EDPB: Smernice o obveznih računih v e-trgovinah
Evropski odbor za varstvo podatkov je sprejel smernice, ki natančno opredeljujejo pogoje, pod katerimi lahko spletni trgovci zakonito zahtevajo obvezno ustvarjanje uporabniškega računa.
Novica je bila objavljena 4. 12. 2025
EDPB je na decembrskem plenarnem srečanju sprejel priporočila, ki celovito pojasnjujejo, kdaj lahko spletni trgovci zakonito zahtevajo obvezno ustvarjanje uporabniškega računa. Poudarjajo, da je takšna praksa v večini primerov nezdružljiva z določbami člena 6 GDPR, saj ustvarjanje računa praviloma ni nujno za izvedbo nakupa ali dostop do ponudbe. Uporabniki morajo imeti možnost, da se sami odločijo, ali bodo ustvarili račun ali opravili nakup kot gost, saj ta rešitev najbolj spoštuje načelo minimizacije podatkov ter načelo zasebnosti že v zasnovi in privzeto.
Odbor dodatno opozarja, da obvezno ustvarjanje računov posameznike izpostavlja številnim tveganjem. Kopičenje osebnih podatkov v aktivnih bazah, daljše obdobje hrambe, večja izpostavljenost varnostnim incidentom ter možnosti profiliranja predstavljajo občutne posege v zasebnost, ki jih ni mogoče upravičiti s poslovno priročnostjo ali marketinškimi cilji. Upravljavci morajo zato zagotavljati rešitve, ki omogočajo nakup tudi brez registracije, hkrati pa transparentno pojasniti namen in obseg obdelave pri vsaki izmed ponujenih možnosti.
Obvezna registracija je lahko zakonita le v izjemnih in jasno opredeljenih okoliščinah. EDPB navaja predvsem naročniške modele, kjer je neprekinjen dostop do storitve neločljivo vezan na redno identifikacijo uporabnika, ter posebne zaprte skupnosti, v katerih je članstvo bistveni del pogodbenega razmerja. V takšnih primerih mora upravljavec dokazati, da je ustvarjanje računa dejansko nujno za izvedbo pogodbe in da noben drug, manj intruziven ukrep ne omogoča iste funkcionalnosti. Vse druge pogoste prakse, kot so enkratni nakupi, preverjanje posebnega statusa, poprodajne storitve, sledenje naročilom ali preprečevanje goljufij, po oceni EDPB ne prestanejo testa nujnosti, saj obstajajo enako učinkovite in bistveno manj invazivne alternative.
Ključno sporočilo priporočil je, da uporabniški račun sam po sebi ni pogoj za zakonito obdelavo. Obdelava podatkov mora biti vezana na konkretni namen, pri čemer tudi prostovoljna registracija ni pravna podlaga, temveč zgolj način uporabe, ki mora temeljiti na ustreznem zakonitem temelju (npr. pogodba, privolitev ali zakoniti interes, kadar je ta dopusten). Gostujoči nakup je po oceni EDPB najučinkovitejši način za spoštovanje načel zakonitosti, transparentnosti in minimizacije podatkov, hkrati pa omogoča enakovredno izvedbo prodajnega procesa brez nepotrebnega zbiranja informacij.
Priporočila poudarjajo tudi pomen zasebnosti že v zasnovi in privzeto. Upravljavci morajo svoje nakupne tokove in tehnične rešitve oblikovati tako, da uporabnik jasno razume obseg obdelave pri registriranem in neregistriranem nakupu. Gostujoči nakup mora biti enako dostopen in ne sme vključevati prikritih pritiskov ali zasnov, ki bi uporabnika vodile v registracijo. Pravilno implementiran dvojni pristop povečuje preglednost in krepi zaupanje uporabnikov, obenem pa zmanjšuje količino osebnih podatkov v aktivnih sistemih, kar učinkovito zmanjšuje tveganje za zlorabe in incidente.
EDPB v zaključku nedvoumno poudarja, da je obvezna registracija dopustna le v redkih primerih. V vseh drugih situacijah mora upravljavec uporabnikom ponuditi možnost prostovoljnega ustvarjanja računa ali nakupa brez registracije, pri čemer mora biti vsak namen obdelave podprt z ustrezno pravno podlago in skladen s temeljnimi načeli GDPR. Tak pristop je tako pravno nujen kot tudi najbolj praktičen za zagotavljanje varnega, preglednega in zaupanja vrednega okolja v e-trgovini.
Smernice so dostopne tukaj.
Vir: EDPB
Naslovna fotografija: Pexels
