Kötelező felhasználói fiókok a webáruházakban: adatvédelmi kockázatok és lehetséges bírságok
Ilyen lépték mellett a webáruházak működése elválaszthatatlan a nagymértékű személyesadat-kezeléstől. Az online vásárlások a tranzakció teljes életciklusa során – a rendelés leadásától és a fizetéstől kezdve a kiszállításon át az ügyfélkommunikációig – személyes adatok kezelésével járnak. A gyakorlatban számos webáruház úgy kezeli ezeket az üzleti igényeket, hogy a vásárlás előtt kötelezővé teszi a felhasználói fiók létrehozását. Bár ez a megoldás egyértelmű üzleti előnyökkel járhat, a kötelező regisztráció több jogi kérdést vet fel a GDPR alapján, különösen az érvényes jogalap meghatározása, valamint a jogszerűség, tisztességesség, átláthatóság és adattakarékosság elvének betartása tekintetében.
Az EDPB 2/2025. számú ajánlása: mi a probléma a kötelező felhasználói fiókokkal?
Az Európai Adatvédelmi Testület (EDPB) – a GDPR tagállamok közötti egységes értelmezéséért felelős uniós szerv – 2/2025. számú ajánlásában ismertette, hogy a vállalkozások mikor követelhetik meg felhasználói fiók létrehozását webáruházaikban, és milyen jogalapok jöhetnek szóba. Az EDPB kiindulópontja egyszerű: a fiók létrehozásának megkövetelése jellemzően növeli az adatvédelmi kockázatokat, a fokozott nyomon követéstől és profilalkotás lehetőségétől kezdve a vásárlási és kapcsolattartási adatok hosszabb megőrzésén át az inaktív vagy „árva" fiókokkal járó biztonsági kitettségig. Ezen kockázatok miatt az EDPB szigorú megközelítést alkalmaz annak megítélésére, hogy mikor tehető a vásárlás feltételévé a felhasználói fiók létrehozása.
A kulcskérdés az, hogy a kötelező fiók valóban szükséges-e a megjelölt cél eléréséhez, illetve létezik-e azonos eredményre vezető, kevésbé adatintenzív megoldás.
Mikor igazolható a kötelező fiók?
Az EDPB álláspontja szerint a kötelező fiók csak szűk körben indokolható, például ha egy előfizetéses szolgáltatás nyújtásához időben ismétlődő, hitelesített interakciók szükségesek vagy ha a hozzáférés egy ténylegesen zárt közösségre korlátozódik, amelynek tagjai meghatározott, igazolt jellemzőkkel rendelkeznek, és maga a tagság a szolgáltatás lényegi eleme. Ilyen esetekben a fiók létrehozásának előírása szükségesnek minősülhet a szolgáltatás teljesítéséhez, de kizárólag akkor, ha a szigorú szükségesség bizonyított, nem áll rendelkezésre azonos hatékonyságú, kevésbé beavatkozó alternatíva, és a fiók fenntartása a jogviszony időtartamára korlátozódik.
Ezzel szemben az olyan „exkluzív ajánlatok", amelyek valójában bárki számára elérhetők regisztráció után, nem minősülnek zárt közösségnek, és ezért nem felelnek meg a szükségességi tesztnek.
Mi nem indokolja a kötelező fiókot?
Az EDPB ajánlása szerint a webáruházak mindennapos működése során a vállalkozások a legtöbb esetben nem tudják igazolni a kötelező regisztráció szükségességét, ezért a vásárlást nem tehetik felhasználói fiók létrehozásának feltételévé – tipikusan az alábbi helyzetekben:
Az egyszeri vásárlás fiók nélkül is biztosítható, amit széles körben alkalmazott vendégként történő fizetési modellek igazolnak.
A rendeléskövetés és a vásárlás utáni módosítások megoldhatók linkeken, e-maileken vagy biztonságos űrlapokon keresztül, állandó fiók létrehozása nélkül.
Az értékesítés utáni szolgáltatások (visszaküldés, panaszkezelés, jótállás), valamint a fogyasztói vagy adatvédelmi jogok gyakorlása nem igényel felhasználói fiókot; az azonosítás más csatornákon keresztül is biztosítható, és a vállalkozásoknak ezeket a kötelezettségeket a fiók meglététől függetlenül teljesíteniük kell.
A vásárlói hűségépítés, az ismételt vásárlások megkönnyítése és más kényelmi célok általában nem tekinthetők szigorúan szükségesnek és a vásárlás időpontjában észszerűen nem is várhatók el; illetve sok esetben hozzájárulást igényelnek, és a személyre szabáshoz a cookie- és nyomkövetési szabályoknak is meg kell felelniük.
A csalásmegelőzés, bár önmagában legitim cél lehet, általában nem indokolja a kötelező fiók létrehozását, mivel léteznek kevésbé beavatkozó és hatékony intézkedések, és valószínűleg a szükségességi és érdekmérlegelési tesztek nem teljesülnek.
Összességében tehát – az előfizetéses modellekhez vagy valóban zárt tagsági közösségekhez hasonló, szűk körű eseteket leszámítva – a kötelező fiókregisztráció általában nem felel meg a jogszerű adatkezelés feltételeinek, mivel ugyanazon célok elérésére kevésbé beavatkozó eszközök is rendelkezésre állnak.
Vendégként történő fizetés és beépített adatvédelem
Az EDPB határozottan ösztönzi a vendégként történő fizetés lehetőségének biztosítását, amely lehetővé teszi a felhasználók számára, hogy fiók létrehozása nélkül fejezzék be a tranzakciókat, mivel ez általában a leginkább adatvédelem-barát és hatékony megközelítés. Emellett összhangban áll a beépített és alapértelmezett adatvédelem elvével.
A vendégként történő fizetés növeli továbbá az átláthatóságot, mivel világossá teszi, hogy csak azokat az adatokat kezelik, amelyek a vásárlás teljesítéséhez szükségesek. A felhasználói fiók – ha indokolt és önkéntes – kiegészítő funkcióként jelenhet meg, például rendeléstörténet vagy hűségprogram-előnyök biztosítása érdekében.
Végrehajtási kockázatok és gyakorlati tanácsok
Ha a vállalkozás által alkalmazott kötelező fiókregisztrációs gyakorlat nem felel meg a GDPR előírásainak, az jogsértésnek minősül, és Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) eljárását vonhatja maga után. A kiszabható közigazgatási bírság összege elérheti a 20 millió eurót vagy a vállalkozás globális éves árbevételének 4%-át (amelyik magasabb).
Gyakorlati következtetésként elmondható, hogy azoknak a webáruházaknak, amelyek jelenleg kötelező fiókregisztrációt alkalmaznak, érdemes felülvizsgálniuk e gyakorlat indokoltságát a GDPR fényében. A legtöbb tipikus webáruházi helyzetben a vendégként történő fizetés biztosítása jogszerűbb és alacsonyabb kockázatú megoldást jelenthet. Szerzők: dr. Darcsi Barbara, dr. Horváth Gergely, Schönherr Hetényi Ügyvédi Iroda
