Устаревшая база клиентов: как законно удалять и блокировать персональные данные
Фото: freepik.com
Проблема устаревшей клиентской базы в том, что многие контакты могут быть неактуальны. Как поступать с такими данными: удалять, блокировать или обезличивать? «ЭГ» обратилась за официальными разъяснениями в Национальный центр защиты персональных данных.
Ситуация. Компания накопила базу клиентов за несколько лет и не обновляла ее. Возможно, часть контактов уже неактуальна.
Вопрос. Нужно ли удалить или обезличить такие данные, и если да — по каким критериям и в какие сроки?
Ответ НЦЗПД. Хранение информации, содержащей персональные данные граждан, является их обработкой и должно осуществляться с соблюдением общих требований к ней, например, не дольше, чем этого требуют заявленные цели обработки (п. 8 ст. 4 Закона от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон № 99-З)).
Таким образом, если цель достигнута (например, исполнен договор, данные утратили актуальность), персональные данные необходимо удалить.
По истечении срока хранения оператор (компания) обязан прекратить обработку персональных данных, а также осуществить их удаление при отсутствии оснований для дальнейшей обработки персональных данных, предусмотренных Законом № 99-З и иными законодательными актами.
В случае отсутствия технической возможности удаления персональных данных допускается их блокирование.
Обезличивание персональных данных не исключает возможности идентификации гражданина, которому такие данные принадлежат (например, с использованием дополнительной информации), поэтому такой способ их дальнейшего хранения законодательству о персональных данных не соответствует.
Гражданин, в свою очередь, также вправе требовать прекращения обработки персональных данных и (или) их удаления, если у оператора нет оснований для их обработки (ст. 13 Закона № 99-З). Такое требование может быть реализовано путем подачи соответствующего заявления оператору.
Получив его, оператор, при отсутствии оснований для продолжения обработки персональных данных, обязан ее прекратить, а также осуществить удаление персональных данных в 15-дневный срок.
