Sklepy internetowe zdobywają dużą popularność. Wynika to z faktu stosunkowo niskich kosztów, możliwości dotarcia do dużej liczby klientów oraz prostoty samej transakcji. Mechanizm zakupów najczęściej sprowadza się do zarejestrowania się w portalu, a następnie wybrania interesującego towaru i dokonania płatności przelewem lub za pośrednictwem platformy transakcyjnej.
Formularz rejestracji zawiera najczęściej imię i nazwisko osoby dokonującej zakupów, numer telefonu i adres mailowy, a także adres zamieszkania, na który ma zostać dostarczony zakup. Zestaw podawanych przez klienta informacji to jego dane osobowe. Właściciel sklepu posiadający zbiór zarejestrowanych klientów ma zatem określone obowiązki wynikające z ustawy o ochronie danych osobowych.
Po pierwsze, aby przetwarzać dane osobowe należy dysponować odpowiednią podstawą prawną. W przypadku klientów portalu najczęściej będzie to zgoda osoby zainteresowanej lub przesłanka wymagająca podania danych w celu realizacji umowy kupna-sprzedaży. Należy przy tym pamiętać, że zgodę wyraża osoba, która nie dokonała zakupów lub też w sytuacji, gdy jej dane będą wykorzystane w innych niż zakup celach takich jak np. marketing. W przypadku podawania danych już przy zakupie podstawą będzie zawarta w formie elektronicznej umowa kupna-sprzedaży.
Po drugie, każda osoba, której dane są przetwarzane w portalu musi zostać prawidłowo poinformowana o tym kto przetwarzana dane, w jakim celu, prawie dostępu do treści danych oraz ich poprawiania, a także o dobrowolności lub obowiązku podania danych. W przypadku zgody informacje te powinny być zawarte w samej klauzuli. Niezgodna z prawem jest często stosowana formułka „wyrażam zgodę zgodnie z ustawą o ochronie danych osobowych” lub „dane są przetwarzane zgodnie z ustawą o ochronie danych osobowych.
Po trzecie zakres danych powinien być adekwatny do celu, w jakim są one gromadzone. Nie należy, zatem zbierać zbyt wielu informacji o klientach takich jak data urodzenia czy numer dowodu osobistego, chyba, że podanie takich danych jest niezbędne dla zrealizowania usługi.
Po czwarte ochrona danych osobowych wymaga zabezpieczenia danych adekwatnie do zagrożeń. Podstawowe zabezpieczenia to stworzenie polityki bezpieczeństwa i instrukcji zarządzania systemami informatycznymi, a także wydanie upoważnień osobom mających dostęp do bazy danych i utworzenie ewidencji osób upoważnionych. Należy także pamiętać, że baza danych sklepu stanowi zbiór danych przetwarzany w formie elektronicznej. Jest więc aplikacją służącą do przetwarzania danych osobowych i wymaga spełnienia określonych warunków takich jak automatyczne odnotowanie loginu i daty pierwszego wprowadzenia danych do systemu. Szczegółowe wytyczne wskazane są w rozporządzeniu wykonawczym do ustawy. W celu nadzoru nad ochroną danych osobowych może być wyznaczony administrator bezpieczeństwa informacji.
Po piąte zbiór klientów będzie najprawdopodobniej wymagał zarejestrowania w biurze GIODO. Nie spełnia on bowiem warunków zwalniających z tego obowiązku.
Należy pamiętać, że przetwarzanie danych klientów bez spełnienia powyższych obowiązków może narazić właściciela sklepu na zagrożenie karą, w skrajnych sytuacjach nawet pozbawienia wolności do lat dwóch. Warto także wziąć pod uwagę coraz większą świadomość klientów. Większe zaufanie zdobywa sklep dbający o poufność przekazywanych w związku z zakupami informacji.