Hello, SaaS | Персональные данные | Переехали?
С 1 сентября в России вступает в силу закон о хранении персональных данных, который обязывает иностранные компании, владеющие, в том числе почтовыми сервисами, соцсетями и поисковиками, размещать персональные данные российских пользователей исключительно на серверах на территории России. Российские компании, которые хранят данные на серверах за границей так же обязаны выполнить требования Закона. Сегодня я еще раз пообщался с юристами из компании «Зарцин и партнеры» и решил привести в порядок 2 вещи — что же делать с ПДн SaaS-стартапу Dental Cloud в целом и как оформить договорные отношения с клиентами в парадигме SaaS. Пост с примерами, и как оказалось, даже у лидеров не все Ок!
Договорные отношения
Не так давно мы с Людмилой Харитоновой уже рассуждали по теме и сегодня затронем вопрос поверхностно и по сути. На сегодня есть две модели договорного оформления в рамках Saas сервиса:
Лицензионный договор — по которому Пользователю представляется неисключительная лицензия на продукт. Подобный подход, на наш взгляд, является наиболее справедливым. Saas сервис это ПО к которому предоставляется удаленный доступ и которое используется Пользователем самостоятельно для достижения нужного результата. Правообладатель не оказывает услуг Пользователю т.е. не осуществляет активного взаимодействия с Пользователем.
Например, в Dental Cloud мы используем именно такую модель (Договор оферты), но с одной оговоркой — мы предоставляем услуги по доступу к паре логин пароль, но передаем при этом права на ПО.
Договор оказания услуг — во многом такая конструкция базируется на переводе термина Saas — ПО как услуга.
Но при такой модели за рамками остается передача прав на ПО, которая согласно ГК должна быть оформлена именно через лицензионный договор. Договор оказания услуг применяется одной из популярных систем — МойСклад.
Cтоит обратить внимание на очевидные плюсы применения лицензионной модели:
- Платежи по лицензионному договору облагаются по ставке НДС 0% (а платежи по договору оказания услуг облагаются по общей ставке НДС 18%);
- Есть возможность ограничения ответственности в рамках предоставления ПО по модели «как есть». В рамках договора оказания услуг ограничить свою ответственность нельзя так как исполнитель должен предоставлять качественную услугу.
Персональные данные
По вопросу переносить или нет, уверен, что комментарии не нужны, если вы хотите быть в правовом поле и не подводить ваших пользователей. По ПДн в целом в любом SaaS сервисе обрабатывается 2 категории персональных данных:
- ПДн непосредственных Пользователей (которые они заносят при Регистрации) ;
- ПДн, которые Пользователи заносят и обрабатывают посредством Saas сервиса. Напрямую Saas сервис не работает с этой группой данных, но хранит их, а значит обрабатывает согласно норам закона.- см. Примечание
Для того, чтобы работа Saas сервиса соответствовала законодательству о персональных данных необходимо
- Получить от Пользователя согласие на обработку его ПДн. Согласие должно соответствовать ст. 9 ФЗ «о персональных данных»;
- Описать Политику конфиденциальности — в которой описать порядок защиты всех персональных и иных данных.
Политика конфиденциальности является цельным документом, который должен устанавливать цели и принципы обработки данных, и содержать сведения о реализуемых требованиях к защите персональных данных. На сегодня лишь малая часть Политик конфиденциальности соответствует требованиям закона. Как правило Политика конфиденциальности лишь цитирует нормы закона и ни содержит никаких индивидуальных данных.
Например Политика конфиденциальности 1С Битрикс содержит конкретный перечень о реализуемых способах защиты (но в довольно ограниченном виде).
- Использует RSA-шифрование в Продуктах 1С Битрикс.
- Предоставляет при необходимости двухэтапную аутентификацию для доступа к учетной записи.
- Осуществляет защиту авторизованных сессий.
- Постоянно совершенствует способы сбора, хранения и обработки данных.
Помимо этого необходимо выполнить ряд внутренних мероприятий по защите ПДн:
- назначить лицо, ответственное за организацию обработки ПДн;
- разработать внутренние документы по обработке ПДн;
- осуществлять внутренний контроль и (или) аудита соответствия обработки ПДн требованиям законодательства;
- ознакомление работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о персональных данных и внутренними документами Saas сервиса.
С 1 сентября 2015 вводятся новые требования по обработке ПДн, которые коснутся всех Интернет-сервисов. Новые требования устанавливают, что при сборе Пдн оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение ПДн российских граждан с использованием БД на территории РФ. Как будет применяться это норма пока непонятно так как она имеет ряд возможных трактовок, но очевидно что:
- при сборе необходимо спрашивать гражданство субъекта ПДн;
- обеспечить хранение ПДн граждан РФ на территории РФ.
Что делать, если ваш сервис живет на стороне партнера-провайдера? Возникают дополнительные соглашения между сторонами и этот кейс мы уже рассматривали.
Пользователи
Фактически вендоры SaaS cервисов несут ответственность за работу пользователей с их данными частично и всех больше волнует порядок защиты ПДн. Каждый пользователь должен самостоятельно организовать работу в соответствии с требованиями законодательства. Моя личная позиция по работе с пользователями в организации такой работы — помогать и рекомендовать наших друзей.
* — примечание
1152-ФЗ установлено, что понятие обработка включает в себя любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Предыдущие материалы автора
© Megamozg