Юридические требования для запуска торговой площадки электронной коммерции в Европе

Опубликовано: 2021-08-12

В марте 2018 года, когда фиаско данных Cambridge Analytica и Facebook стало общеизвестным, оно вызвало волну возмущения по всему миру. Правительства нескольких стран обратили внимание на общественный резонанс и начали закладывать основу для защиты данных и конфиденциальности своих граждан.

Законодатели Европейского союза (ЕС) возглавили обвинение. Были созданы многочисленные законы и директивы, в то время как некоторые из устаревших законов были пересмотрены, налагая новые обязательства и обязанности на контролеров и обработчиков данных.

В этом информативном руководстве мы представляем наше исследование европейских правил и законов в области электронной коммерции, о которых должен знать владелец бизнеса, прежде чем запускать свой рынок электронной коммерции, такой как Flubit, ASOS или Allegro. Начнем с общепринятого и реализованного; GDPR.

Содержание

  • Основы GDPR
  • GDPR важен для индустрии электронной коммерции. Вот почему!
  • Электронная коммерция, НДС и Brexit и их рабочая гармония
  • Платежные шлюзы и онлайн-платежи
  • Директива о дистанционной продаже
  • Индустрия платежных карт — соответствие стандарту безопасности данных (PCI DSS)
  • Европейская директива WEEE
  • Вывод

Основы GDPR

Общий регламент по защите данных (GDPR), вступивший в силу 25 мая 2018 года, представляет собой регламент о защите данных и конфиденциальности в Европейском союзе (ЕС) и его экономической зоне. Это необходимо для защиты данных жителей ЕС.

Персональные данные относятся к любой информации, которая может быть отслежена до идентифицируемого лица. Это может быть имя, адрес электронной почты, IP-адрес и т. д.

GDPR применяется к любому бизнесу или предприятию, независимо от его местонахождения и/или гражданства или места жительства субъектов данных (физических лиц). Если вы обрабатываете личную информацию физических лиц в пределах Европейской экономической зоны (ЕЭЗ) или если у вас есть клиенты из ЕС, вы должны знать об этом. GDPR определяет шесть законных оснований (согласие, договор, публичное задание, жизненно важный интерес, законный интерес или законное требование).

Помимо законной основы, существуют определенные права, предоставленные субъектам данных ЕС в соответствии с новым регламентом, а именно:

  • Право доступа означает, что клиенты имеют право знать, как используются их данные. Поэтому предприятия должны оценивать людей с этой информацией.
  • Право на передачу гласит, что клиенты или субъекты данных имеют право передавать свои данные из одной компании в другую.
  • Право на забвение подразумевает, что если клиент хочет, чтобы все его данные были стерты, компании должны выполнить этот запрос.
  • Право на получение информации требует, чтобы клиенты были явно проинформированы о том, что их данные собираются, и необходимо получить свободное согласие.
  • Право на исправление дает клиентам право на обновление своих данных, если они устарели или неверны.
  • Право не обрабатывать означает, что клиент может отказаться от обработки своих данных, но его записи могут оставаться в системе.
  • Право на возражение означает, что клиент может отказаться от обработки своих данных в целях прямого маркетинга.

Кроме того, существуют определенные обязанности и права, которых предприятия должны придерживаться в соответствии с новыми рекомендациями GDPR:

  • В случае утечки данных компания должна раскрыть информацию и сообщить об этом в течение 72 часов в национальные надзорные органы.
  • Все предприятия должны назначить сотрудника по защите данных (DPO) в случае обработки больших объемов данных.
  • Чтобы обеспечить защиту данных, предприятия должны предпринимать необходимые действия.
  • Даже если предприятия должны собирать данные, это должен быть минимальный требуемый объем.
  • Предприятия/предприятия должны получить явное согласие перед сбором персональных данных.
  • Если международные или национальные предприятия не соблюдают правила защиты данных, они могут быть оштрафованы на сумму до 20 миллионов евро или 4% от их годового мирового оборота за предыдущий финансовый год, в зависимости от того, что больше.

Из-за того, что Европейский Союз полагается на GDPR, он стал образцом для подражания для других стран и государств. Такие страны, как Чили, Япония, Бразилия, Кения и Соединенные Штаты Америки, имеют много общего в своих правилах, что делает их глобальным правилом, которому предприятия и предприятия должны следовать и соблюдать.

GDPR важен для индустрии электронной коммерции. Вот почему!

GDPR изменил индустрию электронной коммерции в Европе и на других континентах. Учитывая, что предприятия, работающие в сфере электронной коммерции, должны иметь дело с личными данными клиентов, а также собирать, хранить или иным образом использовать данные, они сами должны соблюдать множество правил из-за обработки данных клиентов из ЕС.

  • Предприятие должно раскрывать контактные данные своего интернет-магазина.
  • Даже если у вас нет офиса в Европе, но у вас есть клиенты в ЕС, вам придется соблюдать GDPR.

Хотя компании не нужно делать ничего необычного, чтобы обеспечить соответствие своего бизнеса GDPR, им все же необходимо убедиться, что их Условия использования и Политика конфиденциальности, а также настройки файлов cookie обновлены.

Примечание. GDPR применяется ко всем от 1 до 10 000 сотрудников, но ведение учета требуется только для компаний, в которых работает более 250 сотрудников.

Есть определенные аспекты, которые необходимо учитывать, чтобы соответствовать GDPR:

  • Предоставьте пользователям выбор и контроль над тем, дают ли они согласие или нет
  • Запрашивать у пользователей подписку означает, что предварительно установленные флажки не считаются согласием, поэтому пользователь должен «подписаться» для себя.
  • Явно подчеркните, на что человек соглашается
  • Запросы согласия должны быть отделены от других условий обслуживания.
  • Быть конкретными; не используйте зонт, чтобы поймать все сразу
  • Будьте ясны и кратки: здесь нет места двойным отрицаниям.
  • Третьи стороны, которые будут полагаться на согласие, должны быть названы
  • Простой отзыв согласия, и как это сделать важно
  • Задокументируйте и сохраните доказательства согласия с точки зрения того, кто дал согласие, когда, как и какое сообщение было передано в то время.
  • Просмотрите полученное согласие и обновите его, если что-то изменится.
  • Не делайте согласие обязательным условием использования вашего сервиса

Трансграничные платежи и риски конвертации валюты:

Сборы за трансграничные платежи по всей Европе взаимозаменяемы, независимо от ее участия в зоне евро. Кроме того, внутренние платежи в евро обходятся очень дорого, что позволяет поставщикам платежных услуг (PSP) взимать различную плату.

Чтобы решить эту проблему, Европейский парламент обновил свои платежные правила. CBPR2 или Трансграничное регулирование планирует ввести большую прозрачность сборов за конвертацию валюты и установить стандарты в POS (точках продаж) и банкоматах.

PSP должны предоставить следующее пользователям, которые инициируют прямой онлайн-перевод с кредитной карты:

  • ориентировочная плата за конвертацию
  • предполагаемая общая сумма в валюте счета плательщика
  • расчетная общая сумма, подлежащая выплате пользователю платежных услуг в валюте счета плательщика
  • комиссия за транзакцию, если есть
  • комиссия за конвертацию валюты, если таковая имеется

CBPR2 также требует, чтобы перед инициированием любой транзакции с использованием карты, которая включает конвертацию валюты в банкомате или POS, поставщики платежных услуг должны раскрывать следующую информацию пользователю платежной услуги/получателю платежа:

Декларация:

  • Сборы за конвертацию валюты, а также используемые обменные курсы.

Фискальное соответствие:

  • Процентная надбавка к последнему курсу обмена евро, установленному Европейским центральным банком.
  • Общая сумма к оплате в валюте, используемой получателем платежа, и в валюте счета PSP плательщика.

Защитные начинки:

  • Возможность оплаты в валюте, используемой получателем платежа, с последующим выполнением конвертации валюты PSP плательщика.
  • Право получателя отказаться от услуги конвертации валюты и произвести оплату в валюте, используемой получателем платежа.

Первоначально опубликовано здесь

Понять работу, которую мы проделали в различных областях на разных континентах

Проверить портфолио

Закон об электронной коммерции в Европе и конвертация валюты:

Из-за конвертации валюты возникает несколько рисков, учитывая постоянный обмен денег. Согласно новым правилам, курс валюты, который используется, всегда должен быть курсом на момент транзакции. Три вида валют, связанных с интернет-магазином :

  • Валюта магазина — это валюта, отображаемая в отчетах и ​​принадлежащая администратору, которая используется для установления цен на ваши продукты и их варианты.
  • Местная валюта — это валюта, которую покупатель использует для оплаты своего заказа на кассе, а также она отображается в вашем магазине.
  • Валюта выплаты — это валюта, используемая для внесения денег на банковский счет пользователя, о которой может позаботиться администратор или непосредственно владельцы магазина.

Риски:

  • В случае задержки обработки или возврата средств существует вероятность того, что вы можете потерять или получить деньги из-за постоянных колебаний курсов валют.
  • Если ваш магазин работает в нескольких валютах, цены автоматически конвертируются и обновляются в соответствии с рыночными курсами (также взимается небольшая комиссия за конвертацию).

Электронная коммерция, НДС и Brexit и их рабочая гармония

Великобритания состоит из Англии, Уэльса и Шотландии, и с нового дня 2021 года действуют новые правила НДС для товаров, импортируемых из Великобритании. Северная Ирландия теперь имеет двойной статус после Brexit, поэтому они будут частью таможенной территории Великобритании, но также часть единого рынка ЕС для целей НДС.

Отныне предприятиям электронной коммерции необходимо позаботиться об определенных технических аспектах, чтобы они не болтались в мутной воде:

  • Прежде всего, подайте заявку на получение номера плательщика НДС Великобритании в каждой стране, в которую вы продаете, поскольку правило единого окна вступило в силу с 1 июля 2021 года.
  • Взимать НДС с заказов, отправляемых в Великобританию, на сумму менее 135 фунтов,
  • В случае онлайн-рынка ответственность переходит на платформу.
  • Подавать и перечислять НДС в HMRC каждый квартал.
  • Подать заявку на получение номера экономической регистрации и идентификации (EORI); он используется в таможенных декларациях, что помогает идентифицировать экспортеров в таможенных процедурах и документации.
  • Переоцените и обновите свои налоговые настройки; если вы используете Avalara, это будет сделано автоматически.
  • Правила различаются для B2B и B2C, и коды товаров имеют жизненно важное значение, учитывая, что если вы получите неправильные коды, вы можете в конечном итоге заплатить неправильные тарифы или ваши товары будут заблокированы таможней.

Потребность в местном налоговом представителе:

Хотя это еще не стало официальным, считается, что 19 из 27 стран Европы должны иметь местного представителя по НДС в соответствии с новым Регламентом электронной коммерции по НДС и ЕС. Норвегия, Австралия, Япония или Южная Корея уже следуют этому соглашению, когда местный налоговый представитель обычно является юристом или бухгалтером.

Неназначение финансового представителя может привести к штрафам. Принимая во внимание, что эти представители будут нести ответственность, если ваша платформа не соответствует требованиям налогообложения, вам, возможно, придется заплатить им солидную сумму денег или банковскую гарантию.

Платежные шлюзы и онлайн-платежи

Строгая аутентификация клиентов (SCA) стала обязательной, что помогает сократить количество случаев мошенничества с клиентами в Великобритании и Европе. По данным финтех-компании Silicon Canals, ожидается, что к 2022 году объем бизнеса, основанного на электронной коммерции в Европе, вырастет до 1 триллиона долларов, а ожидаемое мошенничество с европейскими картами, согласно ЕЦБ, составит более 1 миллиарда долларов в год.

SCA требуется для большинства карточных платежей. Несоблюдение SCA может привести к сбою в платежных транзакциях и другим дорогостоящим последствиям. В соответствии с новым регламентом обязательна двухфакторная аутентификация, при которой клиенты будут предоставлять 2 из 3 ключевых данных для подтверждения своей личности, а именно:

  • что- то, чем они владеют (мобильный телефон, жетон или смарт-карта) ,
  • что-то, что они знают (пин-код или пароль) ,
  • чем-то они являются (отпечаток пальца или образец голоса) .

Появление сторонних поставщиков еще больше увеличило конкуренцию и сложность. С 2018 года существует два типа поставщиков открытых банковских услуг, которые служат разным целям.

  • Поставщики услуг инициирования платежей (PISP)
  • Поставщики услуг по предоставлению информации об учетной записи (AISP)

PISP уполномочены инициировать платежи со счета пользователя и со счета, в то время как AISP имеют право получать информацию об учетной записи, предоставленную банками и учреждениями.

Эти двое обрабатывают согласия клиентов, необходимые для доступа к открытым данным выпечки. Проще говоря, они объясняют клиентам, к чему будет осуществляться доступ, как долго и кому они будут доступны.

Однако для компаний, которые раньше не имели доступа к такому уровню данных, вещи могут быть ошеломляющими, поскольку они понимают нюансы, и организации должны применять соответствующие законы для защиты своих интересов и интересов своих акционеров.

Преимущества для интернет-магазинов:

  • Снижение уровня мошенничества и повышение доверия клиентов
  • Двухфакторная аутентификация, чтобы сделать процесс более плавным.
  • Дополнительные возможности для потребителей электронной коммерции

Что может интернет-бизнес:

Покажите подходящие способы оплаты в зависимости от контекста и убедитесь, что ваша платформа поддерживает двухфакторный стандарт 3D-безопасности.

Помимо обязательных действий, есть несколько исключений из правил строгой аутентификации клиентов, которые были объяснены Stripe , которые проводят анализ в реальном времени, чтобы определить, следует ли применять SCA к транзакции или нет.

Сделки с низким уровнем риска:

Транзакции с низким уровнем риска считаются действительными для SCA только в том случае, если поставщик платежных услуг сочтет это необходимым после анализа в режиме реального времени. Тем не менее, существуют определенные исключения, которые возможны, если платежи по картам в отношении общего уровня мошенничества со стороны платежной системы или банка не превышают следующие пороговые значения:

  • 0,13% для освобождения транзакций ниже 100 евро
  • 0,06% для освобождения транзакций на сумму менее 250 евро
  • 0,01% для освобождения транзакций на сумму менее 500 евро
Платежи ниже 30 евро:

Транзакции на сумму менее 30 евро считаются малоценными и, следовательно, могут быть освобождены от SCA , однако, если этот сценарий повторяется более 5 раз и сумма превышает 100 евро, банкам придется запрашивать аутентификацию. Также банки обязаны вести чек на количество транзакций.

Подписка на фиксированную сумму:

В этом случае для первого платежа клиента требуется SCA, а последующий платеж может быть освобожден от него.

Доверенные бенефициары:

При выполнении аутентификации для платежа у клиентов есть возможность добавить компанию в список разрешенных, которая в дальнейшем будет добавлена ​​в список «доверенных получателей» банка. Это гарантирует, что произойдет меньше сбоев аутентификации.

Продажи по телефону:

Данные карты клиента, собранные по телефону, не подлежат SCA и не требуют аутентификации.

Корпоративный платеж:

Платежи, осуществляемые с использованием номеров виртуальных карт, которые обычно используются в туристическом секторе, также не входят в сферу действия SCA.

Платежи, инициированные продавцом:

Когда карта сохраняется в системе продавца и оплата производится с использованием сохраненных карт, она освобождается от аутентификации, поскольку технически эти платежи не входят в сферу действия SCA.

Директива о дистанционной продаже

Проще говоря, дистанционная продажа — это продажа через любую форму среды, включая цифровую, онлайн, почту и другие. Если ваш интернет-бизнес, зарегистрированный по НДС, продает, скажем, в Великобританию, но вы зарегистрированы не там, а в какой-то другой стране Европы, то вы занимаетесь дистанционными продажами. Это непросто понять, но это очень важно для компаний, у которых есть клиенты и потенциальные клиенты в Европе.

Перед продажей покупателю на расстоянии убедитесь, что указана следующая информация:

  • Название, контактные данные и адрес вашего бизнеса
  • Подробное описание вашего бизнеса
  • Общая стоимость включает все налоги и инструкции по их уплате.
  • Оплата доставки, график и стоимость
  • Расчетный период и минимальный срок действия контракта
  • Условия депозитов, финансовые гарантии и расторжение контрактов
  • Критерии отмены заказа вместе с формой, любые расходы на отмену, если таковые имеются, и крайний срок, до которого они имеют право отменить

Вся эта информация должна быть представлена ​​в удобном для понимания формате.

В соответствии с этой директивой предприятия электронной коммерции должны сообщать своим клиентам, что они могут отменить свой заказ в течение 14 дней после его доставки, и для отмены не требуется никаких причин.

Эти правила электронной коммерции в ЕС применяются к предприятиям, которые продают цифровые онлайн-услуги, и их следует неукоснительно соблюдать.

Индустрия платежных карт — соответствие стандарту безопасности данных (PCI DSS)

Если ваш бизнес электронной коммерции принимает платежи по кредитным картам, вам необходимо знать, как работает PCI DSS и, что более важно, как это повлияет на ваш бизнес.

Хотя во многих аспектах сферы применения PCI и GDPR пересекаются друг с другом, разница, тем не менее, заключается в их назначении. GDPR служит средством для понимания пользователями своих прав и обязанностей, когда интернет-бизнес собирает их данные, но не обеспечивает безопасность.

PCI, с другой стороны, напрямую занимается аспектами безопасности и защиты данных держателей карт. Потеря данных, взлом, кража личных данных и т. д. подпадают под действие PCI. Несмотря на то, что в этом стандарте клиенты не имеют большого контроля над своими данными, PCI фокусируется на обеспечении безопасности серверов, ограничении доступа и сосредоточении внимания на смягчении последствий и управлении рисками.

Европейская директива WEEE

Эта директива особенно важна для предприятий, занимающихся продажей и покупкой электронных товаров. Директива об отходах электрического и электронного оборудования (или WEEE) устанавливает цели по сбору, переработке и восстановлению всех типов электронных товаров.

Согласно WEEE, все электрооборудование, размещаемое на рынке, должно быть зарегистрировано в соответствующей стране, которой также даются инструкции по ведению каталога этого оборудования.

Все государства-члены обязаны вести ежегодные отчеты обо всем электрическом оборудовании, размещаемом на рынке, и все зарегистрированное оборудование должно иметь соответствующую маркировку.

Это становится сложной задачей для продавцов, которые хотят продавать свою продукцию в нескольких странах ЕС, поскольку они должны будут регистрироваться индивидуально в каждой стране, чтобы гарантировать соблюдение обязательств местных производителей. Если организации не соблюдают эту директиву, могут быть наложены крупные штрафы.

Несмотря на то, что эта директива требует больше работы для производителей, интернет-компании по-прежнему должны следить за тем, чтобы их продукты соответствовали данным правилам.

Некоторые распространенные жаргоны, используемые в Европе, о которых вам нужно знать.

Давайте определим некоторые ключевые термины, которые вы встретите при поиске GDPR.

  • Субъект данных: лицо, чьи личные данные хранятся, собираются, передаются или сбрасываются.
  • Частные и персональные данные: любая информация, которая прямо или косвенно идентифицирует живое лицо. Например, информация об учетной записи, информация о здоровье, возраст, пол, адрес электронной почты, дата рождения, адрес, IP-адрес и т. д.
  • Контроллер данных: это лицо или лица, которые определяют, как обрабатываются личные данные.
  • Обработчик данных: это лицо или лица, которые обрабатывают эти данные от имени контроллера.
  • Обязанности обработчиков. Обработчики должны следовать инструкциям контроллера данных и должны быть в состоянии продемонстрировать соответствие GDPR.
  • Сотрудник по защите данных . Для надзора за GDPR, общим соблюдением правил управления конфиденциальностью и методами защиты данных компаниям может потребоваться назначить сотрудника или поставщика услуг для надзора за GDPR.
  • Оценка воздействия на конфиденциальность (PIA) — необходимо проводить оценку воздействия на конфиденциальность крупномасштабной обработки данных, чтобы минимизировать риски и определить меры по их снижению.
  • Уведомление о нарушении — Контролер должен уведомить заинтересованных лиц в течение 72 часов с момента получения информации о нарушении.

Источник информации

Другие директивы и правила, которые следует учитывать:

Европейская директива об авторском праве (не закон, а основа, помогающая государствам-членам писать и разрабатывать свои законы)

  • Отправьте уведомление об оплате клиентам после оплаты.
  • Убедитесь, что ваш бизнес зарегистрирован в Торговой палате.

Не устанавливайте для своих пользователей предварительно установленные флажки

  • Обязательное уведомление об оплате
  • Конвертации валют
  • Управление запасами

Вывод

Учитывая, что бизнес может подвергнуться проверке, если он не соблюдает правовые нормы электронной коммерции в Европейской экономической зоне (ЕЭЗ), рекомендуется понимать законы, касающиеся их. Кроме того, для новых владельцев бизнеса важно убедиться, что они не пренебрегают своими основными правами и обязанностями в качестве поставщиков услуг и граждан мира. Кроме того, воздействие может быть более серьезным для малого и среднего бизнеса или стартапов, чем для крупных предприятий.