El. parduotuvės ar interneto svetainės, t.y. verslas (tiek juridiniai, tiek fiziniai asmenys, jei pastarieji vykdo individualią veiklą), kuris gauna ar kitaip tvarko savo klientų fizinių asmenų asmens duomenis savo komercinės veiklos vykdymo tikslu, yra laikomas asmens duomenų valdytoju ir jam kyla tam tikros teisės aktuose numatytos pareigos:
- Jei toks verslas klientų fizinių asmenų asmens duomenis (t. y. vardą, pavardę, tel. numerį, el. pašto adresą, gimimo metus ir pan.) tvarko (t. y. gauna, naudoja ir pan.) automatiniu būdu (šiuo atveju pasitelkiant internetą) – tokiam verslui kyla šiuo metu įstatyme nustatyta pareiga užsiregistruoti Valstybinės duomenų apsaugos inspekcijos (VDAI) tvarkomame asmens duomenų valdytojų registre. Šiame registre nurodoma, kokius asmens duomenis konkretus verslas tvarko, kuriais tikslais ir pan. Registras yra viešas.
Pats asmens duomenų valdytojų registras turėtų veikti ir minėta pareiga registruotis jame turėtų būti aktuali iki 2018 m. gegužės mėn. antrosios pusės, kuomet įsigalios tiesiogiai visoje ES taikomas bendrasis duomenų apsaugos reglamentas (BDAR). Įsigaliojus BDAR registro tikriausiai nebeliks (nors dėl to visiškai aišku šiuo metu dar nėra). Visgi, VDAI, net ir panaikinus minėtą registrą, iki tol gautus duomenų valdytojų duomenis toliau saugos, o tiriant konkretaus duomenų valdytojo veiklą (pavyzdžiui, gavus kliento skundą), į juos atsižvelgs.
- Verslas, tvarkantis klientų fizinių asmenų asmens duomenis, šiuo metu privalo turėti savo paties patvirtintas vidines asmens duomenų tvarkymo taisykles. Šiose taisyklėse apibrėžiamos taikomos asmens duomenų apsaugos priemonės, pateikiama kita teisės aktuose nurodoma informacija. Nuo 2018 m. gegužės mėn. antrosios pusės įsigaliojus minėtam BDAR reglamentui, tokios taisyklės turės būti peržiūrimos.
- Verslas, renkantis klientų fizinių asmenų asmens duomenis internetu (pvz., el. parduotuvės) savo internetinėse svetainėse privalo skelbti tinkamas privatumo politiką / naudojimosi taisykles ar kitaip pavadintą dokumentą (informaciją), kuriame, be kita ko, būtų nurodyta: kokie asmens duomenys, kokiais tikslais yra rankami interneto svetainės pagalba, kiek laiko jie saugomi, ar teikiami trečiosioms šalims, kokios yra duomenų subjektų teisės, nurodomi naudojami trečiųjų asmenų slapukai ir pan. Su tokiu konkrečiu dokumentu klientas fizinis asmuo turi būti supažindintas ir duoti aiškų savo sutikimą dar prieš pateikdamas savo asmens duomenis duomenų valdytojui (pvz., perkant daiktą internetu prieš pateikiant užsakymą klientas pažymi varnelę, jog jis su minėtomis taisyklėmis sutinka). Jeigu surinktus duomenis verslas ketina naudoti atskiru rinkodaros tikslu (siųs naujienlaiškius, reklamas ar pan.) – dėl to turi būti gaunamas aiškus atskiras duomenų subjekto (kliento fizinio asmens) sutikimas.
