info@ferhatkule.av.tr
+90 212 579 79 85

Single Blog Title

This is a single blog caption

Uluslararası Klinik Araştırmalarda Veri Aktarımı (Data Transfer) Sorunları

05 Ara 2025
0

Giriş: Klinik Araştırmalarda Veri Hareketliliği Artarken Hukuki Riskler de Büyüyor

Modern klinik araştırmalar:

  • çok merkezli yapılmakta,

  • veriler farklı ülkelere aktarılmakta,

  • global CRO’lar tarafından işlenmekte,

  • bulut altyapılarında depolanmakta,

  • yapay zeka tabanlı analiz sistemlerine gönderilmektedir.

Bu süreçte kişisel sağlık verileri uluslararası dolaşıma girmektedir.
Türkiye’de bu verilerin korunması KVKK, AB ülkelerinde GDPR, çok taraflı ilişkilerde ise MÖHUK gündeme gelir.

Temel sorular şunlardır:

➡️ Klinik araştırma verileri yurtdışına aktarılabilir mi?
➡️ Aktarım için hangi şartlar gerekir?
➡️ Avrupa Birliği dışı ülkelerle veri transferine hangi hukuki rejim uygulanır?
➡️ Yabancı protokol, KVKK hükümlerini bertaraf edebilir mi?

Bu makale, 2025 itibarıyla uluslararası klinik veri aktarımının hukuki çerçevesini detaylandırmaktadır.

1. Klinik Araştırma Verisi “Özel Nitelikli Kişisel Veri”dir

Türkiye’de KVKK m.6’ya göre:

✔ Sağlık verisi → özel nitelikli kişisel veridir.

✔ İşlenmesi ve aktarılması çok sıkı kurallara tabidir.

✔ Kişinin açık rızası veya kanuni düzenleme olmadan işlenemez.

Bu nedenle klinik araştırmada işlenen tüm bilgiler:

  • laboratuvar sonuçları,

  • genetik veri,

  • görüntüleme sonuçları,

  • advers reaksiyon raporları,

  • randomizasyon kodları

en hassas veri kategorisindedir.

2. Yurt Dışına Veri Aktarımının Temel Şartı: Açık Rıza + Güvenlik Tedbirleri

A. Açık rıza zorunludur.

ICF (bilgilendirilmiş onam formu) bu rızayı açık ve anlaşılır şekilde içermelidir.

B. Teknik ve idari güvenlik tedbirleri alınmalıdır.

KVKK Kurulu tarafından belirlenen:

  • şifreleme,

  • erişim sınırlaması,

  • log kaydı,

  • veri minimizasyonu,

  • depolama güvenliği

zorunludur.

C. Yurt dışındaki alıcı ülke uygun güvenlik düzeyine sahip olmalıdır.

AB ülkeleri GDPR kapsamında güvenli kabul edilir; fakat ABD ve Asya ülkeleri için:

✔ Veri aktarım taahhütnamesi

✔ Ek sözleşmeler (Data Transfer Addendum)

✔ Kurul’a bildirim

gerekli olabilir.

3. GDPR ile KVKK Arasındaki Uyum Sorunu

GDPR, klinik araştırmalarda veri işleme için:

  • Research exemption

  • Public interest

  • Scientific study lawful basis

gibi geniş hukuki sebepler öngörür.

KVKK ise çok daha sıkıdır:

❗ Açık rıza + özel nitelikli veri işleme şartları (m.6)

Bu uyumsuzluk nedeniyle AB merkezli sponsorların protokollerindeki veri aktarım hükümleri Türkiye’de geçersiz veya eksik sayılabilir.

4. MÖHUK Bu Sürece Nasıl Etki Eder?

MÖHUK m.5 uyarınca:

✔ Emredici kurallar (lex fori) yabancı hukuka üstün gelir.

✔ Türk kamu düzeni ihlal edilemez.

Bu nedenle:

➡️ GDPR uyumlu bir protokol, KVKK’ya aykırıysa Türkiye’de uygulanamaz.
➡️ Veri aktarımı ile ilgili yabancı yetki şartı geçersizdir.
➡️ Kişisel veri aktarımı konusunda Türk hukuku zorunlu olarak uygulanır.

5. Klinik Araştırmalarda En Sık Görülen Veri Aktarım İhlalleri

❌ ICF’de veri aktarımının açıkça belirtilmemesi

❌ Global CRO ile sözleşme yapılmaması

❌ Veri aktarımının kapsamının belirsiz olması

❌ “Anonimleştirilmiş veri, kişisel veri değildir” yanlış kabulü

❌ Depolamanın Türkiye dışında yapılması ve bildirimin yapılmaması

❌ Sponsorun bulut hizmetlerini yetkisiz ülkelerde kullanması

❌ Genetik verilerin izinsiz aktarılması

Bu ihlaller çok ciddi idari para cezaları doğurur.

6. Aktarım İçin Hangi Belgeler Gereklidir?

✔ Türkçe ICF’de açık ve net veri aktarım maddesi

✔ Veri işleme sözleşmesi (DPA)

✔ Yurt dışı veri aktarım taahhütnamesi

✔ Teknik–idari tedbir listesi

✔ Risk değerlendirme raporu

✔ Veri imha politikası

✔ TİTCK’ya adverse event raporlama sistemleri

✔ Etik kurul onayı

Etik kurul, veri aktarımı maddelerini ayrıntılı biçimde inceler.

7. Verilerin AB Dışına Aktarılması Daha Katı Kurallara Tabidir

ABD, Kanada, İsviçre ve Kore’nin güvenlik seviyeleri farklıdır.

Bu nedenle AB dışı ülkelerde aktarım:

✔ SCC (Standard Contractual Clauses)

✔ Ek güvenlik tedbirleri

✔ Veri minimizasyonu

✔ Pseudonimleştirme

✔ Risk analizi

gibi ek şartlara tabidir.

8. “Anonimleştirilmiş Veri” Gerçekten Anonim mi?

Türkiye’de ve GDPR’da bir veri “anonim” sayılabilmesi için:

✔ Geri döndürülemez olmalı

✔ Tek başına veya diğer verilerle birleştirilerek kişiyi tanımlamamalı

Oysa klinik araştırmalarda:

  • kodlanmış veri (pseudonymised data),

  • çapraz referans tabloları,

  • randomizasyon kodları

kişiye ulaşılabilir hâle getirir.

Bu nedenle:

➡️ Kodlanmış veri kişisel veri niteliğini korur ve aktarım kurallarına tabidir.

9. Veri Aktarımı İhlallerinin Hukuki Sonuçları

✔ KVKK idari para cezaları

✔ Etik kurul onayının iptali

✔ Klinik araştırmanın durdurulması

✔ Sponsor–CRO’ya karşı tazminat

✔ Sağlık Bakanlığı yaptırımları

✔ Kişisel veri sahiplerine karşı manevi tazminat

✔ Yurtdışı sponsorun Türkiye’de hukuki sorumluluğu

Bu sonuçlar şirketler için ağır mali kayıplar yaratabilir.

10. Sonuç: Klinik Araştırmalarda Veri Aktarımı, Türkiye’de En Katı Korunan Alanlardan Biridir

2025 uygulamasına göre:

  • Klinik veri aktarımı için açık rıza ve teknik güvenlik şarttır

  • GDPR uyumu KVKK uyumu anlamına gelmez

  • Yabancı protokol veri aktarımı kurallarını bertaraf edemez

  • MÖHUK emredici hükümler nedeniyle Türk hukukunun üstünlüğünü sağlar

  • Yurt dışına veri aktarım süreçleri ayrıntılı belgelerle güvence altına alınmalıdır

  • Etik kurul ve Sağlık Bakanlığı veri aktarımını çok titiz denetler

Bu nedenle klinik araştırmalarda veri aktarımı, şirketlerin en ağır hukuki risk yönetim alanıdır.

, , , , ,

About Post Author

Leave a Reply

Open chat
Avukata İhtiyacım var
Powered by Joinchat
Merhaba
Hukuki Sorunuz nedir ?
Call Now Button