Kişisel Verileri Koruma Kurumu ("Kurum"), 13 Ekim 2023 tarihinde internet sitesinde yapmış olduğu duyuru ile Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber'i ("Rehber") kamuoyuna duyurmuştur. Rehber'in, "veri sorumlularının doğru hukuki sebeplere dayalı olarak kişisel veri işlemeleri ve 6698 sayılı Kişisel Verilerin Korunması Kanunu'na uygun şekilde yükümlülüklerini yerine getirmeleri için yönlendirici nitelikte" olduğunun altı çizilmektedir.

Rehber'de genetik verinin teknik ve hukuki tanımına ilişkin tartışmalara, genetik verilerin hukuken işlenme koşullarına, alınması gereken teknik ve idari tedbirlere yer verilirken Avrupa Birliği Genel Veri Koruma Tüzüğü ("GVKT") ve gerekçelerine de değinildiği görülmektedir.

Rehber kapsamında genetik veri, teknik anlamından daha geniş bir anlamda kullanılmakta ve "canlıya ait genomdan hücre çekirdeğinden ya da mitokondrisinden kodlanan tüm DNA, RNA ve Protein diziliminden elde edilen bilgilerin tamamı ya da bir kısmı" şeklinde tanımlanmaktadır. Kurum tarafından genetik verinin tanımı Rehber'de bu şekilde yapıldıktan sonra, aşağıdaki hususlar ayrıca ele alınmıştır:

İlkeler

Rehber'de genetik verilerin işlenmesi bakımından, 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun ("Kanun") 4 üncü maddesinde yer alan genel ilkeler ve 6 ncı maddesinde düzenlenen şartlarla birlikte aşağıdaki ilkelere uyulması gerektiği belirtilmektedir:

  • Temel hak ve özgürlüklere dokunulmaması
  • Genetik veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması
  • Genetik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması
  • Genetik veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması
  • İşlenen genetik verilerin gereken süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin kişisel veri saklama ve imha politikasına uygun olarak imha edilmesi

Özellikle son ilke kapsamında, genetik verilerle ilgili yerel mevzuatta yer alan asgari saklama süreleri değerlendirilirken genetik verilerin işlenmesini gereken süre boyunca işlenmesi gerektiği unutulmamalıdır.

Veri Sorumlusu ve Veri İşleyen

Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği'ne ("Yönetmelik") göre genetik hastalıkların belirlenmesi amacıyla faaliyet gösterecek kuruluşlar, ruhsat almadan faaliyet gösterememektedir. Genetik hastalıkların teşhis ve tedavisi için ilgili testler, sadece tıbbi gereklilik durumlarında veya tıbbi amaçlarla ruhsat verilen Genetik Hastalıkları Değerlendirme Merkezi tarafından yapılabilmektedir. Kurum, bu çerçeve içerisinde Genetik Hastalıkları Değerlendirme Merkezi'nin bağlı bulunduğu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişileri (Bakanlık, üniversite, özel hukuk tüzel kişisi vb.) veri sorumlusu olarak nitelemektedir.

Rehber'de veri işleyene örnek olarak genetik verilerin tutulduğu bulut sistemleri gösterilmektedir. Genetik verilerle herhangi bir test ya da analiz yapmasa dahi bu verilere sahip olan kişilerin Kanun çerçevesinde veri sorumlusu veya veri işleyen olarak değerlendirilmesi gerektiği ayrıca hatırlatılmaktadır.

İlgili Kişi

Genetik veriler işlenirken yalnızca ilgili kişinin değil, ilgili kişi ile arasında genetik bağ olan diğer kişilerin de verilerinin işlenmesi mümkün olabilmektedir. Bu nedenle Rehber'de, ilgili (örneğin teşhis konulacak hasta) dışında başka kişilerin (kişinin akrabalarıö ailesi gibi) genetik verilerinin işlenmesinin, farklı bir işleme amacı doğuracağı; diğer ilgili kişilerin verilerinin korunması amacıyla, veri sorumlusunun söz konusu verilerin işlenmesinde Kanun'da yer alan işleme şartlarına ve genel ilkelere riayet etme yükümlülüğü ve bu kapsamda gerekli teknik ve idari tedbirlerin alınması gerektiği vurgulanmaktadır.

Hukuki Sebebe İlişkin Görüşler

Kanun kapsamında, genetik veriler, sağlık veya cinsel hayata dair verisi olarak değil, ayrı bir kategori olarak sayılmıştır. Bu nedenle, genetik verilerin işlenmesinde hukuki sebep ilgili kişinin açık rızasının olması ya da bu durum kanunlarda öngörülmesi olabilecektir.

Ancak, Rehber'de özellikle belirtilen durum, genetik verilerin sadece sağlık gerekçesi ile işlenmesidir. Bu ihtimalde, genetik verilerin, tıpkı sağlık ve cinsel hayata dair veriler gibi, yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenmesi durumunda, sadece sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ya da kuruluşlar tarafından işlenmeleri mümkündür. Rehber'e göre bu ihtimalde, genetik verilerin işlenme amacının sağlık gerekçeleri olması en önemli kriterdir.

Açık Rıza

Rehber'de ilgili kişilerden alınacak açık rıza bakımından, Kurum'un yerleşmiş görüşleri tekrar edilirken genetik verisi işlenen ilgili kişilerin açık rızalarının yalnızca bir açık rıza metninin okutulup imzalatılması şeklinde alınmasının yeterli olmadığı belirtilmiştir. Buna göre, veri sorumlusu, ilgili kişinin genetik veri işleme faaliyetini ve sonuçlarını net bir şekilde anlamasını sağlamalıdır. İlgili kişiden açık rıza alınırken yapılacak bilgilendirmede ilgili kişi için oluşabilecek sonuçların yanında, genetik bağı bulunan kişilerin de etkilenebileceği, bu durumla ilgili riskler ve belirsizlik taşıyan hususlar da açıkça ve ayrıntılı bir şekilde yer almalıdır.

Kurum'un yerleşmiş görüşlerine ek olarak vurgulanan bir diğer konu ise, açık rızanın hizmet sunumu için bir şart olarak koşulmaması gerekliliğidir. Konuyla ilgili Rehber'de yer alan örnekte bir diyet hizmetinin sunulması için gıda intoleransı testi yapılmasının zorunlu tutulması ve kişinin diyet hizmetini almak için genetik verilerinin işlenmesinin zorunlu kılınması ele alınmış ve burada verilen açık rızanın geçerli olmadığı belirtilmiştir.

Son olarak Kurum'a göre Hasta Hakları Yönetmeliği'nde yer alan aydınlatılmış onam, Kanun kapsamında ilgili kişi sıfatını alan hastadan alınabilecek açık rızadan farklı bir işlemdir ve aydınlatılmış onam alınması, ilgili kişiden hukuka uygun olarak açık rıza alındığı anlamına gelmemektedir.

Veri Sorumlusunun Yükümlülükleri

Bu başlık altında aydınlatma yükümlülüğüne ilişkin mevzuat özetlendikten sonra, genetik verisi işlenen ilgili kişilere yapılacak aydınlatmada yalnızca genel açıklamalara yer verilmesinin yeterli olmadığı vurgulanmaktadır. Veri sorumlusu, ilgili kişinin; veri işleme faaliyetini ve sonuçlarını, genetik verisinin işlenmesi sonucunda sadece kendi verisine değil diğer aile fertlerinin de verisine erişilebileceğini net bir şekilde anlamasını sağlamakla yükümlüdür. Yine veri sorumlusu, ilgili kişinin sorularını cevaplandırmalı ve kafa karışıklıklarını gidermelidir.

Yukarıda açıklanan "aydınlatılmış onam" ve "açık rıza" farkına paralel olarak Kurum, ilgili yönetmelikteki "bilgilendirme" kavramı ile aydınlatma yükümlülüğü arasındaki farkı da özellikle vurgulamaktadır. Bu nedenle, bu iki sürecin ayrı ayrı yürütülmesi gerekmektedir.

Veri sorumlularının Kanun'dan kaynaklanan diğer yükümlülükleri genetik veriler bakımından da devam etmektedir.

Kanun'un 28. Maddesindeki İstisnalar

Rehber'e göre Kanun'un 28 inci maddesi uyarınca genetik verilerin bilimsel amaçlarla işlenmesi durumunda veri sorumlularının uyması gereken kriterler şunlardır:

  • Kişisel Sağlık Verileri Hakkında Yönetmelik dikkate alınmalıdır. Bu doğrultuda, çalışmaların mümkün olduğu ölçüde ilgili kişiyi belirlenebilir kılmayacak hale getirilmiş veriler üzerinden yürütülmesi gerekmektedir.
  • 28 inci madde uyarınca genetik verinin işlenmesi mümkün ise de buna son çare olarak yaklaşılmalıdır. Bilimsel araştırmadan beklenen sonuca ulaşılması için genetik verilerin işlenmesinin zorunlu olması gerekmektedir.
  • Veri sorumlusu gerekli güvenlik tedbirlerini almalı ve bu doğrultuda özellikle kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine uygun hareket etmelidir.
  • Kişisel verilerin mevzuata ve Kanun'a uygun saklama ve imha politikasına uygun olarak imha edilmesine yönelik gerekli mekanizmalar bulunmalıdır.

Genetik Verilerin Yurt Dışına Aktarılması

Rehber'e göre, Sağlık Bakanlığı tarafından gelişmiş ülkelerde uygulanan pek çok testin Türkiye'de de yapılabildiği teyit edilmiştir ancak finansal nedenlerden ötürü Türkiye'de yapılabilen testlerin yurtdışında yaptırılması da söz konusu olmakta ve bu şekilde genetik veriler yurt dışına aktarılabilmektedir.

Kişisel verilerin yurt dışına aktarılması genel olarak kritik bir konudur ancak genetik veriler bakımından, bu işleme faaliyeti yalnızca ilgili kişilerin kendilerini değil ilgili kişiyle aralarında genetik irtibat olan akrabalarını ve gelecek nesillerini etkileyebileceği için daha büyük bir önemi haizdir. Bu doğrultuda rehberde, kişilerin temel hak ve özgürlüklerinin de dikkate alınarak çeşitli tedbirlerin alınması gerektiği belirtilmektedir.

Mevzuat çerçevesinden konu ele alındığında, "Tıbbi Laboratuvarlar Yönetmeliği" ve Yönetmelik uyarınca yurt dışına örnek gönderimi Sağlık Bakanlığının ruhsatlı genetik hastalıklar değerlendirme merkezleri üzerinden kayıt altına alınarak yapılabilecektir.

Hukuki sebep bakımından yurtdışına aktarımda Kanun uyarınca ya ilgili kişilerin açık rızaları alınmalıdır ya da kanunlarda öngörülme sebebine dayanılıyor ise Kanunun 9 uncu maddesinin (2) numaralı fıkrasının (a) ve (b) bentlerinde yer alan koşullar bulunmalıdır. Bununla birlikte diğer kanunlarda yer alan hükümler veri sorumluları tarafından ayrıca dikkate alınmalıdır.

Yukarıdaki açıklamalara ek olarak Rehber'de Kanun'un 9 uncu maddesi uyarınca Türkiye'nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar görmemesi için Kişisel Verileri Koruma Kurulu tarafından kişisel verilerin yurt dışına aktarımı konusunda kısıtlamalara gidilebileceği de hatırlatılmaktadır.

Genetik Veri Güvenliği Tedbirleri

Rehber'de veri sorumlusu tarafından alınması gereken teknik ve idari tedbirler bakımından "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kurulun 31/01/2018 tarihli ve 2018/10 sayılı Kararı'na atıf yapılmaktadır.

Teknik tedbir olarak genetik verilerin bulut sistemlerinde tutulmamasına yer verilmiş, bu yöntemin tercih edilmesi durumunda alınabilecek teknik tedbirler detaylı olarak açıklanmıştır. Bunlar arasından özellikle bulut sistemlerinin kullanılması, cihazların verilerden arındırılması, sentetik veriler ile sistemlerin test edilmesi, kullanıcı işlemlerinin loglanması, güvenlik testlerinin düzenli olarak yapılması ve 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi ve Genelge kapsamında Cumhurbaşkanlığı Dijital Dönüşüm Ofisi koordinasyonunda hazırlanan Bilgi ve İletişim Güvenliği Rehberi kapsamındaki tedbirlere riayet edilmesi gibi tedbirlerin alınması önerilmektedir.

İdari tedbirler bakımından ise GVKT'nin 25 inci maddesinde yer alan "Mahremiyet Temelli Tasarım" (Privacy by Design) ve GVKT'nin 35 inci maddesinde açıklanan Veri Koruma Etki Değerlendirmesi Kurum tarafından Rehber'de detaylı olarak açıklanmıştır. Bu iki hususun veri sorumluları bakımından gözetilmesi gerekliliği önem taşımaktadır.

Bunlara ek olarak genetik verilere yalnızca bu konuda eğitilmiş ve gizlilik sözleşmesi yapılmış personelce erişimin sağlanması, envanter hazırlanması ve Veri Sorumluları Sicil Bilgi Sistemi'ne bildirimde bulunulması, genetik verilere özgü ayrı işleme politikaları hazırlanması, acil durum prosedürleri ve raporlama mekanizmaları oluşturulması, veri işleyenler bakımından yapılması gerekenler; Rehber'de yer alan diğer idari tedbirler arasındadır.

Öneriler

Genetik verilerin işlenmesinin, toplumun tamamını etkileyebilecek sonuçlara sahip olması nedeniyle Kurum bakımından bu konu ulusal stratejik öneme sahiptir. Rehber'de bu kapsamda, "Bilgi ve İletişim Güvenliği Tedbirleri" konulu ve 2019/12 sayılı Cumhurbaşkanlığı Genelgesi, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından yayımlanan Bilgi ve İletişim Güvenliği Rehberi ve "Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020-2023)'na değinilerek alınabilecek ulusal çaptaki önlemlere yer verilmiştir.

Kurum tarafından yapılan öneriler arasında, Yönetmelik uyarınca yapılacak yurt dışı aktarımlarının daha detaylı düzenlemelere tabi tutularak buna ilişkin kayıtların Bakanlık düzeyinde tutulması, elde edilen genetik verilerin, toplanma amaçları dışında başka maksatlarla kullanılmasının engellenmesi konularında gerekli önlemlerin alınması, ulusal laboratuvarların desteklenmesi ve yerli üretim tıbbî cihazların temini ve bu konuda ihtisaslı insan kaynağının güçlendirilmesi gibi konulara yer verilmektedir.

Originally published 02 Kasım 2023

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.