Undang-Undang Perlindungan Data, yang diratifikasi oleh Parlemen Inggris pada tahun 1998, melindungi hak individu atas privasi terkait data pribadi mereka. Ini memungkinkan individu untuk membatasi penggunaan informasi pribadi tentang diri mereka sendiri, termasuk, dalam beberapa kasus, cara pengumpulan, penyimpanan, pemrosesan, dan distribusi. Sesuai dengan Arahan Eropa tahun 1995, Undang-Undang Perlindungan Data menetapkan delapan prinsip utama untuk perawatan dan penggunaan data pribadi yang dikumpulkan dan disusun oleh perusahaan, peneliti, dan lembaga pemerintah. Undang-Undang Perlindungan Data memaksa semua pengontrol data tidak hanya untuk mendaftar ke Komisaris Informasi, tetapi juga untuk mematuhi prinsip-prinsip perlindungan data dalam undang-undang tersebut.
Sesuai dengan Undang-Undang Perlindungan Data, pengontrol data harus mengungkapkan kepada Komisaris Informasi penggunaan data pribadi mereka, termasuk jenis informasi apa yang mereka kumpulkan dan untuk tujuan apa mereka mengumpulkan informasi itu. Selain itu, data harus dikumpulkan dan diproses secara adil dan sesuai hukum, dengan hati-hati untuk memastikan bahwa penanganan catatan konsisten dengan tujuan yang dinyatakan kepada Komisaris Informasi. Undang-Undang Perlindungan Data juga mensyaratkan bahwa informasi harus akurat dan up to date sebanyak mungkin. Perusahaan harus menerapkan langkah-langkah keamanan yang tepat untuk mencegah penggunaan data pribadi yang tidak sah atau dilarang, serta kehilangan atau kerusakan informasi yang tidak disengaja.
Undang-Undang Perlindungan Data juga mendefinisikan hak-hak individu yang menjadi subjek informasi yang dimaksud. Untuk biaya akses subjek, ia memiliki hak untuk melihat data, meminta perubahan atas ketidakakuratan, dan mengontrol penyebaran informasinya kepada pihak ketiga. Dia juga dapat memperoleh deskripsi tentang tujuan pengontrol data menyimpan materinya. Pengontrol data harus mematuhi permintaan akses subjek dalam waktu 40 hari.
Jika pengontrol data gagal untuk bertindak sesuai dengan Undang-Undang Perlindungan Data, ada sejumlah hukuman pidana dan perdata berdasarkan Bagian 21, 55, dan 56. Pengecualian penting untuk Undang-Undang tersebut termasuk pengumpulan data keluarga, seperti buku alamat pribadi atau telepon pencatatan, upaya penagihan pajak, dan penyidikan tindak pidana. Selanjutnya, pemrosesan data yang diselesaikan untuk tujuan keamanan nasional dikecualikan.
Agar pengontrol data dapat menangani informasi yang dikompilasi secara wajar sesuai dengan Undang-Undang Perlindungan Data, ia hanya boleh menyimpan informasi yang memenuhi salah satu dari enam kondisi. Pemrosesan dapat diterima jika subjek data telah memberikan persetujuannya. Ini juga diizinkan ketika pemrosesan tersebut memenuhi kewajiban hukum, kontrak, atau fungsi publik yang penting. Terakhir, pemrosesan data yang melindungi atau mengejar kepentingan vital atau sah dari subjek itu sendiri atau pihak ketiga lainnya juga diperbolehkan.