Zaštita podataka kupaca e-trgovine: usklađenost s GDPR-om

Uvod

Zaštita korisničkih podataka predstavlja glavno strateško pitanje za svakog igrača u e-trgovini. Od stupanja na snagu Opće uredbe o zaštiti podataka (GDPR) 25. svibnja 2018., trgovačke stranice, mobilne prodajne aplikacije i tržišta moraju poštivati ​​strogi pravni okvir pod kaznom do 20 milijuna eura ili 4% godišnjeg globalnog prometa. Osim regulatornog ograničenja, usklađenost s GDPR-om predstavlja stvarnu polugu povjerenja kupaca: 87% europskih potrošača kaže da neće kupovati na web-mjestu na kojem sumnjaju u sigurnost podataka. Ovaj članak o stupu detaljno opisuje konkretne obveze e-trgovaca u pogledu pristanka, kolačića, biltena i sigurnosti podataka o plaćanju.

Privola: kamen temeljac usklađenosti s GDPR-om

Privola predstavlja jednu od šest pravnih osnova za obradu predviđenih člankom 6. GDPR-a. Da bi bio valjan, mora zadovoljiti četiri kumulativna kriterija definirana u članku 7.: biti besplatan, specifičan, informiran i nedvosmislen. U kontekstu e-trgovine to znači da korisnik interneta ne može svoju privolu uvjetovati kupnjom proizvoda (načelo slobode), te da mora imati mogućnost pristanka zasebno za svaku svrhu (marketinško profiliranje, dijeljenje s partnerima, newsletter i sl.).

CNIL je znatno pojačao svoje zahtjeve od 2020. sa svojim smjernicama o kolačićima i trackerima. Gumb "Prihvati sve" sada mora biti popraćen gumbom "Odbij sve" jednakog pristupa i vidljivosti. Unaprijed označeni okviri strogo su zabranjeni (presuda CJEU Planet49, 1. listopada 2019.). E-trgovci također moraju zadržati dokaz privole s vremenskim žigom za vrijeme trajanja obrade i dopustiti povlačenje jednako jednostavno kao prvo odobrenje.

Upravljanje kolačićima i trackerima na trgovačkim stranicama

Web-mjesta za e-trgovinu koriste u prosjeku 40 do 60 kolačića trećih strana: analitika, oglašavanje ponovnog ciljanja, društvene mreže, chatbotovi, A/B testiranje. Članak 82. izmijenjenog Zakona o zaštiti podataka zahtijeva prethodnu suglasnost za svaki tracker koji nije striktno potreban za rad usluge. Izuzeti su samo kolačići za košaricu, sesiju provjere autentičnosti i kolačiće za uravnoteženje opterećenja.

Postavljanje usklađene platforme za upravljanje pristankom (CMP) postalo je bitno. Mora dopustiti posjetitelju da bude detaljan u svojim izborima: prihvaćanje prema svrsi (mjerenje publike, personalizacija, ciljano oglašavanje) i prema primatelju. Sankcije pljušte: Google (150 milijuna eura), Amazon (35 milijuna eura), Facebook (60 milijuna eura) 2022. zbog nedostatka gumba za odbijanje koji bi bio dostupan kao gumb za prihvaćanje.

Newsletter i komercijalno traženje: rigorozna prijava

Slanje newslettera i promotivne e-pošte potpada pod članak L.34-5 Zakonika o poštanskim i elektroničkim komunikacijama, kojim se prenosi Direktiva o e-privatnosti. Načelo je izričitog prethodnog uključivanja za pojedinačne izglede (B2C). Značajna iznimka postoji za kupce koji su već obavili kupnju: traženje je ovlašteno za slične proizvode ili usluge, pod uvjetom da su bili obaviješteni tijekom preuzimanja i mogu prigovoriti svakoj pošiljci.

Konkretno, kućica "Želio bih primati komercijalne ponude od [brand]" mora biti poništena prema zadanim postavkama i mora se razlikovati od prihvaćanja U&U. Svaka e-pošta mora sadržavati funkcionalnu poveznicu za otkazivanje pretplate jednim klikom, identitet pošiljatelja i valjanu kontakt adresu.

Osiguranje podataka o plaćanju

Obrada bankovnih podataka potpada pod GDPR (članak 32 o sigurnosti) i PCI-DSS standard (Payment Card Industry Data Security Standard). E-trgovci bi trebali favorizirati tokenizaciju putem PCI-DSS razine 1 certificiranog pružatelja usluga plaćanja (PSP), čime se izbjegava izravno pohranjivanje brojeva kartica. Snažna autentifikacija (3D Secure v2) obavezna je od 15. svibnja 2021. u primjeni DSP2 direktive.

Nakon transakcije strogo je zabranjeno čuvanje vizualnog kriptograma (CVV). Brojevi kartica mogu se čuvati samo uz izričitu suglasnost kako bi se olakšale naknadne kupnje (CNIL-ovo razmatranje br. 2018-303).

Zaključak

Usklađenost s GDPR-om u e-trgovini nije samo pravni popis: ona strukturira cijeli digitalni odnos s klijentima. Između detaljnog pristanka, upravljanja kolačićima, strogosti u traženju i sigurnih plaćanja, e-trgovci moraju usvojiti pristup "privatnosti prema dizajnu" kada osmišljavaju svoja putovanja. Ovaj pristup, daleko od toga da bude komercijalna prepreka, postaje argument razlikovanja na tržištu gdje digitalno povjerenje uvjetuje stopu konverzije i lojalnost.