6698 sayılı Kişisel Verilerin Korunması Kanununun 3 üncü maddesinin birinci fıkrasının (d) bendi uyarınca “kişisel veri”, “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade etmektedir. Aynı maddenin birinci fıkrasının (e) bendi uyarınca “kişisel verilerin işlenmesi” ise, “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi”, (ç) bendi uyarınca “ilgili kişi”, “kişisel verisi işlenen gerçek kişiyi”, (ı) bendi uyarınca “veri sorumlusu”, “kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek ve tüzel kişiyi” ifade etmektedir. Görüldüğü üzere, Kanun kişisel veri işleme faaliyetini tanımlarken örnek olması adına birtakım işlemden bahsetmiş fakat işleme faaliyetini bunlarla sınırlı tutmamıştır. Bu anlamda, kişisel veriler üzerinde gerçekleştirilecek her türlü eylem, kişisel veri işleme faaliyeti olarak kabul edilecek ve Kanun kapsamında değerlendirilecektir. 
Kanunun 5 inci maddesinde ise kişisel verilerin işlenme şartlarına yer verilmiş olup, bu maddenin birinci fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde ise, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükme bağlanmıştır.
Kanunun “Genel ilkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebileceği ve kişisel verilerin işlenmesinde maddede, “-Hukuka ve dürüstlük kurallarına uygun olma. -Doğru ve gerektiğinde güncel olma. -Belirli, açık ve meşru amaçlar için işlenme. -İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. -İlgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğu düzenleme altına alınmıştır. Anılan madde hükmünden açıkça anlaşılacağı üzere, kişisel verilerin işlenmesinde her hal ve şartta Kanunun 4 üncü maddesinde sayılan genel ilkelere uyulması hukuki bir gerekliliktir. Bu ilkelerden kişisel verilerin “belirli, açık ve meşru amaçlar için işlenme” ilkesi, kişisel veri işleme faaliyetlerinin ilgili kişi tarafından açık bir şekilde anlaşılır olmasını, kişisel veri işleme faaliyetinin hangi hukuki işleme şartına dayalı olarak gerçekleştirildiğinin tespit edilmesini, kişisel veri işleme faaliyetinin ve gerçekleştirilme amacının belirliliğini sağlayacak detayda ortaya konulmasını sağlar. Amacın meşru olması, veri sorumlusunun işlediği verilerin, yapmış olduğu iş veya sunmuş olduğu hizmetle bağlantılı ve bunlar için gerekli olması anlamına gelmektedir. Bir diğer önemli ilke olan “işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması” ilkesine göre, işlenen veriler belirlenen amaçların gerçekleştirilmesine elverişli olmalı, amacın gerçekleştirilmesiyle ilgili olmayan veya sonradan ortaya çıkması muhtemel ihtiyaçların karşılanmasına yönelik veri işleme yoluna gidilmemelidir. Burada önemli olan, amacı gerçekleştirmeye yönelik yeterli verinin temin edilmesi, bunun dışındaki amaç için gerekli olmayan verilerin işlenmesinden kaçınılmasıdır. Ölçülülük ilkesi ise, veri işleme ile gerçekleştirilmesi istenen amaç arasında makul bir dengenin kurulması yani veri işlemenin, amacı gerçekleştirecek ölçüde olması demektir.
Bu kapsamda kişisel verilerin korunması hakkı, Anayasanın “Özel hayatın gizliliği” başlıklı 20 nci maddesinin üçüncü fıkrasında, “Herkes, kendisiyle ilgili kişisel verilerin korunmasını isteme hakkına sahiptir. Bu hak, kişinin kendisiyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, bunların düzeltilmesini veya silinmesini talep etme ve amaçları doğrultusunda kullanılıp kullanılmadığını öğrenmeyi de kapsar. Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızasıyla işlenebilir. Kişisel verilerin korunmasına ilişkin esas ve usuller kanunla düzenlenir.” şeklinde hüküm altına alınmıştır. Bu düzenleme ile kişisel verilerin korunması hakkına anayasal bir nitelik kazandırılmış olup, bir temel hak ve özgürlük olan bu hakkın sınırlandırılması da ancak Anayasanın 13 üncü maddesine uygun bir şekilde gerçekleştirilecektir. Nitekim, Anayasanın 13 üncü maddesi, “Temel hak ve hürriyetler, özl