Kişisel Verileri Koruma Kurulu’nun Yayınladığı Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Hakkında Bülten
Kişisel Verileri Koruma Kurulu (“Kurul”) tarafından Kurul’un resmi internet sitesinde 13.10.2023 tarihinde Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber (“Rehber”)[1] yayınlanmıştır.
Rehberde yer alan önemli hususlar şöyledir:
1. Genetik Veri Tanımı
Rehberde, Kişisel Verilerin Korunması Kanunu’nun (“Kanun”) 6(1) maddesi uyarınca bir özel nitelikli veri olan genetik verinin:
- “canlıya ait genomdan hücre çekirdeğinden ya da mitokondrisinden kodlanan tüm DNA, RNA ve Protein diziliminden elde edilen bilgilerin tamamı ya da bir kısmı” olduğu,
- genetik verilerin sadece bir SNP (Single Nükleotit Polimorfizm) bilgisi olabileceği gibi çok kapsamlı tüm genom dizilimi bilgisi de olabileceği ve
- bu verilerin canlıdan elde edilmiş DNA ve/ veya RNA’dan kalıtsal olan veya kalıtsal olmayan tüm genomik değişiklikleri kapsadığı
belirtilmiştir.
2. Genetik Veri İşleme Şartları
- Kanun’un 6. maddesinde özel nitelikli kişisel verilerin işlenme şartları yer almakta olup, Rehber’de genetik verilerin sadece sağlık gerekçeleri ile işlenmesi amacının bulunması durumunda, anılan maddenin (3) numaralı fıkrasında sağlık ve cinsel hayata dair verilerin işlenme şartı olarak sayılan; yalnızca kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla işlenmesi durumunda, genetik veri sıfatları baki olsa da kişisel sağlık verisi işleme şartlarına tâbi olarak, sadece sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ya da kuruluşlar tarafından, veri sahibinin açık rızasına gerek olmaksızın işlenmelerinin mümkün olduğu belirtilmiştir.
Bu kapsamda, sağlık gereklilikleri doğrultusunda yapılması zorunlu testler için ilgili kişilerin rızaları aranmadan genetik verilerin işlenebilecektir. Ancak bu durumda da, ilgili kişilerin Kanun’un 10. maddesine uygun olarak aydınlatılmaları gerekmektedir.
- Rehberde, genetik verilerin herhangi bir tıbbi teşhis tedavi amacı dışında, örneğin soy/köken yahut akrabalık ilişkilerinin tespiti, sportif faaliyetlere ya da herhangi bir yeteneğe yatkınlığın belirlenmesi gibi çeşitli sebeplere yönelik ticari amaçlar için işlenmesi durumunda, ilgili kişilerin açık alınması gerektiği belirtilmektedir. Yine bu durumda da, ilgili kişilerin Kanun’un 10. maddesine uygun olarak aydınlatılmaları gerekmektedir.
3. Genetik Verilerin Yurtdışına Aktarımı
Genetik verilerin yurt dışına aktarılması için ya ilgili kişilerin açık rızalarının alınması ya da Kanun’un 6. maddesi kapsamında kanunlarda öngörülme sebebi ile kişisel verilerin işlenmesi durumunda ise, Kanun’un 9. maddesinin (2) numaralı fıkrasının (a) ve (b) bentlerinde yer alan koşulların bulunması gerektiği belirtilmiştir.
Genetik verilerin kanunlarda öngörülme sebebine istinaden işlenmesi halinde, veri sahibinin açık rızası olmaksızın yurtdışına aktarılması, yalnızca (hali hazırda güvenli ülkeler açıklanmadığından)Kurul’dan alınacak izinle mümkün olacaktır.
4. Genetik Verilerin Kanunun 28. Maddesi Uyarınca İstisnalar Kapsamında İşlenmesi
Rehber’de, Kanun 28. maddesi kapsamında genetik verilerin bilimsel amaçlarla işlenmesi durumunda, işleme faaliyetinin Kanun’a tabi olmaması için aşağıdaki kriterler kapsamında gerçekleştirilmesi gerektiği belirtilmiştir:
- 21/06/2019 tarihli ve 30808 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin 16. maddesinde, sağlık verilerinin bilimsel araştırmalarda kullanımına ilişkin koşullar düzenlenmiştir. Tekil nitelikteki genetik verinin, veri sorumlusu tarafından kimliği belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesi, ancak farklı bireylere ait çok sayıda bu tür verinin birleştirilmesi sonucu elde edilecek kümülatif varyant frekans listelerine dönüştürülmesi (Genom agregasyon verileri) ile mümkündür ve bu listeler bilimsel araştırmalar kapsamında etik kurul izinleri alınması ve mevcut mevzuata uyulması suretiyle işlenebilmekte olup, bu tür çalışmaların mümkün olduğu ölçüde ilgili kişiyi belirlenebilir kılmayacak hale getirilmiş veriler üzerinden yürütülmesi, bunun için takma ad kullanımı (pseudonymisation) gibi yöntemlerin kullanılması suretiyle kişisel veri güvenliğine ilişkin risklerin en aza indirilmesi
- Her ne kadar Kanun uyarınca özel hayatın gizliliğini ve kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla genetik verilerin bilimsel amaçlarla kullanımı mümkün olsa da, bunun son çare olarak bilimsel araştırmadan beklenen sonuca ulaşılması için genetik verilerin işlenmesinin zorunlu olması halinde uygulanması gerekir.
- Bilimsel araştırmalarda kullanılan genetik verilerin korunması bakımından, anayasal güvence altına alınan kişisel verilerin korunması hakkının ihlal edilmemesini teminen gerekli güvenlik tedbirlerinin sağlanması ve bu doğrultuda özellikle kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine uygun hareket edilmesi
- Tamamlanan bilimsel araştırmalar bakımından, kullanılan kişisel verilerin tutulmaya devam edilmesinin gerekip gerekmediğinin dikkatli bir şekilde değerlendirilerek, gerekmediği kanaatine varılması halinde bu kişisel verilerin kişisel veri saklama ve imha politikasına uygun olarak imha edilmesine yönelik gerekli mekanizmalar sağlanmalıdır.
5. Teknik ve İdari Tedbirler
Kurul, Rehber’de, teknik ve idari tedbirlere ilişkin olarak Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler ile ilgili Kurulun 31/01/2018 tarihli ve 2018/10 sayılı Kararında yer alan hususlara dikkat edilmesi gerektiğini belirtmiştir.
Bu kapsamda Kurul, teknik tedbirlere ilişkin olarak aşağıdakilere değinmiştir:
- Genetik verilerin bulut sistemlerinde tutulmaması tercih edilmelidir. Keza, bu sistemlerde genetik verilerin tutulması, Kanun kapsamında yurtdışına aktarım anlamına gelebilecektir.
- Cihazların bakım, onarım, tamirat vb. için yetkili firmalara teslimi veya kiralanmış cihazların ilgili firmalara iadesi durumunda cihaz üzerinde yer alan veri muhafaza üniteleri sökülerek alınmalı veya tüm veriler hard disk ortamında laboratuvara teslim edilmeli ve firmaya ait cihaz veya sunucuda veri olmadığına dair firmadan yazılı taahhütname alınmalıdır.
- Veri sorumluları sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında, mümkünse, sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmeli Öte yandan veri sorumluları, test amaçlı yapacağı çalışmalarda gerçek veri kullanacaksa genetik verileri veri minimizasyonu ilkesine uygun şekilde kullanmalıdır. Veri sorumluları, yetkisiz erişim denemeleri ve gerekli tüm güvenlik tedbirlerinin alınmasına karşın sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz eden ve/veya genetik verileri koruma altına alan ve rapor veren önlemler uygulamalıdır.
- Veri sorumluları sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, yama yönetimi sağlamalı, mümkün olduğunca açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır.
- Veri sorumluları genetik veri işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmeli Genetik veri işlenen program/sistem üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları(log) ayrı bir sistemde, düzenli olarak tutulmalı ve güvenli bir şekilde korunmalıdır. İşlem kayıt(log) sisteminden sorumlu yönetici(admin) ile diğer sistemlerden sorumlu kişilerin farklı kişiler olmasına dikkat edilmelidir.
- Genetik veri işlenen sistemlerin donanımsal ve yazılımsal güvenlik testleri periyodik olarak yapılmalıdır. Sistemlerde gerçekleştirilen değişiklikler gerekli güvenlik testleri yapıldıktan sonra devreye alınmalıdır.
- 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi ve Genelge kapsamında Cumhurbaşkanlığı Dijital Dönüşüm Ofisi koordinasyonunda hazırlanan Bilgi ve İletişim Güvenliği Rehberi kapsamındaki tedbirlere riayet edilmesi gerektiği değerlendirilmektedir.
Yukarıdakilere ilaveten, Rehberde Kurul tarafından alınması tavsiye edilen idari tedbirler aşağıda yer almaktadır:
- Kişisel veri güvenliğinin ve bilhassa genetik veri mahremiyetinin henüz tasarım aşamasında dikkate alınarak tüm mekanizmaların bu temelde öngörülerek hazırlandığı “Mahremiyet Temelli Tasarım” (Privacy by Design) esasına göre kurulması ve yönetilmesi
- Genetik veri işleyen veri sorumluları tarafından, verilerin niteliği ve veri işlemenin ilgili kişi açısından oluşturacağı muhtemel risklerle ilgili olarak Veri Koruma Etki Değerlendirmesi uygulanmalıdır.
- Genetik veriler; yetkili, konu ile ilgili eğitim almış ve kendisiyle gizlilik sözleşmeleri akdedilmiş personel dışında kimse tarafından erişilemeyecek şekilde muhafaza edilmeli İlaveten, bu verilerin işlenmesine ilişkin olarak, Kişisel Veri İşleme Envanteri hazırlanmalı ve Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) bildirimde bulunulmalıdır.
- Genetik veri işleme süreçlerine ilişkin ayrı işleme politikaları, acil durum prosedürleri ve raporlama mekanizmaları oluşturulmalıdır. Elektronik ortamdaki genetik veriler, güvenli yedekleme sistemiyle düzenli olarak yedeklenmeli Veri seti yedekleri mutlaka ağ dışında tutulmalıdır.
- Genetik verilere dair veri işleme faaliyetlerine ilişkin kurum içi rastgele ve periyodik denetimler ile risk analizleri vasıtasıyla veri sorumlusu, olası bir veri ihlâline karşı kendisinin hazırlık durumunu sürekli olarak ölçmeli ve izlemeli
- Genetik veri işleme süreçlerinde veri sorumlusu tarafından bir amaç doğrultusunda veri işleyen tercih edilmesi durumunda; veri işleyenlerle yapılacak hizmet sözleşmelerinde gerekli görülen güvenlik tedbirlerine yer verilmeli ve tercih edilecek veri işleyen nezdinde gerekli teknik ve idari tedbirlerin sağlanıp sağlanmadığı hususunda belirli periyotlarla denetimler yapılmalı veya yaptırılmalıdır. Veri sorumlularının, bir veri işleyenden hizmet alırken söz konusu veri işleyenin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesini sağladığından emin olmaları gerekmektedir.
Kurul, yukarıda sayılan bütün ilkelerin ve kriterlerin sağlandığı hususunun veri sorumlusu tarafından kayıt altına alınıp belgelendirilmesi ve kamuoyuna açıklanması gerektiğini belirtmiştir.
6. Öneriler ve Tavsiyeler
Kurul, Rehber’in devamında genetik verilerin ulusal güvenlik ve ülkelerin ekonomik menfaatleri doğrultusunda kritik önem arz ettiğini belirterek, ulusal çapta alınabilecek bazı tedbirlere de yer vermiştir. vermiştir. Bu tedbirler aşağıda yer almaktadır:
- Genetik verilerin işlenme amaçlarının farklılık göstermesi nedeniyle prosedürlerin ve kuralların işleme amaçlarına göre ele alınması
- Genetik veri ihtiva eden testlerin veya araştırmaların yurt dışında yapılması zorunluluğu karşısında; bilimsel araştırma ya da tetkik amaçlarıyla işlenen genetik verilerin, UNESCO Genel Konferansı’nın 16 Ekim 2003 tarihli “İnsan Genetik Verileri Üzerine Uluslararası Bildirgesinde (International Declaration on Human Genetic Data) belirtildiği üzere mahremiyetinin sağlanması ve elde edilen genetik verilerin, toplanma amaçları dışında başka maksatlarla kullanılmasının engellenmesi konularında gerekli önlemlerin alınması,
- Genetik verilere ilişkin testlerin mümkün olduğunca yurt dışına gönderilmemesi amacıyla ulusal laboratuvarların desteklenmesi, gerekli yerli üretim tıbbî cihazların temini ve bu konuda ihtisaslı insan kaynağının güçlendirilmesi konusunda çalışmalar yapılması,
- Genetik verilerin yurt içinde depolanması için gerekli idarî düzenlemelerin yapılarak bunu mümkün kılacak yerli, millî ve akredite bilişim altyapı çalışmalarının desteklenmesi,
- Bilimsel amaçlarla kullanılmak üzere ulusal genetik veri bankacılığının geliştirilerek genetik veri saklama merkezinin oluşturulmasının teşvik edilmesi,
- Bu alanda yürütülen araştırma ve çalışmalar da dâhil, genetik verilerin işlenmesi esnasında; şeffaflık, açıklık ve hesap verebilirlik uygulamalarının geliştirilmesinin teşvik edilmesi ve bu suretle toplumun, bu çalışmaları yürüten kuruluşlar tarafından genetik verilerinin işlenmesinin nedenleri ve sonuçları hakkında bilgilendirilmelerinin sağlanması,
- Genetik verilerin işlenmesini gerektirecek araştırma veya test faaliyeti yürüten kuruluşların, ilgili kişilere, elde ettikleri kişisel verileri nasıl, nerede ve ne şekilde kullanılacağına dair bilgilendirmede bulunan ve ilgili kişilerden gelecek taleplerin çözümünü sağlayan kişisel verilerin korunması alanında gerekli eğitimleri almış personeli ihtiva eden bir biriminin bulunması ya da bu işlevin sağlık kuruluşları bünyesinde bulunan ve yine kişisel verilerin korunması alanında gerekli eğitimleri almış personeli ihtiva eden personel görevlendirmek sureti ile Hasta Hakları Birimince yerine getirilmesi,
- İlgili kişilerin, kendilerine ait genetik verilerin yurt dışına gönderilmesi durumunda doğabilecek sonuçlar hakkında bilgilendirilerek toplumsal farkındalığın kamu spotu, toplantılar gibi yöntemlerle artırılması ve bu suretle yurt dışına genetik verilerini gönderen kişilerin sayısında düşüş sağlanması, yurt içinde hali hazırda gerçekleştirilebilen testlerin yurt dışında gerçekleştirilmesini engellemek amacı ile ilgili kişileri yeterli şekilde bilgilendirebilmesi için sağlık çalışanlarına yönelik bilinçlendirme çalışması yapılması.
Yukarıdakilere ek olarak, genetik verilerin işlenmesinin Kanun’da belirtilen ilkeler kapsamında değerlendirilmesi, açık rıza alınırken dikkat edilmesi gereken hususlar, belirtilen teknik ve idari tedbirlere ilişkin ek açıklamalar ve konuya ilişkin ek bilgiler Rehber’de yer almaktadır.
[1] Rehbere “https://kvkk.gov.tr/SharedFolderServer/CMSFiles/f3ca871c-bdac-48b1-ace3-9d40dbe533d2.pdf” linkinden ulaşabilirsiniz.