Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

Минюст обязал банки проводить пентесты и аудит кибербезопасности

13/08/2018

Банки обяжут соблюдать новые меры кибербезопасности, среди которых обязательными являются аудит информационной безопасности, различные тестирования на проникновение (пентесты), обязательная сертификация использованного программного обеспечения.

Обучение

015.1. Основы работы в операционной системе Astra Linux
20 - 21 августа 2018 года

015.2. Системное администрирование операционной системы Astra Linux Special Edition
22 - 24 августа 2018 года

015.3. Системное администрирование операционной системы Astra Linux Special Edition. Специальный курс.
27 - 28 августа 2018 года

015.4. Системное администрирование Astra Linux Special Edition (2 часть)
29 - 31 августа 2018 года

001. Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных. Курс согласован ФСТЭК России.
10 - 14 сентября 2018 года

Реклама





Партнеры

Лаборатория кибербезопасности





Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Форум » Юридические вопросы в области персональных данных
Страницы: 1
RSS
Персональные данные и запрос аудитора (аудиторской организации)
#1
12.02.2010 08:00:25
Вправе ли организация без письменного согласия работника (ст. 88 ТК РФ) предоставлять своему аудитору (аудиторская организация) документы содержащую персональные данные (ПД) работников организации (например трудовой договор или лицевую карточку работника)?

С одной стороны, наличие в запрашиваемых информации и документации сведений, содержащих коммерческую тайну, не может являться основанием для отказа в их предоставлении (подп. 2 п. 2 ст. 14 Закона "Об аудиторской деятельности" № 307-ФЗ)

С другой стороны работодатель не должен "сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами" (ст. 88 ТК РФ). Законом об аудиторской деятельности прямо не предусматривается обязанность обязанность организации сообщать аудиторам информации, содержащей ПД работника.

Какие мысли на этот счет есть у профессионалов в области ПД?
E-mail
#2
12.02.2010 09:19:18
Цитата
Михаил пишет:
Какие мысли на этот счет есть у профессионалов в области ПД?

Да откуда профессионалам то в этой области взяться?

По теме. Передача возможна только с согласия, т.к. такая операция выходит за рамки ТК.
Т.о. либо передача интересующей аудитора инфы без ПДн, либо получение согласия с сотрудников и передача полной инфы, либо вообще отказ в предоставлении инфы аудитору (мол, согласия от субъектов ПДн нету).

ЗЫ. На правах ИМХО.
Изменено: Simon - 12.02.2010 09:22:39
E-mail
#3
12.02.2010 10:45:57
ТК разрешает передавать ПДн в случаях, предусмотренных федеральными законами.

Аудиторы руководствуются федеральным законом 307-ФЗ, который:
1. Определяет, что аудиторы действуют на основе професионального Кодекса, обязывающего союблюдать конфиденциальность.
2. Статья 9 определяет понятие аудиторской тайны, которую составляют любые сведения, полученные аудитором.
3. Статья 13 говорит о праве аудитора "исследовать в полном объеме документацию, связанную с финансово-хозяйственной деятельностью аудируемого лица", значит и правильность ведения кадрового учета.
4. Статья 14 обязывает аудируемое лицо "содействовать аудиторской организации, индивидуальному аудитору в своевременном и полном проведении аудита, [...] предоставлять необходимую информацию и документацию".
Значит ст.88 ТК разрешает передавать ПДн сотрудников в ходе аудиторской проверки.
Ну как-то так...
Хотя все эти вопросы уже наверняка разжеваны юристами, ведущими трудовые отношения.
E-mail
#4
12.02.2010 14:15:29
Цитата
Андрей пишет:
Хотя все эти вопросы уже наверняка разжеваны юристами, ведущими трудовые отношения.

Может быть, но информации не нашел в Консультанте и в Сети.

Думаю, что можно попробовать сыграть на терминологии. Закон об аудиторской деятельности, говорит что аудиторы могут получать документы и сведения, составляющие коммерческую тайну. А ПДн не являются коммерческой тайной, т.к. ПДн это не предмет регулирования ФЗ "О коммерческой тайне".

ПДн это иная, охраняемая законом тайна, доступ к которой Закон аудиторов не наделяет.
E-mail
#5
12.02.2010 17:53:22
А задача какая? Не дать аудиторам доступ к ПДн?
E-mail
#6
15.02.2010 02:59:19
Все верно. Необходимо дать правовое обоснование отказа в предоставлении документов.

В качестве альтернативы, конечно, можно предоставить аудитором справку по данным из трудового договора (ТД), либо копии ТД без указания Ф.И.О. и прочей информации по которой можно однозначно идентифицировать конкретного работника (обезличивание персональных данных).

Но вопрос в целом стоит о законном праве аудиторов на получение ПДн.
E-mail
#7
03.03.2010 12:38:55
мое мнение: максимально обезличить - в этом случае нет требования соблюдения конфиденциальности, в обезличенном виде можно передавать.
Сам сталкивался с этим несколько раз, аудиторы, хоть и повозмущались, но потом согласились.
E-mail
#8
18.11.2011 13:39:22
Есть требование Статьи 6 новой редакции ФЗ-152 «О персональных данных», в соответствии с которой:
Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

Основания по ФЗ-307 «Об аудиторской деятельности» указаны выше.

НО! Статья 1 определяет, что «Аудит - независимая проверка бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности.»

На основании Статьи 88 ТК РФ:
При передаче персональных данных работника работодатель должен соблюдать следующие требования:
не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;

В отличие от ФЗ-115 «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма», Статья 7 которого обязывает, например, банк предоставлять в уполномоченный орган информацию, содержащую персональные данные, ФЗ-307, на мой взгляд, предписывает предоставлять лишь бухгалтерскую отчётность и документацию, связанную с финансово-хозяйственной деятельностью организации. Прямого требования предоставления персональных данных сотрудников нет.

Так же, проведение аудита организации не является общественно-значимой целью :(

Таким образом:
1. Организация не может опираться на ФЗ-307 как на «иной федеральный закон» из формулировки Ст. 88 ТК РФ и передавать аудитору персональные данные сотрудников без их согласия;
2. Цель, заявленная аудиторами (проверка прав доступа) при требовании предоставить им персональные данные сотрудников, может быть истолкована как «исследовательская», что требует обезличивания информации.


Сугубо ИМХО :|
Изменено: Алексей Липунов - 18.11.2011 13:44:44
 
 
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)