A webshop adatvédelem egyik visszatérő kérdése, hogy jogszerű-e a vásárlás előtti kötelező regisztráció. Az EDPB friss ajánlása egyértelmű iránymutatást ad a webshopok számára arra vonatkozóan, mikor és milyen feltételekkel alkalmazható felhasználói fiók a GDPR keretein belül.
Mit üzen az EDPB új ajánlása a webshopoknak?
Az online vásárlás során ma már szinte megszokott jelenség, hogy a felhasználókat regisztrációra kötelezik a vásárlás előtt. Bár a felhasználói fiók üzleti és technikai szempontból számos előnnyel járhat, az adatvédelem szempontjából egyre gyakrabban merül fel a kérdés: jogszerű-e a kötelező regisztráció, és ha igen, milyen feltételekkel?
Erre a kérdésre ad részletes választ az Európai Adatvédelmi Testület (EDPB) 2/2025. számú ajánlása, amely az e-kereskedelmi weboldalakon előírt kötelező felhasználói fiókok jogalapját vizsgálja. Az ajánlás egyértelmű üzenetet fogalmaz meg: a kötelező regisztráció nem tekinthető általánosan elfogadható gyakorlatnak a GDPR alapján, és csak kivételes esetekben igazolható.
I. Miért jelent adatvédelmi kockázatot a kötelező regisztráció?
Az EDPB abból indul ki, hogy a kötelező felhasználói fiók többletkockázatot hordoz az érintettek jogaira és szabadságaira nézve.
Egyrészt a felhasználói fiókok jellemzően több adat kezelését teszik lehetővé, mint amennyi egy adott vásárlás lebonyolításához szükséges. Másrészt ezek az adatok gyakran hosszabb ideig maradnak aktív adatbázisokban, beleértve az inaktív vagy soha nem használt fiókokat is, ami ellentétes lehet a tárolás korlátozásának elvével.
Az EDPB külön hangsúlyozza a biztonsági kockázatokat is: a jelszavas fiókok feltörése, átvétele gyakori, a felhasználók sokszor több szolgáltatásnál ugyanazt a jelszót használják, és a kötelező fiók önmagában nem alkalmas a csalások megelőzésére. Emellett a bejelentkezett környezet megkönnyíti a felhasználók viselkedésének nyomon követését, a vásárlási és böngészési adatok összekapcsolását, ami megfelelő jogalap hiányában jogsértő adatkezeléshez vezethet.
II. Milyen jogalapokra hivatkoznak az adatkezelők – és miért problematikus ez?
Az ajánlás részletesen elemzi a GDPR 6. cikk (1) bekezdésében szereplő leggyakrabban hivatkozott jogalapokat.
1. Szerződés teljesítése
Az EDPB következetes álláspontja szerint a szerződés teljesítésére való hivatkozás csak akkor fogadható el, ha az adatkezelés ténylegesen és objektíven szükséges a szerződés teljesítéséhez. Egyszeri vásárlások esetén ez jellemzően nem áll fenn, mivel a megrendeléshez, számlázáshoz és szállításhoz szükséges adatok vendégként is bekérhetők.
2. Jogi kötelezettség
Az adózási, számviteli vagy fogyasztóvédelmi kötelezettségek önmagukban nem indokolják felhasználói fiók létrehozását. Ezek a kötelezettségek tipikusan konkrét dokumentumok megőrzését írják elő, nem pedig egy aktív ügyfélfiók fenntartását.
3. Jogos érdek
A jogos érdek jogalapja esetén az adatkezelőnek igazolnia kell a jogos érdeket, a szükségességet és az érdekmérlegelés eredményét. Az EDPB szerint azonban a rendeléskövetés, az ügyfélhűség építése, a későbbi vásárlások megkönnyítése vagy az általános csalásmegelőzés többnyire kevésbé invazív eszközökkel is megvalósítható, így a kötelező regisztráció ritkán felel meg ennek a tesztnek.
III. Mikortól jogsértő a kötelező regisztráció?
Az EDPB ajánlása alapján a kötelező felhasználói fiók nagy valószínűséggel jogsértő, ha:
– egyszeri vásárlásról van szó, és a szükséges adatok vendégként is megadhatók;
– a fiók célja rendeléskövetés, visszaküldés, ügyfélszolgálati kapcsolattartás vagy későbbi vásárlások megkönnyítése;
– a regisztrációs kötelezettség csak a checkout folyamat végén jelenik meg;
– a mögöttes cél marketing, profilozás vagy ügyfélhűség-építés, megfelelő hozzájárulás nélkül;
– az adatkezelő nem tudja dokumentáltan igazolni, hogy nincs kevésbé invazív megoldás.
Ezekben az esetekben az EDPB szerint nem teljesül a GDPR által megkövetelt szükségességi feltétel.
IV. Mikor lehet kivételesen jogszerű a kötelező felhasználói fiók?
Az ajánlás nem zárja ki teljes mértékben a kötelező regisztrációt, de azt szűk körre korlátozza. Elfogadható lehet például:
– előfizetéses szolgáltatásoknál, ahol a szolgáltatás lényege a folyamatos, hitelesített hozzáférés;
– zárt, objektív feltételekhez kötött tagsági rendszereknél;
– olyan esetekben, ahol a felhasználói fiók maga a szolgáltatás központi eleme.
Még ezekben az esetekben is alapkövetelmény az adatminimalizálás, a célhoz kötöttség és az adatmegőrzési idők korlátozása.
V. Gyakorlati útmutató a webshop adatvédelem kapcsán
Az EDPB ajánlása alapján a magyar webshopok számára különösen fontos a gyakorlat felülvizsgálata.
Egy adatvédelmi szempontból megfelelő webshop jellemzően:
– biztosítja a vendégként történő vásárlás lehetőségét;
– a felhasználói fiókot opcionális szolgáltatásként kínálja;
– világosan elkülöníti a vásárláshoz és a marketinghez kapcsolódó adatkezeléseket;
– nem alkalmaz megtévesztő felhasználói felületi megoldásokat;
– dokumentálja a jogalapokat és az adatkezelési célokat.
Különösen lényeges a belső dokumentáció: a jogalapok írásos rögzítése, az érdekmérlegelési tesztek elkészítése, valamint az adatmegőrzési idők és az inaktív fiókok kezelésének szabályozása. Ezek nemcsak a GDPR-megfelelés, hanem egy esetleges NAIH-ellenőrzés során is kulcsszerepet játszanak.
Záró gondolat
Az EDPB 2/2025. számú ajánlása világossá teszi, hogy a kötelező felhasználói regisztráció nem tekinthető alapértelmezett megoldásnak az e-kereskedelemben. Azok a vállalkozások, amelyek időben alkalmazkodnak, és valódi választási lehetőséget biztosítanak a felhasználóknak, nemcsak jogi kockázataikat csökkenthetik, hanem az ügyfelek bizalmát is erősíthetik.
Amennyiben weboldala vagy webshopja adatvédelmi jogi megfelelésével kapcsolatban kérdése merül fel, szeretné felülvizsgálni a regisztrációs és vásárlási folyamatokat, vagy kérdése van a webshop adatvédelem kapcsán, keressen minket bizalommal.
2026.01.06.
Dr. Miklós Péter – adatvédelmi ügyvéd