KVKK Bülteni Ağustos 2022

KİŞİSEL VERİLERİN KORUNMASI HUKUKU

Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ikincil mevzuatı yürürlük tarihinden bugüne güncellemesi sık yaşanan ve yaşayan bir hukuktur. Yalnızca Kanun, Yönetmelik ve Tebliğ ile değil, Kurul Kararları, İlke Kararları ve Kurul Karar Özetleri ile de veri koruma alanıyla ilgili birçok usul ve esas belirlenmektedir. Dolayısıyla aylık bültenlerimiz, Kişisel Verileri Koruma Kurulu (“Kurul”) uygulamalarından ilgililerini haberdar etmeyi ve güncelliği sağlamayı amaçlamaktadır.

Ağustos ayında Kurul tarafından “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı” Hakkında Kamuoyu Duyurusu ve Veri İhlal Bildirimleri yayımlanmıştır.

Kurulun 16.08.2022 tarih ve 2022/848 sayılı Kararı ile Rehber Taslağı’na ilişkin kamuoyunun görüşlerinin alınması öngörülmüş olup Rehber Taslağı’na ilişkin görüş ve değerlendirmelerin 24.09.2022 tarihine kadar yazı ile Kuruma ve/veya e-posta ile genetikveri@kvkk.gov.tr e-posta adresine gönderilmesi mümkündür.

VERİ İHLAL BİLDİRİMLERİ

“Veri güvenliğine ilişkin yükümlülükler” başlıklı KVKK m. 12/5. “İşlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde, veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirir. Kurul, gerekmesi hâlinde bu durumu, kendi internet sitesinde ya da uygun göreceği başka bir yöntemle ilan edebilir.” hükmünü amirdir.

2022 Ağustos ayında Kişisel Verileri Koruma Kurumu internet sitesi olan www.kvkk.gov.tr alan adlı sitede iki adet veri ihlal bildirimi yayınlanmıştır.

AstraZeneca İlaç Sanayi ve Ticaret Limited Şirketi

Veri sorumlusu tarafından Kurul’a iletilen veri ihlal bildiriminde; veri işleyen olarak hizmet veren ve çalışan adaylarının şirket bünyesindeki açık pozisyonlara iş başvurusu yapmalarına olanak sağlayan “Workday Limited” sisteminde ihlalin gerçekleştiği bildirilmiştir.

İlgili sistemde adayların kendi hesaplarına giriş yapmadan iş başvurusu gönderebilmelerinin söz konusu olduğu ve bu sistemin işleyebilmesi için Workday Limited’in kullanıcı oturumuna ilişkin verileri izlemek adına bir JavaScript değişkeni kullandığı belirtilmiş; bu değişkenin HTML kaynağına dahil edilmesinden dolayı değişken değerinin HTML kaynağını inceleyen harici kişiler tarafından da görülebilir hale geldiği tespit edilmiştir.

Bildirimde, bahsi geçen durum sebebiyle iş başvurusu yapan çalışan adaylarının kişisel verilerinin erişilebilir hale geldiğine, 13-14 Temmuz ve 20 Temmuz-1 Ağustos tarihleri arasında gerçekleşen ihlallerin 31 Temmuz’da tespit edildiğine, tahmini olarak yalnızca çalışan adayı kişi grubuna ait 981 kişinin ihlalden etkilendiğine yer verilmiştir.

İhlalden etkilenen kişisel verilerin ülke, isim, e-posta, telefon numarası, maaş beklentisi, mevcut maaş bilgisi, var ise “AstraZeneca” ile önceki iş ilişkisi bilgisi, vize durumu, mevcut veya önceki işveren ile ilgili kısıtlayıcı maddelerin ayrıntıları olduğunun tahmin edildiği; bununla birlikte çalışan adaylarının veri işleyen sistemi içerisinde ek olarak kişisel URL, iş deneyimi, eğitim, dil, yetenekler ve özgeçmiş verilerini sağlayabildiği de ayrıca vurgulanmıştır.

Güreli Yeminli Mali Müşavirlik ve Bağımsız Denetim Hizmetleri Anonim Şirketi

16 Temmuz’da başlayan veri ihlalinin, bilgi sistemleri sorumlusunun çalınan dosyalar için fidye istendiğine ilişkin metin dosyalarını fark etmesi üzerine 8 Ağustos’ta tespit edildiği; bu kapsamda ihlalin bir fidye yazılımı saldırısından kaynaklandığı, etkilenen kişi gruplarının potansiyel müşteriler ve müşterilerden ibaret olduğu ancak kişi sayısının tespit edilemediği Kurul’a bildirilmiştir.

Veri ihlal bildiriminde, ihlalden etkilenen kişisel verilerin kimlik, iletişim, finans veri kategorilerinde yer alan ve yeminli mali müşavirlik ile bağımsız denetim faaliyetleri kapsamında tüzel kişi müşterilerden talep edilen ticari verilerin içerisinde bulunan ad, soyad, e-posta adresi, telefon numarası, fatura ve ticari kayıtlar olabileceğinin tahmin edildiğine yer verilmiştir.

KAMUOYU DUYURUSU

“Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı” Hakkında Kamuoyu Duyurusu

GİRİŞ

KVKK ile özel nitelikli kişisel veriler arasında sayılan genetik veri, bugüne kadar yayımlanmış mevzuatta kapsamlı olarak tanımlanmamıştır. Avrupa Birliği Genel Veri Koruma Tüzüğü’nün (General Data Protection Regulation, “GDPR“) m. 4/13. fıkrasında yer alan “‘genetik veri’ bir gerçek kişinin fizyoloji veya sağlığı ile ilgili eşsiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numunenin analizinden kaynaklanan ve söz konusu kişinin kalıtım yoluyla alınan veya kazanılan özelliklerine ilişkin kişisel verilerdir” şeklindeki hüküm ile genetik verinin ne olduğu düzenlenmiştir.

Genetik veri canlıya ait genomdan hücre çekirdeğinden ya da mitokondrisinden kodlanan tüm DNA, RNA ve Protein diziliminden elde edilen bilgilerin tamamı ya da bir kısmıdır. Genetik veriler sadece bir Single Nükleotit Polimorfizm bilgisi olabileceği gibi çok kapsamlı tüm genom dizilimi bilgisi de olabilir. Bu veriler canlıdan elde edilmiş DNA ve/veya RNA’dan kalıtsal olan veya kalıtsal olmayan tüm genomik değişiklikleri kapsamaktadır.

Genetik verinin anlamlandırılabilir veya informatif olması için analiz edilmesi gerekmektedir. İlk olarak laboratuvar ortamına ulaşan örnekten DNA veya RNA eldesi yapılır, sonrasında ise bu DNA/RNA örneği hedeflenmiş çalışmaya göre diğer işlemlerden geçirilir ve bireyden elde edilen ham veriler analiz edilebilir hale gelir.

Ancak dikkat edilmesi gereken nokta; ham verilerin ve biyolojik örneklerin analiz edilmeden önce de değerli ve anlamlı olduğu ve bir gerçek kişiyi belirlenebilir kılma potansiyeli bulunduğudur. Bir diğer önemli nokta uygun saklama koşulları şartıyla DNA/RNA örneklerinden istenildiği zaman bireyin tüm genomik verilerine erişebilmesini sağlıyor olmasıdır.

Örneğin; 10 yıl önce genetik verisi çalışılmış olan bireyin DNA’sı halen saklanıyor olacağından yepyeni genetik teknolojiler ile 10 yıl önce elde edilmiş DNA’dan her türlü genetik test çalışılabilmektedir. Ölmüş kişilerden alınmış olunan numunelerin de yıllar sonra bir gerçek kişiyi belirlenebilir kılacak şekilde analiz edilmesi ihtimali de bulunduğu unutulmamalıdır.

Laboratuvara ister araştırma ister tanı amaçlı gönderilen her türlü doku ya da materyal o andan itibaren bilgi edinilebilir hale çok kolay getirilebilir. Bu açıdan biyolojik örnek toplayan tüm veri sorumlularının örneklerin güvenliğini sağlamak konusunda gerekli teknik ve idari tedbirleri alması gerekmektedir.

Bu noktada kanaatimizce çelişkili olan kısım ölmüş kişiye ait verinin kişisel veri kapsamına girip girmeyeceğidir. Kişisel verinin tanımında “kişiyi belirlenebilir kılan” denmesi ile kastedilenin gerçek kişiler olduğu bilinmekte ve ölüm hukuken kişiliği sonlandırmaktadır. Dolayısıyla taslakta yer verilen bu örneğin Türk Medeni Kanunu’nun kişiliğe ilişkin hükümlerine ters düştüğü yorumu yapılabilecektir.

İlgili kişi hakkında benzersiz bir veri sağlayan DNA örneklerinin, yani genel olarak genetik verinin tam anlamıyla ve gerçekten anonim hale getirilmesinin mümkün olup olmadığı bir tartışma konusudur. Zira nasıl bir metot kullanılırsa kullanılsın, elde edilen veri ile ilgili kişi arasındaki irtibatı gerçekten kesmek mümkün değildir. Bu nedenle genetik verilerin işlenmesi sırasında gerekli teknik ve idari tedbirlerin alınmasına daha fazla dikkat edilmesi önem arz etmektedir.

AMAÇ VE KAPSAM

Genetik veriler günümüzde pek çok alanda kullanılabilmektedir. Bu alanlardan en önemlisi sağlık alanında teşhis ve tedavi amaçlı olarak genetik analiz yapılmasıdır. Doğum öncesi ya da sonrasında hastalıkların teşhis ve tedavisi amacıyla hastaneler ya da tıbbi laboratuvarlar tarafından bu analizler yapılabilmekte ya da bu analizlerin yapılması amacıyla numuneler yurt dışına gönderilebilmektedir.

Genetik verinin kullanıldığı bir başka alan ise üst soy alt soy tespiti amacıyla yapılan analizlerdir. Bu tür analizler yasal işlemler gerçekleştirmek amacıyla yapılabilmekle birlikte doğrudan tüketiciye yönelik ticari amaçlı testler yolu ile kişilerin, bireysel olarak biyolojik örnek alarak analiz için ilgili şirketlere iletmesi ile de gerçekleşmektedir.

Bunlara ek olarak yine zorunlu haller dışında kişilerin tercihine bağlı olarak genetik veri işleme faaliyeti beslenme, spor ya da yetenek konusunda genetik yatkınlık v.b. amaçlarla da gerçekleştirilebilmektedir.

KVKK m. 6/3. fıkrasında, sağlık ve cinsel hayat dışındaki kişisel verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği hükme bağlandığından, genetik veriler açık rıza dışında kanunlarda öngörülen hallerde de işlenebilecektir. Öte yandan önemle belirtmek gerekir ki, genetik verilerin, yalnızca tıbbi teşhis ve tedavi amacıyla işlenmesi durumunda kişisel sağlık verisi olarak kabul edilmesi gerekmektedir. KVKK m. 4’te yer alan genel prensiplere uyma zorunluluğu burada da geçerli olacaktır.

Genetik verilerinin işlenmesi yalnızca ilgili kişilerin kendilerini değil, aralarında genetik irtibat olan akrabalarını, gelecek nesillerini ve hatta ulusal güvenlik ile ekonomiyi de etkileyebilecektir. Bu nedenle genetik verilerin yurt dışına aktarımı konusunda kişilerin temel hak ve özgürlüklerini de dikkate alarak çeşitli tedbirlerin alınması gerekmektedir.

Sağlık Bakanlığından alınan bilgiye göre gelişmiş ülkelerde uygulanan genetik yöntemlere ait testlerin çok büyük bir kısmı Türkiye’de yapılabilmektedir. Bu yöntemler arasında; Konvansiyonel DNA dizi analizi, Yeni Nesil DNA dizi analizi, Microarray, Dijital PCR, Real Time PCR, FISH, Kromozom analizi vb. gibi sık kullanılan yöntemler yer almaktadır.

Yine bu yöntemlerle çalışılan ancak ülkemizde henüz yeterli klinik kullanımı oluşturulmamış genişletilmiş kanser profilleme testleri, MRD (minimal rezidüel hastalık) tespiti gibi testler yer almakta olup, bunun dışında yine ülkemizde çok rahatlıkla yapılabilen likid biyopsi, NIPT (non invaziv prenatal testler) başta olmak üzere farklı testler de daha çok finansal amaçlarla yurt dışına gönderilmektedir.

VERİ SORUMLUSU İLE VERİ İŞLEYEN

Genetik hastalıkların teşhisine ve çeşitli hastalıkların tedavi yanıtına veya kişinin bir hastalıktan sorumlu bir gen taşıyıp taşımadığını belirlemeye ya da bir hastalığa genetik yatkınlığı veya hassasiyeti olup olmadığını ortaya çıkarmaya yönelik testlerin, sadece tıbbi gereklilik durumlarında veya tıbbi amaçlı bilimsel araştırmalar için ve uygun genetik danışmanlık hizmeti verilmesi şartıyla sadece Genetik Hastalıklar Değerlendirme Merkezlerinde yapılabileceği hüküm altına alınmıştır. Bu çerçevede Genetik Hastalık Değerlendirme Merkezlerinin bağlı bulundukları kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler (Bakanlık, üniversite, özel hukuk tüzel kişisi vb.) veri sorumlusu niteliğini haizdir. Genetik verilerin tutulduğu bulut sistemleri veri işleyen olarak değerlendirilebilecektir.

İLGİLİ KİŞİ

Genetik verilerin işlenmesi sürecinde yalnızca ilgili kişilerin kendilerinin değil, aralarında genetik irtibat olan akrabalarının da genetik verisinin işlenmesi durumu söz konusu olabilmektedir.

GENETİK VERİNİN İŞLENMESİ VE İLKELERİ

Veri sorumlusu, KVKK 4. maddesinde yer alan genel ilkelere ve 6. maddesinde düzenlenen şartlara uygun bir şekilde, ancak aşağıda yer alan ilkeler doğrultusunda genetik verileri işleyebilecektir

  • Temel hak ve özgürlüklerin özüne dokunulmaması

Kişisel verilerin korunması hakkının temel hak ve özgürlüklerden biri olması sebebiyle, genetik veri işleme faaliyetlerinin de Anayasa’da öngörülen temel hak ve özgürlükler bakımından temel güvencelere tabi olması gerektiği açıktır ve bu noktada ölçülülük hususu büyük önem arz etmektedir. Genetik veri işlenmesi yoluyla gerçekleştirilen kişisel veri işleme faaliyetlerinin hakkın özüne dokunulmaksızın, ölçülülük ilkesi ile uyumlu olarak ve veri güvenliğine ilişkin tedbirler alınmak suretiyle gerçekleştirilmesi gerekmektedir.

Bu anlamda, genetik verinin işlenmesinin amacının gerçekleştirilmesi için gerekli ve yeterli olan verilerin işlenmesi gerekmekte olup genetik veri işlemenin amacını aşan işleme faaliyetinden kaçınılmalıdır. İşlenen genetik verilerle, bu verilerin işlenme amacı arasında makul bir denge kurularak ölçülülük ilkesine riayet edilmeli ve mevcutta olmayan yahut gelecekte meydana gelmesi muhtemel olan amaçlar doğrultusunda genetik veri işlenmemelidir.

  • Faaliyetinin ulaşılmak istenen amaç için uygun olması

Genetik veri işleme faaliyeti ile hedeflenen neticenin gerçekleşmesi için elverişli nitelikte ve türde genetik veri işlenmeli ve bu genetik verilerin elde edilmesi bakımından elverişli yöntemler kullanılmalıdır. Genetik veri işleme amacı için elverişli olan kişisel verilerin işlenmesi esnasında, amacı gerçekleştirmek için elverişli miktar ve türde genetik veri elde edilmesinden sonra fazladan kişisel veri işlenmesi tercih edilmemelidir.

  • Yöntemin ulaşılmak istenen amaç bakımından gerekli olması

Genetik veri işleme amacının gerçekleştirilmesine yönelik kullanılan araçlar/yöntemler bakımından daha az müdahaleci herhangi bir alternatifin mevcut olması durumunda yahut daha az miktar ve türde genetik veri işlenmesinin mümkün olması halinde, gereklilik sınırını aşan müdahaleler kapsamında işlenen genetik veri bakımından hukuka uygun bir kişisel veri işleme faaliyetinden bahsedilemeyecektir.

  • Ulaşılmak istenilen amaç ve aracın arasında orantı bulunması

Genetik veri işleme faaliyetinde kullanılan araç ile genetik veri işlemenin amacı arasında ölçülü bir orantı bulunmalıdır. Kullanılan aracın ulaşılmak istenen amaç bakımından orantısız olmaması gerekmektedir. Genetik veri işleme noktasında, kişisel verilerin korunması hakkına gerçekleştirilen müdahalenin ağırlığı ile bu müdahaleyi haklı kılacak sebepler arasında ölçülülüğün bulunması gerekmektedir. Genetik veri işleme faaliyetinin amacının gerçekleştirilmesine yönelik olarak birden fazla aracın bulunduğu durumlarda en uygun olan aracın seçilmesi, orantılılığı ifade etmektedir.

  • Gereken süre kadar tutulması ve imha

KVKK m. 4/1/d bendinde yer alan ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi gereğince, kişisel verilerin işlenmesinde azami süre belirlenmelidir. Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliğinin “Kayıt Sistemi” başlıklı m. 24/4. fıkrasında bulunan; “Merkezde raporlar ve kayıtlar en az otuz yıl, elektronik kayıtlar yedekleme ile birlikte süresiz, numuneler ve lamlar bozulmayacak şekilde uygun şartlarda en az iki yıl süre ile muhafaza edilir.” hükmü yer almaktadır.

Genetik verilerin ne kadar süre boyunca muhafaza edileceği, nedenleri ile birlikte kişisel veri saklama ve imha politikasında veri sorumlusu tarafından açıklanmalıdır. Genetik veriler, işlenmelerine ilişkin amacın gerçekleştirilmesine yönelik olarak gereken süre kadar tutulmalıdır. Kullanılan genetik verilerin tutulmaya devam edilmesinin gerekip gerekmediğinin periyodik olarak ve dikkatli bir şekilde gözden geçirilmesi, tutulmasının gerekmediği kanaatine varılan genetik verilerin ise gecikmeksizin imha edilmesi gerekmektedir.

  • Genetik verilerin KVKK kapsamında işlenmesi

Genetik veri işlemek üzere verilen açık rızanın geçerli olması için, öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerekmektedir. Açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için neye rıza gösterdiğini de bilmesi; kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahibi olması gerekir. Mutlaka verinin işlenmesinden önce yapılması gerekir.

İlgili kişinin genetik veri işleme faaliyeti için verdiği açık rızası sonucunda işlenen genetik veriler başkaca amaçlarla kullanılmamalıdır. İlgili kişilerin aydınlatılması ve açık rızalarının alınması hususlarında en önemli kişilerin uzmanlaşmış sağlık çalışanları olduğu dikkate alındığında sağlık çalışanlarının başta gereklilik ilkesi olmak üzere KVKK ilkeleri çerçevesinde genetik verinin işlenmesi hususunu değerlendirerek ilgili kişileri aydınlatmaları gerekmektedir.

Açık rızanın geçerlilik kazanabilmesi için kişinin yaptığı davranışın bilincinde olması ve bu kararın kendi kararı olması gerekmektedir. Herhangi bir ürün ve/veya hizmetin sunumu ya da ürün ve/veya hizmetten yararlandırılması ilgili kişi tarafından açık rıza verilmesi şartına bağlanmamalıdır ve tarafların eşit konumda olmadığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerekmektedir.

Genetik verilerin herhangi bir tıbbi teşhis tedavi amacı dışında, kişilerin açık rızaları kapsamında soy/köken yahut akrabalık ilişkilerinin tespiti, sportif faaliyetlere ya da herhangi bir yeteneğe yatkınlığın belirlenmesi gibi çeşitli sebeplere yönelik ticari amaçlar için işlenmesi durumuna da rastlanmakta olup bu hususta kişilerin açık rızalarının KVKK’da tanımlandığı şekilde alınması önem arz etmektedir.

Genetik verilerin işlenmesi kapsamında ilgili kişilerin karşılaşacakları neticeler, bu işleme faaliyetinin yalnızca kişilerin değil, ait olduğu soy bağına mensup kişilerin de kişisel verilerini içerme ihtimalini barındırdığı ve bu durumun taşıdığı riskler, bilhassa yurt dışına aktarımın söz konusu olması halinde, genetik verilerin akıbetinin takip edilmesine ilişkin muhtemel zorluklar, yurt dışında yerleşik veri sorumlularının veri güvenliği konusunda barındırdığı riskler, bu kapsamda yurt dışına aktarılan genetik verilerin 3. kişilere aktarılma ihtimali gibi netlik arz etmeyen durumlar ve bu durumların yaratabileceği olumsuz sonuçlar bakımından ilgili kişi açık ve ayrıntılı bir şekilde bilgilendirilmelidir.

Genetik veriler; bir sağlık verisi olarak koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin gerçekleştirilmesi amacıyla KVKK m. 6/3. fıkrası kapsamında, sağlık gereklilikleri doğrultusunda yapılması zorunlu testler için ilgili kişilerin rızaları aranmadan da işlenebilmektedir. Verinin sağlık gerekçeleri ile işlenmesinin zorunlu olması en önemli kriterdir ve bu tür zorunlu veri işleme faaliyetlerinin yapılması hususunda yine ilgili kişilerin aydınlatılması gerekmektedir.

  • Kişisel verilerin yurt dışına aktarılması başlıklı m. 9’a göre

Genetik verilerin yurt dışına aktarılması için ilgili kişilerin açık rızalarının alınması suretiyle ya da KVKK m. 6 kapsamında kanunlarda öngörülme sebebi ile verilerin işlenmesi durumunda ise KVKK m. 9/2 (a) ve (b) bendlerinde yer alan koşulların bulunması gerekmekte olup diğer kanunlarda yer alan hükümler ise saklıdır. Uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kişisel Verileri Koruma Kurulunun izniyle yurt dışına aktarım mümkün olabilmekte olup genetik verileri yurt dışında işleyen veri sorumluları tarafından gerekli teknik ve idari tedbirlerin alınmadığı ve Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceğinin değerlendirilmesi durumunda Kurul tarafından KVKK kapsamında önlemler alınabilecektir.

  • KVKK m. 28/1/c kapsamında bilimsel amaçlarla işlenmesi
  • Kişisel Sağlık Verileri Hakkında Yönetmeliğin 16. maddesinde, sağlık verilerinin bilimsel araştırmalarda kullanımına ilişkin koşullar düzenlenmiştir. Tekil nitelikteki genetik verinin, veri sorumlusu tarafından kimliği belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesi ancak farklı bireylere ait çok sayıda bu tür verinin birleştirilmesi sonucu elde edilecek kümülatif varyant frekans listelerine dönüştürülmesi ile mümkündür ve bu listeler bilimsel araştırmalar kapsamında etik kurul izinleri alınması ve mevcut mevzuata uyulması suretiyle işlenebilmekte olup, bu tür çalışmaların mümkün olduğu ölçüde ilgili kişiyi belirlenebilir kılmayacak hale getirilmiş veriler üzerinden yürütülmesi, bunun için takma ad kullanımı gibi yöntemlerin kullanılması suretiyle kişisel veri güvenliğine ilişkin risklerin en aza indirilmesi,
  • Her ne kadar özel hayatın gizliliğini ve kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla genetik verilerin bilimsel amaçlarla kullanımı mümkün olsa da, bunun son çare olarak bilimsel araştırmadan beklenen sonuca ulaşılması için genetik verilerin işlenmesinin zorunlu olması halinde uygulanması,
  • Bilimsel araştırmalarda kullanılan genetik verilerin korunması bakımından, anayasal güvence altına alınan kişisel verilerin korunması hakkının ihlal edilmemesini teminen gerekli güvenlik tedbirlerinin sağlanması ve bu doğrultuda özellikle kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine uygun hareket edilmesi,
  • Tamamlanan bilimsel araştırmalar bakımından, kullanılan kişisel verilerin tutulmaya devam edilmesinin gerekip gerekmediğinin dikkatli bir şekilde değerlendirilerek, gerekmediği kanaatine varılması halinde bu kişisel verilerin kişisel veri saklama ve imha politikasına uygun olarak imha edilmesine yönelik gerekli mekanizmaların sağlanması gerekmektedir.

VERİ SORUMLULARININ YÜKÜMLÜLÜKLERİ

Genetik verilerin önemine binaen genetik veri işleyecek veri sorumlularının, hangi genetik verilerin hangi hukuki sebeple ve hangi amaçla toplandığı, bu verilerin önemi, ihlâl durumunda ortaya çıkabilecek sonuçların neler olabileceği (genetik verilerin işlenmesine yönelik riskler) hususlarına ilişkin olarak ilgili kişileri ayrıca aydınlatmalıdır. Genetik verilerin taşıdıkları önemden, bu verilerin mahiyetinden ve genetik veri sahibi ilgili kişinin ailesine ilişkin bilgileri de ihtiva etmesinden ötürü, aydınlatma yükümlülüğünün kapsamı genişletilerek genetik verisi işlenecek ilgili kişinin genetik veri işleme faaliyetinin gerekçelerini, neticelerini ve muhtemel risklerini anlayabileceği düzeyde bir ön danışmanlık, verinin ilk elde edilmesi sırasında veri sorumlusu ya da veri işleyen tarafından sağlanmalıdır.

Genetik verinin işlenmesinin sadece ilgili kişinin değil diğer aile fertlerinin de verisine erişimi sağlayabileceğini net bir şekilde anlaması sağlanmalıdır. Başkaca sorularının yahut kafa karışıklıklarının olması halinde, veri sorumlusu tarafından bu hususların netleştirilmesine ilişkin gerekli tüm işlemler yerine getirilmelidir.

Ana faaliyet konusu özel nitelikli kişisel veri işleme faaliyeti olduğundan Veri Sorumluları Sicili’ne kayıt yükümlülüğü gerekmektedir.

Bunun yanında veri sorumlularının yukarıda da bahsedildiği üzere her türlü teknik ve idari tedbiri almaktan sorumlu olduğu tekrarlanmalıdır.

GENETİK VERİ GÜVENLİĞİ

Genetik verilerin işlenmesine ilişkin teknik ve idari tedbirlere ayrıntılı olarak yer verilmiştir. Rehber Taslağı’nda mevzuatta yer alan ve bugüne kadar sayılmış tüm teknik ve idari tedbirlere ek olarak, özellikle “Özel Nitelikli Kişisel Verilerin n İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ” ile ilgili Kişisel Verileri Koruma Kurulunun 31/01/2018 Tarihli ve 2018/10 sayılı kararında yer alan hususlara dikkat edilmelidir denmekte ve ilave olarak sayılan teknik ve idari tebirlere Taslak’ta yer verilmektedir.

ÖNERİ VE TAVSİYELER

Genetik verilerin işlenmesi ortaya çıkardığı bilgiler açısından son derece hassas olup toplumun tamamını etkileyebilecek ulusal stratejik sonuçlara sebep olabilmektedir. Genetik verilerin işlenmesinin belirli kural ve prosedürlere bağlanması, bunun yanında toplumsal alanda da farkındalık oluşturulması gerekmektedir. Genetik verilerinin işlenmesi yalnızca bireyi değil, aralarında genetik irtibat olan akrabalarını, gelecek nesillerini ve hatta ulusal güvenlik ile ekonomiyi de etkileyebilecektir.

“Biyoteknoloji” ve “Biyoekonomi” gibi terimlerle ifade edilen iktisadî sektör; özellikle sağlık, tarım, biyoenerji gibi alanlarda yüksek verimle ekonomik çıktı üretebiliyor olmakla birlikte ana ekonomik girdi olarak “genetik veri”yi kullandığından, yüksek inovasyon kapasitesine sahip söz konusu sektörün ve diğer genetik veri işleme faaliyetlerini içeren ARGE çalışmalarının maruz kalabileceği veri ihlâli risklerinin yönetilebilmesi, her ülke için ulusal güvenlik ve ekonomik çıkarlar bakımından yüksek öncelikli bir mesele olarak görülmektedir.

Rehber Taslağı’nda Kurul tarafından ulusal çapta alınabileceği değerlendirilen tedbirlere de yer verilmektedir.

Yazar Hakkında

kamilko

GRC Legal

PDF olarak indir
Dünyada Neler Oluyor I
Türk Dili ve Parası Hakkında Bilgi Notu