İlaç Sektöründen Gelen KVK Kılavuzu

Eylül 2019 Elif Mungan
% 0

Giriş

Türkiye İlaç ve Tıbbi Cihaz Kurumu (“TİTCK”) 1 Ağustos 2019 tarihli Farmakovijilans Faaliyetlerinde Kişisel Verilerin Korunması Hakkında Kılavuzu (“Kılavuz”) yayınladı.[1] Kılavuz’un amacı, farmakovijilans faaliyetler sırasında kişisel verilerin korunmasını sağlamak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ve uyacakları usul ve esaslar hakkında bilgilendirme yapmaktır. Kılavuz, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) ve ilgili ikincil düzenlemelere dayanılarak hazırlanmıştır.

Farmakovijilans

Farmakovijilans, advers reaksiyonların ve ilaçlarla ilgili diğer sorunların tespit edilmesi, değerlendirilmesi, anlaşılması ve önlenmesine yönelik yürütülen faaliyetler ve bilimsel çalışmaları ifade eder. Advers reaksiyonlar, bir ilaca karşı gelişen zararlı ve amaçlanmayan cevap; advers olay ise, ilaç uygulanan bir hastada veya klinik çalışma gönüllüsünde ortaya çıkan istenmeyen ve söz konusu tedavi ile arasında mutlaka bir nedensellik ilişkisi bulunmayan tıbbî olay olarak tanımlanır.

Farmakovijilans Faaliyetler ve Kişisel Veri

Kılavuz kapsamında “şirket” ruhsat sahibi ve/veya ruhsat sahibinin hizmet aldığı sözleşmeli hizmet kuruluşları (üçüncü kişi hizmet verenleri) olarak tanımlanır. Bu kapsamda, ilaç şirketleri “şirket” tanımı içinde değerlendirilecektir.

Şirketler, şüpheli advers reaksiyonların bildirimine ilişkin yasal yükümlülüklere uymak ve hasta güvenliğini sağlamak üzere farmakovijilans faaliyetleri gerçekleştirirken, rutin olarak veri toplar. Bu kapsamda farmakovijilans veriler, vakaya konu olan hastaya ilişkin kişisel veriler veya özel nitelikli kişisel veriler ile ilgili olayı raporlayan kişilere ilişkin kişisel verileri içerebilir.

Advers reaksiyon bildirimlerinde; güvenlilik verisinin etkin bir şekilde analiz edilebilmesi için hastanın yaşı/yaş grubu, cinsiyeti, kilosu, boyu, tıbbî geçmişi ve mevcut durumunu bilmek gerekir. Bir hastanın adı ve soyadının baş harfleri veya atanmış bir numara ve/veya doğum tarihi, mükerrer bildirimlerin belirlenmesi için önem taşır. Ayrıca eksiksiz ve doğru verilerin toplanmasını sağlamak üzere etkin bir takip gerçekleştirmek için bildirimde bulunan kişinin ismi ve iletişim bilgileri de gerekir. Dolayısıyla farmakovijilans faaliyetler kapsamında toplanan veriler hem özel nitelikli kişisel veri hem de kişisel veri kategorisinden veri içerir.

Özel Nitelikli Kişisel Veri

KVKK’nın 6 (1) numaralı maddesi uyarınca kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri “özel nitelikli kişisel veri” olarak düzenlenir. İlgili maddenin (2) numaralı fıkrası uyarınca kural olarak özel nitelikli kişisel verilerin, ilgilinin açık rızası olmaksızın işlenmesi yasaktır.

Öte yandan 6 (3) numaralı fıkra gereğince, sağlık ve cinsel hayat dışındaki diğer özel nitelikli kişisel veriler, kanunlarda öngörülen hâllerde ilgili kişinin açık rızası aranmaksızın işlenebilir. Buna göre, ilgili kişinin rızası olmasa bile, kanunlarda açıkça öngörülen hallerde sağlık ve cinsel hayat dışındaki özel nitelikli kişisel veriler işlenebilecektir.

Sağlık ve cinsel hayata ilişkin kişisel veriler ise ancak; kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebilir. Bu konuda Sağlık Bakanlığı, sağlık kuruluşları veya Sosyal Güvenlik Kurumu’nun (3) numaralı fıkrada yazılı amaçlarla tuttukları ve işledikleri veriler örnek olarak verilebilir.

Kılavuz Ne Getiriyor?

Bir advers olay ilaç şirketine bildirildiğinde “tanımlanabilir bir hasta” ve “tanımlanabilir bir raportör”ün olmasına ilişkin farmakovijilans gerekliliklerinin yerine getirilebilmesi için bazı kişisel verilerin toplanması gerekir.

Kılavuz’un 2.1. numaralı bölümü uyarınca veri sahibinin advers olayı yaşayan kişi veya bir sağlık mesleği mensubu (“SMM”) veya hasta yakını gibi advers olayı bildiren kişi olmasından bağımsız olarak farmakovijilans amacıyla veri sahibine ilişkin kişisel verilerin işlenmesi için veri sahibinden rıza alınması şart değildir.

Kılavuz bunu KVKK’nın 6 (3) numaralı maddesine dayandırır. Bu kapsamda Kılavuz, farmakovijilans verileri özel nitelikli kişisel veri olarak değerlendirirken, verilerin sır saklama yükümlülüğü altında bulunan kişiler tarafından işlendiğini belirtir.

İlaveten, Kılavuz uyarınca açık rızanın gerekmemesinin, KVKK hükümlerinden muafiyet anlamına gelmediğini, başta aydınlatma yükümlülüğü ile veri güvenliğine ilişkin yükümlülükler olmak üzere diğer tüm yükümlülüklerin yerine getirilmesi gerektiği belirtilir.

Kılavuz Kapsamındaki Diğer Düzenlemeler

Kılavuz’da detaylıca kişisel veri güvenliğine ilişkin tedbirler açıklanır. Verilerin aktarımına ilişkin olarak ise verilerin aktarıldığı ülkenin yeterli koruma sağlamasına ilişkin bir ayrım yapıldığı görülür. Aktarılan ülkede yeterli koruma bulunuyorsa, kişisel veriler açık rıza aranmaksızın aktarılabilir. Yeterli korumanın bulunmaması halinde ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli korumayı yazılı taahhüt etmesi ve Kişisel Verileri Koruma Kurulu’ndan izin alınması durumunda açık rıza alınmadan aktarım mümkündür.

Kılavuz, İlaçların Güvenliliği Hakkında Yönetmelik’in[2] 28 inci maddesine atıf yaparak, farmakovijilans verileri ve belgelerinin, ilacın ruhsatı geçerliliğini koruduğu sürece ve ruhsat geçerliliği sona erdikten sonra en az 10 yıl süreyle saklanması gerektiği belirtir.

Sonuç

Kılavuz, ilaç sektöründeki hassas veri bolluğu sebebiyle şirketler, raportörler ve veri sahipleri açısından yol göstericidir. Özel nitelikli kişisel veri işlenmesi sırasında açık rıza alınmaması düzenlemesi ise KVKK ışığında özel olarak değerlendirilmelidir. Nitekim yukarıda belirtildiği üzere KVKK’da sağlık hizmetinin sağlanması açısından geçerli olan bazı veri türlerinin işlenmesine istisna getirilir. Bu istisna KVKK’da sayılan amaçlar için sır saklama yükümlülüğüne tabi olan kişiler ile sınırlandırılır. Bu kapsamda, Kılavuz uyarınca ilaç firmalarının açık rıza almaksızın veri işleyebilmesine izin verilmesinin ilaç firmalarının istisna kapsamına sokularak, “sır saklama yükümlülüğü” altında olduğunu düzenlediği yorumu yapılabilir. KVKK kapsamında ise bu konudaki ilaç şirketlerinin akıbetine ilişkin açık bir düzenlemeye yer verilmediği görülür. Kişisel Verileri Koruma Kurulu ya da özel bazı düzenlemelerle konuya açıklık getirilmesinin yol gösterici olabileceği düşünülmektedir.

[1] https://www.titck.gov.tr/mevzuat/farmakovijilans-faaliyetlerinde-kisisel-verilerin-korunmasi-hakkinda-kilavuz-01082019183233 (Erişim tarihi: 13.09.2019).

[2] http://www.mevzuat.gov.tr/Metin.Aspx?MevzuatKod=7.5.19578&MevzuatIliski=0&sourceXmlSearch=ila%C3%A7lar%C4%B1n%20g%C3%BCven (Erişim tarihi: 16.09.2019).

Bu makalenin tüm hakları saklıdır. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın bu makale kullanılamaz, çoğaltılamaz, kopyalanamaz, yayımlanamaz, dağıtılamaz veya başka bir suretle yayılamaz. Kaynak gösterilmeksizin veya Erdem & Erdem’in yazılı izni alınmaksızın oluşturulan içerikler takip edilmekte olup, hak ihlalinin tespiti halinde yasal yollara başvurulacaktır.

Diğer İçerikler

Yapay Zekâ Yasası Avrupa Parlamentosu Tarafından Kabul Edildi
Hukuk Postası
Yapay Zekâ Yasası Avrupa Parlamentosu Tarafından Kabul Edildi

Tüm zamanların ilk “Yapay Zekâ Yasası” olarak nitelendirilen ve özellikle ChatGPT, Bard ve Midjourney gibi araçları doğrudan etkileyen kural ve düzenlemeler içeren yasa Avrupa Parlamentosu tarafından 14 Haziran 2023 tarihinde gerçekleşen nihai oylamada oyçokluğuyla kabul edildi. Böylece Avrupa Parlamentosu...

Kişisel Verilerin Korunması 31.07.2023
Avrupa Birliği Adalet Divanı GDPR İhlalinin Manevi Tazminat İçin Yeterli Olmadığına Karar Verdi
Hukuk Postası
Avrupa Birliği Adalet Divanı GDPR İhlalinin Manevi Tazminat İçin Yeterli Olmadığına Karar Verdi

Avrupa Birliği Adalet Divanı ("Adalet Divanı"), Case-300/21 sayılı ve 4 Mayıs 2023 tarihli kararında[i], GDPR'ın 82. maddesinde düzenlenen Avrupa Birliği Genel Veri Koruma Tüzüğü'nün ("GDPR") ihlaline ilişkin tazminat hakkını değerlendirdi. Adalet Divanı, GDPR'ın tek başına ihlal edilmesinin manevi zararın tazminini...

Kişisel Verilerin Korunması 31.05.2023
ChatGPT: Hak İhlalleri ile Teknolojik Gelişmeler Arasında Gri Alan
Hukuk Postası
ChatGPT: Hak İhlalleri ile Teknolojik Gelişmeler Arasında Gri Alan

ChatGPT, OpenAI tarafından geliştirilen büyük dil modelidir. İnsan diline yakın seviyede metin üretmek için derin öğrenme teknikleri ve yapay sinir ağlarına dayanan bir yapay zeka sistemidir. Uzun metinler hazırlayıp sohbet havasında sorulan soruları cevaplayabilen ChatGPT kimi hallerde verdiği cevaplardaki...

Kişisel Verilerin Korunması 30.04.2023
KVKK ve GDPR Uyarınca Ortak Veri Sorumlusu
Hukuk Postası
KVKK ve GDPR Uyarınca Ortak Veri Sorumlusu

6698 sayılı Kişisel Verileri Koruma Kanunu (“KVKK”) ile kişisel veri, veri sorumlusu, veri işleyen ve ilgili kişi gibi birçok kavrama ilişkin tanımlar getirilir. Bu kavramların anlaşılması ve yorumlanması bakımından ikincil mevzuat, Kişisel Verileri Koruma Kurumu rehberleri ile Kişisel Verileri Koruma Kurulu...

Kişisel Verilerin Korunması 31.03.2023
AB Finansal Hizmetler Sektörü Aktörleri için Dijital Operasyonel Dayanıklılık Yasası Yürürlüğe Girdi
Hukuk Postası
AB Finansal Hizmetler Sektörü Aktörleri için Dijital Operasyonel Dayanıklılık Yasası Yürürlüğe Girdi

Covid-19 pandemisi ve son dönemde yaşanan teknolojik gelişmeler tüm sektörlerin dijital dönüşümünü önemli ölçüde hızlandırdı. Ancak özellikle finans sektöründeki hızlı değişim (mobil bankacılık, e-ticaret, temassız ödemeler vb.) müşteriler için hayatı son derece kolaylaştırmakla birlikte bazı riskleri de...

Kişisel Verilerin Korunması 31.01.2023
Kişisel Verilerin Korunması Kapsamında Akıllı Saatler
Hukuk Postası
Kişisel Verilerin Korunması Kapsamında Akıllı Saatler

Akıllı saatler özellikle son on yılda hayatımızı değiştirdi. Kol saati olarak paketlenen bu giyilebilir bilgisayarlar, en temel özelliklerinden olan zamanı göstermenin yanında gelen çağrıların cevaplanmasını, mesajlara dönüş yapabilmeyi ve sosyal medya bildirimlerine saniyeler içinde göz atmayı sağlar...

Kişisel Verilerin Korunması 31.01.2023
Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesi
Hukuk Postası
Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesi

Kişisel Verileri Koruma Kurumu (“Kurum”), 16.06.2022 tarihinde Sadakat Programlarının Kişisel Verilerin Korunması Mevzuatı Kapsamında İncelenmesine İlişkin Rehber Taslağı’nı (“Rehber Taslağı”) yayınladı. Rehber Taslağı henüz bağlayıcı değildir. 16.07.2022’ye kadar kamuoyu tarafından iletilmiş görüşlerin...

Kişisel Verilerin Korunması 30.11.2022
Kişisel Verilerin Korunması ve Rekabet Hukuku Kesişiminde Yapbozun Eksik Parçası Bulundu Mu?
Hukuk Postası
Kişisel Verilerin Korunması ve Rekabet Hukuku Kesişiminde Yapbozun Eksik Parçası Bulundu Mu?

Almanya Federal Kartel Ofisi (“Bundeskartellamt”) Meta’yı (eski adıyla Facebook) daha önce kullanıcıların kişisel verilerini toplamak ve işlemek suretiyle sosyal ağ pazarındaki hâkim durumunu kötüye kullandığı gerekçesiyle sorumlu tutmuş, Meta ve bağlı şirketlerine tedbir uygulayarak söz konusu davranışlardan...

Kişisel Verilerin Korunması 31.10.2022
Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi Yayımlandı
Hukuk Postası
Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi Yayımlandı

Günlük hayatın önemli bir parçası olan bankalar yürüttükleri faaliyetler gereği, yoğun olarak kişisel veri işleme faaliyetleri gerçekleştirmektedir. Bu kapsamda, Kişisel Verileri Koruma Kurumu, Türkiye Bankalar Birliği iş birliğinde, Kişisel Verilerin Korunmasına İlişkin Bankacılık Sektörü İyi Uygulama Rehberi...

Kişisel Verilerin Korunması 30.09.2022
GDPR ve Toplu Davalar
Hukuk Postası
GDPR ve Toplu Davalar

Avrupa Birliği (“AB”) Üye Devletleri’nde toplu davalara ilişkin usul kuralları yeknesak değildir. Avrupa Parlamentosu tüketici haklarını iyileştirmek ve bu alanda Üye Devlet uygulamalarını yakınlaştırmak için, Toplu Tazminat Direktifi'ni (“Direktif”) kabul etmiştir. Direktif’in etkisiyle, veri koruma da...

Kişisel Verilerin Korunması 31.08.2022
Veri Yasası Etki Değerlendirmesine İlişkin Bilgilendirme Metni Yayımlandı
Hukuk Postası
Veri Yasası Etki Değerlendirmesine İlişkin Bilgilendirme Metni Yayımlandı

Şubat 2020'de Avrupa Komisyonu (“Komisyon”), dijital dönüşüm ve politikasına ilişkin daha geniş bir girişimin parçası olarak “Avrupa Veri Stratejisi”ni yayımladı. Kendisini veri ekonomisinde lider rolünde tanımlayan Avrupa Birliği (“AB”), bu tebliğ ile Avrupa'nın küresel rekabet gücünü ve veri egemenliğini...

Kişisel Verilerin Korunması 31.07.2022
Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik
Hukuk Postası
Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik

Amacı Sosyal Güvenlik Kurumu’nca (“SGK”) görev ve yetkileri kapsamında elde edilen verilerin işlenmesinde uyulacak usul ve esasları belirlemek olan Sosyal Güvenlik Kurumu Nezdindeki Verilerin Korunmasına ve İşlenmesine İlişkin Yönetmelik (“Yönetmelik”) 19.02.2022 tarihli ve...

Kişisel Verilerin Korunması Şubat 2022
Çin’de Yürürlüğe Giren Kişisel Verileri Koruma Kanunu Hakkında Bilinmesi Gerekenler
Hukuk Postası
Çin’de Yürürlüğe Giren Kişisel Verileri Koruma Kanunu Hakkında Bilinmesi Gerekenler

Çin Halk Cumhuriyeti Kişisel Verilerin Korunması Kanunu (“ÇKVK”) 20 Ağustos 2021 tarihinde 13. Ulusal Halk Kongresi Daimî Komitesi 30. Toplantısı’nda kabul edilmiş olup; ÇKVK Madde 74 uyarınca, 1 Kasım 2021 tarihinde yürürlüğe girmiştir...

Kişisel Verilerin Korunması Şubat 2022
Çerezler: Tüm Veri Koruma Otoritelerinin Gözü Onun Üzerinde!
Hukuk Postası
Çerezler: Tüm Veri Koruma Otoritelerinin Gözü Onun Üzerinde!

Günümüzde, verinin bazı şirketler için en değerli malvarlığı unsurlarından ve en önemli kaynaklardan biri haline geldiği konusunda şüphe yoktur. Nitekim büyük ölçekte veri toplama, işleme ve analiz etme yetisi iş dünyasının...

Kişisel Verilerin Korunması Ocak 2022
İrlanda Veri Koruma Otoritesi Tarafından WhatsApp Hakkında Verilen Rekor Ceza
Hukuk Postası
Unutulma Hakkı
Hukuk Postası
Unutulma Hakkı
Kişisel Verilerin Korunması Kasım 2021
AB Genel Veri Koruma Tüzüğü Uygulamaya Girdi
Hukuk Postası
AB Genel Veri Koruma Tüzüğü Uygulamaya Girdi
Kişisel Verilerin Korunması Mayıs 2018
Kişisel Verilerin İmhası
Hukuk Postası
Kişisel Verilerin İmhası
Kişisel Verilerin Korunması Kasım 2017
AB Genel Veri Koruma Tüzüğü ve Yer Bakımından Uygulanması
Hukuk Postası
AB Genel Veri Koruma Tüzüğü ve Yer Bakımından Uygulanması
Kişisel Verilerin Korunması Nisan 2017

Yaratıcı hukuk çözümleri için iletişime geçin.