Skydd av kunddata för e-handel: GDPR-efterlevnad

Inledning

Skyddet av kunddata utgör en viktig strategisk fråga för alla e-handelsaktörer. Sedan den allmänna dataskyddsförordningen (GDPR) trädde i kraft den 25 maj 2018, måste säljarsajter, mobila försäljningsapplikationer och marknadsplatser respektera en strikt rättslig ram med sanktioner på upp till 20 miljoner euro eller 4 % av den årliga globala omsättningen. Utöver regulatoriska begränsningar representerar GDPR-efterlevnad en verklig hävstång för kundernas förtroende: 87 % av europeiska konsumenter säger att de inte kommer att köpa från en webbplats där de tvivlar på datasäkerheten. Denna pelarartikel beskriver de konkreta skyldigheterna för e-handlare när det gäller samtycke, cookies, nyhetsbrev och säkerhet för betalningsdata.

Samtycke: hörnstenen i GDPR-efterlevnaden

Samtycke utgör en av de sex rättsliga grunderna för behandling enligt artikel 6 i GDPR. För att vara giltig måste den uppfylla fyra kumulativa kriterier som definieras i artikel 7: vara fri, specifik, informerad och entydig. I e-handelssammanhang innebär det att en internetanvändare inte kan få sitt samtycke villkorat av köp av en produkt (frihetsprincipen), och att de måste kunna samtycka separat till varje ändamål (marknadsföringsprofilering, delning med partners, nyhetsbrev etc.).

CNIL har avsevärt stärkt sina krav sedan 2020 med sina riktlinjer för cookies och trackers. Knappen "Acceptera alla" måste nu åtföljas av en "Avvisa alla"-knapp med likvärdig tillgänglighet och synlighet. Förmarkerade rutor är strängt förbjudna (CJEU Planet49-dom, 1 oktober 2019). E-handlare måste också behålla tidsstämplade bevis på samtycke under behandlingens varaktighet och tillåta återkallelse lika enkelt som det ursprungliga beviljandet.

Hantering av cookies och spårare på handelswebbplatser

E-handelssajter använder i genomsnitt 40 till 60 tredjepartscookies: analyser, reklamåtergivning, sociala nätverk, chatbots, A/B-tester. Artikel 82 i den ändrade dataskyddslagen kräver förhandsgodkännande för alla spårare som inte är strikt nödvändiga för driften av tjänsten. Endast shoppingvagnar, autentiseringssessioner och lastbalanseringscookies är undantagna.

Att skapa en kompatibel plattform för samtyckeshantering (CMP) har blivit avgörande. Den måste tillåta besökaren att vara detaljerad i sina val: acceptans efter syfte (publikmätning, personalisering, riktad reklam) och efter mottagare. Sanktionerna regnar ner: Google (150 miljoner euro), Amazon (35 miljoner euro), Facebook (60 miljoner euro) 2022 för avsaknaden av en avslagsknapp lika tillgänglig som acceptera-knappen.

Nyhetsbrev och kommersiell prospektering: rigorös opt-in

Sändning av nyhetsbrev och reklammeddelanden faller under artikel L.34-5 i koden för post och elektronisk kommunikation, som införlivar direktivet om e-integritet. Principen är en uttrycklig förhandsval för individuella prospekt (B2C). Ett anmärkningsvärt undantag finns för kunder som redan har gjort ett köp: prospektering är tillåten för liknande produkter eller tjänster, förutsatt att de informerades under hämtning och kan invända mot varje leverans.

Rent konkret måste rutan "Jag skulle vilja ta emot kommersiella erbjudanden från [varumärke]" vara avmarkerad som standard och skild från godkännandet av villkoren. Varje e-postmeddelande måste innehålla en fungerande avregistreringslänk med ett klick, avsändarens identitet och en giltig kontaktadress.

Säkra betalningsdata

Behandlingen av bankuppgifter faller under både GDPR (artikel 32 om säkerhet) och PCI-DSS-standarden (Payment Card Industry Data Security Standard). E-handlare bör gynna tokenisering via en PCI-DSS nivå 1 certifierad betaltjänstleverantör (PSP), och på så sätt undvika direkt lagring av kortnummer. Stark autentisering (3D Secure v2) har varit obligatoriskt sedan 15 maj 2021 i enlighet med DSP2-direktivet.

Att behålla det visuella kryptogrammet (CVV) är strängt förbjudet efter transaktionen. Kortnummer får endast behållas med uttryckligt medgivande för att underlätta efterföljande köp (CNIL överläggning nr 2018-303).

Slutsats

GDPR-efterlevnad inom e-handel är inte bara en juridisk checklista: den strukturerar hela den digitala kundrelationen. Mellan granulärt samtycke, cookiehantering, rigor i prospektering och säkra betalningar måste e-handlare anta en "privacy by design"-metod när de utformar sina resor. Detta tillvägagångssätt, långt ifrån ett kommersiellt hinder, blir ett särskiljande argument på en marknad där digitalt förtroende villkorar konverteringsgraden och lojaliteten.