EDPB opublikował niedawno (wstępne) rekomendacje dotyczące zakładania kont użytkowników na platformach e-commerce. Rekomendacje odpowiadają na pytanie kiedy dostawca serwisu może wymagać założenia konta, a kiedy nie.
Założenie konta w serwisie – istota problemu z perspektywy GDPR
Refleksje EDPB są istotne z punktu widzenia oceny, czy założenie konta jest „niezbędne do wykonania umowy” (art. 6 ust. 1 lit. b RODO). EDPB wskazał, że jeżeli dana czynność może zostać wykonana bez tworzenia konta, wówczas narzucenie obowiązku założenia konta ze znacznym prawdopodobieństwem może być uznane za nieproporcjonalne z perspektywy RODO. Przykładem takich okoliczności, które zasadniczo nie uzasadniają wymagania założenia konta są:
1) jednorazowe zakupy – realizacja pojedynczego zakupu lub transakcji.
2) śledzenie zamówień – informowanie o statusie przesyłki (możliwe np. poprzez link wysyłany e-mailem, bez logowania).
3) składanie żądań posprzedażowych, np. zwroty, reklamacje, czy obsługa żądań osób, których dane dotyczą, wynikających z RODO.
4) personalizacja – oferowanie nieobowiązkowych, spersonalizowanych rekomendacji produktów w trakcie procesu zakupowego.
W związku z tym tryb „zakup jako gość” (guest mode checkout) powinien być domyślnym rozwiązaniem. Taki model minimalizuje zakres przetwarzanych danych i tym samym najbardziej chroni prywatność.
Sytuacje w których stałe konta użytkowników są uzasadnione
EDPB wskazał jednocześnie ograniczone przypadki, w których utworzenie stałego konta użytkownika może być uznane za niezbędne, ponieważ stała interakcja z usługodawcą stanowi istotę usługi:
1) usługi subskrypcyjne – gdy obowiązek dostawcy obejmuje stały dostęp do treści lub usług przez określony czas (np. platformy streamingowe, oprogramowanie w modelu SaaS).
2) dostęp do zamkniętych społeczności – usługi wyraźnie ograniczone do zamkniętej, zweryfikowanej grupy użytkowników, np. na podstawie statusu zawodowego lub innych z góry określonych kryteriów.
Strategia zgodności z przepisami
Jeżeli dostawca platformy wymaga założenia konta przed dokonaniem transakcji, EDPB rekomenduje aby w takim przypadku dysponować testem niezbędności. W szczególności jeżeli dostawca uzna, że obowiązkowe tworzenie konta jest kluczowe z perspektywy biznesowej i niemożliwe jest rozwiązanie inaczej kwestii zakładania / niezakładania konta. W takiej sytuacji organizacja powinna formalnie udokumentować analizę niezbędności. Dokumentacja powinna wyjaśniać, dlaczego dokonanie transakcji bez rejestracji jest technicznie lub prawnie niemożliwe oraz przygotować organizację na obronę tego stanowiska przed organami nadzorczymi.
Podsumowanie
Rekomendacje wydane przez EDPB nie są ostateczne – są przedmiotem dalszych konsultacji (https://www.edpb.europa.eu/our-work-tools/documents/public-consultations/2025/recommendations-22025-legal-basis-requiring_en). Wiele natomiast wskazuje na to, że istota rekomendacji EDPB pozostanie taka sama.
W przypadku pytań lub wątpliwości – zachęcam do kontaktu: piotr.mijal@prawo-it.pl
