Вопрос: В соответствии с законодательством персональные данные клиентов после окончания сотрудничества должны удаляться в течение 15 дней. После этого срока в компанию могут обращаться государственные организации с требованием предоставить указанные персональные данные. Как компании соблюсти одновременно требования законодательства в части сроков удаления данных и требования госорганов по предоставлению персональных данных?

Ответ: В данном случае соблюдается приоритет требований законодательства о защите персональных данных.

Обоснование: Хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных (п. 8 ст. 4 Закона о защите персональных данных). Требование об ограничении хранения персональных данных является одной из ключевых гарантий для субъекта персональных данных, выражающейся в установке временных границ, в рамках которых оператор может обрабатывать сведения о лице.

Гипотетическая возможность направления государственными органами запроса о предоставлении информации о клиентах не может являться легитимирующим основанием для обработки персональных данных после окончания сотрудничества, так как противоречит требованию об ограничении обработки персональных данных целью (п. 4 ст. 4 Закона о защите персональных данных). Таким образом, при достижении оператором заявленных целей обработки (например, исполнение обязательств по договору) персональные данные подлежат удалению. В случае направления запроса государственным органом о предоставлении персональных данных, оператор должен отказать в передаче сведений о клиенте со ссылкой на абз. 7 п. 1 ст. 16 Закона о защите персональных данных, предусматривающего обязанность оператора удалять персональные данные в силу отсутствия оснований для обработки персональных данных.

Исключением из данного правила являются случаи установления императивных сроков хранения документов, которые могут содержать в себе сведения о личности. Например, на организации возлагается обязанность по хранению документов и передаче их в архивы (ч. 1 ст. 4 Закона об архивном деле). Список таких документов установлен Перечнем типовых документов N 140. В случае, если при взаимодействии с клиентом составляются документы, сроки хранения которых закреплены в Перечне типовых документов N 140, персональные данные клиентов, содержащиеся в этих документах, будут обрабатываться на основании абз. 20 ст. 6 Закона о защите персональных данных и для их обработки согласия субъекта персональных данных не требуется. Следовательно, если в рамках законных сроков хранения персональных данных в организацию поступит запрос от государственного органа о предоставлении персональных данных, организация должна будет их передать.

Читайте этот материал в ilex >>*
*по ссылке Вы попадете в платный контент сервиса ilex