Структура KVKK пасля папраўкі 2024 года

KVKK — гэта асноўны закон аб абароне даных у Турцыі, і яго зменены тэкст цяпер з'яўляецца пунктам адліку. Выдаўцы, якія працавалі па версіі да 2024 года, маюць справу з састарэлай нарматыўнай базай.

Што змянілі папраўкі 2024 года

Галоўнай зменай стала перапрацоўка Артыкула 9, які рэгулюе міжнародныя перадачы даных. Рэжым да 2024 года было сумна цяжка задаволіць — ён патрабаваў альбо яўнай згоды, альбо індывідуальнага дазволу Савета амаль для кожнага трансгранічнага патоку, што было непрацаздольна для любога сучаснага рэкламнага тэхстэка. Зменены Артыкул 9 уводзіць тры ўзроўні механізму перадачы: рашэнне аб адэкватнасці ад Савета, набор адпаведных гарантый, уключаючы стандартныя дагаворныя палажэнні, і ў вузкіх выпадках набор дэрагацый. Гэта нарэшце ўзгадняе турэцкае права перадачы з паттэрнам GDPR і робіць праграматык-рэкламу міжнародна адпаведнай без падачы ў Савет па кожным пастаўшчыку.

Што не змянілася

Асноўныя вызначэнні, прававыя падставы, правы суб'ектаў даных і стандарт яўнай згоды для адчувальных даных застаюцца ранейшымі. Турэцкая планка яўнай згоды, калі ўжо на тое пайшло, на практыцы строжая за стандарт GDPR, і менавіта тут па-ранейшаму знаходзіцца большасць прабелаў адпаведнасці ў выдаўцоў.

Рэестр VERBIS

Кантролёры даных вышэй пэўных парогаў — уключаючы большасць замежных кантролёраў, якія апрацоўваюць турэцкія персанальныя даныя ў маштабе — павінны зарэгістравацца ў Рэестры кантролёраў даных (VERBIS). Рэгістрацыя патрабуе раскрыцця відаў дзейнасці па апрацоўцы, прававых падстаў і механізмаў перадачы. Многія замежныя выдаўцы гістарычна прапускалі рэгістрацыю ў VERBIS; Савет сігналізаваў аб больш актыўнай пазіцыі па гэтым пытанні на працягу 2025 і 2026 гадоў.

Што лічыцца персанальнымі данымі паводле KVKK

Вызначэнне персанальных даных у KVKK шырокае і цесна адпавядае GDPR. Персанальныя даныя — гэта любая інфармацыя, якая адносіцца да ідэнтыфікаванай або ідэнтыфікавальнай фізічнай асобы, і кіраўніцтва Савета паслядоўна трактавала cookie, рэкламныя ідэнтыфікатары, IP-адрасы і адбіткі прылад як персанальныя даныя, калі яны могуць быць прывязаны да карыстальніка напрамую або разумнымі сродкамі.

Адчувальныя персанальныя даныя

Спіс адчувальных катэгорый у KVKK шырэйшы, чым у GDPR: ён прама ўключае расу, этнічнае паходжанне, палітычныя погляды, філасофскія перакананні, рэлігію, секту, знешнасць, членства ў асацыяцыях або фондах, здароўе, палавое жыццё, крымінальныя судзімасці, меры бяспекі і біяметрычныя і генетычныя даныя. Апрацоўка любога з іх патрабуе яўнай згоды — не двухсэнсоўнай або аб'яднанай, а канкрэтнай, інфармаванай, свабодна дадзенай згоды, прывязанай да канкрэтнай адчувальнай апрацоўкі.

Чаму гэта важна для cookie

Cookie, які захоўвае толькі ідэнтыфікатар сесіі, — гэта базавыя персанальныя даныя. Cookie, які сілкуе сегмент аўдыторыі накшталт Ліберальныя выбаршчыкі або Набожная рэлігійная супольнасць, — гэта адчувальныя персанальныя даныя паводле турэцкага вызначэння, і патрабуемая канфігурацыя згоды — яўная-згода-ці-нічога. Выдаўцы, нацэленыя на сегменты аўдыторыі, якія закранаюць адчувальны спіс KVKK, не павінны запускаць гэтыя сегменты ў рамках агульнай рэкламнай згоды.

Згода на cookie паводле KVKK у 2026 годзе

Пазіцыя Савета па cookie ўзмацнілася за апошнія два гады. Бягучае кіраўніцтва недвухсэнсоўнае: cookie і тэхналогіі адсочвання, якія апрацоўваюць персанальныя даныя, патрабуюць згоды, калі яны не строга неабходныя для паслугі, запытанай карыстальнікам.

Чатыры элементы сапраўднай яўнай згоды

Турэцкая яўная згода павінна быць:

• Звязана з канкрэтным прадметам — агульная парасонавая згода, якая ахоплівае неўдакладненую будучую апрацоўку, несапраўдная
• Інфармаванай — карыстальнік разумее, якія даныя апрацоўваюцца, з якой мэтай, кім і як доўга
• Свабодна дадзенай — карыстальнік можа адмовіцца, не пазбаўляючыся паслугі, на якую ён інакш мае права
• Выказана ясным сцвярджальным дзеяннем — папярэдне адзначаныя палі, маецца на ўвазе згода і прагортка-як-згода ўсе несапраўдныя

Як выглядае адпаведная CMP

CMP, наладжаная для турэцкага трафіку ў 2026 годзе, павінна прадстаўляць:

• Бачны банер да спрацоўвання любога неістотнага cookie, па змаўчанні на турэцкай (Türkçe) для турэцкіх карыстальнікаў
• Роўную візуальную прыкметнасць для «Прыняць», «Адхіліць» і «Наладзіць» — Савет спецыяльна ўказаў на дызайны банераў, дзе «Адхіліць» менш прыкметны, чым «Прыняць»
• Гранулярныя пераключальнікі па кожнай мэце: аналітыка, рэклама, персаналізацыя, трансгранічная перадача і любая апрацоўка адчувальных катэгорый
• Пастаянны, лёгкадаступны механізм адкліку згоды пасля першапачатковага выбару
• Aydınlatma Metni (Паведамленне аб канфідэнцыяльнасці) на турэцкай мове, якое раскрывае асобу кантролёра, мэты, атрымальнікаў, захоўванне і правы
• Асобны, выразна абазначаны паток яўнай згоды (açık rıza) для любой апрацоўкі адчувальных катэгорый, абаронены ўласным дзеяннем

Запісы аб згодзе

Кантролёр павінен весці запісы аб згодзе — хто даў згоду, калі, на што, праз які інтэрфейс. Савет KVKK спасылаўся на неадэкватныя журналы згоды ў некалькіх дзеяннях па правапрымяненні, і экспартуемыя журналы з часавымі меткамі з'яўляюцца базавым чаканнем.

Трансгранічныя перадачы паводле Артыкула 9 у рэдакцыі 2024 года

Папраўкі 2024 года ўвялі трохузроўневую структуру перадачы, якая адлюстроўвае падыход GDPR. Разуменне таго, які ўзровень прымяняецца да якога патоку, — самы распаўсюджаны прабел адпаведнасці для замежных выдаўцоў у 2026 годзе.

Узровень 1 — рашэнне аб адэкватнасці

Савет можа прызначыць краіну, міжнародную арганізацыю або сектар краіны як такі, што забяспечвае адэкватную абарону. Перадачы ў адэкватныя пункты прызначэння дазволены без дадатковага механізму. Па стане на пачатак 2026 года Савет паступова выносіў рашэнні аб адэкватнасці, але яшчэ не прызначыў Злучаныя Штаты ў шырокім сэнсе.

Узровень 2 — адпаведныя гарантыі

Пры адсутнасці адэкватнасці перадачы дазволены на аснове адпаведных гарантый. Папраўкі прама прадугледжваюць стандартныя дагаворныя палажэнні, зацверджаныя Саветам, абавязковыя карпаратыўныя правілы для ўнутрыгрупавых перадач і зацверджаныя Саветам кодэксы паводзін або механізмы сертыфікацыі. Стандартныя дагаворныя палажэнні Савета былі апублікаваны ў 2024 годзе і з'яўляюцца асноўным працоўным механізмам для большасці выдаўцоў.

Узровень 3 — дэрагацыі

Існуюць вузкія выключэнні для выпадковых перадач, перадач, неабходных для выканання дагавора, або перадач, на якія карыстальнік прама даў згоду. Яны непрыдатныя ў якасці асноўнага прававога падставы для бягучых праграматык-патокаў.

Практычны вывад для выдаўцоў

Тыповы праграматык-стэк адпраўляе даныя, атрыманыя з cookie, дзясяткам замежных пастаўшчыкоў за кожную стаўку. Кожны з гэтых патокаў — гэта трансгранічная перадача. Працаздольны падыход 2026 года — заключыць зацверджаныя Саветам стандартныя дагаворныя палажэнні з кожным міжнародным апрацоўшчыкам і задакументаваць механізм перадачы ў Aydınlatma Metni і рэгістрацыі VERBIS. Выдаўцы, якія прытрымліваліся логікі да 2024 года «яўная-згода-на-кожную-перадачу», адначасова перагружаны рызыкай адпаведнасці і недавыкарыстоўваюць магчымасць манетызацыі.

Правы суб'ектаў даных

Турэцкія суб'екты даных маюць поўны набор правоў, знойдзеных у GDPR, якія прымяняюцца праз структуру KVKK:

• Права даведацца, ці апрацоўваюцца іх даныя
• Права на доступ да апрацоўваных даных
• Права на выпраўленне недакладных даных
• Права на выдаленне або ананімізацыю, калі апрацоўка больш не апраўдана
• Права быць праінфармаваным аб трэціх баках, якім даныя былі раскрыты
• Права пярэчыць супраць аўтаматызаваных рашэнняў, якія вырабляюць неспрыяльныя наступствы
• Права на кампенсацыю шкоды, прычыненай незаконнай апрацоўкай

Тэрміны адказу

Кантролёры павінны адказваць на запыты суб'ектаў даных на працягу 30 дзён. Суб'ект даных можа эскаляваць у Савет KVKK, калі адказ кантролёра неадэкватны, і ў Савета ёсць 60-дзённае акно для прыняцця рашэння. Аперацыйная гатоўнасць да 30-дзённага акна — з рэгламентамі, інструментарыем і шаблонамі адказаў на турэцкай мове — гэта распаўсюджаны прабел для замежных выдаўцоў.

Штрафы і пазіцыя па правапрымяненні ў 2026 годзе

Савет KVKK быў адносна ціхім у першыя некалькі гадоў, але істотна нарасціў правапрымяненне. Агульная сума штрафаў 2025 года была самай высокай з моманту ўступлення закона ў сілу, і 2026 год ідзе па падобнай траекторыі.

Адміністрацыйныя штрафы

Адміністрацыйныя штрафы штогод індэксуюцца па інфляцыі. Па стане на 2026 год столь для найбольш сур'ёзных парушэнняў перавышае 40 мільёнаў турэцкіх лір за парушэнне, а асобныя ліміты прымяняюцца да парушэнняў, звязаных з бяспекай даных, паведамленнем, рэгістрацыяй VERBIS і рашэннямі Савета. Замежныя кантролёры былі аштрафаваны па верхняй мяжы дыяпазону ў некалькіх дзеяннях 2025 года.

Рэпутацыйная ўразлівасць

Савет публікуе рэзюмэ рашэнняў па правапрымяненні на сваім сайце. Штрафы замежных выдаўцоў рэгулярна траплялі ў турэцкую тэхналагічную прэсу, і рэпутацыйная цана публічнага рашэння KVKK звычайна вышэйшая за сам штраф.

Тэмы правапрымянення

Дзеянні Савета ў 2025 і пачатку 2026 года групуюцца вакол невялікага набору паўтаральных праблем: адсутная або двухсэнсоўная згода на cookie, неадэкватнае Aydınlatma Metni, незарэгістраваныя замежныя кантролёры ў VERBIS і незаконныя трансгранічныя перадачы з выкарыстаннем структуры да 2024 года.

Чэк-ліст аўдыту для турэцкага трафіку ў 2026 годзе

• Банер CMP падаецца на турэцкай для турэцкіх карыстальнікаў, з «Прыняць», «Адхіліць» і «Наладзіць» на роўнай візуальнай прыкметнасці
• Мэты згоды гранулярныя і аддзяляюць любую апрацоўку адчувальных катэгорый за ўласным патокам яўнай згоды
• Журналы згоды маюць часавыя меткі, экспартуемыя і захоўваюцца прынамсі на час апрацоўкі плюс правяральны запас
• Aydınlatma Metni даступна на турэцкай з поўнымі раскрыццямі кантролёра, апрацоўшчыкаў, мэт, захоўвання і правоў
• Рэгістрацыя VERBIS завершана і актуальная, калі кантролёр перавышае парог
• Трансгранічныя перадачы абапіраюцца на стандартныя дагаворныя палажэнні 2024 года або іншы сапраўдны механізм Артыкула 9, з механізмам, задакументаваным у Aydınlatma Metni
• Працоўны працэс запытаў суб'ектаў даных можа адказваць на працягу 30 дзён ад пачатку да канца, на турэцкай
• Спіс пастаўшчыкоў быў перагледжаны, з выдаленнем невыкарыстоўваных або залішніх пастаўшчыкоў для зніжэння ўразлівасці

Перспектыва 2026 года

Рэжым абароны даных Турцыі дагнаў еўрапейскую структуру па форме і хутка даганяе па правапрымяненні. Папраўкі 2024 года ліквідавалі найбуйнейшы структурны блакіратар сучаснага міжнароднага рэкламнага тэхстэка — стары рэжым перадачы — і Савет выкарыстаў мінулыя два гады, каб засяродзіцца на правапрымяненні астатняй часткі закона. Выдаўцам са стэкам згоды ўзроўню GDPR трэба ўнесці адносна невялікія карэкціроўкі, каб быць гатовымі да Турцыі: CMP і паведамленне на турэцкай мове, рэгістрацыя VERBIS, калі дастасавальна, дагаворныя палажэнні аб перадачы стандарту 2024 года і ўвага да больш шырокага спіса адчувальных даных. Выдаўцы, якія ставіліся да Турцыі як да рынку з больш лёгкім падыходам, знойдуць 2026 год даражэйшым за 2025 год, а 2027 год даражэйшым за 2026 год. Разрыў можна закрыць за тыдні, калі яму аддаць прыярытэт, — і гэта варта зрабіць.