1.166
Zpřístupnění osobních údajů auditorům
Mgr. Mgr. Radana Burešová
Dotaz:
Máme povinnost poskytnout údaje (týkající se zaměstnanců) auditorům nebo naopak z hlediska GDPR detailní údaje poskytnout nelze? Je případně nutné s nimi uzavřít smlouvu o poskytnutí údajů v souladu s GDPR?
Odpověď:
Odpověď na Vaši otázku závisí na tom, o jaký audit se jedná.
Pokud je prováděn audit, který je pro daný subjekt povinný, protože tak stanoví příslušný právní předpis (např. zákon o účetnictví), je ve vztahu k zaměstnancům právním důvodem zpracování jejich osobních údajů čl. 6 odst. 1 písm. c) GDPR („zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje”), který je hlavním důvodem zpracování osobních údajů zaměstnanců (viz např. problematika sociálního a zdravotního pojištění).
Povinných auditů se týká zákon č. 30/2009 Sb., o auditorech, jehož § 21 odst. 2 mimo jiné stanoví, že „účetní jednotka je povinna poskytnout auditorovi přiměřenou součinnost. Auditor je oprávněn požadovat, aby mu účetní jednotka poskytla veškeré jím požadované doklady a jiné písemnosti, které jsou nezbytné pro řádné provedení auditorské činnosti, dále informace a vysvětlení potřebná k řádnému provedení auditorské činnosti.”
V rozsahu, v jakém jsou informace o zaměstnancích pro povinný audit nezbytné, tedy musejí být auditorům poskytnuty. Lze mít za to, že nezbytné jsou takové údaje, bez nichž nelze audit zpracovat způsobem a v rozsahu, který stanoví příslušný právní předpis.
Pokud se jedná o jiný typ auditu (např. o tzv. due dilligence), prováděný na „dobrovolné” bázi, přichází ve vztahu k zaměstnancům v úvahu důvod zpracování osobních údajů uvedený v čl. 6 odst. 1 písm. f) GDPR („zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů…