Yan Etki Bildirim Süreçlerinde KVKK ve GDPR Uyumluluğu – 3. Bölüm

25.08.2025

Arzu Galandarlı, World Medicine Türkiye, Legal Counsel

Cansu Yalçıntaş, World Medicine Türkiye, Legal Affairs Assistant Manager

11. Veri Paylaşımı

Sağlık verilerinin, özellikle de yan etki bildirimlerinden elde edilen bilgilerin, paylaşımı konusu KVKK çerçevesinde dikkatle yönetilmelidir. Veri paylaşımı, verinin bir üçüncü tarafla (başka bir kurum, kuruluş veya kişiyle) aktarılması anlamına gelir ve KVKK’da ayrı bir maddeyle (8. madde) düzenlenmiştir. Yan etki verilerinin paylaşımı çoğunlukla zorunlu ve meşru amaçlarla yapılsa da (örneğin Sağlık Bakanlığı ile paylaşım), her bir paylaşım senaryosunun kanuni dayanağı net olmalı ve mümkün olduğunca anonimleştirme prensipleri uygulanmalıdır.

Kimlerle Veri Paylaşılır? Farmakovijilans kapsamında kişisel veri içeren bilgiler çeşitli alıcılarla paylaşılabilir:

Yetkili Kamu Kurumları: Sağlık Bakanlığı (TİTCK) başta olmak üzere, gerektiğinde Dünya Sağlık Örgütü gibi uluslararası kamu kuruluşları
Yasal mevzuat uyarınca, advers olay bildirimleri belirli aralıklarla veya ciddi vakalar 15 gün içinde Bakanlığa iletilmek zorundadır. Bu paylaşım, kanuni yükümlülük dayanaklıdır ve KVKK md.8/2-a kapsamında rıza aranmaksızın yapılabilir.
Etik Kurullar / Akademik Kurumlar: Eğer veri klinik araştırma kaynaklı ise, o araştırmanın etik kurulu veya bilimsel danışma kurulları da verilere erişebilir. Örneğin ciddi advers olaylar etik kurula raporlanır. Bu paylaşımlar da ilgili araştırma mevzuatı gereği zorunlu sayılır.
İş Ortakları ve Tedarikçiler: İlaç firması, farmakovijilans hizmeti sunan bir taşeron firma ile çalışıyorsa (örn. yan etki çağrılarını alan bir çağrı merkezi, veya vaka raporlarını derleyen bir CRO), bu üçüncü taraflarla veri paylaşımı söz konusu olur
Bu durumda KVKK md.8 gereği ya ilgili kişinin rızası ya da md.5/2 hükümlerine uygun bir şart bulunmalıdır. Genelde, eğer bu hizmet Sağlık Bakanlığı onaylı bir PV hizmet sağlayıcısı ise, sözleşme kapsamında veri işleyen sıfatıyla hareket eder ve veri sorumlusu (ilaç firması) talimatıyla, onun adına işi yürütür. KVKK’ya göre veri işleyenle yapılan sözleşmede mahremiyet ve güvenlik yükümlülükleri açıkça tanımlanmalıdır.
Grup Şirketleri: Bazı durumlarda ilaç firmasının yurtiçi veya yurtdışındaki bağlı ortaklıkları ile veri paylaşımı olabilir (örneğin Türkiye’deki şirket, merkezi yurtdışında olan ana şirkete raporları yollar)
Bu durumda da yine md.8 ve 9’daki şartlar geçerlidir (yurtdışı aktarım ise ayrıca md.9). Genelde bu, grup içi raporlama yükümlülükleri kapsamında meşru menfaat/hukuki yükümlülük temelinde yapılır.
Sağlık Meslek Mensupları: Bir yan etki raporu sırasında, ilgili hastanın doktoru ile şirketin tıbbi direktörü arasında bilgi paylaşımı olabilir (örneğin advers etki yönetimi için). Bu iki taraf da aslında hastanın bakımına dahil profesyoneller sayılabilir. Yine de firma tarafındaki doktor, bir sağlık hizmeti sunum pozisyonunda olmadığı için, bu paylaşımın temelinde hastanın rızası veya kamu sağlığı gerekçesi olmalıdır.

Anonimleştirme ile Paylaşım: KVKK md.3’e göre anonim hale getirilmiş veriler artık kişisel veri sayılmadığından, paylaşımı serbesttir. Bu nedenle, mümkün olan hallerde sağlık verilerinin anonimleştirilerek paylaşılması tercih edilir. Örneğin, bir farmakovijilans rapor özeti akademik bir makalede yayınlanacaksa, hiçbir kişisel tanımlayıcı bilgi içermeyecek şekilde hazırlanır. Yine, şirketler sektörel farmakovijilans veri havuzlarına (örneğin uluslararası advers etki veri havuzlarına) katılırken verileri takma ad kullanarak sağlayabilir.

Bilimsel çalışmalarda veri setleri paylaşılırken (örneğin bir meta-analiz için farklı şirketlerin advers olay verileri bir havuzda toplansın) tüm veriler anonimleştirilerek araştırmacılara sunulur. KVKK’ya göre anonimleştirme geri dönüşü olmayacak şekilde yapılmalıdır; bu da paylaşımdan önce yetki sahibi olmayan hiç kimsenin kişiyi tanıyamayacağına emin olunması demektir.

Kanuni Dayanaklar: Veri paylaşımının dayanağı eğer ilgili kişinin açık rızası değilse, mutlaka KVKK md.5 veya 6’daki istisnalardan birine girmelidir. Farmakovijilansta en çok kullanılan dayanaklar:

Kanuni Zorunluluk: İlgili kanun/yönetmelik advers olay bilgisinin otoriteyle paylaşılmasını gerektiriyor. Bu durumda md.5/2-a devreye girer, rıza gerekmez.
Sözleşmenin İfası: Eğer bir sözleşme kapsamında veri paylaşmak gerekliyse (örneğin bir ilaç ortak pazarlama anlaşması, veya klinik araştırma sözleşmesi), md.5/2-c uygulanabilir.
Meşru Menfaat: Şirketin veya üçüncü bir tarafın meşru menfaati söz konusuysa ve veri paylaşımı bu menfaat için gerekliyse, md.5/2-f düşünülebilir. Ancak sağlık verileri açısından meşru menfaat tek başına yeterli olamaz, çünkü sağlık verisi özel niteliklidir. Özel nitelikli veriler, KVKK md.6/3’e göre kamu sağlığı, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ya da koruyucu hekimlik gibi bir amaçla, sır saklama yükümlülüğü altındaki kişilerce işleniyorsa rıza aranmaksızın işlenebilir. İlaç güvenliği raporlaması da kamu sağlığının korunması olarak yorumlandığından ve farmakovijilans uzmanları fiilen bu sır saklama yükümlülüğünü taşıdığından, bu maddeye dayanılır. Yine de bu hukuki zeminin dikkatlice değerlendirilmesi gerekir; zira şirket çalışanı hekim olmasa bile bir nevi kamu sağlığı misyonu ile hareket etmektedir.

Veri Paylaşımında Sözleşmeler: Üçüncü taraflarla veri paylaşırken (özellikle veri işleyen statüsündeki hizmet sağlayıcılar veya yurt dışındaki iş ortaklarıyla) mutlaka gizlilik ve veri koruma sözleşmeleri yapılmalıdır

Bu sözleşmelerde:

Karşı tarafın veriyi sadece belirli amaçla ve talimatla işleyebileceği,
Yeterli güvenlik önlemlerini alacağı,
Veriyi izinsiz başka yere aktarmayacağı,
İş bitiminde verileri iade edip imha edeceği,
KVKK ve GDPR yükümlülüklerine uyacağı,
İhlal durumunda derhal bildirim yapacağı gibi maddeler bulunur. Özellikle ilaç sektörü, tedarikçileriyle sözleşmelerinde KVKK’ya uyum maddelerine geniş yer vermektedir.

Örnek Uygulamalar:

Bir ilaç firması, birlikte çalıştığı fason üretim şirketine belirli hastaların advers etki verilerini kalite şikayeti kapsamında iletmek durumunda kaldı diyelim (örneğin üretim hatası mı var diye). Bu paylaşımı yaparken, mümkün mertebe hastanın kimliği ifşa edilmez; sadece olayın detayları ve belki ürünün serisine dair veriler paylaşılır. Hastanın adı yerine kod kullanılır. Fason üretim firmasıyla gizlilik sözleşmesi bulunur.
Yine, firma global merkezine aylık advers olay raporu gönderirken, Türkiye’den giden dosyada hasta isimleri yer almaz, sadece kodlar yer alır ve karşılığında kod listesi Türkiye ofisinde tutulur. Böylece merkez ofis, hastaları birebir tanımaz ama gerekli tüm güvenlik verisini almış olur.
Bir başka örnek, firma ürünün güvenliğiyle ilgili bir dış danışmanlık alacak, uzman doktorlardan oluşan bir kurul vaka değerlendirmesi yapacak. Bu durumda danışmanlarla gizlilik anlaşmaları yapılır. Vaka tartışmaları sırasında da hastaların kimlikleri saklanır, “Vaka A, 45 yaşında erkek hasta, İlaç X kullanırken Y yan etkisi gelişmiş” formatında sunum yapılır.

KVKK Açısından İzin ve Bildirimler: Eğer veri paylaşımı yurt içinde bir üçüncü kişiye yapılıyorsa ve dayanılan hukuki sebep açık rıza ise, o rıza metninde alıcı gruplar belirtilmelidir. Mesela aydınlatma metninde “kişisel verileriniz şu amaçlarla Sağlık Bakanlığı, grup şirketlerimiz ve hizmet aldığımız iş ortaklarımıza aktarılabilir” denir.

İlgili kişi rızasını verirse bu paylaşımların önü açılmış olur. Açık rıza yoksa, diğer dayanaklar açıklanır ama her halükarda aydınlatma metninde bu paylaşım öngörülmüş olmalıdır (ki ilgili kişi bilgilendirilmiş olsun).

Veri Paylaşımının Sınırları: KVKK ihlallerinin önemli bir kısmı izinsiz veya yetkisiz veri paylaşımından kaynaklanır. İlaç firmaları bu konuda genelde dikkatli olsa da, pratikte risk doğurabilecek durumlar şunlar olabilir:

Şirket içi gereksiz paylaşım: Örneğin farmakovijilans ekibinin elindeki bir hasta yan etki öyküsünü ürün geliştirme ekibiyle detaylı paylaşması, oysa ürün ekibinin kimlik bilgisine ihtiyacı yok. Bu engellenmelidir.
Pazarlama departmanının, bir ilacın yan etki profilini pazarlama stratejisi için kullanmak istemesi ve bu amaçla PV ekibinden veri talebi. PV ekibi ancak anonim istatistik verebilir, bireysel raporları asla paylaşamaz.
Verinin, ilgili kişinin aleyhine kullanılabilecek şekilde paylaşılması. Örneğin bir sigorta şirketi, bir hastanın advers olay yaşadığını öğrenip poliçesini etkilemeye kalkarsa bu kötüye kullanımdır. Şirketler, sigorta şirketlerine ancak hasta rızasıyla (veya talebiyle) veri verebilir, aksi halde bu paylaşım meşru olmaz (KVKK md.8 ihlali).

Özetle, sağlık verilerinin paylaşımında kanuni gereklilikler ve veri minimizasyonu el ele gitmelidir. Hangi kurumla paylaşılırsa paylaşılsın, “bu kişi hakkında en az ne kadar bilgi versem yeterli olur” sorusu sorulmalı ve gerekenden fazlası paylaşılmamalıdır

Ayrıca her paylaşım adımı belgelenmeli, kiminle ne veri paylaşıldığı kayıt altına alınmalıdır (özellikle hassas veri hareketlerinin kaydı). Bu sayede hem denetlenebilirlik sağlanır hem de olası bir sorunda iz sürülebilir.

12. Hukuki ve Cezai Yaptırımlar

Kişisel verilerin korunması mevzuatına aykırı hareket edilmesi, ilaç sektörü de dahil olmak üzere tüm sektörler için ciddi yaptırımlar öngörmektedir. KVKK’ya uyumsuzluk durumunda idari para cezaları ve bazı hallerde adli cezalar (hapis dahil) gündeme gelebilir. Ayrıca ilaç sektöründe olası bir veri skandalı, maddi cezaların ötesinde itibar kaybına ve pazar güveninin sarsılmasına yol açabilir. Bu bölümde KVKK’ya aykırılık durumunda yaptırımlar ve ilaç sektörü açısından sonuçları değerlendirilecektir.

KVKK Kapsamındaki İdari Yaptırımlar: KVKK, çeşitli yükümlülüklerin ihlali halinde Kişisel Verileri Koruma Kurulu’na idari para cezası verme yetkisi tanımıştır. 2025 yılı itibariyle güncel ceza üst limitleri her yıl yeniden değerleme ile artsa da, kabaca 1.362.021 + TL bandındadır. Örneğin, veri güvenliği yükümlülüğünü yerine getirmeme (md.12’ye aykırılık) durumunda yaklaşık 68.083 TL den 1.362.021 TLkadar idari para cezası verilebilir.

Kurul kararlarını yerine getirmeme veya VERBİS’e kayıt olmama gibi idari ihlallerde de benzer üst sınırlar söz konusudur.

Bu cezalar, ihlalin ağırlığına, veri sorumlusunun büyüklüğüne, etkilenen kişi sayısına vb. göre Kurul tarafından belirlenir. İlaç sektörü şirketleri genellikle büyük ölçekli olduğu için, bir ihlal durumunda ceza üst limite yakın seyredebilir.

Örnek olarak, eğer bir ilaç firması KVKK’nın aydınlatma yükümlülüğünü ihlal etmişse (md.10), Kurul milyon TL ceza kesebilir. Yine, bir hastanın kişisel verilerini hukuka aykırı şekilde üçüncü bir tarafa aktardığı tespit edilirse, md.8’e aykırılıktan ceza alabilir. KVKK, özellikle özel nitelikli verilerin korunmasında ihmali olanlara karşı daha sert yaklaşabilir çünkü burada bireylerin sağlık mahremiyeti söz konusu. Bu nedenle, bir advers olay veri tabanının sızması gibi bir durumda, Kurul hem veri güvenliği ihlalinden hem de özel nitelikli veri ihlalinden ayrı ayrı ceza verebilir.

GDPR Kapsamındaki Yaptırımlar: Global ilaç firmaları için bir diğer risk, GDPR tarafındaki cezalar. GDPR, en ciddi ihlallerde 20 milyon Euro veya şirketin yıllık dünya cirosunun %4’ü (hangisi yüksekse) idari para cezası öngörür. Bu rakamlar KVKK’ya göre çok üst düzeydedir

Avrupa’da birkaç ilaç şirketi de geçmişte GDPR ihlalleri nedeniyle milyonlarca euroluk cezalara çarptırılmıştır (örneğin bir firmanın pazarlama izni olmadığı halde sağlık profesyonellerine e-posta göndermesi vs.). İlaç firmaları genellikle GDPR uyumunu ciddiye aldıklarından, bu tür cezalar daha çok kasıtsız ihlallerden doğabilir (örneğin bir veri sızıntısı, ya da bir hastanın silme talebinin haksız şekilde reddi).

Adli (Cezai) Yaptırımlar: Türkiye’de KVKK ihlalleri için Kanun’un kendisi idari ceza öngörmekle birlikte, bazı fiiller aynı zamanda Türk Ceza Kanunu’na göre suç teşkil edebilir. Özellikle özel nitelikli verilerin hukuka aykırı şekilde ele geçirilmesi, yayılması veya başkasına verilmesi TCK 136 kapsamındadır ve 2 yıldan 4 yıla kadar hapis cezası öngörür.

Yine verileri hukuka aykırı olarak kaydetme (TCK 135) 1-3 yıl hapis, yok etme yükümlülüğüne uymama (TCK 138) 1-2 yıl hapis cezasına tabidir.

Örneğin, bir ilaç firmasında çalışan kötü niyetli bir kişi, farmakovijilans sisteminden indirdiği hasta verilerini dışarı sızdırır veya satarsa, TCK 136’dan yargılanabilir. Bu durumda, ceza alması halinde meslekten men gibi sonuçlar da doğabilir. Şirket yönetimi, bu suça iştirak etmişse (göz yummak gibi) sorumluluk altında kalabilir.

İlaç firmaları genelde bu tip kasıtlı eylemlerin önüne geçmek için sıkı kontrol mekanizmaları kurar, ancak yine de insider threat denilen içeriden sızma riski her zaman vardır. Bu yüzden her erişim yetkisi verilen personele KVKK ve TCK kapsamındaki sorumlulukları hatırlatan taahhütnameler imzalatılır (gizlilik sözleşmeleri vb.), ve log kayıtları ile gözdağı verilir.

İtibar Kaybı ve Pazar Güveni: Maddi cezalar ve hukuki süreçlerin yanında, ilaç sektörü için belki de en büyük yaptırım, güven kaybıdır. Hasta verilerinin kötü yönetildiği, sızdığı veya izinsiz paylaşıldığı haberleri basına yansıdığında, bir ilaç şirketinin itibarı ciddi şekilde zedelenir. Bu durum, hastaların ve doktorların o firmaya güvenini sarsabilir. Örneğin, bir firma hakkında “hastaların kişisel bilgilerini koruyamadı” şeklinde haberler çıkarsa, hastalar yan etki bildirmekte çekingen davranabilirler (verilerim güvende değil diye düşünerek). Bu da farmakovijilans için bir kısır döngü yaratır: Daha az bildirim gelir, potansiyel sorunlar geç fark edilir ve nihayetinde daha büyük güvenlik skandalları yaşanabilir. Ayrıca ilaç sektöründe rekabet de itibar üzerinden şekillenir; güvenilirlik kaybı satışlara dolaylı olarak yansıyabilir.

İtibar kaybının başka bir boyutu da düzenleyici ilişkilerdir. Sağlık otoriteleri, veri koruma skandalına karışmış bir firmayı mercek altına alabilir, denetimleri sıklaştırabilir. Hatta aşırı durumlarda firmanın faaliyetlerini durdurma yetkileri bile vardır (örneğin GDPR ihlalini düzeltmeyen bir şirkete veri işleme yasağı getirilebilir; bu da fiilen iş yapamaması anlamına gelir).

Uyumsuzluğun Maliyetleri: KVKK’ya uyum sağlamamanın maliyeti, uyum sağlamaktan çok daha yüksektir. Uyumluluk için belki başlangıçta danışmanlık, teknoloji, personel eğitimi gibi kalemlere bütçe ayrılır; ancak ihlal durumunda hem ceza ödenir, hem belki tazminatlar (ilgili kişiler maddi/manevi zarar davası açabilir), hem de düzeltme için yine masraf yapılır. Örneğin bir veri ihlali oldu diyelim, şirket hem ceza ödeyecek, hem tüm sistemlerini revize edecek, belki mağdurlara tazminat verecek, hem de müşterileri kaçabileceği için gelir kaybına uğrayacak. Bu toplam etki, proaktif uyum maliyetinden kat kat fazladır. Bu nedenle bilinçli şirketler “uyum yatırımı” yapmayı tercih ediyor.

Örnek Yaptırım Kararları: Dünya genelinde, sağlık verileriyle ilgili ihlallerde ciddi cezalar kesildiği örnekler mevcuttur. Örneğin, İngiltere’de bir eczane zinciri, müşteri reçetelerini içeren verileri uygun imha etmediği için yüz binlerce sterlin ceza aldı. Yine bir ülkede hastane çalışanları, Ünlü bir kişinin medikal kayıtlarına izinsiz baktığı için işten çıkarıldı ve para cezası aldı. İlaç şirketleri özelinde de, bir şirketin eski klinik çalışma verilerini gerektiği gibi imha etmeyip yıllarca sakladığı tespit edildiğinde uyarı ve para cezası verildiğine dair vakalar vardır. Türkiye’de KVKK Kurulu kararlarına bakıldığında, henüz spesifik olarak farmakovijilans verisiyle ilgili bir ceza kararı yansımamış olabilir; ancak sağlık sektöründeki veri ihlallerine ilişkin (hastane, laboratuvar v.b.) cezalar mevcuttur. Bu da dolaylı olarak ilaç sektörü için ders niteliğindedir.

Risk Yönetimi: Tüm bu olası yaptırımlara karşı, ilaç firmaları güçlü bir KVKK/GDPR uyum programı yürütmelidir. Bu programın parçası olarak düzenli denetimler, risk değerlendirmeleri, çalışanlara hatırlatmalar yapılmalı; bir ihlal olursa hızlı aksiyon alacak bir ekip (müdahale timi) hazır bulundurulmalıdır. Risk yönetiminin bir ayağı da sigorta olabilir: Bazı şirketler siber sigorta poliçeleri ile olası veri ihlali mali risklerini sigortalıyorlar. Ancak sigorta, itibar kaybını geri getiremez; dolayısıyla en iyi strateji, ihlali hiç yaşamamaktır.

Sonuç olarak, KVKK’ya aykırı veri işleme durumunda uygulanacak yaptırımlar, para cezalarından hapis cezasına, lisans iptalinden itibar zedelenmesine kadar geniş bir yelpazede şirketleri tehdit eder. İlaç sektörü aktörleri, hem yasal sorumluluk hem de topluma karşı güven borcu nedeniyle, bu alanda sıfır hata prensibiyle hareket etmelidir. Uyumun sağlanması sadece regülasyon gereği değil, aynı zamanda kurumsal sürdürülebilirlik meselesidir.

13. Uluslararası Uyumluluk (GDPR Örneği)

KVKK ve GDPR, benzer temel prensipleri paylaşan fakat uygulamada bazı önemli farklılıklara sahip iki düzenlemedir. Çok uluslu ilaç şirketleri ve global klinik araştırmalar yürüten kuruluşlar için, hem KVKK’ya hem GDPR’ya aynı anda uyum sağlamak gerekebiliyor. Bu bölümde KVKK ve GDPR arasındaki belli başlı farklar ele alınacak, ilaç sektöründe çoklu regülasyon uyumu konusu incelenecek ve global firmaların KVKK ve GDPR uyumluluğu için aldığı önlemlerden örnekler verilecektir.

KVKK ve GDPR Arasındaki Temel Farklar:

Coğrafi Kapsam: GDPR, AB sınırları içinde veya AB vatandaşlarının verileri üzerinde işlem yapan herkesi kapsar (küresel etkisi vardır). KVKK ise Türkiye’de kişisel veri işleyen gerçek/tüzel kişilere ve Türkiye’de bulunan ilgili kişilere odaklanır. Bir global ilaç şirketi, AB’deki hastaların verilerini işlerken GDPR’ye, Türkiye’deki hastalarınkinde KVKK’ya uymak durumundadır. Bu da iki rejimin farklı gerekliliklerini paralel yürütmeyi gerektirir.
Hukuki Dayanaklar: Her iki düzenleme de çeşitli hukuki işleme sebepleri sunar. Fakat KVKK, “açık rıza”yı adeta varsayılan olarak kabul ederken, GDPR tüm işleme dayanaklarını eşit seviyede görür
Örneğin GDPR’de meşru menfaat esnek bir zeminken, KVKK’da meşru menfaate dayalı işleme özel nitelikli veriler için geçerli değildir. İlaç firmaları, örneğin pazarlama faaliyetlerinde AB’de meşru menfaat iddia ederken Türkiye’de açık rıza almaya daha çok önem verir.
Veri Sınıflandırması: Her ikisi de sağlık verisini hassas kabul eder. Ancak GDPR ayrıca ceza mahkumiyet verileri vs. gibi kategoriler de tanımlar; KVKK bu konuda daha sınırlıdır. Ayrıca GDPR’de “genetik veri” ve “biyometrik veri” özel olarak tanımlanmışken KVKK’da hepsi özel nitelikli altında toplanmıştır.
Veri Sorumlusu – Veri İşleyen Ayrımı: Her iki hukukta da benzer ayrım var ama GDPR, veri işleyeni de sorumluluk kapsamına alırken (örneğin veri işleyen de ceza alabilir, veri işleyene de doğrudan dava açılabilir), KVKK idari yaptırımları sadece veri sorumlusu üzerine yıkar
İlaç sektörü genelde veri sorumlusu konumundadır, ancak eğer bir firma başka bir firma adına klinik araştırma yürütüyorsa veri işleyen olabilir; bu durumda GDPR’de yükümlülük altındayken KVKK’da esas sorumlu yine veri sorumlusu olacaktır.
DPO (Veri Koruma Görevlisi) ve İrtibat Kişisi: GDPR, belirli şartlarda (örneğin büyük ölçekli hassas veri işleyen kuruluşlarda) bir Data Protection Officer (DPO) atanmasını zorunlu kılar.
Bu kişi bağımsız hareket edip şirkette GDPR uyumunu denetler. KVKK’da ise böyle bir zorunluluk yoktur; yalnızca kamu kurumları için “veri sorumlusu temsilcisi” kavramı vardır, özelde ise VERBİS irtibat kişisi atanır ki bu idari bir iletişim noktasıdır, DPO kadar rolü tanımlı değildir. Global ilaç şirketleri genelde bir Avrupa merkezli DPO atamış, Türkiye’de de bir KVKK Komitesi veya sorumlusu belirlemiştir (isterlerse DPO’sunu Türkiye irtibat kişisi de yapabiliyorlar, ancak aynı şey değildir).
VERBİS vs. Register of Processing: KVKK, bir Veri Sorumluları Sicil Sistemi (VERBİS) kurmuş ve belli kriterleri sağlayanların (çalışan sayısı ve yıllık bütçe gibi) bu sicile kayıt olmasını zorunlu tutmuştur. Bu, GDPR’da olmayan bir uygulamadır. GDPR’de ise veri sorumluları kendi “işleme faaliyetleri kayıtlarını” tutmalıdır ama bunu devlete bildirmezler. Çok uluslu bir firma, Türkiye’deki varlığını VERBİS’e kaydettirmek zorundayken AB’de böyle bir sicile kayıt gerekmez.
Yaptırımların Düzeyi: Yukarıda bahsedildiği üzere, GDPR’ın parasal ceza potansiyeli KVKK’dan çok yüksektir (milyon Euro’lar vs. milyon TL’ler)
Ayrıca GDPR, veri sahiplerine ihlal durumunda tazminat hakkı tanır (madde 82) – KVKK’da böyle bir özel düzenleme yoktur ama genel hükümlere göre zaten dava açılabilir. Bu farklar, global şirketlerin Avrupa uyumunu genelde daha fazla ciddiye almasına yol açmıştır, çünkü risk büyüktür. Ancak KVKK da ihlallerde yavaş yavaş yüksek cezalar vermeye başladığı için Türkiye’yi de göz ardı etmek mümkün değildir.
Haklar Bakımından: KVKK ile GDPR arasındaki en bariz fark, veri taşınabilirliği hakkı ve profil çıkarma / otomatik karar itiraz hakkıdır. KVKK’da açıkça veri taşınabilirlik (data portability) hakkı yoktur; GDPR’de vardır ve özellikle sağlık sektöründe (mesela hasta bir uygulamadan verisini çekip başka uygulamaya taşıyabilir) önem kazanabilir
Profiling konusu ilaç güvenliğinde çok yoktur ama yine de otomatik bir risk skorlama yapılıyorsa, AB’de kişi buna itiraz edebilir, Türkiye’de bu hak net değildir.

Çoklu Regülasyon Uyumu: Bir ilaç şirketi hem KVKK’ya hem GDPR’ye tabi ise (örneğin hem Türkiye’de hem AB’de faaliyet gösteriyor), ikili bir uyum stratejisi izlemelidir:

Politika ve Prosedürlerin Uyarlanması: Şirket genelde GDPR gerekliliklerine göre global politikalarını hazırlar (çünkü GDPR en kapsamlısı). Türkiye özelinde ise gerekli ek tedbirleri (VERBİS kaydı, açık rıza metinlerinin Türkçe hazırlanması, yurtdışı aktarım izinleri vb.) entegre eder. Örneğin bir global Privacy Policy varsa, Türkiye’deki uygulama dokümanlarında KVKK referansları eklenir.
Sözleşmeler: Global klinik araştırma veya farmakovijilans anlaşmalarında, hem GDPR hem KVKK hükümlerine uyulacağına dair maddeler konur. Özellikle veri aktarımı maddelerinde, hem Avrupa Komisyonu SCC’leri hem de Türkiye Kurulu’na atıf yapan karma çözümler üretilebilir. (Bu epey hukuk tekniği gerektirir.)
Organizasyonel Yapı: Şirketin bir DPO’su varsa, KVKK uyumunu da genelde bu kişi veya ekibi üstlenir, ancak yerelde bir irtibat kişi atanır. Yönetişim modeli oturtulur; mesela her ülke ofisinin bir Privacy Championı olur, Türkiye’deki champion KVKK’dan da sorumlu olur.
Eğitim ve Farkındalık: Çalışan eğitimlerinde hem KVKK hem GDPR birlikte anlatılır; zira çalışanlar her iki kurala da uygun davranmalıdır. Örneğin bir hasta talebi geldiğinde AB’den mi TR’den mi diye ayırmadan, ikisinin de gereğini yapmalılar (en geniş hakları sunarak).
Denetim ve Kontrol: Global iç denetimler yapılırken Türkiye’nin ek gereklilikleri checklist’e konur. Aynı şekilde, Türkiye KVKK denetimleri de global privacy ekibinin scope’una alınır.
Dokümantasyon: GDPR’nin istediği detaylı veri envanteri, işlem kayıtları, DPIA raporları gibi dokümanlar hazırlanırken, KVKK’nın istediği Aydınlatma Metni ve VERBİS girişleri de yapılır. Bu noktada genelde mümkün olduğunca tek bir doküman seti ile iki rejimin karşılanması hedeflenir. Örneğin bir klinik araştırma için hazırlanan Veri Koruma Etki Değerlendirmesi (DPIA), hem GDPR 35. madde gereği yapılmıştır hem de KVKK açısından iyi bir pratik sayılır.

Global İyi Uygulamalar: Büyük ilaç firmaları KVKK ve GDPR uyumu için bir dizi proaktif önlem almış durumdadır. Örneğin:

Bağlayıcı Şirket Kuralları (BCR): Bazı dev firmalar, tüm grup şirketlerinde geçerli olacak veri koruma kuralları oluşturup bunları Avrupa otoritelerine onaylatmıştır. BCR, grup içi veri aktarımını kolaylaştırır ve yüksek standart sağlar. Türkiye Kurumu da BCR’ı tanımaktadır (Kurul onayına tabi).
Merkezi Gizlilik Portalları: Şirketler, veri sahiplerinin haklarını kullanabilmeleri için web sitelerinde formlar veya e-posta adresleri duyurur. Örneğin global bir ilaç firmasının websitesinde “KVKK ve GDPR Kapsamında Başvuru Formu” bulunabilir. Böylece herhangi bir ülkeden gelen talep kayıt altına alınır ve ilgili ülke ekibiyle koordineli yanıtlanır.
Standartlaştırılmış Metinler: Aydınlatma metinleri, açık rıza formları ve sözleşmelere konan veri işleme maddeleri, tüm dünyada tutarlılık gösterir biçimde hazırlanır. Türkiye’ye özgü metinlerde de aynı çizgi korunur, sadece yasal referanslar Türkçe mevzuata göre yapılır.
Teknolojik Önlemler: Global farmakovijilans sistemleri, mahremiyet “by design” yaklaşımıyla kurulur. Örneğin, sisteme Türkiye’den girilen bir vakanın hasta ismi alanı otomatik olarak sadece Türkiye ofisinin görebileceği şekilde tasarlanmıştır; başka ülke kullanıcısı o alana baktığında boş görünür. Bu tarz teknik çözümlerle hem GDPR hem KVKK’nın veri minimizasyonu ve erişim ilkelerine uyulur.
Denetimlere Hazırlık: Büyük şirketler, olası bir KVKK denetimi veya GDPR denetimi (ya da olası bir veri ihlali soruşturması) için hazır doküman setleri tutarlar. Örneğin KVKK’nın isteyebileceği “Kişisel Veri İşleme Envanteri”, GDPR’ın isteyebileceği “Article 30 Records” aslında benzer şeyler, bunlar tek bir formatta hazırlanıp gerekince otoritelere sunulur.

KVKK ve GDPR Farklarının Özet Tablosu (İlaç Sektörü Perspektifi):

Aydınlatma: İki mevzuatta da vardır. İçerik olarak GDPR biraz daha detaylı istemektedir (veri koruma görevlisi iletişim bilgisi, dış aktarımlar detayı vb.), KVKK daha genel istemektedir. Global ilaç firmaları genelde GDPR’ye tam uygun bir aydınlatma hazırlar, sonra Türkçe’ye çevirip gerekirse minör uyarlamalarla kullanır.
Açık Rıza: GDPR’da her şey için rıza aranmaz, KVKK’da özel veri için kural rızadır. İlaç firması farmakovijilansta GDPR’da public interest’e dayanır, KVKK’da kamu sağlığı vs denilmekte ise de yine de açık rıza alınması daha güvenli olur. Bu yüzden Türkiye’de biraz daha fazla rıza formlarıyla çalışırlar (örn. yan etki formunda bile onay kutusu görüyoruz).
Veri Sahibi Hakları: GDPR’da portabilite varken KVKK’da yoktur; GDPR’da otomatik karar itirazı varken, KVKK’da yoktur. Ancak ilaç güvenliğinde bu haklar çok gündeme gelmeyebilir. Yine de global şirket gelen her talebe AB standardında yanıt vermeyi tercih eder.
DPO vs. İrtibat: Globalde DPO zaten varsa, Türkiye’de ayrıca bir şey yapmaya gerek kalmaz; sadece bunu duyururlar. Kimi firmalar websitesinde “Veri Koruma Görevlisi: X, İrtibat Kişisi: Y” diye belirtir.
İdari İşlemler: Türkiye ofisi VERBİS’e kaydolmak gibi ek işlem yapar; GDPR’de böyle resmi bir kayıt bulunmamaktadır ama bazı ülkeler kendi ulusal sicillerini tutmaktadır. Ancak bu eski sistem olup, günümüzde büyük oranda kalkmıştır. Global şirketler bu durumu göz önüne alarak, Türkiye ekibini buna göre yönlendirmelidir.
Çapraz Etki: Bazen de bir olay iki düzenlemeyi birden ilgilendirir. Örneğin Türkiye’de bir veri ihlali oldu, ama içinde AB vatandaşlarının da verisi var (diyelim bir global trial’da hem Türk hem Alman gönüllüler vardı, veri tabanı hacklendi). Bu durumda hem KVKK’ya hem AB otoritesine bildirim yapmak gerekecektir. Global şirketler bu gibi senaryolara karşı planlar yapar, sorumluluk paylaşır (hangi bölge ekibi hangi kısmı yapacak gibi).

İlaç Sektöründe Çoklu Regülasyona Uyumun Önemi: İlaç sektörü, global yapısı gereği birçok farklı ülkenin veri koruma kanunlarının uygulama alanı içerisinde kalabilir. KVKK ve GDPR dışında da, örneğin Rusya, Çin, Brezilya (LGPD), Japonya (APPI) gibi ülke mevzuatları devreye girebilir. Bu nedenle büyük şirketler küresel bir uyum standardı oluşturup yerel farklılıkları bunun üzerine eklemektedir. Bu standardın omurgasınıi en kapsamlısı olduğu için GDPR oluşturmaktadır. KVKK ise GDPR’a oldukça benzediği için, GDPR uyumlu olan bir şirket, nispeten az bir çabayla KVKK’ya da uyum sağlayabilir (farklılıkları kapatarak). Örneğin bir firmanın halihazırda GDPR için sağlam bir gizlilik yönetim sistemi varsa, KVKK’ya uyum genelde “VERBİS ve birkaç prosedür güncellemesi” ile sınırlı kalıyor.

Global klinik araştırmalar yürüten şirketler de, hem yerel etik kurul ve otoritelerin veri koruma beklentilerini hem de uluslararası kuraları gözetmek zorundadır. Örneğin Avrupa’da yürüyen bir araştırmanın verisi Türkiye’ye aktarılacaksa, GDPR’nin 46. maddesi (aktarım şartları) devrededir, firma SCC imzalar; aynı zamanda KVKK’nın 9. maddesi devrededir, açık rıza alır veya Kurul izni kovalar. Bu gibi durumlar için önceden şablonlar hazırlanır; katılımcılardan hem GDPR hem KVKK dilini içeren karma onam formları alınır.

Sonuç: KVKK ve GDPR arasında bazı yapısal farklar olsa da, özünde ikisi de kişisel verilerin korunması ve bireylerin mahremiyet haklarının güvence altına alınması amacına hizmet eder. İlaç sektörü, yüksek düzenlemeye tabi yapısı nedeniyle genelde “en katı” standarda göre kendini ayarlar ki birden çok mevzuata aynı anda uyabilsin. Global firmaların KVKK ve GDPR uyumuna yönelik aldığı önlemler, sadece yasal zorunlulukları karşılamakla kalmaz, aynı zamanda şirketin veri yönetiminde güven ve kaliteyi yükseltir. Bu da uzun vadede hasta güvenliği çalışmalarına pozitif katkı sağlar. Uyumlu ve şeffaf bir veri işleme pratiği, regülatörlerin güvenini kazanır, toplumda da firmanın itibarını güçlendirir.

Sonuç ve Değerlendirme: Yan etki bildirim süreçlerinin KVKK ve GDPR uyumluluğu, çok boyutlu bir çalışma gerektirmektedir. Dijital sistemlerin güvenli tasarımından, personel eğitimine; veri minimizasyonundan, uluslararası transfer prosedürlerine kadar pek çok alanı kapsayan bu uyum çabası, özünde hastaların mahremiyetini korurken ilaç güvenliğini sağlamayı amaçlar. İyi uygulama örnekleri göstermektedir ki, mahremiyet ve halk sağlığı hedefleri bir arada başarılabilir hedeflerdir – doğru teknik, idari ve hukuki önlemlerle desteklenen farmakovijilans programları hem etkin hem de uyumlu şekilde yürütülebilir. En güncel düzenlemelere ve iyi uygulamalara göre şekillendirilmiş bir farmakovijilans sistemi, hem hastaların ve sağlık profesyonellerinin güvenini kazanacak hem de ilaç sektörünün yasal güvence altında faaliyet göstermesini sağlayacaktır. Böylece, klinik araştırmalardan pazarlama sonrası izlemeye kadar ilaç yaşam döngüsünün her aşamasında kişisel veriler korunurken, nihai hedef olan hasta güvenliği en üst seviyede temin edilmiş olacaktır.

This website is available “as is. Turkish Law Blog is not responsible for any actions (or lack thereof) taken as a result of relying on or in any way using information contained in this website, and in no event shall they be liable for any loss or damages.

The content and materials published on this website are provided for informational purposes only and should not be used as a legal opinion in any way. This website and the information contained are not intended to establish an attorney-client relationship.

Döviz Kredisi Yasağı Yumuşatıldı

FX Borrowing Ban Softened

Sermaye Piyasası Kurulu’ndan Elektronik Ticari Defterler İçin Önemli İlke Kararı

Regulation on Venture Capital Funds to be Supported by the Ministry of Industry and Technology is Published

Kasım Ayı İndirimleri - İndirimler Hangi Fiyat Üzerinden Hesaplanacak (11.11.2025)

Corporate Reporting Obligations Regarding Transactions Affecting Foreign Exchange Position

Türkiye Newsletter No.24 | Competition Market Overview

Yerinde İncelemelerde Veri Silinmesine Yeni Bir Bakış Açısı

KST Rekabet Gündemi – Ekim Ayında Neler Oldu?

FIDIC Sözleşmelerine Türk Hukuku Penceresinden Bir Bakış

An Overview of FIDIC Contracts From the Perspective of Turkish Law

Judicial Shift in Precedent Regarding Revenue-Sharing Construction Contracts: The Principle of Reliance on the Land Registry Reinforced

Draft Law on Measures Concerning AI-Generated Content

Board Approves Cross-Border Transfer via Non-Treaty Agreement

Quick Read: Data Protection Law Updates in Türkiye – October 2025

2026 Yılı Asgari Avukatlık Ücreti, Gider Avansı, Hakem Ücret ve Tanık Ücret Tarifeleri Yayımlandı

2026 Tariffs for Minimum Attorney Fee, Expense Advance, Arbitrator Fee And Witness Fee Published

Constitutional Court Decision Dated 10 July 2025, No. E.2025/119, K.2025/155

Elektronik Ticaret ve Tüketici Hukuku Mevzuatında Yakın Zamanda Yapılan Kapsamlı Değişiklikler

Mesafeli Sözleşmeler Yönetmeliği’nde Değişiklik: Cayma Hakkında İade Masrafları Artık Tüketicilere Yüklenemeyecek

Amendment to the Distance Contracts Regulation: Consumers Will No Longer Bear Return Costs

Amendments Related to Unlicensed Electricity Generation in Türkiye

EPDK Piyasalarda Şeffaflığa ve Piyasa Bozucu Davranışlara İlişkin Yönetmelik Taslağı’nı Görüşe Açtı

Super Permit Regulation: Significant Amendments to Mining, Energy and Environmental Legislation

The Ethics of Gamification in the Workplace

New Framework for Corporate Sustainability Reporting Expertise Announced

Carbon Credits Under Türkiye’s New Climate Law: A Legal and Commercial Turning Point

Rekabet Kurumu Fintek Raporu’nun Ödemeler Ekosistemine Etkileri Bölüm X: Google Soruşturması

The Turkish Competition Authority’s Fintech Report’s Effects on the Payments Ecosystem

MASAK’ın Yeni Tebliğ Taslağı: Finansal İşlemlerde Kademeli Beyan Dönemi

Özel Sağlık Sigortaları Yönetmeliğinde Değişiklik

Amendment to the Regulation on Private Health Insurance

Legal Issues Arising in Autonomous (Driverless) Vehicles: Liability and Privacy

Blue Washing in Design Applications: Proper Use of Masking Techniques Before the Turkish Patent and Trademark Office (TPTO)

Misleading Ads and Beyond: Key Compliance Insights for Advertisers under Turkish Law

İşlevsel Eşdeğerlik: Türk Patent Hukuku ile Birleşik Patent Mahkemesi Yaklaşımı Arasındaki Yakınsama

The BR International Trade Report: November 2025

BIS Suspends "Affiliates Rule" for One Year, Effective November 10

The BR International Trade Report: October 2025

Biyometrik Veri İşleme Suretiyle Mesai Takibi

İşyerinde Oyunlaştırmanın Etiği

AYM’den İşe İade Davalarında Asıl İşveren-Alt İşveren İlişkisine İlişkin Zorunlu Arabuluculuk Düzenlemesine İptal Kararı

The Regulation on Promotion and Information Activities in Health Services Has Been Published

Artificial Intelligence and Pharmaceutical Industry: The Transformation in the Technology and Patent System Shaping the Future

Sağlık Hizmetlerinde Tanıtım ve Bilgilendirme Faaliyetleri Hakkında Yönetmelik

Video Games: Evolving IP Considerations in 2025

On Social Media Due to Copyright Infringements, Within the Framework of Instagram Policies, Turkish Law and International Case Law

Reputation or Penalty?: The Legal Boundaries of Commercial Advertising on Social Media

Performance-Based Payments in M&A: The Earn-Out Mechanism

Şirket Satışında Performansa Bağlı Ödeme: Earn-Out Mekanizmasının İncelikleri

Amendments to the Capital Movements Circular

The Constitutional Court Decision on the Tourism Operation Certificates

What Does the New Shelter Regulation Bring?

Overview of the New Regulations on Tourism-Purpose Residential Properties

Haciz Müzekkeresi ile Haciz İhbarnamesi Arasındaki Hukuki ve Uygulamadaki Farklar

The Legal and Practical Distinctions Between Attachment Orders and Garnishment Notice

İpoteğin Paraya Çevrilmesi Yolu İle İlamsız ve İlamlı İcra Takip Türleri ve İpotek Kat İhtarnamesi: Hukuki ve Uygulamalı Analiz

Teknoloji Odaklı Girişimler için Teknogirişim Rozeti Uygulaması Başladı

Protecting Your Startup’s IP: Building a Chain of Title from Day One

Work Made for Hire ve Çalışan Eserleri Kavramlarının Yatırım Aşamasındaki Türk Startup’ları için Etkileri

Deferred Interest and Delay Interest Rates Are Reduced

At the Onset of the Financial Holiday…

Pillar One – Amount B will not Apply to Transactions of Distributors, Sales Agents and Commissioners Operating in Türkiye

Siber Güvenlikte Sorumluluklar ve Yükümlülükler

Türkiye’de Siber Güvenliğin Yeni Yasal Çerçevesi: 7545 Sayılı Siber Güvenlik Kanunu

The New Legal Framework for Cyber Security in Turkey: Cyber Security Law Numbered 7545

Regulation Amending the Regulation on the Carriage of Dangerous Goods by Sea and Cargo Securing Published

Regulation Amending the Regulation on the Carriage of Dangerous Goods by Sea and Cargo Securing Published

Regulation on Maritime and Inland Waters Navigation Notices Published

Beyaz Yakanın Karanlık Yüzü: Beyaz Yaka Suçlar

The Dark Side of White-Collar Professionals: White-Collar Crimes

Do You Want to Manage Risk or the Unknown? The Power of Corporate Intelligence

Yan Etki Bildirim Süreçlerinde KVKK ve GDPR Uyumluluğu – 3. Bölüm

Popular Articles

Latest Insights

Subscribe to our newsletter