Ekim ayında Kişisel Verileri Koruma Kurumu ("Kurum") tarafından genetik verilerin işlenmesi süreçlerinde kişisel veri güvenliğine dikkat çekmek ve veri sorumlularına yol göstermek için bir rehber yayımlandı.
Kişisel verilerin korunması hukuku kapsamında ilk defa detaylı şekilde genetik veri tanımı ve genetik veri işleme süreçlerinde dikkat edilmesi gereken hususların belirtildiği Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber'in ("Rehber") özetini aşağıda sizler için hazırladık.
Genetik Veri Nedir?
Rehber kapsamında genetik veri: "Canlıya ait genomdan hücre çekirdeğinden ya da mitokondrisinden kodlanan tüm DNA, RNA ve Protein diziliminden elde edilen bilgilerin tamamı ya da bir kısmı" olarak tanımlanmıştır.
Özel Nitelikli Kişisel Veri Olarak Genetik Veri
Kişisel Verilerin Korunması Kanunu'nun ("KVKK") 6. maddesi kapsamında sınırlı sayıda sayılan ve özel nitelikli veri kategorisi kapsamında olan kişisel verilerden bir tanesi de genetik veridir.
Rehber'de genetik verilerin işlenmesinin yalnızca ilgili kişilerin kendilerini değil, aralarında genetik irtibatı olan akrabalarını, gelecek nesillerini ve hatta ulusal güvenlik ile ekonomiyi de etkileyebileceği vurgulanmıştır. Ayrıca, genetik veri esasen analiz edilmesi ile anlamlandırılabilir olsa da ham verilerin ve biyolojik örneklerin analiz edilmeden önce de değerli ve anlamlı olduğu ve bir gerçek kişiyi belirlenebilir kılma potansiyeline sahip olduğu da belirtilmiştir. Bu açıdan genetik veri toplayan tüm veri sorumlularının söz konusu biyolojik örneklerin güvenliğini sağlamak konusunda gerekli teknik ve idari tedbirleri alması gerektiği belirtilmiştir.
Genetik Verilerin İşlenmesi
Rehber uyarınca genetik verinin hukuka uygun işlenmesine ilişkin olarak KVKK'da düzenlenen (i) hukuka uygun kişisel veri işleme şartlarının mevcudiyeti ve (ii) genel ilkelere uyulması gerekmektedir.
1. Genetik Verilerin İşlenmesinde Hukuki Sebep Tespiti
| Kural | Açık rıza olmaksızın özel nitelikli kişisel verilerin işlenmesi yasaktır. |
|
Bir genetik verinin temin edilebilmesi için ilgili kişinin açık rızasının varlığı gerekir. Bu açık rızanın (i) belirli konuya ilişkin, (ii) bilgilendirmeye dayalı ve (iii) özgür iradeye dayalı olarak temin edilmesi şarttır. Bu kapsamda:
|
|
| İstisna-1 | Sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. |
| Sağlık veya cinsel hayata ilişkin olmayan bir genetik verinin temin edilmesi, kanunlarda öngörülmekte ise ilgili kişinin açık rızası olmaksızın bu genetik verinin işlenmesi mümkündür. | |
| İstisna-2 | Sağlık ve cinsel hayata ilişkin kişisel veriler ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgili kişinin açık rızası aranmaksızın işlenebilir. |
| Bir genetik verinin sağlık verisi olması halinde (ör. kan örneği) belirtilen istisna kapsamındaki şartların varlığı halinde açık rıza gerekmeksizin işlenmesi de mümkündür. | |
2. Genetik Verilerin İşlenmesinde Genel İlkelere Uygunluk
| İlke-1 | Hukuka ve dürüstlük kurallarına uygun olma |
|
|
| İlke-2 | Belirli, açık ve meşru amaçlar için işlenme |
|
|
| İlke-3 | İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma |
|
|
| İlke-4 | Gerekli olan süre kadar muhafaza edilme |
|
|
Genetik Verilerin Yurt Dışına Aktarımı
Genetik verilerin yurt dışına aktarımı söz konusu olması halinde bu faaliyetin KVKK'ya uygun şekilde yürütülmesi gerekmektedir. Bu kapsamda, (i) ilgili kişiden açık rıza alınması veya (ii) Kurum'a taahhütname sunulması gerekmektedir.
Ayrıca Rehber'de Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği kapsamında yurt dışına örnek gönderiminin Sağlık Bakanlığı izni ile yapılabildiğine de değinilmiştir.
Genetik Verilerin İşlenmesi Sürecinde Veri Sorumlusu & Veri İşleyen
Rehber kapsamında, aşağıdaki ile sınırlı olmamakla birlikte örnek olarak, genetik veri işleme süreçlerinde veri sorumlusu ve veri işleyen olarak aşağıdakilere yer vermiştir:
- Veri Sorumlusu: Genetik hastalıkları değerlendirme merkezlerinin bağlı bulunduğu hastane
- Veri İşleyen: Genetik verilerin tutulduğu bulut sistemler
Veri Sorumlusunun Yükümlülükleri
- Aydınlatma Yükümlülüğü: Genetik verilerin elde edilmesi sırasında veri sorumlusu tarafından ilgili kişilere KVKK'ya uygun şekilde aydınlatma yapılması şarttır. Söz konusu aydınlatma kapsamında ilgili kişinin genetik veri işleme faaliyetini ve sonuçlarını, genetik verinin işlenmesinin sadece ilgili kişinin değil diğer aile fertlerinin de verisine erişimi sağlayabileceğini net bir şekilde anlaması sağlanmalıdır.
- VERBİS Kayıt Yükümlülüğü: Ana faaliyet olarak özel nitelikli kişisel veri işleyen veri sorumlularının herhangi bir istisna olmaksızın veri sorumluları siciline kayıt olması zorunludur.
- Veri Güvenliği Yükümlüğü: Genetik veri işlenmesi sürecinde veri sorumlusu tarafından veri güvenliği için yeterli teknik ve idari tedbirler uygulamaya alınmalıdır. Rehber'de belirtilen tedbirlerden bazılarını aşağıda derledik
Dikkat: Aydınlatılmış Onam Açık Rıza Değildir!
Rehber'de Hasta Hakları Yönetmeliği uyarınca düzenlenen "bilgilendirme" kavramının KVKK kapsamındaki aydınlatma'dan farklı olduğu ve hastalardan temin edilen "aydınlatılmış onam"ın, KVKK kapsamındaki "açık rıza"dan farklı bir işlem olduğu, birbirlerinden ayrık olarak ilgili kişi (hastaya) sunulması gerektiği belirtilmiştir.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
