Belirli bir veri işleme faaliyetine ilişkin olarak verilen açık rızanın geri alınabilmesi mümkündür. Bu durum GVKT Art. 7/ III, 1’de “Veri sahibi, rızasını istediği zaman geri çekme hakkına sahip olacaktır.” minvalinde ifade edilmektedir. Yine aynı düzenleme uyarınca rızanın geri çekilmesinin, geri çekmeden önce anılan rızaya dayanarak gerçekleştirilen veri işleme faaliyetlerinin hukuka uygunluğunu ortadan kaldırmayacağı düzenlenmiştir (Art.7/ III, 283). Ayrıca ilgili kişinin, açık rızası alınmadan önce geri çekme hakkının mevcudiyeti konusunda bilgilendirilmesi gerektiği (Art.7/ III, 384) ve rızanın geri çekilmesinin, verilmesi kadar kolay olması gerektiği de hükme bağlanmıştır (Art.7/ III, 485). Buna göre örneğin opt – in yöntemiyle verilmiş bir açık rızanın, bununla aynı kolaylıktaki opt – out yöntemiyle geri alınabilmesi gerekir. Aynı zamanda rızanın geri alınması hakkının, herhangi bir zarara veya külfete neden olmaksızın kullanılabilmesinin sağlanması gerekmektedir. Örneğin rızanın geri alınmasının ücrete tabi tutulması, kural olarak mümkün olmamalıdır.
Ulusal hukukta rızanın geri alınmasıyla ilgili bir özel düzenleme 6563 sayılı Elektronik Ticaretin Düzenlenmesi Hakkında Kanun’un “Alıcının ticari elektronik iletiyi reddetme hakkı” başlıklı 8.maddesiyle ihdas edilmiştir. Buna göre,
(1) Alıcılar diledikleri zaman, hiçbir gerekçe belirtmeksizin ticari elektronik iletileri almayı reddedebilir.
(2) Hizmet sağlayıcı ret bildiriminin, elektronik iletişim araçlarıyla kolay ve ücretsiz olarak iletilmesini sağlamakla ve gönderdiği iletide buna ilişkin gerekli bilgileri sunmakla yükümlüdür.
(3) Talebin ulaşmasını müteakip hizmet sağlayıcı üç iş günü içinde alıcıya elektronik ileti göndermeyi durdurur.”.
Açık rızanın geri alınmasına ilişkin ulusal hukuktaki diğer bir özel düzenleme ise “Kişisel Sağlık Verilerinin İşlenmesi ve Mahremiyetinin Sağlanması Hakkında Yönetmelik88”in 7/ III maddesinde öngörülmüştür. Buna göre “İlgili kişi, aksi yönde bir hukukî düzenleme veya yargı kararı bulunmaması halinde verilerinin işlenmesi ve aktarılması için vermiş olduğu rızayı istediği zaman geri alabilir. Rızanın geri alınması, o tarihe kadar yapılmış bulunan işlemler bakımından etkili olmaz.” Kanun’da ise açık rızanın geri alınabilmesi hakkı özel olarak düzenlenmemiş olsa da anılan Kanun’un 11/ I, (e) maddesiyle ilgili kişiye “kişisel verilerin silinmesini ve yok edilmesini isteme hakkı” tanınması, veri işlemenin durdurulmasına yönelik “açık rızanın geri alınması hakkı”nın da evleviyetle mevcut olduğunu gösterir niteliktedir.
Nitekim Kişisel Verileri Koruma Kurumu da hazırladığı “Kişisel Verilerin Korunması kanunu Hakkında Sıkça Sorulan Sorular” rehberinde; açık rıza vermenin kişiye sıkı sıkıya bağlı bir hak olduğunu, bu bağlamda (kişisel verilerin geleceğini belirleme hakkı çerçevesinde) ilgili kişinin dilediği zaman veri sorumlusuna vermiş olduğu açık rızasını geri alabileceğini belirtilmektedir. Bununla birlikte geri alma işlemi ileriye yönelik sonuç doğuracağı için açık rızaya dayalı olarak gerçekleştirilen tüm faaliyetlerin, geri alma beyanının veri sorumlusuna ulaştığı andan itibaren veri sorumlusu tarafından durdurulması gerektiği; diğer bir deyişle, geri alma beyanının veri sorumlusuna ulaştığı andan itibaren hüküm doğuracağı ifade edilmektedir. Geri alma hakkı kullanıldıktan sonra ilgili kişisel veriler, yalnızca saklanmalarını gerektiren başkaca hukukî sebepler varsa (ve sadece bu sebeplerle ve amaçlarla sınırlı olmak üzere) saklanmaya devam edebilirler.
Kişisel verilerin işlenmesine yönelik açık rızayı geri alma hakkından feragat edilip edilemeyeceği hususu doktrinde tartışmalı olmakla birlikte AY m.12 vd., m.20 ve TMK m. 23 vd. hükümleri uyarınca bu haktan feragat edilmesinin mümkün ve geçerli olmadığı düşünülmektedir.
Kaynak: KİŞİSEL VERİLERİN KORUNMASINA AKADEMİK BAKIŞ
