Интернет-магазины ждут падения продаж из-за новых требований к персональным данным

Депутаты обещают доработать законопроект ко второму чтению
Андрей Гордеев / Ведомости
Андрей Гордеев / Ведомости

Ассоциация компаний интернет-торговли (АКИТ; объединяет игроков, занимающих 70% российского рынка) 23 июня обратилась к премьер-министру России Михаилу Мишустину и председателю Госдумы Вячеславу Володину с просьбой внести изменения в законопроект «О персональных данных», поправки к нему были рассмотрены в первом чтении 24 мая.

Если документ будет принят в этом виде, интернет-магазины ждет значительное увеличение сроков доставки зарубежных товаров, а также двукратное падение продаж в денежном и количественном выражении, сказано в письме («Ведомости» ознакомились с его копией). Его подлинность подтвердил президент АКИТ Артем Соколов. Представитель правительства сообщил, что документ на имя Мишустина получен, но комментировать его не стал. До Госдумы, по данным на вечер пятницы, письмо еще не дошло, сказал представитель пресс-службы нижней палаты парламента.

Согласно тексту законопроекта, компании обязаны уведомлять Роскомнадзор о каждом новом иностранном лице, которому передаются персональные данные покупателя или – в зависимости от трактовки – о каждом новом случае передачи таких данных за рубеж, следует из письма АКИТ. По ее расчетам, это означает, что они должны будут ежегодно сообщать о 120 000–200 000 зарубежных продавцов или свыше 4 млн покупок у иностранных игроков.

Исходя из прямого толкования нормы законопроекта, интернет-магазины будут уведомлять именно о каждом новом случае передачи персональных данных за рубеж, говорит член Ассоциации юристов России Мария Спиридонова. Но, по ее словам, в той же статье есть формулировка, которая, вероятно, указывает, что при дальнейших сделках с теми же субъектами информировать ведомство уже будет не нужно. По ее словам, если законодатель не сформулирует положения однозначно, разграничив ситуации, когда сообщать о передаче данных нужно, а когда – нет, помочь с толкованием сможет только суд.

Трансграничные онлайн-продажи в 2021 г. достигли 478,6 млрд руб. – это 13% от общего объема интернет-торговли, следует из данных АКИТ. За четыре месяца 2022 г. показатель составил лишь 11,7 млрд руб., т. е. 3% от всех онлайн-продаж. По сути, трансграничной торговли на сегодняшний момент практически нет, единственный оператор, который умеет решать проблему платежей за рубеж, – это AliPay, говорит партнер специализирующейся на рынке электронной коммерции аналитической компании Data Insight Федор Вирин.

Ключевым вопросом для России является снижение перекосов в торговом балансе, а именно восстановление импорта, уверен гендиректор «Infoline-аналитики» Михаил Бурмистров. В частности, государство впервые приняло решение о льготном кредитовании этого сегмента. Трансграничная торговля и прямой импорт (когда российские онлайн-магазины сами закупают товар за рубежом, ввозят и продают в России) – это те каналы, которые могут быстрее всего адаптироваться в нынешней ситуации. Так что избыточно жесткое регулирование выглядит совершенно нелогичным с точки зрения государственных целей, а также создает дополнительные риски товарного дефицита, считает эксперт, добавляя, что все это может привести к росту инфляции.

478,6

млрд руб. достигли трансграничные онлайн-продажи в 2021 г., По данным АКИТ, это 13% от общего объема интернет-торговли

В письмах АКИТ также отмечается, что уведомление в Роскомнадзор должно включать в себя информацию, для сбора и анализа которой компаниям придется привлекать внешних консультантов, чей труд ассоциация оценила в 3–10 млн руб. ежегодно. Кроме того, согласно тексту законопроекта, если зарубежный продавец работает в стране, которая не обеспечивает надлежащую защиту прав субъектов персональных данных, то уведомительный порядок их передачи становится разрешительным: без согласования Роскомнадзора нельзя будет доставлять товары такого продавца в Россию. На принятие решения ведомству отводится 30 календарных дней.

Благонадежными с точки зрения защиты персональных данных являются стороны конвенции Совета Европы, а также государства, входящие в специальный перечень. Чтобы попасть в него, в стране должен работать уполномоченный орган по защите прав субъектов персональных данных, иметься комплексный нормативный правовой акт, регулирующий эту сферу, а также система санкций за нарушение его требований, пояснил представитель Роскомнадзора.

Сейчас в этот список, к примеру, не входит Китай, на который приходится 90% продаж иностранных товаров, пишет АКИТ. То есть принятие законопроекта приведет к увеличению сроков прохождения всех таможенных процедур на 30 дней (сегодня на это уходит не более одного дня), что означает автоматическое удорожание товаров из-за стоимости кредитов и переориентацию товарных потоков на другие рынки. Роскомнадзор, в свою очередь, уже располагает данными, позволяющими включить КНР в список стран, обеспечивающих адекватную защиту персональных данных, заявил представитель регулятора, который наряду с МИД России ведет этот перечень.

Этот законопроект может создать и риски для экспорта российских товаров, заявил представитель Wildberries. По его словам, срок в 30 календарных дней значительно затормозит выход отечественных компаний на иностранные рынки и негативно отразится на темпах поставок, так как разрешение Роскомнадзора надо будет получать при обмене персональными данными предпринимателей или покупателей на зарубежных рынках.

Представители «AliExpress Россия», «Яндекс.Маркета», «Сбермегамаркета» и Lamoda отказались от комментариев. Представитель Ozon не ответил на запрос. Ранее смягчить требования по защите персональной информации просили также Российский союз промышленников и предпринимателей, Ассоциация больших данных и Российская ассоциация электронных коммуникаций. По мнению их представителей, принятие проекта в текущем виде может ограничить расчетные операции бизнеса и сделки на финансовых рынках с компаниями, находящимися за рубежом.

Сами депутаты обещают смягчить законопроект. Ко второму чтению текст проекта поправок к закону «О персональных данных» будет скорректирован, а многие вопросы уже сняты для представителей отрасли, заверил глава комитета Госдумы по информационной политике Александр Хинштейн. В частности, оператор персональных данных должен будет уведомлять Роскомнадзор не о каждом юридическом лице, а о каждой новой стране, в которую интернет-магазин намерен направлять такие данные. По его словам, компании, уже осуществляющие трансграничную передачу данных, смогут проинформировать об этом регулятора до марта 2023 г. – тогда же и вступят в силу положения закона.

Кроме того, Хинштейн уверяет, что срок ответа Роскомнадзора может быть сокращен с 30 до 10 дней. Будет также изменен и подход к 24-часовому сроку информирования об утечках персональных данных. Теперь оператор персональных данных в течение суток с момента выявления утечки должен будет уведомить Роскомнадзор, а затем ему будет дано трое суток для предоставления первичных результатов расследования, уточнил он.