6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında özel nitelikli kişisel veri niteliğini haiz olan genetik verilerin işlenmesindeki önemi göz önünde bulunduran Kişisel Verileri Koruma Kurumu (“Kurum”) söz konusu verilerin işlenmesindeki kural ve prosedürleri belirlemek ve toplumsal farkındalık oluşturma amacı ile 24.08.2022 tarihinde Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber Taslağı (“Rehber Taslağı”) hakkında kamu duyurusu yayınlandı.

KVKK’nin özel nitelikli kişisel verilerin işlenme şartlarına ilişkin 6. maddesinin 1. fıkrasının “Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir” şeklindeki düzenlemesi kapsamında genetik veri özel nitelikli kişisel veriler arasında sayılmakla birlikte KVKK’da genetik verinin açık bir tanımı yer almamaktaydı. Bu durumdan hareketle Kurum Rehber Taslağı’nda genetik veriyi “Genetik veri canlıya ait genomdan hücre çekirdeğinden ya da mitokondrisinden kodlanan tüm DNA, RNA ve Protein diziliminden elde edilen bilgilerin tamamı ya da bir kısmıdır. Genetik veriler sadece bir SNP (Single Nükleotit Polimorfizm) bilgisi olabileceği gibi çok kapsamlı tüm genom dizilimi bilgisi de olabilir. Bu veriler canlıdan elde edilmiş DNA ve/veya RNA’dan kalıtsal olan veya kalıtsal olmayan tüm genomik değişiklikleri kapsamaktadır.” olarak tanımlama gereği duymuştur.

Rehber Taslağı’da genetik verilerin işlenmesinin Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği (“Yönetmelik”) kapsamında ruhsat almak kaydı ile genetik hastalıkların tanısının belirlenmesi amacıyla faaliyet gösteren Genetik Hastalıklar Değerlendirme Merkezlerinin ve bu merkezlerin bağlı bulundukları kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişilerin (Bakanlık, üniversite, özel hukuk tüzel kişisi vb.) veri sorumlusu sıfatını haiz oldu belirtilmektedir.

Rehber Taslağı uyarınca veri sorumlusu genetik verileri; KVKK’nın 4. maddesi kapsamında; (i) ölçülülük ilkesine riayet ederek, işlenen genetik verilerle bu verilerin işlenme arasında makul denge kurarak, (ii) işlendikleri amaca uygun nitelikte ve türde genetik veri işlemek suretiyle, (iii) genetik veri işlenmede kullanılan yöntemin veri işleme faaliyeti bakımından gerekli olması halinde, (iv) orantılılık ilkesi çerçevesinde genetik verinin işlenmesi ile hedeflenen amaç ile aracın arasında bulunması halinde, (v) Yönetmelik’in 24. maddesinin 4. fıkrasının “Merkezde raporlar ve kayıtlar en az otuz yıl, elektronik kayıtlar yedekleme ile birlikte süresiz, numuneler ve lamlar bozulmayacak şekilde uygun şartlarda en az iki yıl süre ile muhafaza edilir” hükmü çerçevesinde ancak genetik verilerin işlenmesini gerekli kılan süre boyunca ve KVKK’nin 6. maddesinde belirtilen özel nitelikli kişisel veri işleme şartları kapsamında işleyebilecektir.

Kurum’un ilgili kişinin genetik verilerinin aynı zamanda kişinin ailesine ilişkin özel nitelikli kişisel verileri de barındırıyor olması ihtimalini de göz önünde bulundurarak, Rehber Taslağı’nda veri sorumlularının genetik verilerin işlenmesi çerçevesinde KVKK’nin 10. maddesindeki aydınlatma yükümlülüklerinin kapsamını daha geniş olarak yorumlamaktadır.  Bu kapsamda, veri sorumlusunun genetik verisi işlenecek ilgili kişiye verinin ilk elde edilmesi sırasında genetik veri işleme faaliyetinin gerekçelerini, neticelerini ve muhtemel risklerini anlayabileceği düzeyde bir ön danışmanlık vermesi gerektiği belirtilmekte olup genel açıklamaların yer aldığı bir aydınlatmanın yapılmasının yeterli olmayacağı vurgulanmaktadır.

Genetik verilerin tam anlamıyla anonim hale getirilemeyeceği göz önünde bulundurularak, Rehber Taslağı’nda genetik veri işleyen veri sorumlusunun KVKK, yönetmelik, tebliğ ve Kurul kararları (birlikte “Mevzuat”) kapsamında veri güvenliği açısından alacağı teknik ve idari tedbirlere detaylı olarak yer verilmiştir. Söz konusu tedbirler aşağıdaki şekilde özetlenebilecektir:

• Genetik verilerin bulut sistemlerinde tutulmaması tercih edilmelidir. Genetik verinin işlenmesi için gerekli olması halinde ise bulutta depolanan genetik verilerin neler olduğunun detaylıca kaydı tutulmalı, bulut dışında yedekleri alınmalı, buluttaki genetik verilere uzaktan erişim için iki kademeli kimlik doğrulama kontrolü uygulanmalıdır.
• Veriler güncel teknolojiye uygun olarak, yeterli güvenliği sağlayacak kriptografik yöntemlerle şifrelenmelidir. Standartlaştırılmış ve güvenli kriptografik algoritma takımında yer alan algoritmaları barındıran uygulama, cihaz ve sistemler kullanılmalıdır.
• Sistem kurulmadan önce veya sistemde gerçekleştirilecek değişiklikten sonra oluşturulacak test ortamlarında gerçek olmayan veriler test edilmelidir.
• Sertifikalı teçhizat, lisanslı ve güncel yazılımlar kullanılmalıdır. Yazılım üzerindeki kullanıcı işlemleri izlenebilmeli ve sınırlandırılabilmelidir.
• Sistemlerin güvenlik testleri periyodik olarak yapılmalıdır.
• Genetik veri mahremiyetine ilişkin düzenlemelerin tasarım aşamasında olması nedeniyle oluşturulacak tüm mekanizmaların General Data Protection Regulation’ın (“GDPR”) 25. maddesi uyarınca “mahremiyet temelli tasarım” ilkesi esas alınarak oluşturulması gerekmektedir.
• Genetik veriler; yetkili, konu ile ilgili eğitim almış ve kendisiyle gizlilik sözleşmeleri akdedilmiş personel dışında kimse tarafından erişilemeyecek şekilde muhafaza edilmelidir.
• Kişisel Veri İşleme Envanteri hazırlanmalı ve Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) bildirimde bulunulmalıdır.
• Genetik veri işleme süreçlerine ilişkin ayrı işleme politikaları, acil durum prosedürleri ve raporlama mekanizmaları oluşturulmalıdır.
• Kurum içi rastgele periyodik denetimler yapılmalıdır.
• Veri işleyenlerle yapılacak sözleşmelerde gerekli görülen güvenlik tedbirlerine yer verilmeli ve tercih edilecek veri işleyen nezdinde gerekli teknik ve idari tedbirlerin sağlanıp sağlanmadığı hususunda belirli periyotlarla denetimler yapılmalı veya yaptırılmalıdır.