GDPR (Genel Veri Koruma Tüzüğü) ve CNIL (Commission Nationale de l'Informatique et des Libertés) yönergeleri, Fransa'da faaliyet gösteren e-ticaret operatörlerine katı yükümlülükler getirmektedir. CNIL, yılda 400'den fazla denetim ve önemli para cezaları siciliyle GDPR uygulamasında özellikle aktif olan Fransız veri koruma otoritesidir. Uyumsuzluk, 20 milyon €'ya veya küresel yıllık cironun %4'üne kadar (hangisi yüksekse) para cezasıyla sonuçlanabilir ve bu da Fransız tüketicileri hedefleyen her işletme için uyumluluğu zorunlu kılar.
Çerez ve izleyici yönetimi
CNIL, 2020 yönergelerine uygun olarak zorunlu olmayan çerezlerin yerleştirilmesinden önce açık, özgür ve bilgilendirilmiş onay gerektirir. Uyumlu onay banneri, kullanıcıların eşit kolaylıkla çerezleri kabul etmesine, reddetmesine veya özelleştirmesine olanak tanımalıdır – "Tümünü Reddet" düğmesi "Tümünü Kabul Et" kadar belirgin olmalıdır. Analitik çerezleri (Google Analytics, Facebook Pixel) ve reklam çerezleri etkinleştirmeden önce önceden onay gerektirir. CNIL, uyumsuzluk için önemli para cezaları uygulamıştır: 2022'de çerez reddini kabul etmekten daha zor hale getirdikleri için Google'a 150 milyon € ve Facebook'a 60 milyon €. Matomo (muaf modda yapılandırılmış) veya Plausible Analytics gibi gizliliğe saygılı alternatifler, CNIL'in kitle ölçümü muafiyeti için belirli koşullarını karşılamaları halinde onay olmadan kullanılabilir.
Gizlilik politikası ve yasal bildirimler
E-ticaret siteniz şunları belirten açık ve kapsamlı bir gizlilik politikası sunmalıdır: veri sorumlusunun kimliği, toplanan veri kategorileri (ad, e-posta, adres, satın alma geçmişi, gezinme verileri), işleme amaçları, hukuki dayanak (onay, sözleşme ifası, meşru menfaat), veri alıcıları (işleyiciler, ortaklar), saklama süreleri (potansiyel müşteriler için son temastan sonra maksimum 3 yıl, müşteriler için sözleşme süresi artı 5 yıl), varsa AB dışına transferler ve bireysel haklar. LCEN (Dijital Ekonomide Güven Yasası) kapsamındaki zorunlu yasal bildirimler de sitede yer almalıdır: şirket adı, SIRET numarası, kayıtlı adres, yayın müdürü ve barındırma sağlayıcı bilgileri.
Müşteri hakları ve talep yönetimi
Müşteriler GDPR kapsamında geniş haklara sahiptir: erişim hakkı (verilerinin bir kopyasını alma), düzeltme hakkı, silme hakkı ("unutulma hakkı"), veri taşınabilirliği hakkı (yapılandırılmış formatta veri alma), itiraz hakkı (özellikle profilleme ve ticari tanıtıma karşı) ve işlemenin kısıtlanması hakkı. Bu taleplere bir ay içinde yanıt verebilmeniz gerekir, karmaşık talepler için iki ay uzatılabilir. DPO (Veri Koruma Sorumlusu), temel faaliyeti bireylerin düzenli ve sistematik olarak büyük ölçekte izlenmesini içeren işletmeler için zorunludur – bu, davranışsal izleme ve kişiselleştirme yapan birçok e-ticaret operasyonunu kapsar.
Veri güvenliği ve teknik uyumluluk
SSL/TLS şifrelemesi sadece ödeme sayfaları için değil, sitenizin tüm sayfaları için zorunludur. Ödeme verileri PCI-DSS standartlarına uygun olmalıdır – sunucularınızda asla tam kart numaralarını saklamayın, bunun yerine tokenizasyon kullanın. Parolalar sağlam algoritmalarla (bcrypt, Argon2) hash'lenmeli ve erişim en az yetki ilkesine göre katı gereklilikle sınırlandırılmalıdır. GDPR'ın 30. maddesine uygun işleme kaydı tutun ve yüksek riskli işleme faaliyetleri için Veri Koruma Etki Değerlendirmesi (DPIA) yapın. Veri ihlali durumunda CNIL'e bildirim 72 saat içinde yapılmalıdır. Zunapro, ilk denetim, teknik uyumluluk uygulaması ve sürekli izleme dahil olmak üzere Fransa'daki e-ticaret platformunuz için tam GDPR uyumluluğunu sağlar.
