Ustawa o ochronie danych osobowych nr 6698 z dnia 24 marca 2016 roku ( „Prawo Ochrony Danych” lub „DPL”) jest głównym ustawodawstwem, które reguluje przetwarzanie danych osobowych w Turcji. DPL reguluje tryb i zasady dla osób fizycznych i podmiotów prawnych przetwarzających dane osobowe w Turcji. W dużej mierze ustawa ta odzwierciedla dyrektywę UE o ochronie danych nr 95/46/WE oraz chroni prawo do prywatności oraz inne podstawowe prawa i wolności osób fizycznych w zakresie przetwarzania danych osobowych. Ponadto DPL definiuje pojęcia danych osobowych, danych wrażliwych, reguluje przekazywanie, przetwarzanie i usuwanie danych osobowych, a także nakłada zasady dotyczące administratorów danych i reguluje utworzenie Urzędu Ochrony Danych.

DPL ma istotne znaczenie dla podmiotów prawnych, które zaangażowane są w transakcje obejmujące przetwarzanie danych, takie jak sprzedaż, kupno, oraz czynności serwisowe, ale także dla osób fizycznych. DPL ma zastosowanie do osób prawnych i fizycznych, które przetwarzają dane osobowe przy pomocy środków zautomatyzowanych lub jako część zbioru danych. Jednakże zapisó6.2. DPL nie stosuje się, jeżeli dane są przetwarzane (i) przez osobę fizyczną w wyniku działalności osobistej lub domowej, (ii) w odniesieniu do oficjalnych celów statystycznych lub dla celów badawczych, planistycznych oraz statystycznych, o ile pozostaną one anonimowe, (iii) dla celów artystycznych, historycznych lub naukowych, lub w zakresie wolności wyrażania opinii, pod warunkiem że takie przetwarzanie nie narusza prawa do prywatności i praw osobistych, obrony narodowej i bezpieczeństwa, ani nie stanowi przestępstwa, (iv) w odniesieniu do dochodzeń w zakresie przestępstw, zaskarżenia i spraw toczących się przed organami sądowymi i wykonawczymi.

Podmioty prawne i osoby fizyczne, które przetwarzają dane osobowe, muszą być zarejestrowane w Rejestrze Administratorów Danych przed rozpoczęciem przetwarzania danych osobowych. Ponadto, muszą one spełniać zasady przetwarzania danych w zakresie przetwarzania, przechowywania i przekazywania danych osobowych. Muszą one podejmować odpowiednie środki bezpieczeństwa w celu ochrony danych osobowych i prowadzić audyty wewnętrzne lub zewnętrzne, w celu potwierdzenia, że stosowane są odpowiednie środki. Ponadto, w przypadku naruszenia bezpieczeństwa danych, administratorzy danych muszą ujawniać takie naruszenie Urzędowi Ochrony Danych oraz podmiotom takich danych.

Zgodnie z DPL, administrator danych zobowiązany jest do przedstawienia pewnych informacji podmiotowi danych w momencie zbierania danych osobowych, w tym: (I) tożsamości administratora danych i jego przedstawiciela, jeśli takowy istnieje, (ii) celów przetwarzania danych, (iii) odbiorców, którym dane mogą być przekazywane, oraz celów takiego przekazania, (iii) sposobu i podstawy prawnej zbierania danych, (iv) praw podmiotu danych.