Anayasa m. 20/3'te yer alan 'Kişisel veriler, ancak kanunda öngörülen hallerde veya kişinin açık rızası ile işlenir' hükmü, kişisel verilerin korunmasına ilişkin özel bir kanun bulunmadığı durumda, tek başına 'kişinin açık rızası'nın verilerin işlenmesini hukuka uygun hale getirip getirmeyeceği sorununu ortaya çıkarmaktadır. Bu sorunu, normlar hiyerarşisi ve Anayasa m. 13'te yer alan 'temel hak ve hürriyetlerin ancak kanunla sınırlanabileceği' ilkesi açısından tartışınız.

Bu konu, metinde de tartışıldığı gibi, hukuki bir ikilem yaratmaktadır. Bir görüşe göre, Anayasa m. 20/3'ün lafzı ('...veya kişinin açık rızası ile...') rızayı, kanundan bağımsız, tek başına bir hukuka uygunluk sebebi olarak düzenlemiştir. Normlar hiyerarşisinin tepesindeki Anayasa bu izni verdiğine göre, ayrıca bir kanuna ihtiyaç yoktur. Diğer ve daha güçlü olan görüşe göre ise, Anayasa m. 13, tüm temel hak ve hürriyetler için genel bir kural koyarak sınırlamanın 'ancak kanunla' olabileceğini emretmiştir. Kişisel verilerin korunması da temel bir hak olduğuna göre, bu hakkın bir istisnası olan 'kişinin rızası'nın dahi, hangi şartlarda ve ne şekilde alınacağını, kapsamını, sınırlarını ve sonuçlarını düzenleyen bir 'kanuni çerçeve'ye ihtiyaç vardır. Bu görüşe göre, kanuni bir düzenleme olmadan, sadece Anayasa'daki 'veya' bağlacına dayanarak rızanın tek başına yeterli olduğunu kabul etmek, Anayasa m. 13'ün emredici hükmünü ve hukuk devleti ilkesinin gereği olan belirliliği göz ardı etmek olur. Dolayısıyla, kişinin rızası olsa dahi, bu rızanın geçerliliğini ve hukuki sonuçlarını düzenleyen bir kanun olmadan yapılan veri işleme faaliyetlerinin hukuka uygunluğu son derece tartışmalıdır (sen.av.tr/tr/makale/kisisel-verilerin-kaydedilmesi).