În martie 2018, când fiasco-ul datelor Cambridge Analytica-Facebook a devenit cunoscut, acesta a creat valuri pe tot globul. Guvernele mai multor țări au luat în seamă protestul public și au început să pună bazele pentru protecția datelor și a confidențialității cetățenilor lor.

Parlamentarii Uniunii Europene (UE) au condus acuzația. Au fost create numeroase legi și directive în timp ce unele dintre legile învechite au fost revizuite, impunând noi obligații și responsabilități operatorilor și procesatorilor de date.

În acest ghid informativ, vă prezentăm cercetările noastre despre reglementările și legile europene de comerț electronic pe care un proprietar de afaceri ar trebui să le cunoască înainte de a începe piața de comerț electronic, cum ar fi Flubit, ASOS sau Allegro. Să începem cu cele larg acceptate și implementate; GDPR.

Cuprins

• Bazele GDPR
• GDPR este important pentru industria comerțului electronic. Iata de ce!
• Comerțul electronic, TVA și Brexit și armonia lor de lucru
• Gateway-uri de plată și plăți online
• Directiva de vânzare la distanță
• Industria cardurilor de plată – Conformitate cu standardul de securitate a datelor (PCI DSS).
• Directiva europeană DEEE
• Concluzie

Bazele GDPR

Regulamentul general privind protecția datelor (GDPR), care a intrat în vigoare la 25 mai 2018, este un regulament privind protecția datelor și confidențialitatea în Uniunea Europeană (UE) și în zona sa economică. Este pentru a proteja datele rezidenților UE.

Datele personale se referă la orice informație care poate fi urmărită către o persoană identificabilă. Poate include numele, adresa de e-mail, adresa IP etc.

GDPR se aplică oricărei afaceri sau întreprinderi, indiferent de locația acesteia și/sau de cetățenia sau reședința persoanelor vizate (persoane fizice). Dacă procesați informații cu caracter personal ale unor persoane din Spațiul Economic European (SEE) sau dacă aveți clienți din UE, trebuie să fiți conștient de acest lucru. Există șase temeiuri legale specificate de GDPR (consimțământ, contract, sarcină publică, interes vital, interes legitim sau cerință legală).

În afară de temeiul legal, există anumite drepturi conferite persoanelor vizate din UE în temeiul noului regulament, care sunt următoarele:

• Dreptul de acces înseamnă că clienții au dreptul de a ști cum sunt utilizate datele lor. Prin urmare, întreprinderile trebuie să evalueze persoanele cu aceste informații.
• Dreptul de transfer prevede că clienții sau persoanele vizate au dreptul de a-și transfera datele de la o companie la alta.
• Dreptul de a fi uitat implică faptul că, în cazul în care un client dorește ca toate datele sale să fie șterse, companiile trebuie să dea curs solicitării.
• Dreptul de a fi informat impune faptul că clienții trebuie să fie informați în mod explicit că datele lor sunt colectate și că trebuie obținut consimțământul liber.
• Dreptul de a fi corectat oferă clienților dreptul de a-și actualiza datele dacă sunt învechite sau incorecte.
• Dreptul de a nu procesa implică faptul că un client poate alege să nu-și prelucreze datele, dar înregistrările lor pot rămâne în sistem.
• Dreptul de opoziție înseamnă că un client poate alege ca datele sale să nu fie prelucrate pentru Marketing Direct.

În plus, există anumite îndatoriri și drepturi pe care companiile trebuie să le respecte, conform noilor linii directoare GDPR:

• În cazul unei încălcări a datelor, o companie trebuie să dezvăluie și să raporteze în termen de 72 de ore Autorităților Naționale de Supraveghere.
• Toate întreprinderile trebuie să numească un responsabil cu protecția datelor (DPO) în cazul manipulării în masă a datelor.
• Pentru a păstra datele protejate, companiile trebuie să ia măsurile necesare.
• Chiar dacă întreprinderile trebuie să colecteze date, acestea trebuie să fie cantitatea minimă necesară.
• Întreprinderile/întreprinderile trebuie să își ia consimțământul explicit înainte de a colecta date cu caracter personal.
• Dacă întreprinderile internaționale sau naționale nu respectă reglementările privind protecția datelor, acestea pot fi amendate cu până la 20 de milioane de euro sau 4% din cifra de afaceri anuală la nivel mondial a exercițiului financiar precedent, oricare dintre acestea este mai mare.

Datorită dependenței Uniunii Europene de GDPR, acesta a devenit un model de urmat pentru alte țări și state. Țări precum Chile, Japonia, Brazilia, Kenya și Statele Unite ale Americii au multe asemănări cu reglementările lor, făcându-le o regulă globală de urmat și de respectat de către întreprinderi și întreprinderi.

GDPR este important pentru industria comerțului electronic. Iata de ce!

GDPR a remodelat industria comerțului electronic în Europa și pe alte continente. Având în vedere că întreprinderile care operează în domeniul comerțului electronic trebuie să se ocupe de datele personale ale clienților și să colecteze, să stocheze sau să utilizeze în alt mod datele, acestea trebuie să urmeze ele însele o multitudine de reglementări din cauza manipulării datelor de către clienții din UE.

• O companie trebuie să dezvăluie datele de contact ale magazinului său de comerț electronic.
• Chiar dacă nu aveți un birou de cărămidă și mortar în Europa, dar aveți clienți în UE, va trebui să respectați GDPR.

Deși o companie nu trebuie să facă nimic ieșit din comun pentru a se asigura că afacerea lor respectă GDPR, ea trebuie totuși să se asigure că T&C și Politica de confidențialitate, precum și setările pentru cookie-uri sunt actualizate.

Notă: De la 1 la 10.000 de angajați, GDPR se aplică tuturor, dar păstrarea evidenței este necesară numai pentru companiile care au peste 250 de angajați.

Există anumite aspecte pe care trebuie să le iei în considerare pentru a fi conform GDPR:

• Oferiți utilizatorilor posibilitatea de a alege și de a controla dacă își dau sau nu consimțământul
• Cereți utilizatorilor pentru înscriere înseamnă că casetele pre-bifate nu contează drept consimțământ, prin urmare, utilizatorul trebuie să se înscrie pentru el însuși
• Evidențiați în mod explicit la ce este de acord individul
• Solicitările de consimțământ ar trebui separate de alți termeni de serviciu
• Fii specific; nu folosi o modalitate umbrelă pentru a prinde toate odată
• Fii clar și concis: nu există loc pentru duble negative
• Trebuie numiți terții care se vor baza pe consimțământ
• Retragerea simplă a consimțământului și modul în care se face acest lucru este important
• Documentați și păstrați dovezile consimțământului în ceea ce privește cine a consimțit, când, cum și ce a fost mesajul comunicat la acel moment
• Examinați consimțământul pe care l-ați primit și actualizați-l dacă se schimbă ceva
• Evitați să faceți din consimțământ o condiție prealabilă pentru utilizarea serviciului dvs

Plăți transfrontaliere și riscuri de conversie valutară:

Taxele de plată transfrontalieră în Europa sunt interschimbabile, indiferent de participarea acesteia în zona euro. În plus, plățile interne în euro sunt foarte costisitoare, permițând furnizorilor de servicii de plată (PSP) să taxeze variabil.

Pentru a răspunde acestei probleme, Parlamentul European și-a actualizat regulamentul de plată. CBPR2 sau reglementarea transfrontalieră intenționează să introducă mai multă transparență a taxelor de conversie valutară și să stabilească standarde la POS (punctul de vânzare) și la bancomate.

PSP-urile trebuie să ofere următoarele utilizatorilor care inițiază un transfer direct de card de credit online:

• o taxe de conversie estimate
• o sumă totală estimată în moneda contului plătitorului
• o sumă totală estimată care trebuie plătită utilizatorului serviciului de plată în moneda contului plătitorului
• comision de tranzacție, dacă este cazul
• comision de conversie valutară, dacă este cazul

CBPR2 solicită, de asemenea, ca înainte de inițierea oricărei tranzacții bazate pe card care implică o conversie valutară fie la ATM, fie la POS, PSP-urile trebuie să dezvăluie următoarele informații utilizatorului/beneficiarului de servicii de plată:

Declaraţie:

• Taxele de conversie valutară, precum și cursurile de schimb utilizate.

Conformitate fiscală:

• Marja procentuală la cel mai recent curs de schimb valutar euro emis de Banca Centrală Europeană
• Suma totală care trebuie plătită în moneda utilizată de beneficiar și în moneda contului PSP al plătitorului

Umpluturi de securitate:

• Posibilitatea de a plăti în moneda utilizată de beneficiar și ca ulterior conversia valutară să fie efectuată de către PSP-ul plătitorilor.
• Dreptul beneficiarului de a refuza serviciul de conversie valutară și de a plăti în moneda utilizată de beneficiar.

Distribuit inițial aici

Legea comerțului electronic în Europa și conversiile valutare:

Din cauza conversiei valutare, apar mai multe riscuri dat fiind schimbul constant de bani. Conform noilor reglementări, cursul valutar utilizat va fi întotdeauna cursul din momentul tranzacției. Trei tipuri de monede asociate unui magazin online sunt :

• Moneda magazinului – Este moneda care apare în rapoarte și este a administratorului care este folosită pentru a stabili prețurile pentru produsele dvs. și variantele acestora.
• Moneda locală – Este moneda pe care clientul o folosește pentru a plăti comanda la finalizarea comenzii și este vizibilă și în magazinul dvs.
• Moneda de plată – Este moneda folosită pentru depunerea banilor în contul bancar al unui utilizator de care se poate ocupa administratorul sau direct de proprietarii magazinului.

Riscuri:

• În cazul întârzierilor de procesare sau a rambursărilor, există posibilitatea să pierdeți sau să câștigați bani din cauza fluctuației continue a cursurilor valutare.
• Dacă magazinul dvs. oferă oferte în mai multe valute, prețurile sunt convertite automat și actualizate cu ratele pieței (există și o taxă de conversie minoră).

Comerțul electronic, TVA și Brexit și armonia lor de lucru

Marea Britanie este formată din Anglia, Țara Galilor și Scoția și are noi reguli de TVA pentru mărfurile importate din Marea Britanie începând cu Anul Nou din 2021. Irlanda de Nord are acum statut dublu post-Brexit, așa că vor face parte din teritoriul vamal al Regatului Unit, dar de asemenea, o parte a pieței unice a UE în scopuri de TVA.

De acum înainte, întreprinderile de comerț electronic trebuie să aibă grijă de anumite aspecte tehnice pentru a se asigura că nu atârnă picioarele în ape tulburi:

• În primul rând, solicitați numărul de TVA din Regatul Unit în fiecare țară în care vindeți, deoarece regula ghișeului unic a intrat în vigoare de la 1 iulie 2021.
• Încasați TVA pentru comenzile expediate în Marea Britanie care sunt sub 135 de lire sterline,
• În cazul unei piețe online, răspunderea se transferă către platformă.
• Depuneți și remiteți TVA către HMRC în fiecare trimestru.
• Solicitați un număr de înregistrare și identificare economică (EORI); este utilizat pe declarațiile vamale, ceea ce ajută la identificarea exportatorilor în procedurile și documentația vamală.
• Reevaluați și actualizați setările fiscale; dacă utilizați Avalara, se va face automat.
• Regulile variază pentru B2B și B2C, iar codurile de mărfuri sunt vitale, având în vedere că dacă obțineți coduri greșite, este posibil să ajungeți să plătiți tarife greșite sau să vă blocați mărfurile de către vamă.

Nevoia de reprezentant fiscal local:

Deși încă nu a devenit oficial, se crede că 19 din cele 27 de țări din Europa trebuie să aibă un reprezentant local de TVA, conform noului Regulament TVA și UE privind comerțul electronic. Norvegia, Australia, Japonia sau Coreea de Sud urmează deja acest aranjament în care reprezentantul fiscal local este, în general, un avocat sau un contabil.

Nedesemnarea unui Reprezentant Fiscal poate duce la amenzi. Ținând cont de faptul că acești reprezentanți vor fi trași la răspundere dacă platforma dvs. nu este conformă cu impozitele, este posibil să trebuiască să le plătiți o sumă de bani sau o garanție bancară.

Gateway-uri de plată și plăți online

O autentificare puternică a clienților (SCA) devine obligatorie, ceea ce ajută la reducerea cazurilor de fraudă a clienților în Marea Britanie și Europa. Potrivit Silicon Canals, o companie fintech, se așteaptă ca afacerile bazate pe comerțul electronic să crească până la 1 trilion de dolari până în 2022 în Europa, iar peste 1 miliard de dolari este frauda așteptată asupra cardurilor europene conform BCE în fiecare an.

SCA este necesar pentru majoritatea plăților cu cardul. Nerespectarea SCA poate duce la eșecul tranzacțiilor de plăți și la alte consecințe costisitoare. Conform noului regulament, autentificarea în doi factori este obligatorie, iar clienții vor furniza 2 din 3 informații cheie pentru a-și dovedi identitatea, care sunt după cum urmează:

• ceva pe care îl dețin (un mobil, un token sau un smart card) ,
• ceva ce ei știu (cod PIN sau parolă) ,
• ceva ce sunt (amprenta sau modelul vocal) .

Apariția furnizorilor terți a crescut și mai mult concurența și complexitatea. Din 2018, există două tipuri de furnizori de servicii bancare deschise, ambii având scopuri diferite.

• Furnizorii de servicii de inițiere a plății (PISP)
• Furnizori de servicii de informații despre cont (AISP)

PISP-ii sunt autorizați să inițieze plăți în și din contul unui utilizator, în timp ce AISP-urile au puterea de a prelua informațiile despre cont furnizate de bănci și instituții.

Aceste două se ocupă de consimțământurile clienților necesare pentru a accesa datele Open baking. În termeni simpli, ei explică clienților ce va fi accesat, pentru cât timp și cu cine va fi partajat.

Lucrurile pot fi copleșitoare pentru companiile care nu au fost expuse la un astfel de nivel de date înainte, totuși, înțelegând nuanțele, iar legile în cauză ar trebui implementate de către organizații pentru a proteja interesele lor și ale acționarilor lor.

Beneficii pentru comercianții online:

• Rate reduse de fraudă și încredere crescută în clienți
• Autentificare cu doi factori pentru a face procesul mai ușor.
• Mai multe opțiuni pentru consumatorii de comerț electronic

Ce pot face afacerile pe internet:

Afișați metodele de plată adecvate în funcție de context și asigurați-vă că platforma dvs. are un standard 3D securizat cu doi factori.

În afară de ceea ce trebuie făcut, există și câteva derogări de la reglementările privind autentificarea puternică a clienților care au fost explicate de Stripe , care face o analiză în timp real pentru a determina dacă se aplică SCA unei tranzacții sau nu.

Tranzacții cu risc scăzut:

Tranzacțiile cu risc scăzut sunt considerate valabile pentru SCA doar dacă furnizorul de plăți consideră necesar, după analizarea în timp real a acesteia. Cu toate acestea, există anumite scutiri care sunt posibile dacă plățile cu cardul ratelor globale de fraudă ale furnizorului de plăți sau ale băncii nu depășesc următoarele praguri:

• 0,13% pentru a scuti tranzacțiile sub 100 EUR
• 0,06% pentru a scuti tranzacțiile sub 250 EUR
• 0,01% pentru a scuti tranzacțiile sub 500 EUR

Plăți sub 30 de euro:

Tranzacțiile sub 30 de euro sunt considerate a fi de valoare mică și, prin urmare, pot fi scutite de SCA , însă, dacă acest scenariu se repetă de mai mult de 5 ori și suma depășește 100 de euro, băncile vor trebui să solicite autentificare. De asemenea, băncile sunt obligate să țină un control asupra numărului de tranzacții.

Abonament cu sumă fixă:

În acest caz, prima plată a clientului necesită SCA, iar plata ulterioară poate fi totuși scutită de aceasta.

Beneficiari de încredere:

În timp ce completează autentificarea pentru o plată , clienții au opțiunea de a adăuga o companie la lista de permise, care va fi adăugată în continuare la lista de „beneficiari de încredere” a băncii. Acest lucru va asigura că apar mai puține erori de autentificare.

Vânzări telefonice:

Detaliile cardului clientului colectate prin telefon sunt scutite de SCA și nu necesită autentificare.

Plată corporativă:

Plățile efectuate prin utilizarea numerelor de card virtual care sunt utilizate în mod obișnuit de sectorul călătoriilor sunt, de asemenea, în afara SCA.

Plăți inițiate de comerciant:

Atunci când un card este salvat în sistemul comerciantului și plata se face folosind cardurile salvate, acesta este scutit de autentificare, deoarece din punct de vedere tehnic, aceste plăți sunt în afara domeniului SCA.

Directiva de vânzare la distanță

Vânzarea la distanță înseamnă, în termeni simpli, vânzarea prin orice formă de mediu, inclusiv digital, online, poștă, printre altele. Dacă afacerea dvs. de internet înregistrată în scopuri de TVA vinde în, de exemplu, în Marea Britanie, dar nu sunteți înregistrat acolo, ci într-o altă țară din Europa, atunci sunteți vânzări la distanță. Nu este ușor de înțeles, dar foarte important pentru afacerile care își au clienții și potențialii clienți în Europa.

Înainte de a vinde unui client la distanță, vă rugăm să vă asigurați că sunt incluse următoarele informații:

• Numele, datele de contact și adresa companiei dvs
• O descriere detaliată a afacerii dvs
• Prețul total include toate taxele și instrucțiuni despre cum să le plătiți.
• Plata livrării, program și cost
• Perioada de facturare și durata minimă a contractului
• Condiții de depozit, garanții financiare și încheierea contractelor
• Criteriile de anulare a comenzii alături de un formular, eventualele costuri de anulare, dacă există și un termen limită până la momentul în care au dreptul de a anula

Toate aceste informații trebuie furnizate într-un format ușor de înțeles.

Conform acestei directive, companiile de comerț electronic trebuie să spună clienților lor că își pot anula comanda în termen de 14 zile de la livrare și nu este necesar niciun motiv pentru anulare.

Aceste reguli de comerț electronic din UE se aplică întreprinderilor care vând servicii digitale online și ar trebui urmate cu sârguință.

Industria cardurilor de plată – Conformitate cu standardul de securitate a datelor (PCI DSS).

Dacă afacerea dvs. de comerț electronic acceptă plăți cu cardul de credit, trebuie să știți cum funcționează PCI DSS și, mai important, cum va afecta afacerea dvs.

În timp ce, în multe aspecte, domeniul de aplicare PCI și GDPR se suprapun, diferența constă totuși în scopul lor. GDPR acționează ca un mediu pentru ca utilizatorii să-și înțeleagă drepturile și obligațiile atunci când o afacere pe internet își colectează datele, dar nu oferă securitate.

PCI, pe de altă parte, se ocupă direct de aspectele de securitate și protecție ale datelor deținătorilor de carduri. Pierderea datelor, încălcările, furtul de identitate, printre altele, intră sub incidența PCI. Chiar dacă în acest standard, clienții nu au prea mult control asupra datelor lor, PCI se concentrează pe menținerea în siguranță a serverelor, limitarea accesului și concentrarea pe diminuarea și gestionarea riscurilor.

Directiva europeană DEEE

Această directivă este deosebit de importantă pentru întreprinderile care se ocupă de vânzarea și cumpărarea de bunuri electronice. Directiva privind deșeurile de echipamente electrice și electronice (sau DEEE) stabilește obiective de colectare, reciclare și recuperare pentru toate tipurile de bunuri electronice.

Conform DEEE, toate echipamentele electrice introduse pe piață ar trebui să fie înregistrate în țara respectivă, cărora li se oferă în continuare instrucțiunile de a menține un director al acestora.

Toate statele membre sunt obligate să mențină rapoarte anuale ale tuturor echipamentelor electrice care sunt introduse pe piață, iar toate echipamentele înregistrate trebuie să fie etichetate corespunzător.

Acest lucru devine o provocare pentru vânzătorii care doresc să-și vândă produsele în mai multe țări din UE, deoarece li se va cere să fie înregistrați individual în fiecare țară pentru a se asigura că respectă obligațiile producătorilor locali. În cazul în care organizațiile nu respectă această directivă, pot fi aplicate amenzi mari.

Chiar dacă această directivă are mai mult de lucru pentru producători, companiile de pe internet trebuie să se asigure că produsele lor sunt în conformitate cu reglementările date.

Un jargon comun folosit în Europa de care trebuie să fii conștient.

Să definim câțiva dintre termenii cheie pe care îi veți vedea atunci când căutați GDPR.

• Subiectul datelor: Persoana ale cărei date private sunt stocate, colectate, partajate sau aruncate.
• Date private și personale: orice informație care identifică direct sau indirect o persoană în viață. De exemplu, informații despre cont, informații despre sănătate, vârsta, sexul, adresa de e-mail, data nașterii, adresa, adresa IP etc.
• Operator de date: este o persoană sau persoane care determină modul în care sunt prelucrate datele cu caracter personal.
• Procesor de date: este o persoană sau persoane care prelucrează acele date în numele operatorului.
• Obligațiile procesatorilor – Procesatorii trebuie să urmeze instrucțiunile operatorului de date și ar trebui să poată demonstra conformitatea cu GDPR
• Responsabil cu protecția datelor – Pentru supravegherea GDPR, conformitatea generală cu gestionarea confidențialității și practicile de protecție a datelor, companiile ar putea avea nevoie să numească un membru al personalului sau un furnizor de servicii pentru supravegherea GDPR.
• Evaluări ale impactului asupra confidențialității (PIA) – Evaluările impactului asupra confidențialității trebuie efectuate ale prelucrării datelor la scară largă pentru a minimiza riscurile și pentru a identifica măsuri pentru a le atenua.
• Notificare de încălcare – Părțile interesate trebuie să fie notificate de către Controlor în termen de 72 de ore de la cunoștința unei încălcări.

Sursa de informatie

Alte directive și reglementări de luat în considerare:

Directiva europeană a drepturilor de autor (nu o lege, ci un cadru care să ajute statele membre să-și scrie și să elaboreze legi)

• Trimiteți un aviz de plată clienților odată ce plata este efectuată.
• Asigurați-vă că afacerea dvs. este înregistrată la Camera de Comerț.

Oferiți utilizatorilor dvs. nicio casetă pre-bifată

• Aviz obligatoriu de plată
• Conversii valutare
• Gestionarea stocurilor

Concluzie

Având în vedere controlul cu care se confruntă o afacere dacă nu respectă reglementările legale pentru comerțul electronic în Spațiul Economic European (SEE), este recomandabil să înțelegeți legile care le privesc. În plus, este important ca noii proprietari de afaceri să se asigure că nu își neglijează drepturile și îndatoririle de bază ca furnizori de servicii și cetățeni globali. În plus, impactul ar putea fi mai sever asupra IMM-urilor sau startup-urilor decât asupra întreprinderilor mai mari.