Организация использует персональные данные исключительно в целях доставки товара по адресу покупателя и отправки кассового чека на электронный адрес или телефон. Данные заносятся в 1с (в том числе ФИО и телефон). Является ли организация оператором персональных данных?

Да, в таком случае организация является оператором персональных данных (п. 2 ст. 3 Закона о персональных данных).

Согласие на такую обработку не требуется, но уведомить Роскомнадзор необходимо, поскольку данные заносятся в 1С, чем осуществляется обработка персональных данных с использованием средств автоматизации (ч. 1 ст. 22 Закона о персональных данных).

Обоснование

Автоматизированной считается обработка данных с помощью средств вычислительной техники. Обработкой без применения средств автоматизации считаются действия с персональными данными, которые осуществляются при непосредственном участии человека (п. 4 ст. 3 Закона о персональных данных, п. 1 Положения, утвержденного Постановлением Правительства РФ от 15.09.2008 N 687).

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона о персональных данных).

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных  (п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" ).

Оператор обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных (за исключением отдельных случаев) (ч. 1 ст. 22 Закона о персональных данных).

Уведомление не требуется, если (п. п. 7 - 9 ч. 2 ст. 22 Закона о персональных данных):

• вы обрабатываете данные, включенные в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
• обработка проводится исключительно без использования средств автоматизации;
• сведения обрабатываются в соответствии с законодательством о транспортной безопасности.

В остальных случаях вы должны подать уведомление в Роскомнадзор (ч. 1 ст. 22 Закона о персональных данных).

Уведомление о намерении осуществлять обработку персональных данных нужно подать в Роскомнадзор до начала их обработки (ч. 1 ст. 22 Закона о персональных данных).

Составьте уведомление по форме, приведенной в Приложении N 1 к Приказу Роскомнадзора от 28.10.2022 N 180. В нем укажите, в частности (ч. 3, 3.1 ст. 22 Закона о персональных данных):

• свое наименование (фамилию, имя, отчество), адрес;
• цель обработки персональных данных. Для каждой цели необходимо указать ряд сведений, в частности: категории персональных данных, категории субъектов, способы обработки персональных данных;
• дату начала обработки персональных данных;
• срок или условие прекращения обработки персональных данных;
• сведения об обеспечении безопасности персональных данных в соответствии с установленными требованиями к защите таких данных.

Уведомление должно быть подписано уполномоченным лицом (ч. 3 ст. 22 Закона о персональных данных).

Роскомнадзор на основании этого уведомления в течение 30 дней с даты его поступления должен внести сведения в реестр операторов (ч. 4 ст. 22 Закона о персональных данных).

Если сведения, содержавшиеся в ранее поданном уведомлении, изменились, то нужно уведомить Роскомнадзор не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения, обо всех произошедших за указанный период изменениях. Если вы прекратили обработку персональных данных, нужно уведомить Роскомнадзор в течение 10 рабочих дней с даты прекращения обработки персональных данных (ч. 7 ст. 22 Закона о персональных данных). Данные уведомления необходимо составлять по формам, приведенным соответственно в Приложениях N N 2 и 3 к Приказу Роскомнадзора от 28.10.2022 N 180.

Если вы намерены осуществлять трансграничную передачу персональных данных, следует направить в Роскомнадзор соответствующее уведомление. Оно подается отдельно от уведомления о намерении осуществлять обработку персональных данных (ч. 3 ст. 12 Закона о персональных данных).