Ustawa reguluje obrót danymi w sieci
Przetwarzanie danych osobowych w Internecie nie jest aktualnie normowane przez żadne przepisy szczególne. Do tych kwestii odnosi się tylko ustawa o ochronie danych osobowych.
Za kategorię danych osobowych uważany jest adres e-mail. Zazwyczaj podawane jest w nim imię, nazwisko, nazwa firmy oraz informacja, że domena zarejestrowana jest w Polsce (np. [email protected]). O tym, że dany adres zawiera dane osobowe przesądza użycie w domenie informacji słownych.
Zgodnie z ustawą, podmiot przetwarzający dane osobowe może być albo administratorem danych albo przetwarzającym je na zlecenie (tzw. processor). Dane osobowe mogą być przetwarzane w Internecie przez dysponentów sieci telekomunikacyjnej, dostawców dostępu do sieci (acces provider), dostawców usług w sieci (service provider) i dostawców zawartości sieci (content provider). Dostawcy sieci i organizacje telekomunikacyjne nie są administratorami danych osobowych, bo nie decydują o celach i środkach ich przetwarzania. Service provider jest administratorem jedynie danych przez siebie dostarczanych. Generalnie obrót danymi osobowymi jest dozwolony. Nacisk kładziony jest nie na wprowadzanie tu zakazu udostępniania danych, ale na kontrolę obrotu nimi. Osoba której dotyczą, ma szereg uprawnień. Przede wszystkim może żądać informacji, gdzie znajdują się jej dane oraz może skutecznie sprzeciwiać się przekazywaniu ich osobom trzecim. Doktryna krajów UE wprowadza zakaz dalszego przetwarzania danych w sposób niezgodny z przeznaczeniem. Dane zebrane w celach statystycznych (badań rynku) nie mogą być użyte w celach marketingowych (rozesłanie mailingu z ofertą). Dopuszczalna jest sytuacja, gdy dane zebrane w celu promocji samochodów określonej marki, zostaną wykorzystane przez innego administratora w celu promocji innego towaru (np. sprzętu AGD). W obu sytuacjach chodzi o cel marketingowy pojmowany jako promocja towarów i usług.