(1)

Genom genomförandebeslut (EU) 2016/1156 (2) bedömde kommissionen att de behöriga myndigheterna i Förenta staterna, närmare bestämt Public Company Accounting Oversight Board och Securities and Exchange Commission, uppfyller tillräckliga krav i den mening som avses i artikel 47.1 c i direktiv 2006/43/EG. Det genomförandebeslutet upphör att gälla den 31 juli 2022. Det behöver därför fastställas huruvida de behöriga myndigheterna i Förenta staterna fortfarande uppfyller tillräckliga krav i samband med överlämnande till dem av revisionshandlingar eller andra handlingar hos lagstadgade revisorer eller revisionsföretag samt utrednings- och kontrollrapporter.

(2)

När kontroller eller utredningar utförs bör inte lagstadgade revisorer och revisionsföretag tillåtas ge tillgång till eller överlämna sina revisionshandlingar eller andra handlingar till behöriga myndigheter i Förenta staterna på några andra villkor än dem som anges i artikel 47 i direktiv 2006/43/EG.

(3)

Medlemsstaterna bör säkerställa att de samarbetsformer som krävs enligt artikel 47.1 d i direktiv 2006/43/EG för överlämnande av revisionshandlingar eller andra handlingar som innehas av lagstadgade revisorer eller revisionsföretag och av utrednings- och kontrollrapporter mellan deras behöriga myndigheter och Förenta staternas behöriga myndigheter, antas ömsesidigt och inbegriper skydd av yrkeshemligheter och känslig kommersiell information som ingår i sådana handlingar och som rör de granskade enheterna, inbegripet deras industriella och immateriella rättigheter, eller de lagstadgade revisorer och revisionsföretag som utförde revision av de företagen.

(4)

Om ett överlämnande av revisionshandlingar eller andra handlingar som innehas av lagstadgade revisorer eller revisionsföretag, eller ett överlämnande av utrednings- och kontrollrapporter, till den behöriga myndigheten i Förenta staterna innebär att personuppgifter överförs, är detta överlämnande endast lagligt om det även uppfyller de villkor för internationell överföring av personuppgifter som fastställs i Europaparlamentets och rådets förordning (EU) 2016/679 (3). Enligt artikel 47.1 e i direktiv 2006/43/EG måste medlemsstaterna därför säkerställa att överföringen av personuppgifter mellan deras behöriga myndigheter och den behöriga myndigheten i Förenta staterna sker i överensstämmelse med tillämpliga dataskyddsprinciper och dataskyddsregler och, framför allt, med bestämmelserna i kapitel V i förordning (EU) 2016/679. Medlemsstaterna bör se till att det finns lämpliga skyddsåtgärder i samband med överföring av personuppgifter, i enlighet med artikel 46 i den förordningen. Dessutom bör medlemsstaterna säkerställa att de behöriga myndigheterna i Förenta staterna inte delar vidare personuppgifter som ingår i de överlämnade handlingarna utan förhandsgodkännande från de behöriga myndigheterna i de berörda medlemsstaterna.

(5)

Medlemsstaterna kan godta att kontroller som utförs av deras behöriga myndigheter sker i samarbete med Förenta staternas behöriga myndigheter, om detta är nödvändigt för att säkerställa en verkningsfull tillsyn. Medlemsstaterna kan tillåta att samarbetet med de behöriga myndigheterna i Förenta staterna sker i form av gemensamma kontroller eller med hjälp av observatörer utan behörighet att genomföra kontroller eller utredningar och utan tillgång till konfidentiella revisionshandlingar, andra dokument som innehas av lagstadgade revisorer och revisionsföretag eller utrednings- och kontrollrapporter. Sådant samarbete måste alltid genomföras på de villkor som anges i artikel 47.2 i direktiv 2006/43/EG, särskilt vad gäller behovet att respektera suveränitet, konfidentialitet och ömsesidighet. Alla gemensamma kontroller som genomförs i unionen av dess behöriga myndigheter och de behöriga myndigheterna i Förenta staterna i enlighet med artikel 47 i direktiv 2006/43/EG sker under ledning av den berörda medlemsstatens behöriga myndighet.

(6)

Enligt Sarbanes-Oxley Act från 2002 (4) har Public Company Accounting Oversight Board i Förenta staterna behörighet när det gäller offentlig tillsyn, extern kvalitetssäkring, utredningar och påföljder för revisorer och revisionsföretag. Public Company Accounting Oversight Board tillämpar tillräckliga skyddsåtgärder i form av förbud och påföljder för att förhindra att anställda och tidigare anställda överlämnar konfidentiella uppgifter till tredje man eller andra myndigheter. Enligt Förenta staternas lagar och andra författningar får Public Company Accounting Oversight Board överlämna handlingar till medlemsstaternas behöriga myndigheter som är likvärdiga med dem som avses i artikel 47.1 i direktiv 2006/43/EG. Mot denna bakgrund uppfyller Public Company Accounting Oversight Board fortfarande krav som bör förklaras tillräckliga i den mening som avses i artikel 47.1 c i direktiv 2006/43/EG.

(7)

I enlighet med Sarbanes-Oxley Act från 2002 har Securities and Exchange Commission i Förenta staterna tillsynsansvar över Public Company Accounting Oversight Board. Securities and Exchange Commission har behörighet att utreda revisorer och revisionsföretag; detta beslut bör därför endast omfatta behörigheten hos Securities and Exchange Commission of the United States att utreda revisorer och revisionsföretag. Securities and Exchange Commission tillämpar tillräckliga skyddsåtgärder avseende förbud och sanktioner mot att anställda och tidigare anställda överlämnar konfidentiella uppgifter till tredje man eller andra myndigheter. Enligt Förenta staternas lagar och andra författningar får Securities and Exchange Commission överlämna handlingar till medlemsstaternas behöriga myndigheter som är likvärdiga med dem som avses i artikel 47.1 i direktiv 2006/43/EG avseende sina eventuella utredningar om sådana revisorer eller revisionsföretag. Mot denna bakgrund uppfyller Securities and Exchange Commission fortfarande krav som bör förklaras tillräckliga i den mening som avses i artikel 47.1 c i direktiv 2006/43/EG.

(8)

Kommittén för europeiska tillsynsorgan för revisorer har omprövat den rättsliga ramen i Förenta staterna, på grundval av Sarbanes-Oxley Act, vilken inte har ändrats väsentligt sedan genomförandebeslut (EU) 2016/1156 antogs. Mot bakgrund av den tekniska utvärdering av kommittén för europeiska tillsynsorgan för revisorer som avses i artikel 30.7 c i Europaparlamentets och rådets förordning (EU) nr 537/2014 (5), uppfyller Securities and Exchange Commission och Public Company Accounting Oversight Board fortfarande krav som bör förklaras tillräckliga i den mening som avses i artikel 47.1 c i direktiv 2006/43/EG.

(9)

Detta beslut bör inte påverka sådana samarbetsavtal som avses i artikel 25.4 i Europaparlamentets och rådets direktiv 2004/109/EG (6).

(10)

En eventuell slutsats om att behöriga myndigheter i ett tredjeland uppfyller krav som kan anses tillräckliga i enlighet med artikel 47.3 första stycket i direktiv 2006/43/EG föregriper inte beslut som kommissionen kan komma att anta om likvärdighet för systemen för offentlig tillsyn, kvalitetssäkring, utredning och sanktioner för revisorer och revisionsföretag i det tredjelandet enligt artikel 46.2 i det direktivet.

(11)

Flera medlemsstaters behöriga myndigheter har samarbetsformer med Public Company Accounting Oversight Board, enligt vad som avses i artikel 47.1 i direktiv 2006/43/EG. I de flesta fall finns det också ett dataskyddsavtal enligt förordning (EU) 2016/679 eller enligt nationell lagstiftning på grundval av Europaparlamentets och rådets direktiv 95/46/EG (7), som upphävdes genom den förordningen.

(12)

Det övergripande syftet med samarbetet i fråga om revisionstillsyn mellan medlemsstaternas behöriga myndigheter och de behöriga myndigheterna i Förenta staterna är att skapa ömsesidigt förtroende för varandras tillsynssystem. På så sätt bör överlämnande av revisionshandlingar eller andra handlingar hos lagstadgade revisorer eller revisionsföretag och av utrednings- och kontrollrapporter bli ett undantag. Ömsesidigt förtroende bygger på likvärdighet mellan unionens och Förenta staternas system för revisionstillsyn.

(13)

Till följd av genomförandebeslut (EU) 2016/1156 har flera medlemsstaters behöriga myndigheter och Förenta staternas behöriga myndigheter anordnat gemensamma kontroller. Vissa behöriga myndigheter i medlemsstaterna har delvis tillämpat ömsesidigt förtroende, bland annat genom att utföra kvalitetskontroller som Public Company Accounting Oversight Board delvis har förlitat sig på och genom att dela upp vissa fokusområden mellan sig vid kontroller av handlingar. För kapitalmarknadernas funktion är det viktigt att de behöriga myndigheterna i medlemsstaterna och de behöriga myndigheterna i Förenta staterna kan fortsätta det goda samarbetet efter den 31 juli 2022 med sikte på att uppnå ömsesidigt förtroende för varandras tillsynssystem. I avsaknad av fullständigt ömsesidigt förtroende och med hänsyn till att undantaget i artikel 46 i direktiv 2006/43/EG grundar sig på principen om ömsesidighet, bör dock detta beslut tillämpas under en begränsad period.

(14)

Trots tidsbegränsningen kommer kommissionen, biträdd av kommittén för europeiska tillsynsorgan för revision, att regelbundet övervaka marknadsutvecklingen, utvecklingen av tillsyns- och regleringsramarna samt effektiviteten i och erfarenheterna från tillsynssamarbetet. I synnerhet kan kommissionen göra en särskild översyn av detta beslut när som helst före slutet av dess tillämpningsperiod, om relevant utveckling gör det nödvändigt att ompröva den tillräcklighet som fastställs genom detta beslut. En sådan omprövning kan leda till att detta beslut upphävs.

(15)

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (8) och avgav ett yttrande den 13 maj 2022.

(16)

De åtgärder som föreskrivs i detta beslut är förenliga med yttrandet från den kommitté som har inrättats i enlighet med artikel 48.1 i direktiv 2006/43/EG.