A webáruházak működése elválaszthatatlan a nagymértékű személyesadat-kezeléstől. Az online vásárlások a tranzakció teljes életciklusa során – a rendelés leadásától és a fizetéstől kezdve a kiszállításon át az ügyfélkommunikációig – személyes adatok kezelésével járnak. A gyakorlatban számos webáruház úgy kezeli ezeket az üzleti igényeket, hogy a vásárlás előtt kötelezővé teszi a felhasználói fiók létrehozását. Bár ez a megoldás egyértelmű üzleti előnyökkel járhat, a kötelező regisztráció több jogi kérdést vet fel a GDPR alapján, különösen az érvényes jogalap meghatározása, valamint a jogszerűség, tisztességesség, átláthatóság és adattakarékosság elvének betartása tekintetében.
Az Európai Adatvédelmi Testület (EDPB) – a GDPR tagállamok közötti egységes értelmezéséért felelős uniós szerv – 2/2025. számú ajánlásában ismertette, hogy a vállalkozások mikor követelhetik meg felhasználói fiók létrehozását webáruházaikban, és milyen jogalapok jöhetnek szóba. A fiók létrehozásának megkövetelése jellemzően növeli az adatvédelmi kockázatokat.
A kulcskérdés az, hogy a kötelező fiók valóban szükséges-e a megjelölt cél eléréséhez, illetve létezik-e azonos eredményre vezető, kevésbé adatintenzív megoldás.
Az EDPB álláspontja szerint a kötelező fiók csak szűk körben indokolható, például, ha egy előfizetéses szolgáltatás nyújtásához időben ismétlődő, hitelesített interakciók szükségesek vagy ha a hozzáférés egy ténylegesen zárt közösségre korlátozódik, amelynek tagjai meghatározott, igazolt jellemzőkkel rendelkeznek, és maga a tagság a szolgáltatás lényegi eleme. Ilyen esetekben a fiók létrehozásának előírása szükségesnek minősülhet a szolgáltatás teljesítéséhez, de kizárólag akkor, ha a szigorú szükségesség bizonyított, nem áll rendelkezésre azonos hatékonyságú, kevésbé beavatkozó alternatíva, és a fiók fenntartása a jogviszony időtartamára korlátozódik.
Ezzel szemben az olyan „exkluzív ajánlatok”, amelyek valójában bárki számára elérhetők regisztráció után, nem minősülnek zárt közösségnek, és ezért nem felelnek meg a szükségességi tesztnek.
Mi nem indokolja a kötelező fiókot?
- Az egyszeri vásárlás fiók nélkül is biztosítható, amit széles körben alkalmazott vendégként történő fizetési modellek igazolnak.
- A rendeléskövetés és a vásárlás utáni módosítások megoldhatók linkeken, e-maileken vagy biztonságos űrlapokon keresztül, állandó fiók létrehozása nélkül.
- Az értékesítés utáni szolgáltatások (visszaküldés, panaszkezelés, jótállás), valamint a fogyasztói vagy adatvédelmi jogok gyakorlása nem igényel felhasználói fiókot; az azonosítás más csatornákon keresztül is biztosítható, és a vállalkozásoknak ezeket a kötelezettségeket a fiók meglététől függetlenül teljesíteniük kell.
- A vásárlói hűségépítés, az ismételt vásárlások megkönnyítése és más kényelmi célok általában nem tekinthetők szigorúan szükségesnek és a vásárlás időpontjában észszerűen nem is várhatók el; illetve sok esetben hozzájárulást igényelnek, és a személyre szabáshoz a cookie- és nyomkövetési szabályoknak is meg kell felelniük.
- A csalásmegelőzés, bár önmagában legitim cél lehet, általában nem indokolja a kötelező fiók létrehozását, mivel léteznek kevésbé beavatkozó és hatékony intézkedések, és valószínűleg a szükségességi és érdekmérlegelési tesztek nem teljesülnek.
Vendégként történő fizetés és beépített adatvédelem
Az EDPB határozottan ösztönzi a vendégként történő fizetés lehetőségének biztosítását, amely lehetővé teszi a felhasználók számára, hogy fiók létrehozása nélkül fejezzék be a tranzakciókat, mivel ez általában a leginkább adatvédelem-barát és hatékony megközelítés. A vendégként történő fizetés növeli továbbá az átláthatóságot, mivel világossá teszi, hogy csak azokat az adatokat kezelik, amelyek a vásárlás teljesítéséhez szükségesek.
Ha a vállalkozás által alkalmazott kötelező fiókregisztrációs gyakorlat nem felel meg a GDPR előírásainak, az jogsértésnek minősül, és Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) eljárását vonhatja maga után. A kiszabható közigazgatási bírság összege elérheti a 20 millió eurót vagy a vállalkozás globális éves árbevételének 4%-át.
Forrás: Jogászvilág (https://jogaszvilag.hu/szakma/kotelezo-felhasznaloi-fiokok-a-webaruhazakban-adatvedelmi-kockazatok-es-lehetseges-birsagok/)