С 1 сентября в России вступает в силу закон о хранении персональных данных, который обязывает иностранные компании, владеющие, в том числе почтовыми сервисами, соцсетями и поисковиками, размещать персональные данные российских пользователей исключительно на серверах на территории России. Российские компании, которые хранят данные на серверах за границей так же обязаны выполнить требования Закона. Сегодня я еще раз пообщался с юристами из компании «Зарцин и партнеры» и решил привести в порядок 2 вещи — что же делать с ПДн SaaS-стартапу Dental Cloud в целом и как оформить договорные отношения с клиентами в парадигме SaaS. Пост с примерами, и как оказалось, даже у лидеров не все Ок!



Договорные отношения

Не так давно мы с Людмилой Харитоновой уже рассуждали по теме и сегодня затронем вопрос поверхностно и по сути. На сегодня есть две модели договорного оформления в рамках Saas сервиса:

Лицензионный договор – по которому Пользователю представляется неисключительная лицензия на продукт. Подобный подход, на наш взгляд, является наиболее справедливым. Saas сервис это ПО к которому предоставляется удаленный доступ и которое используется Пользователем самостоятельно для достижения нужного результата. Правообладатель не оказывает услуг Пользователю т.е. не осуществляет активного взаимодействия с Пользователем.

Например, в Dental Cloud мы используем именно такую модель (Договор оферты), но с одной оговоркой — мы предоставляем услуги по доступу к паре логин пароль, но передаем при этом права на ПО.

Договор оказания услуг — во многом такая конструкция базируется на переводе термина Saas — ПО как услуга.
Но при такой модели за рамками остается передача прав на ПО, которая согласно ГК должна быть оформлена именно через лицензионный договор. Договор оказания услуг применяется одной из популярных систем – МойСклад.

Cтоит обратить внимание на очевидные плюсы применения лицензионной модели:
  • Платежи по лицензионному договору облагаются по ставке НДС 0 % (а платежи по договору оказания услуг облагаются по общей ставке НДС 18 %);
  • Есть возможность ограничения ответственности в рамках предоставления ПО по модели «как есть». В рамках договора оказания услуг ограничить свою ответственность нельзя так как исполнитель должен предоставлять качественную услугу.

Персональные данные

По вопросу переносить или нет, уверен, что комментарии не нужны, если вы хотите быть в правовом поле и не подводить ваших пользователей. По ПДн в целом в любом SaaS сервисе обрабатывается 2 категории персональных данных:
  • ПДн непосредственных Пользователей (которые они заносят при Регистрации) ;
  • ПДн, которые Пользователи заносят и обрабатывают посредством Saas сервиса. Напрямую Saas сервис не работает с этой группой данных, но хранит их, а значит обрабатывает согласно норам закона.- см. Примечание

Для того, чтобы работа Saas сервиса соответствовала законодательству о персональных данных необходимо
  • Получить от Пользователя согласие на обработку его ПДн. Согласие должно соответствовать ст. 9 ФЗ «о персональных данных»;
  • Описать Политику конфиденциальности — в которой описать порядок защиты всех персональных и иных данных.

Политика конфиденциальности является цельным документом, который должен устанавливать цели и принципы обработки данных, и содержать сведения о реализуемых требованиях к защите персональных данных. На сегодня лишь малая часть Политик конфиденциальности соответствует требованиям закона. Как правило Политика конфиденциальности лишь цитирует нормы закона и ни содержит никаких индивидуальных данных.
Например Политика конфиденциальности 1С Битрикс содержит конкретный перечень о реализуемых способах защиты (но в довольно ограниченном виде).
  • Использует RSA-шифрование в Продуктах 1С Битрикс.
  • Предоставляет при необходимости двухэтапную аутентификацию для доступа к учетной записи.
  • Осуществляет защиту авторизованных сессий.
  • Постоянно совершенствует способы сбора, хранения и обработки данных.

Помимо этого необходимо выполнить ряд внутренних мероприятий по защите ПДн:
  1. назначить лицо, ответственное за организацию обработки ПДн;
  2. разработать внутренние документы по обработке ПДн;
  3. осуществлять внутренний контроль и (или) аудита соответствия обработки ПДн требованиям законодательства;
  4. ознакомление работников, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о персональных данных и внутренними документами Saas сервиса.

С 1 сентября 2015 вводятся новые требования по обработке ПДн, которые коснутся всех Интернет-сервисов. Новые требования устанавливают, что при сборе Пдн оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение ПДн российских граждан с использованием БД на территории РФ. Как будет применяться это норма пока непонятно так как она имеет ряд возможных трактовок, но очевидно что:
  • при сборе необходимо спрашивать гражданство субъекта ПДн;
  • обеспечить хранение ПДн граждан РФ на территории РФ.

Что делать, если ваш сервис живет на стороне партнера-провайдера? Возникают дополнительные соглашения между сторонами и этот кейс мы уже рассматривали.

Пользователи

Фактически вендоры SaaS cервисов несут ответственность за работу пользователей с их данными частично и всех больше волнует порядок защиты ПДн. Каждый пользователь должен самостоятельно организовать работу в соответствии с требованиями законодательства. Моя личная позиция по работе с пользователями в организации такой работы — помогать и рекомендовать наших друзей.

* — примечание
1152-ФЗ установлено, что понятие обработка включает в себя любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Предыдущие материалы автора

Комментарии (8)


  1. avvor
    01.09.2015 11:24

    обеспечить хранение ПДн граждан РФ на территории РФ

    Возможен ли вариант когда сервер остается за пределами России, а база данных с которой он работает переносится в Россию?


    1. EvseyFaydo
      01.09.2015 11:30

      Мое мнение, что нет и см Примечание — сервер получает данные. Сегодня с утра обнаружил вот такой полезный ресурс по вопросу и лучше спросить там или написать Людмиле — ссылка на ее профиль в ФБ есть в посте.
      www.PD-info.ru

      Сайт создан для разъяснений нового №242-ФЗ, его особенностям реализации и исполнения. Основная цель проекта — взвешенное экспертное мнение относительно нового закона, рекомендации IT-компаниям по соблюдению норм закона, исчерпывающие разъяснения и трактовки норм закона, вызывающие наибольшее количество вопросов в интернет-среде, систематизация знаний и опыта по исполнению закона.

      Особо важными разделами портала являются:

      – Последняя версия подзаконных актов
      – Лаконичное изложение того, что может грозить за нарушение закона (наиболее частый вопрос интернет-бизнеса): pd-info.ru/responsibility
      – Информация для компаний: pd-info.ru/companies
      – Информация для пользователей: pd-info.ru/users
      – Вопросы и ответы: pd-info.ru/#questions


      1. avvor
        01.09.2015 12:21
        +1

        Написал на www.PD-info.ru, почитал ответы на уже заданные там вопросы, и многие ответы меня наталкивают на мысль что все таки так можно:

        242-ФЗ, а также проекты подзаконных актов, разработанных во исполнение указанного закона, не устанавливают каких-либо технических требований, предписывающих необходимость оператора персональных данных использовать какие-то конкретные технологии при сборе и хранении персональных данных. Так, оператор может использовать облачные технологии, но при этом обязан обеспечить, и при необходимости знать и иметь возможность документально подтвердить нахождение баз персональных данных на территории Российской Федерации.

        Закон не содержит требований по обеспечению локального хостинга сайта в сети «Интернет» на территории Российской Федерации.

        При этом если Ваша организация осуществляет сбор персональных данных граждан Российской Федерации, в том числе посредством сайта в сети «Интернет, то их запись, систематизацию, накопление, хранение, уточнение (обновление, изменение) необходимо обеспечить с использованием баз данных, находящихся на территории Российской Федерации.


        1. EvseyFaydo
          01.09.2015 12:27

          Да, судя по комментариям и теперь осталось только переделать архитектуру приложения ))
          И судя по комментариям — их можно отвязать от приложения — просто хранить у себя дома в табличке, тк критично хранение, а не обработка.


          1. avvor
            01.09.2015 12:30

            Вот! А ведь можно же пойти дальше и просто делать репликацию БД на российский сервер и не трогать архитектуру)

            Жаль никто не пишет больше. Есть тут кто то еще кто разбирался в этом вопросе?


            1. EvseyFaydo
              01.09.2015 12:33

              Я об этом и сказал примерно )) Была статья, что 19% иностранных компаний не хотят переносить данные, так, что возможно по итогам загруженности ЦОД-ов для переноса (а они явно под Закон и создавались особо приближенными и ушлыми) перенесут исполнение.


              1. avvor
                01.09.2015 17:27
                +1

                А вот ответ и на этот вопрос там нашел:

                Как быть, например, в случаях, когда информация изначально поступает в состав баз данных, размещенных на материальных носителях, которые находятся за рубежом?
                Поэтому, говоря о нахождении баз данных на территории РФ, Закон N 242-ФЗ фактически имеет в виду запрет трансграничной передачи персональных данных в базы, размещенные на материальных носителях, находящихся за рубежом <5>. Однако и Конвенция N 108, и Закон о персональных данных в целом разрешают трансграничную передачу персональных данных.

                Так что получается нежелательно такой вариант использовать, хоть это и не урегулировано законом на настоящий момент.


                1. EvseyFaydo
                  01.09.2015 17:50

                  Думаю, надо подождать с разъяснениями официальных органов. В целом и этот ресурс создан, скорей для обсуждений и комментарии на нем не имеют ни какой юридической силы. Как-то так.