Захист даних клієнтів електронної комерції: відповідність GDPR

Вступ

Захист даних клієнтів є головним стратегічним питанням для будь-якого гравця електронної комерції. З моменту набуття чинності Загального регламенту захисту даних (GDPR) 25 травня 2018 року торговельні сайти, програми для мобільних продажів і торгові майданчики повинні дотримуватися суворої правової бази під штрафом у розмірі до 20 мільйонів євро або 4% річного світового обороту. Крім нормативних обмежень, відповідність GDPR є справжнім інструментом довіри клієнтів: 87% європейських споживачів кажуть, що вони не будуть купувати на сайті, де вони сумніваються в безпеці даних. Ця основна стаття детально описує конкретні зобов’язання електронних роздрібних продавців щодо згоди, файлів cookie, інформаційних бюлетенів і безпеки платіжних даних.

Згода: наріжний камінь дотримання GDPR

Згода є однією з шести правових підстав для обробки, передбачених статтею 6 GDPR. Щоб бути дійсним, він має відповідати чотирьом сукупним критеріям, визначеним у статті 7: бути вільним, конкретним, поінформованим і однозначним. У контексті електронної комерції це означає, що згода користувача Інтернету не може бути обумовлена ​​купівлею продукту (принцип свободи), і що він повинен мати можливість давати згоду окремо для кожної цілі (маркетингове профілювання, обмін з партнерами, розсилка новин тощо).

CNIL значно посилив свої вимоги з 2020 року за допомогою вказівок щодо файлів cookie та трекерів. Кнопка «Прийняти все» тепер має супроводжуватися кнопкою «Відмовити всім» з еквівалентною доступністю та видимістю. Попередньо відмічені пункти суворо заборонені (рішення CJEU Planet49, 1 жовтня 2019 р.). Електронні продавці також повинні зберігати підтвердження згоди з позначкою часу протягом усього періоду обробки та дозволяти зняття так само просто, як і початкове надання.

Управління файлами cookie та трекерами на сайтах продавців

Сайти електронної комерції використовують у середньому від 40 до 60 сторонніх файлів cookie: аналітика, рекламне перенацілювання, соціальні мережі, чат-боти, A/B-тестування. Стаття 82 зміненого Закону про захист даних вимагає попередньої згоди для будь-якого трекера, який не є суворо необхідним для роботи служби. Винятком є ​​лише файли cookie кошика для покупок, сеансу автентифікації та файли cookie балансування навантаження.

Налаштування сумісної платформи керування згодою (CMP) стало важливим. Він повинен дозволити відвідувачу зробити детальний вибір: прийняти за метою (вимірювання аудиторії, персоналізація, цільова реклама) і за одержувачем. Санкції ллються дощем: Google (150 мільйонів євро), Amazon (35 мільйонів євро), Facebook (60 мільйонів євро) у 2022 році за відсутність такої ж доступної кнопки відмови, як кнопка «Прийняти».

Розсилка інформаційних бюлетенів і комерційний пошук: сувора згода

Надсилання інформаційних бюлетенів і рекламних електронних листів підпадає під статтю L.34-5 Кодексу поштових і електронних комунікацій, що транспонує Директиву про електронну конфіденційність. Принцип полягає в чіткій попередній згоді для окремих потенційних клієнтів (B2C). Помітний виняток існує для клієнтів, які вже зробили покупку: пошук подібних продуктів або послуг дозволено за умови, що вони були проінформовані під час отримання та можуть заперечувати проти кожного відправлення.

Конкретно, прапорець «Я хотів би отримувати комерційні пропозиції від [бренд]» має бути знятий за замовчуванням і відрізнятися від прийняття Умов. Кожен електронний лист має містити діюче посилання для скасування підписки одним клацанням миші, особу відправника та дійсну контактну адресу.

Захист платіжних даних

Обробка банківських даних підпадає як під дію GDPR (стаття 32 про безпеку), так і під стандарт PCI-DSS (Payment Card Industry Data Security Standard). Електронним торговцям слід віддавати перевагу токенізації через сертифікованого PCI-DSS рівня 1 постачальника платіжних послуг (PSP), таким чином уникаючи прямого зберігання номерів карток. Надійна автентифікація (3D Secure v2) є обов’язковою з 15 травня 2021 року в рамках застосування директиви DSP2.

Зберігати візуальну криптограму (CVV) суворо заборонено після транзакції. Номери карток можна зберігати лише за наявності прямої згоди для полегшення наступних покупок (обговорення CNIL № 2018-303).

Висновок

Відповідність GDPR в електронній комерції – це не просто юридичний контрольний список: він структурує всі цифрові стосунки з клієнтами. Крім детальної згоди, керування файлами cookie, ретельного пошуку потенційних клієнтів і безпечних платежів, електронні роздрібні торговці повинні прийняти підхід «конфіденційності за проектом» під час планування своїх подорожей. Такий підхід, не будучи комерційною перешкодою, стає відмінним аргументом на ринку, де цифрова довіра обумовлює коефіцієнт конверсії та лояльність.