Każdy sklep internetowy zbiera dane osobowe swoich klientów, jak ich imiona i nazwiska oraz adresy, gdyż jest to niezbędne do realizacji umowy, a w szczególności do dokonania wysyłki towaru. Dane te podlegają ochronie, dlatego na sprzedawcy ciąży obowiązek należytego ich zabezpieczenia.

Art. 51. 1. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Sprzedawcy, którzy dzierżawią oprogramowanie sklepu lub korzystają z usług kuriera albo integratora płatności i udostępniają dane osobowe swoich klientów, powinni zobowiązać swoich kontrahentów do należytego zabezpieczenia tych danych. Jeśli umowa świadczenia usług zawarta z kontrahentem sklepu internetowego nie reguluje kwestii ochrony danych osobowych to sprzedawca powinien zawrzeć odrębną umowę powierzenia przetwarzania danych osobowych.

Art. 52. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Dane klientów zbierane przez sklep internetowy stanowią zbiór danych w rozumieniu ustawy o ochronie danych osobowych. W związku z tym, że dane klientów nie są zbierane wyłącznie w celu wystawienia faktury, ale przede wszystkim w celu realizacji umowy sprzedaży, sprzedawca jest zobowiązany zarejestrować taki zbiór u Generalnego Inspektora Danych Osobowych.

Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Opracowanie i wdrożenie Polityki bezpieczeństwa i Instrukcji zarządzania systemem informatycznym (art. 36 i 39a UODO, § 3. RDPDO).

Polityka bezpieczeństwa i Instrukcja zarządzania systemem informatycznym to dość obszerne dokumenty, których zakres szczegółowo opisuje rozporządzenie ministra spraw wewnętrznych, dlatego ich opracowanie warto zlecić firmie świadczącej takie usługi. Koszt takiego opracowania jest uzależniony od wielkości organizacji jakiej dotyczy oraz od złożoności procesów związanych z ochroną danych osobowych, jednak w przypadku małego lub średniego sklepu internetowego nie powinien być większy niż kilkaset złotych. Przy okazji opracowywania dokumentacji warto rozważyć zlecenie wykonania audytu bezpieczeństwa przetwarzania danych osobowych w firmie, gdyż taka usługa wykonana w pakiecie zapewnia lepsze efekty realne.

Prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych (art. 39 UODO).

Ewidencja osób upoważnionych do przetwarzania danych osobowych to zwykła tabela zawierająca numer upoważnienia, imię i nazwisko osoby, która otrzymała upoważnienie, datę udzielenia upoważnienia i ewentualnie jego wygaśnięcia, nazwę zbioru którego dotyczy upoważnienie, zakres upoważnienia, uwagi.

Zawarcie odrębnych umów o powierzenie przetwarzania danych z dostawcami usługi jeśli zawarte z nimi umowy nie regulują kwestii ochrony danych osobowych (art. 31 UODO).

Umowa o powierzenie przetwarzania danych osobowych to dokument w najprostszym przypadku zawierający informacje, jakie dane i w jakim celu są przekazywane kontrahentom oraz zapisy zobowiązujące ich do należytej ochrony tych danych. Sprzedawcy uczestniczący w programie eCommerce Fair Play mają dostęp do wzorca takiej umowy i korzystanie z niego jest bezpłatne.