Checklist tuân thủ luật EU cho merchant Shopify (2026)
Bản EU compliance checklist Shopify thực chiến cho năm 2026, bao quát GDPR, EAA, GPSR, Omnibus, DSA, VAT OSS/IOSS, EPR bao bì, quyền rút lui 14 ngày và quy định hải quan mới của EU.
Trước đây, bán hàng vào EU gần như chỉ cần lo mỗi GDPR. Giờ thì khác. Từ cuối 2024 đến giữa 2025, hai đạo luật lớn — GPSR và European Accessibility Act — đã chuyển từ trạng thái "sắp có hiệu lực" sang thực thi đầy đủ, cộng thêm cả loạt quy định cũ hơn (quyền rút lui 14 ngày, Omnibus, DSA, VAT OSS/IOSS) mà cơ quan quản lý đang tích cực kiểm tra. Và 2026 còn thêm deadline của riêng nó: mức miễn thuế hải quan €150 đã biến mất từ 01/07, và quy định bao bì mới bắt đầu áp dụng từ 12/08. Nếu bạn vận hành một cửa hàng Shopify, đó đã là một danh sách việc đáng gờm. Nếu bạn vận hành năm hay mười cửa hàng, khối lượng đó nhân lên tương ứng. Bài viết này là trạm trung tâm: tóm tắt ngắn gọn và trung thực từng đạo luật, ý nghĩa của nó với storefront của bạn, và đường dẫn để đọc sâu hơn.
Vì sao 2026 là năm dồn dập deadline với người bán vào EU
Nhìn vào dòng thời gian là hiểu ngay áp lực. Quyền rút lui 14 ngày theo Consumer Rights Directive áp dụng từ 13/06/2014, GDPR từ 25/05/2018, cơ chế thuế OSS/IOSS từ 01/07/2021, và quy tắc hiển thị giá khuyến mãi của Omnibus Directive từ 28/05/2022. Sau đó nhịp độ tăng tốc: Digital Services Act (DSA) áp dụng đầy đủ từ 17/02/2024, Google bắt buộc Consent Mode v2 cho cá nhân hóa quảng cáo trong khu vực EEA từ tháng 3/2024, General Product Safety Regulation (GPSR) áp dụng từ 13/12/2024, và European Accessibility Act (EAA) có hiệu lực áp dụng từ 28/06/2025. Danh sách vẫn tiếp tục dài ra trong 2026: từ 01/07, EU xóa bỏ mức miễn thuế hải quan €150 cho kiện hàng nhập khẩu, và Packaging and Packaging Waste Regulation (PPWR) mới bắt đầu áp dụng từ 12/08.
Điều đó có nghĩa là 2026 là năm đầu tiên tất cả các quy định này cùng lúc có hiệu lực — và cũng là năm đầu tiên tâm thế mặc định của cơ quan quản lý là thực thi, chứ không còn là giai đoạn chuyển tiếp. Những merchant coi 2025 là "thời gian ân hạn" giờ chính là những người đang nhận thư cảnh báo. Tin tốt là: phần lớn nghĩa vụ đều có thể checklist hóa. Và đây là checklist đó.
EU compliance checklist Shopify: bảng tổng hợp nhanh
| Đạo luật | Hiệu lực từ | Việc bạn phải làm | Đọc thêm |
|---|---|---|---|
| Quyền rút lui (Consumer Rights Directive) | 13/06/2014 | Quyền trả hàng 14 ngày không cần lý do; thông báo quyền rút lui + mẫu withdrawal form trong policy | Có trong bài này |
| GDPR + cookie consent | 25/05/2018 | Banner consent chặn tracker không thiết yếu, privacy policy, Consent Mode v2 | Hướng dẫn GDPR cookie consent |
| VAT OSS/IOSS | 01/07/2021 | Đăng ký OSS (bán nội khối EU) và/hoặc IOSS (hàng nhập ≤ €150), thu VAT theo nước người mua | Hướng dẫn VAT OSS/IOSS |
| Omnibus (hiển thị giá) | 28/05/2022 | Hiển thị giá thấp nhất trong 30 ngày trước đó khi giảm giá | Hướng dẫn hiển thị giá Omnibus |
| DSA | 17/02/2024 (áp dụng đầy đủ) | Cung cấp thông tin trader nếu bán qua marketplace; nghĩa vụ minh bạch với nền tảng | Hướng dẫn DSA traceability |
| GPSR | 13/12/2024 | Responsible person tại EU, thông tin an toàn và liên hệ nhà sản xuất trên mọi listing | Hướng dẫn GPSR |
| EAA | 28/06/2025 | Storefront và checkout tiếp cận được (chuẩn EN 301 549 / dựa trên WCAG) | Hướng dẫn EAA cho Shopify |
| Thuế hải quan kiện hàng nhỏ | 01/07/2026 | Bỏ miễn thuế €150; thuế phẳng €3 mỗi loại hàng cho kiện nhập qua IOSS | Hướng dẫn VAT OSS/IOSS |
| EPR bao bì + PPWR | Theo từng quốc gia; PPWR áp dụng từ 12/08/2026 | Đăng ký chương trình EPR bao bì ở các nước bạn giao hàng đến; đáp ứng quy tắc bao bì PPWR | Hướng dẫn EPR bao bì |
Hãy lưu lại bảng này, rồi xử lý từng mục bên dưới theo thứ tự phù hợp với mức độ rủi ro của bạn (cuối bài có gợi ý thứ tự ưu tiên).
Quyền rút lui và mẫu EU withdrawal form
Nghĩa vụ lâu đời nhất trong danh sách này cũng là nghĩa vụ mà seller ngoài EU hay bỏ sót nhất. Theo Consumer Rights Directive (2011/83/EU), áp dụng từ 13/06/2014, người tiêu dùng EU có quyền rút khỏi giao dịch mua hàng từ xa trong vòng 14 ngày kể từ khi nhận hàng, không cần đưa ra bất kỳ lý do nào. Bạn phải thông báo cho họ về quyền này trước khi họ đặt hàng, và phải cung cấp mẫu withdrawal form chuẩn theo Annex I(B) của directive — một lá đơn ngắn khách có thể dùng để hủy đơn. Khách không bắt buộc dùng mẫu này, nhưng bạn bắt buộc phải đưa nó ra.
Hình phạt cho việc bỏ sót đơn giản đến tàn nhẫn: nếu bạn không thông báo về quyền rút lui, thời hạn 14 ngày tự động kéo dài thành 12 tháng cộng 14 ngày. Ở Đức, thiếu Widerrufsbelehrung còn là mồi kinh điển cho thư cảnh cáo từ các law firm (Abmahnung). Khi khách rút lui, bạn hoàn tiền trong 14 ngày, bao gồm cả phí ship chiều đi loại tiêu chuẩn rẻ nhất. Các ngoại lệ đáng nhớ: hàng làm theo yêu cầu riêng của khách (print-on-demand!), hàng dễ hỏng, sản phẩm vệ sinh đã mở seal, và nội dung số sau khi bắt đầu tải với sự đồng ý của khách.
Việc cần làm: thêm thông báo quyền rút lui và mẫu withdrawal form vào trang refund policy (phần cài đặt policy của Shopify hỗ trợ việc này), dẫn link từ footer, và nêu rõ các ngoại lệ áp dụng cho danh mục hàng của bạn. Đây là một template pháp lý làm một lần — nghĩa là trên hệ thống đa store, đó là một tài liệu triển khai N lần, chứ không phải N lần soạn thảo riêng.
GDPR và cookie consent
GDPR là mục lâu đời nhất trong danh sách và vẫn là quy định bị xử phạt thường xuyên nhất. Với một storefront Shopify, cốt lõi thực tế nằm ở consent: cookie và script tracking không thiết yếu (Meta Pixel, TikTok, analytics) không được phép chạy với khách truy cập từ EU trước khi họ đồng ý, và nút "từ chối" phải dễ bấm ngang nút "đồng ý". Từ tháng 3/2024, Google còn yêu cầu tín hiệu Consent Mode v2 nếu bạn muốn chạy cá nhân hóa quảng cáo và đo lường chuyển đổi chuẩn xác trong EEA — thiếu nó, dữ liệu Google Ads của bạn âm thầm suy giảm.
Việc cần làm: triển khai một nền tảng quản lý consent tích hợp với Customer Privacy API của Shopify, kiểm tra chắc chắn không tracker nào chạy trước khi có consent, cập nhật privacy policy và bật Consent Mode v2. Hướng dẫn đầy đủ nằm trong bài GDPR cookie consent cho Shopify.
European Accessibility Act (EAA)
EAA (Directive 2019/882) áp dụng từ 28/06/2025 và nêu rõ dịch vụ thương mại điện tử nằm trong phạm vi điều chỉnh. Trong thực tế, điều đó có nghĩa là storefront của bạn — trang sản phẩm, giỏ hàng, checkout, luồng tài khoản — phải sử dụng được với người khuyết tật, với chuẩn tham chiếu là EN 301 549 (xây dựng trên WCAG). Doanh nghiệp siêu nhỏ cung cấp dịch vụ (dưới 10 nhân sự và doanh thu dưới €2 triệu) được miễn trừ, nhưng hãy đối chiếu văn bản gốc và luật nội địa hóa của từng nước trước khi dựa vào điều khoản này.
Việc cần làm: audit theme của bạn về điều hướng bàn phím, độ tương phản, alt text, label cho form và trạng thái focus; sửa checkout trước tiên vì đó là luồng rủi ro cao nhất. Bài hướng dẫn European Accessibility Act cho Shopify chia nhỏ quy trình audit thành các bước cụ thể.
GPSR — an toàn sản phẩm
General Product Safety Regulation (Regulation (EU) 2023/988) áp dụng từ 13/12/2024. Quy định này yêu cầu phần lớn sản phẩm tiêu dùng phi thực phẩm bán vào EU phải có một economic operator ("responsible person") đặt tại EU, và listing phải hiển thị danh tính nhà sản xuất, thông tin liên hệ, cùng thông tin định danh và an toàn của sản phẩm. Nhóm chịu tác động nặng nhất là dropshipper và các thương hiệu ngoài EU, vì nhiều bên hoàn toàn không có pháp nhân nào tại EU.
Việc cần làm: chỉ định một responsible person tại EU (hoặc thuê dịch vụ authorised representative), sau đó bổ sung thông tin nhà sản xuất và an toàn bắt buộc vào từng trang sản phẩm — thường qua metafield để dễ nhân rộng. Xem hướng dẫn GPSR cho merchant Shopify để nắm cách triển khai.
Omnibus — quy tắc hiển thị giá khuyến mãi
Quy tắc về giá của Omnibus Directive áp dụng từ 28/05/2022: mỗi khi bạn công bố giảm giá, bạn phải hiển thị mức giá thấp nhất của sản phẩm trong 30 ngày trước đợt giảm. "Giá cũ €49, nay chỉ €29" chỉ hợp pháp nếu €49 thực sự là giá thấp nhất trong khung 30 ngày đó — chiêu đẩy giá tham chiếu lên ngay trước đợt sale chính là thứ quy định này nhắm tới. Cơ quan bảo vệ người tiêu dùng các nước đã và đang xử phạt mạnh tay, đặc biệt quanh mùa Black Friday.
Việc cần làm: đảm bảo phần hiển thị giá sale trên theme cho thấy giá thấp nhất 30 ngày trước, lưu lịch sử giá, và rà soát mọi ứng dụng giảm giá bạn đang dùng — nhiều app được viết trước khi quy định này ra đời và mặc định hiển thị giá "compare at" gây hiểu lầm. Cách sửa ở tầng theme có trong hướng dẫn hiển thị giá Omnibus.
DSA — truy xuất thông tin trader
Digital Services Act áp dụng đầy đủ từ 17/02/2024. Một cửa hàng Shopify thông thường bán sản phẩm của chính mình nhìn chung không phải là "online platform" theo DSA, nên các nghĩa vụ nặng nhất không áp trực tiếp lên bạn. Nhưng nếu bạn bán qua marketplace (Amazon, Etsy, Zalando), các nền tảng đó buộc phải thu thập và xác minh thông tin trader của bạn — tên, địa chỉ, đăng ký kinh doanh, tài khoản ngân hàng — và sẽ tạm ngưng listing nếu bạn không cung cấp. Còn nếu cửa hàng của bạn cho phép bên bán thứ ba giao dịch với người mua, bạn có thể tự rơi vào phạm vi "nền tảng"; hãy đối chiếu văn bản gốc nếu đó là mô hình của bạn.
Việc cần làm: giữ thông tin trader đầy đủ và nhất quán trên mọi tài khoản marketplace, đồng thời công khai thông tin liên hệ rõ ràng trên chính cửa hàng của bạn — việc này vốn dĩ trùng với yêu cầu của GPSR. Chi tiết trong hướng dẫn DSA trader traceability.
VAT OSS/IOSS
Từ 01/07/2021, ngưỡng bán hàng từ xa toàn EU là €10.000 mỗi năm: vượt ngưỡng này, bạn phải thu VAT theo thuế suất của nước người mua. Cơ chế One Stop Shop (OSS) cho phép bạn kê khai toàn bộ doanh số B2C nội khối EU qua một tờ khai hàng quý duy nhất, thay vì đăng ký thuế ở từng quốc gia thành viên. Với hàng gửi từ ngoài EU trong kiện có giá trị đến €150, Import One Stop Shop (IOSS) cho phép thu VAT ngay tại checkout để khách không bị bất ngờ với phí phát sinh lúc nhận hàng.
Một thay đổi lớn vừa có hiệu lực ngày 01/07/2026: mức miễn thuế hải quan €150 cho kiện hàng nhập vào EU đã bị xóa bỏ. Thay vào đó là mức thuế phẳng chuyển tiếp €3 cho mỗi loại hàng (theo tariff sub-heading) áp lên các kiện IOSS giá trị đến €150 — kiện chứa ba loại sản phẩm khác nhau sẽ chịu €9 — kéo dài đến 01/07/2028 khi Customs Data Hub của EU vận hành và thuế tính theo biểu thuế thông thường thay thế. EU còn đang đề xuất thêm một khoản handling fee riêng cho kiện hàng giá trị thấp. Nếu bạn dropship hoặc fulfill đơn EU từ ngoài khối, bài toán landed cost và thông điệp hiển thị ở checkout cần cập nhật ngay.
Việc cần làm: đăng ký OSS (và IOSS nếu bạn gửi hàng từ ngoài EU), cấu hình phần thuế trong Shopify để thu VAT theo nước đích, tính khoản thuế €3/loại hàng vào giá bán cho kiện nhập khẩu, và đối soát tờ khai hàng quý với dữ liệu thực tế của cửa hàng. Xem thêm cách cấu hình và các lỗi thường gặp trong hướng dẫn VAT OSS/IOSS.
EPR — trách nhiệm với bao bì
Extended Producer Responsibility (EPR) nghĩa là bên đầu tiên đưa sản phẩm có bao bì ra thị trường của một quốc gia phải trả chi phí xử lý bao bì đó khi hết vòng đời. Hiện tại, nghĩa vụ này vận hành qua hệ thống đăng ký của từng nước — LUCID của Đức là ví dụ nổi tiếng nhất, và giao hàng vào Đức mà chưa đăng ký có thể khiến listing của bạn bị chặn. Bên cạnh các chương trình quốc gia, Packaging and Packaging Waste Regulation mới (Regulation (EU) 2025/40) áp dụng từ 12/08/2026. Những yêu cầu đầu tiên "cắn" vào e-commerce: kiện hàng không được chứa quá 40% khoảng trống trừ khi bất khả kháng về kỹ thuật, và bao bì bạn đưa ra thị trường cần có declaration of conformity kèm hồ sơ kỹ thuật. Các quy tắc tiếp theo về tái sử dụng, hàm lượng tái chế và nhãn mác sẽ áp dụng dần từ 2027 đến 2030. Dệt may cũng đang xếp hàng chờ: Waste Framework Directive sửa đổi (hiệu lực từ tháng 10/2025) đưa EPR cho quần áo và giày dép thành bắt buộc trên toàn EU, các chương trình quốc gia dự kiến vận hành trong 2027–2028 — áp dụng cả với seller ngoài EU giao hàng thẳng đến người tiêu dùng.
Việc cần làm: liệt kê mọi nước EU bạn đang giao hàng đến, đăng ký chương trình EPR bao bì của từng nước (trực tiếp hoặc qua dịch vụ compliance), và báo cáo khối lượng bao bì đúng hạn. LUCID, Triman, WEEE và dệt may đều có trong hướng dẫn EPR bao bì.
Chi phí thật sự khi nhân lên nhiều cửa hàng
Đây là phần mà hầu hết các bài hướng dẫn compliance bỏ qua: mọi nghĩa vụ ở trên đều nhân theo số cửa hàng của bạn. Một app cookie consent giá €10–20 mỗi tháng nghe chấp nhận được trên một cửa hàng, nhưng thành khoản chi bốn chữ số mỗi năm trên mười cửa hàng. Tương tự với app accessibility, công cụ metafield cho GPSR, và báo giá agency tính theo từng storefront. Merchant đa cửa hàng rốt cuộc trả tiền cho cùng một bản sửa năm lần, mười lần, hai mươi lần — chúng tôi đã bóc tách bài toán này trong bài chi phí tuân thủ EU cho merchant đa cửa hàng.
Đây chính là chỗ StoreFleet chọn cách tiếp cận khác: thay vì thuê app theo từng cửa hàng mãi mãi, bạn thuê developer một lần duy nhất, sở hữu toàn bộ mã nguồn, và developer đó triển khai từng bản sửa compliance — banner consent, chỉnh sửa accessibility, trường sản phẩm GPSR, hiển thị giá theo Omnibus — trên tất cả cửa hàng Shopify của bạn cùng lúc. Một lần triển khai, mọi storefront, không phí đăng ký định kỳ theo từng cửa hàng. Nếu bạn đang so sánh mô hình này với cách chồng app, bài tổng hợp công cụ tốt nhất để quản lý nhiều cửa hàng Shopify sẽ cho thấy từng lựa chọn phù hợp ở đâu.
Bắt đầu từ đâu với EU compliance checklist Shopify: ưu tiên theo rủi ro
Nếu danh sách đầy đủ khiến bạn choáng ngợp, hãy xử lý theo mức độ rủi ro:
- GPSR — đang được thực thi ráo riết và listing không tuân thủ có thể bị gỡ khỏi kệ. Nếu bạn chưa có responsible person tại EU, sửa mục này trước tiên.
- GDPR và cookie consent — cơ chế xử phạt trưởng thành nhất, và lỗ hổng Consent Mode v2 cũng đang làm hao hụt hiệu quả quảng cáo của bạn ngay lúc này.
- Giá theo Omnibus — audit nhanh, sửa nhanh, và là mục tiêu ưa thích của cơ quan bảo vệ người tiêu dùng mỗi mùa sale.
- Quyền rút lui — bản sửa policy mười phút; thiếu mẫu withdrawal form là thời hạn trả hàng âm thầm kéo dài thành 12 tháng.
- Accessibility theo EAA — vừa bước vào giai đoạn thực thi, với những phán quyết tòa án đầu tiên nhắm vào retailer đã được tuyên; bắt đầu từ checkout rồi mở rộng dần.
- VAT OSS/IOSS, hải quan và EPR — thiên về thủ tục hành chính hơn là sửa storefront, nhưng 2026 chồng hai mốc cứng vào đây: thuế €3/kiện từ 01/07 và PPWR từ 12/08.
- DSA — chủ yếu là việc "giữ hồ sơ sạch" trên marketplace, trừ khi bạn vận hành một nền tảng.
Sau đó, hãy đọc các bài đi sâu được dẫn link ở trên cho từng đạo luật liên quan đến bạn — mỗi bài sẽ biến phần tóm tắt ở đây thành một kế hoạch triển khai cụ thể.
Xử lý cả checklist này trên nhiều cửa hàng cùng lúc chính xác là kiểu dự án mà StoreFleet sinh ra để giải quyết. Hãy đặt lịch demo 1-1 miễn phí ngay trên chính các cửa hàng Shopify của bạn — chúng tôi sẽ cùng bạn rà xem nghĩa vụ nào áp dụng cho mô hình của bạn, việc triển khai một lần cho tất cả cửa hàng trông ra sao trong thực tế, và giải đáp các câu hỏi riêng cho số lượng cửa hàng cùng thị trường của bạn.
Bài viết chỉ mang tính thông tin tham khảo, không phải tư vấn pháp lý. Hãy đối chiếu nguồn chính thức của EU hoặc chuyên gia tư vấn.