Makale

İnsan genetiği verileri, sadece bireyin değil, aynı zamanda o bireyle kan bağı bulunan diğer aile üyelerinin de geçmiş, mevcut ve gelecekteki sağlık durumları hakkında eşsiz bilgiler sunan özel nitelikli kişisel veriler statüsündedir. Bu verilerin son derece hassas doğası, Kişisel Verilerin Korunması Kanunu ve uluslararası düzenlemeler ışığında işlenme şartlarının oldukça sıkı kurallara bağlanmasını gerektirmiştir. Genetik verilerin işlenmesi süreci, bireyin kendi geleceğini belirleme hakkı ve mahremiyet hakkı ile doğrudan bağlantılı olduğundan, bu verilerin rastgele toplanması veya kullanılması hukuka aykırılık teşkil etmektedir. Bu nedenle, genetik verilerin işlenmesinde başta aydınlatılmış onam olmak üzere kanunda tahdidi olarak sayılan hukuka uygunluk nedenlerinin varlığı mutlak surette aranır. İşleme şartlarının yanı sıra, elde edilen bu kritik bilgilerin yetkisiz erişime, siber saldırılara veya kötü niyetli kullanımlara karşı korunması, veri sorumlularının en temel yükümlülüklerinden biri olan veri güvenliği şemsiyesi altında değerlendirilmektedir. Kurumların bu mahrem verileri işlerken veri güvenliğini sağlaması, hukuki bir zorunluluk olduğu kadar etik bir sorumluluktur.

Genetik Verilerin İşlenmesinde Açık Rıza Şartı

Kanuni düzenlemeler uyarınca, genetik veriler özel nitelikli kişisel veri kabul edilmekte olup, kural olarak ilgili kişinin açık rızası olmaksızın işlenmesi yasaktır. Açık rıza; belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve kişinin özgür iradesiyle açıkladığı onay olarak tanımlanır. Genetik veriler bağlamında bu rızanın, şüpheye yer bırakmayacak bir netlikte alınması şarttır. Bireyin, genetik verilerinin hangi amaçlarla toplanacağı, ne kadar süreyle muhafaza edileceği ve kimlere aktarılabileceği hususlarında şeffaf bir biçimde bilgilendirilmesi gerekmektedir. Eğer birey rıza göstermemesi durumunda herhangi bir hak kaybına veya dezavantajlı duruma düşecekse, verilen rızanın özgür iradeyle verilmediği kabul edilir ve hukuken sakat hale gelerek geçerliliğini yitirir.

Açık Rıza Aranmayan Hukuka Uygunluk Halleri

Kanun koyucu, açık rıza bulunmasa dahi bazı zorunlu durumlarda kişisel verilerin işlenmesine cevaz vermiştir. Bu hukuka uygunluk nedenleri, genetik veriler gibi özel nitelikli veriler söz konusu olduğunda daha dar bir yorumla ve titizlikle uygulanmalıdır. Örneğin, bireyin fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda olması ve bu veri işlemenin hayat veya beden bütünlüğünün korunması için zorunlu olması hali bu istisnalardandır. Ayrıca, genetik verilerin doğrudan doğruya ilgili kişi tarafından alenileştirilmiş olması veya bir hakkın tesisi, kullanılması ya da korunması için veri işlemenin mecburi olduğu senaryolarda da hukuka uygunluktan bahsedilebilir. Ancak alenileştirme durumunda dahi, genetik veriler alenileştirilme amacı dışında kullanılamaz; aksi takdirde hukuka aykırı veri işleme fiili gündeme gelecektir.

Veri Güvenliği Kapsamında Alınması Gereken Tedbirler

Genetik veri bankaları veya sağlık kuruluşları gibi veri sorumluları, bünyelerinde barındırdıkları genetik verilerin gizliliğini ve bütünlüğünü sağlamakla mükelleftir. İlgili mevzuat uyarınca veri sorumlusu; kişisel verilerin hukuka aykırı olarak işlenmesini ve bu verilere hukuka aykırı şekilde erişilmesini önlemek amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü idari ve teknik tedbiri almak zorundadır. Bu yükümlülük, salt dijital koruma kalkanları oluşturmayı değil, aynı zamanda veriye erişimi olan personelin eğitilmesini ve gizlilik sözleşmelerinin yapılmasını da kapsar. İnsan genetiği verilerinin siber saldırılar veya içeriden sızıntılar yoluyla ifşa olması, bireyler açısından telafisi imkânsız manevi zararlara ve genetik ayrımcılığa yol açabileceğinden, veri sorumlusunun özen ve sadakat yükümlülüğü en üst seviyede değerlendirilmektedir.

Genetik Verilerin Silinmesi, Yok Edilmesi ve Anonimleştirilmesi

İşlenme şartları ortadan kalkan genetik verilerin, veri bankalarında veya ilgili sistemlerde süresiz olarak muhafaza edilmesi hukuka aykırıdır. İşlenmesini gerektiren sebeplerin tamamen ortadan kalkması hâlinde, kişisel verilerin veri sorumlusu tarafından resen veya ilgili kişinin talebi üzerine imha edilmesi gerekmektedir. İlgili yönetmelikler çerçevesinde veri sorumlularının uygulayabileceği temel imha yöntemleri şunlardır:

• Verilerin Silinmesi: İlgili kullanıcılar dahil olmak üzere hiç kimsenin verilere erişemeyeceği ve verilerin tekrar kullanılamaz hale getirildiği işlemdir.
• Verilerin Yok Edilmesi: Dijital veya fiziksel ortamdaki verilerin hiç kimse tarafından erişilemeyecek, geri getirilemeyecek ve kullanılamayacak şekilde tamamen ortadan kaldırılmasıdır.
• Anonim Hale Getirme: Genetik verilerin, başka verilerle eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek duruma getirilmesidir.

Genetik verilerin anonimleştirilmesi, tıp ve bilimsel araştırma dünyası için önemli olsa da genetik kodların kişiye özgü eşsiz yapısı nedeniyle mutlak anonimliğin sağlanması pratikte oldukça güçtür. Genetik dizilimlerin, kişinin soyadı veya lokasyon bilgileri gibi diğer halka açık verilerle birleştirilerek kişinin yeniden tanımlanabilme riskinin bulunması, genetik mahremiyetin korunması önündeki en büyük teknik engellerden biridir. Bu nedenle, verilerin bilimsel araştırmalarda kullanılmasının ardından, geri döndürülemeyecek şekilde yok edilmesi, veri güvenliği ihlallerinin ve olası kişilik hakkı saldırılarının önüne geçilmesi açısından en güvenilir hukuki yöntem olarak tıp ve veri koruma hukuku uzmanlarınca tavsiye edilmektedir.