Защита на данните на клиентите на електронната търговия: Съответствие с GDPR

Въведение

Защитата на клиентските данни представлява основен стратегически въпрос за всеки играч в електронната търговия. От влизането в сила на Общия регламент за защита на данните (GDPR) на 25 май 2018 г. сайтовете за търговци, приложенията за мобилни продажби и пазарите трябва да спазват строга правна рамка под санкции до 20 милиона евро или 4% от годишния глобален оборот. Отвъд регулаторните ограничения, съответствието с GDPR представлява истински лост за доверието на клиентите: 87% от европейските потребители казват, че няма да купуват от сайт, където се съмняват в сигурността на данните. Тази стълбова статия описва подробно конкретните задължения на електронните търговци на дребно по отношение на съгласието, бисквитките, бюлетините и сигурността на данните за плащане.

Съгласие: крайъгълен камък на спазването на GDPR

Съгласието представлява едно от шестте правни основания за обработка, предвидени в член 6 от GDPR. За да бъде валиден, той трябва да отговаря на четири кумулативни критерия, определени в член 7: да бъде безплатен, специфичен, информиран и недвусмислен. В контекста на електронната търговия това означава, че съгласието на интернет потребител не може да бъде обвързано с покупката на продукт (принцип на свобода) и че трябва да може да даде съгласие поотделно за всяка цел (маркетингово профилиране, споделяне с партньори, бюлетин и т.н.).

CNIL значително засили своите изисквания от 2020 г. насам със своите насоки относно бисквитките и тракерите. Бутонът „Приемане на всички“ вече трябва да бъде придружен от бутон „Отказ на всички“ с еквивалентна достъпност и видимост. Предварително поставените отметки са строго забранени (решение на Съда на ЕС Planet49, 1 октомври 2019 г.). Електронните търговци трябва също да запазят доказателство за съгласие с времеви печат за времетраенето на обработката и да позволяват теглене толкова просто, колкото първоначалното предоставяне.

Управление на бисквитки и тракери в сайтове на търговци

Сайтовете за електронна търговия използват средно 40 до 60 бисквитки на трети страни: анализи, пренасочване на реклами, социални мрежи, чатботове, A/B тестване. Член 82 от изменения Закон за защита на данните изисква предварително съгласие за всеки тракер, който не е строго необходим за работата на услугата. Само количката за пазаруване, сесията за удостоверяване и бисквитките за балансиране на натоварването са освободени.

Създаването на съвместима Платформа за управление на съгласие (CMP) стана изключително важно. Тя трябва да позволява на посетителя да бъде подробен в избора си: приемане по цел (измерване на аудитория, персонализиране, насочена реклама) и по получател. Санкциите валят: Google (150 милиона евро), Amazon (35 милиона евро), Facebook (60 милиона евро) през 2022 г. заради липсата на бутон за отказ, толкова достъпен като бутона за приемане.

Бюлетин и търговско търсене: стриктно включване

Изпращането на бюлетини и промоционални имейли попада под член L.34-5 от Кодекса за пощенски и електронни комуникации, транспониращ директивата за ePrivacy. Принципът е този на изрично предварително включване за индивидуални перспективи (B2C). Съществува забележително изключение за клиенти, които вече са направили покупка: търсенето е разрешено за подобни продукти или услуги, при условие че са били информирани по време на събирането и могат да възразят срещу всяка пратка.

По-конкретно, квадратчето „Бих искал да получавам търговски оферти от [марка]“ трябва да бъде премахнато по подразбиране и да се различава от приемането на T&Cs. Всеки имейл трябва да включва работеща връзка за отписване с едно кликване, самоличността на подателя и валиден адрес за контакт.

Защита на данните за плащане

Обработката на банкови данни попада както в обхвата на GDPR (член 32 относно сигурността), така и на стандарта PCI-DSS (Стандарт за сигурност на данните в сектора на разплащателните карти). Електронните търговци трябва да предпочитат токенизацията чрез PCI-DSS ниво 1 сертифициран доставчик на платежни услуги (PSP), като по този начин избягват директното съхранение на номера на карти. Силното удостоверяване (3D Secure v2) е задължително от 15 май 2021 г. в прилагането на директивата DSP2.

Запазването на визуалната криптограма (CVV) е строго забранено след транзакцията. Номерата на картите могат да се съхраняват само с изрично съгласие за улесняване на последващи покупки (CNIL обсъждане № 2018-303).

Заключение

Съответствието с GDPR в електронната търговия не е просто правен контролен списък: то структурира цялото цифрово взаимоотношение с клиента. Между детайлното съгласие, управлението на бисквитките, строгостта в търсенето и сигурните плащания, електронните търговци на дребно трябва да възприемат подход „поверителност още при проектирането“, когато проектират своите пътувания. Този подход, който далеч не е търговска пречка, се превръща в аргумент за разграничаване на пазар, където дигиталното доверие обуславя процента на реализация и лоялността.