Wymogi w zakresie ochrony danych osobowych przez sklepy internetowe określa ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (jt. Dz. U. z 2002 r. nr 101, poz. 926 ze zm.) oraz ustawa z 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną (Dz. U. z 2002 r. nr 144, poz. 1204 ze zm.).
Wśród wielu obowiązków szczególną uwagę należy zwrócić na kilka podstawowych:
1. Odpowiednie zabezpieczenie serwera przed dostępem nieupoważnionych osób do pozyskiwanych danych osobowych;
2. Podpisanie umowy powierzenia przetwarzania danych w przypadku decyzji o hostingu;
3. Zabezpieczenie transmisji danych za pomocą narzędzia szyfrującego;
4. Przygotowanie regulaminu świadczenia usług drogą elektroniczną dostępnego dla każdego klienta;
5. Stworzenie dokumentacji opisującej sposób przetwarzania danych;
6. Zgłoszenie Generalnemu Inspektorowi Ochrony Danych Osobowych zbioru informacji w przypadku decyzji o zamiarze przechowywania danych osobowych (np. w celu umożliwienia kolejnych logowań).
—Katarzyna Ochnicka, senior menedżer w Grant Thornton Frąckowiak, Departament Outsourcingu Rachunkowości i Płac
