Есть ли предписанные законодательством сроки хранения персональных данных, помимо Приказа Росархива от 20.12.2019 №236? Или все сроки, помимо архивных, устанавливаются согласно нуждам оператора?
Любая обработка ПДн возможна только в случае одновременного наличия 1) целей и 2) правовых оснований. Цели определяет оператор самостоятельно, а правовые основания в общем случае приведены в 152-ФЗ, ст.6 (это может быть согласие субъекта ПДн, исполнение договора, законодательные требования и др.).
Если говорить о законодательных требованиях, как о правовом основании, то в разных сферах права можно встретить законы и подзаконные акты, устанавливающие cроки обработки или условия прекращения обработки ПДн. Вот примеры:
Специалист по privacy не может знать все подобные требования всех сфер законодательства. И большая удача, если коллеги, непосредственно выполняющие обработку ПДн, знают их. Выявлять такие требования следует совместно при обследовании процессов, связанных с обработкой ПДн, при попытке определить цели хранения ПДн.
Также стоит отметить, что упомянутый в вопросе приказ Росархива регулирует архивное дело в РФ, на которое не распространяется действие 152-ФЗ. Поэтому с точки зрения организации обработки ПДн важен только факт передачи документа в архив, а не срок его хранения там.
Ответ подготовила Рудакова Светлана (03.11.2020)