Kişisel verilerin korunması, veri işlenmesini belli bir düzenlemeye tabi tutma suretiyle, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi haklarının özel bir biçimi olan kişisel verilerin korunması hakkının korunmasıdır.

2010 yılında Anayasa’ya eklenmesi ile bir anayasal hak statüsüne kavuşan kişisel verilerin korunması hakkı, ülkemizde Türk Medeni Kanunu ve Türk Ceza Kanunundaki hükümler ile 7 Nisan 2016 tarihinde yürürlüğe giren Kişisel Verilerin Korunması Kanunu hükümleriyle düzenlenmiştir. Bunun yanı sıra bu hak Avrupa Konseyi tarafından Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunmasına İlişkin 108 Sayılı Sözleşme ile de korunma altına alınmıştır. 

Kanun’a göre verileri önceden hazırlanmış algoritmalar ile işlemci sahibi cihazlar tarafından yerine getirilen veri kaydı şeklinde veya verileri belli bir sınıflandırmaya tabi olarak fiziksel olarak dosyalama şeklinde işleyen tüm gerçek ve tüzel kişiler veriyi işleyenler olarak, kişisel verileri işlenen gerçek kişiler ise verileri işlenenler olarak kanunun kapsamına girer. 

Kişisel verilerin otomatik yollarla işlenmesinden, Kanun’un gerekçesinde bilişim sistemleri üzerinden gerçekleştirilen faaliyetler olarak bahsedilmektedir. Dolayısı ile verilerin; insan müdahalesi olmadan, yazılım veya donanım özellikleri aracılığı ile önceden hazırlanmış algoritmalar ile işlemci sahibi cihazlar tarafından yerine getirilen veri kaydı, kaydedilen verilere mantıksal ve aritmetik işlemler uygulanması, bu verilerin silinmesi, değiştirilmesi, aktarılması veya geri elde edilmesi şeklinde gerçekleşen faaliyetler otomatik veya kısmen otomatik yöntemler olarak tanımlanabilir. 

Eğer veriler, insan müdahalesi ile bir sınıflandırmaya tabi tutulmuş ise buna otomatik olmayan yollarla kişisel veri işlemesi denir. Otomatik olmayan yolla veri işlemiş olmak için, yapılacak sınıflandırma dosyalama şeklinde olsa bile verilere erişimi kolaylaştırma amacı ile yapılmış olmalıdır.

Veri Kayıt Sistemi, elektronik veya fiziki ortam dosyalaması şeklinde oluşmuş bir kayıt sistemidir. Bu kayıt sistemi, veri işleyenin belirlediği kriterlere göre sınıflandırma yapar.

Bir kişisel verinin, elde edilmesini takip eden bütün işlemler veri işleme kapsamına girer. Yani elde etme, kayıt ve depolama, saklama, sınıflandırma ve düzenleme, elde edilebilir hale getirme veya kullanılmasını engelleme gibi işlemlerin tamamı kişisel verilerin işlenmesi anlamına gelmektedir.

Veri sorumlusu; kişisel verilerin işleme amacı, hangi kişilere ait hangi verilerin işleneceği, işlenen verilerin kullanım, erişim ve paylaşımı gibi süreçleri yöneten, veri kayıt sisteminin kurulması ve işleyişinden sorumlu olan gerçek veya tüzel kişidir. 

Veri işleyen; veri sorumlusundan aldığı yetkiye dayanarak, veri işleme faaliyetini veri sorumlusu adına bizzat gerçekleştiren yetkili gerçek veya tüzel kişidir. 

Veri Sorumluları Sicili, veri sorumlularının veri işlemeye başlamadan önce kayıt olmak zorunda oldukları, Kişisel Verileri Koruma Kurulunun gözetiminde Başkanlık tarafından açık tutulan bir sistemdir. Veri sorumluları, bu sicile veri işleme faaliyetleri ile ilgili olarak; veri sorumlusu ve temsilcisinin kimlik ve adres bilgileri, veri işleme amacı, veri konusu kişi grupları ve kategorileri hakkında bilgiler, verilerin aktarılacağı alıcı grupları, veri güvenliğine dair alınan tedbirler, verilerin işleneceği azami süre gibi bilgileri beyan eder.  

Kişisel verileri işlenen kişi, Anayasanın 20. Maddesi ve bu hükme uygun olarak Kişisel Verilerin Korunması Kanunu’nun 11. Maddesi uyarınca, VERİ SORUMLUSUNA başvurarak:

• Kişisel verilerinin işlenip işlenmediğini öğrenme, 
• Kişisel verileri işlenmişse buna ilişkin bilgi talep etme, 
• Kişisel verilerin işlenme amacını ve bunların amacına uygun kullanılıp kullanılmadığını öğrenme, 
• Yurt içinde veya yurt dışında kişisel verilerin aktarıldığı üçüncü kişileri bilme, 
• Kişisel verilerin eksik veya yanlış işlenmiş olması halinde bunların düzeltilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme, 
• Kişisel Verilerin Korunması Kanunu ve ilgili diğer kanun hükümlerine uygun olarak işlenmiş olmasına rağmen, işlenmesini gerektiren sebeplerin ortadan kalkması hâlinde kişisel verilerin silinmesi veya yok edilmesini isteme ve bu kapsamda yapılan işlemlerin kişisel verilerin aktarıldığı üçüncü kişilere bildirilmesini isteme,
• İşlenen verilerin münhasıran otomatik sistemler vasıtasıyla analiz edilmesi suretiyle kişinin kendisi aleyhine bir sonucun ortaya çıkmasına itiraz etme, 
• Kişisel verilerin Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme

Haklarına sahiptirler. Bu başvuruların reddedilmesi, yetersiz bulunması veya süresinde cevap verilmemiş olması halinde ilgili kişi öngörülen sürelere uyma kaydıyla Kişisel Verileri Koruma Kurulu’na şikayette bulunabilir.