6698 SAYILI “KİŞİSEL VERİLERİN KORUNMASI KANUNU” KAPSAMINDA BİYOTEKNOLOJİ ALANINDA KİŞİSEL VERİ GÜVENLİĞİ YÜKÜMLÜLÜKLERİ

Doğası gereği temizodalarda yapılması zorunlu olan araştırma, üretim, denetim ve test aşamaları da dâhil olmak üzere;biyoteknoloji, nanoteknoloji, sağlık ve benzeri temizoda teknolojilerinin kullanımını gerektiren pek çok alanda faaliyet gösteren şirketlerin tüm işletmesel ve operasyonel faaliyetleri 6698 sayılı ‘Kişisel Verilerin Korunması Kanunu’nda tanımlandığı şekliyle kişisel veri işleme faaliyetleri içermektedir. Bu doğrultuda, sektörde faaliyet gösteren tüm şirketlerin ilgili Kanun’a uyumunun zorunlu olduğu da aşikârdır.

6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun)7 Nisan 2016 tarihinde Resmi Gazete’de yayınlanarak yürürlüğe girmiştir. 6698 sayılı Kanun, kişisel verilerin işlenmesine ve bu verilerin güvenliğininsağlanmasına dair temel düzenlemeleri içermektedir. Kişisel veri işleme faaliyetleri tüm işletmesel ve operasyonel faaliyetlerin ayrılmaz bir parçasıdır. Bu sebeple;kişisel verilerin işlenmesineilişkin mevzuat, veri sorumlularına hukuki, idari ve teknik önlemleri almak yükümlülüğü getirmekle birlikte bu yükümlülüklere uyulmamasını idari para cezası yaptırımına da bağladığı için iş faaliyetlerinin yürütülmesi nezdinde önem arz etmektedir.

Kişisel verilerin işlenmesi, kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hale getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi gibi veriler üzerindegerçekleştirilen her türlü̈ işlemi ifade etmektedir.

Kişisel veri ise, kimliği belirli veya belirlenebilir gerçekkişiyeilişkinher türlü̈ bilgiyi ifade etmektedir. Örneğin; bir gerçekkişinin adı, soyadı, doğum tarihi ve yeri, telefon numarası, motorlu taşıt plakası, SGK numarası, özgeçmiş̧, resim, görüntü̈ ve ses kayıtları, parmak izleri, e-posta adresi, hobileri, tercihleri, etkileşimde bulunulan kişiler, grup üyelikleri, aile bilgileri vesağlık bilgileri o kişinin kişisel verileridir.

Bu halde çalışan veya hissedarların kimlik ve iletişim verilerinden, kontrollü alanlara giriş çıkış için kullanılan biyometrik verilere veyahut araştırmalarda kullanılan genetik verilere kadar kullanılan tüm kişisel verilerin elde edilmesi, saklanması, aktarılması faaliyetleri 6698 sayılı Kanun kapsamında kişisel veri işleme faaliyetleri olarak sayılacaktır. Üstelikbiyometrik veriler ve genetik veriler ile sağlık bilgileri gibi bazı kişisel veriler işbu Kanun’da özel nitelikli kişisel veri olarak tanımlanmış ve daha sıkı bir korumaya tabi tutulmuştur.

6698 sayılı Kanun’da özel nitelikli kişisel veriler, başkaları tarafından öğrenildiği takdirde ilgili kişinin mağdur olabilmesine veya ayrımcılığa maruz kalabilmesine neden olabilecek nitelikteki veriler olan kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri olarak listelenmiştir. 

Bu doğrultuda, özellikle araştırmalarda kullanılan genetik veriler ile sağlık verileri ve kontrollü alanlara giriş çıkışlarda güvenlik amacıyla kullanılan parmak izi veyahut retina ve yüz tanıması gibi biyometrik verilerin işlenmesi esnasında ilgili verilerin, özel nitelikli kişisel veriler olmaları sebebiyle; hassas korumaya tabi tutulması gerekmektedir.

Bir başka deyişle, işin mahiyeti gereği çalışanların veya araştırmacıların yanlarında giriş kartı gibi bazı materyaller taşıyamayacak olması veyahut gizlilik ve güvenlik sebepleri ile retina taraması ve yüz tanıması gibi biyometrik verilerin kullanımı ile yeterli güvenlik önlemlerinin sağlanabiliyor olması hallerinde işbu kişisel verilerin işlenmesi esnasında 6698 sayılı Kanun’a uyumun sağlanması ve veri güvenliğine ilişkinde gerekli önlemlerin alınmış olması şarttır. Bu çerçevede veri sorumlularının yerine getirmesi gereken yükümlülüklergenel olarak aşağıdaki şekilde sıralanabilir:

• İşlenmekte olan kişisel verilerin 6698 sayılı Kanun’da sayılan ilkelere uygun olarak; işlenme amacı ile bağlantılı, orantılı, ölçülü, hukuk ve dürüstlük kurallarına uygun ve gerektiği süre kadar muhafaza etmek suretiyle işlenmesi gerekmektedir.
• Bu çerçevede, gerekli ise açık rızaların temin edilmesi; aksi halde ilgili verilerin derhal imha edilmesi gerekmektedir.
• İlgili kişilerin 6698 sayılı Kanun ve alt mevzuatında öngörüldüğü şekilde aydınlatılması gerekmektedir.
• İlgili politika, prosedür ve kurallar ile Kişisel Veri İşleme Envanteri’nin oluşturulması ve gerekmesi halinde Veri Sorumluları Sicili’ne kayıt olunması gerekmektedir.
• İlgilikişilerinbaşvurularının alınması için uygun mecraların sağlanması ve işbu başvuruların uygun sürelerde cevaplanması gerekmektedir.
• Kişisel Verileri Koruma Kurul’una (Kurul)gerekmesi halinde cevap verilmesi ve Kurul Kararları’nın yerine getirilmesi gerekmektedir.
• Nihayet, veri güvenliğinin sağlanması ve olası bir veri güvenliği ihlali halinde Kurul’a ve ilgili kişilere bildirim yapılması gerekmektedir.

Üstelik işbu yükümlülüklerin yerine getirilmemesi halinde veri işleyen veri sorumluları 1 Milyon Türk Lirası’na kadar uzanan idari para cezaları ile Türk Ceza Kanunu’nda düzenlenen hapis cezaları ile karşılaşabilecektir. 

Ne var ki;6698 sayılı Kanun’un istisnalarını düzenleyen 28. maddesi uyarınca kişisel verilerin resmi istatistik ile anonim hâle getirilmek suretiyle araştırma, planlama ve istatistik gibi amaçlarla işlenmesi ile kişisel verilerin millî savunmayı, millî güvenliği, kamu güvenliğini, kamu düzenini, ekonomik güvenliği, özel hayatın gizliliğini veya kişilik haklarını ihlal etmemek ya da suç teşkil etmemek kaydıyla bilimsel amaçlarla işlenmesi hallerinde ilgili işlemelere 6698 sayılı Kanun hükümleri uygulanmayacaktır.

Bu çerçevede; yukarıda bahsi geçen, özel nitelikli kişisel veri olarak nitelendirilen biyometrik ve genetik veriler de dahil olmak üzere işlenmekte olan kişisel verilerin anonim hale getirilerek araştırmalarda kullanılması veyahut bilimsel amaçlarla kullanılması hallerinde yukarıda sayılan yükümlülüklerin yerine getirilmesi gerekmeyecek, dolayısıyla idari para cezası ve hapis cezası riskleri de ortadan kalkmış olacaktır.

Ancak dikkat edilmesi gerekir ki;işletmesel faaliyetlerin tamamı araştırma veya bilimsel faaliyet olarak değerlendirilemeyecek, yalnızca araştırmaya asıl olan faaliyetler çerçevesinde gerçekleştirilen işleme faaliyetleri bu istisnalardan yararlanabilecektir. Bu sebeple, özellikle özel nitelikli kişisel verilerin yoğunlukla işlendiği biyoteknoloji alanında faaliyet gösteren şirketlere 6698 sayılı Kanun’a uyum için gerekli adımları ivedilikle atması, ilgili mevzuata uyum için gerekli olan Kişisel Verilerin Korunması Mevzuatı Uyum projelerinin başlatılması ve Kişisel Veri Saklama ve İmha Politikası gibi gerekli politika ve prosedürlerin hazırlanması ile Kurul’un öngördüğü teknik ve idari tedbirlerin alınması önerilmektedir. 

Av. Deniz ŞEN