Giriş: Klinik Çalışmalar Artık Sınır Tanımıyor, Ancak Veri Hukuku Çok Daha Sıkı

Klinik araştırmalar 2025 itibarıyla:

• çok uluslu sponsorlar,

• global CRO’lar,

• farklı ülkelerdeki araştırma merkezleri,

• ortak veri tabanları,

• merkezi güvenlik raporlama sistemleri (EudraVigilance, MedWatch, VigiBase)

üzerinden yürütülmektedir.

Klinik çalışmaların uluslararası hale gelmesi, kişisel sağlık verisinin paylaşımını ve aktarımını uluslararası özel hukukun merkezine yerleştirmiştir.
Türkiye’de KVKK, Avrupa’da GDPR ve ABD’de HIPAA gibi rejimler çatışmakta; MÖHUK hangi ülkenin hangi aşamada yetkili olduğunu belirlemektedir.

Bu nedenle klinik çalışmalarda veri aktarımı, uluslararası şirketler için en kritik uyum alanıdır.

---

1. Klinik Çalışmalarda Neden “Kişisel Sağlık Verisi” En Riskli Veri Türüdür?

Çünkü:

• Gönüllünün kimliği

• Tıbbi geçmişi

• Genetik veriler

• Laboratuvar sonuçları

• Adverse event kayıtları

• Tedavi yanıt profili

• Fotoğraf ve tanısal görüntü verileri

tamamı özel nitelikli kişisel veri niteliğindedir.

KVKK ve GDPR’a göre bu veriler:

➡️ En yüksek koruma seviyesine tabidir.
➡️ İşlenmesi için özel şartlar gerekir.
➡️ Açık rıza ya da kanuni istisna olmadan işlenemez.

---

2. KVKK – GDPR – HIPAA: Klinik Çalışmalarda Üç Sistem Nasıl Çarpışıyor?

A. KVKK (Türkiye)

• Özel nitelikli verilerin işlenmesi için açık rıza şarttır.

• Yurtdışına aktarımda taahhütname + Kurul izni gerekir.

• Sağlık verisi kamu düzenindedir.

B. GDPR (Avrupa)

• “Explicit consent” +

• Adequacy decision veya

• Standard Contractual Clauses (SCCs) zorunludur.

• Veri minimizasyonu esastır.

• Klinik çalışmalarda “public interest in the area of public health” istisnası var.

C. HIPAA (ABD)

• De-identification yeterli sayılabilir.

• Clinical trial exemption geniştir.

• Sponsor erişimi daha rahattır.

Bu üç sistemin farklılığı sebebiyle:

➡️ Aynı klinik çalışmada veri, üç farklı rejime aynı anda tabi olabilir.

Bu nedenle MÖHUK’un uygulanacak hukuku belirlemesi kritik hale gelir.

---

3. Uluslararası Klinik Araştırmalarda Uygulanacak Hukuk Nasıl Belirlenir?

MÖHUK m.24 ve m.30’a göre:

• Sözleşmeden doğan veri yükümlülüklerinde → tarafların seçtiği hukuk uygulanır

• Haksız fiil veya veri ihlalinde → zararın meydana geldiği yer hukuku uygulanır

• Emredici hükümler → her durumda Türk hukuku uygulanır

Dolayısıyla:

➤ Türkiye’deki gönüllülerin verisi işleniyorsa KVKK her durumda uygulanır.

➤ AB gönüllülerinin verisi GDPR’a tabidir.

➤ ABD’de saklanan veriler HIPAA’ya tabidir.

Uluslararası klinik çalışmalarda genellikle eş zamanlı üç hukuk sistemi devrededir.

---

4. Açık Rıza ve Bilgilendirilmiş Onam: En Sık Yapılan 5 Hata

1) AB veya ABD için hazırlanan onam formunun Türkiye’de kullanılması

(Tamamen geçersizdir.)

2) Veri işleme amaçlarının belirsiz yazılması

—> KVKK m.10’a aykırı.

3) Veri aktarımı yapılacak ülke listesinin belirtilmemesi

4) “Geri alınırsa çalışmadan çıkarılırsınız” baskısı yapılması

—> Açık rızayı sakatlar.

5) Kişisel veri + klinik veri + farmakovijilans verisi ayrımının yapılmaması

Türkiye’de hazırlanacak onam formu ülkeye özgü olmalıdır.

---

5. Klinik Verinin Yurt Dışına Aktarımı: Türkiye’de Çok Daha Sıkı Kurallar Var

Türkiye’den yurtdışına veri aktarımı için:

✔ AÇIK RIZA

✔ VERİ AKTARIM SÖZLEŞMESİ (SCC benzeri)

✔ VERİ AKTARIM TAAHHÜTNAMESİ

✔ KVKK KURULU ONAYI (gerekli hallerde)

✔ ŞİFRELEME, PSEUDONIMIZATION

✔ Üçüncü ülke güvenlik testi

zorunludur.

Veri aktarımı KVKK m.9’da sınırlandırılmıştır ve ihlali suç oluşturabilir.

---

6. GDPR ve KVKK Arasındaki En Büyük 5 Çatışma

---

1) Rıza Standardı

GDPR “explicit consent” derken KVKK daha katı olan “açık rıza”yı zorunlu kılar.

---

2) Yurtdışına Aktarım

GDPR SCC’larla çözebilir;
KVKK ise Kurul izni isteyebilir.

---

3) Silme / Yok Etme Yükümlülüğü

KVKK daha katıdır; klinik çalışmalar uzun süreli arşiv tutmayı gerektirir.

---

4) Veri Sorumlusu–İşleyen İlişkisi

CRO’nun rolü AB’de “processor”, Türkiye’de ise çoğu zaman “joint controller” kabul edilir.

---

5) Veri İhlali Bildirim Süresi

GDPR → 72 saat
KVKK → “En kısa sürede” (fiilen 72 saatten daha kısa beklenir)

Bu çatışmalar uluslararası klinik çalışma protokollerinde ciddi uyum riski yaratır.

---

7. Veri İhlalinde Hangi Hukuk Uygulanır?

Bir CRO ABD’deki sunucusunda Türk gönüllünün verisini sızdırdıysa:

• KVKK uygulanır

• Türk Ceza Kanunu m.136 uygulanabilir

• Haksız fiil hükümleri uygulanır

• GDPR devreye girmez

• HIPAA devreye girmez

Çünkü veri Türkiye’de yaşayan bir gönüllüye aittir ve kamu düzeni niteliğindedir.

---

8. Veri İhlallerinde Türk Mahkemeleri Hangi Hallerde Kesin Yetkilidir?

✔ Türk gönüllünün verisi işlendiyse

✔ Türkiye’de faaliyet gösteren CRO varsa

✔ Veri Türkiye’ye geri aktarılıyorsa

✔ Klinik çalışma Türkiye’de yürütülüyorsa

✔ Veri Türkiye’de saklanıyorsa

Yetki şartı (tahkim, yabancı mahkeme) bu durumda geçersiz olur.

---

9. Klinik Çalışmalarda Veri Uyumunun Sağlanması İçin Şirketlere Öneriler

A. KVKK–GDPR uyum haritası çıkarılmalı

Her veri seti için hangi hukuk uygulanacağı belirlenmeli.

B. Ülkeye özel onam formu hazırlanmalı

C. Veri aktarım sözleşmesi (“data transfer agreement”) oluşturulmalı

D. CRO ve Sponsor arasında “joint controller” sözleşmesi yapılmalı

E. PV ve advers event raporlamasında çift hukuk kontrolü yapılmalı

F. Veri minimizasyonu kuralı uygulanmalı

G. Veri ihlali acil eylem planı oluşturulmalı

---

10. Sonuç: Uluslararası Klinik Çalışmalarda Veri Hukuku Artık MÖHUK’un En Kritik Alanıdır

2025 uygulamasına göre:

• Klinik veri = en yüksek koruma seviyesine sahip özel nitelikli veridir

• KVKK, GDPR ve HIPAA aynı anda devreye girebilir

• Veri aktarımı KVKK nedeniyle çok sınırlıdır

• Açık rıza ve bilgilendirilmiş onam ülkeye özel olmalıdır

• Veri ihlalinde Türk mahkemeleri çoğu zaman yetkilidir

• MÖHUK emredici hükümler nedeniyle hukuk seçimini sınırlar

• Uluslararası klinik çalışmalar veri koruma hukuku olmadan yürütülemez

Bu nedenle global ilaç ve biyoteknoloji şirketleri için veri hukuku, Ar-Ge kadar stratejik bir unsur hâline gelmiştir.