Цитата
Михаил пишет: Какие мысли на этот счет есть у профессионалов в области ПД?

Да откуда профессионалам то в этой области взяться?

По теме. Передача возможна только с согласия, т.к. такая операция выходит за рамки ТК.
Т.о. либо передача интересующей аудитора инфы без ПДн, либо получение согласия с сотрудников и передача полной инфы, либо вообще отказ в предоставлении инфы аудитору (мол, согласия от субъектов ПДн нету).

ЗЫ. На правах ИМХО.

Цитата
Андрей пишет: Хотя все эти вопросы уже наверняка разжеваны юристами, ведущими трудовые отношения.

Может быть, но информации не нашел в Консультанте и в Сети.

Думаю, что можно попробовать сыграть на терминологии. Закон об аудиторской деятельности, говорит что аудиторы могут получать документы и сведения, составляющие коммерческую тайну. А ПДн не являются коммерческой тайной, т.к. ПДн это не предмет регулирования ФЗ "О коммерческой тайне".

ПДн это иная, охраняемая законом тайна, доступ к которой Закон аудиторов не наделяет.

Все верно. Необходимо дать правовое обоснование отказа в предоставлении документов.

В качестве альтернативы, конечно, можно предоставить аудитором справку по данным из трудового договора (ТД), либо копии ТД без указания Ф.И.О. и прочей информации по которой можно однозначно идентифицировать конкретного работника (обезличивание персональных данных).

Но вопрос в целом стоит о законном праве аудиторов на получение ПДн.

Есть требование Статьи 6 новой редакции ФЗ-152 «О персональных данных», в соответствии с которой:
Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
7) обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
9) обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 настоящего Федерального закона, при условии обязательного обезличивания персональных данных;

Основания по ФЗ-307 «Об аудиторской деятельности» указаны выше.

НО! Статья 1 определяет, что «Аудит - независимая проверка бухгалтерской (финансовой) отчетности аудируемого лица в целях выражения мнения о достоверности такой отчетности.»

На основании Статьи 88 ТК РФ:
При передаче персональных данных работника работодатель должен соблюдать следующие требования:
не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в других случаях, предусмотренных настоящим Кодексом или иными федеральными законами;

В отличие от ФЗ-115 «О противодействии легализации (отмыванию) доходов, полученных преступным путём, и финансированию терроризма», Статья 7 которого обязывает, например, банк предоставлять в уполномоченный орган информацию, содержащую персональные данные, ФЗ-307, на мой взгляд, предписывает предоставлять лишь бухгалтерскую отчётность и документацию, связанную с финансово-хозяйственной деятельностью организации. Прямого требования предоставления персональных данных сотрудников нет.

Так же, проведение аудита организации не является общественно-значимой целью

Таким образом:
1. Организация не может опираться на ФЗ-307 как на «иной федеральный закон» из формулировки Ст. 88 ТК РФ и передавать аудитору персональные данные сотрудников без их согласия;
2. Цель, заявленная аудиторами (проверка прав доступа) при требовании предоставить им персональные данные сотрудников, может быть истолкована как «исследовательская», что требует обезличивания информации.


Сугубо ИМХО