يُنظّم جمع البيانات الشخصية ومعالجتها ويكفل حقوق أصحابها ويُقرّر عقوبات على الانتهاكات.
تسري أحكام هذا النظام على كل جهة تجمع بيانات شخصية لأفراد داخل المملكة أو تعالجها.
يحق لصاحب البيانات الاعتراض على معالجة بياناته لأغراض التسويق المباشر.
يُعاقَب على جمع البيانات دون موافقة أو إفشائها أو بيعها بغرامة لا تتجاوز خمسة ملايين ريال.
الهيئة الوطنية للأمن السيبراني هي الجهة المختصة بالإشراف على تطبيق هذا النظام.
تستثنى من أحكام هذا النظام البيانات الشخصية التي يجمعها الفرد لأغراضه الشخصية أو العائلية.
لا تُبقَى البيانات الشخصية بعد تحقيق غرض جمعها، ويجب حذفها أو إخفاء هويتها.
يُوجَب على الجهات التي تعالج بيانات ذوي الإعاقات والفئات الحساسة اتخاذ تدابير حماية مشدّدة.
لا يجوز جمع البيانات الشخصية أو معالجتها إلّا بعد الحصول على موافقة صريحة من صاحبها إلّا في حالات استثنائية يُحددها النظام.
يجب أن يكون جمع البيانات محدداً وصريحاً ومشروعاً، ولا يجوز معالجتها بطريقة تتعارض مع أغراض جمعها.
يحق لصاحب البيانات الاطلاع على البيانات المجموعة عنه والحصول على نسخة منها.
يحق لصاحب البيانات طلب تصحيح أي بيانات غير دقيقة أو مضللة تتعلق به.
يحق لصاحب البيانات طلب حذف بياناته إذا لم تعد هناك حاجة مشروعة لاحتجازها.
يلتزم متحكّم البيانات بتطبيق تدابير أمنية تقنية وتنظيمية كافية لحماية البيانات من الاختراق أو الفقدان.
يجب الإخطار بالاختراقات الأمنية التي تمس البيانات الشخصية خلال اثنين وسبعين ساعة من اكتشافها.
يُحظر نقل البيانات الشخصية إلى خارج المملكة إلّا في حالات تضمن مستوى حماية كافياً.