Genetik Verilerin İşlenmesine İlişkin Rehber Yayımlandı
Giriş
Genetik verilerin işlenmesi, sadece genetik veri sahiplerini değil, kişinin genetik olarak irtibatlı olduğu kişileri etkileyebilecek niteliğe sahiptir. Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından Ekim 2023’te yayımlanan “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber” (“Rehber”), genetik verilerin konu edildiği çalışmaların stratejik sonuçlar doğurabileceğine dikkat çeker. Anılan rehber ile genel olarak genetik veri kavramı, işleme faaliyetleri bakımından geçerli şartlar ve ilkeler, veri sorumlularının yükümlülükleri, veri güvenliği, idari ve teknik tedbirler ele alınır. Ayrıca söz konusu işleme faaliyetlerinin hassasiyeti vurgulanarak ulusal düzeyde alınan tedbirlere de yer verilir. Bu Hukuk Postası makalesinde, Rehber ile öne çıkan değerlendirmelere ve önerilere yer verilir.
Genetik Veri Tanımı
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile özel nitelikli kişisel veriler, kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik veriler olarak sayılır. Rehber ise, genetik veri kavramının mevzuatta kapsamlı şekilde tanımlanmadığına dikkat çeker ve Avrupa Veri Koruma Tüzüğü (GDPR) ile getirilen genetik veri tanımına yer verir. GDPR m. 4/13 ile genetik veri, gerçek kişinin fizyoloji veya sağlığı ile ilgili eşsiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numunenin analizinden kaynaklanan ve söz konusu kişinin kalıtım yoluyla alınan veya kazanılan özelliklerine ilişkin kişisel verilerdir.[1] Rehber kapsamında genetik veri kavramı ise teknik ayrımlar gözetilmeksizin ulusal ve uluslararası mevzuat ile getirilen tanımlar uyarınca ele alınır.[2]
Genetik veriler, analiz edildiği durumda anlamlıdır. Diğer yandan, analiz edilmeyen genetik veriler ile bir kişi tespit edilebilir; DNA/RNA örnekleri kişinin genetik verilerine her zaman erişim sağlayabilir. Bu nedenle, saklanan genetik veriler bakımından “Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik” uyarınca alınacak tedbirler önem arz eder. Rehber, elde edilen genetik veri ile ilgili kişi arasındaki irtibatın kesilebilmesinin mümkün olmadığı kabulüyle genetik verinin tam anlamıyla anonim hale getirilmesinin tartışmalı olduğuna dikkat çeker. Bu doğrultuda genetik verinin kimliksizleştirilerek saklanması önerilir. Yani genetik veri, doğum tarihi veya lokasyon gibi etiketlerle değil; genetik veri ve sahibi arasındaki ilişkiyi kesecek şifreli etiketlerle saklanmalıdır. Böylelikle ancak şifreyi bilenler, genetik veri sahibini tespit edebilecektir.[3]
Genetik veriler bakımından veri sorumluları ve veri sahipleri
KVKK uyarınca veri sorumlusu, kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir. Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği m. 18/2 uyarınca, genetik hastalıkların teşhisi, çeşitli hastalıkların tedavi yanıtı, hastalıktan sorumlu genin belirlenmesi, bir hastalığa genetik yatkınlık veya hassasiyete yönelik testler, tıbbi gereklilik durumlarında veya tıbbi amaçlı bilimsel araştırmalar için ve uygun genetik danışmanlık hizmeti verilmesi şartıyla sadece genetik hastalıklar değerlendirme merkezlerinde yapılabilir. Bu kapsamda Rehber, anılan merkezlerin bağlı bulunduğu, veri işleme amaç ve vasıtalarını belirlemekten ve veri kayıt sistemini tutmaktan sorumlu kişilerin (bakanlıklar ve üniversiteler gibi) veri sorumlusu olacağını ifade eder. Somut olayın özelliklerine göre eğitim ve rehabilitasyon merkezleri, belediyeler, sağlık hizmetleri sunan kurum ve kuruluşlar, kamu kurum ve kuruluşları, sigorta şirketleri gibi gerçek ve tüzel kişiler de veri sorumlusu olabilir.[4]
Diğer yandan KVKK uyarınca ilgili kişi, kişisel verisi işlenen gerçek kişidir ve Rehber, genetik verilerin işlenmesi bakımından yalnızca ilgili kişilerin değil, genetik irtibatı sebebiyle ilgili kişinin akrabalarının da genetik verisinin işlenebileceğine dikkat çeker.
Genetik verilerin işlenmesi
Rehber, genetik verilerin işlenmesi bakımından kişisel veri işleme faaliyetlerine hâkim olan genel ilkeleri hatırlatır. Bu doğrultuda, temel hak ve özgürlüklere dokunulmamalı; kişisel veri işleme faaliyetlerinin genetik verilerin işlenme amacını gerçekleştirmeye elverişli; amaç bakımından gerekli ve amaçla orantılı olmalıdır. Ayrıca genetik veriler, amacın gerçekleştirilmesi için gerekli sürelerle saklanmalıdır; veri sorumluları saklanan verileri düzenli şekilde gözden geçirmeli, artık gerekmediği tespit edilen verileri imha etmelidir.[5]
KVKK m. 6/2 uyarınca özel nitelikli kişisel veriler ancak ilgili kişinin açık rızası ile işlenebilir. Kuralın istisnası ise anılan maddenin üçüncü fıkrasında düzenlenir ve buna göre sağlık verileri, ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından açık rıza aranmaksızın işlenebilir. Diğer yandan, günümüzde genetik veriler, teşhis ve tedavi amacıyla işlenebildiği gibi, beslenme ve spor yatkınlıklarının tespiti gibi ticari amaçlı testlere de konu olabilmektedir. Bu doğrultuda genetik veriler; koruyucu hekimlik, tedavi ve teşhis amaçlarıyla ilgili kişinin açık rızası aranmaksızın; akrabalık tespiti veya spor yatkınlıklarını anlama gibi ticari testler için açık rıza ile işlenebilir. Açık rızaya gerek olsun veya olmasın, veri sahipleri her durumda bilgilendirilmelidir.
Rehber, açık rızanın gerektiği veri işleme faaliyetleri bakımından bir ürün veya hizmetten yararlanmanın açık rıza verilmesi şartına bağlanamayacağını da hatırlatır. Bu kuralı ise örneklendirir ve bir diyet hizmetinin sağlanmasının gıda intoleransı testi yapılmasına bağlanamayacağını belirtir.[6]
Rehber, genetik verilerin yurt dışına aktarılması bakımından KVKK m. 9’a (Kişisel verilerin yurt dışına aktarılması) atıf yapar. Ayrıca istisnaların düzenlendiği KVKK m. 28’e dikkat çekerek; bilimsel amaçlarla kişisel verilerin işlenmesi halinde KVKK’nın uygulanmayacağını ifade eder. Bilimsel amaçlarla işleme ise, Kişisel Sağlık Verileri Hakkında Yönetmelik ile düzenlenir. Buna göre genetik veriler, özel hayatın gizliliğini veya kişilik haklarını ihlâl etmemek ya da suç teşkil etmemek kaydıyla bilimsel amaçlarla işlenebilir. Bu durumda genetik veriler veri sahibi ile ilişkilendirilemeyecek şekilde saklanmalıdır. Ayrıca bilimsel araştırma ile hedeflenen sonuç için genetik verilerin işlenmesi zorunlu olmalıdır; işleme faaliyeti amaçla bağlantılı, sınırlı ve ölçülü olmalıdır; imha politikalarına riayet edilmelidir.
Veri Sorumlularının Yükümlülükleri ve Rehber ile Sunulan Öneriler
Rehber, genel olarak KVKK ile öngörülen veri sorumlularının aydınlatma yükümlülüğü, veri sorumluları siciline kayıt yükümlülüğü ve gerekli teknik ve idari tedbirlerin alınması yükümlülüklerine işaret eder. Genetik veri işleyen veri sorumluları bakımından idari ve teknik tedbirlere ilişkin öneriler getirir. Dikkat çekenler ise aşağıdaki gibidir.
Uygulanabilecek teknik tedbirler kapsamında, genetik verilerin bulutta tutulmaması önerilir. Özellikle analiz programları bakımından bulut sistemlerinin kullanılması gerekirse, bulutta tutulacak genetik veriler kayda alınmalı ve erişim için iki kademeli doğrulama kullanılmalıdır. Ayrıca endüstri standartları ve iyi uygulama örnekleri gözetilerek, genetik veriler kriptografik yöntemlerle saklanmalıdır.[7] Bu doğrultuda, şifreleme ve anahtar yönetimi politikası hazırlanmalı, sınırlı sayıda çalışanlar anahtarlara erişebilmelidir. Ayrıca Rehber, sunucuların yurt dışında bulunmasının yurt dışı aktarım teşkil edeceğini hatırlatır.[8]
Veri sorumluları lisanslı ve güncel yazılımlar tercih etmelidir. Yazılımlar üzerindeki işlemler takip edilmeli ve log kayıtları tutulmalıdır. Ayrıca genetik veri tutulan sistemler düzenli olarak test edilmelidir.[9] Canlıya alınacak sistemler veya sistem değişiklikleri için yapılacak testler gerçek olmayan verilerle gerçekleştirilmeli, eğer bu mümkün değilse veri minimizasyonu ilkesine uyulmalıdır.[10]
Rehber, idari tedbirler bakımından GDPR m. 25 ile düzenlenen Mahremiyet Temelli Tasarım (Privacy by Design) ilkesine atıfta bulunur. Veri sorumluları, veri güvenliği hassasiyetini ilk andan itibaren taşımaları gerekir. Örneğin, genetik veri işleyecek bir kuruluş, olası tüm riskleri önceden tahmin etmeli, olası zararları hesaplamalı ve uygun önlemleri önceden benimsemelidir. Ek olarak, işlenen veri veya kullanılan teknolojiler göz önünde bulundurularak, yüksek riskli olduğu değerlendirilen veri işleme faaliyetleri bakımından veri sorumlularının GDPR m. 35 uyarınca Veri Koruma Etki Değerlendirmesi (Data Protection Impact Assessment (DPIA)) yapmaları önerilir. Rehber, DPIA’nın asgari unsurlarını sayar ve Türk veri koruma mevzuatında düzenlenen bir kavram olmasa da veri işleme faaliyetlerinin doğurabileceği risklere karşı uygun teknik ve idarî tedbirleri belirmeye yardımcı bir metot olarak yer verir.[11]
Sonuç
Anılan Rehber, Kurum’un özel nitelikli veriler bakımından yaklaşımını ve iyi uygulama örneklerini ortaya koyar niteliktedir. Genetik veri kavramı, veri sorumlularının yükümlülükleri ile idari ve teknik tedbirlere ilişkin öneri ve açıklamaları yol göstericidir. Özellikle idari tedbirler bakımından Avrupa Birliği veri koruma mevzuatına atıfta bulunması; özellikle teknik ve idari tedbirler bakımından alternatif metotlara yer vermesi, veri güvenliği bakımından hassas yaklaşımını gösterir. Diğer yandan, genetik verileri işlenme faaliyetlerinin sadece ilgili kişi üzerinde değil, ilgili kişilerin yakınlarını, gelecek nesilleri ve ülkeleri etkileyebilecek niteliği haiz olduğu ifade edilir. Bu nedenle, veri güvenliği bakımından hem veri sorumluları nezdinde alınacak tedbirlerin kritik olduğuna hem de ulusal düzeyde tedbirlerin gerekliliğine dikkat çekilir.
- Kişisel Verileri Koruma Kurumu, Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber, Ekim, 2023, s. 8.
- Rehber, s. 10.
- Rehber, s. 12.
- Rehber, s. 22 ve 23.
- Rehber, s. 25-27.
- Rehber, s. 31.
- Rehber, s. 42.
- Rehber, s. 43.
- Rehber, s. 44.
- Rehber, s. 43.
- Rehber, s. 47.
Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.
Diğer İçerikler
Günümüzde ekonomik faaliyetlerin küresel ölçekte yürütülmesi, şirketlerin günlük faaliyetleri sırasında çok sayıda kişisel verinin uluslararası alanda aktarılmasına neden olmaktadır. Bu nedenle, ulusal ve uluslararası birçok veri mevzuatı gibi 6698 sayılı Kişisel Verilerin Korunması Kanunu da...
Tüm zamanların ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT, Bard ve Midjourney gibi araçları doğrudan etkileyen kural ve düzenlemeler içeren yasa Avrupa Parlamentosu tarafından 14 Haziran 2023 tarihinde gerçekleşen nihai oylamada oyçokluğuyla kabul edildi. Böylece Avrupa Parlamentosu...
Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...
ChatGPT, OpenAI tarafından geliştirilen büyük dil modelidir. İnsan diline yakın seviyede metin üretmek için derin öğrenme teknikleri ve yapay sinir ağlarına dayanan bir yapay zeka sistemidir. Uzun metinler hazırlayıp sohbet havasında sorulan soruları cevaplayabilen ChatGPT kimi hallerde verdiği cevaplardaki...
6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...
Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...
Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...
Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...
Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...
Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...
Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...
Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...
Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...
Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...
Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...
