Mi a probléma a webáruházak kötelező felhasználói fiókjaival? - Adatvédelmi kockázatok és jelentős bírságok - Amit a vállalkozásoknak tudni érdemes!

Az online vásárlások a tranzakció teljes életciklusa során – a rendelés leadásától és a fizetéstől kezdve a kiszállításon át az ügyfélkommunikációig – személyes adatok kezelésével járnak. A gyakorlatban számos webáruház úgy kezeli ezeket az üzleti igényeket, hogy a vásárlás előtt kötelezővé teszi a felhasználói fiók létrehozását. Bár ez a megoldás egyértelmű üzleti előnyökkel járhat, a kötelező regisztráció több jogi kérdést vet fel a GDPR alapján, különösen az érvényes jogalap meghatározása, valamint a jogszerűség, tisztességesség, átláthatóság és adattakarékosság elvének betartása tekintetében.

Amikor egy ország felnőtt lakosságának több mint háromnegyede vásárol online, az e-kereskedelem már nem pusztán üzleti trend, hanem jogi kihívás is. A Központi Statisztikai Hivatal (KSH) legfrissebb adatai szerint 2025-ben a 16-74 éves magyar lakosság 77,2%-a vásárolt online, és több mint felük (54,8%) az elmúlt három hónapban is élt ezzel a lehetőséggel. Ez a széles körű online jelenlét szükségszerűen fokozott hatósági figyelmet von maga után, és az illetékes szervek egyre aktívabban vizsgálják a webáruházak jogszerű működését. Ilyen lépték mellett a webáruházak működése elválaszthatatlan a nagymértékű személyesadat-kezeléstől.

Az EDPB 2/2025. számú ajánlása – Mi a probléma a kötelező felhasználói fiókokkal?

Az Európai Adatvédelmi Testület (EDPB) – a GDPR tagállamok közötti egységes értelmezéséért felelős uniós szerv – 2/2025. számú ajánlásában ismertette, hogy a vállalkozások mikor követelhetik meg felhasználói fiók létrehozását webáruházaikban, és milyen jogalapok jöhetnek szóba. Az EDPB kiindulópontja egyszerű: a fiók létrehozásának megkövetelése jellemzően növeli az adatvédelmi kockázatokat, a fokozott nyomon követéstől és profilalkotás lehetőségétől kezdve a vásárlási és kapcsolattartási adatok hosszabb megőrzésén át az inaktív vagy „árva” fiókokkal járó biztonsági kitettségig. Ezen kockázatok miatt az EDPB szigorú megközelítést alkalmaz annak megítélésére, hogy mikor tehető a vásárlás feltételévé a felhasználói fiók létrehozása.

A kulcskérdés az, hogy a kötelező fiók valóban szükséges-e a megjelölt cél eléréséhez, illetve létezik-e azonos eredményre vezető, kevésbé adatintenzív megoldás.

Mikor igazolható a kötelező fiók?

Az EDPB álláspontja szerint a kötelező fiók csak szűk körben indokolható, például ha egy előfizetéses szolgáltatás nyújtásához időben ismétlődő, hitelesített interakciók szükségesek vagy ha a hozzáférés egy ténylegesen zárt közösségre korlátozódik, amelynek tagjai meghatározott, igazolt jellemzőkkel rendelkeznek, és maga a tagság a szolgáltatás lényegi eleme. Ilyen esetekben a fiók létrehozásának előírása szükségesnek minősülhet a szolgáltatás teljesítéséhez, de kizárólag akkor, ha a szigorú szükségesség bizonyított, nem áll rendelkezésre azonos hatékonyságú, kevésbé beavatkozó alternatíva, és a fiók fenntartása a jogviszony időtartamára korlátozódik.

Ezzel szemben az olyan „exkluzív ajánlatok”, amelyek valójában bárki számára elérhetők regisztráció után, nem minősülnek zárt közösségnek, és ezért nem felelnek meg a szükségességi tesztnek.

Mi nem indokolja a kötelező fiókot?

Az EDPB ajánlása szerint a webáruházak mindennapos működése során a vállalkozások a legtöbb esetben nem tudják igazolni a kötelező regisztráció szükségességét, ezért a vásárlást nem tehetik felhasználói fiók létrehozásának feltételévé – tipikusan az alábbi helyzetekben:

Az egyszeri vásárlás fiók nélkül is biztosítható, amit széles körben alkalmazott vendégként történő fizetési modellek igazolnak.
A rendeléskövetés és a vásárlás utáni módosítások megoldhatók linkeken, e-maileken vagy biztonságos űrlapokon keresztül, állandó fiók létrehozása nélkül.
Az értékesítés utáni szolgáltatások (visszaküldés, panaszkezelés, jótállás), valamint a fogyasztói vagy adatvédelmi jogok gyakorlása nem igényel felhasználói fiókot; az azonosítás más csatornákon keresztül is biztosítható, és a vállalkozásoknak ezeket a kötelezettségeket a fiók meglététől függetlenül teljesíteniük kell.
A vásárlói hűségépítés, az ismételt vásárlások megkönnyítése és más kényelmi célok általában nem tekinthetők szigorúan szükségesnek és a vásárlás időpontjában észszerűen nem is várhatók el; illetve sok esetben hozzájárulást igényelnek, és a személyre szabáshoz a cookie- és nyomkövetési szabályoknak is meg kell felelniük.
A csalásmegelőzés, bár önmagában legitim cél lehet, általában nem indokolja a kötelező fiók létrehozását, mivel léteznek kevésbé beavatkozó és hatékony intézkedések, és valószínűleg a szükségességi és érdekmérlegelési tesztek nem teljesülnek.

Összességében tehát – az előfizetéses modellekhez vagy valóban zárt tagsági közösségekhez hasonló, szűk körű eseteket leszámítva – a kötelező fiókregisztráció általában nem felel meg a jogszerű adatkezelés feltételeinek, mivel ugyanazon célok elérésére kevésbé beavatkozó eszközök is rendelkezésre állnak.

Vendégként történő fizetés és beépített adatvédelem

Az EDPB határozottan ösztönzi a vendégként történő fizetés lehetőségének biztosítását, amely lehetővé teszi a felhasználók számára, hogy fiók létrehozása nélkül fejezzék be a tranzakciókat, mivel ez általában a leginkább adatvédelem-barát és hatékony megközelítés. Emellett összhangban áll a beépített és alapértelmezett adatvédelem elvével.

A vendégként történő fizetés növeli továbbá az átláthatóságot, mivel világossá teszi, hogy csak azokat az adatokat kezelik, amelyek a vásárlás teljesítéséhez szükségesek. A felhasználói fiók – ha indokolt és önkéntes – kiegészítő funkcióként jelenhet meg, például rendeléstörténet vagy hűségprogram-előnyök biztosítása érdekében.

Végrehajtási kockázatok és gyakorlati tanácsok

Ha a vállalkozás által alkalmazott kötelező fiókregisztrációs gyakorlat nem felel meg a GDPR előírásainak, az jogsértésnek minősül, és Magyarországon a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) eljárását vonhatja maga után. A kiszabható közigazgatási bírság összege elérheti a 20 millió eurót vagy a vállalkozás globális éves árbevételének 4%-át (amelyik magasabb).

Gyakorlati következtetésként elmondható, hogy azoknak a webáruházaknak, amelyek jelenleg kötelező fiókregisztrációt alkalmaznak, érdemes felülvizsgálniuk e gyakorlat indokoltságát a GDPR fényében. A legtöbb tipikus webáruházi helyzetben a vendégként történő fizetés biztosítása jogszerűbb és alacsonyabb kockázatú megoldást jelenthet.

Kapcsolódó tartalmak

Rekordszámú adatvédelmi incidenst jelentettek 2025-ben – Az európai adatvédelmi hatóságok összesen 1,2 milliárd eurónyi GDPR-bírságot szabtak ki – Merre tart a szabályozás?

AI-projektek adat-, kontroll- és felelősségi hiányosságokkal – Mi a teendő? – Hasznos összefoglaló január 28 – az Adatvédelem Nemzetközi Napja alkalmából!

Közérdekű adatnak számít-e az egyedi ügyben keletkezett adatok összesítése? – Az Ab döntésében közérdekű adatigényléssel kapcsolatos kérdéseket tisztáz!

Sérti-e az Alaptörvényt a kettős természetű adatok nyilvánosságának korlátozása? – Az Ab döntésében a banktitok megismerhetőségével kapcsolatos kérdéseket tisztáz!

Egy adatvédelmi incidens tanulságai: az adatfeldolgozók kötelezettségei az adatok bizalmas kezelése és törlése során

Közvetlen adatgyűjtésnek számít-e a jegyellenőrök testkamera-használata? – Az EuB ítéletében az utastájékoztatással kapcsolatos kérdéseket tisztáz!

Hogyan készítsünk MI-jártasság oktatási anyagot? – Hasznos szakértői tanácsok az AI Act 4. cikkének való megfelelésre vonatkozóan!

Alapulhat-e a munkaerő-felvétel kizárólag algoritmus által hozott döntéseken? – Saját kezdeményezésű jogalkotási jelentést fogadott el az EP az automatizált rendszerek munkahelyi alkalmazásának szabályozásáról

Mesterséges Intelligencia és Adatvédelem – 3. Rész – Adatvédelmi Hatásvizsgálat (DPIA) az MI-modellek adatkezelésére