Veri sorumlusu, Kanunun 4 üncü maddesinde yer alan genel ilkelere ve 6 ncı maddesinde düzenlenen şartlara uygun bir şekilde, ancak aşağıda yer alan ilkeler doğrultusunda genetik verileri işleyebilecektir.

Temel hak ve özgürlüklerin özüne dokunulmaması: Kişisel verilerin korunması hakkının Türkiye Cumhuriyeti Anayasasında (Anayasa) düzenlenen temel hak ve özgürlüklerden biri olması sebebiyle, genetik veri işleme faaliyetlerinin de Anayasada öngörülen temel hak ve özgürlükler bakımından temel güvencelere tabi olması gerektiği açıktır ve bu noktada ölçülülük hususu büyük önem arz etmektedir. Dolayısıyla, genetik veri işlenmesi yoluyla gerçekleştirilen kişisel veri işleme faaliyetlerinin hakkın özüne dokunulmaksızın, ölçülülük ilkesi ile uyumlu olarak ve veri güvenliğine ilişkin tedbirler alınmak suretiyle gerçekleştirilmesi gerekmektedir. Bu anlamda, yürütülecek olan kişisel veri işleme faaliyetinin yalnızca genetik verinin işlenme amacının gerçekleştirilmesi için gerekli ve yeterli olan verilerin işlenmesi ile sınırlı olarak gerçekleştirilmesi gerekmekte olup genetik veri işlemenin amacını aşan işleme faaliyetinden kaçınılmalıdır. Bu kapsamda, işlenen genetik verilerle, bu verilerin işlenme amacı arasında makul bir denge kurularak ölçülülük ilkesine riayet edilmeli ve kişisel veri işleme faaliyeti “belirli, açık ve meşru” olarak ortaya konulan veri işleme amacı dışında, mevcutta olmayan yahut gelecekte meydana gelmesi muhtemel olan amaçlar doğrultusunda genetik veri işlenmemelidir. 

Genetik veri işleme faaliyetinin ulaşılmak istenen amaç için uygun olması: Bu ilke ile veri sorumlusunun başvuracağı kişisel veri işleme yönteminin ve işleyeceği kişisel verilerin ulaşmak istediği amaç bakımından elverişli olması hususu ifade edilmektedir. Anayasa Mahkemesinin 28.09.2017 tarihli ve E.2016/125, K.2017/143 sayılı kararında elverişlilik, “getirilen kuralın ulaşılmak istenen amaç için elverişli olması” şeklinde tanımlanmıştır. Bu anlamda, genetik veri işleme faaliyeti ile hedeflenen neticenin gerçekleşmesi için elverişli nitelikte ve türde genetik veri işlenmeli ve bu genetik verilerin elde edilmesi bakımından elverişli yöntemler kullanılmalıdır. Genetik veri işleme amacı için elverişli olan kişisel verilerin işlenmesi esnasında, amacı gerçekleştirmek için elverişli miktar ve türde genetik veri elde edilmesinden sonra fazladan kişisel veri işlenmesi yoluna gidilmemelidir. Kısacası, yalnızca genetik veri işleme faaliyetinin amacını gerçekleştirmeye yönelik veriler işlenmelidir. Öte yandan genetik verilerin işlenme amaçlarının değişmesi veya veri sorumlusu tarafından, daha önceden elde edilmiş kişisel verilerin, yeni bir amaç için yeniden işlenmek istenmesi durumunda Kanunda yer alan veri işleme şartlarının yeniden gözden geçirilerek, ilgili kişinin aydınlatılması ve gerekiyorsa ilgili kişiden açık rıza alınması yoluna gidilmesi gerektiği unutulmamalıdır.

Genetik veri işleme yönteminin ulaşılmak istenen amaç bakımından gerekli olması: Anayasa Mahkemesinin 28.09.2017 tarihli ve E.2016/125, K.2017/143 sayılı kararında vurgulandığı üzere; “(…) “gereklilik” getirilen kuralın ulaşılmak istenen amaç bakımından gerekli olmasını (…) ifade eder.” Gereklilik ilkesi gereğince, aynı amacın gerçekleşmesine olanak tanıyan birden fazla aracın/yöntemin olması durumunda bunlar arasından en az müdahaleci olan araç/yöntem seçilmelidir. Daha az sınırlayıcı bir müdahale ile aynı veya daha iyi bir sonucun elde edilmesi mümkün ise, daha fazla müdahaleci olan aracın/yöntemin kullanılması gereklilik ilkesine aykırı olacaktır. Diğer bir deyişle, genetik veri işleme faaliyetinin amacının gerçekleştirilmesine yönelik olarak kullanılan araçlar/yöntemler bakımından daha az müdahaleci herhangi bir alternatifin mevcut olması durumunda yahut daha az miktar ve türde genetik veri işlenmesinin mümkün olması halinde, gereklilik sınırını aşan müdahaleler kapsamında işlenen genetik veri bakımından hukuka uygun bir kişisel veri işleme faaliyetinden bahsedilemeyecektir.

KVKK "T.C. Kimlik Numaralarının İşlenmesi Hakkında Rehber" Yayımladı KVKK "T.C. Kimlik Numaralarının İşlenmesi Hakkında Rehber" Yayımladı

Genetik veri işlemeyle ulaşılmak istenilen amaç ve aracın arasında orantı bulunması: Anayasa Mahkemesinin 28.09.2017 tarihli ve E.2016/125, K.2017/143 sayılı kararında orantılılık “getirilen kural ile ulaşılmak istenen amaç arasında olması gereken ölçü” şeklinde tanımlanmıştır. Orantılılık ilkesi gereğince, genetik veri işleme faaliyeti kapsamında kullanılan araç ile genetik veri işlemenin amacı arasında ölçülü bir orantı bulunmalıdır. Bu anlamda kullanılan aracın ulaşılmak istenen amaç bakımından orantısız olmaması gerekmektedir. Genetik veri işleme noktasında, kişisel verilerin korunması hakkına gerçekleştirilen müdahalenin ağırlığı ile bu müdahaleyi haklı kılacak sebepler arasında ölçülülüğün bulunması gerekmektedir; yani kullanılan araç nedeni ile ilgili kişilerin kişisel verilerine ve haklarına orantısız müdahalelerde bulunulmamalıdır. Genetik veri işleme faaliyetinin amacının gerçekleştirilmesine yönelik olarak birden fazla aracın bulunduğu durumlarda en uygun olan aracın seçilmesi, orantılılığı ifade etmektedir.

İşlenen genetik verilerin gereken süre kadar tutulması, gereklilik ortadan kalktıktan sonra söz konusu verilerin gecikmeksizin kişisel veri saklama ve imha politikasına uygun olarak imha edilmesi: Kanunun 4 üncü maddesinin (1) numaralı fıkrasının (d) bendinde yer alan ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza edilme ilkesi gereğince, kişisel verilerin işlenmesinde azami süre belirlenmelidir. Bu çerçevede Genetik Hastalıklar Değerlendirme Merkezleri Yönetmeliğinin “Kayıt Sistemi” başlıklı 24 üncü maddesinin dördüncü fıkrasında bulunan; “Merkezde raporlar ve kayıtlar en az otuz yıl, elektronik kayıtlar yedekleme ile birlikte süresiz, numuneler ve lamlar bozulmayacak şekilde uygun şartlarda en az iki yıl süre ile muhafaza edilir.” hükmü yer almaktadır. Bununla birlikte, genetik veriler işlenmesini gerektiren süre boyunca işlenmeli; söz konusu verilerin ne kadar süre boyunca muhafaza edileceği, nedenleri ile birlikte kişisel veri saklama ve imha politikasında veri sorumlusu tarafından açıklanmalıdır. Bu anlamda, genetik veriler, işlenmelerine ilişkin amacın gerçekleştirilmesine yönelik olarak gereken süre kadar tutulmalıdır. Bu anlamda, kullanılan genetik verilerin tutulmaya devam edilmesinin gerekip gerekmediğinin periyodik olarak ve dikkatli bir şekilde gözden geçirilmesi, tutulmasının gerekmediği kanaatine varılan genetik verilerin ise gecikmeksizin imha edilmesi gerekmektedir.

Kaynak: Genetik Verilerin İşlenmesinde Dikkat Edilmesi Gereken Hususlara İlişkin Rehber

Editör: Elif Kosedag