قانون KVKK التركي وتعديلات 2024: دليل الناشرين والمعلنين حول موافقة ملفات تعريف الارتباط، والنقل عبر الحدود، والموافقة الصريحة في 2026
يسري قانون حماية البيانات الشخصية التركي (KVKK، القانون رقم 6698) منذ عام 2016، غير أنه ظل طوال معظم تلك الحقبة يُعامَل باعتباره نظيراً أهدأ للائحة GDPR — مشابهاً له في البنية لكن أخف وطأةً في التطبيق. وقد انتهى ذلك العهد. فقد أعادت تعديلات KVKK لعام 2024 المنشورة في الجريدة الرسمية في 12 مارس 2024 هيكلةَ نظام النقل عبر الحدود ليتوافق مع آلية الملاءمة والبنود التعاقدية النموذجية على غرار GDPR، وصعّدت هيئة KVKK (Kişisel Verileri Koruma Kurulu) إنفاذ القانون بصورة ملموسة خلال 2025 وما تلاه في 2026. بالنسبة لأي ناشر أو معلن أو منصة تعالج بيانات المستخدمين الأتراك — سواء كانت مقيمة في تركيا أو تخدم السوق التركي من الخارج — فإن عام 2026 هو العام الذي يتحول فيه امتلاك بنية موافقة حديثة من رفاهية إلى حد أدنى لا غنى عنه. يستعرض هذا الدليل القانون في صيغته المعدَّلة، ومتطلبات موافقة ملفات تعريف الارتباط، وآلية النقل عبر الحدود في ظل التعديلات الجديدة، وممارسات الإنفاذ الفعلية للهيئة.
هيكل قانون KVKK بعد تعديلات 2024
يُعدّ قانون KVKK التشريع الأساسي لحماية البيانات في تركيا، ونصه المعدَّل هو المرجع الراهن. الناشرون الذين ما زالوا يعملون وفق النسخة السابقة لعام 2024 يستندون إلى إطار منتهي الصلاحية.
ما الذي غيّرته تعديلات 2024؟
كان التغيير الرئيسي إعادة صياغة المادة 9 التي تنظم نقل البيانات دولياً. كان النظام السابق لعام 2024 يصعب استيفاؤه — إذ اشترط إما موافقة صريحة أو ترخيصاً من الهيئة لكل عملية نقل عبر الحدود على حدة، مما جعله غير عملي لأي بنية تقنية إعلانية حديثة. أدخلت المادة 9 المعدَّلة ثلاثة مستويات لآلية النقل: قرار ملاءمة من الهيئة، ومجموعة من الضمانات الملائمة تشمل البنود التعاقدية النموذجية، وفي حالات ضيّقة مجموعة من الاستثناءات. وهذا أخيراً يجعل قانون النقل التركي متوافقاً مع نمط GDPR ويُتيح الإعلان الآلي متوافقاً دولياً دون الحاجة إلى تقديم ملف لدى الهيئة لكل مورّد.
ما الذي لم يتغيّر؟
ظلت التعريفات الجوهرية والأسس المشروعة وحقوق أصحاب البيانات ومعيار الموافقة الصريحة للبيانات الحساسة كما هي. ويُعدّ معيار الموافقة الصريحة التركي في الواقع أكثر صرامةً من معيار GDPR، وهنا تكمن معظم ثغرات امتثال الناشرين.
سجل VERBIS
يتعين على مراقبي البيانات الذين يتجاوزون حدوداً معينة — بمن فيهم معظم المراقبين الأجانب الذين يعالجون البيانات الشخصية التركية على نطاق واسع — التسجيل في سجل مراقبي البيانات (VERBIS). يستلزم التسجيل الإفصاح عن أنشطة المعالجة والأسس القانونية وآليات النقل. أهمل كثير من الناشرين الأجانب التسجيل في VERBIS تاريخياً؛ وقد أشارت الهيئة إلى اتخاذ موقف أكثر إيجابية تجاه ذلك خلال 2025 و2026.
ما الذي يُعدّ بيانات شخصية بموجب KVKK؟
تعريف البيانات الشخصية في KVKK واسع ويُقارب تعريف GDPR. البيانات الشخصية هي أي معلومات تتعلق بشخص طبيعي محدد الهوية أو قابل لتحديدها، وقد تعامل توجيه الهيئة باستمرار مع ملفات تعريف الارتباط ومعرّفات الإعلانات وعناوين IP وبصمات الأجهزة باعتبارها بيانات شخصية عندما يمكن ربطها بالمستخدم بشكل مباشر أو بوسائل معقولة.
البيانات الشخصية الحساسة
قائمة الفئات الحساسة في KVKK أوسع من قائمة GDPR: فهي تشمل صراحةً العرق والأصل العرقي والرأي السياسي والمعتقد الفلسفي والدين والطائفة والمظهر وعضوية الجمعيات أو المؤسسات والصحة والحياة الجنسية والإدانة الجنائية وتدابير الأمن والبيانات البيومترية والجينية. تستلزم معالجة أي من هذه الفئات موافقة صريحة — ليست الغامضة أو المجمّعة، بل موافقة محددة ومستنيرة وممنوحة بحرية ومرتبطة بالمعالجة الحساسة الخاصة بها.
لماذا يهم ذلك في سياق ملفات تعريف الارتباط؟
ملف تعريف الارتباط الذي يخزّن معرّف جلسة فحسب هو بيانات شخصية أساسية. أما ملف تعريف الارتباط الذي يُغذّي شريحة جمهور مثل الناخبين الليبراليين أو مجتمع ديني متدين فهو بيانات شخصية حساسة وفق التعريف التركي — وإعداد الموافقة المطلوب هنا هو موافقة صريحة أو لا شيء. يجب على الناشرين الذين يستهدفون شرائح جمهور تمس القائمة الحساسة في KVKK ألا يشغّلوا تلك الشرائح ضمن موافقة الإعلانات العامة.
موافقة ملفات تعريف الارتباط بموجب KVKK في 2026
تصلّب موقف الهيئة من ملفات تعريف الارتباط خلال السنتين الماضيتين. التوجيه الحالي لا لبس فيه: ملفات تعريف الارتباط وتقنيات التتبع التي تعالج البيانات الشخصية تستلزم موافقة إلا إذا كانت ضرورية تماماً لخدمة طلبها المستخدم.
العناصر الأربعة للموافقة الصريحة الصالحة
يجب أن تكون الموافقة الصريحة التركية:
- متعلقة بموضوع محدد — الموافقة الشاملة التي تغطي معالجة مستقبلية غير محددة غير صالحة
- مستنيرة — يفهم المستخدم أي بيانات تُعالج، ولأي غرض، ومن قِبَل من، ولأي مدة
- ممنوحة بحرية — يستطيع المستخدم الرفض دون أن يُحرم من خدمة يحق له الانتفاع بها
- معبَّراً عنها بفعل إيجابي واضح — المربعات المحددة مسبقاً والموافقة الضمنية والتمرير كموافقة كلها غير صالحة
كيف تبدو منصة إدارة الموافقة (CMP) المتوافقة؟
ينبغي أن تقدّم منصة CMP المُعدَّة للحركة التركية في 2026:
- لافتة مرئية قبل تفعيل أي ملف تعريف ارتباط غير ضروري، مع عرض اللغة التركية (Türkçe) افتراضياً للمستخدمين الأتراك
- بروز بصري متساوٍ لأزرار القبول والرفض والتخصيص — وقد أشارت الهيئة تحديداً إلى تصميمات اللافتات التي يكون فيها زر الرفض أقل وضوحاً من زر القبول
- خيارات تفصيلية لكل غرض: التحليلات، الإعلانات، التخصيص، النقل عبر الحدود، وأي معالجة لفئات حساسة
- آلية دائمة وسهلة الوصول لسحب الموافقة بعد الاختيار الأولي
- Aydınlatma Metni (إشعار الخصوصية) باللغة التركية يُفصح عن هوية المراقب والأغراض والمستلمين ومدة الاحتفاظ والحقوق
- تدفق موافقة صريحة منفصل وموسوم بوضوح (açık rıza) لأي معالجة لفئات حساسة، يُقيَّد بإجراء خاص به
سجلات الموافقة
يجب على المراقب الاحتفاظ بسجلات الموافقة — من وافق، ومتى، وعلى ماذا، وعبر أي واجهة. استشهدت هيئة KVKK بسجلات موافقة غير كافية في عدة إجراءات إنفاذ، والسجلات المختومة بالتوقيت القابلة للتصدير هي الحد الأدنى المتوقع.
النقل عبر الحدود في إطار المادة 9 لعام 2024
أدخلت تعديلات 2024 إطاراً ثلاثي المستويات للنقل يعكس نهج GDPR. فهم أي المستويات ينطبق على أي تدفق هو أكثر ثغرات الامتثال شيوعاً لدى الناشرين الأجانب في 2026.
المستوى الأول — قرار الملاءمة
يمكن للهيئة تصنيف دولة أو منظمة دولية أو قطاع في دولة ما باعتباره يوفر حماية كافية. يُسمح بالنقل إلى الوجهات الملائمة دون آلية إضافية. في مطلع 2026، كانت الهيئة تُصدر قرارات ملاءمة تدريجياً لكنها لم تُصنّف الولايات المتحدة على نطاق واسع بعد.
المستوى الثاني — الضمانات الملائمة
في غياب الملاءمة، يُسمح بالنقل على أساس ضمانات ملائمة. تستهدف التعديلات تحديداً البنود التعاقدية النموذجية المعتمدة من الهيئة والقواعد الملزمة للشركات للنقل داخل المجموعة وآليات سلوك أو إصدار شهادات معتمدة من الهيئة. نُشرت البنود التعاقدية النموذجية للهيئة عام 2024 وهي الآلية العملية الرئيسية لمعظم الناشرين.
المستوى الثالث — الاستثناءات
توجد استثناءات محدودة للنقل العرضي أو النقل المطلوب لتنفيذ عقد أو النقل الذي وافق عليه المستخدم صراحةً. لا يمكن الاستناد إليها كأساس قانوني أساسي للتدفقات الآلية المستمرة.
التبعة العملية للناشرين
تُرسل البنية الآلية النموذجية البيانات المستخرجة من ملفات تعريف الارتباط إلى عشرات الموردين في الخارج لكل مزاد. كل واحد من تلك التدفقات هو نقل عبر الحدود. النهج العملي في 2026 هو إبرام البنود التعاقدية النموذجية المعتمدة من الهيئة مع كل معالج دولي وتوثيق آلية النقل في Aydınlatma Metni وتسجيل VERBIS. الناشرون الذين التزموا بمنطق الموافقة الصريحة لكل عملية نقل وفق ما قبل 2024 يتعرضون في آنٍ واحد لمخاطر امتثال مرتفعة ويُضيّعون فرصاً في تحقيق الدخل.
حقوق أصحاب البيانات
يتمتع أصحاب البيانات الأتراك بالمجموعة الكاملة من الحقوق الواردة في GDPR، مُطبَّقةً عبر إطار KVKK:
- الحق في معرفة ما إذا كانت بياناتهم تُعالج
- حق الوصول إلى البيانات المُعالجة
- الحق في تصحيح البيانات غير الدقيقة
- الحق في الحذف أو إخفاء الهوية حيث لم تعد المعالجة مبررة
- الحق في الإخطار بالأطراف الثالثة التي أُفصح لها عن البيانات
- الحق في الاعتراض على القرارات الآلية ذات الآثار الضارة
- الحق في التعويض عن الأضرار الناجمة عن المعالجة غير المشروعة
مهل الاستجابة
يجب على المراقبين الرد على طلبات أصحاب البيانات في غضون 30 يوماً. يمكن لصاحب البيانات التصعيد إلى هيئة KVKK إذا كانت استجابة المراقب غير كافية، وتملك الهيئة نافذة 60 يوماً للبت في ذلك. الجاهزية التشغيلية لنافذة 30 يوماً — بكتيّبات التشغيل والأدوات وقوالب الاستجابة باللغة التركية — ثغرة شائعة لدى الناشرين الأجانب.
الغرامات وموقف الإنفاذ في 2026
ظلت هيئة KVKK هادئة نسبياً في سنواتها الأولى لكنها صعّدت الإنفاذ بصورة ملموسة. وكان إجمالي غرامات 2025 الأعلى منذ دخول القانون حيز التنفيذ، وعام 2026 على مسار مماثل.
الغرامات الإدارية
تُفهرَس الغرامات الإدارية سنوياً وفق التضخم. في 2026 يتجاوز سقف أشد المخالفات خطورةً 40 مليون TRY للمخالفة الواحدة، وتنطبق حدود منفصلة على الإخفاقات المتعلقة بأمن البيانات والإخطار والتسجيل في VERBIS وقرارات الهيئة. وقد غُرِّم المراقبون الأجانب بأعلى الحدود في عدة إجراءات خلال 2025.
التعرض السمعي
تنشر الهيئة ملخصات قرارات الإنفاذ على موقعها الإلكتروني. وقد أثارت غرامات الناشرين الأجانب باستمرار اهتمام الصحافة التقنية التركية، وعادةً ما تكون التكلفة السمعية لقرار KVKK العلني أعلى من الغرامة ذاتها.
محاور الإنفاذ
تتمحور إجراءات الهيئة في 2025 ومطلع 2026 حول مجموعة صغيرة من المسائل المتكررة: موافقة ملفات تعريف الارتباط المفقودة أو الغامضة، وعدم كفاية Aydınlatma Metni، والمراقبون الأجانب غير المسجلين في VERBIS، والنقل عبر الحدود غير المشروع باستخدام إطار ما قبل 2024.
قائمة مراجعة الامتثال للحركة التركية في 2026
- تُعرض لافتة CMP باللغة التركية للمستخدمين الأتراك، مع بروز بصري متساوٍ لأزرار القبول والرفض والتخصيص
- أغراض الموافقة تفصيلية وتُقيّد أي معالجة لفئات حساسة خلف تدفق موافقة صريحة خاص
- سجلات الموافقة مختومة بالتوقيت وقابلة للتصدير ومحتفظ بها لمدة لا تقل عن مدة المعالجة مع هامش قابل للتدقيق
- Aydınlatma Metni متاح باللغة التركية مع الإفصاحات الكاملة عن المراقب والمعالجين والأغراض ومدة الاحتفاظ والحقوق
- تسجيل VERBIS مكتمل ومحدَّث إذا تجاوز المراقب الحد المقرر
- تستند عمليات النقل عبر الحدود إلى البنود التعاقدية النموذجية لعام 2024 أو آلية أخرى صالحة بموجب المادة 9، مع توثيق الآلية في Aydınlatma Metni
- سير عمل طلبات أصحاب البيانات قادر على الاستجابة في غضون 30 يوماً من البداية إلى النهاية باللغة التركية
- جرى مراجعة قائمة الموردين، مع إزالة الموردين غير المستخدمين أو المتكررين للحد من التعرض
توقعات 2026
لحق نظام حماية البيانات التركي بالإطار الأوروبي في الشكل ويلحق به بسرعة في الإنفاذ. أزالت تعديلات 2024 أكبر عائق هيكلي أمام تقنية الإعلانات الدولية الحديثة — نظام النقل القديم — وقد استخدمت الهيئة العامين الماضيين للتركيز على إنفاذ بقية أحكام القانون. الناشرون الذين يمتلكون بنية موافقة على مستوى GDPR يحتاجون إلى تعديلات صغيرة نسبياً لأن يكونوا جاهزين لتركيا: منصة CMP وإشعار باللغة التركية، والتسجيل في VERBIS إن اقتضى الأمر، وبنود النقل وفق معايير 2024، والحرص على القائمة الأوسع للبيانات الحساسة. أما الناشرون الذين تعاملوا مع تركيا باعتبارها سوقاً أخف تنظيماً فسيجدون 2026 أكثر تكلفةً من 2025، و2027 أكثر تكلفةً من 2026. يمكن سد هذه الفجوة في غضون أسابيع إذا أُولي الأمر الأولوية — وينبغي أن يُولى.