Elektroninės prekybos klientų duomenų apsauga: BDAR laikymasis

Įvadas

Klientų duomenų apsauga yra pagrindinė strateginė problema bet kuriam elektroninės prekybos žaidėjui. Nuo 2018 m. gegužės 25 d. įsigaliojus Bendrajam duomenų apsaugos reglamentui (BDAR), prekybininkų svetainės, mobiliosios pardavimo programos ir prekyvietės turi laikytis griežtos teisinės bazės, už kurias gresia sankcijos iki 20 milijonų eurų arba 4% metinės pasaulinės apyvartos. Be reguliavimo suvaržymo, BDAR laikymasis yra tikras klientų pasitikėjimo svertas: 87 % Europos vartotojų teigia, kad nepirks iš svetainės, kurioje abejoja duomenų saugumu. Šiame ramsčio straipsnyje išsamiai aprašomi konkretūs e. mažmenininkų įsipareigojimai dėl sutikimo, slapukų, informacinių biuletenių ir mokėjimo duomenų saugumo.

Sutikimas: BDAR atitikties kertinis akmuo

Sutikimas yra vienas iš šešių teisinių duomenų tvarkymo pagrindų, numatytų BDAR 6 straipsnyje. Kad jis galiotų, jis turi atitikti keturis bendruosius 7 straipsnyje apibrėžtus kriterijus: būti laisvas, konkretus, informuotas ir nedviprasmiškas. Elektroninės prekybos kontekste tai reiškia, kad interneto vartotojas negali turėti sutikimo dėl prekės įsigijimo (laisvės principas), ir kad jis turi turėti galimybę duoti sutikimą atskirai kiekvienam tikslui (rinkodaros profiliavimas, dalijimasis su partneriais, naujienlaiškis ir pan.).

Nuo 2020 m. CNIL gerokai sugriežtino savo reikalavimus, remdamasi slapukų ir sekimo priemonių gairėmis. Prie mygtuko „Priimti viską“ dabar turi būti lygiaverčio prieinamumo ir matomumo mygtukas „Atmesti viską“. Iš anksto pažymėti langeliai yra griežtai draudžiami (ESTT Planet49 sprendimas, 2019 m. spalio 1 d.). El. prekybininkai taip pat turi saugoti laiko žyme pažymėtą sutikimo įrodymą visą apdorojimo laiką ir leisti atšaukti taip pat paprastą, kaip pradinę dotaciją.

Slapukų ir sekimo priemonių valdymas prekybininkų svetainėse

Elektroninės prekybos svetainės naudoja vidutiniškai 40–60 trečiųjų šalių slapukų: analizės, reklamos pakartotinio taikymo, socialinių tinklų, pokalbių robotų, A/B testavimo. Pakeistas Duomenų apsaugos įstatymo 82 straipsnis reikalauja išankstinio sutikimo bet kokiai sekimo priemonei, kuri nėra būtinai reikalinga paslaugai veikti. Tik pirkinių krepšelis, autentifikavimo sesija ir apkrovos balansavimo slapukai yra neapmokestinami.

Suderinamos sutikimo valdymo platformos (CMP) nustatymas tapo labai svarbus. Ji turi leisti lankytojui detaliai pasirinkti: priėmimą pagal tikslą (auditorijos matavimas, personalizavimas, tikslinė reklama) ir gavėją. Sankcijos lyja: „Google“ (150 mln. eurų), „Amazon“ (35 mln. eurų), „Facebook“ (60 mln. eurų) 2022 m. dėl atsisakymo mygtuko trūkumo, kuris būtų toks pat pasiekiamas kaip mygtukas „Priimti“.

Informacinių biuletenių ir komercinių galimybių paieška: griežtas pasirinkimas

Naujienlaiškių ir reklaminių el. laiškų siuntimui taikomas Pašto ir elektroninių ryšių kodekso L.34-5 straipsnis, perkeliantis E. privatumo direktyvą. Principas yra aiškaus išankstinio pasirinkimo individualiems potencialiems klientams principas (B2C). Pažymėtina išimtis galioja klientams, kurie jau įsigijo: panašių produktų ar paslaugų žvalgyba leidžiama, jei jie buvo informuoti atsiėmimo metu ir gali prieštarauti kiekvienai siuntai.

Konkrečiai, laukelis „Norėčiau gauti komercinius pasiūlymus iš [prekės ženklo]“ turi būti nepažymėtas pagal numatytuosius nustatymus ir turi būti atskirtas nuo sutikimo su Sąlygomis. Kiekviename el. laiške turi būti veikianti prenumeratos atsisakymo nuoroda vienu spustelėjimu, siuntėjo tapatybė ir galiojantis kontaktinis adresas.

Mokėjimo duomenų apsauga

Banko duomenų apdorojimui taikomas ir GDPR (32 straipsnis dėl saugumo), ir PCI-DSS standartas (mokėjimo kortelių pramonės duomenų saugos standartas). El. prekybininkai turėtų teikti pirmenybę tokenizavimui per PCI-DSS 1 lygio sertifikuotą mokėjimo paslaugų teikėją (PSP), taip išvengiant tiesioginio kortelių numerių saugojimo. Tvirtas autentifikavimas (3D Secure v2) buvo privalomas nuo 2021 m. gegužės 15 d., taikant DSP2 direktyvą.

Po operacijos griežtai draudžiama laikyti vaizdinę kriptogramą (CVV). Kortelių numeriai gali būti saugomi tik gavus aiškų sutikimą, kad būtų lengviau vėliau pirkti (CNIL svarstymas Nr. 2018-303).

Išvada

Atitiktis BDAR elektroninėje prekyboje nėra tik teisinis kontrolinis sąrašas: jis struktūrizuoja visus skaitmeninius santykius su klientais. Tarp smulkaus sutikimo, slapukų valdymo, kruopštumo ieškant žvalgybos ir saugių mokėjimų, e. mažmenininkai, kurdami savo keliones, turi laikytis „privatumo projektavimo“ metodo. Šis požiūris toli gražu nėra komercinė kliūtis, bet tampa skiriančiu argumentu rinkoje, kurioje skaitmeninis pasitikėjimas lemia konversijos koeficientą ir lojalumą.