Problematiku ochrany osobních údajů upravuje v České republice zákona č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů“). Zde je stanoveno, že osobním údajem je jakákoliv informace týkající se určeného nebo určitelného subjektu údajů (fyzické osoby) – viz § 4 odst. písm. a) citovaného zákona.
Prakticky všechny internetové obchody, které fungují na principu registrace zákazníků, zpracovávají osobní údaje ve smyslu zákona o ochraně osobních údajů. Tato skutečnost vyplývá zejména z velice širokého vymezení pojmu zpracování osobních údajů dle ustanovení § 4 odst. písm. e) zákona o ochraně osobních údajů. Zpracováním osobních údajů je „jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.“ Mezi obchodníky se někdy nesprávně traduje, že problematika zpracování osobních údajů na internetové obchody nedopadá.
Se zpracováním osobních údajů souvisí poměrně široké spektrum zákonných povinností správce (či zpracovatele osobních údajů), a to jak technického, tak i právního charakteru. V praxi všechny tyto povinnosti skutečně dodržuje pouze malé podnikatelů. Tato okolnost však nemůže nic změnit na tom, že se případně jedná o činnost, která je v rozporu se zákonem o ochraně osobních údajů. Některé z povinností správce osobních údajů zmiňujeme ve stručnosti níže.
Obecně platí, že správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů (§ 5 odst. 2 zákona o ochraně osobních údajů). Souhlas subjektu údajů se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování (§ 5 odst. 4 zákona o ochraně osobních údajů). Při získávání souhlasu subjektů údajů se zpracováním osobních údajů je správce povinen splnit poměrně rozsáhlou poučovací povinnost vůči subjektům údajů. Souhlas subjektu údajů a rozsáhlou poučovací povinnost vůči subjektům údajů (zákazníkům) je vhodné zohlednit i ve znění obchodních podmínek internetového podnikatele.
Mezi povinnosti správce vůči orgánům veřejné správy patří zejména oznamovací povinnost dle ustanovení § 16 a násl. zákona o ochraně osobních údajů. S plněním oznamovací povinnosti pak souvisí další povinnosti: stanovit účel, k němuž mají být osobní údaje zpracovány, stanovit prostředky a způsob zpracování osobních údajů, zpracovat pouze přesné osobní údaje, které správce získal v souladu se zákonem o ochraně osobních údajů (je-li to nezbytné, osobní údaje aktualizovat), shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanového účelu atd. (§ 5 odst. 1 zákona o ochraně osobních údajů).
Mezi povinnosti správce z oblasti technického zabezpečení zpracovávání osobních údajů patří například povinnost „přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.“
Za porušení zákona o ochraně osobních informací hrozí určité správní sankce (většinou se tak děje pouze na základě podnětu správnímu úřadu ze strany subjektů údajů). Avšak zejména větším podnikům může zpracovávání osobních údajů v rozporu se zákonem uškodit také v oblasti public relations.