こんにちは、SaaS | 個人情報| 引っ越しましたか？

9月1日、ロシアは個人データの保存に関する法律を施行し、メールサービス、ソーシャルネットワーク、検索エンジンなどの所有する外国企業は、ロシアのユーザーの個人データをロシアのサーバーのみに置くことを義務付けています。 海外のサーバーにデータを保存するロシア企業も、法律の要件に従う必要があります。 今日、私は再びZarcin＆Partnersの弁護士と話をして、2つのことを整理することにしました。SaaSスタートアップであるDental Cloud全体をどうするかと、SaaSパラダイムでクライアントとの契約関係を形式化する方法です。 例のある投稿で、結局のところ、リーダーでさえすべてを持っていません！







契約関係



少し前のことですが、 リュドミラ・ハリトノバと私は すでにこのトピックについて話し合っていましたが 、今日は表面的に本質的にこの問題に取り組みます。 現在、Saasサービスには契約上の実行の2つのモデルがあります。



ライセンス契約 -製品の非独占的ライセンスがユーザーに提示されます。 私たちの意見では、同様のアプローチが最も公平です。 Saasサービスは、リモートアクセスが提供され、目的の結果を達成するためにユーザーが個別に使用するソフトウェアです。 著作権者はユーザーにサービスを提供しません。 ユーザーと積極的に対話しません。



たとえば、 Dental Cloudでは、このようなモデル（ Offer Agreement ）のみを使用しますが、1つの注意事項があります。ユーザー名とパスワードのペアにアクセスするためのサービスを提供しますが、ソフトウェアに権利を譲渡します。



サービス契約 -多くの点で、この設計はサースという用語の翻訳に基づいています-サービスとしてのソフトウェア。

しかし、このモデルでは、民法によるとライセンス契約を通じて実行されるべきソフトウェアへの権利の移転は、範囲外のままです。 サービス契約は、人気のあるシステムの1つであるMySkladによって適用されます。



ライセンスモデルを使用することの明らかな利点に注意する価値があります。

• ライセンス契約に基づく支払いには0％のVAT税が課税されます（サービス契約に基づく支払いには18％の合計VAT率が課税されます）。
• 「現状のまま」のモデルに従ってソフトウェアを提供するフレームワークでは、責任を制限する可能性があります。 サービス契約の枠組み内では、請負業者が質の高いサービスを提供する必要があるため、責任を制限することはできません。

個人データ



譲渡するかどうかの問題については、法的分野にいて、ユーザーを失望させたくない場合、コメントは必要ないと確信しています。 PDによると、一般に、SaaSサービスでは、2つのカテゴリの個人データが処理されます。

• 直接ユーザーのPD（登録時に入力）;
• ユーザーがSaasサービスを通じて入力および処理するPD。 直接、サースサービスはこのデータグループでは機能しませんが、保存します、つまり、法律の法律に従って処理します-注を参照

Saasサービスが個人データに関する法律を順守するためには、

• ユーザーのPDを処理するための同意を取得します。 同意はアートに準拠する必要があります。 9「個人データに関する」連邦法。
• プライバシーポリシーの説明-すべての個人データやその他のデータを保護する手順を説明します。

プライバシーポリシーは、データ処理の目標と原則を確立し、個人データの保護のために実装された要件に関する情報を含む必要のある不可欠なドキュメントです。 今日、プライバシーポリシーのほんの一部だけが法律の要件を満たしています。 原則として、プライバシーポリシーは法律の規範を引用するだけで、個々のデータは含まれません。

たとえば、 Bitrix 1Cプライバシーポリシーには、実装された保護方法の特定のリストが含まれています（ただし、かなり限定された形式です）。

• Bitrix 1C製品でRSA暗号化を使用します。
• 必要に応じて、アカウントアクセスの2段階認証を提供します。
• 許可されたセッションを保護します。
• データを収集、保存、処理する方法を常に改善しています。

さらに、PDを保護するためにいくつかの内部対策を実行する必要があります。

1. PD処理を組織する責任者を任命する。
2. PDを処理するための内部ドキュメントを開発する。
3. 内部処理および（または）PD処理の法的要件へのコンプライアンスの監査を実施する。
4. 個人データの処理に直接関与する従業員の個人データおよびサースサービスの内部文書に関するロシア連邦法の規定への精通。

2015年9月1日から、PD処理の新しい要件が導入され、すべてのインターネットサービスに影響します。 新しい要件により、個人データを収集する際、オペレーターはロシア連邦の領土のデータベースを使用して、ロシア国民の個人データを記録、体系化、蓄積、保存、明確化、取得する義務があります。 この規範がどのように適用されるかは、多くの可能な解釈を持っているため、まだ明確ではありませんが、次のことは明らかです：

• 収集中に、PDの主題の市民権を求める必要があります。
• ロシア連邦の領土にロシア連邦市民のPDの保管を提供します。

サービスがパートナープロバイダーの側にある場合はどうなりますか？ 追加の合意が当事者間で生じ、 私たちはすでにこの事件を検討しました。



ユーザー



実際、SaaSサービスベンダーは、データを使用するユーザーの作業に部分的に責任を負っており、個人データを保護する手順についてますます懸念しています。 各ユーザーは、法律の要件に従って作業を独立して編成する必要があります。 このような作業を組織化する際にユーザーと協力するという私の個人的な立場は、 私たちの友人を助け、推薦することです。



*-注

1152-FZは、処理の概念には、自動化ツールを使用して、または収集、記録、体系化、蓄積、保管、明確化などの個人データでそのようなツールを使用せずに実行されるアクション（操作）またはアクションセット（操作）が含まれることを確立しました（更新、変更）、抽出、使用、転送（配布、提供、アクセス）、非個人化、ブロック、削除、個人データの破壊。



著者の以前の資料

• メガマインド
• ハブラハブル