Разработчик не отвечает ни за что в общем случае (ну, если только не создал заведомо вредоносную программу — тогда УК). Отвечает за всё владелец системы. В виду того, что более-менее приличный SaaS относится ко второй категории (идентификационные данные плюс дополнительные сведения) и первому объёму (Российская Федерация в целом), то он относится к первому классу, что означает необходимость не только аттестацию и лицензию, но и такой бред как защиту от утечек через излучение.
Возможно для сегмента B2C есть лазейка во фразе «в целях исполнения договора», но в сегменте B2B наш юрист такой лазейки не нашел без того, чтобы с клиентов наших клиентов не брать письменное согласие на обработку ПДн третьими лицами, на что многие наши потенциальные клиенты не пойдут… Проект пришлось заморозить.
