Açık Rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan olumlu onay beyanı6698 sayılı KVKK gereğince, kişisel veriler ilgili kişinin açık rızası olmadan işlenemez ve yurt içinde veya yurt dışında üçüncü kişilerle paylaşılamaz. Aynı zamanda, özel nitelikli kişisel verilerin ilgilinin açık rızası olmadan işlenmesi yasaklanmıştır. Bu karalara göre; açık rıza, veri sorumluları aracılığıyla kişisel verilerin işlenmesi faaliyetini hukukî olarak uygun duruma getirmektedir. Bu içeriğimizde, bu hukuka uygunluk nedenin bertaraf edilmesinin, yani ilgili kişi aracılığıyla rızanın geri çekilmesinden bahsedeceğiz.
KVKK gereğince, ilgili kişi aracılığıyla verilen açık rızanın ne zaman çekilebileceğine ilişkin hiçbir hüküm yoktur. Bunun yanında, açık rıza vermenin kişiye sıkı sıkıya bağlı bir hak olması ve kişisel verileri ile alakalı tasarruf hakkının ilgili kişiye yönelik olması nedeniyle, ilgili kişi aracılığıyla verilen açık rıza, arzu edildiği zaman geri çekilebilir. Açık rızanın geri alınabileceği konusunda, ilgili kişilere aydınlatma yükümlülüğü çerçevesinde, veri sorumluları aracılığıyla bilgilendirme gerçekleştirilmesi gerekmektedir. Aynı zamanda, rızanın geri alınması kişiye sıkı sıkıya bağlı bir hak olması sebebiyle, rızanın geri alınmasından vazgeçemez. Bu sebeple, böyle bir feragat hukuken etkisiz olacak ve ilgili kişiyi ilgilendirmeyecektir.
Kişisel verilerin korunması ile alakalı yönetmeliğimize dahil olmamasının yanı sıra, kişisel verilerin korunması ile alakalı olarak yol gösterici bir vasfa sahip olan Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) çerçevesinde rızanın geri çekilmesi açık ve anlaşılabilir bir şekilde hazırlanmıştır. GDPR’nin 7. maddesinin 3. fıkrasında “Veri sahibinin istediği zaman rızasını geri çekme hakkı vardır. Rızanın geri çekilmesi, geri çekim işleminden önce rızaya dayalı olarak yapılan işleme faaliyetinin hukuka uygunluğunu etkilemez. Veri sahibi, rıza vermeden önce bu hususta bilgilendirilir. Rızanın geri çekilmesi rıza vermek kadar kolaydır.” ifadeleri bulunmaktadır.
Açık rızanın verilmesinde olduğu gibi rızanın geri çekilmesi ile alakalı bir biçim koşulu bulunmamaktadır. Rıza beyanında olduğu gibi; yazılı, sözlü veya elektronik ortamda, kuşkuya yer vermeyecek biçimde rıza geri çekilebilir. GDPR çerçevesinde rızanın geri alınmasına izin vermek kadar basit olması gerektiğinin altı çizilmiştir. Örnek olarak, elektronik araçlar aracılığıyla, internet sitesi üzerinde ve uygulama içinde bir tuşa basarak açık rıza verilmesi konusunda, rızanın geri çekilmesi işlemi de aynı şekilde, internet sitesi üzerinde ve uygulama içinde bir tuş aracılığıyla sağlanabilmeli ve ilgili kişinin rızayı geri çekme isteğini daha sıkıntılı yöntemlerle, mesela faks ya da kayıtlı e-posta adresi (KEP) vasıtasıyla veri sorumlusuna iletmesi istenmemelidir. Aksi hâlde, rızanın aynı şekilde geri çekilebilmesi koşulu sağlanmayacaktır.
İlgili kişilerin açık rızasını hiçbir zarara veya cezaya uğratılmaksızın geri çekebilmesi gerekmektedir. Bu sebeple, açık rızanın geri çekilmesi hususunda ücret istenebilmesi, veri sorumlusu aracılığıyla sunulan hizmetin sonlandırılması ya da daha düşük nitelikli bir hizmetten yararlandırılması olası değildir.
Açık rızanın geri çekilmesi, ileriye dönük netice oluşturan bir işlemdir. Bu sebeple, açık rızanın geri çekilmesi ile alakalı beyan veri sorumlusuna iletildiği andan itibaren hüküm oluşturacak ve açık rızanın geri çekilmesinden önce gerçekleştirilen veri işleme faaliyeti hukuka uygun olacaktır. Açık rızanın geri çekilmesi ile alakalı beyan veri sorumlusuna iletildikten sonra, açık rızaya bağlı kalarak sağlanan veri işleme ve/veya veri iletim faaliyeti hemen kesilecektir. Aynı zamanda, veri sorumlusu, rızanın geri çekilmesi hususunda, ilgili kişinin kişisel verilerini KVKK ve Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hâle Getirilmesi Hakkında Yönetmelik gereğince; silmek, yok etmek veya anonim hâle getirmekle sorumlu tutulacaktır.
KVKK çerçevesinde kişisel verilerin açık rıza olmadan işlenmesi olasıdır. Örnek olarak, kişisel verilerin ilgili kişi aracılığıyla alenileştirilmiş olması veya kanunlarda açıkça öngörülmüş olması sonucunda kişisel veriler veri sorumluları aracılığıyla açık rıza alınmasına gerekmeden işlenebilecektir. Açık rızanın alınması gereken hususları saptamak için, veri sorumluları aracılığıyla veri işleme envanteri düzenlenmeli ve gereken hukuki tetkikler yapılarak sadece açık rızaya ilişkin olarak yürütülmesi gereken faaliyetler saptanmalıdır. Bu sebeple, veri sorumlusu aracılığıyla sadece saptanan hususlar için ilgili kişinin açık rızası sağlanmalıdır. Bunun yanında, veri işleme faaliyeti diğer kişisel veri işleme koşullarına dayanıyorsa, bu faaliyet için açık rıza sağlanmasına gerek olmayacak ve ilgili faaliyetle alakalı açık rızanın geri çekilmesi hüküm belirtmeyecektir.
GDPR gereğince, 16 yaşından büyük çocuklardan açık rıza alınabilmekte ve verdikleri rızayı geri çekebilmektedir. Bunun yanında, KVKK çerçevesinde, çocukların kişisel verilerinin işlenmesine açık rıza verilmesine ya da verilen rızanın geri çekilmesine ilişkin hüküm bulunmamaktadır. Bu sebeple, açık rızanın verilmesinde olduğu gibi, çocuklarının kişisel verilerinin işlenmesi ve/veya iletilmesi için verilen açık rıza sadece çocuğun velisi veya vasisi aracılığıyla geri çekilebilecek veya çocuk aracılığıyla yapılan rızanın geri çekilmesi beyanının veli ya da vasi aracılığıyla onaylanması gerekecektir. Bunun yanında, ayırt etme gücüne sahip çocuklar, sınırsız ehliyetsiz olmaları sebebiyle, kişisel verilerinin işlenmesi ve/veya iletilmesi amacıyla açık rıza sağlayabileceği gibi verdiği açık rızayı da geri çekebilecektir.
Yazar: Zehra Betül Taşkın
