Kişisel Verilerin Korunması Kanunu’nun 6. Maddesinin 1. Fıkrasında “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir” denilerek, genetik verilerin özel nitelikli kişisel veri olduğu açıkça belirtilmiştir.
Avrupa Birliği Genel Veri Koruma Tüzüğünün (GVKT) 4 üncü maddesinin 13 üncü fıkrasında genetik verinin tanımı yapılmıştır. Buna göre; bir gerçek kişinin fizyoloji veya sağlığı ile ilgili eşsiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numunenin analizinden kaynaklanan ve söz konusu kişinin kalıtım yoluyla alınan veya kazanılan özelliklerine ilişkin kişisel verilere genetik veri adı verilmektedir.
Genetik verilerin işlenmesi, niteliği itibarıyla son derece hassas olduğundan Kurum tarafından genetik verilerin işlenmesinde dikkat edilmesi gereken noktalara ilişkin 19 sayfalık bir taslak yayınlandı. İşbu taslağa göre veri sorumlusu; Genetik Hastalık Değerlendirme Merkezlerinin bağlı bulundukları kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan Bakanlık, üniversite, özel hukuk tüzel kişisi vb. gibi gerçek veya tüzel kişilerdir. Veri işleyen ise; veri sorumlusunun verdiği yetki ile kişisel verileri işleyen, genetik verilerin tutulduğu bulut sistemleri gibi gerçek veya tüzel kişilerdir. İlgili kişi; kişisel verisi işlenen gerçek kişi, kişisel veri ise kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir.
Ayrıca; genetik verilerin işlenmesi sürecine bakacak olursak yalnızca ilgili kişilerin kendilerinin değil, aralarında genetik bağlantı olan diğer akrabalarının da genetik verisinin işlenmesi gibi bir durum ortaya çıkmaktadır.
Genetik Verilerin İşlenmesinde İlkeler
- Temel hak ve özgürlüklerin özüne dokunulmamasına dikkat edilerek, gerekli tedbirler alınarak işlenmelidir.
- Genetik veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması gerekmektedir.
- Genetik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olmalıdır.
- Genetik veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunmalıdır.
- İşlenen genetik verilerin gereken süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin kişisel veri saklama ve imha politikasına uygun olarak imha edilmesi gerekmektedir.
- Genetik veriler, 6098 Sayılı KVKK kapsamında işlenirken ilgili kişinin açık rızasının geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerekmektedir. Ayrıca kişi, neye rıza gösterdiğini de bu rızanın sonuçlarının ne olacağını da bilmelidir. Bu durumun istisnaları mevcuttur. Örneğin; bir sağlık verisi olarak koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin gerçekleştirilmesi amacıyla, sağlık gereklilikleri doğrultusunda yapılması zorunlu testler için ilgili kişilerin rızaları aranmadan da genetik veriler işlenebilmektedir.
- Genetik verilerin yurt dışına aktarılması için ilgili kişilerin açık rızalarının alınması suretiyle ya da KVKK’nın 6. Maddesi kapsamında Kanunlarda öngörülme sebebi ile verilerin işlenmesi durumunda ise Kanunun 9/2 (a) ve (b) bentlerinde yer alan koşulların bulunması gerekmekte olup diğer kanunlarda yer alan hükümler ise saklıdır.
- Genetik verilerin Kanunun 28 inci maddesinin 1 nci fıkrasının (c) bendi kapsamında bilimsel amaçlarla işlenmesi durumunda ise;
- Kişisel Sağlık Verileri Hakkında Yönetmeliğin 16 ncı maddesinde, sağlık verilerinin bilimsel araştırmalarda kullanımına ilişkin koşullara uyulması,
- Özel hayatın gizliliğini ve kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, genetik verilerin bilimsel amaçlarla kullanımı mümkün olsa da, bunun son çare olarak bilimsel araştırmadan beklenen sonuca ulaşılması için genetik verilerin işlenmesinin zorunlu olması halinde uygulanması,
- Kişisel verilerin korunması hakkının ihlal edilmemesini garanti ederek gerekli güvenlik tedbirlerinin sağlanması ve bu doğrultuda özellikle kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma ilkesine uygun hareket edilmesi,
- Tamamlanan bilimsel araştırmalar bakımından, kullanılan kişisel verilerin tutulmaya devam edilmesinin gerekip gerekmediğinin dikkatli bir şekilde değerlendirilerek, gerekmediği kanaatine varılması halinde bu kişisel verilerin kişisel veri saklama ve imha politikasına uygun olarak imha edilmesine yönelik gerekli mekanizmaların sağlanması kriterlerime uyulması gerekmektedir.
Tüm bunların yanında yayınlanan taslakta veri sorumlusunun yükümlülükleri, genetik veri güvenliğine ilişkin tedbirler ile öneriler ve tavsiyeler de yer almaktadır. Yayınlanan taslağın detaylarını inceleyebilmek için tıklayınız.
Kurum tarafından yapılan duyuruda yayınlanan taslak konusunda kamuoyunun görüşlerinin alınması için görüş ve değerlendirmelerin 24.09.2022 tarihine kadar yazı ile Kuruma ve/veya e-posta ile genetikveri@kvkk.gov.tr elektronik posta adresine gönderilebileceği belirtilmiştir.