ข้อกำหนดทางกฎหมายสำหรับการเปิดตัวตลาดอีคอมเมิร์ซในยุโรป

เผยแพร่แล้ว: 2021-08-12

ในเดือนมีนาคม 2018 เมื่อความล้มเหลวของข้อมูล Cambridge Analytica-Facebook กลายเป็นความรู้ทั่วไป ก็ทำให้เกิดระลอกคลื่นไปทั่วโลก รัฐบาลของหลายประเทศสังเกตเห็นเสียงโวยวายของสาธารณชนและเริ่มวางรากฐานสำหรับการปกป้องข้อมูลและความเป็นส่วนตัวของพลเมืองของตน

ฝ่ายนิติบัญญัติของสหภาพยุโรป (EU) เป็นผู้นำในข้อกล่าวหา กฎหมายและคำสั่งต่างๆ ถูกสร้างขึ้นในขณะที่กฎหมายที่ล้าสมัยบางฉบับได้รับการเยือนอีกครั้ง กำหนดภาระหน้าที่และความรับผิดชอบใหม่ให้กับผู้ควบคุมข้อมูลและผู้ประมวลผลข้อมูล

ในคู่มือข้อมูลนี้ เรานำเสนองานวิจัยของเราเกี่ยวกับ กฎระเบียบและกฎหมายอีคอมเมิร์ซของยุโรป ที่เจ้าของธุรกิจควรทราบก่อนเริ่มตลาดอีคอมเมิร์ซเช่น Flubit, ASOS หรือ Allegro เริ่มต้นด้วยการยอมรับและนำไปปฏิบัติอย่างกว้างขวาง จีดีพีอาร์

สารบัญ

  • พื้นฐานของ GDPR
  • GDPR มีความสำคัญสำหรับอุตสาหกรรมอีคอมเมิร์ซ นี่คือเหตุผล!
  • อีคอมเมิร์ซ ภาษีมูลค่าเพิ่ม และ Brexit และความสามัคคีในการทำงาน
  • ช่องทางการชำระเงินและการชำระเงินออนไลน์
  • คำสั่งขายทางไกล
  • อุตสาหกรรมบัตรชำระเงิน – การปฏิบัติตามมาตรฐานความปลอดภัยของข้อมูล (PCI DSS)
  • ระเบียบ WEEE ของยุโรป
  • บทสรุป

พื้นฐานของ GDPR

กฎระเบียบให้ความคุ้มครองข้อมูลส่วนบุคคลของผู้บริโภค (GDPR) ซึ่งมีผลบังคับใช้เมื่อวันที่ 25 พฤษภาคม 2018 เป็นข้อบังคับเกี่ยวกับการปกป้องข้อมูลและความเป็นส่วนตัวในสหภาพยุโรป (EU) และพื้นที่ทางเศรษฐกิจ เป็นการปกป้องข้อมูลของผู้อยู่อาศัยในสหภาพยุโรป

ข้อมูลส่วนบุคคลหมายถึงข้อมูลใด ๆ ที่สามารถตรวจสอบตัวบุคคลได้ ซึ่งอาจรวมถึงชื่อ ที่อยู่อีเมล ที่อยู่ IP เป็นต้น

GDPR ใช้กับธุรกิจหรือองค์กรใดๆ โดยไม่คำนึงถึงสถานที่ตั้งและ/หรือสัญชาติหรือถิ่นที่อยู่ของเจ้าของข้อมูล (บุคคล) หากคุณกำลังประมวลผลข้อมูลส่วนบุคคลของบุคคลในเขตเศรษฐกิจยุโรป (EEA) หรือหากคุณมีลูกค้าในสหภาพยุโรป คุณต้องระวังเรื่องนี้ GDPR มีฐานทางกฎหมาย 6 ฐาน (คำยินยอม สัญญา งานสาธารณะ ผลประโยชน์ที่สำคัญ ผลประโยชน์ที่ชอบด้วยกฎหมาย หรือข้อกำหนดทางกฎหมาย)

นอกเหนือจากพื้นฐานที่ชอบด้วยกฎหมายแล้ว ยังมีสิทธิ์บางอย่างที่มอบให้กับเจ้าของข้อมูลของสหภาพยุโรปภายใต้ระเบียบใหม่ ซึ่งมีดังนี้:

  • สิทธิ์ในการเข้าถึง หมายความว่าลูกค้ามีสิทธิ์ที่จะรู้ว่าข้อมูลของพวกเขาถูกนำไปใช้อย่างไร ดังนั้น ธุรกิจจึงต้องประเมินบุคคลที่มีข้อมูลนี้
  • สิทธิ์ในการถ่ายโอน ระบุว่าลูกค้าหรือเจ้าของข้อมูลมีสิทธิ์ในการถ่ายโอนข้อมูลจากบริษัทหนึ่งไปยังอีกบริษัทหนึ่ง
  • สิทธิ์ที่จะถูกลืม บอกเป็น นัยว่าหากลูกค้าต้องการให้ลบข้อมูลทั้งหมด บริษัทต้องปฏิบัติตามคำขอ
  • สิทธิ์ในการได้รับแจ้ง บังคับใช้ว่าลูกค้าจำเป็นต้องได้รับการแจ้งอย่างชัดเจนว่าข้อมูลของพวกเขากำลังถูกรวบรวมและต้องได้รับความยินยอมฟรี
  • สิทธิ์ในการแก้ไข ทำให้ลูกค้ามีสิทธิ์รับข้อมูลอัปเดตหากข้อมูลล้าสมัยหรือไม่ถูกต้อง
  • สิทธิ์ที่จะไม่ประมวล ผลหมายความว่าลูกค้าสามารถเลือกที่จะไม่ประมวลผลข้อมูลของตนได้ แต่บันทึกของพวกเขาจะยังคงอยู่ในระบบ
  • สิทธิ์ในการคัดค้าน หมายความว่าลูกค้าสามารถเลือกที่จะไม่ให้ข้อมูลของตนถูกประมวลผลสำหรับการตลาดแบบตรง

นอกจากนี้ยังมีหน้าที่และสิทธิ์บางอย่างที่ธุรกิจต้องปฏิบัติตามหลักเกณฑ์ใหม่ของ GDPR:

  • ในกรณีที่มีการละเมิดข้อมูล ธุรกิจต้องเปิดเผยและรายงานต่อหน่วยงานกำกับดูแลแห่งชาติภายใน 72 ชั่วโมง
  • ธุรกิจทั้งหมดต้องแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล (DPO) ในกรณีที่มีการจัดการข้อมูลจำนวนมาก
  • เพื่อให้ข้อมูลได้รับการปกป้อง ธุรกิจต้องดำเนินการที่จำเป็น
  • แม้ว่าธุรกิจจะต้องรวบรวมข้อมูล แต่ต้องเป็นจำนวนเงินขั้นต่ำที่จำเป็น
  • ธุรกิจ/องค์กรต้องได้รับความยินยอมอย่างชัดแจ้งก่อนที่จะรวบรวมข้อมูลส่วนบุคคล
  • หากธุรกิจระหว่างประเทศหรือระดับชาติไม่ปฏิบัติตามกฎระเบียบด้านการปกป้องข้อมูล อาจถูกปรับสูง ถึง 20 ล้านยูโรหรือ 4% ของมูลค่าการซื้อขายทั่วโลกต่อปีในปีการเงินก่อนหน้า แล้วแต่จำนวนใดจะสูงกว่า

เนื่องจากการพึ่งพา GDPR ของสหภาพยุโรป จึงทำให้สหภาพยุโรปเป็นแบบอย่างให้ประเทศและรัฐอื่นๆ ปฏิบัติตาม ประเทศต่างๆ เช่น ชิลี ญี่ปุ่น บราซิล เคนยา และสหรัฐอเมริกามีความคล้ายคลึงกันหลายประการกับกฎระเบียบของประเทศเหล่านี้ ทำให้เป็นกฎสากลสำหรับธุรกิจและองค์กรที่ต้องปฏิบัติตามและปฏิบัติตาม

GDPR มีความสำคัญสำหรับอุตสาหกรรมอีคอมเมิร์ซ นี่คือเหตุผล!

GDPR ได้เปลี่ยนโฉมอุตสาหกรรมอีคอมเมิร์ซในยุโรปและทวีปอื่นๆ เมื่อพิจารณาว่าธุรกิจที่ดำเนินการในโดเมนอีคอมเมิร์ซต้องจัดการกับข้อมูลส่วนบุคคลของลูกค้า และรวบรวม จัดเก็บ หรือใช้ข้อมูลดังกล่าว พวกเขาจำเป็นต้องปฏิบัติตามกฎระเบียบมากมายเนื่องจากการจัดการข้อมูลของลูกค้าในสหภาพยุโรป

  • ธุรกิจต้องเปิดเผยรายละเอียดการติดต่อของร้านค้าอีคอมเมิร์ซของตน
  • แม้ว่าคุณจะไม่มีสำนักงานจริงในยุโรป แต่คุณมีลูกค้าในสหภาพยุโรป คุณจะต้องปฏิบัติตาม GDPR

แม้ว่าธุรกิจจะไม่ต้องทำอะไรผิดปกติเพื่อให้แน่ใจว่าธุรกิจของตนสอดคล้องกับ GDPR แต่พวกเขายังต้องตรวจสอบให้แน่ใจว่าข้อกำหนดและเงื่อนไขและนโยบายความเป็นส่วนตัวพร้อมกับการตั้งค่าคุกกี้เป็นปัจจุบัน

หมายเหตุ: ตั้งแต่ 1 ถึง 10,000 คน GDPR มีผลบังคับใช้กับทุกคน แต่ต้องมีการเก็บบันทึกเฉพาะสำหรับบริษัทที่มีพนักงาน 250+ คนเท่านั้น

มีบางแง่มุมที่คุณต้องพิจารณาเพื่อให้สอดคล้องกับ GDPR:

  • ให้ผู้ใช้เลือกและควบคุมว่าจะให้ความยินยอมหรือไม่
  • ถามผู้ใช้สำหรับการเลือกใช้ หมายความว่าช่องทำเครื่องหมายล่วงหน้าจะไม่นับเป็นความยินยอม ดังนั้นผู้ใช้จะต้อง 'เลือกรับ' ด้วยตนเอง
  • เน้นอย่างชัดเจนถึงสิ่งที่บุคคลนั้นยินยอมให้
  • การขอความยินยอมควรแยกออกจากข้อกำหนดในการให้บริการอื่น
  • เฉพาะเจาะจง; อย่าใช้วิธีร่มจับทั้งหมดพร้อมกัน
  • ชัดเจนและรัดกุม: ไม่มีที่ว่างสำหรับภาพเนกาทีฟสองเท่า
  • บุคคลที่สามที่จะพึ่งพาความยินยอมจะต้องตั้งชื่อ
  • ถอนความยินยอมได้ง่ายและต้องทำอย่างไรจึงสำคัญ
  • จัดทำเอกสารและเก็บหลักฐานการยินยอมว่าผู้ใดยินยอม เมื่อใด อย่างไร และข้อความใดที่ได้รับแจ้งในขณะนั้น
  • ตรวจสอบความยินยอมที่คุณได้รับ และอัปเดตหากมีการเปลี่ยนแปลง
  • หลีกเลี่ยงการให้ความยินยอมเป็นเงื่อนไขเบื้องต้นในการใช้บริการของคุณ

การชำระเงินข้ามพรมแดนและความเสี่ยงในการแปลงสกุลเงิน:

ค่าธรรมเนียมการชำระเงินข้ามพรมแดนทั่วยุโรปสามารถใช้แทนกันได้ โดยไม่คำนึงถึงการมีส่วนร่วมในพื้นที่ยูโร นอกจากนี้ การชำระเงินภายในประเทศในสกุลเงินยูโรนั้นมีค่าใช้จ่ายสูง ทำให้ผู้ให้บริการชำระเงิน (PSP) สามารถเรียกเก็บเงินได้หลากหลาย

เพื่อรองรับปัญหานี้ รัฐสภายุโรปได้ปรับปรุงระเบียบการชำระเงิน CBPR2 หรือ Cross-border Regulation มีแผนที่จะแนะนำความโปร่งใสของค่าธรรมเนียมการแปลงสกุลเงินและกำหนดมาตรฐานที่ POS (จุดขาย) และ ATM

PSP ต้องให้ข้อมูลต่อไปนี้แก่ผู้ใช้ที่เริ่มต้นการโอนบัตรเครดิตออนไลน์โดยตรง:

  • ค่าแปลงโดยประมาณ
  • จำนวนเงินทั้งหมดโดยประมาณในสกุลเงินบัญชีของผู้ชำระเงิน
  • จำนวนเงินทั้งหมดโดยประมาณที่จะจ่ายให้กับผู้ใช้บริการชำระเงินในสกุลเงินบัญชีของผู้ชำระเงิน
  • ค่าธรรมเนียมการทำธุรกรรม ถ้ามี
  • ค่าธรรมเนียมการแปลงสกุลเงินถ้ามี

CBPR2 กำหนดเพิ่มเติมว่าก่อนเริ่มการทำธุรกรรมโดยใช้บัตรใด ๆ ที่เกี่ยวข้องกับการแปลงสกุลเงินที่ ATM หรือ POS PSP ต้องเปิดเผยข้อมูลต่อไปนี้ต่อผู้ใช้บริการชำระเงิน/ผู้รับเงิน:

ประกาศ:

  • ค่าธรรมเนียมการแปลงสกุลเงินเช่นเดียวกับอัตราแลกเปลี่ยนที่ใช้

การปฏิบัติตามข้อกำหนดทางการเงิน:

  • เปอร์เซ็นต์มาร์กอัปของอัตราแลกเปลี่ยนเงินยูโรล่าสุดที่ออกโดยธนาคารกลางยุโรป
  • จำนวนเงินทั้งหมดที่ต้องจ่ายในสกุลเงินที่ผู้รับเงินใช้และเป็นสกุลเงินของบัญชี PSP ของผู้ชำระเงิน

การเติมความปลอดภัย:

  • ความเป็นไปได้ของการชำระเงินในสกุลเงินที่ผู้รับเงินใช้และมีการแปลงสกุลเงินที่ดำเนินการโดย PSP ของผู้ชำระเงินในภายหลัง
  • ผู้รับเงินมีสิทธิปฏิเสธบริการแปลงสกุลเงินและชำระเป็นสกุลเงินที่ผู้รับเงินใช้แทน

แชร์ครั้งแรกที่นี่

เข้าใจงานที่เราทำในโดเมนต่างๆ ข้ามทวีป

ตรวจสอบผลงาน

กฎหมายอีคอมเมิร์ซในยุโรปและการแปลงสกุลเงิน:

เนื่องจากการแปลงสกุลเงิน ความเสี่ยงหลายประการเกิดขึ้นจากการแลกเปลี่ยนเงินอย่างต่อเนื่อง ตามระเบียบใหม่ อัตราสกุลเงินที่ใช้จะเป็นอัตรา ณ เวลาที่ทำธุรกรรมเสมอ สกุลเงิน สามประเภท ที่เกี่ยวข้องกับร้านค้าออนไลน์ ได้แก่ :

  • สกุลเงินของร้านค้า – เป็นสกุลเงินที่ปรากฏในรายงานและเป็นของผู้ดูแลระบบที่ใช้ในการกำหนดราคาสำหรับสินค้าและตัวเลือกสินค้าของคุณ
  • สกุลเงินท้องถิ่น – เป็นสกุลเงินที่ลูกค้าใช้ในการชำระเงินสำหรับการสั่งซื้อของพวกเขาที่จุดชำระเงิน และยังมองเห็นได้ในร้านค้าของคุณอีกด้วย
  • สกุลเงินการจ่ายเงิน – เป็นสกุลเงินที่ใช้สำหรับการฝากเงินในบัญชีธนาคารของผู้ใช้ ซึ่งผู้ดูแลระบบหรือเจ้าของร้านค้าสามารถดูแลได้โดยตรง

ความเสี่ยง:

  • ในกรณีของการดำเนินการล่าช้าหรือคืนเงิน มีความเป็นไปได้ที่คุณอาจสูญเสียหรือได้รับเงินเนื่องจากความผันผวนของอัตราแลกเปลี่ยนอย่างต่อเนื่อง
  • หากร้านค้าของคุณทำข้อตกลงในหลายสกุลเงิน ราคาจะถูกแปลงและอัปเดตโดยอัตโนมัติด้วยอัตราตลาด (มีค่าธรรมเนียมการแปลงเล็กน้อยที่เกี่ยวข้องด้วย)

อีคอมเมิร์ซ ภาษีมูลค่าเพิ่ม และ Brexit และความสามัคคีในการทำงาน

บริเตนใหญ่ประกอบด้วยอังกฤษ เวลส์ และสกอตแลนด์ และมีกฎภาษีมูลค่าเพิ่มใหม่สำหรับสินค้าที่นำเข้าจากสหราชอาณาจักรตั้งแต่วันปีใหม่ปี 2021 ไอร์แลนด์เหนือตอนนี้มีสถานะสองสถานะหลัง Brexit ดังนั้นพวกเขาจะเป็นส่วนหนึ่งของอาณาเขตศุลกากรของสหราชอาณาจักร แต่ ยังเป็นส่วนหนึ่งของตลาดเดียวของสหภาพยุโรปเพื่อวัตถุประสงค์ด้านภาษีมูลค่าเพิ่ม

ต่อจากนี้ไป ธุรกิจอีคอมเมิร์ซจำเป็นต้องดูแลด้านเทคนิคบางอย่างเพื่อให้แน่ใจว่าจะไม่ห้อยเท้าในน่านน้ำที่มีปัญหา:

  • ก่อนอื่น ให้ยื่นขอหมายเลข VAT ของสหราชอาณาจักรในแต่ละประเทศที่คุณขาย เนื่องจากกฎแบบครบวงจรมีผลบังคับใช้ตั้งแต่วันที่ 1 กรกฎาคม 2021
  • เก็บภาษีมูลค่าเพิ่มสำหรับคำสั่งซื้อที่ส่งไปยังสหราชอาณาจักรซึ่งต่ำกว่า 135 ปอนด์
  • ในกรณีของตลาดออนไลน์ ความรับผิดจะเปลี่ยนไปที่แพลตฟอร์ม
  • ยื่นและนำส่งภาษีมูลค่าเพิ่มให้กับ HMRC ทุกไตรมาส
  • สมัครหมายเลขทะเบียนเศรษฐกิจและการระบุ (EORI) ใช้ในการประกาศศุลกากรซึ่งช่วยในการระบุผู้ส่งออกในขั้นตอนศุลกากรและเอกสาร
  • ประเมินใหม่และอัปเดตการตั้งค่าภาษีของคุณ หากคุณใช้ Avalara จะทำโดยอัตโนมัติ
  • กฎระเบียบแตกต่างกันไปสำหรับ B2B และ B2C และรหัสสินค้ามีความสำคัญหากคุณได้รับรหัสที่ไม่ถูกต้อง คุณอาจจบลงด้วยการจ่ายภาษีที่ไม่ถูกต้องหรือสินค้าของคุณถูกปิดกั้นโดยศุลกากร

ต้องการผู้แทนทางการคลังในท้องถิ่น:

แม้ว่าจะยังไม่เป็นทางการ แต่เชื่อกันว่า 19 จาก 27 ประเทศในยุโรปจำเป็นต้องมีตัวแทนภาษีมูลค่าเพิ่มในท้องถิ่นตามระเบียบภาษีมูลค่าเพิ่มและสหภาพยุโรปของอีคอมเมิร์ซฉบับใหม่ นอร์เวย์ ออสเตรเลีย ญี่ปุ่น หรือเกาหลีใต้ได้ปฏิบัติตามข้อตกลงนี้แล้ว ซึ่งโดยทั่วไปแล้วตัวแทนทางการเงินในท้องถิ่นจะเป็นทนายความหรือนักบัญชี

การไม่แต่งตั้งผู้แทนการคลังอาจส่งผลให้ต้องเสียค่าปรับ โปรดทราบว่าตัวแทนเหล่านี้จะต้องรับผิดชอบหากแพลตฟอร์มของคุณไม่ปฏิบัติตามข้อกำหนดด้านภาษี คุณอาจต้องจ่ายเงินเป็นจำนวนมากหรือหนังสือค้ำประกันจากธนาคาร

ช่องทางการชำระเงินและการชำระเงินออนไลน์

การรับรองความถูกต้องของลูกค้าอย่างเข้มงวด (SCA) เป็นข้อบังคับที่ช่วยในการลดกรณีการฉ้อโกงของลูกค้าทั่วสหราชอาณาจักรและยุโรป ตามรายงานของ Silicon Canals บริษัทฟินเทค ธุรกิจอีคอมเมิร์ซคาดว่าจะเติบโตสูงถึง 1 ล้านล้านดอลลาร์ภายในปี 2565 ในยุโรป และมากกว่า 1 พันล้านดอลลาร์เป็นการฉ้อโกงบัตรยุโรปตาม ECB ในแต่ละปี

ต้องใช้ SCA สำหรับการชำระเงินด้วยบัตรส่วนใหญ่ การไม่ปฏิบัติตาม SCA อาจนำไปสู่ความล้มเหลวในการทำธุรกรรมการชำระเงิน และผลที่ตามมาที่มีค่าใช้จ่ายสูงอื่นๆ ตามกฎระเบียบใหม่ การตรวจสอบสิทธิ์แบบสองปัจจัยเป็นสิ่งจำเป็นที่ลูกค้าจะต้องให้ข้อมูลสำคัญ 2 ใน 3 ข้อมูลเพื่อพิสูจน์ตัวตนของพวกเขา ซึ่งมีดังนี้:

  • สิ่งที่พวกเขาเป็นเจ้าของ (มือถือ โทเค็น หรือสมาร์ การ์ด)
  • สิ่งที่พวกเขารู้ (รหัส PIN หรือรหัสผ่าน )
  • สิ่งที่พวกเขาเป็น (ลายนิ้วมือหรือรูปแบบเสียง )

การถือกำเนิดของผู้ให้บริการบุคคลที่สามได้เพิ่มการแข่งขันและความซับซ้อนมากขึ้น ตั้งแต่ปี 2018 ผู้ให้บริการธนาคารแบบเปิดมี 2 ประเภท ซึ่งให้บริการตามวัตถุประสงค์ที่แตกต่างกัน

  • ผู้ให้บริการเริ่มต้นการชำระเงิน (PISP)
  • ผู้ให้บริการข้อมูลบัญชี (AISP)

PISP ได้รับอนุญาตให้เริ่มต้นการชำระเงินเข้าและออกจากบัญชีผู้ใช้ในขณะที่ AISP มีอำนาจในการดึงข้อมูลบัญชีที่ธนาคารและสถาบันให้ไว้

ทั้งสองจัดการความยินยอมของลูกค้าที่จำเป็นในการเข้าถึงข้อมูลการอบแบบเปิด พูดง่ายๆ ก็คือ พวกเขาอธิบายให้ลูกค้าทราบว่าจะเข้าถึงอะไรได้บ้าง นานแค่ไหน และจะแชร์กับใคร

สิ่งต่าง ๆ อาจล้นหลามสำหรับธุรกิจที่ไม่เคยเปิดเผยข้อมูลระดับนี้มาก่อน อย่างไรก็ตาม การทำความเข้าใจความแตกต่าง และกฎหมายที่เกี่ยวข้องควรได้รับการดำเนินการโดยองค์กรเพื่อปกป้องผลประโยชน์ของพวกเขาและผู้ถือหุ้นของพวกเขา

ประโยชน์สำหรับผู้ค้าออนไลน์:

  • ลดอัตราการฉ้อโกงและเพิ่มความไว้วางใจให้กับลูกค้า
  • การรับรองความถูกต้องด้วยสองปัจจัยเพื่อให้กระบวนการราบรื่นยิ่งขึ้น
  • ตัวเลือกเพิ่มเติมสำหรับผู้บริโภคอีคอมเมิร์ซ

ธุรกิจอินเทอร์เน็ตสามารถทำอะไรได้บ้าง:

แสดงวิธีการชำระเงินที่เหมาะสมตามบริบท และตรวจสอบให้แน่ใจว่าแพลตฟอร์มของคุณมีมาตรฐาน 3 มิติที่ปลอดภัย 2 ปัจจัย

นอกเหนือจากสิ่งที่ต้องทำแล้ว ยังมีข้อยกเว้นบางประการสำหรับข้อบังคับการตรวจสอบสิทธิ์ลูกค้าอย่างเข้มงวดซึ่งได้รับการอธิบายโดย Stripe ซึ่งทำการวิเคราะห์ตามเวลาจริงเพื่อพิจารณาว่าจะใช้ SCA กับธุรกรรมหรือไม่

ธุรกรรมที่มีความเสี่ยงต่ำ:

ธุรกรรมที่มีความเสี่ยงต่ำจะถือว่าใช้ได้สำหรับ SCA ต่อเมื่อผู้ให้บริการชำระเงินเห็นว่าจำเป็นเท่านั้น หลังจากวิเคราะห์แบบเรียลไทม์แล้ว อย่างไรก็ตาม มีข้อยกเว้นบางประการที่อาจเป็นไปได้หากการชำระเงินด้วยบัตรของผู้ให้บริการชำระเงินหรืออัตราการฉ้อโกงโดยรวมของธนาคารไม่เกินเกณฑ์ต่อไปนี้:

  • 0.13% สำหรับธุรกรรมที่ได้รับการยกเว้นต่ำกว่า €100
  • 0.06% เพื่อยกเว้นการทำธุรกรรมที่ต่ำกว่า €250
  • 0.01% เพื่อยกเว้นธุรกรรมที่ต่ำกว่า €500
การชำระเงินต่ำกว่า 30 ยูโร:

ธุรกรรมที่ต่ำกว่า 30 ยูโรถือว่ามีมูลค่าต่ำ ดังนั้นจึง อาจได้รับการยกเว้นจาก SCA อย่างไรก็ตาม หากสถานการณ์นี้ซ้ำมากกว่า 5 ครั้งและจำนวนเงินมากกว่า 100 ยูโร ธนาคารจะต้องขอการรับรองความถูกต้อง นอกจากนี้ ธนาคารต้องคอยตรวจสอบจำนวนธุรกรรม

การสมัครสมาชิกจำนวนคงที่:

ในกรณีนี้ การชำระเงินครั้งแรกของลูกค้าต้องใช้ SCA และการชำระเงินครั้งถัดไปอาจได้รับการยกเว้น

ผู้รับผลประโยชน์ที่เชื่อถือได้:

ขณะ ดำเนินการตรวจสอบการชำระเงิน ลูกค้ามีตัวเลือกในการเพิ่มธุรกิจลงในรายการอนุญาต ซึ่งจะถูกเพิ่มเข้าไปในรายการ "ผู้รับผลประโยชน์ที่เชื่อถือได้" ของธนาคาร เพื่อให้แน่ใจว่ามีความล้มเหลวในการรับรองความถูกต้องน้อยลง

ขายโทรศัพท์:

รายละเอียดบัตรของลูกค้าที่รวบรวมทางโทรศัพท์ได้รับการยกเว้นจาก SCA และไม่ต้องมีการตรวจสอบสิทธิ์

การชำระเงินขององค์กร:

การชำระเงินโดยใช้หมายเลขบัตรเสมือนที่ภาคการเดินทางใช้กันทั่วไปนั้นอยู่นอก SCA เช่นกัน

การชำระเงินที่เริ่มต้นโดยผู้ค้า:

เมื่อมีการบันทึกบัตรไว้ในระบบของร้านค้าและชำระเงินโดยใช้บัตรที่บันทึกไว้ บัตรนั้นจะได้รับการยกเว้นจากการตรวจสอบสิทธิ์ เนื่องจากในทางเทคนิคแล้ว การชำระเงินเหล่านี้อยู่นอกขอบเขต SCA

คำสั่งขายทางไกล

การขายทางไกล พูดง่ายๆ คือ การขายผ่านสื่อทุกรูปแบบ เช่น ดิจิทัล ออนไลน์ อีเมล และอื่นๆ หากธุรกิจอินเทอร์เน็ตที่จดทะเบียนภาษีมูลค่าเพิ่มของคุณขายให้กับ เช่น ในสหราชอาณาจักร แต่คุณไม่ได้จดทะเบียนที่นั่นแต่ในประเทศอื่นในยุโรป แสดงว่าคุณกำลังขายทางไกล ไม่ใช่เรื่องง่ายที่จะเข้าใจ แต่สำคัญมากสำหรับธุรกิจที่มีลูกค้าและผู้มีโอกาสเป็นลูกค้าในยุโรป

ก่อนขายให้กับลูกค้าทางไกล โปรดตรวจสอบให้แน่ใจว่าได้รวมข้อมูลต่อไปนี้:

  • ชื่อ รายละเอียดการติดต่อ และที่อยู่ธุรกิจของคุณ
  • คำอธิบายโดยละเอียดเกี่ยวกับธุรกิจของคุณ
  • ราคารวมภาษีทั้งหมดและคำแนะนำในการชำระเงิน
  • การชำระเงิน กำหนดการ และค่าใช้จ่าย
  • ระยะเวลาการเรียกเก็บเงินและระยะเวลาสัญญาขั้นต่ำ
  • เงื่อนไขการฝากเงิน การค้ำประกัน และสัญญาสิ้นสุด
  • เกณฑ์การยกเลิกคำสั่งซื้อควบคู่ไปกับแบบฟอร์ม ค่าใช้จ่ายในการยกเลิกใดๆ หากมี และกำหนดเส้นตายจนกว่าจะมีสิทธิ์ยกเลิก

ข้อมูลทั้งหมดนี้จะต้องให้ในรูปแบบที่เข้าใจง่าย

ภายใต้คำสั่งนี้ ธุรกิจอีคอมเมิร์ซต้องแจ้งลูกค้าว่าสามารถยกเลิกคำสั่งซื้อได้ภายใน 14 วันหลังจากจัดส่ง และไม่จำเป็นต้องมีเหตุผลในการยกเลิก

กฎอีคอมเมิร์ซ เหล่านี้ ในสหภาพยุโรป ใช้กับธุรกิจที่ขายบริการดิจิทัลออนไลน์และควรปฏิบัติตามอย่างเคร่งครัด

อุตสาหกรรมบัตรชำระเงิน – การปฏิบัติตามมาตรฐานความปลอดภัยของข้อมูล (PCI DSS)

หากธุรกิจอีคอมเมิร์ซของคุณยอมรับการชำระเงินด้วยบัตรเครดิต คุณจะต้องทราบว่า PCI DSS ทำงานอย่างไร และที่สำคัญกว่านั้นคือผลกระทบต่อธุรกิจของคุณ

แม้ว่าขอบเขต PCI และ GDPR จะทับซ้อนกันในหลายแง่มุม แต่ความแตกต่างก็อยู่ในจุดประสงค์ GDPR ทำหน้าที่เป็นสื่อกลางสำหรับผู้ใช้ในการทำความเข้าใจสิทธิ์และหน้าที่ของตนเมื่อธุรกิจอินเทอร์เน็ตรวบรวมข้อมูล แต่ไม่ได้ให้การรักษาความปลอดภัย

ในทางกลับกัน PCI เกี่ยวข้องโดยตรงกับความปลอดภัยและการป้องกันข้อมูลผู้ถือบัตร การสูญหายของข้อมูล การละเมิด การโจรกรรมข้อมูลประจำตัว และอื่นๆ อยู่ภายใต้ PCI แม้ว่าในมาตรฐานนี้ ลูกค้าจะไม่สามารถควบคุมข้อมูลของตนได้มากนัก แต่ PCI ให้ความสำคัญกับการรักษาเซิร์ฟเวอร์ให้ปลอดภัย การจำกัดการเข้าถึง และมุ่งเน้นไปที่การบรรเทาผลกระทบและการจัดการความเสี่ยง

ระเบียบ WEEE ของยุโรป

คำสั่งนี้มีความสำคัญอย่างยิ่งสำหรับธุรกิจที่ซื้อขายและซื้อสินค้าอิเล็กทรอนิกส์ คำสั่งเสียอุปกรณ์ไฟฟ้าและอิเล็กทรอนิกส์ (หรือ WEEE) กำหนดเป้าหมายการรวบรวม การรีไซเคิล และการกู้คืนสำหรับสินค้าอิเล็กทรอนิกส์ทุกประเภท

ตาม WEEE อุปกรณ์ไฟฟ้าทั้งหมดที่วางขายในตลาดควรได้รับการจดทะเบียนในประเทศนั้น ๆ ซึ่งจะได้รับคำแนะนำเพิ่มเติมในการดูแลรักษาไดเรกทอรีเดียวกัน

ประเทศสมาชิกทั้งหมดมีหน้าที่รักษารายงานประจำปีของอุปกรณ์ไฟฟ้าทั้งหมดที่วางตลาด และอุปกรณ์ที่ลงทะเบียนทั้งหมดควรติดฉลากตามนั้น

สิ่งนี้กลายเป็นเรื่องท้าทายสำหรับผู้ขายที่ต้องการขายผลิตภัณฑ์ของตนในหลายประเทศในสหภาพยุโรป เนื่องจากจะต้องจดทะเบียนแยกกันในแต่ละประเทศเพื่อให้แน่ใจว่าเป็นไปตามภาระหน้าที่ของผู้ผลิตในท้องถิ่น หากองค์กรไม่ปฏิบัติตามคำสั่งนี้ อาจมีค่าปรับจำนวนมาก

แม้ว่าคำสั่งนี้จะมีงานต้องทำมากขึ้นสำหรับผู้ผลิต ธุรกิจอินเทอร์เน็ตยังคงต้องตรวจสอบให้แน่ใจว่าผลิตภัณฑ์ของตนอยู่ภายใต้ระเบียบที่กำหนด

ศัพท์แสงทั่วไปที่ใช้ในยุโรปที่คุณต้องระวัง

มากำหนดคำศัพท์สำคัญบางคำที่คุณจะเห็นเมื่อทำการวิจัยเกี่ยวกับ GDPR

  • เจ้าของ ข้อมูล: บุคคลที่มีการจัดเก็บ รวบรวม แบ่งปัน หรือทิ้งข้อมูลส่วนตัว
  • ข้อมูลส่วนตัวและข้อมูลส่วนบุคคล: ข้อมูล ใด ๆ ที่ระบุบุคคลที่ยังมีชีวิตอยู่โดยตรงหรือโดยอ้อม ตัวอย่างเช่น ข้อมูลบัญชี ข้อมูลสุขภาพ อายุ เพศ ที่อยู่อีเมล วันเกิด ที่อยู่ ที่อยู่ IP เป็นต้น
  • ผู้ควบคุมข้อมูล: เป็นบุคคลหรือบุคคลที่กำหนดวิธีการประมวลผลข้อมูลส่วนบุคคล
  • ผู้ ประมวลผลข้อมูล: เป็นบุคคลหรือบุคคลที่ประมวลผลข้อมูลนั้นในนามของผู้ควบคุม
  • ภาระหน้าที่ของโปรเซสเซอร์ – โปรเซสเซอร์ต้องปฏิบัติตามคำแนะนำของผู้ควบคุมข้อมูล และควรจะสามารถแสดงการปฏิบัติตาม GDPR ได้
  • เจ้าหน้าที่คุ้มครองข้อมูล – สำหรับการดูแล GDPR การปฏิบัติตามการจัดการความเป็นส่วนตัวทั่วไปและแนวทางปฏิบัติในการปกป้องข้อมูล ธุรกิจอาจจำเป็นต้องแต่งตั้งพนักงานหรือผู้ให้บริการเพื่อดูแล GDPR
  • การประเมินผลกระทบต่อความเป็นส่วนตัว (PIA) – การประเมินผลกระทบต่อความเป็นส่วนตัวจะต้องดำเนินการกับการประมวลผลข้อมูลขนาดใหญ่เพื่อลดความเสี่ยงและระบุมาตรการที่จะบรรเทา
  • การแจ้งเตือนการละเมิด – ผู้มีส่วนได้ส่วนเสียต้องได้รับแจ้งจากผู้ควบคุมภายใน 72 ชั่วโมงหลังจากรับทราบถึงการละเมิด

แหล่งข้อมูล

คำสั่งและข้อบังคับอื่น ๆ ที่ต้องพิจารณา:

European Copyright Directive (ไม่ใช่กฎหมาย แต่เป็นกรอบการทำงานเพื่อช่วยประเทศสมาชิกในการเขียนและร่างกฎหมายของตน)

  • ส่งคำแนะนำการชำระเงินให้กับลูกค้าเมื่อชำระเงินเสร็จสิ้น
  • ตรวจสอบให้แน่ใจว่าธุรกิจของคุณได้จดทะเบียนกับหอการค้า

ให้ผู้ใช้ของคุณไม่มีช่องทำเครื่องหมายล่วงหน้า

  • คำแนะนำการชำระเงินภาคบังคับ
  • การแปลงสกุลเงิน
  • การจัดการสินค้าคงคลัง

บทสรุป

การพิจารณาที่ธุรกิจอาจเผชิญหากไม่ปฏิบัติตามข้อบังคับทางกฎหมายสำหรับอีคอมเมิร์ซในเขตเศรษฐกิจยุโรป (EEA) ขอแนะนำให้ทำความเข้าใจกฎหมายที่เกี่ยวข้อง นอกจากนี้ สิ่งสำคัญสำหรับเจ้าของธุรกิจใหม่คือต้องไม่ละเลยสิทธิและหน้าที่ขั้นพื้นฐานในฐานะผู้ให้บริการและพลเมืองโลก นอกจากนี้ ผลกระทบอาจรุนแรงต่อ SMB หรือสตาร์ทอัพมากกว่าองค์กรขนาดใหญ่