Въведение

Ecommerce Europe е гласът на сектора на електронната търговия в Европа, представляващ интересите на компаниите, продаващи стоки и услуги онлайн на потребителите в Европа. Нашата мисия е да действаме на ниво ЕС, като се ангажираме с политиците за създаване на по-добра регулаторна рамка за всички електронни търговци. Ние вярваме, че ЕС притежава много пълна и гъвкава законодателна рамка, в която съществуващите правила на ЕС за потребителите, определени в Директивата за нелоялни търговски практики (UCPD), Директивата за правата на потребителите (CRD), Общия регламент за защита на данните (GDPR), както и новите правила, въведени от Закона за цифровите услуги (DSA), Закона за цифровите пазари (DMA), Закона за данните или Закона за изкуствения интелект (AI), могат и ще се справят с предизвикателствата, породени от цифровата ера. Нашите членове винаги се стремят да осигурят високо ниво на съответствие със съществуващата правна рамка, като същевременно активно допринасят за текущите дебати, така че да могат да бъдат направени подобрения в областта на прилагането, тълкуването и хармонизирането.

Българска Е-комерс Асоциация (БЕА) е активен член на Ecommerce Europe и напълно подкрепя настоящата позиция и съдейства за нейното разпространение до отговорните институции.

С настоящия документ Ecommerce Europe би искала да сподели своите опасения по отношение на дискусията, която се провежда на национално и европейско ниво относно задължителното създаване на акаунт в уебсайтове за електронна търговия. Ние вярваме, че е важно да разсеем негативните перспективи по отношение на клиентските акаунти и да обясним защо те са важни както за потребителите, така и за продавачите. Това е особено необходимо в светлината на дискусиите, които се провеждат в рамките на Европейския съвет за защита на данните (EDPB), административната глоба[1], наложена от финландската служба на омбудсмана за защита на данните на Verkkokauppa.com, както и позицията, заета от Datenschutzkonferenz[2] (DSK) в Германия и проектопозицията, взета от Националната комисия по информация и свободи[3]  (CNIL) във Франция.

Ключови изводи

  • Потребителските акаунти позволяват рационализирано преживяване при пазаруване и по-добро обслужване на клиентите.
  • Режимът за гости не ограничава количеството лични данни, които трябва да се обработват и съхраняват, когато се прави онлайн поръчка, но крие рискове за сигурността и предотвратяване на измами;
  • Съществува жизненоважна необходимост от съгласуване на политиката за потребителите с целите за защита на данните чрез конструктивен диалог между институциите и заинтересованите страни.
  • Трябва да се даде пропорционалност на всяка мярка, за да се отговори както на нуждите на компанията, така и на потребителите и да се благоприятства подходът за всеки отделен случай.


Защо клиентските акаунти са важни

Създаването на акаунт е основен инструмент, който осигурява ползи както за потребителите, така и за продавачите. Изживяването на клиентите е значително подобрено чрез създаване на акаунт, тъй като позволява на потребителите да се възползват от персонализирано изживяване, повишена сигурност и по-добра поддръжка на клиентите.

  • Персонализирано изживяване при пазаруване

Притежавайки акаунти, потребителите могат да следят стоките, които са закупили, и да имат достъп до разписките си за пазаруване. Те могат лесно да анулират поръчки или да закупят отново същите стоки, ако желаят. В някои случаи потребителите имат възможност активно да проследяват доставката на своята поръчка директно от страницата на акаунта. Такива функции позволяват на клиентите да се възползват от актуализации на живо и подобрено цялостно изживяване. В допълнение, наличието на акаунт позволява на потребителите да имат по-бързо и по-добро изживяване с поддръжката на клиенти, тъй като това дава на екипите за поддръжка бърз достъп до страницата с информация, необходима за бързо разрешаване на проблеми на клиентите.

Трябва също така да се подчертае, че електронната търговия не е само събитието на покупката, тя е цялостното изживяване на клиента. Доклад на McKinsey[4] от 2021 г. показа, че 71% от потребителите очакват компаниите да предоставят персонализирани взаимодействия, а 76% се разочароват, когато това не се случи. Това означава, че персонализираното изживяване се е превърнало в общо очакване за онлайн купувачите и създаването на акаунт е един от ключовите инструменти, който позволява на компаниите да го доставят. Създаването на акаунт позволява на компаниите да предлагат поддръжка по време на пътуването на клиента, например персонализирани препоръки, базирани на историята на покупките на клиента, могат да помогнат за намаляване на връщането на продукти, особено в модната индустрия, като помагат на клиентите да изберат правилния си размер. В маркетплейсите например клиентските акаунти позволяват по-голяма персонализация, позволявайки на клиентите да имат достъп до по-широк и по-персонализиран асортимент от продукти и продавачи на едно място. И накрая, важно е да се подчертае, че потребителите, които желаят да изтрият своите акаунти по някаква причина, винаги ще имат възможност да го направят по всяко време. Това е функция, която вече е добре установена и гарантирана от правото да бъдеш забравен съгласно член 17 от GDPR.

  • Режимът за гости крие рискове за сигурността и предотвратяване на измами

Режимът за гости е отворена врата за всички видове схеми за измами, включително измами със самоличност, измами с плащания, пробиви на данни или течове. Когато потребителите решат да използват режим на гост, за да направят покупка, те смятат, че спестяват време, като пазаруват по-бързо, докато всъщност се излагат на повишен риск от измами и изтичане на данни. Наличието на сигурно съхраняване и достъп до личните данни на клиента чрез клиентския акаунт позволява на продавача да защити клиентите си правилно. Следователно трябва да се подчертае, че режимът за гости подкопава една от основните цели на GDPR, която е да гарантира защитата на личните данни. Също така е важно да се отбележи, че клиентският акаунт не ограничава количеството лични данни, които трябва да се обработват при извършване на онлайн покупка, тъй като количеството лични данни, което трябва да се обработва в момента на покупката, е по-голямо от това, което обикновено се обработва при създаване на акаунт .

В допълнение, създаването на акаунт позволява на администратора на данни надеждно да идентифицира субекта на данните и да поддържа сигурен комуникационен канал, гарантиращ сигурен обмен на информация, мнение, споделено и от CNIL. Алтернативната възможност за създаване на акаунт би била предаване на връзки чрез имейли или SMS съобщения. От наша гледна точка такъв метод би се оказал силно неефективен и податлив на рискове за сигурността. Често хакерите използват точно този метод, за да убедят потребителите да кликнат върху измамни връзки от имейли или SMS съобщения. След това тези връзки пренасочват потребителите към страници, където устройствата им или се заразяват със зловреден софтуер, или потребителите предоставят чувствителна информация, която иначе не биха предоставили. В крайна сметка ще има значителен спад в нивото на сигурност.

Друга защита за клиентите с акаунти е повишеното доверие. Като имат акаунти, потребителите могат да оставят автентични отзиви, в които могат да опишат подробно своя положителен или отрицателен опит със скорошната си покупка. Отварянето на възможността за всеки потребител да изпраща отзив със сигурност ще доведе до вълна от фалшиви отзиви. Това не само би подкопало доверието на потребителите и би навредило на репутацията и имиджа на уеб магазина, но също така би противоречало на целта на Европейската комисия отзивите да бъдат по-прозрачни и надеждни, както е подчертано в нейното обещание за защита на потребителите[5].

Чрез своите акаунти клиентите също така се възползват от прости и лесно достъпни функции за упражняване на потребителските си права, мярка също в съответствие с обещанието на Европейската комисия за защита на потребителите. Например, клиентите се възползват от намалени усилия, когато въвеждат отново всички свои данни в случаите, когато желаят да упражнят правата си на отказ, анулиране, възстановяване на суми или за правна гаранция. Чрез потребителския акаунт субектите на данни могат също директно да упражняват правата си на достъп (член 15 от GDPR) и коригиране (член 16 от GDPR). Посредством акаунта потребителите не трябва да търсят своите лични данни, номер на поръчка или други категории информация, тъй като това вече би съществувало в системата. Всичко това се очаква от онлайн клиентите и е активирано чрез клиентския акаунт за повече удобство.

Създаването на акаунт също е добре установен механизъм за продавачите за предотвратяване на злонамерени ботове, управлявани от скалпери, от злоупотреба с функцията за покупка, за да придобият голяма част от определена категория стоки с цел препродажбата им на завишена стойност. Този вид практики често водят до недоволство на клиентите, увреждане на репутацията на марката и дори загуба на приходи. Членове, предлагащи модерни продукти, съобщиха, че до 80% от определени рекламни артикули са били купени от ботове, преди да бъдат въведени допълнителни мерки за сигурност (включително по-стабилни връзки към клиентски акаунти).

Необходимостта от холистични процеси и решения

  • Насърчаване на конструктивен диалог между институциите и заинтересованите страни

Важно е да се отбележи, че задължителното създаване на клиентски акаунт не е нова практика, нито се счита за нелоялна или агресивна търговска практика съгласно правото на ЕС за защита на потребителите. Ние вярваме, че има решаваща необходимост от съгласуване на потребителската политика с целите за защита на данните чрез конструктивен диалог между институциите. Споменатата по-рано дискусия относно прегледите подчертава как целите на потребителите могат да бъдат подкопани от позициите, заети от органите за защита на данните, и обратно. Без по-координиран подход припокриващите се задължения биха могли също да доведат до повишена правна несигурност за бизнеса, което да доведе до трудности при спазването и повишен риск от правни спорове. Важността на конструктивния диалог между властите и институциите не може да бъде подценена.

Конструктивният диалог със заинтересованите страни също е от решаващо значение, тъй като това е най-добрият начин да се разберат ползите от клиентските акаунти, както и да се избегне объркване относно сектора на електронната търговия като цяло. Забелязахме например, че проектопозицията на CNIL прави поредица от заключения въз основа на съображения, които не са непременно доказани като верни в нашия собствен опит с играчите в електронната търговия. Проектопозицията твърди, че три четвърти от потребителите не купуват отново от уебсайт, от който вече са купували веднъж. Ние оспорваме това твърдение, тъй като доказателствата в подкрепа на подобно твърдение нямат никаква научна подкрепа. Единствената препратка, направена от CNIL в този случай, е тази от обяснителен меморандум (вижте тук), който подкрепя внасянето на законопроект във френския сенат. Такива данни обаче трябва да се основават на доказателства и проучвания в подкрепа на твърдението, а не на препратка към блог, който към момента на писане на тази позиция вече не съществува.

Признаваме, че може да има някои въпроси относно повтарящите се клиенти. Според нас обаче вече има механизми за справяне с това. Задължителното създаване на акаунт винаги се балансира от възможността потребителите да изтрият своите акаунти по всяко време. В това отношение трябва да се даде пропорционалност на всяка мярка, за да се отговори на опасенията както на компанията, така и на субекта на данни.

  • Защита на принципите на GDPR за минимизиране и отчетност

Трябва да се отбележи, че принципът на минимизиране при събирането и обработването на лични данни (член 5.1.c от GDPR) няма да бъде подсилен чрез налагането на задължителен режим на “гост”. Създаването на клиентски акаунт само по себе си не води до събиране и обработка на данни, които са ненужни за целите на обработката. Данните за клиентските акаунти винаги остават обхванати от принципите на GDPR за обработка на данни, включително ограничение на целта. Алтернативата за режим на “гост” не би ограничила количеството лични данни, които трябва да бъдат обработени, тъй като обемът на личните данни, които трябва да бъдат обработени по време на покупката, е по-голям (адрес и информация за плащане) от този, който обикновено се обработва при създаване на акаунт (което само изисква предоставяне на име, фамилия, имейл адрес и парола). Освен това трябва да се съхранява информация, позволяваща на потребителите да упражняват някои от правата си, като например законовата гаранция за съответствие в продължение на 2 години, или на електронните търговци да изпълняват фискални задължения (фактуриране за много по-дълго време в зависимост от държавите-членки). В допълнение, последните разпоредби изискват платформите за електронна търговия да следят историята на покупките в продължение на 6 месеца в случаите, когато потребителите трябва да бъдат информирани за закупуване на незаконен или опасен продукт (съгласно Закона за цифровите услуги и Общия регламент за безопасност на продуктите), независимо от създаването на задължителен акаунт или режим “гост”. В това отношение би било подвеждащо за потребителите да се внушава идеята, че използването на режим „гост“ би намалило значително събирането на данни и тяхното съхранение.

Също така искаме да подчертаем, че в съответствие с принципа на отчетност, отговорност на администратора на данни е да определи кои операции по обработване са необходими за дадена цел и приложимото правно основание, дори ако това остава обект на последващ контрол от компетентния орган за защита на данните. Критериите за оценка трябва винаги да се прилагат и оценяват за всеки отделен случай. Превръщайки режима на гост в хоризонтално задължение и фокусирайки се върху максималистично универсално тълкуване на закона, подходът за всеки отделен случай, произтичащ от връзката между продавача и клиента, ще бъде пренебрегнат. Дори ако правилата не бяха предписателни, подобни препоръки биха се отклонили от гъвкавостта, произтичаща от насоките, публикувани от G29[6] и от EDPB[7].

  • Гарантиране на свободата на търговеца да извършва бизнес

Както е посочено в съображение 4 от GDPR, правото на защита на личните данни не е абсолютно право и винаги трябва да бъде балансирано спрямо други основни права, включително свободата на стопанска дейност, и в съответствие с принципа на пропорционалност. Изискването или не  за създаването на акаунт е бизнес решение на търговеца, право в рамките на свободата на търговеца да извършва бизнес. В позицията си DSK възприема едностранчив подход, като се фокусира стриктно върху правата на потребителя и пренебрегва „свободата на избор на професия и правото на създаване и управление на бизнес“[8]. Последвалите правни анализи показват, че подходът на DSK може да противоречи на германските конституционни права[9].  Освен това трябва да се подчертае, че мнението на DSK не се споделя от най-голямата асоциация за защита на данните в Германия, Gesellschaft für Datenschutz und Datensicherheit (GDD), която твърди[10], че решението на DSK противоречи на съдебната практика на Федералния конституционен съд.

Смятаме също, че е важно да подчертаем, че потребителите винаги могат свободно да решат къде да пазаруват. Много рядко се случва даден продукт да се предлага само на един уебсайт за електронна търговия или на друго място за продажба на дребно. Обратно, търговците на дребно в по-голямата част от случаите не са задължени да правят бизнес с потребител, който не желае да приеме условията, предлагани от търговеца на дребно, стига те да са недискриминационни и да са в съответствие с регулацията на потребителските договори . Вярваме, че това трябва да е така и когато доставчикът на уебсайта за електронна търговия изисква използването на клиентски акаунти, тъй като в тези случаи потребителят може лесно да направи покупката другаде.

  • Повишени общи разходи за МСП и създаване на нови нарушения на конкуренцията  

Също така е важно да се вземе предвид, че въвеждането на изискване за компаниите да предлагат режим на „гости“ би довело до огромни разходи за всички онлайн магазини, особено за малки и средни предприятия (МСП) и много малки предприятия (микропредприятията). Те ще трябва да преработят напълно както своя уебсайт, така и системите си за мобилни приложения, за да приспособят функционалността за плащане на гостите, което ще доведе до значителни разходи. Впоследствие компаниите непрекъснато ще понасят повече разходи, свързани с допълнителен персонал, отговорен за поддръжката на уеб сайта и приложенията, както и очакваното увеличение на наемането на нов персонал за предоставяне на висококачествено обслужване на клиентите.

И накрая, налагането на задължителен режим на „гост“ може да въведе нови предизвикателства, свързани с прилагането, особено за несъответстващите продавачи, работещи на европейския пазар извън европейски юрисдикции. Такива участници са трудни за регулиране и няма причина да се смята, че тези играчи биха наложили това ново задължение по-добре от всяко друго правило, свързано със защитата на данните. Следователно съществува риск участници от трети държави, които не отговарят на изискванията, да продължат да предоставят на европейските потребители безпроблемно потребителско изживяване чрез задължителни клиентски акаунти, без да бъдат обременени от допълнителни разходи за ИТ или потребителски услуги, като по този начин създават нарушения на конкуренцията на пазара.


Заключителни бележки

Насърчаваме създателите на политики да обмислят всяко отразяване, свързано със създаването на акаунт, за да спазват вече съществуващото законодателство, както и да имат предвид различията между държавите-членки. Изложените по-горе аргументи показват необходимостта да не се обобщава прекалено, тъй като правните традиции на държавите-членки се различават в много отношения. Тази практика осигурява дълъг списък от предимства както за потребителите, така и за бизнеса, включително помага на продавачите да предотвратят потребителите да попаднат във всякакви схеми за измами. Поради това бихме препоръчали да не се прилага обща забрана за задължително създаване на акаунт и насърчаваме органите за защита на данните да оценят прилагането на GDPR във връзка с принципа на отчетност. Ако можем да предоставим допълнителна информация по този въпрос, моля, не се колебайте да се свържете с нас.


[1] Прессъбщението е публикувано тук: https://tietosuoja.fi/en/-/administrative-fine-imposed-on-verkkokauppa.com-for-failing-to-define-storage-period-of-customer-data-requiring-customers-to-register-was-also-illegal

[2] https://www.datenschutzkonferenz-online.de/media/dskb/20222604_beschluss_datenminimierung_onlinehandel.pdf

[3] Проект на позиция на CNIL относно задължението за създаване на потребителски акаунт за извършване на онлайн покупка.

[4] https://www.mckinsey.com/capabilities/growth-marketing-and-sales/our-insights/the-value-of-getting-personalization-right-or-wrong-is-multiplying

[5] https://commission.europa.eu/document/8d85b491-81d4-487e-9de9-cb071c8dba41_en

[6] Становище 06/2014 относно понятието за законни интереси на администратора на данни съгласно член 7 от Директива 95/46/ЕО, страници 26-27

[7] Насоки 2/2019 относно обработването на лични данни съгласно член 6, параграф 1, буква б) от GDPR в контекста на предоставянето на онлайн услуги на субекти на данни

[8] https://www.reuschlaw.de/en/news/data-protection-in-e-commerce-guest-accounts-required/

[9] https://www.reuschlaw.de/en/news/data-protection-in-e-commerce-guest-accounts-required/

[10] https://www.gdd.de/aktuelles/gdd-stellungnahme-zum-dsk-beschluss/

Share this post