Verkkokaupan asiakastietojen suojaus: GDPR-vaatimustenmukaisuus

Johdanto

Asiakastietojen suojaaminen on tärkeä strateginen kysymys kaikille verkkokaupan toimijoille. Yleisen tietosuoja-asetuksen (GDPR) voimaantulosta 25. toukokuuta 2018 lähtien kauppiassivustojen, mobiilimyyntisovellusten ja markkinapaikkojen on noudatettava tiukkoja oikeudellisia puitteita, ja niistä voi aiheutua sanktioita, jotka ovat enintään 20 miljoonaa euroa tai 4 % vuotuisesta maailmanlaajuisesta liikevaihdosta. Sääntelyn rajoitusten lisäksi GDPR-vaatimustenmukaisuus on todellinen asiakkaiden luottamuksen vipu: 87 % eurooppalaisista kuluttajista sanoo, että he eivät osta sivustolta, jossa he epäilevät tietoturvaa. Tässä pilariartikkelissa kerrotaan verkkokauppiaiden konkreettisista velvoitteista suostumuksen, evästeiden, uutiskirjeiden ja maksutietojen turvallisuuden suhteen.

Suostumus: GDPR-vaatimustenmukaisuuden kulmakivi

Suostumus on yksi GDPR:n artiklan 6 mukaisesta kuudesta käsittelyn oikeusperustasta. Ollakseen pätevä sen on täytettävä neljä 7 artiklassa määriteltyä kumulatiivista kriteeriä: oltava vapaa, täsmällinen, tietoinen ja yksiselitteinen. Verkkokaupan yhteydessä tämä tarkoittaa sitä, että Internetin käyttäjän suostumus ei voi olla ehdolla tuotteen ostoon (vapausperiaate), vaan hänen on voitava antaa suostumus erikseen jokaiseen tarkoitukseen (markkinointiprofilointi, jakaminen kumppaneiden kanssa, uutiskirje jne.).

CNIL on tiukentanut vaatimuksiaan huomattavasti vuodesta 2020 lähtien evästeitä ja seurantaohjelmia koskevilla ohjeilla. Hyväksy kaikki -painikkeen rinnalla on nyt oltava "Hylkää kaikki" -painike, jolla on sama saavutettavuus ja näkyvyys. Valmiit ruudut ovat ehdottomasti kiellettyjä (CJEU Planet49 -tuomio, 1. lokakuuta 2019). Verkkokauppiaiden on myös säilytettävä aikaleimattu todiste suostumuksesta käsittelyn ajan ja sallittava peruuttaminen yhtä yksinkertaisesti kuin alkuperäinen lupa.

Kauppiassivustojen evästeiden ja seurantalaitteiden hallinta

Verkkokauppasivustot käyttävät keskimäärin 40–60 kolmannen osapuolen evästettä: analytiikka, mainosten uudelleenkohdistaminen, sosiaaliset verkostot, chatbotit, A/B-testaus. Muutetun tietosuojalain 82 § edellyttää ennakkosuostumusta kaikilta jäljittäjiltä, ​​jotka eivät ole ehdottoman välttämättömiä palvelun toiminnan kannalta. Vain ostoskori, todennusistunto ja kuormituksen tasapainotusevästeet ovat vapautettuja.

Yhteensopivan suostumuksenhallintaalustan (CMP) määrittäminen on tullut välttämättömäksi. Sen on annettava vierailijalle mahdollisuus tehdä tarkkoja valintoja: hyväksyntä tarkoituksen (yleisön mittaus, personointi, kohdennettu mainonta) ja vastaanottajan mukaan. Pakotteet ovat sataneet: Google (150 miljoonaa euroa), Amazon (35 miljoonaa euroa), Facebook (60 miljoonaa euroa) vuonna 2022, koska hylkäyspainike puuttuu yhtä hyvin kuin hyväksymispainike.

Uutiskirje ja kaupallinen etsintä: tiukka osallistuminen

Uutiskirjeiden ja myynninedistämissähköpostien lähettäminen kuuluu posti- ja sähköisen viestinnän säännöstön artiklan L.34-5 piiriin, jolla sähköisen viestinnän tietosuojadirektiivi saatetaan osaksi kansallista lainsäädäntöä. Periaate on nimenomainen ennakko-opt-in -periaate yksittäisille mahdollisille asiakkaille (B2C). Huomattava poikkeus on asiakkaille, jotka ovat jo tehneet ostoksen: samankaltaisten tuotteiden tai palveluiden etsintä on valtuutettu edellyttäen, että heille on ilmoitettu noudon aikana ja he voivat vastustaa jokaista lähetystä.

Käytännössä "Haluan saada kaupallisia tarjouksia [brändiltä]" -valintaruutua ei ole oletuksena valittu, ja se on erotettava käyttöehtojen hyväksymisestä. Jokaisessa sähköpostissa on oltava toimiva yhden napsautuksen peruutuslinkki, lähettäjän henkilöllisyys ja voimassa oleva yhteysosoite.

Maksutietojen suojaaminen

Pankkitietojen käsittely kuuluu sekä GDPR:n (turvallisuutta koskeva artikla 32) että PCI-DSS-standardin (Payment Card Industry Data Security Standard) piiriin. Verkkokauppiaiden tulisi suosia tokenointia PCI-DSS-tason 1 sertifioidun maksupalveluntarjoajan (PSP) kautta, jolloin vältetään korttinumeroiden suora tallennus. Vahva todennus (3D Secure v2) on ollut pakollinen 15.5.2021 lähtien DSP2-direktiivin mukaisesti.

Visuaalisen kryptogrammin (CVV) säilyttäminen on ehdottomasti kielletty tapahtuman jälkeen. Korttinumerot voidaan säilyttää vain nimenomaisella suostumuksella myöhempien ostosten helpottamiseksi (CNIL-päätös nro 2018-303).

Johtopäätös

GDPR-vaatimustenmukaisuus sähköisessä kaupankäynnissä ei ole vain lakisääteinen tarkistuslista: se jäsentää koko digitaalisen asiakassuhteen. Yksityiskohtaisen suostumuksen, evästeiden hallinnan, tiukan etsinnön ja turvallisten maksujen välillä sähköisten jälleenmyyjien on omaksuttava "sisäänrakennettu yksityisyys" -lähestymistapa suunniteltaessaan matkojaan. Tämä lähestymistapa ei suinkaan ole kaupallinen este, vaan siitä tulee erottava argumentti markkinoilla, joilla digitaalinen luottamus määrää muuntokurssin ja uskollisuuden.