Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Taslak Rehber (“Taslak Rehber”) Kişisel Verileri Koruma Kurumu’nun (“Kurum”) resmi internet sitesinde 24.08.2022 tarihinde yayımlanmıştır. Taslak Rehber’e ilişkin görüş ve değerlendirmeler 24.09.2022 tarihine kadar yazı ile Kuruma ve/veya e-posta ile genetikveri@kvkk.gov.tr elektronik posta adresine gönderilebilecektir.
Genetik veri kavramı bugüne kadar yayımlanmış mevzuatta kapsamlı olarak tanımlanmamış olup Rehber Taslak içerisinde Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) içerisindeki tanıma yer verilmiştir. Bu kapsamda genetik veri “bir gerçek kişinin fizyoloji veya sağlığı ile ilgili eşsiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numunenin analizinden kaynaklanan ve söz konusu kişinin kalıtım yoluyla alınan veya kazanılan özelliklerine ilişkin kişisel veri” olarak tanımlanmıştır.
Taslak Rehber içerisinde genel olarak genetik verinin tam anlamıyla ve gerçekten anonim hale getirilmesinin mümkün olmadığı bu nedenle kimliksizleştirme kavramının kullanılması gerektiği belirtilmiştir.
Kişisel Verilerin Korunması Kanunu (“KVKK”) madde 6 kapsamında işlenecek genetik veriler yalnızca tıbbi teşhis ve tedavi amacıyla işlenmesi durumunda sağlık verisi kabul edilecektir.
Taslak Rehber içerisinde genetik verilerin ilgili kişilerin rızaları dahilinde tıbbi teşhis ve tedavi amaçlı zorunlu hallerde veya kişilerin tercihine bağlı olarak yurt dışına aktarılması üzerinde ayrıca durulmuştur. Bu kapsamda Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği’ne, Tıbbi Laboratuvarlar Yönetmeliği’ne ayrıca değinilmiştir. Bu çerçevede Genetik Hastalık Değerlendirme Merkezlerinin bağlı bulundukları kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerin veri sorumlusu sıfatına haiz olacağı ve genetik verilerin tutulduğu bulut sistemlerin veri işleyen sıfatına haiz olacağı belirtilmiştir.
Ayrıca, veri sorumlusunun KVKK madde 4’te ve 6’da yer alan şartlara uygun şekilde genetik verileri işleyebileceği belirtilmiştir.
Genetik veriler işlenirken aşağıdaki hususlara dikkat edilmesi gerekmektedir:
- Temel hak ve özgürlüklerin özüne dokunulmaması,
- Veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması,
- Veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması,
- Veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması,
- İşlenen genetik verilerin gereken süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin kişisel veri saklama ve imha politikasına uygun olarak imha edilmesi.
Genetik verilerin ilgili kişilerin açık rızası ile işlenmesi kapsamında ilgili kişiler aşağıdaki hususlarda açık ve ayrıntılı bir şekilde bilgilendirilmelidir.
- ilgili kişilerin karşılaşacakları neticeler,
- bu işleme faaliyetinin yalnızca kişilerin değil, ait olduğu soy bağına mensup kişilerin de kişisel verilerini içerme ihtimalini barındırdığı ve bu durumun taşıdığı riskler,
- yurt dışına aktarımın söz konusu olması halinde, genetik verilerin akıbetinin takip edilmesine ilişkin muhtemel zorluklar,
- yurt dışında yerleşik veri sorumlularının veri güvenliği konusunda barındırdığı riskler,
- yurt dışına aktarılan genetik verilerin 3. kişilere aktarılma ihtimali ve bu durumların yaratabileceği olumsuz sonuçlar.
Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kişisel Verileri Koruma Kurulunun izniyle yurt dışına aktarım mümkündür. Ayrıca, genetik verileri yurt dışında işleyen veri sorumluları tarafından gerekli teknik ve idari tedbirlerin alınmadığı ve Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceğinin değerlendirilmesi durumunda Kurul tarafından KVKK kapsamında önlemler alınabilecektir.
Ayrıca Taslak Rehber, genetik verilerin KVKK madde 28 kapsamında bilimsel amaçlarla işlenmesi durumunda işleme faaliyetinin gerçekleştirilmesi için belli kriterlere değinilmiştir. Bu kapsamda Kişisel Sağlık Verileri Hakkında Yönetmeliğin 16. maddesine uyulması, genetik verilerin işlenmesinin bilimsel araştırmadan beklenen sonuca ulaşılması için zorunlu olması, gerekli güvenlik tedbirlerinin sağlanması, kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine uygun hareket edilmesi ve tamamlanan bilimsel araştırmalar bakımından kişisel verilerin kişisel veri saklama ve imha politikasına uygun olarak imha edilmesine yönelik gerekli mekanizmanın sağlanması gerekmektedir.
Genetik veri işleyen veri sorumlularının; Kanun, yönetmelik, tebliğ ve Kişisel Verileri Koruma Kurulu kararlarında yer alan kişisel veri güvenliği ile ilgili hususlar yanında Taslak Rehber içerisinde tavsiye edilmiş tedbirlerin ve Kurulun 31.01.2018 tarihli ve 2018/10 sayılı kararında yer alan hususların da dikkate alınması gerektiği dile getirilmiştir.
Taslak Rehber’in tam metnine aşağıdaki linkten ulaşabilirsiniz.
https://kvkk.gov.tr/SharedFolderServer/CMSFiles/438e502e-93da-4ac9-82ff-0df0c2b010c2.pdf
