E-kaubanduse klientide andmete kaitse: GDPR-i järgimine

Sissejuhatus

Kliendiandmete kaitse on iga e-kaubanduse mängija jaoks oluline strateegiline probleem. Alates isikuandmete kaitse üldmääruse (GDPR) jõustumisest 25. mail 2018 peavad kaupmehesaidid, mobiilsed müügirakendused ja turuplatsid järgima ranget õigusraamistikku, mille suhtes kohaldatakse sanktsioone kuni 20 miljoni euro ulatuses või 4% globaalsest aastakäibest. Lisaks regulatiivsetele piirangutele on GDPR-i järgimine tõeline klientide usalduse hoob: 87% Euroopa tarbijatest ütlevad, et nad ei osta saidilt, kus nad kahtlevad andmete turvalisuses. Selles sambaartiklis kirjeldatakse üksikasjalikult e-jaemüüjate konkreetseid kohustusi nõusoleku, küpsiste, uudiskirjade ja makseandmete turvalisuse osas.

Nõusolek: GDPR-i järgimise nurgakivi

Nõusolek on üks kuuest GDPR-i artiklis 6 sätestatud töötlemise õiguslikust alusest. Et see kehtiks, peab see vastama neljale artiklis 7 määratletud kumulatiivsele kriteeriumile: olema vaba, konkreetne, informeeritud ja üheselt mõistetav. E-kaubanduse kontekstis tähendab see, et internetikasutaja nõusolekut ei saa sõltuda toote ostmisest (vabaduse põhimõte) ning tal peab olema võimalik anda nõusolek iga eesmärgi (turundusprofiilide koostamine, partneritega jagamine, uudiskiri jne) jaoks eraldi.

CNIL on alates 2020. aastast küpsiseid ja jälgijaid käsitlevate juhistega märkimisväärselt tugevdanud oma nõudeid. Nupuga „Aktsepteeri kõik” peab nüüd kaasnema nupp „Keeldu kõigist”, mis on samaväärse juurdepääsetavuse ja nähtavusega. Eelnevalt märgitud ruudud on rangelt keelatud (Euroopa Kohtu otsus Planet49, 1. oktoober 2019). Samuti peavad e-kaupmehed säilitama ajatempliga kinnitatud nõusolekut tõendavat dokumenti kogu töötlemise ajaks ja võimaldama tagasivõtmist sama lihtsalt kui esmane toetus.

Küpsiste ja jälgijate haldamine kaupmeestesaitidel

E-kaubanduse saidid kasutavad keskmiselt 40–60 kolmanda osapoole küpsist: analüüs, reklaamide uuesti sihtimine, sotsiaalvõrgustikud, vestlusrobotid, A/B testimine. Muudetud andmekaitseseaduse artikkel 82 nõuab eelnevat nõusolekut iga jälgija jaoks, mis pole teenuse toimimiseks tingimata vajalik. Ainult ostukorv, autentimisseanss ja koormuse tasakaalustamise küpsised on vabastatud.

Ühilduva nõusolekuhaldusplatvormi (CMP) seadistamine on muutunud hädavajalikuks. See peab võimaldama külastajal olla oma valikutes granuleeritud: aktsepteerimine eesmärgi (vaatajaskonna mõõtmine, isikupärastamine, suunatud reklaam) ja saaja järgi. Sanktsioonid sajavad: Google (150 miljonit eurot), Amazon (35 miljonit eurot), Facebook (60 miljonit eurot) 2022. aastal, kuna puudub keeldumisnupp, mis on sama juurdepääsetav kui nõustumisnupp.

Uudiskirjad ja äriliste potentsiaalide otsimine: range lubamine

Uudiskirjade ja reklaammeilide saatmine kuulub posti- ja elektroonilise side koodeksi artikli L.34-5 alla, millega võetakse üle e-privaatsuse direktiiv. Põhimõte on selgesõnaline eelnev osalemine individuaalsete potentsiaalsete klientide jaoks (B2C). Märkimisväärne erand on klientide jaoks, kes on juba ostu sooritanud: sarnaste toodete või teenuste jaoks on müügiluba lubatud tingimusel, et neid teavitati kogumise ajal ja nad võivad iga saadetise suhtes vastu vaielda.

Täpsemalt, ruut „Soovin saada [brändilt] kommertspakkumisi” peab olema vaikimisi märkimata ja erinema tingimuste ja tingimuste aktsepteerimisest. Iga meil peab sisaldama toimivat ühe klõpsuga tellimuse tühistamise linki, saatja identiteeti ja kehtivat kontaktaadressi.

Makseandmete turvamine

Pangaandmete töötlemine kuulub nii GDPR-i (turvalisuse artikkel 32) kui ka PCI-DSS standardi (maksekaarditööstuse andmeturbe standard) alla. E-kaupmehed peaksid eelistama tokeniseerimist PCI-DSS 1. taseme sertifitseeritud makseteenuse pakkuja (PSP) kaudu, vältides sellega kaardinumbrite otsest salvestamist. Tugev autentimine (3D Secure v2) on DSP2 direktiivi kohaldamisel kohustuslik alates 15. maist 2021.

Visuaalse krüptogrammi (CVV) hoidmine on pärast tehingut rangelt keelatud. Kaardinumbreid saab alles hoida ainult selgesõnalisel nõusolekul, et hõlbustada hilisemaid oste (CNIL-i arutelu nr 2018-303).

Järeldus

GDPR-i järgimine e-kaubanduses ei ole ainult juriidiline kontrollnimekiri: see struktureerib kogu digitaalset kliendisuhet. Täpse nõusoleku, küpsiste haldamise, uuringute range ja turvaliste maksete vahel peavad e-jaemüüjad oma reiside kavandamisel järgima privaatsuse kavandatud lähenemisviisi. See lähenemisviis ei ole kaugeltki kaubanduslik takistus, vaid muutub eristavaks argumendiks turul, kus digitaalne usaldus määrab konversioonimäära ja lojaalsuse.