6698 sayılı Kişisel Verilerin Korunması Kanunu uyarınca, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez ve yurt içinde veya yurt dışında üçüncü kişilere aktarılamaz. Ayrıca, özel nitelikli kişisel verilerin ilgilinin açık rızası olmaksızın işlenmesi yasaklanmıştır. Bu hükümlere göre; açık rıza, veri sorumluları tarafından kişisel verilerin işlenmesi faaliyetini hukuka uygun hâle getirmektedir. Bu yazımızda, bu hukuka uygunluk sebebinin ortadan kalkmasını, yani ilgili kişi tarafından rızanın geri alınmasını inceleyeceğiz.
Kişisel Verilerin Korunması Kanunu kapsamında, ilgili kişi tarafından verilen açık rızanın ne zaman geri alınabileceğine dair herhangi bir hüküm bulunmamaktadır. Bununla birlikte, açık rıza vermenin kişiye sıkı sıkıya bağlı bir hak olması ve kişisel verileri ile ilgili tasarruf hakkının ilgili kişiye ait olması sebebiyle, ilgili kişi tarafından verilen açık rıza, istendiği zaman geri alınabilir. Açık rızanın geri çekilebileceği hususunda, ilgili kişilere aydınlatma yükümlülüğü kapsamında, veri sorumluları tarafından bilgilendirme yapılması gerekmektedir. Ayrıca, rızanın geri çekilmesi kişiye sıkı sıkıya bağlı bir hak olduğu için, rızanın geri çekilmesinden feragat edilemez. Dolayısıyla, böyle bir feragat hukuken geçersiz olacak ve ilgili kişiyi bağlamayacaktır.
Kişisel verilerin korunması ile ilgili mevzuatımızın bir parçası olmamakla birlikte, kişisel verilerin korunması ile ilgili olarak yol gösterici bir niteliğe sahip olan Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında rızanın geri alınması açıkça düzenlenmiştir. Avrupa Birliği Genel Veri Koruma Tüzüğü’nün 7’nci maddesinin 3’üncü fıkrasında “Veri sahibinin istediği zaman rızasını geri çekme hakkı vardır. Rızanın geri çekilmesi, geri çekim işleminden önce rızaya dayalı olarak yapılan işleme faaliyetinin hukuka uygunluğunu etkilemez. Veri sahibi, rıza vermeden önce bu hususta bilgilendirilir. Rızanın geri çekilmesi rıza vermek kadar kolaydır.” hükmü yer almaktadır.
Açık rızanın verilmesinde olduğu gibi rızanın geri alınması ile ilgili bir şekil şartı bulunmamaktadır. Rıza beyanında olduğu gibi; yazılı, sözlü veya elektronik ortamda, şüpheye yer bırakmayacak şekilde rıza geri alınabilir. Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında rızanın geri çekilmesinin rıza vermek kadar kolay olması gerektiği vurgulanmıştır. Örneğin, elektronik araçlar vasıtasıyla, internet sitesi üzerinde ve uygulama içerisinde bir tuşa tıklayarak açık rıza verilmesi durumunda, rızanın geri alınması işlemi de benzer şekilde, internet sitesi üzerinde ve uygulama içerisinde bir tuş ile gerçekleştirilebilmeli ve ilgili kişinin rızayı geri alma beyanını daha zor yöntemlerle, örneğin faks ya da kayıtlı e-posta adresi (KEP) aracılığı ile veri sorumlusuna iletmesi talep edilmemelidir. Aksi durumda, rızanın aynı kolaylıkla geri alınabilmesi şartı sağlanmamış olacaktır.
İlgili kişilerin açık rızasını herhangi bir zarara veya yaptırıma maruz kalmaksızın geri alabilmesi gerekmektedir. Dolayısıyla, açık rızanın geri alınması durumunda ücret talep edilmesi, veri sorumlusu tarafından sağlanan hizmete son verilmesi ya da daha düşük özellikli bir hizmetten faydalandırılması mümkün değildir.
Açık rızanın geri alınması, ileriye yönelik sonuç doğuran bir işlemdir. Dolayısıyla, açık rızanın geri alınması ile ilgili beyan veri sorumlusuna ulaştığı andan itibaren hüküm doğuracak ve açık rızanın geri alınması öncesinde yapılan veri işleme faaliyeti hukuka uygun olmaya devam edecektir. Açık rızanın geri alınması ile ilgili beyan veri sorumlusuna ulaştıktan sonra, açık rızaya bağlı olarak gerçekleştirilen veri işleme ve/veya veri aktarım faaliyeti derhâl durdurulacaktır. Ayrıca, veri sorumlusu, rızanın geri alınması durumunda, ilgili kişinin kişisel verilerini Kişisel Verilerin Korunması Kanunu ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik uyarınca; silmek, yok etmek veya anonim hâle getirmekle yükümlü olacaktır.
Kişisel Verilerin Korunması Kanunu kapsamında kişisel verilerin açık rıza olmaksızın işlenmesi mümkündür. Örneğin, kişisel verilerin ilgili kişi tarafından alenileştirilmiş olması veya kanunlarda açıkça öngörülmüş olması durumunda kişisel veriler veri sorumluları tarafından açık rıza alınmasına gerek olmaksızın işlenebilecektir. Açık rızanın alınması gereken durumları tespit etmek amacıyla, veri sorumluları tarafından veri işleme envanteri hazırlanmalı ve gerekli hukuki incelemeler yapılarak yalnızca açık rızaya dayalı olarak yürütülmesi gereken faaliyetler belirlenmelidir. Dolayısıyla, veri sorumlusu tarafından yalnızca tespit edilen durumlar için ilgili kişinin açık rızası alınmalıdır. Bununla birlikte, veri işleme faaliyeti diğer kişisel veri işleme şartlarına dayanıyorsa, bu faaliyet için açık rıza alınmasına gerek duyulmayacak ve ilgili faaliyetle ilgili açık rızanın geri alınması hüküm ifade etmeyecektir.
Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) uyarınca, 16 yaşından büyük çocuklar açık rıza verebilmekte ve verdikleri rızayı geri alabilmektedir. Bununla birlikte, Kişisel Verilerin Korunması Kanunu kapsamında, çocukların kişisel verilerinin işlenmesine açık rıza gösterilmesine ya da verilen rızanın geri alınmasına dair hüküm bulunmamaktadır. Dolayısıyla, açık rızanın verilmesinde olduğu gibi, çocuklarının kişisel verilerinin işlenmesi ve/veya aktarılması için verilen açık rıza yalnızca çocuğun velisi veya vasisi tarafından geri alınabilecek veya çocuk tarafından yapılan rızanın geri alınması beyanının veli ya da vasi tarafından onaylanması gerekecektir. Bununla birlikte, ayırt etme gücüne sahip çocuklar, sınırsız ehliyetsiz oldukları için, kişisel verilerinin işlenmesi ve/veya aktarılması için açık rıza verebileceği gibi verdiği açık rızayı da geri alabilecektir.
