وضع قانون حماية البيانات الشخصية، عدة ضوابط وإجراءات يتم من خلالها إجراء التسويق الإلكتروني، حيث نصت المادة 117 من القانون على أنه:" يحظر إجراء أي اتصال إلكتروني بغرض التسويق المباشر للشخص المعني بالبيانات ، إلا بتوافر الشروط الآتية :
1- الحصول علي موافقة من الشخص المعني بالبيانات .
2 - أن يتضمن الاتصال هوية منشئه ومرسله .
3 - أن يكون للمرسل عنوان صحيح وكاف للوصول إليه .
4 - الإشارة إلي أن الاتصال الإلكتروني مرسل لأغراض التسويق المباشر .
5 - وضع آليات واضحة وميسرة لتمكين الشخص المعني بالبيانات من رفض الاتصال الإلكتروني أو العدول عن موافقته علي إرسالها .
وطبقا للقانون، يلتزم المرسل لأي اتصال إلكتروني بغرض التسويق المباشر بالالتزامات الآتية :
1- الغرض التسويقي المحدد .
2- عدم الإفصاح عن بيانات الاتصال للشخص المعني بالبيانات .
3 - الاحتفاظ بسجلات إلكترونية مثبت بها موافقة الشخص المعني بالبيانات وتعديلاتها ، أو عدم اعتراضه علي استمراره ، بشأن تلقي الاتصال الإلكتروني التسويقي وذلك لمدة ثلاث سنوات من تاريخ آخر إرسال ، وتحدد اللائحة التنفيذية لهذا القانون القواعد والشروط والضوابط المتعلقة بالتسويق الإلكـتروني المبـاشر .