Das 1998 vom britischen Parlament ratifizierte Datenschutzgesetz schützt das Recht des Einzelnen auf Privatsphäre in Bezug auf seine personenbezogenen Daten. Es ermöglicht Einzelpersonen, die Verwendung personenbezogener Daten über sich selbst einzuschränken, einschließlich in einigen Fällen die Art und Weise der Erhebung, Speicherung, Verarbeitung und Verteilung. In Übereinstimmung mit der europäischen Richtlinie von 1995 legt das Datenschutzgesetz acht Grundprinzipien für die Pflege und Verwendung personenbezogener Daten fest, die von Unternehmen, Forschern und Behörden erhoben und gesammelt werden. Das Datenschutzgesetz verpflichtet alle Datenverantwortlichen, sich nicht nur beim Informationsbeauftragten zu registrieren, sondern auch die Datenschutzgrundsätze des Gesetzes einzuhalten.
Gemäß dem Datenschutzgesetz müssen die Datenverantwortlichen dem Informationsbeauftragten ihre Verwendung personenbezogener Daten offenlegen, einschließlich der Art von Informationen, die sie sammeln und zu welchem Zweck sie diese Informationen sammeln. Darüber hinaus müssen die Daten auf faire und rechtmäßige Weise erhoben und verarbeitet werden, wobei darauf zu achten ist, dass die Verarbeitung der Aufzeichnungen dem angegebenen Zweck des Datenschutzbeauftragten entspricht. Das Datenschutzgesetz verlangt auch, dass die Informationen so genau und aktuell wie möglich sind. Unternehmen müssen geeignete Sicherheitsmaßnahmen ergreifen, um die unbefugte oder verbotene Verwendung personenbezogener Daten sowie den versehentlichen Verlust oder die Beschädigung der Informationen zu verhindern.
Das Datenschutzgesetz definiert auch die Rechte der Personen, die Gegenstand der betreffenden Informationen sind. Gegen eine Zugangsgebühr hat er das Recht, die Daten einzusehen, die Berichtigung etwaiger Ungenauigkeiten zu verlangen und die Weitergabe seiner Informationen an Dritte zu kontrollieren. Er kann auch eine Beschreibung der Zwecke erhalten, für die ein Datenverantwortlicher sein Material aufbewahrt. Die Datenverantwortlichen müssen den Zugriffsanfragen der betroffenen Person innerhalb von 40 Tagen nachkommen.
Wenn ein für die Verarbeitung Verantwortlicher nicht gemäß dem Datenschutzgesetz handelt, gibt es eine Reihe von straf- und zivilrechtlichen Sanktionen gemäß den Abschnitten 21, 55 und 56. Bemerkenswerte Ausnahmen vom Gesetz umfassen die Erfassung von Familiendaten wie persönliche Adressbücher oder Telefon Auflistungen, Steuereintreibungsbemühungen und strafrechtliche Ermittlungen. Darüber hinaus ist eine Datenverarbeitung zum Zwecke der nationalen Sicherheit ausgenommen.
Damit ein Datenverantwortlicher gemäß dem Datenschutzgesetz mit fair zusammengestellten Informationen umgehen kann, darf er nur solche Informationen besitzen, die eine von sechs Bedingungen erfüllen. Die Verarbeitung ist zulässig, wenn die betroffene Person ihre Einwilligung erteilt hat. Sie ist auch berechtigt, wenn eine solche Verarbeitung eine rechtliche Verpflichtung, einen Vertrag oder eine wesentliche öffentliche Aufgabe erfüllt. Schließlich ist auch eine Datenverarbeitung zulässig, die lebenswichtige oder berechtigte Interessen des Betroffenen selbst oder eines anderen Dritten schützt oder verfolgt.