أعتبر قانون حماية البيانات الشخصية، المعالجة الإلكترونية مشروعة وقانونية في حال موافقة الشخص المعني بالبيانات على إجراء المعالجة من أجل تحقيق غرض محدد أو أكثر، وأن تكون المعــالجة لازمة وضرورية تنفــيذًا لالـتزام تعـــاقدي أو تصرف قــانوني أو لإبـرام عقد لصالح الشخص المعني بالبيانات، أو لمباشرة أي من إجراءات المطالبة بالحقوق القانونية له أو الدفاع عنها.
ومن ضمن الحالات التي تكون معالجة البيانات مشروعة وقانونية، حينما تكون لتنفيذ التزام ينظمه القانون أو أمر من جهات التحقيق المختصة أو بناءً على حكم قضائي، تمكين المتحكم من القيام بالتزاماته أو أي ذي صفة من ممارسة حقوقه المشروعة، ما لم يتعارض ذلك مع الحقوق والحريات الأساسية للشخص المعني بالبيانات.
ويجب لجمع البيانات الشخصية ومعالجتها والاحتفاظ بها، توافر الشروط الآتية:
- أن تجمع البيانات الشخصية لأغراض مشروعة ومحددة ومعلنة للشخص المعني.
- أن تكون صحيحة وسليمة ومؤمنة.
- أن تعالج بطريقة مشروعة وملائمة للأغراض التي تم تجميعها من أجلها.
- ألا يتــم الاحتفــاظ بهـا لمــدة أطــول من المــدة اللازمـــة للـوفـــاء بالغــــرض المحــدد لهــا.
وتحدد اللائحة التنفيذية لهذا القانون السياسات والإجراءات والضوابط والمعايير القياسية للجمع والمعالجة والحفظ والتأمين لهذه البيانات.