Головна

Як привести інтернет-магазин у відповідність до вимог GDPR?

10 хв.

GDPR це регламент ЄС, який визначає, як бізнес може збирати та використовувати персональні дані користувачів. Інтернет-магазин зобов'язаний дотримуватися його, якщо працює з клієнтами з ЄС або обробляє їхні дані, особливо в рамках проектів у сфері eCommerce.

Недотримання вимог GDPR може призвести до штрафів до 20 млн євро або 4% річного обороту компанії. Наприклад, у 2023 році компанія Meta отримала штраф €1,2 млрд за порушення правил передачі даних користувачів із ЄС.

Щоб привести інтернет-магазин у відповідність до GDPR, необхідно:

визначити, які дані збираються;
налаштувати законні підстави для їх обробки;
оновити інтерфейс сайту та документи;
забезпечити права користувачів.

За даними Європейської комісії, понад 60% користувачів стурбовані тим, як компанії використовують їхні персональні дані.

Регламент GDPR що це? GDPR (General Data Protection Regulation) – це загальний регламент захисту даних ЄС, який регулює обробку персональних даних фізичних осіб.

Регламент поширюється не лише на компанії в ЄС, але й на будь-який бізнес, який взаємодіє з користувачами з Європейського Союзу.

GDPR обов'язковий для інтернет-магазину, якщо:

користувачі з ЄС можуть оформити замовлення;
сайт приймає оплату від клієнтів із ЄС;
ведеться аналітика або маркетинг на аудиторію ЄС.

Ключовий принцип GDPR – повний контроль користувача над своїми даними незалежно від географії бізнесу.

Навіть якщо компанія зареєстрована за межами ЄС, але обробляє дані громадян ЄС, вона зобов'язана дотримуватися вимог регламенту GDPR – це таке правило.

Стандарт GDPR захищає будь-які дані, які дозволяють прямо або опосередковано ідентифікувати користувача. До таких даних належать:

ім'я та прізвище;
email і номер телефону;
адреса доставки;
IP-адреса;
дані про пристрій і поведінку на сайті;
cookies та ідентифікатори сесій.

Також під захист потрапляють дані, які самі по собі не ідентифікують людину, але в комбінації можуть це зробити.

Наприклад, якщо користувач додає товар у кошик, а потім бачить ретаргетинг у Facebook – це вже обробка персональних даних через cookies і поведінковий трекінг.

Якщо інтернет-магазин збирає хоча б email або використовує cookies – він уже обробляє персональні дані та підпадає під країни, на які поширюється GDPR (у країнах ЄС і ЄЕЗ (Норвегія, Ісландія, Ліхтенштейн) і є обов'язковим для будь-якого бізнесу, який обробляє дані користувачів із цих країн).

Аудит даних – це базовий етап впровадження GDPR. Він дозволяє зрозуміти, які дані збираються, де вони зберігаються і як використовуються.

Без аудиту неможливо коректно налаштувати згоду користувачів, політику конфіденційності та процеси обробки даних.

Завдання аудиту – зафіксувати повний цикл роботи з даними: від моменту збору до передачі третім сторонам, адже захист персональних даних GDPR тут дуже важливий.

Які дані збирає магазин?

На цьому етапі потрібно визначити всі точки збору персональних даних. Основні джерела:

форма оформлення замовлення;
реєстрація та особистий кабінет;
підписка на розсилку;
форми зворотного зв'язку;
онлайн-чати та чат-боти;
системи аналітики та трекінгу;

Важливо зафіксувати, які саме дані збираються, з якою метою і на якій підставі (згода, договір, законний інтерес). Навіть прихований збір даних через cookies або аналітику повинен враховуватися.

Де зберігаються дані покупців?

Наступний крок – визначити всі місця зберігання даних. Найчастіше дані знаходяться:

у базі даних сайту;
у CRM-системі;
в email-маркетингових сервісах;
у хмарних сховищах;
на серверах хостингу.

Вимоги GDPR — мінімізувати строки зберігання та забезпечити безпеку даних на рівні інфраструктури. Це особливо важливо при роботі з CMS Magento, де дані розподіляються між кількома інтеграціями.

Фактично, завдання цього етапу – отримати повну карту зберігання даних і переконатися, що вона відповідає вимогам регламенту.

Кому передаються дані?

Практично жоден інтернет-магазин не обробляє дані самостійно – частина інформації неминуче передається третім сторонам. Саме цей процес найчастіше стає джерелом ризиків з точки зору того, що означає GDPR. Наприклад, типовий eCommerce-проєкт може передавати дані:

Stripe або PayPal (оплата).
Nova Poshta API (доставка).
Klaviyo / Mailchimp (email).
Google Analytics / Meta Pixel (аналітика).

Для кожного підрядника потрібно зафіксувати, які дані передаються, з якою метою і на якій підставі.

Передача даних без контролю і документів – одна з найчастіших причин порушень GDPR і штрафів. Особливо це критично для складних рішень, таких як маркетплейси, де задіяно велику кількість сторонніх сервісів.

Після аудиту необхідно оновити інтерфейс і документи сайту так, щоб користувач чітко розумів, які дані збираються і навіщо, особливо якщо проєкт знаходиться на етапі створення онлайн-магазину або масштабування.

Основне завдання – забезпечити прозорість обробки даних і отримати коректну згоду користувача. Це стосується форм, cookies і політики конфіденційності.

Як оформити форми збору даних?

Щоб оформити форми відповідно до вимог GDPR, необхідно забезпечити явну та усвідомлену згоду користувача на обробку даних.

Для цього чекбокси згоди повинні бути порожніми за замовчуванням, а текст поруч – чітко пояснювати, які дані збираються і з якою метою. Згода має бути окремою дією користувача, а не частиною форми. Форми повинні бути вбудовані в структуру сайту і логічно доповнювати каталог товарів, не порушуючи користувацький сценарій.

Важливо розділяти згоди: оформлення замовлення і маркетинг не повинні об'єднуватися. Також форма повинна містити посилання на політику конфіденційності.

Як налаштувати cookie-банер?

За даними Google, понад 50% користувачів відмовляються від аналітичних cookies, якщо їм дають прозорий вибір. Щоб налаштувати cookie-банер відповідно до GDPR, необхідно отримувати згоду користувача до використання аналітичних і маркетингових cookies.

Банер повинен надавати вибір: прийняти всі cookies, відхилити або налаштувати їх використання. При цьому відмова повинна бути такою ж доступною, як і згода.

До отримання згоди можна використовувати лише технічні cookies, необхідні для роботи сайту. Усі інші категорії повинні активуватися лише після вибору користувача.

Коректний cookie-банер повинен виглядати як у Amazon або Booking – з можливістю вибрати категорії cookies, а не лише кнопку «Прийняти».

Що включити в політику конфіденційності?

Щоб політика конфіденційності відповідала GDPR, вона повинна детально і зрозуміло описувати обробку персональних даних. Потрібно включити:

які дані збираються;
навіщо вони використовуються;
скільки зберігаються;
кому передаються;
які права має користувач.

Документ повинен бути зрозумілим і доступним. Головний принцип – прозорість обробки даних.

Захист персональних даних у Європі надає користувачам контроль над своїми персональними даними. Інтернет-магазин зобов'язаний не лише декларувати ці права, але й забезпечити їх реалізацію на практиці.

Це означає, що користувач повинен мати можливість запросити свої дані, видалити їх або перенести в інший сервіс без додаткових перешкод.

Право на доступ до даних

Право на доступ означає, що користувач може дізнатися, які його дані обробляє інтернет-магазин і як вони використовуються. За запитом бізнес зобов'язаний надати:

перелік персональних даних;
цілі обробки;
джерела отримання даних;
інформацію про передачу третім особам.

Відповідь повинна бути надана протягом 30 днів. Важливо, щоб процес запиту був зрозумілим: через особистий кабінет або звернення в підтримку.

Право на видалення даних

Право на видалення (право «бути забутим») дозволяє користувачу вимагати видалення своїх персональних даних. Інтернет-магазин зобов'язаний видалити дані, якщо:

вони більше не потрібні для заявлених цілей;
користувач відкликав згоду;
обробка була незаконною.

При цьому потрібно враховувати юридичні зобов'язання. Наприклад, дані про замовлення можуть зберігатися для бухгалтерії, але не використовуватися для маркетингу.

Право на перенесення даних

Право на перенесення означає, що користувач може отримати свої дані у структурованому форматі та передати їх іншому сервісу.

Дані повинні надаватися у машиночитаному вигляді (наприклад, CSV або JSON) і без обмежень з боку бізнесу.

Це право застосовується до даних, які користувач надав сам і які обробляються на підставі згоди або договору.

Завдання інтернет-магазину – забезпечити можливість такого вивантаження без складних процедур і затримок.

Інтернет-магазин несе відповідальність за персональні дані, навіть якщо вони обробляються зовнішніми сервісами. Тому робота з підрядниками повинна бути повністю контрольованою.

Для кожного сервісу необхідно визначити, які дані йому передаються і з якою метою. Це стосується платіжних систем, служб доставки, CRM, аналітики та маркетингових платформ.

Обов'язкова вимога – укладення Data Processing Agreement (DPA). Цей документ фіксує правила обробки даних і підтверджує, що підрядник дотримується GDPR.

Якщо дані передаються за межі ЄС, необхідно забезпечити законні механізми передачі, наприклад стандартні договірні положення (SCC).

Витік даних British Airways призвів до штрафу £20 млн за компрометацію даних понад 400 000 користувачів. Тому при витоку персональних даних інтернет-магазин зобов'язаний діяти за чітким регламентом.

Протягом 72 годин необхідно повідомити регулятора і зафіксувати інцидент. Якщо витік створює ризик для користувачів, їх також потрібно проінформувати.

Паралельно проводиться аналіз інциденту: які дані зачеплено, причина витоку і заходи для запобігання повторенню.

Відсутність реакції або спроба приховати інцидент вважається порушенням GDPR і збільшує ризики штрафів.

Тому у бізнесу повинен бути заздалегідь підготовлений план дій при витоку даних.

Ми вже розібралися, GDPR compliance – що це, далі підготували чек-лист, щоб перевірити відповідність вашого інтернет-магазину.