E-ticaret müşteri verilerinin korunması: GDPR uyumluluğu

Giriş

Müşteri verilerinin korunması, her e-ticaret oyuncusu için önemli bir stratejik sorundur. Genel Veri Koruma Yönetmeliği'nin (GDPR) 25 Mayıs 2018'de yürürlüğe girmesinden bu yana, ticari siteler, mobil satış uygulamaları ve pazaryerleri, 20 milyon avroya veya yıllık küresel cironun %4'üne varan yaptırımlar kapsamında katı bir yasal çerçeveye uymak zorundadır. Mevzuat kısıtlamalarının ötesinde, GDPR uyumluluğu müşteri güveni açısından gerçek bir kaldıraç teşkil ediyor: Avrupalı ​​tüketicilerin %87'si veri güvenliğinden şüphe duydukları bir siteden alışveriş yapmayacaklarını söylüyor. Bu temel makale, e-perakendecilerin izin, çerezler, haber bültenleri ve ödeme verilerinin güvenliği açısından somut yükümlülüklerini ayrıntılarıyla anlatmaktadır.

Onay: GDPR uyumluluğunun temel taşı

Onay, GDPR'nin 6. Maddesinde belirtilen işleme için altı yasal dayanaktan birini oluşturur. Geçerli olabilmesi için 7. Maddede tanımlanan dört kümülatif kriteri karşılaması gerekir: özgür, spesifik, bilgili ve net olmak. E-ticaret bağlamında bu, bir İnternet kullanıcısının rızasının bir ürünün satın alınmasına bağlı olamayacağı (özgürlük ilkesi) ve her bir amaca (pazarlama profili oluşturma, ortaklarla paylaşım, haber bülteni vb.) ayrı ayrı rıza gösterebilmesi gerektiği anlamına gelir.

CNIL, çerezler ve izleyicilere ilişkin yönergeleriyle 2020'den bu yana gereksinimlerini önemli ölçüde güçlendirdi. "Tümünü kabul et" düğmesine artık eşdeğer erişilebilirlik ve görünürlüğe sahip bir "Tümünü reddet" düğmesi eşlik etmelidir. Önceden işaretlenmiş kutular kesinlikle yasaktır (CJEU Planet49 kararı, 1 Ekim 2019). E-tüccarlar aynı zamanda işlem süresi boyunca zaman damgalı onay belgesini saklamalı ve ilk hibe kadar basit bir şekilde geri çekilmeye izin vermelidir.

Ticari sitelerdeki çerezlerin ve izleyicilerin yönetimi

E-ticaret siteleri ortalama 40 ila 60 üçüncü taraf çerezi kullanır: analizler, reklam yeniden hedefleme, sosyal ağlar, sohbet robotları, A/B testi. Değiştirilen Veri Koruma Yasası'nın 82. Maddesi, hizmetin çalışması için kesinlikle gerekli olmayan herhangi bir izleyici için önceden onay alınmasını gerektirir. Yalnızca alışveriş sepeti, kimlik doğrulama oturumu ve yük dengeleme çerezleri muaftır.

Uyumlu bir Rıza Yönetim Platformu (CMP) oluşturmak artık zorunlu hale geldi. Ziyaretçinin seçimlerinde ayrıntılı olmasına izin vermelidir: amaca göre kabul (izleyici ölçümü, kişiselleştirme, hedefli reklam) ve alıcıya göre. Yaptırımlar yağıyor: Google (150 milyon avro), Amazon (35 milyon avro), Facebook (60 milyon avro), kabul düğmesi kadar erişilebilir bir reddetme düğmesinin olmaması nedeniyle 2022'de.

Haber bülteni ve ticari araştırma: sıkı katılım

Haber bültenlerinin ve tanıtım e-postalarının gönderilmesi, Posta ve Elektronik İletişim Kanunu'nun eGizlilik direktifini aktaran L.34-5 maddesi kapsamına girer. Prensip, bireysel potansiyel müşteriler (B2C) için açıkça önceden katılım ilkesidir. Halihazırda bir satın alma işlemi gerçekleştirmiş olan müşteriler için dikkate değer bir istisna bulunmaktadır: Toplama sırasında bilgilendirilmeleri ve her sevkiyata itiraz edebilmeleri koşuluyla, benzer ürün veya hizmetler için araştırma yapılmasına izin verilmektedir.

Somut olarak, "[marka]'dan ticari teklifler almak istiyorum" kutusunun işareti varsayılan olarak kaldırılmalı ve Şartlar ve Koşulların kabulünden farklı olmalıdır. Her e-posta, çalışan bir tek tıklamayla abonelikten çıkma bağlantısını, gönderenin kimliğini ve geçerli bir iletişim adresini içermelidir.

Ödeme verilerinin güvenliğini sağlama

Bankacılık verilerinin işlenmesi hem GDPR (güvenliğe ilişkin 32. madde) hem de PCI-DSS standardı (Ödeme Kartı Sektörü Veri Güvenliği Standardı) kapsamındadır. E-tüccarlar, PCI-DSS seviye 1 sertifikalı bir ödeme hizmeti sağlayıcısı (PSP) yoluyla tokenizasyonu tercih etmeli, böylece kart numaralarının doğrudan depolanmasından kaçınmalıdır. DSP2 direktifinin uygulanmasında 15 Mayıs 2021'den beri güçlü kimlik doğrulama (3D Secure v2) zorunludur.

İşlem sonrasında görsel kriptogramın (CVV) saklanması kesinlikle yasaktır. Kart numaraları, sonraki satın alımları kolaylaştırmak için yalnızca açık rıza ile saklanabilir (CNIL müzakere no. 2018-303).

Sonuç

E-ticarette GDPR uyumluluğu yalnızca yasal bir kontrol listesi değildir: tüm dijital müşteri ilişkisini yapılandırır. Parçalı izin, çerez yönetimi, potansiyel müşteri aramadaki titizlik ve güvenli ödemeler arasında, e-perakendeciler yolculuklarını tasarlarken "tasarım gereği gizlilik" yaklaşımını benimsemelidir. Bu yaklaşım, ticari bir engel olmaktan uzak, dijital güvenin dönüşüm oranı ve sadakati belirlediği bir pazarda farklılaştırıcı bir argüman haline geliyor.