info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

Kişisel Sağlık Verilerinin Korunması: İlaç Şirketleri İçin KVKK-GDPR Uyum Rehberi

25 Tem 2025
0

1. Sağlık Verisi Nedir ve Neden Hassastır?

       Sağlık verisi, bir bireyin fiziksel veya ruhsal sağlığına ilişkin her türlü bilgiyi ifade eder. Örnekler arasında şunlar yer alır:

  • Hastalık teşhisleri,

  • Kullanılan ilaçlar,

  • Kan testleri veya genetik bilgiler,

  • Tıbbi cihaz kullanım kayıtları.

Neden Hassastır?
Sağlık verisi doğrudan kişinin özel hayatıyla ilgilidir. Kötü niyetli kişilerin eline geçmesi durumunda, ayrımcılık ya da mahremiyet ihlallerine yol açabilir. Bu nedenle hem KVKK (Türkiye) hem de GDPR (AB) sağlık verisini “hassas kişisel veri” olarak sınıflandırır ve korunması için daha sıkı kurallar getirir.

2. İlaç Firmaları Bu Verileri Nerelerde Kullanır?

İlaç firmaları sağlık verilerini şu alanlarda işler:

  • Klinik araştırmalar: Katılımcıların sağlık durumunun izlenmesi,

  • Hasta destek programları: Tedaviye uyumu artırmaya yönelik hizmetler,

  • Pazarlama faaliyetleri: Ürün tanıtımında hekimlere sunulan istatistiksel veriler,

  • Farmakovijilans: Advers (yan) ilaç reaksiyonlarının bildirilmesi ve takibi.

3. KVKK Kapsamında Uyulması Gereken Kurallar

KVKK, yani Kişisel Verilerin Korunması Kanunu, Türkiye’de kişisel verilerin işlenmesini düzenleyen ve bireylerin özel hayatının gizliliğini korumayı amaçlayan temel kanundur. 7 Nisan 2016 tarihinde yürürlüğe girmiştir ve numarası 6698’dir.

➤ Açık Rıza ve İstisnalar

Genel kural olarak, sağlık verilerinin işlenebilmesi için açık rıza alınması gerekir.
Ancak bazı durumlarda rıza gerekmeyebilir. Örneğin:

  • Halk sağlığını koruma amacıyla veri işleme (örneğin Sağlık Bakanlığı denetimleri),

  • Sözleşmesel zorunluluklar kapsamında veri işleme (örneğin klinik araştırma sözleşmeleri).

➤ Aydınlatma Yükümlülüğü

İlgili kişilere açık ve anlaşılır şekilde bildirilmelidir:

  • Hangi veriler toplandığı,

  • Neden toplandığı,

  • Kimlerle paylaşılacağı,

  • Ne kadar süreyle saklanacağı.

➤ Veri Güvenliği Önlemleri

Şirketin aşağıdaki önlemleri alması gerekir:

  • Teknik önlemler (örn. şifreleme, antivirüs),

  • İdari önlemler (örn. gizlilik protokolleri, personel eğitimi).

➤ VERBIS’e Kayıt Zorunluluğu

50’den fazla çalışanı olan veya yıllık bilançosu 25 milyon TL’yi aşan şirketler, VERBIS (Veri Sorumluları Sicili)’e kayıt olmak zorundadır.

4. GDPR Kapsamında Uyulması Gereken Kurallar

GDPR (General Data Protection Regulation), Avrupa Birliği’nin Genel Veri Koruma Tüzüğü’dür ve 25 Mayıs 2018 tarihinde yürürlüğe girmiştir. Bu düzenleme, kişisel verilerin işlenmesi ve korunmasına ilişkin kuralları belirler ve Avrupa Ekonomik Alanı (EEA) içinde yaşayan bireylerin kişisel verileri üzerinde daha fazla kontrol sahibi olmalarını sağlamayı amaçlar.

➤ Hukuka Uygunluk İlkesi

        Veriler belirli, açık ve meşru amaçlar için toplanmalıdır. Örneğin, doktor bilgilerini pazarlama amacıyla toplamak meşru olabilir; ancak hastalardan rıza almadan veri toplamak GDPR ihlalidir.

➤ Veri Sorumlusu ile Veri İşleyen Ayrımı

  • Veri Sorumlusu: Veri işleme amaç ve araçlarını belirleyen kişi/kurumdur (örneğin ilaç firması).

  • Veri İşleyen: Yalnızca talimat doğrultusunda veri işleyen kişi/kurumdur (örneğin çağrı merkezi hizmet sağlayıcısı).

➤ Veri Koruma Görevlisi (DPO)

Eğer bir şirket büyük miktarda hassas veri işliyorsa, Veri Koruma Görevlisi (DPO) atamalıdır. DPO, şirketin GDPR’ye uyumunu denetler.

➤ Veri İhlali Bildirimi

Kişisel verilerin ihlali durumunda (örneğin veri tabanı saldırısı), ilgili Avrupa otoritesine 72 saat içinde bildirim yapılması zorunludur.

5. Sağlık Verisi Yurtdışına Aktarılabilir mi?

KVKK’ya Göre:

Türkiye’den yurtdışına veri aktarımı şu koşullarda mümkündür:

  • İlgili kişi açık rıza vermişse,

  • Veriler, Kişisel Verileri Koruma Kurumu tarafından güvenli ülke ilan edilen bir ülkeye aktarılıyorsa,

  • Kurum tarafından onaylanmış bir veri aktarım sözleşmesi mevcutsa.

GDPR’ye Göre:

AB dışına yapılacak veri transferleri için:

  • Avrupa Komisyonu tarafından verilen güvenli ülke kararı, veya

  • Standart Sözleşme Maddeleri (SCCs) gibi uygun güvenceler gerekir.

6. Uyum Kontrol Listesi

  • Veri envanteri hazırlayın (Hangi veriler toplanıyor? Ne amaçla?).

  • Aydınlatma metni ve açık rıza metinleri oluşturun.

  • Güvenlik önlemleri uygulayın (şifreleme, erişim kontrolleri, eğitim).

  • GDPR kapsamındaysa DPO atayın.

  • Üçüncü taraflarla veri işleme sözleşmeleri yapın.

  • Olası bir veri ihlali için acil durum planı oluşturun.

Uyum Stratejisi Neden Önemlidir?

KVKK ve GDPR, sadece yasal yükümlülükler değildir; aynı zamanda hasta güvenliği ve kurumsal itibar açısından da kritik öneme sahiptir.
Uyumsuzluk durumunda:

  • KVKK kapsamında 2 milyon TL’ye kadar idari para cezası uygulanabilir,

  • GDPR kapsamında ise yıllık küresel cironun %4’üne kadar para cezası verilebilir.

Sağlık verilerinin güvenli şekilde işlenmesi, ilaç firmalarının etik duruşunun da bir göstergesidir.

Sonuç

       İlaç sektöründe kişisel sağlık verilerinin doğru ve güvenli şekilde işlenmesi, yalnızca bir yasal zorunluluk değil, aynı zamanda kurumsal itibarın temelidir.
       KVKK ve GDPR’ye uygun hareket etmek, cezai yaptırımlardan kaçınmanın yanı sıra hastalar ve sağlık profesyonelleri nezdinde güven inşa etmeyi sağlar.

, , , , , , , , , , ,

About Post Author

Leave a Reply

Open chat
Avukata İhtiyacım var
Powered by Joinchat
Merhaba
Hukuki Sorunuz nedir ?
Call Now Button