Kişisel Verileri Koruma Kurumu’ndan Yeni Rehber: Genetik Veri İşlenirken Dikkat Edilmesi Gerekenler

Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber (“Rehber”), 13 Ekim 2023 tarihinde Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından resmi internet sitesinde yayınlanmıştır.

6698 sayılı Kişisel Verilerin Korunması Kanunu’nda (“Kanun”) genetik veriler, ayrı bir şekilde tanımlanmamakla birlikte, özel nitelikli kişisel veri olarak kabul edilmektedir. Bu bağlamda, genetik verilerin kullanım alanları, Rehber’de (i) sağlık alanında teşhis ve tedavi amaçlı genetik analiz, (ii) üstsoy ve alt soy tespiti amaçlı genetik analiz ve (iii) genetik yatkınlık tespiti amaçlı genetik analiz olarak sıralanmaktadır.

Rehber kapsamında, genetik veri sorumluları ve ilgili kişiler, genetik verilerin işlenme şartları, veri sorumlularının yükümlülükleri, genetik veri güvenliği ve son olarak Kurum’un önerileri ve tavsiyeleri düzenlenmektedir.

  1. Veri Sorumlusu ve Veri İşleyen

Rehber, veri sorumluların belirlenmesi hususunda, Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği’ne (“Genetik Hastalıklar Yönetmeliği”) atıf yapmaktadır. Genetik Hastalıklar Yönetmeliği, genetik hastalıkların teşhisi, genetik hastalıklara yatkınlığın tespiti gibi tıbbi gereklilik halinde ve tıbbi amaçlı bilimsel araştırmalar amacıyla faaliyete bulunan bütün kuruluşların, Genetik Hastalıklar Değerlendirme Merkezi (“Merkez”) olarak faaliyet gösterebilmesi için ruhsat almasını zorunlu kılmaktadır. Bu bağlamda, Rehber, Merkezlerin Kanun’un 3. maddesi doğrultusunda veri sorumlusu niteliğini haiz olduğunu belirtmektedir.

Aynı zamanda, Merkezlerin genetik verileri tuttuğu bulut sistemlerinin veri işleyen olarak değerlendirilebileceği belirtilmektedir.

  1. İlgili Kişi

Genetik veriler, doğası gereği yalnızca bir kişiyi değil, o kişi ile genetik irtibatı olan diğer kişileri de ilgilendirmektedir. Rehber bu hususa değinerek, genetik verinin elde edildiği ilgili kişi dışında, ilgili kişi ile genetik irtibatı olan diğer kişilerin genetik verilerinin işlenmesinin, farklı bir işleme amacı doğuracağını belirtmektedir.

  1. Genetik Verilerin İşlenmesi

Genetik verilerin işlenmesi sırasında, Kanun’da yer verilen genel ilkelere uyumlu bir şekilde hareket edilmesi gerekmektedir. Bu bağlamda Rehber, özellikle aşağıdaki ilkelere değinmektedir:

  • Temel hak ve özgürlüklerin özüne dokunulmaması,
  • Genetik veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması,
  • Genetik veri işlemeyle ulaşılmak istenilen amaç ve araç arasında orantı bulunması,
  • İşlenen genetik verilerin gereken süre kadar tutulması, gereklilik ortadan kalktıktan sonra gecikmeksizin kişisel veri saklama ve imha politikasına uygun olarak imha edilmesi (Genetik Hastalıklar Yönetmeliği’nde, raporlar ve kayıtların en az 30 yıl, elektronik kayıtların yedekleme ile birlikte süresiz ve numune ve lamların en az 2 yıl süre ile muhafaza edilmesi öngörülmektedir).

Bunlara ek olarak Rehber’de, Kanun’un 6. maddesinde düzenlenen bazı veri işleme şartları, genetik veriler özelinde detaylandırılmaktadır:

  • Açık Rıza

Rehber, genetik verileri işlenen kişilerin açık rıza metnini okuyup imzalamasının yeterli olmadığının altını çizmektedir. Bu bağlamda veri sorumlusu, genetik verisi işlenen ilgili kişiye, genetik veri işleme faaliyetlerini ve sonuçlarını açık ve anlaşılır bir şekilde anlatmakla yükümlüdür. Aynı zamanda, açık rıza sonucunda işlenen genetik veriler başka amaçlarla kullanılmamalı ve veri sorumlularının ilgili kişilerin aydınlatması konusunda gerekli özen ve dikkati göstermeleri gerekmektedir. Ek olarak Rehber’de, açık rıza ile özgür irade arasındaki bağın altı çizilerek açık rızanın bir hizmetten yararlanılmasının şartı olarak sunulmasının hukuka uygun olmadığı hatırlatılmaktadır. 

Rehber uyarınca, genetik verilerin teşhis veya tedavi amaçlı işlenmediği durumlarda veri sorumlusu tarafından, ilgili kişiye (i) işleme faaliyetinin ilgili kişinin ait olduğu soy bağına mensup kişilerin kişisel verilerini içerme ihtimali, (ii) genetik verilerinin işlenmesinin barındırdığı riskler, (iii) genetik verilerin yurt dışına aktarılması durumunda, verilerin akıbetinin takip edilmesine ilişkin muhtemel zorluklar, (iv) yurt dışında yerleşik veri sorumlularının veri güvenliği konusunda barındırdığı riskler, (v) yurt dışına aktarılan genetik verilerin üçüncü kişilere aktarılma ihtimali gibi netlik arz etmeyen durumlar ve (iv) bu durumların yaratabileceği olumsuz sonuçlar hakkında açık ve ayrıntılı bir şekilde bilgi vermelidir.

Ayrıca, genetik verilerin, bir sağlık verisi olarak işlenmesi durumunda, ilgili kişinin açık rızası aranmaksızın, yalnızca (i) kamu sağlığının korunması, (ii) koruyucu hekimlik, (iii) tıbbî teşhis, (iv) tedavi ve bakım hizmetlerinin yürütülmesi, (v) sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenebileceği hatırlatılmaktadır. Rehber, bu tür durumlarda, genetik verilerin sağlık gerekçeleri ile işlenmesi amacının bulunması ve zorunlu veri işleme faaliyetleri sırasında ilgili kişinin aydınlatılması gerektiğinin altını çizmektedir. 

  1. Genetik Verilerin Yurt Dışına Aktarımı

Rehber, Kanun uyarınca genetik verilerin yurt dışına aktarımı için aşağıdaki koşullardan birinin sağlanması gerektiğini belirtmektedir:

  • İlgili kişilerin açık rızalarının alınması ya da,
  • Açık rıza aranmadığı durumlarda
    • Genetik verilerin aktarılacağı yabancı ülkede yeterli korumanın bulunması (yeterli koruma bulunan yabancı ülkelerin listesi henüz Kurum tarafından yayınlanmamıştır),
    • Bulunmaması durumunda ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulu’nun (“Kurul”) izninin bulunması.

Bununla birlikte Rehber, ilgili kişinin veya Türkiye’nin menfaatinin ciddi bir şekilde zarar görebileceği hallerde, ilgili kamu kurumunun görüşünün alınması kaydıyla, Kurul’un izniyle yurt dışına aktarım yapılabileceğini de belirtmektedir. Ancak yurt dışındaki veri sorumluları tarafından gerekli teknik ve idari tedbirlerin alınmadığı ve ilgili kişinin veya Türkiye’nin menfaatlerinin zarar görebileceği durumlarda, Kurul’un Kanun kapsamında önlemler alabileceği de düzenlenmektedir.

  1. Veri İşleme İstisnaları

Genetik verilerin, Kanun’da düzenlenen istisnalar çerçevesinde bilimsel amaçlarla işlenmesi durumunda Rehber, aşağıdaki kriterlerin uygulanması gerektiğini ifade etmektedir:

  • Rehber, Kişisel Sağlık Verileri Hakkında Yönetmelik kapsamında sağlık verilerinin bilimsel araştırmalarda kullanılmasına ilişkin koşullara atıf yaparak, genetik verilerin veri sorumlusu tarafından ilgili kişiler ile ilişkilendirilemeyecek hale getirilmesi ve takma ad kullanımı (pseudonymization) gibi yöntemlerin kullanılması ile kişisel veri güvenliğine ilişkin risklerin en aza indirilmesi gerektiğinin altını çizmektedir.
  • Genetik verilerin bilimsel çalışma amacıyla işlenmesi Kanun’da her ne kadar bir istisna olarak düzenlenmiş olsa da Rehber, bilimsel bir çalışmadan beklenen sonuca ulaşılması için zorunlu olduğu durumlarda genetik verilerin işlenmesinin yerinde olduğunu savunmaktadır.
  • Bilimsel amaçlarla genetik verilerin işlenmesi durumunda, veri sorumlularının gerekli güvenlik tedbirleri alması ve veri işleme sürecinde amaçla bağlantılı, sınırlı ve ölçülü olma ilkesi doğrultusunda hareket etmesi gerektiği belirtilmektedir.
  • Rehber uyarınca, bilimsel araştırmanın tamamlanmasının ardından, genetik verilerin saklanıp saklanmayacağı değerlendirilmeli ve saklanmaması durumunda imha politikasına uygun gerekli mekanizmalar inşa edilmelidir.
  1. Veri Sorumlularının Yükümlülükleri
  • Aydınlatma Yükümlülüğü

Rehber, Kanun’un veri sorumlusunun aydınlatma yükümlülüğünü düzenleyen 10. maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ’e ek olarak, genetik veri işleyen veri sorumlularının aşağıda sıralanan hususlar konusunda da ilgili kişiyi bilgilendirmeleri gerektiğinin altını çizmektedir:

  • Genetik verilerin önemi
  • Veri ihlali durumunda ortaya çıkabilecek riskler
  • Genetik verilerin hem ilgili kişiye hem de diğer aile fertlerine ilişkin verileri içermesi
  • Sicile Kayıt Yükümlülüğü

Rehber, genetik veri işleyen veri sorumlularının Veri Sorumluları Siciline (VERBIS) kayıt yükümlülüğü bulunduğunu hatırlatmaktadır.

  • Veri Koruma Yükümlülüğü

Rehber, genetik verilerin niteliğini ve işlenmesi durumunda ortaya çıkabilecek muhtemel riskleri değerlendirerek aşağıdaki teknik ve idari tedbirlere yer vermektedir:

  • Teknik Tedbirler:
    • Rehber, genetik verilerin bulut sistemlerinde tutulmasını sakıncalı bulmaktadır. Bununla birlikte, Rehber genetik verilerin bulut sistemleri vasıtasıyla işlenmesi durumunda aşağıdaki hususlara dikkat edilmesi gerektiğini belirtmektedir:
      • Bulutta depolanan verilerin kayıtları tutulmalıdır.
      • Verilerin bulut dışında yedekleri alınmalıdır.
      • Buluttaki verilere erişim konusunda iki kademeli kimlik doğrulama kontrolü uygulanmalıdır.
      • Veriler güncel teknolojiye uygun, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir.
      • Standartlaştırılmış ve güvenli kriptografik algoritma takımında yer alan algoritmaları barındıran uygulama, cihaz ve sistemler kullanılmalı ve bu algoritmalara yönelik endüstri standartları ve en iyi uygulama örnekleri dikkate alınmalıdır.
      • Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır.
      • Kriptografik anahtarlara erişim sadece yetki sahibi kleranslı (kripto güvenlik belgesi) personel ile sınırlandırılmalıdır.
      • Mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılmalıdır.
    • Kişisel verilerin işlenmesi sırasında kullanılan cihazların bakım ve onarımı veya iadesi gibi durumlarda, cihaz içindeki veri muhafaza üniteleri sökülerek alınmalı veya bütün veriler harddisk ortamında veri sorumlusuna teslim edilmelidir. Cihazlar ve sunucularda kişisel veri olmadığına dair cihaz sahibinden yazılı taahhütname alınmalıdır.
    • Veri işleme sistemi kurulmadan önce, sistem sentetik veriler kullanılarak test edilmelidir. Test sırasında gerçek veriler kullanılıyor ise veri minimizasyonu ilkesine uygun şekilde hareket edilmelidir. Bununla birlikte, veri sorumluları sisteme yetkisiz erişim durumunda, sistem yöneticisini uyaran, verileri koruma altına alan ve rapor veren önlemler almalıdır.
    • Veri sorumluları, sistemde sertifikalı cihazlar, güncel yazılımlar kullanmalı, yama yönetimi sağlamalı ve açık kaynak kodlu yazılımlar tercih etmelidir.
    • Veri sorumluları, sistem üzerinde kullanıcı işlemlerini izleyebilmeli ve kısıtlayabilmelidir. Sistem üzerinde gerçekleştirilen hareketlerin işlem kayıtları da düzenli bir şekilde tutulmalı ve korunmalıdır.
    • Sistemlerin donanımsal ve yazılımsal güvenlik testleri düzenli olarak yapılmalıdır.
  • İdari Tedbirler:
    • Veri işleme mekanizmaları, Avrupa Birliği Genel Veri Koruma Tüzüğü’nde (“GDPR”) düzenlenen ve bir ürünün/teknolojinin üretimine dair bütün süreçlerin gizlilik ve mahremiyet esasları önde tutularak tasarlanmasına ilişkin olan Mahremiyet Temelli Tasarım (Privacy by Design) ilkesine dayalı bir şekilde kurulmalı ve yönetilmelidir.
    • GDPR kapsamında düzenlenen Veri Koruma Etki Değerlendirmesi uygulanmalıdır.
    • Genetik verilere yalnızca eğitimli, akredite ve gizlilik sözleşmesi yapılmış personel tarafından erişilebilmelidir.
    • İşleme süreçlerine ilişkin işleme politikaları, acil durum prosedürleri ve raporlama mekanizmaları hazırlanması ve güvenli yedekleme sistemi kurulması gerekmektedir.
    • Veri sorumlularının veri işleyenlerle akdedecekleri sözleşmede ilgili güvenlik tedbirlerine yer verilmelidir.
  1. Kurum’un Öneri ve Tavsiyeleri

Kurum, genetik verilerin içerdiği bilgiler nedeniyle toplumu etkileme ve ulusal sonuçlar doğurma riskinin altını çizerek, genetik verilerin işlenme sürecinin belirli kural ve prosedürlere tabi olması gerektiğini ve ulusal önlemler alınmasının elzem olduğunu belirtmektedir.

Ek olarak, Rehber ulusal çapta alınabilecek tedbirleri aşağıdaki şekilde listelemektedir:

  • Genetik verilerin farklı işlenme amaçlarına göre farklı prosedürlerin ve kuralların uygulanmasının faydalı olacağı yer almaktadır. Örnek olarak Rehber, Genetik Hastalıklar Yönetmeliği kapsamında yurt dışına gönderilecek olan genetik veri içeren numuneleri kişisel veri olarak kabul ederek Kanun’un yurt dışına aktarım hükmü ve genel ilkeleri çerçevesinde değerlendirilmesi gerektiğini belirtmektedir.
  • Rehber, UNESCO Genel Konferansı’nın 16 Ekim 2003 tarihli İnsan Genetik Verileri Üzerine Uluslararası Bildirgesi’ne (International Declaration on Human Genetic Data) atıf yaparak, genetik veri içeren test ve araştırmaların yurt dışında yapılmasının zorunlu olduğu durumlarda mahremiyetin sağlanması ve genetik verilerin yalnızca toplanma amaçları dahilinde kullanılması konusunda gerekli önlemlerin alınması gerektiğinin altını çizmektedir.
  • Genetik verilere ilişkin test ve araştırmaların yurt içinde yapılması amacıyla ulusal laboratuvarların desteklenmesi gerektiğinin altı çizilmektedir.
  • Genetik verilerin yurt içinde barındırılması amacıyla idari düzenlemeler yapılması ve yerli, milli ve akredite bilişim altyapılarının desteklenmesi gerektiği belirtilmektedir.
  • Genetik verilerin işlenmesi ile ilgili olarak, toplumun bilgilendirilmesi sağlayacak şekilde şeffaflık, açıklık ve hesap verilebilirlik uygulamalarının geliştirilmesi gerektiği belirtilmektedir.
  • İlgili kişilerin talepleri söz konusu olduğunda, kuruluşlarda gerekli eğitimleri almış personel barındırılmasının önemli olduğunun altı çizilmektedir.

 

Yazarlar: Burak Özdağıstanli, Sümeyye Uçar, Begüm Alara Şahinkaya