İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik
EN

Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gerekenler


Genetik verilerin işlenmesi sonucu elde edilen bilgiler, oldukça hassas bir niteliğe sahiptir ve toplumun genelini etkileyebilecek ulusal stratejik sonuçlara yol açabilir. Bu nedenle genetik verilerin işlenmesi belirli kurallara ve prosedürlere bağlanmalıdır. Ayrıca, toplumun genel bilincinde bu konuda farkındalık yaratılması da büyük önem taşır. Bu sayede, bu verilerin etik ve güvenli bir şekilde işlenmesi sağlanabilir, kişisel gizlilik korunabilir ve olası riskler en aza indirilebilir. Genetik verilerin toplumun tamamını etkileyebilme potansiyeli göz önüne alındığında, bu konuda dikkatli bir yaklaşım ve düzenlemeler gereklidir. Kurumlar bu bağlamda genetik verileri işlerken kanuna uyum sağlamalıdır.

Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemek amacıyla Türkiye Büyük Millet Meclisi tarafından 24.03.2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun), 07.04.2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir.

Kanunun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinde kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileriözel nitelikli” kişisel veriler olarak sayılmıştır.

Genetik Veri Nedir?

Genetik veri, bir organizmanın kalıtımını ve biyolojik özelliklerini belirleyen bilgiyi taşıyan verilerdir. Bu veriler genellikle DNA (deoksiribonükleik asit) adı verilen bir molekülün içinde bulunur. Genetik veri, organizmanın genetik materyalini, genlerini ve genetik varyasyonları içerir. Genetik verinin temel bileşenleri DNA, genler, genetik varyasyondur.

Rehber Taslağı uyarınca genetik veri, bir gerçek kişinin fizyoloji veya sağlığı ile ilgili eşsiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numunenin analizinden kaynaklanan ve söz konusu kişinin kalıtım yoluyla alınan veya kazanılan özelliklerine ilişkin kişisel veri olarak tanımlanmaktadır.

Genetik Verilerin İşlenmesi ve İlkeleri

Veri sorumlusu, Kanunun 4 üncü maddesinde yer alan genel ilkelere ve 6 ncı maddesinde düzenlenen şartlara uygun bir şekilde, ancak aşağıda yer alan ilkeler doğrultusunda genetik verileri işlemelidir.

- Temel hak ve özgürlüklerin özüne dokunulmaması
- Genetik veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması
- Genetik veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması
- İşlenen genetik verilerin gereken süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin kişisel veri saklama ve imha politikasına uygun olarak imha edilmesi

Genetik verinin kanun kapsamında işlenmelidir:

- Genetik veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerekmektedir. Bilgilendirmenin, genetik veri işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlenmesinden önce yapılması gerekir.
- Genetik veriler; bir sağlık verisi olarak koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi amacıyla Kanunun 6 ncı maddesinin (3) numaralı fıkrası kapsamında, sağlık gereklilikleri doğrultusunda yapılması zorunlu testler için ilgili kişilerin rızaları aranmadan da işlenebilmektedir.

Genetik veriler kanunlarda öngörülme hallerinde de Kanunun 6 ncı maddesinin 3 numaralı fıkrası kapsamında işlenebilmektedir. Bu kapsamda işlenen genetik veriler hakkında yine ilgili kişilerin aydınlatılması ve söz konusu Kanunda yer alan hükümler kapsamında işlenen verilerin saklama ve imha politikasına uygun olarak imha edilmesi gerektiği unutulmamalıdır.

- Kanunun 9 uncu maddesi çerçevesinde genetik verilerin yurt dışına aktarılması için ya ilgili kişilerin açık rızalarının alınması ya da Kanunun 6 ncı maddesi kapsamında kanunlarda öngörülme sebebi ile kişisel verilerin işlenmesi durumunda ise Kanunun 9 uncu maddesinin (2) numaralı fıkrasının (a) ve (b) bentlerinde yer alan koşulların bulunması gerekmekte olup diğer kanunlarda yer alan hükümler ise saklıdır.
- Kanunun 28 inci maddesi kapsamında istisnalara buradan ulaşabilirsiniz.

Veri Sorumlularının Yükümlülükleri

- Aydınlatma Yükümlülüğü: Genetik verinin işlenmesine ilişkin olarak veri sorumlularının veya yetkilendirdiği kişilerin Kanunun 10 uncu maddesine uygun bir biçimde verilerin elde edilmesi sırasında aydınlatma yükümlülüğünü yerine getirmesi gerekmektedir.
- Veri Sorumluları Siciline Kayıt Yükümlülüğü: Kanunun 16 ncı maddesine göre kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorumluları Siciline kaydolmak zorundadır.
- Diğer yükümlülükler: Veri sorumluları ayrıca kişisel verilerin işlenmesi sırasında gerekli teknik ve idari tedbirleri almakla da yükümlüdür.

Genetik Veri Güvenliği

Genetik veri işleyen veri sorumlularının; Kanun, yönetmelik, tebliğ ve Kurul kararlarında yer alan kişisel veri güvenliği ile ilgili hususlara dikkat etmeleri zorunludur. Veri sorumlusu, verilerin niteliği ve veri işlemenin ilgili kişi açısından oluşturacağı muhtemel risklerle ilgili olarak, kişisel verilerin güvenliğini sağlamak amacıyla gerekli her türlü teknik ve idari tedbirleri almalıdır.

Teknik Tedbirler:

- Genetik verilerin bulut sistemlerinde tutulmaması tercih edilmelidir.
- Cihazların bakım, onarım, tamirat vb. için yetkili firmalara teslimi veya kiralanmış cihazların ilgili firmalara iadesi durumunda cihaz üzerinde yer alan veri muhafaza üniteleri sökülerek alınmalı veya tüm veriler harddisk ortamında laboratuvara teslim edilmeli ve firmaya ait cihaz veya sunucuda veri olmadığına dair firmadan yazılı taahhütname alınmalıdır.
- Veri sorumluları sistemi kurmadan önce ve herhangi bir değişiklikten sonra, oluşturulacak test ortamlarında mümkünse sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir.
- Veri sorumluları sistemde sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanmalı, yama yönetimi sağlamalı, mümkün olduğunca açık kaynak kodlu yazılımları tercih etmeli ve sistemdeki gerekli güncellemeleri zamanında yapmalıdır.
- Veri sorumluları genetik veri işleyen yazılım üzerindeki kullanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir.
- Genetik veri işlenen sistemlerin donanımsal ve yazılımsal güvenlik testleri periyodik olarak yapılmalıdır.
- Bilgi ve İletişim Güvenliği Rehberi kapsamındaki tedbirlere riayet edilmelidir.

İdari Tedbirler:

- Kişisel veri güvenliğinin ve bilhassa genetik veri mahremiyetinin henüz tasarım aşamasında dikkate alınarak tüm mekanizmaların bu temelde öngörülerek hazırlandığı “Mahremiyet Temelli Tasarım” (Privacy by Design) esasına göre kurulması ve yönetilmesi gerekmektedir.
- Genetik veri işleyen veri sorumluları tarafından, verilerin niteliği ve veri işlemenin ilgili kişi açısından oluşturacağı muhtemel risklerle ilgili olarak Veri Koruma Etki Değerlendirmesi uygulanmalıdır.
- Genetik veriler; yetkili, konu ile ilgili eğitim almış ve kendisiyle gizlilik sözleşmeleri akdedilmiş personel dışında kimse tarafından erişilemeyecek şekilde muhafaza edilmelidir.
- Kişisel Veri İşleme Envanteri hazırlanmalı ve Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) bildirimde bulunulmalıdır.
- Genetik veri işleme süreçlerine ilişkin ayrı işleme politikaları, acil durum prosedürleri ve raporlama mekanizmaları oluşturulmalıdır.
- Genetik verilerin işlenmesini içeren veri işleme faaliyetleri öncesinde ilgili kişiler, 6698 sayılı Kanun’un 10’uncu maddesi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ hükümleri uyarınca doğru tanzim edilmiş ve geçerli aydınlatma metinleri vasıtasıyla detaylı bir şekilde bilgilendirilmeli ve gerekmesi hâlinde ilgili kişinin açık rızası, Kanuna uygun bir şekilde alınmalıdır.
- Genetik verilere dair veri işleme faaliyetlerine ilişkin kurum içi rastgele ve periyodik denetimler ile risk analizleri vasıtasıyla veri sorumlusu, olası bir veri ihlâline karşı kendisinin hazırlık durumunu sürekli olarak ölçmeli ve izlemelidir.
- Genetik veri işleme süreçlerinde veri sorumlusu tarafından bir amaç doğrultusunda veri işleyen tercih edilmesi durumunda; veri işleyenlerle yapılacak hizmet sözleşmelerinde gerekli görülen güvenlik tedbirlerine yer verilmeli ve tercih edilecek veri işleyen nezdinde gerekli teknik ve idari tedbirlerin sağlanıp sağlanmadığı hususunda belirli periyotlarla denetimler yapılmalı veya yaptırılmalıdır.

Kaynak: KVKK

Yazar: Nazlıcan Hatice TANIN/ BeyazNet Bilgi Sistemleri Denetim Uzmanı