Kişisel veri, Kişisel Verilerin Korunması Kanunu (“KVKK”) m.3 (1) – d hükmünde tanımlanmıştır. “Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi” ifade etmektedir. İlgili bilgilere bakıp kişinin kimliği doğrudan belirlenebiliyorsa yahut bu bilgiler ışığında kişinin kimliği belirlenebilir bir hal alıyorsa kişisel veri var demektir. Tarih sahnesinde her dönemde belli özellikler daha değerli sayılmıştır. Günümüzde ise artık dünyanın en değerli kaynağı, petrol değil verilerdir. Kişisel veriler, bu bilgileri elinde bulunduran bireyleri veya kurumları maddi ve manevi anlamda güçlü kılmaktadır. Aynı zamanda bu verilerden maddi yarar sağlanabilmektedir; diğer yandan başkalarıyla paylaşılmak istenmeyen özel bilgilerinin üçüncü kişilere ulaşma tehlikesi bu bağlamdaki bilgileri elinde bulunduran kişiler nazarında manevi açıdan güç teşkil etmektedir. Teknolojinin gelişmiş olması büyük faydalar sağlamış olsa da bu hızlı devinim verilere de erişimi hızlandırdığından bir koruma mekanizması gerektirmiştir. Bu kapsamda kişisel verilerin korunması ile bireylerin belirli baskı unsurlarından ari kılınması icap etmiştir. Kişiler adına özgür bir ortam yaratabilmek için kişisel verilerin mahremiyeti tanınmış ve yakın geçmişte korunması gereken bir kavram halini almıştır. Hatta özel nitelikli kişisel veriler sayesinde kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini mezhebi veya diğer inançları, cinsel hayatı, sağlığı, biyometrik verileri elde edilebileceğinden ilgili kişisel verilerin korunması daha hassas bir hal almıştır. Kişisel verilere limitsiz ulaşma imkânı George Orwell’ın 1984 romanındaki gibi bir distopyaya bizleri getirebilir, bir müddet sonra düşünce özgürlüğüne bile bir nebze engel olabilir. Bu kapsamda kişisel veriler bir koruma rejimine tabi kılınmıştır. Günümüzde de özellikle birçok yerde KVKK kapsamında onay metinlerine denk gelmekteyiz. Kişisel veri, kişiye ilişkin, kişiden kaynaklanan, doğumumuzdan ölümümüze kadar bizi ifade eden her şey olduğundan bu denli bir korumanın varlığı mantıklıdır. Neticede kişisel verilerin unsurları sayılacak olursa bunlar; bilgi, belirli veya belirlenebilir kişi, bu bilgilinin kişiye ilişkin olmasıdır. Bununla birlikte kişisel verilerin hukuki niteliği tartışmalı olmakla birlikte doktrinde bu verilerin mülkiyet hakkı, fikri mülkiyet hakkı ve kişilik hakkı olduğu üzerine üç farklı görüş bulunmaktadır. Doktrinde çoğunlukla kabul edilen görüş ise bu hakkın kendine has, kaynağını insan onuru ve özel hayatın gizliliği hakkından alan, kişilik hakkına dayalı bağımsız bir hak olduğu yönünde şekillenmiştir. Kişisel verilerin işlenmesine gelinecek olursa KVKK m.3 hükmünden anlaşıldığı üzere kişisel verilerin işlenmesinden, “tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla ilk defa elde edilmesiyle başlayan bir süreç ve devamındaki her türlü işleme anlaşılmalıdır.” Veri işlemenin sınırları kanunla çizilmiştir, bir kere bir kayıt sistemi olmalıdır; otomatik yolla o veri üzerinde çalışılmalıdır. Otomatize edilmiş sistemlerle yapılmalıdır, veri alındıktan sonra yapılan her işlem veri işleme faaliyetidir. Bilindiği üzere her veri işleme faaliyetinden önce rıza alınamamakta ve kanun da bu noktada belirli istisnalar öngörmüştür. Öncelikle veri işleme faaliyetinin KVKK m.5 hükmünde yer alan bir istisna kapsamında olup olmadığı incelenir, eğer bu kapsama girmiyorsa açık rıza alınır. İstisnalardan bazıları sayılacak olursa bunlar; kanunlarda açıkça görülme, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olma, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin islenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması halleri bu kapsamda belirli örneklerdir. Günlük hayatta sıklıkla karşımıza çıkan belli haller zikredilecek olursa; alenileştirmeye bir örnek vermek gerekirse, sahibinden.com sitesinde sattığı bir ürün adına telefon numarasını bırakan kişi kişisel verisini alenileştirmiştir ve bu noktada bu numaranın kullanımı, paylaşımı açık rızaya tabi olmayacaktır; fakat ilgili alenileştirme yine de herkesin bunu dilediği gibi kullanabileceği anlamına gelmez, bunun alenileştirme amacıyla paralel aşamada kullanılabilmesi gerekir. Örneğin günümüzde nereden geldiği belirsiz olan doğalgaz bakım telefonları veya internet kampanyaları içeren aramalar bu kullanım kapsamının sınırını oldukça aşmaktadır. Hukuki bir yükümlülük kapsamında bir örnek ise davada davalının savunma yaparken aktardığı kişisel verilerde meydana gelmekte ve açık rıza kapsamında olmamaktadır. Son bir örnek ele alınacak olursa hayatın olağan akışında saptanabildiği üzere bilinci açık olmayan, hastaneye kaldırılmış zor durumdaki kişinin bilgilerini almak adına bir onay beklemek mantık ile örtüşmemektedir, bu kapsamda hastanenin acil bölümüne getirilen bilinci açık olmayan bir hastanın kimlik bilgilerine ulaşılması fiili imkânsızlık halini kapsayabilecektir. Bununla birlikte kişisel verilerin işlenmesi sırasında belirli ilkelere dikkat edilmelidir; bu ilkeler dördüncü maddede sayılmış olup hukuka ve dürüstlük kuralına uygun olma, doğru ve güncel olma, belirli açık ve meşru amaçlar için işleme, işlenen amaçla bağlantılı, sınırlı ve ölçülü olma ve işlenen amaç için gerekli süre kadar muhafaza etmedir. Veriler A amacına tabi bir izinle alınır ama B amacı noktasında işlenirse yine bir kanuna aykırılık oluşacaktır. Dolayısıyla bu denli hassas bir noktada atılan her adım kuralına uygun ve kişilerin mahremiyetini zedelemeyecek ölçüde olmalıdır.