SergeyNN

В порядке мозгового штурма: храните данные на стороне клиента в localstorage. Не всё конечно, а только то, что подпадает под такие законы. Что-то вроде первой копии, главной порции, первичного сбора. В РФ, например, нужно вести "первичную" обработку персональных данных на территории РФ, а дублировать-то можно и на зарубежных серверах. Таким образом, на вопрос "где данные пользователей?" вы отвечаете: "У пользователей же!", а сами их "резервируете" и всякое с ними делаете уже у себя.
Из практики: по такому принципу (первичное в РФ, а типа копии за рубежом) поступают большие зарубежные компании, у которых, например, на весь мир одна корпоративная система, а представительств много. В РФ они арендуют сервер и держат здесь копию данных. С точки зрения технологий копия на территории РФ - это вторичная копия, а с точки зрения закона ("О персональных данных" в данном случае) - это первичная копия.

Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных"
Статья 18.1.
2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Кратко: политику нужно опубликовать (можно на стене в офисе), а если на сайте есть формы для пользователей, то нужно опубликовать и на сайте.
Рекомендации Роскомнадзора по составлению политики: https://www.rkn.gov.ru/personal-data/p908/

Ничего особенного отвас не нужно. Вы просто продавец. Продаете права на использование ПО, то есть лицензию. Срочная ли это лицензия (подписка) или бессрочная - это ни на что не влияет.
Что именно покупатель делает при помощи ПО - это вопрос к покупателю. Если покупатель при помощи этого ПО обрабатывает персональные данные, то это решение покупателя и забота покупателя. Это задача покупателя обеспечить комплекс мер по защите персональных данных.
Другое дело, когда вы продаете ПО, которое называете средством защиты информации или говорите, что ПО содержит такие элементы. Тогда, чтобы убедить покупателя в надежности защиты информации, вам нужно предлагать ПО, которое выполнено по определенным требованиям и прошло проверку, получив сертификат, например ФСТЭК. Но и без этого сертификата вам никто не запрещает продавать, это будет просто несертифицированное решение. Выбор опять же за покупателем.
Единственные варианты, когда от вас что-либо требуется:
1. Лицензия ФСБ для торговли ПО с сетифицированной криптографией (шифрованием). Именно сертифицированной на требования ФСБ.
2. Когда вы продаете не ПО, а сервис. То есть услугу по обработке информации. Вот тут как раз стоит читать нормативные требования к защите персональных данных, поскольку вы их обрабатываете как поставщик услуг. И чтобы привлечь заказчика-госоргана нужно читать более жесткие требования для госов. Если реализуете комплекс мер самостоятельно для такого сервиса и будете этот сервис продавать, то нужна будет лицензия ФСТЭК на ТЗКИ (или как ее там).
Пишу вам как госорган, приобретающий всякий софт.

Вместо построения своими силами сертифицированного VPN и проведения соответствующих организационных мероприятий можно заказать аналогичную услугу у провайдера.
Например, у Ростелекома в Нижнем Новгороде такой сервис на скорости 1 Мбит/с стоит 2000 рублей в месяц. Решение построено на ГОСТовом VPN на сертифицированном ФСБ оборудовании.
1 Мбит/с - это мало, когда качаешь фильм, но этого достаточно для передачи документов и сканов. Есть варианты по скорости больше, спрашивайте провайдеров.
Таким образом, вам не нужно вести документацию по работе с СКЗИ, не нужно отслеживать продление сертификации и прочие вытекающие из грамотного использования СКЗИ.
Рекомендую.

ОКВЭД предпринимателю или юр.лицу нужен для расчета взносов в первый год деятельности на страхование от несчастных случаев на производстве, а также для расчета в некоторых случаях ЕНВД. Если ЕНВД не актуально, вы на упрощенке (не платите взносы в соц.страх) или соц.страх рассчитываете не первый год (тут расчет идет от вида деятельности, принесший за отчетный период наибольшую прибыль), то менять ОКВЭД вас может сподвигнуть только собственное уважительное отношение к службам государственной статистики. Закон вас не обязывает. Если докапывается контрагент/банк, то попросите письменно обосновать, что не так. Или смените банк. У нас в регионе шибко интересующийся ВТБ просто меняют на другие. Это законно.
Да, на некоторые виды предпринимательской деятельности необходимо специальное разрешение - лицензия. Прочие виды - разрешены законом.

Для изменения кодов ограничений нет - за один раз можете обновить себе любое количество, то есть госпошлина одинакова и для +1 и для +100500 ОКВЭДов за одну подачу соответствующей формы.

Про дополнительные расходы - при выборе/смене налогообложения нужно просто понять, участвует ли ОКВЭД в формуле расчета.

Дополню: в интернетах пишут, что с 2016 при регистрации/изменении можно заявить не более 50 кодов ОКВЭД, при этом каждый глубиной по 4 знака. Очевидно, что ИП, который невероятно продуктивен и занимается 51 видом деятельности себя клонировать или зарегистрировать второе ИП не может. Отсюда 2 вывода: какой именно законной деятельностью вы занимаетесь - это ваш выбор; как часто вы переключаетесь с торговли на услуги - вообще никого не интересует. А интересует государство только ваша кристальная отчетность и налоги/отчисления. Повторюсь, соцстрах по заявленному вами основному ОКВЭДу ждет денег по страхованию от несчастных случаев на производстве. Поэтому они заинтересованы, чтобы было соответсвие основного ОКВЭД той деятельности, которая принесла максимальную прибыль за отчетный период. А то вдруг вы говорите, что конфетами торгуете, а сами бабло гребете от промышленного альпинизма, а там травмоопасность выше...

Update. Август 2019.
От занятий деятельностью не соответствующей ОКВЭД попадете на проверку вашего банка по 115-ФЗ.
Не в порядке рекламы, а в качестве источника знаний: https://delo.modulbank.ru/all/finmonitoring