Madde 1

Mahremiyet olgusu, insanlık tarihi boyunca muhafazası gereken temel bir değer olarak kabul görmüş olsa da bireylere ilişkin verilerin sistematik biçimde korunması ihtiyacı ancak 20. yüzyılın ikinci yarısında belirgin şekilde kendini göstermiştir. Nitekim kişilere ilişkin bilgi toplama isteği yeni olmamakla birlikte, konuya dair hukuksal tartışmalar 1960'lı yıllarda başlamış, ilk yasal düzenlemeler ise 1970'li yıllarda gerçekleştirilmiştir.1

Doktrinde, kişisel verilerin korunması hukukunun ortaya çıkışında üç temel etkenin belirleyici olduğu kabul edilmektedir: çeşitli örgütlerce kişisel verilere duyulan gereksinim, teknolojideki gelişmeler ve gözetim teknolojilerinin yarattığı kaygılar.2 Özellikle bilgisayar teknolojisinin gelişmesiyle birlikte devlet kurumları, vatandaşlarına ilişkin kapsamlı merkezi veri tabanları oluşturmaya başlamıştır. Teknolojinin bu alandaki etkisi esasen "yapılabilirlik" kavramıyla açıklanabilir: bilişim teknolojileri, verilerin toplanmasını, işlenmesini, saklanmasını ve birbirleriyle ilişkilendirilmesini bir yandan hızlandırıp kolaylaştırmış, diğer yandan yaygınlaştırıp ucuzlatmıştır.3

Kişisel verilerin korunması başlangıçta mahremiyet kavramıyla özdeşleştirilmiş olsa da zamanla bağımsız bir hukuk alanı olarak ayrışmıştır. Bu gelişim süreci doktrinde "üç dalga" metaforuyla açıklanmaktadır: 1970'lerde Almanya'nın Hessen Eyaleti Veri Koruma Kanunu ile başlayıp 95/46/AT Sayılı Direktif'e kadar süren dönem birinci dalgayı, Direktif'in kabulü ikinci dalgayı, Genel Veri Koruma Tüzüğü'nün ortaya çıkışı ise üçüncü dalgayı oluşturmaktadır.4 Söz konusu süreç, bir yandan kamu idaresinin işlevselliğini artırırken diğer yandan bireylerin özel yaşamının korunması ile devletin birey üzerindeki enformasyon gücünün sınırlandırılması yönündeki taleplerin güçlenmesine zemin hazırlamıştır.

Avrupa'da kişisel verilerin yasal koruma altına alınması süreci, 7 Ekim 1970 tarihinde Almanya'nın Hessen Eyaleti'nde kabul edilen kanunla başlamıştır. Söz konusu yasanın kabulünde belirleyici olan etken, "Hessen Plan" olarak adlandırılan program çerçevesinde federe düzeyde merkezi bir veri bankasının kurulması tasarısı ve bu tasarının özel yaşamın gizliliği üzerindeki olası sonuçlarına yönelik kaygılardır.1 "Veri Koruması" (Datenschutz) kavramı da ilk kez bu düzenlemeyle hukuk terminolojisine girmiş ve tüm Avrupa dillerine yayılmıştır.2

Hessen deneyiminin ardından ulusal düzeyde yasal düzenlemeler hızla yayılmıştır. İlk ulusal düzenleme 1973 yılında İsveç'te yapılmış olup, bu ülkenin 1947'den beri uyguladığı on haneli kimlik numarası sistemi konunun erken dönemde gündeme gelmesinde etkili olmuştur.3 Federal Almanya 1977'de, Fransa ise Ocak 1978'de kendi düzenlemelerini kabul etmiştir; Fransız düzenlemesi daha sonra 95/46/AT Sayılı Direktif'e ilham kaynağı olacaktır.4 1980 yılına gelindiğinde İrlanda, İtalya ve İngiltere dışında Avrupa Ekonomik Topluluğu'nun tüm üyelerinin bu konuda düzenleme yapmış veya ciddi hazırlıklar içinde bulunduğu görülmektedir.5

Birinci kuşak olarak nitelendirilen bu düzenlemelerin ortak özelliği, devletin elindeki merkezi veri bankalarının şeffaflaştırılmasını hedeflemeleridir. Doktrinde bu dönem, özel yaşamın gizliliğinden çok "enformasyonel güçler ayrımı" oluşturma düşüncesiyle açıklanmaktadır; zira yönetimin elindeki enformasyon gücü devlet ve toplum arasında dağıtılmak istenmiştir.6 Ulusal mevzuatların çoğalması, nihayet Avrupa Birliği düzeyinde ortak bir çerçeve ihtiyacını gündeme getirmiş ve bu ihtiyaca cevaben 95/46/AT sayılı Kişisel Verilerin Korunması Yönergesi kabul edilmiştir.7

Alman Federal Anayasa Mahkemesi'nin 15 Aralık 1983 tarihli Nüfus Sayımı kararı (BVerfGE 65, 1 – Volkszählung), kişisel verilerin korunması hukukunun gelişiminde bir dönüm noktası niteliği taşımaktadır.1 Mahkeme, Federal Nüfus Sayım Kanunu'nu kısmen anayasaya aykırı bularak sayımı iptal etmiştir. Kararın temel önemi, insan onuru ve kişiliğin serbestçe geliştirilmesi hakkından hareketle "bilgilerin geleceğini belirleme hakkı" (Recht auf informationelle Selbstbestimmung) kavramını türetmesinde yatmaktadır.2

Mahkeme, veri koruma meselesini Alman Anayasası'nın güvence altına aldığı insan onuru ve kişilik hakkı ekseninde değerlendirmiştir. Kararda özellikle, görünüşte önemsiz gibi görünen verilerin başka verilerle birleştirilmesi halinde kişinin davranış tarzının belirlenebileceği ve bu sebeple anayasal korumanın elzem olduğu vurgulanmıştır.3 Mahkeme ayrıca, verileri üzerindeki koruma hakkının kişiye mutlak bir mülkiyet hakkı vermediğini, kamu yararı söz konusu olduğunda ölçülülük ilkesi çerçevesinde müdahalenin mümkün olabileceğini belirtmiştir.4

Kararın dikkat çekici yönlerinden biri, otomatik veri işlemenin yalnızca bireysel değil toplumsal risklere de yol açabileceğinin vurgulanmasıdır. Mahkeme özellikle, demokratik toplumun temel dinamiği olan fikir çoğulculuğunun tehlikeye girebileceği uyarısında bulunmuştur. Bu karar, yalnızca Almanya'yı değil tüm Avrupa'yı derinden etkilemiş; Avusturya, Norveç, Finlandiya, Hollanda ve Macaristan'daki düzenlemelerde karşılık bulmuştur.5 Daha sonra 95/46/AT Sayılı Direktif'te ve GVKT'de yer alan temel ilkeler—veri sorumlusunun yükümlülükleri, ilgili kişinin hakları, amaç belirleme ve orantılılık—bu kararla benimsenmiştir.6

Uluslararası alanda kişisel verilerin korunmasına yönelik ilk sistematik çalışma, 1980 yılında OECD tarafından kabul edilen "Özel Yaşamın Gizliliğinin ve Sınır Ötesi Kişisel Veri Dolaşımının Korunmasına İlişkin Rehber İlkeler" olmuştur.1 Bu ilkelerin hazırlanmasında ekonomik kaygılar belirleyici olmuş; farklı düzeylerde koruma sağlayan ulusal mevzuatların sınır ötesi veri akışlarını engellemesi endişesi giderilmek istenmiştir.2 Rehber İlkeler, veri kalitesi, amaç belirliliği, kullanım sınırlaması, güvenlik tedbirleri ve hesap verebilirlik gibi temel prensipleri ortaya koymuş olsa da tavsiye niteliği taşıdığından üye devletler açısından bağlayıcılık taşımamaktadır.3

Avrupa Konseyi düzeyinde veri koruma alanındaki ilk bağlayıcı metin, 108 Sayılı Kişisel Verilerin Otomatik İşlenmesi Karşısında Bireylerin Korunması Sözleşmesi'dir. 28 Ocak 1981'de imzaya açılan Sözleşme, 1 Ekim 1985 tarihinde yürürlüğe girmiştir.4 Avrupa Konseyi, henüz 1970'lerin başında İnsan Hakları Avrupa Sözleşmesi'nin 8. maddesinin bilişim teknolojilerindeki gelişmeler karşısında yetersiz kaldığı sonucuna varmış ve 1973-1974 yıllarında kamu ve özel sektördeki veri bankalarına ilişkin ilke kararları kabul etmiştir.5 108 Sayılı Sözleşme, mahremiyetin korunmasından veri korumasının bağımsızlaştığı süreci simgelemekte olup hem kamu hem de özel sektördeki veri işleme faaliyetlerini kapsamaktadır.6

Türkiye, 108 Sayılı Sözleşme'yi ilk imzalayan devletler arasında yer almış olmakla birlikte, iç hukuktaki onay süreci ancak 2016 yılında—KVKK'nın kabulüyle eşzamanlı olarak—tamamlanabilmiştir. Avrupa Birliği düzeyinde veri koruma mevzuatı kademeli biçimde gelişmiş; 95/46/AT Sayılı Direktif uzun süre temel çerçeveyi oluşturmuştur.7 Bu yapı, 25 Mayıs 2018'de yürürlüğe giren Genel Veri Koruma Tüzüğü ile köklü bir dönüşüme uğramıştır. Aynı tarihte Avrupa Konseyi Bakanlar Komitesi de 108 Sayılı Sözleşme'yi yenileyen "Sözleşme 108+" protokolünü kabul ederek uluslararası standartları GVKT ile uyumlu hale getirmiştir.8

Avrupa Birliği veri hukukunun yapısı incelendiğinde, doğrudan veriyi düzenleyen normların iki ana eksende şekillendiği görülmektedir: kişisel verilerin korunması ve veri yönetişimi. Veriyle dolaylı ilişkisi olan düzenlemeler bir kenara bırakıldığında, bu iki kategori AB veri hukukunun temel sütunlarını oluşturmaktadır.1 Kişisel verilerin korunması ekseni, bireyin temel hak ve özgürlüklerini merkeze alırken; veri yönetişimi ekseni, verilerin ekonomik değerinin en üst düzeyde kullanılabilmesini hedeflemektedir.2

Kişisel verilerin korunması alanında temel düzenleme, 2018 yılında yürürlüğe giren Genel Veri Koruma Tüzüğü'dür (GVKT). Tüzük, daha önce yürürlükte bulunan 95/46/AT Sayılı Direktif'in yerini almış ve üye devletlerin iç hukuklarına doğrudan uygulanabilir bir metin olarak kabul edilmiştir.3 Veri yönetişimi alanında ise 2022 tarihli Veri Yönetişimi Yasası (Data Governance Act) ve 2023 tarihli Veri Yasası (Data Act) öne çıkmaktadır.

Türk hukuku da paralel bir yapı sergilemektedir. 6698 sayılı KVKK, kişisel verilerin korunması ekseninde temel çerçeveyi oluştururken; çeşitli sektörel mevzuat hükümlerinde—özellikle elektronik haberleşme, sağlık ve finans alanlarında—veri yönetişimine ilişkin düzenlemelere yer verilmektedir.4 Bu iki eksen birbirini tamamlayıcı nitelik taşımakla birlikte, aralarındaki denge hassas bir şekilde korunmalıdır.

Veri mevzuatının çerçevesini anlamak için öncelikle yönetişim kavramına değinmek gerekmektedir. Yönetişim (governance), devlet-toplum ilişkilerinde verimlilik, etkinlik, sorumluluk ve hesap verebilirlik ilkelerini esas alan bir yönetim anlayışını ifade etmektedir.1 Klasik yönetim modelinden farklı olarak burada tek yönlü bir denetim değil, yöneten ile yönetilen arasında karşılıklı etkileşim söz konusudur.

Bu kavramsal çerçeve, AB'nin veri yönetişimi düzenlemelerine doğrudan yansımaktadır. Söz konusu düzenlemeler, merkezi otoritenin bireyleri tek taraflı denetlediği geleneksel modeli terk etmektedir. Bunun yerine veri ekonomisinin aktörleri ile kamu otoritelerinin, risk temelli yaklaşım ve hesap verebilirlik ilkeleri çerçevesinde işbirliği içinde veri işleme süreçlerini yönetmesi öngörülmektedir.2

Genel Veri Koruma Tüzüğü'nde benimsenen "tasarımla veri koruma" (privacy by design) ve "varsayılan ayarlarla veri koruma" (privacy by default) ilkeleri, bu yönetişim anlayışının somut yansımalarıdır.3 Veri sorumlusu, yalnızca kurallara uyum sağlamakla kalmayıp, veri korumayı organizasyonun yapısal bir unsuru haline getirmekle yükümlü tutulmaktadır.

Türkiye'de kişisel verilerin anayasal düzeyde bağımsız bir hak olarak tanınması, 12 Eylül 2010 tarihli referandum ile kabul edilen değişikliklerle gerçekleşmiştir. Anayasa'nın 20. maddesine eklenen üçüncü fıkra, herkese kişisel verilerinin korunmasını isteme hakkı tanımaktadır.1 Bu düzenleme, kişisel verilerin korunmasını bir özgürlük değil hak alanı olarak formüle etmiş; böylece doğrudan talep edilebilirliği güvence altına almıştır.2

Anayasal düzenlemeyle bireyler; kendileriyle ilgili kişisel veriler hakkında bilgilendirilme, bu verilere erişme, düzeltilmesini veya silinmesini talep etme ve amaca uygun kullanılıp kullanılmadığını denetleme haklarına kavuşmuştur. Veri işleme faaliyeti ise yalnızca kanuni dayanak veya ilgilinin açık rızası ile mümkün kılınmıştır. Ancak hükümde, ABTHŞ'de öngörüldüğü gibi bağımsız bir denetim organına yer verilmemesi öğretide eleştirilmiştir.3

Türkiye, Avrupa Konseyi'nin 108 Sayılı Sözleşmesi'ni 28 Ocak 1981'de—imzaya açıldığı gün—imzalayan ilk devletler arasında yer almış olmakla birlikte, konuya ilişkin yasal düzenleme yapılmadığından onaylama süreci ancak 30 Ocak 2016'da tamamlanabilmiştir.4 Bu gecikme nedeniyle Türkiye, 2016 yılına kadar Avrupa Konseyi üyeleri arasında kişisel verilerin korunmasına ilişkin kapsayıcı bir düzenleme getirmemiş tek devlet konumunda kalmıştır.5

Ceza hukuku boyutunda 5237 sayılı Türk Ceza Kanunu, kişisel verilerin hukuka aykırı kaydedilmesi, ele geçirilmesi veya paylaşılması ile yasal saklama sürelerinin aşılmasına rağmen imha edilmemesi fiillerini yaptırıma bağlamaktadır. Kapsamlı bir yasal çerçeve oluşturma ihtiyacı ise 7 Nisan 2016 tarihinde 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun yürürlüğe girmesiyle karşılanmıştır.6

Kanun ve Anayasa'da "kişisel verilerin korunması" ifadesi kullanılmış olsa da bu terminoloji yanıltıcı olmamalıdır. Düzenlemenin nihai hedefi verinin bizatihi korunması değil, başta özel hayatın gizliliği olmak üzere bireylerin temel hak ve özgürlüklerinin güvence altına alınmasıdır.1

Bu perspektiften bakıldığında kişisel verilerin korunması, kendi başına bir amaç değil temel hakların etkin biçimde korunmasını sağlayan bir araçtır.2 Kanun koyucu, veri koruma mekanizmalarını nihai olarak bireyin özerkliğini ve temel haklarını güvenceye kavuşturmak için tasarlamıştır.

Alman öğretisinde "bilgilerin geleceğini belirleme hakkı" kavramıyla ifade edilen bu yaklaşım, kişinin kendisiyle ilgili verilerin ne zaman, nasıl ve ne ölçüde başkalarına açıklanacağına karar verme yetkisini koruma altına almaktadır.3 Korunan menfaat, verinin kendisi değil, bireyin kişiliğini serbestçe geliştirme hakkıdır.

2010 yılında Anayasa'nın 20. maddesine eklenen hükümle kişisel verilerin korunması anayasal temel hak statüsü kazanmıştır. Doktrindeki hakim görüşe göre bu hak, kişilik hakkının özel bir görünümü olarak nitelendirilebilir ve temel işlevi, bireyi dijital çağın veri işleme kapasitesinin yarattığı risklere karşı korumaktır.1

Bu korumanın gerekliliği, enformasyon asimetrisinin bireysel özerklik üzerindeki etkisiyle açıklanmaktadır. Kişisel verilerinin akıbetini bilmeyen birey, davranışlarını özgürce belirleyememekte ve bu durum kişilik hakkına müdahale teşkil etmektedir.2 Alman Federal Anayasa Mahkemesi'nin 1983 tarihli Nüfus Sayımı kararında ortaya koyduğu "bilgilerin geleceğini belirleme hakkı" kavramı, bu düşüncenin normatif temelini oluşturmaktadır.3

Gerek Türk hukuku gerekse Avrupa Adalet Divanı ve Avrupa İnsan Hakları Mahkemesi içtihadı, konuyu ağırlıklı olarak mahremiyet perspektifinden ele almaktadır. Ancak veri işlemenin yarattığı tehditler bireysel boyutu aşarak toplumsal düzeyde de etkiler doğurmaktadır. Öte yandan anayasal güvencenin varlığı, bu hakkın mutlak nitelik taşıdığı anlamına gelmez; hukuk düzeninin koruduğu diğer meşru menfaatlerle çatışma hâlinde, özüne dokunulmaksızın ölçülülük ilkesi çerçevesinde sınırlandırılması mümkündür.4

Kanun, kişisel verilerle bağlantılı temel hak olarak özel hayatın gizliliğine atıf yapmaktadır. Ancak kişisel verilerin korunması Anayasa md. 20/3'te bağımsız bir temel hak olarak düzenlenmişken, Kanun'un neden doğrudan bu hakka değil de özel hayatın gizliliğine gönderme yaptığı açıklığa kavuşturulmamıştır.1

Kişisel verilerin korunması hakkı, özel hayatın gizliliği ve kişilik hakkıyla kesişen yönlere sahip olmakla birlikte, kendine özgü bir koruma alanı ve bağımsız bir çekirdeği bulunan müstakil bir temel haktır.2 Bu hak, diğer temel haklarla ilişkili olsa da onlardan ayrı bir varlığa sahiptir. Kişilik hakkı, konut dokunulmazlığı ve irade özgürlüğü de kişisel veri korumasıyla yakın ilişki içindeki temel haklar arasında yer almaktadır.3

Avrupa Birliği Temel Haklar Şartı da kişisel verilerin korunmasını (m. 8), özel hayata ve aile hayatına saygı hakkından (m. 7) ayrı bir madde altında düzenleyerek bu hakkın bağımsız karakterini teyit etmiştir.4

Kanun'un farklı hükümlerinde çatışan menfaatlerin dengelenmesine yönelik düzenlemeler yer almaktadır. Devlet-birey arasındaki dikey ilişkide, Anayasa md. 20/3'ün temel hak güvencesi gereği kural olarak birey lehine yorum yapılmalıdır. Devlet ancak üstün kamusal menfaatin varlığını ortaya koyabildiğinde sınırlama imkânına sahip olabilir.1

Bireyler arası yatay ilişkilerde ise denge kurma mekanizması farklı işlemektedir. Kanun'un öngördüğü meşru menfaat, gereklilik ve zorunluluk gibi kavramlar, eşit ağırlıktaki çıkarların dengelenmesi için gerekli hukuki araçları sağlamaktadır.2 KVKK m. 5/2(f)'de yer alan "meşru menfaat" işleme şartı, bu dengeleme işlevinin tipik bir örneğini oluşturmaktadır.3

Avrupa İnsan Hakları Mahkemesi içtihadında da benzer bir denge arayışı görülmektedir. Mahkeme, İHAS m. 8 kapsamında kişisel verilerin korunmasını değerlendirirken, bireysel menfaat ile kamusal yarar arasında orantılılık testini uygulamaktadır.4

Verinin küresel ekonomideki stratejik değeri giderek artmakta ve bu durum, farklı pazarlık güçlerine sahip çok sayıda aktörü veri ekosisteminin içine çekmektedir. Bu gelişme karşısında mevcut hukuki çerçevenin, verinin ekonomik önemini ve ilgili tarafların çıkarlarını ne ölçüde karşılayabildiği meselesi önem kazanmaktadır.1

Konuya ilişkin kavramsal bir belirsizlik de göz ardı edilmemelidir. Anayasalarda yer alan kişisel veri koruma düzenlemeleri, esasen negatif statü hakları olarak tasarlanmıştır; başka bir deyişle bireye devlet müdahalesine karşı bir savunma kalkanı sunmaktadır. Ancak bu düzenlemeler, verinin ekonomik değerinden yararlanma veya üzerinde tasarrufta bulunma yetkisini güvence altına almamaktadır.2 Nitekim medeni hukukta ayni hakların konusunu, üzerinde bireysel hâkimiyet kurulabilen, ekonomik değer taşıyan ve maddi nitelikli varlıklar olarak tanımlanan eşya oluşturmaktadır; veri ise tanımı gereği bu kategorinin dışında kalmaktadır.3

Avrupa Birliği veri yönetişimi hukuku, bu normatif gerçeklikten hareketle alternatif bir yol benimsemiştir. Veri üzerinde klasik anlamda mutlak bir ayni hak tesis etmek yerine, veriye erişim haklarının düzenlenmesi tercih edilmiştir.4 Bu yaklaşım, verinin mülkiyete konu edilmesinin hem pratik hem de normatif açıdan barındırdığı güçlükleri yansıtmakta olup, kişisel verilerin korunması hakkının mülkiyet hakkından bağımsız bir temel hak olarak konumlandırılmasının isabetini teyit etmektedir.

Artan işlem gücü, mobil cihazların yaygınlaşması, sensör teknolojilerinin gelişmesi ve cihazlar arası bağlantının artması, yalnızca kişisel verilerin değil devasa ölçekte kişisel olmayan verilerin de toplanıp analiz edilmesini mümkün kılmaktadır.1 Günümüzde bu veriler giderek az sayıda büyük teknoloji şirketinin elinde yoğunlaşmaktadır. Ortaya çıkan asimetri yalnızca birey-şirket ilişkisini değil, devlet-şirket dengesini de etkileyebilecek boyutlara ulaşmıştır.2

Serbest piyasa ekonomisi, sermaye birikiminde olduğu gibi veri birikimini de ilke olarak serbest bırakmaktadır. Ancak piyasa mekanizmasının belirgin dengesizlikler yarattığı durumlarda hukuki müdahale gündeme gelmektedir.3 Sorumluluk hukuku, iş hukuku ve tüketici hukuku alanlarındaki düzenlemeler, bu tür dengeleyici müdahalelerin örneklerini oluşturmaktadır.

Kişisel verilerin korunması hukuku da bu dengeleyici işlevi üstlenmekte; bireyin, verilerine ilişkin karar alma gücünü korumasını amaçlamaktadır. Ancak korumanın kapsamı ve yoğunluğunun belirlenmesinde, veri ekonomisinin gereklilikleri ile bireysel haklar arasında hassas bir denge gözetilmesi zorunludur.4

Kişisel verilerin korunması hukukunun kavramsal temellerinden birini oluşturan "bilgilerin geleceğini belirleme hakkı" (Recht auf informationelle Selbstbestimmung), Alman Federal Anayasa Mahkemesi'nin 15 Aralık 1983 tarihli Nüfus Sayımı kararıyla hukuk literatürüne kazandırılmıştır. Bu kavram, bireyin hangi kişisel verilerinin ne zaman, kime ve hangi koşullar altında açıklanacağına kendisinin karar verebilmesi gerektiği düşüncesine dayanmaktadır.1

Federal Anayasa Mahkemesi, bu hakkı Alman Anayasası'nın 1. maddesinde güvence altına alınan insan onuru ile 2/1. maddesinde düzenlenen genel kişilik hakkından türetmiştir. Mahkeme'ye göre, modern veri işleme teknolojilerinin yarattığı ortamda bireyin özgürce karar alabilmesi ve kişiliğini geliştirebilmesi, kendi verileri üzerinde kontrol sahibi olmasına bağlıdır. Sürekli gözetim altında olduğunu bilen veya bu kaygıyı taşıyan bireyin davranışlarını özgürce belirleyemeyeceği, bu durumun ise demokratik toplumun temelini oluşturan bireysel özerkliği zedeleyeceği vurgulanmıştır.2

İnformatif özerklik kavramı, Türk hukukunda Anayasa md. 20/3'te yer alan düzenlemenin yorumlanmasında da yol gösterici niteliktedir. Anayasa hükmünde bireyin "kendisiyle ilgili kişisel verilerin korunmasını isteme hakkı"na yer verilmiş olması, bu hakkın pasif bir korumadan öte, aktif bir kontrol yetkisi içerdiğine işaret etmektedir. Nitekim hükümde sayılan bilgilendirilme, erişme, düzeltme ve silme talep hakları, bireyin verileri üzerindeki tasarruf yetkisinin somut görünümleridir.3

Kavramın pratik sonuçları açısından belirtmek gerekir ki, informatif özerklik mutlak bir hak değildir. Birey toplumun bir parçası olduğundan ve kişiliğini bu toplum içinde geliştirdiğinden, kişisel verileri de kaçınılmaz olarak toplumsal gerçekliğin bir parçasıdır. Bu nedenle diğer meşru menfaatlerle çatışma halinde, ölçülülük ilkesi çerçevesinde sınırlandırılması mümkündür.4