E-komercijas klientu datu aizsardzība: GDPR atbilstība

Ievads

Klientu datu aizsardzība ir svarīgs stratēģisks jautājums jebkuram e-komercijas dalībniekam. Kopš Vispārīgās datu aizsardzības regulas (VDAR) stāšanās spēkā 2018. gada 25. maijā tirgotāju vietnēm, mobilajām tirdzniecības lietojumprogrammām un tirgiem ir jāievēro stingrs tiesiskais regulējums, par ko var tikt piemērotas sankcijas līdz 20 miljoniem eiro vai 4% no gada globālā apgrozījuma. Papildus normatīvajiem ierobežojumiem GDPR atbilstība ir īsts klientu uzticības svirs: 87% Eiropas patērētāju apgalvo, ka nepirks no vietnes, kurā viņi šaubās par datu drošību. Šajā pīlāra rakstā ir detalizēti aprakstīti konkrēti e-mazumtirgotāju pienākumi saistībā ar piekrišanu, sīkfailiem, biļeteniem un maksājumu datu drošību.

Piekrišana: VDAR atbilstības stūrakmens

Piekrišana ir viens no sešiem datu apstrādes juridiskajiem pamatiem, kas paredzēti GDPR 6. pantā. Lai tas būtu derīgs, tam jāatbilst četriem kumulatīviem kritērijiem, kas definēti 7. pantā: jābūt brīvam, konkrētam, informētam un nepārprotamam. E-komercijas kontekstā tas nozīmē, ka interneta lietotāja piekrišana nevar būt atkarīga no preces iegādes (brīvības princips), un viņam ir jāspēj dot piekrišana atsevišķi katram mērķim (mārketinga profilēšana, kopīgošana ar partneriem, biļetens utt.).

Kopš 2020. gada CNIL ir ievērojami pastiprinājusi savas prasības, izstrādājot vadlīnijas par sīkfailiem un izsekotājiem. Pogai “Pieņemt visu” tagad ir jābūt pievienotai pogai “Atteikt visu” ar līdzvērtīgu pieejamību un redzamību. Iepriekš atzīmētās rūtiņas ir stingri aizliegtas (EST Planet49 spriedums, 2019. gada 1. oktobris). E-tirgotājiem ir arī jāsaglabā ar laika zīmogu apzīmogots piekrišanas apliecinājums apstrādes laikā un jāļauj atsaukt tikpat vienkāršu kā sākotnējās dotācijas.

Sīkfailu un izsekotāju pārvaldība tirgotāju vietnēs

E-komercijas vietnes izmanto vidēji 40 līdz 60 trešo pušu sīkfailus: analīzi, reklāmu atkārtotu mērķauditorijas atlasi, sociālos tīklus, tērzēšanas robotus, A/B testēšanu. Grozītā datu aizsardzības likuma 82. pantā ir nepieciešama iepriekšēja piekrišana jebkuram izsekotājs, kas nav noteikti nepieciešams pakalpojuma darbībai. Tikai iepirkumu grozs, autentifikācijas sesija un slodzes līdzsvarošanas sīkfaili ir atbrīvoti.

Saderīgas piekrišanas pārvaldības platformas (CMP) iestatīšana ir kļuvusi būtiska. Tam ir jāļauj apmeklētājam būt skaidram savā izvēlē: pieņemšana pēc mērķa (auditorijas mērīšana, personalizācija, mērķtiecīga reklāma) un saņēmējs. Sankcijas līst: Google (150 miljoni eiro), Amazon (35 miljoni eiro), Facebook (60 miljoni eiro) 2022. gadā par atteikuma pogas trūkumu, kas ir tikpat pieejama kā akceptēšanas poga.

Biļetens un komerciālā izpēte: stingra izvēle

Uz informatīvo biļetenu un reklāmas e-pasta ziņojumu sūtīšanu attiecas Pasta un elektronisko sakaru kodeksa L.34-5. pants, ar ko transponē e-privātuma direktīvu. Princips ir nepārprotamas iepriekšējas pieteikšanās individuālajiem potenciālajiem klientiem (B2C). Ievērojams izņēmums pastāv klientiem, kuri jau ir veikuši pirkumu: līdzīgu produktu vai pakalpojumu izpēte ir atļauta ar nosacījumu, ka viņi tika informēti savākšanas laikā un var iebilst pret katru sūtījumu.

Konkrēti, izvēles rūtiņai “Es vēlētos saņemt komerciālus piedāvājumus no [zīmols]” pēc noklusējuma ir jābūt noņemtai atzīmei, un tai ir jābūt atšķirīgai no pakalpojumu sniegšanas noteikumu pieņemšanas. Katrā e-pastā ir jāiekļauj funkcionējoša viena klikšķa abonēšanas saite, sūtītāja identitāte un derīga saziņas adrese.

Maksājumu datu aizsardzība

Uz banku datu apstrādi attiecas gan GDPR (32. pants par drošību), gan PCI-DSS standarts (maksājumu karšu nozares datu drošības standarts). E-tirgotājiem būtu jādod priekšroka tokenizācijai, izmantojot PCI-DSS 1. līmeņa sertificētu maksājumu pakalpojumu sniedzēju (PSP), tādējādi izvairoties no karšu numuru tiešas glabāšanas. Spēcīga autentifikācija (3D Secure v2) ir obligāta kopš 2021. gada 15. maija, piemērojot DSP2 direktīvu.

Pēc darījuma ir stingri aizliegts saglabāt vizuālo kriptogrammu (CVV). Karšu numurus var saglabāt tikai ar nepārprotamu piekrišanu, lai atvieglotu turpmākus pirkumus (CNIL apspriede Nr. 2018-303).

Secinājums

GDPR atbilstība e-komercijā nav tikai juridisks kontrolsaraksts: tas strukturē visas digitālās klientu attiecības. Starp detalizētu piekrišanu, sīkfailu pārvaldību, stingrību meklēšanā un drošiem maksājumiem, e-mazumtirgotājiem, plānojot savus ceļojumus, ir jāpieņem “iebūvēta privātuma” pieeja. Šī pieeja nebūt nav komerciāls šķērslis, bet kļūst par atšķirīgu argumentu tirgū, kurā digitālā uzticēšanās nosaka reklāmguvumu līmeni un lojalitāti.