Klinik araştırmalar, sağlık alanındaki yeniliklerin önünü açarken, gönüllülerin kişisel verilerinin işlenmesi nedeniyle veri koruma hukuku açısından hassas bir zeminde ilerlemektedir. Türkiye’de bu alanda 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”), Avrupa Birliği’nde ise Genel Veri Koruma Tüzüğü (GDPR) temel düzenleyici metinler olarak öne çıkmaktadır. Klinik Araştırmalar Derneği’nin 31 Ocak 2025 tarihli değerlendirme raporu, bu iki düzenleme arasındaki benzerlik ve farklılıkları ortaya koyarak önemli önerilerde bulunmaktadır.
KVKK’daki Belirsizlikler ve Klinik Araştırmalar Yönetmeliği
Türk hukukunda klinik araştırmalar temel olarak Klinik Araştırmalar Yönetmeliği (“Yönetmelik”) ile düzenlenmektedir. Yönetmeliğin 20. maddesi uyarınca, gönüllülerden elde edilen kişisel veriler, KVKK’ya uygun olmak şartıyla gelecekteki bilimsel çalışmalarda kullanılabilmektedir. Ancak bu yönlendirme, veri işleme süreçlerinin KVKK’nın 28/1-c maddesi kapsamında bilimsel istisna sayılabileceği durumları detaylandırmakta yetersiz kalmaktadır. KVKK, GDPR’a kıyasla daha muğlak bir çerçeve çizdiğinden, uygulamada gri alanlar yaratmaktadır.
GDPR Kapsamında Klinik Araştırma
GDPR ise klinik araştırmalarda veri işleme için kamu yararı adına görev yürütülmesi, veri sorumlusunun meşru menfaati veya açık rıza gibi belirli hukuki dayanaklar öngörülmektedir. Özellikle Klinik Araştırmalar Tüzüğü (KAT) ile birlikte ele alındığında, veri işleme faaliyetlerinin hangi temele dayandığı açık şekilde tanımlanmaktadır. Bu yaklaşım, araştırma süreçlerinde hem gönüllülerin haklarını korumakta hem de araştırma kalitesini ve etik standartları güçlendirmektedir.
GDPR’daki önemli farklardan birinin de bilinçli rıza ile veri işleme rızasının ayrımı olduğunu belirtmek gerekmektedir. Klinik araştırmalara katılım için gerekli olan etik rıza, verilerin işlenmesi için her zaman yeterli bir yasal dayanak teşkil etmeyebilecektir. Bu nedenle veri sorumlularının, ayrı ve açık rıza formlarıyla ilerlemesi gerekmektedir.
Acil Durumlar ve İkincil Veri Kullanımı
Rapor, ayrıca acil klinik araştırmalar gibi önceden rıza alınmasının mümkün olmadığı durumlarda veri işleme sürecinin nasıl yürütülmesi gerektiğini de değerlendirmektedir. Bu bağlamda GDPR, işlemenin, veri sahibinin veya başka bir gerçek kişinin hayati çıkarlarını korumak için gerekli olması ve/veya işlemenin kamu yararına gerçekleştirilen bir görevin yerine getirilmesi veya denetleyiciye verilen resmi otoritenin kullanması için gerekli olması gibi alternatif yasal dayanaklar sunmaktadır. Önemle belirtmek isteriz ki, sonrasında mümkün olan en kısa sürede rıza alınması gerekmektedir.
Klinik araştırma kapsamında toplanan verilerin protokol dışı amaçlarla (ikincil kullanım) işlenebilmesi için GDPR kapsamında yeni bir hukuki dayanak bulunması gereklidir. Bu kapsamda, açık rıza alınması tercih edilmekte, ancak bilimsel araştırmalarda belirli şartlar altında amaç uyumluluğu kabul edilmektedir.
Uyum ve Gelecek Adımlar
Klinik araştırmalarda kişisel verilerin korunması, hem bilimsel ilerlemenin desteklenmesi hem de bireylerin temel hak ve özgürlüklerinin güvence altına alınması açısından kritik bir öneme sahiptir. Türkiye’de 6698 sayılı KVKK, veri koruma alanında önemli bir çerçeve sunmakla birlikte, klinik araştırmalar bakımından GDPR düzeyinde bir ayrıntı ve bütünsellik sağlamaktan uzaktır. Özellikle veri işleme dayanaklarının belirgin olmaması, rıza yönetimi süreçlerindeki belirsizlikler ve bilimsel araştırmalara özgü koruma önlemlerinin eksikliği, uygulamada çeşitli hukuki riskler doğurmaktadır. Rapor, KVKK’nın AB mevzuatına uyum sağlaması adına çeşitli önerilerde bulunuyor:
- KVKK m.28/1-c maddesinin daha spesifik düzenlemelerle yeniden yapılandırılması
- Hassas veriler için açık rıza şartının güçlendirilmesi
- Bilimsel araştırmalara özgü yasal çerçevelerin oluşturulması
- Veri sahibi haklarının genişletilmesi (silme, taşınabilirlik vb.)
- Denetim mekanizmalarının ve kurumsal kapasitenin artırılması
Bu öneriler, yalnızca veri koruma standartlarını yükseltmekle kalmayacak; aynı zamanda Türkiye’nin klinik araştırma kapasitesini uluslararası iş birlikleriyle entegre edecek güçlü bir altyapı oluşturacaktır.
Sonuç
Bu yönde atılacak adımlar, hem Türkiye’de yürütülen klinik araştırmaların uluslararası standartlara uygunluğunu artıracak hem de Türkiye’nin kişisel veri koruma hukukunda Avrupa Birliği ile uyum sürecine önemli bir katkı sağlayacaktır. Ayrıca, ülkemizde oluşacak güvenli ve standartlara uygun klinik araştırma veri havuzu, bilimsel gelişmelere uluslararası düzeyde katkı sunabilecek nitelikte bir zemin oluşturacaktır.
Değerlendirme raporunun tüm metnine bu link üzerinden ulaşabilirsiniz.