Farmakovijilans (PV) Sözleşmelerinde Uluslararası Veri Paylaşımı: KVKK–GDPR–MÖHUK Çerçevesi ve Şirketlerin Hukuki Riskleri
Giriş: PV Sözleşmelerinde Veri Paylaşımı Neden En Kritik Hukuki Alan Hâline Geldi?
Farmakovijilans (PV), ilaç ve tıbbi ürünlerin:
-
yan etkilerinin izlenmesi,
-
güvenlik sinyallerinin analiz edilmesi,
-
advers event (AE) ve serious adverse event (SAE) bildirimlerinin yapılması
sürecidir.
Global farmakovijilans sisteminde veriler çoğunlukla:
-
ABD (FDA FAERS),
-
AB (EMA EudraVigilance),
-
İngiltere (MHRA),
-
Global Safety Database (GSD)
merkezlerine aktarılır.
Bu nedenle PV sözleşmeleri zorunlu olarak uluslararası veri paylaşımı içerir.
Ancak PV verilerinin büyük bölümü özel nitelikli sağlık verisidir, dolayısıyla:
-
KVKK,
-
GDPR,
-
MÖHUK,
-
TİTCK düzenlemeleri
çerçevesinde çok katı kurallar uygulanır.
Bu makale, 2025 yılı itibarıyla PV sözleşmelerinde uluslararası veri aktarımının hukuki çerçevesini detaylandırmaktadır.
1. PV Sözleşmesi Nedir ve Zorunlu Mudur?
TİTCK ve EMA GVP (Good Pharmacovigilance Practices) kurallarına göre:
➡️ Üretici, ithalatçı, ruhsat sahibi, dağıtıcı ve global ortaklar arasında PV SÖZLEŞMESİ zorunludur.
PV sözleşmesi şunları düzenler:
✔ AE/SAE bildirimi
✔ veri toplama ve analiz
✔ global veri aktarımı
✔ sorumluluk paylaşımı
✔ denetim (audit)
✔ raporlama süreleri
✔ risk yönetim planı (RMP)
Veri aktarımına ilişkin hükümler sözleşmenin en kritik bölümüdür.
2. PV Verisi “Özel Nitelikli Sağlık Verisidir” – Aktarımı Çok Sıkı Kurallara Tabidir
KVKK m.6 gereği:
✔ yan etki verileri
✔ laboratuvar sonuçları
✔ tıbbi durum bilgileri
✔ ilaç kullanım geçmişi
✔ raporlayan kişinin kimlik bilgisi
özel nitelikli kişisel veridir.
Bu nedenle:
➡️ Yurtdışına aktarım açık rıza ve güvenlik taahhüdü gerektirir.
Anonimleştirme mümkünse aktarım kolaylaşır, ancak PV’de çoğu zaman pseudonim veri kullanılır ve bu hâlâ kişisel veri sayılır.
3. GDPR ile KVKK Arasındaki Fark PV Sözleşmelerinde Neden Sorun Yaratıyor?
GDPR, farmakovijilans amaçlı veri işlemede:
✔ “public interest” (kamu yararı)
✔ “scientific research” (bilimsel araştırma)
gibi geniş hukuki dayanaklara izin verir.
KVKK ise çok daha sınırlıdır:
❗ Açık rıza veya özel düzenleme gerekir.
Bu nedenle AB merkezli PV sözleşmeleri Türkiye’de düzeltme ve uyarlama gerektirir.
Türk hukuku yabancı sözleşmeyi bertaraf edebilir.
4. Uluslararası Veri Aktarımında MÖHUK’un Rolü: Emredici Kurallar Üstündür
MÖHUK m.5’e göre:
➡️ Türk hukukunun emredici hükümleri, yabancı hukuk ve yabancı sözleşmelerden üstündür.
Bu nedenle:
✔ KVKK’ya aykırı PV sözleşmesi hükümsüzdür
✔ Yabancı mahkeme/yetki seçimi veri aktarımında geçerli olmayabilir
✔ Türkiye’de işlenen ihlaller Türk hukukuna tabidir
PV sözleşmelerinde hukuku AB’ye göre yazmak Türkiye’de sonuç doğurmaz.
5. PV Sözleşmelerinde Uluslararası Veri Paylaşımının Şartları
Bir veri aktarmanın hukuka uygun olabilmesi için:
✔ Açık rıza veya fotoğraflanmış/onamlı AE formu
✔ Veri minimizasyonu
✔ AB dışına aktarımda ek güvenlik önlemleri (SCC – Standard Contractual Clauses)
✔ Türkçe veri işleme sözleşmesi (DPA)
✔ Risk değerlendirme raporu
✔ Teknik–idari tedbirler (şifreleme, log, erişim kısıtı)
✔ Veri imha politikası
zorunludur.
PV sözleşmesi tek başına veri aktarımını meşrulaştırmaz.
KVKK ile uyum şarttır.
6. En Sık Görülen Hatalar ve Hukuki Riskler
❌ PV verisinin “anonim” kabul edilmesi (çoğu zaman değildir)
❌ Açık rızanın alınmaması
❌ Pseudonim verinin yurtdışına gelişigüzel aktarılması
❌ AB dışına aktarımda SCC yapılmaması
❌ AE/SAE raporlarının global merkeze TİTCK bildirimi yapılmadan gönderilmesi
❌ KVKK uyum dokümantasyonunun eksikliği
❌ Denetim (audit) kayıtlarının tutulmaması
Bu hatalar şunlara yol açar:
❗ KVKK idari para cezaları
❗ TİTCK yaptırımları
❗ Klinik araştırma askıya alma
❗ Sözleşmesel tazminat
❗ Mahremiyet ihlali nedeniyle manevi tazminat
7. PV Sözleşmeleri Çerçevesinde Global Güvenlik Verisi Paylaşımı Nasıl Olmalı?
Optimal süreç:
✔ AE verisi ilk olarak Türkiye’de yetkili kişilere iletilir
✔ TİTCK bildirimi yapılır
✔ Veri gerekli ölçüde pseudonimleştirilir
✔ Global güvenlik merkezine aktarılır
✔ Aktarım AB dışı ülke ise “ek güvenlik önlemleri” uygulanır
✔ Tüm süreç audit edilebilir olmalıdır
Bu model hem güvenli hem de hukuka uygundur.
8. PV Sözleşmelerinde Yetki ve Uygulanacak Hukuk Maddeleri Türkiye’de Nasıl Değerlendirilir?
Sözleşmelerde genelde:
➡️ “İngiliz hukuku uygulanır.”
➡️ “Yetkili mahkeme Londra’dır.”
yazar.
Ancak Türkiye’de:
✔ Veri aktarımı
✔ AE raporlaması
✔ TİTCK yükümlülükleri
emredici kurallara tabidir.
Bu nedenle Türk mahkemeleri, yabancı yetki şartını veri ihlali konularında geçersiz sayabilir.
9. PV Sözleşmelerinde Tarafların Sorumluluk Paylaşımı
| Faaliyet | Ruhsat Sahibi | Global PV Merkezi | CRO | Yerel PV Yetkilisi |
|---|---|---|---|---|
| AE toplama | ✔ | ✔ | ✔ | ✔ |
| AE analizi | ✔ | ✔ | ✔ | ❌ |
| Global paylaşım | ❌ | ✔ | ❌ | ❌ |
| Veri güvenliği | ✔ | ✔ | ✔ | ✔ |
| TİTCK bildirimi | ✔ | ❌ | ✔ | ✔ |
| Audit | ✔ | ✔ | ✔ | ❌ |
Her bir aktörün veri sorumluluğu ayrı ve birlikte doğabilir.
10. Sonuç: PV Sözleşmelerinde Uluslararası Veri Paylaşımı, Türkiye’de En Katı Hukuki Denetime Tabidir
2025 uygulamasına göre:
-
PV verisi özel nitelikli kişisel veridir
-
Yurtdışı aktarım KVKK ve GDPR uyumu gerektirir
-
PV sözleşmeleri tek başına aktarımı hukuka uygun kılmaz
-
MÖHUK m.5 gereği Türk emredici kuralları her zaman üstündür
-
TİTCK’nın AE/SAE bildirim yükümlülüğü devredilemez
-
Şirketler uluslararası aktarımda SCC, teknik tedbir ve açık rıza süreçlerini işletmek zorundadır
-
Hatalı veri paylaşımı ağır idari ve hukuki yaptırım doğurur
Bu nedenle PV sözleşmeleri hazırlanırken Türkiye’ye özgü veri koruma hukuku bilgisi kritik öneme sahiptir.
About Post Author
