La data de 04 decembrie 2025 s-a publicat pe site-ul Comitetul European pentru Protecția Datelor, în etapa de consultare publică, Recomandarea cu nr. 2/2025 privind temeiul legal pentru solicitarea creării de conturi de utilizator pe site-urile de comerț electronic.
Consultarea publică are loc în perioada 04 decembrie 2025 – 12 februarie 2026, timp în care se pot trimite comentarii cu privire la această recomandare.
Prin acest document, Comitetul European pentru Protecția Datelor, oferă recomandări operatorilor care activează în domeniul comerțului electronic privind condițiile în care aceștia pot solicita în mod legal utilizatorilor să își creeze un cont, în temeiul art. 5 alin. (1) lit. a) și art. 6 din GDPR. Recomandările prevăd exemple de situații în care crearea obligatorie a unui cont poate sau nu poate fi necesară pentru executarea unui contract, pentru respectarea unei obligații legale care revine operatorului sau în scopul unui interes legitim urmărit de operator sau de o parte terță.
Comitetul European pentru Protecția Datelor reține că impunerea creării unui cont de utilizator online poate fi justificată doar pentru un set foarte limitat, deși neexhaustiv, de scopuri, precum oferirea unui serviciu pe bază de abonament sau acordarea accesului la oferte exclusive. Totuși, în mai multe situații analizate în cuprinsul documentului, impunerea creării unui cont pe site-urile de comerț electronic nu respectă condițiile pentru prelucrarea legală în temeiul articolului 6 alin. (1), literele b), c) sau f) din GDPR. Asta cu atât mai mult cu cât atunci când același bun sau serviciu (de ex. bunuri de larg consum sau bilete la diverse spectacole sau evenimente) este achiziționat fizic vânzătorul nu solicită date personale.
Comitetul concluzionează că oferirea opțiunii de a crea un cont sau de a continua navigarea și achiziția ca „guest” (vizitator) reprezintă cea mai eficientă modalitate de prelucrare a datelor cu caracter personal pe site-urile de comerț electronic. EDPB observă că modul „guest” este, în principiu, opțiunea care protejează cel mai bine viața privată a utilizatorilor în procesul de achiziție, în conformitate cu obligația de protecție a datelor încă din faza de proiectare și implicit, prevăzută la articolul 25 GDPR.