Tanım
TaslakRehber’de belirtildiği üzere özel nitelikli kişisel veriler arasında sayılangenetik veri, bugüne kadar yayımlanmış mevzuatta kapsamlı bir şekildetanımlanmamıştır. Bununla birlikte Taslak Rehber’de Avrupa Birliği Genel VeriKoruma Tüzüğü’nün (“GDPR”) 4/13 maddesine atıf yapılmış olup ilgilimadde uyarınca “bir gerçek kişinin fizyoloji veya sağlığı ile ilgili eşsizbilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojiknumunenin analizinden kaynaklanan ve söz konusu kişinin kalıtım yoluyla alınanveya kazanılan özelliklerine ilişkin kişisel verilerdir” düzenlemesiylegenetik veri tanımına yer verilmiştir. Ek olarak, genetik verilerin tamamenanonimleştirilmesinin mümkün olmadığı ve bu sebeple genetik verilerin işlenmesisırasında gerekli teknik ve idari tedbirlerin alınmasında daha fazla dikkatgösterilmesinin önem arz ettiği vurgulanmıştır.
Amaçve Kapsam
Genetikveri işleme hususlarının açıklığa kavuşturulabilmesi amacıyla KVKK’nın 6.maddesinde özel nitelikli kişisel veri olarak hükme bağlanan genetik verilerinişlenmesinde göz önünde bulundurulması gereken hususlara ilişkin olarak TaslakRehber hazırlanmıştır. Bu doğrultuda, Taslak Rehber, veri sorumlularının doğruhukuki sebeplere dayalı olarak veri işlemeleri ve KVKK’ya uygun şekildeyükümlülüklerini yerine getirmeleri için yönlendirici niteliktedir.
VeriSorumlusu ile Veri İşleyen
TaslakRehber'de, Genetik Hastalık Değerlendirme Merkezleri'nin bağlı bulunduklarıkişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıtsisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veyatüzelkişilerin (Bakanlık, üniversite, özel hukuk tüzel kişisi vb.) verisorumlusu olarak kabul edileceği belirtilmiştir. Genetik verilerin tutulduğubulut sistemleri sağlayıcıları ise veri işleyen olarak değerlendirilmektedir.
GenetikVerinin İşlenmesi ve İlkelerİ
- Veri sorumlusu, KVKK'nın 4. maddesinde yer alan genel ilkelere ve 6. maddesinde düzenlenen şartlara uygun bir şekilde ancak aşağıda yer alan ilkeler doğrultusunda genetik verileri işleyebilecektir.
Genetikveri işleme faaliyeti, temel hak ve özgürlüklerin özüne dokunulmaması,ulaşılmak istenen amaç için uygun ve gerekli olması, ulaşılmak istenilen amaçile aracın orantılı olması şartlarının sağlanması durumundagerçekleştirilebilir. Ayrıca genetik veri gereken süre kadar muhafazaedilmeli ve veri işleme gerekliliği ortadan kalması durumunda gecikmeksizinkişisel veri saklama ve imha politikasına uygun olarak imha edilmelidir.
- Genetik verilerin KVKK kapsamında işlenmesi
Açıkrızanın alınmasında, belirli bir konuya ilişkin olma, bilgilendirmeye dayanma veözgür irade ile açıklanma şartlarının sağlanması gerekmektedir. TaslakRehber'de, bilgilendirmenin, genetik veri işleme ile ilgili bütün konulardaaçık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verininişlenmesinden önce yapılması gerektiği ifade edilmiştir. Genetik verisi işlenenilgili kişilerin açık rızalarının yalnızca bir açık rıza metninin okutulupimzalatılması şeklinde alınmasının yeterli olmadığı ve ilgili kişinin genetikveri işleme faaliyetini ve sonuçlarını net bir şekilde anlamasını sağlanmasıgerektiği de vurgulanmıştır.
Genetikveriler, bir sağlık verisi olarak koruyucu hekimlik, tıbbi teşhis, tedavi vebakım hizmetlerinin gerçekleştirilmesi amacıyla KVKK’nın 6/3 maddesikapsamında, sağlık gereklilikleri doğrultusunda yapılması zorunlu testler içinilgili kişilerin rızalarının alınmasına gerek olmaksızın işlenebilir. Budoğrultuda, Taslak Rehber’de sağlık gerekçeleri ile veri işlemenin zorunluolması en önemli kriter olarak değerlendirilmiş ve bu tür zorunlu veri işlemefaaliyetlerinin yapılması hususunda yine ilgili kişilerin aydınlatılmasıgerekliliği belirtilmiştir.
- Genetik verilerin yurt dışına aktarılması
Genetikverilerin yurt dışına aktarılması için ilgili kişilerin i) açık rızalarınınalınması suretiyle ya da ii) KVKK'nın 6. maddesi kapsamında kanunlarda açıkçaöngörülme sebebi ile verilerin işlenmesi durumunda KVKK'nın 9/2 (a) ve (b)bendlerinde yer alan koşulların oluşması gerekmektedir. Ek olarakTürkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceğidurumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul'unizniyle yurt dışına aktarım mümkündür.
- Genetik verilerin KVKK'nın 28/1(c) maddesi kapsamında bilimsel amaçlarla işlenmesi
Genetikverilerin bilimsel amaçlar doğrultusunda işlenebilmesi için; kişisel SağlıkVerileri Hakkında Yönetmeliğin 16. maddesinde düzenlenen sağlık verilerininbilimsel araştırmalarda kullanımına ilişkin koşulların sağlanmasıgerekmektedir. KVKK'nın 28/1(c) kapsamında, milli savunmayı, milligüvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatıngizliliğini ve kişilik haklarını ihlal etmemek ya da suç teşkil etmemekkaydıyla, genetik verilerin bilimsel amaçlarla kullanımı mümkün olsa da, bununson çare olarak bilimsel araştırmadan beklenen sonuca ulaşılması için genetikverilerin işlenmesinin zorunlu olması halinde uygulanmalıdır.
TaslakRehber’de, bilimsel araştırmalarda kullanılan genetik verilerin korunmasıbakımından, anayasal güvence altına alınan kişisel verilerin korunması hakkınınihlal edilmemesi için gerekli güvenlik tedbirlerinin sağlanması ve budoğrultuda özellikle kişisel verilerin işlendikleri amaçla bağlantılı, sınırlıve ölçülü olma ilkesine uygun hareket edilmesi gerekliliği vurgulanmıştır. Tümbunlarla birlikte, tamamlanan bilimsel araştırmalar bakımından, kullanılankişisel verilerin tutulmaya devam edilmesinin gerekip gerekmediğinin dikkatlibir şekilde değerlendirilmeli, gerekmediği kanaatine varılması halinde bukişisel verilerin kişisel veri saklama ve imha politikasına uygun olarak imhaedilmelidir.
KVKKveAydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul ve EsaslarHakkında Tebliğ uyarınca veri sorumlusunun aydınlatma yükümlülüğünün yerinegetirmesi gerekmektedir. Ek olarak, Taslak Rehber'de, genetik veri işleyen verisorumlularının, hangi genetik verilerin hangi hukuki sebeple ve hangi amaçlatopladığı, bu verilerin önemi, ihlâl durumunda ortaya çıkabilecek sonuçlarınneler olabileceği (genetik verilerin işlenmesine yönelik riskler) hususlarınailişkin olarak ilgili kişileri ayrıca aydınlatması gerektiği belirtilmiştir.Veri sorumlularının, Kurul'un 19.07.2018 tarih ve 2018/87 sayılı Kararı ileözel nitelik kişisel veri işleyen veri sorumlularının herhangi bir istisnaolmaksızın sicile kayıt olmalı ve veri sorumluları, genetik verilerinişlenmesi sırasında gerekli teknik ve idari tedbirleri alma yükümlülüğünüyerine getirmelidir.
- Teknik Tedbirler
TaslakRehber’de, genetik verilerin bulut sistemlerinde tutulmaması önerilmektedir.Ayrıca, genetik veri işleyen cihazların bakım, onarım, tamirat vb. için yetkilifirmalara teslimi veya kiralanması durumunda cihazlarda verinin bulunmamasıiçin önlemler alınmalı ve ya sunucuda veri olmadığına dair yazılı taahhütnamealınmalıdır. Veri sorumlularının, sistemi kurmadan önce ve herhangi birdeğişiklikten sonra, oluşturulacak test ortamlarında sentetik veriler (gerçekolmayan) aracılığıyla sistemi test etmesi gerekmektedir. Ek olarak, verisorumluları, sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlarkullanmalı, yama yönetimi sağlamalı, mümkün olduğunca açık kaynak kodluyazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında gerçekleştirmeli,genetik veri işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli vesınırlayabilmelidir. Genetik veri işlenen sistemlerin donanımsal ve yazılımsalgüvenlik testleri periyodik olarak yapılması gerektiğide vurgulanmıştır. Sonolarak Taslak Rehber'de, 2019/12 sayılı Bilgi ve İletişim Güvenliği TedbirleriGenelgesi ve Genelge kapsamında Cumhurbaşkanlığı Dijital Dönüşüm Ofisikoordinasyonunda hazırlanan Bilgi ve İletişim Güvenliği Rehberi kapsamında yerverilen tedbirlere riayet edilmesi gerektiği belirtilmiştir.
- İdari Tedbirler
TaslakRehber'de, kişisel veri güvenliğinin ve özellikle genetik veri mahremiyetininhenüz tasarım aşamasında dikkate alınarak tüm mekanizmaların bu temeldeoluşturularak “Mahremiyet Temelli Tasarım” (Privacy by Design) esasınagöre kurulması ve yönetilmesi gerektiği ifade edilmiştir. Genetik veriişleyen veri sorumluları tarafından, verilerin niteliği ve veri işlemeninilgili kişi açısından oluşturacağı muhtemel risklerle ilgili olarak GDPR’ın 35.maddesinde de düzenlenen Veri Koruma Etki Değerlendirmesi uygulanmasıgerekliliğine yer verilmiştir. Genetik veriler; yetkili, konu ileilgili eğitim almış ve kendisiyle gizlilik sözleşmeleri akdedilmiş personeldışında kimse tarafından erişilemeyecek şekilde muhafaza edilmeli; genetikveri işleme süreçlerine ilişkin ayrı işleme politikaları, acil durumprosedürleri ve raporlama mekanizmaları oluşturulmalıdır. Veri sorumluları,genetik verilere dair veri işleme faaliyetlerine ilişkin kurum içi rastgele veperiyodik denetimler ile risk analizleri vasıtasıyla olası bir veri ihlâlinekarşı hazırlık durumunu sürekli olarak ölçmeli ve izlemesi gerekliliğibelirtilmiştir. Ek olarak, genetik veri işleme süreçlerinde veri sorumlusu, biramaç doğrultusunda veri işleyen tercih edilmesi durumunda; veri işleyenlerleyapılacak hizmet sözleşmelerinde gerekli görülen güvenlik tedbirlerine yervermeli ve tercih edilecek veri işleyen nezdinde gerekli teknik ve idaritedbirlerin sağlanıp sağlanmadığı hususunda belirli periyotlarla denetimleryapmalı ve ya yaptırılmalıdır.
TaslakRehber’de, genetik verilerin işlenme amaçlarının farklılık göstermesi nedeniyleprosedürlerin ve kuralların işleme amaçlarına göre ele alınması; genetik veriişlenen testlerin veya araştırmaların yurt dışında yapılması zorunluluğukarşısında bilimsel araştırma ya da tetkik amaçlarıyla işlenen genetikverilerin, UNESCO Genel Konferansı’nın 16 Ekim 2003 tarihli “İnsan GenetikVerileri Üzerine Uluslararası Bildirge”sinde (International Declaration onHuman Genetic Data) belirtildiği üzere mahremiyetinin sağlanması ve elde edilengenetik verilerin toplanma amaçları dışında başka maksatlarla kullanılmasınınengellenmesi konularında gerekli önlemlerin alınması; genetik verilere ilişkin testlerinmümkün olduğunca yurt dışına gönderilmemesi amacıyla ulusal laboratuvarlarındesteklenmesi; bilimsel amaçlarla kullanılmak üzere ulusal genetik veribankacılığının geliştirilerek genetik veri saklama merkezinin oluşturulmasınınteşvik edilmesi; genetik verilerin işlenmesi esnasında; şeffaflık, açıklık vehesap verebilirlik uygulamalarının geliştirilmesinin teşvik edilmesi ve busuretle toplumun, bu çalışmaları yürüten kuruluşlar tarafından genetikverilerinin işlenmesinin nedenleri ve sonuçları hakkında bilgilendirilmelerininsağlanması önerilmektedir.
TaslakRehber’e buradan ulaşabilirsiniz.
HUKUKİ UYARILAR VE BİLDİRİMLER
1. Mesleki Düzenlemeler
DL Avukatlık Bürosu’nun avukatları İstanbul Barosu üyesi olup Avukat unvanını taşımaktadırlar ve İstanbul Barosu ile Türkiye Barolar Birliği tarafından çıkarılan mesleki düzenlemelere bağlı faaliyet göstermektedirler.
2. Hukuki Uyarı
Bu internet sitesinde yayımlanan içerikler sadece bilgilendirme amaçlı olarak hazırlanmış olup herhangi bir şekilde hukuki görüş olarak kullanılmamalıdır. Bu site ve içerdiği bilgilerin avukat-müvekkil ilişkisi kurma amacı bulunmamaktadır. DL Avukatlık Bürosu ve avukatları doğru ve tam bilgi temin etmeyi amaçlamış olup, yayımlanan içerikler mevzuat değişikliği veya yeni tarihli yargı kararları nedeniyle güncelliğini yitirebilir ve yürürlükte olan yasal gelişmelerin son halini yansıtmayabilir. DL Avukatlık Bürosu bu internet sitesinde bulunan içerikleri dilediği zaman değiştirme ve gözden geçirme hakkını saklı tutar.
Bu internet sitesinde bulunan hiçbir içerik herhangi bir olaya özgülenebilecek hukuki danışmanlık yerine geçmez. Kullanıcı bu internet sitesine girerek, DL Avukatlık Bürosunu ve avukatlarını işbu internet sitesinde bulunan bilgilere dayanarak hareket etmesi sonucu meydana gelen herhangi bir zarar veya ziyandan sorumlu tutmayacağını kabul etmektedir.
Bu internet sitesinde yer alan tüm bilgiler, Türkiye Barolar Birliği’nin Meslek Kuralları ve ilgili mevzuatına bağlı kalınarak ve ilgili mevzuatla reklam yasağına ilişkin düzenlemelere uygun olarak hazırlanmıştır. İnternet sitesini ziyareteden tüm kullanıcılar, Kullanım Koşulları'nda yer alan düzenlemeleri kabul etmiş sayılırlar.
3. Fikri Mülkiyet Hakları
Bu internet sitesinde yayımlanan içerikler DL Avukatlık Bürosu’nun malik veya lisans sahibi olduğu telif hakkı ve/veya diğer fikri mülkiyet hakları uyarınca koruma altındadır. İşbu internet sitesinin içeriği DL Avukatlık Bürosu’nun yazılı izni olmaksızın kısmen ya da tamamen kopyalanamaz, dağıtılamaz, kullanılamaz ya da değiştirilemez. Bu onay DL Avukatlık Bürosu ile info@dlhukuk.com adresinden iletişime geçilerek talep edilebilir.
4. Bağlantılar (Links)
İnternet sitesinin herhangi bir bölümüne DL Avukatlık Bürosu’nun yazılı ön onayı olmaksızın elektronik bağlantı (electronic link) verilemez. DL Avukatlık Bürosu, DL Avukatlık Bürosu internet sitesine yapılan elektronik bağlantıların kaldırılmasını talep etme hakkını saklı tutar.
İnternet sitemizin bir bölümü üçüncü kişilerin internet sitelerine atıfta bulunabilir ve üçüncü kişilere ait internet siteleri DL Avukatlık Bürosu’nun internet sitesine atıfta bulunabilir. DL Avukatlık Bürosu harici internet sitelerinin içeriğinden sorumlu tutulamaz.