Kişisel Verileri Koruma Kurumu Tarafından Genetik Verilerin İşlemesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Yayımlandı.

Kişisel Verileri Koruma Kurumu tarafından 24 Ağustos 2022 tarihinde Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı yayımlanmıştı. 13 Ekim 2023 tarihi itibariyle nihai hale getirilen Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Kişisel Verileri Koruma Kurumu’nun resmi internet sitesinde kamuoyu ile paylaşıldı.

Kişisel Verileri Koruma Kurumu (“Kurum”) tarafından daha önce yayımlanan Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı’nda (“Taslak Rehber”) yer verilen birçok husus Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber’e (“Rehber”) de dahil edilmiştir. Taslak Rehber’e ilişkin detaylı bilgi için Türk Veri Koruma Hukuku 2023 Yedinci Yılında Uygulamadaki Gelişmeler Güncellenmiş Versiyon’da yer alan “Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı” başlıklı içeriğimize bakabilirsiniz.

Rehber’de ile detaylı olarak aşağıdaki hususlara yer verilmiştir:

• Genetik veri tanımı,
• Genetik veri işleme süreçlerinde, Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında veri sorumlusu, veri işleyen, ilgili kişi ve genel ilkeler,
• Genetik verilerin KVKK’de yer alan kişisel veri işleme şartları kapsamında değerlendirilmesi ve yurtdışına aktarılması,
• Genetik veri işlenmesinde veri sorumlusunun yükümlülükleri ve genetik veri güvenliğine ilişkin teknik ve idari tedbirler,
• Genetik veri işlenmesine ilişkin öneriler ve tavsiyeler.

Genetik Veri Tanımı

KVKK madde 6 kapsamında özel nitelikli veri olarak kabul edilen genetik veri, Rehber ile ilk defa kapsamlı bir tanıma kavuşmuştur. Rehber’de Avrupa Birliği Genel Veri Koruma Tüzüğü (“GVKT”) kapsamındaki tanımına da yer verilmiş olup; nihai olarak genetik veri için “canlıya ait genomdan hücre çekirdeğinden ya da mitokondrisinden kodlanan tüm DNA, RNA ve Protein diziliminden elde edilen bilgilerin tamamı ya da bir kısmıdır. Genetik veriler sadece bir SNP (Single Nükleotit Polimorfizm) bilgisi olabileceği gibi çok kapsamlı tüm genom dizilimi bilgisi de olabilir. Bu veriler canlıdan elde edilmiş DNA ve/ veya RNA’dan kalıtsal olan veya kalıtsal olmayan tüm genomik değişiklikleri kapsamaktadır” açıklamasına yer verilmiştir. Ayrıca genetik veri için;

• Anlamlandırılabilir veya bilgilendirici olması için analiz edilmesi gerektiğine,
• Ham verilerin ve biyolojik örneklerin analiz edilmeden önce de değerli ve anlamlı olduğu ve bir gerçek kişiyi belirlenebilir kılma potansiyeli olduğunu göz önüne alınması gerektiğine,
• Ölmüş kişilerden alınmış olan numunelerin de yıllar sonra bir gerçek kişiyi belirlenebilir kılacak şekilde analiz edilmesi ihtimali olduğuna dikkat çekilmiştir.

Genetik Veri İşleme Süreçlerinde, KVKK Kapsamında Veri Sorumlusu, Veri İşleyen, İlgili Kişi ve Genel İlkeler

Veri Sorumlusu: Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği uyarınca Genetik Hastalıklar Değerlendirme Merkezlerinin faaliyet gösterebilmesi için Sağlık Bakanlığı’ndan ruhsat almaları gerekmektedir. Bu çerçevede genetik hastalıkların teşhisine ve çeşitli hastalıkların tedavi yanıtına veya kişinin bir hastalıktan sorumlu bir gen taşıyıp taşımadığını belirlemeye ya da bir hastalığa genetik yatkınlığı veya hassasiyeti olup olmadığını ortaya çıkarmaya yönelik testlerin, sadece tıbbi gereklilik durumlarında veya tıbbi amaçlı bilimsel araştırmalar için ve uygun genetik danışmanlık hizmeti verilmesi şartıyla sadece Genetik Hastalıklar Değerlendirme Merkezlerinde yapılabilecektir. Bu doğrultuda, Sağlık Bakanlığı’nın ve üniversitelerin de veri sorumlusu niteliğini haiz olacağı Rehber’de belirtilmiştir.

İlgili Kişi: Rehber’de, genetik verilerin işlenmesi sürecinde, ilgili kişi dışında genetik irtibatı olan akrabaların verilerinin işlenebileceği ve bu nedenle başka kişilerin verilerinin işlenmesinin farklı bir amaç doğurabileceği vurgulanmaktadır.

Genel İlkeler ve Mevzuat kapsamında Saklama Süresi: Genetik veriler, KVKK’nin genel ilkelerine uygun olarak işlenebilir. Bu çerçevede, işlenen genetik verilerin gerektiği süre boyunca saklanması ve gerekli olmadığında hemen kişisel veri saklama ve imha politikasına uygun şekilde imha edilmesi gereklidir. Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği uyarınca, merkezlerde raporlar ve kayıtlar en az 30 yıl, elektronik kayıtlar yedeklenerek süresiz, numuneler ve lamalar ise uygun şartlarda en az iki yıl boyunca saklanmalıdır.

Genetik Verilerin KVKK’de Yer Alan Kişisel Veri İşleme Şartları Kapsamında Değerlendirilmesi ve Yurtdışına Aktarılması

Genetik veri, ilgili kişinin açık rızası alınarak işlenebilecektir. Rehber’de genetik verisi işlenen ilgili kişilerin açık rızalarının yalnızca bir açık rıza metninin okutulup imzalatılması şeklinde alınması yeterli olmadığı; ilgili kişinin genetik veri işleme faaliyetini ve sonuçlarını net bir şekilde anlamasının sağlanması gerektiğinin altı çizilmiştir. Öte yandan, genetik veriler; bir sağlık verisi olarak koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla KVKK madde 6/3 kapsamında, sağlık gereklilikleri doğrultusunda yapılması zorunlu testler için ilgili kişilerin rızaları aranmadan da işlenebilecektir.

Rehber’de, “Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği” kapsamında yurt dışına örnek gönderimi Sağlık Bakanlığı’nın ruhsatlı genetik hastalıklar değerlendirme merkezleri üzerinden kayıt altına alınarak yapılabileceğine değinilmiştir.  Ayrıca, tetkik amacıyla insan kaynaklı biyolojik numuneler, Sağlık Bakanlığı’nın takip sistemine kaydedilecektir.  Sonuç olarak, çalışmayan testlere yönelik yurt dışına numune gönderimi sadece ruhsatlı Genetik Hastalıklar Değerlendirme Merkezleri ve tıbbi laboratuvarlar tarafından Sağlık Bakanlığının kontrolünde güvenli ve uygun bir şekilde “Yurt Dışı Biyolojik Materyal Transfer Sistemi” aracılığıyla gerçekleşebilecektir.  Öte yandan, Tıbbi Laboratuvarlar Yönetmeliği uyarınca yurt dışına tetkik amaçlı numune gönderme yetkisi sadece ruhsatlı tıbbi laboratuvarlara ait olabileceği; tetkik amacıyla insan kaynaklı biyolojik numunelerin, Türkiye’ye giriş ve çıkışı Sağlık Bakanlığı’nın onayı ile yapılabileceği düzenlenmiştir.

Veri Sorumlusunun Yükümlülükleri

Aydınlatma Yükümlülüğü: Rehber’de Genetik verisi işlenen ilgili kişilerin aydınlatılması bakımından yalnızca genel açıklamaların yer aldığı bir aydınlatmanın yapılmasının yeterli olmadığının altı çizilmiştir. Bu kapsamda, hangi genetik verilerin hangi hukuki sebeple ve hangi amaçla toplandığı, bu verilerin önemi, ihlâl durumunda ortaya çıkabilecek sonuçların neler olabileceği (genetik verilerin işlenmesine yönelik riskler) hususlarına ilişkin olarak ilgili kişileri ayrıca aydınlatmalıdır. İlgili kişinin genetik veri işleme faaliyetini ve sonuçlarını, genetik verinin işlenmesinin sadece ilgili kişinin değil diğer aile fertlerinin de verisine erişilebileceğini net bir şekilde anlaması sağlanmalıdır. Ayrıca, Hasta Hakları Yönetmeliği’nde bahsi geçen “bilgilendirme” kavramının KVKK kapsamında “ilgili kişi” sıfatını alan hastanın kişisel verileri işlenmeden önce kendisine yapılması gereken aydınlatmadan farklı bir bilgilendirme olduğu ve açık rıza yerine geçmeyeceği vurgulanmıştır.

Ayrıca genetik veri işleyen veri sorumluları Veri Sorumluları Sicili’ne (“VERBİS”) kaydolmak ve gerekli teknik ve idari tedbirleri almakla yükümlüdür.

Genetik Veri Güvenliği

 Rehber’de, “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile ilgili Kurulun 31 Ocak 2018 tarihli ve 2018/10 sayılı Kişisel Verileri Koruma Kurulu Kararında yer alan hususlara dikkat edilmesi gerektiği vurgulanmıştır.  Veri sorumlularının, ayrıca genetik veri işleme hususunda aşağıdaki tedbirleri de alması tavsiye edilmiştir.

Teknik Tedbirler

• Bulut Ortamında Genetik Verilerin Muhafaza Edilmesi: Rehber’de Genetik verilerin bulut sistemlerinde tutulmaması önerilmektedir. Bulut ortamında genetik verinin işlenmesinin gerekmesi halinde aşağıda yer alan hususlara dikkat edilmesi gerektiğinin altı çizilmiştir:
• Bulutta depolanan genetik verilerin neler olduğunun detaylıca kaydı tutulmalı,
• Bulut dışında yedekleri alınmalı,
• Buluttaki genetik verilere uzaktan erişim için iki kademeli kimlik doğrulama kontrolü uygulanmalı,
• Yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmeli,
• Standartlaştırılmış ve güvenli kriptografik algoritma takımında yer alan algoritmaları barındıran endüstri standartları ve en iyi uygulama örneklerinden olan uygulama, cihaz ve sistemler kullanılmalı,
• Standartlaştırılmış kriptografik algoritma takımında yer almayan kriptografik algoritmaların kullanımının gerekmesi durumunda kullanım öncesinde, yetkilendirilmiş kripto analiz laboratuvarı tarafından yeterli güvenlik seviyesinde olup olmadıklarının analizi ve değerlendirilmesi yapılmalı,
• Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalı,
• Kriptografik anahtarlara erişim sadece yetki sahibi kleranslı (kripto güvenlik belgesi) personel ile sınırlandırılmalı,
• Mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılmalıdır.
• Cihazların bakım, onarım, tamirat vb. için yetkili firmalara teslimi veya kiralanmış cihazların ilgili firmalara iadesi durumunda cihaz üzerinde yer alan veri muhafaza üniteleri sökülerek alınmalı veya tüm veriler harddisk ortamında laboratuvara teslim edilmeli ve firmaya ait cihaz veya sunucuda veri olmadığına dair firmadan yazılı taahhütname alınmalıdır.
• Sistemin kurulmasından önce ve herhangi bir değişiklikten sonra, test ortamlarında mümkünse sentetik veriler (gerçek olmayan) aracılığıyla sistemi test edilmelidir.
• Test amaçlı çalışmalarda, gerçek veri kullanılması halinde genetik verileri veri minimizasyonu ilkesine uygun şekilde kullanılmalıdır.
• Sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz eden ve/veya genetik verileri koruma altına alan ve rapor veren önlemler uygulanmalıdır.
• Sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanılmalı, yama yönetimi sağlanmalı, mümkün olduğunca açık kaynak kodlu yazılımlar tercih edilmeli ve sistemdeki gerekli güncellemeleri zamanında yapılmalıdır.
• Genetik veri işleyen yazılım üzerindeki kullanıcı işlemleri izlenebilmeli ve sınırlandırılabilmelidir. Genetik veri işlenen program/sistem üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları(log) ayrı bir sistemde, düzenli olarak tutulmalı ve güvenli bir şekilde korunmalıdır.
• Genetik veri işlenen sistemlerin donanımsal ve yazılımsal güvenlik testleri periyodik olarak yapılmalıdır.
• 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi ve Genelge kapsamında Cumhurbaşkanlığı Dijital Dönüşüm Ofisi koordinasyonunda hazırlanan Bilgi ve İletişim Güvenliği Rehberi kapsamındaki tedbirlere riayet edilmelidir.

İdari Tedbirler

• Her ne kadar Türk mevzuatı kapsamında yer almasa da Rehber’de GVKT’de yer alan kavramlar olarak; genetik veriler için “Mahremiyet Temelli Tasarım” (Privacy by Design) esasına göre kurulması ve yönetilmesi ve Veri Koruma Etki Değerlendirmesi uygulanması gerektiği belirtilmiştir.
• Genetik veriler; yetkili, konu ile ilgili eğitim almış ve kendisiyle gizlilik sözleşmeleri akdedilmiş personel dışında kimse tarafından erişilemeyecek şekilde muhafaza edilmelidir.
• Kişisel Veri İşleme Envanteri hazırlanmalı ve VERBİS bildirimde bulunulmalıdır.
• Genetik veri işleme süreçlerine ilişkin ayrı işleme politikaları, acil durum prosedürleri ve raporlama mekanizmaları oluşturulmalıdır.
• Elektronik ortamdaki genetik veriler, güvenli yedekleme sistemiyle düzenli olarak yedeklenmeli ve veri seti yedekleri mutlaka ağ dışında tutulmalıdır.
• Mevzuata uygun ve detaylı olarak aydınlatma yükümlülüğü yerine getirilmeli, gerekmesi halinde ilgili kişinin açık rızası alınmalıdır.
• Genetik verilere dair veri işleme faaliyetlerine ilişkin kurum içi rastgele ve periyodik denetimler ile risk analizleri vasıtasıyla veri sorumlusu, olası bir veri ihlâline karşı kendisinin hazırlık durumunu sürekli olarak ölçmeli ve izlemelidir.
• Genetik veri işleme süreçlerinde veri sorumlusu veri işleyenlerle yapılacak hizmet sözleşmelerinde gerekli görülen güvenlik tedbirlerine yer verilmeli ve tercih edilecek veri işleyen nezdinde gerekli teknik ve idari tedbirlerin sağlanıp sağlanmadığı hususunda belirli periyotlarla denetimler yapılmalı veya yaptırılmalıdır.
• Yukarıda sayılan bütün bu ilkelerin ve kriterlerin sağlandığı hususu veri sorumlusu tarafından kayıt altına alınıp belgelendirilmelidir ve kamuoyuna açıklanmalıdır.

Öneriler ve Tavsiyeler

 “Bilgi ve İletişim Güvenliği Tedbirleri” konulu ve 2019/12 sayılı Cumhurbaşkanlığı Genelgesi’nde de belirtildiği üzere genetik verilerin kritik bilgi olarak değerlendirilmesi ve yurtiçinde güvenli şekilde depolanması gerektiğine dikkat çekilmiştir. Bu doğrultuda, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından yayımlanan “Bilgi ve İletişim Güvenliği Rehberi” uyarınca, ulusal ve uluslararası standartlar ve bilgi güvenliği kriterleri çerçevesinde genetik verilerin işlenmesi tavsiye edilmiştir.

Rehber’e bu linkten ulaşabilirsiniz.