Yan Etki Bildirim Süreçlerinde KVKK ve GDPR Uyumluluğu – 1. Bölüm

25.08.2025

Arzu Galandarlı, World Medicine Türkiye, Legal Counsel

Cansu Yalçıntaş, World Medicine Türkiye, Legal Affairs Assistant Manager

Giriş: İlaç güvenliliğinin izlenmesi (farmakovijilans), hastaların ve sağlık profesyonellerinin bildirdiği yan etki (advers etki) vakalarının toplanmasını, değerlendirilmesini ve ilgili mercilere raporlanmasını içerir. Bu süreçte işlenen veriler genellikle kişisel sağlık verileridir ve hem Türkiye’de 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) hem de Avrupa Birliği Genel Veri Koruma Tüzüğü (GDPR) kapsamında sıkı koruma altındadır. Kişisel verilerin işlenmesi, saklanması ve paylaşımı sırasında hukuki uyumluluğu sağlamak, aynı zamanda halk sağlığını koruma amacıyla gerekli verileri etkin biçimde kullanmak kritik bir denge gerektirir. Aşağıda dijital yan etki bildirim sistemlerinden veri güvenliği protokollerine, uluslararası veri aktarımından açık rıza gerekliliklerine kadar bu sürecin tüm boyutları KVKK ve GDPR uyumu açısından detaylandırılmıştır.

1. Dijital Yan Etki Bildirim Sistemleri

Dijital yan etki bildirim sistemleri, sağlık çalışanlarının veya hastaların advers etkileri hızlı ve güvenli şekilde iletebilmesini sağlar. Bu sayede farmakovijilans verileri etkin biçimde toplanır ve işlenir.

Çevrimiçi Bildirim ve Veri Toplama: Günümüzde ilaç firmaları ve sağlık otoriteleri, yan etki bildirimlerini dijital platformlar üzerinden almayı teşvik etmektedir. Hastalar ve sağlık çalışanları; web sitelerindeki çevrimiçi formlar, mobil uygulamalar, e-posta veya özel bildirim portalları aracılığıyla advers olayları bildirebilir. Örneğin, Türkiye’de Türkiye Farmakovijilans Merkezi (TÜFAM)’ın çevrimiçi formu veya telefon hattı üzerinden yan etki raporları kabul edilmektedir.

İlaç firmalarının kendi web sitelerinde de benzer bildirim formları bulunur. Bu formlar aracılığıyla iletilen bilgiler doğrudan firmaların veya otoritelerin veri tabanlarına düşer ve inceleme süreci başlatılır.

Veri Yönetim Sistemleri: Toplanan yan etki raporları, genellikle farmakovijilans süreçleri için özelleştirilmiş dijital veri yönetim sistemlerinde tutulur. Bu sistemler (örneğin güvenlik veritabanları, ICSR yönetim yazılımları) her vaka raporunu kayıt altına alır, günceller ve gerekli durumlarda sağlık otoritelerine bildirim yapar. Elektronik raporlama standartları (örneğin E2B formatı) sayesinde bu sistemlerden doğrudan Avrupa İlaç Ajansı’nın EudraVigilance veritabanı gibi ulusal/uluslararası otoritelere dijital transfer mümkün olur. Bu dijital entegrasyon, raporların iletilmesini hızlandırırken verinin tutarlılığını da artırır.

KVKK ve GDPR Uyumlu Altyapı: Dijital bildirim platformlarının tasarımı ve işletimi, daha en baştan mahremiyet odaklı olmalıdır. KVKK ve GDPR gerekliliklerine uygun olarak, sadece gereken veriler talep edilmeli (veri minimizasyonu), kullanıcıya yeterli aydınlatma metni sunulmalı ve gerektiğinde açık rızası alınmalıdır. Örneğin, bir ilaç firmasının yan etki bildirim formu üzerinden elde ettiği veriler için yayınladığı aydınlatma metninde, verilerin KVKK’ya uygun işlendiği ve işleme amacı ortadan kalktığında silineceği, yok edileceği veya anonim hale getirileceği açıkça belirtilmelidir.

Dijital sistemde iletilen bilgiler, aktarım sırasında şifrelenerek iletilmeli ve firma bünyesinde güvenli sunucularda saklanmalıdır. Ayrıca, dijital platformlarda çok faktörlü kimlik doğrulama ve yetkilendirme mekanizmaları uygulanarak sadece yetkili personelin bu hassas verilere erişebilmesi sağlanır. Tüm bu önlemler, dijital yan etki bildirim süreçlerinin hem hızlı hem de güvenli şekilde işlemesini mümkün kılar.

2. Anonimleştirme ve Pseudonimleştirme Teknikleri

Yan etki bildirimlerinde kişisel verilerin gizliliğini korumak amacıyla iki temel yöntem kullanılabilir: Anonimleştirme ve Pseudonimleştirme (takma ad veya kodlama).

Anonimleştirme: Bir veri setinin, hiçbir şekilde belirli bir kişiyi tanımlamayacak hale getirilmesidir. Anonimleştirilmiş veride isim, kimlik numarası, iletişim bilgisi gibi tüm tanımlayıcılar kalıcı olarak çıkarılır veya dönüşüme uğratılır ve verinin herhangi bir ek bilgiyle dahi geri eşleştirilmesi imkânsız hale getirilir. Bu yöntemle işlenen veri artık kişisel veri sayılmaz. Örneğin, bir advers olay raporunda hastanın adı yerine hiçbir kimlik bilgisi içermeyen genel istatistiksel bilgiler tutulur ve diğer tüm doğrudan tanıyıcı detaylar silinir. Bu sayede veri, bireylerin mahremiyetine zarar vermeden akademik analiz veya istatistiksel raporlama gibi amaçlarla kullanılabilir.
Pseudonimleştirme (Takma Ad Verme): Verinin içinde yer alan kimlik belirleyicilerin, ilgili kişiyle doğrudan bağlantısını koparacak şekilde kodlanması anlamına gelir. Bu teknikte gerçek isim veya kimlik numarası gibi bilgiler, bir kod veya rumuz ile değiştirilir ve gerçek kimliği çözecek anahtar bilgi güvenli bir şekilde ayrı bir yerde tutulur. Örneğin, bir hastanın adı soyadı yerine sistemde otomatik olarak “Hasta 12345” gibi bir kod atanması ve isim bilgisinin karşılığının sadece yetkili kişinin erişebileceği ayrı bir listede saklanması pseudonimleştirmedir. Önemle vurgulanmalıdır ki, pseudonimleştirilmiş veri hala kişisel veri kabul edilir; çünkü ek bilgilerle tekrar gerçek kişiye ulaşmak mümkündür
Bu nedenle teknik/hukuki gereklilik olarak, pseudonimleştirilmiş veriler de aynı KVKK/GDPR korumasına tabidir ve bu verilerin hangi ek bilgilerle eşleştirildiği sıkı güvenlik altında tutulmalıdır.

Farmakovijilans Süreçlerinde Uygulama: Yan etki bildirimlerinde genellikle tam anonimleştirmeden ziyade pseudonimleştirme tercih edilir, zira raporun tamamen kimliksiz hale getirilmesi halinde gerektiğinde olguya dair ek bilgi toplanması veya takibinin yapılması zorlaşabilir. Örneğin, şirketler advers olay raporlarını düzenlerken hastanın adı ve soyadı yerine sadece baş harflerini, doğum tarihinin yerine sadece yılını kullanarak raporu işleme alır.

İlaç güvenliliğinin izlenmesine dair mevzuat gereği raporlarda hastayı teşhis etmeye yetecek asgari demografik bilgiler (yaş, cinsiyet gibi) bulundurulur; ancak isim gibi doğrudan tanıyıcı bilgiler sağlık otoritelerine raporlanırken çoğunlukla dahil edilmez. Nitekim bir firmanın küresel advers olay veri tabanına veya Dünya Sağlık Örgütü’ne ilettiği yan etki raporlarında “hasta adı açık olarak bildirilmemektedir” ifadesiyle, veri minimizasyonu ve takma ad kullanımının esas olduğu belirtilmektedir.

Bu şekilde, hem yasal bildirim yükümlülükleri yerine getirilir hem de ilgili kişilerin kimliği sadece gerekli olduğu ölçüde ve sınırlı kişilerce bilinir.

Teknik ve Hukuki Gereklilikler: KVKK ve GDPR, mümkün olan durumlarda verilerin anonim veya en azından pseudonim hale getirilerek işlenmesini teşvik eder. GDPR’ın 25. maddesindeki veri koruma tasarım gereği ilkesi, şirketlerin sistemlerini en baştan itibaren bu tür gizlilik koruma yöntemlerini uygulayacak şekilde dizayn etmesini öngörür. KVKK tarafında da, veri sorumlularından işleme amaçları sona erdiğinde verileri silmesi, yok etmesi veya anonimleştirmesi beklenir (KVKK md. 7). Dolayısıyla, bir yan etki bildirimi alındığında şirket, işleme amacı kapsamında gerekmedikçe ilgili kişinin kimliğini açık tutmamalı, mümkün olan en kısa sürede veriyi takma adlı forma dönüştürmelidir. Bu dönüşüm yapıldıktan sonra orijinal tanımlayıcı bilgilere erişim, yalnızca farmakovijilans birimindeki sınırlı yetkili kişilerle kısıtlanmalı ve bu kişiler de gizlilik yükümlülüğü altında olmalıdır. Özetle, anonimizedilmiş veya kodlanmış veriler farmakovijilansın merkezinde yer almakta; bu sayede hem hasta mahremiyeti korunmakta hem de halk sağlığı açısından gerekli veri akışı kesintiye uğramamaktadır.

3. Sağlık Profesyonelleri ile İş Birliği

Yan etki bildirim süreçlerinin başarılı olabilmesi için sağlık profesyonellerinin (Hekimler, eczacılar, hemşireler vb.) aktif katılımı kritik öneme sahiptir. Sağlık çalışanları, ilaca maruz kalan hastaların durumlarını yakından takip eden ve olası advers etkileri ilk fark eden kişiler olarak, farmakovijilansın ilk halkasını oluştururlar. Bu nedenle, hem bildirim yapma yükümlülükleri hem de veri gizliliği konusunda bilinçli olmaları gerekir.

Sağlık Profesyonellerinin Rolü: Bir advers etki meydana geldiğinde çoğunlukla ilk bildirim, hastanın doktoru veya sağlık kuruluşu tarafından yapılır. Türkiye’de hekimler ve eczacılar, karşılaştıkları ciddi veya beklenmeyen yan etkileri TÜFAM’a veya ilgili ilacın ruhsat sahibine bildirmeye teşvik edilir (hatta kimi durumlarda meslek etiği gereği yükümlü sayılırlar). Etkin iş birliği mekanizmaları sayesinde, ilaç firmaları da sağlık çalışanlarından gelen bu bildirimleri hızla kendi sistemlerine alır ve otoritelere iletir. Örneğin bir ilaç firması, sahadaki temsilcileri veya medikal departmanı aracılığıyla doktorlardan gelen yan etki bildirimlerini merkezdeki farmakovijilans birimine iletecek kanallar kurar.

Takip ve İletişim: Sağlık profesyonelleri, bir yan etki bildirimi yaptıklarında çoğu zaman ek bilgi talebi için kendileriyle iletişime geçilebilir. GDPR kapsamında, eğer raporu yapan kişi bir sağlık profesyoneli ise, şirketin bu kişiyle rapor hakkında takip bilgi talebi için yeniden iletişime geçmesi ayrıca bir izne tabi olmayabilir – zira bu iletişim, yasal farmakovijilans yükümlülüğünün parçasıdır.

Ancak raporu ileten sağlık çalışanı, kendisiyle tekrar irtibat kurulmasını istemediğini açıkça belirtirse, bu talebe saygı duyulmalı ve kayıt altına alınmalıdır.

Öte yandan raporu ileten kişi bir sağlık çalışanı değil de hasta veya yakını ise, firmanındoğrudan hastanın doktoruna ulaşıp ayrıntı alabilmesi için hastadan izin istemesi gerekebilir.

Bu uygulama, hem hasta mahremiyetine saygı hem de doktor-hasta ilişkisine özen açısından önemlidir.

Etkileşimi Artıran Mekanizmalar: Sağlık profesyonelleriyle etkin iş birliği sağlamak adına firmalar çeşitli mekanizmalar kurar. Örneğin, eğitim programları ve seminerler düzenleyerek hekimlere olası yan etkileri nasıl tanıyıp raporlayacaklarını anlatır; farmakovijilansın önemi vurgulanır. Ayrıca, hastanelerde yan etki bildirim formlarının veya elektronik sistemlerinin kolay erişilebilir olması (örneğin hastane bilgi sistemine entegre bir “yan etki bildir” butonu) teşvik edilir. Bazı ilaç firmaları, medikal bilimler departmanı aracılığıyla hekimlerle sürekli iletişimde kalarak advers olay bildirim sürecini hızlandırır.

KVKK Uyumu Açısından Dikkat Edilecek Hususlar: Sağlık profesyonelleriyle iletişimde, paylaşılan verilerin mahremiyeti de korunmalıdır. Bir doktor, hastasının yaşadığı yan etkiyi bildirirken mümkün mertebe hastanın kimliğini ifşa etmeden (isim vermeden veya yalnızca baş harf kullanarak) bildirim yapmalıdır. Eğer tam hasta bilgisi gerekiyorsa (örneğin takip için), bu durumda doktorun, hastayı kişisel verilerinin advers etki raporlama amacıyla kullanılacağı konusunda bilgilendirmesi ve KVKK uyarınca gerekli aydınlatmayı yapması beklenir. Firmalar da hekimlerden gelen bu bildirimlerde yer alan kişisel verileri, kendi sistemlerine girerken anonimize etmeye özen gösterir. Örneğin, bir doktor raporunda hastanın adı geçse bile, firma kendi veri tabanına bu adı kodlayarak kaydedebilir ve raporu Sağlık Bakanlığı’na gönderirken isim bilgisini dahil etmeyebilir.

Ayrıca, hekimlerin kendi kişisel verileri de (isim, iletişim bilgileri) bu süreçte işlenir; bu veriler de KVKK/GDPR kapsamında korunmalıdır. Raporu dolduran sağlık çalışanının adı, firma içinde sadece farmakovijilans ekibinin bileceği şekilde tutulur ve otoritelere rapor gönderilirken genellikle “sağlık mesleği mensubu” şeklinde genel bir ifade kullanılır. Böylece hekimlerin mahremiyeti de gözetilir ve onlar da güvenle bildirim yapabilirler.

4. Veri Güvenliği Protokolleri

Kişisel sağlık verilerinin işlendiği yan etki bildirim süreçlerinde, güçlü veri güvenliği protokolleri uygulanır. Şifreleme, erişim kontrolü ve düzenli siber güvenlik denetimleri sayesinde hassas bilgiler korunur.

Yan etki bildirim süreçlerinde toplanan veriler, özel nitelikli kişisel veri kapsamına giren sağlık bilgilerini içerir. Bu nedenle hem KVKK hem GDPR, bu verilerin korunmasına yönelik yüksek düzeyde teknik ve idari güvenlik önlemleri alınmasını şart koşar. Veri güvenliği protokolleri, teknik önlemler (ör. şifreleme, erişim kısıtlama) ve idari önlemler (ör. politika ve prosedürler, personel eğitimi, gizlilik sözleşmeleri) olmak üzere iki boyutta ele alınmalıdır:

Teknik Güvenlik Önlemleri: Farmakovijilans verilerinin tutulduğu dijital sistemler, yetkisiz erişime ve veri sızıntılarına karşı en yeni teknolojilerle korunur. Şifreleme, bunların başında gelir: Yan etki bildirim formları üzerinden iletilen bilgiler SSL/TLS gibi protokollerle şifrelenerek sunuculara aktarılır. Veri tabanlarında saklanan hassas bilgiler de mümkünse güçlü algoritmalarla şifrelenmiş halde tutulur. Ayrıca, sistemlere erişim rol tabanlı yetkilendirme ile sınırlandırılır – yalnızca farmakovijilans ekibinin yetkili üyeleri, kendi görev alanlarıyla sınırlı olacak şekilde bu kayıtlara erişebilir. Örneğin, bir ilacın güvenliğiyle ilgili raporlara yalnızca ilgili güvenlik uzmanları ve gerekiyorsa şirketin veri koruma sorumlusu (DPO) erişebilir; diğer departmanların (pazarlama, satış gibi) bu verilere erişimi kapalıdır. Kullanıcı hesapları için güçlü kimlik doğrulama (karmaşık şifreler, ikinci faktör gibi) uygulanır ve her erişim hareketi kayıt altına alınır (loglama).

Bir diğer önemli teknik önlem, sistem mimarisinin güvenli tasarımıdır. Kişisel veriler, doğrulanmış ve amaca uygun BT sistemlerinde, paylaşımlı ağ sürücülerine veya e-posta eklerine kıyasla çok daha güvende olacaktır.

Bu nedenle firmalar, yan etki verilerini gelişigüzel Excel dosyalarında veya ortak paylaşım klasörlerinde tutmak yerine, denetime açık ve güvenliği test edilmiş veritabanlarında saklarlar.

Sunucular düzenli olarak güvenlik yamalarıyla güncellenir, ağ güvenlik duvarları ve saldırı tespit/önleme sistemleri devrededir. Ayrıca siber güvenlik denetimleri periyodik olarak gerçekleştirilir: sızma testleri (penetration test) yapılarak sistemin açıkları aranır, zafiyet taramaları ile zayıf noktalar tespit edilir ve giderilir. Tüm bu teknik önlemler, KVKK’nın 12. maddesinde vurgulanan “uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik tedbir” gerekliliğinin karşılanması içindir.

İdari Güvenlik Önlemleri: Teknik altyapı ne kadar güçlü olursa olsun, insan faktörü zayıfsa veri güvenliği riske girebilir. Bu nedenle idari tedbirler büyük önem taşır. İlk olarak, şirket bünyesinde veri koruma politikaları ve prosedürleri oluşturulur. Farmakovijilans süreçlerinde hangi verinin nasıl işleneceği, kimlerle paylaşılabileceği, ne süreyle saklanacağı ve ihlal durumunda ne yapılacağı yazılı prosedürlerle tanımlanır. Çalışanlar işe başladıklarında ve belirli aralıklarla KVKK/GDPR ve veri güvenliği eğitimlerinden geçirilir.

Özellikle farmakovijilans departmanı personeline, sağlık verilerinin mahremiyeti ve bu verilerle çalışırken uyulacak kurallar konusunda kapsamlı eğitimler verilir. Personel, bu hassas verileri işlerken yalnızca işinin gerektirdiği kadarını görmesi ve paylaşması gerektiği konusunda bilinçlendirilir. Tüm çalışanlarla gizlilik sözleşmeleri imzalanır ve yetki matrisleri tanımlanır (hangi pozisyonun hangi verilere erişebileceği). Bir yan etki raporunun incelenmesi sürecine dahil olan herkes, bu verileri sır saklama yükümlülüğü altında yalnızca görevinin gerektirdiği şekilde kullanacağını taahhüt eder.

Ayrıca, veri ihlallerine karşı bir acil durum planı olmalıdır. Örneğin, eğer bir yetkisiz erişim veya veri sızıntısı tespit edilirse, KVKK’nın öngördüğü şekilde Kişisel Verileri Koruma Kurumu’na derhal bildirim yapılması ve etkilenen kişilerin haberdar edilmesi gerekebilir. Bu durumda izlenecek adımlar (sistem erişimini kapatma, etki analizi, yasal bildirimler, kamuoyu açıklaması gibi) önceden belirlenmiş olmalıdır. Düzenli aralıklarla iç denetimler yapılarak, farmakovijilans biriminin KVKK uyumuna ilişkin süreçleri kontrol edilir.

Örneğin, en son ne zaman veri imha işlemi yapıldığı, çalışan eğitimlerinin kayıtları, yetkisi olmayan birinin veri erişim girişimi olup olmadığı denetlenir. Bu tür iç kontroller, olası bir denetimde veya veri ihlali durumunda şirketin yükümlülüklerini yerine getirdiğini gösterebilmesini sağlar.

Özetle, hem teknik hem de idari güvenlik protokolleri iç içe geçmiş halde uygulanarak yan etki bildirim süreçlerindeki verilerin gizliliği ve bütünlüğü sağlanır. Bu sayede şirketler, hem hastaların güvenini korur hem de KVKK ve GDPR’nin sert yaptırımlarından kaçınmış olur.

5. Uluslararası Veri Aktarımı

Yan etki bildirim süreçleri, doğası gereği uluslararası bir boyuta sahiptir. Bir ilacın güvenliği ile ilgili toplanan veriler, sadece yerel otoritelere değil, aynı zamanda ilacın diğer ülkelerdeki düzenleyici otoritelerine veya firmanın global merkezi ile dünya çapındaki farmakovijilans veri tabanlarına iletilebilir. Örneğin Türkiye’de toplanan bir advers olay verisi, Avrupa Birliği’nde EudraVigilance sistemine veya ilaç firmasının Avrupa’daki merkezine gönderilmek zorunda kalabilir. Bu durum, kişisel verilerin yurt dışına aktarımı konusunda hem KVKK’nın hem de GDPR’nin hükümlerini devreye sokar.

KVKK Kapsamında Yurt Dışına Aktarım: KVKK’nın 9. maddesi, kişisel verilerin yurt dışına aktarılmasına sıkı kısıtlamalar getirir. Temel ilke, verinin yurt dışına ancak ilgili kişinin açık rızasıyla veya Kanun’daki işleme şartlarından birine dayalı olarak ve aktarım yapılacak ülkede yeterli koruma bulunması şartıyla gönderilebileceğidir. Türkiye’de Kişisel Verileri Koruma Kurulu, henüz “yeterli korumaya sahip ülkeler” listesi yayınlamamıştır. Dolayısıyla, pratikte şirketler iki yoldan birini izler:

Açık Rıza Alınması: Yan etki bildiriminde bulunan kişiden, verilerinin yurt dışındaki ilgili taraflarla (örneğin firmanın merkez ofisi, uluslararası veri tabanı veya Dünya Sağlık Örgütü gibi kuruluşlar) paylaşılmasına onay vermesini talep etmek. Nitekim bazı ilaç firmalarının yan etki bildirim formlarında, KVKK ve Elektronik Ticaret Kanunu uyarınca açık rıza onay kutuları bulunduğu görülür
Bu onay metinlerinde, ilgili kişiye verilerinin gerektiğinde şirketin yurt dışındaki grup şirketlerine veya iş ortaklarına iletileceği bilgisi verilir. Açık rıza, KVKK’ya uygun şekilde özgür iradeyle ve bilgilendirilmiş olarak alınmalıdır. Ancak burada dikkat edilmesi gereken, advers etki bildiriminde bulunan kişinin (örneğin bir hasta), sadece rapor vermek isterken uzun bir açık rıza metniyle karşılaşıp vazgeçmemesi için süreçlerin hassas yönetilmesidir.
Kurul İzni ve Sözleşmesel Güvenceler: KVKK md.9, eğer açık rıza yoksa ve diğer işleme şartlarına dayanılarak veri aktarılacaksa, aktarım yapılacak yabancı ülkede yeterli koruma bulunması veya yoksa Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı olarak taahhüt etmeleri ve Kurul izninin alınması gerektiğini belirtir. Bu madde çerçevesinde bazı şirketler bağlayıcı şirket kuralları (BCR) veya standard sözleşme hükümleri hazırlayarak Kurul’un onayına sunmaktadır. Örneğin, global bir ilaç firması, Türkiye’deki biriminden Avrupa’daki merkeze advers olay verisi aktarırken, grup içinde veri korumasının GDPR standartlarında olacağını taahhüt eden bir şirket politikası ve sözleşmesi uygular; bu belgeleri Kurul’un onayına sunar. Onay alındıktan sonra bu sözleşmesel güvence ile aktarım yapar. Pratikte bu yöntem oldukça zahmetli olabildiğinden, pek çok firma açık rıza yolunu tercih etmektedir.

KVKK, açık rıza veya Kurul izni bulunmayan hallerde verinin yurt dışına aktarılmasını açıkça yasaklar.

Bu nedenle, Türkiye’den global farmakovijilans merkezlerine yapılan her veri akışı, yukarıdaki şartlardan birine uygun olarak gerçekleştirilir. Örneğin, bir firma politikası gereği her advers etki raporu Amerika’daki merkezi veri tabanına kaydedilmek zorundaysa, Türkiye ofisi raporu göndermeden önce ilgili kişiden açık rıza almış olmalıdır veya Kurulca onaylı bir güvence mekanizması işletmelidir.

GDPR Kapsamında Uluslararası Aktarım: Avrupa Birliği’nin GDPR’ı da benzer şekilde kişisel verilerin AB dışına transferine kısıtlamalar getirir. GDPR’a göre Avrupa Ekonomik Alanı (EEA) dışına veri aktarımı, ancak Avrupa Komisyonu’nun yeterli koruma düzeyi tespit ettiği ülkelere veya uygun koruma taahhüdü olan durumlarda yapılabilir. Örneğin, Komisyon’un güvenli kabul ettiği ülkeler listesinde bulunan İsviçre’ye veya Japonya’ya veri aktarımı, ek izne tabi olmadan yapılabilir. Türkiye ise henüz AB tarafından yeterli korumaya sahip ülke olarak tanınmamıştır. Dolayısıyla, AB’deki bir ilaç firmasının Türkiye’ye veri aktarması veya tam tersi durumda Standart Sözleşme Maddeleri (SCC) imzalaması ya da BCR gibi mekanizmalara başvurması gerekir. Global ilaç şirketleri, genelde merkez ofisleri için GDPR uyumunu sağladıklarından, Türkiye gibi ülkelerden gelen advers olay verileri de bu çerçevede ele alınır. Örneğin, AB merkezli bir firma, Türkiye ofisinden gelen bir yan etki raporunu alırken, bu transferi şirket içi onaylı BCR kapsamında gerçekleştirebilir.

Uluslararası Kuruluşlarla Paylaşım: Yan etki verileri zaman zaman Dünya Sağlık Örgütü (WHO) gibi uluslararası sağlık kuruluşlarıyla da paylaşılır. WHO’nun küresel advers etki veri tabanı (VigiBase) ülkelerden gelen verileri toplar. Bu tür paylaşımlarda da kişisel veri minimizasyonu esastır. Örneğin, Türkiye’den WHO’ya iletilen bir raporda hastanın yalnızca baş harfleri, yaş/yaş aralığı ve cinsiyeti gibi bilgiler verilir; hastanın kimliği tam olarak ifşa edilmez.

Böylece hem uluslararası düzeyde ilaç güvenliği denetimi sağlanmakta hem de ilgili kişilerin mahremiyeti korunmaktadır.

Yasal Dayanaklar ve Örnekler: Uluslararası veri aktarımında her somut durumun bir yasal dayanağa oturtulması gerekir. Kanuni zorunluluklar (örneğin bir ilacın ruhsatlandırma şartı olarak global veri tabanına kaydedilmesi) açık bir dayanak oluşturur. Örneğin, AB’de yürürlükte olan 520/2012 sayılı Tüzük, pazarlama izni sahiplerinin güvenlik verilerini EudraVigilance’a bildirmesini zorunlu kılar; bu da fiilen uluslararası bir veri aktarımıdır. Bu zorunluluk, GDPR md.49(1)(d) kapsamındaki kamu yararı nedenleriyle zorunlu transfer olarak görülebilir. Türkiye’de de TİTCK’nin yayınladığı kılavuzlar, uluslararası farmakovijilans ağlarına bildirim yapılmasını gerektirebilir – bu durumda KVKK md.5/2-ç (hukuki yükümlülüğün yerine getirilmesi için zorunluluk) devreye girer.

Firmaların sıklıkla yaptığı bir diğer şey de sözleşmesel taahhütler oluşturmaktır. Örneğin, Türkiye’deki bir ilaç firmasının yabancı bir farmakovijilans hizmet sağlayıcısıyla çalıştığını varsayalım (yurt dışındaki bir call-center veya güvenlik verisi işleyen bir şirket gibi). Bu durumda, firma bir veri işleme sözleşmesi yaparak hizmet sağlayıcının KVKK ve GDPR’ye uygun hareket edeceğini, verileri sadece talimatlar doğrultusunda işleyeceğini, yeterli güvenlik önlemleri alacağını taahhüt altına alır.

Eğer veri yurt dışına da gidecekse, sözleşmeye AB Standart Maddeleri veya Kurul’un öngördüğü ek hükümler konur. Böylece, fiilen veriler sınır ötesine geçse bile kağıt üzerinde koruma seviyesi yerel ile aynı tutulmaya çalışılır.

Uluslararası veri aktarımı, hem regülasyonlara uyum sağlama hem de küresel halk sağlığını koruma açısından bir zorunluluktur. İlaç şirketleri bu dengeyi sağlamak için teknik anonimizasyon önlemleri, hukuki sözleşmeler ve açık rıza gibi araçların tümünü bir arada kullanır. Sonuç olarak, yeterli koruma prensibi altında, advers etki verileri dünya çapında dolaşırken dahi hastaların mahremiyeti gözetilir.

6. Eğitim ve Farkındalık Çalışmaları

KVKK ve GDPR gibi düzenlemelere uyum, yalnızca yazılı politikalara sahip olmakla değil, bu politikaları uygulayacak insanların bilinçlendirilmesiyle mümkün olabilir. Bu nedenle ilaç sektöründe farmakovijilans personeline ve ilgili diğer çalışanlara düzenli eğitimler verilmesi, farkındalıklarının sürekli yüksek tutulması esastır.

KVKK ve GDPR Eğitimi: Farmakovijilans biriminde çalışanlar, işlerinin önemli bir kısmının kişisel sağlık verileriyle uğraşmak olduğunu bilerek göreve başlarlar. Şirketler, bu personele işe alım sürecinde kapsamlı KVKK/GDPR eğitimleri sunar. Eğitimin içeriğinde; temel veri koruma kavramları, KVKK’nın getirdiği yükümlülükler (aydınlatma, açık rıza, veri güvenliği, VERBİS kaydı vb.), GDPR’ın temel prensipleri (hukuka uygunluk, şeffaflık, amaçla sınırlı işleme, asgari veri vb.) ve özellikle sağlık verilerinin işlenmesine dair özel hükümler yer alır. Örneğin, çalışanlar öğrenir ki hassas bir veriyi işlerken kural olarak açık rıza gerekir ancak farmakovijilans gibi kamu sağlığını ilgilendiren durumlarda istisnai işleme şartları kullanılabilir; ancak bu da belli sınırlar içinde olmalıdır. Eğitimlerde gerçek hayattan örnek vakalar tartışılır: Bir hasta “verimi silin” derse ne yapacağız? Ya da bir e-posta ile yanlışlıkla hasta bilgisi dışarıya gönderilirse nasıl hareket edeceğiz? gibi senaryolar üzerinde durulur.

Sürekli Güncellenen Programlar: Tek seferlik eğitimler yeterli olmadığından, periyodik eğitim programları planlanmalıdır. Örneğin yılda bir kez tüm ilgili personel için KVKK/GDPR tazeleme eğitimi yapılır. Mevzuatta bir değişiklik olduğunda veya şirketin prosedürlerinde güncellemeler varsa derhal ek eğitimlerle çalışanlar haberdar edilir. Eğitimlerin etkinliğini ölçmek için küçük sınavlar veya anketler yapılabilir, böylece hangi konularda eksik kalındığı saptanıp o alanlara yoğunlaşılır. Özellikle GDPR’ın uygulanmaya başladığı ilk yıllarda, farklı hukukçuların farklı yorumlarına dayalı yaklaşımlar görülmüş; bu da şirketten şirkete uyum uygulamalarında farklılık yaratmıştır.

Bu nedenle farmakovijilans ekiplerinin en güncel en iyi uygulamalar konusunda eğitilmesi önemlidir. Şirketler, konferanslara katılımı teşvik ederek veya sektör birliği tarafından yayınlanan kılavuzları paylaşarak personelin güncel kalmasını sağlar.

Farkındalık ve Kültür: Eğitimlerin yanı sıra, şirket içinde genel bir veri koruma kültürü oluşturmak gerekir. Özellikle farmakovijilans gibi hassas bir alanda, çalışanların yalnızca kural zorunluluğu nedeniyle değil, aynı zamanda mesleki etik gereği bu ilkelere bağlı kalması amaçlanır. Şirket içi farkındalığı yüksek tutmak için, belirli aralıklarla hatırlatıcı bildirimler, posterler, intranet duyuruları kullanılabilir. Örneğin, her ay bir “KVKK köşesi” bülteni yayınlanarak o ay içinde dünyada yaşanmış bir veri ihlali haberi ve çıkarılan dersler paylaşılabilir. Ya da “kişisel veri güvenliği ipucu” şeklinde kısa e-postalar atılarak, basit ama önemli pratiklere (örneğin bilgisayar ekranını terk ederken kilitlemek, hasta adlarını e-posta konu satırında yazmamak gibi) dikkat çekilebilir.

Eğitimlerin Denetlenmesi: Şirketler, eğitim ve farkındalık faaliyetlerinin gerçekten uygulandığını ve etkili olduğunu da denetlemelidir. İç denetim birimleri, periyodik olarak çalışanların eğitim kayıtlarını, sertifikalarını kontrol edebilir; anketler ile çalışanların KVKK/GDPR bilgisini ölçebilir. Ayrıca, beklenmedik simülasyonlar yapılabilir: Örneğin, bilgi güvenliği ekibi tarafından çalışanlara farkındalık testi olarak sahte bir kimlik avı (phishing) e-postası gönderilir ve kaç kişinin bu tuzağa düştüğüne bakılır. Sonuçlar, eğitimin hangi noktalarda güçlendirilmesi gerektiğini ortaya koyar. Yine IAPP gibi uluslararası kuruluşlar, farmakovijilans gibi yüksek düzenlemeli sektörlerde veri minimizasyonu ve düzenli eğitim gibi uygulamaları önde gelen koruma tedbirleri olarak önermektedir.

Sonuç ve Kazanımlar: Sürekli eğitim ve farkındalık çalışmaları sayesinde, farmakovijilans ekibi ve diğer ilgili personel, KVKK ve GDPR’ye uyumu bir yükümlülükten ziyade işlerinin doğal bir parçası olarak görmeye başlar. Bu da günlük iş akışlarında proaktif olarak mahremiyet odaklı davranmalarını sağlar. Örneğin, eğitilmiş bir çalışan yeni bir yan etki formu tasarlarken ilk düşündüğü şeylerden biri “Bu formda gerçekten gereken minimum kişisel veriyi mi soruyoruz?” olacaktır. Eğitimli personel, bir veri ihlali potansiyeli gördüğünde bunu yönetime iletmekten çekinmez, çünkü şirket kültürü bunu destekler. Böylece hem şirket yasal risklerden korunur hem de hastaların ve sağlık çalışanlarının güveni kazanılır.

This website is available “as is. Turkish Law Blog is not responsible for any actions (or lack thereof) taken as a result of relying on or in any way using information contained in this website, and in no event shall they be liable for any loss or damages.

The content and materials published on this website are provided for informational purposes only and should not be used as a legal opinion in any way. This website and the information contained are not intended to establish an attorney-client relationship.

Döviz Kredisi Yasağı Yumuşatıldı

FX Borrowing Ban Softened

Sermaye Piyasası Kurulu’ndan Elektronik Ticari Defterler İçin Önemli İlke Kararı

Regulation on Venture Capital Funds to be Supported by the Ministry of Industry and Technology is Published

Kasım Ayı İndirimleri - İndirimler Hangi Fiyat Üzerinden Hesaplanacak (11.11.2025)

Corporate Reporting Obligations Regarding Transactions Affecting Foreign Exchange Position

Türkiye Newsletter No.24 | Competition Market Overview

Yerinde İncelemelerde Veri Silinmesine Yeni Bir Bakış Açısı

KST Rekabet Gündemi – Ekim Ayında Neler Oldu?

FIDIC Sözleşmelerine Türk Hukuku Penceresinden Bir Bakış

An Overview of FIDIC Contracts From the Perspective of Turkish Law

Judicial Shift in Precedent Regarding Revenue-Sharing Construction Contracts: The Principle of Reliance on the Land Registry Reinforced

Draft Law on Measures Concerning AI-Generated Content

Board Approves Cross-Border Transfer via Non-Treaty Agreement

Quick Read: Data Protection Law Updates in Türkiye – October 2025

2026 Yılı Asgari Avukatlık Ücreti, Gider Avansı, Hakem Ücret ve Tanık Ücret Tarifeleri Yayımlandı

2026 Tariffs for Minimum Attorney Fee, Expense Advance, Arbitrator Fee And Witness Fee Published

Constitutional Court Decision Dated 10 July 2025, No. E.2025/119, K.2025/155

Elektronik Ticaret ve Tüketici Hukuku Mevzuatında Yakın Zamanda Yapılan Kapsamlı Değişiklikler

Mesafeli Sözleşmeler Yönetmeliği’nde Değişiklik: Cayma Hakkında İade Masrafları Artık Tüketicilere Yüklenemeyecek

Amendment to the Distance Contracts Regulation: Consumers Will No Longer Bear Return Costs

Amendments Related to Unlicensed Electricity Generation in Türkiye

EPDK Piyasalarda Şeffaflığa ve Piyasa Bozucu Davranışlara İlişkin Yönetmelik Taslağı’nı Görüşe Açtı

Super Permit Regulation: Significant Amendments to Mining, Energy and Environmental Legislation

The Ethics of Gamification in the Workplace

New Framework for Corporate Sustainability Reporting Expertise Announced

Carbon Credits Under Türkiye’s New Climate Law: A Legal and Commercial Turning Point

Rekabet Kurumu Fintek Raporu’nun Ödemeler Ekosistemine Etkileri Bölüm X: Google Soruşturması

The Turkish Competition Authority’s Fintech Report’s Effects on the Payments Ecosystem

MASAK’ın Yeni Tebliğ Taslağı: Finansal İşlemlerde Kademeli Beyan Dönemi

Özel Sağlık Sigortaları Yönetmeliğinde Değişiklik

Amendment to the Regulation on Private Health Insurance

Legal Issues Arising in Autonomous (Driverless) Vehicles: Liability and Privacy

Blue Washing in Design Applications: Proper Use of Masking Techniques Before the Turkish Patent and Trademark Office (TPTO)

Misleading Ads and Beyond: Key Compliance Insights for Advertisers under Turkish Law

İşlevsel Eşdeğerlik: Türk Patent Hukuku ile Birleşik Patent Mahkemesi Yaklaşımı Arasındaki Yakınsama

The BR International Trade Report: November 2025

BIS Suspends "Affiliates Rule" for One Year, Effective November 10

The BR International Trade Report: October 2025

Biyometrik Veri İşleme Suretiyle Mesai Takibi

İşyerinde Oyunlaştırmanın Etiği

AYM’den İşe İade Davalarında Asıl İşveren-Alt İşveren İlişkisine İlişkin Zorunlu Arabuluculuk Düzenlemesine İptal Kararı

The Regulation on Promotion and Information Activities in Health Services Has Been Published

Artificial Intelligence and Pharmaceutical Industry: The Transformation in the Technology and Patent System Shaping the Future

Sağlık Hizmetlerinde Tanıtım ve Bilgilendirme Faaliyetleri Hakkında Yönetmelik

Video Games: Evolving IP Considerations in 2025

On Social Media Due to Copyright Infringements, Within the Framework of Instagram Policies, Turkish Law and International Case Law

Reputation or Penalty?: The Legal Boundaries of Commercial Advertising on Social Media

Performance-Based Payments in M&A: The Earn-Out Mechanism

Şirket Satışında Performansa Bağlı Ödeme: Earn-Out Mekanizmasının İncelikleri

Amendments to the Capital Movements Circular

The Constitutional Court Decision on the Tourism Operation Certificates

What Does the New Shelter Regulation Bring?

Overview of the New Regulations on Tourism-Purpose Residential Properties

Haciz Müzekkeresi ile Haciz İhbarnamesi Arasındaki Hukuki ve Uygulamadaki Farklar

The Legal and Practical Distinctions Between Attachment Orders and Garnishment Notice

İpoteğin Paraya Çevrilmesi Yolu İle İlamsız ve İlamlı İcra Takip Türleri ve İpotek Kat İhtarnamesi: Hukuki ve Uygulamalı Analiz

Teknoloji Odaklı Girişimler için Teknogirişim Rozeti Uygulaması Başladı

Protecting Your Startup’s IP: Building a Chain of Title from Day One

Work Made for Hire ve Çalışan Eserleri Kavramlarının Yatırım Aşamasındaki Türk Startup’ları için Etkileri

Deferred Interest and Delay Interest Rates Are Reduced

At the Onset of the Financial Holiday…

Pillar One – Amount B will not Apply to Transactions of Distributors, Sales Agents and Commissioners Operating in Türkiye

Siber Güvenlikte Sorumluluklar ve Yükümlülükler

Türkiye’de Siber Güvenliğin Yeni Yasal Çerçevesi: 7545 Sayılı Siber Güvenlik Kanunu

The New Legal Framework for Cyber Security in Turkey: Cyber Security Law Numbered 7545

Regulation Amending the Regulation on the Carriage of Dangerous Goods by Sea and Cargo Securing Published

Regulation Amending the Regulation on the Carriage of Dangerous Goods by Sea and Cargo Securing Published

Regulation on Maritime and Inland Waters Navigation Notices Published

Beyaz Yakanın Karanlık Yüzü: Beyaz Yaka Suçlar

The Dark Side of White-Collar Professionals: White-Collar Crimes

Do You Want to Manage Risk or the Unknown? The Power of Corporate Intelligence

Yan Etki Bildirim Süreçlerinde KVKK ve GDPR Uyumluluğu – 1. Bölüm

Popular Articles

Latest Insights

Subscribe to our newsletter