Ο Νόμος για την Προστασία Δεδομένων, που επικυρώθηκε από το Κοινοβούλιο του Ηνωμένου Βασιλείου το 1998, προστατεύει τα ατομικά δικαιώματα στην ιδιωτική ζωή όσον αφορά τα προσωπικά τους δεδομένα. Επιτρέπει στα άτομα να περιορίζουν τη χρήση προσωπικών πληροφοριών για τον εαυτό τους, συμπεριλαμβανομένου, σε ορισμένες περιπτώσεις, του τρόπου συλλογής, αποθήκευσης, επεξεργασίας και διανομής. Σε συμμόρφωση με την Ευρωπαϊκή Οδηγία του 1995, ο Νόμος για την Προστασία Δεδομένων ορίζει οκτώ βασικές αρχές για τη φροντίδα και τη χρήση προσωπικών δεδομένων που συλλέγονται και συγκεντρώνονται από εταιρείες, ερευνητές και κρατικούς φορείς. Ο νόμος περί προστασίας δεδομένων υποχρεώνει όλους τους υπευθύνους επεξεργασίας δεδομένων όχι μόνο να εγγραφούν στον Επίτροπο Πληροφοριών, αλλά και να συμμορφώνονται με τις αρχές προστασίας δεδομένων του νόμου.
Σύμφωνα με τον Νόμο για την Προστασία Δεδομένων, οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να αποκαλύπτουν στον Επίτροπο Πληροφοριών τη χρήση προσωπικών δεδομένων από μέρους τους, συμπεριλαμβανομένων των τύπων πληροφοριών που συλλέγουν και για ποιο σκοπό συλλέγουν αυτές τις πληροφορίες. Επιπλέον, τα δεδομένα πρέπει να συλλέγονται και να υποβάλλονται σε επεξεργασία δίκαια και νόμιμα, λαμβάνοντας μέριμνα ώστε ο χειρισμός των αρχείων να είναι συνεπής με τον δηλωμένο σκοπό προς τον Επίτροπο Πληροφοριών. Ο νόμος περί προστασίας δεδομένων απαιτεί επίσης οι πληροφορίες να είναι ακριβείς και ενημερωμένες όσο το δυνατόν περισσότερο. Οι εταιρείες πρέπει να εφαρμόζουν κατάλληλα μέτρα ασφαλείας για την αποτροπή μη εξουσιοδοτημένης ή απαγορευμένης χρήσης προσωπικών δεδομένων, καθώς και τυχαίας απώλειας ή βλάβης των πληροφοριών.
Ο Νόμος για την Προστασία Δεδομένων ορίζει επίσης τα δικαιώματα των ατόμων που αποτελούν υποκείμενα των εν λόγω πληροφοριών. Με χρέωση πρόσβασης υποκειμένου, έχει το δικαίωμα να δει τα δεδομένα, να ζητήσει την τροποποίηση τυχόν ανακρίβειων και να ελέγξει τη διασπορά των πληροφοριών του σε τρίτους. Μπορεί επίσης να λάβει μια περιγραφή των σκοπών για τους οποίους ο υπεύθυνος επεξεργασίας δεδομένων διατηρεί το υλικό του. Οι υπεύθυνοι επεξεργασίας δεδομένων πρέπει να συμμορφώνονται με τα αιτήματα πρόσβασης των υποκειμένων εντός 40 ημερών.
Εάν ένας υπεύθυνος επεξεργασίας δεδομένων αποτύχει να ενεργήσει σύμφωνα με τον Νόμο για την Προστασία Δεδομένων, υπάρχουν ορισμένες ποινικές και αστικές κυρώσεις σύμφωνα με τις Ενότητες 21, 55 και 56. Οι αξιοσημείωτες εξαιρέσεις του νόμου περιλαμβάνουν συλλογές οικογενειακών δεδομένων, όπως προσωπικές διευθύνσεις ή τηλέφωνο καταχωρίσεις, προσπάθειες είσπραξης φόρων και ποινικές έρευνες. Επιπλέον, η επεξεργασία δεδομένων που ολοκληρώνεται για σκοπούς εθνικής ασφάλειας εξαιρείται.
Προκειμένου ένας υπεύθυνος επεξεργασίας δεδομένων να χειρίζεται σωστά συγκεντρωμένες πληροφορίες σύμφωνα με τον Νόμο για την Προστασία Δεδομένων, πρέπει να διατηρεί μόνο τις πληροφορίες που πληρούν μία από τις έξι προϋποθέσεις. Η επεξεργασία είναι αποδεκτή εάν το υποκείμενο των δεδομένων έχει δώσει τη συγκατάθεσή του. Επιτρέπεται επίσης όταν μια τέτοια επεξεργασία εκπληρώνει νομική υποχρέωση, σύμβαση ή βασική δημόσια λειτουργία. Τέλος, επιτρέπεται και η επεξεργασία δεδομένων που προστατεύει ή επιδιώκει ζωτικά ή νόμιμα συμφέροντα του ίδιου του υποκειμένου ή άλλου τρίτου.