(EU) 2024/436Nařízení Komise v přenesené pravomoci (EU) 2024/436 ze dne 20. října 2023, kterým se doplňuje nařízení Evropského parlamentu a Rady (EU) 2022/2065 stanovením pravidel provádění auditů pro velmi velké online platformy a velmi velké internetové vyhledávače

Publikováno: Úř. věst. L 436, 2.2.2024 Druh předpisu: Nařízení v přenesené pravomoci
Přijato: 20. října 2023 Autor předpisu: Evropská komise
Platnost od: 22. února 2024 Nabývá účinnosti: 22. února 2024
Platnost předpisu: Ano Pozbývá platnosti:
Původní znění předpisu

Text předpisu s celou hlavičkou je dostupný pouze pro registrované uživatele.



European flag

Úřední věstník
Evropské unie

CS

Série L


2024/436

2.2.2024

NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) 2024/436

ze dne 20. října 2023,

kterým se doplňuje nařízení Evropského parlamentu a Rady (EU) 2022/2065 stanovením pravidel provádění auditů pro velmi velké online platformy a velmi velké internetové vyhledávače

EVROPSKÁ KOMISE,

s ohledem na Smlouvu o fungování Evropské unie,

s ohledem na nařízení Evropského parlamentu a Rady (EU) 2022/2065 ze dne 19. října 2022 o jednotném trhu digitálních služeb a o změně směrnice 2000/31/ES (nařízení o digitálních službách) (1), a zejména na čl. 37 odst. 7 uvedeného nařízení,

vzhledem k těmto důvodům:

(1)

Nezávislé audity jsou důležitým nástrojem při dohledu nad tím, zda poskytovatelé velmi velkých online platforem a velmi velkých internetových vyhledávačů dodržují své povinnosti podle nařízení (EU) 2022/2065. Ačkoli jsou v uvedeném nařízení stanoveny další nástroje odpovědnosti, v neposlední řadě prostřednictvím posílené veřejné kontroly zpráv o transparentnosti a dalších požadavků na zveřejňování údajů, mají nezávislé auditorské organizace zvláštní úlohu při včasném posuzování dodržování uvedeného nařízení takovými poskytovateli. Závěry a zjištění takových nezávislých auditů a jejich doporučení mohou být smysluplným zdrojem informací pro regulační dohled. Nezávislé audity zároveň představují jeden z několika zdrojů informací a analýz, které mohou regulační orgány využít v rámci své úlohy v oblasti dohledu a vymáhání povinností.

(2)

Aby se zajistilo, že nezávislé audity budou prováděny účinně, efektivně, včas a srovnatelně ode dne použitelnosti nařízení (EU) 2022/2065, jak je vymezeno v článcích 92 a 93 uvedeného nařízení, měla by Komise stanovit pravidla provádění auditů, zejména pokud jde o právní povinnosti auditovaných poskytovatelů a procesní kroky k zajištění toho, aby organizace provádějící audity splňovaly podmínky nezávislosti, neexistence střetu zájmů, odborných znalostí a profesní etiky stanovené v čl. 37 odst. 3 nařízení (EU) 2022/2065.

(3)

Aby se usnadnilo náležité provádění auditů s vysokou úrovní odborných znalostí a předešlo se nezamýšleným důsledkům na trhu auditorských služeb, mělo by být vyjasněno, že audity prováděné v souladu s článkem 37 nařízení (EU) 2022/2065 může provádět několik auditorů. V případě potřeby, například z důvodu potřeby zvláštních odborných znalostí při auditu určitých povinností nebo závazků, jako jsou povinnosti a závazky týkající se koncepce a fungování algoritmických systémů, pochopení rizik pro základní práva nebo šíření nezákonného obsahu, může auditovaný poskytovatel na provedení auditu najmout různé auditorské organizace nebo konsorcium organizací. Auditorské organizace mohou rovněž najmout subdodavatele, pokud jde o nezbytné odborné znalosti, jestliže jak auditorská organizace, tak subdodavatelé splňují nezbytné podmínky týkající se nezávislosti, neexistence střetu zájmů, prokázané objektivity a profesní etiky a společně splňují podmínky týkající se technických znalostí. I v takových případech by měl auditovaný poskytovatel zajistit, aby bylo dodržování všech povinností a závazků uvedených v čl. 37 odst. 1 nařízení (EU) 2022/2065 auditováno nejméně jednou ročně.

(4)

Výroky auditora uvedené v čl. 37 odst. 4 písm. g) nařízení (EU) 2022/2065 by měly být auditorskými organizacemi vyslovovány s přiměřenou mírou jistoty. Aby bylo dosaženo přiměřené míry jistoty, měla by mít auditorská organizace vysokou, nikoli však absolutní míru důvěry, že se nevyskytly žádné nesprávnosti, jako jsou opomenutí, zkreslení nebo chyby, které nebyly při auditu zjištěny. Aby byla zajištěna uvedená míra jistoty, měla by auditorská organizace mimo jiné získat dostatečné důkazy a při svém posuzování používat vhodné metodiky auditu.

(5)

Podle čl. 37 odst. 1 nařízení (EU) 2022/2065 by nezávislé audity měly být prováděny nejméně jednou ročně v souladu s ročním cyklem posuzování rizik podle článku 34 uvedeného nařízení. V určitých případech však mohou být nutné častější audity. Sled auditů by měl zajistit kontinuální dohled nad dodržováním nařízení (EU) 2022/2065 a příslušných kodexů chování a krizových protokolů auditovanými poskytovateli. Auditovaný poskytovatel by měl zajistit, aby období, za něž daný audit posuzuje dodržování auditovaných povinností a závazků, doplňovalo období, na něž se vztahoval předchozí audit dodržování uvedených povinností a závazků poskytovatelem, a začalo nejpozději tehdy, kdy skončilo období, na něž se vztahoval předchozí audit. Vzhledem k tomu, že závěr auditu zahrnuje jak posouzení provedené auditorskou organizací, tak vypracování zprávy o auditu, měli by auditovaní poskytovatelé zajistit, aby trvání auditu umožňovalo dokončení auditů alespoň jednou ročně a aby se zprávy o auditu předkládaly Komisi a koordinátorovi digitálních služeb bez zbytečného odkladu podle čl. 42 odst. 4 nařízení (EU) 2022/2065.

(6)

Přestože by auditovaní poskytovatelé neměli za žádných okolností zasahovat do provádění auditu a jeho závěrů, měli by plnit své povinnosti podle článku 37 nařízení (EU) 2022/2065, a to i tím, že si s auditorskou organizací dohodnou smluvní podmínky a před výběrem auditorské organizace ověří, že tato organizace splňuje podmínky stanovené v čl. 37 odst. 3 nařízení (EU) 2022/2065.

(7)

Auditovaný poskytovatel by měl například posoudit smlouvy, které dříve uzavřel s auditorskou organizací, nebo smlouvy uzavřené mezi auditorskou organizací a právnickými osobami spojenými s auditovaným poskytovatelem. Auditovaný poskytovatel by měl rovněž do smluv s auditorskými organizacemi zahrnout ustanovení, která zaručí dodržování podmínek stanovených v čl. 37 odst. 3 nařízení (EU) 2022/2065. Skládá-li se auditorská organizace z několika subjektů, měl by se auditovaný poskytovatel ujistit, že uvedené podmínky splňují všechny takové subjekty, v příslušných případech včetně subdodavatelů najatých auditorskou organizací k tomu, aby provádění auditu jakkoli podporovali. Každý subjekt provádějící audit by měl jednotlivě splňovat požadavky na nezávislost a neexistenci střetu zájmů, přičemž společně by uvedené subjekty měly splňovat požadavky týkající se způsobilosti, odborných znalostí nebo technických zdrojů, díky čemuž budou moci různé subjekty provádět různé části auditu a přispívat kapacitami, způsobilostí a odbornými znalostmi potřebnými k provedení auditu. Ve zprávě o auditu by měla být upřesněna odpovědnost každého z uvedených subjektů za příslušné části auditu.

(8)

Podle čl. 37 odst. 3 písm. a) bodu i) nařízení (EU) 2022/2065 by měl auditovaný poskytovatel při ověřování toho, zda auditorská organizace splňuje požadavky na nezávislost a neexistenci střetu zájmů, věnovat zvláštní pozornost tomu, aby auditorská organizace neposkytovala auditovanému poskytovateli neauditorské služby. Auditovaný poskytovatel by měl například posoudit, zda byly poskytnuty služby, jako jsou služby spojené s jakýmkoli systémem, softwarem nebo procesem, které se týkají záležitostí souvisejících s auditovanou povinností nebo závazkem, například poradenské služby pro posuzování výkonnosti, správy a softwaru, služby odborné přípravy, vývoj nebo údržba systémů nebo subdodávky moderování obsahu. Takové služby zahrnují rovněž služby poskytnuté auditovanému poskytovateli, které spočívají v poradenství nebo vývoji vnitřních kontrol nebo v posouzení dodržování nařízení (EU) 2022/2065 nebo kodexů chování a krizových protokolů auditovaným poskytovatelem a které slouží pro vnitřní účely, a to i pokud se omezují na specifické testy, jako jsou testy třetích stran týkající se výkonnosti systémů moderování obsahu. To by nemělo vylučovat auditorské organizace, které provedly povinné finanční audity.

(9)

Vzhledem ke složitosti a zvláštní povaze auditů souladu podle nařízení (EU) 2022/2065 mají pro provádění auditů s přiměřenou mírou jistoty a pro uplatňování odborného úsudku a skepticismu, které auditorské organizaci umožňují například zjistit, jaké informace potřebuje k provedení auditorských postupů nebo k napadení protichůdných informací, zásadní význam odborné znalosti auditorské organizace v dané oblasti. Auditovaný poskytovatel by proto měl ověřit, zda auditorská organizace takové odborné znalosti poskytuje, též v oblasti řízení rizik, a to pokud jde o auditorská rizika i o předmět nařízení (EU) 2022/2065, a zejména pokud jde o systémová společenská rizika uvedená v článku 34 uvedeného nařízení. Auditovaný poskytovatel by měl navíc ověřit technickou způsobilost a kapacity auditorské organizace s ohledem na konkrétní auditovanou službu, včetně odborných znalostí v dané oblasti, například pokud jde o fungování a účinky algoritmických systémů, jako jsou doporučovací systémy a jiné sociálně-technické systémy, které poskytovatel spravuje. Auditorská organizace by měla mít možnost najmout subdodavatele nebo jinak získat a nasadit nezbytné odborné znalosti a kapacity a auditovaný poskytovatel by měl ověřit a ujistit se, že auditorská organizace je schopna uvedené odborné znalosti a kapacity nabýt včas pro provedení auditu.

(10)

Při ověřování, zda auditorské organizace splňují podmínky stanovené v čl. 37 odst. 3 nařízení (EU) 2022/2065, by měl auditovaný poskytovatel posoudit příslušné důkazy, v příslušných případech včetně osvědčení, prohlášení a zpráv o auditu vydaných auditorskou organizací. Příslušné odborné znalosti by mohly být prokázány například praktickými zkušenostmi s posuzováním a řízením rizik, jakož i akademickou činností, vědeckými publikacemi a zkušenostmi s příslušnými audity. Součástí zpráv o auditu by měla být veškerá příslušná podpůrná dokumentace potvrzující, že auditorská organizace splňuje nezbytné podmínky.

(11)

Podle čl. 37 odst. 2 nařízení (EU) 2022/2065 spolupracuje auditovaný poskytovatel s auditorskou organizací a poskytuje jí veškerou pomoc nezbytnou k tomu, aby mohla audit provádět účinně, efektivně a včas, a rovněž se zdrží jakéhokoli zasahování do nezávislých rozhodnutí auditorské organizace. Auditovaný poskytovatel by například neměl ukládat auditorské organizaci jakákoli smluvní nebo jiná omezení nebo pobídky při výběru a provádění auditorských postupů, metodik, shromažďování a zpracování informací a důkazních informací, analýz, testů, výroku auditora nebo vypracování závěrů auditu, poskytovat jí jakékoli pokyny nebo ji prostřednictvím takových omezení nebo pobídek jakkoli jinak ovlivňovat.

(12)

Aby byla během auditu zaručena nezbytná spolupráce a pomoc, měl by auditovaný poskytovatel zajistit, aby auditorská organizace měla přístup ke všem informacím nezbytným pro provedení auditu. Auditovaný poskytovatel by měl zaslat co nejdříve a v každém případě předtím, než auditorská organizace zahájí provádění auditorských postupů, všechny nezbytné dokumenty a vysvětlení. Například podle čl. 41 odst. 3 písm. d) a e) nařízení (EU) 2022/2065 má útvar zajišťování souladu auditovaného poskytovatele monitorovat plnění všech auditovaných povinností a závazků, což by mělo vést k vypracování vnitřních kontrol. Auditorské organizaci by proto měl být umožněn přístup ke všem informacím souvisejícím s těmito kontrolami a k veškerým dalším informacím, které nastiňují strategii auditovaného poskytovatele k zajištění souladu. Auditovaný poskytovatel by měl zejména auditorské organizaci zpřístupnit referenční hodnoty, o něž se opírá, aby zajistil soulad s nařízením (EU) 2022/2065, aby auditní organizace mohla na těchto informacích založit auditní kritéria.. Kromě toho by auditorské organizaci měl být umožněn přístup ke všem analýzám, které auditovaný poskytovatel případně provedl ohledně přirozených rizik a kontrolních rizik. Takový poskytovatel by měl auditorské organizaci zpřístupnit informace, které usnadňují pochopení auditované služby útvaru, jejího řízení, kompetencí příslušných týmů a rozhodovacích struktur, včetně její funkce zajišťování shody, a seznámit ji se svými systémy informačních technologií, strukturami pro údaje a záznamy a se vzájemnou interakcí různých algoritmických systémů, které jsou pro audit relevantní.

(13)

Auditorská organizace by měla mít možnost si kdykoli při provádění auditu vyžádat jakékoli další nezbytné informace. Přístup k uvedeným informacím by měl být poskytnut bez zbytečného odkladu způsobem, který nijak nebrání provádění auditu. To by mělo v příslušných případech zahrnovat přístup k údajům, včetně osobních údajů, získaným z různých zdrojů, jako jsou dokumenty, algoritmické systémy, databáze nebo rozhovory. Auditovaný poskytovatel by měl auditorské organizaci rovněž poskytnout přístup k postupům a procesům, IT systémům, jako jsou algoritmické a informační systémy, včetně testovacích prostředí. Aby auditorská organizace mohla takové systémy smysluplně kontrolovat, měl by auditovaný poskytovatel dát k dispozici veškeré nezbytné zdroje, které uvedené organizaci pomohou při přístupu k takovým systémům a jejich posuzování, například tím, že poskytne své kompetentní zaměstnance, kteří budou odpovídat na otázky nebo ovládat testovací prostředí a poskytovat vysvětlení ohledně jejich fungování, nebo usnadnit jakýkoli jiný nezbytný přístup k zaměstnancům a do prostor, jako jsou budovy. Přístup k postupům a procesům by mohl zahrnovat například přístup k popisům nebo dokumentům týkajícím se interního rozhodovacího procesu auditovaného poskytovatele. Přístup k relevantním informacím může rovněž vyžadovat, aby auditovaný poskytovatel přijal další doplňková opatření, aby splnil svou povinnost spolupráce a pomoci. Může být například nutné, aby auditovaný poskytovatel zajistil bezpečné prostory pro rozhovory se zaměstnanci. Je-li to nezbytné pro provedení auditu, měli by auditovaní poskytovatelé plnit povinnost spolupráce a pomoci ve vztahu k auditorské organizaci mimo jiné usnadněním přístupu k příslušným údajům týkajícím se jejich činností, které mají k dispozici jejich externí dodavatelé. Tak tomu může být například v případě výsledků moderování obsahu, školicích materiálů nebo pokynů používaných externími dodavateli, kteří moderují obsah, nebo prodejci a poskytovateli služeb pro IT řešení, například algoritmů a aplikací používaných v doporučovacích systémech nebo reklamních systémech používaných auditovaným poskytovatelem.

(14)

Aby se snáze dosáhlo smysluplné transparentnosti auditních zjištění a stanovil komplexní a porovnatelný formát zpráv o auditu uvedených v čl. 37 odst. 4 nařízení (EU) 2022/2065 a zpráv o provedení doporučení auditu uvedených v čl. 37 odst. 6 uvedeného nařízení, mělo by toto nařízení pro uvedené zprávy stanovit šablony a u každé ze zpráv stanovit požadavky na několik příloh. Ačkoli šablony stanovené v tomto nařízení vyžadují komplexní podávání zpráv, neměly by ovlivnit požadavky na zveřejňování zpráv stanovené v čl. 42 odst. 4 a 5 nařízení (EU) 2022/2065.

(15)

Aby se zajistilo, že auditorská organizace obdrží od auditovaného poskytovatele veškerou nezbytnou pomoc, aniž by tento poskytovatel zasahoval do provádění auditu, a že auditorská organizace splní všechny podmínky pro přípravu auditu a vydá zprávu o auditu včas a v kvalitě nezbytné k dosažení přiměřené míry jistoty, měla by některá pravidla upřesnit postupy pro přípravu auditu. Povinnosti a odpovědnosti auditovaného poskytovatele a auditorské organizace, včetně všech subdodavatelů nebo partnerských organizací a zaměstnanců odpovědných za provádění auditu, by měly být stanoveny v písemné dohodě, a to i prostřednictvím smluvních podmínek. V písemné dohodě by měly být rovněž upřesněny auditované povinnosti a závazky, přidělení zdrojů a pravidla interakce mezi auditorskou organizací a auditovaným poskytovatelem a jejich kontaktní místa. Ke zprávě o auditu by měla být přiložena veškerá podpůrná dokumentace a smlouvy, včetně případů, kdy mají dokumenty podobu smluvního dopisu k auditu nebo jiných smluvních ujednání.

(16)

Za účelem poskytnutí komplexního přehledu a snazšího vyvozování odpovědnosti auditovaných poskytovatelů by součástí zprávy o auditu měl být závěr z posouzení auditorské organizace ohledně dodržování každé auditované povinnosti nebo závazku auditovaným poskytovatelem. Každý závěr auditu by měl být založen na přiměřené míře jistoty a měl by být buď „kladný“, nebo „kladný s připomínkami“, nebo „záporný“, aby byl výrok auditora založen na náležitých informacích. Závěry, které jsou „pozitivní s připomínkami“, by se neměly týkat samotného posouzení souladu. Připomínky by se mohly týkat například předkládání informací poskytovatelem na žádost auditorské organizace nebo zlepšení údržby či kontrol zavedených auditovaným poskytovatelem nebo by se mohly týkat opatření, která poskytovatel hodlá přijmout za účelem zvýšení souladu nebo snížení rizik. V každém případě, pokud má auditorská organizace za to, že auditovaný poskytovatel plní auditovanou povinnost nebo závazek podle referenčních hodnot oznámených auditovaným poskytovatelem, ale považuje za nezbytné zahrnout připomínky k těmto referenčním hodnotám, měl by být závěr auditu „pozitivní s připomínkami“, neboť tyto připomínky by mohly poskytovatele užitečným způsobem informovat o vhodnosti možných změn jeho referenčních hodnot na základě poznatků a odborných znalostí auditní organizace i na základě informací z externích zdrojů. Připomínky by mohly vycházet například z pokynů Komise, a to i z pokynů Komise uvedených v čl. 35 odst. 3 nařízení (EU) 2022/2065 a veškerých dalších příslušných pokynů vydaných Komisí v souvislosti s uplatňováním daného nařízení, dále ze zpráv Evropského sboru pro digitální služby uvedených v čl. 35 odst. 2 daného nařízení, donucovacích opatření, rozhodnutí přijatých Komisí podle daného nařízení, příslušné judikatury, zejména judikatury Soudního dvora Evropské unie, veřejných konzultací nebo příslušných směrodatných zdrojů.

(17)

K umožnění veřejné kontroly a regulačního dohledu v případě, že je závěr auditu „záporný“, ale vztahuje se pouze na omezené období a auditorská organizace má za to, že auditovaný poskytovatel dodržoval povinnost nebo závazek po zbytek auditovaného období, by se toto mělo odrazit ve zprávě o auditu pro každou dotčenou povinnost nebo závazek. Zpráva by měla obsahovat připomínky auditorské organizace ke všem informacím, které jí auditovaný poskytovatel poskytl, pokud jde o zavedené nebo připravované plány na snížení nesouladu.

(18)

S ohledem na odlišnou povahu právních povinností stanovených v kapitole III nařízení (EU) 2022/2065 a dobrovolných závazků přijatých na základě kodexů chování a krizových protokolů podle článků 45, 46 a 48 uvedeného nařízení by auditorská organizace měla vydat výroky auditora o dodržování uvedené kapitoly a jednotlivých kodexů a protokolů.

(19)

Za účelem provedení auditu s přiměřenou mírou jistoty a koncipování vhodných auditorských postupů podle metodik, které minimalizují auditorské riziko na nízkou míru, by klíčovou součástí metodiky pro provádění auditu měl být odhad auditorských rizik, konkrétně rizika, že auditorská organizace vydá nevhodný výrok auditora nebo závěr auditu. Auditorská organizace by proto měla posoudit auditorské riziko na samém začátku auditu před tím, než koncipuje přesnou metodiku a provede auditorské postupy. Analýza auditorských rizik je nezbytná k tomu, aby auditorská organizace mohla zvolit přesné metodiky auditu a určit, jak komplexní musí být auditorské postupy, aby bylo dosaženo přiměřené míry jistoty pro výrok auditora. Auditorská organizace by měla provést analýzu auditorských rizik za účelem posouzení dodržování každé auditované povinnosti nebo závazku a přihlédnout přitom k přirozeným rizikům, kontrolním rizikům a zjišťovacím rizikům.

(20)

Za účelem správného vyhodnocení auditorských rizik by analýza auditorských rizik měla zohlednit povahu auditované služby, především její rizikový profil, a rozsah a složitost auditu. Je například pravděpodobné, že online platformy umožňující uzavírat smlouvy na dálku mezi spotřebiteli budou mít jiná přirozená rizika než platformy pro sdílení videonahrávek nebo vyhledávače. Dále by se měl zvážit společenský a hospodářský kontext, v němž je auditovaná služba poskytována, například pokud jde o typické skupiny uživatelů, jako jsou nezletilé osoby, nebo časté chování, jako je vysoký výskyt neautentického používání a koordinovaného chování v dezinformačních kampaních. Společenský a hospodářský kontext, který je třeba zvážit, by měl rovněž zahrnovat pravděpodobnost a, samostatně, závažnost vystavení krizovým situacím a neočekávaným událostem podle nařízení (EU) 2022/2065.

(21)

Aby se zajistilo, že analýza auditorských rizik odráží vývoj rizik, kterým služba podléhá, měla by být analýza auditorských rizik v příslušných případech založena rovněž na informacích z předchozích auditů, které byly u auditovaného poskytovatele případně provedeny, a vycházet z informací ze zdrojů, jako jsou zprávy o auditu jiných poskytovatelů s obdobným rizikovým profilem. Aby se zajistilo, že analýza auditorských rizik bude plně zohledňovat nejnovější důkazy o rizicích v kontextech obdobných tomu, v němž působí auditovaný poskytovatel, a hodnověrné zdroje, které mají přímý význam pro uplatňování nařízení (EU) 2022/2065, měla by se analýza v příslušných případech rovněž opírat o informace ze zpráv vydaných Evropským sborem pro digitální služby nebo o pokyny Komise. Další informace by rovněž mohly zahrnovat informace ze zpráv o auditu zveřejněných podle čl. 42 odst. 4 nařízení (EU) 2022/2065 jinými poskytovateli velmi velkých online platforem nebo velmi velkých internetových vyhledávačů.

(22)

Auditorská organizace by měla, aniž by přitom byla ovlivněna auditovaným poskytovatelem, vypracovat metodiky auditu používané k posouzení dodržování auditovaných povinností a závazků. Auditní kritéria by měla být založena na informacích, které auditovaný poskytoval předložil ohledně referenčních hodnot, které používá k monitorování souladu. Metodika může rovněž zohlednit další informace, které auditovaný poskytovatel poskytl, například analýzu přirozených rizik, pokud auditovaný poskytovatel takovou analýzu provedl, například prostřednictvím opatření vypracovaných osobou pověřenou zajišťováním souladu nebo řídicím orgánem v souladu s článkem 41 nařízení (EU) 2022/2065 nebo jiných opatření začleněných do fungování služby pro účely posuzování systémových rizik podle článku 34 uvedeného nařízení.

(23)

Aby se zajistilo, že jsou metodiky auditu vhodné pro dosažení přiměřené míry jistoty, pokud jde o výroky auditora, měl by se výběr metodiky pro auditorské postupy zabývat zvláštnostmi auditované povinnosti nebo závazku a měl by být přizpůsoben například povaze auditované povinnosti jakožto povinnosti použít určité prostředky nebo povinnosti stanovující určité výsledky, kterých musí poskytovatel dosáhnout, aby dodržoval soulad. Auditorské postupy pro posuzování dodržování informační povinnosti v souvislosti s transparentností podle článku 15 nařízení (EU) 2022/2065 by například mohly auditorské organizaci umožnit dospět k závěru, zda byly zprávy zveřejněny ve lhůtách a formátech požadovaných v uvedeném nařízení, jakož i k závěru, zda byly zprávy úplné a oznámené údaje přesné, reprezentativní a náležitě rozdělené, např. podle kategorie nezákonného obsahu, u nichž byla zavedena opatření.

(24)

Výběr metodiky by měl rovněž záviset na tom, zda posouzení souladu vyžaduje kontextuální výklad ze strany auditorské organizace. Výběr metodik by měl být rovněž přizpůsoben přirozeným rizikům spojeným s činnostmi prováděnými při poskytování služby a kontextem, v němž je služba poskytována, například zda služba zahrnuje prodej zboží, které by mohlo být nelegální, nebo zda službu využívají především nezletilé osoby. Například metodiky pro posuzování dodržování povinností zavést vhodná a přiměřená opatření, kterými se zajistí vysoká míra soukromí, bezpečnosti a ochrany nezletilých osob podle čl. 28 odst. 1 nařízení (EU) 2022/2065, by měly auditorské organizaci umožnit, aby dostatečně porozuměla tomu, jak je auditovaná služba využívána nezletilými osobami a jaká rizika pro jejich soukromí, bezpečnost a ochranu mohou vzniknout, jakož i tomu, co představuje vhodné a přiměřené opatření ve specifickém kontextu auditované služby a jejího využívání nezletilými osobami. Auditorské organizace by proto měly své posouzení rozdělit do vhodných kroků. Měly by auditní rizika posoudit podle rizikového profilu auditovaného poskytovatele, přičemž by se měly zaměřit zejména na to, zda ke službám poskytovatele mají přístup nezletilé osoby nebo zda jsou využívány především takovými osobami. Měly by posoudit například to, zda poskytovatel zavedl nástroje pro ověřování věku, zda jsou tyto nástroje účinné a jakým způsobem auditovaný poskytovatel jejich účinnost vyhodnocuje a sleduje. Měly by posoudit, zda auditovaný poskytovatel zavedl vhodná opatření k odhalování sporného využívání svých služeb a vzorců chování, jejichž cílem je poškodit nezletilé osoby nebo které by k takovému poškození mohly vést.

(25)

Kromě toho by měl být výběr metodik přizpůsoben kontrolním rizikům spojeným s opatřeními k zajištění souladu zavedenými auditovaným poskytovatelem, jakož i zjišťovacím rizikům, konkrétně riziku nezjištění nesprávností v informacích, které poskytovatel auditorské organizaci zpřístupňuje. Pokud by například auditovaná povinnost mohla zahrnovat audit algoritmického systému založeného na individualizaci pro jednotlivé příjemce auditované služby a na opakovaných aktualizacích algoritmického systému, jako jsou povinnosti zpřístupnění informací u doporučovacích systémů podle článku 27 nařízení (EU) 2022/2065, měl by výběr metodiky auditorské organizaci umožnit koncipovat vhodné testy, aby se minimalizovalo zjišťovací rizika. Podobně pokud se auditorská organizace snaží posoudit, zda byla všechna relevantní rizika zmírněna při navrhování, fungování a používání aplikací založených na rozsáhlých jazykových modelech, jako jsou funkce chatu nebo doporučovací systémy zavedené auditovaným poskytovatelem, měla by auditorská organizace nejprve posoudit vhodnost kontrol zavedených poskytovatelem. Výběr testů by měl vycházet ze spolehlivosti těchto vnitřních kontrol. Zejména v případech, kdy jsou vnitřní kontroly nedostatečné, neúplné nebo nejednoznačné k posouzení, zda jsou pravidla při zohlednění souboru příjemců auditované služby dodržována, by se auditorské postupy měly opírat o kombinaci metodik. Metodiky by například mohly zahrnovat analytické postupy zaměřené na věcnou správnost, jako je analýza interakcí mezi všemi algoritmickými systémy zapojenými do doporučovacích systémů a souvisejících pravidel rozhodování a postupů pro stanovení hlavních parametrů uvedených doporučovacích systémů, pozorování digitálních záznamů a protokolů. Metodiky by měly rovněž zahrnovat testy systému, například testy v simulovaných prostředích.

(26)

Aby se zajistilo, že je metodika relevantní a přizpůsobená novým zjištěním v průběhu auditu, měl by se výběr metodik řídit odborným úsudkem auditorské organizace a měl by být upraven tak, aby na uvedená nová zjištění reagoval, zejména pokud má auditorská organizace důvodné pochybnosti o informacích předložených auditovaným poskytovatelem. Profesní skepticismus auditorské organizace by měl být založen na jejích odborných znalostech, jakož i na dalších zdrojích informací, které mají pro uplatňování nařízení (EU) 2022/2065 zvláštní význam, jako jsou zprávy Evropského sboru pro digitální služby, pokyny Komise, zprávy o auditu vycházející z kodexů chování nebo krizových protokolů uvedených v článcích 45, 46 a 48 uvedeného nařízení, nebo na informacích, které se objeví během provádění auditu, a to i v případech, kdy se týkají událostí, zejména krizových situací, které vyžadují dodatečná opatření ze strany auditovaného poskytovatele, aby se zajistilo dodržování některých auditovaných povinností nebo závazků.

(27)

Aby se zajistilo, že v průběhu auditu budou shromážděny dostatečné důkazní informace, měly by auditorské organizace posoudit jak vnitřní kontroly auditovaného poskytovatele, tak i provést auditorské postupy zaměřené na věcnou správnost pro posouzení toho, zda auditovaný poskytovatel dodržuje soulad. V některých případech by auditorská organizace měla rovněž provést testy.

(28)

Vzhledem ke složitosti algoritmických systémů používaných poskytovateli online platforem a jejich důležité úloze při dodržování několika povinností stanovených v nařízení (EU) 2022/2065 by měla být zvláštní pozornost věnována nezbytným a vhodným metodickým volbám, pokud jde o audit algoritmických systémů. To platí jak v případě, kdy jsou algoritmické systémy součástí kontrol zavedených auditovaným poskytovatelem, tak v případě, kdy jsou samy předmětem auditovaných povinností nebo závazků, kupříkladu pokud jde o doporučovací systémy, například podle článků 27, 34, 35 a 38 nařízení (EU) 2022/2065, nebo o reklamní systémy, například podle článků 26, 28, 34, 35 a 39 uvedeného nařízení, o systémy moderování obsahu, například podle článků 14, 15, 34 a 35 uvedeného nařízení, nebo o jakýkoli jiný algoritmický systém, který přispívá k rizikům uvedeným v článku 34 uvedeného nařízení.

(29)

Rovněž by měla být použita kombinace analytických postupů zaměřených na věcnou správnost, v příslušných případech včetně postupů založených na pozorování procesů a činností auditovaného poskytovatele při koncipování, vývoji, provozování, testování a monitorování algoritmických systémů nebo pozorování digitálních záznamů a protokolů vytvářených uvedenými systémy. Metodiky by měly být přizpůsobeny zvláštnostem algoritmických systémů, včetně jejich řízení, interakce mezi různými algoritmickými systémy, jakož i souvisejícími systémy pro správu údajů, a technologiím, na nichž jsou uvedené algoritmické systémy založeny, jako jsou generativní modely nebo jiné klasifikátory a výběrové nebo vyhledávací algoritmy.

(30)

Metodiky auditu pro algoritmické systémy by dále měly zahrnovat testy, například za účelem shromáždění informací, které auditovaný poskytovatel dosud nezdokumentoval, nebo za účelem nezávislého reprodukování a posouzení výsledků, ukazatelů přesnosti, testy v izolovaných nebo simulovaných prostředích nebo testy v produkčních systémech, a to i prostřednictvím získávání údajů metodou „data scraping“ nebo kontradiktorního testování.

(31)

Vzhledem k tomu, že vysoká kvalita důkazních informací je nezbytnou podmínkou pro to, aby auditorská organizace vypracovala výrok auditora s přiměřenou mírou jistoty, měly by být informace, které se auditorská organizace rozhodne použít jako důkazní informace, vhodné a dostatečné ke snížení auditorských rizik. Důkazní informace by navíc měly být spolehlivé v souladu s odborným úsudkem a skepticismem auditorské organizace a v příslušných případech i s ohledem na alternativní zdroje informací. Odborný úsudek a skepticismus by měly zahrnovat kritické posouzení důkazních informací a případných nesprávností. Uvedené standardy kvality by se měly vztahovat na veškeré důkazní informace bez ohledu na to, zda byly poskytnuty auditovaným poskytovatelem nebo shromážděny z jiných zdrojů.

(32)

Auditorská organizace by měla zvážit řadu zdrojů informací, které by mohly zahrnovat například rozhovory se zaměstnanci nebo dodavateli auditovaného poskytovatele, včetně osob pověřených zajišťováním souladu, inženýrů, datových vědců, softwarových architektů nebo členů týmů interního auditu. Mohly by rovněž zahrnovat technickou dokumentaci týkající se koncipování, provádění, testování a monitorování příslušného systému, včetně kvality a správy údajů a aktualizací a verzí systému, a další dokumenty týkající se řízení a rozhodovacích procesů auditovaného poskytovatele, též s ohledem na priority, zdroje, rozdělení úkolů a odpovědností nebo odborné znalosti příslušných zaměstnanců.

(33)

Za účelem zajištění účinnosti a proporcionality při provádění auditu by mělo být auditorské organizaci umožněno vybírat vzorky údajů a informací s náležitým ohledem na dosažení reprezentativního vzorku, aby auditorská organizace mohla dospět k výroku auditora s přiměřenou mírou jistoty. Aby byla zajištěna transparentnost a reprodukovatelnost auditorských postupů, měla by auditorská organizace ve zprávě o auditu odůvodnit volby velikosti vzorku a metody výběru vzorku. Například velikost vzorku a metodika by měly být zvoleny s ohledem na to, jak lze účinně naplnit účel auditu konkrétní auditované povinnosti nebo závazku, a s cílem minimalizovat riziko, že se závěr auditu konkrétního vzorku bude lišit od závěru v případě, že by byl auditorskému postupu podroben celý soubor důkazů. Velikost a metodika výběru vzorku by měly být zvoleny s ohledem na plný rozsah auditu, jakož i na interní nebo externí změny auditované služby během této doby. Měly by být rovněž přizpůsobeny specifickým vlastnostem algoritmických systémů, včetně individualizace pomocí profilování. V rámci těchto úvah by auditorská organizace měla například vhodně odebrat vzorek z různých kohort nebo partií, které mohou vyplývat z individualizačních technik, nebo určit odchylku a odůvodnit, proč je na přijatelné úrovni.

(34)

Vzhledem k novosti některých ustanovení nařízení (EU) 2022/2065 je nutné stanovit metodické zásady, včetně otázek auditu a dalších směrů pro výběr metodik auditu a důkazních informací pro posuzování dodržování uvedených ustanovení, zejména pro posuzování dodržování článků 34, 35 a 36 nařízení (EU) 2022/2065 o provádění posouzení rizik a přijímání opatření ke zmírnění rizik auditovanými poskytovateli a o uplatňování povinností týkajících se reakce na krize.

(35)

Vzhledem k tomu, že by auditorské organizace měly rovněž posuzovat dodržování článku 37 nařízení (EU) 2022/2065 auditovaným poskytovatelem, měly by být rovněž uvedeny další specifikace přesného auditu, s ohledem na něž by mělo být dodržování posuzováno, zejména aby se předešlo jakémukoli střetu zájmů auditorské organizace.

(36)

Vzhledem k dobrovolné povaze kodexů chování a krizových protokolů je nezbytné stanovit zvláštní pravidla pro audit dodržování článků 45, 46 a 48 nařízení (EU) 2022/2065, zejména zajistit, aby auditorské organizace měly k dispozici veškeré informace nezbytné k provádění auditů specifických pro závazky v rámci jednotlivých kodexů chování a krizových protokolů,

PŘIJALA TOTO NAŘÍZENÍ:

ODDÍL I

Obecná ustanovení

Článek 1

Předmět

Toto nařízení stanoví pravidla pro provádění auditů podle článku 37 nařízení (EU) 2022/2065, pokud jde o:

a)

procesní kroky k zajištění toho, aby auditorská organizace, která má být vybrána, splňovala podmínky stanovené v čl. 37 odst. 3 nařízení (EU) 2022/2065;

b)

procesní kroky pro spolupráci a pomoc auditovaného poskytovatele při provádění auditů, včetně přístupu k relevantním informacím za účelem získání důkazních informací;

c)

vymezení a výběr metodik auditů;

d)

šablony pro zprávu o auditu a zprávu o provedení doporučení auditu.

Článek 2

Definice

Pro účely tohoto nařízení se rozumí:

1)

„auditorskou organizací“ jednotlivá organizace, konsorcium nebo jiná kombinace organizací, včetně případných subdodavatelů, jež auditovaný poskytovatel najal k provedení nezávislého auditu v souladu s článkem 37 nařízení (EU) 2022/2065;

2)

„auditovanou službou“ velmi velká online platforma nebo velmi velký internetový vyhledávač určené v souladu s článkem 33 nařízení (EU) 2022/2065;

3)

„auditovaným poskytovatelem“ poskytovatel auditované služby, který se podrobuje nezávislým auditům podle čl. 37 odst. 1 uvedeného nařízení;

4)

„auditovanou povinností nebo závazkem“ povinnost nebo závazek uvedené v čl. 37 odst. 1 nařízení (EU) 2022/2065, které jsou předmětem auditu;

5)

„kritérii auditu“ kritéria, podle nichž auditorská organizace posuzuje dodržování jednotlivých auditovaných povinností nebo závazků;

6)

„důkazními informacemi“ veškeré informace, které auditorská organizace používá k podpoře zjištění a závěrů auditu a k vydání výroku auditora, včetně údajů shromážděných z dokumentů, databází nebo IT systémů, rozhovorů nebo provedeného testování;

7)

„nesprávností“ úmyslné nebo neúmyslné opomenutí, zkreslení nebo chyba v prohlášeních nebo údajích, které auditovaný poskytovatel oznámil nebo poskytl auditorské organizaci, nebo v testovacím prostředí, které auditovaný poskytovatel zpřístupnil auditorské organizaci;

8)

„auditorským rizikem“ riziko, že auditorská organizace vydá nesprávný výrok auditora nebo dospěje k nesprávnému závěru, pokud jde o dodržování auditované povinnosti nebo závazku auditovaným poskytovatelem, s přihlédnutím ke zjišťovacím rizikům, přirozeným rizikům a kontrolním rizikům týkajícím se uvedené auditované povinnosti nebo závazku;

9)

„zjišťovacím rizikem“ riziko, že auditorská organizace nezjistí nesprávnost, která je důležitá pro posouzení dodržování auditované povinnosti nebo závazku auditovaným poskytovatelem;

10)

„přirozeným rizikem“ riziko nesouladu neoddělitelně spojené s povahou, koncepcí, činností a využíváním auditované služby, jakož i s kontextem, v němž je provozována, a riziko nesouladu spojené s povahou auditované povinnosti nebo závazku;

11)

„kontrolním rizikem“ riziko, že se nesprávnosti včas nepředejde nebo nebude včas zjištěna a opravena prostřednictvím vnitřních kontrol auditovaného poskytovatele;

12)

„prahem významnosti“ prahová hodnota, po jejímž překročení by odchylky nebo nesprávnosti ze strany auditovaného poskytovatele, jednotlivě nebo souhrnně, důvodně ovlivnily zjištění a závěry auditu a výroky auditora;

13)

„přiměřenou mírou jistoty“ vysoká, nikoli však absolutní míra jistoty, která auditorské organizaci umožňuje, aby ve svém výroku auditora a závěrech auditu na základě dostatečných a vhodných důkazů potvrdila, zda auditovaný poskytovatel dodržuje auditované povinnosti nebo závazky;

14)

„vnitřní kontrolou“ jakákoli opatření, včetně procesů a testů, která jsou koncipována, prováděna a spravována auditovaným poskytovatelem, včetně jeho osob pověřených zajišťováním souladu a řídícího orgánu, za účelem monitorování a zajišťování toho, aby auditovaný poskytovatel dodržoval auditovanou povinnost nebo závazek;

15)

„prověřeným výzkumným pracovníkem“ výzkumný pracovník prověřený v souladu s čl. 40 odst. 8 nařízení (EU) 2022/2065;

16)

„auditorským postupem“ jakákoli technika, kterou auditorská organizace používá při provádění auditu, včetně shromažďování údajů, výběru a uplatňování metodik, jako jsou testy a analytické postupy zaměřené na věcnou správnost, a jakákoli jiná opatření přijatá za účelem shromažďování a analýzy informací s cílem shromáždit důkazní informace a formulovat závěry auditu, kromě vydání výroku auditora nebo zprávy o auditu;

17)

„testem“ metodika auditu spočívající v měřeních, pokusech nebo jiných kontrolách, včetně kontrol algoritmických systémů, jejímž prostřednictvím auditorská organizace posuzuje dodržování auditované povinnosti nebo závazku auditovaným poskytovatelem;

18)

„analytickým postupem zaměřeným na věcnou správnost“ metodika auditu používaná auditorskou organizací k posuzování informací za účelem vyvození auditorských rizik nebo toho, zda je dodržována auditovaná povinnost nebo závazek.

Článek 3

Rozsah auditu a přiměřená míra jistoty

1.   Audit se provádí způsobem a po dobu, která auditorské organizaci umožňuje s přiměřenou mírou jistoty posoudit dodržování všech auditovaných povinností a závazků auditovaným poskytovatelem.

2.   Audit se vztahuje na období, které začíná bezprostředně po období, jehož se týkal předchozí audit, a končí dnem, který auditorské organizaci umožní provést audit ve lhůtě stanovené v čl. 37 odst. 1 nařízení (EU) 2022/2065, včetně potvrzení posouzení podle odstavce 1 na základě shromážděných důkazů a auditních postupů provedených během tohoto období a včetně dokončení zprávy o auditu podle čl. 37 odst. 4 uvedeného nařízení a jejího předání auditovanému poskytovateli.

3.   Pokud nebyl proveden žádný předchozí audit, vztahuje se audit na období začínající čtyři měsíce po oznámení uvedeném v čl. 33 odst. 6 prvním pododstavci nařízení (EU) 2022/2065 a doba trvání auditu musí umožnit, aby byla zpráva o auditu podle čl. 6 odst. 1 dokončena nejpozději do jednoho roku od začátku auditovaného období.

ODDÍL II

Podmínky pro provádění auditu

Článek 4

Výběr auditorské organizace

1.   Před výběrem auditorské organizace za účelem provedení auditu auditovaný poskytovatel ověří, zda organizace, která má být vybrána, splňuje požadavky stanovené v čl. 37 odst. 3 nařízení (EU) 2022/2065.

2.   Je-li auditorská organizace, která má být vybrána, tvořena více než jednou právnickou osobou nebo má v úmyslu obrátit se na jednoho nebo více subdodavatelů, auditovaný poskytovatel ověří, zda všechny uvedené právnické osoby nebo subdodavatelé:

a)

jednotlivě splňují požadavky stanovené v čl. 37 odst. 3 písm. a) a c) nařízení (EU) 2022/2065;

b)

společně splňují požadavek stanovený v čl. 37 odst. 3 písm. b) nařízení (EU) 2022/2065.

Článek 5

Spolupráce a pomoc mezi auditovaným poskytovatelem a auditorskou organizací

1.   V době dohodnuté s auditorskou organizací a v každém případě před provedením jakéhokoli auditorského postupu předá auditovaný poskytovatel vybrané auditorské organizaci alespoň tyto informace:

a)

popis zavedených vnitřních kontrol, pokud jde o jednotlivé auditované povinnosti a závazky, včetně souvisejících ukazatelů a všech současných a historických měření, a referenční hodnoty používané auditovaným poskytovatelem k potvrzení nebo monitorování toho, že dodržuje auditované povinnosti a závazky, jakož i veškerou podpůrnou dokumentaci;

b)

předběžnou analýzu přirozených a kontrolních rizik, pokud auditovaný poskytovatel takovou analýzu provedl, a veškerou podpůrnou dokumentaci;

c)

informace o veškerých příslušných rozhodovacích strukturách, pravomocích útvarů poskytovatele, včetně funkce zajišťování souladu podle článku 41 nařízení (EU) 2022/2065, příslušných informačních systémech, zdrojích údajů, zpracování a ukládání, jakož i vysvětlení příslušných algoritmických systémů a jejich interakcí.

2.   Auditovaný poskytovatel poskytne auditorské organizaci bez zbytečného odkladu přístup ke všem údajům nezbytným pro provedení auditu, včetně osobních údajů, dokumentace, informací o postupech a procesech, jakož i k systémům informačních technologií, testovacím prostředím a zaměstnancům daného poskytovatele a veškerých relevantních subdodavatelů a do jejich prostor.

3.   Auditovaný poskytovatel dá k dispozici veškeré nezbytné zdroje a poskytne auditorské organizaci pomoc a vysvětlení nezbytné k tomu, aby auditorská organizace mohla analyzovat příslušné informace a provádět testy, včetně případů, kdy informace požadované auditorskou organizací v souladu s čl. 37 odst. 3 nařízení (EU) 2022/2065 má v držení třetí strana, s níž auditovaný poskytovatel uzavřel smlouvu.

ODDÍL III

Provádění auditů

Článek 6

Zpráva o auditu a zpráva o provedení doporučení auditu

1.   Zprávu o auditu uvedenou v čl. 37 odst. 4 nařízení (EU) 2022/2065 vypracuje auditorská organizace bez zásahu auditovaného poskytovatele. Tato zpráva o auditu se vypracuje v souladu se šablonou uvedenou v příloze I a obsahuje podrobné a odůvodněné závěry ve vztahu ke všem prvkům šablony.

2.   V příslušných případech se vyhotoví zpráva o provedení doporučení auditu podle čl. 37 odst. 6 nařízení (EU) 2022/2065, a to v souladu se šablonou v příloze II.

Článek 7

Postupy pro přípravu auditu

1.   Auditovaný poskytovatel a auditorská organizace uzavřou písemnou dohodu, která stanoví:

a)

úplný seznam auditovaných povinností a závazků;

b)

odpovědnosti auditorské organizace, v příslušných případech včetně podrobných údajů o každé právnické osobě, která tvoří auditorskou organizaci, a o stranách zmocněných k podpisu zprávy o auditu;

c)

postupy a kontaktní místa, které auditovaný poskytovatel dal auditorské organizaci k dispozici, aby mohla požádat o přístup k údajům uvedeným v čl. 5 odst. 2;

d)

časový rámec auditu, včetně data zahájení a ukončení auditorských postupů a dokončení zprávy o auditu;

e)

postup řešení sporů mezi auditovaným poskytovatelem a auditorskou organizací vyplývajících z provádění auditu.

2.   Dohoda uvedená v odstavci 1, jakož i jakékoli jiné dohody nebo smluvní dopisy mezi auditorskou organizací a auditovaným poskytovatelem, které se týkají provádění auditu, se připojí ke zprávě o auditu jako přílohy.

3.   Dojde-li během provádění auditu ke změnám dohody uvedené v odstavci 1, budou tyto změny ve zprávě o auditu výslovně uvedeny.

Článek 8

Výrok auditora, závěry auditu a doporučení

1.   Součástí zprávy o auditu jsou závěry auditu, k nimž auditorská organizace dospěla, pokud jde o dodržování každé z auditovaných povinností a závazků auditovaným poskytovatelem. Závěry auditu jsou:

a)

„kladný“, pokud auditorská organizace dospěje s přiměřenou mírou jistoty k závěru, že auditovaný poskytovatel auditovanou povinnost nebo závazek dodržoval;

b)

„kladný s připomínkami“, pokud auditorská organizace dospěje s přiměřenou mírou jistoty k závěru, že auditovaný poskytovatel auditovanou povinnost nebo závazek dodržoval, avšak:

i)

auditorská organizace zahrne poznámky o referenčních hodnotách, které jí auditovaný poskytovatel poskytl v souladu s čl. 5 odst. 1 písm. a) nebo

ii)

auditorská organizace doporučuje zlepšení, která nemají podstatný vliv na její závěr.

c)

„záporný“, pokud auditorská organizace dospěje s přiměřenou mírou jistoty k závěru, že auditovaný poskytovatel auditovanou povinnost nebo závazek nedodržoval.

2.   Pokud zpráva o auditu obsahuje operativní doporučení podle čl. 37 odst. 4 písm. h) nařízení (EU) 2022/2065, musí být uvedená doporučení a jejich doporučený časový rámec konkretizovány pro každou auditovanou povinnost nebo závazek, u nichž je závěr auditu podle odstavce 1 „kladný s připomínkami“ nebo „záporný“.

3.   Pokud operativní doporučení uvedená v odstavci 2 zahrnují zvláštní opatření k dosažení souladu, jsou formulována tak, aby vysvětlovala posouzení auditorské organizace ohledně toho, jak by taková opatření ovlivnila práh významnosti ve srovnání se závěrem auditu u příslušné auditované povinnosti nebo závazku.

4.   Na základě závěrů auditu se ve zprávě o auditu uvede výrok auditora o dodržování všech auditovaných povinností uvedených v čl. 37 odst. 1 písm. a) nařízení (EU) 2022/2065 auditovaným poskytovatelem.

5.   Na základě závěrů ke všem auditovaným závazkům se ve zprávě o auditu uvedou výrok nebo v příslušných případech výroky auditora o dodržování všech auditovaných závazků, které auditovaný poskytovatel přijal na základě jednotlivých kodexů chování a krizových protokolů uvedených v čl. 37 odst. 1 písm. b) nařízení (EU) 2022/2065, auditovaným poskytovatelem.

6.   Výroky auditora podle odstavců 4 a 5 jsou:

a)

„kladný“, pokud auditorská organizace dospěla ke „kladnému“ závěru auditu u všech auditovaných povinností nebo závazků;

b)

„kladný s připomínkami“, pokud auditorská organizace dospěla u auditovaných povinností a závazků alespoň k jednomu závěru auditu „kladný s připomínkami“ a u žádné z auditovaných povinností nebo závazků nedospěla k „zápornému“ závěru auditu;

c)

„záporný“, pokud auditorská organizace dospěla k „zápornému“ závěru auditu alespoň u jedné auditované povinnosti nebo závazku.

7.   Pokud auditorská organizace usoudí, že poskytovatel po omezenou dobu během období uvedeného v čl. 3 odst. 2 nedodržoval auditovanou povinnost nebo závazek, ve zprávě o auditu se uvedené posouzení řádně zdokumentuje.

8.   Pokud auditorská organizace nemůže s přiměřenou mírou jistoty vydat závěr auditu podle odstavce 1 nebo výrok auditora podle odstavců 4 a 5, uvede se ve zprávě o auditu vysvětlení okolností a důvodů, proč takové míry jistoty nebylo možné dosáhnout.

ODDÍL IV

Metodiky auditu

Článek 9

Analýza auditorských rizik

1.   Součástí zprávy o auditu je podložená analýza auditorských rizik provedená auditorskou organizací pro účely posouzení dodržování jednotlivých auditovaných povinností nebo závazků auditovaným poskytovatelem.

2.   Analýza auditorských rizik se provádí před provedením auditorských postupů a během provádění auditu se aktualizuje s ohledem na veškeré nové důkazní informace, které podle odborného úsudku auditorské organizace významně mění posouzení auditorských rizik.

3.   Analýza auditorských rizik bere v úvahu:

a)

přirozená rizika;

b)

kontrolní rizika;

c)

zjišťovací rizika.

4.   Analýza auditorských rizik se provádí s přihlédnutím k:

a)

povaze auditované služby a společenskému a hospodářskému kontextu, v němž je auditovaná služba provozována, včetně pravděpodobnosti a závažnosti vystavení krizovým situacím a neočekávaným událostem;

b)

povaze povinností a závazků;

c)

dalším příslušným informacím, včetně:

i)

v příslušných případech informací z předchozích auditů, kterým byla auditovaná služba podrobena;

ii)

v příslušných případech informací ze zpráv vydaných Evropským sborem pro digitální služby nebo pokynů vydaných Komisí, včetně pokynů vydaných podle čl. 35 odst. 2 a 3 nařízení (EU) 2022/2065 a veškerých dalších příslušných pokynů vydaných Komisí, pokud jde o uplatňování nařízení (EU) 2022/2065;

iii)

v příslušných případech informací ze zpráv o auditu zveřejněných podle čl. 42 odst. 4 nařízení (EU) 2022/2065 jinými poskytovateli velmi velkých online platforem nebo velmi velkých internetových vyhledávačů provozovaných za podobných podmínek nebo poskytujících služby podobné auditované službě.

Článek 10

Vhodné metodiky auditu

1.   Aniž jsou dotčeny zvláštní metodiky auditu uvedené v článcích 13, 14 a 15, provádějí se audity za použití vhodných metodik auditu s cílem snížit posouzená auditorská rizika na úroveň, která auditorské organizaci umožní dospět k závěrům auditu s přiměřenou mírou jistoty.

2.   Součástí zprávy o auditu je popis metodik auditu koncipovaných auditorskou organizací před provedením jakýchkoli auditorských postupů, alespoň včetně:

a)

kritérií auditu pro posouzení dodržování jednotlivých auditovaných povinností nebo závazků, vymezených na základě informací podle čl. 5 odst. 1 písm. a), a přípustného prahu významnosti vyjádřeného v příslušných případech kvalitativně nebo kvantitativně;

b)

všech testů a analytických postupů zaměřených na věcnou správnost a důkazních informací, které má auditorská organizace v úmyslu použít k posouzení dodržování jednotlivých auditovaných povinností nebo závazků.

Součástí zprávy o auditu je popis veškerých změn metodik použitých během provádění auditu ve srovnání s metodikami koncipovanými před provedením auditorských postupů.

3.   Pokud má auditorská organizace důvodné pochybnosti o informacích posuzovaných při provádění auditu, zejména pokud jde o informace předložené auditovaným poskytovatelem, přizpůsobí se výběr a použití metodiky tak, aby uvedené organizaci poskytly nezbytné důkazní informace v souladu s článkem 11.

4.   Má se za to, že důvodné pochybnosti uvedené v odstavci 3 vyvstávají zejména na základě kteréhokoli z těchto prvků:

a)

odborný úsudek a skepticismus při posuzování informací, včetně informací týkajících se vnitřních kontrol auditovaného poskytovatele, které vedou auditorskou organizaci k formulování důvodných pochybností;

b)

vnějších signálů poukazujících na auditorská rizika, zejména zpráv Evropského sboru pro digitální služby uvedených v čl. 35 odst. 2 nařízení (EU) 2022/2065, pokynů Komise, včetně pokynů uvedených v čl. 35 odst. 3 uvedeného nařízení a veškerých dalších příslušných pokynů vydaných Komisí, pokud jde o uplatňování nařízení (EU) 2022/2065, a zpráv o auditu vydaných na základě kodexů chování nebo krizových protokolů uvedených v článcích 45, 46 a 48 uvedeného nařízení;

c)

informací týkajících se událostí, k nimž došlo během provádění auditu, včetně krizových situací, a které vyžadují dodatečná opatření ze strany auditovaného poskytovatele, aby se zajistilo dodržování určitých auditovaných povinností nebo závazků.

5.   Auditorské postupy zahrnují přinejmenším:

a)

provádění testů a analytických postupů zaměřených na věcnou správnost, pokud jde o vnitřní kontroly, které auditovaný poskytovatel zavedl pro každou z auditovaných povinností nebo závazků;

b)

provádění analytických postupů zaměřených na věcnou správnost za účelem posouzení dodržování každé z auditovaných povinností a závazků, a to i pokud jde o algoritmické systémy;

c)

provádění testů, a to i pokud jde o algoritmické systémy, týkajících se auditovaných povinností a závazků, u nichž má auditorská organizace důvodné pochybnosti, jak je uvedeno v odstavci 4, a týkajících se auditovaných povinností a závazků, u nichž auditorská organizace považuje za nezbytné provést testy při výběru metodiky podle odstavce 1.

6.   Pokud povinnosti nebo závazky uvedené v čl. 37 odst. 1 nařízení (EU) 2022/2065 vyžadují, aby auditovaný poskytovatel zveřejňoval určité informace, metodiky auditu zahrnují posouzení toho, zda zveřejňované informace nejsou zatíženy významnou chybou nebo opomenutím, které by jinak mohly učinit tyto informace zavádějícími.

Článek 11

Kvalita důkazních informací

Závěry auditu a výroky auditora vycházejí z důkazních informací, které splňují oba tyto požadavky:

a)

jsou relevantní a postačující ke snížení auditorských rizik zjištěných v souladu s článkem 9 a k tomu, aby auditorská organizace mohla předkládat závěry auditu a výroky auditora v souladu s článkem 8;

b)

jsou podle odborného úsudku a skepticismu auditorské organizace spolehlivé.

Článek 12

Metody výběru vzorku

1.   Pokud se důkazní informace částečně nebo zcela zakládají na vzorku údajů nebo informací, zvolí se velikost vzorku a metodika pro výběr vzorku s cílem minimalizovat zjišťovací riziko a bez zásahu auditovaného poskytovatele.

2.   Velikost vzorku a metodika pro výběr vzorku se zvolí tak, aby byla zajištěna reprezentativnost údajů nebo informací, a v příslušných případech s přihlédnutím ke všem těmto skutečnostem:

a)

reprezentativnosti vzorku pro období uvedené v čl. 3 odst. 2 a 3;

b)

relevantním změnám auditované služby během uvedeného období;

c)

relevantním změnám kontextu, v němž je auditovaná služba během uvedeného období poskytována;

d)

relevantním vlastnostem algoritmických systémů, v příslušných případech včetně individualizace na základě profilování nebo jiných kritérií;

e)

jiným relevantním charakteristikám nebo partiím zvažovaných údajů, informací a důkazů;

f)

zastoupení a odpovídající analýze obav týkajících se konkrétních skupin, jako jsou nezletilé osoby nebo zranitelné skupiny a menšiny, v souvislosti s auditovanou povinností nebo závazkem.

3.   Součástí zprávy o auditu je odůvodnění volby velikosti vzorku a metodiky výběru vzorku.

Článek 13

Zvláštní metodiky pro audit dodržování článku 34 nařízení (EU) 2022/2065 o posouzení rizik

1.   Posouzení dodržování článku 34 nařízení (EU) 2022/2065 auditovaným poskytovatelem zahrnuje zejména analýzu všech těchto skutečností:

a)

zda auditovaný poskytovatel pečlivě určil, analyzoval a posoudil systémová rizika v Unii uvedená v čl. 34 odst. 1 prvním pododstavci nařízení (EU) 2022/2065, včetně posouzení:

i)

jak auditovaný poskytovatel určil rizika spojená s jeho službou s přihlédnutím k regionálním a jazykovým aspektům využívání jeho služby, včetně případů aspektů specifických pro určitý členský stát, a zda jsou rizika náležitě určena;

ii)

jak auditovaný poskytovatel analyzoval a posoudil každé riziko, včetně toho, jak zvážil pravděpodobnost a závažnost rizik, a zda bylo posouzení náležité;

iii)

jak auditovaný poskytovatel určil, analyzoval a posoudil faktory uvedené v čl. 34 odst. 2 prvním pododstavci nařízení (EU) 2022/2065, zda byly náležitě určeny a do jaké míry takové faktory ovlivňují rizika určená v odstavci 1 uvedeného článku;

iv)

jaké zdroje informací auditovaný poskytovatel použil, jak informace shromáždil, včetně toho, zda a jak se spoléhal na vědecké a technické poznatky;

v)

zda a jak auditovaný poskytovatel testoval předpoklady ohledně rizik u skupin, které jsou konkrétními riziky nejvíce dotčeny;

b)

zda bylo posouzení rizik provedeno v časových rámcích stanovených v čl. 34 odst. 1 druhém pododstavci nařízení (EU) 2022/2065 a v příslušných případech v časových rámcích stanovených pro činnosti zavedené jako opatření ke zmírnění rizik za účelem odhalování systémových rizik podle čl. 35 odst. 1 písm. f) uvedeného nařízení;

c)

jak auditovaný poskytovatel určil funkce, které budou pravděpodobně mít kritický dopad na rizika a u nichž se posouzení rizik provede před jejich zavedením podle čl. 34 odst. 1 druhého pododstavce nařízení (EU) 2022/2065, zda byly uvedené funkce správně určeny a zda bylo posouzení rizik náležitě provedeno;

d)

zda auditovaný poskytovatel správně určil podpůrnou dokumentaci, která by měla být uchována s ohledem na posouzení rizik, zda zavedl nezbytné prostředky k zajištění uchování uvedené dokumentace po dobu nejméně tří let podle čl. 34 odst. 3 nařízení (EU) 2022/2065 a zda byla dokumentace odpovídajícím způsobem uchována.

2.   Aniž je dotčena jakákoli jiná analýza nezbytná pro dosažení přiměřené míry jistoty, metodiky pro audit dodržování článku 34 nařízení (EU) 2022/2065 zahrnují alespoň posouzení provedené auditorskou organizací, pokud jde o tyto prvky:

a)

vnitřní kontroly, které auditovaný poskytovatel zavedl za účelem monitorování provádění posouzení rizik týkajících se jednotlivých faktorů uvedených v čl. 34 odst. 2 prvním pododstavci nařízení (EU) 2022/2065; takové posouzení:

i)

je pro uvedené vnitřní kontroly založeno na analytických postupech zaměřených na věcnou správnost;

ii)

je založeno na testech spolehlivosti a pečlivého koncipování, provádění a monitorování uvedených vnitřních kontrol;

iii)

hodnotí, jak osoba nebo osoby pověřené zajišťováním souladu prováděly své úkoly podle čl. 41 odst. 3 písm. b, d), e) a v příslušných případech písm. f) nařízení (EU) 2022/2065 a jak se řídící orgán auditovaného poskytovatele podílel na rozhodnutích týkajících se řízení rizik podle čl. 41 odst. 6 a 7 uvedeného nařízení;

b)

opatření, prostředky a postupy zavedené auditovaným poskytovatelem k zajištění dodržování článku 34 nařízení (EU) 2022/2065 a jejich výsledky; takové posouzení se zakládá na:

i)

analytických postupech zaměřených na věcnou správnost;

ii)

testech, včetně testů algoritmických systémů, pokud má auditorská organizace na základě výsledků analytických postupů zaměřených na věcnou správnost a posouzení vnitřních kontrol důvodné pochybnosti nebo pokud auditorská organizace považuje za nezbytné provést testy při výběru metodiky podle čl. 10 odst. 1.

3.   Informace analyzované auditorskou organizací na podporu posouzení provedeného podle tohoto článku zahrnují zejména:

a)

zprávu o posouzení rizik za příslušné auditované období, kterou vypracoval auditovaný poskytovatel, v případě potřeby včetně důvěrných informací, které nejsou součástí informací zveřejněných podle čl. 42 odst. 2 uvedeného nařízení, a veškeré podpůrné dokumenty;

b)

v příslušných případech jiné zprávy o posouzení rizik auditovaného poskytovatele a podpůrné dokumenty k nim;

c)

informace předložené auditovaným poskytovatelem podle článku 5;

d)

všechny příslušné zprávy o transparentnosti auditovaného poskytovatele uvedené v čl. 15 odst. 1 nařízení (EU) 2022/2065;

e)

v příslušných případech veškeré další výsledky testů, dokumentaci, důkazy, prohlášení učiněná v reakci na písemné nebo ústní otázky, které auditorská organizace položila zaměstnancům auditovaného poskytovatele, a pozorování učiněná na místě;

f)

jiné relevantní důkazy, a to i na základě informací poskytnutých auditovaným poskytovatelem;

g)

případně zprávy uvedené v čl. 35 odst. 2 nařízení (EU) 2022/2065 a pokyny vydané Komisí, včetně pokynů vydaných podle čl. 35 odst. 3 uvedeného nařízení a veškerých dalších příslušných pokynů vydaných Komisí, pokud jde o uplatňování nařízení (EU) 2022/2065.

4.   Informace analyzované auditorskou organizací mohou v příslušných případech zahrnovat informace uvedené v čl. 42 odst. 4 nařízení (EU) 2022/2065, včetně informací ze zpráv o auditu, o posouzení rizik a o zmírňování rizik, informací týkající se jiných velmi velkých online platforem nebo velmi velkých internetových vyhledávačů nebo údajů a výzkumu zpřístupněných veřejnosti prověřenými výzkumnými pracovníky podle čl. 40 odst. 8 písm. g) nařízení.

Článek 14

Zvláštní metodiky pro audit dodržování článku 35 nařízení (EU) 2022/2065 o zmírňování rizik

1.   Posouzení dodržování článku 35 nařízení (EU) 2022/2065 auditovaným poskytovatelem zahrnuje zejména analýzu všech těchto skutečností:

a)

jak auditovaný poskytovatel určil opatření ke zmírnění rizik u každého ze systémových rizik uvedených v čl. 34 odst. 1 nařízení (EU) 2022/2065 a zda byla taková opatření ke zmírnění rizik určena pečlivě;

b)

jak auditovaný poskytovatel posuzoval, zda se na auditovanou službu vztahují opatření ke zmírnění rizik uvedená v čl. 35 odst. 1 písm. a) až k) nařízení (EU) 2022/2065, a zda byl závěr uvedeného posouzení náležitý, a to i pokud jde o ta opatření, která auditovaný poskytovatel neuplatnil;

c)

zda jsou zmírňující opatření zavedená auditovaným poskytovatelem důvodná, přiměřená a účinná pro zmírnění příslušných rizik, včetně:

i)

posouzení, zda společně reagují na všechna rizika, se zvláštním ohledem na rizika související s výkonem základních práv;

ii)

komparativního posouzení toho, jak byla rizika řešena před zavedením konkrétních opatření ke zmírnění rizik a po jejich zavedení;

iii)

toho, zda byla opatření ke zmírnění rizika vhodně navržena a provedena.

2.   Aniž je dotčena jakákoli jiná analýza nezbytná pro dosažení přiměřené míry jistoty, metodiky pro audit dodržování článku 35 nařízení (EU) 2022/2065 zahrnují alespoň posouzení provedené auditorskou organizací, pokud jde o tyto prvky:

a)

vnitřní kontroly, které auditovaný poskytovatel zavedl za účelem monitorování uplatňování opatření ke zmírnění rizik uvedených v čl. 35 odst. 1 nařízení (EU) 2022/2065 a toho, zda jsou tato opatření důvodná, přiměřená a účinná; takové posouzení:

i)

je pro uvedené vnitřní kontroly založeno na analytických postupech zaměřených na věcnou správnost;

ii)

je založeno na testech spolehlivosti a pečlivého koncipování, provádění a monitorování uvedených vnitřních kontrol;

iii)

hodnotí, jak osoba nebo osoby pověřené zajišťováním souladu prováděly své úkoly podle čl. 41 odst. 3 písm. b, d), e) a v příslušných případech písm. f) nařízení (EU) 2022/2065 a jak byl zapojen řídící orgán poskytovatele podle čl. 41 odst. 6 a 7 uvedeného nařízení;

b)

zmírňující opatření zavedená auditovanými poskytovateli; takové posouzení se zakládá na:

i)

analytických postupech zaměřených na věcnou správnost;

ii)

testech, včetně testů algoritmických systémů, pokud má auditorská organizace na základě výsledků analytických postupů zaměřených na věcnou správnost a posouzení vnitřních kontrol důvodné pochybnosti nebo pokud auditorská organizace považuje za nezbytné provést testy při výběru metodiky podle čl. 10 odst. 1.

3.   Informace analyzované auditorskou organizací na podporu posouzení provedeného podle tohoto článku zahrnují zejména:

a)

zprávy o posouzení rizik a o zmírňování rizik za příslušné auditované období, které vypracoval auditovaný poskytovatel, v případě potřeby včetně důvěrných informací, které nejsou součástí informací zveřejněných podle čl. 42 odst. 2 nařízení (EU) 2022/2065, a veškeré podpůrné dokumenty;

b)

v příslušných případech jiné zprávy o posouzení rizik a o zmírňování rizik auditovaného poskytovatele a podpůrné dokumenty k nim;

c)

informace předložené auditovaným poskytovatelem podle článku 5;

d)

všechny příslušné zprávy o transparentnosti auditovaného poskytovatele uvedené v čl. 15 odst. 1 nařízení (EU) 2022/2065;

e)

v příslušných případech dřívější zprávy o zmírňování rizik a podpůrné dokumenty k nim za období, na která se auditované období nevztahuje, v případě potřeby včetně důvěrných informací, které nejsou součástí informací zveřejněných podle čl. 42 odst. 2 nařízení (EU) 2022/2065;

f)

v příslušných případech veškeré další výsledky testů, dokumentaci, důkazy, prohlášení učiněná v reakci na písemné a ústní otázky, které auditorská organizace položila zaměstnancům auditovaného poskytovatele, a pozorování učiněná na místě;

g)

jiné relevantní důkazy, a to i na základě informací poskytnutých auditovaným poskytovatelem;

h)

případně zprávy uvedené v čl. 35 odst. 2 nařízení (EU) 2022/2065 a pokyny vydané Komisí, včetně pokynů vydaných podle čl. 35 odst. 3 uvedeného nařízení a veškerých dalších příslušných pokynů vydaných Komisí, pokud jde o uplatňování nařízení (EU) 2022/2065.

4.   Informace analyzované auditorskou organizací mohou v příslušných případech zahrnovat informace uvedené v čl. 42 odst. 4 nařízení (EU) 2022/2065, včetně informací ze zpráv o auditu, o posouzení rizik a o zmírňování rizik, informací týkající se jiných velmi velkých online platforem nebo velmi velkých internetových vyhledávačů nebo údajů a výzkumu zpřístupněných veřejnosti prověřenými výzkumnými pracovníky podle čl. 40 odst. 8 písm. g) nařízení (EU) 2022/2065.

Článek 15

Zvláštní metodiky pro audit dodržování článku 36 nařízení (EU) 2022/2065 o mechanismu reakce na krize

1.   Posouzení dodržování čl. 36 odst. 1 prvního pododstavce písm. a) nařízení (EU) 2022/2065 auditovaným poskytovatelem zahrnuje zejména analýzu toho, zda a jak auditovaný poskytovatel prováděl požadovaná opatření, zejména:

a)

zda a jak auditovaný poskytovatel určil příslušné systémy zapojené do fungování a využívání jeho služby, které významně přispívají k závažné hrozbě, a zda byly uvedené systémy náležitě určeny;

b)

zda a jak auditovaný poskytovatel vymezil a monitoroval významný příspěvek k závažné hrozbě a zda bylo jeho posouzení náležité;

c)

v příslušných případech jakýkoli jiný požadavek stanovený v rozhodnutí Komise uvedeném v čl. 36 odst. 1 nebo odst. 7 druhém pododstavci nařízení (EU) 2022/2065.

2.   Posouzení dodržování čl. 36 odst. 1 prvního pododstavce písm. b) nařízení (EU) 2022/2065 auditovaným poskytovatelem zahrnuje zejména analýzu toho, zda a jak auditovaný poskytovatel prováděl požadovaná opatření, zejména:

a)

zda a jak auditovaný poskytovatel určil opatření s cílem předcházet závažné hrozbě, odstranit ji nebo omezit;

b)

zda a jak opatření přijatá auditovaným poskytovatelem řešila závažnost vážného ohrožení, jejich naléhavost a zda byla v tomto ohledu vhodná;

c)

zda a jak auditovaný poskytovatel určil strany dotčené opatřeními a jejich oprávněné zájmy a jak posuzoval nastalý nebo potenciální dopad opatření na práva uvedených stran, včetně základních práv, a na jejich oprávněné zájmy;

d)

zda byla opatření přijatá auditovaným poskytovatelem účinná a přiměřená;

e)

v příslušných případech jakýkoli jiný požadavek stanovený v rozhodnutí Komise uvedeném v čl. 36 odst. 1 nebo odst. 7 druhém pododstavci nařízení (EU) 2022/2065.

3.   Posouzení dodržování čl. 36 odst. 1 prvního pododstavce písm. c) nařízení (EU) 2022/2065 auditovaným poskytovatelem zahrnuje zejména analýzu toho, jak auditovaný poskytovatel provedl požadované opatření, zejména zda auditovaný poskytovatel poskytl Komisi informace požadované v rozhodnutí Komise uvedeném v čl. 36 odst. 1 nebo odst. 7 druhém pododstavci nařízení (EU) 2022/2065 a zda byly tyto zprávy přesné.

Článek 16

Audit dodržování článku 37 nařízení (EU) 2022/2065 o nezávislém auditu

1.   Dodržování povinností stanovených v článku 37 nařízení (EU) 2022/2065 a v tomto nařízení se posuzuje ve vztahu k auditu nebo auditům provedeným za roční období, které předchází období současného auditu.

2.   Vedle odstavce 1 zahrnuje audit posouzení dodržování čl. 37 odst. 2 nařízení (EU) 2022/2065 auditovaným poskytovatelem, pokud jde o současný audit.

3.   Pokud předchozí audit nebo audity uvedené v odstavci 1 provedla stejná auditorská organizace jako současný audit nebo pokud auditorská organizace provádějící současný audit zahrnuje alespoň jeden právní subjekt, který se podílel na předchozím auditu, uvede se ve zprávě o auditu vysvětlení kroků, které auditorská organizace zavedla, aby zajistila objektivitu posouzení.

Článek 17

Audit dodržování kodexů chování a krizových protokolů

1.   Auditovaný poskytovatel zpřístupní auditorské organizaci:

a)

seznam a znění všech kodexů chování uvedených v článcích 45 a 46 nařízení (EU) 2022/2065 a krizových protokolů uvedených v článku 48 uvedeného nařízení, jichž je auditovaný poskytovatel signatářem;

b)

podrobný seznam závazků v rámci uvedených kodexů chování a krizových protokolů, které auditovaný poskytovatel přijal;

c)

v příslušných případech hlavní ukazatele výkonnosti dohodnuté v rámci jednotlivých kodexů chování a krizových protokolů;

d)

v příslušných případech veškerá dostupná měření, údaje a dokumentaci a veškeré zprávy vypracované auditovaným poskytovatelem, pokud jde o dodržování přijatých závazků auditovaným poskytovatelem, včetně přístupu ke všem relevantním informacím a údajům týkajícím se fungování služeb nabízených auditovaným poskytovatelem, které se týkají provádění kodexu chování nebo krizového protokolu;

e)

v příslušných případech další měření, údaje a dokumentaci vypracované signatáři kodexu chování nebo krizového protokolu a posouzení Komise nebo sboru uvedených v čl. 45 odst. 4 nařízení (EU) 2022/2065.

2.   Posouzení dodržování kodexů chování uvedených v článku 45 nařízení (EU) 2022/2065 auditovaným poskytovatelem zahrnuje zejména měření hlavních ukazatelů výkonnosti dohodnutých v kodexu chování podle čl. 45 odst. 3 uvedeného nařízení, přičemž je upřesněn práh významnosti pro závěry auditu, a to, zda jsou vykázané údaje přesné.

ODDÍL V

Závěrečná ustanovení

Článek 18

Vstup v platnost

Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.

Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.

V Bruselu dne 20. října 2023.

Za Komisi

předsedkyně

Ursula VON DER LEYEN


(1)   Úř. věst. L 277, 27.10.2022, s. 1.


PŘÍLOHA I

Šablona zprávy o auditu uvedené v článku 6

Obsah

Image 1

ODDÍL B: Auditorská organizace (auditorské organizace)

Při vyplňování oddílu níže vložte tolik řádků, kolik je u každého bodu potřeba.

1.

Název organizace nebo organizací, které tvoří auditorskou organizaci:

2.

Informace o auditorském týmu auditorské organizace:

Za každého člena auditorského týmu uveďte:

1.

jméno;

2.

jednotlivou organizaci, která je součástí auditorské organizace a pro kterou daný člen pracuje;

3.

pracovní e-mailovou adresu;

4.

popis jeho odpovědností a práce, kterou v průběhu auditu vykonával.

3.

Kvalifikace auditorů:

a.

Přehled odborných kvalifikací osob, které provedly audit, v příslušných případech včetně oblastí odborných znalostí a certifikací:

b.

Dokumenty potvrzující, že auditorská organizace splňuje požadavky stanovené v čl. 37 odst. 3 písm. b) nařízení (EU) 2022/2065, byly připojeny jako příloha této zprávy:

4.

Nezávislost auditorů:

a.

Prohlášení o zájmech:

b.

Odkazy na veškeré normy relevantní pro nezávislost auditorského týmu, které auditorská organizace dodržuje (auditorské organizace dodržují):

c.

Seznam dokumentů potvrzujících, že auditorská organizace dodržuje povinnosti stanovené v čl. 37 odst. 3 písm. a) a c) nařízení (EU) 2022/2065, které jsou připojeny jako přílohy této zprávy.

5.

V příslušných případech odkazy na veškeré auditorské standardy použité při auditu:

6.

V příslušných případech odkazy na veškeré normy řízení kvality, které auditorská organizace dodržuje:

Image 2

Image 3