25 Ağustos 2022

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından, Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) Özel Nitelikli Veri olarak sınıflandırılan genetik verilere ilişkin 24 Ağustos 2022 tarihinde “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı” (“Taslak”) yayımlanmıştır.   

Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (GVKT) genel veri, “bir gerçek kişinin fizyoloji veya sağlığı ile ilgili eşsiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numunenin analizinden kaynaklanan ve söz konusu kişinin kalıtım yoluyla alınan veya kazanılan özelliklerine ilişkin kişisel verilerdir” şeklinde tanımlanmaktadır. Kanun’umuzda ise genetik veri, özel nitelikli veriler arasında sayılmakta ancak kapsamlı olarak tanımlanmamaktadır. Bu nedenle Taslak’ta öncelikle Avrupa Birliği Genel Veri Koruma Tüzüğü ve ilgili tüzüğün gerekçesi (Recital 34) ışığında genetik verinin ne ifade ettiğine ilişkin açıklamalar yapılmıştır. Taslak’ta genetik veri, canlıya ait genomdan hücre çekirdeğinden ya da mitokondrisinden kodlanan tüm DNA, RNA ve Protein diziliminden elde edilen bilgilerin tamamı ya da bir kısmı olarak ifade edilmiştir.

Uygun saklama koşulları şartıyla DNA/RNA örneklerinden istenildiği zaman bireyin tüm genomik verilerine erişilebilme imkanı olduğunu vurgulayan Kurum, ölmüş olan kişilerden alınan örneklerin yıllar sonra bile bir gerçek kişiyi belirlenebilir kılma ihtimali olduğunu belirterek biyolojik örnek toplayan tüm veri sorumlularının söz konusu örneklerin güvenliğini sağlamak konusunda gerekli teknik ve idari tedbirleri alması gerektiğini belirtmiştir.

Kurum, genetik verilerin Kanun’un 6. maddesi uyarınca özel nitelikli kişisel veri olarak sayıldığı ve özel nitelikli kişisel verilerin işlenme şartlarına tabi olduğunu belirtmiştir. Sağlık ve cinsel hayat dışındaki kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Kurum, başka kanunlarda genetik verilerin işlenmesine ilişkin açık hüküm bulunduğu takdirde bu hükümlerin uygulanacağını da belirtmiştir. Taslak’ta genetik verilerin, yalnızca tıbbi teşhis ve tedavi amacıyla işlenmesi durumunda kişisel sağlık verisi olarak kabul edilmesinin gerektiğini önemle vurgulanmaktadır. Uygulamada genetik verilerin, kişilerin açık rızaları kapsamında soy/köken yahut akrabalık ilişkilerinin tespiti, sportif faaliyetlere ya da herhangi bir yeteneğe yatkınlığın belirlenmesi gibi çeşitli sebeplere yönelik ticari amaçlarla işlenmesi durumuna rastlanıldığı ifade edilmiştir. Kurum bu hususta açık rıza alınma sürecinde ilgili kişinin ne için rıza verdiğini açıkça bilmesi gerektiğine, bu işleme faaliyetinin yalnızca kişilerin değil, ait olduğu soy bağına mensup kişilerin de kişisel verilerini içerme ihtimalini barındırdığı ve bu durumun taşıdığı riskler gibi hususlarda açıkça ve ayrıntılı şekilde bilgilendirilmesi gerektiğine dikkat çekmiştir.

Taslak’ta genetik verilerin anonim hale getirilmesi konusunda yaşanabilecek problemlere de değinen Kurum, genetik verilerin tam olarak anonim hale getirilip getirilemeyeceğinin hala bir tartışma konusu olduğunu, ilgili kişinin DNA örneğinin kişiye ilişkin eşsiz bir veri sağlamasından ötürü, örnekten sağlanan bilginin ilgili kişi ile irtibatının kesilmesinin mümkün olmayacağından dolayı kimliksizleştirilme (de-identification) teriminin kullanılmakta olduğu ifade edilmiştir. İşlenen genetik verilerin şifrelendiğini ve gerekli anahtar olmaksızın ilgili kişi ile genetik materyali arasında bağlantı kurulamayacağını belirten Kurum, kod çözücüye sahip olanlar için bu bağın yeniden tesis edilebilmesinin mümkün olduğunu dolayısıyla teknik ve idari tedbirlerin önemli olduğuna bir kez daha vurgu yapmıştır.

Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili Kişisel Verileri Koruma Kurulu’nun 31/01/2018 Tarihli ve 2018/10 sayılı kararında yer alan hususlara dikkate edilmesi gerektiği belirtilmiş ve bu tedbirlere ilaveten, Taslak’ta genetik veriler için ilave idari ve teknik tedbirlere yer vermiştir. Taslak’a belirtilen başlıca tedbirler şu şekildedir:

  • Genetik verilerin bulut sistemlerinde tutulmamasının tercih edilmesi,
  • İşlenen ve muhafaza edilen genetik verilerin güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmesi,
  • Veri sorumlularının sistemin kurulmasından önce gerçek olmayan veriler ile sistemin test edilmesi, sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanılması,
  • Genetik veri işleyen veri sorumluları tarafından, verilerin niteliği ve veri işlemenin ilgili kişi açısından oluşturacağı muhtemel risklerle ilgili olarak Veri Koruma Etki Değerlendirmesi’nin uygulanması,
  • Genetik verilerin; yetkili, konu ile ilgili eğitim almış ve kendisiyle gizlilik sözleşmeleri akdedilmiş personel dışında kimse tarafından erişilemeyecek şekilde muhafaza edilmesi.

Taslak’ta ilgili kişilerin rızaları ile tıbbi teşhis ve tedavi amaçlı zorunlu olarak ya da zorunlu nedenler dışında kişilerin tercihine bağlı olarak genetik verilerin yurt dışına gönderilmesinin genetik verilerin işlenmesi konusunda en önemli sorun alanlarından biri olduğu ifade edilmiştir.  Bu nedenle genetik verilerin işlenmesi ve aktarılması konusunda Kanun kapsamında kişilerin temel hak ve özgürlüklerinin de dikkate alınarak çeşitli tedbirlerin alınması gerektiği ve Kurul’un gerekirse verilerin yurtdışına aktarımı konusunda kısıtlamalara gidebileceği belirtilmiştir. Bu kapsamda genetik verilerin yurtdışına aktarımı konusuna da Taslak’ta kısaca değinilmiştir. Yurt dışına aktarımın açık rıza ya da Kanun’a uygunluk durumlarında mümkün olabileceği belirtilirken, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kişisel Verileri Korumu Kurulu’nun izniyle yurt dışına aktarımın mümkün olabileceği söylenmektedir.

Kurum ayrıca genetik verilerin işlenmesi ve aktarılması aşamalarında dikkat edilecek hususlar yönünden öneri ve tavsiyeler de paylaşmış ve genetik verilerin işlenmesinin belirli kural ve prosedürlere bağlanmasının, bunun yanında toplumsal alanda da farkındalık oluşturulmasının gerektiğini ifade etmiştir. Taslak’a ilişkin görüş ve değerlendirmeler 24 Eylül 2022 tarihine kadar Kurum’a iletilebilecektir.

Taslak’ın tam metnine https://www.kvkk.gov.tr/SharedFolderServer/CMSFiles/438e502e-93da-4ac9-82ff-0df0c2b010c2.pdf adresinden ulaşabilirsiniz.

CLIENT ALERT


For further information, please contact:


YAYLA ALTUFAN KONUKÇU
Attorneys at Law
+ 90 (212) 236 36 44
info@yaklaw.com
www.yaklaw.com

Levent Mah. Sülün Sok. N.23
34330, Beşiktaş/Istanbul

Bu yayın, hukuki gelişmelere ilişkin genel ve limitli bilgi içermektedir. Bu yayın, hukuki görüş ve yönlendirme içermemektedir ve bu şekilde yorumlanmamalı ve kullanılmamalıdır.