В организации проводится аудит бухгалтерской (финансовой) отчетности. Аудитор просит предоставить документы, в которых содержатся персональные данные работников. Обязана ли организация получить согласие работников на обработку (передачу) персональных данных третьей стороне?
Обязана, если аудит проводится не в рамках обязательных случаев, установленных законом (добровольно).
В случае, когда организацией проводится обязательный аудит, она выполняет возложенные законодательством РФ обязанности, согласие работников на передачу их персональных данных аудитору не требуется.
Обоснование: Аудиторская проверка - это проверка достоверности бухгалтерской (финансовой) отчетности аудируемого лица (ч. 3 ст. 1 Федерального закона от 30.12.2008 N 307-ФЗ "Об аудиторской деятельности" (далее - Закон об аудиторской деятельности)).
Целью аудита является выражение мнения о достоверности финансовой (бухгалтерской) отчетности аудируемых (ч. 3 ст. 1 Закона об аудиторской деятельности).
Организация вправе проводить аудит своей бухгалтерской (финансовой) отчетности в любое время, а в случаях, установленных ч. 1 ст. 5 Закона об аудиторской деятельности, проведение аудита является обязательным.
При оказании аудиторских услуг аудитор вправе исследовать в полном объеме документацию, связанную с финансово-хозяйственной деятельностью аудируемого лица (п. 2 ч. 1 ст. 13 Закона об аудиторской деятельности). В случае непредоставления аудируемым лицом всей необходимой документации аудитор вправе отказаться от проведения аудита или от выражения своего мнения о достоверности бухгалтерской (финансовой) отчетности в аудиторском заключении в случаях (пп. «а» п. 4 ч. 1 ст. 13 Закона об аудиторской деятельности).
В соответствии со ст. 14 Закона об аудиторской деятельности аудируемое лицо (лицо, заключившее договор оказания аудиторских услуг) обязано содействовать аудиторской организации (индивидуальному аудитору) в своевременном и полном проведении аудита и оказании сопутствующих аудиту услуг, создавать для этого соответствующие условия, предоставлять необходимую информацию и документацию, давать по устному или письменному запросу исчерпывающие разъяснения и подтверждения в устной и письменной форме, а также запрашивать необходимые для оказания аудиторских услуг сведения у третьих лиц.
Под обработкой персональных данных понимается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона о персональных данных).
Таким образом, передача персональных данных является обработкой персональных данных.
По общему правилу обработка персональных данных допускается с согласия субъекта персональных данных. Отдельного согласия потребует обработка персональных данных, разрешенных субъектом персональных данных для распространения (п. 1 ч. 1 ст. 6, ст. 10.1 Закона о персональных данных).
Случаи, когда обработка персональных данных может осуществляться без согласия субъекта персональных данных, перечислены в пунктах 2 - 11 части 1 статьи 6 Закона о персональных данных.
Работодатель вправе передавать данные о работнике без его согласия третьим лицам при угрозе жизни и здоровью человека, а также в иных случаях, установленных законом. Во всех остальных случаях сообщать персональные данные работника третьей стороне работодатель может только на основании письменного согласия работника (абз. 2, 3 ст. 88 ТК РФ).
Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено Законом о персональных данных (ст. 7 Закона о персональных данных).
В частности, согласно п. 2 ч. 1 ст. 6 Закона о персональных данных, обработка персональных данных допускается без согласия субъекта, если она необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей.
В случае, когда организацией проводится обязательный аудит, она выполняет возложенные законодательством РФ обязанности, следовательно, согласие работников на передачу их персональных данных аудитору не требуется.
Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки (ч. 5 ст. 5 Закона N 152-ФЗ).
В общем случае на каждую передачу персональных данных работника третьим лицам работодателю необходимо оформлять отдельное письменное согласие на передачу персональных данных (абз. 2, 3 ст. 88 ТК РФ, ч. 5 ст. 5, ч. 3 ст. 6 Закона N 152-ФЗ). Нельзя в согласии в разовом порядке написать, что работник не против передачи своих персональных данных любым третьим лицам, с которыми у работодателя может быть заключен договор.
В случае если аудит проводится добровольно (не в рамках обязательных случаев, установленных законом) организация обязана получить согласие работников на обработку (передачу) персональных данных третьей стороне.
Настоящая консультация имеет информационно-разъяснительный характер по вопросам применения законодательства Российской Федерации и не препятствует руководствоваться нормами законодательства в понимании, отличающемся от трактовки, изложенной в настоящей консультации.
Услуга оказывается в соответствии с Регламентом Линии консультаций КАДИС.
