Προστασία δεδομένων πελατών ηλεκτρονικού εμπορίου: συμμόρφωση με τον GDPR

Εισαγωγή

Η προστασία των δεδομένων των πελατών αποτελεί μείζον στρατηγικό ζήτημα για κάθε παίκτη ηλεκτρονικού εμπορίου. Από την έναρξη ισχύος του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) στις 25 Μαΐου 2018, οι ιστότοποι εμπόρων, οι εφαρμογές πωλήσεων για κινητά και οι αγορές πρέπει να σέβονται ένα αυστηρό νομικό πλαίσιο με κυρώσεις έως 20 εκατ. ευρώ ή 4% του ετήσιου παγκόσμιου τζίρου. Πέρα από τους ρυθμιστικούς περιορισμούς, η συμμόρφωση με τον GDPR αντιπροσωπεύει έναν πραγματικό μοχλό εμπιστοσύνης των πελατών: το 87% των ευρωπαίων καταναλωτών λέει ότι δεν θα αγοράσει από ιστότοπο όπου αμφιβάλλει για την ασφάλεια των δεδομένων. Αυτό το άρθρο του πυλώνα περιγράφει λεπτομερώς τις συγκεκριμένες υποχρεώσεις των ηλεκτρονικών εμπόρων λιανικής όσον αφορά τη συναίνεση, τα cookies, τα ενημερωτικά δελτία και την ασφάλεια των δεδομένων πληρωμής.

Συναίνεση: ακρογωνιαίος λίθος της συμμόρφωσης με τον GDPR

Η συγκατάθεση αποτελεί μία από τις έξι νομικές βάσεις για την επεξεργασία που προβλέπονται στο άρθρο 6 του GDPR. Για να είναι έγκυρο, πρέπει να πληροί τέσσερα σωρευτικά κριτήρια που ορίζονται στο άρθρο 7: να είναι ελεύθερο, συγκεκριμένο, ενημερωμένο και ξεκάθαρο. Στο πλαίσιο του ηλεκτρονικού εμπορίου, αυτό σημαίνει ότι ένας χρήστης του Διαδικτύου δεν μπορεί να έχει τη συγκατάθεσή του να εξαρτάται από την αγορά ενός προϊόντος (αρχή της ελευθερίας) και ότι πρέπει να μπορεί να συναινεί χωριστά για κάθε σκοπό (προφίλ μάρκετινγκ, κοινή χρήση με συνεργάτες, ενημερωτικό δελτίο κ.λπ.).

Το CNIL έχει ενισχύσει σημαντικά τις απαιτήσεις του από το 2020 με τις οδηγίες του για τα cookies και τους ιχνηλάτες. Το κουμπί "Αποδοχή όλων" πρέπει τώρα να συνοδεύεται από ένα κουμπί "Απόρριψη όλων" ισοδύναμης προσβασιμότητας και ορατότητας. Τα προεπιλεγμένα πλαίσια απαγορεύονται αυστηρά (απόφαση CJEU Planet49, 1 Οκτωβρίου 2019). Οι ηλεκτρονικοί έμποροι πρέπει επίσης να διατηρούν αποδεικτικό συγκατάθεσης με χρονική σφραγίδα για τη διάρκεια της επεξεργασίας και να επιτρέπουν την απόσυρση τόσο απλή όσο η αρχική επιχορήγηση.

Διαχείριση cookie και trackers σε ιστότοπους εμπόρων

Οι ιστότοποι ηλεκτρονικού εμπορίου χρησιμοποιούν κατά μέσο όρο 40 έως 60 cookie τρίτων: αναλυτικά στοιχεία, επαναστόχευση διαφημίσεων, κοινωνικά δίκτυα, chatbots, δοκιμές A/B. Το άρθρο 82 του τροποποιημένου νόμου περί προστασίας δεδομένων απαιτεί προηγούμενη συναίνεση για οποιονδήποτε ιχνηλάτη που δεν είναι απολύτως απαραίτητος για τη λειτουργία της υπηρεσίας. Εξαιρούνται μόνο το καλάθι αγορών, η περίοδος λειτουργίας ελέγχου ταυτότητας και τα cookie εξισορρόπησης φορτίου.

Η δημιουργία μιας συμβατής πλατφόρμας διαχείρισης συναίνεσης (CMP) έχει καταστεί απαραίτητη. Πρέπει να επιτρέπει στον επισκέπτη να είναι αναλυτικός στις επιλογές του: αποδοχή με βάση το σκοπό (μέτρηση κοινού, εξατομίκευση, στοχευμένη διαφήμιση) και από τον παραλήπτη. Οι κυρώσεις πέφτουν βροχή: Google (150 εκατ. ευρώ), Amazon (35 εκατ. ευρώ), Facebook (60 εκατ. ευρώ) το 2022 για την έλλειψη κουμπιού άρνησης τόσο προσβάσιμου όσο το κουμπί αποδοχής.

Ενημερωτικό δελτίο και εμπορική αναζήτηση: αυστηρή συμμετοχή

Η αποστολή ενημερωτικών δελτίων και προωθητικών μηνυμάτων ηλεκτρονικού ταχυδρομείου εμπίπτει στο άρθρο L.34-5 του Κώδικα Ταχυδρομικών και Ηλεκτρονικών Επικοινωνιών, που μεταφέρει την οδηγία για την προστασία της ιδιωτικής ζωής στο ηλεκτρονικό ταχυδρομείο. Η αρχή είναι αυτή της ρητής προηγούμενης συμμετοχής για μεμονωμένες προοπτικές (B2C). Υπάρχει μια αξιοσημείωτη εξαίρεση για πελάτες που έχουν ήδη πραγματοποιήσει μια αγορά: η αναζήτηση είναι εξουσιοδοτημένη για παρόμοια προϊόντα ή υπηρεσίες, υπό την προϋπόθεση ότι ενημερώθηκαν κατά την παραλαβή και μπορούν να αντιταχθούν σε κάθε αποστολή.

Πιο συγκεκριμένα, το πλαίσιο "Θα ήθελα να λαμβάνω εμπορικές προσφορές από [επωνυμία]" πρέπει να μην είναι επιλεγμένο από προεπιλογή και να διαφέρει από την αποδοχή των Όρων και Προϋποθέσεων. Κάθε email πρέπει να περιλαμβάνει έναν λειτουργικό σύνδεσμο κατάργησης εγγραφής με ένα κλικ, την ταυτότητα του αποστολέα και μια έγκυρη διεύθυνση επικοινωνίας.

Ασφάλεια δεδομένων πληρωμών

Η επεξεργασία των τραπεζικών δεδομένων εμπίπτει τόσο στο GDPR (άρθρο 32 για την ασφάλεια) όσο και στο πρότυπο PCI-DSS (Πρότυπο ασφάλειας δεδομένων βιομηχανίας καρτών πληρωμής). Οι ηλεκτρονικοί έμποροι θα πρέπει να προτιμούν το tokenization μέσω ενός πιστοποιημένου παρόχου υπηρεσιών πληρωμών επιπέδου 1 PCI-DSS (PSP), αποφεύγοντας έτσι την άμεση αποθήκευση αριθμών καρτών. Ο ισχυρός έλεγχος ταυτότητας (3D Secure v2) είναι υποχρεωτικός από τις 15 Μαΐου 2021 σε εφαρμογή της οδηγίας DSP2.

Η διατήρηση του οπτικού κρυπτογραφήματος (CVV) απαγορεύεται αυστηρά μετά τη συναλλαγή. Οι αριθμοί των καρτών μπορούν να διατηρηθούν μόνο με ρητή συγκατάθεση για τη διευκόλυνση των επόμενων αγορών (CNIL deliberation αρ. 2018-303).

Συμπέρασμα

Η συμμόρφωση με τον GDPR στο ηλεκτρονικό εμπόριο δεν είναι απλώς μια νομική λίστα ελέγχου: δομεί ολόκληρη την ψηφιακή σχέση πελατών. Μεταξύ της αναλυτικής συναίνεσης, της διαχείρισης cookie, της αυστηρότητας στην αναζήτηση και των ασφαλών πληρωμών, οι ηλεκτρονικοί έμποροι λιανικής πρέπει να υιοθετήσουν μια προσέγγιση «απόρρητο βάσει σχεδίου» όταν σχεδιάζουν τα ταξίδια τους. Αυτή η προσέγγιση, κάθε άλλο παρά εμπορικό εμπόδιο, γίνεται ένα διαφοροποιητικό επιχείρημα σε μια αγορά όπου η ψηφιακή εμπιστοσύνη ρυθμίζει το ποσοστό μετατροπής και την αφοσίωση.