Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

В России хотят создать мегарегулятора информационной безопасности, взяв пример с США

18/11/2017

В рамках реализации программы «Цифровая экономика» предлагается определить единый госорган, ответственный за требования к средствам информационной безопасности.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1
RSS
Персональные данные и запрос аудитора (аудиторской организации)
Вправе ли организация без письменного согласия работника (ст. 88 ТК РФ) предоставлять своему аудитору (аудиторская организация) документы содержащую персональные данные (ПД) работников организации (например трудовой договор или лицевую карточку работника)?

С одной стороны, наличие в запрашиваемых информации и документации сведений, содержащих коммерческую тайну, не может являться основанием для отказа в их предоставлении (подп. 2 п. 2 ст. 14 Закона "Об аудиторской деятельности" № 307-ФЗ)

С другой стороны работодатель не должен "сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами" (ст. 88 ТК РФ). Законом об аудиторской деятельности прямо не предусматривается обязанность обязанность организации сообщать аудиторам информации, содержащей ПД работника.

Какие мысли на этот счет есть у профессионалов в области ПД?
Цитата
Михаил пишет:
Какие мысли на этот счет есть у профессионалов в области ПД?

Да откуда профессионалам то в этой области взяться?

По теме. Передача возможна только с согласия, т.к. такая операция выходит за рамки ТК.
Т.о. либо передача интересующей аудитора инфы без ПДн, либо получение согласия с сотрудников и передача полной инфы, либо вообще отказ в предоставлении инфы аудитору (мол, согласия от субъектов ПДн нету).

ЗЫ. На правах ИМХО.
Изменено: Simon - 12.02.2010 09:22:39
ТК разрешает передавать ПДн в случаях, предусмотренных федеральными законами.

Аудиторы руководствуются федеральным законом 307-ФЗ, который:
1. Определяет, что аудиторы действуют на основе професионального Кодекса, обязывающего союблюдать конфиденциальность.
2. Статья 9 определяет понятие аудиторской тайны, которую составляют любые сведения, полученные аудитором.
3. Статья 13 говорит о праве аудитора "исследовать в полном объеме документацию, связанную с финансово-хозяйственной деятельностью аудируемого лица", значит и правильность ведения кадрового учета.
4. Статья 14 обязывает аудируемое лицо "содействовать аудиторской организации, индивидуальному аудитору в своевременном и полном проведении аудита, [...] предоставлять необходимую информацию и документацию".
Значит ст.88 ТК разрешает передавать ПДн сотрудников в ходе аудиторской проверки.
Ну как-то так...
Хотя все эти вопросы уже наверняка разжеваны юристами, ведущими трудовые отношения.
Цитата
Андрей пишет:
Хотя все эти вопросы уже наверняка разжеваны юристами, ведущими трудовые отношения.

Может быть, но информации не нашел в Консультанте и в Сети.

Думаю, что можно попробовать сыграть на терминологии. Закон об аудиторской деятельности, говорит что аудиторы могут получать документы и сведения, составляющие коммерческую тайну. А ПДн не являются коммерческой тайной, т.к. ПДн это не предмет регулирования ФЗ "О коммерческой тайне".

ПДн это иная, охраняемая законом тайна, доступ к которой Закон аудиторов не наделяет.
А задача какая? Не дать аудиторам доступ к ПДн?
Все верно. Необходимо дать правовое обоснование отказа в предоставлении документов.

В качестве альтернативы, конечно, можно предоставить аудитором справку по данным из трудового договора (ТД), либо копии ТД без указания Ф.И.О. и прочей информации по которой можно однозначно идентифицировать конкретного работника (обезличивание персональных данных).

Но вопрос в целом стоит о законном праве аудиторов на получение ПДн.
мое мнение: максимально обезличить - в этом случае нет требования соблюдения конфиденциальности, в обезличенном виде можно передавать.
Сам сталкивался с этим несколько раз, аудиторы, хоть и повозмущались, но потом согласились.
Есть требование Статьи 6 новой редакции ФЗ-152 «О персональных данных», в соответствии с которой:
Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

Основания по ФЗ-307 «Об аудиторской деятельности» указаны выше.

НО! Статья 1 определяет, что «Аудит - независимая проверка бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности.»

На основании Статьи 88 ТК РФ:
При передаче персональных данных работника работодатель должен соблюдать следующие требования:
не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;

В отличие от ФЗ-115 «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма», Статья 7 которого обязывает, например, банк предоставлять в уполномоченный орган информацию, содержащую персональные данные, ФЗ-307, на мой взгляд, предписывает предоставлять лишь бухгалтерскую отчётность и документацию, связанную с финансово-хозяйственной деятельностью организации. Прямого требования предоставления персональных данных сотрудников нет.

Так же, проведение аудита организации не является общественно-значимой целью :(

Таким образом:
1. Организация не может опираться на ФЗ-307 как на «иной федеральный закон» из формулировки Ст. 88 ТК РФ и передавать аудитору персональные данные сотрудников без их согласия;
2. Цель, заявленная аудиторами (проверка прав доступа) при требовании предоставить им персональные данные сотрудников, может быть истолкована как «исследовательская», что требует обезличивания информации.


Сугубо ИМХО :|
Изменено: Алексей Липунов - 18.11.2011 13:44:44
Страницы: 1
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)