Rozporządzenie delegowane 2024/436 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 przez ustanowienie przepisów dotyczących przeprowadzania audytów w odniesieniu do bardzo dużych platform internetowych i bardzo dużych wyszukiwarek internetowych

Dzienniki UE

Dz.U.UE.L.2024.436

Akt obowiązujący
Wersja od: 22 lutego 2024 r.

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) 2024/436
z dnia 20 października 2023 r.
uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 przez ustanowienie przepisów dotyczących przeprowadzania audytów w odniesieniu do bardzo dużych platform internetowych i bardzo dużych wyszukiwarek internetowych

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 z dnia 19 października 2022 r. w sprawie jednolitego rynku usług cyfrowych oraz zmiany dyrektywy 2000/31/WE (akt o usługach cyfrowych) 1 , w szczególności jego art. 37 ust. 7,

a także mając na uwadze, co następuje:

(1) Niezależne audyty są ważnym narzędziem nadzoru nad wypełnianiem przez dostawców bardzo dużych platform internetowych i bardzo dużych wyszukiwarek internetowych ich obowiązków wynikających z rozporządzenia (UE) 2022/2065. Chociaż w rozporządzeniu tym przewidziane są inne narzędzia rozliczalności, m.in. w postaci skuteczniejszej kontroli publicznej sprawozdań z przejrzystości i innych wymogów dotyczących ujawniania danych, niezależne organizacje audytowe odgrywają szczególną rolę we wczesnej ocenie przestrzegania tego rozporządzenia przez takich dostawców. Wnioski i ustalenia z takich niezależnych audytów i zawarte w nich zalecenia mogą stanowić istotny wkład w nadzór regulacyjny. Jednocześnie niezależne audyty stanowią jedno z szeregu źródeł informacji i analiz, z których organy regulacyjne mogą korzystać w ramach swojej roli nadzorczej i związanej z egzekwowaniem prawa.

(2) W celu zapewnienia, aby niezależne audyty przeprowadzano w sposób skuteczny, wydajny, terminowy i porównywalny od daty rozpoczęcia stosowania rozporządzenia (UE) 2022/2065, określonej w jego art. 92 i 93, Komisja powinna ustanowić przepisy dotyczące przeprowadzania audytów, w szczególności w odniesieniu do obowiązków prawnych audytowanych dostawców oraz etapów procedury służących zapewnieniu, aby organizacje przeprowadzające audyty spełniały warunki niezależności, braku konfliktu interesów, dysponowania wiedzą ekspercką i stosowania zasad etyki zawodowej określone w art. 37 ust. 3 rozporządzenia (UE) 2022/2065.

(3) Aby ułatwić odpowiednie przeprowadzanie audytów przy wysokim poziomie wiedzy eksperckiej oraz aby zapobiec niezamierzonym konsekwencjom na rynku usług audytowych, należy doprecyzować, że audyty przeprowadzane zgodnie z art. 37 rozporządzenia (UE) 2022/2065 może przeprowadzać kilku audytorów. W stosownych przypadkach, na przykład ze względu na potrzebę posiadania konkretnej wiedzy eksperckiej w zakresie audytu określonych obowiązków lub zobowiązań, takich jak obowiązki lub zobowiązania związane z projektowaniem i funkcjonowaniem systemów algorytmicznych, zrozumieniem ryzyka dla praw podstawowych lub rozpowszechnianiem nielegalnych treści, audytowany dostawca może zlecić przeprowadzenie audytu różnym organizacjom audytowym lub konsorcjum organizacji. Organizacje audytowe mogą również korzystać z usług podwykonawców, by uzyskać niezbędną wiedzę ekspercką, pod warunkiem że zarówno organizacja audytowa, jak i podwykonawcy spełniają niezbędne warunki dotyczące niezależności, braku konfliktu interesów, stosowania potwierdzonych zasad obiektywizmu i etyki zawodowej oraz że wspólnie spełniają warunki dotyczące technicznej wiedzy eksperckiej. W takich przypadkach audytowany dostawca powinien nadal zapewniać, aby audyt wypełniania wszystkich obowiązków i zobowiązań, o których mowa w art. 37 ust. 1 rozporządzenia (UE) 2022/2065, przeprowadzano co najmniej raz w roku.

(4) Organizacje audytowe powinny poświadczać opinie audytowe, o których mowa w art. 37 ust. 4 lit. g) rozporządzenia (UE) 2022/2065, z wystarczającym poziomem pewności. Aby osiągnąć wystarczający poziom pewności, organizacja audytowa powinna mieć wysoki - ale nie absolutny - poziom pewności, że nie wystąpiły zniekształcenia, takie jak pominięcie, podanie wprowadzających w błąd lub błędnych danych, których to zniekształceń nie wykryto podczas audytu. Aby zapewnić ten poziom pewności, organizacja audytowa powinna między innymi uzyskiwać wystarczające dowody i stosować w swojej ocenie odpowiednie metodyki audytowe.

(5) Zgodnie z art. 37 ust. 1 rozporządzenia (UE) 2022/2065 niezależne audyty należy przeprowadzać co najmniej raz w roku, przy dostosowaniu do rocznego cyklu ocen ryzyka, o których mowa w art. 34 tego rozporządzenia. W niektórych przypadkach konieczne mogą być jednak częstsze audyty. Następowanie po sobie audytów powinno zapewnić ciągłość nadzoru nad przestrzeganiem przez audytowanych dostawców przepisów rozporządzenia (UE) 2022/2065 oraz odpowiednich kodeksów postępowania i protokołów kryzysowych. Audytowany dostawca powinien zapewnić, aby okres, w odniesieniu do którego w danym audycie ocenia się wypełnianie obowiązków i zobowiązań będących przedmiotem audytu, uzupełniał okres objęty poprzednim audytem wypełniania tych obowiązków i zobowiązań przez dostawcę i rozpoczynał się najpóźniej w momencie zakończenia okresu objętego poprzednim audytem. Ponieważ wnioski z audytu obejmują zarówno ocenę przeprowadzoną przez organizację audytową, jak i sporządzenie sprawozdania z audytu, audytowani dostawcy powinni zapewnić, aby czas trwania audytu umożliwiał zakończenie audytów co najmniej raz w roku, a przekazanie sprawozdań z audytu Komisji i koordynatorowi ds. usług cyfrowych nastąpiło bez zbędnej zwłoki, zgodnie z art. 42 ust. 4 rozporządzenia (UE) 2022/2065.

(6) Chociaż audytowani dostawcy nie powinni w żadnym wypadku ingerować w przeprowadzanie audytu i jego wnioski, powinni oni wypełniać swoje obowiązki wynikające z art. 37 rozporządzenia (UE) 2022/2065, w tym przez uzgodnienie warunków umownych z organizacją audytową oraz sprawdzenie przed wyborem organizacji audyto- wej, czy organizacja ta spełnia warunki określone w art. 37 ust. 3 rozporządzenia (UE) 2022/2065.

(7) Audytowany dostawca powinien na przykład ocenić umowy, które wcześniej zawarł z organizacją audytową, lub umowy zawarte między organizacją audytową a osobami prawnymi związanymi z tym dostawcą. Audytowany dostawca powinien również zawrzeć w umowach z organizacjami audytowymi klauzule gwarantujące przestrzeganie warunków określonych w art. 37 ust. 3 rozporządzenia (UE) 2022/2065. W przypadku gdy organizacja audy- towa składa się z kilku podmiotów, audytowany dostawca powinien upewnić się, że te warunki spełniają wszystkie te podmioty, w tym, w stosownych przypadkach, wszelcy podwykonawcy zatrudnieni przez organizację audytową w celu wsparcia w jakikolwiek sposób przeprowadzania audytu. Podczas gdy każdy podmiot przeprowadzający audyt powinien indywidualnie spełniać wymogi niezależności i braku konfliktu interesów, podmioty te powinny wspólnie spełniać wymogi związane z kompetencjami, wiedzą ekspercką lub zasobami technicznymi, co tym samym umożliwia różnym podmiotom przeprowadzanie różnych części audytu i wnoszenie wkładu w postaci zdolności, kompetencji i wiedzy eksperckiej niezbędnych do przeprowadzenia audytu. W sprawozdaniu z audytu należy określić odpowiedzialność każdego z tych podmiotów za odpowiednie części audytu.

(8) Zgodnie z art. 37 ust. 3 lit. a) pkt (i) rozporządzenia (UE) 2022/2065 audytowany dostawca powinien zwrócić szczególną uwagę na to, aby uniknąć sytuacji, w której organizacja audytowa świadczy na jego rzecz usługi niezwią- zane z audytem, gdy dostawca ten sprawdza, czy organizacja audytowa spełnia wymogi niezależności i braku konfliktu interesów. Audytowany dostawca powinien na przykład ocenić, czy świadczono usługi, takie jak usługi związane z jakimkolwiek systemem, oprogramowaniem lub procesem wykorzystywanym w kwestiach istotnych dla obowiązku lub zobowiązania będącego przedmiotem audytu, np. usługi doradcze w zakresie oceny skuteczności działania, zarządzania i oprogramowania, usługi szkoleniowe, opracowanie lub utrzymanie systemów lub podwyko- nawstwo moderowania treści. Usługi takie obejmują również usługi świadczone na rzecz audytowanego dostawcy, które polegają na doradztwie w zakresie kontroli wewnętrznych, rozwijaniu takich kontroli lub ocenie, do celów wewnętrznych, przestrzegania przez audytowanego dostawcę przepisów rozporządzenia (UE) 2022/2065 lub kodeksów postępowania i protokołów kryzysowych, w tym w przypadku, gdy jest to ograniczone do testów punktowych, takich jak przeprowadzane przez osoby trzecie testy skuteczności działania systemów moderowania treści. Nie powinno to wykluczać organizacji audytowych, które przeprowadzają ustawowe badania finansowe.

(9) Z uwagi na złożoność i szczególny charakter audytów przestrzegania rozporządzenia (UE) 2022/2065 wiedza ekspercka organizacji audytowej na temat przedmiotu audytu ma kluczowe znaczenie dla przeprowadzania audytów przy wystarczającym poziomie pewności oraz dla stosowania osądu zawodowego i sceptycyzmu, dzięki czemu organizacja ta wie na przykład, jakich informacji potrzebuje do przeprowadzenia procedur audytu lub zakwestionowania sprzecznych informacji. Audytowany dostawca powinien zatem sprawdzić, czy organizacja audytowa dysponuje taką wiedzę ekspercką, w tym w obszarze zarządzania ryzykiem, zarówno w odniesieniu do ryzyka audytu, jak i przedmiotu rozporządzenia (UE) 2022/2065, a w szczególności systemowych zagrożeń społecznych, o których mowa w art. 34 tego rozporządzenia. Audytowany dostawca powinien ponadto zweryfikować techniczne kompetencje i zdolności organizacji audytowej w odniesieniu do konkretnej usługi będącej przedmiotem audytu, w tym wiedzę ekspercką organizacji na temat przedmiotu audytu, na przykład w odniesieniu do funkcjonowania i skutków systemów algorytmicznych, takich jak systemy rekomendacji i inne systemy socjotechniczne, które utrzymuje dostawca. Organizacja audytowa powinna mieć możliwość zlecania podwykonawstwa lub uzyskiwania i wykorzystywania w inny sposób niezbędnej wiedzy eksperckiej i zdolności, a audytowany dostawca powinien zweryfikować, czy organizacja audytowa jest w stanie zdobyć tę wiedzę i te zdolności w czasie umożliwiającym przeprowadzenie audytu, oraz zapewnić, by tak się stało.

(10) Przy weryfikacji, czy organizacje audytowe spełniają warunki określone w art. 37 ust. 3 rozporządzenia (UE) 2022/2065, audytowany dostawca powinien ocenić istotne dowody, w tym, w stosownych przypadkach, certyfikaty, deklaracje i sprawozdania z audytu, które wydała organizacja audytowa. Potwierdzeniem odpowiedniej wiedzy eksperckiej może być na przykład praktyczne doświadczenie w zakresie oceny ryzyka i zarządzania nim, a także działalność akademicka, publikacje naukowe i doświadczenie związane z odpowiednimi audytami. Sprawozdania z audytu powinny zawierać wszystkie istotne dokumenty potwierdzające, że organizacja audytowa spełnia niezbędne warunki.

(11) Zgodnie z art. 37 ust. 2 rozporządzenia (UE) 2022/2065 audytowany dostawca ma zapewnić organizacji audytowej wszelką współpracę i pomoc niezbędną do przeprowadzenia audytu w sposób skuteczny, wydajny i terminowy, a także ma powstrzymać się od ingerencji w jakikolwiek sposób w niezależne decyzje organizacji audytowej. Na przykład audytowany dostawca nie powinien niczego narzucać organizacji audytowej, udzielać jej wytycznych ani w inny sposób wpływać na nią przez jakiekolwiek ograniczenia lub zachęty umowne lub innego rodzaju ograniczenia lub zachęty w zakresie wyboru i wykonywania procedur audytu, metodyki, gromadzenia i przetwarzania informacji i dowodów audytowych, analizy, testów, opinii audytowej lub opracowywania wniosków z audytu.

(12) Aby zagwarantować niezbędną współpracę i pomoc podczas audytu, audytowany dostawca powinien zapewnić organizacji audytowej dostęp do wszystkich informacji niezbędnych do przeprowadzenia audytu. Audytowany dostawca powinien przesłać wszystkie niezbędne dokumenty i wyjaśnienia jak najszybciej, a w każdym razie zanim organizacja audytowa zacznie przeprowadzać procedury audytu. Na przykład zgodnie z art. 41 ust. 3 lit. d) i e) rozporządzenia (UE) 2022/2065 zadaniem komórki nadzoru przestrzegania tego rozporządzenia przez audytowanego dostawcę jest monitorowanie wypełniania wszystkich obowiązków i zobowiązań będących przedmiotem audytu, co powinno doprowadzić do opracowania kontroli wewnętrznych. Organizacja audytowa powinna zatem uzyskać dostęp do wszystkich informacji związanych z takimi kontrolami oraz do wszelkich innych informacji określających strategię audytowanego dostawcy w celu zapewnienia przestrzegania przepisów. W szczególności audytowany dostawca powinien udostępnić organizacji audytowej punkty odniesienia, na których opiera się, aby zapewnić przestrzeganie przepisów rozporządzenia (UE) 2022/2065, tak aby organizacja audytowa mogła oprzeć kryteria audytu na tych informacjach. Organizacja audytowa powinna mieć ponadto dostęp do wszelkich analiz, które audytowany dostawca mógł przeprowadzić na temat ryzyka nieodłącznego i ryzyka zawodności systemów kontroli wewnętrznej. Dostawca ten powinien udostępniać organizacji audytowej informacje, które ułatwiają zrozumienie usługi będącej przedmiotem audytu, zarządzania nią, kompetencji odpowiednich zespołów i struktur decyzyjnych, w tym komórki nadzoru przestrzegania rozporządzenia (UE) 2022/2065, a także prezentacje swoich systemów informatycznych, struktur danych i zapisów oraz wzajemnych zależności między różnymi systemami algorytmicznymi mającymi znaczenie dla audytu.

(13) Organizacja audytowa powinna mieć możliwość zażądania wszelkich innych niezbędnych informacji na dowolnym etapie audytu. Dostępu do tych informacji należy udzielić bez zbędnej zwłoki i tak, by w żaden sposób nie utrudniało to przeprowadzenia audytu. Powinno to obejmować dostęp do danych, w tym danych osobowych, zebranych z różnych źródeł, takich jak, w stosownych przypadkach, dokumenty, systemy algorytmiczne, bazy danych lub wywiady. Audytowany dostawca powinien również udzielić organizacji audytowej dostępu do procedur i procesów, systemów informatycznych, takich jak systemy algorytmiczne i informacyjne, w tym do środowisk testowych. Aby umożliwić organizacji audytowej przeprowadzenie konstruktywnej kontroli takich systemów, audytowany dostawca powinien udostępnić wszelkie niezbędne zasoby pomocne tej organizacji w dostępie do systemów oraz w ich ocenie, np. przez udostępnienie kompetentnego personelu dostawcy w celu udzielenia odpowiedzi na pytania lub obsługi środowisk testowych oraz udzielenia wyjaśnień dotyczących ich funkcjonowania, lub ułatwienie wszelkiego innego niezbędnego dostępu do personelu i pomieszczeń takich jak budynki. Dostęp do procedur i procesów mógłby oznaczać na przykład dostęp do opisów lub dokumentów dotyczących wewnętrznego procesu decyzyjnego audytowanego dostawcy. Dostęp do odpowiednich informacji może również wymagać od audytowanego dostawcy podjęcia innych działań pomocniczych, by wypełnić obowiązek współpracy i pomocy. Na przykład rozmowy z personelem mogą wymagać od audytowanego dostawcy zapewnienia bezpiecznych pomieszczeń. W przypadku gdy jest to konieczne do przeprowadzenia audytu, audytowani dostawcy powinni wypełniać obowiązek w zakresie współpracy i pomocy w odniesieniu do organizacji audytowej, między innymi ułatwiając dostęp do odpowiednich danych dotyczących ich działalności pozostających w posiadaniu wykonawców będących osobami trzecimi. Może tak być na przykład w przypadku wyników działań w zakresie moderowania treści, materiałów szkoleniowych lub wskazówek wykorzystywanych przez wykonawców będących osobami trzecimi, którzy moderują treści, lub sprzedawców i dostawców usług w zakresie rozwiązań informatycznych, w tym na przykład algorytmów i aplikacji wykorzystywanych w systemach rekomendacji lub systemach reklamowych wykorzystywanych przez audytowanego dostawcę.

(14) Aby ułatwić osiągnięcie znaczącej przejrzystości ustaleń z audytu oraz zapewnić kompleksowy i porównywalny format sprawozdań z audytu, o których mowa w art. 37 ust. 4 rozporządzenia (UE) 2022/2065, oraz sprawozdań z realizacji audytu, o których mowa w art. 37 ust. 6 tego rozporządzenia, w niniejszym rozporządzeniu należy ustanowić wzory tych sprawozdań i wymóg załączania szeregu załączników do każdego ze sprawozdań. Chociaż wzory określone w niniejszym rozporządzeniu wymagają kompleksowej sprawozdawczości, nie powinny mieć wpływu na wymogi dotyczące publikacji sprawozdań przewidziane w art. 42 ust. 4 i 5 rozporządzenia (UE) 2022/2065.

(15) W celu zapewnienia, aby organizacja audytowa otrzymała wszelką niezbędną pomoc od audytowanego dostawcy, bez ingerencji w przeprowadzanie audytu, oraz aby organizacja audytowa spełniała wszystkie warunki przygotowania audytu i dostarczyła sprawozdanie z audytu w odpowiednim terminie i z zachowaniem jakości niezbędnej do osiągnięcia wystarczającego poziomu pewności, w niektórych przepisach należy określić procedury przygotowań do audytu. Obowiązki i odpowiedzialność audytowanego dostawcy i organizacji audytowej, w tym wszystkich podwykonawców lub organizacji partnerskich oraz pracowników odpowiedzialnych za przeprowadzenie audytu, należy określić w pisemnej umowie, w tym w formie warunków umownych. W pisemnej umowie należy również określić obowiązki i zobowiązania będące przedmiotem audytu, podział zasobów oraz zasady interakcji i punkty kontaktowe między organizacją audytową a audytowanym dostawcą. Do sprawozdania z audytu należy załączyć wszystkie dokumenty potwierdzające i umowy, w tym w przypadku gdy dokumenty te przyjmują formę umowy zlecenia audytu lub innych warunków umownych.

(16) Aby zapewnić kompleksowy przegląd i ułatwić rozliczalność audytowanych dostawców, sprawozdanie z audytu powinno zawierać wniosek z przeprowadzonej przez organizację audytową oceny wypełniania przez audytowanego dostawcę każdego obowiązku lub zobowiązania będącego przedmiotem audytu. Każdy wniosek z audytu powinien opierać się na wystarczającym poziomie pewności i powinien być "pozytywny", "pozytywny z uwagami" albo "negatywny", aby można go było odpowiednio uwzględnić w opinii audytowej. Wnioski, które są "pozytywne z uwagami", nie powinny dotyczyć samej oceny przestrzegania przepisów. W uwagach takich można odnieść się na przykład do przekazywania informacji przez dostawcę na wniosek organizacji audytowej lub do ulepszeń w zakresie utrzymania lub kontroli, które wprowadził audytowany dostawca, lub odnotować dalsze plany zmniejszenia ryzyka lub ulepszenia, które dostawca zamierza wprowadzić. W każdym przypadku, jeżeli organizacja audytowa uzna, że audytowany dostawca zapewnia wypełnianie obowiązków lub zobowiązań będących przedmiotem audytu według zgłoszonych przez niego punktów odniesienia, ale uważa, że konieczne jest uwzględnienie uwag na temat tych punktów odniesienia, wniosek z audytu powinien być "pozytywny z uwagami", ponieważ dzięki takim uwagom dostawca mógłby w użyteczny sposób zostać poinformowany o możliwościach ewentualnych zmian jego punktów odniesienia, w oparciu o wiedzę ogólną i specjalistyczną organizacji audytowej, a także informacje pochodzące ze źródeł zewnętrznych. Na przykład uwagi te mogłyby wynikać z wytycznych Komisji, w tym wytycznych Komisji, o których mowa w art. 35 ust. 3 rozporządzenia (UE) 2022/2065, oraz wszelkich innych odpowiednich wytycznych wydanych przez Komisję w odniesieniu do stosowania tego rozporządzenia, sprawozdań Europejskiej Rady ds. Usług Cyfrowych, o której mowa w art. 35 ust. 2 tego rozporządzenia, działań w zakresie egzekwowania przepisów, decyzji podjętych przez Komisję na podstawie tego rozporządzenia, odpowiedniego orzecznictwa, w szczególności Trybunału Sprawiedliwości Unii Europejskiej, konsultacji publicznych lub z odpowiednich wiarygodnych źródeł.

(17) Aby umożliwić kontrolę publiczną i nadzór regulacyjny, w przypadku gdy wniosek z audytu jest "negatywny", ale dotyczy jedynie ograniczonego okresu, a organizacja audytowa uważa, że audytowany dostawca wypełniał obowiązek lub zobowiązanie przez pozostałą część okresu objętego audytem, powinno to znaleźć odzwierciedlenie w sprawozdaniu z audytu w odniesieniu do każdego odnośnego obowiązku lub zobowiązania. Sprawozdanie powinno zawierać uwagi organizacji audytowej dotyczące wszelkich informacji udostępnionych jej przez audytowanego dostawcę w odniesieniu do istniejących lub przyszłych planów zmniejszenia ryzyka w celu zaradzenia brakowi przestrzegania przepisów.

(18) W świetle różnego charakteru obowiązków prawnych określonych w rozdziale III rozporządzenia (UE) 2022/2065 oraz zobowiązań dobrowolnych podjętych na podstawie kodeksów postępowania i protokołów kryzysowych zgodnie z art. 45, 46 i 48 tego rozporządzenia, organizacja audytowa powinna wydawać opinie audytowe na temat przestrzegania tego rozdziału oraz każdego kodeksu i protokołu.

(19) Aby przeprowadzić audyt z wystarczającym poziomem pewności i opracować odpowiednie procedury audytu zgodnie z metodykami minimalizującymi ryzyko audytu do niskiego poziomu, kluczową częścią metodyki przeprowadzania audytu powinno być oszacowanie ryzyka audytu, mianowicie ryzyka, że organizacja audytowa wyda nieodpowiednią opinię audytową lub nieodpowiedni wniosek z audytu. W związku z tym organizacja audytowa powinna ocenić ryzyko audytu na samym początku audytu, przed opracowaniem dokładnej metodyki i przeprowadzeniem procedur audytu. Analiza ryzyka audytu jest niezbędna, aby umożliwić organizacji audytowej wybór dokładnych metodyk audytu i określenie, jak kompleksowe muszą być procedury audytu, aby można było uzyskać wystarczający poziom pewności w odniesieniu do opinii audytowej. Organizacja audytowa powinna przeprowadzić analizę ryzyka audytu w celu oceny wypełniania każdego obowiązku lub zobowiązania będącego przedmiotem audytu, z uwzględnieniem ryzyka nieodłącznego, ryzyka zawodności systemu kontroli wewnętrznej i ryzyka niewykrycia.

(20) Aby prawidłowo ocenić ryzyko audytu, w analizie ryzyka audytu należy uwzględnić charakter usługi będącej przedmiotem audytu, w szczególności jej profil ryzyka, oraz zakres i złożoność audytu. Na przykład istnieje prawdopodobieństwo, że platformy internetowe, które umożliwiają zawieranie między konsumentami umów na odległość, będą obarczone innym ryzykiem nieodłącznym niż platformy udostępniania plików wideo lub wyszukiwarki internetowe. Ponadto należy wziąć pod uwagę kontekst społeczny i gospodarczy, w którym świadczona jest usługa będąca przedmiotem audytu, na przykład jeżeli chodzi o typowe grupy użytkowników takich jak małoletni lub częste zachowania, takie jak częste występowanie nieautentycznego korzystania z usługi i skoordynowane zachowania w kampaniach dezinformacyjnych. Kontekst społeczny i gospodarczy, który należy uwzględnić, powinien również obejmować prawdopodobieństwo i, niezależnie, dotkliwość narażenia na sytuacje kryzysowe i nieoczekiwane zdarzenia, o których mowa w rozporządzeniu (UE) 2022/2065.

(21) W celu zapewnienia, aby analiza ryzyka audytu odzwierciedlała zmiany ryzyka, które dotyczy danej usługi, analizę tę należy również oprzeć, w stosownych przypadkach, na informacjach z poprzednich audytów danego audytowa- nego dostawcy i na informacjach ze źródeł takich jak sprawozdania z audytu innych dostawców o podobnym profilu ryzyka. W celu zapewnienia, aby analiza ryzyka audytu była w pełni oparta na najnowszych dowodach ryzyka w kontekstach podobnych do tych, w których działa audytowany dostawca, oraz na wiarygodnych źródłach mających bezpośrednie znaczenie dla stosowania rozporządzenia (UE) 2022/2065, analiza ta powinna również, w stosownych przypadkach, opierać się na informacjach ze sprawozdań wydanych przez Europejską Radę ds. Usług Cyfrowych lub na wytycznych Komisji. Inne informacje mogą również obejmować informacje ze sprawozdań z audytu, które na podstawie art. 42 ust. 4 rozporządzenia (UE) 2022/2065 publikują inni dostawcy bardzo dużych platform internetowych lub bardzo dużych wyszukiwarek internetowych.

(22) Organizacja audytowa powinna opracować, bez wpływu ze strony audytowanego dostawcy, metodyki audytowe stosowane do oceny wypełniania obowiązków i zobowiązań będących przedmiotem audytu. Kryteria audytu powinny opierać się na informacjach przekazanych przez audytowanego dostawcę co do punktów odniesienia stosowanych przez niego do monitorowania przestrzegania przepisów. Metodyka może również wziąć pod uwagę inne informacje udostępnione przez audytowanego dostawcę, takie jak analiza ryzyka nieodłącznego, jeżeli audyto- wany dostawca przeprowadził taką analizę, na przykład za pomocą środków opracowanych przez pracownika ds. nadzoru przestrzegania rozporządzenia (UE) 2022/2065 lub organ zarządzający zgodnie z art. 41 rozporządzenia (UE) 2022/2065 lub innych środków wbudowanych w funkcjonowanie usługi na potrzeby ocen ryzyka systemowego, o których mowa w art. 34 tego rozporządzenia.

(23) W celu zapewnienia, aby metodyki audytowe były odpowiednie do osiągnięcia wystarczającego poziomu pewności w odniesieniu do opinii audytowych, przy wyborze metodyki na potrzeby procedur audytu należy uwzględnić specyfikę obowiązku lub zobowiązania będącego przedmiotem audytu i należy dostosować tę metodykę na przykład do charakteru danego obowiązku jako obowiązku w zakresie środków lub obowiązku w zakresie wyników, które dostawca musi osiągnąć, aby wypełnić obowiązek. Na przykład procedury audytu służące do oceny wypełniania obowiązków sprawozdawczych w zakresie przejrzystości zgodnie z art. 15 rozporządzenia (UE) 2022/2065 mogłyby umożliwić organizacji audytowej stwierdzenie, czy sprawozdania opublikowano w terminach i formatach wymaganych w tym rozporządzeniu, a także czy były one kompletne oraz czy przekazane dane były prawidłowe, reprezentatywne oraz właściwie rozbite, na przykład według kategorii nielegalnych treści, w sprawie których podjęto działania.

(24) Wybór metodyki powinien również zależeć od tego, czy ocena wypełniania obowiązku lub zobowiązania wymaga interpretacji kontekstowej od organizacji audytowej. Wybór metodyki należy również dostosować do ryzyka nieodłącznego związanego z działalnością prowadzoną w ramach świadczenia usługi oraz do kontekstu, w jakim usługa jest świadczona, na przykład czy usługa wiąże się ze sprzedażą towarów, które mogą być nielegalne, lub czy z usługi korzystają głównie małoletni. Na przykład metodyki oceny wypełniania obowiązków w zakresie wprowadzenia odpowiednich i proporcjonalnych środków, aby zapewnić wysoki poziom prywatności, bezpieczeństwa i ochrony małoletnich zgodnie z art. 28 ust. 1 rozporządzenia (UE) 2022/2065, powinny umożliwiać organizacji audytowej uzyskanie wystarczającej wiedzy na temat tego, w jaki sposób małoletni korzystają z usługi będącej przedmiotem audytu, oraz na temat ryzyka dla ich prywatności, bezpieczeństwa i ochrony, które może wystąpić, a także na temat tego, co stanowi odpowiedni i proporcjonalny środek w konkretnym kontekście usługi będącej przedmiotem audytu i korzystania z niej przez małoletnich. W tym celu organizacje audytowe powinny podzielić ocenę na odpowiednie kroki. Za pomocą tych kroków należy ocenić ryzyko audytu zgodnie z profilem ryzyka audytowanego dostawcy, w szczególności to, czy usługi tego dostawcy są dostępne dla małoletnich lub czy to małoletni korzystają z nich w przeważającej części. Za pomocą tych kroków należy ocenić, czy dostawca wdrożył narzędzia ochrony ze względu na wiek, czy są one skuteczne oraz w jaki sposób audytowany dostawca ocenia i monitoruje ich skuteczność. Za pomocą tych kroków należy ocenić, czy audytowany dostawca wprowadził właściwe środki służące wykrywaniu kontradyktoryjnego korzystania z jego usługi oraz wzorców zachowań, które mają szkodzić lub mogą zaszkodzić małoletnim.

(25) Wybór metodyk należy dostosować do ryzyka zawodności systemu kontroli wewnętrznej związanego ze środkami, które audytowany dostawca wprowadził w celu wypełnienia obowiązku lub zobowiązania, a także do ryzyka niewykrycia, mianowicie niewykrycia zniekształceń w informacjach udostępnionych organizacji audytowej przez dostawcę. Na przykład w przypadku gdy obowiązek będący przedmiotem audytu może obejmować audyt systemu algorytmicznego oparty na personalizacji poszczególnych odbiorców usługi będącej przedmiotem audytu oraz na powtarzających się aktualizacjach systemu algorytmicznego, takich jak obowiązki w zakresie ujawniania informacji w odniesieniu do systemów rekomendacji zgodnie z art. 27 rozporządzenia (UE) 2022/2065, wybór metodyki powinien umożliwić organizacji audytowej zaprojektowanie odpowiednich testów w celu zminimalizowania ryzyka niewykrycia. Podobnie w przypadku gdy organizacja audytowa stara się ocenić, czy zmniejszono wszystkie istotne rodzaje ryzyka na etapie projektowania i funkcjonowania aplikacji opartych na dużych modelach językowych, takich jak funkcje czatów lub systemy rekomendacji wdrożone przez audytowanego dostawcę, i na etapie korzystania z takich aplikacji, powinna najpierw ocenić, czy kontrole prowadzone przez dostawcę są właściwe. Wybór testów powinien opierać się na solidności tych kontroli wewnętrznych. W szczególności - ale nie wyłącznie - w przypadkach, w których kontrole wewnętrzne są słabe, niekompletne lub niejednoznaczne, do celów oceny przestrzegania przepisów z uwzględnieniem populacji odbiorców usługi będącej przedmiotem audytu procedury audytu powinny opierać się na kombinacji metodyk. Metodyki mogłyby na przykład obejmować bezpośrednie procedury analityczne, takie jak analiza interakcji między wszystkimi systemami algorytmicznymi mającymi związek z systemami rekomendacji oraz powiązanymi zasadami i procesami podejmowania decyzji służącymi ustaleniu głównych parametrów tych systemów rekomendacji, obserwacje zapisów i rejestrów cyfrowych. Metodyki powinny również obejmować testy systemu takie jak testy w środowiskach symulowanych.

(26) W celu zapewnienia, aby metodyka była odpowiednia i dostosowywana do nowych ustaleń w trakcie przeprowadzania audytu, przy wyborze metodyk należy kierować się osądem zawodowym organizacji audytowej i należy ten wybór dostosować tak, aby uwzględnić te nowe ustalenia, w szczególności gdy organizacja audytowa ma uzasadnione wątpliwości co do informacji, które przedłożył audytowany dostawca. Zawodowy sceptycyzm organizacji audytowej powinien opierać się na jej wiedzy eksperckiej, a także na innych źródłach informacji o szczególnym znaczeniu dla stosowania rozporządzenia (UE) 2022/2065, takich jak sprawozdania Europejskiej Rady ds. Usług Cyfrowych, wytyczne Komisji, sprawozdania z audytu wydane na podstawie kodeksów postępowania lub protokołów kryzysowych, o których mowa w art. 45, 46 i 48 tego rozporządzenia, lub informacje pojawiające się w trakcie przeprowadzania audytu, w tym w odniesieniu do zdarzeń, w szczególności sytuacji kryzysowych, które wymagają od audytowanego dostawcy dodatkowych działań, aby zapewnić wypełnianie niektórych obowiązków lub zobowiązań będących przedmiotem audytu.

(27) W celu zapewnienia, aby w trakcie audytu zgromadzono wystarczające dowody audytowe, organizacje audytowe powinny ocenić zarówno kontrole wewnętrzne audytowanego dostawcy, jak i przeprowadzić bezpośrednie procedury audytowe w celu oceny wypełniania obowiązków lub zobowiązań przez audytowanego dostawcę. W niektórych przypadkach organizacja audytowa powinna również przeprowadzić testy.

(28) Z uwagi na złożoność systemów algorytmicznych wykorzystywanych przez dostawców platform internetowych i ich ważną rolę w wypełnianiu szeregu obowiązków określonych w rozporządzeniu (UE) 2022/2065 należy zwrócić szczególną uwagę na niezbędne i odpowiednie wybory metodyczne w odniesieniu do audytu systemów algorytmicznych. Dotyczy to zarówno przypadku, w którym systemy algorytmiczne są częścią kontroli wprowadzonych przez audytowanego dostawcę, jak i przypadku, w którym one same są przedmiotem obowiązków lub zobowiązań będących przedmiotem audytu, np. w odniesieniu do systemów rekomendacji, np. na podstawie art. 27, 34, 35 i 38 rozporządzenia (UE) 2022/2065, lub systemów reklamowych, np. na podstawie art. 26, 28, 34, 35 i 39 tego rozporządzenia, systemów moderowania treści, np. na podstawie art. 14, 15, 34 i 35 tego rozporządzenia, lub jakiegokolwiek innego systemu algorytmicznego przyczyniającego się do ryzyka, o którym mowa w art. 34 tego rozporządzenia.

(29) Należy również stosować połączenie bezpośrednich procedur analitycznych, w tym, w stosownych przypadkach, opartych na obserwacji procesów i działań audytowanego dostawcy podczas projektowania, rozwoju, obsługi, testowania i monitorowania systemów algorytmicznych lub obserwacji zapisów i rejestrów cyfrowych, które generują systemy. Metodyki należy dostosować do specyfiki systemów algorytmicznych, w tym zarządzania nimi, interakcji między różnymi systemami algorytmicznymi, a także powiązanych systemów zarządzania danymi, oraz do technologii leżących u podstaw tych systemów algorytmicznych, takich jak modele generatywne lub inne klasyfikatory, algorytmy wyboru lub wyszukiwania.

(30) Metodyki audytowe w przypadku systemów algorytmicznych powinny ponadto obejmować testy, na przykład testy służące do zebrania informacji, których audytowany dostawca nie udokumentował wcześniej, lub do niezależnego odtworzenia i oceny wyników wskaźników dokładności, testów w piaskownicach lub środowiskach symulowanych lub testów w systemach produkcyjnych, w tym przy użyciu automatycznego pobierania danych (ang. data scraping) lub testowania kontradyktoryjnego.

(31) Ponieważ wysoka jakość dowodów audytowych jest warunkiem koniecznym, aby organizacja audytowa sporządziła opinię audytową z wystarczającym poziomem pewności, informacje, które organizacja audytowa zdecyduje się wykorzystać jako dowody audytowe, powinny być odpowiednie i wystarczające do zmniejszenia ryzyka audytu. Dowody audytowe powinny ponadto być wiarygodne zgodnie z osądem zawodowym i sceptycyzmem organizacji audytowej oraz w stosownych przypadkach w świetle alternatywnych źródeł informacji. Osąd zawodowy i sceptycyzm powinny obejmować krytyczną ocenę dowodów audytowych i ewentualnych zniekształceń. Te normy jakości powinny mieć zastosowanie do wszystkich dowodów audytowych, niezależnie od tego, czy dostarczył je audyto- wany dostawca, czy zebrano je z innych źródeł.

(32) Organizacja audytowa powinna wziąć pod uwagę szereg źródeł informacji, które mogą obejmować na przykład wywiady z pracownikami lub wykonawcami danego audytowanego dostawcy, w tym z pracownikami ds. nadzoru przestrzegania rozporządzenia (UE) 2022/2065, inżynierami, naukowcami zajmującymi się danymi, architektami oprogramowania lub członkami zespołów audytu wewnętrznego. Mogą one obejmować również dokumentację techniczną projektowania, wdrażania, testowania i monitorowania odpowiedniego systemu, w tym jakości danych i zarządzania danymi oraz aktualizacji i wersji systemu, a także inne dokumenty dotyczące procesów zarządzania i procesów decyzyjnych u audytowanego dostawcy, w tym w odniesieniu do priorytetów, zasobów, podziału zadań i obowiązków lub wiedzy eksperckiej odpowiedniego personelu.

(33) Aby zapewnić skuteczność i proporcjonalność przeprowadzania audytu, organizacja audytowa powinna mieć możliwość doboru próby danych i informacji, z należytym uwzględnieniem osiągnięcia reprezentatywnej próby, co umożliwi organizacji audytowej uzyskanie opinii audytowej z wystarczającym poziomem pewności. Na potrzeby zapewnienia przejrzystości i odtwarzalności procedur audytu organizacja audytowa powinna przedstawić w sprawozdaniu z audytu uzasadnienie wyboru liczebności próby i metody doboru próby. Na przykład liczebność próby i metodykę należy wybrać z uwzględnieniem tego, co jest skuteczne z perspektywy osiągnięcia celu audytu określonego obowiązku lub zobowiązania będącego przedmiotem audytu oraz zminimalizowania ryzyka, że wniosek z audytu konkretnej próby różniłby się od wniosku, który by sformułowano, gdyby procedurze audytu poddano całą populację dowodów. Liczebność i metodykę próby należy dobrać z uwzględnieniem pełnego zakresu audytu, a także wewnętrznych lub zewnętrznych zmian w usłudze będącej przedmiotem audytu w tym czasie. Należy je również dostosować do specyfiki systemów algorytmicznych, w tym pod względem personalizacji przez profilowanie. W ramach tych rozważań organizacja audytowa powinna na przykład odpowiednio dobrać próbę z poszczególnych kohort lub przedziałów, które mogą wynikać z technik personalizacji, lub określić margines błędu i uzasadnić, dlaczego jest on na dopuszczalnym poziomie.

(34) Z uwagi na nowatorski charakter niektórych przepisów rozporządzenia (UE) 2022/2065 konieczne jest określenie przepisów dotyczących metodyki, w tym pytań audytowych i dalszych wytycznych dotyczących wyboru metodyk i dowodów audytowych na potrzeby oceny przestrzegania tych przepisów, a mianowicie oceny przestrzegania art. 34, 35 i 36 rozporządzenia (UE) 2022/2065 dotyczących przeprowadzania ocen ryzyka i przyjmowania środków zmniejszających ryzyko przez audytowanych dostawców oraz stosowania obowiązków w zakresie reagowania kryzysowego.

(35) Z uwagi na fakt, że organizacje audytowe powinny również oceniać, czy audytowany dostawca przestrzega art. 37 rozporządzenia (UE) 2022/2065, należy również przedstawić dalsze specyfikacje dotyczące dokładnego audytu, względem których należy oceniać to przestrzeganie, w szczególności aby uniknąć wszelkich konfliktów interesów dla organizacji audytowej.

(36) Ze względu na dobrowolny charakter kodeksów postępowania i protokołów kryzysowych konieczne jest ustanowienie przepisów szczegółowych dotyczących audytu przestrzegania art. 45, 46 i 48 rozporządzenia (UE) 2022/2065, w szczególności w celu zapewnienia, aby organizacje audytowe dysponowały wszystkimi informacjami niezbędnymi do przeprowadzania audytów specyficznych dla zobowiązań wynikających z każdego kodeksu postępowania i protokołu kryzysowego,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

SEKCJA  I

Przepisy ogólne

Artykuł  1

Przedmiot

W niniejszym rozporządzeniu ustanawia się przepisy dotyczące przeprowadzania audytów na podstawie art. 37 rozporządzenia (UE) 2022/2065 w odniesieniu do:

a)
etapów procedury mających na celu zapewnienie, aby wybrana organizacja audytowa spełniała warunki określone w art. 37 ust. 3 rozporządzenia (UE) 2022/2065;
b)
etapów procedury dotyczących współpracy z audytowanym dostawcą i udzielania mu pomocy w procesie przeprowadzania audytów, w tym dostępu do istotnych informacji w celu uzyskania dowodów audytowych;
c)
określenia i wyboru metodyk audytowych;
d)
wzorów sprawozdania z audytu i sprawozdania z realizacji audytu.
Artykuł  2

Definicje

Do celów niniejszego rozporządzenia stosuje się następujące definicje:

1)
"organizacja audytowa" oznacza pojedynczą organizację, konsorcjum lub inną kombinację organizacji, w tym wszelkich podwykonawców, którym audytowany dostawca zlecił przeprowadzenie niezależnego audytu zgodnie z art. 37 rozporządzenia (UE) 2022/2065;
2)
"usługa będąca przedmiotem audytu" oznacza bardzo dużą platformę internetową lub bardzo dużą wyszukiwarkę internetową wskazaną zgodnie z art. 33 rozporządzenia (UE) 2022/2065;
3)
"audytowany dostawca" oznacza dostawcę usługi będącej przedmiotem audytu, który podlega niezależnym audytom zgodnie z art. 37 ust. 1 tego rozporządzenia;
4)
"obowiązek lub zobowiązanie będące przedmiotem audytu" oznacza obowiązek lub zobowiązanie, o których mowa w art. 37 ust. 1 rozporządzenia (UE) 2022/2065, stanowiące przedmiot audytu;
5)
"kryteria audytu" oznaczają kryteria, na podstawie których organizacja audytowa ocenia wypełnianie każdego obowiązku lub zobowiązania będącego przedmiotem audytu;
6)
"dowody audytowe" oznaczają wszelkie informacje, które organizacja audytowa wykorzystuje do poparcia ustaleń i wniosków z audytu oraz do wydania opinii audytowej, w tym dane zebrane z dokumentów, baz danych lub systemów informatycznych, wywiadów lub przeprowadzonych testów;
7)
"zniekształcenie" oznacza zamierzone lub niezamierzone pominięcie, podanie wprowadzających w błąd lub błędnych danych w deklaracjach lub danych, które audytowany dostawca zgłosił lub przekazał organizacji audytowej, lub w środowisku testowym, które dostawca poddany audytowi udostępnił organizacji audytowej;
8)
"ryzyko audytu" oznacza ryzyko, że organizacja audytowa wyda nieprawidłową opinię audytową lub wyciągnie nieprawidłowe wnioski dotyczące wypełniania przez audytowanego dostawcę obowiązku lub zobowiązania będącego przedmiotem audytu, z uwzględnieniem ryzyka niewykrycia, ryzyka nieodłącznego i ryzyka zawodności systemu kontroli wewnętrznej w odniesieniu do tego obowiązku lub zobowiązania będącego przedmiotem audytu;
9)
"ryzyko niewykrycia" oznacza ryzyko, że organizacja audytowa nie wykryje zniekształcenia, które jest istotne dla oceny wypełniania przez audytowanego dostawcę obowiązku lub zobowiązania będącego przedmiotem audytu;
10)
"ryzyko nieodłączne" oznacza ryzyko nieprzestrzegania przepisów nierozerwalnie związane z charakterem usługi będącej przedmiotem audytu, etapem jej projektowania, działalnością, na której ta usługa polega, i korzystaniem z tej usługi, a także z kontekstem, w którym ona funkcjonowała, oraz ryzyko nieprzestrzegania przepisów związane z charakterem obowiązku lub zobowiązania będącego przedmiotem audytu;
11)
"ryzyko zawodności systemu kontroli wewnętrznej" oznacza ryzyko, że zniekształceniu nie zapobiegnie się, nie wykryje się go i nie skoryguje w odpowiednim czasie za pomocą kontroli wewnętrznych audytowanego dostawcy;
12)
"próg istotności" oznacza próg, powyżej którego odchylenia lub zniekształcenia ze strony audytowanego dostawcy, miałyby - indywidualnie lub łącznie - zgodnie z uzasadnionymi przypuszczeniami wpływ na ustalenia i wnioski z audytu oraz opinie audytowe;
13)
"wystarczający poziom pewności" oznacza wysoki, ale nie absolutny poziom pewności, który umożliwia organizacji audytowej stwierdzenie w swojej opinii audytowej i wnioskach z audytu, czy audytowany dostawca wypełnia obowiązki lub zobowiązania będące przedmiotem audytu, na podstawie wystarczających i odpowiednich dowodów;
14)
"kontrola wewnętrzna" oznacza wszelkie środki, w tym procesy i testy, które projektuje, wdraża i utrzymuje audyto- wany dostawca, w tym jego pracownicy ds. nadzoru przestrzegania rozporządzenia (UE) 2022/2065 i organ zarządzający, w celu monitorowania i zapewnienia wypełniania przez audytowanego dostawcę obowiązku lub zobowiązania będącego przedmiotem audytu;
15)
"zweryfikowany badacz" oznacza badacza zweryfikowanego zgodnie z art. 40 ust. 8 rozporządzenia (UE) 2022/2065;
16)
"procedura audytu" oznacza każdą technikę, którą organizacja audytowa stosuje przy przeprowadzaniu audytu, w tym gromadzenie danych, wybór i stosowanie metodyk, takich jak testy i bezpośrednie procedury analityczne, oraz wszelkie inne działania podejmowane, by gromadzić i analizować informacje w celu zebrania dowodów audytowych i sformułowania wniosków z audytu, z wyłączeniem wydania opinii audytowej lub sprawozdania z audytu;
17)
"test" oznacza metodykę audytową polegającą na pomiarach, eksperymentach lub innych kontrolach, w tym kontroli systemów algorytmicznych, za pomocą której organizacja audytowa ocenia wypełnianie przez audytowanego dostawcę obowiązku lub zobowiązania będącego przedmiotem audytu;
18)
"bezpośrednia procedura analityczna" oznacza metodykę audytową, którą organizacja audytowa stosuje do oceny informacji w celu wyciągnięcia wniosków o ryzyku audytu lub wypełnianiu obowiązku lub zobowiązania będącego przedmiotem audytu.
Artykuł  3

Zakres audytu i wystarczający poziom pewności

1. 
Audyt przeprowadza się w taki sposób i przez taki okres, które pozwalają organizacji audytowej ocenić wypełnianie przez audytowanego dostawcę wszystkich obowiązków i zobowiązań będących przedmiotem audytu z wystarczającym poziomem pewności.
2. 
Audyt obejmuje okres rozpoczynający się bezpośrednio po okresie objętym poprzednim audytem i kończący się w dniu, który umożliwia organizacji audytowej przeprowadzenie audytu w terminie wymaganym na mocy art. 37 ust. 1 rozporządzenia (UE) 2022/2065, co obejmuje potwierdzenie jej oceny zgodnie z ust. 1 na podstawie zebranych dowodów i procedury audytu przeprowadzonej w tym okresie oraz sporządzenie i przedłożenie sprawozdania z audytu audytowa- nemu dostawcy zgodnie z art. 37 ust. 4 tego rozporządzenia.
3. 
Jeżeli nie przeprowadzono dotychczas audytu, audyt obejmuje okres rozpoczynający się cztery miesiące po powiadomieniu, o którym mowa w art. 33 ust. 6 akapit pierwszy rozporządzenia (UE) 2022/2065, a czas trwania audytu umożliwia sporządzenie sprawozdania z audytu zgodnie z art. 6 ust. 1 najpóźniej w ciągu roku licząc od początku okresu objętego audytem.

SEKCJA  II

Warunki przeprowadzania audytu

Artykuł  4

Wybór organizacji audytowej

1. 
Przed wyborem organizacji audytowej do celów przeprowadzenia audytu audytowany dostawca sprawdza, czy organizacja, która ma zostać wybrana, spełnia wymogi określone w art. 37 ust. 3 rozporządzenia (UE) 2022/2065.
2. 
W przypadku gdy organizacja audytowa, która ma zostać wybrana, składa się z więcej niż jednej osoby prawnej lub zamierza skorzystać z usług co najmniej jednego podwykonawcy, audytowany dostawca sprawdza, czy wszystkie te osoby prawne lub podwykonawcy:
a)
indywidualnie spełniają wymogi określone w art. 37 ust. 3 lit. a) i c) rozporządzenia (UE) 2022/2065;
b)
wspólnie spełniają wymóg określony w art. 37 ust. 3 lit. b) rozporządzenia (UE) 2022/2065.
Artykuł  5

Współpraca i pomoc między audytowanym dostawcą a organizacją audytową

1. 
W czasie uzgodnionym z organizacją audytową, a w każdym razie przed przeprowadzeniem jakiejkolwiek procedury audytu, audytowany dostawca przekazuje wybranej organizacji audytowej co najmniej następujące informacje:
a)
opis kontroli wewnętrznych wprowadzonych w odniesieniu do każdego obowiązku i zobowiązania będącego przedmiotem audytu, w tym powiązane wskaźniki i wszystkie pomiary bieżące i historyczne, a także punkty odniesienia, które audytowany dostawca stosuje w celu potwierdzenia lub monitorowania wypełniania obowiązków i zobowiązań będących przedmiotem audytu, jak również wszelkie dokumenty potwierdzające;
b)
wstępną analizę ryzyka nieodłącznego i ryzyka zawodności systemu kontroli wewnętrznej, w przypadku gdy audyto- wany dostawca przeprowadził taką analizę, oraz wszelkie dokumenty potwierdzające;
c)
informacje na temat wszelkich odpowiednich struktur decyzyjnych, kompetencji departamentów dostawcy, w tym komórki nadzoru przestrzegania rozporządzenia (UE) 2022/2065 na podstawie jego art. 41, odpowiednich systemów informatycznych, źródeł danych, przetwarzania i przechowywania, a także wyjaśnienia dotyczące odpowiednich systemów algorytmicznych i ich interakcji.
2. 
Audytowany dostawca bez zbędnej zwłoki udziela organizacji audytowej dostępu do wszystkich danych niezbędnych do przeprowadzenia audytu, w tym danych osobowych, dokumentacji, informacji na temat procedur i procesów, a także do systemów informatycznych, środowisk testowych, personelu i pomieszczeń tego dostawcy oraz wszelkich odpowiednich podwykonawców.
3. 
Audytowany dostawca udostępnia wszelkie niezbędne zasoby i zapewnia organizacji audytowej pomoc i wyjaśnienia, które są jej niezbędne do analizy istotnych informacji i przeprowadzenia testów, w tym w przypadku gdy informacje wymagane przez organizację audytową zgodnie z art. 37 ust. 3 rozporządzenia (UE) 2022/2065 znajdują się w posiadaniu osoby trzeciej działającej na zlecenie audytowanego dostawcy.

SEKCJA  III

Przeprowadzanie audytów

Artykuł  6

Sprawozdanie z audytu i sprawozdanie z realizacji audytu

1. 
Sprawozdanie z audytu, o którym mowa w art. 37 ust. 4 rozporządzenia (UE) 2022/2065, organizacja audytowa sporządza bez ingerencji ze strony audytowanego dostawcy. Sprawozdanie z audytu sporządza się zgodnie ze wzorem przedstawionym w załączniku I i zawiera ono szczegółowe i uzasadnione wnioski dotyczące wszystkich elementów wzoru.
2. 
W stosownych przypadkach sprawozdanie z realizacji audytu, o którym mowa w art. 37 ust. 6 rozporządzenia (UE) 2022/2065, sporządza się zgodnie ze wzorem przedstawionym w załączniku II.
Artykuł  7

Procedury przygotowań do audytu

1. 
Audytowany dostawca i organizacja audytowa zawierają pisemną umowę określającą:
a)
wyczerpujący wykaz obowiązków i zobowiązań będących przedmiotem audytu;
b)
obowiązki organizacji audytowej, w tym, w stosownych przypadkach, szczegółowo określone w odniesieniu do każdej osoby prawnej wchodzącej w skład organizacji audytowej oraz stron upoważnionych do podpisania sprawozdania z audytu;
c)
procedury i punkty kontaktowe, które audytowany dostawca udostępnia organizacji audytowej do celów wnioskowania przez nią o dostęp do danych, o których mowa w art. 5 ust. 2;
d)
ramy czasowe audytu, w tym daty rozpoczęcia i zakończenia procedur audytu oraz ukończenia sprawozdania z audytu;
e)
procedurę rozstrzygania sporów między audytowanym dostawcą a organizacją audytową wynikających z przeprowadzania audytu.
2. 
Umowę, o której mowa w ust. 1, a także wszelkie inne umowy lub pisma między organizacją audytową a audytowa- nym dostawcą dotyczące przeprowadzenia audytu załącza się do sprawozdania z audytu.
3. 
W przypadku gdy w trakcie przeprowadzania audytu wprowadza się zmiany do umowy, o której mowa w ust. 1, wskazuje się je wyraźnie w sprawozdaniu z audytu.
Artykuł  8

Opinia audytowa, wnioski z audytu i zalecenia

1. 
Sprawozdanie z audytu zawiera wnioski z audytu, które organizacja audytowa sformułowała na temat wypełniania przez audytowanego dostawcę każdego z obowiązków i zobowiązań będących przedmiotem audytu. Wnioski z audytu są:
a)
"pozytywne", w przypadku gdy organizacja audytowa stwierdza z wystarczającym poziomem pewności, że audytowany dostawca wypełnił obowiązek lub zobowiązanie będące przedmiotem audytu;
b)
"pozytywne z uwagami", w przypadku gdy organizacja audytowa stwierdza z wystarczającym poziomem pewności, że audytowany dostawca wypełnił obowiązek lub zobowiązanie będące przedmiotem audytu, ale:
(i)
organizacja audytowa uwzględnia uwagi dotyczące punktów odniesienia przedstawionych przez audytowanego dostawcę zgodnie z art. 5 ust. 1 lit. a); lub
(ii)
organizacja audytowa zaleca ulepszenia, które nie mają istotnego wpływu na jej wnioski.
c)
"negatywne", w przypadku gdy organizacja audytowa stwierdza z wystarczającym poziomem pewności, że audytowany dostawca nie wypełnił obowiązku lub zobowiązania będącego przedmiotem audytu.
2. 
W przypadku gdy sprawozdanie z audytu zawiera zalecenia operacyjne na podstawie art. 37 ust. 4 lit. h) rozporządzenia (UE) 2022/2065, zalecenia te i ich zalecany termin realizacji odnoszą się konkretnie do każdego obowiązku lub zobowiązania będącego przedmiotem audytu, w odniesieniu do których wniosek z audytu na podstawie ust. 1 jest "pozytywny z uwagami" lub "negatywny".
3. 
W przypadku gdy zalecenia operacyjne, o których mowa w ust. 2, obejmują szczególne środki umożliwiające przestrzeganie przepisów, formułuje się je tak, aby wyjaśnić ocenę organizacji audytowej dotyczącą tego, w jaki sposób te środki wpłynęłyby na próg istotności w porównaniu z wnioskami z audytu w odniesieniu do danego obowiązku lub zobowiązania będącego przedmiotem audytu.
4. 
Na podstawie wniosków z audytu sprawozdanie z audytu zawiera opinię audytową dotyczącą wypełniania przez audytowanego dostawcę wszystkich obowiązków będących przedmiotem audytu, o których mowa w art. 37 ust. 1 lit. a) rozporządzenia (UE) 2022/2065.
5. 
Na podstawie wniosków dotyczących wszystkich zobowiązań będących przedmiotem audytu sprawozdanie z audytu zawiera opinię lub opinie audytowe, w stosownych przypadkach, na temat wypełniania przez audytowanego dostawcę wszystkich zobowiązań będących przedmiotem audytu podjętych przez audytowanego dostawcę w ramach każdego kodeksu postępowania i protokołu kryzysowego, o których mowa w art. 37 ust. 1 lit. b) rozporządzenia (UE) 2022/2065.
6. 
Opinie audytowe na podstawie ust. 4 i 5 są:
a)
"pozytywne", jeżeli organizacja audytowa wyciągnęła "pozytywny" wniosek z audytu w odniesieniu do wszystkich obowiązków lub zobowiązań będących przedmiotem audytu;
b)
"pozytywne z uwagami", jeżeli organizacja audytowa wyciągnęła co najmniej jeden wniosek z audytu, który jest "pozytywny z uwagami" w odniesieniu do obowiązku lub zobowiązania będącego przedmiotem audytu, i nie wyciągnęła "negatywnego" wniosku z audytu w odniesieniu do żadnego z obowiązków lub zobowiązań będących przedmiotem audytu;
c)
"negatywne", jeżeli organizacja audytowa wyciągnęła "negatywny" wniosek z audytu w odniesieniu do co najmniej jednego obowiązku lub zobowiązania będącego przedmiotem audytu.
7. 
W przypadku gdy organizacja audytowa ocenia, że przez ograniczony czas w okresie, o którym mowa w art. 3 ust. 2, dostawca nie wypełniał obowiązku lub zobowiązania będącego przedmiotem audytu, w sprawozdaniu z audytu należycie dokumentuje się tę ocenę.
8. 
W przypadku gdy organizacja audytowa nie może z wystarczającym poziomem pewności wydać wniosku z audytu na podstawie ust. 1 lub opinii audytowej na podstawie ust. 4 i 5, w sprawozdaniu z audytu zamieszcza się wyjaśnienie okoliczności oraz powody, dla których takiego poziomu pewności nie można było osiągnąć.

SEKCJA  IV

Metodyki audytowe

Artykuł  9

Analiza ryzyka audytu

1. 
Sprawozdanie z audytu zawiera uzasadnioną analizę ryzyka audytu, którą organizacja audytowa przeprowadziła w celu oceny wypełniania przez audytowanego dostawcę każdego obowiązku lub zobowiązania będącego przedmiotem audytu.
2. 
Analizę ryzyka audytu przeprowadza się przed przeprowadzeniem procedur audytu i aktualizuje się podczas przeprowadzania audytu w świetle wszelkich nowych dowodów audytowych, które zgodnie z osądem zawodowym organizacji audytowej w istotny sposób zmieniają ocenę ryzyka audytu.
3. 
W analizie ryzyka audytu uwzględnia się:
a)
ryzyko nieodłączne;
b)
ryzyko zawodności systemu kontroli wewnętrznej;
c)
ryzyko niewykrycia.
4. 
Analizę ryzyka audytu przeprowadza się z uwzględnieniem:
a)
charakteru usługi będącej przedmiotem audytu oraz kontekstu społecznego i gospodarczego, w którym świadczona jest ta usługa, w tym prawdopodobieństwa i dotkliwość narażenia na sytuacje kryzysowe i nieoczekiwane zdarzenia;
b)
charakteru obowiązków i zobowiązań;
c)
innych odpowiednich informacji, w tym:
(i)
w stosownych przypadkach informacji z poprzednich audytów, których przedmiotem była dana usługa;
(ii)
w stosownych przypadkach informacji ze sprawozdań wydanych przez Europejską Radę ds. Usług Cyfrowych lub informacji zawartych w wytycznych Komisji, w tym w wytycznych wydanych na podstawie art. 35 ust. 2 i 3 rozporządzenia (UE) 2022/2065, oraz wszelkich innych odpowiednich wytycznych wydanych przez Komisję w odniesieniu do stosowania rozporządzenia (UE) 2022/2065;
(iii)
w stosownych przypadkach informacji ze sprawozdań z audytu opublikowanych na podstawie art. 42 ust. 4 rozporządzenia (UE) 2022/2065 przez innych dostawców bardzo dużych platform internetowych lub bardzo dużych wyszukiwarek internetowych działających w podobnych warunkach lub świadczących usługi podobne do usługi będącej przedmiotem audytu.
Artykuł  10

Odpowiednia metodyka audytowa

1. 
Bez uszczerbku dla konkretnych metodyk audytowych określonych w art. 13, 14 i 15 audyty przeprowadza się z wykorzystaniem odpowiednich metodyk audytowych w celu ograniczenia ocenianego ryzyka audytu do poziomu, który umożliwia organizacji audytowej wyciągnięcie wniosków z audytu z wystarczającym poziomem pewności.
2. 
Sprawozdanie z audytu zawiera opis metodyki audytowej, którą organizacja audytowa opracowała przed przeprowadzeniem jakichkolwiek procedur audytu, w tym co najmniej:
a)
kryteria audytu służące ocenie wypełniania każdego obowiązku lub zobowiązania będącego przedmiotem audytu, określone na podstawie informacji zgodnie z art. 5 ust. 1 lit. a), oraz tolerowany próg istotności wyrażony odpowiednio w kategoriach jakościowych lub ilościowych;
b)
wszystkie testy i bezpośrednie procedury analityczne oraz dowody audytowe, które organizacja audytowa zamierza wykorzystać do oceny wypełniania każdego obowiązku lub zobowiązania będącego przedmiotem audytu.

Sprawozdanie z audytu zawiera opis wszelkich zmian w metodykach stosowanych podczas przeprowadzania audytu w porównaniu z metodykami opracowanymi przed przeprowadzeniem procedur audytu.

3. 
W przypadku gdy organizacja audytowa ma uzasadnione wątpliwości co do informacji ocenionych w trakcie przeprowadzania audytu, w szczególności w odniesieniu do informacji przedstawionych przez audytowanego dostawcę, wybór i stosowanie metodyki dostosowuje się, aby dostarczyć tej organizacji niezbędne dowody audytowe zgodnie z art. 11.
4. 
Uznaje się, że uzasadnione wątpliwości, o których mowa w ust. 3, powstają w szczególności w obecności któregokolwiek z następujących elementów:
a)
osąd zawodowy i sceptycyzm w ocenie informacji, w tym dotyczących kontroli wewnętrznych audytowanego dostawcy, które skłaniają organizację audytową do sformułowania uzasadnionych wątpliwości;
b)
przesłanek zewnętrznych wskazujących na ryzyko audytu, w szczególności sprawozdań Europejskiej Rady ds. Usług Cyfrowych, o których mowa w art. 35 ust. 2 rozporządzenia (UE) 2022/2065, wytycznych Komisji, o których mowa w art. 35 ust. 3 tego rozporządzenia, oraz wszelkich innych odpowiednich wytycznych wydanych przez Komisję w odniesieniu do stosowania rozporządzenia (UE) 2022/2065, a także sprawozdań z audytu wydanych na podstawie kodeksów postępowania lub protokołów kryzysowych, o których mowa w art. 45, 46 i 48 tego rozporządzenia;
c)
informacji związanych ze zdarzeniami mającymi miejsce podczas przeprowadzania audytu, w tym z sytuacjami kryzysowymi, które to zdarzenia wymagają dodatkowych działań ze strony audytowanego dostawcy, aby zapewnić wypełnianie określonych obowiązków lub zobowiązań będących przedmiotem audytu.
5. 
Procedury audytu obejmują co najmniej:
a)
przeprowadzanie testów i bezpośrednich procedur analitycznych dotyczących kontroli wewnętrznych, które audyto- wany dostawca wprowadził w odniesieniu do każdego z obowiązków lub zobowiązań będących przedmiotem audytu;
b)
przeprowadzanie bezpośrednich procedur analitycznych w celu oceny wypełniania każdego obowiązku i zobowiązania będącego przedmiotem audytu, w tym w odniesieniu do systemów algorytmicznych;
c)
przeprowadzanie testów, w tym w odniesieniu do systemów algorytmicznych, dotyczących obowiązków i zobowiązań będących przedmiotem audytu, w związku z którymi organizacja audytowa ma uzasadnione wątpliwości, o których mowa w ust. 4, oraz testów dotyczących obowiązków i zobowiązań będących przedmiotem audytu, w przypadku gdy organizacja audytowa uzna za konieczne przeprowadzenie testów przy wyborze metodyki zgodnie z ust. 1.
6. 
W przypadku gdy obowiązki lub zobowiązania, o których mowa w art. 37 ust. 1 rozporządzenia (UE) 2022/2065, wymagają od audytowanego dostawcy podania do wiadomości publicznej określonych informacji, metodyki audytu obejmują ocenę, czy podane do wiadomości publicznej informacje są wolne od istotnych błędów lub pominięć, które mogłyby w przeciwnym razie wprowadzać w błąd.
Artykuł  11

Jakość dowodów audytowych

Wnioski z audytu i opinie audytowe opierają się na dowodach audytowych, które spełniają oba poniższe wymogi:

a)
są istotne i wystarczające do ograniczenia ryzyka audytu zidentyfikowanego zgodnie z art. 9 oraz do umożliwienia organizacji audytowej przedstawienia wniosków z audytu i opinii audytowych zgodnie z art. 8;
b)
są wiarygodne według osądu zawodowego i sceptycyzmu organizacji audytowej.
Artykuł  12

Metody doboru próby

1. 
W przypadku gdy dowody audytowe opierają się częściowo lub w całości na próbie danych lub informacji, liczebność próby i metodykę doboru próby wybiera się tak, by zminimalizować ryzyka niewykrycia, i bez ingerencji audytowanego dostawcy.
2. 
Liczebność próby i metodykę doboru próby wybiera się w sposób zapewniający reprezentatywność danych lub informacji oraz, w stosownych przypadkach, z uwzględnieniem wszystkich następujących elementów:
a)
reprezentatywności próby w okresie, o którym mowa w art. 3 ust. 2 i 3;
b)
istotnych zmian w usłudze będącej przedmiotem audytu w tym okresie;
c)
istotnych zmian kontekstu, w którym usługa będąca przedmiotem audytu jest świadczona w tym okresie;
d)
istotnych cech systemów algorytmicznych, w stosownych przypadkach, w tym personalizacji opartej na profilowaniu lub innych kryteriach;
e)
innych istotnych cech lub podziału rozważanych danych, informacji i dowodów;
f)
w stosownych przypadkach przedstawienia i odpowiedniej analizy obaw związanych z konkretnymi grupami, takimi jak małoletni lub słabsze grupy i mniejszości, w odniesieniu do obowiązku lub zobowiązania będącego przedmiotem audytu.
3. 
Sprawozdanie z audytu zawiera uzasadnienie wyboru liczebności próby i metodyki doboru próby.
Artykuł  13

Konkretne metodyki na potrzeby audytu przestrzegania art. 34 rozporządzenia (UE) 2022/2065 dotyczącego oceny ryzyka

1. 
Ocena przestrzegania art. 34 rozporządzenia (UE) 2022/2065 przez audytowanego dostawcę obejmuje między innymi analizę wszystkich następujących elementów:
a)
czy audytowany dostawca z należytą starannością zidentyfikował, przeanalizował i ocenił ryzyko systemowe w Unii, o którym mowa w art. 34 ust. 1 akapit pierwszy rozporządzenia (UE) 2022/2065, w tym przez ocenę:
(i)
w jaki sposób audytowany dostawca zidentyfikował ryzyko związane z jego usługą, z uwzględnieniem regionalnych i językowych aspektów korzystania z jego usługi, w tym gdy są one specyficzne dla danego państwa członkowskiego, oraz czy ryzyko odpowiednio zidentyfikowano;
(ii)
w jaki sposób audytowany dostawca przeanalizował i ocenił każde ryzyko, w tym w jaki sposób uwzględnił prawdopodobieństwo i powagę ryzyka, oraz czy ocena była odpowiednia;
(iii)
w jaki sposób audytowany dostawca zidentyfikował, przeanalizował i ocenił czynniki, o których mowa w art. 34 ust. 2 akapit pierwszy rozporządzenia (UE) 2022/2065, czy odpowiednio je zidentyfikowano oraz w jakim stopniu czynniki te wpływają na ryzyka określone w ust. 1 tego artykułu;
(iv)
jakie źródła informacji audytowany dostawca wykorzystał, jak zgromadził informacje, w tym czy i w jaki sposób opierał się na spostrzeżeniach naukowych i technicznych;
(v)
czy i w jaki sposób audytowany dostawca przetestował założenia dotyczące ryzyka z grupami, na które konkretne rodzaje ryzyka mają największy wpływ;
b)
czy ocenę ryzyka przeprowadzono w terminach określonych w art. 34 ust. 1 akapit drugi rozporządzenia (UE) 2022/2065 oraz, w stosownych przypadkach, w terminach określonych dla działań ustanowionych jako środki zmniejszające ryzyko w celu wykrywania ryzyka systemowego zgodnie z art. 35 ust. 1 lit. f) tego rozporządzenia;
c)
w jaki sposób audytowany dostawca zidentyfikował funkcje mogące mieć krytyczny wpływ na ryzyko, w odniesieniu do którego przeprowadza się oceny ryzyka przed ich uruchomieniem, zgodnie z art. 34 ust. 1 akapit drugi rozporządzenia (UE) 2022/2065, czy funkcje te prawidłowo zidentyfikowano i czy ocenę ryzyka odpowiednio przeprowadzono;
d)
czy audytowany dostawca prawidłowo zidentyfikował dokumentację potwierdzającą, którą należy przechowywać w odniesieniu do oceny ryzyka, oraz czy wprowadził środki niezbędne do zapewnienia przechowywania tej dokumentacji przez co najmniej trzy lata, zgodnie z art. 34 ust. 3 rozporządzenia (UE) 2022/2065, oraz czy dokumentację przechowywano odpowiednio.
2. 
Bez uszczerbku dla wszelkich innych analiz niezbędnych do osiągnięcia wystarczającego poziomu pewności, metodyki audytu przestrzegania art. 34 rozporządzenia (UE) 2022/2065 obejmują co najmniej ocenę następujących elementów przez organizację audytową:
a)
kontroli wewnętrznych wprowadzonych przez audytowanego dostawcę w celu monitorowania przeprowadzania ocen ryzyka w odniesieniu do każdego czynnika, o którym mowa w art. 34 ust. 2 akapit pierwszy rozporządzenia (UE) 2022/2065; ocena taka:
(i)
opiera się na bezpośrednich procedurach analitycznych w odniesieniu do tych kontroli wewnętrznych;
(ii)
opiera się na testach, czy te kontrole wewnętrzne są rzetelne oraz starannie opracowane, przeprowadzane i monitorowane;
(iii)
obejmuje to, w jaki sposób pracownik lub pracownicy ds. nadzoru przestrzegania rozporządzenia (UE) 2022/2065 wykonali swoje zadania zgodnie z art. 41 ust. 3 lit. b), d), e) oraz w stosownych przypadkach lit. f) rozporządzenia (UE) 2022/2065 oraz w jaki sposób organ zarządzający audytowanego dostawcy uczestniczył w podejmowaniu decyzji związanych z zarządzaniem ryzykiem na podstawie art. 41 ust. 6 i 7 tego rozporządzenia;
b)
działań, środków i procesów wprowadzonych przez audytowanego dostawcę w celu zapewnienia przestrzegania art. 34 rozporządzenia (UE) 2022/2065 oraz ich wyniki; ocena taka opiera się na:
(i)
bezpośrednich procedurach analitycznych;
(ii)
testach, w tym testach systemów algorytmicznych, w przypadku gdy organizacja audytowa ma uzasadnione wątpliwości w następstwie wyników bezpośrednich procedur analitycznych i oceny kontroli wewnętrznych lub w przypadku gdy organizacja audytowa uzna za konieczne przeprowadzenie testów przy wyborze metodyki zgodnie z art. 10 ust. 1.
3. 
Informacje analizowane przez organizację audytową na potrzeby oceny przeprowadzonej na podstawie niniejszego artykułu obejmują między innymi:
a)
sprawozdanie z oceny ryzyka za odpowiedni okres objęty audytem, sporządzone przez audytowanego dostawcę, w tym, w razie potrzeby, informacje poufne, które nie stanowią części informacji publikowanych na podstawie art. 42 ust. 2 tego rozporządzenia, oraz wszystkie dokumenty potwierdzające;
b)
w stosownych przypadkach inne sprawozdania z oceny ryzyka sporządzone przez audytowanego dostawcę oraz dokumenty je potwierdzające;
c)
informacje przedłożone przez audytowanego dostawcę zgodnie z art. 5;
d)
wszystkie odpowiednie sprawozdania z przejrzystości sporządzone przez audytowanego dostawcę, o których mowa w art. 15 ust. 1 rozporządzenia (UE) 2022/2065;
e)
wszelkie inne wyniki testów, dokumentację, dowody, oświadczenia złożone w odpowiedzi na pytania pisemne lub ustne skierowane przez organizację audytową do personelu audytowanego dostawcy oraz, w stosownych przypadkach, uwagi sformułowane na miejscu;
f)
inne istotne dowody, w tym oparte na informacjach udostępnionych przez audytowanego dostawcę;
g)
jeżeli są dostępne - sprawozdania, o których mowa w art. 35 ust. 2 rozporządzenia (UE) 2022/2065, i wytyczne wydane przez Komisję, w tym wytyczne wydane na podstawie art. 35 ust. 3 tego rozporządzenia, oraz wszelkie inne odpowiednie wytyczne wydane przez Komisję w odniesieniu do stosowania rozporządzenia (UE) 2022/2065.
4. 
Informacje analizowane przez organizację audytową mogą obejmować, w stosownych przypadkach, informacje, o których mowa w art. 42 ust. 4 rozporządzenia (UE) 2022/2065, w tym informacje pochodzące ze sprawozdań z audytu, oceny ryzyka i zmniejszania ryzyka, dotyczące innych bardzo dużych platform internetowych lub bardzo dużych wyszukiwarek internetowych, lub dane i badania udostępniane publicznie przez zweryfikowanych badaczy na podstawie art. 40 ust. 8 lit. g) rozporządzenia.
Artykuł  14

Konkretne metodyki na potrzeby audytu przestrzegania art. 35 rozporządzenia (UE) 2022/2065 dotyczącego zmniejszania ryzyka

1. 
Ocena przestrzegania art. 35 rozporządzenia (UE) 2022/2065 przez audytowanego dostawcę obejmuje między innymi analizę wszystkich następujących elementów:
a)
w jaki sposób audytowany dostawca zidentyfikował środki zmniejszające ryzyko w odniesieniu do każdego ryzyka systemowego, o którym mowa w art. 34 ust. 1 rozporządzenia (UE) 2022/2065, oraz czy identyfikację takich środków zmniejszających ryzyko przeprowadzono z należytą starannością;
b)
w jaki sposób audytowany dostawca ocenił, czy środki zmniejszające ryzyko, o których mowa w art. 35 ust. 1 lit. a)-k) rozporządzenia (UE) 2022/2065, miały zastosowanie do usługi będącej przedmiotem audytu oraz czy wnioski z tej oceny były odpowiednie, w tym w odniesieniu do tych środków, których audytowany dostawca nie zastosował;
c) 2
 czy środki zmniejszające ryzyko wprowadzone przez audytowanego dostawcę są racjonalne, proporcjonalne i skuteczne w celu zmniejszenia odnośnego ryzyka, w tym poprzez:
(i)
ocenę, czy zbiorowo reagują na wszystkie rodzaje ryzyka, ze szczególnym uwzględnieniem ryzyka związanego z korzystaniem z praw podstawowych;
(ii)
porównawczą ocenę, w jaki sposób ryzyko zostało uwzględnione przed wprowadzeniem konkretnych środków zmniejszających ryzyko i po ich wprowadzeniu;
(iii)
ocenę, czy środki zmniejszające ryzyko zostały odpowiednio zaprojektowane i wdrożone.
2. 
Bez uszczerbku dla wszelkich innych analiz niezbędnych do osiągnięcia wystarczającego poziomu pewności, metodyki audytu przestrzegania art. 35 rozporządzenia (UE) 2022/2065 obejmują co najmniej ocenę następujących elementów przez organizację audytową:
a)
kontroli wewnętrznych wprowadzonych przez audytowanego dostawcę w celu monitorowania stosowania środków zmniejszających ryzyko, o których mowa w art. 35 ust. 1 rozporządzenia (UE) 2022/2065, oraz tego, czy środki te są rozsądne, proporcjonalne i skuteczne; ocena taka:
(i)
opiera się na bezpośrednich procedurach analitycznych w odniesieniu do tych kontroli wewnętrznych;
(ii)
opiera się na testach, czy te kontrole wewnętrzne są rzetelne oraz starannie opracowane, przeprowadzane i monitorowane;
(iii)
obejmuje to, w jaki sposób pracownik lub pracownicy ds. nadzoru przestrzegania rozporządzenia (UE) 2022/2065 wykonali swoje zadania w odniesieniu do art. 41 ust. 3 lit. b), d) i e), a, w stosownych przypadkach, lit. f) rozporządzenia (UE) 2022/2065, oraz w jaki sposób zaangażowany był organ zarządzający dostawcy na podstawie art. 41 ust. 6 i 7 tego rozporządzenia;
b)
środków zmniejszających ryzyko wprowadzonych przez audytowanych dostawców; ocena taka opiera się na:
(i)
bezpośrednich procedurach analitycznych;
(ii)
testach, w tym testach systemów algorytmicznych, w przypadku gdy organizacja audytowa ma uzasadnione wątpliwości w następstwie wyników bezpośrednich procedur analitycznych i oceny kontroli wewnętrznych lub w przypadku gdy organizacja audytowa uzna za konieczne przeprowadzenie testów przy wyborze metodyki zgodnie z art. 10 ust. 1.
3. 
Informacje analizowane przez organizację audytową na potrzeby oceny przeprowadzonej na podstawie niniejszego artykułu obejmują między innymi:
a)
sprawozdania z oceny ryzyka i zmniejszania ryzyka za odpowiedni okres objęty audytem, sporządzone przez audyto- wanego dostawcę, w tym, w razie potrzeby, informacje poufne, które nie stanowią części informacji publikowanych na podstawie art. 42 ust. 2 rozporządzenia (UE) 2022/2065, oraz wszystkie dokumenty potwierdzające;
b)
w stosownych przypadkach inne sprawozdania z oceny ryzyka i zmniejszania ryzyka audytowanego dostawcy oraz dokumenty je potwierdzające;
c)
informacje przedłożone przez audytowanego dostawcę zgodnie z art. 5;
d)
wszystkie odpowiednie sprawozdania z przejrzystości sporządzone przez audytowanego dostawcę, o których mowa w art. 15 ust. 1 rozporządzenia (UE) 2022/2065;
e)
w stosownych przypadkach wcześniejsze sprawozdania ze zmniejszania ryzyka i dokumenty je potwierdzające, które to sprawozdania dotyczą okresów niezaliczających się do okresu objętego audytem, w tym, w razie potrzeby, informacje poufne, które nie stanowią części informacji publikowanych na podstawie art. 42 ust. 2 rozporządzenia (UE) 2022/2065;
f)
wszelkie inne wyniki testów, dokumentację, dowody, oświadczenia złożone w odpowiedzi na pytania pisemne lub ustne skierowane przez organizację audytową do personelu audytowanego dostawcy oraz, w stosownych przypadkach, uwagi sformułowane na miejscu;
g)
inne istotne dowody, w tym oparte na informacjach udostępnionych przez audytowanego dostawcę;
h)
jeżeli są dostępne - sprawozdania, o których mowa w art. 35 ust. 2 rozporządzenia (UE) 2022/2065, i wytyczne wydane przez Komisję, w tym wytyczne wydane na podstawie art. 35 ust. 3 tego rozporządzenia, oraz wszelkie inne odpowiednie wytyczne wydane przez Komisję w odniesieniu do stosowania rozporządzenia (UE) 2022/2065.
4. 
Informacje analizowane przez organizację audytową mogą obejmować, w stosownych przypadkach, informacje, o których mowa w art. 42 ust. 4 rozporządzenia (UE) 2022/2065, w tym informacje pochodzące ze sprawozdań z audytu, oceny ryzyka i zmniejszania ryzyka, dotyczące innych bardzo dużych platform internetowych lub bardzo dużych wyszukiwarek internetowych, lub dane i badania udostępniane publicznie przez zweryfikowanych badaczy na podstawie art. 40 ust. 8 lit. g) rozporządzenia (UE) 2022/2065.
Artykuł  15

Konkretne metodyki na potrzeby audytu przestrzegania art. 36 rozporządzenia (UE) 2022/2065 dotyczącego mechanizmu reagowania kryzysowego

1. 
Ocena przestrzegania art. 36 ust. 1 akapit pierwszy lit. a) rozporządzenia (UE) 2022/2065 przez audytowanego dostawcę obejmuje między innymi analizę tego, czy i w jaki sposób audytowany dostawca przeprowadził wymagane działania, w szczególności:
a)
czy i w jaki sposób audytowany dostawca zidentyfikował odpowiednie systemy zaangażowane w funkcjonowanie jego usługi i korzystanie z niej, które to systemy znacząco przyczyniają się do poważnego zagrożenia, oraz czy systemy te odpowiednio zidentyfikowano;
b)
czy i w jaki sposób audytowany dostawca zdefiniował i monitorował znaczące przyczynianie się do poważnego zagrożenia oraz czy jego ocena była odpowiednia;
c)
wszelkie inne wymogi określone w decyzji Komisji, o której mowa w art. 36 ust. 1 lub 7 akapit drugi rozporządzenia (UE) 2022/2065, w stosownych przypadkach.
2. 
Ocena przestrzegania art. 36 ust. 1 akapit pierwszy lit. b) rozporządzenia (UE) 2022/2065 przez audytowanego dostawcę obejmuje między innymi analizę tego, czy i w jaki sposób audytowany dostawca przeprowadził wymagane działania, w szczególności:
a)
czy i w jaki sposób audytowany dostawca zidentyfikował środki mające na celu zapobieganie jakiemukolwiek przyczynianiu się do poważnego zagrożenia, wyeliminowanie tego przyczyniania się lub jego ograniczenie;
b)
czy i w jaki sposób w środkach wprowadzonych przez audytowanego dostawcę uwzględniono powagę poważnego zagrożenia, pilność oraz czy środki te były odpowiednie w tym zakresie;
c)
czy i w jaki sposób audytowany dostawca zidentyfikował strony, których dotyczą środki, oraz ich prawnie uzasadnione interesy, a także w jaki sposób audytowany dostawca ocenił faktyczne lub potencjalne skutki środków dla praw tych stron, w tym dla praw podstawowych, i dla ich prawnie uzasadnionych interesów;
d)
czy środki wprowadzone przez audytowanego dostawcę były skuteczne i proporcjonalne;
e)
wszelkie inne wymogi określone w decyzji Komisji, o której mowa w art. 36 ust. 1 lub 7 akapit drugi rozporządzenia (UE) 2022/2065, w stosownych przypadkach.
3. 
Ocena przestrzegania art. 36 ust. 1 akapit pierwszy lit. c) rozporządzenia (UE) 2022/2065 przez audytowanego dostawcę obejmuje między innymi analizę tego, w jaki sposób audytowany dostawca przeprowadził wymagane działania, w szczególności czy przekazał Komisji informacje wymagane w decyzji Komisji, o której mowa w art. 36 ust. 1 lub 7 akapit drugi rozporządzenia (UE) 2022/2065, oraz czy sprawozdania te były dokładne.
Artykuł  16

Audyt przestrzegania art. 37 rozporządzenia (UE) 2022/2065 dotyczącego niezależnego audytu

1. 
Wypełnianie obowiązków określonych w art. 37 rozporządzenia (UE) 2022/2065 i w niniejszym rozporządzeniu ocenia się w odniesieniu do audytu lub audytów przeprowadzonych za roczny okres poprzedzający okres bieżącego audytu.
2. 
Oprócz ust. 1 audyt obejmuje ocenę przestrzegania art. 37 ust. 2 rozporządzenia (UE) 2022/2065 przez audytowa- nego dostawcę w odniesieniu do bieżącego audytu.
3. 
W przypadku gdy poprzedni audyt lub audyty, o których mowa w ust. 1, przeprowadziła ta sama organizacja audy- towa co bieżący audyt lub jeżeli organizacja audytowa przeprowadzająca bieżący audyt obejmuje co najmniej jeden podmiot prawny, który uczestniczył w poprzednim audycie, sprawozdanie z audytu zawiera wyjaśnienie dotyczące kroków podjętych przez organizację audytową w celu zapewnienia obiektywności oceny.
Artykuł  17

Audyt przestrzegania kodeksów postępowania i protokołów kryzysowych

1. 
Audytowany dostawca udostępnia organizacji audytowej:
a)
wykaz i tekst wszystkich kodeksów postępowania, o których mowa w art. 45 i 46 rozporządzenia (UE) 2022/2065, oraz protokołów kryzysowych, o których mowa w art. 48 tego rozporządzenia, których dostawca ten jest sygnatariuszem;
b)
szczegółowy wykaz zobowiązań w ramach tych kodeksów postępowania i protokołów kryzysowych, które audytowany dostawca podjął;
c)
w stosownych przypadkach kluczowe wskaźniki skuteczności działania uzgodnione w ramach każdego kodeksu postępowania i protokołu kryzysowego;
d)
w stosownych przypadkach wszelkie dostępne pomiary, dane i dokumentację oraz wszelkie sprawozdania przygotowane przez audytowanego dostawcę na temat wypełniania przez niego podjętych zobowiązań, w tym dostęp do wszystkich istotnych informacji i danych związanych z funkcjonowaniem usług oferowanych przez audytowanego dostawcę, mających znaczenie dla wdrożenia kodeksu postępowania lub protokołu kryzysowego;
e)
w stosownych przypadkach inne pomiary, dane i dokumentację przygotowane przez sygnatariuszy kodeksu postępowania lub protokołu kryzysowego oraz oceny Komisji lub Rady, o których mowa w art. 45 ust. 4 rozporządzenia (UE) 2022/2065.
2. 
Ocena przestrzegania przez audytowanego dostawcę kodeksów postępowania, o których mowa w art. 45 rozporządzenia (UE) 2022/2065, obejmuje między innymi pomiar kluczowych wskaźników skuteczności działania uzgodnionych w kodeksie postępowania zgodnie z art. 45 ust. 3 tego rozporządzenia, z określeniem progu istotności wniosków z audytu oraz dokładności przekazanych danych.

SEKCJA  V

Przepisy końcowe

Artykuł  18

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 20 października 2023 r.

ZAŁĄCZNIKI

ZAŁĄCZNIK  I

WZÓR SPRAWOZDANIA Z AUDYTU, O KTÓRYM MOWA W ART. 6

grafika

ZAŁĄCZNIK  II

WZÓR SPRAWOZDANIA Z REALIZACJI AUDYTU, O KTÓRYM MOWA W ART. 6

grafika
1 Dz.U. L 277 z 27.10.2022, s. 1.
2 Art. 14 ust. 1 lit. c) zmieniona przez sprostowanie z dnia 8 marca 2024 r. (Dz.U.UE.L.2024.90160) zmieniające nin. rozporządzenie z dniem 22 lutego 2024 r.

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .