نص قانون حماية البيانات الشخصية، على أن "يجب لجمع البيانات الشخصية ومعالجتها والاحتفاظ بها، توافر الشروط الآتية:
- أن تجمع البيانات الشخصية لأغراض مشروعة ومحددة ومعلنة للشخص المعني.
- أن تكون صحيحة وسليمة ومؤمنة.
- أن تعالج بطريقة مشروعة وملائمة للأغراض التي تم تجميعها من أجلها.
- ألا يتــم الاحتفــاظ بهـا لمــدة أطــول من المــدة اللازمـــة للـوفـــاء بالغــــرض المحــدد لهــا.
وتحدد اللائحة التنفيذية لهذا القانون السياسات والإجراءات والضوابط والمعايير القياسية للجمع والمعالجة والحفظ والتأمين لهذه البيانات.
الجدير بالذكر أن القانون عرف الـترخيـص، بأنه وثيقة رسمية تصدر عن المركز للشخص الاعتباري تمنحـه من خلالها الحق في مزاولة نشاط جمع البيانات الشخصية الإلكترونية أو تخزينها أو نقلهـا أو معالجتهـا أو القيام بأنشطة التسويق الإلكتروني أو كل ما سبق والتعامل عليها بأي صورة، وتحدد التزامات المرخص له وفق القواعد والشروط والإجراءات والمعايير الفنية المحددة باللائحة التنفيذية لهذا القانون، وذلك لمدة ثلاث سنوات قابلة للتجديد لمـدد أخري.
وعرف التصـريح، بانه وثيقة رسمية تصدر عن المركز للشخص الطبيعي أو الاعتباري تمنحه من خلالها الحق في ممـارسة نشاط جمع البيانات الشخصية الإلكترونية أو تخزينها أو نقلها أو معالجتها أو القيام بأنشطة التسويق الإلكتروني أو كل ما سبق والتعامل عليها بأي صورة، أو لأداء مهمة أو مهام معينة، وتحدد هذه الوثيقة التزامات المصرح له وفق القواعد والشروط والإجراءات والمعايير الفنية المحددة باللائحة التنفيذية، لمدة مؤقتة لا تجاوز سنة، ويجوز تجديدها لأكـثر مـن مـدة.