Kişisel Verileri Koruma Kurumu’nun internet sitesi vasıtasıyla 24.08.2022 tarihinde Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı paylaşılmıştır. Paylaşılan Taslak Rehber’de öne çıkan detayları sizin için derledik.
- Avrupa uygulamasına bakıldığında genetik verinin GDPR’ın 4. maddesinin 13. fıkrasında “Bir gerçek kişinin fizyoloji veya sağlığı ile ilgili eşsiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numunenin analizinden kaynaklanan ve söz konusu kişinin kalıtım yoluyla alınan veya kazanılan özelliklerine ilişkin kişisel verilerdir.” şeklinde tanımlanmış; Recital 34’te ise genetik verilerin gerçek kişilerin kalıtsal ya da sonradan kazanılmış genetik özellikleriyle ilgili kişisel verisi olarak tanımlanması gerektiği vurgulanmıştır.
- Genetik verinin anlamlandırılabilir veya informatif olması için analiz edilmesi gerekmektedir.
- Genetik verilerin, anonim hale getirilebileceği hususunda net bir sonuç ortaya çıkmadığından ötürü anonim hale getirme kavramı yerine kimliksizleştirme kavramı kullanılmalıdır.
- Genetik verilerin Kanun’un 6. maddesi uyarınca; yalnızca tıbbi teşhis ve tedavi amacıyla işlenmesi durumunda kişisel sağlık verisi olarak kabul edilmesi gerekmektedir.
- Genetik verilerin işlenmesi hususunda önemli sorunlardan birinin ilgili kişilerin açık rızaları alınmaksızın ve tıbbı teşhis ve tedavi amaçlı zorunlu olarak ya da zorunlu nedenler dışında kişilerin tercihine bağlı olarak yurt dışına veri aktarımı olduğuna değinmiştir.
- Tıbbi Laboratuvarlar Yönetmeliğinin 34’üncü maddesinin ikinci fıkrasında yer alan; “Yurt dışına tetkik amaçlı numune gönderme yetkisi sadece ruhsatlı tıbbi laboratuvarlara aittir. Bu Yönetmelik kapsamında tetkik amacıyla insan kaynaklı biyolojik numunelerin, Türkiye’ye giriş ve çıkışı Sağlık Bakanlığı’nın onayı ile yapılır.” hükmü ile Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliğinin 25’inci maddesinin ikinci fırkasında bulunan; “Yurt dışına tetkik amaçlı numune gönderme yetkisi sadece ruhsatlı Merkeze aittir.
- Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği’ne uygun ruhsat alarak faaliyet gösteren Genetik Hastalık Değerlendirme Merkezlerinin bağlı bulundukları kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler (Sağlık Bakanlığı, üniversite, özel hukuk tüzel kişisi vb.) veri sorumlusu niteliğini haizdir.
- Genetik Verilerin İşlenirken;
◊ Temel hak ve özgürlüklerin özüne dokunulmaması,
◊ Genetik veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması,
◊ Genetik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması,
◊ Genetik veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması,
◊ İşlenen genetik verilerin gereken süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin kişisel veri saklama ve imha politikasına uygun olarak imha edilmesi ilkelerine uygun olarak işlenmesi gerekmektedir.
- İlgili kişinin belirli bir genetik veri işleme faaliyeti için verdiği açık rızası sonucunda işlenen genetik veriler başkaca amaçlarla kullanılmamalıdır.
- Genetik verilerin ilgili kişilerin açık rızası ile işlenmesi kapsamında ilgili kişilerin karşılaşacakları neticeler, bu işleme faaliyetinin yalnızca kişilerin değil, ait olduğu soy bağına mensup kişilerin de kişisel verilerini içerme ihtimalini barındırdığı ve bu durumun taşıdığı riskler, bilhassa yurt dışına aktarımın söz konusu olması halinde, genetik verilerin akıbetinin takip edilmesine ilişkin muhtemel zorluklar, yurt dışında yerleşik veri sorumlularının veri güvenliği konusunda barındırdığı riskler, bu kapsamda yurt dışına aktarılan genetik verilerin 3. kişilere aktarılma ihtimali gibi netlik arz etmeyen durumlar ve bu durumların yaratabileceği olumsuz sonuçlar bakımından ilgili kişi açık ve ayrıntılı bir şekilde bilgilendirilmelidir.
- Genetik verilerin taşıdıkları önemden, bu verilerin mahiyetinden ve genetik veri sahibi ilgili kişinin ailesine ilişkin bilgileri de ihtiva etmesinden ötürü, aydınlatma yükümlülüğünün kapsamı genişletilerek genetik verisi işlenecek ilgili kişinin genetik veri işleme faaliyetinin gerekçelerini, neticelerini ve muhtemel risklerini anlayabileceği düzeyde bir ön danışmanlık, verinin ilk elde edilmesi sırasında veri sorumlusu ya da veri işleyen tarafından sağlanmalıdır.
- Genetik veri işleyenlerin Kurulun 31.07.2018 tarihli 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” ile 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi ve Genelge kapsamında Cumhurbaşkanlığı Dijital Dönüşüm Ofisi koordinasyonunda hazırlanan Bilgi ve İletişim Güvenliği Rehberi kapsamındaki öngörülen idari ve teknik tedbirlerin alınması gerektiği değerlendirilmektedir.
- Genetik veri işleyen veri sorumluları tarafından, verilerin niteliği ve veri işlemenin ilgili kişi açısından oluşturacağı muhtemel risklerle ilgili olarak Veri Koruma Etki Değerlendirmesi yapmalılardır.
Siber Güvenlik, Dijital Dönüşüm, MSSP, Sızma Testi, KVKK, GDPR, ISO 27001, ISO 27701 ve DDO Bilgi ve İletişim Güvenliği Rehberi başlıklarıyla ilgili teklif almak için lütfen tıklayın.