Amaç

Bilindiği üzere kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak amacıyla 24.03.2016 tarihinde 6698 Sayılı Kişisel Verilerin Korunması Kanunu’nu (KVKK) yürürlüğe girmiştir. Bu kanuna göre genel kural kişisel verilerin açık rıza olmaksızın işlenemeyeceği yönündedir. Genel kural bu olmakla birlikte 6698 sayılı kanun bir takım istisna halleri de öngörmüştür. Bu istisna hallerinde ilgili kişinin açık rızası olmaksızın kişisel verileri işlenebilmektedir. Kişisel veri ise genel anlamda, kimliği belirli ya da belirlenebilir gerçek kişiye ilişkin her türlü bilgiyi ifade eder.

Şirketler farmakovijilans faaliyetleri gerçekleştirirken rutin olarak veri toplamaktadırlar. Bu veriler, vakaya konu hastaya ilişkin kişisel verileri veya özel nitelikli kişisel verileri içerebilmektedir. Verilerin etkin bir şekilde analiz edilebilmesi için hastanın yaşı, cinsiyeti, kilosu, boyu, tıbbî geçmişi ve mevcut durumunu bilmek gerekebilmektedir.

Bu yüzden Türkiye İlaç ve Tıbbi Cihaz Kurumu (TİTCK) farmakovijilans faaliyetleri sırasında kişisel verilerin korunmasını sağlamak amacıyla 6698 sayılı Kanun ve ilgili ikincil düzenlemelere dayanılarak bir Farmakovijilans Faaliyetlerinde Kişisel Verilerin Korunması Hakkında Kılavuz yayınlandı.

TİTCK tarafından yapılan bu düzenleme bir kılavuzdur. Bu kılavuz, Türkiye dışındaki ülkelerin kişisel veri koruma mevzuatı ile farmakovijilans verilerinin işlenmesine ilişkin yasal ve idari düzenlemeleri içermez.

Bu kılavuzun amacı farmakovijilans faaliyetleri[1] sırasında kişisel verilerin korunmasını sağlamak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esaslar hakkında bilgilendirme yapmaktır.

Kapsam

Farmakovijilans Faaliyetlerinde Kişisel Verilerin Korunması Hakkında Kılavuz’un kapsamı kılavuzun Bölüm I 1.3 maddesinde açıklanmıştır.

Bu maddeye göre bu kılavuz kişisel verilerinin işlenmesi için veri sahibinin açık rızasının aranmadığı tüm farmakovijilans faaliyetleri için geçerlidir. Kişisel verileri işlenen gerçek kişiler ile bu verileri işleyen gerçek ve tüzel kişileri kapsar.

Bir klinik çalışma kapsamında gerçekleştirilen faaliyetler veya kişisel verilerinin işlenmesi için açık rıza alınan diğer şirket faaliyetleri kapsam dışıdır. 6698 sayılı Kanun’da yer alan istisnaî amaçlar kapsamında olmayan kişisel veri işleme faaliyetleri için açık rıza alınması gerekir.

Aşağıda kılavuzun detaylarına geçmeden evvel kılavuzda yer alan bazı kavramların tanımlarını yapmak yazının anlaşılırlığı açısından yerinde olacaktır.

Farmokovijilans, advers reaksiyonların ve ilaçlarla ilgili diğer sorunların tespit edilmesi, değerlendirilmesi, anlaşılması ve önlenmesine yönelik yürütülen faaliyetler ve bilimsel çalışmaları

Advers olay: İlaç uygulanan bir hastada veya klinik çalışma gönüllüsünde ortaya çıkan istenmeyen ve söz konusu tedavi ile arasında mutlaka bir nedensellik ilişkisi bulunmayan tıbbî olayı

Advers reaksiyon/şüpheli advers reaksiyon: Bir ilaca karşı gelişen zararlı ve amaçlanmayan cevabını

tanımlamaktadır.

Farmakovijilansta Kişisel Veriler

Farmakovijilans faaliyetleri sırasında şirketlerin (ilaç şirketleri) veri topladığını, bu verilerin hastaya ilişkin kişisel verileri ve özel nitelikteki kişisel verileri içerdiğini yukarıda belirtmiştik.

Farmakovijilans verileri; vakaya konu olan hastaya ilişkin kişisel veriler veya özel nitelikli kişisel veriler ile raportöre ilişkin kişisel verileri içerebilir. Diğer verilerle eşleştirildiğinde ilgili kişiyi ve ilgili kişiye ait sağlık verilerini gösterme niteliğini hâiz durumlarda söz konusu veriler özel nitelikli kişisel veriler olarak kabul edilmektedir.

Advers reaksiyon bildirimlerinde; güvenlilik verisinin etkin bir şekilde analiz edilebilmesi için hastanın yaşı/yaş grubu, cinsiyeti, kilosu, boyu, tıbbî geçmişi ve mevcut durumunu bilmek gerekir.

Bir hastanın adı ve soyadının baş harfleri veya atanmış bir numara ve/veya doğum tarihi, mükerrer bildirimlerin belirlenmesi için önem taşır. Ayrıca eksiksiz ve doğru verilerin toplanmasını sağlamak üzere etkin bir takip gerçekleştirmek için bildirimde bulunan kişinin ismi ve iletişim bilgileri de gerekir.

Şirketler, şüpheli advers reaksiyonların bildirimine ilişkin yasal yükümlülüklere uymak ve hasta güvenliğini sağlamak üzere farmakovijilans faaliyetleri gerçekleştirirken, rutin olarak veri toplarlar.

Bildirimde bulunan kişiye ilişkin adı ve soyadı bilgisi, meslek bilgisi ile iletişim bilgileri ise kişisel veri olarak değerlendirilmektedir.

Advers reaksiyon bildirimlerinde; güvenlilik verisinin etkin bir şekilde analiz edilebilmesi için hastanın yaşı/yaş grubu, cinsiyeti, kilosu, boyu, tıbbî geçmişi ve mevcut durumunu bilmek gerekir. Bir hastanın adı ve soyadının baş harfleri veya atanmış bir numara ve/veya doğum tarihi, mükerrer bildirimlerin belirlenmesi için önem taşır. Ayrıca eksiksiz ve doğru verilerin toplanmasını sağlamak üzere etkin bir takip gerçekleştirmek için bildirimde bulunan kişinin ismi ve iletişim bilgileri de gerekir.

Şirketler farmakovijilans faaliyetleri sırasında kişisel verileri işlediklerinde 6698 sayılı Kanuna uymalı ve kişisel verilerin korunmasını sağlamak için şeffaf ve güvenilir süreçler uygulamalıdır. Veri sorumluları tarafından alınması gereken teknik ve idari tedbirler için 6698 sayılı Kanunun 12 nci maddesi birinci fıkrası uyarınca KVKK tarafından hazırlanan “Kişisel Veri Güvenliği Rehberi” dikkâte alınmalıdır.

6698 sayılı Kanun’un 6 ncı maddesinin dördüncü fıkrası uyarınca Kurul tarafından 2018/10 sayılı Karar ile belirlenen yeterli önlemler de göz önünde bulundurulmalıdır. Veri sorumluları ile veri işleyen sıfatını hâiz taraflarca alınması gereken teknik ve idari tedbirler ile yeterli önlemler yukarıda anılan düzenlemelerle sınırlı olmayıp, ileride gündeme gelebilecek Rehber ve Kararlarda yer alan tedbir ve önlemlerin de alınması gerekmektedir

Görüleceği üzere kişisel ve özel nitelikteki kişisel verilerin işlenmesinde ilgilinin açık rızasının aranıp aranmayacağı gibi hususlara ilişkin bilgilendirme kılavuz ile yapılmıştır

Özel Nitelikteki Kişisel Veriler Bakımından

6698 Sayılı Kanun’un 6. Maddesine göre sağlık ve cinsel hayata ilişkin verilerin özel nitelikte kişisel veri olduğu belirtilmiştir. Özel nitelikteki kişisel verilerin ise ilgilinin açık rızası olmaksızın işlenmesinin yasak olduğu düzenlenmiştir. Aynı maddenin üçüncü maddesinde ise sağlık ve cinsel hayata ilişkin özel nitelikteki kişisel verilerin ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından ilgilinin açık rızası aranmaksızın işlenebileceği belirtilmiştir.

Kılavuz kapsamında da veri sahibinin advers olayı yaşayan kişi veya advers olayı bildiren kişi (örn; bir sağlık mesleği mensubu veya hasta yakını) olmasından bağımsız olarak; özel nitelikli kişisel veri olarak değerlendirilebilecek farmakovijilans verilerinin, yine farmakovijilans amacıyla sır saklama yükümlülüğü altında bulunan kişiler tarafından işlenmesi, 6698 Sayılı Kanunun 6’ncı maddesinin üçüncü fıkrası uyarınca kamu sağlığının korunması ve koruyucu hekimlik faaliyetleri kapsamında değerlendirilmektedir.

Dolayısıyla farmakovijilans amacıyla veri sahibine ilişkin kişisel verilerin işlenmesi için veri sahibinden rıza alınması şart değildir.

Kılavuzda verilerin işlenebilmesi için açık rızanın gerekmemesinin Kanun hükümlerinden muafiyet anlamına gelmediğini, veri sahiplerinin aydınlatma yükümlülüğü çerçevesince ve kişinin hakları konularında bilgilendirilmesi gerektiği ayrıca vurgulanmıştır.

Kılavuz Kapsamındaki Diğer Düzenlemeler

Kılavuzun kapsamına giren hallerde kişisel verilerin rıza aranmaksızın işlenebileceğini belirtmiştik. Kılavuz buna öngörmesine rağmen verileri işleyen ve veri sorumlularına da birtakım yükümlülükler öngörmektedir. Kılavuzun üçüncü bölümünde verileri hukuka ve dürüstlük kuralına göre işleme, idari tedbirler, siber güvenliğin sağlanması, verilerin depolanması gibi kişisel veri güvenliğine ilişkin tedbirler detaylıca açıklanmaktadır. Ayrıca verilerin yurtdışına aktarılması hususuna da değinilmiştir. Buna göre aktarılan ülkede yeterli koruma bulunuyorsa kişisel verilerin açık rıza aranmaksızın aktarılabileceği ancak yeterli korumanın bulunmaması halinde ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun izninin bulunması hallerinde rıza aranmaksızın aktarılabileceği ifade edilmiştir. Bu yönüyle kılavuzun 6698 Sayılı Kanun’un 9. Maddesinde belirtilen kişisel verilerin yurtdışına aktarılması düzenlemesi ile uyumlu olduğu görülmektedir.

Teknik ve İdari Tedbirler

Kılavuzun üçüncü bölümünün 3.1 numaralı bendinde Kişisel Verilerin Korunması Hakkında Kanun’un 12’nci maddesine atıf yapılarak şirketlerin kişisel verilerin hukuka aykırı işlenmesini önlemek, kişisel verilere hukuka aykırı erişilmesini önlemek ve kişisel verilerin muhafazasını sağlamak amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorunda oldukları belirtilmiştir.

3.2 numaralı bentte ise kişisel veri güvenliğine ilişkin idari tedbirlere değinilmiştir. Buna göre;

  1. Kişisel veri işleme envanteri hazırlanması, mevcut risk ve tehditlerin belirlenmesi

Kişisel verilerin güvenliğinin sağlanması için öncelikle veri sorumlusu tarafından işlenen kişisel verilerin neler olduğunun, bu verilerin korunmasına ilişkin ortaya çıkabilecek risklerin gerçekleşme olasılığının ve gerçekleşmesi durumunda yol açacağı kayıpların doğru bir şekilde belirlenerek uygun tedbirlerin alınması gerektiği belirtilmiştir.

  • Çalışanların eğitilmesi ve farkındalık çalışmaları

Kişisel verilerin işlenmesi sırasında aşağıda belirtilen ihlâllerin yapılması veri güvenliğini tehdit ettiği belirtilmiştir;

  • Kişisel verilerin hukuka aykırı olarak açıklanması veya paylaşılması,
  • Siber saldırılara maruz kalınması
  • Kişisel verilerin izinsiz veya yasalara aykırı işlenmesi
  • Kişisel verilerin kazara kaybı, imhası veya hasar görmesi

Şirketlerin belirtilen bu tehditlere karşı önlem almaları ve çalışanların kişisel verilerin korunması ve yasalara uygun şekilde işlenmesine ilişkin eğitim alması ve bu konudaki farkındalıklarının sağlanması gerektiği ifade edilmiştir. Bu kapsamda;

  • Veri sorumlusu nezdinde çalışan herkesin hangi konumda çalıştığına bakılmaksızın kişisel veri güvenliğine ilişkin rol ve sorumlulukları, görev tanımında belirlenmelidir.
  • Kişisel veri içeren ortamlara erişim hakkı verilirken “Yasaklanmadıkça her şey serbesttir.” prensibi değil, “İzin verilmedikçe her şey yasaktır.” prensibine uygun hareket edilmelidir.
  • Çalışanların işe alınma süreçlerinin bir parçası olarak gizlilik taahhütnamesi imzalanmalıdır.
  • Çalışanların güvenlik politika ve süreçlerine uymaması durumunda devreye girecek bir disiplin süreci de mutlaka olmalıdır.

Gibi hususların önemi vurgulanmıştır.

  • Kişisel veri güvenliği politikalarının ve süreçlerinin belirlenmesi

Kişisel veri güvenliğine ilişkin doğru ve tutarlı politika ve süreçler belirlenmeli, düzenli kontroller yapılmalı, belgelenmeli ve ortaya çıkabilecek riskler ile güvenlik ihlâllerinin nasıl yönetileceği de açıkça belirlenmelidir.

  • Kişisel verilerin mümkün olduğunca azaltılması

Kişisel veriler 6698 Sayılı Kanun uyarınca işlendikleri amaç için gerekli olan süre kadar muhafaza edilmelidir.

  • Veri işleyenler ile ilişkilerin yönetimi
  • 6698 sayılı Kanunun 12 inci maddesinin ikinci fıkrası gereği veri işleyenler de kişisel verilerin güvenliğinin sağlanması konusunda veri sorumlusuyla müştereken sorumludur. Dolayısıyla kılavuz veri işleyen ile yazılı bir sözleşme imzalanmasını ve sözleşmede aşağıdaki hükümlerin de yer alması gerektiğini belirtmiştir. Bu hükümler;
  • Veri işleyenin sadece veri sorumlusunun talimatları doğrultusunda, sözleşmede belirtilen veri işleme amaç ve kapsamına uygun ve kişisel verilerin korunması mevzuatı ile Kişisel Veri Saklama ve İmha Politikasına uyumlu şekilde hareket edeceği,
  • Veri işleyenin, işlediği kişisel verilere ilişkin olarak süresiz sır saklama yükümlülüğüne tâbi olacağı,
  • Herhangi bir veri ihlâli olması durumunda, veri işleyenin bu durumu derhal veri sorumlusuna; veri sorumlusunun da derhal Kişisel Verileri Koruma Kurulu’na ve ilgili kişiye bildirme yükümlülüğü olacağı,
  • Sözleşmenin niteliğinin elverdiği ölçüde, veri sorumlusu tarafından veri işleyene aktarılan kişisel veri kategori ve türlerinin de ayrı bir maddede belirtilmiş olması gerekeceği.
  •  

Kılavuzun 3.3 numaralı bendinde ise Kişisel veri güvenliğine ilişkin teknik tedbirlere yer verilmiştir. Buna göre;

  1. Siber güvenliğin sağlanması
  2. Kişisel veri içeren bilgi teknoloji sistemlerinin internet üzerinden gelen izinsiz erişim tehditlerine karşı korunmasında alınabilecek öncelikli tedbirler şöyle sıralanmıştır;
  3. Kullanılmakta olan ağa derinlemesine nüfuz etmeden ihlâllerin durdurulabilmesi için güvenlik duvarı oluşturulması,
  4. Çalışanların, kişisel veri güvenliği bakımından tehdit teşkil eden internet sitelerine veya online servislere erişimini önlemek için internet ağ geçidi kullanılması,
  5. Kötü amaçlı yazılımlardan korunmak için bilgi sistem ağını düzenli olarak tarayan ve tehlikeleri tespit eden antivirüs, antispam gibi ürünlerin kullanılması ve güncel tutulması,
  6. Güvenlik açıkları olan yazılımlarla, kullanılmayan yazılım ve servislerin cihazlardan kaldırılması,
  7. Yama yönetimi ve yazılım güncellemeleri yapılması,
  8.  Kişisel veri içeren sistemlere erişimin sınırlı olması,
  9. Kişisel veri güvenliğinin takibi
  10. Veri sorumlusunun sistemlerine yapılabilecek saldırıların önlenmesi ya da siber suçlara veya kötü amaçlı yazılımlara maruz kalınmaması için aşağıdaki tedbirleri alması gerektiği belirtilmiştir;
  11. Bilişim ağlarında hangi yazılım ve servislerin çalıştığının kontrol edilmesi,
  12. Bilişim ağlarında sızma veya beklenmeyen hareketler olup olmadığının belirlenmesi,
  13. Tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması (log kayıtları gibi),
  14. Güvenlik sorunlarının bildirilmesi için resmi bir raporlama sürecinin oluşturulması,
  15. Güvenlik sorunlarının veri sorumlusuna mümkün olduğunca hızlı bir şekilde raporlanması.

Alınan tedbirlere rağmen istenmeyen olaylarda deliller toplanmalı ve güvenli bir şekilde saklanmalıdır.

  • Kişisel veri içeren ortamların güvenliğinin sağlanması

Kişisel veri içeren ortamların güvenliğinin sağlanmasını öngören bu hüküm ile kişisel verilerin elektronik ortamda olması durumunda ağ bileşenleri arasında erişimin sınırlandırılması veya bileşenlerin ayrılması gerektiği ve elektronik posta ya da posta ile aktarılacak kişisel verilerin de dikkatli bir şekilde ve yeterli tedbirler alınarak gönderilmesinin gerektiği ifade edilmiştir.

  • Kişisel verilerin bulutta depolanması
  • Kişisel verilerin bulutta saklanabilmesi için bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının veri sorumlusu tarafından kontrol edilmesi,
  • Bulutta depolanan kişisel verilerin ayrıntılı olarak bilinmesi, yedeklenmesi, senkronizasyonunun sağlanması ve gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün yapılması,
  • Depolanma ve kullanım sırasında şifrelemenin kriptografik yöntemlerle yapılması, verilerin buluta şifrelenerek atılması ve hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarlarının kullanılması,
  • Bulut bilişim hizmet ilişkisi sona erdiğinde; şifreleme anahtarlarının tüm kopyalarının yok edilmesi gerekmektedir.
  • Bulut hizmeti alınan firmanın sunucularının ülkemizde veya Kurum tarafından açıklanan güvenilir ülkeler listesinde yer alan ülkelerden birinde bulunması gerekmektedir. Veri sahibinden açık rıza alınması halinde bu kural geçerli değildir.
  • Bilgi teknolojileri sistemleri tedariği, geliştirme ve bakımı
  • Veri sorumlusu tarafından yeni sistemlerin tedariği, geliştirilmesi veya mevcut sistemlerin iyileştirilmesi ile ilgili ihtiyaçlar belirlenirken güvenlik gereksinimlerinin göz önüne alınması,
  • Uygulama sistemlerinin girdilerinin doğru ve uygun olduğuna dair kontrollerin yapılması, doğru girilmiş bilginin işlem sırasında oluşan hata sonucunda veya kasıtlı olarak bozulup bozulmadığını kontrol etmek için uygulamalara kontrol mekanizmalarının yerleştirilmesi,
  • Uygulamaların, işlem sırasında oluşacak hataların veri bütünlüğünü bozma olasılığını asgari düzeye indirecek şekilde tasarlanması,
  • Arızalanan veya bakım süresi geldiği için üretici, satıcı, servis gibi üçüncü kurumlara gönderilen cihazlar eğer kişisel veri içermekte ise bu cihazların bakım ve onarım işlemi için gönderilmesinden önce, cihazlardaki veri saklama ortamının sökülerek saklanması, sadece arızalı parçaların gönderilmesi,
  • Bakım ve onarım için dışarıdan personel gelmesi durumunda verilerin kopyalanarak kurum dışına çıkarılmaması için gerekli tedbirlerin alınması gerekmektedir.
  • Kişisel verilerin yedeklenmesi
  • Yedeklenen kişisel verilere sadece sistem yöneticisinin erişebilmesi, veri seti yedeklerinin mutlaka ağ dışında tutulması,
  • Tüm yedeklerin fiziksel güvenliğinin de sağlandığından emin olunması gerekmektedir.
  • Verilerin yurtdışına aktarılması

Kişisel verilerin yurt dışına aktarılması bakımında, aktarılan ülkede yeterli koruma bulunuyorsa kişisel verilerin açık rıza aranmaksızın aktarılabileceği ancak yeterli korumanın bulunmaması halinde ise Türkiye’deki ve ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt etmeleri ve Kişisel Verileri Koruma Kurulunun izninin bulunması hallerinde rıza aranmaksızın aktarılabileceği ifade edilmiştir. Bu yönüyle kılavuzun 6698 Sayılı Kanun’un 9. Maddesinde belirtilen kişisel verilerin yurtdışına aktarılması düzenlemesi ile uyumlu olduğu da görülmektedir.


[1] Farmakovijilans faaliyetleri 24.03.2016 tarihli ve 6698 sayılı Kişisel Verilerin Korunması Kanunu (6698 sayılı Kanun) kapsamında koruyucu hekimlik ve kamu sağlığının korunması amaçları ile yürütülen faaliyetler olarak değerlendirilmektedir.