Pada bulan Maret 2018, ketika kegagalan data Cambridge Analytica-Facebook menjadi pengetahuan umum, hal itu menciptakan riak di seluruh dunia. Pemerintah beberapa negara memperhatikan protes publik dan mulai meletakkan dasar untuk perlindungan data & privasi warganya.

Anggota parlemen Uni Eropa (UE) memimpin tuduhan itu. Banyak undang-undang dan arahan dibuat sementara beberapa undang-undang yang sudah ketinggalan zaman ditinjau kembali, memaksakan kewajiban dan tanggung jawab baru pada pengontrol dan pemroses data.

Dalam panduan informatif ini, kami menyajikan penelitian kami tentang peraturan dan undang-undang e-commerce Eropa yang harus diketahui oleh pemilik bisnis sebelum memulai pasar e-commerce mereka seperti Flubit, ASOS atau Allegro. Mari kita mulai dengan yang diterima dan diterapkan secara luas; GDPR.

Daftar Isi

• Dasar-dasar GDPR
• GDPR penting untuk industri e-commerce. Inilah alasannya!
• E-Commerce, PPN & Brexit, dan keharmonisan kerja mereka
• Gerbang Pembayaran dan Pembayaran Online
• Arahan Penjualan Jarak Jauh
• Industri Kartu Pembayaran – Kepatuhan Standar Keamanan Data (PCI DSS)
• Petunjuk WEEE Eropa
• Kesimpulan

Dasar-dasar GDPR

Peraturan Perlindungan Data Umum (GDPR), yang mulai berlaku pada 25 Mei 2018 adalah peraturan tentang perlindungan data dan privasi di Uni Eropa (UE) dan wilayah ekonominya. Ini untuk melindungi data penduduk UE.

Data pribadi mengacu pada informasi apa pun yang dapat dilacak ke orang yang dapat diidentifikasi. Ini mungkin termasuk nama, alamat email, alamat IP, dll.

GDPR berlaku untuk bisnis atau perusahaan apa pun, terlepas dari lokasi dan/atau kewarganegaraan atau tempat tinggal subjek data (individu). Jika Anda memproses informasi pribadi individu di dalam Wilayah Ekonomi Eropa (EEA) atau jika Anda memiliki pelanggan UE, Anda harus menyadarinya. Ada enam dasar hukum yang ditentukan oleh GDPR (persetujuan, kontrak, tugas publik, kepentingan vital, kepentingan sah, atau persyaratan hukum).

Terlepas dari dasar hukum, ada hak-hak tertentu yang diberikan kepada subjek data UE berdasarkan peraturan baru, yaitu sebagai berikut:

• Hak untuk mengakses berarti bahwa pelanggan memiliki hak untuk mengetahui bagaimana data mereka digunakan. Oleh karena itu, bisnis perlu menilai individu dengan informasi ini.
• Hak untuk mentransfer menyatakan bahwa pelanggan atau subjek data memiliki hak untuk mentransfer data mereka dari satu perusahaan ke perusahaan lain.
• Hak untuk dilupakan menyiratkan bahwa jika pelanggan ingin semua datanya dihapus, perusahaan harus memenuhi permintaan tersebut.
• Hak untuk diberi tahu berarti bahwa pelanggan perlu diberi tahu secara eksplisit bahwa data mereka sedang dikumpulkan dan persetujuan bebas harus diperoleh.
• Hak untuk dikoreksi memberi pelanggan hak untuk memperbarui data mereka jika sudah usang atau salah.
• Hak untuk tidak memproses menyiratkan bahwa pelanggan dapat memilih untuk tidak memproses data mereka tetapi catatan mereka dapat tetap berada di sistem.
• Hak untuk menolak berarti pelanggan dapat memilih agar datanya tidak diproses untuk Pemasaran Langsung.

Selain itu, ada tugas dan hak tertentu yang harus dipatuhi oleh bisnis sesuai dengan pedoman GDPR yang baru:

• Dalam kasus pelanggaran data, bisnis harus mengungkapkan dan melaporkannya dalam waktu 72 jam kepada Otoritas Pengawas Nasional.
• Semua bisnis harus menunjuk Petugas Perlindungan Data (DPO) dalam hal penanganan data massal.
• Untuk menjaga agar data tetap terlindungi, bisnis harus mengambil tindakan yang diperlukan.
• Bahkan jika bisnis harus mengumpulkan data, itu harus jumlah minimum yang diperlukan.
• Bisnis/perusahaan harus mengambil persetujuan eksplisit sebelum mengumpulkan data pribadi.
• Jika bisnis internasional atau nasional tidak mematuhi peraturan perlindungan data, mereka dapat didenda hingga €20 juta atau 4% dari omset tahunan di seluruh dunia pada tahun keuangan sebelumnya, mana saja yang lebih besar.

Karena ketergantungan Uni Eropa pada GDPR, ini telah menjadi model untuk diikuti oleh negara dan negara bagian lain. Negara-negara seperti Chili, Jepang, Brasil, Kenya, dan Amerika Serikat memiliki banyak kesamaan dengan peraturan mereka, menjadikannya aturan global yang harus diikuti dan dipatuhi oleh bisnis dan perusahaan.

GDPR penting untuk industri e-commerce. Inilah alasannya!

GDPR telah membentuk kembali industri e-niaga di Eropa dan benua lain. Mengingat bisnis yang beroperasi di domain e-niaga harus berurusan dengan data pribadi pelanggan, dan mengumpulkan, menyimpan, atau menggunakan data tersebut, mereka harus mengikuti sejumlah besar peraturan sendiri karena penanganan data pelanggan UE.

• Bisnis harus mengungkapkan detail kontak toko e-niaganya.
• Bahkan jika Anda tidak memiliki kantor batu bata dan mortir di Eropa tetapi Anda memiliki pelanggan di UE, Anda harus mematuhi GDPR.

Meskipun bisnis tidak perlu melakukan sesuatu yang luar biasa untuk memastikan bahwa bisnis mereka mematuhi GDPR, mereka tetap perlu memastikan bahwa T&C dan Kebijakan Privasi mereka bersama dengan pengaturan Cookie adalah yang terbaru.

Catatan: Dari 1 – 10.000 karyawan, GDPR berlaku untuk semua orang, tetapi pencatatan hanya diperlukan untuk perusahaan yang memiliki 250+ karyawan.

Ada beberapa aspek yang perlu Anda pertimbangkan agar sesuai dengan GDPR:

• Berikan pilihan dan kontrol kepada pengguna apakah mereka memberikan persetujuan atau tidak
• Meminta pengguna untuk memilih berarti bahwa kotak yang dicentang sebelumnya tidak dihitung sebagai persetujuan oleh karena itu pengguna harus 'memilih ikut' sendiri
• Soroti secara eksplisit apa yang disetujui oleh individu tersebut
• Permintaan persetujuan harus dipisahkan dari persyaratan layanan lainnya
• Jadilah spesifik; jangan gunakan cara payung untuk menangkap sekaligus
• Jelas dan ringkas: tidak ada ruang untuk negatif ganda
• Pihak ketiga yang akan bergantung pada persetujuan harus disebutkan namanya
• Penarikan persetujuan yang mudah, dan cara melakukannya itu penting
• Dokumentasikan dan simpan bukti persetujuan dalam hal siapa yang menyetujui, kapan, bagaimana, dan apa pesan yang dikomunikasikan pada saat itu
• Tinjau persetujuan yang telah Anda terima, dan perbarui jika ada perubahan
• Hindari membuat persetujuan sebagai prasyarat untuk menggunakan layanan Anda

Pembayaran lintas batas dan risiko konversi mata uang:

Biaya pembayaran lintas batas di seluruh Eropa dapat dipertukarkan, terlepas dari partisipasinya di kawasan Euro. Selain itu, pembayaran domestik dalam Euro sangat mahal, memungkinkan penyedia layanan pembayaran (PSP) membebankan biaya yang bervariasi.

Untuk mengatasi masalah ini, Parlemen Eropa memperbarui peraturan pembayarannya. CBPR2 atau Peraturan Lintas Batas berencana untuk memperkenalkan lebih banyak transparansi biaya konversi mata uang dan menetapkan standar di POS (Point of Sale) dan ATM.

PSP harus memberikan yang berikut ini kepada pengguna yang melakukan transfer kartu kredit online langsung:

• perkiraan biaya konversi
• perkiraan jumlah total dalam mata uang akun pembayar
• perkiraan jumlah total yang harus dibayarkan kepada pengguna layanan pembayaran dalam mata uang akun pembayar
• biaya transaksi, jika ada
• biaya konversi mata uang, jika ada

CBPR2 lebih lanjut mensyaratkan bahwa sebelum memulai transaksi berbasis kartu yang melibatkan konversi mata uang baik di ATM atau POS, PSP harus mengungkapkan informasi berikut kepada pengguna layanan pembayaran/penerima pembayaran:

Pernyataan:

• Biaya konversi mata uang serta nilai tukar yang digunakan.

Kepatuhan Fiskal:

• Persentase mark-up atas nilai tukar mata uang asing euro terbaru yang dikeluarkan oleh Bank Sentral Eropa
• Jumlah total yang harus dibayar dalam mata uang yang digunakan oleh penerima pembayaran dan dalam mata uang rekening PSP pembayar

Tambalan keamanan:

• Kemungkinan pembayaran dalam mata uang yang digunakan oleh penerima pembayaran dan konversi mata uang selanjutnya dilakukan oleh PSP pembayar.
• Hak penerima pembayaran untuk menolak layanan konversi mata uang dan membayar dalam mata uang yang digunakan oleh penerima pembayaran.

Awalnya dibagikan di sini

Hukum E-Commerce di Eropa & konversi mata uang:

Karena konversi mata uang, beberapa risiko muncul mengingat pertukaran uang yang konstan. Sesuai peraturan baru, kurs mata uang yang digunakan selalu kurs pada saat transaksi. Tiga jenis mata uang yang terkait dengan toko online adalah :

• Mata uang toko – Ini adalah mata uang yang muncul di laporan dan milik admin yang digunakan untuk menetapkan harga produk Anda dan variannya.
• Mata Uang Lokal – Ini adalah mata uang yang digunakan pelanggan untuk membayar pesanan mereka saat checkout dan juga terlihat di toko Anda.
• Mata uang pembayaran – Ini adalah mata uang yang digunakan untuk menyimpan uang di rekening bank pengguna yang dapat diurus oleh Admin atau langsung oleh pemilik toko.

Risiko:

• Dalam hal penundaan pemrosesan atau pengembalian uang, ada kemungkinan Anda kehilangan atau memperoleh uang karena fluktuasi nilai mata uang yang terus-menerus.
• Jika toko Anda bertransaksi dalam beberapa mata uang, harga secara otomatis dikonversi dan diperbarui dengan harga pasar (ada biaya konversi kecil yang terlibat juga).

E-Commerce, PPN & Brexit, dan keharmonisan kerja mereka

Inggris Raya terdiri dari Inggris, Wales dan Skotlandia, dan memiliki aturan PPN baru untuk barang yang diimpor dari Inggris sejak hari tahun baru 2021. Irlandia Utara sekarang memiliki status ganda pasca-Brexit sehingga mereka akan menjadi bagian dari wilayah pabean Inggris tetapi juga merupakan bagian dari pasar tunggal UE untuk tujuan PPN.

Untuk selanjutnya, bisnis e-niaga perlu memperhatikan aspek teknis tertentu untuk memastikan mereka tidak menjuntai di perairan bermasalah:

• Pertama & terpenting, ajukan nomor PPN Inggris Raya di setiap negara tempat Anda menjual sejak aturan satu pintu mulai berlaku mulai 1 Juli 2021.
• Kumpulkan PPN atas pesanan yang dikirim ke Inggris dengan berat di bawah 135 pound,
• Dalam kasus pasar online, tanggung jawab beralih ke platform.
• Ajukan & kirimkan PPN ke HMRC setiap kuartal.
• Terapkan untuk nomor Registrasi dan Identifikasi Ekonomi (EORI); ini digunakan pada deklarasi pabean, yang membantu mengidentifikasi eksportir dalam prosedur dan dokumentasi pabean.
• Evaluasi ulang dan perbarui pengaturan pajak Anda; jika Anda menggunakan Avalara, itu akan dilakukan secara otomatis.
• Aturan bervariasi untuk B2B dan B2C, dan kode komoditas sangat penting mengingat jika Anda mendapatkan kode yang salah, Anda mungkin akan membayar tarif yang salah atau barang Anda diblokir oleh Bea Cukai.

Kebutuhan Perwakilan Fiskal Daerah:

Meskipun belum resmi, diyakini bahwa 19 dari 27 negara di Eropa diharuskan memiliki perwakilan PPN lokal sesuai dengan Peraturan PPN & UE baru tentang e-commerce. Norwegia, Australia, Jepang, atau Korea Selatan sudah mengikuti pengaturan ini di mana Perwakilan Fiskal setempat umumnya adalah seorang pengacara atau akuntan.

Kegagalan untuk menunjuk seorang Wakil Fiskal dapat mengakibatkan denda. Mengingat bahwa perwakilan ini akan bertanggung jawab jika platform Anda tidak mematuhi pajak, Anda mungkin harus membayar mereka sejumlah besar uang atau garansi bank.

Gerbang Pembayaran dan Pembayaran Online

Otentikasi Pelanggan yang Kuat (SCA) dibuat wajib yang membantu mengurangi kasus penipuan pelanggan di seluruh Inggris & Eropa. Sesuai Silicon Canals, sebuah perusahaan fintech, bisnis berbasis e-commerce diperkirakan akan tumbuh hingga $ 1 triliun pada tahun 2022 di Eropa, dan lebih dari $ 1 miliar adalah penipuan yang diharapkan pada kartu Eropa menurut ECB setiap tahun.

SCA diperlukan untuk sebagian besar pembayaran kartu. Gagal mematuhi SCA dapat menyebabkan kegagalan dalam transaksi pembayaran, dan konsekuensi mahal lainnya. Sesuai peraturan baru, otentikasi dua faktor adalah wajib yang akan pelanggan memberikan 2 dari 3 informasi kunci untuk membuktikan identitas mereka, yaitu sebagai berikut:

• sesuatu yang mereka miliki (ponsel, token, atau kartu pintar) ,
• sesuatu yang mereka ketahui (kode PIN atau kata sandi) ,
• sesuatu mereka (sidik jari atau pola suara) .

Munculnya penyedia pihak ketiga semakin meningkatkan persaingan dan kompleksitas. Sejak 2018, ada dua jenis penyedia perbankan terbuka, keduanya melayani tujuan yang berbeda.

• Penyedia Layanan Inisiasi Pembayaran (PISP)
• Penyedia Layanan Informasi Akun (AISP)

PISP berwenang untuk melakukan pembayaran masuk & keluar dari akun pengguna sementara AISP memiliki kekuatan untuk mengambil informasi akun yang disediakan oleh bank dan institusi.

Keduanya menangani persetujuan pelanggan yang diperlukan untuk mengakses data kue terbuka. Secara sederhana, mereka menjelaskan kepada pelanggan apa yang akan diakses, untuk berapa lama dan dengan siapa akan dibagikan.

Namun, hal-hal dapat menjadi luar biasa bagi bisnis yang belum pernah terpapar pada tingkat data seperti itu sebelumnya, memahami nuansanya, dan undang-undang terkait harus diterapkan oleh organisasi untuk melindungi kepentingan mereka dan pemegang saham mereka.

Keuntungan bagi para pedagang online:

• Mengurangi tingkat penipuan dan meningkatkan kepercayaan pada pelanggan
• Otentikasi dua faktor untuk membuat proses lebih lancar.
• Lebih banyak pilihan untuk konsumen e-niaga

Apa yang bisa dilakukan bisnis internet:

Tunjukkan metode pembayaran yang sesuai bergantung pada konteksnya, dan pastikan platform Anda memiliki standar 2 faktor 3D yang aman.

Terlepas dari yang harus dilakukan, ada beberapa pengecualian juga untuk peraturan Otentikasi Pelanggan Kuat yang telah dijelaskan oleh Stripe , yang melakukan analisis waktu nyata untuk menentukan apakah akan menerapkan SCA pada suatu transaksi atau tidak.

Transaksi berisiko rendah:

Transaksi berisiko rendah dianggap valid untuk SCA hanya jika penyedia pembayaran menganggapnya perlu, setelah menganalisisnya secara real-time. Namun, ada pengecualian tertentu yang dimungkinkan jika pembayaran kartu dari keseluruhan tingkat penipuan penyedia pembayaran atau bank tidak melebihi ambang batas berikut:

• 0,13% untuk mengecualikan transaksi di bawah €100
• 0,06% untuk mengecualikan transaksi di bawah €250
• 0,01% untuk mengecualikan transaksi di bawah €500

Pembayaran di bawah 30 Euro:

Transaksi di bawah 30 euro dianggap bernilai rendah dan oleh karena itu, dapat dikecualikan dari SCA , namun, jika skenario ini diulang lebih dari 5 kali dan jumlahnya melebihi 100 euro, bank harus meminta autentikasi. Selain itu, bank diharuskan untuk tetap memeriksa jumlah transaksi.

Berlangganan jumlah tetap:

Dalam hal ini, pembayaran pertama pelanggan memerlukan SCA, dan pembayaran berikutnya dapat dikecualikan darinya.

Penerima manfaat tepercaya:

Saat menyelesaikan autentikasi untuk pembayaran , pelanggan memiliki opsi untuk menambahkan bisnis ke daftar yang diizinkan yang selanjutnya akan ditambahkan ke daftar “penerima tepercaya” bank. Ini akan memastikan bahwa lebih sedikit kegagalan otentikasi yang terjadi.

Penjualan telepon:

Detail kartu pelanggan yang dikumpulkan melalui telepon dibebaskan dari SCA dan tidak memerlukan autentikasi.

Pembayaran perusahaan:

Pembayaran dilakukan dengan menggunakan nomor kartu virtual yang biasa digunakan oleh sektor travel juga di luar SCA.

Pembayaran yang dimulai oleh pedagang:

Ketika kartu disimpan di sistem merchant dan pembayaran dilakukan menggunakan kartu yang disimpan, kartu tersebut dibebaskan dari otentikasi karena secara teknis, pembayaran ini berada di luar cakupan SCA.

Arahan Penjualan Jarak Jauh

Penjualan jarak jauh adalah, dalam istilah sederhana, menjual melalui segala bentuk media termasuk digital, online, surat, dan lain-lain. Jika bisnis internet Anda yang terdaftar PPN menjual ke, katakanlah di Inggris tetapi Anda tidak terdaftar di sana tetapi di beberapa negara lain di Eropa, maka Anda melakukan Penjualan Jarak Jauh. Ini tidak mudah untuk dipahami tetapi sangat penting bagi bisnis yang memiliki pelanggan dan pelanggan potensial di Eropa.

Sebelum menjual ke pelanggan jarak jauh, harap pastikan bahwa informasi berikut disertakan:

• Nama, detail kontak, dan alamat bisnis Anda
• Deskripsi mendetail tentang bisnis Anda
• Total harga termasuk semua pajak, dan petunjuk tentang cara membayarnya.
• Pembayaran pengiriman, jadwal dan biaya
• Periode penagihan dan durasi kontrak minimum
• Kondisi deposito, jaminan keuangan dan kontrak berakhir
• Kriteria pembatalan pesanan beserta formulir, biaya pembatalan jika ada dan tenggat waktu hingga mereka berhak membatalkan

Semua informasi ini harus disediakan dalam format yang mudah dipahami.

Di bawah arahan ini, bisnis e-commerce harus memberi tahu pelanggan mereka bahwa mereka dapat membatalkan pesanan mereka dalam waktu 14 hari setelah dikirimkan, dan tidak ada alasan pembatalan yang diperlukan.

Aturan e-niaga di UE ini berlaku untuk bisnis yang menjual layanan digital online dan harus dipatuhi dengan rajin.

Industri Kartu Pembayaran – Kepatuhan Standar Keamanan Data (PCI DSS)

Jika bisnis e-commerce Anda menerima pembayaran kartu kredit, Anda perlu mengetahui cara kerja PCI DSS, dan yang lebih penting, bagaimana hal itu akan berdampak pada bisnis Anda.

Meskipun dalam banyak aspek, cakupan PCI dan GDPR saling tumpang tindih, namun perbedaannya terletak pada tujuannya. GDPR bertindak sebagai media bagi pengguna untuk memahami hak dan kewajiban mereka ketika bisnis internet mengumpulkan data mereka, tetapi tidak memberikan keamanan.

PCI, di sisi lain, secara langsung menangani aspek keamanan & perlindungan data pemegang kartu. Kehilangan data, pelanggaran, pencurian identitas, antara lain, termasuk dalam PCI. Meskipun dalam standar ini, pelanggan tidak memiliki banyak kendali atas data mereka, PCI berfokus pada menjaga keamanan server, membatasi akses, dan berfokus pada mitigasi dan manajemen risiko.

Petunjuk WEEE Eropa

Arahan ini sangat penting untuk bisnis yang berhubungan dengan penjualan & pembelian barang elektronik. Petunjuk Limbah Peralatan Listrik dan Elektronik (atau WEEE) menetapkan target pengumpulan, daur ulang, dan pemulihan untuk semua jenis barang elektronik.

Sesuai WEEE, semua peralatan listrik yang ditempatkan di pasar harus terdaftar di negara masing-masing yang selanjutnya diberi instruksi untuk memelihara direktori yang sama.

Semua negara anggota berkewajiban untuk memelihara laporan tahunan dari semua peralatan listrik yang ditempatkan di pasar, dan semua peralatan yang terdaftar harus diberi label yang sesuai.

Hal ini menjadi tantangan bagi penjual yang ingin menjual produk mereka di beberapa negara Uni Eropa karena mereka akan diminta untuk terdaftar secara individual di setiap negara untuk memastikan bahwa mereka mematuhi kewajiban produsen lokal. Jika organisasi gagal untuk mematuhi arahan ini, denda berat dapat dikenakan.

Meskipun arahan ini memiliki lebih banyak pekerjaan yang harus dilakukan untuk produsen, bisnis internet masih harus memastikan bahwa produk mereka berada di bawah peraturan yang diberikan.

Beberapa jargon umum yang digunakan di Eropa yang perlu Anda ketahui.

Mari kita definisikan beberapa istilah kunci yang akan Anda lihat saat meneliti GDPR.

• Subjek Data: Orang yang data pribadinya disimpan, dikumpulkan, dibagikan, atau dibuang.
• Data Pribadi dan Pribadi: Setiap informasi yang secara langsung atau tidak langsung mengidentifikasi orang yang masih hidup. Misalnya, informasi akun, informasi kesehatan, usia, jenis kelamin, alamat email, tanggal lahir, alamat, alamat IP, dll.
• Pengontrol Data: Ini adalah orang atau beberapa orang yang menentukan bagaimana data pribadi diproses.
• Pemroses Data: Ini adalah orang atau beberapa orang yang memproses data itu atas nama pengontrol.
• Kewajiban pemroses – Pemroses harus mengikuti instruksi pengontrol data dan harus dapat menunjukkan kepatuhan GDPR
• Petugas Perlindungan Data – Untuk mengawasi GDPR, kepatuhan manajemen privasi umum, dan praktik perlindungan data, bisnis mungkin perlu menunjuk anggota staf atau penyedia layanan untuk mengawasi GDPR.
• Penilaian Dampak Privasi (PIA) – Penilaian dampak privasi harus dilakukan pada pemrosesan data skala besar untuk meminimalkan risiko dan mengidentifikasi langkah-langkah untuk menguranginya.
• Pemberitahuan pelanggaran – Pemangku kepentingan harus diberi tahu oleh Pengendali dalam waktu 72 jam setelah mengetahui adanya pelanggaran.

Sumber informasi

Arahan dan peraturan lain yang perlu dipertimbangkan:

Arahan Hak Cipta Eropa (bukan undang-undang tetapi kerangka kerja untuk membantu negara-negara anggota menulis & menyusun undang-undang mereka)

• Kirimkan penasihat pembayaran kepada pelanggan setelah pembayaran selesai.
• Pastikan bisnis Anda terdaftar di Kamar Dagang.

Beri pengguna Anda Tidak ada kotak yang dicentang sebelumnya

• Nasihat Pembayaran Wajib
• Konversi mata uang
• Manajemen persediaan

Kesimpulan

Mengingat pengawasan yang mungkin dihadapi bisnis jika mereka tidak mengikuti peraturan hukum untuk eCommerce di Wilayah Ekonomi Eropa (EEA), disarankan untuk memahami undang-undang tentang mereka. Selain itu, penting bagi pemilik bisnis baru untuk memastikan bahwa mereka tidak mengabaikan hak dan kewajiban dasar mereka sebagai penyedia layanan dan warga dunia. Selain itu, dampaknya bisa lebih parah pada UKM atau perusahaan rintisan daripada perusahaan besar.