Prowadzenie sklepu internetowego wiąże się z koniecznością zbierania danych osobowych potrzebnych do realizacji zamówienia. W tym celu klient zakłada na stronie sklepu internetowego konto bądź też podaje swoje dane osobowe bez jego zakładania. Dane te mogą zostać wykorzystywane również, za zgodą klientów, w innych celach niż sama realizacja zamówienia np. marketingowych, do przedstawiania klientom ofert opartych na ich wcześniejszych zakupach, czy też informowania ich o bieżących obniżkach cen. Wykorzystanie baz danych w ten sposób może okazać się atrakcyjnym sposobem na zwiększenie sprzedaży. Gromadzenie i wykorzystywanie danych osobowych nie jest tak łatwe w przypadku sprzedaży prowadzonej w sklepach tradycyjnych, co stanowi kolejną przewagę sklepów internetowych nad nimi.

Z przetwarzaniem danych osobowych wiążą się jednak określone obowiązki, które sklep internetowy musi spełnić. Jednym z nich jest rejestracja zbioru danych przez ich administratora w rejestrze zbiorów danych osobowych prowadzonym przez Generalnego Inspektora Ochrony Danych Osobowych (dalej: GIODO). Administratorem tym będzie najczęściej osoba fizyczna będąca przedsiębiorcą albo spółka prowadząca sklep. Przetwarzanie danych osobowych polega na wykonywaniu jakichkolwiek operacji na danych osobowych. Do działań tych zalicza się m.in. zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie oraz usuwanie danych osobowych.

Można wyróżnić trzy kategorie danych osobowych, które cechują się różnym poziomem ochrony. Do pierwszej kategorii należy zaliczyć dane, których przetwarzanie jest zwolnione z obowiązku rejestracji ich zbioru. W kategorii tej znajdują się m. in. dane przetwarzane przez niektóre instytucje publiczne, informacje niejawne, dane przetwarzane wyłącznie w celu wystawienia faktury lub rachunku oraz dane powszechnie dostępne. Drugą kategorię stanowią dane szczególnie wrażliwe, których przetwarzanie co do zasady jest zakazane, chyba, że pewne dodatkowe wymogi zostaną spełnione (np. w postaci pisemnej zgody osoby, której dane te dotyczą). Zalicza się do nich dane ujawniające m. n. pochodzenie rasowe, poglądy polityczne, przynależność wyznaniową oraz informacje o stanie zdrowia czy też nałogach. Trzecią, najliczniejszą, kategorię stanowią pozostałe dane. Właśnie do tej kategorii należą dane, których przetwarzaniem, z reguły zajmuje się sklep internetowy.

Z przetwarzaniem danych osobowych, innych niż te, które są zwolnione z tego obowiązku (należących do pierwszej kategorii), łączy się obowiązek rejestracji ich zbioru w rejestrze prowadzonym przez GIODO. Rejestracji tej dokonuje się na odpowiednim formularzu.

Rejestrując dane osobowe podaje się cel ich przetwarzania, opis kategorii osób, których dane dotyczą oraz zakres przetwarzanych danych. Dane osobowe służące realizacji różnych celów stanowią odrębne zbiory, dlatego też powinny być one zarejestrowane osobno (np. osobno zbiór dotyczący danych przetwarzanych w celu realizacji zlecenia, i osobno zbiór prowadzony w celach marketingowych).

Przetwarzanie danych osobowych, co do zasady, można rozpocząć już po zgłoszeniu ich zbioru do GIODO. Oznacza to, że sklep internetowy najpóźniej w momencie rozpoczęcia sprzedaży powinien dany zbiór zgłosić do zarejestrowania. Jeżeli natomiast chodzi o dane osobowe należące do kategorii danych wrażliwych, to ich przetwarzanie jest dopuszczalne dopiero po zarejestrowaniu ich zbioru.

Przetwarzanie danych osobowych, których zgłoszenie jest obowiązkowe, bez takiej rejestracji, stanowi przestępstwo, za które grozi kara grzywny, ograniczenia wolności albo pozbawienia wolności do lat 2. Sklep internetowy naraża się ponadto na ryzyko kontroli ze strony GIODO czy też Państwowej Inspekcji Pracy (link do wcześniejszego artykułu, o kontrolach).