מועצת רשויות הגנת המידע הלאומיות במדינות האיחוד האירופי (European Data Protection Board - EDPB) פרסמה החודש להערות הציבור טיוטה של המלצותיה בשאלת הבסיס החוקי הנדרש לפי ה-GDPR להקמת חשבון משתמש באתרי סחר אלקטרוני (e-commerce). מסמך ההמלצות בחן האם ניתן להצדיק חובת רישום כמשתמש לפי אחד מהבסיסים החוקיים הקבועים ב-GDPR כדוגמת ביצוע חוזה, עמידה בחובה חוקית או אינטרס לגיטימי של בעל השליטה במידע.

המסקנה המרכזית בהמלצות ה-EDPB היא כי דרישה ליצירת חשבון משתמש כתנאי חובה מוצדקת רק במקרים חריגים. זאת, מאחר שברוב המקרים פעולות העיבוד הכרוכות ביצירת חשבון אינן נחוצות להשגת המטרות שלשמן נאסף המידע. בהתאם לכך, מתן אפשרות למשתמש לבחור בין יצירת חשבון לבין ביצוע רכישה כ"אורח" נחשבת לדרך הנכונה והחוקית ביותר לאיסוף מידע אישי.

ה-EDPB מדגישה כי כפיית יצירת חשבון משתמש חושפת את נושאי המידע לסיכונים מוגברים לזכויותיהם ולחירויותיהם. על כן, לשם שמירה על שליטת המשתמשים במידע האישי שלהם, יש לאפשר להם גישה לביצוע רכישות גם ללא יצירת חשבון משתמש. ההמלצות תומכות במובהק באפשרות של "מצב אורח", הנחשבת לגישה המגינה ביותר על פרטיות המשתמשים ותואמת טוב יותר את עקרונות מזעור המידע והגנת הפרטיות באופן מובנה וכברירת מחדל. חשבונות משתמש חובה יחשבו למוצדקים רק בהקשרים מוגבלים במיוחד, כגון שירותי מנוי או גישה להצעות בלעדיות.

הערות הציבור לטיוטה יתקבלו עד ל-12 בפברואר 2026.