Ochrana dat zákazníků e-commerce: soulad s GDPR

Úvod

Ochrana zákaznických dat představuje hlavní strategickou otázku pro každého hráče elektronického obchodu. Od 25. května 2018, kdy vstoupilo v platnost obecné nařízení o ochraně osobních údajů (GDPR), musí weby obchodníků, mobilní prodejní aplikace a tržiště dodržovat přísný právní rámec pod sankcí sankcí až 20 milionů eur nebo 4 % ročního celosvětového obratu. Kromě regulačních omezení představuje soulad s GDPR skutečnou páku důvěry zákazníků: 87 % evropských spotřebitelů říká, že nenakoupí na webu, kde pochybují o zabezpečení dat. Tento pilířový článek podrobně popisuje konkrétní povinnosti elektronických prodejců, pokud jde o souhlas, soubory cookie, zpravodaje a zabezpečení platebních údajů.

Souhlas: základní kámen souladu s GDPR

Souhlas představuje jeden ze šesti právních základů zpracování stanovených v článku 6 GDPR. Aby byla platná, musí splňovat čtyři kumulativní kritéria definovaná v článku 7: být svobodná, konkrétní, informovaná a jednoznačná. V kontextu elektronického obchodu to znamená, že uživatel internetu nemůže mít svůj souhlas podmíněn koupí produktu (princip svobody), a že musí mít možnost udělit souhlas s každým účelem zvlášť (marketingové profilování, sdílení s partnery, newsletter atd.).

CNIL od roku 2020 výrazně posílila své požadavky svými pokyny pro soubory cookie a sledovače. Tlačítko „Přijmout vše“ musí být nyní doplněno tlačítkem „Odmítnout vše“ s rovnocennou dostupností a viditelností. Předem zaškrtnutá políčka jsou přísně zakázána (rozsudek SDEU Planet49, 1. října 2019). E-obchodníci si také musí po dobu zpracování uchovat doklad o souhlasu opatřený časovým razítkem a umožnit odvolání stejně jednoduše jako původní udělení.

Správa souborů cookie a sledovačů na stránkách obchodníků

Stránky elektronického obchodu používají v průměru 40 až 60 souborů cookie třetích stran: analýzy, retargeting reklamy, sociální sítě, chatboti, A/B testování. Článek 82 novelizovaného zákona o ochraně osobních údajů vyžaduje předchozí souhlas pro jakýkoli sledovač, který není nezbytně nutný pro provoz služby. Výjimkou jsou pouze soubory cookie nákupního košíku, autentizační relace a vyrovnávání zatížení.

Nastavení vyhovující platformy pro správu souhlasu (CMP) se stalo zásadní. Musí umožnit návštěvníkovi, aby byl podrobný ve svých volbách: přijetí podle účelu (měření publika, personalizace, cílená reklama) a podle příjemce. Sankce prší: Google (150 milionů EUR), Amazon (35 milionů EUR), Facebook (60 milionů EUR) v roce 2022 za to, že chybí tlačítko pro odmítnutí, které je stejně dostupné jako tlačítko pro přijetí.

Newsletter a komerční vyhledávání: přísné přihlášení

Zasílání newsletterů a propagačních e-mailů spadá pod článek L.34-5 Kodexu poštovních a elektronických komunikací, který transponuje směrnici o soukromí a elektronických komunikacích. Principem je výslovná předchozí opt-in pro jednotlivé potenciální zákazníky (B2C). Pozoruhodná výjimka existuje pro zákazníky, kteří již provedli nákup: vyhledávání je povoleno pro podobné produkty nebo služby za předpokladu, že byli informováni během vyzvednutí a mohou vznést námitky proti každé zásilce.

Konkrétně políčko „Chci dostávat obchodní nabídky od [značky]“ musí být ve výchozím nastavení nezaškrtnuté a musí být odlišné od přijetí VOP. Každý e-mail musí obsahovat funkční odkaz pro odhlášení jedním kliknutím, identitu odesílatele a platnou kontaktní adresu.

Zabezpečení platebních údajů

Zpracování bankovních údajů spadá jak pod GDPR (článek 32 o bezpečnosti), tak pod standard PCI-DSS (Payment Card Industry Data Security Standard). Elektroní obchodníci by měli upřednostňovat tokenizaci prostřednictvím poskytovatele platebních služeb s certifikací PCI-DSS úrovně 1 (PSP), čímž se vyhnou přímému ukládání čísel karet. Silná autentizace (3D Secure v2) je povinná od 15. května 2021 v rámci aplikace směrnice DSP2.

Uchovávání vizuálního kryptogramu (CVV) je po transakci přísně zakázáno. Čísla karet lze uchovávat pouze s výslovným souhlasem pro usnadnění následných nákupů (rozprava CNIL č. 2018-303).

Závěr

Soulad s GDPR v elektronickém obchodování není jen právní kontrolní seznam: strukturuje celý digitální vztah se zákazníkem. Mezi granulárním souhlasem, správou souborů cookie, přísným vyhledáváním a bezpečnými platbami musí e-prodejci při navrhování svých cest přijmout přístup „ochrana soukromí již od návrhu“. Tento přístup, který zdaleka není komerční překážkou, se stává odlišujícím argumentem na trhu, kde digitální důvěra podmiňuje míru konverze a loajalitu.