Yeni - Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber

VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER -- 1 of 68 -- -- 2 of 68 -- 1 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER 67 -- 3 of 68 -- GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER KVKK Yayınları No: 67 Nisan 2025, Ankara KİŞİSEL VERİLERİ KORUMA KURUMU Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 Çankaya/ANKARA Telefon: 0 312 216 50 00 Web: www.kvkk.gov.tr -- 4 of 68 -- 3 “Bu kitapta yer alan içeriklerin, bireysel kullanım dışında izin alınmadan kısmen ya da tamamen kopyalanması, çoğaltılması, kullanılması, yayınlanması ve dağıtılması kesinlikle yasaktır. Bu yasağa uymayanlar hakkında 5846 sayılı Fikir ve Sanat Eserleri Kanunu uyarınca yasal işlem yapılacaktır. Ürünün tüm hakları saklıdır.” ©Kişisel Verileri Koruma Kurumu -- 5 of 68 -- -- 6 of 68 -- 5 İÇİNDEKİLER 1. GİRİŞ ................................................................................................................ 7 2. KURUM TANITIMI ........................................................................................ 13 3. AMAÇ VE KAPSAM ....................................................................................... 16 4. VERİ SORUMLUSU VE VERİ İŞLEYEN ....................................................... 23 5. İLGİLİ KİŞİ ..................................................................................................... 25 6. GENETİK VERİLERİN İŞLENMESİ VE İLKELERİ .......................................26 6.1 Genel İlkeler .....................................................................................26 6.2 Genetik Verilerin Kanun Kapsamında İşlenmesi ...................30 6.3 Genetik Verilerin Yurt Dışına Aktarılması ................................ 37 6.4 Kanunun 28 inci Maddesi Kapsamında İstisnalar ................45 7. VERİ SORUMLULARININ YÜKÜMLÜLÜKLERİ ........................................48 7.1 Aydınlatma Yükümlülüğü ..............................................................48 7.2 Veri Sorumluları Siciline Kayıt Yükümlülüğü ...........................49 7.3 Diğer Yükümlülükler ......................................................................50 8. GENETİK VERİ GÜVENLİĞİ .........................................................................51 8.1 Teknik Tedbirler .................................................................................51 8.2 İdari Tedbirler...................................................................................54 9. ÖNERİLER VE TAVSİYELER .........................................................................60 -- 7 of 68 --

7.2 Veri Sorumluları Siciline Kayıt Yükümlülüğü ...........................49 7.3 Diğer Yükümlülükler ......................................................................50 8. GENETİK VERİ GÜVENLİĞİ .........................................................................51 8.1 Teknik Tedbirler .................................................................................51 8.2 İdari Tedbirler...................................................................................54 9. ÖNERİLER VE TAVSİYELER .........................................................................60 -- 7 of 68 -- GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER -- 8 of 68 -- 7 1. GİRİŞ Kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel ve- rileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacak- ları usul ve esasları düzenlemek amacıyla Türkiye Büyük Millet Meclisi tarafından 24.03.2016 tarihinde kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu (Kanun), 07.04.2016 tarihli ve 29677 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiştir. Kanunun “Özel nitelikli kişisel verilerin işlenme şartları” başlıklı 6 ncı maddesinde kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veriler olarak sayılmıştır. Kanun ile özel nitelikli kişisel veriler arasında sayılan genetik veri, bugüne kadar yayımlanmış mevzuatta kapsamlı olarak tanımlanmamıştır. Bununla birlikte, kişisel verilerin korunması alanında önemli değişiklikler yapan ve yenilikler getiren Avru- pa Birliği Genel Veri Koruma Tüzüğünün (GVKT) 4 üncü madde- sinin (13) numaralı fıkrasında yer alan “ ‘genetik veri’ bir gerçek kişinin fizyoloji veya sağlığı ile ilgili eşsiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numu- -- 9 of 68 --

pa Birliği Genel Veri Koruma Tüzüğünün (GVKT) 4 üncü madde- sinin (13) numaralı fıkrasında yer alan “ ‘genetik veri’ bir gerçek kişinin fizyoloji veya sağlığı ile ilgili eşsiz bilgiler sağlayan ve özellikle söz konusu gerçek kişiden alınan bir biyolojik numu- -- 9 of 68 -- 8 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER 8 nenin analizinden kaynaklanan ve söz konusu kişinin kalıtım yoluyla alınan veya kazanılan özelliklerine ilişkin kişisel veri- lerdir” şeklindeki hüküm ile genetik verinin ne olduğu düzen- lenmiştir. Bu maddenin gerekçesine (Recital 34) bakıldığında da genetik verilerin, gerçek kişiden alınan örneğin biyolojik analizinden kaynaklanan (özellikle kromozomal, deoksiribo- nükleik asit (DNA) veya ribonükleik asit (RNA) analizleri ya da bunu sağlayan başka bir elementin analizinden elde edilecek eşdeğer bilgiler) gerçek kişilerin kalıtsal ya da sonradan kaza- nılmış genetik özellikleriyle ilgili kişisel verisi olarak tanımlan- ması gerektiğinin belirtildiği görülmektedir. Bu çerçevede genetik veriye ilişkin şu açıklamalara yer vermek gerekir: Genetik veri canlıya ait genomdan hücre çekirdeğinden ya da mitokondrisinden kodlanan tüm DNA, RNA ve Protein diziliminden elde edilen bilgilerin tamamı ya da bir kısmıdır. Genetik veriler sadece bir SNP (Single Nükleotit Polimorfizm) bilgisi olabileceği gibi çok kapsamlı tüm genom dizilimi bil- gisi de olabilir. Bu veriler canlıdan elde edilmiş DNA ve/veya RNA'dan kalıtsal olan veya kalıtsal olmayan tüm genomik de- ğişiklikleri kapsamaktadır. Bu noktada ifade etmek gerekir ki, “Genetik” kavramı, esasen “Kalıtım, kalıtsal mirasa konu genle- rin incelenmesi”ne dair iken “Genom” ise “Bireyin sahip olduğu genlerin fonksiyonu, dizilimi ve birbirleri arasındaki ilişki hari- tası” olarak tasvir edilebilir 1 . Genomik aslen genlerin birbiri ve 1 World Health Organization, Genomics, Questions and Answers, 12.11.2020. -- 10 of 68 --

rin incelenmesi”ne dair iken “Genom” ise “Bireyin sahip olduğu genlerin fonksiyonu, dizilimi ve birbirleri arasındaki ilişki hari- tası” olarak tasvir edilebilir 1 . Genomik aslen genlerin birbiri ve 1 World Health Organization, Genomics, Questions and Answers, 12.11.2020. -- 10 of 68 -- GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 9 9 içerisinde bulunduğu çevre ile etkileşimini de dikkate alarak, çeşitli hastalıkların genler ve çevresel faktörlerle ne şekilde oluştuğunu incelmektedir.2 Bu bakımdan, bir insanın genomu- na dair bir verinin aynı zamanda tamamen ilgili kişinin kalıtsal mirasından kaynaklı olmama ihtimali teoride mevcuttur. Ancak gerek GVKT gerekse de Kanununda, genomik ve genetik veriye dair teknik bir ayrım yapılmayarak genetik veri tanımı, genomik veriyi de kapsayacak şekilde ortaya konulmuştur. Dolayısıyla Rehber kapsamında ele alınan genetik veriden, sözü edilen teknik tanım değil, yürürlükteki ulusal ve uluslararası mevzu- atta yapılan kapsayıcı tanım anlaşılmalıdır. Genetik verinin anlamlandırılabilir veya informatif olması için analiz edilmesi gerekmektedir. İlk olarak laboratuvar ortamı- na ulaşan örnekten DNA veya RNA eldesi yapılır, sonrasında ise bu DNA/RNA örneği hedeflenmiş çalışmaya göre diğer iş- lemlerden geçirilir ve bireyden elde edilen ham veriler analiz edilebilir hale gelir. Ancak dikkat edilmesi gereken nokta; ham verilerin ve biyolojik örneklerin analiz edilmeden önce de de- ğerli ve anlamlı olduğu ve bir gerçek kişiyi belirlenebilir kılma potansiyeli bulunduğudur. Bir diğer önemli nokta uygun sakla- ma koşulları şartıyla DNA/RNA örneklerinden istenildiği zaman bireyin tüm genetik verilerine erişebilmesini sağlıyor olması- dır. Örneğin;10 yıl önce genetik verisi çalışılmış olan bireyin DNA'sı halen saklanıyor olacağından, 10 yıl sonrasında yepyeni 2 https://www.genome.gov/about-genomics/fact-sheets/Genetics-vs-Ge- nomics -- 11 of 68 --

bireyin tüm genetik verilerine erişebilmesini sağlıyor olması- dır. Örneğin;10 yıl önce genetik verisi çalışılmış olan bireyin DNA'sı halen saklanıyor olacağından, 10 yıl sonrasında yepyeni 2 https://www.genome.gov/about-genomics/fact-sheets/Genetics-vs-Ge- nomics -- 11 of 68 -- 10 10 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER genetik teknolojiler ile 10 yıl önce elde edilmiş DNA'dan her türlü genetik test çalışılabilmektedir. Bu kapsamda ölmüş ki- şilerden alınmış olunan numunelerin de yıllar sonra bir gerçek kişiyi belirlenebilir kılacak şekilde analiz edilmesi ihtimali de bulunduğu unutulmamalıdır. Bu bağlamda, laboratuvara ister araştırma amaçlı ister tanı amaçlı gönderilen her türlü doku ya da materyal o andan itibaren bilgi edinilebilir hale getirilebilir. Bu açıdan biyolojik örnek toplayan tüm veri sorumlularının söz konusu örneklerin güvenliğini sağlamak konusunda gerekli teknik ve idari tedbirleri alması gerekmektedir. 3 Tüm bunlara ek olarak genetik verilerin anonim hale getirilme- si hususuna da değinmek gerekir. 28.10.2017 tarih ve 30224 sayılı Resmî Gazete’de yayımlanarak 01.01.2018 tarihinde yürürlüğe giren “Kişisel Verilerin Silinmesi, Yok Edilmesi Veya Anonim Hale Getirilmesi Hakkında Yönetmelik”in “Kişisel verilerin anonim hale getirilmesi” başlığını hâiz 10’uncu maddesinin (1) numaralı fıkrası “Kişisel verilerin anonim hale getirilmesi, kişisel verile- rin başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hale getirilmesidir.” hükmünü, (2) numaralı fıkrası ise “Kişisel veri- lerin anonim hale getirilmiş olması için; kişisel verilerin, veri sorumlusu, alıcı veya alıcı grupları tarafından geri döndürme ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması 3 Kişisel Verileri Koruma Kurulunun 30/10/2019 tarihli ve 2019/316 sayılı Kararı https://kvkk.gov.tr/Icerik/6876/2019-316

ve verilerin başka verilerle eşleştirilmesi gibi kayıt ortamı ve ilgili faaliyet alanı açısından uygun tekniklerin kullanılması 3 Kişisel Verileri Koruma Kurulunun 30/10/2019 tarihli ve 2019/316 sayılı Kararı https://kvkk.gov.tr/Icerik/6876/2019-316 -- 12 of 68 -- 11 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 11 yoluyla dahi kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemez hale getirilmesi gerekir.” hükmünü amirdir. Öte yandan ilgili kişi hakkında benzersiz bir veri sağlayan DNA örneklerinin, yani genel olarak genetik verinin tam anlamıyla ve gerçekten anonim hale getirilmesinin mümkün olup olmadı- ğı bir tartışma konusudur. Zira nasıl bir metot kullanılırsa kulla- nılsın, elde edilen veri ile ilgili kişi arasındaki irtibatı gerçekten kesmek mümkün değildir. Bu nedenle genetik verilerin tam olarak anonim hale getirilmesinden (anonymization) ziyade kimliksizleştirilmesi (de-identification) kavramı kullanılmakta- dır. Genel olarak genetik veriler; işlenmelerini müteakip, elde edildikleri sırada atanmış tanımlayıcılardan (doğum tarihi, lo- kasyon verisi vb.) farklı ve benzersiz tanımlayıcılar (x, y, z vb.) ile yeniden etiketlenerek sonrasında şifrelenmekte ve gerekli anahtar olmaksızın ilgili kişi ile genetik materyali arasındaki ir- tibat fark edilememektedir. Fakat söz konusu kod çözücüye sa- hip olanlar için bu bağ yeniden tesis edilebilmektedir (re-iden- tification). Görüldüğü üzere bahse konu şifreleme işlemi, ilgili kişi ile genetik verisi arasındaki ilişkiyi kesmek için kullanıldığı gibi aynı zamanda, gerektiğinde bu ilişkiyi yeniden kurmak için de kullanılmaktadır. Bu durumda bahse konu işlemeye tam bir anonim hale getirilme demek mümkün görünmemektedir. Bu nedenle genetik verilerin işlenmesi sırasında gerekli teknik ve idari tedbirlerin alınmasına daha fazla dikkat edilmesi önem arz etmektedir. -- 13 of 68 --

de kullanılmaktadır. Bu durumda bahse konu işlemeye tam bir anonim hale getirilme demek mümkün görünmemektedir. Bu nedenle genetik verilerin işlenmesi sırasında gerekli teknik ve idari tedbirlerin alınmasına daha fazla dikkat edilmesi önem arz etmektedir. -- 13 of 68 -- 12 12 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER -- 14 of 68 -- 13 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 13 2. KURUM TANITIMI Kanun’da belirtilen görevleri yerine getirmek üzere kurulan, idari ve mali özerkliğe sahip ve kamu tüzel kişiliğini haiz Kişisel Verileri Koruma Kurumu (Kurum); • Görev alanı itibarıyla, uygulamaları ve mevzuattaki gelişme- leri takip etmek, değerlendirmek ve önerilerde bulunmak, araştırma ve incelemeler yapmak veya yaptırmak, • İhtiyaç duyulması hâlinde, görev alanına giren konularda kamu kurum ve kuruluşları, sivil toplum kuruluşları, meslek örgütleri veya üniversitelerle iş birliği yapmak, • Kişisel verilerle ilgili uluslararası gelişmeleri izlemek ve de- ğerlendirmek, görev alanına giren konularda uluslararası kuruluşlarla iş birliği yapmak, toplantılara katılmak, yıllık faaliyet raporunu Cumhurbaşkanlığına ve Türkiye Büyük Mil- let Meclisi İnsan Haklarını İnceleme Komisyonuna sunmak, • Kanunlarla verilen diğer görevleri yerine getirmek hususlarında görevli ve yetkili kılınmıştır. Kişisel Verileri Koruma Kurulu (Kurul) ve Başkanlık şeklinde teşkilatlanan Kurumun karar organı Kuruldur. Kurul, Kanunla ve diğer mevzuatla verilen görev ve yetkilerini kendi sorumlu- luğu altında, bağımsız olarak yerine getirmekte ve kullanmakta olup, görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, Kurula emir ve talimat veremez, tavsiye veya telkinde bulunamaz. Dokuz üyeden oluşan Kurulun beş üyesi Türkiye Büyük Millet Meclisi, dört üyesi Cumhurbaşkanı -- 15 of 68 --

olup, görev alanına giren konularla ilgili olarak hiçbir organ, makam, merci veya kişi, Kurula emir ve talimat veremez, tavsiye veya telkinde bulunamaz. Dokuz üyeden oluşan Kurulun beş üyesi Türkiye Büyük Millet Meclisi, dört üyesi Cumhurbaşkanı -- 15 of 68 -- 14 14 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER tarafından seçilmekte ve Kanunun 22. maddesinde sıralanan görev ve yetkiler, Kurul tarafından yerine getirilmektedir. Bu görev ve yetkiler mezkûr düzenlemede; • Kişisel verilerin, temel hak ve özgürlüklere uygun şekilde işlenmesini sağlamak, • Kişisel verilerle ilgili haklarının ihlal edildiğini ileri sürenle- rin şikâyetlerini karara bağlamak, • Şikâyet üzerine veya ihlal iddiasını öğrenmesi durumunda resen görev alanına giren konularda kişisel verilerin kanun- lara uygun olarak işlenip işlenmediğini incelemek ve gerek- tiğinde bu konuda geçici önlemler almak, • Özel nitelikli kişisel verilerin işlenmesi için aranan yeterli önlemleri belirlemek, • Veri Sorumluları Sicilinin tutulmasını sağlamak, • Kurulun görev alanı ile Kurumun işleyişine ilişkin konularda gerekli düzenleyici işlemleri yapmak, • Veri güvenliğine ilişkin yükümlülükleri belirlemek amacıyla düzenleyici işlem yapmak, • Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumlu- luklarına ilişkin düzenleyici işlem yapmak, • Kanunda öngörülen idari yaptırımlara karar vermek, • Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bil- dirmek, -- 16 of 68 --

• Veri sorumlusunun ve temsilcisinin görev, yetki ve sorumlu- luklarına ilişkin düzenleyici işlem yapmak, • Kanunda öngörülen idari yaptırımlara karar vermek, • Diğer kurum ve kuruluşlarca hazırlanan ve kişisel verilere ilişkin hüküm içeren mevzuat taslakları hakkında görüş bil- dirmek, -- 16 of 68 -- 15 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 15 • Kurumun; stratejik planını karara bağlamak, amaç ve hedef- lerini, hizmet kalite standartlarını ve performans kriterlerini belirlemek, • Kurumun stratejik planı ile amaç ve hedeflerine uygun ola- rak hazırlanan bütçe teklifini görüşmek ve karara bağlamak, • Kurumun performansı, mali durumu, yıllık faaliyetleri ve ih- tiyaç duyulan konular hakkında hazırlanan rapor taslaklarını onaylamak ve yayımlamak, • Taşınmaz alımı, satımı ve kiralanması konularındaki öneri- leri görüşüp karara bağlamak, • Kanunlarla verilen diğer görevleri yerine getirmek, şeklinde ifade edilmiştir. Yine 26/4/2018 tarihinde yayımlanan Kişisel Verileri Koruma Kurumu Teşkilat Yönetmeliği’nin Kurulun görev ve yetkilerinin düzenlendiği 7 nci maddesinde kişisel verilerin korunması, işlenmesi ve güvenliği ile ilgili sektörel uygulama esaslarını belirlemek, kişisel verilerin korunması konusunda kurum ve kuruluşları bilgilendirmek ve kamuoyuna yönelik farkındalık faaliyetleri gerçekleştirmek, üniversiteler ve ilgili diğer yurt içi ve yurt dışı kurum ve kuruluşlarla işbirliği ve koordinasyon çalışmaları yürütmek görevlerine yer verilmiştir. -- 17 of 68 --

kuruluşları bilgilendirmek ve kamuoyuna yönelik farkındalık faaliyetleri gerçekleştirmek, üniversiteler ve ilgili diğer yurt içi ve yurt dışı kurum ve kuruluşlarla işbirliği ve koordinasyon çalışmaları yürütmek görevlerine yer verilmiştir. -- 17 of 68 -- 16 16 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER 3. AMAÇ VE KAPSAM Genetik veriler günümüzde pek çok alanda kullanılabilmekte- dir. Bu alanlardan en önemlisi sağlık alanında teşhis ve tedavi amaçlı olarak genetik analiz yapılmasıdır. Doğum öncesi ya da sonrasında hastalıkların teşhis ve tedavisi amacıyla hastane- ler ya da tıbbi laboratuvarlar tarafından bu analizler yapıla- bilmekte ya da bu analizlerin yapılması amacıyla numuneler yurt dışına gönderilebilmektedir. Genetik verinin kullanıldığı bir başka alan ise üst soy alt soy tespiti amacıyla yapılan ana- lizlerdir. Bu tür analizler yasal işlemler gerçekleştirmek ama- cıyla yapılabilmekle birlikte doğrudan tüketiciye yönelik ticari amaçlı testler yolu ile kişilerin, bireysel olarak biyolojik örnek alarak analiz için ilgili şirketlere iletmesi ile de gerçekleşmek- tedir. Bunlara ek olarak yine zorunlu haller dışında kişilerin tercihine bağlı olarak genetik veri işleme faaliyeti beslenme, spor ya da yetenek konusunda genetik yatkınlık v.b. amaçlarla da gerçekleştirilebilmektedir. Kanun’un “Özel nitelikli kişisel verilerin işlenme şartları”nı dü- zenleyen 6 ncı maddesinin (1) numaralı fıkrasında özel nitelikli kişisel veriler; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, fel- sefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyomet- rik ve genetik veriler şeklinde teker teker gösterilmekte, bunu müteakip fıkralarda ise bu verilerin işlenme şartları anlatıl- maktadır. Kanunun 6 ncı maddesinin üçüncü fıkrasında özel

mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyomet- rik ve genetik veriler şeklinde teker teker gösterilmekte, bunu müteakip fıkralarda ise bu verilerin işlenme şartları anlatıl- maktadır. Kanunun 6 ncı maddesinin üçüncü fıkrasında özel -- 18 of 68 -- 17 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 17 nitelikli kişisel verilerin işleme şartlarına yer verilmiş olup söz konusu fıkra: “(3) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi; a) İlgili kişinin açık rızasının olması, b) Kanunlarda açıkça öngörülmesi, c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak du- rumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileş- tirme iradesine uygun olması, d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, e) Sır saklama yükümlülüğü altında bulunan kişiler veya yet- kili kurum ve kuruluşlarca, kamu sağlığının korunması, ko- ruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, f) İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hiz- metler ve sosyal yardım alanlarındaki hukuki yükümlülük- lerin yerine getirilmesi için zorunlu olması, g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşum- -- 19 of 68 --

metler ve sosyal yardım alanlarındaki hukuki yükümlülük- lerin yerine getirilmesi için zorunlu olması, g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşum- -- 19 of 68 -- 18 18 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER ların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklan- mamak kaydıyla; mevcut veya eski üyelerine ve mensupları- na veyahut bu kuruluş ve oluşumlarla düzenli olarak temas- ta olan kişilere yönelik olması, halinde mümkündür.” hükümlerini haizdir. Ayrıca, Kanunun “Genel ilkeler” başlıklı 4 üncü maddesinde, kişisel verilerin ancak bu Kanunda ve diğer kanunlarda öngö- rülen usul ve esaslara uygun olarak işlenebileceği, kişisel veri- lerin işlenmesinde; “a) Hukuka ve dürüstlük kurallarına uygun olma. b) Doğru ve gerektiğinde güncel olma. c) Belirli, açık ve meşru amaçlar için işlenme. ç) İşlendikleri amaçla bağlantılı, sınırlı ve ölçülü olma. d) İlgili mevzuatta öngörülen veya işlen- dikleri amaç için gerekli olan süre kadar muhafaza edilme.” şeklinde sayılan ilkelere uyulmasının zorunlu olduğu düzen- leme altına alınmıştır. Anılan madde hükmünden açıkça anla- şılacağı üzere, kişisel verilerin işlenmesinde her hal ve şartta Kanunun 4 üncü maddesinde sayılan genel ilkelere uyulması hukuki bir gerekliliktir. Bir başka ifadeyle, kişisel veri işleme şartlarından hangisine dayanılarak veri işleme faaliyetinde bu- lunulursa bulunulsun, Kanunun 4 üncü maddesinde yer verilen söz konusu genel ilkelere uyulması zorunludur. Bu anlamda, genetik veriler bakımından da, veri işleme şartlarından hangi- sine dayalı olarak kişisel veri işleme faaliyeti gerçekleştirilirse gerçekleştirilsin, her hal ve şartta Kanunun 4 üncü maddesinde düzenlenen genel ilkelere uyulması zorunludur.

genetik veriler bakımından da, veri işleme şartlarından hangi- sine dayalı olarak kişisel veri işleme faaliyeti gerçekleştirilirse gerçekleştirilsin, her hal ve şartta Kanunun 4 üncü maddesinde düzenlenen genel ilkelere uyulması zorunludur. -- 20 of 68 -- 19 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 19 Genetik verilerin işlenmesi hususunda en önemli sorun alan- larından birisi de ilgili kişilerin rızaları ile tıbbi teşhis ve tedavi amaçlı zorunlu olarak ya da zorunlu nedenler dışında kişilerin tercihine bağlı olarak genetik verilerin yurt dışına gönderil- mesidir. Bilindiği üzere genetik verilerinin işlenmesi yalnızca ilgili kişilerin kendilerini değil, aralarında genetik irtibat olan akrabalarını, gelecek nesillerini ve hatta ulusal güvenlik ile ekonomiyi de etkileyebilecektir. Bu nedenle genetik verilerin yurt dışına aktarımı konusunda kişilerin temel hak ve özgürlük- lerini de dikkate alarak çeşitli tedbirlerin alınması gerekmekte- dir. Sağlık Bakanlığından alınan bilgiye göre gelişmiş ülkelerde uygulanan genetik yöntemlere ait testlerin çok büyük bir kısmı Türkiye'de yapılabilmektedir. Bu yöntemler arasında; Konvan- siyonel DNA dizi analizi, Yeni Nesil DNA dizi analizi, Microarray, Dijital PCR, Real Time PCR, FISH, Kromozom analizi vb. gibi sık kullanılan yöntemler yer almaktadır. Bu yöntemler aracılığı ile ülkemizde binlerce hastalığın tanısı ve takibine yönelik gene- tik test yapılabilmektedir. Yine bu yöntemlerle çalışılan ancak ülkemizde henüz yeterli klinik kullanımı oluşturulmamış çok az sayıda genetik test ülkemizde çalışılamamaktadır. Bunlar arasında genişletilmiş kanser profilleme testleri, MRD (minimal rezidüel hastalık) tespiti gibi testler yer almakta olup, bunun dışında yine ülkemizde çok rahatlıkla yapılabilen likid biyop- si, NIPT (non invaziv prenatal testler) başta olmak üzere farklı testler de daha çok finansal nedenlerle yurt dışına gönderile- bilmektedir. -- 21 of 68 --

rezidüel hastalık) tespiti gibi testler yer almakta olup, bunun dışında yine ülkemizde çok rahatlıkla yapılabilen likid biyop- si, NIPT (non invaziv prenatal testler) başta olmak üzere farklı testler de daha çok finansal nedenlerle yurt dışına gönderile- bilmektedir. -- 21 of 68 -- 20 20 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER 10.01.2020 tarihli ve 31004 sayılı Resmî Gazete’de yayımlanan “Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği” kapsamında yurt dışına örnek gönderimi Sağlık Bakanlığının ruhsatlı genetik hastalıklar değerlendirme merkezleri üzerin- den kayıt altına alınarak yapılmaktadır. Tüm bunlara ek olarak Tıbbi Laboratuvarlar Yönetmeliğinin 34 üncü maddesinin (2) numaralı fıkrasında yer alan; “Yurt dışına tetkik amaçlı numune gönderme yetkisi sadece ruhsatlı tıbbi laboratuvarlara aittir. Bu Yönetmelik kapsamında tetkik ama- cıyla insan kaynaklı biyolojik numunelerin, Türkiye’ye giriş ve çıkışı Bakanlığın4 onayı ile yapılır.” hükmü ile Genetik Hastalık- lar Değerlendirme Merkezleri Yönetmeliğinin 25 inci maddesi- nin (2) numaralı fırkasında bulunan; “Yurt dışına tetkik amaçlı numune gönderme yetkisi sadece ruhsatlı Merkeze aittir. Bu Yönetmelik kapsamında tetkik amacıyla insan kaynaklı biyo- lojik numuneler, Bakanlık5 takip sistemine kaydedilir.” hükmü doğrultusunda çalışmayan testlere yönelik yurt dışına numune gönderimi sadece ruhsatlı Genetik Hastalıklar Değerlendirme Merkezleri ve tıbbi laboratuvarlar tarafından Sağlık Bakanlığı- nın kontrolünde güvenli ve uygun bir şekilde “Yurt Dışı Biyolojik Materyal Transfer Sistemi” aracılığıyla gerçekleşmektedir. Kanunun 9 uncu maddesinin (9) numaralı fıkrasında; “Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar 4 Sağlık Bakanlığı 5 Sağlık Bakanlığı -- 22 of 68 --

Kanunun 9 uncu maddesinin (9) numaralı fıkrasında; “Kişisel veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar 4 Sağlık Bakanlığı 5 Sağlık Bakanlığı -- 22 of 68 -- 21 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 21 göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşu- nun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir.” hükmü yer almakta olup, söz konusu fıkrada Kişisel Verileri Koruma Kurulu tarafından kişisel verilerin yurt dışına aktarımı konusunda kısıtlamalara gidilebileceği düzenlenmektedir. Bu çerçevede, genetik veri işleme hususlarının açıklığa ka- vuşturulabilmesini teminen Kanunun 6 ncı maddesinde özel nitelikli kişisel veri olarak hükme bağlanan genetik verilerin işlenmesinde göz önünde bulundurulması gereken hususlara ilişkin olarak bu rehber hazırlanmıştır. Bu çerçevede rehber veri sorumlularının doğru hukuki sebeplere dayalı olarak kişi- sel veri işlemeleri ve Kanun’a uygun şekilde yükümlülüklerini yerine getirmeleri için, yönlendirici niteliktedir. -- 23 of 68 -- 22 22 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER -- 24 of 68 --

sel veri işlemeleri ve Kanun’a uygun şekilde yükümlülüklerini yerine getirmeleri için, yönlendirici niteliktedir. -- 23 of 68 -- 22 22 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER -- 24 of 68 -- 23 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 23 4. VERİ SORUMLUSU VE VERİ İŞLEYEN Kanunun 3 üncü maddesinde veri sorumlusu “Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sistemi- nin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişi olarak ifade edilmektedir. Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliği genetik hastalıkların tanısının belirlenmesi ve genetik danışmanlık verilmesi ama- cıyla, genetik hastalıklar değerlendirme merkezlerinin ruhsat- landırılması, açılması, çalışması ve denetlenmesi ile ilgili usul ve esasları belirlemekte olup söz konusu Yönetmeliğin “Baş- vuru ve Ruhsatlandırma” başlıklı 9 uncu maddesinin (1) nu- maralı fıkrasında bulunan; “Merkezin çalışma yapabilmesi için Bakanlıktan ruhsat alması zorunludur.” hükmü ile “Yasaklar, Sorumluluklar ve Diğer Hususlar” başlıklı 18 inci maddesinin (1) numaralı fıkrasındaki; “Bu Yönetmelik kapsamında ruhsat veya faaliyet belgesi alınmadan faaliyette bulunulamaz.” hükmü uyarınca genetik hastalıkların tanısının belirlenmesi amacıy- la faaliyette bulunan tüm kuruluşlar sözü edilen Yönetmeliğe tabii olup ruhsat almadan faaliyet gösterememektedirler. Bu çerçevede genetik hastalıkların teşhisine ve çeşitli hastalık- ların tedavi yanıtına veya kişinin bir hastalıktan sorumlu bir gen taşıyıp taşımadığını belirlemeye ya da bir hastalığa ge- netik yatkınlığı veya hassasiyeti olup olmadığını ortaya çıkar- maya yönelik testlerin, sadece tıbbi gereklilik durumlarında veya tıbbi amaçlı bilimsel araştırmalar için ve uygun genetik danışmanlık hizmeti verilmesi şartıyla sadece Genetik Has-

netik yatkınlığı veya hassasiyeti olup olmadığını ortaya çıkar- maya yönelik testlerin, sadece tıbbi gereklilik durumlarında veya tıbbi amaçlı bilimsel araştırmalar için ve uygun genetik danışmanlık hizmeti verilmesi şartıyla sadece Genetik Has- -- 25 of 68 -- 24 24 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER talıklar Değerlendirme Merkezlerinde yapılabileceği hüküm altına alınmıştır. Bu çerçevede Genetik Hastalıkları Değerlen- dirme Merkezlerinin bağlı bulundukları kişisel verilerin işle- me amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişiler (Bakanlık, üniversite, özel hukuk tüzel kişisi vb.) veri sorumlusu niteliğini haizdir. Yine Kanunun 3 üncü maddesine göre ise veri işleyen, veri sorumlusunun verdiği yetkiye dayanarak onun adına kişisel verileri işleyen gerçek veya tüzel kişiyi ifade etmektedir. Bu çerçevede örneğin genetik verilerin tutulduğu bulut sistemleri veri işleyen olarak değerlendirilebilecektir. Öte yandan sayılanlarla sınırlı olmamak üzere, genetik veri analizi yapmasa dahi ilgili kişilerin genetik bilgilerine sahip olabilecek eğitim ve rehabilitasyon merkezleri, belediyeler, sağlık hizmetleri sunan kurum ve kuruluşlar, kamu kurum ve kuruluşları, sigorta şirketleri vb. gerçek ve tüzel kişilerin de somut olay bazında Kanunda yer alan veri sorumlusu ya da veri işleyen tanımları kapsamında değerlendirilmesi gerektiğinin hatırlatılmasında fayda görülmektedir.6 6 Ayrıca Bkz Veri Sorumlusu-Veri İşleyen Rehberi https://kvkk.gov.tr/SharedFolderServer/CMSFiles/31d- 9c444-27a5-4a75-95b1-1ca9bdb81ea5.pdf -- 26 of 68 --

işleyen tanımları kapsamında değerlendirilmesi gerektiğinin hatırlatılmasında fayda görülmektedir.6 6 Ayrıca Bkz Veri Sorumlusu-Veri İşleyen Rehberi https://kvkk.gov.tr/SharedFolderServer/CMSFiles/31d- 9c444-27a5-4a75-95b1-1ca9bdb81ea5.pdf -- 26 of 68 -- 25 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 25 5. İLGİLİ KİŞİ Kanunun 3 üncü maddesinde ilgili kişinin kişisel verisi işlenen gerçek kişiyi, kişisel veri ise kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade ettiği belirtilmektedir. Genetik verilerin işlenmesi sürecinde yalnızca ilgili kişilerin kendilerinin değil, aralarında genetik irtibat olan akrabalarının da genetik verisinin işlenmesi durumu söz konusu olabilmek- tedir. Bu gibi durumlarda, genetik verinin elde edildiği kişiler dışında başka kişilerin genetik verilerinin işlenmesinin, farklı bir işleme amacı doğuracağı göz önünde bulundurularak ge- netik verilerin irtibatlı olduğu diğer ilgili kişilerin verilerinin korunması amacıyla, veri sorumlusunun söz konusu verilerin işlenmesinde Kanunda yer alan işleme şartlarına ve genel ilke- lere riayet etmesi ile yükümlülükleri kapsamında gerekli teknik ve idari tedbirleri alması gerekmektedir. -- 27 of 68 --

netik verilerin irtibatlı olduğu diğer ilgili kişilerin verilerinin korunması amacıyla, veri sorumlusunun söz konusu verilerin işlenmesinde Kanunda yer alan işleme şartlarına ve genel ilke- lere riayet etmesi ile yükümlülükleri kapsamında gerekli teknik ve idari tedbirleri alması gerekmektedir. -- 27 of 68 -- 26 26 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER 6. GENETİK VERİLERİN İŞLENMESİ VE İLKELERİ 6.1. Veri sorumlusu, Kanunun 4 üncü maddesinde yer alan genel ilkelere ve 6 ncı maddesinde düzenlenen şartlara uygun bir şekilde, ancak aşağıda yer alan ilkeler doğrultusunda genetik verileri işleyebilecektir. 6.1.1 Temel hak ve özgürlüklerin özüne dokunulmaması: Kişisel verilerin korunması hakkının Türkiye Cumhuriyeti Anayasa- sında (Anayasa) düzenlenen temel hak ve özgürlüklerden biri olması sebebiyle, genetik veri işleme faaliyetlerinin de Anayasada öngörülen temel hak ve özgürlükler bakımından temel güvencelere tabi olması gerektiği açıktır ve bu nok- tada ölçülülük hususu büyük önem arz etmektedir. Dolayı- sıyla, genetik veri işlenmesi yoluyla gerçekleştirilen kişisel veri işleme faaliyetlerinin hakkın özüne dokunulmaksızın, ölçülülük ilkesi ile uyumlu olarak ve veri güvenliğine ilişkin tedbirler alınmak suretiyle gerçekleştirilmesi gerekmekte- dir. Bu anlamda, yürütülecek olan kişisel veri işleme fa- aliyetinin yalnızca genetik verinin işlenmesinin amacının gerçekleştirilmesi için gerekli ve yeterli olan verilerin işlen- mesi ile sınırlı olarak gerçekleştirilmesi gerekmekte olup genetik veri işlemenin amacını aşan işleme faaliyetinden kaçınılmalıdır. Bu kapsamda, işlenen genetik verilerle, bu verilerin işlenme amacı arasında makul bir denge kurula- rak ölçülülük ilkesine riayet edilmeli ve kişisel veri işleme faaliyeti “belirli, açık ve meşru” olarak ortaya konulan veri -- 28 of 68 --

kaçınılmalıdır. Bu kapsamda, işlenen genetik verilerle, bu verilerin işlenme amacı arasında makul bir denge kurula- rak ölçülülük ilkesine riayet edilmeli ve kişisel veri işleme faaliyeti “belirli, açık ve meşru” olarak ortaya konulan veri -- 28 of 68 -- 27 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 27 işleme amacı dışında, mevcutta olmayan yahut gelecekte meydana gelmesi muhtemel olan amaçlar doğrultusunda genetik veri işlenmemelidir. 6.1.2 Genetik veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması: Bu ilke ile veri sorumlusunun başvu- racağı kişisel veri işleme yönteminin ve işleyeceği kişisel verilerin ulaşmak istediği amaç bakımından elverişli ol- ması hususu ifade edilmektedir. Anayasa Mahkemesinin 28.09.2017 tarihli ve E.2016/125, K.2017/143 sayılı kararında elverişlilik, “getirilen kuralın ulaşılmak istenen amaç için elverişli olması” şeklinde tanımlanmıştır. Bu anlamda, ge- netik veri işleme faaliyeti ile hedeflenen neticenin gerçek- leşmesi için elverişli nitelikte ve türde genetik veri işlenme- li ve bu genetik verilerin elde edilmesi bakımından elverişli yöntemler kullanılmalıdır. Genetik veri işleme amacı için elverişli olan kişisel verilerin işlenmesi esnasında, amacı gerçekleştirmek için elverişli miktar ve türde genetik veri elde edilmesinden sonra fazladan kişisel veri işlenmesi yo- luna gidilmemelidir. Kısacası, yalnızca genetik veri işleme faaliyetinin amacını gerçekleştirmeye yönelik veriler işlen- melidir. Öte yandan genetik verilerin işlenme amaçlarının değişmesi veya veri sorumlusu tarafından, daha önceden elde edilmiş kişisel verilerin, yeni bir amaç için yeniden işlenmek istenmesi durumunda Kanunda yer alan veri iş- leme şartlarının yeniden gözden geçirilerek, ilgili kişinin aydınlatılması ve gerekiyorsa ilgili kişiden açık rıza alınması yoluna gidilmesi gerektiği unutulmamalıdır. -- 29 of 68 --

elde edilmiş kişisel verilerin, yeni bir amaç için yeniden işlenmek istenmesi durumunda Kanunda yer alan veri iş- leme şartlarının yeniden gözden geçirilerek, ilgili kişinin aydınlatılması ve gerekiyorsa ilgili kişiden açık rıza alınması yoluna gidilmesi gerektiği unutulmamalıdır. -- 29 of 68 -- 28 28 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER 6.1.3 Genetik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması: Anayasa Mahkemesinin 28.09.2017 tarihli ve E.2016/125, K.2017/143 sayılı kararında vurgulandığı üzere; “(…) “gereklilik” getirilen kuralın ulaşıl- mak istenen amaç bakımından gerekli olmasını (…) ifade eder.” Gereklilik ilkesi gereğince, aynı amacın gerçekleşme- sine olanak tanıyan birden fazla aracın/yöntemin olması durumunda bunlar arasından en az müdahaleci olan araç/ yöntem seçilmelidir. Daha az sınırlayıcı bir müdahale ile aynı veya daha iyi bir sonucun elde edilmesi mümkün ise, daha fazla müdahaleci olan aracın/yöntemin kullanılması gereklilik ilkesine aykırı olacaktır. Diğer bir deyişle, genetik veri işleme faaliyetinin amacının gerçekleştirilmesine yö- nelik olarak kullanılan araçlar/yöntemler bakımından daha az müdahaleci herhangi bir alternatifin mevcut olması du- rumunda yahut daha az miktar ve türde genetik veri işlen- mesinin mümkün olması halinde, gereklilik sınırını aşan müdahaleler kapsamında işlenen genetik veri bakımından hukuka uygun bir kişisel veri işleme faaliyetinden bahse- dilemeyecektir. 6.1.4 Genetik veri işlemeyle ulaşılmak istenilen amaç ve ara- cın arasında orantı bulunması: Anayasa Mahkemesinin 28.09.2017 tarihli ve E.2016/125, K.2017/143 sayılı kararında orantılılık “getirilen kural ile ulaşılmak istenen amaç ara- sında olması gereken ölçü” şeklinde tanımlanmıştır. Orantı- lılık ilkesi gereğince, genetik veri işleme faaliyeti kapsamın- -- 30 of 68 --

28.09.2017 tarihli ve E.2016/125, K.2017/143 sayılı kararında orantılılık “getirilen kural ile ulaşılmak istenen amaç ara- sında olması gereken ölçü” şeklinde tanımlanmıştır. Orantı- lılık ilkesi gereğince, genetik veri işleme faaliyeti kapsamın- -- 30 of 68 -- 29 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 29 da kullanılan araç ile genetik veri işlemenin amacı arasında ölçülü bir orantı bulunmalıdır. Bu anlamda kullanılan ara- cın ulaşılmak istenen amaç bakımından orantısız olmama- sı gerekmektedir. Genetik veri işleme noktasında, kişisel verilerin korunması hakkına gerçekleştirilen müdahalenin ağırlığı ile bu müdahaleyi haklı kılacak sebepler arasında ölçülülüğün bulunması gerekmektedir; yani kullanılan araç nedeni ile ilgili kişilerin kişisel verilerine ve haklarına oran- tısız müdahalelerde bulunulmamalıdır. Genetik veri işleme faaliyetinin amacının gerçekleştirilmesine yönelik olarak birden fazla aracın bulunduğu durumlarda en uygun olan aracın seçilmesi, orantılılığı ifade etmektedir. 6.1.5 İşlenen genetik verilerin gereken süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin kişisel veri saklama ve imha politikasına uygun olarak imha edilmesi: Kanunun 4 üncü maddesinin (1) numaralı fıkrasının (d) bendinde yer alan ilgili mevzuat- ta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi gereğince, kişisel verilerin işlenmesinde azami süre belirlenmelidir. Bu çerçevede Ge- netik Hastalıklar Değerlendirme Merkezleri Yönetmeliğinin “Kayıt Sistemi” başlıklı 24 üncü maddesinin dördüncü fıkra- sında bulunan; “Merkezde raporlar ve kayıtlar en az otuz yıl, elektronik kayıtlar yedekleme ile birlikte süresiz, numuneler ve lamlar bozulmayacak şekilde uygun şartlarda en az iki yıl süre ile muhafaza edilir.” hükmü yer almaktadır. Bununla -- 31 of 68 --

sında bulunan; “Merkezde raporlar ve kayıtlar en az otuz yıl, elektronik kayıtlar yedekleme ile birlikte süresiz, numuneler ve lamlar bozulmayacak şekilde uygun şartlarda en az iki yıl süre ile muhafaza edilir.” hükmü yer almaktadır. Bununla -- 31 of 68 -- 30 30 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER birlikte, genetik veriler işlenmesini gerektiren süre boyunca işlenmeli; söz konusu verilerin ne kadar süre boyunca mu- hafaza edileceği, nedenleri ile birlikte kişisel veri saklama ve imha politikasında veri sorumlusu tarafından açıklan- malıdır. Bu anlamda, genetik veriler, işlenmelerine ilişkin amacın gerçekleştirilmesine yönelik olarak gereken süre kadar tutulmalıdır. Bu anlamda, kullanılan genetik verile- rin tutulmaya devam edilmesinin gerekip gerekmediğinin periyodik olarak ve dikkatli bir şekilde gözden geçirilmesi, tutulmasının gerekmediği kanaatine varılan genetik verile- rin ise gecikmeksizin imha edilmesi gerekmektedir. 6.2 Genetik verilerin Kanun kapsamında işlenmesi 6.2.1 Kanunun 6 ncı maddesinin (3) numaralı fıkrasının (a) bendi gereğince; “İlgili kişinin açık rızasının olması” durumunda genetik veriler işlenebilmektedir. Açık rıza kavramı ise: Ka- nunun “Tanımlar” başlıklı 3 üncü maddesinin (1) numaralı fıkrasının (a) bendinde, “belirli bir konuya ilişkin, bilgilen- dirilmeye dayanan ve özgür iradeyle açıklanan rıza” şeklin- de tanımlanmıştır. Genetik veri işlemek üzere verilen açık rızanın geçerli olması için, açık rızanın öncelikle belirli bir konuya ilişkin ve o konu ile sınırlı olarak verilmesi gerekmek- tedir. Açık rıza bir irade beyanı olduğundan, kişinin özgür bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerekir. Kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahi- bi olması gerekir. Bu sebeple, bilgilendirmenin, genetik veri -- 32 of 68 --

bir şekilde rıza gösterebilmesi için, neye rıza gösterdiğini de bilmesi gerekir. Kişinin sadece konu üzerinde değil, aynı zamanda rızasının sonuçları üzerinde de tam bir bilgi sahi- bi olması gerekir. Bu sebeple, bilgilendirmenin, genetik veri -- 32 of 68 -- 31 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 31 işleme ile ilgili bütün konularda açık ve anlaşılır bir biçimde gerçekleştirilmesi ve mutlaka verinin işlenmesinden önce yapılması gerekir. Örneğin; genetik verisi işlenen ilgili kişi- lerin açık rızalarının yalnızca bir açık rıza metninin okutulup imzalatılması şeklinde alınması yeterli değildir. İlgili kişinin genetik veri işleme faaliyetini ve sonuçlarını net bir şekilde anlaması, mesela genetik verinin işlenmesinin yalnızca ken- dini değil akrabalarını da etkileyebilecek bir durum oldu- ğunu bilmesi sağlanmalıdır. Öte yandan, ilgili kişinin belirli bir genetik veri işleme faaliyeti için verdiği açık rızası sonu- cunda işlenen genetik veriler başkaca amaçlarla kullanıl- mamalıdır. Tüm bunlara ek olarak, özellikle genetik verinin işlenmesinde gereklilik ilkesine riayet etmek ve ilgili kişilerin aydınlatılması hususunda gerekli özen ve dikkati sunmak önem arz etmektedir. Bu çerçevede ilgili kişilerin açık rıza- larının alınması hususlarında en önemli kişilerin bu hususta uzmanlaşmış sağlık çalışanları olduğu dikkate alındığında, sağlık çalışanlarının başta gereklilik ilkesi olmak üzere Ka- nunun yukarıda sayılan ilkeleri çerçevesinde genetik verinin işlenmesi hususunu uygun bir şekilde değerlendirerek ilgili kişileri bu çerçevede aydınlatmaları gerekmektedir. Diğer yandan, açık rızanın geçerlilik kazanabilmesi için kişi- nin yaptığı davranışın bilincinde olması ve bu kararın kişinin kendi kararı olması gerekmektedir. Açık rıza özgür iradeyle açıklanması gerektiğinden, herhangi bir ürün ve/veya hiz- metin sunumu (ya da herhangi bir üründen ve/veya hizmet- -- 33 of 68 --

nin yaptığı davranışın bilincinde olması ve bu kararın kişinin kendi kararı olması gerekmektedir. Açık rıza özgür iradeyle açıklanması gerektiğinden, herhangi bir ürün ve/veya hiz- metin sunumu (ya da herhangi bir üründen ve/veya hizmet- -- 33 of 68 -- 32 32 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER ten yararlandırılması) ilgili kişi tarafından açık rıza verilmesi şartına bağlanmamalıdır ve tarafların eşit konumda olma- dığı veya taraflardan birinin diğeri üzerinde etkili olduğu durumlarda rızanın özgür iradeyle verilip verilmediğinin dikkatle değerlendirilmesi gerekmektedir. Örneğin, herhan- gi bir diyet hizmetinin sunulması için gıda intoleransı testi yapılmasının zorunlu tutulması kişinin diyet hizmetini al- mak için genetik verilerinin işlenmesinin zorunlu kılınması, açık rızanın özgür iradeye dayanması ilkesini sakatlayacak niteliktedir. Tüm bunlara ek olarak genetik verilerin herhangi bir tıb- bi teşhis tedavi amacı dışında, kişilerin açık rızaları kap- samında soy/köken yahut akrabalık ilişkilerinin tespiti, sportif faaliyetlere ya da herhangi bir yeteneğe yatkınlığın belirlenmesi gibi çeşitli sebeplere yönelik ticari amaçlar için işlenmesi durumuna da rastlanılmakta olup bu hususta ki- şilerin açık rızalarının Kanun’da tanımlandığı şekilde alın- ması önem arz etmektedir. Genetik verilerin ilgili kişilerin açık rızası ile işlenmesi kapsamında ilgili kişilerin karşıla- şacakları neticeler, bu işleme faaliyetinin yalnızca kişilerin değil, ait olduğu soy bağına mensup kişilerin de kişisel veri- lerini içerme ihtimalini barındırdığı ve bu durumun taşıdığı riskler, bilhassa yurt dışına aktarımın söz konusu olması halinde, genetik verilerin akıbetinin takip edilmesine iliş- kin muhtemel zorluklar, yurt dışında yerleşik veri sorum- lularının veri güvenliği konusunda barındırdığı riskler, bu -- 34 of 68 --

riskler, bilhassa yurt dışına aktarımın söz konusu olması halinde, genetik verilerin akıbetinin takip edilmesine iliş- kin muhtemel zorluklar, yurt dışında yerleşik veri sorum- lularının veri güvenliği konusunda barındırdığı riskler, bu -- 34 of 68 -- 33 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 33 kapsamda yurt dışına aktarılacak genetik veriler mevcut ise bu verilerim üçüncü kişilere aktarılma ihtimali gibi net- lik arz etmeyen durumlar ve bu durumların yaratabileceği olumsuz sonuçlar bakımından ilgili kişi açık ve ayrıntılı bir şekilde bilgilendirilmelidir. Bu kapsamda genetik verilerin açık rızaya istinaden işlenmesi durumunda; açık rıza alımı esnasında genetik veri işleme sürecine yönelik aydınlatma yükümlülüğünün de ayrıca yerine getirilmesi gerektiği unu- tulmamalıdır. Bu noktada dikkat edilmesi gereken bir diğer husus, özel nitelikli kişisel veri işleme şartları arasında herhangi bir hiyerarşinin bulunmadığıdır. Dolayısıyla, Kanunun 6 ncı maddesinin (3) numaralı fıkrasında yer alan (b) ve mütea- kip fıkralarda gösterilen özel nitelikli veri işleme şartları- nın mevcudiyeti hâlinde, ilgili kişilerden açık rıza alınmak- sızın genetik veriler işlenebilecektir. Nitekim farklı bir veri işleme şartının mevcudiyeti halinde ilgili kişilerden açık rıza alınması da ilgili kişileri yanıltıcı olacağından Kanu- nun 4 üncü maddesinde yer alan dürüstlük ilkesine aykı- rı hareket edileceği değerlendirilebilmektedir. Diğer özel nitelikli veri işleme şartlarının, somut olaydaki kişisel veri işleme faaliyetine uygunluk arz etmemesi durumunda ise ilgili kişiden yukarıda gösterilen usul ve esaslara uygun bir şekilde açık rıza alınmak suretiyle genetik verilerin işlen- mesi gerekecektir. -- 35 of 68 --

nitelikli veri işleme şartlarının, somut olaydaki kişisel veri işleme faaliyetine uygunluk arz etmemesi durumunda ise ilgili kişiden yukarıda gösterilen usul ve esaslara uygun bir şekilde açık rıza alınmak suretiyle genetik verilerin işlen- mesi gerekecektir. -- 35 of 68 -- 34 34 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER 6.2.2 Genetik verilerin Kanunun 6 ncı maddesinin (3) numaralı fıkrasının (b) bendinde bulunan “kanunlarda açıkça öngö- rülmesi” şartı kapsamında işlenmesi mümkündür. Genetik verilerin işlenmesi ile ilgili herhangi bir kanunda açık bir hüküm mevcut ise bu işleme şartına dayalı olarak genetik veriler işlenebilir. Ayrıca belirtmek gerekir ki; genetik verile- re ilişkin “kanunlarda açıkça öngörülme” şartına istinaden gerçekleştirilecek işleme faaliyeti bakımından yine ilgili kişilerin aydınlatılması gerekmektedir. Öte yandan genetik verinin işlenmesine dayanak teşkil eden kanunda yer alan hükümler doğrultusunda işlenen genetik verilerin saklama ve imha politikasına uygun olarak saklanması ve mevzuat- ta belirtilen saklama süresi bittiğinde yahut genetik veriye artık ihtiyaç kalmadığında işlenen genetik verilerin imha edilmesi gerektiği de unutulmamalıdır. 6.2.3 Genetik verilerin, Kanunun 6 ncı maddesinin (3) numara- lı fıkrasının (c) bendi uyarınca, “fiilî imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması” hâlinde de işlenmesi mümkün hâle gele- cektir. Örneğin, bitkisel hayata girmiş gebe bir kadının ve bebeğinin sağlık durumunun takip edilebilmesi için bazı genetik testler yapılmasının zorunlu olması durumunda, bu özel nitelikli veri işleme şartına binaen ilgili testlerin yapılmasının hukuka uygun olacağı değerlendirilmektedir. -- 36 of 68 --

cektir. Örneğin, bitkisel hayata girmiş gebe bir kadının ve bebeğinin sağlık durumunun takip edilebilmesi için bazı genetik testler yapılmasının zorunlu olması durumunda, bu özel nitelikli veri işleme şartına binaen ilgili testlerin yapılmasının hukuka uygun olacağı değerlendirilmektedir. -- 36 of 68 -- 35 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 35 6.2.4 Kanunun 6 ncı maddesinin (3) numaralı fıkrasının (ç) ben- dinde ise genetik verilerin, “ilgili kişinin kendisi tarafından alenileştirilmesi durumunda, alenileştirilme iradesine uy- gun bir şekilde işlenmesi”nin hukuka uygun olacağı düzen- lenmiştir. Şu hâlde ilgili kişinin, genetik araştırma ile elde edilen soy/köken bilgilerini kendi sosyal medya hesabın- da, kendisi ile aynı etnik kökene sahip insanlarla tanışmak amacıyla paylaşması hâlinde, bu alenileştirme iradesine uy- gun olarak söz konusu genetik test sonuçlarının, bu amaç ve iradeye uygun bir şekilde işlenmesi hukuka uygun hâle gelecektir. 6.2.5 Genetik verilerin, Kanunun 6 ncı maddesinin (3) numa- ralı fıkrasının (d) bendi kapsamında, “Bir hakkın tesisi, kul- lanılması veya korunması için zorunlu olması” hâlinde de işlenebileceği hüküm altına alınmıştır. Örneğin, boşanma aşamasında olan eşlerden birinin, dava sürecinde karşı ta- rafın kusurunu ispatlayabilmek için başka bir yol bulunma- ması durumunda, hukuka uygun bir şekilde elde edilmiş ve çocuklarının müşterek olmadığını gösterir genetik test sonuçlarını mahkemeye sunması, bu hüküm kapsamında hukuka uygun bir veri işleme faaliyeti olarak değerlendi- rilebilecektir. Bu hükmün, sadece “zorunlu” durumlar için geçerli olabileceği ise unutulmamalıdır. 6.2.6 Genetik verilerin Kanunun 6 ncı maddesinin (3) numaralı fıkrasının (e) bendi kapsamında, “Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, -- 37 of 68 --

geçerli olabileceği ise unutulmamalıdır. 6.2.6 Genetik verilerin Kanunun 6 ncı maddesinin (3) numaralı fıkrasının (e) bendi kapsamında, “Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, -- 37 of 68 -- 36 36 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmet- lerinin planlanması, yönetimi ve finansmanı amacıyla ge- rekli olması” hâllerinde işlenebileceği hükme bağlanmıştır. Bu durumda verinin sağlık gerekçeleri ile işlenmesi ama- cının olması en önemli kriter olup yetkili sağlık kuruluşları tarafından, bünyelerinde çalışan sır saklama yükümlülüğü altındaki görevli sağlık personeli vasıtasıyla, aydınlatma yükümlülüğünün de yerine getirilmesi şartıyla ilgili kişinin açık rızası aranmaksızın genetik verilerin işlenmesi hukuka uygunluk arz edecektir 6.2.7 Kanunun 6 ncı maddesinin (3) numaralı fıkrasının (f) bendinde yer alan “İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu ol- ması” hâlinde genetik verilerin işlenmesi mümkündür. Bu doğrultuda; iş sağlığı ve güvenliği, sosyal hizmetler ve sosyal yardım konularına ilişkin hukuki yükümlülükleri bulunan kurum ve kuruluşların ihtiyaçlarının tespiti, yardımların koordine edilmesi vb. hukuki yükümlülüklerini başka türlü yerine getirebilmelerinin mümkün olmadığı durumlarda, bu yükümlülüklerin bazı genetik verilerin (örneğin engelliliğe dair test sonuçlarının genetik verileri ihtiva etmesi hâlinde) işlenmesi de zorunlu olarak gerektirdiğinde, veri sorumlu- ları bu özel nitelikli veri işleme şartına binaen genetik veri işleme faaliyeti yürütebileceklerdir. Bu işleme faaliyeti açı- -- 38 of 68 --

dair test sonuçlarının genetik verileri ihtiva etmesi hâlinde) işlenmesi de zorunlu olarak gerektirdiğinde, veri sorumlu- ları bu özel nitelikli veri işleme şartına binaen genetik veri işleme faaliyeti yürütebileceklerdir. Bu işleme faaliyeti açı- -- 38 of 68 -- 37 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 37 sından yine zorunlu bir durum olması durumunda söz ko- nusu verinin işlenebileceği ve ilgili kişilerin aydınlatılması gerektiği hususları unutulmamalıdır. 6.2.8 Son olarak, Kanunun 6 ncı maddesinin (3) numaralı fık- rasının (g) bendinde ise “Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütme- yen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşum- larla düzenli olarak temasta olan kişilere yönelik olması” hükmü yer almış ve bu durumda, her özel nitelikli kişisel veri gibi genetik verilerin de işlenebileceği hüküm altına alınmıştır. 6.3 Genetik verilerin yurt dışına aktarılması Kanunun 9 uncu maddesinde; (1) Kişisel veriler, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı ve aktarımın yapılacağı ülke, ülke içerisindeki sektörler veya uluslararası kuruluşlar hakkında yeterlilik kararı bulunması halinde, veri sorumluları ve veri işleyenler ta- rafından yurt dışına aktarılabilir. (2) Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve ku- ruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli -- 39 of 68 --

(2) Yeterlilik kararı, Kurul tarafından verilir ve Resmî Gazete’de yayımlanır. Kurul, ihtiyaç duyması halinde ilgili kurum ve ku- ruluşların görüşünü alır. Yeterlilik kararı, en geç dört yılda bir değerlendirilir. Kurul, değerlendirme sonucunda veya gerekli -- 39 of 68 -- 38 38 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER gördüğü diğer hallerde, yeterlilik kararını ileriye etkili olmak üzere değiştirebilir, askıya alabilir veya kaldırabilir. (3) Yeterlilik kararı verilirken öncelikle aşağıdaki hususlar dik- kate alınır: a) Kişisel verilerin aktarılacağı ülke, ülke içerisindeki sek- törler veya uluslararası kuruluşlar ile Türkiye arasında kişisel veri aktarımına ilişkin karşılıklılık durumu. b) Kişisel verilerin aktarılacağı ülkenin ilgili mevzuatı ve uygulaması ile kişisel verilerin aktarılacağı uluslararası kuruluşun tâbi olduğu kurallar. c) Kişisel verilerin aktarılacağı ülkede veya uluslararası kuruluşun tâbi olduğu bağımsız ve etkin bir veri koru- ma kurumunun varlığı ile idari ve adli başvuru yollarının bulunması. ç) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, kişisel verilerin korunmasıyla ilgili uluslara- rası sözleşmelere taraf veya uluslararası kuruluşlara üye olma durumu. d) Kişisel verilerin aktarılacağı ülkenin veya uluslararası kuruluşun, Türkiye’nin üye olduğu küresel veya bölgesel kuruluşlara üye olma durumu. e) Türkiye’nin taraf olduğu uluslararası sözleşmeler. (4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullan- -- 40 of 68 --

kuruluşlara üye olma durumu. e) Türkiye’nin taraf olduğu uluslararası sözleşmeler. (4) Kişisel veriler, yeterlilik kararının bulunmaması durumunda, 5 inci ve 6 ncı maddelerde belirtilen şartlardan birinin varlığı, ilgili kişinin aktarımın yapılacağı ülkede de haklarını kullan- -- 40 of 68 -- 39 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 39 ma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, aşağıda belirtilen uygun güvencelerden birinin ta- raflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına aktarılabilir: a) Yurt dışındaki kamu kurum ve kuruluşları veya uluslara- rası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluş- ları veya kamu kurumu niteliğindeki meslek kuruluşları arasında yapılan uluslararası sözleşme niteliğinde olma- yan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi. b) Ortak ekonomik faaliyette bulunan teşebbüs grubu bün- yesindeki şirketlerin uymakla yükümlü oldukları, kişisel verilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı. c) Kurul tarafından ilan edilen, veri kategorileri, veri aktarı- mının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafın- dan alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı. ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi. (5) Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bil- dirilir. -- 41 of 68 --

standart sözleşmenin varlığı. ç) Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi. (5) Standart sözleşme, imzalanmasından itibaren beş iş günü içinde veri sorumlusu veya veri işleyen tarafından Kuruma bil- dirilir. -- 41 of 68 -- 40 40 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER (6) Veri sorumluları ve veri işleyenler, yeterlilik kararının bulun- maması ve dördüncü fıkrada öngörülen uygun güvencelerden herhangi birinin sağlanamaması durumunda, arızi olmak kay- dıyla sadece aşağıdaki hallerden birinin varlığı halinde yurt dışına kişisel veri aktarabilir: a) İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi. b) Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir söz- leşmenin ifası veya ilgili kişinin talebi üzerine alınan söz- leşme öncesi tedbirlerin uygulanması için zorunlu olması. c) Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir gerçek veya tüzel kişi arasında yapılacak bir sözleşmenin kurulması veya ifası için zorunlu olması. ç) Aktarımın üstün bir kamu yararı için zorunlu olması. d) Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması. e) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak du- rumda bulunan veya rızasına hukuki geçerlilik tanınma- yan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için kişisel verilerin ak- tarılmasının zorunlu olması. f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin ta- lep etmesi kaydıyla aktarım yapılması. -- 42 of 68 --

beden bütünlüğünün korunması için kişisel verilerin ak- tarılmasının zorunlu olması. f) Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartların sağlanması ve meşru menfaati olan kişinin ta- lep etmesi kaydıyla aktarım yapılması. -- 42 of 68 -- 41 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 41 (7) Altıncı fıkranın (a), (b) ve (c) bentleri, kamu kurum ve ku- ruluşlarının kamu hukukuna tâbi faaliyetlerine uygulanmaz. (8) Veri sorumlusu ve veri işleyenler tarafından, yurt dışına aktarılan kişisel verilerin sonraki aktarımları ve uluslararası kuruluşlara aktarımlar bakımından da bu Kanunda yer alan güvenceler sağlanır ve bu madde hükümleri uygulanır. (9) Kişisel veriler, uluslararası sözleşme hükümleri saklı kal- mak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurulun izniyle yurt dışına aktarılabilir. (10) Kişisel verilerin yurt dışına aktarılmasına ilişkin diğer ka- nunlarda yer alan hükümler saklıdır. (11) Bu maddenin uygulanmasına ilişkin usul ve esaslar yönet- melikle düzenlenir.” hükümleri yer almaktadır. Bu çerçevede genetik verilerin yurt dışına aktarılması için aşa- ğıdaki şartlardan birinin varlığı gereklidir: • Yeterlilik kararının bulunması. • Yeterlilik kararının bulunmaması durumunda, uygun güven- celerden birinin sağlanması. • Yeterlilik kararının bulunmaması ve uygun güvencelerden herhangi birinin sağlanamaması durumunda istisnai (arızi) hallerden birinin varlığı. -- 43 of 68 --

• Yeterlilik kararının bulunması. • Yeterlilik kararının bulunmaması durumunda, uygun güven- celerden birinin sağlanması. • Yeterlilik kararının bulunmaması ve uygun güvencelerden herhangi birinin sağlanamaması durumunda istisnai (arızi) hallerden birinin varlığı. -- 43 of 68 -- 42 42 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER • Yeterlilik kararının bulunmaması durumunda; • Kanunun 5 inci ve 6 ncı maddelerinde belirtilen şartlardan birinin varlığı, • İlgili kişinin aktarımın yapılacağı ülkede de haklarını kullan- ma ve etkili kanun yollarına başvurma imkânının bulunması kaydıyla, • uygun güvencelerden birinin taraflarca sağlanması halinde veri sorumluları ve veri işleyenler tarafından yurt dışına ki- şisel veriler aktarılabilecektir. Kişisel verilerin yurt dışına aktarılmasına ilişkin uygun güven- celer aşağıdaki şekilde düzenlenmiştir: • Yurt dışındaki kamu kurum ve kuruluşları veya uluslararası kuruluşlar ile Türkiye’deki kamu kurum ve kuruluşları veya kamu kurumu niteliğindeki meslek kuruluşları arasında ya- pılan uluslararası sözleşme niteliğinde olmayan anlaşmanın varlığı ve Kurul tarafından aktarıma izin verilmesi. • Ortak ekonomik faaliyette bulunan teşebbüs grubu bünye- sindeki şirketlerin uymakla yükümlü oldukları, kişisel ve- rilerin korunmasına ilişkin hükümler ihtiva eden ve Kurul tarafından onaylanan bağlayıcı şirket kurallarının varlığı. • Kurul tarafından ilan edilen ve veri kategorileri, veri aktarı- mının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı. -- 44 of 68 --

• Kurul tarafından ilan edilen ve veri kategorileri, veri aktarı- mının amaçları, alıcı ve alıcı grupları, veri alıcısı tarafından alınacak teknik ve idari tedbirler, özel nitelikli kişisel veriler için alınan ek önlemler gibi hususları ihtiva eden standart sözleşmenin varlığı. -- 44 of 68 -- 43 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 43 • Yeterli korumayı sağlayacak hükümlerin yer aldığı yazılı bir taahhütnamenin varlığı ve Kurul tarafından aktarıma izin verilmesi. Genetik veriler, yeterlilik kararının bulunmaması ve yukarıda yer verilen uygun güvencelerden herhangi birinin sağlanama- ması durumunda, arızi olmak kaydıyla sadece istisnai aktarım hâllerinden birinin varlığı durumunda yurt dışına aktarılabilir. Bu noktada belirtmek gerekir ki; düzenli olmayan, tek veya bir- kaç sefer gerçekleşen, süreklilik arz etmeyen ve olağan faaliyet akışı içinde bulunmayan aktarımlar arızi niteliktedir. İstisnai aktarım hâlleri ise şunlardır: • İlgili kişinin, muhtemel riskler hakkında bilgilendirilmesi kaydıyla, aktarıma açık rıza vermesi. • Aktarımın, ilgili kişi ile veri sorumlusu arasındaki bir sözleş- menin ifası veya ilgili kişinin talebi üzerine alınan sözleşme öncesi tedbirlerin uygulanması için zorunlu olması. • Aktarımın, ilgili kişi yararına veri sorumlusu ve diğer bir ger- çek veya tüzel kişi arasında yapılacak bir sözleşmenin kurul- ması veya ifası için zorunlu olması. • Aktarımın üstün bir kamu yararı için zorunlu olması. • Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması. • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin -- 45 of 68 --

• Aktarımın üstün bir kamu yararı için zorunlu olması. • Bir hakkın tesisi, kullanılması veya korunması için kişisel verilerin aktarılmasının zorunlu olması. • Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin -- 45 of 68 -- 44 44 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER kendisinin ya da bir başkasının hayatı veya beden bütünlü- ğünün korunması için kişisel verilerin aktarılmasının zorunlu olması. • Kamuya veya meşru menfaati bulunan kişilere açık olan bir sicilden, ilgili mevzuatta sicile erişmek için gereken şartla- rın sağlanması ve meşru menfaati olan kişinin talep etmesi kaydıyla aktarım yapılması. Veri sorumlusu ve veri işleyenler tarafından, yurt dışına akta- rılan genetik verilerin sonraki aktarımları ile uluslararası kuru- luşlara aktarılması bakımından da Kanunda yer alan güvence- lerin sağlanması gerekmekte olup sadece genetik verilerin yurt dışına ilk defa aktarılmasında değil kişisel veriler yurt dışına aktarıldıktan sonra gerçekleştirilecek başkaca aktarımlarda da Kanunun 9 uncu maddesi uygulanacaktır. Genetik veriler, uluslararası sözleşme hükümleri saklı kalmak üzere, Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şe- kilde zarar göreceği durumlarda, ancak ilgili kamu kurum veya kuruluşunun görüşü alınarak Kurul’un izniyle yurt dışına akta- rılabilmekte olup genetik verileri yurt dışında işleyen veri so- rumluları tarafından gerekli teknik ve idari tedbirlerin alınma- dığının ve Türkiye’nin veya ilgili kişinin menfaatinin ciddi bir şekilde zarar göreceğinin değerlendirilmesi durumunda, Kurul tarafından Kanun kapsamında önlemler alınabilecektir. Kanu- nun 9 uncu maddesinin (10) numaralı fıkrasında ise kişisel ve- rilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklı tutulmuştur. -- 46 of 68 --

tarafından Kanun kapsamında önlemler alınabilecektir. Kanu- nun 9 uncu maddesinin (10) numaralı fıkrasında ise kişisel ve- rilerin yurt dışına aktarılmasına ilişkin diğer kanunlarda yer alan hükümler saklı tutulmuştur. -- 46 of 68 -- 45 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 45 İlgili Kanun maddesinin uygulanmasına ilişkin esaslar Kişi- sel Verilerin Yurt Dışına Aktarılmasına İlişkin Usul Ve Esaslar Hakkında Yönetmelikle belirlenmiş olup Kişisel Verilerin Yurt Dışına Aktarılması Rehberinde de uygulayıcılara ilişkin yol gös- terici unsurlara yer verilmiştir. Bu çerçevede Genetik verilerin yurt dışına aktarımına ilişkin ilgili mevzuatın ve rehberlerin de dikkate alınması önem arz etmektedir. 6.4 Kanunun 28 inci maddesi kapsamında istisnalar Kanunun 28 inci maddesinin 1 nci fıkrasının (c) bendi “Bu Ka- nun hükümleri aşağıdaki hâllerde uygulanmaz: … c) Kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etme- mek kaydıyla, sanat, tarih, edebiyat veya bilimsel amaçlar- la ya da ifade özgürlüğü kapsamında işlenmesi” hükmünü amir olup bu kapsamda genetik verilerin bilimsel amaçlarla işlenmesi durumunda ise işleme faaliyetinin aşağıdaki kri- terler kapsamında gerçekleştirilmesi gerekmektedir: a) 21/06/2019 tarihli ve 30808 sayılı Resmî Gazete’de yayımlanan Kişisel Sağlık Verileri Hakkında Yönetmeliğin 16 ncı madde- sinde, sağlık verilerinin bilimsel araştırmalarda kullanımına ilişkin koşullar düzenlenmiştir. Tekil nitelikteki genetik veri- nin, veri sorumlusu tarafından kimliği belirlenebilir bir ger- çek kişiyle ilişkilendirilmeyecek hale getirilmesi, ancak farklı bireylere ait çok sayıda bu tür verinin birleştirilmesi sonucu elde edilecek kümülatif varyant frekans listelerine dönüştü- rülmesi (Genom agregasyon verileri) ile mümkündür ve bu

nin, veri sorumlusu tarafından kimliği belirlenebilir bir ger- çek kişiyle ilişkilendirilmeyecek hale getirilmesi, ancak farklı bireylere ait çok sayıda bu tür verinin birleştirilmesi sonucu elde edilecek kümülatif varyant frekans listelerine dönüştü- rülmesi (Genom agregasyon verileri) ile mümkündür ve bu -- 47 of 68 -- 46 46 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER listeler bilimsel araştırmalar kapsamında etik kurul izinleri alınması ve mevcut mevzuata uyulması suretiyle işlenebil- mekte olup, bu tür çalışmaların mümkün olduğu ölçüde ilgili kişiyi belirlenebilir kılmayacak hale getirilmiş veriler üzerin- den yürütülmesi, bunun için takma ad kullanımı (pseudony- misation) gibi yöntemlerin kullanılması suretiyle kişisel veri güvenliğine ilişkin risklerin en aza indirilmesi gerekmektedir. b) Her ne kadar Kanunun 28 inci maddesinin (1) numaralı fıkra- sının (c) bendi kapsamında, özel hayatın gizliliğini ve kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla, genetik verilerin bilimsel amaçlarla kullanımı mümkün olsa da, bunun son çare olarak bilimsel araştırmadan beklenen sonuca ulaşılması için genetik verilerin işlenmesinin zorunlu olması halinde uygulanması gerekir. c) Bilimsel araştırmalarda kullanılan genetik verilerin korun- ması bakımından, anayasal güvence altına alınan kişisel veri- lerin korunması hakkının ihlal edilmemesini teminen gerekli güvenlik tedbirlerinin sağlanması ve bu doğrultuda özellikle kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve öl- çülü olma ilkesine uygun hareket edilmesi gerekmektedir. d) Tamamlanan bilimsel araştırmalar bakımından, kullanılan kişisel verilerin tutulmaya devam edilmesinin gerekip gerek- mediğinin dikkatli bir şekilde değerlendirilerek, gerekmediği kanaatine varılması halinde bu kişisel verilerin kişisel veri saklama ve imha politikasına uygun olarak imha edilmesine yönelik gerekli mekanizmalar sağlanmalıdır. -- 48 of 68 --

kişisel verilerin tutulmaya devam edilmesinin gerekip gerek- mediğinin dikkatli bir şekilde değerlendirilerek, gerekmediği kanaatine varılması halinde bu kişisel verilerin kişisel veri saklama ve imha politikasına uygun olarak imha edilmesine yönelik gerekli mekanizmalar sağlanmalıdır. -- 48 of 68 -- 47 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 47 -- 49 of 68 --

saklama ve imha politikasına uygun olarak imha edilmesine yönelik gerekli mekanizmalar sağlanmalıdır. -- 48 of 68 -- 47 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 47 -- 49 of 68 -- 48 48 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER 7. VERİ SORUMLULARININ YÜKÜMLÜLÜKLERİ 7.1 Aydınlatma Yükümlülüğü Genetik verinin işlenmesine ilişkin olarak veri sorumlularının veya yetkilendirdiği kişilerin Kanunun 10 uncu maddesine uy- gun bir biçimde verilerin elde edilmesi sırasında aydınlatma yükümlülüğünü yerine getirmesi gerekmektedir. Aydınlatma yükümlülüğünün yerine getirilmesine ilişkin olarak Kanunun 10 uncu maddesinin yanı sıra “Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Teb- liğ” 10.03.2018 tarihli ve 30356 sayılı Resmî Gazete’de yayımla- narak yürürlüğe girmiştir. Anılan mevzuat hükümlerine riayet edilmekle birlikte, genetik verilerin önemine binaen genetik veri işleyecek veri sorumlularının, hangi genetik verilerin hangi hukuki sebeple ve hangi amaçla toplandığı, bu verilerin önemi, ihlâl durumunda ortaya çıkabilecek sonuçların neler olabile- ceği (genetik verilerin işlenmesine yönelik riskler) hususlarına ilişkin olarak ilgili kişileri ayrıca aydınlatmalıdır. Bununla bir- likte, genetik verilerin taşıdıkları önemden, bu verilerin ma- hiyetinden ve genetik veri sahibi ilgili kişinin ailesine ilişkin bilgileri de ihtiva etmesinden ötürü, aydınlatma yükümlülüğü- nün kapsamı genişletilerek genetik verisi işlenecek ilgili kişinin genetik veri işleme faaliyetinin gerekçelerini, neticelerini ve muhtemel risklerini anlayabileceği düzeyde bir ön danışman- lık, genetik verinin ilk elde edilmesi sırasında veri sorumlusu ya da veri işleyen tarafından sağlanmalıdır. Örneğin; genetik -- 50 of 68 --

genetik veri işleme faaliyetinin gerekçelerini, neticelerini ve muhtemel risklerini anlayabileceği düzeyde bir ön danışman- lık, genetik verinin ilk elde edilmesi sırasında veri sorumlusu ya da veri işleyen tarafından sağlanmalıdır. Örneğin; genetik -- 50 of 68 -- 49 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 49 verisi işlenen ilgili kişilerin aydınlatılması bakımından yalnız- ca genel açıklamaların yer aldığı bir aydınlatmanın yapılması yeterli değildir. İlgili kişinin genetik veri işleme faaliyetini ve sonuçlarını, genetik verinin işlenmesinin sadece ilgili kişinin değil diğer aile fertlerinin de verisine erişimi sağlayabileceği- ni net bir şekilde anlaması sağlanmalıdır. Ayrıca, ilgili kişinin genetik veri işleme faaliyetine ve sonuçlarına ilişkin başka- ca sorularının yahut kafa karışıklıklarının olması halinde, veri sorumlusu tarafından bu hususların netleştirilmesine ilişkin gerekli tüm işlemler yerine getirilmelidir. Öte yandan, 01.08.1998 tarihli ve 23420 sayılı Resmî Gazete’de yayımlanarak yürürlüğe giren “Hasta Hakları Yönetmeliği”nde bahsi geçen “bilgilendirme” kavramının Kanun kapsamında “ilgili kişi” sıfatını alan hastanın kişisel verileri işlenmeden önce kendisine yapılması gereken “aydınlatma”dan farklı bir bilgilendirme olduğu ve bu bilgilendirme neticesinde alınan, hastanın tıbbî işleme tâbi tutulmasına olanak tanıyan “aydın- latılmış onam”ın, Kanun kapsamında “ilgili kişi” sıfatını alan hastadan alınabilecek “açık rıza”dan farklı bir işlem olduğu, bu kavramların birbirine karıştırılmaması ve birbirlerinden ayrık olarak ilgili kişi/hastaya sunulması gerektiğinin hatırlatılma- sında fayda görülmektedir. 7.2 Veri Sorumluları Siciline Kayıt Yükümlülüğü Kanunun 16 ncı maddesine göre kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorum- luları Siciline kaydolmak zorundadır. Bu çerçevede Kurulun

sında fayda görülmektedir. 7.2 Veri Sorumluları Siciline Kayıt Yükümlülüğü Kanunun 16 ncı maddesine göre kişisel verileri işleyen gerçek ve tüzel kişiler, veri işlemeye başlamadan önce Veri Sorum- luları Siciline kaydolmak zorundadır. Bu çerçevede Kurulun -- 51 of 68 -- 50 50 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER 19.07.2018 tarih ve 2018/87 sayılı Kararı ile ana faaliyet olarak özel nitelikli kişisel veri işleyen veri sorumlularının herhan- gi bir istisna olmaksızın sicile kayıt olmasının zorunlu olduğu vurgulanmıştır. 7.3 Diğer yükümlülükler Veri sorumluları ayrıca kişisel verilerin işlenmesi sırasında ge- rekli teknik ve idari tedbirleri almakla da yükümlüdür. Bu çerçe- vede rehberin 8 inci bölümünde ilgili açıklamalara yer verilmiştir. -- 52 of 68 --

vurgulanmıştır. 7.3 Diğer yükümlülükler Veri sorumluları ayrıca kişisel verilerin işlenmesi sırasında ge- rekli teknik ve idari tedbirleri almakla da yükümlüdür. Bu çerçe- vede rehberin 8 inci bölümünde ilgili açıklamalara yer verilmiştir. -- 52 of 68 -- 51 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 51 8. GENETİK VERİ GÜVENLİĞİ Genetik veri işleyen veri sorumlularının; Kanun, yönetmelik, tebliğ ve Kurul kararlarında yer alan kişisel veri güvenliği ile ilgili hususlara dikkat etmeleri zorunludur. Bunun yanında veri sorumlularına yol göstermek amacıyla Kurum tarafından ha- zırlanmış olan rehber dokümanlarda tavsiye edilen tedbirle- rin de dikkate alınmasında yarar vardır. Bu kapsamda veri so- rumlusu, verilerin niteliği ve veri işlemenin ilgili kişi açısından oluşturacağı muhtemel risklerle ilgili olarak, kişisel verilerin güvenliğini sağlamak amacıyla gerekli her türlü teknik ve idari tedbirleri almalıdır. Bu açıdan özellikle "Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler" ile ilgili Kurulun 31/01/2018 tarihli ve 2018/10 sayılı Kararında yer alan hususlara dikkat edilmelidir. Veri so- rumlularının, bahse konu mevzuat ve rehberlerdeki kişisel veri güvenliği tedbirlerine ilaveten genetik veri işleme hususunda aşağıdaki tedbirleri de alması tavsiye edilmektedir. 8.1 Teknik Tedbirler a) Genetik verilerin bulut sistemlerinde tutulmaması tercih edilmelidir. Ancak genetik veri işleyen cihazlar içerisinde bu- lunan ham verilerin analiz programlarında işlenerek analiz edilebilir hale gelebilmesi için analiz programının bulundu- ğu sunucuya bağlanılmasının gerekli olduğu hallerde veriler bulut sistemleri vasıtasıyla işlenecekse; bulutta depolanan genetik verilerin neler olduğunun detaylıca kaydı tutulmalı, -- 53 of 68 --

lunan ham verilerin analiz programlarında işlenerek analiz edilebilir hale gelebilmesi için analiz programının bulundu- ğu sunucuya bağlanılmasının gerekli olduğu hallerde veriler bulut sistemleri vasıtasıyla işlenecekse; bulutta depolanan genetik verilerin neler olduğunun detaylıca kaydı tutulmalı, -- 53 of 68 -- 52 52 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER bulut dışında yedekleri alınmalı, buluttaki genetik verilere uzaktan erişim için iki kademeli kimlik doğrulama kontrolü uygulanmalıdır. İşlenen ve muhafaza edilen genetik veriler güncel teknolojiye uygun olarak, yeterli güvenliği sağlaya- cak kriptografik yöntemlerle şifrelenmelidir. Standartlaştı- rılmış ve güvenli kriptografik algoritma takımında yer alan algoritmaları barındıran uygulama, cihaz ve sistemler kulla- nılmalıdır. Standartlaştırılmış ve güvenli kriptografik algo- ritmalara yönelik endüstri standartları ve en iyi uygulama örnekleri dikkate alınmalıdır. Standartlaştırılmış kriptografik algoritma takımında yer almayan kriptografik algoritmala- rın kullanımının gerekmesi durumunda kullanım öncesinde, yetkilendirilmiş kripto analiz laboratuvarı tarafından yeterli güvenlik seviyesinde olup olmadıklarının analizi ve değer- lendirilmesi yapılmalıdır. Şifreleme ve anahtar yönetimi politikası açıkça tanımlanmalıdır. Kriptografik anahtarlara erişim sadece yetki sahibi kleranslı (kripto güvenlik belgesi) personel ile sınırlanlandırılmalıdır. Mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılmalıdır. Bununla birlikte, sunu- cusu yurt dışında bulunan bilişim sistemlerinin kullanılma- sının, yurt dışına kişisel veri aktarımı anlamına geleceği ve söz konusu aktarımın, Kanun’un 9 uncu maddesinin konusu hâline geleceği de unutulmamalıdır. b) Cihazların bakım, onarım, tamirat vb. için yetkili firmalara teslimi veya kiralanmış cihazların ilgili firmalara iadesi duru- -- 54 of 68 --

söz konusu aktarımın, Kanun’un 9 uncu maddesinin konusu hâline geleceği de unutulmamalıdır. b) Cihazların bakım, onarım, tamirat vb. için yetkili firmalara teslimi veya kiralanmış cihazların ilgili firmalara iadesi duru- -- 54 of 68 -- 53 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 53 munda cihaz üzerinde yer alan veri muhafaza üniteleri sökü- lerek alınmalı veya tüm veriler harddisk ortamında laboratu- vara teslim edilmeli ve firmaya ait cihaz veya sunucuda veri olmadığına dair firmadan yazılı taahhütname alınmalıdır. c) Veri sorumluları sistemi kurmadan önce ve herhangi bir de- ğişiklikten sonra, oluşturulacak test ortamlarında mümkün- se sentetik veriler (gerçek olmayan) aracılığıyla sistemi test etmelidir. Öte yandan veri sorumluları, test amaçlı yapacağı çalışmalarda gerçek veri kullanacaksa genetik verileri veri minimizasyonu ilkesine uygun şekilde kullanmalıdır. Veri so- rumluları, yetkisiz erişim denemeleri ve gerekli tüm güvenlik tedbirlerinin alınmasına karşın sisteme yetkisiz erişilmesi durumunda sistem yöneticisini ikaz eden ve/veya genetik verileri koruma altına alan ve rapor veren önlemler uygu- lamalıdır. ç) Veri sorumluları sistemde sertifikalı teçhizat, lisanslı ve gün- cel yazılımlar kullanmalı, yama yönetimi sağlamalı, mümkün olduğunca açık kaynak kodlu yazılımları tercih etmeli ve sis- temdeki gerekli güncellemeleri zamanında yapmalıdır. d) Veri sorumluları genetik veri işleyen yazılım üzerindeki kul- lanıcı işlemlerini izleyebilmeli ve sınırlayabilmelidir. Genetik veri işlenen program/sistem üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları(log) ayrı bir sistemde, düzenli olarak tutulmalı ve güvenli bir şekilde korunmalıdır. İşlem kayıt(log) sisteminden sorumlu yönetici(admin) ile diğer sis- temlerden sorumlu kişilerin farklı kişiler olması. -- 55 of 68 --

veri işlenen program/sistem üzerinde gerçekleştirilen tüm hareketlerin işlem kayıtları(log) ayrı bir sistemde, düzenli olarak tutulmalı ve güvenli bir şekilde korunmalıdır. İşlem kayıt(log) sisteminden sorumlu yönetici(admin) ile diğer sis- temlerden sorumlu kişilerin farklı kişiler olması. -- 55 of 68 -- 54 54 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER e) Genetik veri işlenen sistemlerin donanımsal ve yazılımsal güvenlik testleri periyodik olarak yapılmalıdır. Sistemlerde gerçekleştirilen değişiklikler gerekli güvenlik testleri yapıl- dıktan sonra devreye alınmalıdır. f) 2019/12 sayılı Bilgi ve İletişim Güvenliği Tedbirleri Genelgesi ve Genelge kapsamında Cumhurbaşkanlığı Dijital Dönüşüm Ofisi koordinasyonunda hazırlanan Bilgi ve İletişim Güvenli- ği Rehberi kapsamındaki tedbirlere riayet edilmesi gerektiği değerlendirilmektedir. 8.2 İdari Tedbirler Genetik veri işleyen veri sorumluları tarafından aşağıda yer alan idari tedbirlerin alınması tavsiye edilmektedir: a) Kişisel veri güvenliğinin ve bilhassa genetik veri mahre- miyetinin henüz tasarım aşamasında dikkate alınarak tüm mekanizmaların bu temelde öngörülerek hazırlandığı “Mah- remiyet Temelli Tasarım” (Privacy by Design) esasına göre kurulması ve yönetilmesi gerekmektedir. GVKT’nin 25 inci maddesinde kendisine yer bulan bu ilke, ortaya konulan bir ürünün, teknolojinin ya da herhangi bir çıktının üretimine dair tüm süreçlerin, kişisel verilerin korunmasına ilişkin giz- lilik ve mahremiyet hassasiyetleri ön planda tutularak, söz konusu ürün ortaya konulurken bu hassasiyetleri örseleye- bilecek her türlü etkinin henüz tasarım aşamasında tahmin edildiği ve gerekli idari ve teknik tedbirlerin, sürecin en ba- şından itibaren bu riskler dikkate alınarak uygulandığı bir -- 56 of 68 --

lilik ve mahremiyet hassasiyetleri ön planda tutularak, söz konusu ürün ortaya konulurken bu hassasiyetleri örseleye- bilecek her türlü etkinin henüz tasarım aşamasında tahmin edildiği ve gerekli idari ve teknik tedbirlerin, sürecin en ba- şından itibaren bu riskler dikkate alınarak uygulandığı bir -- 56 of 68 -- 55 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 55 veri koruma ilkesidir. Örneğin bireylerin genetik verilerini işleyen kurum ya da kuruluşların, bu kişisel verinin özel ni- telikli kişisel veri olduğunun ve veri güvenliği ihlâli olması hâlinde bu bireylerin ve hatta ulusal ölçekteki menfaatlerin ciddi zararlar görebileceğinin farkında olması ve tüm veri işleme süreçlerinde doğabilecek riskleri tahmin ederek yet- kisiz erişimi engelleyecek yöntemler seçmesi Mahremiyet Temelli Tasarıma bir örnektir. Böylece veri sorumlusu, risk- leri önceden tahmin ederek uygun bir teknoloji ile uçtan uca kuracağı bir mahremiyet ağıyla, bir ihlâli sürecin en başından itibaren, proaktif bir yaklaşımla önlemeye çalışmış olacaktır. Konu hakkında Avrupa Veri Koruma Kurulu (European Data Protection Board – EDPB) tarafından yayınlanmış detaylı bir rehber de bulunmaktadır7 . Hâlihazırda mevzuatımızda bu- lunmayan bir kavram olsa da bu ilkeye uyum sağlanması hâlinde, veri sorumlularının teknik ve idari tedbirleri alma yükümlülüğünü daha kolay ve başarılı bir şekilde yerine ge- tirebileceği değerlendirilmiştir. b) Genetik veri işleyen veri sorumluları tarafından, verilerin ni- teliği ve veri işlemenin ilgili kişi açısından oluşturacağı muh- temel risklerle ilgili olarak Veri Koruma Etki Değerlendirmesi uygulanmalıdır. GVKT’nin 35 inci maddesinde kendisine yer bulan Veri Koruma Etki Değerlendirmesi; işlenen verinin ni- teliği ya da veri işlemede kullanılan yeni bir teknoloji gibi 7 EDPB, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, 20.10.2020 -- 57 of 68 --

uygulanmalıdır. GVKT’nin 35 inci maddesinde kendisine yer bulan Veri Koruma Etki Değerlendirmesi; işlenen verinin ni- teliği ya da veri işlemede kullanılan yeni bir teknoloji gibi 7 EDPB, Guidelines 4/2019 on Article 25 Data Protection by Design and by Default, 20.10.2020 -- 57 of 68 -- 56 56 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER etkenler sebebiyle yüksek riskli olabileceği değerlendirilen bir veri işleme faaliyeti esnasında, verileri işlenen bireylerin bu veri işleme faaliyeti nedeniyle maruz kalabileceği veri ihlâllerini tespit etmeye ve bu sayede tahmin edilmiş riskleri en aza indirmeye yarayan bir araçtır. Genetik veriler, özel nitelikli kişisel veri olduklarından, genetik veri işleyen veri sorumluların Veri Koruma Etki Değerlendirmesi yapmaları- nın, herhangi bir veri ihlâli ile karşılaşılmaması adına büyük önem arz edeceği değerlendirilmiştir. Avrupa Birliği Genel Veri Koruma Tüzüğünün 35 inci maddesinin yedinci fıkrasın- da bir Veri Koruma Etki Değerlendirmesinin taşıması lüzumlu asgari unsurlar; veri sorumlusunun veri işleme faaliyetinin sebebi, hukuki mesnedi ve işleme faaliyetinin şekli hakkın- da açıklamalar, işleme faaliyetinin işleme amacına uygun ve orantılı olup olmadığına ve daha az riskli bir metotla işleme amacına ulaşılıp ulaşılamayacağına dair değerlendirmeler, yürütülen veri işleme faaliyetinin ve bu işleme faaliyetinde tercih edilen veri işleme metodunun ilgili kişiler üzerinde doğurabileceği risklerin tespiti, bu riskler hakkındaki açık- lamalar ve söz konusu risklere karşı alınan teknik ve idari tedbirler ile ilgili kişilere sağlanan güvenceler olarak göste- rilmektedir. Veri Koruma Etki Değerlendirmesi, mevzuatımız- da sarih olarak yer almayan bir kavram olsa da veri sorumlu- larının gerekli teknik ve idarî tedbirleri alma yükümlülüğüne yardımcı bir yöntem olarak bu rehber kapsamında tavsiye edilmekte olup bu konu hakkında sonradan Avrupa Veri Ko- ruma Kurulu olarak yeniden düzenlenen Madde 29 Çalışma

da sarih olarak yer almayan bir kavram olsa da veri sorumlu- larının gerekli teknik ve idarî tedbirleri alma yükümlülüğüne yardımcı bir yöntem olarak bu rehber kapsamında tavsiye edilmekte olup bu konu hakkında sonradan Avrupa Veri Ko- ruma Kurulu olarak yeniden düzenlenen Madde 29 Çalışma -- 58 of 68 --

da sarih olarak yer almayan bir kavram olsa da veri sorumlu- larının gerekli teknik ve idarî tedbirleri alma yükümlülüğüne yardımcı bir yöntem olarak bu rehber kapsamında tavsiye edilmekte olup bu konu hakkında sonradan Avrupa Veri Ko- ruma Kurulu olarak yeniden düzenlenen Madde 29 Çalışma -- 58 of 68 -- 57 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 57 Grubu’nun detaylı bir rehberi de yayınlanmıştır.8 c) Genetik veriler; yetkili, konu ile ilgili eğitim almış ve kendi- siyle gizlilik sözleşmeleri akdedilmiş personel dışında kimse tarafından erişilemeyecek şekilde muhafaza edilmelidir. ç) Kişisel Veri İşleme Envanteri hazırlanmalı ve Veri Sorumluları Sicil Bilgi Sistemi’ne (VERBİS) bildirimde bulunulmalıdır. d) Genetik veri işleme süreçlerine ilişkin ayrı işleme politika- ları, acil durum prosedürleri ve raporlama mekanizmaları oluşturulmalıdır. Elektronik ortamdaki genetik veriler, gü- venli yedekleme sistemiyle düzenli olarak yedeklenmelidir. Veri seti yedekleri mutlaka ağ dışında tutulmalıdır. e) Genetik verilerin işlenmesini içeren veri işleme faaliyetleri öncesinde ilgili kişiler, 6698 sayılı Kanun’un 10’uncu mad- desi ve Aydınlatma Yükümlülüğünün Yerine Getirilmesinde Uyulacak Usul Ve Esaslar Hakkında Tebliğ hükümleri uya- rınca doğru tanzim edilmiş ve geçerli aydınlatma metinleri vasıtasıyla detaylı bir şekilde bilgilendirilmeli ve gerekmesi hâlinde ilgili kişinin açık rızası, Kanuna uygun bir şekilde alınmalıdır. Böyle bir durumda, ilgili kişilerin genetik verile- rinin yalnızca açık rıza alınan kişisel veri işleme faaliyetine ilişkin olarak kullanılabileceği, bu verilerin elde edilmesin- den başka bir amaçla kullanılması durumunda ilgili kişiye yeniden aydınlatma yapılarak açık rıza temin edilmesinin gerekli olduğu da unutulmamalıdır. 8 Article 29 Working Party, Guidelines on Data Protection Impact Assess- ment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, 04.10.2017.

den başka bir amaçla kullanılması durumunda ilgili kişiye yeniden aydınlatma yapılarak açık rıza temin edilmesinin gerekli olduğu da unutulmamalıdır. 8 Article 29 Working Party, Guidelines on Data Protection Impact Assess- ment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, 04.10.2017. -- 59 of 68 -- 58 58 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER f) Genetik verilere dair veri işleme faaliyetlerine ilişkin kurum içi rastgele ve periyodik denetimler ile risk analizleri vasıta- sıyla veri sorumlusu, olası bir veri ihlâline karşı kendisinin hazırlık durumunu sürekli olarak ölçmeli ve izlemelidir. g) Genetik veri işleme süreçlerinde veri sorumlusu tarafından bir amaç doğrultusunda veri işleyen tercih edilmesi duru- munda; veri işleyenlerle yapılacak hizmet sözleşmelerinde gerekli görülen güvenlik tedbirlerine yer verilmeli ve tercih edilecek veri işleyen nezdinde gerekli teknik ve idari tedbir- lerin sağlanıp sağlanmadığı hususunda belirli periyotlarla denetimler yapılmalı veya yaptırılmalıdır. Veri sorumluları- nın, bir veri işleyenden hizmet alırken söz konusu veri işle- yenin kişisel veriler konusunda en az kendileri tarafından sağlanan güvenlik seviyesini sağladığından emin olmaları gerekmektedir. Yukarıda sayılan bütün bu ilkelerin ve kriterlerin sağlandığı hususu veri sorumlusu tarafından kayıt altına alınıp belgelen- dirilmelidir ve kamuoyuna açıklanmalıdır. -- 60 of 68 -- 59 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 59 -- 61 of 68 --

hususu veri sorumlusu tarafından kayıt altına alınıp belgelen- dirilmelidir ve kamuoyuna açıklanmalıdır. -- 60 of 68 -- 59 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 59 -- 61 of 68 -- 60 60 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER 9. ÖNERİLER VE TAVSİYELER Genetik verilerin işlenmesi ortaya çıkardığı bilgiler açısından son derece hassas bir veri hüviyetine sahip olup toplumun ta- mamını da etkileyebilecek ulusal stratejik sonuçlara sebep ola- bilmektedir. Bu nedenle genetik verilerin işlenmesinin belirli kural ve prosedürlere bağlanması, bunun yanında toplumsal alanda da farkındalık oluşturulması gerekmektedir. Zira ilgili kişilerin genetik verilerinin işlenmesi yalnızca kendilerini değil, aralarında genetik irtibat olan akrabalarını, gelecek nesillerini ve hatta ulusal güvenlik ile ekonomiyi de etkileyebilecektir. Örneğin dünyada gelişmekte olan stratejik bir sektör olarak pek çok ülkede devlet desteği elde eden “Biyoteknoloji” ve “Biyoekonomi” gibi terimlerle ifade edilen iktisadî sektör; özellikle sağlık, tarım, biyoenerji gibi alanlarda yüksek verim- le ekonomik çıktı üretebiliyor olmakla birlikte ana ekonomik girdi olarak “genetik veri”yi kullandığından, yüksek inovasyon kapasitesine sahip söz konusu sektörün ve diğer genetik veri işleme faaliyetlerini içeren AR-GE çalışmalarının maruz kalabi- leceği veri ihlâli risklerinin yönetilebilmesi, her ülke için ulusal güvenlik ve ekonomik çıkarlar bakımından yüksek öncelikli bir mesele olarak görülmektedir. Bütün bu açıklamalar ışığında genetik veri işlenmesinin; ilgi- li kişilerin korunması, ulusal güvenlik ve ülkelerin ekonomik menfaatleri doğrultusunda kritik önem arz ettiği ve bu konuda birtakım ulusal tedbirlerin alınmasının elzem olduğu anlaşıl- maktadır. -- 62 of 68 --

mesele olarak görülmektedir. Bütün bu açıklamalar ışığında genetik veri işlenmesinin; ilgi- li kişilerin korunması, ulusal güvenlik ve ülkelerin ekonomik menfaatleri doğrultusunda kritik önem arz ettiği ve bu konuda birtakım ulusal tedbirlerin alınmasının elzem olduğu anlaşıl- maktadır. -- 62 of 68 -- 61 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 61 Ülkemizde bu hususta çalışmalar yapılmakta olup 06.07.2019 tarih ve 30823 sayılı Resmî Gazete’de yayımlanan “Bilgi ve İle- tişim Güvenliği Tedbirleri” konulu ve 2019/12 sayılı Cumhurbaş- kanlığı Genelgesi’nde “Nüfus, sağlık ve iletişim kayıt bilgileri ile genetik ve biyometrik veriler gibi kritik bilgi ve verilerin yurt içinde güvenli bir şekilde depolanacağı” belirtilerek kamu dü- zeninin bozulmasına yol açacak kritik türdeki verilerin güvenli- ğinin sağlanması amacıyla ulusal ve uluslararası standartlar ve bilgi güvenliği kriterleri çerçevesinde, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi tarafından “Bilgi ve İletişim Güvenliği Rehberi” Temmuz 2020 tarihinde yayımlanmıştır. Yine aynı şekilde, Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020-2023) da 29.12.2020 tarih ve 31349 sayılı Resmî Ga- zete’de yayımlanan “Ulusal Siber Güvenlik Stratejisi ve Eylem Planı (2020-2023)” konulu ve 2020/15 sayılı Cumhurbaşkanlığı Genelgesi ile yürürlüğe girmiştir. Yürürlüğe girmiş bu düzenlemelerle birlikte Kurul tarafından ulusal çapta alınabileceği değerlendirilen tedbirlere aşağıda yer verilmiştir: a) Genetik verilerin işlenme amaçlarının farklılık göstermesi nedeniyle prosedürlerin ve kuralların işleme amaçlarına göre ele alınması, örneğin Genetik Hastalıklar Değerlen- dirme Merkezleri Yönetmeliği’nin “Numunelerin taşınması” başlığını hâiz 25’inci maddesinin (2) numaralı fıkrasında yer alan “Yurt dışına tetkik amaçlı numune gönderme yetkisi sadece ruhsatlı Merkeze aittir. Bu Yönetmelik kapsamın- da tetkik amacıyla insan kaynaklı biyolojik numuneler,

başlığını hâiz 25’inci maddesinin (2) numaralı fıkrasında yer alan “Yurt dışına tetkik amaçlı numune gönderme yetkisi sadece ruhsatlı Merkeze aittir. Bu Yönetmelik kapsamın- da tetkik amacıyla insan kaynaklı biyolojik numuneler, -- 63 of 68 -- 62 62 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER Bakanlık takip sistemine kaydedilir.” hükmü yer almakta olup yurt dışına gönderilen numunenin Kanunun 9 uncu maddesinde yer alan hangi şarta dayalı olarak aktarıldığı, bu veri işleme faaliyetinin yukarıda sayılan ve Kanunun 4 üncü maddesinde yer verilen ilkeler çerçevesinde ölçülü ya da gerekli olup olmadığının değerlendirilip değerlendi- rilmediği veya bilimsel bir faaliyet kapsamında işlenip iş- lenmediği gibi daha detaylı düzenlemelere tâbi tutulması, Bakanlık takip sisteminde bu ayrımı gösterir şekilde sınıf- landırmaya gidilmesi, b) Genetik veri ihtiva eden testlerin veya araştırmaların yurt dışında yapılması zorunluluğu karşısında; bilimsel araştırma ya da tetkik amaçlarıyla işlenen genetik verilerin, UNESCO Genel Konferansı’nın 16 Ekim 2003 tarihli “İnsan Genetik Verileri Üzerine Uluslararası Bildirge”sinde (International Declaration on Human Genetic Data) belirtildiği üzere mah- remiyetinin sağlanması ve elde edilen genetik verilerin, top- lanma amaçları dışında başka maksatlarla kullanılmasının engellenmesi konularında gerekli önlemlerin alınması, c) Genetik verilere ilişkin testlerin mümkün olduğunca yurt dışına gönderilmemesi amacıyla ulusal laboratuvarların desteklenmesi, gerekli yerli üretim tıbbî cihazların temini ve bu konuda ihtisaslı insan kaynağının güçlendirilmesi ko- nusunda çalışmalar yapılması, d) Genetik verilerin yurt içinde depolanması için gerekli idarî düzenlemelerin yapılarak bunu mümkün kılacak yerli, millî ve akredite bilişim altyapı çalışmalarının desteklenmesi, -- 64 of 68 --

ve bu konuda ihtisaslı insan kaynağının güçlendirilmesi ko- nusunda çalışmalar yapılması, d) Genetik verilerin yurt içinde depolanması için gerekli idarî düzenlemelerin yapılarak bunu mümkün kılacak yerli, millî ve akredite bilişim altyapı çalışmalarının desteklenmesi, -- 64 of 68 -- 63 GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER | 63 e) Bilimsel amaçlarla kullanılmak üzere ulusal genetik veri bankacılığının geliştirilerek genetik veri saklama merkezinin oluşturulmasının teşvik edilmesi, f) Bu alanda yürütülen araştırma ve çalışmalar da dahil, gene- tik verilerin işlenmesini esnasında; şeffaflık, açıklık ve hesap verebilirlik uygulamalarının geliştirilmesinin teşvik edilmesi ve bu suretle toplumun, bu çalışmaları yürüten kuruluşlar tarafından genetik verilerinin işlenmesinin nedenleri ve so- nuçları hakkında bilgilendirilmelerinin sağlanması, g) Genetik verilerin işlenmesini gerektirecek araştırma veya test faaliyeti yürüten kuruluşların, ilgili kişilere, elde ettikleri ki- şisel verileri nasıl, nerede ve ne şekilde kullanılacağına dair bilgilendirmede bulunan ve ilgili kişilerden gelecek taleple- rin çözümünü sağlayan kişisel verilerin korunması alanında gerekli eğitimleri almış personeli ihtiva eden bir biriminin bulunması ya da bu işlevin sağlık kuruluşları bünyesinde bulunan ve yine kişisel verilerin korunması alanında gerekli eğitimleri almış personeli ihtiva eden personel görevlendir- mek sureti ile “Hasta Hakları Birimi”nce yerine getirilmesi h) İlgili kişilerin, kendilerine ait genetik verilerin yurt dışına gönderilmesi durumunda doğabilecek sonuçlar hakkında bilgilendirilerek toplumsal farkındalığın kamu spotu, top- lantılar gibi yöntemlerle artırılması ve bu suretle yurt dışına genetik verilerini gönderen kişilerin sayısında düşüş sağlan- ması, yurt içinde hali hazırda gerçekleştirilebilen testlerin yurt dışında gerçekleştirilmesini engellemek amacı ile ilgili kişileri yeterli şekilde bilgilendirebilmesi için sağlık çalışan- larına yönelik bilinçlendirme çalışması yapılması. -- 65 of 68 --

genetik verilerini gönderen kişilerin sayısında düşüş sağlan- ması, yurt içinde hali hazırda gerçekleştirilebilen testlerin yurt dışında gerçekleştirilmesini engellemek amacı ile ilgili kişileri yeterli şekilde bilgilendirebilmesi için sağlık çalışan- larına yönelik bilinçlendirme çalışması yapılması. -- 65 of 68 -- 64 64 | GENETİK VERİLERİN İŞLENMESİNDE DİKKAT EDİLMESİ GEREKEN HUSUSLARA İLİŞKİN REHBER -- 66 of 68 -- -- 67 of 68 -- Adres: Nasuh Akar Mahallesi 1407. Sokak No: 4 Çankaya/ANKARA Telefon: 0 312 216 50 00 Web: www.kvkk.gov.tr kvkkurumu -- 68 of 68 --