Заштита података корисника е-трговине: усклађеност са ГДПР-ом

Увод

Заштита података о клијентима представља главно стратешко питање за сваког играча е-трговине. Од ступања на снагу Опште уредбе о заштити података (ГДПР) 25. маја 2018., сајтови трговаца, мобилне апликације за продају и тржишта морају поштовати строги правни оквир под казном до 20 милиона евра или 4% годишњег глобалног промета. Изван регулаторних ограничења, усклађеност са ГДПР-ом представља праву полугу поверења купаца: 87% европских потрошача каже да неће куповати са сајта где сумњају у безбедност података. Овај чланак из стуба детаљно описује конкретне обавезе е-трговаца у погледу сагласности, колачића, билтена и сигурности података о плаћању.

Сагласност: камен темељац усклађености са ГДПР-ом

Сагласност представља једну од шест правних основа за обраду предвиђених чланом 6 ГДПР-а. Да би био валидан, мора да испуњава четири кумулативна критеријума дефинисана у члану 7: да буде слободан, специфичан, информисан и недвосмислен. У контексту е-трговине, то значи да корисник Интернета не може имати своју сагласност да се условљава куповином производа (начело слободе), те да мора бити у могућности да посебно пристане на сваку сврху (маркетиншко профилисање, дељење са партнерима, билтен, итд.).

ЦНИЛ је значајно ојачао своје захтеве од 2020. године својим смерницама о колачићима и трагачима. Дугме „Прихвати све“ сада мора да прати дугме „Одбиј све“ еквивалентне приступачности и видљивости. Унапред означена поља су строго забрањена (пресуда ЦЈЕУ Планет49, 1. октобар 2019.). Е-трговци такође морају да задрже доказ о сагласности са временским жигом током трајања обраде и да дозволе повлачење једноставно као и почетни грант.

Управљање колачићима и трагачима на сајтовима трговаца

Сајтови за е-трговину користе у просеку 40 до 60 колачића трећих страна: аналитика, поновно циљање оглашавања, друштвене мреже, цхат ботови, А/Б тестирање. Члан 82. измењеног Закона о заштити података захтева претходну сагласност за било који трагач који није стриктно неопходан за рад услуге. Изузети су само колачићи колица за куповину, сесије аутентикације и балансирања оптерећења.

Постављање усаглашене платформе за управљање пристанком (ЦМП) постало је од суштинског значаја. Мора омогућити посетиоцу да буде детаљан у својим изборима: прихватање према сврси (мерење публике, персонализација, циљано оглашавање) и према примаоцу. Санкције падају: Гугл (150 милиона евра), Амазон (35 милиона евра), Фејсбук (60 милиона евра) 2022. због недостатка дугмета за одбијање једнако доступног као и дугмета за прихватање.

Билтен и комерцијално тражење: ригорозно прихватање

Слање билтена и промотивних е-порука потпада под члан Л.34-5 Кодекса поштанских и електронских комуникација, којим се транспонује директива о е-приватности. Принцип је изричито претходно давање сагласности за појединачне потенцијалне клијенте (Б2Ц). Значајан изузетак постоји за купце који су већ обавили куповину: тражење је овлашћено за сличне производе или услуге, под условом да су обавештени током преузимања и да могу да приговоре на сваку пошиљку.

Конкретно, поље „Желео бих да примам комерцијалне понуде од [бренд]“ мора да буде поништено подразумевано и да се разликује од прихватања услова и услова. Свака е-пошта мора да садржи функционалну везу за одјаву једним кликом, идентитет пошиљаоца и важећу контакт адресу.

Обезбеђење података о плаћању

Обрада банкарских података потпада и под ГДПР (члан 32 о безбедности) и ПЦИ-ДСС стандард (Стандард безбедности података индустрије платних картица). Е-трговци би требало да фаворизују токенизацију преко ПЦИ-ДСС нивоа 1 сертификованог провајдера платних услуга (ПСП), чиме би се избегло директно складиштење бројева картица. Јака аутентификација (3Д Сецуре в2) је обавезна од 15. маја 2021. године у складу са ДСП2 директивом.

Чување визуелног криптограма (ЦВВ) је строго забрањено након трансакције. Бројеви картица се могу чувати само уз изричиту сагласност да би се олакшале накнадне куповине (ЦНИЛ разматрање бр. 2018-303).

Закључак

Усклађеност са ГДПР-ом у е-трговини није само правни списак за проверу: она структурира цео однос дигиталног корисника. Између детаљног пристанка, управљања колачићима, ригорозности тражења и безбедног плаћања, е-продавци морају усвојити приступ „приватности по дизајну“ када дизајнирају своја путовања. Овај приступ, далеко од тога да представља комерцијалну препреку, постаје аргумент за разликовање на тржишту где дигитално поверење условљава стопу конверзије и лојалност.