حدد قانون حماية البيانات الشخصية الصادر رقم ١٥١ لسنة ٢٠٢٠، بعض الاشتراطات على المتحكم في نقل البيانات، حيث حدد التشريع وظيفة المتحكم في الحصول علي البيانات الشخصية وتحديد طريقة وأسلوب ومعايير الاحتفاظ بها، أو معالجتها والتحكم فيها طبقًا للغرض المحدد.
١ - الحصول علي البيانات الشخصية أو تلقيها من الحائز أو من الجهات المختصة بتزويده بها بحسب الأحوال بعد موافقة الشخص المعني بالبيانات ، أو في الأحوال المصرح بهـا قـانونـًا .
٢ - التأكد من صحة البيانات الشخصية واتفاقها وكفايتها مع الغرض المحدد لجمعها .
٣ - وضع طريقة وأسلوب ومعايير المعالجة طبقا للغرض المحدد، ما لم يقرر تفويض المعالج في ذلك بموجب تعاقد مكتوب .
٤ - التأكد من انطباق الغرض المحدد من جمع البيانات الشخصية لأغراض معالجتها .
٥ - القيام بعمل أو الامتناع عن عمل يكون من شـأنه إتـاحة البيــانات الشخصية إلا في الأحوال المصرح بها قانونًا .
٦ - اتخاذ جميع الإجراءات التقنية والتنظيمية وتطبيق المعايير القياسية اللازمة لحماية البيــانات الشخصية وتأمينهـا حفــاظـًا علي سريتها ، وعدم اخــتراقها أو إتلافهـا أو تغييرها أو العبث بها قِبَل أي إجراء غير مشروع .
٧ - محو البيانات الشخصية لديه فور انقضاء الغرض المحدد منها ، أما في حال الاحتفاظ بها لأي سبب من الأسباب المشروعة بعد انتهاء الغرض ، فيجب ألا تبقي في صورة تسمح بتحديد الشخص المعني بالبيانات .
٨ - تصحيح أي خطأ بالبيانات الشخصية فور إبلاغه أو علمه به .
٩ - إمساك سجل خاص للبيانات، علي أن يتضمن وصف فئات البيانات الشخصية لديه، وتحديد من سيفصح لهم عن هذه البيانات أو يتيحها لهم وسنده والمدد الزمنية وقيودها ونطاقها وآليات محو البيانات الشخصية لديه أو تعديلها وأي بيانات أخري متعلقة بنقل تلك البيانات الشخصية عبر الحدود ووصف الإجراءات التقنية والتنظيمية الخاصة بأمن البيانات .
١٠ - الحصول علي ترخيص أو تصريح من المركز للتعامل مع البيانات الشخصية .