info@srp-legal.com
Şakayıklı Sokak No:10 | Levent 34330 | İstanbul | Türkiye
 

Güncel BilgilerKişisel Verileri Koruma Kurulu Tarafından Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehberi 13.10.2023 tarihinde Yayımlandı.

30 Ekim 2023

Kişisel Verileri Koruma Kurumu (KVKK), genetik verilerin işlenmesi konusunda veri sorumluları ve ilgili kişiler için önemli bir kaynak niteliğinde olan Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber’i (“Rehber”) 13.10.2023 tarihinde yayımladı.

Rehberde, genetik verilerin tanımı, işleme amaçları, hukuki dayanakları, veri sorumlularının yükümlülükleri ve ilgili kişilerin hakları ve rehberin kapsamı gibi konulara yer veriliyor.

Kurul, Rehberde Genetik verilerin anonimleştirilemeyeceğine yönelik olarak: “Zira nasıl bir metot kullanılırsa kullanılsın, elde edilen veri ile ilgili kişi arasındaki irtibatı gerçekten kesmek mümkün değildir. yönünde ibare kullanılarak genetik verilerin anonim hale getirilmesinin mümkün olmadığının altı çizilmiştir.

Bu nedenle genetik verilerin işlenmesi sırasında gerekli teknik ve idari tedbirlerin alınmasına daha fazla dikkat edilmesi önem arz etmektedir.

Rehber, genetik verilerin işlenmesi konusunda veri sorumluları için önemli bir kaynak niteliğinde olup, veri sorumlularının genetik veri işlerken alması gereken teknik ve idari tedbirlere de geniş şekilde yer vermiştir.

Rehberde yer alan “Genetik Veri Güvenliği” başlıklı 8. Bölümde; Genetik veri işleyen veri sorumlularının, Kanun, yönetmelik, tebliğ ve Kurul kararlarında yer alan kişisel veri güvenliği ile ilgili hususlara dikkat etmelerinin zorunlu olduğu belirtilmiştir. Devamında ise veri sorumlularının alması gereken teknik ve idari tedbirler sıralanmıştır.  Bu kapsamda genetik veri işleyen veri sorumlularının uyması gereken başlıca tedbirler aşağıdaki gibidir:

Teknik Tedbirler:

  • Genetik verilerin bulut sistemlerinde tutulmaması tercih edilmelidir. Ancak genetik veri işleyen cihazlar içerisinde bulunan ham verilerin analiz programlarında işlenerek analiz edilebilir hale gelebilmesi için analiz programının bulunduğu sunucuya bağlanılmasının gerekli olduğu hallerde veriler bulut sistemleri vasıtasıyla işlenecekse; bulutta depolanan genetik verilerin neler olduğunun detaylıca kaydı tutulmalı, bulut dışında yedekleri alınmalı, buluttaki genetik verilere uzaktan erişim için iki kademeli kimlik doğrulama kontrolü uygulanmalıdır.
  • İşlenen ve muhafaza edilen genetik veriler güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir.
  • Kriptografik anahtarlara erişim sadece yetki sahibi kleranslı (kripto güvenlik belgesi) personel ile sınırlandırılmalıdır.
  • Cihazların bakım, onarım, tamirat vb. için yetkili firmalara teslimi veya kiralanmış cihazların ilgili firmalara iadesi durumunda cihaz üzerinde yer alan veri muhafaza üniteleri sökülerek alınmalı veya tüm veriler harddisk ortamında laboratuvara teslim edilmeli ve firmaya ait cihaz veya sunucuda veri olmadığına dair firmadan yazılı taahhütname alınmalıdır.
  • Veri sorumluları sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında mümkünse sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir.
  • Genetik veri işlenen sistemlerin donanımsal ve yazılımsal güvenlik testleri periyodik olarak yapılmalıdır.
  • 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi ve Genelge kapsamında Cumhurbaşkanlığı Dijital Dönüşüm Ofisi koordinasyonunda hazırlanan Bilgi ve İletişim Güvenliği Rehberi kapsamındaki tedbirlere riayet edilmesi gerekmektedir.

İdari Tedbirler

  • Kişisel veri güvenliğinin ve bilhassa genetik veri mahremiyetinin henüz tasarım aşamasında dikkate alınarak tüm mekanizmaların bu temelde öngörülerek hazırlandığı “Mahremiyet Temelli Tasarım” (Privacy by Design) esasına göre kurulması ve yönetilmesi gerekmektedir.
  • Genetik veriler; yetkili, konu ile ilgili eğitim almış ve kendisiyle gizlilik sözleşmeleri akdedilmiş personel dışında kimse tarafından erişilemeyecek şekilde muhafaza edilmelidir.
  • Kişisel Veri İşleme Envanteri hazırlanmalı ve Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) bildirimde bulunulmalıdır.

Kurul, ayrıca genetik verilerin işlenmesinin ne denli kritik olduğunu Rehberde vurgulamaktadır. Rehberde genetik verilerin işlenmesi ortaya çıkardığı bilgiler açısından son derece hassas bir veri hüviyetine sahip olduğu, toplumun tamamını da etkileyebilecek ulusal stratejik sonuçlara sebep olabileceği belirtilmiştir.

Bu kapsamda da genetik verilere ilişkin testlerin mümkün olduğunca yurt dışına gönderilmemesi amacıyla ulusal laboratuvarların desteklenmesi, gerekli yerli üretim tıbbî cihazların temini ve bu konuda ihtisaslı insan kaynağının güçlendirilmesi konusunda çalışmalar yapılması gibi tavsiyelerde bulunmuştur.

Rehberin tamamına aşağıdaki linkten ulaşabilirsiniz:

https://kvkk.gov.tr/SharedFolderServer/CMSFiles/f3ca871c-bdac-48b1-ace3-9d40dbe533d2.pdf

<<<
Ödeme Hizmetleri ve Elektronik Para Sektörüne İlişkin Önemli Mevzuat Değişiklikleri 7 Ekim 2023 tarihinde Resmi Gazete’de yayımlandı
>>>
Bilgi Teknolojileri ve İletişim Kurumu, “İnternet/TV ve Sabit Telefon Hizmetlerine İlişkin Bireysel Yeni Abonelik Tesisi Öncesinde Teyit İşlemleri Yapılması Hakkında Usul ve Esaslar’ın Resmî Gazete’de Yayımlanmasına Karar Verdi.