Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından 13.10.2023 tarihinde yayımlandı.
6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”)’nun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6’ncı maddesinde özel nitelikli kişisel veriler sayılmıştır. 6’ncı maddeye göre “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.”
Kanun ile özel nitelikli kişisel veriler arasında sayılan genetik veri, bugüne kadar yayımlanmış mevzuatta kapsamlı olarak tanımlanmamıştır. Bununla birlikte, kişisel verilerin korunması alanında önemli değişiklikler yapan ve yenilikler getiren Avrupa Birliği Genel Veri Koruma Tüzüğünün 4’üncü maddesinin 13 numaralı fıkrasında yer alan “Genetik veri, bir gerçek kişinin fizyoloji veya sağlığı ile ilgili eşsiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numunenin analizinden kaynaklanan ve söz konusu kişinin kalıtım yoluyla alınan veya kazanılan özelliklerine ilişkin kişisel verilerdir.” şeklindeki hüküm ile genetik verinin ne olduğu düzenlenmiştir.
Genetik veriler günümüzde hastalıkların nedenlerini ve risk faktörlerini anlamak, kişiselleştirilmiş tıp uygulamaları geliştirmek, genetik hastalıkların teşhis ve tedavisine yardımcı olmak gibi birçok alanda kullanılabilmektedir. Bu kapsamda genetik verilerin işlenme süreçlerinin önemi dikkate alınarak Kanun kapsamında genetik verilerin işlenmesi ve ilkeleri, veri sorumlularının yükümlülükleri, genetik veri güvenliği ve buna yönelik öneri-tavsiyeleri ele alan “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” yayınlanmıştır.
Genetik verilerin işlenmesi sürecinde dikkat edilmesi gerekenler:
Veri sorumlusu, hangi kişisel veri işleme şartına dayanırsa dayansın Kanunun 4’üncü maddesindeki genel ilkelere uygun hareket etmelidir.
- Temel hak ve özgürlüklerin özüne dokunulmaması: Genetik veri işlemesi sırasında kişisel veri işleme amaçları, hakkın özüne zarar vermeden ve ölçülülük ilkesi gözetilerek gerçekleştirilmeli ve sadece gerekli ve yeterli veriler işlenmelidir. Ayrıca, işleme amacı dışında genetik veri işleme faaliyetlerinden kaçınılmalıdır.
- Genetik veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması: Veri sorumlusunun kişisel veri işleme yöntemi ve işleyeceği kişisel veriler, ulaşmak istediği amaca uygun olmalıdır. Genetik veri işleme amacını gerçekleştirmek için uygun nitelikte ve türde genetik veriler kullanılmalı, elde etme yöntemleri bu amaca uygun olmalıdır. Ayrıca, amacı gerçekleştirmek için gereken genetik verileri elde ettikten sonra fazla veri işlenmemelidir. Ancak genetik verilerin işleme amacı değişirse veya daha önce elde edilen kişisel veriler yeni bir amaçla işlenmek istenirse, ilgili yasal şartlar gözden geçirilmeli, ilgili kişilere aydınlatma yapılmalı ve gerektiğinde açık rıza alınmalıdır.
- Genetik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması: Gereklilik ilkesi, bir amaca ulaşmak için birden fazla aracın veya yöntemin mevcut olduğu durumlarda, en az müdahaleci olanın seçilmesini gerektirir. Eğer aynı veya daha iyi sonuçları elde etmek için daha az sınırlayıcı bir müdahale mümkünse veya daha az genetik veri işlenmesi mümkünse, işbu yöntem tercih edilmelidir.
- Genetik veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması: Orantılılık ilkesi, genetik veri işleme faaliyetlerinde kullanılan yöntem veya aracın, işleme amacıyla uygun bir orantıda olması gerektiğini belirtir. Bu ilkeye göre, kullanılan araç işleme amacını aşırı bir şekilde etkilememeli ve ilgili kişilerin kişisel verilerine orantısız müdahalelerde bulunulmamalıdır.
- İşlenen genetik verilerin gereken süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin kişisel veri saklama ve imha politikasına uygun olarak imha edilmesi: Genetik veriler işlenmelerine ilişkin amacın gerektirdiği süre boyunca saklanmalı ve bu süre sonunda imha edilmelidir. Veri sorumlusu, kişisel veri saklama ve imha politikasını oluşturmalı ve bu politika çerçevesinde periyodik olarak genetik verilerin saklanma gerekliliğini gözden geçirmelidir.
Veri sorumlusu genetik verileri Kanunun 6’ncı maddesindeki kişisel veri işleme şartları kapsamında işlemelidir.
- Açık rıza: Açık rıza, belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür irade ile açıklanan bir rıza türüdür. Genetik veri işleme amacı için geçerli açık rıza alınırken, kişinin tam bilgilendirilmesi ve bu işleme faaliyetinin sonuçlarını anlaması gerekmektedir. Özellikle, genetik verilerin başkaca amaçlarla kullanılmaması ve yurt dışına aktarılması durumunda akıbetin izlenmesinin güçlükleri gibi riskler kişilere ayrıntılı bir şekilde açıklanmalıdır.
- Kanunlarda öngörülme: Genetik veriler kanunlarda gösterilen hâllerle sınırlı olmak üzere, Kanunun 6’ncı maddesinin 3 numaralı fıkrası kapsamında işlenebilmektedir.
- Kanunun 6’ncı maddesinin 3’üncü fıkrasına istinaden işlenmesi: Genetik veriler, aynı zamanda koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetleri amacıyla sağlık gereklilikleri doğrultusunda yapılması zorunlu testler için ilgili kişilerin rızaları aranmadan işlenebilir. Bu tür zorunlu veri işleme faaliyetlerinde en önemli kriter, verinin sağlık nedenleriyle işlenmesi amacıdır.
Genetik verilerin yurt dışına aktarılması
Genetik verilerin yurt dışına aktarılabilmesi için ilgili kişilerin açık rızalarının alınması veya Kanunun 6’ncı maddesi kapsamında kanunlarda öngörülen nedenlerle kişisel verilerin işlenmesi gerekmektedir. Ancak yurt dışına aktarım için Kanunun 9’uncu maddesinin 2 numaralı fıkrasının (a) ve (b) bentlerinde belirtilen şartlar sağlanmalıdır. Ayrıca, uluslararası sözleşme hükümleri saklı kalmak kaydıyla, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarım mümkün olabilir.
Genetik veri işlemenin istisnaları: Kanunun 28. maddesi (c) bendine göre, genetik verilerin bilimsel amaçlarla işlenmesi durumunda aşağıdaki kriterlere uyulması gerekmektedir.
- Genetik veriler, sağlık verileri gibi özel nitelikli kişisel verilerdir ve bu nedenle özel önlemler gerektirir. Özellikle, tekil genetik verilerin kişilerle ilişkilendirilmesini engellemek amacıyla takma ad (pseudonymisation) gibi yöntemler kullanılmalıdır.
- Genetik veriler yalnızca son çare olarak işlenebilir. İlgili kişinin rızası aranmasa bile sadece bilimsel araştırmanın sonuçlarına ulaşmak için gerekli olduğu durumlarda işlenebilirler.
- Kişisel verilerin güvenliği ve korunması önemlidir. Özellikle kişisel verilerin amaçla bağlantılı, sınırlı ve ölçülü bir şekilde işlenmesi gerekmektedir.
- Tamamlanan bilimsel araştırmalar sonrasında kişisel verilerin saklanmaya devam edip etmeyeceği dikkatli bir şekilde değerlendirilmelidir. Bu kişisel veriler, işleme amaç ve vasıtaları ortadan kalktıktan sonra kişisel veri saklama ve imha politikasına uygun olarak imha edilmelidir.
Veri sorumlusu genetik verilerin güvenliğine yönelik gerekli her türlü teknik ve idari tedbiri almalıdır.
Özellikle “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kurulun 31/01/2018 tarihli ve 2018/10 sayılı Kararında yer alan hususlara dikkat edilmelidir. İlave olarak Rehber’de genetik verilerin işlenmesi ile ilgili veri sorumlularının alması gereken teknik ve idari tedbirlere yer verilmiştir.
5.1 Teknik Tedbirler:
- Genetik verilerin bulut sistemlerinde saklanmaması tercih edilmelidir. Ancak bulutta depolanan genetik veriler ayrıntılı bir şekilde kayıt altına alınmalı, bulut dışında yedekleri alınmalı ve uzaktan erişim için iki kademeli kimlik doğrulama kullanılmalıdır. Veriler güncel teknolojiye uygun bir şekilde şifrelenmelidir.
- Cihazlar bakım, onarım veya iade edilirken veri muhafaza üniteleri sökülmelidir ve tüm veriler güvenli bir şekilde korunmalıdır.
- Test ortamlarında gerçek olmayan veriler tercih edilmeli ve gerçek veri kullanılacaksa veri minimizasyonu ilkesine uygun olarak işlenmelidir.
- Sertifikalı teçhizat ve yazılımlar kullanılmalı, güncellemeler zamanında yapılmalı ve güvenlik testleri periyodik olarak gerçekleştirilmelidir.
- Kullanıcı işlemleri izlenmeli ve sınırlanmalı, işlem kayıtları güvenli bir şekilde korunmalıdır.
5.2 İdari Tedbirler:
- Genetik veri işleme süreçleri “Mahremiyet Temelli Tasarım” prensiplerine uygun olarak oluşturulmalı ve yönetilmelidir.
- Veri Koruma Etki Değerlendirmesi, yüksek riskli veri işleme faaliyetleri için yapılmalıdır.
- Genetik veriler sadece yetkili personel tarafından erişilebilecek şekilde muhafaza edilmelidir.
- Kişisel Veri İşleme Envanteri hazırlanmalı ve VERBİS’e bildirimde bulunulmalıdır.
- İşleme politikaları, acil durum prosedürleri ve raporlama mekanizmaları oluşturulmalı, genetik veriler düzenli olarak yedeklenmelidir.
- Aydınlatma metinleri kullanılarak ilgili kişiler detaylı bir şekilde bilgilendirilmeli ve açık rızaları alınmalıdır.
- Rastgele ve periyodik denetimler ile risk analizleri yapılmalıdır.
- Veri işleyenlerle yapılan sözleşmelerde güvenlik tedbirlerine yer verilmeli ve düzenli denetimler sağlanmalıdır.
Rehberde ayrıca genetik verilerin işlenmesine ilişkin öneri ve tavsiyelerde bulunulmuştur.
- Genetik verilerin işlenme amacına bağlı olarak farklı prosedürlerin ve kuralların benimsenmesi,
- Genetik veri içeren testlerin veya araştırmaların yurt dışında yapılması gerektiğinde, mahremiyetin ve verilerin başka amaçlarla kullanılmasının engellenmesi için gerekli önlemlerin alınması,
- Yurt dışına numune gönderme ihtiyacını azaltmak için ulusal laboratuvarların desteklenmesi ve yerli üretim tıbbi cihazların temini,
- Genetik verilerin yerel olarak depolanabilmesi için idari düzenlemelerin yapılması ve yerli, milli ve akredite bilişim altyapısının güçlendirilmesi,
- Ulusal genetik veri bankacılığının geliştirilmesi ve genetik veri saklama merkezinin oluşturulmasının teşvik edilmesi,
- Genetik verilerin işlenmesi sırasında şeffaflık, açıklık ve hesap verebilirlik uygulamalarının geliştirilmesi ve toplumun bu çalışmalar hakkında bilgilendirilmesi,
- Genetik verileri işleyen kuruluşların ilgili kişilere nasıl kullanılacağına dair bilgilendirme yapacak ve kişisel verilerin korunması konusunda eğitim almış personellerin birimde bulunması,
- Genetik verilerin yurt dışına gönderilmesi durumunda ilgili kişilerin sonuçları hakkında bilgilendirilmesi ve toplumsal farkındalığın artırılması, yerel testlerin kullanımını teşvik etmek için sağlık çalışanlarına bilinçlendirme yapılması
tavsiye edilmiştir.