Vernd gagna viðskiptavina um rafræn viðskipti: GDPR samræmi

Inngangur

Vernd gagna viðskiptavina er stórt stefnumótandi vandamál fyrir alla rafræna viðskiptaaðila. Frá gildistöku almennu gagnaverndarreglugerðarinnar (GDPR) þann 25. maí 2018, verða sölusíður, farsímasöluforrit og markaðstorg að virða strangan lagaramma með refsiaðgerðum upp á allt að 20 milljónir evra eða 4% af árlegri heimsveltu. Fyrir utan reglugerðarþvingunina táknar GDPR-fylgni raunveruleg lyftistöng fyrir traust viðskiptavina: 87% evrópskra neytenda segjast ekki ætla að kaupa af síðu þar sem þeir efast um gagnaöryggi. Þessi stoðgrein lýsir áþreifanlegum skyldum rafrænna smásala hvað varðar samþykki, vafrakökur, fréttabréf og öryggi greiðslugagna.

Samþykki: hornsteinn í samræmi við GDPR

Samþykki er ein af sex lagagrundvöllum vinnslu sem kveðið er á um í 6. grein GDPR. Til að vera gild þarf það að uppfylla fjögur uppsöfnuð skilyrði sem skilgreind eru í 7. grein: vera frjáls, sértæk, upplýst og ótvíræð. Í samhengi rafrænna viðskipta þýðir þetta að netnotandi getur ekki fengið samþykki sitt skilyrt við kaup á vöru (frelsisreglan) og að hann verði að geta samþykkt sérstaklega fyrir hvern tilgang (markaðssnið, miðlun með samstarfsaðilum, fréttabréf o.s.frv.).

CNIL hefur verulega styrkt kröfur sínar síðan 2020 með leiðbeiningum sínum um smákökur og rekja spor einhvers. „Samþykkja allt“ hnappinn verður nú að fylgja „Neita öllum“ hnappi með jafngildu aðgengi og sýnileika. Formerktir kassar eru stranglega bannaðir (CJEU Planet49 dómur, 1. október 2019). Rafrænir söluaðilar verða einnig að geyma tímastimplaða sönnun fyrir samþykki meðan á vinnslu stendur og leyfa afturköllun eins einfalt og upphaflegi styrkurinn.

Umsjón með vafrakökum og rekja spor einhvers á síðum söluaðila

Netverslunarsíður nota að meðaltali 40 til 60 vefkökur frá þriðja aðila: greiningar, endurmiðun auglýsinga, samfélagsnet, spjallþræðir, A/B próf. Grein 82 í breyttum gagnaverndarlögum krefst fyrirframsamþykkis fyrir hvers kyns rekja spor einhvers sem ekki er algjörlega nauðsynlegt fyrir rekstur þjónustunnar. Aðeins innkaupakörfu, auðkenningarlota og álagsjöfnunarkökur eru undanþegnar.

Að setja upp samhæfðan samþykkisstjórnunarvettvang (CMP) hefur orðið nauðsynlegt. Það verður að leyfa gestnum að vera nákvæmur í vali sínu: samþykki eftir tilgangi (mæling áhorfenda, sérsniðin, markvissar auglýsingar) og eftir viðtakanda. Refsiaðgerðunum rignir niður: Google (150 milljónir evra), Amazon (35 milljónir evra), Facebook (60 milljónir evra) árið 2022 vegna skorts á neitunarhnappi sem er jafn aðgengilegur og samþykkishnappurinn.

Fréttabréf og atvinnuleit: strangt valið

Sending fréttabréfa og kynningartölvupósta fellur undir grein L.34-5 í póst- og fjarskiptareglunum, sem innleiðir rafræna persónuverndartilskipunina. Meginreglan er sú að afdráttarlaus fyrirfram valin fyrir einstaka möguleika (B2C). Athyglisverð undantekning er til staðar fyrir viðskiptavini sem þegar hafa keypt: leit er heimiluð fyrir svipaðar vörur eða þjónustu, að því gefnu að þeir hafi verið upplýstir við söfnun og geta mótmælt hverri sendingu.

Raunverulega, reitinn „Ég vil fá auglýsingatilboð frá [vörumerki]“ verður sjálfgefið að vera afmerkt og aðskilinn frá samþykki skilmála og skilmála. Hver tölvupóstur verður að innihalda virkan eins smells afskráningartengil, auðkenni sendanda og gilt tengiliðsfang.

Trygging greiðslugagna

Vinnsla bankagagna fellur bæði undir GDPR (32. grein um öryggi) og PCI-DSS staðalinn (Payment Card Industry Data Security Standard). Rafrænir kaupmenn ættu að hlynna að auðkenningu í gegnum PCI-DSS stig 1 vottaða greiðsluþjónustuveitanda (PSP) og forðast þannig beina geymslu á kortanúmerum. Sterk auðkenning (3D Secure v2) hefur verið skylda síðan 15. maí 2021 í samræmi við DSP2 tilskipunina.

Það er stranglega bannað að halda sjónrænu dulmálinu (CVV) eftir viðskiptin. Aðeins er hægt að geyma kortanúmer með skýlausu samþykki til að auðvelda síðari kaup (CNIL umfjöllun nr. 2018-303).

Niðurstaða

GDPR fylgni í rafrænum viðskiptum er ekki bara lagalegur gátlisti: það skipuleggur allt stafrænt viðskiptasamband. Milli nákvæms samþykkis, stjórnun á vafrakökum, ströngu við leit og öruggar greiðslur, verða rafrænir smásalar að nota „privacy by design“ nálgun þegar þeir hanna ferðir sínar. Þessi nálgun, langt frá því að vera viðskiptaleg hindrun, verður aðgreiningarrök á markaði þar sem stafrænt traust skilgreinir viðskiptahlutfall og tryggð.