Ochrana údajov o zákazníkoch elektronického obchodu: Súlad s GDPR

Úvod

Ochrana údajov o zákazníkoch predstavuje hlavnú strategickú otázku pre každého hráča elektronického obchodu. Od 25. mája 2018, keď vstúpilo do platnosti všeobecné nariadenie o ochrane údajov (GDPR), musia stránky obchodníkov, mobilné predajné aplikácie a trhoviská rešpektovať prísny právny rámec pod sankciou sankcií až do výšky 20 miliónov eur alebo 4 % ročného globálneho obratu. Okrem regulačných obmedzení predstavuje dodržiavanie GDPR skutočnú páku dôvery zákazníkov: 87 % európskych spotrebiteľov tvrdí, že nenakúpia na stránke, kde pochybujú o bezpečnosti údajov. Tento pilierový článok podrobne popisuje konkrétne povinnosti e-maloobchodníkov, pokiaľ ide o súhlas, cookies, newslettery a bezpečnosť platobných údajov.

Súhlas: základný kameň súladu s GDPR

Súhlas predstavuje jeden zo šiestich právnych základov spracúvania podľa článku 6 GDPR. Aby bola platná, musí spĺňať štyri kumulatívne kritériá definované v článku 7: byť slobodná, konkrétna, informovaná a jednoznačná. V kontexte elektronického obchodu to znamená, že používateľ internetu nemôže mať svoj súhlas podmienený kúpou produktu (zásada slobody), a že musí mať možnosť udeliť súhlas na každý účel zvlášť (marketingové profilovanie, zdieľanie s partnermi, newsletter a pod.).

CNIL od roku 2020 výrazne posilnila svoje požiadavky svojimi usmerneniami o súboroch cookie a sledovačoch. Tlačidlo „Prijať všetko“ musí teraz sprevádzať tlačidlo „Odmietnuť všetko“ s ekvivalentnou dostupnosťou a viditeľnosťou. Vopred zaškrtnuté políčka sú prísne zakázané (rozsudok SDEU Planet49, 1. októbra 2019). Elektroní obchodníci si tiež musia ponechať doklad o súhlase s časovou pečiatkou počas trvania spracovania a umožniť odvolanie rovnako jednoduché ako pri prvotnom udelení.

Správa súborov cookie a sledovačov na stránkach obchodníkov

Stránky elektronického obchodu používajú v priemere 40 až 60 súborov cookie tretích strán: analýzy, presmerovanie reklamy, sociálne siete, chatboty, A/B testovanie. Článok 82 novelizovaného zákona o ochrane údajov vyžaduje predchádzajúci súhlas pre akýkoľvek sledovač, ktorý nie je nevyhnutne potrebný na prevádzku služby. Výnimkou sú iba súbory cookie nákupného košíka, overovacia relácia a vyrovnávanie zaťaženia.

Vytvorenie kompatibilnej platformy na správu súhlasu (CMP) sa stalo nevyhnutným. Musí umožniť návštevníkovi, aby bol podrobný pri výbere: prijatie podľa účelu (meranie publika, personalizácia, cielená reklama) a podľa príjemcu. Sankcie klesajú: Google (150 miliónov EUR), Amazon (35 miliónov EUR), Facebook (60 miliónov EUR) v roku 2022 za chýbajúce tlačidlo na odmietnutie, ktoré je rovnako dostupné ako tlačidlo na prijatie.

Newsletter a komerčné vyhľadávanie: dôsledné prihlásenie

Zasielanie newsletterov a propagačných e-mailov spadá pod článok L.34-5 Kódexu poštových a elektronických komunikácií, ktorý transponuje smernicu o súkromí a elektronických komunikáciách. Princíp spočíva v tom, že pre individuálnych záujemcov (B2C) sa vopred explicitne prihlásite. Významná výnimka existuje pre zákazníkov, ktorí už uskutočnili nákup: vyhľadávanie je povolené pre podobné produkty alebo služby za predpokladu, že boli informovaní počas odberu a môžu namietať proti každej zásielke.

Konkrétne pole „Chcem dostávať komerčné ponuky od [značky]“ musí byť predvolene nezačiarknuté a musí byť odlišné od prijatia VOP. Každý e-mail musí obsahovať funkčný odkaz na zrušenie odberu jedným kliknutím, totožnosť odosielateľa a platnú kontaktnú adresu.

Zabezpečenie platobných údajov

Spracovanie bankových údajov spadá pod GDPR (článok 32 o bezpečnosti), ako aj pod štandard PCI-DSS (Payment Card Industry Data Security Standard). Elektroní obchodníci by mali uprednostňovať tokenizáciu prostredníctvom certifikovaného poskytovateľa platobných služieb PCI-DSS úrovne 1 (PSP), čím sa vyhnú priamemu ukladaniu čísel kariet. Silná autentifikácia (3D Secure v2) je povinná od 15. mája 2021 v rámci aplikácie smernice DSP2.

Uchovávanie vizuálneho kryptogramu (CVV) je po transakcii prísne zakázané. Čísla kariet je možné uchovávať len s výslovným súhlasom na uľahčenie následných nákupov (rozprava CNIL č. 2018-303).

Záver

Súlad s GDPR v elektronickom obchode nie je len právnym kontrolným zoznamom: štruktúruje celý digitálny vzťah so zákazníkmi. Medzi granulárnym súhlasom, správou súborov cookie, prísnosťou pri vyhľadávaní a bezpečnými platbami musia e-maloobchodníci pri navrhovaní svojich ciest prijať prístup „ochrana súkromia už od návrhu“. Tento prístup, ktorý zďaleka nie je komerčnou prekážkou, sa stáva odlišujúcim argumentom na trhu, kde digitálna dôvera podmieňuje mieru konverzie a lojalitu.