Genetik Verilerin İşlenmesi Hakkında Rehber Taslağı

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından 24 Ağustos 2022 tarihinde Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı (“Rehber Taslağı”) yayınlandı.

Rehber Taslağı’nda Kurum tarafından genetik verilerin önemine işaret edilerek, 6698 sayılı Kişisel Verilerin Korunması Kanunu’nu (“KVKK”) uyarınca özel nitelikli kişisel veri olan genetik verilerin işlenmesi ile ortaya çıkan bilgilerin son derece hassas olduğu ve toplumun tamamını etkileyebilecek sonuçlara neden olabileceği vurgulanmıştır. Bu çerçevede, genetik verilerin işlenmesi ile ilgili belirli kural ve prosedürler öngörülmeye ve konu hakkında kamuoyunda farkındalık yaratılmaya çalışılmaktadır.

Rehber Taslağı’nda dikkat çeken başlıca hususlar ve bu hususlar hakkındaki ön değerlendirmelerimizi aşağıda bulabilirsiniz. 

Genetik Veri Nedir?

Genetik veri, KVKK’da ayrıca tanımlanmamış olmakla birlikte, Rehber Taslağı uyarınca Kurum’un Avrupa Genel Veri Koruma Tüzüğü’ndeki (“GDPR”) tanımı kabul ettiği söylenebilir. Buna göre ‘bir gerçek kişinin fizyoloji veya sağlığı ile ilgili eşsiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numunenin analizinden kaynaklanan ve söz konusu kişinin kalıtım yoluyla alınan veya kazanılan özelliklerine ilişkin kişisel veriler’ genetik veri olarak kabul edilecektir.

Rehber Taslağı’nda işaret edildiği üzere genetik verileri çoğu özel nitelikli veriden ayıran önemli bir diğer konu, analiz yapılmasa bile ham veriler ve biyolojik örnekler ile gerçek kişilerin belirlenebilir hale gelmesidir. Bu nedenle Kurum, kullanılan metot fark etmeksizin ilgili kişinin genetik veri ile bağlantısının devam edebileceğini belirterek genetik verinin veri koruma hukuku kapsamında anonimleştirilmesinin mümkün olamayabileceği, bunun yerine sadece bu verilerin kimliksizleştirilebileceğini (deidentification) vurgulamaktadır. Kimliksizleştirilen veriler, anonim veri haline gelmediği için kimliksizleştirme işleminden sonra dahi kural olarak KVKK kapsamında değerlendirilecektir.

Genetik Veriler Hangi Şartlarda İşlenebilir?

KVKK uyarınca özel nitelikli kişisel veri olan genetik verilerin, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebileceği hükme bağlanmıştır. Yine KVKK’nın genel ilkeleri çerçevesinde, yapılacak işleme faaliyetlerinin hukuka ve dürüstlük kurallarına uygun olması, işlenen verilerin doğru ve gerektiğinde güncel olması, belirli, açık ve meşru amaçlar için işlenmesi ve işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması ve ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilmesi şarttır.

Kurum da Rehber Taslağı’nda işleme şartlarını özel olarak detaylandırmış ve amaçla bağlantılılık, sınırlılık ve ölçülülük ilkesine özel bir vurgu yapmıştır. İşlenecek genetik verilerin kapsamının belirlenmesinde ve veri işleme araçlarının seçiminde bu ilkeye uygun davranılması gerektiği de özel olarak belirtilmiştir. Kişisel verilere daha az müdahaleci bir alternatifin bulunması hallerinde ve genetik veriler elde edilmeden de gerçekleştirilebilecek amaçlar için genetik verinin elde edilmemesi gerektiğine işaret edilmiştir.

Rehber Taslağı’nda genetik verilerin açık rıza olmadan ancak (i) bir sağlık verisi olarak koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin gerçekleştirilmesi amacıyla sağlık gereklilikleri doğrultusunda yapılması zorunlu testler için ve (ii)  kanunlarda öngörülen diğer hallerde (örneğin Ceza Muhakemesi Kanunu uyarınca yapılabilecek moleküler genetik incelemeler için) işlenebileceği belirtilmiştir. Bu hallerde dahi aydınlatma yapılması gerektiği unutulmamalıdır. Bunlar dışında, genetik verilerin örneğin soy/köken yahut akrabalık ilişkilerinin tespiti, sportif faaliyetlere ya da herhangi bir yeteneğe yatkınlığın belirlenmesi, diyet hizmetleri gibi çeşitli sebeplere yönelik ticari amaçlar için işlenmesinin açık rızaya tabi olacağı vurgulanmıştır.

Son olarak, genetik verilerin KVKK’nın 28. maddesi kapsamında bilimsel amaçlar için KVKK’dan istisna bir şekilde işlenmesi de özel olarak değerlendirilmiştir. Kurum, bu konuda Kişisel Sağlık Verileri Hakkında Yönetmelik’teki genel ilkelerden hareketle tekil nitelikteki genetik verilerin veri sorumlusu tarafından kimliği belirlenebilir bir gerçek kişiyle ilişkilendirilmeyecek hale getirilmesi ancak farklı bireylere ait çok sayıda bu tür verinin birleştirilmesi sonucu elde edilecek kümülatif varyant frekans listelerine dönüştürülmesi (genom agregasyon verileri) yoluyla ve pseudonymisation gibi yöntemlerin kullanılması suretiyle bilimsel amaçlarla işlenebileceğini belirtmektedir. Bilimsel araştırmaların da etik kurullardan izinli araştırmalar olması çok önemlidir. Her durumda genetik veriler, bilimsel amaç için de son çare olarak işlenmelidir.

Genetik Verilerin Yurt Dışına Aktarımına İlişkin Sınırlamalar

Genetik verilerin işlenmesi hususunda en önemli sorunlardan birinin bu verilerin tıbbi teşhis ve tedavi amaçlı zorunlu olarak ya da zorunlu nedenler dışında kişilerin tercihine bağlı olarak yurt dışına gönderilmesi olarak tespit edilmiştir. Bilindiği üzere, yurt dışı aktarımı, Kurum’un izin verdiği aktarımlar dışında ilgili kişilerin açık rızalarına tabidir ve zorunlu olarak bir verinin yurt dışına gönderilmesi açık rıza kavramı ile bağdaşmamaktadır.

Kurum, genetik verilerin hassas sonuçlara neden olabileceğini de gözeterek Rehber Taslağı’nda bu konuyu özel olarak değerlendirmiştir ve Sağlık Bakanlığı’ndan aldığı yönlendirmeler çerçevesinde çoğu test için yurt dışı aktarımının zorunlu olmadığını, gelişmiş ülkelerde uygulanan genetik yöntemlere ait testlerin çok büyük bir kısmının Türkiye’de de yapılabildiğini belirtmiştir.

Ancak bunun dışında Türkiye’de yapılamayan bazı testlerin de olduğunun bilincinde olarak bazı hallerde veri aktarımının gerekli olabileceği de işaret edilmiştir. Kurum, Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği ve Tıbbi Laboratuvarlar Yönetmeliği uyarınca genetik verilerin ancak Sağlık Bakanlığı’ndan ruhsatlı genetik hastalıklar değerlendirme merkezleri ve ruhsatlı  tıbbi laboratuvarlar aracılığıyla Sağlık Bakanlığı’nın gözetiminde gönderilmesinin önemine işaret etmiştir. Bu hallerde dahi Kurum tarafından izin verilmedikçe genetik verilerin açık rıza dışında yurt dışına aktarılmaması gerekmektedir.

Genetik verilerin yurt dışına aktarımı ile ilgili aydınlatmalar açısından da bazı önemli hususlar düzenlenmiştir. Veri sorumlularının diğer aydınlatma konularının yanında genetik verilerin akıbetinin takip edilmesine ilişkin muhtemel zorluklar, yurt dışındaki veri sorumlularının veri güvenliği konusunda barındırdığı riskler, bu kapsamda yurt dışına aktarılan genetik verilerin 3. kişilere aktarılma ihtimali gibi netlik arz etmeyen durumlar ve bu durumların yaratabileceği olumsuz sonuçlar bakımından ilgili kişi açık ve ayrıntılı bir şekilde bilgilendirilmesi gerekecektir.

Teknik ve İdari Tedbirler

Genetik verilerin hassasiyeti ve genetik verilerin işlenmesinin kamuoyu nezdinde olası sonuçları gözetilerek veri güvenliği tedbirlerinin önemi Rehber Taslağı’nda özel olarak vurgulanmıştır. Yine genetik verilerin niteliği gereği anonimleştirmeye uygun olmaması, ancak kimliksizleştirilebileceği gözetilerek veri güvenliği tedbirlerinin ne kadar önemli olduğu hatırlatılmış ve Rehber Taslağı’nda pek çok güvenlik tedbiri örneği verilmiştir. Kurum’un olası bir veri güvenliği zafiyetinde Rehber Taslağı’ndaki önlemlerin alınıp alınmadığını kontrol edeceği ve eksiklik halinde veri güvenliği yükümlülüğüne uyulmadığını tespit edebileceği söylenebilir. Bu nedenle, genetik veri işleyen tüm veri sorumlularının Rehber Taslağı’nda örnek olarak gösterilen güvenlik önlemlerini, veri işleme süreçlerine entegre edebildikleri ölçüde yürürlüğe koymaları çok önemlidir.

Veri Sorumluları Siciline Kayıt

Bilindiği üzere, ana faaliyet konusu özel nitelikli kişisel veri işleme olan veri sorumlularının Veri Sorumluları Sicili’ne kayıt olması gerekmektedir. Genetik verilerin işlenmesine ilişkin faaliyetlerde bulunan tüm veri sorumlularının da bu yükümlülük altında olduğu Rehber Taslağı’nda hatırlatılmıştır.

Değerlendirme

Kurum, genetik verilerin bireysel, kalıtsal, ekonomik ve ulusal düzeydeki önemine istinaden bu verilerin işlenme şartlarını, yurt dışına aktarımını, depolanacağı sistemleri ve veri sorumlusu tarafından alınması gereken teknik ve idari tedbirleri genetik veri özelinde değerlendirilmiştir. Rehber Taslağı bu açıdan veri sorumluları bakımından son derece önemlidir ve olası uyuşmazlıklarda Kurum’un dikkate alacağı bir belge olacaktır.

Kurum, aynı zamanda ulusal çapta özellikle verilerin yurt dışına aktarım zorunluluğunu ortadan kaldırabilecek önlemler alınabileceğini de tespit etmiştir. Yakın zamanda Kurum’un başta Sağlık Bakanlığı olmak üzere ilgili kurumlarla yakın temas halinde çalışarak genetik verilerin aktarımına yönelik farklı düzenleme ve kısıtlamalar öngörmesi de mümkündür. Bu nedenle, bu alandaki gelişmelerin de yakın şekilde takip edilmesi gerekmektedir.

Merve Arslanhan’a katkılarından dolayı teşekkür ederiz.


Aboneliğinizi Yönetin

Güncel hukuki görüşlerimiz ve etkinliklerimiz hakkında özelleştirilmiş bilgilendirme için abone olun.