GDPR compliance для маркетплейсів

Станом на 2024 рік очікується, що 20.1% від усіх роздрібних покупок будуть здійснюватись онлайн, а до 2027-го року цей показник збільшиться до 23%. Малий та середній бізнеси часто не володіють достатнім капіталом для створення власної самостійної онлайн-платформи (або ж не вбачають необхідності в їх створенні) і користуються наявними торговими сервісами.

Однак, із поширенням частоти транзакцій, кількості маркетингових повідомлень, збору інформації про користувачів, працівників та інших пов’язаних з онлайн-торгівлею факторів, зростає і кількість порушень в сфері законодавства про захист персональних даних. 

Таким чином постає питання про дослідження специфіки діяльності маркетплейсів щодо можливості вжиття ними конкретних дій для досягнення відповідності законодавству про захист персональних даних – в нашому випадку, Загальному регламенту про захист даних в Європейському Союзі (GDPR). 

Що являють собою маркетплейси і чи підпадають під дію GDPR

Маркетплейс – це онлайн-платформа яка пропонує товари та послуги багатьох продавців. Більшість продуктів надходять від зовнішніх компаній, однак деякі платформи все ж пропонують і власні продукти – наприклад Amazon чи Allegro. Інші продавці повинні мати можливість продавати через платформу свої власні продукти – що і відрізняє маркетплейс від простого онлайн-магазину. 

Від специфіки конкретного маркетплейсу залежить тип і обсяг персональних даних споживача, які обробляються сервісом і, відповідно, розподіл обовʼязків щодо законного використання персональних даних. Загалом можна виділити три категорії персональних даних, які можуть оброблятись маркетплейсом: 

1) інформація, яка прямо надається користувачем (наприклад, при реєстрації або пошукових запитах); 

2) автоматична інформація (інформація про взаємодію з продуктами, вмістом і послугами, наданими платформою, а також куки-файли), та 

3) інформація з інших ресурсів (оновлені дані про доставку та адресу). 

Таким чином, фактично, будь-яка взаємодія з маркетплейсом має наслідком передачу своїх персональних даних – пошук та покупка продуктів, додавання та видалення товарів з кошика, розміщення замовлення чи товару, надання інформації через обліковий запис, використання голосових служб (наприклад, Alexa Voice, Apple Siri, Google Assistant), налаштування параметрів, заповнення анкет, завантаження зображень тощо. 

За умови, якщо діяльність маркетплейсу здійснюється на території Європейського Союзу (надалі – ЄС), товари та послуги пропонуються суб’єктам даних на території ЄС, або ж на території ЄС здійснюється моніторинг поведінки суб’єктів даних – на діяльність маркетплейсу поширюватимуться норми GDPR. 

Штрафні санкції за порушення Регламента коливаються в залежності від характеру, тривалості і тяжкості порушення, беручи до уваги обсяг, мету обробки, наявності умислу і рівня завданої шкоди, а також інших критеріїв. Такі санкції можуть досягати 20 000 000 євро або 4% від суми загального світового річного обороту компанії станом на попередній фінансовий рік. Розглянемо приклади накладення відповідних санкцій в наступній секції. 

Деякі санкції, накладені на маркетплейси через недотримання ними вимог GDPR

Morele.net

В жовтні 2019-го року національний орган з захисту персональних даних Республіки Польща наклав штраф в розмірі 660 000 євро на сервіс Morele.net.

На думку Офісу з захисту персональних даних, неефективний засіб автентифікації співробітників компанії сприяв отриманню несанкціонованого доступу до панелі співробітника. У зв’язку з доступом великої кількості осіб до панелі, яка містить дані про поточні транзакції купівлі окремих клієнтів, і враховуючи ризики, пов’язані з отриманням несанкціонованого доступу до даних, використання заходу автентифікації виключно у формі входу та паролю, було недостатнім. Національним органом з захисту даних було встановлено, що компанія порушила правила обробки персональних даних, і накладено на неї штраф у розмірі 2 830 410 злотих.

Uber

В грудні 2023 року на компанію Uber Technologies, Inc. і Uber B.V. було накладено штраф у розмірі 10 000 000 євро. 

Управління захисту даних Нідерландів (AP) наклало штраф у розмірі 10 мільйонів євро на Uber Technologies, Inc. і Uber B.V. («Uber»). Штраф є відповіддю на те, що компанією не було розкрито повну інформацію про періоди зберігання даних європейських водіїв або названо лише неєвропейські країни, в яких компанія надає ці дані. AP також виявило, що Uber перешкоджав зусиллям своїх водіїв реалізувати право на конфіденційність. AP виявило, що Uber надмірно ускладнив водіям подачу запитів на перегляд та отримання копій їхніх персональних даних. Незважаючи на те, що програма для водіїв містила форму для запиту доступу до їхніх даних, вона була розташована глибоко всередині загальної програми та розкидана по різних меню, і могла бути розміщена в більш логічному місці. Uber розглядав запити на доступ, розміщуючи інформацію у файлі, в якому персональні дані не завжди були впорядковані чітко, що ускладнювало їх інтерпретацію.

Amazon Europe Core

В червні 2022-го року на компанію Amazon Europe Core було накладено штраф у розмірі 35 000 000 євро.

Французький національний орган з захисту персональних даних (CNIL) розпочав власне розслідування щодо дотримання компанією Amazon статті 82 французького Закону про захист даних. Це розслідування щодо статті 82 призвело до рішення SAN-2020-013. CNIL оштрафував Amazon на 35 000 000 євро за неотримання попередньої згоди та відсутність інформування користувачів про їхні права щодо обробки їхніх даних (стаття 15 GDPR). Було з’ясовано, що коли користувач відвідував сайт «Amazon.fr», велика кількість файлів cookie з рекламними цілями автоматично розміщувалася на комп’ютері суб’єкта даних. Оскільки цей тип файлів cookie не був суттєвим для послуги, що надається контролером,  національний орган з захисту персональних даних  в Франції встановив, що контролер не виконав зобов’язання отримати згоду користувачів Інтернету перед розміщенням файлів cookie.

Dante International SA

В червні 2023 року на сервіс Dante International SA (найбільший інтернет-магазин в Румунії (eMAG)), було накладено штраф в розмірі 40 000 євро. 

Національний орган нагляду за обробкою персональних даних в Румунії зазначив, що повідомлення про конфіденційність контролера не містить жодної інформації щодо обробки, виконаної третіми сторонами, і передачі даних до третіх країн, що є порушенням статті 13 i 14 GDPR. Національний орган нагляду за обробкою персональних даних постановив, що контролер не мав належної правової підстави (згоди) на використання старої електронної адреси суб’єкта даних для електронних комунікацій. Враховуючи вищезазначені причини, було встановлено, що контролер:

• не обробив запити щодо прав суб’єктів даних; 
• не повідомив суб’єктів даних про обробку третіми сторонами та міжнародну передачу даних; і
• не покладався на відповідну правову основу для обробки старої адреси електронної пошти суб’єкта даних після запиту на виправлення.

AliExpress

В 2024 році Європейська комісія розслідує, чи порушив AliExpress, платформа онлайн-комерції, якою керує компанія Alibaba, Регламент Європейського парламенту та Ради від 19 жовтня 2022 року про єдиний ринок цифрових послуг (DSA). Комісія вивчить можливі порушення в різних сферах, включаючи управління ризиками, модерацію вмісту, розгляд скарг, прозорість реклами та доступ до даних. 

Таким чином, лише на основі наявних прикладів накладення штрафних санкцій, можемо побудувати наступні висновки: 

• необхідно приділити достатню увагу доступу працівників компанії до даних всіх користувачів на платформі, включно до акаунтів своїх колег; 
• компаніям слід попередньо перевіряти, як працюють механізми захисту прав користувачів – від реалізації права знати, яка особиста інформація підлягає обробці,, і до інструментів видалення та виправлення неточних або зайвих даних; 
• важливо переглянути повний механізм збору згоди на обробку будь-яких даних, від реєстрації акаунту до файлів cookie;
• не завадить здійснити спільний перегляд політики конфіденційності з юристами та користувачами платформи – чи всі елементи, передбачені законодавством, присутні, та чи зрозумілою є платформа кінцевим користувачам;
• необхідно включити до комплаєнс-планів роботу з DSA.

Однак, зазначені ризики не є виключними і підготовка відповідності не повинна базуватись лише на штрафних санкціях, які були попередньо застосовані до сервісів онлайн-маркетплейсів.

Маркетплейси, GDPR та DSA – вимоги

Нижче наведений приклад статей Загального регламента про захист даних, дотримання яких є необхідним для маркетплейсів типу користувач-користувач (C2C – eBay, OLX, Etsy). Варто зазначити, що це мінімальна та невиключна частина норм, які можуть бути застосовані до торгової онлайн платформи та наводиться для прикладу: 

• Інформація, яку необхідно надати у разі збирання персональних даних (стаття 13 GDPR). Наприклад, інформація про особу та контактні дані контролера, контактні дані співробітника з питань захисту даних (якщо такий був призначений), ціль та правові підстави для опрацювання даних (обробка замовлень, персоналізація реклами, усунення недоліків сервісу виконання юридичних зобов’язань), категорії одержувачів персональних даних (інші користувачі маркетплейсу, фінансові установи, підрядники чи рекламодавці) та ін.;
• Право суб’єкта даних на доступ (стаття 15 GDPR). Суб’єкт даних (в нашому випадку користувач маркетплейсу) повинен мати право на отримання від контролера (сервісу) підтвердження факту опрацювання його персональних даних. Сюди, зокрема, належить інформація про: категорії таких даних (ім’я, адреса та номери телефонів; інформація про оплату; вік; місцезнаходження; IP-адреса та ін.); одержувачів такої інформації, зокрема в третіх країнах (наприклад, інформація, яка надається продавцеві, який знаходиться в іншій країні); період, протягом якого такі дані будуть зберігатись (наприклад, безстроково або протягом всього часу від реєстрації до видалення акаунта користувача) та ін.; 
• Право бути забутим (стаття 16 GDPR). Маркетплейс повинен надати користувачеві право на виправлення його персональних даних. Прикладом є редагування сторінки продавця Amazon – в залежності від налаштувань облікового запису (місцезнаходження продавця) –  залежить можливість щодо реалізації товарів та послуг в країнах ЄС. Неправильне зазначення місцезнаходження може вплинути на можливість проведення розрахунків в валюті євро по відношенню до держав, які знаходяться в Європі (Amazon Seller Central Europe). Відтак, сервіс повинен надати простий і зрозумілий для використання інтерфейс для усунення або коригування інформації продавцями та користувачами;
• Безпека опрацювання (стаття 32 GDPR). Контролер (маркетплейс) і оператор (наприклад, підрядна організація) повинні врахувати технічні та організаційні заходи для забезпечення рівня безпеки відповідно до ризику, який може спричинити опрацювання персональних даних. Сюди належить шифрування персональних даних (наприклад Amazon RDS – шифрування баз даних в сховищі), здатність забезпечувати конфіденційність інформації (за допомогою архітектури самого додатку), здатність своєчасно відновлювати доступ до персональних даних у випадку технічних аварій (інцидентах безпеки) та регулярне тестування технічних і організаційних заходів для гарантування безпеки опрацювання. 
• Оцінка впливу на захист даних (стаття 35 GDPR). Контролер (маркетплейс) у  випадку виникнення високого ризику для прав і свобод фізичних осіб, до здійснення опрацювання повинен провести оцінювання впливу передбачених операцій опрацювання на захист персональних даних. Така оцінка, зокрема, необхідна у випадках систематичного та масштабного оцінювання персональних аспектів, що стосуються фізичних осіб, яке ґрунтується на автоматизованому опрацюванні. Прикладом такого опрацювання є прогнозування особистих вподобань, інтересів, поведінки та місцезнаходження. Відповідне опрацювання здійснюють такі сервіси, як платформа OLX (п. 4.1.7. Політики конфіденційності сервісу: оцінка деяких факторів особистої інформації, зокрема, для аналізу та прогнозування особистих уподобань, інтересів, поведінки та місцезнаходження), Amazon (між контекстна поведінкова реклама) та ін. Непроведення вказаної оцінки є, зокрема, порушенням статті 5 Регламенту – принципів обробки персональних даних. 
• Передача персональних даних до третіх країн (стаття 44-49 GDPR). Маркетплейс може ділитись особистою інформацією користувачів, зокрема передавати дані до третьої країни, в наступних випадках, але не обмежуючись ними: 

– операції за участю третіх сторін (наприклад, коли споживач купує товари в продавця місцезнаходження якого є за кордоном); 

– стороннім постачальникам послуг (виконання замовлень, здійснення послуг доставки, скорингу);

– передача бізнес-активів;

– для дотримання вимог законодавства (з метою зниження кредитного ризику, уникнення шахрайства тощо).

Передача персональних даних користувачів до третьої країни також може відбуватись, якщо третя країна забезпечує належний рівень захисту даних або ж якщо контролер чи оператор надали належні гарантії (наприклад, у формі спеціально укладеного Data Processing Agreement).

Digital Services Act

Окрім GDPR, питання захисту персональних даних користувачів регулює також  і Регламент Європейського парламенту та Ради від 19 жовтня 2022 року про єдиний ринок цифрових послуг. 25 серпня 2023 року DSA набув чинності для дуже великих онлайн-платформ та онлайн-пошукових систем. 

Закон про цифрові послуги (DSA) регулює зобов’язання цифрових служб, у тому числі маркетплейсів, які діють як посередники у своїй ролі зв’язку споживачів із товарами, послугами та контентом. Частина 1 статті 2 DSA вказує, що цей Регламент застосовується до посередницьких послуг, які пропонуються одержувачам послуг, які мають місце представництва або розташовані в Союзі, незалежно від місця представництва постачальників цих посередницьких послуг. Онлайн-платформа, згідно з визначенням DSA, є послугою хостингу, яка за запитом одержувача послуги зберігає та поширює інформацію для громадськості. Це включає в себе онлайн-ринки, магазини програм, платформи спільної економіки та платформи соціальних мереж.

Детальніше про обовʼязки, які покладає DSA на компанії, можна прочитати в нашій статті про Digital Services Act: “Що зміниться для онлайн-платформ у 2024”. 

Рекомендації для маркетплейсів

Враховуючи доволі широкий спектр контролів, які необхідні для дотримання  Регламента, доцільним є вжиття наступних заходів для досягнення відповідності його положенням: 

• дотримання концепції захисту даних за призначенням і за замовчуванням (data protection by default / by design) на ранній стадії створення маркетплейсу. Під час розробки відповідного сервісу, необхідним є визначення засобів обробки, зокрема, під час самої обробки, впровадження відповідних технічних та організаційних заходів, таких як псевдонімізація, та інтеграція необхідних гарантій в процес обробки персональних даних.
• визначення необхідності призначення DPO (Data protection officer), – особи,  відповідальної за контроль по дотриманню Регламента, співпрацю з контролюючими органами, надання консультацій щодо оцінки впливу на захист даних та інші необхідні функції. 
• визначення необхідності проведення DPIA перед обробкою персональних даних, оскільки діяльність маркетплейсу пов’язана з обробкою великої кількості персональних даних користувачів, а також часто пов’язана з систематичною та широкою оцінкою особистих аспектів, що стосуються фізичних осіб, яка ґрунтується на автоматизованій обробці.
• розробка Privacy Policy, Data retention policy, а також іншої обов’язкової зовнішньої та внутрішньої документації, а також документації, яка у випадку запиту DPA здатна продемонструвати заходи, вжиті маркетплейсом на дотримання вимог законодавства;
• регулярне повідомлення користувачів про зміни в Політиці конфіденційності та інших документах, які спрямовані на інформування користувача про порядок та обсяг обробки персональних даних сервісом;
• ведення реєстру діяльності з обробки даних (records of processing activities) із зазначенням, які дані обробляються та стосовно яких категорій (користувачі, потенційні клієнти) із зазначенням необхідності та правової підстави обробки; 
• розробка положень в умовах використання платформи в частині діяльності продавців, які також повинні дотримуватись умов GPPR, а також регулярна перевірка своїх контрагентів (рітейлерів) на предмет відповідності не тільки GDPR, а й іншому законодавству ЄС;
• проведення регулярних внутрішніх аудитів на предмет відповідності діяльності маркетплейса законодавству про захист персональних даних – зокрема в частині, яка підлягає уникненню показів реклами одержувачам послуг на основі профілювання та неповнолітнім;
• навчання персоналу за допомогою програм підвищення обізнаності (GDPR awareness programs). Такі програми або тренінги допоможуть працівникам ознайомитись з правилами захисту персональних даних на робочому місці та поза ним;
• регулярний перегляд та оновлення політик щодо файлів cookie для вебсайту. 

Якщо ж у вас залишились запитання щодо комплаєнсу та GDPR для вашого маркетплейсу – обовʼязково звертайтесь до команди з захисту персональних даних Legal IT Group.