Kişisel verilerin korunması hakkının bazı coğrafyalarda hukuk sistemleri özelinde ekonomik bir hak olduğu veya insan hakkı olduğu kabul edilmektedir. Türkiye’de ise kişisel verilerin korunmasının, daha çok insan hakkı şeklinde bir kişilik hakkı olarak değerlendirilmesi doğrudur. Kişisel verinin 6698 sayılı Kişisel Verilerin Korunması kanununu 3. maddesinin 1-d bendinde “kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi” şeklinde tanımlandığına yer vermiştik. Kişisel veri işleme nedir dersek de her ne kadar işleme ifadesinden dolayı kompleks bir karşılığı varmış gibi anlaşılsa da kişisel veri işlemenin kişisel verinin konu olduğu her türlü eylem olduğunu söyleyebiliriz.
Kişisel veri işleme, KVKK m.3/1-e’de “kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlem” olarak ifade edilmiştir.
Görüldüğü üzere kişisel veri işleme tanımı üzerinde sınırlı sayım yapılmamış, örnekleme yoluna gidilmiştir. Ayrıca veri üzerinde gerçekleştirilen her türlü işlem denilerek kapsam son derece geniş bırakılmıştır. O halde kişisel veri işlemeden anlamamız gereken, kişisel verinin konu olduğu her türlü eylemdir. Tek kıstas veri işleme olarak adlandıracağımız eylemin kişisel veriye yönelik olması gerekir.
Kişisel veri işleme tanımı üzerinde herhangi bir sınırlama yapılmamasına rağmen, veri işleme yöntemi anlamında durum aynı değildir. Kanuni anlamda bir kişisel veri işlemeden bahsedebilmek için kişisel verinin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenmesi gerekir. Buradaki veri işlemenin otomatik olması deyiminden elektronik cihazlar vasıtası ile yapılan otomatik veri işlemeyi anlamak gerekir. Nitekim kanunda sınırlayıcı olarak otomatik olma tanımına yer verilmemiştir.
Otomatik olmayan yollarla ancak bir veri kayıt sisteminin parçası olmak kaydıyla yapılan kişisel veri işleme faaliyetinde ise, veri kayıt sisteminin ne olduğu sorusu gündeme gelecektir. Kanun veri kayıt sistemini “kişisel verilerin belirli kriterlere göre yapılandırılarak işlendiği kayıt sistemi” olarak ifade etmiştir. Bu yönüyle otomatik olmayan yollarla dahi olsa, belirli standartlar ile sınıflandırmanın yapıldığı sistemlerin veri kayıt sistemi olduğunu söylemek gerekir. Madde gerekçesinde veri kayıt sistemi bakımından elektronik ya da fiziki ortam ayrımı yapılmamış, sadece veri girişinin otomatik olmaması (manuel) dikkate alınmıştır.
