I. GİRİŞ
Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından 24.08.2022 tarihinde Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı (“Rehber Taslağı”) yayınlanarak kamuoyunun görüşüne sunulmuştur. Rehber Taslağı içeriğinde, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) uyarınca özel nitelikli kişisel veri olarak düzenlenen genetik verilerin, işlenmesi ve korunması sırasında dikkat edilmesi gereken hususlar ve bunlara yönelik bazı teknik ve idari tedbirlere yer verilmiştir.
Kurum tarafından yapılan kamuoyu duyurusunda; genetik verilerin, işlenmesiyle ortaya çıkan bilgiler açısından son derece hassas bir veri hüviyetine sahip olduğu ve toplumun tamamını etkileyebilecek ulusal stratejik sonuçlara sebep olabileceği ifade edilerek genetik verilerin işlenmesinin belirli kural ve prosedürlere bağlanması ve toplumsal alanda da farkındalık oluşturulması gerektiği belirtilmiştir.
Özellikle sağlık, genetik, biyomedikal, tıp, biyoteknoloji, farmasötik gibi alanlarda faaliyet gösteren kurum ve kuruluşlar ile yatırımcılar açısından oldukça önem arz eden bu Rehber Taslağı’na ilişkin değerlendirmelerimizi bu yazımız içeriğinde paylaşmaktayız.
II. KURAL OLARAK GENETİK VERİLERİN İŞLENMESİ VE REHBER TARAFINDAN ÖNGÖRÜLEN HUSUSLAR
Rehber Taslağı uyarınca “genetik veri, bir gerçek kişinin fizyoloji veya sağlığı ile ilgili eşsiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numunenin analizinden kaynaklanan ve söz konusu kişinin kalıtım yoluyla alınan veya kazanılan özelliklerine ilişkin kişisel veri” olarak tanımlanmaktadır. KVKK kapsamında genetik veri, özel nitelikli kişisel veri sayılmakta olup kural olarak ilgili kişinin açık rızası çerçevesinde işlenebilecektir. Bu durumun istisnası olarak KVKK kapsamında öngörülen bazı sınırlı durumların meydana gelmesi halinde genetik veriler, ilgili kişinin açık rızası olmaksızın işlenebilecektir.
Rehber Taslağı kapsamında KVKK’da belirtilen durumlara paralel olarak genetik verilerin, ilgili kişinin açık rızası olmaksızın yalnızca; (i) bir sağlık verisi olarak koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin gerçekleştirilmesi amacıyla sağlık gereklilikleri doğrultusunda yapılması zorunlu testler için ve (ii) kanunlarda öngörülen diğer hallerde (örn. Ceza Muhakemesi Kanunu uyarınca yapılabilecek moleküler genetik incelemeler için) işlenebileceği belirtilmiştir. Bu durumlar haricinde, genetik verilerin örneğin soy/köken yahut akrabalık ilişkilerinin tespiti, sportif faaliyetlere ya da herhangi bir yeteneğe yatkınlığın belirlenmesi, diyet hizmetleri gibi çeşitli sebeplere yönelik ticari amaçlar için işlenmesinin ancak ilgili kişinin açık rızası ile gerçekleştirilebileceği belirtilmiştir.
Genetik verilerin bilimsel amaçlı olarak ve KVKK’dan muaf tutularak kullanılabilmesi açısından ise Rehber Taslağı’nda Kurum tarafından özel bir değerlendirme yapılmış ve Kişisel Sağlık Verileri Hakkında Yönetmelik’teki genel ilkelerden hareketle etik kurul izinlerinin alınması suretiyle genetik verilerin bilimsel amaçla işlenebileceği belirtilmiştir.
III. GENETİK VERİLERİN YURTDIŞINA AKTARIMI
Genetik verilerin işlenmesi ile yalnızca genetik verisi işlenen gerçek kişi değil, aralarında genetik irtibat olan akrabalar, gelecek nesiller ve hatta ulusal güvenlik ile ekonominin de etkilenebileceği dikkate alınarak genetik verilerin yurtdışına gönderimi Kurum tarafından özel olarak düzenlenmiş ve bazı sınırlamalara tabi tutulmuştur.
Kural olarak genetik veriler ancak ilgili kişinin açık rızası ile yurt dışına aktarılabilecek olup bu durumun istisnası, aktarımın koruyucu tıbbi teşhis ve tedavi için zorunlu olmasıdır. Ancak yukarıda da belirtildiği üzere genetik verilerin, yalnızca ilgili kişiden ziyade kümülatif bir etkisi olması sebebiyle mümkün olduğunda yurtiçinde tutulması önem arz etmektedir. Nitekim Kurum da aynı görüşte olup Rehber Taslağı’nda bu yönde değerlendirmelere yer verilmiştir. Genetik verilerin kullanımını gerektiren neredeyse tüm test ve tetkikler ulusal laboratuvarlarda yapılabiliyor ise de bunun mümkün olmadığı durumlarda ancak ilgili kişinin açık rızası ile yurt dışına aktarımın gerçekleştirilebileceği, böyle bir durumun meydana gelmesi halinde ise aktarımın Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği ve Tıbbi Laboratuvarlar Yönetmeliği uyarınca genetik verilerin yurtdışına aktarımının ancak Sağlık Bakanlığı’ndan ruhsatlı genetik hastalıklar değerlendirme merkezleri ve ruhsatlı tıbbi laboratuvarlar aracılığıyla Sağlık Bakanlığı’nın gözetiminde yapılmasının son derece önemli olduğu ifade edilmiştir.
Önemle belirtmek gerekir ki bu yönde bir aktarımın varlığı halinde aydınlatma yükümlülüğünün kapsamı genişletilerek genetik verilerin akıbetinin takip edilmesine ilişkin muhtemel zorluklar, yurt dışındaki veri sorumlularının veri güvenliği konusunda barındırdığı riskler, bu kapsamda yurt dışına aktarılan genetik verilerin üçüncü kişilere aktarılma ihtimali gibi netlik arz etmeyen durumlar ve bu durumların yaratabileceği olumsuz sonuçlar bakımından ilgili kişinin açık ve ayrıntılı bir şekilde bilgilendirilmesi riskleri minimize etmekte önem arz etmektedir.
IV. GENETİK VERİLERİN KORUNMASI İÇİN REHBER TASLAĞI’NDA ÖNGÖRÜLEN BAZI TEDBİRLER
Rehber Taslağı kapsamında genetik veriler için, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler”e ilişkin 31.01.2018 tarihli ve 018/10 sayılı Karar’daki tedbirlere ek olarak birçok idari ve teknik tedbirlerin alınmasını tavsiye etmektedir. Önem arz bazı tedbirler ise şöyledir;
İdari Tedbirler
- Genetik veri mahremiyetinin henüz tasarım aşamasında dikkate alınarak tüm mekanizmaların bu temelde öngörülmesi ve Avrupa Birliği mevzuatında geçerli “mahremiyet temelli tasarım” esasına göre sürecin kurulması,
- Genetik verilerin yetkili, konu ile ilgili eğitim almış ve kendisiyle gizlilik sözleşmeleri akdedilmiş personel dışında kimse tarafından erişilemeyecek şekilde muhafaza edilmesi,
- Genetik veri işleme süreçlerine ilişkin ayrı işleme politikaları, acil durum prosedürleri ve raporlama mekanizmaları oluşturulması, elektronik ortamdaki genetik verilerin düzenli olarak yedeklenmesi ve yedeklerin mutlaka ağ dışında tutulması,
- Veri işleyenle çalışılması durumunda veri işleyenlerle yapılacak hizmet sözleşmelerinde en az veri sorumlusu tarafından sağlanan güvenlik seviyesindeki güvenlik tedbirlerine yer verilmesi,
Teknik Tedbirler
- Genetik verilerin bulut sistemlerinde tutulmaması; ancak bulutta depolanan genetik veriler varsa bu verilerin neler olduğunun kaydının tutulması, bulut dışında yedeklerinin alınması, uzaktan erişim için iki kademeli kimlik doğrulama kontrolü uygulanması ve verilerin kriptografik yöntemlerle şifrelenmesi,
- Veri sorumlularının genetik veri işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmesi ve sınırlayabilmesi,
- Veri sorumlularının veri işleme sistemini kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında mümkünse sentetik veriler aracılığıyla sistemi test etmesi.
IV. SONUÇ
Genetik verilerin işlenmesi yarattığı etki bakımından bireysel değil kümülatif olduğundan ulusal düzeyde korunması önem arz etmektedir. Bu minvalde genetik verilerin işlenmesi ve korunması, KVKK’ya ek olarak Kurum tarafından yayınlanan Rehber Taslağı ile de bazı prosedürlere bağlamış olup bu prosedürlere ve tavsiyelere uyulması son derece önemlidir. Rehber Taslağı’nın kesinleşerek yayınlanması akabinde genetik verilerin işlenmesi ve korunması hakkında ulusal düzeyde yol gösterici, hukuki ihtilaflarda esas alınacak ve toplumsal farkındalık yaratan bir kaynak ortaya çıkacaktır. Bu nedenle özellikle sağlık, genetik, biyomedikal, tıp, biyoteknoloji, farmasötik gibi alanlarda faaliyet gösteren kurum ve kuruluşlar ile yatırımcılar açısından sürecin takibi ve uyum çalışmalarının gecikmeksizin tamamlanması önem arz edecektir.