Verplichte accounts op webshops: in strijd met GDPR (?) (Sirius Legal)

De Finse Verkkokauppa.com beslissing

De Finse DPA oordeelde eind maart 2024 dat Verkkokauppa.com, een grote online retailer, de GDPR schond door klanten te verplichten een account aan te maken voor elke aankoop.  Het bedrijf kreeg hiervoor een boete opgelegd van maar liefst 856.000 euro …

Klanten die op Verkkokauppa.com een aankoop wilden doen, moest, zoals dat tegenwoordig vaak gaat op webshops, eerst een account aanmaken alvorens ze effectief konden aankopen.  In zo’n account moet je als consument (vaak ook verplicht) heel wat persoonsgegevens achterlaten.  In heel wat gevallen gaat het om méér gegevens die strikt noodzakelijk zijn om een bestelling te kunnen plaatsen, zoals bijvoorbeeld je geboortedatum, je geslacht en in sommige gevallen ook meteen je voorkeuren voor of interesse in bepaalde producten of productcategorieën.  Meestal wordt de noodzaak om zo’n account aan te maken gerechtvaardigd vanuit het argument dat een account die doorheen de tijd de gegevens van de klant bewaart het gebruiksgemak voor de klant verhoogt.

De Finse DPA oordeelde echter, naar onze mening volkomen terecht, dat op die manier persoonsgegevens van klanten onnodig lang bewaard worden.  Dat geldt vooral als de klant slechts een eenmalige aankoop wilde doen, wat voor de meeste webshops toch een belangrijk aandeel van de aankopen uitmaakt.
De Finse DPA benadrukte dat het verzamelen en bewaren van persoonsgegevens alleen gerechtvaardigd is als het noodzakelijk is voor het specifieke doel, in dit geval het verwerken van een online aankoop. Het creëren van een account en de daaruit voortvloeiende gegevensverwerking zijn niet strikt noodzakelijk voor een eenmalige aankoop en dus kan je ze niet verplicht stellen.

Waarom is een verplichte account niet GDPR compliant?

De kern van de juridische argumentatie van de Finse DPA ligt in één de basisbeginselen van de GDPR, met name in het beginsel van gegevensminimalisatie. Dit beginsel vereist dat persoonsgegevens adequaat, relevant en beperkt zijn tot wat noodzakelijk is voor de doeleinden waarvoor ze worden verwerkt.
In het geval van Verkkokauppa.com oordeelde de DPA dat het verplichten om een account aan te maken, ook voor wie maar één keer wilde kopen, leidde tot het verzamelen en bewaren van meer gegevens dan nodig was voor het verwerken van een eenmalige aankoop. Dit is een duidelijke schending van het beginsel van gegevensminimalisatie.

Gegevensminimalisatie betekent dat je nooit méér persoonsgegevens mag verzamelen en bewaren dan strikt genomen noodzakelijk is om een bepaald doel te bereiken. In de context van een éénmalige online aankoop betekent dat dat je de bestelling zelf, de naam, het leveradres en het e-mailadres van de klant nodig hebt. Eventueel is ook nog een telefoonnummer te verantwoorden in onze ogen, maar meer is strikt genomen niet noodzakelijk voor een eenmalige bestelling. Wie de klant toch verplicht om meer gegevens te delen, overtreedt dus de GDPR. Bij de aanmaak van een account komen trouwens altijd méér gegevens kijken, al is het maar het paswoord dat aan de account gekoppeld is, de analytische data die uit een account gehaald worden, etc…

De Finse DPA beperkte zich tot het onderzoeken van het principe van gegevensminimalisatie, maar ze had nog een stap verder kunnen gaan. Ook andere uitgangspunten van de GDPR lijken ons immers manifest onverzoenbaar met verplichte accounts op webshops.

In de eerste plaats is er het beginsel van de beperking van bewaartermijnen: je kan en mag persoonsgegevens niet langer bewaren dan noodzakelijk is in een bepaalde context. Dat betekent dat je als webshop bestelgegevens enkel kan bewaren voor het afhandelen van een aankoop en daarna eventueel tot het einde van de wettelijke bedenktermijn. Daarna moeten mijn gegevens verwijderd worden. Dat geldt natuurlijk enkel voor mijn contact- en bestelgegevens. Facturen of aankoopbons die je wettelijk gezien moet bewaren om boekhoudkundige redenen, mag je natuurlijk wel bewaren.

Een ander heikel punt is de rechtsgrond. GDPR kent zes “rechtsgronden” die jou toelaten om persoonsgegevens te verwerken. Wie geen gepaste rechtsgrond heeft, mag geen persoonsgegevens verwerken. De voor de hand liggende rechtsgrond voor jou om mijn gegevens te verwerken als ik online een bestelling plaats op jouw webshop is de “uitvoering van een overeenkomst”: als de verwerking van mijn gegevens absoluut noodzakelijk is om een overeenkomst (mijn aankoop) te kunnen uitvoeren, mag je mijn gegevens verwerken, maar dan enkel strikt binnen de grenzen van die overeenkomst. Als je ook daarna mijn gegevens wil kunnen bewaren “voor latere bezoeken aan onze webshop”, heb je daarvoor afzonderlijk een rechtsgrond nodig, die in dat geval noodzakelijkerwijze mijn expliciete toestemming is voor het aanmaken van een account. Het probleem met de rechtsgrond “toestemming” onder GDPR is echter -en daar zijn bergen rechtspraak over- dat die toestemming “vrij” gegeven moet worden en dat ik als klant dus op geen enkele manier verplicht kan worden om een toestemming te geven. Dat laatste is duidelijk niet compatibel met de verplichte account op een webshop…

Er zijn nog andere redenen denkbaar waarom verplichte accounts en GDPR niet compatibel zijn, overigens. Zo verplicht GDPR je om alle gepaste maatregelen te nemen om de veiligheid van mijn data te garanderen. Het onnodig en ongevraagd bewaren van mijn gegevens in een -per definitie onveilige en hackinggevoelige- online account is in onze ogen zeer moeilijk verzoenbaar met die veiligheids- en voorzichtigheidsplicht…

Wat kan dan wél?

Wat betekent dit nu voor Belgische webshops? Kan je echt nooit een account aanbieden aan je klanten?

Vanzelfsprekend wel.  Je kan perfect je klanten de optie geven om een account aan te maken, maar dan in principe enkel als zij dat hun expliciete, vrije keuze is.  Concreet betekent dat dat je een guest check-out aanbiedt naast de mogelijkheid om een account aan te maken én dat je ervoor zorgt dat data uit een guest check-out niet systematisch bewaard wordt.  De uitdaging voor jou is dan om klanten te overtuigen van het nut of voordeel van een account en om de nodige toestemming of opt-in te verdienen…

In sommige gevallen zijn verplichte accounts overigens wél verantwoordbaar.  Dat is in onze ogen bijvoorbeeld het geval voor online apotheken of bijvoorbeeld ook vanzelfsprekend bij online casino’s, waar een voorafgaande identificatie en leeftijdscontrole van de klant een wettelijke verplichting is.  Ook bij abonnementsdiensten bijvoorbeeld is een account een vanzelfsprekendheid omdat ze noodzakelijk is om hetzij de overeenkomst uit te voeren, hetzij om te voldoen aan een wettelijke identificatieplicht.  In al deze gevallen echter geldt nog steeds dat zo weinig mogelijk gegevens bewaard mogen worden en dat je ze ook niet langer mag bewaren dan nodig.  Er is wat dat betreft een andere Franse beslissing die aan online communicatieplatofrm Discord een boete van 800.000 euro oplegde omdat zij had nagelaten om accounts die al jarenlang inactief waren spontaan te verwijderen.

Wat met de vele community shopping platformen, waar je een account moet aanmaken om toegang te krijgen tot tijdelijke verkopen of verkopen met korting?  Het concept is wijdverspreid en de argumentatie van deze platformen is vaak dat het aanmaken van een account “noodzakelijk” is om toegang te kunnen krijgen tot de tijdelijke verkopen of ook nog dat de account toegang geeft tot “meer dan enkel de verkopen”.  De facto is de vaststelling echter dat deze platformen enkel een uitgekiende strategie hanteren om zoveel mogelijk data van hun klanten te verzamelen en in functie daarvan gerichte aanbiedingen te kunnen doen.  Een en ander is bezwaarlijk “noodzakelijk” te noemen en ik zou als klant ook perfect éénmalig een aankoop uit zo’n tijdelijke verkoop kunnen doen, waarbij ik vervolgens, als ik tevreden zou zijn, wellicht in tweede instantie uit vrije wil alsnog een account zou kunnen aanmaken.  Ook hier blijft de verplichte account dus niet juridisch overeind…

Als je bij dit alles toch kiest voor verplichte accounts, zorg er dan in elk geval ook voor dat je een duidelijke en transparante privacyverklaring hebt waarin je uitlegt waarom je persoonsgegevens verzamelt, hoe lang je deze bewaart en wat de rechtsgrond is die jouw toelaat om de klant te verplichten om een account aan te maken.

Bron: Sirius Legal