وضع قانون حماية البيانات الشخصية، 4 حالات بموجبها يتم معالجة البيانات الإلكترونية، وتتمثل في موافقة الشخص المعني بالبيانات على إجراء المعالجة من أجل تحقيق غرض محدد أو أكثر، أن تكون المعــالجة لازمة وضرورية تنفــيذًا لالـتزام تعـــاقدي أو تصرف قــانوني أو لإبـرام عقد لصالح الشخص المعني بالبيانات، أو لمباشرة أي من إجراءات المطالبة بالحقوق القانونية له أو الدفاع عنها، تنفيذ التزام ينظمه القانون أو أمر من جهات التحقيق المختصة أو بناءً على حكم قضائي، وتمكين المتحكم من القيام بالتزاماته أو أي ذي صفة من ممارسة حقوقه المشروعة، ما لم يتعارض ذلك مع الحقوق والحريات الأساسية للشخص المعني بالبيانات.
ويحظر على المتحكم أو المعالج سواء كان شخصًا طبيعيا أو اعتباريًا جمع بيانات شخصية حســاسة أو نقلها أو تخــزينها أو حفظهـا أو معــالجتها أو إتاحتها إلا بترخيص مـن المـركـز. وفيما عدا الأحــوال المصرح بها قانونًا، يلزم الحصول على موافقة كتــابية وصــريحة من الشخص المعني. وفي حالة إجراء أي عملية ممـا ذكر تتعلق ببيانات الأطفال، يلزم موافقة ولي الأمر.
ويجب ألا تكون مشاركة الطفل في لعبة أو مسابقة أو أى نشاط آخر مشروطة بتقديم بيانات شخصية للطفل تزيد على ما هو ضرورى للمشاركة فى ذلك.
وذلك كله وفقًا للمعايير والضوابط التي تحددها اللائحة التنفيذية لهذا القانون، بالإضافة إلى الالتزامات الواردة بالمـادة (9) من هذا القانون، يلتزم مسئول حماية البيانات الشخصية وتابعوه لدي المتحكم أو المعالج باتباع واستيفاء السياسات والإجراءات التأمينية اللازمة لعدم خرق البيانات الشخصية الحساسة أو انتهاكها.