Home
Europe
Turkey
Privacy
CONTRIBUTOR
Email Bener Law Office Visit Firm Website More Details about Bener Law Office
award logo
Most Read: Contributor Turkey, November 2023
Email Bener Law Office Visit Bener Law Office website View Mondaq's Bener Law Office profile page
ARTICLE

Turkey: Kişisel Verileri Koruma Kurulu'nun Yayınladığı Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Hakkında Bülten

02 November 2023
by Batuhan Şahmay , Naz Ergörün Yazman and Behiç Ateş Gülenç
Bener Law Office
To print this article, all you need is to be registered or login on Mondaq.com.

Kişisel Verileri Koruma Kurulu ("Kurul") tarafından Kurul'un resmi internet sitesinde 13.10.2023 tarihinde Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber ("Rehber")1 yayınlanmıştır.

Rehberde yer alan önemli hususlar şöyledir:

1. Genetik Veri Tanımı

Rehberde, Kişisel Verilerin Korunması Kanunu'nun ("Kanun") 6(1) maddesi uyarınca bir özel nitelikli veri olan genetik verinin:

  • "canlıya ait genomdan hücre çekirdeğinden ya da mitokondrisinden kodlanan tüm DNA, RNA ve Protein diziliminden elde edilen bilgilerin tamamı ya da bir kısmı" olduğu,
  • genetik verilerin sadece bir SNP (Single Nükleotit Polimorfizm) bilgisi olabileceği gibi çok kapsamlı tüm genom dizilimi bilgisi de olabileceği ve
  • bu verilerin canlıdan elde edilmiş DNA ve/ veya RNA'dan kalıtsal olan veya kalıtsal olmayan tüm genomik değişiklikleri kapsadığı

belirtilmiştir.

2. Genetik Veri İşleme Şartları

  • Kanun'un 6. maddesinde özel nitelikli kişisel verilerin işlenme şartları yer almakta olup, Rehber'de genetik verilerin sadece sağlık gerekçeleri ile işlenmesi amacının bulunması durumunda, anılan maddenin (3) numaralı fıkrasında sağlık ve cinsel hayata dair verilerin işlenme şartı olarak sayılan; yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenmesi durumunda, genetik veri sıfatları baki olsa da kişisel sağlık verisi işleme şartlarına tâbi olarak, sadece sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ya da kuruluşlar tarafından, veri sahibinin açık rızasına gerek olmaksızın işlenmelerinin mümkün olduğu belirtilmiştir.
  • Bu kapsamda, sağlık gereklilikleri doğrultusunda yapılması zorunlu testler için ilgili kişilerin rızaları aranmadan genetik verilerin işlenebilecektir. Ancak bu durumda da, ilgili kişilerin Kanun'un 10. maddesine uygun olarak aydınlatılmaları gerekmektedir.
  • Rehberde, genetik verilerin herhangi bir tıbbi teşhis tedavi amacı dışında, örneğin soy/köken yahut akrabalık ilişkilerinin tespiti, sportif faaliyetlere ya da herhangi bir yeteneğe yatkınlığın belirlenmesi gibi çeşitli sebeplere yönelik ticari amaçlar için işlenmesi durumunda, ilgili kişilerin açık alınması gerektiği belirtilmektedir. Yine bu durumda da, ilgili kişilerin Kanun'un 10. maddesine uygun olarak aydınlatılmaları gerekmektedir.

3. Genetik Verilerin Yurtdışına Aktarımı

Genetik verilerin yurt dışına aktarılması için ya ilgili kişilerin açık rızalarının alınması ya da Kanun'un 6. maddesi kapsamında kanunlarda öngörülme sebebi ile kişisel verilerin işlenmesi durumunda ise, Kanun'un 9. maddesinin (2) numaralı fıkrasının (a) ve (b) bentlerinde yer alan koşulların bulunması gerektiği belirtilmiştir.

Genetik verilerin kanunlarda öngörülme sebebine istinaden işlenmesi halinde, veri sahibinin açık rızası olmaksızın yurtdışına aktarılması, yalnızca (hali hazırda güvenli ülkeler açıklanmadığından)Kurul'dan alınacak izinle mümkün olacaktır.

4. Genetik Verilerin Kanunun 28. Maddesi Uyarınca İstisnalar Kapsamında İşlenmesi

Rehber'de, Kanun 28. maddesi kapsamında genetik verilerin bilimsel amaçlarla işlenmesi durumunda, işleme faaliyetinin Kanun'a tabi olmaması için aşağıdaki kriterler kapsamında gerçekleştirilmesi gerektiği belirtilmiştir:

  • 21/06/2019 tarihli ve 30808 sayılı Resmî Gazete'de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin 16. maddesinde, sağlık verilerinin bilimsel araştırmalarda kullanımına ilişkin koşullar düzenlenmiştir. Tekil nitelikteki genetik verinin, veri sorumlusu tarafından kimliği belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesi, ancak farklı bireylere ait çok sayıda bu tür verinin birleştirilmesi sonucu elde edilecek kümülatif varyant frekans listelerine dönüştürülmesi (Genom agregasyon verileri) ile mümkündür ve bu listeler bilimsel araştırmalar kapsamında etik kurul izinleri alınması ve mevcut mevzuata uyulması suretiyle işlenebilmekte olup, bu tür çalışmaların mümkün olduğu ölçüde ilgili kişiyi belirlenebilir kılmayacak hale getirilmiş veriler üzerinden yürütülmesi, bunun için takma ad kullanımı (pseudonymisation) gibi yöntemlerin kullanılması suretiyle kişisel veri güvenliğine ilişkin risklerin en aza indirilmesi
  • Her ne kadar Kanun uyarınca özel hayatın gizliliğini ve kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla genetik verilerin bilimsel amaçlarla kullanımı mümkün olsa da, bunun son çare olarak bilimsel araştırmadan beklenen sonuca ulaşılması için genetik verilerin işlenmesinin zorunlu olması halinde uygulanması gerekir.
  • Bilimsel araştırmalarda kullanılan genetik verilerin korunması bakımından, anayasal güvence altına alınan kişisel verilerin korunması hakkının ihlal edilmemesini teminen gerekli güvenlik tedbirlerinin sağlanması ve bu doğrultuda özellikle kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine uygun hareket edilmesi
  • Tamamlanan bilimsel araştırmalar bakımından, kullanılan kişisel verilerin tutulmaya devam edilmesinin gerekip gerekmediğinin dikkatli bir şekilde değerlendirilerek, gerekmediği kanaatine varılması halinde bu kişisel verilerin kişisel veri saklama ve imha politikasına uygun olarak imha edilmesine yönelik gerekli mekanizmalar sağlanmalıdır.

5. Teknik ve İdari Tedbirler

Kurul, Rehber'de, teknik ve idari tedbirlere ilişkin olarak Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili Kurulun 31/01/2018 tarihli ve 2018/10 sayılı Kararında yer alan hususlara dikkat edilmesi gerektiğini belirtmiştir.

Bu kapsamda Kurul, teknik tedbirlere ilişkin olarak aşağıdakilere değinmiştir:

  • Genetik verilerin bulut sistemlerinde tutulmaması tercih edilmelidir. Keza, bu sistemlerde genetik verilerin tutulması, Kanun kapsamında yurtdışına aktarım anlamına gelebilecektir.
  • Cihazların bakım, onarım, tamirat vb. için yetkili firmalara teslimi veya kiralanmış cihazların ilgili firmalara iadesi durumunda cihaz üzerinde yer alan veri muhafaza üniteleri sökülerek alınmalı veya tüm veriler hard disk ortamında laboratuvara teslim edilmeli ve firmaya ait cihaz veya sunucuda veri olmadığına dair firmadan yazılı taahhütname alınmalıdır.
  • Veri sorumluları sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında, mümkünse, sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmeli Öte yandan veri sorumluları, test amaçlı yapacağı çalışmalarda gerçek veri kullanacaksa genetik verileri veri minimizasyonu ilkesine uygun şekilde kullanmalıdır. Veri sorumluları, yetkisiz erişim denemeleri ve gerekli tüm güvenlik tedbirlerinin alınmasına karşın sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz eden ve/veya genetik verileri koruma altına alan ve rapor veren önlemler uygulamalıdır.
  • Veri sorumluları sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, yama yönetimi sağlamalı, mümkün olduğunca açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır.
  • Veri sorumluları genetik veri işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmeli Genetik veri işlenen program/sistem üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları(log) ayrı bir sistemde, düzenli olarak tutulmalı ve güvenli bir şekilde korunmalıdır. İşlem kayıt(log) sisteminden sorumlu yönetici(admin) ile diğer sistemlerden sorumlu kişilerin farklı kişiler olmasına dikkat edilmelidir.
  • Genetik veri işlenen sistemlerin donanımsal ve yazılımsal güvenlik testleri periyodik olarak yapılmalıdır. Sistemlerde gerçekleştirilen değişiklikler gerekli güvenlik testleri yapıldıktan sonra devreye alınmalıdır.
  • 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi ve Genelge kapsamında Cumhurbaşkanlığı Dijital Dönüşüm Ofisi koordinasyonunda hazırlanan Bilgi ve İletişim Güvenliği Rehberi kapsamındaki tedbirlere riayet edilmesi gerektiği değerlendirilmektedir.

Yukarıdakilere ilaveten, Rehberde Kurul tarafından alınması tavsiye edilen idari tedbirler aşağıda yer almaktadır:

  • Kişisel veri güvenliğinin ve bilhassa genetik veri mahremiyetinin henüz tasarım aşamasında dikkate alınarak tüm mekanizmaların bu temelde öngörülerek hazırlandığı "Mahremiyet Temelli Tasarım" (Privacy by Design) esasına göre kurulması ve yönetilmesi
  • Genetik veri işleyen veri sorumluları tarafından, verilerin niteliği ve veri işlemenin ilgili kişi açısından oluşturacağı muhtemel risklerle ilgili olarak Veri Koruma Etki Değerlendirmesi uygulanmalıdır.
  • Genetik veriler; yetkili, konu ile ilgili eğitim almış ve kendisiyle gizlilik sözleşmeleri akdedilmiş personel dışında kimse tarafından erişilemeyecek şekilde muhafaza edilmeli İlaveten, bu verilerin işlenmesine ilişkin olarak, Kişisel Veri İşleme Envanteri hazırlanmalı ve Veri Sorumluları Sicil Bilgi Sistemi'ne (VERBİS) bildirimde bulunulmalıdır.
  • Genetik veri işleme süreçlerine ilişkin ayrı işleme politikaları, acil durum prosedürleri ve raporlama mekanizmaları oluşturulmalıdır. Elektronik ortamdaki genetik veriler, güvenli yedekleme sistemiyle düzenli olarak yedeklenmeli Veri seti yedekleri mutlaka ağ dışında tutulmalıdır.
  • Genetik verilere dair veri işleme faaliyetlerine ilişkin kurum içi rastgele ve periyodik denetimler ile risk analizleri vasıtasıyla veri sorumlusu, olası bir veri ihlâline karşı kendisinin hazırlık durumunu sürekli olarak ölçmeli ve izlemeli
  • Genetik veri işleme süreçlerinde veri sorumlusu tarafından bir amaç doğrultusunda veri işleyen tercih edilmesi durumunda; veri işleyenlerle yapılacak hizmet sözleşmelerinde gerekli görülen güvenlik tedbirlerine yer verilmeli ve tercih edilecek veri işleyen nezdinde gerekli teknik ve idari tedbirlerin sağlanıp sağlanmadığı hususunda belirli periyotlarla denetimler yapılmalı veya yaptırılmalıdır. Veri sorumlularının, bir veri işleyenden hizmet alırken söz konusu veri işleyenin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesini sağladığından emin olmaları gerekmektedir.

Kurul, yukarıda sayılan bütün ilkelerin ve kriterlerin sağlandığı hususunun veri sorumlusu tarafından kayıt altına alınıp belgelendirilmesi ve kamuoyuna açıklanması gerektiğini belirtmiştir.

6. Öneriler ve Tavsiyeler

Kurul, Rehber'in devamında genetik verilerin ulusal güvenlik ve ülkelerin ekonomik menfaatleri doğrultusunda kritik önem arz ettiğini belirterek, ulusal çapta alınabilecek bazı tedbirlere de yer vermiştir. vermiştir. Bu tedbirler aşağıda yer almaktadır:

  • Genetik verilerin işlenme amaçlarının farklılık göstermesi nedeniyle prosedürlerin ve kuralların işleme amaçlarına göre ele alınması
  • Genetik veri ihtiva eden testlerin veya araştırmaların yurt dışında yapılması zorunluluğu karşısında; bilimsel araştırma ya da tetkik amaçlarıyla işlenen genetik verilerin, UNESCO Genel Konferansı'nın 16 Ekim 2003 tarihli "İnsan Genetik Verileri Üzerine Uluslararası Bildirgesinde (International Declaration on Human Genetic Data) belirtildiği üzere mahremiyetinin sağlanması ve elde edilen genetik verilerin, toplanma amaçları dışında başka maksatlarla kullanılmasının engellenmesi konularında gerekli önlemlerin alınması,
  • Genetik verilere ilişkin testlerin mümkün olduğunca yurt dışına gönderilmemesi amacıyla ulusal laboratuvarların desteklenmesi, gerekli yerli üretim tıbbî cihazların temini ve bu konuda ihtisaslı insan kaynağının güçlendirilmesi konusunda çalışmalar yapılması,
  • Genetik verilerin yurt içinde depolanması için gerekli idarî düzenlemelerin yapılarak bunu mümkün kılacak yerli, millî ve akredite bilişim altyapı çalışmalarının desteklenmesi,
  • Bilimsel amaçlarla kullanılmak üzere ulusal genetik veri bankacılığının geliştirilerek genetik veri saklama merkezinin oluşturulmasının teşvik edilmesi,
  • Bu alanda yürütülen araştırma ve çalışmalar da dâhil, genetik verilerin işlenmesi esnasında; şeffaflık, açıklık ve hesap verebilirlik uygulamalarının geliştirilmesinin teşvik edilmesi ve bu suretle toplumun, bu çalışmaları yürüten kuruluşlar tarafından genetik verilerinin işlenmesinin nedenleri ve sonuçları hakkında bilgilendirilmelerinin sağlanması,
  • Genetik verilerin işlenmesini gerektirecek araştırma veya test faaliyeti yürüten kuruluşların, ilgili kişilere, elde ettikleri kişisel verileri nasıl, nerede ve ne şekilde kullanılacağına dair bilgilendirmede bulunan ve ilgili kişilerden gelecek taleplerin çözümünü sağlayan kişisel verilerin korunması alanında gerekli eğitimleri almış personeli ihtiva eden bir biriminin bulunması ya da bu işlevin sağlık kuruluşları bünyesinde bulunan ve yine kişisel verilerin korunması alanında gerekli eğitimleri almış personeli ihtiva eden personel görevlendirmek sureti ile Hasta Hakları Birimince yerine getirilmesi,
  • İlgili kişilerin, kendilerine ait genetik verilerin yurt dışına gönderilmesi durumunda doğabilecek sonuçlar hakkında bilgilendirilerek toplumsal farkındalığın kamu spotu, toplantılar gibi yöntemlerle artırılması ve bu suretle yurt dışına genetik verilerini gönderen kişilerin sayısında düşüş sağlanması, yurt içinde hali hazırda gerçekleştirilebilen testlerin yurt dışında gerçekleştirilmesini engellemek amacı ile ilgili kişileri yeterli şekilde bilgilendirebilmesi için sağlık çalışanlarına yönelik bilinçlendirme çalışması yapılması.

Yukarıdakilere ek olarak, genetik verilerin işlenmesinin Kanun'da belirtilen ilkeler kapsamında değerlendirilmesi, açık rıza alınırken dikkat edilmesi gereken hususlar, belirtilen teknik ve idari tedbirlere ilişkin ek açıklamalar ve konuya ilişkin ek bilgiler Rehber'de yer almaktadır.

Footnote

1. Rehbere "https://kvkk.gov.tr/SharedFolderServer/CMSFiles/f3ca871c-bdac-48b1-ace3-9d40dbe533d2.pdf " linkinden ulaşabilirsiniz.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

AUTHOR(S)
Batuhan Şahmay
Bener Law Office
View Mondaq's Batuhan Şahmay Profile page
Naz Ergörün Yazman
Bener Law Office
View Naz Ergörün Yazman Mondaq Profile page
Behiç Ateş Gülenç
Bener Law Office
View Behiç Ateş Gülenç Mondaq Profile page
ARTICLE TAGS
POPULAR ARTICLES ON: Privacy from Turkey
AI Act And GDPR: Managing The World Of Data In The World Of Privacy
MOLITOR Avocats à la Cour
I systems are designed to operate with a certain level of autonomy, that is, without human involvement (Recital (6) AI Act).
Employees' Right Of Access To Their Personal Data: What Documents Must The Employer Provide Its Employees Who Exercise This Right?
Vivien & Associes
With the adoption of the General Data Protection Regulation (2016/679) European legislation has strengthened the rights of individuals with regard to their personal data, giving them greater control and greater visibility ...
What Are Common European Data Spaces?
Arthur Cox
Broadly, common European data spaces are EU-wide common, interoperable data spaces in strategic sectors in which data pooling and sharing takes place.
Data Breach Claim Struck Out In Cork Circuit Court As 'Minor' Incident
RDJ LLP
In December 2023, Judge McCourt struck out a data breach in Sankowski v Musgrave Retail Partners Ireland Limited affirming that a certain minimum level of severity must be obtained...
Surveillance Systems In Public Spaces Constitutes A New Legal Reality
Tsibanoulis & Partners
The long-awaited Presidential Decree no. 75 regulating the use of surveillance systems in public spaces has been finally published on 10.9.2020 (G.G. 173/10.9.2020).
The Swiss Data Protection Act: Records Of Data Processing
Logan & Partners
The new Swiss Data Protection Act introduces several key provisions, including the requirement for entities processing personal data to maintain detailed records of their data processing activities.
FREE News Alerts
Sign Up for our free News Alerts - All the latest articles on your chosen topics condensed into a free bi-weekly email.
Related Articles
Data Protection & Privacy 2024 - Turkiye YAZICIOGLU Legal
2024 Amendments To Turkish Personal Data Protection Law Pi Legal Consultancy
Important Points Regarding Preparation Of Cloud Computing Contracts Kilinc Law & Consulting
Changes Made To Privacy Laws With The 8th Judiciary Package In Turkey Paldimoglu Law Firm
EDPS Investigation Of The Use Of Microsoft 365 (1): The Scope Of Data Categories In The Data Processor Agreement For Respecting Purpose Limitation Principle Citil Attorney Partnership
Mondaq Webinars
MAY14
Asset Recovery and Judgment Enforcement: A Focus on 2024 Trends in the US and UK
Steptoe LLP
MAY21
Class Actions in Canada and the Rise of the Machine [REPLAY]
Tyr LLP
More Webinars
Comparative Guides
Artificial Intelligence
Aviation Finance
Banking Regulation
Blockchain
Capital Markets
More Guides
Mondaq Advice Centres
Turkey
Privacy & Data Protection
Turkey
Intellectual Property
Turkey
Competition and Antitrust
Global
Trademarks in SAARC Countries
 
More MACs
Upcoming Events
More filters
Mondaq Social Media

  © Mondaq® Ltd 1994 - 2024. All Rights Reserved.