Duomenų apsaugos įstatymas, kurį 1998 m. ratifikavo Jungtinės Karalystės parlamentas, saugo asmens teises į privatumą, susijusią su jų asmens duomenimis. Tai leidžia asmenims apriboti asmeninės informacijos apie save naudojimą, įskaitant, kai kuriais atvejais, rinkimo, saugojimo, apdorojimo ir platinimo būdus. Vadovaujantis 1995 m. Europos direktyva, Duomenų apsaugos įstatymas nustato aštuonis pagrindinius įmonių, tyrėjų ir vyriausybinių agentūrų surinktų ir kaupiamų asmens duomenų priežiūros ir naudojimo principus. Duomenų apsaugos įstatymas įpareigoja visus duomenų valdytojus ne tik registruotis pas informacijos komisarą, bet ir laikytis įstatyme nustatytų duomenų apsaugos principų.
Vadovaudamiesi Duomenų apsaugos įstatymu, duomenų valdytojai turi atskleisti informacijos įgaliotiniui, kaip naudoja asmens duomenis, įskaitant tai, kokios rūšies informaciją jie renka ir kokiu tikslu tą informaciją renka. Be to, duomenys turi būti renkami ir tvarkomi sąžiningai ir teisėtai, užtikrinant, kad įrašų tvarkymas atitiktų informacijos įgaliotinio nurodytą tikslą. Duomenų apsaugos įstatymas taip pat reikalauja, kad informacija būtų tiksli ir kiek įmanoma atnaujinta. Įmonės privalo įgyvendinti tinkamas saugumo priemones, kad išvengtų neteisėto ar neleistino asmens duomenų naudojimo, taip pat netyčinio informacijos praradimo ar sugadinimo.
Duomenų apsaugos įstatymas taip pat apibrėžia tų asmenų, kurie yra nagrinėjamos informacijos subjektai, teises. Už subjekto prieigos mokestį jis turi teisę peržiūrėti duomenis, reikalauti ištaisyti visus netikslumus ir kontroliuoti savo informacijos išplatinimą tretiesiems asmenims. Jis taip pat gali gauti tikslų, dėl kurių duomenų valdytojas laiko jo medžiagą, aprašymą. Duomenų valdytojai turi patenkinti subjekto prieigos prašymus per 40 dienų.
Jei duomenų valdytojas nesilaiko Duomenų apsaugos įstatymo reikalavimų, 21, 55 ir 56 skirsniuose numatytos įvairios baudžiamosios ir civilinės sankcijos. Svarbios įstatymo išimtys apima šeimos duomenų rinkimą, pvz., asmeninių adresų knygas arba telefono numerių registravimą. sąrašus, mokesčių surinkimo pastangas ir kriminalinius tyrimus. Be to, duomenų tvarkymas nacionalinio saugumo tikslais yra neapmokestinamas.
Kad duomenų valdytojas tvarkytų teisingai surinktą informaciją pagal Duomenų apsaugos įstatymą, jis turi turėti tik tą informaciją, kuri atitinka vieną iš šešių sąlygų. Duomenų tvarkymas yra priimtinas, jei duomenų subjektas davė sutikimą. Jis taip pat leidžiamas, kai toks tvarkymas vykdo teisinę prievolę, sutartį ar esminę viešąją funkciją. Galiausiai taip pat leidžiamas duomenų tvarkymas, kuriuo saugomi ar siekiama gyvybinių ar teisėtų paties subjekto ar kitos trečiosios šalies interesų.