Sprzedaż towarów przez internet wiąże się z przetwarzaniem danych osobowych klientów. Chodzi o takie informacje, na podstawie których można zidentyfikować konkretnego konsumenta, czyli jego imię, nazwisko, e-mail, adres zamieszkania itp. Zbiór, w którym te dane mają być przez przedsiębiorcę przetwarzane, należy zgłosić do generalnego inspektora ochrony danych osobowych oraz odpowiednio go zabezpieczyć.
Nie trzeba go zgłaszać do GIODO tylko w jednym przypadku. Ewa Kurowska-Tober, radca prawny w kancelarii DLA Piper, wskazuje, że tak jest, gdy e-sklep powołał administratora bezpieczeństwa informacji (ABI).
Trudno jednak oczekiwać, by np. nieduży sklep internetowy zatrudniał administratora, który zadba o bezpieczeństwo danych w firmie. Dlatego większość e-sprzedawców rejestruje zbiór. Powinien być on zgłoszony do GIODO zanim rozpocznie się sprzedaż przez internet. Zazwyczaj jednak nie wystarczy jedno zgłoszenie.
– Zgodnie ze stanowiskiem GIODO nie można zgłosić jednego zbioru danych klientów e-sklepu wykorzystywanych dla różnych celów, np. realizacji zamówień, prowadzenia statystyk czy marketingu. Jest tak, gdyż dla ich realizacji wymagany jest różny zakres danych osobowych. Dlatego też każdy zbiór powinien zostać zgłoszony na oddzielnym formularzu zgłoszeniowym – wyjaśnia Ewa Kurowska-Tober.
Zgłoszenia zbioru z danymi osobowymi można dokonać przez internet na stronie GIODO. Wystarczy wypełnić odpowiedni formularz czy też wysyłać wniosek w formie papierowej. To, jakie informacje należy podać, określa załącznik do rozporządzenia ministra spraw wewnętrznych i administracji z 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji generalnemu inspektorowi ochrony danych osobowych. Zgodnie z nim trzeba podać swoje dane, wskazać podstawę prawną, na jakiej dane osobowe będą przetwarzane. Należy też zaznaczyć w jakim celu będą przez przedsiębiorcę przetwarzane, jak będą też zbierane. Trzeba wskazać, co dokładnie znajdzie się w zgłaszanym zbiorze, czyli imię i nazwisko, adres, numer telefonu. Nie można też zapomnieć o poinformowaniu o tym, w jaki sposób zbiór ma być prowadzony i zabezpieczony.