Kişisel veri kavramına baktığımız zaman literatürde uzlaşmaya varılmış bir tanım bulunmamaktadır. Öncelikle kronolojik olarak baktığımızda 28 Ocak 1981 tarihinde Avrupa Konseyi tarafından hazırlanan 108 sayılı Kişisel Verilerin Otomatik İşleme Tâbi Tutulması Karşısında Bireylerin Korunması sözleşmesinde (madde 2a) kişisel veri tanımına yer verilmiştir. Bu tanıma göre kişisel veri kimliği belirli veya belirlenebilir bir gerçek kişi hakkındaki tüm bilgileri ifade eder. 24 Ekim 1995 tarihinde, Kişisel Verilerin İşlenmesi Karşısında Gerçek Kişilerin Korunması ve Serbest Veri Trafiği hakkındaki direktif metninde (95/46/EG) kişisel verinin tanımı, kimliği belirtilen veya belirtilebilen gerçek kişiyle ilgili tüm bilgiler şeklinde tanımlanmıştır.
Bir başka uluslararası düzenleme olarak Ekonomik Kalkınma ve İşbirliği Örgütü yani kısaca OECD tarafından yayınlanan ve kişisel verilerin korunmasına ilişkin tanımlama olarak kişisel veri, kimliği belirli ya da belirlenebilir olan gerçek bir kişiye ait bilgilerin tamamı olarak açıklanmıştır.
Ülkemizdeki yasal düzenlemelere baktığımız zaman 24 Mart 2016 tarihinde 6698 saylı Kişisel Verilerin Korunması Kanununda kişisel veri tanımına yer verilmiştir. Buna göre kişisel veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi olarak tanımlanmıştır.
Son yıllarda önemi iyice artan kişisel verinin korunması gereğince bir takım yargı karalarında da kişisel verinin tanımlaması yapılmıştır. İlk olarak Yargıtay kararlarına baktığımız zaman; aleni olmayan, dolayısıyla da genel olarak herkes tarafından bilinmesi mümkün olmayan, bireyin bu verileri erişimi konusunda 3. Kişilere yetki vermediği aynı zamanda da bireyin kimliğinin tespit edilebilir veya kimliğini ortaya koyan gerçek kişilere ait tüm bilgiler kişisel veri olarak tanımlanmıştır.
Anayasa Mahkemesi 2014 tarihli bir kararında, kişisel veri; bireyi doğrudan veya dolaylı olarak belirlenebilir kılan, bütün veriler olarak tanımlamıştır. Bu tanıma baktığımız zaman; meslek, kimlik ve aile bilgileri (Ad soyad, doğum yeri ve tarihi vb.), adres, sosyal güvenlik numarası, taşıt plakası, telefon numarası, sağlık ve genetikle ilgili kayıtlar (kan grubu, parmak izi, hastalık vb.), siyasi görüş, bilişim teknolojileri kullanımı (IP adresi, e-posta adresi, metin, görüntü, ses, video vb.), bireyin sesi ve hatta hobileri, cinsel tercihler, cinsel tercihler, düşünce ve faaliyetler gibi sayılabilecek şekilde bireyi kesin olarak teşhis edilmesine yarayan yada bir şekilde bu verilerden yola çıkarak bireyin belirlenebilir olmasına olanak sağlayan verilerin tamamı olarak kabul etmiştir.
Yukarıda ki bilgiler bağlamında Anayasa Mahkemesi kişisel veri tanımını içine alacak şekilde bir kısım yasal düzenlemeyi Anayasa’nın 20. Maddesine dayandırarak iptal etmiştir. Örnek olarak elektronik haberleşme alanında kişisel verilerin işlenmesi ve gizliliğinin korunmasına ilişkin düzenlemeyi yapma yetkisini Bilgi Teknolojileri ve İletişim Kurumuna kuralın iptaline ilişkin itirazı Anayasa’nın 20. Maddesi gereği kabul etmiştir. Bir başka iptal kararına konu olan olayda ise herhangi bir hukuki süreç içerisine girmeden TİB tarafından internet trafik bilgisinin işletmecilerden alınmasını ve sonrasında hakim kararı gereği elde edilen bilgilerin bir takım kurumlara iletilmesini sağlayan kuralı, internet trafik bilgisinin kişisel veri kapsamında değerlendirerek iptal etmiştir.
Avrupa İnsan Hakları Mahkemesi (AİHM) kararlarına baktığımız zaman, kişilere ait, fotoğraf, görüntüler, DNA verisi, parmak izi, retina kaydı, hücre örnekleri, kişinin fiziksel özellikleri, ev adresi, kişisek veri kapsamında değerlendirilmektedir. AİHM bir kararında, kişinin gözaltında iken alınan parmak izinin, hücre örneklerinin vs. kişisel bilgilerin, kendisine isnat edilen suç ile ilgili olarak alakası olmadığı anlaşıldıktan sonra dahi bu verilerin kurumlar tarafından tutulmaya devam edilmesini Avrupa İnsan Hakları Sözleşmesinin özel hayata ve aile hayatına saygı başlıklı 8. maddesinin ihlâl edildiği yönünde değerlendirmiştir.
Bir başka uluslararası düzenleme olarak Ekonomik Kalkınma ve İşbirliği Örgütü yani kısaca OECD tarafından yayınlanan ve kişisel verilerin korunmasına ilişkin tanımlama olarak kişisel veri, kimliği belirli ya da belirlenebilir olan gerçek bir kişiye ait bilgilerin tamamı olarak açıklanmıştır.
Ülkemizdeki yasal düzenlemelere baktığımız zaman 24 Mart 2016 tarihinde 6698 saylı Kişisel Verilerin Korunması Kanununda kişisel veri tanımına yer verilmiştir. Buna göre kişisel veri Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi olarak tanımlanmıştır.
Son yıllarda önemi iyice artan kişisel verinin korunması gereğince bir takım yargı karalarında da kişisel verinin tanımlaması yapılmıştır. İlk olarak Yargıtay kararlarına baktığımız zaman; aleni olmayan, dolayısıyla da genel olarak herkes tarafından bilinmesi mümkün olmayan, bireyin bu verileri erişimi konusunda 3. Kişilere yetki vermediği aynı zamanda da bireyin kimliğinin tespit edilebilir veya kimliğini ortaya koyan gerçek kişilere ait tüm bilgiler kişisel veri olarak tanımlanmıştır.
Anayasa Mahkemesi 2014 tarihli bir kararında, kişisel veri; bireyi doğrudan veya dolaylı olarak belirlenebilir kılan, bütün veriler olarak tanımlamıştır. Bu tanıma baktığımız zaman; meslek, kimlik ve aile bilgileri (Ad soyad, doğum yeri ve tarihi vb.), adres, sosyal güvenlik numarası, taşıt plakası, telefon numarası, sağlık ve genetikle ilgili kayıtlar (kan grubu, parmak izi, hastalık vb.), siyasi görüş, bilişim teknolojileri kullanımı (IP adresi, e-posta adresi, metin, görüntü, ses, video vb.), bireyin sesi ve hatta hobileri, cinsel tercihler, cinsel tercihler, düşünce ve faaliyetler gibi sayılabilecek şekilde bireyi kesin olarak teşhis edilmesine yarayan yada bir şekilde bu verilerden yola çıkarak bireyin belirlenebilir olmasına olanak sağlayan verilerin tamamı olarak kabul etmiştir.
Yukarıda ki bilgiler bağlamında Anayasa Mahkemesi kişisel veri tanımını içine alacak şekilde bir kısım yasal düzenlemeyi Anayasa’nın 20. Maddesine dayandırarak iptal etmiştir. Örnek olarak elektronik haberleşme alanında kişisel verilerin işlenmesi ve gizliliğinin korunmasına ilişkin düzenlemeyi yapma yetkisini Bilgi Teknolojileri ve İletişim Kurumuna kuralın iptaline ilişkin itirazı Anayasa’nın 20. Maddesi gereği kabul etmiştir. Bir başka iptal kararına konu olan olayda ise herhangi bir hukuki süreç içerisine girmeden TİB tarafından internet trafik bilgisinin işletmecilerden alınmasını ve sonrasında hakim kararı gereği elde edilen bilgilerin bir takım kurumlara iletilmesini sağlayan kuralı, internet trafik bilgisinin kişisel veri kapsamında değerlendirerek iptal etmiştir.
Avrupa İnsan Hakları Mahkemesi (AİHM) kararlarına baktığımız zaman, kişilere ait, fotoğraf, görüntüler, DNA verisi, parmak izi, retina kaydı, hücre örnekleri, kişinin fiziksel özellikleri, ev adresi, kişisek veri kapsamında değerlendirilmektedir. AİHM bir kararında, kişinin gözaltında iken alınan parmak izinin, hücre örneklerinin vs. kişisel bilgilerin, kendisine isnat edilen suç ile ilgili olarak alakası olmadığı anlaşıldıktan sonra dahi bu verilerin kurumlar tarafından tutulmaya devam edilmesini Avrupa İnsan Hakları Sözleşmesinin özel hayata ve aile hayatına saygı başlıklı 8. maddesinin ihlâl edildiği yönünde değerlendirmiştir.