Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber

GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER

  1. GİRİŞ

6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 6’ncı maddesi ile özel nitelikli kişisel veri olarak belirlenen genetik veri, bugüne kadar mevzuatımızda tanımlanmamakla birlikte Avrupa Birliği Genel Veri Koruma Tüzüğü (“General Data Protection Regulation, “GDPR”) madde 4/13 ile  bir gerçek kişinin fizyoloji veya sağlığı ile ilgili eşsiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numunenin analizinden kaynaklanan ve söz konusu kişinin kalıtım yoluyla alınan veya kazanılan özelliklerine ilişkin kişisel veriler olarak hükme bağlanmıştır.

Kişisel Verileri Koruma Kurumu, 13.10.2023 tarihinde yayımladığı Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber (“Rehber”) ile veri işleme sürecini, genetik verilerin işlenmesi ve ilkeleri, veri sorumlusunun yükümlülükleri ve genetik veri güvenliği başlıkları kapsamında ele alarak ilgili kişilere ve veri sorumlularına yol göstermeyi hedeflemektedir.

  1. GENETİK VERİLER KAPSAMINDA VERİ SORUMLUSU – VERİ İŞLEYEN – İLGİLİ KİŞİ KAVRAMLARI

Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği (“Yönetmelik”) uyarınca genetik hastalıkların teşhisine ve çeşitli hastalıkların tedavi yanıtına veya kişinin bir hastalıktan sorumlu bir gen taşıyıp taşımadığını belirlemeye ya da bir hastalığa genetik yatkınlığı veya hassasiyeti olup olmadığını ortaya çıkarmaya yönelik testlerin, sadece tıbbi gereklilik durumlarında veya tıbbi amaçlı bilimsel araştırmalar için ve uygun genetik danışmanlık hizmeti verilmesi şartıyla sadece Genetik Hastalıklar Değerlendirme Merkezlerinde yapılabileceği hüküm altına alınmıştır. Bu kapsamda genetik veri işleme faaliyeti nezdinde ilgili bünyeler değerlendirildiğinde;

 

Veri Sorumluları: Genetik Hastalıkları Değerlendirme Merkezlerinin bağlı bulunduğu gerçek ve tüzel kişiler (Bakanlıklar, Üniversiteler, Özel Hukuk Tüzel Kişileri) veri sorumlusu,                      

Veri İşleyen: Genetik verilerin tutulduğu bulut sistemler veri işleyen,

İlgili Kişiler: Genetik verileri işlenen gerçek kişiler + Genetik verilerin işlenmesi sürecinde aralarında genetik irtibat olan akrabaları ise ilgili kişi noktasında örnek olarak karşımıza çıkabilecektir.   

Öte yandan sayılanlarla sınırlı olmamak üzere, genetik veri analizi yapmasa dahi ilgili kişilerin genetik bilgilerine sahip olabilecek eğitim ve rehabilitasyon merkezleri, belediyeler, sağlık hizmetleri sunan kurum ve kuruluşlar, kamu kurum ve kuruluşları, sigorta şirketleri vb. gerçek ve tüzel kişilerin de somut olay bazında Kanun’da yer alan veri sorumlusu ya da veri işleyen tanımları kapsamında değerlendirilmesi gerektiğinin hatırlatılmasında fayda görülmektedir.

  1. GENETİK VERİLERİN İŞLENMESİ VE İLKELERİ

Genetik Verilerin İşlenmesi Sırasında Dikkate Alınacak İlkeler

Rehber ile veri sorumlusunun, Kanun’un 4’üncü maddesinde yer alan genel ilkeler ile 6’ncı maddesinde düzenlenen şartların yanı sıra aşağıda yer alan ilkeler doğrultusunda genetik veri işleyebileceği belirtilmiştir:

  • Temel hak ve özgürlüklerin özüne dokunulmaması: Kişisel verilerin korunması hakkının Türkiye Cumhuriyeti Anayasası ile düzenlenen temel hak ve özgürlüklerden biri olması sebebiyle genetik veri işlenmesi yoluyla gerçekleştirilen kişisel veri işleme faaliyetinin hakkın özünü dokunulmaksızın, ölçülülük ilkesi ile uyumlu olarak gerçekleştirilmesi gerekmektedir.
  • Genetik veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması: Anayasa Mahkemesi’nin 28.09.2017 tarihli ve E.2016/125, K.2017/143 sayılı kararında elverişlilik, “getirilen kuralın ulaşılmak istenen amaç için elverişli olması” şeklinde tanımlanmıştır.
    Genetik veri işleme esnasında, amacı gerçekleştirmek için elverişli miktar ve türde genetik veri elde edilmesinden sonra fazladan kişisel veri işleme yoluna gidilmemelidir.
  • Genetik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması: Anayasa Mahkemesi’nin 09.2017 tarihli ve E.2016/125, K.2017/143 sayılı kararı uyarınca gereklilik, getirilen kuralın ulaşılmak istenen amaç bakımından gerekli olmasını ifade etmektedir. Bu doğrultuda, aynı amacın gerçekleşmesine olanak tanıyan birden fazla aracın/yöntemin olması durumunda bunlar arasından en az müdahaleci olan araç/yöntem seçilmelidir.
  • Genetik veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması: Anayasa Mahkemesi’nin 09.2017 tarihli ve E.2016/125, K.2017/143 sayılı kararı ile orantılılık, “getirilen kural ile ulaşılmak istenen amaç arasında olması gereken ölçü” olarak ifade edilmiştir. Genetik veri işleme faaliyetinin amacın gerçekleştirilmesine yönelik olarak birden fazla aracın bulunduğu durumlarda en uygun aracın seçilmesi orantılılığı ifade etmektedir.
  • İşlenen genetik verilerin gereken süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin kişisel veri saklama ve imha politikasına uygun olarak imha edilmesi: Kanun’da yer alan genel ilkeler kapsamında kişisel veriler, ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir. [1] Söz konusu verilerin ne kadar süre boyunca muhafaza edileceği, nedenleri ile kişisel veri saklama ve imha politikasında veri sorumlusu tarafından açıklanmalıdır.

Genetik Verilerin Kanun Kapsamında İşlenmesi

Kanun’un 6.maddesi uyarınca genetik verilerin kanunlarda gösterilen hâllerle sınırlı olmak üzere, ilgili kişilerin açık rızaları olmaksızın işlenmeleri mümkün olacaktır.  

Buna ek olarak, genetik verilerin sadece sağlık gerekçeleri ile işlenmesi amacının bulunması durumunda, anılan maddenin (3) numaralı fıkrasında sağlık ve cinsel hayata dair verilerin işlenme şartı olarak sayılan; yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenmesi durumunda, genetik veri sıfatları baki olsa da kişisel sağlık verisi işleme şartlarına tâbi olarak, sadece sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ya da kuruluşlar tarafından işlenmeleri mümkündür.

Her ne kadar genetik veriler, Kanun’da yer alan tanımlama kapsamında sağlık ya da cinsel hayata dair verilerden ayrı olarak sayılıyor olsa da Rehber ile genetik verilerin sadece sağlık gerekçeleri kapsamında işlenmesi amacının bulunması durumunda ilgili işlemenin Kanun’un 6/3. maddesi kapsamında değerlendirilebileceği belirtilmiş olup yer yer Kişisel Sağlık Verileri Hakkında Yönetmelik’e de atıflar yapılması oldukça önemli bir değerlendirmedir. Bu çerçevede genetik veriler, hem sağlık verilerinin aksine kanunlarda açıkça öngörülen hallerde kişilerden açık rıza temin edilmesi aranmaksızın işlenebilecek hem de sürecin niteliğine göre sağlık verisi olarak da kategorize edilerek sağlık verilerinin işlenme şartlarına da tabi olabilecektir.

Genetik Verilerin Yurt Dışına Aktarılması

Kanun’un 9. maddesi çerçevesinde genetik verilerin yurt dışına aktarılması için ya ilgili kişilerin açık rızalarının alınması ya da Kanun’un 6. maddesi kapsamında kanunlarda öngörülme sebebi ile kişisel verilerin işlenmesi durumunda ise Kanun’un madde 9/2-a ve b bentlerinde yer alan koşulların bulunması gerekmekte olup diğer kanunlarda yer alan hükümler ise saklıdır.

Kanun’un 28’inci Maddesi Kapsamında İstisnalar

Kanun’un “İstisnalar” başlıklı 28’inci maddesi, Kanun’un uygulanmayacağı halleri düzenlemekte olup ilgili maddenin (c) bendi “Kişisel verilerin … bilimsel amaçlarla … işlenmesi” hükmünü amirdir. Bu kapsamda, genetik verileri işleme faaliyetinin aşağıdaki kriterlere uygun yürütülmesi gerekmektedir:

  • Farklı bireylere ait çok sayıda tekil nitelikle genetik verinin birleştirilip kümülatif varyant frekans listelerine dönüştürülmesi suretiyle gerçek kişiyle ilişkilendirilemeyecek hale getirilmesi,
  • Genetik verinin, bilimsel araştırmadan beklenen sonuca ulaşılması için son çare olarak işlenmesinin zorunlu olması,
  • Gerekli güvenlik tedbirlerinin sağlanması ile kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkelerine uygun hareket edilmesi,
  • Kullanılan kişisel verilerin muhafazasına devam edilmesi gerekliliğinin dikkatli bir şekilde değerlendirilmesi ve ilgili verilerin muhafazasına devam edilmemesi gerektiği kanaatine ulaşılır ise verilerin kişisel veri saklama ve imha politikasına uygun olarak imha edilmesine yönelik gerekli mekanizmaların sağlanması.

  1. VERİ SORUMLULARININ YÜKÜMLÜLÜKLERİ

Aydınlatma Yükümlülüğü

Kanun ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve Esaslar Hakkında Tebliğ (“Tebliğ”) uyarınca veri sorumluları veya yetkilendirdiği kişiler, ilgili kişileri kişisel verilerin elde edilmesi sırasında aydınlatmak ile yükümlüdür. Rehber’de, Tebliğ’in 4.madddesi ile hüküm altına alınan bilgilendirmede yer alması gereken asgari unsurların (veri sorumlusunun ve varsa temsilcisinin kimliği, kişisel verilerin hangi amaçla işleneceği, kişisel verilerin kimlere ve hangi amaçla aktarılabileceği, kişisel veri toplamanın yöntemi, hukuki sebebi ve ilgili kişi hakları) yanı sıra, genetik verilerin önemi ve ihlali durumunda ortaya çıkabilecek sonuçların neler olabileceği hususlarının da ayrıca belirtilmesi gerektiği ifade edilmiştir.

Buna ek olarak; veri sorumluları ya da veri işleyenler tarafından genetik verilerin ilgili kişinin ailesine ilişkin bilgileri de içermesi nedeniyle aydınlatma yükümlülüğünün kapsamının genişletilerek genetik verileri işlenen ilgili kişilerin veri işleme faaliyetinin gerekçeleri, neticeleri ve muhtemel risklerini anlayabileceği bir ön danışmanlığın sağlanması gerektiği belirtilmiştir. Dolayısıyla, genetik verinin işlenmesinin sadece ilgili kişinin kendisinin değil, diğer aile fertlerinin de verisine erişimi sağlayabileceğini net bir şekilde anlaması sağlanmalıdır.

Kanun uyarınca, ilgili kişileri aydınlatmak ile yükümlü kişiler veri sorumluları iken; veri işleyenler yetkilendirildikleri kişisel veriler bakımından ilgili verileri başkalarına açıklamama ve işleme amacı dışında kullanmama yükümlülüğü altındadır. Bununla birlikte, Rehber’in genetik veriler kapsamında veri sorumlularının yanı sıra veri işleyen sıfatını haiz kişilere de bir ön danışmanlık yükümlülüğü getirdiği görülmektedir. Genetik verilerin etki alanı göz önünde bulundurulduğunda, aydınlatma kapsamının ve getirilen yükümlülüklerin genişletilmesi kişisel verilerin korunması mevzuatının hizmet ettiği amaç doğrultusunda oldukça yerinde bir tutum olarak değerlendirilmektedir. Ancak, genetik veri işleme faaliyeti ile ilgili kişilere, aile fertlerinin de verilerine erişim sağlanabileceği bilgisinin verilmesinin aynı amaca hizmet edip etmediği tartışılabilecektir. Genetik verinin işlenmesi neticesinde kişinin aile fertlerine/akrabalarına ilişkin verilere de haiz olunması bu kişileri de ilgili kişi konumuna getirebileceğinden, aile fertleri de dahil her ilgili kişi olarak değerlendirilen kişinin genetik verilerinin işlenmesi sürecine yönelik aydınlatılmaları en ideal senaryo olarak gözükse de uygulanabilirliği soru işaretlerini doğurmaktadır.

Veri Sorumluları Siciline Kayıt Yükümlülüğü

Kanun’un 16. maddesi uyarınca, 06.07.2023 tarihli ve 2023/1154 sayılı Karar kapsamındaki kriterleri taşıyan veri sorumluları, veri işleme faaliyetlerine başlamadan önce Veri Sorumluları Sicili’ne kaydolmakla yükümlüdür. Bununla birlikte; ana faaliyet konusu özel nitelikli kişisel veri işlemek olan veri sorumluları istisna olmaksızın Veri Sorumluları Sicili’ne kaydolması zorunludur.

Genetik Veri Güvenliği

Genetik veri güvenliği, verinin mahiyeti gereği veri sorumluları için büyük bir öneme sahiptir. Genetik veriler özel nitelikli kişisel veri kategorisinde kabul edildiğinden verinin güvenli bir şekilde işlenmesi, saklanması ve gerekli tedbirlerin alınması konusunda daha hassas yaklaşılması gerekmektedir. Bu açıdan özellikle Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından yayımlanan 31/01/2016 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” göz önünde bulundurulmalıdır.

Veri sorumlularının, bahse konu mevzuat ve rehberlerdeki kişisel veri güvenliği tedbirlerine ilaveten genetik veri işleme hususunda aşağıda yer verilen tedbirleri de alması önemle tavsiye edilmektedir.

GENETİK VERİ İŞLEME FAALİYETİ KAPSAMINDA

GÜVENLİK TEDBİRLERİ

İDARİ TEDBİRLER

TEKNİK TEDBİRLER

Kişisel veri güvenliğinin ve bilhassa genetik veri mahremiyetinin henüz tasarım aşamasında dikkate alınarak tüm mekanizmaların bu temelde öngörülerek hazırlandığı “Mahremiyet Temelli Tasarım” (Privacy by Design) esasına göre kurulması ve yönetilmesi gerekmektedir. Hâlihazırda mevzuatımızda bulunmayan bir kavram olsa da bu ilkeye uyum sağlanması hâlinde, veri sorumlularının teknik ve idari tedbirleri alma yükümlülüğünü daha kolay ve başarılı bir şekilde yerine getirebileceği değerlendirilmiştir.

Genetik verilerin bulut sistemlerinde tutulmaması tercih edilmelidir. Ancak genetik veri işleyen cihazlar içerisinde bulunan ham verilerin analiz programlarında işlenerek analiz edilebilir hale gelebilmesi için analiz programının bulunduğu sunucuya bağlanılmasının gerekli olduğu hallerde veriler bulut sistemleri vasıtasıyla işlenecekse; bulutta depolanan genetik verilerin neler olduğunun detaylıca kaydı tutulmalı, bulut dışında yedekleri alınmalı, buluttaki genetik verilere uzaktan erişim için iki kademeli kimlik doğrulama kontrolü uygulanmalıdır. Genetik veriler güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir. Kriptografik anahtarlara erişim sadece yetki sahibi kleranslı (kripto güvenlik belgesi) personel ile sınırlandırılmalıdır.

Genetik verilere dair veri işleme faaliyetlerine ilişkin kurum içi rastgele ve periyodik denetimler ile risk analizleri vasıtasıyla veri sorumlusu, olası bir veri ihlâline karşı hazırlık durumunu sürekli olarak ölçmeli ve izlemelidir.

Genetik veri işleyen veri sorumluları tarafından, verilerin niteliği ve veri işlemenin ilgili kişi açısından oluşturacağı muhtemel risklerle ilgili olarak Veri Koruma Etki Değerlendirmesi uygulanmalıdır.

Cihazların bakım, onarım, tamirat vb. için yetkili firmalara teslimi veya kiralanmış cihazların ilgili firmalara iadesi durumunda cihaz üzerinde yer alan veri muhafaza üniteleri sökülerek alınmalı veya tüm veriler harddisk ortamında laboratuvara teslim edilmeli ve firmaya ait cihaz veya sunucuda veri olmadığına dair firmadan yazılı taahhütname alınmalıdır.

Kişisel Veri İşleme Envanteri hazırlanmalı ve Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) bildirimde bulunulmalıdır.

Genetik veri işleme süreçlerinde veri sorumlusu tarafından bir amaç doğrultusunda veri işleyen tercih edilmesi durumunda; veri işleyenlerle yapılacak hizmet sözleşmelerinde gerekli görülen güvenlik tedbirlerine yer verilmeli ve tercih edilecek veri işleyen nezdinde gerekli teknik ve idari tedbirlerin sağlanıp sağlanmadığı hususunda belirli periyotlarla denetimler yapılmalı veya yaptırılmalıdır.

Veri sorumluları genetik veri işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir. Genetik veri işlenen program/sistem üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları ayrı bir sistemde, düzenli olarak tutulmalı ve güvenli bir şekilde korunmalıdır. İşlem kayıt sisteminden sorumlu yönetici ile diğer sistemlerden sorumlu kişilerin farklı kişiler olmasına dikkat edilmelidir.

Genetik veriler; yetkili, konu ile ilgili eğitim almış ve kendisiyle gizlilik sözleşmeleri akdedilmiş personel dışında kimse tarafından erişilemeyecek şekilde muhafaza edilmelidir.

Genetik veri işlenen sistemlerin donanımsal ve yazılımsal güvenlik testleri periyodik olarak yapılmalıdır. Sistemlerde gerçekleştirilen değişiklikler gerekli güvenlik testleri yapıldıktan sonra devreye alınmalıdır.

Genetik veri işleme süreçlerine ilişkin ayrı işleme politikaları, acil durum prosedürleri ve raporlama mekanizmaları oluşturulmalıdır. Elektronik ortamdaki genetik veriler, güvenli yedekleme sistemiyle düzenli olarak yedeklenmelidir. Veri seti yedekleri mutlaka ağ dışında tutulmalıdır.

Veri sorumluları sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, yama yönetimi sağlamalı, mümkün olduğunca açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır.

Genetik verilerin işlenmesini içeren veri işleme faaliyetleri öncesinde ilgili kişiler, Kanun’un 10’uncu maddesi ve Tebliğ hükümleri uyarınca geçerli aydınlatma metinleri vasıtasıyla detaylı bir şekilde bilgilendirilmeli ve gerekmesi hâlinde ilgili kişinin açık rızası, alınmalıdır. İlgili kişilerin genetik verilerinin yalnızca açık rıza alınan kişisel veri işleme faaliyetine ilişkin olarak kullanılabileceği, bu verilerin elde edilmesinden başka bir amaçla kullanılması durumunda ilgili kişiye yeniden aydınlatma yapılarak açık rıza temin edilmesinin gerekli olduğu da unutulmamalıdır.

Veri sorumluları sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında mümkünse sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir. Veri sorumluları, yetkisiz erişim denemeleri ve gerekli tüm güvenlik tedbirlerinin alınmasına karşın sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz eden ve/veya genetik verileri koruma altına alan ve rapor veren önlemler uygulamalıdır.

2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi ve Genelge kapsamında Cumhurbaşkanlığı Dijital Dönüşüm Ofisi koordinasyonunda hazırlanan Bilgi ve İletişim Güvenliği Rehberi kapsamındaki tedbirlere riayet edilmesi gerektiği değerlendirilmektedir.

Yukarıda sayılan bütün bu ilkelerin ve kriterlerin sağlandığı hususu, veri sorumlusu tarafından kayıt altına alınıp belgelendirilmelidir ve kamuoyuna açıklanmalıdır.

ÖNERİLER VE TAVSİYELER     

Genetik verilerin işlenmesi ortaya çıkardığı bilginin niteliği açısından son derece hassas bir veri hüviyetine sahip olup toplumun tamamını da etkileyebilecek ulusal stratejik sonuçlara sebep olabilmektedir. Bu nedenle genetik verilerin işlenmesinin belirli kural ve prosedürlere bağlanması, bunun yanında toplumsal alanda da farkındalık oluşturulması önem arz etmektedir. Zira ilgili kişilerin genetik verilerinin işlenmesi yalnızca kendilerini değil, aralarında genetik irtibat olan akrabalarını, gelecek nesillerini ve hatta ulusal güvenlik ile ekonomiyi de etkileyebilecektir.

Özellikle sağlık, tarım, biyoenerji gibi alanlarda yüksek verimle ekonomik çıktı üretebiliyor olmakla birlikte iktisadi sektörün ana ekonomik girdi olarak genetik veriyi kullandığını göz önünde bulunduran Rehber, veri ihlali risklerinin yönetilebilmesi adına Kurul tarafından ulusal çapta alınabileceği değerlendirilen birtakım öneri ve tedbirlere de yer vermiştir:

  • Genetik verilerin işlenme amaçlarının farklılık göstermesi nedeniyle prosedürlerin ve kuralların işleme amaçlarına göre ele alınması faydalı olabilecektir. Örneğin Yönetmelik’in 25/2. maddesi uyarınca yurt dışına gönderilen numunenin Kanun’un 4. ve 9. maddesi kapsamında daha detaylı bir düzenlemeye tabi tutulabileceği değerlendirilmektedir.
  • Genetik veri ihtiva eden testlerin veya araştırmaların yurt dışında yapılması zorunluluğu karşısında; bilimsel araştırma ya da tetkik amaçlarıyla işlenen genetik verilerin, UNESCO Genel Konferansı’nın 16 Ekim 2003 tarihli İnsan Genetik Verileri Uluslararası Bildirgesinde belirtildiği üzere mahremiyetinin sağlanması ve elde edilen genetik verilerin, toplanma amaçları dışında başka maksatlarla kullanılmasının engellenmesi konularında gerekli önlemlerin alınması gerekmektedir.
  • Genetik verilere ilişkin testlerin mümkün olduğunca yurt dışına gönderilmemesi amacıyla ulusal laboratuvarların desteklenip gerekli yerli üretim tıbbî cihazların temini ve bu konuda ihtisaslı insan kaynağının güçlendirilmesi konusunda çalışmalar yapılabilecektir.
  • Genetik verilerin yurt içinde depolanması için gerekli idarî düzenlemeler yapılarak bunu mümkün kılacak yerli, millî ve akredite bilişim altyapı çalışmaları desteklenebilecektir.
  • Bilimsel amaçlarla kullanılmak üzere ulusal genetik veri bankacılığı geliştirilerek genetik veri saklama merkezinin oluşturulması teşvik edilebilecektir.
  • Bu alanda yürütülen araştırma ve çalışmalar da dahil, genetik verilerin işlenmesi esnasında; şeffaflık, açıklık ve hesap verebilirlik uygulamalarının geliştirilmesi teşvik edilebilecektir.
  • Genetik verilerin işlenmesini gerektirecek araştırma veya test faaliyeti yürüten kuruluşların, ilgili kişilere, elde ettikleri kişisel veriler hakkında bilgilendirmede bulunan ve ilgili kişilerden gelecek taleplerin çözümünü sağlayan kişisel verilerin korunması alanında gerekli eğitimleri almış personeli ihtiva eden bir biriminin bulunması ya da bu işlevin sağlık kuruluşları bünyesinde bulunan ve yine kişisel verilerin korunması alanında gerekli eğitimleri almış personeli ihtiva eden personel görevlendirmek sureti ile “Hasta Hakları Birimi”nce yerine getirilmesi söz konusu olabilecektir.
  • İlgili kişilerin, kendilerine ait genetik verilerin yurt dışına gönderilmesi durumunda doğabilecek sonuçlar hakkında bilgilendirilerek toplumsal farkındalık kamu spotu, toplantılar gibi yöntemlerle arttırılabilecek ve bu suretle yurt dışına genetik verilerini gönderen kişilerin sayısında düşüş sağlanabilecektir.

  1. GRC LEGAL YORUMU

Genetik verilerin işlenmesi ve korunması hem bireysel mahremiyet hem de ulusal güvenlik ve ekonomik çıkarlar açısından büyük önem taşımaktadır. Bu doğrultuda, genetik verilerin işlenmesi ve muhafaza edilmesi kişisel verilerin korunması mevzuatının yanı sıra genetik veriye temas eden mevzuat uyarınca da bütüncül bir göz ile ele alınmalıdır. Buna ek olarak, Rehber ile bahsi geçen her türlü teknik ve idari tedbirin veri sorumluları tarafından göz önünde bulundurulması ve yasal yükümlülüklere riayet edilmesi gerekmektedir.

Mahiyeti gereği yüksek korumayı gerektiren genetik veriler özelinde yayımlanan bu Rehber’in, yalnızca mevzuatımızda yer alan düzenlemeleri değil; aynı zamanda GDPR ile hüküm altına alınan Veri Koruma Etki Değerlendirmesi ve Mahremiyet Temelli Tasarım kavramlarını ihtiva ediyor olmasından hareketle Türk Hukuku’nu Avrupa Birliği mevzuatına uyum sürecinde desteklediği ve kişisel verilere dair farkındalığın ve bilincin arttığı bu dönemde pek çok yol gösterici yönlendirmelerde bulunduğu söylenebilecektir.  

[1] Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliğinin “Kayıt Sistemi” başlıklı 24’üncü maddesinin dördüncü fıkrasında bulunan; “Merkezde raporlar ve kayıtlar en az otuz yıl, elektronik kayıtlar yedekleme ile birlikte süresiz, numuneler ve lamlar bozulmayacak şekilde uygun şartlarda en az iki yıl süre ile muhafaza edilir.” hükmü yer almaktadır.

Yazar Hakkında

znaztopaloglu

Zeynep Naz Topaloğlu

PDF olarak indir

Akademi Kategorileri

Sosyal Medya Üzerinden Gönderilen Mesajların Delil Niteliği
12.10.2023 Tarih ve 2020-7518 Başvuru Numaralı AYM Kararı