Как защитить персональные данные работников при запросе от вышестоящей организации?

Действовать исходя из ГК РФ:

"Гражданский кодекс Российской Федерации (часть первая)" от 30.11.1994 N 51-ФЗ (ред. от 28.06.2021, с изм. от 08.07.2021)

""ГК РФ Статья 55. Представительства и филиалы юридического лица

""1. Представительством является обособленное подразделение юридического лица, расположенное вне места его нахождения, которое представляет интересы юридического лица и осуществляет их защиту.

""2. Филиалом является обособленное подразделение юридического лица, расположенное вне места его нахождения и осуществляющее все его функции или их часть, в том числе функции представительства.

""3. Представительства и филиалы не являются юридическими лицами. Они наделяются имуществом создавшим их юридическим лицом и действуют на основании утвержденных им положений.

""Руководители представительств и филиалов назначаются юридическим лицом и действуют на основании его доверенности.

""Представительства и филиалы должны быть указаны в едином государственном реестре юридических лиц.

Ответственность за обработку, хранение и передачу персональных данных несет оператор по обработке персональных данных.

Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 02.07.2021) "О персональных данных"

""Статья 3. Основные понятия, используемые в настоящем Федеральном законе

В целях настоящего Федерального закона используются следующие основные понятия:

""2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Согласно ст.55 ГК РФ, филиал не является юридическим лицом. Юридическим лицом является головная организация, вот она в силу ст.3 Закона о персорнальных даннх и является оператором. Так что директор вышестоящей организации прав.