Türkiyənin KVKK-sı və 2024 Dəyişiklikləri: Naşirlər və Reklamçılar üçün Cookie Razılığı, Beynəlxalq Ötürmələr və Açıq Razılıq Bələdçisi — 2026
Türkiyənin Şəxsi Məlumatların Mühafizəsi Qanunu (KVKK, Qanun № 6698) 2016-cı ildən qüvvədədir, lakin o onilliyin böyük hissəsində GDPR-ın daha sakit qardaşı kimi fəaliyyət göstərdi — strukturca oxşar, lakin tətbiqdə nəzərəçarpacaq dərəcədə yumşaq. O dövr başa çatdı. 12 mart 2024-cü il tarixli Rəsmi Qəzetdə dərc edilmiş 2024 KVKK dəyişiklikləri beynəlxalq məlumat ötürmə rejimini GDPR-ın adekvatlıq mexanizmi və standart müqavilə bəndlərinə uyğunlaşdırmaq üçün yenidən strukturlaşdırdı, KVKK Şurası (Kişisel Verileri Koruma Kurulu) isə 2025-ci il boyu və 2026-cı ilə doğru tətbiqini əhəmiyyətli dərəcədə artırdı. Türk istifadəçilərinin məlumatlarını işləyən hər hansı naşir, reklamçı və ya platforma üçün — istər Türkiyədə, istər xarici ölkədən türk bazarına xidmət etsinlər — 2026-cı il müasir razılıq altyapısının artıq bir üstünlük yox, minimum standart olduğu ildir. Bu bələdçi qanunu dəyişdirilmiş formasında, cookie razılığının tələblərini, beynəlxalq ötürmələrin yeni mexanizmini və Şuranın tətbiq praktikasını izah edir.
2024 Dəyişikliklərindən Sonra KVKK-nın Strukturu
KVKK Türkiyədə əsas məlumat mühafizəsi qanunu olmaqla dəyişdirilmiş mətn hazırda istinad nöqtəsidir. 2024-cü ildən əvvəlki versiya ilə işləyən naşirlər köhnəlmiş bir çərçivəyə əsaslanır.
2024 Dəyişiklikləri Nəyi Dəyişdi
Əsas dəyişiklik beynəlxalq məlumat ötürmələrini tənzimləyən 9-cu Maddənin yenidən yazılması oldu. 2024-cü ildən əvvəlki rejimi yerinə yetirmək son dərəcə çətin idi — demək olar ki, hər beynəlxalq məlumat axını üçün ya açıq razılıq, ya da Şuranın hər bir hal üçün ayrıca icazəsi tələb olunurdu ki, bu da istənilən müasir reklam texnologiyası altyapısı üçün qeyri-real idi. Dəyişdirilmiş 9-cu Maddə üç səviyyəli ötürmə mexanizmi tətbiq edir: Şuranın adekvatlıq qərarı, standart müqavilə bəndlərini əhatə edən müvafiq təminatlar toplusu, və dar hallarda — istisna qayda mexanizmi. Bu, nəhayət, türk ötürmə qanununu GDPR modelinə uyğunlaşdırır və proqramlı reklamçılığın hər mövzu üçün ayrıca Şuraya başvuru tələb etmədən beynəlxalq uyğunluğunu təmin edir.
Nə Dəyişmədi
Əsas təriflər, qanuni əsaslar, məlumat subyektlərinin hüquqları və həssas məlumatlar üçün açıq razılıq standartı əvvəlki kimi qaldı. Türk açıq razılıq tələbi GDPR-ın standartından praktikada daha sərtdir və naşirlərin uyğunluq boşluqlarının böyük hissəsi burada yerləşir.
VERBIS Reyestri
Müəyyən həddəri keçən məlumat nəzarətçiləri — böyük miqyasda türk şəxsi məlumatlarını işləyən əksər xarici nəzarətçilər daxil olmaqla — Məlumat Nəzarətçiləri Reyestrinə (VERBIS) qeydiyyatdan keçməlidirlər. Qeydiyyat emal fəaliyyətlərinin, hüquqi əsasların və ötürmə mexanizmlərinin açıqlanmasını tələb edir. Bir çox xarici naşir tarixən VERBIS qeydiyyatını keçməmişdir; Şura 2025-ci il və 2026-cı il üzrə bu məsələdə daha aktiv mövqe siqnalı vermişdir.
KVKK-ya Görə Şəxsi Məlumat Sayılan Nədir
KVKK-nın şəxsi məlumat tərifi genişdir və GDPR-a yaxından uyğun gəlir. Şəxsi məlumat müəyyən edilmiş və ya müəyyən edilə bilən fiziki şəxsə aid istənilən məlumatdır; Şuranın rəhbərliyi daima cookie-ləri, reklam identifikatorlarını, IP ünvanlarını və cihaz barmaq izlərini birbaşa və ya ağlabatan vasitələrlə istifadəçiyə bağlanabiləndə şəxsi məlumat kimi qəbul etmişdir.
Həssas Şəxsi Məlumatlar
KVKK-nın həssas kateqoriyaların siyahısı GDPR-unkindən genişdir: burada açıq şəkildə irq, etnik mənşə, siyasi fikir, fəlsəfi inanc, din, təriqət, görünüş, birlik və ya fond üzvlüyü, sağlamlıq, cinsi həyat, cinayət mühakiməsi, güvenlik tədbirləri və biometrik və genetik məlumatlar göstərilir. Bunlardan hər hansı birinin emalı açıq razılıq tələb edir — qeyri-müəyyən və ya paketdə verilmiş razılıq deyil, konkret, məlumatlı, könüllü şəkildə verilmiş və həmin xüsusi həssas emalsa bağlı razılıq.
Bu Cookie-lər Üçün Niyə Əhəmiyyətlidir
Yalnız sessiya ID-si saxlayan cookie əsas şəxsi məlumatdır. Liberal Seçicilər və ya Mömin Dini İcma kimi auditoriya seqmentini dolduran cookie isə türk tərifi üzrə həssas şəxsi məlumatdır — tələb olunan razılıq konfiqurasiyası açıq razılıq-ya-heç nədir. KVKK-nın həssas siyahısına toxunan auditoriya seqmentlərini hədəfləyən naşirlər həmin seqmentləri ümumi reklam razılığı çərçivəsində işlətməməlidir.
2026-cı ildə KVKK üzrə Cookie Razılığı
Şuranın cookie-lərə münasibəti son iki il ərzində sərtləşmişdir. Hazırkı rəhbərlik birmənalıdır: şəxsi məlumatları emal edən cookie-lər və izləmə texnologiyaları istifadəçinin tələb etdiyi xidmət üçün mütləq zəruri olmadığı halda razılıq tələb edir.
Etibarlı Açıq Razılığın Dörd Elementi
Türk açıq razılığı aşağıdakı olmalıdır:
- Konkret mövzuya aid — qeyri-müəyyən gələcək emalı əhatə edən ümumi şəmsiyə razılığı etibarsızdır
- Məlumatlı — istifadəçi hansı məlumatların, nə məqsədlə, kimin tərəfindən, nə müddətə emal edildiyini anlayır
- Könüllü verilmiş — istifadəçi hüquq sahibi olduğu xidmətdən məhrum edilmədən imtina edə bilir
- Açıq müsbət fəaliyyətlə ifadə edilmiş — əvvəlcədən işarələnmiş xanalar, nəzərdə tutulan razılıq və sürüşdürmə-razılıq hamısı etibarsızdır
Uyğun CMP Necə Görünür
2026-cı ildə türk trafiki üçün konfiqurasiya edilmiş CMP aşağıdakıları təqdim etməlidir:
- Heç bir qeyri-zəruri cookie işə düşməzdən əvvəl görünən banner, türk istifadəçilər üçün standart olaraq türk dilini (Türkçe) göstərməklə
- Qəbul et, İmtina et və Fərdiləşdir üçün bərabər vizual görünürlük — Şura xüsusi olaraq İmtina etməyin Qəbul etmədən az göründüyü banner dizaynlarını tənqid etmişdir
- Hər məqsəd üçün ətraflı seçimlər: analitika, reklam, fərdiləşdirmə, beynəlxalq ötürmə və hər hansı həssas kateqoriya emalı
- İlkin seçimdən sonra razılığı geri götürmək üçün daimi, asanlıqla əlçatan mexanizm
- Nəzarətçi şəxsiyyəti, məqsədlər, alıcılar, saxlama müddəti və hüquqları açıqlayan türkdilli Aydınlatma Metni (Məxfilik Bildirişi)
- Həssas kateqoriya emalı üçün öz fəaliyyətinə bağlı ayrıca, aydın şəkildə etiketlənmiş açıq razılıq axını (açık rıza)
Razılıq Qeydləri
Nəzarətçi razılıq qeydlərini saxlamalıdır — kimin razılıq verdiyi, nə vaxt, nəyə, hansı interfeys vasitəsilə. KVKK Şurası bir sıra tətbiq tədbirlərində qeyri-kafi razılıq qeydlərini göstərmişdir; ixrac edilə bilən vaxt ştampıyla qeydlər minimum gözləntidir.
2024 9-cu Maddəsi üzrə Beynəlxalq Ötürmələr
2024 dəyişiklikləri GDPR-ın yanaşmasını əks etdirən üç səviyyəli ötürmə çərçivəsi tətbiq etdi. Hansı səviyyənin hansı axına tətbiq olduğunu anlamaq 2026-cı ildə xarici naşirlər üçün ən geniş yayılmış uyğunluq boşluğudur.
Səviyyə 1 — Adekvatlıq Qərarı
Şura bir ölkəni, beynəlxalq təşkilatı və ya bir ölkənin sektorunu kifayət qədər qoruma təmin etdiyi kimi təyin edə bilər. Adekvat yerlərə ötürmələrə əlavə mexanizm olmadan icazə verilir. 2026-cı ilin əvvəlindən etibarən Şura tədricən adekvatlıq qərarları verirdi, lakin Amerika Birləşmiş Ştatlarını hələ geniş şəkildə təyin etməmişdi.
Səviyyə 2 — Müvafiq Təminatlar
Adekvatlığın olmaması halında müvafiq təminatlar əsasında ötürmələrə icazə verilir. Dəyişikliklər xüsusi olaraq Şura tərəfindən təsdiq edilmiş standart müqavilə bəndlərini, qruplar arası ötürmələr üçün məcburi korporativ qaydaları və Şura tərəfindən təsdiq edilmiş davranış kodeksləri və ya sertifikatlaşdırma mexanizmlərini nəzərdə tutur. Şuranın standart müqavilə bəndləri 2024-cü ildə dərc edildi və əksər naşirlər üçün əsas işləyən mexanizmdir.
Səviyyə 3 — İstisnalar
Təsadüfi ötürmələr, müqavilənin icrası üçün tələb olunan ötürmələr və istifadəçinin açıq razılıq verdiyi ötürmələr üçün dar istisnalar mövcuddur. Bunlar davam edən proqramlı axınlar üçün əsas hüquqi əsas kimi istifadə edilə bilməz.
Naşirlər üçün Praktiki Nəticə
Tipik proqramlı altyapı hər tender üçün cookie-dən əldə edilən məlumatları onlarla xarici satıcıya göndərir. Bu axınların hər biri beynəlxalq ötürmədir. 2026-cı ildə işləyən yanaşma hər beynəlxalq emalçı ilə Şura tərəfindən təsdiq edilmiş standart müqavilə bəndlərini imzalamaq və ötürmə mexanizmini Aydınlatma Metni-ndə və VERBIS qeydiyyatında sənədləşdirməkdir. 2024-cü ildən əvvəlki ötürmə başına açıq razılıq məntiqi ilə qalan naşirlər eyni zamanda həm uyğunluq riski ilə həddən artıq məruz qalır, həm də monetizasiya imkanlarından az istifadə edir.
Məlumat Subyektlərinin Hüquqları
Türk məlumat subyektlərinin GDPR-da olan hüquqların tam toplusuna malikdir, KVKK çərçivəsi vasitəsilə tətbiq edilmişdir:
- Məlumatlarının işlənib işlənmədiyini öyrənmək hüququ
- İşlənmiş məlumatlara çıxış hüququ
- Səhv məlumatların düzəldilməsi hüququ
- Emal artıq əsaslandırılmayan hallarda silinmə və ya anonimləşdirmə hüququ
- Məlumatın ifşa edildiyi üçüncü tərəflər haqqında məlumat alma hüququ
- Mənfi nəticə doğuran avtomatlaşdırılmış qərarlara etiraz etmək hüququ
- Qanunsuz emal nəticəsində dəyən zərərə görə kompensasiya hüququ
Cavab Müddətləri
Nəzarətçilər məlumat subyektlərinin müraciətlərinə 30 gün ərzində cavab verməlidirlər. Nəzarətçinin cavabı qeyri-kafi olarsa, məlumat subyekti KVKK Şurasına müraciət edə bilər; Şuranın qərar vermək üçün 60 günlük müddəti var. 30 günlük pəncərə üçün əməliyyat hazırlığı — iş kitabçaları, alətlər, türkdilli cavab şablonları — xarici naşirlər üçün ümumi bir boşluqdur.
2026-cı ildə Cərimələr və Tətbiq Mövqeyi
KVKK Şurası ilk bir neçə ilini nisbətən sakit keçirdi, lakin tətbiqini əhəmiyyətli dərəcədə artırdı. 2025-ci ilin cərimə cəmi qanunun qüvvəyə mindiyi gündən bəri ən yüksək oldu; 2026 da oxşar bir qrafik üzərindədir.
İnzibati Cərimələr
İnzibati cərimələr hər il inflyasiyaya indekslənir. 2026-cı ildə ən ağır pozuntular üçün tavan hər pozuntu üçün 40 milyon TRY-dən çoxdur; məlumat təhlükəsizliyi, bildiriş, VERBIS qeydiyyatı və Şura qərarları ilə bağlı nasazlıqlar üçün ayrıca həddlər tətbiq edilir. Xarici nəzarətçilər 2025-ci ilin bir sıra tədbirlərində ən yüksək həddlə cərimlənmişdir.
Reputasiya Riski
Şura tətbiq qərarlarının xülasəsini öz saytında dərc edir. Xarici naşir cərimələri müntəzəm olaraq türk texnologiya mətbuatında yer alır; ictimai KVKK qərarının reputasiya qiyməti adətən cərimənin özündən daha yüksəkdir.
Tətbiq Mövzuları
Şuranın 2025-ci il və 2026-cı ilin əvvəli tədbirləri kiçik bir dəfn edilən problemlər ətrafında toplanır: çatışmayan və ya qeyri-müəyyən cookie razılığı, qeyri-kafi Aydınlatma Metni, VERBIS-də qeydiyyatsız xarici nəzarətçilər və 2024-cü ildən əvvəlki çərçivəni istifadə edərək qanunsuz beynəlxalq ötürmələr.
2026-cı ildə Türk Trafiki üçün Audit Yoxlama Siyahısı
- CMP banneri türk istifadəçilər üçün türk dilindədir, Qəbul et, İmtina et və Fərdiləşdir bərabər vizual görünürlüklə göstərilir
- Razılıq məqsədləri ətraflıdır və həssas kateqoriya emalı öz açıq razılıq axının arxasında ayrıca qorunur
- Razılıq qeydləri vaxt ştampıyla qeyd edilir, ixrac edilə bilir və ən azı emal müddəti üstəgəl audit marjı qədər saxlanılır
- Aydınlatma Metni türk dilindədir, nəzarətçi, emalçılar, məqsədlər, saxlama müddəti və hüquqlar haqqında tam açıqlamalarla
- Nəzarətçi həddi keçirsə VERBIS qeydiyyatı tam və yenilənmişdir
- Beynəlxalq ötürmələr 2024 standart müqavilə bəndlərinə və ya başqa etibarlı 9-cu Maddə mexanizminə əsaslanır; mexanizm Aydınlatma Metni-ndə sənədləşdirilir
- Məlumat subyekti müraciət axını türk dilindədir, başdan sona 30 gün ərzində cavab verə bilir
- Satıcı siyahısı nəzərdən keçirilmiş, istifadəsiz və ya artıq satıcılar məruziyyəti azaltmaq üçün silinmişdir
2026-cı İlin Perspektivi
Türkiyənin məlumat mühafizəsi rejimi formada Avropa çərçivəsini yaşayıb, tətbiqdə onu sürətlə izləyir. 2024 dəyişiklikləri müasir beynəlxalq reklam texnologiyasının qarşısındakı ən böyük struktur maneəni — köhnə ötürmə rejimini — aradan qaldırdı; Şura sonrakı iki ildən qanunun qalan hissəsinin tətbiqinə fokuslanmaq üçün istifadə etdi. GDPR-standartlı razılıq altyapısına malik naşirlər Türkiyəyə hazır olmaq üçün nisbətən kiçik düzəlişlər etməlidirlər: türkdilli CMP və bildiriş, tətbiq olunarsa VERBIS qeydiyyatı, 2024 standartı ötürmə bəndləri, daha geniş həssas məlumat siyahısına diqqət. Türkiyəni daha yüngül bir bazar kimi qəbul edən naşirlər 2026-cı ili 2025-ci ildən daha baha, 2027-ci ili isə 2026-cı ildən daha baha görəcəklər. Bu boşluq prioritet verilərsə həftələr içərisində bağlana bilər — və belə olmalıdır.