Yan Etki Bildirim Süreçlerinde KVKK ve GDPR Uyumluluğu – 2. Bölüm

25.08.2025

Arzu Galandarlı, World Medicine Türkiye, Legal Counsel

Cansu Yalçıntaş, World Medicine Türkiye, Legal Affairs Assistant Manager

7. İleri Düzey Raporlama ve Veri Analizi

Günümüzde teknolojinin ilerlemesiyle birlikte, yan etki bildirimlerinden elde edilen verilerin analizi de daha ileri düzey yöntemlerle yapılabilmektedir. Büyük veri (big data) teknikleri ve yapay zeka algoritmaları, farmakovijilans alanında devreye girerek çok büyük hacimli veri setleri içinde örüntü ve sinyal tespiti konusunda insan kapasitesinin ötesinde katkılar sunmaktadır. Ancak bu fırsatlar beraberinde veri gizliliği ve kalite ile ilgili bazı zorlukları da getirir.

Büyük Veri ve Yapay Zeka Kullanımı: İlaç güvenliği alanında artık yalnızca spontan bildirimler değil, elektronik sağlık kayıtları, reçete verileri, sosyal medya paylaşımları, hasta forumları gibi geleneksel olmayan veri kaynakları da incelenmeye başlanmıştır

Örneğin yapay zeka destekli bir sistem, Twitter gibi platformlarda belirli bir ilacın adının geçtiği paylaşımları tarayarak olası yan etki ifadelerini yakalayabilir. Veya büyük veri analitiği, milyonlarca hasta kaydını tarayarak nadir ama ciddi bir advers etkinin istatistiksel sinyalini ortaya çıkarabilir. FDA gibi otoriteler de bireysel yan etki raporlarının yanında bu tür gerçek dünya verisi (RWE) analizlerine önem vermektedir. Yapay zeka algoritmaları, firmaların sahip olduğu devasa küresel advers etki veri tabanlarında örüntü tanıma yaparak hangi hasta gruplarında hangi yan etkinin öne çıktığını, iki ilacın birlikte kullanımında yeni bir etkileşim sorunu olup olmadığını saptayabilir. Bu ileri analizler sayesinde henüz çok az sayıda vakada görülmüş olsa bile kritik bir yan etki sinyali erkenden fark edilip ilgili ilaç için uyarılar güncellenebilir veya ek araştırmalar başlatılabilir.

Veri Analitiğinin Önemi: Farmakovijilans sistemlerinde veri analitiği, ilaçların risk-fayda profilini sürekli güncel tutabilmek için hayati önemdedir. Özellikle öngörücü analizler ile potansiyel riskler proaktif olarak tespit edilebilir. Örneğin, bir yapay zeka modeli, advers olay raporlarının metinlerini doğal dil işleme (NLP) ile tarayarak benzer semptom desenlerini gruplayabilir ve yeni bir sendromu işaret edebilir. Büyük veri analitiği, klasik yöntemlerle tespit edilemeyen ilişkilendirmeleri ortaya koyabilir (mesela belirli bir coğrafi bölgedeki hastalarda görülen bir yan etki artışı). Bunun sonucunda şirketler, ilaç etiketlerine yeni uyarılar ekleyebilir, sağlık otoriteleri yeni düzenleyici eylemler alabilir. Kısacası, verinin gücü doğru kullanıldığında hasta güvenliği açısından büyük kazanımlar elde edilir.

Karşılaşılan Zorluklar: İleri veri analizine geçiş, beraberinde bazı güçlükleri de getirir. Birincisi, veri mahremiyeti meselesidir. Büyük veri yaklaşımı genellikle “daha önce erişilemeyen veri kaynaklarını da sürece dahil etmeyi” içerir.

Ancak bu kaynaklardan veri toplarken yasal kısıtlamalara dikkat etmek gerekir. Örneğin, sosyal medyadan yan etki taraması yapmak, kullanıcıların kamuya açık paylaşımlarını analiz etmek anlamına gelir ki, bu paylaşımlarda kişisel veri varsa GDPR/KVKK buna da uygulanır. Firmanın, insanlar farkında olmadan paylaşımlarını izleyip işliyor olması etik ve hukuki soru işaretleri doğurabilir. Bu nedenle bazı şirketler sosyal medya taraması yapmamayı veya yaparken sadece anonimleştirilmiş çıktıları kullanmayı tercih eder. İkincisi, veri kalitesi ve standartlaşma sorunudur. Farklı kaynaklardan gelen verileri entegre etmek zordur; birinde “baş ağrısı” diye girilen bir yan etki, diğerinde tıbbi terimle “sefale” olarak geçmiş olabilir. Yapay zekanın sağlıklı öğrenebilmesi için önce verinin temizlenmesi ve standardize edilmesi gerekir.

Ayrıca, yapay zeka modellerinin karar alma süreçleri her zaman şeffaf olmayabilir (algoritmik açıklanabilirlik sorunu). Bir makine öğrenmesi modeli, belirli bir ilaç için aniden “yüksek risk” alarmı verebilir fakat bunu hangi veriye dayandırdığını tam olarak izah edemeyebilir. Düzenleyici otoriteler ise somut deliller ve mekanizmalar görmek ister. Dolayısıyla, yapay zeka çıktıları her zaman doğrudan eyleme dönüştürülemez, uzmanların incelemesi ve doğrulaması gerekir.

Gizlilik ve Etik İkilemler: İleri analitik uygulamalarında KVKK ve GDPR uyumunu korumak için genellikle veri maskeleme, anonimleştirme teknikleri kullanılır. Mesela, bir makine öğrenmesi projesi yapılacaksa, gerçek hasta adları ve T.C. kimlik numaraları gibi bilgiler tamamen çıkarılmış, yerine anlamsız ID’ler atanmış bir veri seti ile çalışılır. Analiz sonucunda bir içgörü elde edilirse ve bu spesifik bir hastayı gerektiriyorsa, o noktada gerekliyse kimlik eşleştirmesi yetkili bir kişi tarafından güvenli ortamda yapılır. Avrupa’da GDPR, bilimsel araştırma amacıyla veri işlemede bazı esneklikler tanımakla birlikte (örneğin veri saklama süresinin uzatılabilmesi, ikinci kullanımlar), bu esnekliğin iyi gerekçelendirilmesi ve ek önlemler alınması şarttır. Farmakovijilans kapsamında büyük veri analizleri genelde kamu sağlığının korunması ve bilimsel araştırma amaçlarını birlikte taşıdığı için GDPR md.9(2)(i) ve 9(2)(j) gibi hükümlere dayanak oluşturabilir. Bu yine de, şirketin veri koruma otoritelerine karşı şeffaf olmasını gerektirir. Örneğin, çoklu kaynaklardan veri toplayan bir farmakovijilans projesi için Etki Değerlendirmesi (DPIA) yapılarak riskler en başta analiz edilmelidir.

Bir diğer zorluk, veri sahibi haklarıyla ilgilidir. Bireyler, kendi verilerinin büyük analizlerde kullanıldığını genellikle doğrudan bilmezler. Diyelim ki bir hasta sosyal medyada ilaca dair bir olumsuzluk paylaştı, şirket bunu yakaladı ve kayıtlarına aldı; hasta daha sonra “benim verimi nereden aldınız” diye başvurursa yanıtlamak zor olabilir. Üstelik GDPR, insanlar üzerinde otomatik işlemelere dayalı kararlar alınmasına (profil çıkarma dahil) itiraz hakkı tanır. Farmakovijilans kararları nihai olarak insanlar (uzmanlar, doktorlar, düzenleyici otoriteler) tarafından alınsa da, güçlü bir yapay zeka önerisi önemli etkiler doğurabilir.

Tüm bu zorluklara rağmen, ileri düzey veri analitiğinin farmakovijilans için faydaları tartışılmazdır. Kritik olan, bu analizleri yaparken KVKK ve GDPR’nin temel ilkelerine sadık kalmak ve “önce mahremiyet” yaklaşımını elden bırakmamaktır. Şirketler, büyük veri projelerine başlamadan önce bir hukuk ve etik kontrol mekanizması işletmeli; gerekirse etik kurul veya veri koruma otoritelerinden görüş almalıdır. Bu sayede, yapay zekânın sağladığı hız ve kapsam avantajlarından yararlanırken, hastaların özel hayatlarına saygı ilkesini de koruyabilirler. Unutulmamalıdır ki, teknoloji ne kadar gelişirse gelişsin, güven unsuru zedelendiğinde farmakovijilans süreçleri başarısız olur – hastalar yan etkileri bildirmez veya gerçeği gizler hale gelir. İleri veri analizi, ancak güven ortamında ve yasal zeminde yapıldığında amacına ulaşabilir.

8. Veri İşleme ile İlgili Zorluklar ve Gereklilikler

Yan etki bildirim süreçlerinde kişisel verilerin işlenmesi, bir dizi zorluk ve bunlara karşılık gelen gereklilikler setini beraberinde getirir. Bu zorluklar hem teknik hem hukuki, bazen de etik boyutta karşımıza çıkar. Aşağıda bazı önemli başlıklara değinilmektedir:

Anonimleştirme ve Pseudonimleştirme Gereklilikleri: Yukarıda bahsedildiği gibi, farmakovijilans verilerinde anonimleştirme veya kodlama yapmak bir gerekliliktir; ancak bunun doğru dengelenmesi gerekir. Tam anonimleştirme yapıldığında veri sahibinin takibi imkânsız hale gelebilir, bu da ek bilgi gerektiğinde sorun yaratır. Öte yandan yetersiz anonimizasyon yapılırsa kişi yine de teşhis edilebilir ve bu KVKK/GDPR ihlaline yol açar. Zorluk, veriyi işlerken maksimum gizlilik ile kullanılabilirlik arasındaki çizginin belirlenmesidir. Gereklilik ise, her işlem adımında “Bu bilgi kişiyi tanınır kılıyor mu, kılıyorsa bunu engellemek için ne yapabilirim?” sorusunun sorulmasıdır. Örneğin, bir rapor kamuoyuyla paylaşılacaksa (örneğin bilimsel yayın veya güvenlik bülteni), anonimleştirme kesinlikle şarttır; kişi özelinde iç takip yapılacaksa pseudonimleştirme yeterli olabilir. KVKK md.4’deki genel ilkelere göre amaçla bağlantılı, sınırlı ve ölçülü veri işleme yapılması gerektiğinden, her fazla bilgi parçası risk olarak değerlendirilmelidir.

Uluslararası Veri Aktarımındaki Zorluklar: Farklı ülkelerin veri koruma düzenlemelerinin uyumsuzluğu, farmakovijilans için küresel bir zorluk oluşturur. Örneğin, AB’de GDPR ile uyumlu hareket eden bir global firma, Türkiye’den veri alırken KVKK’nın ek gerekliliklerini karşılamak zorundadır; bu da ek bürokrasi ve yasal işlem (örneğin Kurul onayı alma) anlamına gelir. Bazı ülkeler, sağlık verilerinin ülke dışına çıkarılmasına çok katı sınırlamalar getirebilir (Çin, Rusya gibi yerel veri lokalizasyonu isteyen ülkeler). Bu durumda çok uluslu araştırmalarda veya global veri tabanlarında boşluklar oluşabilir. Gereklilik, esnek yasal araçlar geliştirmek ve her ülke için ayrı plan yapmaktır. Örneğin, bir global şirket, AB ülkeleri için standart sözleşmeleri, Türkiye için açık rıza formlarını, daha kısıtlayıcı ülkeler için ise anonim veri paylaşımı yöntemini benimseyebilir. Bir diğer zor konu, uluslararası raporlamada veri konusu kişilerin haklarına saygı meselesidir: Bir Türk hastanın verisi, AB’de işlenirken GDPR haklarına tabi midir değil midir gibi karmaşık sorular ortaya çıkar.

Veri Sahibi Hakları ve Mevzuat Çatışmaları: KVKK ve GDPR, ilgili kişilere silme, düzeltme, işlemeyi kısıtlama, veri taşınabilirliği gibi bir dizi hak tanır. Ancak farmakovijilans gibi kamu sağlığı alanlarında, bu hakların bazıları kısıtlanabilir. Örneğin, GDPR md.17(3)(c), kamu sağlığı alanındaki çıkarlar için gerekli olan durumlarda silme hakkının uygulanmayabileceğini belirtir. Gerçekten de, bir hasta “Benim advers etkime dair kayıtları silin” talebinde bulunsa dahi, şirket bu kaydı yasal olarak tutmak zorundaysa silemez.

Bu, ilgili kişiye açıklanması gereken bir durumdur ve şeffaflık ilkesini zorlar. Zorluk, hastaya hem haklarını anlatıp hem de bazı haklarını kullanamayacağını izah edebilmektir. Gereklilik ise, aydınlatma metinlerinde bu istisnalara açıkça yer verilmesi ve veri sahibi talep ettiğinde yasal dayanakla birlikte makul bir cevap verilmesidir. Örneğin, “Verinizin silinmesini talep edebilirsiniz, ancak şu şu yasal nedenlerle bu talep reddedilebilir, arşivleme süresi sonunda imha edilecektir” gibi bir bilgilendirme yaklaşımı benimsenmelidir.

Benzer şekilde, saklama süresi de bir gerilim alanıdır. KVKK gereği veriler amaç için gereken süreden uzun tutulamaz. Oysa farmakovijilans verileri için uzun saklama süreleri gerekebilir (örneğin, Türkiye’de klinik araştırmalar verisi Yönetmelik gereği 15 yıl saklanır.

AB’de bir ürün piyasadan kalktıktan sonra en az 10 yıl tüm güvenlik verileri tutulmalıdır.

Bu durumda şirketler, saklama süresini yasal gerekçeye dayandırarak meşrulaştırmak zorundadırlar. Gereklilik, şirketin bir veri saklama ve imha politikası belirlemesi, yasal dayanak oldukça veriyi tutması, dayanak kalkınca derhal imha etmesidir.

Hukuki ve Etik Yükümlülüklerin Dengelenmesi: Farmakovijilans, etik olarak hastaların zarar görmemesi ve halk sağlığının korunması amacını güder. Bu amaç bazen bireysel mahremiyet ile çatışabilir. Örneğin, çok nadir bir advers etki türü, tek bir hasta vakasından anlaşılmışsa, o vakayı detaylı rapor etmek bilimin yararınadır; ama vakanın detayları hastayı tanınır kılabilir. Bu durumda bilimsel yayınlarda olası kimlik ifşasını engellemek için azami çaba gösterilmeli, hastanın onayı alınmalı veya bazı detaylar değiştirilerek (maskelenerek) sunulmalıdır. Etik yükümlülük, hastanın zarar görmeme ilkesine (non-maleficence) uygun davranmayı gerektirir. Yani veriyi işlerken hastaya ek bir zarar (örneğin mahremiyet ihlali) vermemek de farmakovijilansın geniş anlamda hedeflerinden biri olmalıdır.

Ayrıca, veri işleme süreçlerinde şeffaflık önemli bir gerekliliktir. Hem KVKK hem GDPR, ilgili kişiye verilerinin akıbeti hakkında bilgi verme yükümlülüğü getirir. Farmakovijilansta genellikle raporu gönderen kişiyle tekrar iletişim kurulmadığı için, onun perspektifinden verisi bir kara kutuya gitmiş olabilir. Şirketlerin aydınlatma metinlerinde veya web sitelerinde, toplanan advers olay verilerinin nasıl kullanıldığı, kimlerle paylaşıldığı, ne süre saklandığı, anonimleştirilip anonimleştirilmediği gibi konuları anlaşılır şekilde açıklaması gerekir. Bu da güven oluşturur ve bireylerin iş birliği yapma isteğini artırır.

Veri Kalitesi ve Tutarlılık Gerekliliği: Bir diğer zorluk, farklı kaynaklardan gelen verilerin tutarlılığını sağlamaktır. Eğer bir advers etki hem hasta tarafından hem doktor tarafından farklı şekillerde raporlandıysa, sistemde mükerrer kayıt olarak yer alabilir. Bu durumda aynı olayı tekilleştirip birleştirmek (de-duplication) önemlidir. Bu işlem yapılırken de hangi bilgilerin birleştirileceği (örneğin isim aynı, olay aynı ise bir kayıt say gibi) dikkatle ele alınmalıdır. Yanlış bir birleştirme, aslında ayrı olan iki vakayı tek vakaymış gibi gösterebilir ki bu da güvenlik sinyallerini yanıltır. Gereklilik, sağlam bir veri yönetimi prosedürü ve mümkünse otomatik algoritmalarla desteklenen manuel inceleme süreçleridir.

Özetle, veri işleme ile ilgili zorlukların üstesinden gelmek için yasal uyum, teknik yeterlilik ve etik duyarlılık bir arada yürütülmelidir. KVKK ve GDPR’nin gereklilikleri, esasen bu zorluklara karşı çizilmiş çerçevelerdir. Şirketler bu çerçeveyi içselleştirip prosedürlerine yansıttığında, hem regülatif risklerini azaltır hem de nihai hedef olan hasta güvenliğini sağlama misyonunu en iyi şekilde yerine getirirler.

9. Açık Rıza Zorunluluğu

Kişisel verilerin işlenmesindeki yasal dayanaklardan biri olan açık rıza, özellikle sağlık verileri söz konusu olduğunda hem KVKK hem de GDPR kapsamında büyük önem taşır. Ancak farmakovijilans gibi yasal olarak zorunlu süreçlerde açık rızanın yeri biraz daha farklıdır. Bu bölümde açık rızanın kapsamı, gerekliliği ve istisnaları ele alınacak, ayrıca pratik örnek vakalar üzerinden durumlar incelenecektir.

Açık Rıza Nedir ve Ne Zaman Gerekir? KVKK’ya göre açık rıza, belirli bir konuya ilişkin, bilgilendirmeye dayanan ve özgür iradeyle açıklanan onay beyanıdır. Sağlık verileri, KVKK’da özel nitelikli kişisel veri olup kural olarak ancak ilgili kişinin açık rızasıyla işlenebilir. GDPR’da da benzer şekilde, sağlık gibi özel kategorideki verilerin işlenebilmesi için genellikle açık onay (explicit consent) gerekir (Madde 9(2)’deki istisnalar haricinde). Ancak her iki mevzuat da, belli durumlarda açık rıza aranmaksızın veri işlenebilecek istisna haller tanımlar. Örneğin, kamu sağlığının korunması, tıbbi teşhis ve tedavi, yasal yükümlülüklerin ifası gibi durumlarda, sağlık verileri yetkili kişiler tarafından açık rıza olmaksızın işlenebilir (KVKK md.6/3 ve GDPR md.9(2)(i) gibi).

Farmakovijilans, tam da bu istisna hallerin kesişiminde yer alır: İlaçların güvenliliğinin izlenmesi, hem yasal bir yükümlülüktür hem de kamu sağlığı amacı taşır. Bu nedenle, pazarlama izni sahibi firmalar kendilerine ulaşan her advers olayı bildirmek zorundadır ve bu zorunluluk, genellikle hukuki yükümlülük ve kamu yararı kapsamında değerlendirilir.

Örneğin GDPR açısından bakıldığında, bir şirket kendisine bildirilen yan etkiyi kaydederken ve otoritelere iletirken, bunun için ayrı bir hasta rızası aramasına gerek yoktur; çünkü bu işleme, yasanın (ilaç regülasyonlarının) emrettiği bir işlemdir ve kamu sağlığı gereği yapılır.

Nitekim Avrupa’da uygulama, advers olay raporlaması için hastadan GDPR anlamında açık rıza almak yönünde değildir – bunun yerine, hastaya uygun bir aydınlatma (privacy notice) sunmak tercih edilir.

Aydınlatma Yükümlülüğü ve Rızanın Ayrımı: Önemli bir nokta, aydınlatma ile rıza kavramlarını karıştırmamaktır. İlgili kişiyi verisinin işleneceği konusunda bilgilendirmek (aydınlatma metni sunmak), her durumda yapılması gereken bir zorunluluktur. Ancak her veri işleme aktivitesi için açık rıza gerekmez. Farmakovijilans süreçlerinde şirketler, raporu alırken kişiye genellikle bir aydınlatma metni sunar veya telefonla alıyorsa sözlü bir bilgilendirme yapar: “Paylaştığınız bilgiler, yasal zorunluluk gereği şirketimizin global güvenlik veri tabanına ve gerekirse yurtdışındaki yetkili kurumlara iletilecektir, bu bizim hukuki yükümlülüğümüzdür” gibi.

Bu bilgilendirme, ilgili kişinin ne olacağını bilmesini sağlar. Eğer şirket, bu verileri yasal gereklilik dışında başka amaçla kullanmak isterse (örneğin eğitim amaçlı vaka çalışması yapmak, ya da pazarlama eğitimlerinde örnek olarak göstermek gibi), işte o noktada ilave açık rıza almalıdır.

Yan Etki Süreç Takibinde Rıza: Bazı durumlarda, şirketler yine de risk almamak adına belirli işlemler için açık rıza talep edebilir. Örneğin, Bazı İlaç Firmaları gibi firmaların aydınlatma metinlerinde “yan etki bildirim süreci takibi için önceden rızanızın alınması” şeklinde bir ibare yer aldığı görülmüştür.

Bu, özellikle hastayla tekrar temas kurup ek medikal bilgi alma gereği varsa devreye girer. Aslında hukuken, eğer firma sağlık hizmeti sunan bir kuruluş değilse hastanın sağlık verisini işlemesi normalde rızaya tabidir; ancak ilaç firmaları, Sağlık Bakanlığı tarafından kendilerine yüklenen farmakovijilans yükümlülüğü nedeniyle bunu “kanuni zorunluluk” ve “kamu sağlığı için gerekli” çerçevesinde yorumlar. Yine de, örneğin bir hasta direkt firmayı arayıp yan etki bildirdiğinde, firma telefon görüşmesi sırasında hastadan sözlü onay alabilir: “Paylaştığınız bilgileri advers etki izleme yükümlülüklerimiz kapsamında işleyeceğiz, onaylıyor musunuz?” gibi. Bu pratik bir çözümdür ve hasta onay vermese bile firmanın tamamen eli kolu bağlı kalmaz; zira onay vermese bile anonim şekilde raporu kaydetmek zorundadır (yasal zorunluluk). Böyle bir durumda firma, hastaya kendi iletişim bilgileri olmadan raporu kaydedeceğini, ancak daha sonra kendisine raporun kopyasını gönderemeyeceğini vb. izah eder

Bu örnek, DIA (Drug Information Association) tarafından önerilen bir uygulamadır: Hasta iletişim bilgisi vermek istemezse, rapor anonim girilir ve hastaya bilgi verilemeyeceği not düşülür.

Açık Rıza Gerekmeyen Durumlar ve İstisnalar: Özetlemek gerekirse, farmakovijilans kapsamında açık rıza gerekmeyen durumlar şunlardır:

Yasal Zorunluluk: Kanun veya düzenleyici mevzuat gereği yapılan veri işleme. Örneğin, advers etki raporunu TİTCK’ya iletmek.
Kamu Sağlığı Nedeniyle: Kamu sağlığını koruma amacıyla ve yetkili kurum/kişilerce yapılan işleme (KVKK md.6/3 bu istisnayı tanır).
Hayati Menfaat: Ciddi bir yan etki durumunda, kişinin rızasını fiziksel veya hukuki imkansızlık nedeniyle alamıyorsanız, hayati tehlikeyi önlemek için veri işleyebilirsiniz (örn. acil bir ilaç geri çekme gerekti, hasta verileriyle iletişim kurulacak).
İstatistiksel veya Araştırma Amaçlı (Anonim ise): Eğer veriler anonimleştirilerek bilimsel araştırma veya istatistik yapılacaksa, artık kişisel veri olmadığı için rıza gerekmez.

Bununla birlikte, açık rıza gereken durumlar da vardır:

Özel Nitelikli Verinin Hizmet Sunucusu Dışında İşlenmesi: İlaç firması bir sağlık kuruluşu olmadığı için, hastanın sağlık verisini işlemesi genel olarak rıza gerektirir; istisna durumlar dışında bu hep akılda tutulmalıdır. Eğer hukuki bir dayanak yoksa (mesela ürün daha piyasada değil ve gönüllü bir etkinlik yapıyor, orada yan etki topluyor – kanunen zorunluluk değil), rıza gerekir.
İkincil Kullanımlar: Veriyi farmakovijilans dışında bir amaç için kullanmak. Örneğin, elinizdeki yan etki verilerini ürününüzün pazarlaması için analiz etmek (meşru menfaat diyebilirim belki, ama risklidir) veya eğitim materyali olarak kullanmak istediğinizde ilgili kişiden izin almalısınız.
Uluslararası Aktarım (KVKK Özel Durumu): Yukarıda değinildiği gibi, Türkiye’den yurt dışına veri aktarımı çoğu durumda açık rızaya dayandırılıyor. Bu, farmakovijilansta da geçerlidir. Eğer Kurul onayı yoksa, hastadan “verilerimin yurt dışına aktarılmasına rıza veriyorum” onayı almak gerekiyor.

Örnek Vakalar:

Vaka 1: Bir hasta kullandığı ilaçla ilgili firmaya yan etki bildirimi yaptı. Firma, hastaya aydınlatma metnini iletti ve işlemi rızaya tabi olmaksızın yürüttü, çünkü yasal zorunluluk var. Hasta “Ben aslında onay vermek istemiyorum” dedi. Firma, hastaya bu veriyi mevzuat gereği saklamak zorunda olduğunu, ancak isterse kimlik bilgilerini kaydetmeyebileceğini açıkladı. Hasta istemeyince firma raporu isimsiz olarak kaydetti ve otoriteye iletti.
Vaka 2: Bir doktor, hastasının yan etkisini firmaya bildirdi, ancak hastanın ismini vermedi. Firma bu raporu yine de almak ve bildirmek zorunda. Burada hastanın açık rızası fiilen hiç yok ama hukuken sıkıntı değil; zira veri artık belirli bir kişiye ulaşmıyor (hasta anonim kalıyor firma nezdinde).
Vaka 3: Firma, elindeki yan etki vakasını eğitim sunumunda örnek olay olarak kullanmak istiyor. İçinde bir miktar tanıyıcı bilgi var. Bu durumda firma, vakayı tamamen anonimleştirmeli veya ilgili kişiden bu kullanım için izin almalı. Aksi halde amacı dışında kullanım olur.
Vaka 4: Hasta, 5 yıl önce bildirdiği yan etki raporunun silinmesini istiyor (belki ilaca karşı hukuki bir süreç başlatacak ve kayıt kalmasını istemiyor). Firma, “maalesef yasal saklama süresi dolmadan silemeyiz” diyerek talebi reddediyor ve gerekçe olarak kamu sağlığı / yasal yükümlülük istisnasını iletiyor.

Açık Rızanın İspatı ve Kayıt Altına Alınması: Son olarak, açık rıza alınıyorsa bunun usulünce alınması ve kayıtlarının tutulması gerekir. KVKK uyarınca rıza, ispat yükü veri sorumlusunda olacak şekilde alınmalıdır. Elektronik formlarda log kayıtları, kağıt formlarda ıslak imzalar saklanır. GDPR’da da benzer şekilde, rızanın geri çekilmesi hakkı olduğu için, sistemler buna uygun olmalıdır. Bir hasta, “verdiğim rızayı geri çekiyorum” derse (örn. verilerimin yurt dışına gitmesine onay vermiştim, vazgeçtim) bu durumda firma, eğer başka dayanağı yoksa veriyi artık aktaramaz. Ancak farmakovijilansta çoğu zaman veri işleme diğer yasal dayanaklara oturduğu için, rızanın geri çekilmesi işlemi durdurmaz; sadece ileriye dönük (örneğin artık yurt dışına aktarmama) şeklinde ele alınabilir.

Sonuç: Açık rıza, farmakovijilans süreçlerinde her zaman merkezi bir rol oynamasa da (çünkü kanuni yükümlülükler ön planda), yine de kritik bir tamamlayıcı unsurdur. Şirketlerin stratejisi, mecburi işlemleri yasal dayanaklarla (rıza olmadan) hallederken, gri alanlarda veya ek kullanımlarda mutlaka rıza mekanizmasını devreye sokmak olmalıdır. En iyi uygulama, hastalara ve ilgili tüm kişilere süreç başında net bilgi vermek, gerekirse rızalarını almak, süreç içinde de kontrolün kendilerinde olduğunu hissettirmektir. Bu sayede hem yasal uyum sağlanır hem de karşılıklı güven tesis edilir.

10. Sağlık Verilerinin Saklanması ve Güvenliği

Yan etki bildirim süreçlerinde işlenen sağlık verileri, son derece hassas olup uzun süreler boyunca saklanması gerekebilen ve kötü niyetli erişimlere karşı sıkı korunması gereken verilerdir. Bu nedenle, bu verilerin güvenli bir şekilde muhafazası, uygun süre sonunda imhası ve sadece yetkili kişilerin erişimine açık olması, KVKK ve GDPR’nin temel gerekliliklerindendir.

Saklama Süreleri ve Yasal Yükümlülükler: İlaç güvenliği verileri, ilacın piyasada kaldığı süre boyunca ve sonrasında belirli bir süre daha saklanmak zorundadır. Avrupa Birliği’nde yürürlükte olan 520/2012 sayılı düzenleme, farmakovijilans ile ilgili tüm dokümantasyonun, ilacın piyasada olduğu süre boyunca ve ilaç piyasadan çekildikten sonra en az 10 yıl daha saklanmasını şart koşar.

Hatta bazı ülkeler daha bile uzun süreler öngörmüştür; örneğin Finlandiya, kendi ülkesinde toplanan advers olay kayıtlarının ilacın ruhsatı bittikten sonra 50 yıl saklanmasını talep etmektedir.

Kanada ise bireysel vaka raporlarının en az 25 yıl korunmasını şart koşar.

Türkiye’de de klinik araştırma verileri için 15 yıla kadar saklama süresi uygulanmaktadır.Bu çeşitlilik, global şirketlerin farklı lokasyonlardaki yasal gerekliliklere uymak için esnek saklama politikaları geliştirmesini gerektirir. Uygulamada, firmalar tüm farmakovijilans verilerini tek bir global veri tabanında tuttuğu için, en uzun süreyi gerektiren ülkeye göre bir saklama süresi belirlemek en güvenlisidir (örneğin, bir ilacın son raporu alındıktan sonra dünya genelinde 50 yıl tutmak gibi). Bu yaklaşım, GDPR’nin işlenme amacı için gerekli olandan fazla tutulmama prensibiyle çelişebilir gibi görünse de, burada amaç kamu sağlığı ve olası hukuki ihtiyaçlar olduğu için meşru görülebilir.

KVKK açısından, kişisel verilerin saklanma süresine ilişkin net bir süre belirlenmemiştir ancak “ilgili mevzuatta öngörülen süreler” vurgusu vardır. Dolayısıyla, eğer Sağlık Bakanlığı veya başka bir düzenleyici, bu verilerin belirli bir süre saklanmasını şart koşuyorsa, bu KVKK md.5/2-a (kanunlarda açıkça öngörülme) veya md.5/2-ç (hukuki yükümlülük) kapsamında meşru sayılır. Şirketlerin bu sürelerin sonunda veriyi daha fazla tutması ise hukuka aykırı hale gelir. Bu nedenle her ilaç firması, veri saklama ve imha politikası oluşturup VERBİS’e de kayıt ettiği üzere, her veri kategorisi için bir saklama süresi belirler. Örneğin politikada “Farmakovijilans kayıtları, ruhsat sona erdikten sonra 15 yıl saklanır ve sonrasında ilk periyodik imha periyodunda anonimleştirilir veya silinir” gibi ifadeler yer alır. Burada dikkat edilmesi gereken, saklama süresi dolduğunda gerçekten imha/anonimleştirme işleminin yapılması ve belgelendirilmesidir; aksi halde KVKK ihlali oluşur (TCK 138 de, kanunen silinmesi gereken veriyi silmemeyi suç saymıştır)

Erişim Yetkilendirmesi: Sağlık verilerinin gizliliği, saklandığı süre boyunca erişim kontrollerinin sıkı olmasını gerektirir. İlaç firmalarında genellikle farmakovijilans verilerine sadece farmakovijilans departmanı (ve belki ilgili sınırlı sayıda bilişim personeli) erişebilir. Bu erişim de kullanıcı adı/şifre ile ve kademeli yetkiyle sağlanır. Örneğin, ham veriye sadece farmakovijilans yöneticileri erişebilirken, diğer kullanıcılar sadece arama/okuma yapabilir ama dışarı aktaramaz. Erişim hareketleri (kim, ne zaman hangi kayda baktı) loglanır ve düzenli incelenir. KVKK’nın teknik tedbirler rehberinde de vurgulandığı üzere, yetki matrisi oluşturulmalı ve düzenli olarak güncellenmelidir. İşten ayrılan veya görevi değişen bir personelin erişim yetkileri derhal güncellenir. Özellikle sağlık verileri için, şirket içinde dahi “bilmesi gereken” prensibi uygulanır; herkes her veriyi değil, sadece işi için gerekeni görür. Örneğin, kalite denetim ekibi belki toplam rapor sayılarını görür ama içinde hasta detaylarını göremez.

Teknik Güvenlik Protokolleri: Saklama aşamasında verinin güvenliğini sağlamak için çeşitli teknikler kullanılır. Şifreleme (encryption) burada da devrededir. Veri tabanı sunucularındaki farmakovijilans tabloları, mümkünse disk bazında şifrelenir; böylece disk çalınsa bile ham veriler okunamaz olur. Yine, yedekleme (backup) sırasında veriler şifrelenir ve güvenli lokasyonlarda saklanır. Modern sistemlerde audit trail (işlem izlemi) özelliğiyle, veriler üzerinde kim ne değişiklik yaptı kaydedilir ve bu loglar manipüle edilemez şekilde korunur (gerektiğinde denetimlere sunulur). Sistem odaları fiziksel olarak güvenli ortamlardadır; sunuculara erişim kısıtlıdır.

Veri İhlallerine Karşı Önlemler: Veri ihlali, istenmeyen ancak olası bir durumdur; önemli olan buna karşı hazırlıklı olmaktır. Şirketler, bir ihlal durumunda uygulanacak adımları önceden planlamalıdır (Bkz. İhlal Yanıt Planı). KVKK’ya göre bir veri ihlali durumunda Kurum’a mümkün olan en kısa sürede bildirim yapılmalı ve etkilenen kişilere de haber verilmelidir. GDPR ise 72 saat içinde bildirim şartı koyar. Bu kurallar, farmakovijilans verileri için de geçerlidir. Örneğin, içinde advers olay raporları bulunan bir dizüstü bilgisayar çalındığında veya yanlışlıkla yetkisiz birine e-posta ile hassas veri gönderildiğinde, şirketin derhal olayı inceleyip gerekiyorsa Kurul/Kurum bildirimlerini yapması gerekir. Tabii bu noktaya gelmemek için önlemler ilk savunma hattıdır: DLP (Data Loss Prevention) yazılımları e-postalarda hassas veri tespit ederse gönderimi engelleyebilir; harici cihazlara veri kopyalama kısıtlanabilir; bilgisayarlar şifreli disk ve uzaktan silme özellikleriyle donatılabilir.

Veri Maskeleme ve Ayırma: Sağlık verilerinin güvenliği için önerilen bir yöntem de, kimlik bilgileri ile tıbbi bilgilerin ayrı tutulmasıdır. Örneğin bir veri tabanında hasta kimlik bilgileri bir tabloda, tıbbi yan etki detayları ayrı bir tabloda tutulur ve bunlar tek bir ortak anahtar (mesela rapor ID’si) ile ilişkilendirilir. Günlük kullanımda, tıbbi bilgileri işleyen personel kimlik tablosuna erişmez; kimlik bilgilerine erişim belki sadece bir iki yöneticiye açık olur. Bu şekilde bir maskeleme yapıldığında, olası bir sızma durumunda ele geçirilen verinin kişiyle eşleştirilmesi zorlaşır.

Arşivleme: Saklama süresi uzun olduğu için, aktif sistemleri rahatlatmak adına belirli süre geçmiş veriler arşiv sistemlerine taşınır. Ancak bu arşivler de aynı güvenlik önlemleriyle korunmalıdır. Arşive kaldırılan bir veri belki günlük iş akışında lazım değildir ama ihtiyaç olduğunda (örneğin 8 yıl önceki bir vaka incelemesi) geri getirilebilmelidir. Arşiv sistemlerine erişim genelde daha da kısıtlı tutulur.

Özel Nitelikli Veri İçin Ek Güvenlik: KVKK, özel nitelikli verilerin korunması için ek tedbirler alınmasını özellikle şart koşar (KVKK md.6 ve Kurul kararları). Bu bağlamda, sağlık verilerinin işlendiği ortamlarda çift faktörlü kimlik doğrulama, güçlü şifre politikaları, düzenli sızma testleri, özellikle eğitimli personel gibi hususlar aranır. Şirket içi denetimlerde ya da otorite denetimlerinde bu tedbirlerin alınıp alınmadığı sorulur.

İhlal Durumunda Yaptırımlar: Eğer bir şirket, sağlık verilerinin saklanması ve güvenliği konusunda gereken özeni göstermez ve bir veri ihlali yaşanırsa ciddi yaptırımlarla karşılaşabilir. KVKK kurallarına göre veri güvenliği yükümlülüğünün ihlali durumunda 1,8 milyon TL’ye varan idari para cezaları verilebilir.

Ayrıca bu ihmal sonucunda bir başkasının eline geçen sağlık verileri kötüye kullanılırsa, Türk Ceza Kanunu anlamında da suç oluşabilir (TCK 136 – verileri hukuka aykırı verme veya ele geçirme, 2-4 yıl hapis).

GDPR kapsamında ise ihlallerin cezası çok daha ağırdır (20 milyon Euro veya küresel cironun %4’üne kadar).

Bu sebeplerden ötürü, sağlık verilerinin güvenliği teknik bir IT meselesi olmanın ötesinde, üst yönetim için bir yönetişim ve uyum meselesidir.

Sonuç olarak, yan etki bildirim süreçlerinde elde edilen sağlık verilerinin saklanması (doğru süre boyunca, doğru şekilde) ve güvenliği (mümkün olan en üst düzey koruma önlemleriyle) sağlanması, hem hastaların temel hakları hem de şirketlerin yasal uyumu için vazgeçilmezdir. Doğru uygulanan saklama/güvenlik politikaları sayesinde, farmakovijilans verileri ihtiyaç duyulduğu sürece güvenle elde tutulur, görevini tamamladığında ise mahremiyete halel getirmeyecek biçimde sistemlerden çıkarılır.

This website is available “as is. Turkish Law Blog is not responsible for any actions (or lack thereof) taken as a result of relying on or in any way using information contained in this website, and in no event shall they be liable for any loss or damages.

The content and materials published on this website are provided for informational purposes only and should not be used as a legal opinion in any way. This website and the information contained are not intended to establish an attorney-client relationship.

Döviz Kredisi Yasağı Yumuşatıldı

FX Borrowing Ban Softened

Sermaye Piyasası Kurulu’ndan Elektronik Ticari Defterler İçin Önemli İlke Kararı

Regulation on Venture Capital Funds to be Supported by the Ministry of Industry and Technology is Published

Kasım Ayı İndirimleri - İndirimler Hangi Fiyat Üzerinden Hesaplanacak (11.11.2025)

Corporate Reporting Obligations Regarding Transactions Affecting Foreign Exchange Position

Türkiye Newsletter No.24 | Competition Market Overview

Yerinde İncelemelerde Veri Silinmesine Yeni Bir Bakış Açısı

KST Rekabet Gündemi – Ekim Ayında Neler Oldu?

FIDIC Sözleşmelerine Türk Hukuku Penceresinden Bir Bakış

An Overview of FIDIC Contracts From the Perspective of Turkish Law

Judicial Shift in Precedent Regarding Revenue-Sharing Construction Contracts: The Principle of Reliance on the Land Registry Reinforced

Draft Law on Measures Concerning AI-Generated Content

Board Approves Cross-Border Transfer via Non-Treaty Agreement

Quick Read: Data Protection Law Updates in Türkiye – October 2025

2026 Yılı Asgari Avukatlık Ücreti, Gider Avansı, Hakem Ücret ve Tanık Ücret Tarifeleri Yayımlandı

2026 Tariffs for Minimum Attorney Fee, Expense Advance, Arbitrator Fee And Witness Fee Published

Constitutional Court Decision Dated 10 July 2025, No. E.2025/119, K.2025/155

Elektronik Ticaret ve Tüketici Hukuku Mevzuatında Yakın Zamanda Yapılan Kapsamlı Değişiklikler

Mesafeli Sözleşmeler Yönetmeliği’nde Değişiklik: Cayma Hakkında İade Masrafları Artık Tüketicilere Yüklenemeyecek

Amendment to the Distance Contracts Regulation: Consumers Will No Longer Bear Return Costs

Amendments Related to Unlicensed Electricity Generation in Türkiye

EPDK Piyasalarda Şeffaflığa ve Piyasa Bozucu Davranışlara İlişkin Yönetmelik Taslağı’nı Görüşe Açtı

Super Permit Regulation: Significant Amendments to Mining, Energy and Environmental Legislation

The Ethics of Gamification in the Workplace

New Framework for Corporate Sustainability Reporting Expertise Announced

Carbon Credits Under Türkiye’s New Climate Law: A Legal and Commercial Turning Point

Rekabet Kurumu Fintek Raporu’nun Ödemeler Ekosistemine Etkileri Bölüm X: Google Soruşturması

The Turkish Competition Authority’s Fintech Report’s Effects on the Payments Ecosystem

MASAK’ın Yeni Tebliğ Taslağı: Finansal İşlemlerde Kademeli Beyan Dönemi

Özel Sağlık Sigortaları Yönetmeliğinde Değişiklik

Amendment to the Regulation on Private Health Insurance

Legal Issues Arising in Autonomous (Driverless) Vehicles: Liability and Privacy

Blue Washing in Design Applications: Proper Use of Masking Techniques Before the Turkish Patent and Trademark Office (TPTO)

Misleading Ads and Beyond: Key Compliance Insights for Advertisers under Turkish Law

İşlevsel Eşdeğerlik: Türk Patent Hukuku ile Birleşik Patent Mahkemesi Yaklaşımı Arasındaki Yakınsama

The BR International Trade Report: November 2025

BIS Suspends "Affiliates Rule" for One Year, Effective November 10

The BR International Trade Report: October 2025

Biyometrik Veri İşleme Suretiyle Mesai Takibi

İşyerinde Oyunlaştırmanın Etiği

AYM’den İşe İade Davalarında Asıl İşveren-Alt İşveren İlişkisine İlişkin Zorunlu Arabuluculuk Düzenlemesine İptal Kararı

The Regulation on Promotion and Information Activities in Health Services Has Been Published

Artificial Intelligence and Pharmaceutical Industry: The Transformation in the Technology and Patent System Shaping the Future

Sağlık Hizmetlerinde Tanıtım ve Bilgilendirme Faaliyetleri Hakkında Yönetmelik

Video Games: Evolving IP Considerations in 2025

On Social Media Due to Copyright Infringements, Within the Framework of Instagram Policies, Turkish Law and International Case Law

Reputation or Penalty?: The Legal Boundaries of Commercial Advertising on Social Media

Performance-Based Payments in M&A: The Earn-Out Mechanism

Şirket Satışında Performansa Bağlı Ödeme: Earn-Out Mekanizmasının İncelikleri

Amendments to the Capital Movements Circular

The Constitutional Court Decision on the Tourism Operation Certificates

What Does the New Shelter Regulation Bring?

Overview of the New Regulations on Tourism-Purpose Residential Properties

Haciz Müzekkeresi ile Haciz İhbarnamesi Arasındaki Hukuki ve Uygulamadaki Farklar

The Legal and Practical Distinctions Between Attachment Orders and Garnishment Notice

İpoteğin Paraya Çevrilmesi Yolu İle İlamsız ve İlamlı İcra Takip Türleri ve İpotek Kat İhtarnamesi: Hukuki ve Uygulamalı Analiz

Teknoloji Odaklı Girişimler için Teknogirişim Rozeti Uygulaması Başladı

Protecting Your Startup’s IP: Building a Chain of Title from Day One

Work Made for Hire ve Çalışan Eserleri Kavramlarının Yatırım Aşamasındaki Türk Startup’ları için Etkileri

Deferred Interest and Delay Interest Rates Are Reduced

At the Onset of the Financial Holiday…

Pillar One – Amount B will not Apply to Transactions of Distributors, Sales Agents and Commissioners Operating in Türkiye

Siber Güvenlikte Sorumluluklar ve Yükümlülükler

Türkiye’de Siber Güvenliğin Yeni Yasal Çerçevesi: 7545 Sayılı Siber Güvenlik Kanunu

The New Legal Framework for Cyber Security in Turkey: Cyber Security Law Numbered 7545

Regulation Amending the Regulation on the Carriage of Dangerous Goods by Sea and Cargo Securing Published

Regulation Amending the Regulation on the Carriage of Dangerous Goods by Sea and Cargo Securing Published

Regulation on Maritime and Inland Waters Navigation Notices Published

Beyaz Yakanın Karanlık Yüzü: Beyaz Yaka Suçlar

The Dark Side of White-Collar Professionals: White-Collar Crimes

Do You Want to Manage Risk or the Unknown? The Power of Corporate Intelligence

Yan Etki Bildirim Süreçlerinde KVKK ve GDPR Uyumluluğu – 2. Bölüm

Popular Articles

Latest Insights

Subscribe to our newsletter