İngilizce “personal data” kavramından gelen kişisel veri, tartışmalı ve sınırları tam çizilemeyen bir kavram olup, kısaca insana ait ve bireyi tanımlayabilecek her türlü bilgi olarak tanımlanması mümkündür. Doğrudan doğruya ya da dolaylı olarak bir kişi ile ilintili olabilecek ve o kişiyi belirlenebilir kılacak her türlü bilgiye kişisel veri denilebilir.
Kişisel Verilerin Korunması Kanunu’nda da benzer bir tanıma yer verilerek kişisel veri; “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” olarak tanımlanmıştır. Dolayısıyla bir verinin kişisel veri olup olmadığının tespitinde üç adet koşul bulunmaktadır. Bunlar:
1. Bilgi
Kişisel verinin tanımından yola çıkılarak ulaşılan ilk unsur bilgidir. Kanun’da veri kavramı yerine kasıtlı olarak bilgi kavramına yer verilmiştir. Veri ile bilgi kavramlarının arasındaki fark ise kişisel verinin kapsamının belirlenebilmesi açısından önem arz etmektedir. Bilgi kavramı veri kavramını kapsayıcı nitelikte olup, bir verinin bilgi olabilmesi için veriye bir anlam yüklenebilmesi gerekmektedir. Bu kapsamda; anlamlandırılamayan veriler kişisel veri olarak kabul edilemeyecektir. Örneğin; “Mehmet, Mühendislik, 12” şeklinde sıralanan kelimeler bir veriyi ifade etmektedir. Ancak ilgili veritabanında Ahmet ifadesinin ‘isim’, Mühendislik ifadesinin “fakülte” ve 12 ifadesinin ise ‘mezuniyet yılı’ sütunlarında bulunması durumunda ilgili veriler bilgiye dönüşmekte ve kişisel verilerin korunması hukukunun kapsamı alanına girmektedir.
2. Kimliği Belirli veya Belirlenebilir Gerçek Kişi
Kanunda yalnızca gerçek kişiler açısından kişisel verilerin korunacağı kabul edilmiş, tüzel kişiler (dernek, vakıf, şirket) açısından kişisel verilerden bahsedilmemiştir. Ancak bir görüşe göre tüzel kişiler de koruma kapsamına alınmalıdır. Bu görüşü savunanların temel iddiası tüzel kişilere ilişkin verilerden gerçek kişilere ulaşılabileceğidir.
Kişisel verilerin gerçek kişiye ait olması hususuyla ilgili bir diğer tartışma konusu ise ölen kişilerin verilerinin de bu kapsamda kabul edilip edilmeyeceğidir. Türk hukukuna göre kişisel tam ve sağ doğumla başlayıp ölümle sona ermektedir. Dolayısıyla ölen kişinin verilerinin kişisel veri olarak kabul edilip korunması mümkün değildir. Ancak bu durum kişisel sağlık verileri açısından farklılık göstermektedir. Kişinin sağlık verileri kişinin ölümünden sonra da hekim tarafından korunmalıdır.
Ayrıca, bu gerçek kişinin kimliğinin belirli ya da belirlenebilir olması gerekmektedir. Kişinin belirli olması, herhangi başka bir veri ile eşleştirmeden kişinin kimliğinin eldeki veri ile saptanabilmesidir. Bu kapsamda kişinin kimlik ya da okul numarasıyla herhangi başkaca bir vasıtaya gerek olmaksızın kişinin kimliği belirlenebilecektir. Kimliğin belirlenebilir olması durumu ise; ancak yardımcı veriler ve vasıtalar aracılığıyla kişinin kimliğinin belirlenebileceği verileri kapsamaktadır. Kişinin aile fertlerinin adı, e-posta adresi gibi veriler kişinin kimliğinin yardımcı veri veya vasıtalarla belirlenebileceği verilerdir. Kanun, sadece gerçek kişinin kimliğinin belirli olması durumunu aramamış, buna ek olarak kişinin kimliğinin belirlenebilir olması durumunu da ekleyerek, makul bir çalışma neticesinde eldeki verilerle kişinin kimliğinin belirlenebilir olduğu durumlardaki verileri de kişisel veri olarak kabul etmiştir.
Bu kapsamda anonim veriler, kişiyi belirli ya da belirlenebilir kılmadıklarından kişisel veri olarak nitelendirilemezler. Ancak anonim veriler ile de makul bir çaba sonucu kişinin kimliğinin belirlenebilir hale gelmemesi gerekmektedir.
3. Bilginin Kişiye Ait Olması
Bilginin kişiye ilişkin olması, genel olarak bir verinin bir kişi hakkında olmasını ifade etmektedir. Özel olarak bir verinin bir kişi hakkında olması için; amaç, içerik veya sonuç unsurlarından birinin bulunması gerekmektedir. İçerik unsuru veri ile ilgilidir ve verinin içeriğinin kişi ile ilgili olmasını ifade etmektedir. Amaç unsuru, gerçek kişinin davranışlarını, performansını ve durumunu değerlendirmek amacıyla toplanan bilgilerin kişiye ilişkin olduğunu ifade eder. Sonuç unsuru ise içerik olarak kişisel veri niteliğinde olmayan verilerin kullanılacak olması durumlarında kişisel veriye dönüştüğü durumlarda söz konusu olmaktadır. Örneğin bir otomobil üreticisi, otomobillerine sensör yerleştirerek satılan otomobillerin teknik durumları ile ilgili veriler elde etmeyi amaçladığı durumlarda, veri kullanıldığında otomobil kullanıcısının kişisel verilerine dönüşebilmektedir.
Sonuç olarak bu üç şartın bir arada bulunduğu durumlarda kişisel verilerden bahsetmek mümkün olacaktır ve Kişisel Verilerin Korunması Kanunu ile Türk Ceza Kanununun ilgili maddeleri uygulama alanı bulacaktır.