Kişisel verilerin korunması bağlamında, bir kişinin açık rızası alınarak kaydedilen kişisel veriler, rıza veren kişinin daha sonra bu rızasını geri çekmesi durumunda derhal silinmeli midir? Verileri silmeyen kişi TCK m. 138 (Verileri yok etmeme) kapsamında sorumlu tutulabilir mi?

Evet, kural olarak silinmelidir ve silinmemesi TCK m. 138'deki suçu oluşturabilir. TCK m. 138, 'Kanunların belirlediği sürelerin geçmiş olmasına karşın verileri sistem içinde yok etmekle yükümlü olanların görevlerini yerine getirmemeleri' durumunu cezalandırır. Kişisel Verilerin Korunması Kanunu (KVKK) uyarınca, kişisel verilerin işlenmesini gerektiren sebeplerin ortadan kalkması (ki buna rızanın geri çekilmesi de dahildir), verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi için bir sebeptir. Dolayısıyla, kişi rızasını geri çektiğinde, artık o veriyi işlemek (saklamak da bir işleme faaliyetidir) için hukuki bir sebep kalmamışsa, veri sorumlusunun bu verileri yok etme yükümlülüğü doğar. Bu yükümlülüğünü kasten yerine getirmemesi, TCK m. 138'deki suçu oluşturur.