وضع قانون حماية البيانات الشخصية، عدة ضوابط وإجراءات يتم من خلالها إجراء التسويق الإلكتروني، حيث نصت المادة 117 من القانون على أنه:" يحظر إجراء أي اتصال إلكتروني بغرض التسويق المباشر للشخص المعني بالبيانات ، إلا بتوافر الشروط الآتية : 1- الحصول علي موافقة من الشخص المعني بالبيانات . 2 - أن يتضمن الاتصال هوية منشئه ومرسله . 3 - أن يكون للمرسل عنوان صحيح وكاف للوصول إليه . 4 - الإشارة إلي أن الاتصال الإلكتروني مرسل لأغراض التسويق المباشر . 5 - وضع آليات واضحة وميسرة لتمكين الشخص المعني بالبيانات من رفض الاتصال الإلكتروني أو العدول عن موافقته علي إرسالها .
وطبقا للقانون، يلتزم المرسل لأي اتصال إلكتروني بغرض التسويق المباشر بالالتزامات الآتية : 1- الغرض التسويقي المحدد . 2- عدم الإفصاح عن بيانات الاتصال للشخص المعني بالبيانات . 3 - الاحتفاظ بسجلات إلكترونية مثبت بها موافقة الشخص المعني بالبيانات وتعديلاتها ، أو عدم اعتراضه علي استمراره ، بشأن تلقي الاتصال الإلكتروني التسويقي وذلك لمدة ثلاث سنوات من تاريخ آخر إرسال ، وتحدد اللائحة التنفيذية لهذا القانون القواعد والشروط والضوابط المتعلقة بالتسويق الإلكتروني المباشر .