Perlindungan data pelanggan e-commerce: kepatuhan GDPR

Pendahuluan

Perlindungan data pelanggan merupakan isu strategis utama bagi setiap pemain e-commerce. Sejak berlakunya Peraturan Perlindungan Data Umum (GDPR) pada tanggal 25 Mei 2018, situs pedagang, aplikasi penjualan seluler, dan pasar harus menghormati kerangka hukum yang ketat dengan sanksi sanksi hingga 20 juta euro atau 4% dari omset global tahunan. Di luar batasan peraturan, kepatuhan GDPR menunjukkan peningkatan kepercayaan pelanggan yang nyata: 87% konsumen Eropa mengatakan mereka tidak akan membeli dari situs yang mereka meragukan keamanan datanya. Artikel pilar ini merinci kewajiban konkrit pengecer elektronik dalam hal persetujuan, cookie, buletin, dan keamanan data pembayaran.

Persetujuan: landasan kepatuhan GDPR

Persetujuan merupakan salah satu dari enam dasar hukum pemrosesan yang diatur dalam Pasal 6 GDPR. Agar sah, perjanjian tersebut harus memenuhi empat kriteria kumulatif yang ditetapkan dalam Pasal 7: bebas, spesifik, terinformasi, dan tidak ambigu. Dalam konteks e-niaga, hal ini berarti bahwa persetujuan pengguna Internet tidak dapat dikondisikan dalam pembelian suatu produk (prinsip kebebasan), dan bahwa mereka harus dapat memberikan persetujuan secara terpisah untuk setiap tujuan (profil pemasaran, berbagi dengan mitra, buletin, dll.).

CNIL telah memperkuat persyaratannya sejak tahun 2020 dengan pedomannya mengenai cookie dan pelacak. Tombol “Terima semua” sekarang harus disertai dengan tombol “Tolak semua” dengan aksesibilitas dan visibilitas yang setara. Kotak yang sudah dicentang sebelumnya sangat dilarang (penilaian CJEU Planet49, 1 Oktober 2019). E-merchant juga harus menyimpan bukti persetujuan yang diberi stempel waktu selama durasi pemrosesan, dan mengizinkan penarikan sesederhana hibah awal.

Pengelolaan cookie dan pelacak di situs pedagang

Situs e-niaga rata-rata menggunakan 40 hingga 60 cookie pihak ketiga: analitik, penargetan ulang iklan, jejaring sosial, chatbot, pengujian A/B. Pasal 82 Undang-Undang Perlindungan Data yang diubah memerlukan persetujuan sebelumnya untuk pelacak apa pun yang tidak sepenuhnya diperlukan untuk pengoperasian layanan. Hanya keranjang belanja, sesi autentikasi, dan cookie penyeimbang beban yang dikecualikan.

Menyiapkan Platform Pengelolaan Izin (CMP) yang patuh telah menjadi hal yang penting. Ini harus memungkinkan pengunjung untuk menentukan pilihan mereka secara terperinci: penerimaan berdasarkan tujuan (pengukuran audiens, personalisasi, iklan bertarget) dan oleh penerima. Sanksi yang dijatuhkan adalah: Google (€150 juta), Amazon (€35 juta), Facebook (€60 juta) pada tahun 2022 karena tidak adanya tombol penolakan yang dapat diakses seperti tombol terima.

Pencarian buletin dan komersial: keikutsertaan yang ketat

Pengiriman buletin dan email promosi termasuk dalam pasal L.34-5 Kode Komunikasi Pos dan Elektronik, yang mengubah arahan ePrivasi. Prinsipnya adalah keikutsertaan sebelumnya secara eksplisit untuk prospek individu (B2C). Pengecualian penting berlaku bagi pelanggan yang telah melakukan pembelian: calon pelanggan diberi wewenang untuk produk atau layanan serupa, dengan ketentuan bahwa mereka diberi tahu saat pengambilan dan dapat menolak setiap pengiriman.

Secara konkret, kotak “Saya ingin menerima penawaran komersial dari [merek]” harus tidak dicentang secara default dan berbeda dengan penerimaan S&K. Setiap email harus menyertakan tautan berhenti berlangganan sekali klik yang berfungsi, identitas pengirim, dan alamat kontak yang valid.

Mengamankan data pembayaran

Pemrosesan data perbankan termasuk dalam GDPR (pasal 32 tentang keamanan) dan standar PCI-DSS (Standar Keamanan Data Industri Kartu Pembayaran). Pedagang elektronik sebaiknya memilih tokenisasi melalui penyedia layanan pembayaran (PSP) bersertifikat PCI-DSS level 1, sehingga menghindari penyimpanan langsung nomor kartu. Otentikasi yang kuat (3D Secure v2) telah diwajibkan sejak 15 Mei 2021 dalam penerapan arahan DSP2.

Dilarang keras menyimpan kriptogram visual (CVV) setelah transaksi. Nomor kartu hanya dapat disimpan dengan persetujuan tertulis untuk memfasilitasi pembelian berikutnya (Pertimbangan CNIL no. 2018-303).

Kesimpulan

Kepatuhan GDPR dalam e-commerce bukan sekadar daftar periksa hukum: kepatuhan ini menyusun keseluruhan hubungan pelanggan digital. Antara persetujuan yang terperinci, pengelolaan cookie, ketelitian dalam pencarian calon pelanggan, dan pembayaran yang aman, pengecer elektronik harus mengadopsi pendekatan “privasi sesuai desain” saat merancang perjalanan mereka. Pendekatan ini, jauh dari hambatan komersial, justru menjadi argumen pembeda di pasar di mana kepercayaan digital menentukan tingkat konversi dan loyalitas.