Ustawa o ochronie danych, ratyfikowana przez parlament Wielkiej Brytanii w 1998 r., chroni prawa jednostki do prywatności w odniesieniu do ich danych osobowych. Pozwala osobom fizycznym ograniczyć wykorzystanie danych osobowych na swój temat, w tym, w niektórych przypadkach, sposób gromadzenia, przechowywania, przetwarzania i dystrybucji. Zgodnie z Dyrektywą Europejską z 1995 roku, Ustawa o Ochronie Danych określa osiem kluczowych zasad dotyczących ochrony i wykorzystywania danych osobowych gromadzonych i kompilowanych przez firmy, badaczy i agencje rządowe. Ustawa o ochronie danych zobowiązuje wszystkich administratorów danych nie tylko do zarejestrowania się u Rzecznika Informacji, ale także do przestrzegania zawartych w ustawie zasad ochrony danych.
Zgodnie z ustawą o ochronie danych, administratorzy danych muszą ujawnić Komisarzowi ds. Informacji, jak wykorzystują dane osobowe, w tym jakie rodzaje informacji gromadzą i w jakim celu gromadzą te informacje. Ponadto dane muszą być gromadzone i przetwarzane w sposób rzetelny i zgodny z prawem, dbając o to, aby przetwarzanie danych było zgodne z celem określonym przez Komisarza ds. Informacji. Ustawa o ochronie danych wymaga również, aby informacje były jak najbardziej dokładne i aktualne. Firmy muszą wdrożyć odpowiednie środki bezpieczeństwa, aby zapobiec nieuprawnionemu lub zabronionemu wykorzystaniu danych osobowych, a także przypadkowej utracie lub uszkodzeniu informacji.
Ustawa o ochronie danych określa również prawa osób, których dotyczą dane informacje. Za opłatą za udostępnienie podmiotu ma prawo wglądu do danych, żądania sprostowania wszelkich nieścisłości oraz kontroli rozpowszechniania swoich informacji osobom trzecim. Może również uzyskać opis celów, dla których administrator danych przechowuje jego materiał. Administratorzy danych muszą spełnić żądania dostępu do podmiotów w ciągu 40 dni.
Jeśli administrator danych nie postępuje zgodnie z ustawą o ochronie danych, istnieje szereg sankcji karnych i cywilnych na podstawie sekcji 21, 55 i 56. Godne uwagi wyjątki od ustawy obejmują zbiory danych rodzinnych, takie jak osobiste książki adresowe lub telefon wykazów, ściągania podatków i dochodzeń karnych. Ponadto zwolnione jest przetwarzanie danych realizowane w celu bezpieczeństwa narodowego.
Aby administrator danych mógł przetwarzać rzetelnie skompilowane informacje zgodnie z ustawą o ochronie danych, musi on posiadać tylko te informacje, które spełniają jeden z sześciu warunków. Przetwarzanie jest dopuszczalne, jeżeli osoba, której dane dotyczą, wyraziła na to zgodę. Jest również dozwolone, gdy takie przetwarzanie spełnia obowiązek prawny, umowę lub istotną funkcję publiczną. Wreszcie dozwolone jest również przetwarzanie danych, które chroni lub realizuje żywotne lub uzasadnione interesy samego podmiotu lub innej strony trzeciej.