Суд: банки обязаны хранить персональные данные своих клиентов не менее 5 лет, даже если они отозвали свое согласие

Суд: банки обязаны хранить персональные данные своих клиентов не менее 5 лет, даже если они отозвали свое согласие
AlexLipa / Depositphotos.com

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных (ч. 2 ст. 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», далее – Закон № 152-ФЗ). Однако оператор вправе продолжить обработку сведений о лице без его согласия в случаях, когда это необходимо для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, оператора или третьих лиц или прямо закреплены в законе (п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона № 152-ФЗ).

Так, по одному делу, где ответчиком выступил банк, персональные данные по требованию суда изъяты не были (апелляционное определение Московского городского суда от 14 июня 2019 года по делу № 33-25479). Гражданин обратился в банк с заявлением на открытие счета и получение банковской карты, в чем ему отказали. После этого он написал заявление об отзыве согласия на обработку его персональных данных и уничтожении их по соответствующему акту, который ему не был предоставлен. В связи с этим он обратился в суд с требованием к банку прекратить правоотношения между ними, восстановить положение дел, существовавшее до момента обращения в банк об открытии счетов, признать недействительными и отозвать сведения об истце, направленные в Росфинмониторинг.

Районный суд, а позднее, и апелляционный суд, куда обратился гражданин, отказали ему в удовлетворении исковых требований, указав на то, что хранение персональных данных должно осуществляться в форме, позволяющей определить их владельца, не дольше, чем этого требуют цели обработки полученной информации, если срок хранения сведений не установлен. Суды отметили, что обрабатываемая информация подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если не предусмотрено иное. При этом организации, осуществляющие операции с денежными средствами или иным имуществом, обязаны хранить документы, содержащие сведения для идентификации личности, не менее пяти лет (п. 4 ст. 7 Федерального закона от 7 августа 2001 г. № 115-ФЗ «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма»). В связи с этим суды отметили, что банк должен хранить персональные данные истца в течение не менее 5 лет со дня прекращения отношений, а также в предусмотренных законом случаях предоставлять информацию и документы уполномоченному органу по его запросу. Суды также напомнили, что банк обязан предоставлять информацию и документы, по запросу уполномоченного органа и это не будет являться нарушением служебной, банковской или коммерческой тайны.

При этом в случае отзыва согласия субъектом персональных данных, если не предусмотрено иное, оператор обязан прекратить их обработку не позднее 30 дней с даты поступления указанного отзыва, а значит клиенту банка не должны поступать звонки с предложениями услуг, однако суды этот вопрос не уточнили (п. 5 ст. 21 Закона № 152-ФЗ).

Источник: garant.ru