Ochrona danych klientów e-commerce: zgodność z RODO

Wprowadzenie

Ochrona danych klientów stanowi kluczową kwestię strategiczną dla każdego gracza e-commerce. Od czasu wejścia w życie ogólnego rozporządzenia o ochronie danych (RODO) w dniu 25 maja 2018 r. witryny handlowe, mobilne aplikacje sprzedażowe i rynki muszą przestrzegać rygorystycznych ram prawnych pod groźbą sankcji w wysokości do 20 milionów euro lub 4% rocznego światowego obrotu. Poza ograniczeniami regulacyjnymi zgodność z RODO stanowi prawdziwą dźwignię zaufania klientów: 87% europejskich konsumentów twierdzi, że nie zrobi zakupów w witrynie, w której wątpią w bezpieczeństwo danych. W tym artykule filarowym szczegółowo opisano konkretne obowiązki sprzedawców internetowych w zakresie zgody, plików cookie, biuletynów i bezpieczeństwa danych płatniczych.

Zgoda: kamień węgielny zgodności z RODO

Zgoda stanowi jedną z sześciu podstaw prawnych przetwarzania przewidzianych w art. 6 RODO. Aby było ważne, musi spełniać cztery łącznie kryteria określone w art. 7: być wolne, konkretne, świadome i jednoznaczne. W kontekście e-commerce oznacza to, że zgoda internauty nie może być uzależniona od zakupu produktu (zasada wolności), a musi mieć możliwość wyrażenia zgody na każdy cel odrębnie (profilowanie marketingowe, udostępnianie partnerom, newsletter itp.).

Od 2020 r. CNIL znacznie zaostrzył swoje wymagania, wprowadzając wytyczne dotyczące plików cookie i modułów śledzących. Przyciskowi „Zaakceptuj wszystko” musi teraz towarzyszyć przycisk „Odrzuć wszystko” o równoważnej dostępności i widoczności. Wstępnie zaznaczone pola są surowo zabronione (wyrok TSUE Planet49 z 1 października 2019 r.). Sprzedawcy internetowi muszą także zachować opatrzony datą dowód zgody na czas przetwarzania i umożliwić wycofanie zgody tak proste, jak pierwotna udzielona zgoda.

Zarządzanie plikami cookie i modułami śledzącymi w witrynach sprzedawców

Witryny handlu elektronicznego korzystają średnio z 40 do 60 plików cookie stron trzecich: analitycznych, retargetingu reklam, sieci społecznościowych, chatbotów, testów A/B. Artykuł 82 znowelizowanej ustawy o ochronie danych wymaga uprzedniej zgody na użycie modułu śledzącego, który nie jest bezwzględnie niezbędny do działania usługi. Zwolnione są jedynie pliki cookie dotyczące koszyka na zakupy, sesji uwierzytelniania i plików cookie równoważących obciążenie.

Stworzenie zgodnej platformy zarządzania zgodą (CMP) stało się niezbędne. Musi umożliwiać odwiedzającemu szczegółowy wybór: akceptację według celu (pomiar liczby odbiorców, personalizacja, reklama ukierunkowana) i według odbiorcy. Spadają sankcje: Google (150 mln euro), Amazon (35 mln euro), Facebook (60 mln euro) w 2022 r. za brak przycisku odmowy równie dostępnego jak przycisk akceptacji.

Newsletter i pozyskiwanie klientów: rygorystyczna zgoda

Wysyłanie biuletynów i promocyjnych wiadomości e-mail podlega art. L.34-5 Kodeksu pocztowego i komunikacji elektronicznej, transponującym dyrektywę o prywatności i łączności elektronicznej. Zasadą jest wyraźna wcześniejsza zgoda dla indywidualnych potencjalnych klientów (B2C). Godnym uwagi wyjątkiem są klienci, którzy dokonali już zakupu: dozwolone jest poszukiwanie podobnych produktów lub usług, pod warunkiem, że zostali o tym poinformowani podczas odbioru i mogą sprzeciwić się każdej wysyłce.

Konkretnie, pole „Chcę otrzymywać oferty handlowe od [marka]” musi być domyślnie odznaczone i odrębne od akceptacji Regulaminu. Każdy e-mail musi zawierać działający link umożliwiający rezygnację z subskrypcji jednym kliknięciem, tożsamość nadawcy i prawidłowy adres kontaktowy.

Zabezpieczanie danych płatniczych

Przetwarzanie danych bankowych podlega zarówno przepisom RODO (artykuł 32 dotyczący bezpieczeństwa), jak i standardowi PCI-DSS (Standard bezpieczeństwa danych kart płatniczych). Sprzedawcy internetowi powinni preferować tokenizację za pośrednictwem certyfikowanego dostawcy usług płatniczych (PSP) poziomu 1 PCI-DSS, unikając w ten sposób bezpośredniego przechowywania numerów kart. Silne uwierzytelnianie (3D Secure v2) jest obowiązkowe od 15 maja 2021 r. w zastosowaniu dyrektywy DSP2.

Po transakcji przechowywanie wizualnego kryptogramu (CVV) jest surowo zabronione. Numery kart można przechowywać wyłącznie za wyraźną zgodą w celu ułatwienia późniejszych zakupów (obrada CNIL nr 2018-303).

Wniosek

Zgodność z RODO w handlu elektronicznym to nie tylko prawna lista kontrolna: kształtuje całą cyfrową relację z klientem. Pomiędzy szczegółową zgodą, zarządzaniem plikami cookie, rygorem pozyskiwania klientów i bezpiecznymi płatnościami, sprzedawcy internetowi muszą przyjąć podejście „prywatność od samego początku” podczas projektowania swoich podróży. Podejście to nie jest przeszkodą komercyjną, ale staje się argumentem wyróżniającym na rynku, na którym zaufanie cyfrowe warunkuje współczynnik konwersji i lojalność.