alkalmazott bármely technika, beleértve az adatgyűjtést, a módszerek – például tesztek és tételes elemző eljárások – kiválasztását és alkalmazását, valamint az ellenőrzési bizonyítékok gyűjtését és az ellenőrzés következtetéseinek kialakítása céljából végzett információgyűjtés és -elemzés érdekében tett bármely egyéb intézkedést, ám ide nem értve az ellenőri vélemény vagy az ellenőrzési jelentés kiadását;

17.

„teszt”: mérésekből, kísérletekből vagy egyéb – többek között az algoritmikus rendszerekre irányuló – ellenőrzésekből álló ellenőrzési módszertan, amely alapján az ellenőrzést végző szervezet értékeli, hogy az ellenőrzött szolgáltató eleget tesz-e az ellenőrzött kötelezettségnek vagy kötelezettségvállalásnak;

18.	„tételes elemző eljárás”: az ellenőrzési kockázatok vagy az ellenőrzött kötelezettségnek vagy kötelezettségvállalásnak való megfelelés megállapítása érdekében az ellenőrzést végző szervezet által az információk értékelésére használt ellenőrzési módszertan.

3. cikk

Az ellenőrzés hatóköre és az észszerű megbízhatósági szint

(1) Az ellenőrzést olyan módon és olyan időtartamra kiterjedően kell elvégezni, amely alapján az ellenőrzést végző szervezet észszerű megbízhatósági szint mellett értékelheti, hogy az ellenőrzött szolgáltató eleget tesz-e valamennyi ellenőrzött kötelezettségnek és kötelezettségvállalásnak.

(2) Az ellenőrzés időszaka közvetlenül az előző ellenőrzés időszaka után kezdődik, és akkor zárul le, amikor az ellenőrzést végző szervezet az (EU) 2022/2065 rendelet 37. cikkének (1) bekezdésében előírt határidőn belül el tudja végezni az ellenőrzést, többek között az (1) bekezdés szerinti értékelésnek a szóban forgó időszak során összegyűjtött bizonyítékok és lefolytatott ellenőrzési eljárások alapján történő elkészítése, valamint az említett rendelet 37. cikkének (4) bekezdése szerinti ellenőrzési jelentés kiegészítése és az ellenőrzött szolgáltatónak történő benyújtása révén.

(3) Ha a korábbiakban nem került sor ellenőrzésre, az ellenőrzésnek az (EU) 2022/2065 rendelet 33. cikke (6) bekezdésének első albekezdésében említett értesítést követő négy hónap elteltével kezdődő időszakra kell kiterjednie, és az ellenőrzés időtartamának lehetővé kell tennie, hogy a 6. cikk (1) bekezdése szerinti ellenőrzési jelentés legkésőbb az ellenőrzött időszak kezdetétől számított egy éven belül elkészüljön.

II. SZAKASZ

Az ellenőrzés elvégzésének feltételei

4. cikk

Az ellenőrzést végző szervezet kiválasztása

(1) Mielőtt az ellenőrzött szolgáltató az ellenőrzés elvégzése céljából kiválasztja az ellenőrzést végző szervezetet, meg kell győződnie arról, hogy a kiválasztandó szervezet megfelel az (EU) 2022/2065 rendelet 37. cikkének (3) bekezdésében meghatározott követelményeknek.

(2) Ha az ellenőrzés elvégzésére kiválasztandó szervezet egynél több jogi személyből áll, vagy egy vagy több alvállalkozót kíván igénybe venni, az ellenőrzött szolgáltatónak meg kell győződnie arról, hogy e jogi személyek, illetve alvállalkozók:

a)	egyenként teljesítik az (EU) 2022/2065 rendelet 37. cikke (3) bekezdésének a) és c) pontjában meghatározott követelményeket;

b)	együttesen teljesítik az (EU) 2022/2065 rendelet 37. cikke (3) bekezdésének b) pontjában meghatározott követelményt.

5. cikk

Az ellenőrzött szolgáltató és az ellenőrzést végző szervezet közötti együttműködés és segítségnyújtás

(1) Az ellenőrzést végző szervezettel egyeztetett időpontban, de minden esetben bármely ellenőrzési eljárás lefolytatása előtt, az ellenőrzött szolgáltatónak legalább a következő információkat kell továbbítania a kiválasztott ellenőrzést végző szervezetnek:

az egyes ellenőrzött kötelezettségek és kötelezettségvállalások tekintetében bevezetett belső kontrollok leírása, beleértve a kapcsolódó mutatókat és azok valamennyi jelenlegi és múltbeli mérését, valamint az ellenőrzött szolgáltató által az ellenőrzött kötelezettségeknek és kötelezettségvállalásoknak való megfelelés megállapítására vagy nyomon követésére használt referenciaértékeket, valamint az igazoló dokumentumok;

b)	az ellenőrzött szolgáltató előzetes elemzése az eredendő és a kontrollkockázatokat illetően, amennyiben végzett ilyen elemzést, valamint az igazoló dokumentumok.

a releváns döntéshozatali struktúrákra, a szolgáltató szervezeti egységeinek hatásköreire – többek között az (EU) 2022/2065 rendelet 41. cikke szerinti, megfelelést támogató szervezeti egységre –, a releváns informatikai rendszerekre, az adatforrásokra, az adatkezelésre és -tárolásra vonatkozó információk, valamint a releváns algoritmikus rendszerek és kölcsönhatásaik magyarázata.

(2) Az ellenőrzött szolgáltató indokolatlan késedelem nélkül hozzáférést biztosít az ellenőrzést végző szervezet számára az ellenőrzés elvégzéséhez szükséges valamennyi adathoz, beleértve a személyes adatokat, a dokumentációt, az eljárásokra és folyamatokra vonatkozó információkat, továbbá hozzáférést biztosít a szolgáltató információtechnológiai rendszereihez, tesztelési környezeteihez, személyzetéhez és helyiségeihez, valamint az érintett alvállalkozókhoz.

(3) Az ellenőrzött szolgáltatónak minden szükséges erőforrást rendelkezésre kell bocsátania, és biztosítania kell az ellenőrzést végző szervezet számára a vonatkozó információk elemzéséhez és a tesztek elvégzéséhez szükséges segítséget és magyarázatokat, abban az esetben is, ha az ellenőrző szervezet által az (EU) 2022/2065 rendelet 37. cikkének (3) bekezdésével összhangban kért információk az ellenőrzött szolgáltató által szerződtetett külső vállalkozók birtokában vannak.

III. SZAKASZ

Az ellenőrzések elvégzése

6. cikk

Ellenőrzési jelentés és az ellenőrzés-végrehajtási jelentés

(1) Az (EU) 2022/2065 rendelet 37. cikkének (4) bekezdésében említett ellenőrzési jelentést az ellenőrzést végző szervezet készíti el, az ellenőrzött szolgáltató beavatkozása nélkül. Az ellenőrzési jelentést az I. mellékletben található mintának megfelelően kell elkészíteni, és annak részletes és megalapozott következtetéseket kell tartalmaznia a minta valamennyi elemére vonatkozóan.

(2) Adott esetben az (EU) 2022/2065 rendelet 37. cikkének (6) bekezdésében említett ellenőrzés-végrehajtási jelentést a II. mellékletben szereplő sablonnak megfelelően kell elkészíteni.

7. cikk

Ellenőrzéselőkészítő eljárások

(1) Az ellenőrzött szolgáltató és az ellenőrzést végző szervezet írásbeli megállapodást kötnek, amelyben meghatározzák a következőket:

a)	az ellenőrzött kötelezettségek és kötelezettségvállalások teljeskörű felsorolása;

b)	az ellenőrzést végző szervezet felelősségi körei, beleértve adott esetben az ellenőrzést végző szervezetet alkotó minden egyes jogi személy és az ellenőrzési jelentés aláírására jogosult felek felelősségeinek részletes leírását;

c)	az ellenőrzött szolgáltató által az ellenőrzést végző szervezet rendelkezésére bocsátott eljárások és kapcsolattartó pontok, amelyek révén ez utóbbi kérelmezheti az 5. cikk (2) bekezdésében említett adatokhoz való hozzáférést;

d)	az ellenőrzés időkerete, beleértve az ellenőrzési eljárások kezdő és záró időpontját, valamint az ellenőrzési jelentés elkészítésének határidejét;

e)	az ellenőrzött szolgáltató és az ellenőrzést végző szervezet között az ellenőrzés elvégzésével kapcsolatban felmerülő viták rendezésére szolgáló eljárás.

(2) Az ellenőrzési jelentéshez mellékelni kell az (1) bekezdésben említett megállapodást, valamint az ellenőrzést végző szervezet és az ellenőrzött szolgáltató közötti, az ellenőrzés elvégzésével kapcsolatos egyéb megállapodásokat vagy megbízásokat.

(3) Ha az (1) bekezdésben említett megállapodás az ellenőrzés során módosul, az ellenőrzési jelentésben fel kell tüntetni a változtatásokat.

8. cikk

Ellenőri vélemény, az ellenőrzés következtetései és ajánlásai

(1) Az ellenőrzési jelentésnek tartalmaznia kell az ellenőrzés azon következtetéseit, amelyeket az ellenőrzést végző szervezet azzal kapcsolatban vont le, hogy az ellenőrzött szolgáltató eleget tesz-e az egyes ellenőrzött kötelezettségeknek és kötelezettségvállalásoknak. Az ellenőrzés következtetései a következők lehetnek:

a)	„kedvező”, ha az ellenőrzést végző szervezet észszerű megbízhatósági szint mellett arra a következtetésre jut, hogy az ellenőrzött szolgáltató eleget tett az adott ellenőrzött kötelezettségnek vagy kötelezettségvállalásnak;

„kedvező – észrevételekkel”, ha az ellenőrzést végző szervezet észszerű megbízhatósági szint mellett arra a következtetésre jut, hogy az ellenőrzött szolgáltató eleget tett az adott ellenőrzött kötelezettségnek vagy kötelezettségvállalásnak, de:

i.	az ellenőrzést végző szervezet észrevételeket tesz az ellenőrzött szolgáltató által az 5. cikk (1) bekezdésének a) pontja szerint szolgáltatott referenciaértékekre vonatkozóan; vagy

ii.	az ellenőrzést végző szervezet olyan tökéletesítéseket javasol, amelyek nem befolyásolják érdemben a következtetését;

c)	„kedvezőtlen”, ha az ellenőrzést végző szervezet észszerű megbízhatósági szint mellett arra a következtetésre jut, hogy az ellenőrzött szolgáltató nem tett eleget az adott ellenőrzött kötelezettségnek vagy kötelezettségvállalásnak.

(2) Ha az ellenőrzési jelentés az (EU) 2022/2065 rendelet 37. cikke (4) bekezdésének h) pontja szerinti működési ajánlásokat is tartalmaz, ezeket az ajánlásokat és azok javasolt időkeretét kifejezetten arra az ellenőrzött kötelezettségre vagy kötelezettségvállalásra kell szabni, amelyre vonatkozóan az ellenőrzés (1) bekezdés szerinti következtetése „kedvező – észrevételekkel” vagy „kedvezőtlen”.

(3) Ha a (2) bekezdésben említett működési ajánlások konkrét intézkedéseket tartalmaznak a megfelelés elérése érdekében, azokat úgy kell megfogalmazni, hogy elmagyarázzák az ellenőrzést végző szervezet arra vonatkozó álláspontját, hogy ezek az intézkedések az ellenőrzés adott ellenőrzött kötelezettségre vagy kötelezettségvállalásra vonatkozóan megállapított következtetéséhez képest hogyan befolyásolnák a lényegességi küszöböt.

(4) Az ellenőrzés következtetései alapján az ellenőrzési jelentésbe bele kell foglalni egy ellenőri véleményt arról, hogy az ellenőrzött szolgáltató eleget tesz-e az (EU) 2022/2065 rendelet 37. cikke (1) bekezdésének a) pontjában említett valamennyi ellenőrzött kötelezettségnek.

(5) Az ellenőrzési jelentésnek az összes ellenőrzött kötelezettségvállalás következtetései alapján tartalmaznia kell egy ellenőri véleményt vagy adott esetben véleményeket arról, hogy az ellenőrzött szolgáltató eleget tesz-e az (EU) 2022/2065 rendelet 37. cikke (1) bekezdésének b) pontjában említett egyes magatartási kódexek és válságkezelési protokollok keretében az ellenőrzött szolgáltató által tett valamennyi ellenőrzött kötelezettségvállalásnak.

(6) A (4) és (5) bekezdés szerinti ellenőri vélemény:

a)	„kedvező”, ha az ellenőrzést végző szervezet következtetése valamennyi ellenőrzött kötelezettségre vagy kötelezettségvállalásra vonatkozóan „kedvező”;

„kedvező – észrevételekkel”, ha az ellenőrzést végző szervezet valamely ellenőrzött kötelezettségre vagy kötelezettségvállalásra vonatkozóan legalább egy „kedvező – észrevételekkel” következtetésre jutott, ugyanakkor egyik ellenőrzött kötelezettségre vagy kötelezettségvállalásra vonatkozóan sem jutott „kedvezőtlen” következtetésre;

c)	„kedvezőtlen”, ha az ellenőrzést végző szervezet legalább egy ellenőrzött kötelezettségre vagy kötelezettségvállalásra vonatkozóan „kedvezőtlen” következtetésre jutott.

(7) Ha az ellenőrzést végző szervezet úgy ítéli meg, hogy a 3. cikk (2) bekezdésében említett időszak alatt a szolgáltató korlátozott ideig nem tett eleget valamely ellenőrzött kötelezettségnek vagy kötelezettségvállalásnak, az ellenőrzési jelentésben megfelelően dokumentálnia kell ezt az megállapítást.

(8) Ha az ellenőrzést végző szervezetnek nem áll módjában észszerű megbízhatósági szint mellett kiadni az ellenőrzés (1) bekezdés szerinti következtetését vagy a (4) és (5) bekezdés szerinti ellenőri véleményt, az ellenőrzési jelentésnek tartalmaznia kell a körülmények magyarázatát és azokat az okokat, amelyek miatt az említett megbízhatósági szint nem érhető el.

IV. SZAKASZ

Ellenőrzési módszerek

9. cikk

Az ellenőrzési kockázatok elemzése

(1) Az ellenőrzési jelentésnek tartalmaznia kell az ellenőrzési kockázatok indoklással alátámasztott elemzését, amely révén az ellenőrzést végző szervezet értékeli, hogy az ellenőrzött szolgáltató eleget tesz-e az egyes ellenőrzött kötelezettségeknek vagy kötelezettségvállalásoknak.

(2) Az ellenőrzési kockázatok elemzését az ellenőrzési eljárások végrehajtása előtt kell elvégezni, és az ellenőrzés során aktualizálni kell minden olyan új ellenőrzési bizonyíték fényében, amely az ellenőrzést végző szervezet szakmai megítélése szerint lényegesen módosítja az ellenőrzési kockázat értékelését.

(3) Az ellenőrzési kockázatok elemzése a következőkre terjed ki:

a)	eredendő kockázatok;

b)	kontrollkockázatok;

c)	feltárási kockázatok.

(4) Az ellenőrzési kockázatok elemzését a következők figyelembevételével kell elvégezni:

a)	az ellenőrzött szolgáltatás jellege, valamint az a társadalmi és gazdasági környezet, amelyben az ellenőrzött szolgáltatást nyújtják, beleértve a válsághelyzeteknek és váratlan eseményeknek való kitettség valószínűségét és súlyosságát is;

b)	a kötelezettségek és kötelezettségvállalások jellege;

egyéb vonatkozó információk, beleértve a következőket:

i.	adott esetben az ellenőrzött szolgáltatás korábbi ellenőrzéseiből származó információk;

ii.

adott esetben az (EU) 2022/2065 rendelet 35. cikkének (2), illetve (3) bekezdése alapján a Digitális Szolgáltatások Európai Testülete által kiadott jelentésekből vagy a Bizottság által kiadott iránymutatásokból származó információk, beleértve a Bizottság által az (EU) 2022/2065 rendelet alkalmazása tekintetében kiadott bármely más releváns iránymutatásokat;

iii.

adott esetben az ellenőrzött szolgáltatáséhoz hasonló körülmények mellett működő vagy hasonló szolgáltatásokat nyújtó, online óriásplatformokat vagy nagyon népszerű online keresőprogramokat üzemeltető egyéb szolgáltatók által az (EU) 2022/2065 rendelet 42. cikkének (4) bekezdése szerint közzétett ellenőrzési jelentésekből származó információk.

10. cikk

Megfelelő ellenőrzési módszerek

(1) A 13., 14. és 15. cikkben meghatározott egyedi ellenőrzési módszerek sérelme nélkül az ellenőrzéseket megfelelő ellenőrzési módszerek alkalmazásával kell elvégezni annak érdekében, hogy az értékelt ellenőrzési kockázatokat olyan szintre csökkentsék, amely alapján az ellenőrzést végző szervezet észszerű megbízhatósági szint mellett vonhatja le az ellenőrzés következtetéseit.

(2) Az ellenőrzési jelentésbe bele kell foglalni az ellenőrzést végző szervezet által az ellenőrzési eljárások lefolytatása előtt kialakított ellenőrzési módszerek leírását, és ennek kapcsán ki kell térni legalább a következőkre:

az egyes ellenőrzött kötelezettségeknek vagy kötelezettségvállalásoknak való megfelelés értékeléséhez használt, az 5. cikk (1) bekezdésének a) pontja szerinti információk alapján meghatározott ellenőrzési kritériumok, valamint adott esetben minőségi vagy mennyiségi szempontból kifejezett elfogadható lényegességi küszöb;

b)	minden olyan teszt, tételes elemző eljárás és ellenőrzési bizonyíték, amelyet az ellenőrzést végző szervezet az egyes ellenőrzött kötelezettségeknek vagy kötelezettségvállalásoknak való megfelelés értékelésére fel kíván használni.

Az ellenőrzési jelentésnek tartalmaznia kell az ellenőrzés során alkalmazott módszerekben az ellenőrzési eljárások lefolytatása előtt kialakított módszerekhez képest bekövetkezett változások leírását.

(3) Ha az ellenőrzést végző szervezetnek megalapozott kétségei vannak az ellenőrzés lefolytatása során értékelt információkat illetően, különös tekintettel az ellenőrzött szolgáltató által benyújtott információkra, a módszertan kiválasztását és alkalmazását ki kell igazítani annak érdekében, hogy a szervezetnek a 11. cikkel összhangban rendelkezésére álljanak a szükséges ellenőrzési bizonyítékok.

(4) A (3) bekezdésben említett megalapozott kétségek különösen akkor merülnek fel, ha az alábbi körülmények bármelyike fennáll:

a)	szakmai megítélés és szkepticizmus az információk értékelése során, beleértve az ellenőrzött szolgáltató belső kontrolljait is, amelyek alapján az ellenőrzést végző szervezet megalapozott kétségeket fogalmaz meg;

ellenőrzési kockázatokra utaló külső jelzések, különösen a Digitális Szolgáltatások Európai Testületének az (EU) 2022/2065 rendelet 35. cikkének (2) bekezdésében említett jelentései, bizottsági iránymutatások, beleértve az említett rendelet 35. cikkének (3) bekezdésében említett bizottsági iránymutatásokat, a Bizottság által az (EU) 2022/2065 rendelet alkalmazása tekintetében kiadott egyéb releváns iránymutatások, valamint az említett rendelet 45. és 46. cikkében említett magatartási kódexek vagy 48. cikkében említett válságkezelési protokollok alapján kiadott ellenőrzési jelentések;

az ellenőrzés során bekövetkezett olyan eseményekkel – köztük a válsághelyzetekkel – kapcsolatos információk, amelyek további intézkedéseket igényelnek az ellenőrzött szolgáltató részéről ahhoz, hogy bizonyos ellenőrzött kötelezettségek vagy kötelezettségvállalások esetében biztosított legyen a megfelelés.

(5) Az ellenőrzési eljárásoknak legalább a következőket kell magukban foglalniuk:

a)	az ellenőrzött szolgáltató által az egyes ellenőrzött kötelezettségek vagy kötelezettségvállalások tekintetében bevezetett belső kontrollokra irányuló tesztek és tételes elemző eljárások elvégzése;

b)	tételes elemző eljárások elvégzése az egyes ellenőrzött kötelezettségeknek és kötelezettségvállalásoknak való megfelelés értékelésére, beleértve az algoritmikus rendszereket is;

tesztek elvégzése, többek között az algoritmikus rendszerek tekintetében, azon ellenőrzött kötelezettségekre és kötelezettségvállalásokra vonatkozóan, amelyekkel kapcsolatban az ellenőrzést végző szervezetnek megalapozott kétségei merültek fel a (4) bekezdésben említettek szerint, valamint azon ellenőrzött kötelezettségekre és kötelezettségvállalásokra vonatkozóan, amelyek esetében az ellenőrzést végző szervezet szükségesnek tartja, hogy az (1) bekezdésnek megfelelően a módszertant úgy válassza ki, hogy az tesztek elvégzését is magában foglalja.

(6) Amennyiben az (EU) 2022/2065 rendelet 37. cikkének (1) bekezdésében említett kötelezettségek vagy kötelezettségvállalások értelmében az ellenőrzött szolgáltató köteles nyilvánosan közzétenni bizonyos információkat, az ellenőrzési módszereknek tartalmazniuk kell annak értékelését, hogy a bejelentett információk nem tartalmaznak olyan lényeges hibát vagy kihagyást, amelyek egyébként félrevezetővé tehetnék őket.

11. cikk

Az ellenőrzési bizonyítékok minősége

Az ellenőrzés következtetéseinek és az ellenőri véleményeknek olyan ellenőrzési bizonyítékokon kell alapulniuk, amelyek megfelelnek mindkét alábbi követelménynek:

a)	relevánsak és elégségesek a 9. cikkel összhangban azonosított ellenőrzési kockázatok csökkentéséhez, valamint ahhoz, hogy az ellenőrzést végző szervezet a 8. cikkel összhangban levonja az ellenőrzés következtetéseit és ellenőri véleményeket adhasson ki;

b)	megbízhatók az ellenőrzést végző szervezet szakmai megítélése és szkepticizmusa szerint.

12. cikk

Mintavételi módszerek

(1) Ha az ellenőrzési bizonyíték részben vagy teljes egészében adatokból vagy információkból álló mintán alapul, a minta méretét és a mintavétel módszertanát az ellenőrzött szolgáltató beavatkozása nélkül úgy kell kiválasztani, hogy minimalizálják a feltárási kockázatot.

(2) A minta méretének és a mintavétel módszertanának kiválasztásakor biztosítani kell az adatok vagy információk reprezentativitását, és adott esetben figyelembe kell venni az alábbiak mindegyikét:

a)	a minta reprezentativitása a 3. cikk (2) és (3) bekezdésében említett időszakra vonatkozóan;

b)	az ellenőrzött szolgáltatásban az adott időszak alatt bekövetkezett lényeges változások;

c)	az ellenőrzött szolgáltatás nyújtásának körülményeiben az adott időszak alatt bekövetkezett lényeges változások;

d)	adott esetben az algoritmikus rendszerek releváns jellemzői, beleértve a profilalkotáson vagy más kritériumokon alapuló személyre szabást;

e)	a figyelembe vett adatok, információk és bizonyítékok egyéb releváns jellemzői vagy partíciói.

f)	adott esetben a bizonyos csoportokkal – például kiskorúakkal vagy kiszolgáltatott csoportokkal és kisebbségekkel – kapcsolatos aggályok képviselete és megfelelő elemzése az ellenőrzött kötelezettséggel vagy kötelezettségvállalással kapcsolatban.

(3) Az ellenőrzési jelentésnek tartalmaznia kell a mintaméret és a mintavételi módszertan kiválasztásának az indoklását.

13. cikk

Az (EU) 2022/2065 rendelet kockázatértékelésről szóló 34. cikkének való megfelelés ellenőrzésére szolgáló egyedi módszerek

(1) Annak értékelése, hogy az ellenőrzött szolgáltató megfelel-e az (EU) 2022/2065 rendelet 34. cikkének, többek között magában foglalja az alábbiak mindegyikének elemzését:

az ellenőrzött szolgáltató gondosan azonosította, elemezte és értékelte-e az (EU) 2022/2065 rendelet 34. cikke (1) bekezdésének első albekezdésében említett uniós rendszerszintű kockázatokat, többek között a következők értékelése révén:

i.	az ellenőrzött szolgáltató hogyan azonosította a szolgáltatásához kapcsolódó kockázatokat, figyelembe véve a szolgáltatás igénybevételének regionális és nyelvi – így az adott tagállamra jellemző – szempontjait, és megfelelően azonosította-e a kockázatokat;

ii.	az ellenőrzött szolgáltató hogyan elemezte és értékelte az egyes kockázatokat, beleértve azt is, hogy hogyan vette figyelembe a kockázatok valószínűségét és súlyosságát, valamint az, hogy az értékelés megfelelő volt-e;

iii.

az ellenőrzött szolgáltató hogyan azonosította, elemezte és értékelte az (EU) 2022/2065 rendelet 34. cikke (2) bekezdésének első albekezdésében említett tényezőket, azokat megfelelően azonosította-e, és ezek a tényezők milyen mértékben befolyásolják az említett cikk (1) bekezdésében azonosított kockázatokat;

iv.	az ellenőrzött szolgáltató milyen információforrásokat használt fel, hogyan gyűjtötte az információkat, beleértve azt is, hogy támaszkodott-e a tudományos és műszaki ismeretekre, és ha igen, hogyan;

v.	az ellenőrzött szolgáltató tesztelte-e a kockázatokra vonatkozó feltételezéseket az egyedi kockázatok által leginkább érintett csoportokkal, és ha igen, hogyan;

a kockázatértékelést az (EU) 2022/2065 rendelet 34. cikke (1) bekezdésének második albekezdésében meghatározott időkereteken belül, illetve adott esetben az említett rendelet 35. cikke (1) bekezdésének f) pontja szerinti rendszerszintű kockázatok észlelésére szolgáló, kockázatcsökkentő intézkedésnek minősülő tevékenységekre meghatározott időkereteken belül végezték-e el;

az ellenőrzött szolgáltató hogyan azonosította azokat a funkciókat, amelyek valószínűsíthetően kritikus hatást gyakorolnak azokra a kockázatokra, amelyek esetében az (EU) 2022/2065 rendelet 34. cikke (1) bekezdésének második albekezdése szerinti kockázatértékeléseket a funkció telepítése előtt el kell végezni, ezeket a funkciókat helyesen azonosította-e, és a kockázatértékelést megfelelően végezte-e el;

az ellenőrzött szolgáltató helyesen azonosította-e a kockázatértékelés tekintetében megőrzendő igazoló dokumentumokat, és biztosította-e az (EU) 2022/2065 rendelet 34. cikkének (3) bekezdése értelmében a dokumentáció legalább három évig történő megőrzéséhez szükséges eszközöket, és a dokumentációt ennek megfelelően őrizte-e meg.

(2) Az észszerű megbízhatósági szint eléréséhez szükséges bármely egyéb elemzés sérelme nélkül az (EU) 2022/2065 rendelet 34. cikkének való megfelelés ellenőrzésére szolgáló módszereknek magukban kell foglalniuk legalább a következő elemeknek az ellenőrzést végző szervezet által végzett értékelését:

az ellenőrzött szolgáltató által az (EU) 2022/2065 rendelet 34. cikke (2) bekezdésének első albekezdésében említett egyes tényezőkre vonatkozó kockázatértékelések elvégzésének nyomon követésére bevezetett belső kontrollok; a szóban forgó értékelés:

i.	az említett belső kontrollok esetében tételes elemző eljárásokon alapul;

ii.	annak tesztelésén alapul, hogy az említett belső kontrollok megbízhatóak-e és kialakításuk, végrehajtásuk és nyomon követésük során gondosan járnak-e el;

iii.

értékeli, hogy a megfelelési tisztviselő vagy tisztviselők hogyan végezte vagy végezték el az (EU) 2022/2065 rendelet 41. cikke (3) bekezdésének b), d), e) és adott esetben f) pontja szerinti feladatukat, és hogy az ellenőrzött szolgáltató vezető testülete hogyan vett részt az említett rendelet 41. cikkének (6) és (7) bekezdése szerinti, kockázatkezeléssel kapcsolatos döntésekben;

az ellenőrzött szolgáltató által az (EU) 2022/2065 rendelet 34. cikkének való megfelelés biztosítása érdekében bevezetett intézkedések, eszközök és folyamatok, valamint azok eredményei; a szóban forgó értékelésnek a következőkön kell alapulnia:

i.	tételes elemző eljárások;

ii.

tesztek, beleértve az algoritmikus rendszereket is, ha az ellenőrzést végző szervezetnek megalapozott kétségei merülnek fel a tételes elemző eljárások és a belső kontrollok értékelésének eredményei alapján, vagy ha az ellenőrzést végző szervezet szükségesnek tartja, hogy a 10. cikk (1) bekezdésének megfelelően a módszertant úgy válassza ki, hogy az tesztek elvégzését is magában foglalja.

(3) Az ellenőrzést végző szervezet által az e cikk szerint elvégzett értékelés alátámasztására elemzett információk többek között a következőkből állnak:

az ellenőrzött szolgáltató által elkészített, az adott ellenőrzött időszakra vonatkozó kockázatértékelési jelentés, amely szükség esetén tartalmazza azokat a bizalmas információkat, amelyek nem képezik az említett rendelet 42. cikkének (2) bekezdése szerint közzétett információk részét, valamint az összes igazoló dokumentum;

b)	adott esetben az ellenőrzött szolgáltató egyéb kockázatértékelési jelentései és az azokat alátámasztó igazoló dokumentumok;

c)	az ellenőrzött szolgáltató által az 5. cikk szerint benyújtott információk;

d)	az ellenőrzött szolgáltatónak az (EU) 2022/2065 rendelet 15. cikkének (1) bekezdésében említett valamennyi vonatkozó átláthatósági jelentése;

e)	minden egyéb teszteredmény, dokumentáció, bizonyíték, az ellenőrzést végző szervezet által az ellenőrzött szolgáltató személyzetéhez intézett írásbeli vagy szóbeli kérdésekre adott válaszként tett nyilatkozatok, valamint adott esetben a helyszínen tett észrevételek;

f)	egyéb, többek között az ellenőrzött szolgáltató által rendelkezésre bocsátott információk alapján szerzett releváns bizonyítékok;

adott esetben az (EU) 2022/2065 rendelet 35. cikkének (2) bekezdésében említett jelentések és a Bizottság által kiadott iránymutatások, többek között az említett rendelet 35. cikkének (3) bekezdése alapján kiadott iránymutatások, valamint a Bizottság által az (EU) 2022/2065 rendelet alkalmazása tekintetében kiadott egyéb releváns iránymutatások.

(4) Az ellenőrzést végző szervezet által elemzett információk adott esetben magukban foglalhatják az (EU) 2022/2065 rendelet 42. cikkének (4) bekezdésében említett információkat, többek között az egyéb online óriásplatformokra vagy nagyon népszerű online keresőprogramokra vonatkozó ellenőrzési, kockázatértékelési és kockázatcsökkentési jelentésekből származó információkat, vagy az említett rendelet 40. cikke (8) bekezdésének g) pontja alapján, ellenőrzött kutatók által nyilvánosan hozzáférhetővé tett adatokat és kutatásokat.

14. cikk

Az (EU) 2022/2065 rendelet kockázatcsökkentésről szóló 35. cikkének való megfelelés ellenőrzésére szolgáló egyedi módszerek

(1) Annak értékelése, hogy az ellenőrzött szolgáltató megfelel-e az (EU) 2022/2065 rendelet 35. cikkének, többek között magában foglalja az alábbiak mindegyikének elemzését:

a)	az ellenőrzött szolgáltató hogyan azonosította az egyes rendszerszintű kockázatok tekintetében az (EU) 2022/2065 rendelet 34. cikkének (1) bekezdésében említett kockázatcsökkentő intézkedéseket, és az ilyen kockázatcsökkentő intézkedések azonosítására kellő gondossággal került-e sor;

az ellenőrzött szolgáltató hogyan értékelte, hogy az (EU) 2022/2065 rendelet 35. cikke (1) bekezdésének a)–k) pontjában foglalt kockázatcsökkentő intézkedések alkalmazandók voltak-e az ellenőrzött szolgáltatásra, és a szóban forgó értékelés következtetései megfelelőek voltak-e, beleértve azokat az intézkedéseket is, amelyeket az ellenőrzött szolgáltató nem alkalmazott;

az ellenőrzött szolgáltató által bevezetett kockázatcsökkentő intézkedések észszerűek, arányosak és hatékonyak-e az adott kockázatok csökkentése szempontjából, többek között az alábbiak révén:

a)	annak értékelése, hogy együttesen reagálnak-e az összes kockázatra, különös tekintettel az alapvető jogok gyakorlásával kapcsolatos kockázatokra;

b)	annak értékelése, hogy miként kezelték a kockázatokat a konkrét kockázatcsökkentő intézkedések bevezetése előtt és után;

c)	megfelelően alakították-e ki és hajtották-e végre a kockázatcsökkentő intézkedéseket.

(2) Az észszerű megbízhatósági szint eléréséhez szükséges bármely egyéb elemzés sérelme nélkül az (EU) 2022/2065 rendelet 35. cikkének való megfelelés ellenőrzésére szolgáló módszereknek magukban kell foglalniuk legalább a következő elemeknek az ellenőrzést végző szervezet által végzett értékelését:

az ellenőrzött szolgáltató által az (EU) 2022/2065 rendelet 35. cikkének (1) bekezdésében említett kockázatcsökkentő intézkedések alkalmazásának nyomon követésére bevezetett belső kontrollok, valamint annak értékelése, hogy azok észszerűek, arányosak és hatékonyak-e; a szóban forgó értékelés:

a)	az említett belső kontrollok esetében tételes elemző eljárásokon alapul;

b)	annak tesztelésén alapul, hogy az említett belső kontrollok megbízhatóak-e és kialakításuk, végrehajtásuk és nyomon követésük során gondosan járnak-e el;

értékeli, hogy a megfelelési tisztviselő vagy tisztviselők hogyan végezte vagy végezték el az (EU) 2022/2065 rendelet 41. cikke (3) bekezdésének b), d), e) és adott esetben f) pontja szerinti feladatukat, és hogy a szolgáltató vezető testülete együttműködött-e az említett rendelet 41. cikkének (6) és (7) bekezdése szerint;

az ellenőrzött szolgáltatók által bevezetett kockázatcsökkentő intézkedések; a szóban forgó értékelésnek a következőkön kell alapulnia:

a)	tételes elemző eljárások;

(3) Az ellenőrzést végző szervezet által az e cikk szerint elvégzett értékelés alátámasztására elemzett információk többek között a következőkből állnak:

az ellenőrzött szolgáltató által az adott ellenőrzött időszakra vonatkozóan készített kockázatértékelési és kockázatcsökkentési jelentés, amely szükség esetén tartalmazza azokat a bizalmas információkat, amelyek nem képezik az (EU) 2022/2065 rendelet 42. cikkének (2) bekezdése szerint közzétett információk részét, valamint az összes igazoló dokumentum;

b)	adott esetben az ellenőrzött szolgáltató egyéb kockázatértékelési és kockázatcsökkentési jelentései és az azokat alátámasztó igazoló dokumentumok;

c)	az ellenőrzött szolgáltató által az 5. cikk szerint benyújtott információk;

d)	az ellenőrzött szolgáltatónak az (EU) 2022/2065 rendelet 15. cikkének (1) bekezdésében említett valamennyi vonatkozó átláthatósági jelentése;

adott esetben az ellenőrzött időszakon kívül eső időszakokra vonatkozóan készített korábbi kockázatcsökkentési jelentések és az azokat alátámasztó igazoló dokumentumok, amelyek szükség esetén tartalmazzák azokat a bizalmas információkat, amelyek nem képezik az (EU) 2022/2065 rendelet 42. cikkének (2) bekezdése szerint közzétett információk részét;

f)	minden egyéb teszteredmény, dokumentáció, bizonyíték, az ellenőrzést végző szervezet által az ellenőrzött szolgáltató személyzetéhez intézett írásbeli vagy szóbeli kérdésekre adott válaszként tett nyilatkozatok, valamint adott esetben a helyszínen tett észrevételek;

g)	egyéb, többek között az ellenőrzött szolgáltató által rendelkezésre bocsátott információk alapján szerzett releváns bizonyítékok;

(4) Az ellenőrzést végző szervezet által elemzett információk adott esetben magukban foglalhatják az (EU) 2022/2065 rendelet 42. cikkének (4) bekezdésében említett információkat, többek között az egyéb online óriásplatformokra vagy nagyon népszerű online keresőprogramokra vonatkozó ellenőrzési, kockázatértékelési és kockázatcsökkentési jelentésekből származó információkat, vagy az (EU) 2022/2065 rendelet 40. cikke (8) bekezdésének g) pontja alapján, ellenőrzött kutatók által nyilvánosan hozzáférhetővé tett adatokat és kutatásokat.

15. cikk

Az (EU) 2022/2065 rendelet válságreagálási mechanizmusról szóló 36. cikkének való megfelelés ellenőrzésére szolgáló egyedi módszerek

(1) Annak értékelése, hogy az ellenőrzött szolgáltató megfelel-e az (EU) 2022/2065 rendelet 36. cikke (1) bekezdése első albekezdése a) pontjának, többek között magában foglalja annak elemzését, hogy az ellenőrzött szolgáltató megtette-e a szükséges intézkedéseket, és ha igen, hogyan, különös tekintettel az alábbiakra:

a)	az ellenőrzött szolgáltató azonosította-e a szolgáltatása működésében és használatában érintett, a súlyos fenyegetéshez jelentős mértékben hozzájáruló releváns rendszereket, és ha igen, hogyan, és ezeket a rendszereket megfelelően azonosította-e;

b)	az ellenőrzött szolgáltató meghatározta és nyomon követte-e a súlyos fenyegetéshez való jelentős mértékű hozzájárulást, és ha igen, hogyan, és értékelése megfelelő volt-e;

c)	az (EU) 2022/2065 rendelet 36. cikkének (1) bekezdésében vagy (7) bekezdésének második albekezdésében említett bizottsági határozatban meghatározott bármely egyéb követelmény.

(2) Annak értékelése, hogy az ellenőrzött szolgáltató megfelel-e az (EU) 2022/2065 rendelet 36. cikke (1) bekezdése első albekezdése b) pontjának, többek között magában foglalja annak elemzését, hogy az ellenőrzött szolgáltató megtette-e a szükséges intézkedéseket, és ha igen, hogyan, különös tekintettel az alábbiakra:

a)	az ellenőrzött szolgáltató azonosította-e a súlyos fenyegetéshez való hozzájárulás megelőzésére, megszüntetésére vagy korlátozására irányuló intézkedéseket, és ha igen, hogyan;

b)	az ellenőrzött szolgáltató által hozott intézkedések kezelték-e a súlyos fenyegetés komolyságát és sürgős voltát, és ha igen, hogyan, továbbá az intézkedések e tekintetben megfelelőek voltak-e;

az ellenőrzött szolgáltató azonosította-e az intézkedések által érintett feleket és azok jogos érdekeit, és ha igen, hogyan, továbbá az ellenőrzött szolgáltató hogyan értékelte az intézkedéseknek az említett felek jogaira, többek között az alapvető jogaikra és a jogos érdekeikre gyakorolt tényleges vagy lehetséges hatását;

d)	az ellenőrzött szolgáltató által hozott intézkedések eredményesek és arányosak voltak-e;

e)	az (EU) 2022/2065 rendelet 36. cikkének (1) bekezdésében vagy (7) bekezdésének második albekezdésében említett bizottsági határozatban meghatározott bármely egyéb követelmény.

(3) Annak értékelése, hogy az ellenőrzött szolgáltató megfelel-e az (EU) 2022/2065 rendelet 36. cikke (1) bekezdése első albekezdése c) pontjának, többek között magában foglalja annak elemzését, hogy az ellenőrzött szolgáltató hogyan hajtotta végre a szükséges intézkedést, különös tekintettel arra, hogy az ellenőrzött szolgáltató benyújtotta-e a Bizottságnak az (EU) 2022/2065 rendelet 36. cikkének (1) bekezdésében vagy (7) bekezdésének második albekezdésében említett bizottsági határozatban előírt információkat, és hogy ezek a jelentések pontosak voltak-e.

16. cikk

Az (EU) 2022/2065 rendelet független ellenőrzésről szóló 37. cikkének való megfelelés ellenőrzésére szolgáló egyedi módszerek

(1) Az (EU) 2022/2065 rendelet 37. cikkében és az e rendeletben meghatározott kötelezettségeknek való megfelelést az aktuális ellenőrzést megelőző egyéves időszakban elvégzett ellenőrzéssel vagy ellenőrzésekkel összefüggésben kell értékelni.

(2) Az (1) bekezdésben említetteken felül az ellenőrzésnek tartalmaznia kell annak értékelését is, hogy az ellenőrzött szolgáltató az aktuális ellenőrzés tekintetében megfelel-e az (EU) 2022/2065 rendelet 37. cikke (2) bekezdésének.

(3) Ha az (1) bekezdésben említett korábbi ellenőrzést vagy ellenőrzéseket és az aktuális ellenőrzést ugyanaz az ellenőrzést végző szervezet folytatja le, vagy ha az aktuális ellenőrzést lefolytató ellenőrzést végző szervezetben legalább egy olyan jogalany közreműködik, amely részt vett az előző ellenőrzésben, az ellenőrzési jelentésnek magyarázatot kell tartalmaznia arra vonatkozóan, hogy az ellenőrzést végző szervezet mely lépések megtételével biztosította az értékelés objektivitását.

17. cikk

A magatartási kódexeknek és a válságkezelési protokolloknak való megfelelés ellenőrzése

(1) Az ellenőrzött szolgáltató az ellenőrzést végző szervezet rendelkezésére bocsátja a következőket:

a)	az (EU) 2022/2065 rendelet 45. és 46. cikkében említett valamennyi magatartási kódex és az említett rendelet 48. cikkében említett valamennyi válságkezelési protokoll jegyzéke és szövege, amelyeknek az ellenőrzött szolgáltató aláíró fele;

b)	az ellenőrzött szolgáltató által az említett magatartási kódexek és válságkezelési protokollok keretében tett kötelezettségvállalások részletes jegyzéke;

c)	adott esetben az egyes magatartási kódexek és válságkezelési protokollok keretében elfogadott fő teljesítménymutatók;

adott esetben minden rendelkezésre álló mérés, adat és dokumentáció, valamint az ellenőrzött szolgáltató által a vállalt kötelezettségeknek való megfelelésére vonatkozóan készített jelentések, beleértve az ellenőrzött szolgáltató által kínált szolgáltatások működéséhez kapcsolódó, a magatartási kódex vagy a válságkezelési protokoll végrehajtása szempontjából releváns valamennyi információhoz és adathoz való hozzáférést;

e)	adott esetben a magatartási kódex vagy a válságkezelési protokoll aláírói által készített egyéb mérések, adatok és dokumentumok, valamint a Bizottság vagy a Testület (EU) 2022/2065 rendelet 45. cikkének (4) bekezdésében említett értékelései.

(2) Annak értékelése, hogy az ellenőrzött szolgáltató megfelel-e az (EU) 2022/2065 rendelet 45. cikkében említett magatartási kódexeknek, többek között magában foglalja a magatartási kódexben az említett rendelet 45. cikkének (3) bekezdése szerint meghatározott fő teljesítménymutatók mérését, meghatározva az ellenőrzés következtetéseinek lényegességi küszöbét, valamint azt, hogy a bejelentett adatok pontosak-e.

V. SZAKASZ

Záró rendelkezések

18. cikk

Hatálybalépés

Ez a rendelet az Európai Unió Hivatalos Lapjában való kihirdetését követő huszadik napon lép hatályba.

Ez a rendelet teljes egészében kötelező és közvetlenül alkalmazandó valamennyi tagállamban.

Kelt Brüsszelben, 2023. október 20-án.

a Bizottság részéről

az elnök

Ursula VON DER LEYEN

(1) HL L 277., 2022.10.27., 1. o.