Tietosuojalaki, jonka Yhdistyneen kuningaskunnan parlamentti ratifioi vuonna 1998, suojaa yksilöiden yksityisyyteen liittyviä oikeuksia. Sen avulla yksilöt voivat rajoittaa itseään koskevien henkilötietojen käyttöä, mukaan lukien joissakin tapauksissa keräys-, tallennus-, käsittely- ja jakelutapa. Vuoden 1995 eurooppalaisen direktiivin mukaisesti tietosuojalaissa esitetään kahdeksan keskeistä periaatetta yritysten, tutkijoiden ja valtion virastojen keräämien ja kokoamien henkilötietojen hoidolle ja käytölle. Tietosuojalaki velvoittaa kaikki rekisterinpitäjät rekisteröimään tietosuojavaltuutetun lisäksi myös noudattamaan lain tietosuojaperiaatteita.
Tietosuojalain mukaisesti rekisterinpitäjien on luovutettava tietosuojavaltuutetulle henkilötietojensa käytöstä, mukaan lukien kerätyt tiedot ja mihin tarkoitukseen ne keräävät tietoja. Lisäksi tiedot on kerättävä ja käsiteltävä oikeudenmukaisesti ja laillisesti ja huolehdittava siitä, että tietueiden käsittely on tietokomissaarille ilmoitetun tarkoituksen mukaista. Tietosuojalaki edellyttää myös, että tiedot ovat mahdollisimman tarkkoja ja ajantasaisia. Yritysten on toteutettava asianmukaiset turvatoimenpiteet estääkseen henkilötietojen luvattoman tai kielletyn käytön sekä tietojen vahingossa tapahtuvan katoamisen tai vahingoittumisen.
Tietosuojalaissa määritellään myös niiden henkilöiden oikeudet, jotka ovat kyseisten tietojen kohteena. Hänellä on oikeus tarkastella tietoja pääsymaksua vastaan, pyytää korjaamaan mahdolliset epätarkkuudet ja valvoa tietojensa jakamista kolmansille osapuolille. Hän voi myös saada kuvauksen tarkoituksista, joita varten rekisterinpitäjä pitää aineistoaan. Rekisterinpitäjien on täytettävä pääsypyyntö 40 päivän kuluessa.
Jos rekisterinpitäjä ei toimi tietosuojalain mukaisesti, 21, 55 ja 56 §: ssä säädetään lukuisista rikos- ja siviilioikeudellisista seuraamuksista. Merkittäviä poikkeuksia lakiin ovat sukutietojen kerääminen, kuten henkilökohtaiset osoitekirjat tai puhelin listautumisia, veronkantoa ja rikostutkintaa. Lisäksi kansallisen turvallisuuden vuoksi suoritettu tietojenkäsittely on vapautettu.
Jotta rekisterinpitäjä voisi käsitellä oikeudenmukaisesti koottuja tietoja tietosuojalain mukaisesti, hänellä on oltava hallussaan vain sellaiset tiedot, jotka täyttävät yhden kuudesta ehdosta. Käsittely on hyväksyttävää, jos rekisteröity on antanut suostumuksensa. Se on myös sallittu, kun tällainen käsittely täyttää lakisääteisen velvoitteen, sopimuksen tai olennaisen julkisen tehtävän. Lopuksi sallitaan myös tietojen käsittely, joka suojaa tai harjoittaa kohteen itsensä tai toisen kolmannen osapuolen elintärkeitä tai oikeutettuja etuja.