Как да стартираме онлайн магазин

Как да стартираме онлайн магазин

Настоящата публикация има за цел да очертае нормативната рамка на онлайн търговията.  Започването на подобна инициатива безспорно е предпоставена от съвместната работа на   адвокат, IT специалист и счетоводител, доколкото този вид бизнес засяга многобройни въпроси от правен, технически и счетоводен характер, чието разрешаване изисква помощта на специалист, в съответната област. Предвид обстоятелството че този вид дейност се регулира от значителен брой нормативни актове – регламенти на ЕС, законови и подзаконови актове, не претендираме за изчерпателност, а целим единствено да маркираме основните стъпки, необходими при стартиране на онлайн магазин от правна гледна точка. Всеки от посочените етапи изисква задълбочена преценка и допълнително проучване, съобразно конкретния случай.

1.Регистрация на търговец в Търговския регистър, воден от Агенцията по вписванията

Първата стъпка, която следва да предприемем, в случай че сме взели решение да започнем онлайн търговия е да се впишем като едноличен търговец или да регистрираме някое от изчерпателно предвидените в законодателството ни търговски дружества. Това изискване следва от разпоредбите на чл. 1, ал.1 от Търговския закон, в който са изброени видовете дейности и сделки, при чието извършване по занятие, дадено физическо или юридическо лице придобива качеството търговец, а всеки търговец подлежи на задължителна регистрация в Търговския регистър, воден от Агенцията по вписванията (ТР при АВ), съгласно чл. 6, ал.1 от ЗТРРЮЛНЦ. Следва да се има предвид, че  дори и планираният бизнес да не включва някоя от изброените в чл. 1, ал.1 от ТЗ дейности и сделки, то според ал. 3 на същата законова разпоредба, за търговец се смята и всяко лице, образувало предприятие, което по предмет и обем, изисква неговите дела да се водят по търговски начин. Задължението за регистрация следва да се изпълни в седемдневен срок от придобиването на търговско качество. В действителност, всяко физическо или юридическо лице може да извършва търговски сделки и да бъде страна по търговски правоотношения, може да ги извършва и по занятие и тези сделки ще бъдат действителни, т.е. ще породят целените правни последици, но ако лицето, придобило търговско качество не се впише в търговския регистър и не води счетоводство, носи административно-наказателна отговорност.

Що се отнася до въпроса какъв вид търговец да изберем за осъществяване на дейността ни,  следва да се отбележи, че най-малко предпочитаната форма за осъществяване на търговска дейност в практиката е тази на едноличния търговец. Основната причина за това е, че едноличните търговци отговарят за всички свои задължения с цялото си имущество, т.е. както с имуществото, включено в търговското предприятие, така и с имуществото, което е извън търговското предприятие. Същата неограничена лична отговорност за задълженията на дружеството е предвидена и за съдружниците в събирателното дружество, както и за част от съдружниците в командитното дружество и в командитното дружество с акции. Ето и защо, безспорно най-разпространената форма за осъществяване на търговска дейност е ООД, респ.  едноличното ООД, при което рискът за съдружниците е единствено да загубят правата, които дяловото участие им носи (т.е. направените вноски и това, което им се следва от тези вноски). В допълнение на това предимство са и обстоятелствата, че определеният в закона минимален размер на капитала на едно ООД е само 2лв. (в сравнение с АД, където капиталът трябва да бъде минимум  50 000 лв.), както и че в уредбата му са избегнати сложното учредяване и публичността на акционерните дружества.

2.Регистрация на дейността в Националната агенция по приходите

Правилото е, че онлайн магазините подлежат на регистрация в Националната агенция по приходите (НАП), като за тази цел е създаден специален регистър, воден от посочената агенция, който е публичен. Изискването за регистрация е изрично посочено в Наредба № Н-18 от 13.12.2006г. за регистриране и отчитане чрез фискални устройства на продажбите в търговски обекти, изискванията към софтуерите за управлението им  и изискванията към лицата, които извършват продажби чрез електронен магазин.

Така, според чл.52м, ал.1 от цитираната наредба,  лице по чл.3, което извършва продажба на стоки или услуги чрез електронен магазин, независимо дали използва собствен домейн, нает домейн или домейн на друго лице, предоставящо платформа за извършване на продажби в интернет, преди започване на дейност по продажби на стоки/услуги чрез електронен магазин, подава информация по електронен път с квалифициран електронен подпис, по реда на Данъчно-осигурителния процесуален кодекс, чрез електронна услуга в Портала за е-услуги на НАП, достъпен на интернет страницата на НАП, съгласно приложение № 33. Следва да се отбележи, че в случай, че търговецът извършва продажби чрез повече от един електронен магазин, информация следва да се подаде поотделно за всеки от тях.

Каква информация следва да се подаде – подробен отговор на този въпрос дава Приложение № 33 към чл. 52м, ал.1 от Наредба № Н-18 от 13.12.2006г.

За търговците, осъществяващи продажби онлайн, е налице общото задължение да регистрират и отчитат извършваните продажби на стоки или услуги чрез издаване на фискална касова бележка от ФУ или касова бележка от ИАСУТД, но за тях е предвидена и възможността това да става чрез издаване на фискален/системен бон, генериран в електронен вид, без да се отпечатва на хартиен носител, който се предоставя на електронен адрес на клиента. Търговецът е длъжен да съхранява данните за изпращането му.

Все пак, има и изключения от задължението на търговците да регистрират онлайн магазините си в НАП, едно от които се отнася до онези търговци, за които не е налице и задължение да издават касов бон, а именно – тези, които оперират единствено чрез плащания от крайния клиент, извършено чрез внасяне на пари в наличност по платежна сметка, кредитен превод, директен дебит или наличен паричен превод, извършен чрез доставчик на платежна услуга по смисъла на Закона за платежните услуги и платежните системи, или чрез пощенски паричен превод, извършен чрез лицензиран пощенски оператор за извършване на пощенски парични преводи по смисъла на Закона за пощенските услуги. Обърнете внимание, че ако плащанията се извършват чрез PayPal, кредитна карта или друг електронен инструмент, както и чрез наложен платеж, регистрация в НАП е задължителна.

Друго изключение от задължението за регистрация в НАП са чуждестранните търговци, които подлежат на регистрация в държавата по седалището им, а не в държавата, където са разположени сървърите, имейл адресите или пощенските кутии, които те използват.

3.Изготвяне на Общи условия, които да бъдат публикувани на сайта

Общите условия представляват предварително изготвени правила от търговеца, с които той регулира отношенията си с потребителите на стоките или услугите му. Следа да се има предвид, че ако лицата, с които търговецът договаря, не са търговци,  тези лица ще бъдат обвързани от Общите условия само ако са заявили писмено (в случая с електронно писмено волеизявление), че ги приемат. По отношение на търговците – за тях Общите условия са задължителни, ако търговецът ги е знаел или е бил длъжен да ги знае и не ги е оспорил незабавно. При изготвяне на Общите условия особено внимание следва да се обърне на правилата, установени в Закона за защита на потребителите за договорите от разстояние – относно  информацията, която търговецът е длъжен да предостави на потребителя, преди сключване на договора, начините, по които следва да се предостави тази информация, правото на отказ на потребителя от договора и условията за неговото упражняване и пр., както и на разпоредбите от същия закон, регламентиращи случаите, в които клаузи от общите условия могат да се счетат за неравноправни.

4.Изготвяне на Политика за защита на личните данни и Политика за използване на бисквитки

Основен момент в онлайн търговията е свързан със защитата на личните данни. По смисъла на Общия регламент за защитата нa данните/GDPR/, онлайн търговците са администратори на лични данни (вкл. и ако единствените лични данни, които се съхраняват са имейл адреси). В това си качество, те са обвързани от задълженията, предвидени за администраторите на лични данни в Регламента и в Закона за защита на личните данни. Следва да се отбележи, че отпадна задължението за регистрация на администраторите на лични данни в Комисията за защита на личните данни. За сметка на това, обаче, са предвидени редица нови изисквания като сътрудничество с надзорния орган, предварителна консултация, определяне на длъжностно лице по защита на данните /когато такова се изисква/, задължение за уведомяване при нарушения на сигурността. Необходимо е изготвянето на Политика за поверителност, декларация за съгласие за обработване на лични данни, както и вътрешни правила за защита на личните данни. Обърнете внимание, че администраторите на лични данни са длъжни да уведомяват всеки субект на лични данни за началния момент на администриране на данните, какви лични данни ще администрират и за какви цели. Също така са предвидени задължения да водят регистър на дейностите по обработване на лични данни и да извършат оценка на въздействието при наличие на висок риск за правата и свободите на физическите лица. Тогава, когато обработването на личните данни ще се извършва чрез структура или фигура, външна за администратора, то отношенията между администратора и обработващия личните данни следва да се уредят с договор, в който се регламентира предметът и срокът на действие на обработването, естеството и целта на обработването, видът на личните данни и категориите субекти на данни, задълженията и правата на администратора (чл. 28, пар. 3 ОРЗД).  В случай че уебсайтът ви ще използва „бисквитки“, това трябва да е изрично упоменато. Следва да изготвите Политика за използване на „бисквитки“ и да имате предвид, че за използването им е нужно изрично съгласие на клиента, като за същия трябва да е предвидена възможност да деактивира или да не приема „бисквитки“. Изготвената политика следва да съдържа указания за това какво представляват „бисквитките“ по принцип, какви конкретно „бисквитки“ използва вашият уебсайт и за какви цели, кой използва информацията, записвана в „бисквитките“, как потребителят на сайта ви може да ограничи или забрани използването им.

5.Привеждане на онлайн магазина в съответствие със специфичните изисквания за този тип търговия, предвидени в Закона за електронната търговия

Онлайн търговецът по смисъла на Закона за електронната търговия е доставчик на услуги на информационното общество и като такъв, за него е предвидено задължението да предоставя безпрепятствен, пряк и постоянен достъп на получателите на услугите и на компетентните органи на следната информация: 

  1. името или наименованието си;
  2. постоянния си адрес или седалището и адреса си на управление;
  3. адреса, на който упражнява дейността си, ако е различен от адреса по т. 2;
  4. данни за кореспонденция, включително телефон и адрес на електронна поща, за осъществяване на пряка и навременна връзка с него;
  5. данни за вписване в търговски или друг публичен регистър;
  6. информация за органа, осъществяващ контрол върху дейността му, когато тази дейност подлежи на уведомителен, регистрационен или лицензионен режим;
  7. когато осъществява регулирана професия – информация за камарата, професионалния съюз или организацията, в която доставчикът членува или е регистриран, професионалното звание и държавата, в която то е предоставено, както и препратка към приложимите разпоредби относно правото на упражняване на занаята или професията и указания за достъпа до тях;
  8. съответно указание, ако е регистриран по Закона за данък върху добавената стойност;
  9. друга информация, предвидена в нормативен акт.

Предвидено е също задължение, при посочването на цените за предоставяните услуги, същите да бъдат обозначени по ясен и разбираем начин, като следва да бъде указано дали цените включват данъци, такси и разноски, които формират крайната цена.

Посоченият закон отделя особено внимание на търговските съобщения (рекламни или други съобщения, представящи пряко или косвено стоките, услугите или репутацията на лицето, извършващо търговска дейност), които следва да бъдат лесно разпознавани като търговски, да позволяват ясна идентификация на физическите или юридическите лица, от името на които са направени, да определят ясно и недвусмислено условията за ползване на промоционални предложения, като отстъпки, премии и подаръци, ако включват такива, да осигуряват лесен достъп до ясно и недвусмислени условия за участие в състезания и игри с обявени награди, ако съдържат такава информация, да съдържат и информация, предвидена в други нормативни актове.  Забранява се изпращането на непоискани търговски съобщения на потребители – физически лица, без предварителното им съгласие. По отношение на потребителите – юридически лица, е важно да се знае, че е създаден електронен регистър, публикуван в сайта на Комисията за защита на потребителите, в който тези от тях, които не желаят да получават непоискани търговски съобщения, могат да впишат си електронните си адреси. Следователно, преди да изпратите търговско съобщение до юридическо лице, е добре да се прави предварителна проверка в посочения регистър, тъй като, при нарушение на забраната от физически лица, доставчици на услуги, е предвидена глоба в размер от 250 до 1500 лв., а от юридически лица или еднолични търговци – имуществена санкция в размер от 500 до 2000 лв.

Предвидени са и специфични изисквания за доставчиците при сключването на договорите. Така например, при предложение за сключване на договор чрез електронни средства, доставчикът на услуги предварително информира получателя на услугата по ясен, разбираем и недвусмислен начин относно: 1. техническите стъпки по сключването на договора и тяхното правно значение; 2. дали договорът ще бъде съхраняван от доставчика на услугата и какъв е начинът за достъп до него; 3. техническите средства за установяване и поправяне на грешки при въвеждането на информация, преди да бъде направено изявлението за сключване на договора; 4. езиците, на които договорът може да бъде сключен. Доставчикът на услуги е длъжен да указва и начина за достъп по електронен път към етичен кодекс за поведение, към който се придържа. Особено важно е изискването доставчикът на услуги да предостави на получателя на услугата общите условия и съдържанието на договора по начин, който позволява тяхното съхраняване и възпроизвеждане, както и подходящи, ефективни и достъпни технически средства за установяване и поправяне на грешки при въвеждане на информация, преди получателят на услугата да направи изявление за сключване на договора. Доставчикът на услуги е длъжен, без неоправдано забавяне, да потвърди чрез електронни средства получаването на изявлението за сключване на договора от получателя на услугата.

20 ноември 2019 г.

Адв. Мария Симитчиева

/Настоящото изложение не претендира за изчерпателност и представлява авторски коментар на екипа на АС „Ангелови и Ко“ по засегнатата тема. Ако имате въпроси, свързани с правните аспекти на стартирането на онлайн магазин, във всеки конкретен случай, следва да се обърнете към специалист./

Съгласни ли сте?

Съгласни ли сте?

В светлината на новия Регламент (ЕС) 2016/679 на Европейския парламент и на Съвета от 27 април 2016 година относно защитата на физическите лица във връзка с обработването на лични данни и относно свободното движение на такива данни и за отмяна на Директива 95/46/EО (Общ регламент относно защитата на данните), за краткост тук по – долу Регламент/-а, в сила от 25 май 2018г., понятията „лични данни“ и законосъобразно „обработване“ добиха  огромна  гласност, а GDPR се превърна в едно от най-обсъжданите явления за месец май 2018г., включително стана причина за стрес, обект на хумор, неразбиране. Трябва да се посочи, че в България има действащ Закон за защита на личните данни от 2002г, в който подробно е заложена уредбата на тази чувствителна за правата ни сфера, поради което за България, една част от изискванията на GDPR не са ексклузивни, а принципните положения в никакъв случай не са новост. Считам, че до известна степен се кумулира изкуствено „напрежение“ в публичното пространство, относно това, готов ли е българският бизнес да продължи да функционира безпрепятствено и законосъобразно при действието на Общия регламент относно защитата на данните.

По мое мнение, балансираният подход е изключително важен – спазването на Регламента изисква едновременно спокойно и професионално адаптиране към новите моменти, след консулатации с нужните за целта експерти, включително IT специалисти. Консултантите, на които се доверяваме, е необходимо да притежават задълбочени познания, за да може да има индивидуален подход при изготвянето на документацията по приложението на Регламента. Не трябва да се изпада в крайностите, които вече се чуват в публичното пространство и заради които хората останаха с впечатление, че не бива да казват ЕГН-то и името си, да посочват телефонният си номер, или да показват личната си карта – напомням, че говорим за законосъобразно обработване на личните данни, а не за това да спрем да обработваме лични  данни въобще.

В този смисъл, без да претендира за изчерпателност, настоящото изложение има за цел да обобщи изискванията, които следва да бъдат спазени при използването на един от способите за законосъобразно обработване на лични данни, а именно – Съгласието.

Позоваването на Съгласието при обосноваване законосъобразното опериране с лични данни на пълнолетни лица, е често срещано в практиката, с оглед на което Общият регламент относно защитата на данните съдържа ясни изисквания какво трябва да съдържа и как следва да бъде дадени едно неопорочено и изразено съобразно изискванията на Регламента Съгласие. Съгласно съдържащата се в Общия регламент относно защитата на данните легална дефиниция, „съгласие на субекта на данните“ означава всяко свободно изразено, конкретно, информирано и недвусмислено указание за волята на субекта на данните, посредством изявление или ясно потвърждаващо действие, което изразява съгласието му свързаните с него лични данни да бъдат обработени“.

Свободно изразено, съгласието предполага предоставяне на даващия съгласие, наричан още и субект на данни, на възможност за недвусмислено демонстриране на осъзнато взето решение от негова страна, както и упражняването на контрол при обработването на личните му данни. Ако субектът на данните не разполага с възможност за избор, то неговото съгласие няма да бъде свободно изразено и следователно ще бъде невалидно. Както ясно и категорично е посочено в рецитал 43 от Общия регламент относно защитата на данните, „за да се гарантира, че е дадено свободно, съгласието не следва да представлява валидно правно основание за обработването на лични данни в конкретна ситуация, когато е налице очевидна неравнопоставеност между субекта на данните и администратора, по-специално когато администраторът е публичен орган, поради което изглежда малко вероятно съгласието да е дадено свободно при всички обстоятелства на конкретната ситуация.“

Конкретно и информирано, означава, че субектът на данните следва да е запознат с целите, за изпълнението на които, ще се обработват неговите лични данни. Получаването на валидно съгласие от страна на администратора на данните, винаги следва да бъде предшествано от ясното и конкретно посочване на легитимните цели, за които ще се обработват данните на субекта. В допълнение, изискването за конкретност на Съгласието е в тясна зависимост и с това, същото да бъде информирано. Предоставянето на необходимата информация преди получаването на Съгласието на субектите на данни, е от съществено значение, с оглед осигуряването на възможност за взимане на информирано решение, включително и упражняването на осигурената от Общия регламент възможност за оттегляне на вече даденото Съгласие – лишено от логика би било всяко оттегляне на съгласие, което е дадено от субекта на данните, без да знае защо. В случай, че администраторът на данните не осигури достъп на субектите на данните до относимата за получаването на Съгласието информация на достъпен и лесно разбираем език, упражняването на контрол от страна на субектите на данните ще остане илюзорно, а даденото при подобни обстоятелства съгласие – лишено от правно основание.

Недвусмислено указание за волята на субекта на даннитепри обработването на данните следва да се демонстрира ясно и недвусмислено с какво субектът на данните се е съгласил. Това изисква не просто потвърждение на факта, че субектът е прочел общите условия напр. Допълнителни указания в тази връзка се съдържат в рецитал 32 от Общия регламент относно защитата на данните, който рецитал гласи, че: „Съгласие следва да се дава чрез ясно утвърдителен акт, с който да се изразява свободно дадено, конкретно, информирано и недвусмислено заявление за съгласие от страна на субекта на данни за обработване на свързани с него лични данни, например чрез писмена декларация, включително по електронен път, или устна декларация. Това може да включва отбелязване с отметка в поле при посещението на уебсайт в интернет, избиране на технически настройки за услуги на информационното общество или друго заявление или поведение, което ясно показва, че субектът на данни е съгласен с предложеното обработване на неговите лични данни. Поради това мълчанието, предварително отметнатите полета или липсата на действие не следва да представляват съгласие. Съгласието следва да обхваща всички дейности по обработване, извършени за една и съща цел или цели. Когато обработването преследва повече цели, за всички тях следва да бъде дадено съгласие. Ако съгласието на субекта на данни трябва да се даде след искане по електронен път, искането трябва да е ясно, сбито и да не нарушава излишно използването на услугата, за която се предвижда.”

Съгласно установеното в чл. 7, ал. 3 от Регламента, субектът на данните следва, преди да даде своето съгласие за обработването на данните му, да бъде информиран, че има право да оттегли съгласието си по всяко време, както и да бъде информиран за начина, по който може да направи това. Оттеглянето на съгласието следва да става също толкова лесно, колкото и даването му. Оттеглянето на съгласието не опорочава по никакъв начин вече извършеното до момента на оттеглянето на съгласието обработване на данни. След този момент, администраторът трябва да прекрати обработването, което е било основано на вече оттегленото съгласие или, в случай, че продължи да обработва данните, да обоснове наличието на някое от другите предвидени в Регламента основания, за да продължи да обработва същите тези данни. В допълнение, на субектите на данни следва да им бъде гарантирана възможността да оттеглят вече даденото от тях съгласие, без възникването на каквито и да било негативни последици за тях – напр. пораждане на задължение за заплащане на допълнителни такси или понижаване качеството на предоставяната услуга като последица от оттеглянето на съгласието. В противен случай, съгласието няма как да бъде считано за свободно дадено.

/Настоящата статия представлява авторски коментар на екипа на АС“ Ангелови и ко“  по засегнатата тема и няма претенции за изчерпателност. Ако имате въпроси свързани с прилагането на Общия регламент за защита на данните и/или нужда от правен съвет в сферата на защита на личните данни, във всеки конкретен случай, трябва да се обръщате към специалист, който да проучи казуса всестранно/.

14.06.2018г.