6698 sayılı Kişisel Verilerin Korunması Kanununda kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi olarak tanımlanmaktadır. Her türlü bilgi sadece bireyin kesin teşhisini sağlayan ad, soyad, doğum tarihi, doğum yeri gibi bilgiler değil; aynı zamanda bireyin belirlenebilir kılınmasını sağlayan fiziki, ailevi, ekonomik, sosyal ve buna benzer özelliklere ilişkin doğrudan ve dolaylı olarak kişiyi belirlenebilir kılan tüm verilerdir.
Kişisel Verilerin Korunması Kanunu, özel hayatın gizliliğini esas alarak kişisel verilerin işlenmesinin disiplin altına alınmasına ilişkin kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ve uyacakları kuralları düzenler. Bu kanunla amaçlanan insan onurunun korunmasıdır.
Veri işleme faaliyeti hangi hukuki sebebe dayanırsa dayansın tüm veri işleme faaliyetleri kanunda belirtilen genel ilkelere uygun olarak gerçekleştirilmelidir. Bu ilkeler:
- Hukuka ve dürüstlük kurallarına uygun olma
- Doğru ve gerektiğinde güncel olma
- Belirli, açık ve meşru amaçlar için işlenme
- İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma
- İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmedir.
Kişisel verilerin hukuka uygun olarak işlenebilmesi için Kanunun 5. maddesinde sayılan veri işleme şartlarından en az birinin mevcut olması gerekmektedir. Bu şartlar:
a) İLGİLİ KİŞİNİN AÇIK RIZASI
b) KANUNLARDA AÇIKÇA ÖNGÖRÜLMESİ
c) FİİLİ İMKÂNSIZLIK NEDENİYLE RIZASINI AÇIKLAYAMAYACAK DURUMDA BULUNAN VEYA RIZASINA HUKUKİ GEÇERLİLİK TANINMAYAN KİŞİNİN KENDİSİNİN YA DA BİR BAŞKASININ HAYATI VEYA BEDEN BÜTÜNLÜĞÜNÜN KORUNMASI İÇİN ZORUNLU OLMASI
d) BİR SÖZLEŞMENİN KURULMASI VEYA İFASIYLA DOĞRUDAN DOĞRUYA İLGİLİ OLMASI KAYDIYLA, SÖZLEŞMENİN TARAFLARINA AİT KİŞİSEL VERİLERİN İŞLENMESİNİN GEREKLİ OLMASI
e) VERİ SORUMLUSUNUN HUKUKİ YÜKÜMLÜLÜĞÜNÜ YERİNE GETİREBİLMESİ İÇİN ZORUNLU OLMASI
f) İLGİLİ KİŞİNİN KENDİSİ TARAFINDAN ALENİLEŞTİRİLMİŞ OLMASI
g) BİR HAKKIN TESİSİ, KULLANILMASI VEYA KORUNMASI İÇİN VERİ İŞLEMENİN ZORUNLU OLMASI
h) İLGİLİ KİŞİNİN TEMEL HAK VE ÖZGÜRLÜKLERİNE ZARAR VERMEMEK KAYDIYLA, VERİ SORUMLUSUNUN MEŞRU MENFAATLERİ İÇİN VERİ İŞLENMESİNİN ZORUNLU OLMASI
Başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olmasına, ayrımcılığa maruz kalmasına ya da şeref ve onurunun zedelenmesine neden olabilecek nitelikteki veriler özel nitelikli (hassas) kişisel verilerdir.
Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak sayılmış ve daha sıkı tedbirlerle korunması gerektiğinden Kanunda ayrıca düzenlemiştir. Özel nitelikli kişisel verilerin işlenebilmesi için kural olarak ilgili kişinin açık rızası gerekir.
Kanununa göre kişisel veriler hukuka uygun şekilde işlenmiş olsalar dahi, işlenmeyi gerektiren sebepler ortadan kalktığında veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine silinmeli, yok edilmeli veya anonim hale getirilmelidir.