Повернення грошей на електронні рахунки: чого слід остерігатися?

Запит на повернення грошей і право на видалення інформації: як розставити пріоритети, щоб не отримати штраф? 

Багато власників бізнесу у сфері електронної комерції, які приймають платежі за розрахунковими картками в інтернеті, знають, що для цього потрібен мерчант рахунок. 

Мерчант рахунок — це внутрішній транзитний рахунок, який акумулює гроші з транзакцій, і надалі перераховує їх на розрахунковий рахунок. Зберігати гроші на цьому рахунку не можна, він може існувати тільки у зв’язці з розрахунковим рахунком. Мерчант рахунок можна відкрити в фінансових інституціях, які надають послуги інтернет-еквайрингу, в тому числі в банку-еквайєрі. 

Коли клієнт оплачує продукт або послугу кредитною карткою, кошти спочатку переводяться на мерчант рахунок, а звідти переводяться на рахунок в банку. Перекази на бізнес рахунок зазвичай здійснюються за певним графіком. 

Як правило, при проведенні оплат через інтернет для користувача передбачена можливість повернення грошових коштів. Подібні вимоги повернення не завжди можуть бути законними. Саме шахрайських дій і побоюються багато мерчантів.

Refund і chargeback

Давайте для початку розберемося, яка різниця між такими видами повернення платежів, як рефандов (refund) і чарджбек (chargeback). З точки зору звичайного користувача різниця між чарджбек, поворотним платежем, і рефандов, поверненням, ініційованим мерчантом, може здатися не принциповою. Суть цих операцій одна — з рахунку мерчанта списується сума, яку заплатив клієнт і повертається йому назад на карту. Різниця лише полягає в тому, хто приймає рішення про повернення грошей. 

Рефанд ініціюється клієнтом і направляється мерчанту зазвичай шляхом звернення в службу підтримки. Рефандов можливий лише за згодою мерчанта. 

Це загальноприйнята практика, коли клієнт при наявності законної проблеми з товаром або транзакцією просить повернути йому гроші. 

А ось чарджбек, хоч і також ініціюються клієнтом, але суперечка передається банку-емітенту, а не мерчанту, і емітент карти буде вирішувати, чи було повернення платежу законним чи ні, і чи будуть гроші відшкодовані клієнту. Простіше кажучи, чарджбек — це форма захисту клієнтів, яка дозволяє клієнтам подавати спір проти певної компанії (мерчанта) в банк-емітент в результаті нерозпізнаної виписки на їх банківському рахунку. 

До функції чарджбека часто вдаються, коли неможливо домовитися з компанією щодо повернення покупки або грошей за неї, коли сума транзакції була змінена компанією без попередження клієнта або коли транзакція біла проведена кілька разів. Список прикладів може бути значним. 

Оскільки розв’язання приватної проблеми передається сторонньому органу, чарджбек є не тільки дорогими для бізнесу, але і може завдати великої шкоди компанії. Фактично, наявність великої кількості чарджбеків (понад 1% від усіх транзакцій) може навіть призвести до припинення дії вашого мерчант-рахунку, а в деяких випадках наслідки можуть бути більш серйозними: бенефіціари та директора мерчанта можуть бути заблоковані у всій банківській системі на кілька років. 

Важливо відзначити, що існує два типи чарджбеків: законні і шахрайські. Законні чарджбеки є результатом безуспішно вирішеного питання про повернення грошей між мерчантом і клієнтом, коли мерчант не хотів повертати гроші, через що клієнт запросив зворотний платіж у свого банку. 

Однак, в останнє десятиліття компанії спостерігають зростання числа чарджбеків в рамках Friendly Fraud: клієнт робить покупку, використовує продукт або послугу, і оскаржує транзакцію, стверджуючи, що не визнає її в банківській виписці. Втрати від таких шахрайських дій обходяться мерчантам у мільярди доларів щороку. 

Іноді рефанди і чарджбеки можуть бути ініційовані клієнтом одночасно, і це теж можна розглядати в призмі шахрайства. Наприклад, клієнт робить запит на рефанд мерчанту і одночасно на чарджбек своєму банку. Компанія стверджує рефанд, не знаючи, що клієнт направив ще й запит на чарджбек, і банк-емітент списує з компанії гроші вдруге. 

Протидія шахрайству

Все більше мерчантів горять бажанням запобігти або оскаржити подібні дії користувачів, на базі чого розвинулася ціла індустрія послуг з аналізу чарджбеків, їх оспорювання з банками-емітентами (chargeback representment) і запобігання шахрайства (fraud prevention). 

Шахраї підлаштовуються під сучасні реалії, тому однією зі скрутних ситуацій для бізнесу може стати ситуація, коли клієнт просить мерчанта зробити повернення грошей і також просить видалити всю інформацію про нього. Такий запит насторожує компанії, і у них виникають закономірні питання: чи повинні ми це робити, і якщо так, то в який термін дані повинні бути видалені. 

Право на запит про видалення інформації існує на просторах Європейського Союзу і було закріплено зовсім недавно в 2018 році в статті 17 Загального регламенту щодо захисту даних (General Data Protection Regulation, “GDPR”). У документі таке право називається право «бути забутим», що означає, що клієнт має право попросити про видалення всієї персональної інформації, наявної про нього у компанії. 

Таке право поширюється на всіх клієнтів з Євросоюзу, а також на всіх клієнтів по всьому світу, якщо компанія зареєстрована в Євросоюзі або має там своє представництво. 

Судові справи

Одну з перших судових справ щодо захисту цього права виграв іспанець Маріо Костех Гонзалес проти компанії Google Spain, концерну Google Inc. і видавця газети La Vanguardia в Суді ЄС. Іспанець домігся того, щоб пошуковик не видавав у відповідь на запит, що містить його ім’я, посилання на сторінки газети з інформацією про те, що земельна ділянка Гонзалеса була колись продана за борги. 

Жартувати з захистом персональних даних не варто. Кілька великих компаній вже встигли отримати значні штрафи. Наприклад, французький концерн Google був оштрафований на 50 мільйонів євро, H&M – шведський конгломерат роздрібної торгівлі був оштрафований на понад 35 мільйонів євро. Якщо для великих компаній навіть такі штрафи не стануть критичними для їх існування, то для більш маленьких компаній, особливо стартапів, великий штраф може завдати значний фінансовий і репутаційний збиток. 

Видалення інформації про клієнтів

Найчастіше виникає питання – в який термін інформація про клієнтів повинна бути видалена? Загальний регламент щодо захисту даних передбачає термін у 1 місяць (30 календарних днів) для реалізації запиту клієнта (секція 59). Більш того, компанія повинна задовольнити запит клієнта безкоштовно. 

Як правило, компанії перевіряють запити про повернення грошових коштів на предмет шахрайства, що може зайняти деякий час. На практиці може статися ситуація, коли компанія не вкладається в зазначений термін. Що ж робити тоді? Готуватися до позову і оплаті великого штрафу? 

Ні, не обов’язково готуватися до найгіршого, бо в кожному правилі є свої винятки. У Загальному Регламенті щодо захисту даних передбачені винятки, коли інформація про клієнта може бути не видалена в місячний термін. Ви можете зберігати дані у випадках, якщо повинні дотримуватися юридичних зобов’язань, пов’язаних з цими даними, і, якщо це необхідно для ініціювання судового позову або для захисту в суді. Існує ще кілька винятків, але саме ці два можна найчастіше застосувати на практиці. 

Говорячи простою мовою, компанія може не видаляти інформацію про клієнта, поки не проведе перевірку за його запитом про повернення грошових коштів і поки не прийме рішення про повернення. Але відразу після цього особисті дані користувача повинні бути видалені. 

Компанія може також видалити тільки частину інформації, яка не належать до запиту про повернення грошей. У будь-якому випадку, при отриманні запиту клієнта про видалення його особистих даних, слід проінформувати його про ваші подальші дії. Ви можете дати йому знати, що видалите інформацію про нього, як тільки розгляньте його запит про повернення грошей або ж, що видалите тільки частину інформації про нього, яка не потрібна для розгляду його запиту, а решта інформації буде видалена вами після розгляду запиту клієнта про повернення. 

Більш того, право на видалення інформації не є абсолютним. Згідно Загального Регламенту, компанія може зберігати дані клієнтів тільки поки це необхідно для надання послуг або виконання юридичних зобов’язань. Тому навіть при виникненні ситуації, коли клієнт просить вас видалити інформацію про нього, після скоєння якоїсь підозрілої транзакції, ви можете проінформувати його, що дані про нього будуть видалені, як тільки вони перестануть бути необхідними для здійснення вами функцій. Якщо у вас є підозри, що клієнт запитує видалення інформації для того, щоб потім запросити чарджбек в шахрайських цілях, то головне – проінформувати свого клієнта, що ви дотримуєтеся правил Спільного Регламенту щодо захисту даних, і виконайте запит клієнта на видалення інформації, як тільки виключення, описані в статті 17 Загального Регламенту, перестануть застосовуватися до клієнта. 

Щоб не опинитися в скрутній ситуації, компаніям слід знати свої права і обов’язки, а також мати план дій в таких неоднозначних ситуаціях.

Редакція може не поділяти думки авторів у розділі «блоги».