Genetik Verilerin Yurt Dışına Aktarımı
Genetik Verilerin Yurt Dışına Aktarımı
LABORATUVARDAN BULUTA: GENETİK VERİLERİN YURT DIŞINA AKTARIMINDA HUKUKİ RİSKLER: SCHREMS II KARARINA BAKIŞ Genetik Verilerin Yurt Dışına Aktarımı Türk Hukukunda KVKK m. 9 kapsamında genetik verilerin yurt dışına aktarımı kural olarak açık rızaya tabidir. Açık rıza bulunmadığı hâllerde ise yalnızca yeterli korumaya sahip ülkelere aktarım veya yazılı taahhütname ve Kişisel Verileri Koruma Kurulu izni ile aktarım mümkündür. Uygulamada yeterli korumaya sahip ülkeler listesinin belirsizliği ve Kurul izni süreçleri, genetik verilerin yurt dışına aktarımını fiilen zorlaştırmaktadır. Açık rıza yoluyla aktarım ise, veri sahibinin yurt dışındaki hukuki ve teknik riskleri tam olarak öngörememesi nedeniyle genetik veriler bakımından sınırlı bir güvence sağlamaktadır. GDPR Kapsamında GDPR, üçüncü ülkelere veri aktarımını adequacy decision, Standard Contractual Clauses (SCC) ve Binding Corporate Rules (BCR) gibi mekanizmalarla düzenlemiştir. Ancak genetik veriler söz konusu olduğunda bu mekanizmalar, her somut olayda ek teknik ve hukuki güvencelerle desteklenmek zorundadır. Schrems II kararı ile birlikte, üçüncü ülkeye aktarımda yalnızca sözleşmesel güvencelerin yeterli olmadığı açıkça ortaya konmuştur. Aktarım yapılacak ülkenin hukuk düzeninin fiilen GDPR düzeyinde koruma sağlayıp sağlamadığı ayrıca değerlendirilmelidir. Bu karar sonrası genetik verilerin yurt dışına aktarımı, hukuken mümkün olmakla birlikte istisnai, yüksek riskli ve ağır yükümlülüklere tabi bir faaliyet hâline gelmiştir. Schrems II kararı (C-311/18), Avrupa Birliği Adalet Divanı’nın (CJEU) kişisel verilerin üçüncü ülkelere aktarımına ilişkin rejimi köklü biçimde yeniden şekillendirdiği, veri koruma hukukunda dönüm noktası niteliğinde bir karardır. Karar, özellikle hassas nitelikli veriler bakımından genetik ve sağlık verileri dâhil veri aktarımının hukuki dayanaklarını ciddi biçimde daraltmıştır. Dava, Avusturyalı hukukçu Max Schrems’in, Facebook Ireland’ın AB’deki kullanıcı verilerini Amerika Birleşik Devletleri’ne aktarmasına karşı yaptığı şikâyet üzerine başlamıştır. Schrems, ABD hukuk düzeninin, AB hukukunda güvence altına alınan temel haklara eşdeğer bir koruma sağlamadığını; özellikle ABD istihbarat makamlarının kişisel verilere geniş ve sınırsız erişim yetkilerinin bulunduğunu ve AB vatandaşlarının bu müdahalelere karşı etkili bir hukuki başvuru yolundan yoksun olduğunu ileri sürmüştür. Mahkemenin önüne gelen temel mesele, Avrupa Komisyonu tarafından kabul edilen EU–US Privacy Shield mekanizmasının ve Standart Sözleşme Maddeleri’nin (SCC), GDPR m.44 ve devamı hükümleri çerçevesinde yeterli koruma sağlayıp sağlamadığıdır. CJEU, kararında ABD hukuk sisteminde yürürlükte olan FISA Section 702 ve Executive Order 12333 gibi düzenlemelerin, kamu otoritelerine kişisel verilere orantısız ve ayrım gözetmeksizin erişim imkânı tanıdığını tespit etmiştir. Bu durumun, Avrupa Birliği Temel Haklar Şartı’nın 7., 8. ve 47. maddeleriyle bağdaşmadığı sonucuna varılmıştır. Bu gerekçelerle Mahkeme, EU–US Privacy Shield’ı geçersiz ilan etmiş; böylece yeterlilik kararlarının siyasi nitelikte değil, yargısal denetime tabi hukuki işlemler olduğunu açıkça ortaya koymuştur. Bu tespit, yalnızca ABD ile veri aktarımını değil, tüm üçüncü ülkelere yönelik aktarım rejimini etkilemiştir. Mahkeme, Standart Sözleşme Maddeleri’ni ise tamamen geçersiz kılmamış; ancak bu mekanizmanın tek başına yeterli bir güvence oluşturmadığını vurgulamıştır. Schrems II sonrası dönemde veri sorumluları ve veri işleyenler, veri aktarımı yapılacak ülkenin hukuk düzenini somut ve güncel bir şekilde değerlendirmekle yükümlüdür. Bu değerlendirme, uygulamada Transfer Impact Assessment (TIA) olarak adlandırılan ve sürekli güncellenmesi gereken bir risk analizini zorunlu kılmaktadır. Ayrıca, yeterli korumanın sağlanamadığı durumlarda ek teknik ve organizasyonel önlemler alınması veya aktarımın tamamen durdurulması gerekmektedir. Bu yaklaşım, özellikle genetik veriler açısından daha da katı sonuçlar doğurmaktadır. Genetik veriler, bireyin kimliğine, biyolojik özelliklerine ve gelecekteki sağlık durumuna ilişkin son derece kapsamlı bilgiler içerdiğinden, üçüncü dünya ülkelerindeki kamu otoritelerinin erişimine açık hâle gelmesi telafisi imkânsız hak ihlallerine yol açabilir. Schrems II kararı, bu tür verilerin aktarımında açık rızanın dahi sınırsız bir güvence sağlamadığını; rızanın istisnai, dar yorumlanması gereken ve her somut olayda yeniden değerlendirilmesi gereken bir hukuki dayanak olduğunu ortaya koymuştur. Sonuç olarak Schrems II, kişisel verilerin –özellikle genetik verilerin– yurt dışına aktarımını yasaklamamakla birlikte, bu faaliyeti yüksek riskli, istisnai ve sürekli denetime tabi bir hukuki süreç hâline getirmiştir. Veri aktarımı artık yalnızca teknik veya sözleşmesel bir mesele değil; temel haklar, kamu gücünün sınırları ve insan onuru ile doğrudan bağlantılı anayasal bir sorun olarak ele alınmaktadır. Genetik veriler, bireyin biyolojik kimliğini ve geleceğini doğrudan etkileyen, özel nitelikli kişisel verilerin ötesinde bir öneme sahiptir. Bu verilerin yurt dışına aktarımı, yalnızca veri koruma hukukunun değil, etik ve insan hakları hukukunun da kesişim noktasında yer almaktadır. Mevcut düzenlemeler genetik verilerin korunması için yüksek standartlar öngörmekle birlikte, yurt dışına aktarım bakımından belirsizlikler ve uygulama sorunları barındırmaktadır. Özellikle açık rıza merkezli yaklaşım, genetik verilerin doğasına özgü riskleri tek başına karşılamakta yetersiz kalmaktadır. Bu nedenle genetik verilerin yurt dışına aktarımında, açık rızanın yanı sıra güçlü teknik, hukuki ve organizasyonel güvenceler içeren, genetik verilere özgü bir aktarım rejiminin geliştirilmesi gerekmektedir. Biyoteknoloji ve bulut tabanlı sağlık hizmetlerinin yaygınlaştığı günümüzde, genetik verilerin sınır aşan dolaşımı kaçınılmazdır; ancak bu kaçınılmazlık, daha düşük değil, daha yüksek bir koruma standardını zorunlu kılmaktadır. KAYNAKÇA: Av. Selin Ceren CANBULUT
Yorumlar