Структурата на KVKK след измененията от 2024 г.

KVKK е основният законодателен акт за защита на данните в Турция, а изменения му текст вече е референтната точка. Издателите, работили по версията преди 2024 г., разполагат с остаряла рамка.

Какво промениха измененията от 2024 г.

Основната промяна беше преписването на Член 9, уреждащ международното прехвърляне на данни. Режимът преди 2024 г. беше изключително труден за спазване — изискваше или изрично съгласие, или разрешение от Съвета за всеки трансграничен поток поотделно, което беше нереалистично за всяка съвременна рекламна технологична система. Изменен Член 9 въвежда три нива на механизъм за прехвърляне: решение за адекватност от Съвета, набор от подходящи гаранции, включително стандартни договорни клаузи, и в тесни случаи — набор от дерогации. Това най-накрая привежда турското законодателство за трансфери в съответствие с модела на GDPR и прави програматичната реклама съответстваща на международното право без подаване на документи до Съвета за всеки доставчик поотделно.

Какво не се промени

Основните определения, законовите основания, правата на субектите на данни и стандартът за изрично съгласие за чувствителни данни останаха непроменени. Турският праг за изрично съгласие е на практика по-строг от стандарта на GDPR и именно тук се намират повечето пропуски в съответствието на издателите.

Регистърът VERBIS

Администраторите на данни, надхвърлящи определени прагове — включително повечето чуждестранни администратори, обработващи турски лични данни в мащаб — трябва да се регистрират в Регистъра на администраторите на данни (VERBIS). Регистрацията изисква оповестяване на дейностите по обработка, правните основания и механизмите за прехвърляне. Много чуждестранни издатели исторически са пропускали регистрацията в VERBIS; Съветът е сигнализирал за по-активна позиция по този въпрос в периода 2025–2026 г.

Какво се счита за лични данни по KVKK

Определението за лични данни по KVKK е широко и съвпада в голяма степен с GDPR. Личните данни са всяка информация, отнасяща се до идентифицирано или идентифицируемо физическо лице, а насоките на Съвета последователно третират бисквитките, рекламните идентификатори, IP адресите и дигиталните отпечатъци на устройства като лични данни, когато могат да бъдат свързани с потребителя пряко или чрез разумни средства.

Чувствителни лични данни

Списъкът на KVKK с чувствителни категории е по-широк от този на GDPR: той изрично включва раса, етнически произход, политическо мнение, философско убеждение, религия, секта, външен вид, членство в сдружение или фондация, здраве, сексуален живот, криминална осъда, мерки за сигурност и биометрични и генетични данни. Обработването на всяка от тях изисква изрично съгласие — не неясното или пакетираното, а конкретно, информирано, свободно дадено съгласие, обвързано с конкретната чувствителна обработка.

Защо това е важно за бисквитките

Бисквитката, която само съхранява идентификатор на сесия, е основни лични данни. Бисквитката, захранваща аудиторен сегмент като Либерални гласоподаватели или Набожна религиозна общност, е чувствителни лични данни по турската дефиниция — и изискваната конфигурация на съгласие е изрично съгласие или нищо. Издателите, насочващи се към аудиторни сегменти, засягащи чувствителния списък на KVKK, не трябва да пускат тези сегменти под общо рекламно съгласие.

Съгласие за бисквитки по KVKK през 2026 г.

Позицията на Съвета относно бисквитките се е затегнала през последните две години. Настоящите насоки са недвусмислени: бисквитките и технологиите за проследяване, обработващи лични данни, изискват съгласие, освен ако не са строго необходими за услуга, заявена от потребителя.

Четирите елемента на валидното изрично съгласие

Турското изрично съгласие трябва да бъде:

• Свързано с конкретен предмет — общото съгласие „под чадър", покриващо неопределена бъдеща обработка, е невалидно
• Информирано — потребителят разбира кои данни се обработват, за каква цел, от кого и за какъв период
• Свободно дадено — потребителят може да откаже, без да му бъде отказана услуга, на която по принцип има право
• Изразено чрез ясно утвърдително действие — предварително отметнати полета, подразбиращо се съгласие и превъртане като съгласие са невалидни

Как изглежда съответстващ CMP

CMP, конфигурирана за турски трафик през 2026 г., трябва да представя:

• Видим банер преди стартирането на бисквитки, несъществени за услугата, по подразбиране на турски (Türkçe) за турски потребители
• Равна визуална видимост за Приемам, Отказвам и Персонализирам — Съветът изрично е критикувал дизайни на банери, при които Отказвам е по-малко видим от Приемам
• Детайлни превключватели за всяка цел: анализи, реклама, персонализация, трансгранично прехвърляне и всяка обработка на чувствителни категории
• Постоянен, лесно достъпен механизъм за оттегляне на съгласие след първоначалния избор
• Aydınlatma Metni (Уведомление за поверителност) на турски език, разкриващ самоличността на администратора, целите, получателите, срока на съхранение и правата
• Отделен, ясно обозначен поток за изрично съгласие (açık rıza) за всяка обработка на чувствителни категории, активиран чрез собствено действие

Записи на съгласие

Администраторът трябва да поддържа записи на съгласие — кой е дал съгласие, кога, за какво, чрез какъв интерфейс. Съветът на KVKK е цитирал неадекватни регистри на съгласие в няколко принудителни действия, а експортируемите записи с времев печат са минималното очакване.

Трансгранични прехвърляния по изменения Член 9 от 2024 г.

Измененията от 2024 г. въведоха трикомпонентна рамка за прехвърляне, която отразява подхода на GDPR. Разбирането кое ниво се прилага за кой поток е най-честият пропуск в съответствието за чуждестранните издатели през 2026 г.

Ниво 1 — Решение за адекватност

Съветът може да определи дадена държава, международна организация или сектор на дадена държава като осигуряващи адекватна защита. Прехвърлянията към адекватни дестинации са разрешени без допълнителен механизъм. Към началото на 2026 г. Съветът постепенно издаваше решения за адекватност, но все още не беше определил Съединените щати в широк мащаб.

Ниво 2 — Подходящи гаранции

При липса на адекватност прехвърлянията са разрешени на основата на подходящи гаранции. Измененията изрично предвиждат стандартни договорни клаузи, одобрени от Съвета, задължителни корпоративни правила за вътрешногрупови прехвърляния и одобрени от Съвета кодекси на поведение или механизми за сертифициране. Стандартните договорни клаузи на Съвета бяха публикувани през 2024 г. и са основният работещ механизъм за повечето издатели.

Ниво 3 — Дерогации

Съществуват тесни изключения за случайни прехвърляния, прехвърляния, необходими за изпълнение на договор, или прехвърляния, за които потребителят е дал изрично съгласие. Те не могат да се използват като основно правно основание за продължаващи програматични потоци.

Практическо значение за издателите

Типичната програматична система изпраща данни, извлечени от бисквитки, до десетки чуждестранни доставчици при всяко наддаване. Всеки от тези потоци е трансгранично прехвърляне. Работещият подход за 2026 г. е да се сключат одобрените от Съвета стандартни договорни клаузи с всеки международен обработващ и да се документира механизмът за прехвърляне в Aydınlatma Metni и регистрацията в VERBIS. Издателите, придържали се към логиката на изрично съгласие за всяко прехвърляне по модела преди 2024 г., са едновременно прекалено изложени на риска от несъответствие и се лишават от приходни възможности.

Права на субектите на данни

Турските субекти на данни имат пълния набор от права, предвидени в GDPR, приложени чрез рамката на KVKK:

• Право да научат дали данните им се обработват
• Право на достъп до обработваните данни
• Право на коригиране на неточни данни
• Право на изтриване или анонимизиране, когато обработката вече не е оправдана
• Право да бъдат уведомени за третите страни, на които данните са разкрити
• Право да се противопоставят на автоматизирани решения, пораждащи неблагоприятни последици
• Право на обезщетение за вреди, причинени от незаконна обработка

Срокове за отговор

Администраторите трябва да отговорят на исканията на субектите на данни в рамките на 30 дни. Субектът на данни може да сезира Съвета на KVKK, ако отговорът на администратора е неадекватен, а Съветът разполага с 60-дневен прозорец за решение. Оперативната готовност за 30-дневния прозорец — с работни наръчници, инструменти и шаблони за отговор на турски език — е честа слабост за чуждестранните издатели.

Санкции и позиция по прилагане през 2026 г.

Съветът на KVKK беше сравнително тих в първите си години, но значително засили прилагането. Общата сума на глобите за 2025 г. беше най-висока от влизането в сила на закона, а 2026 г. е на подобна траектория.

Административни глоби

Административните глоби се индексират ежегодно към инфлацията. Към 2026 г. таванът за най-тежките нарушения надвишава 40 милиона TRY на нарушение, а отделни тавани се прилагат за пропуски в сигурността на данните, уведомяването, регистрацията в VERBIS и изпълнението на решенията на Съвета. Чуждестранни администратори са глобявани на максималния размер в няколко действия за 2025 г.

Репутационна изложеност

Съветът публикува резюмета на решенията по прилагането на уебсайта си. Глобите на чуждестранни издатели редовно намират място в турската технологична преса, а репутационната цена на публично решение на KVKK обикновено е по-висока от самата глоба.

Теми в прилагането

Действията на Съвета за 2025 г. и началото на 2026 г. се концентрират около малък набор от повтарящи се проблеми: липсващо или неясно съгласие за бисквитки, неадекватен Aydınlatma Metni, нерегистрирани чуждестранни администратори в VERBIS и незаконни трансгранични прехвърляния по рамката преди 2024 г.

Контролен списък за одит за турски трафик през 2026 г.

• Банерът на CMP се показва на турски за турски потребители, с Приемам, Отказвам и Персонализирам при еднаква визуална видимост
• Целите на съгласие са детайлни и всяка обработка на чувствителни категории е скрита зад собствен поток за изрично съгласие
• Записите на съгласие са с времев печат, могат да се експортират и се съхраняват поне за периода на обработка плюс одитируем марж
• Aydınlatma Metni е достъпен на турски с пълно разкриване на администратора, обработващите, целите, срока на съхранение и правата
• Регистрацията в VERBIS е пълна и актуална, ако администраторът надвишава прага
• Трансграничните прехвърляния се основават на стандартни договорни клаузи от 2024 г. или друг валиден механизъм по Член 9, като механизмът е документиран в Aydınlatma Metni
• Работният процес за искания на субекти на данни може да отговори в рамките на 30 дни от начало до край на турски език
• Списъкът с доставчици е прегледан, като неизползваните или излишните доставчици са премахнати за намаляване на изложеността

Перспективата за 2026 г.

Режимът за защита на данните в Турция е настигнал европейската рамка по форма и бързо я настига и по прилагане. Измененията от 2024 г. премахнаха най-голямата структурна пречка пред съвременните международни рекламни технологии — стария режим на прехвърляне — а Съветът използва следващите две години, за да се съсредоточи върху прилагането на останалата част от закона. Издателите с рекламна система за съгласие на ниво GDPR трябва да направят сравнително малки корекции, за да бъдат готови за Турция: CMP и уведомление на турски, регистрация в VERBIS ако е приложимо, клаузи за прехвърляне по стандарта от 2024 г. и внимание към по-широкия списък за чувствителни данни. Издателите, третирали Турция като по-леко регулиран пазар, ще намерят 2026 г. по-скъпа от 2025 г., а 2027 г. — по-скъпа от 2026 г. Пропастта може да бъде преодоляна за седмици, ако се приоритизира — и трябва да бъде.