Turecký KVKK a novely z roku 2024: Průvodce pro vydavatele a inzerenty v oblasti souhlasu s cookies, přeshraničních přenosů a výslovného souhlasu v roce 2026
Turecký zákon o ochraně osobních údajů (KVKK, zákon č. 6698) je platný od roku 2016, po většinu toho desetiletí ale fungoval jako tišší bratranec GDPR — strukturálně podobný, avšak v prosazování výrazně mírnější. Ta éra skončila. Novely KVKK z roku 2024, zveřejněné v Úředním věstníku dne 12. března 2024, přestrukturovaly režim přeshraničního přenosu dat tak, aby byl v souladu s rozhodnutím o přiměřenosti a standardními smluvními doložkami ve stylu GDPR, a Rada KVKK (Kişisel Verileri Koruma Kurulu) v průběhu roku 2025 a přes rok 2026 smysluplně zintenzivnila vymáhání. Pro jakéhokoli vydavatele, inzerenta nebo platformu zpracovávající data tureckých uživatelů — ať sídlí v Turecku nebo obsluhuje turecký trh ze zahraničí — je rok 2026 rokem, kdy moderní systém správy souhlasů přestává být volitelnou výhodou a stává se základním standardem. Tento průvodce prochází zákon v jeho novelizované podobě, skutečné požadavky na souhlas s cookies, způsob fungování přeshraničních přenosů po novelách a to, jak Radou vymáhané předpisy vypadají v praxi.
Struktura KVKK po novelách z roku 2024
KVKK je hlavním zákonem o ochraně dat v Turecku a jeho novelizované znění je nyní referenčním bodem. Vydavatelé, kteří pracovali s verzí před rokem 2024, vycházejí ze zastaralého rámce.
Co novely z roku 2024 změnily
Zásadní změnou bylo přepsání článku 9, který upravuje mezinárodní přenosy dat. Režim před rokem 2024 bylo notoricky obtížné naplnit — vyžadoval buď výslovný souhlas, nebo povolení Rady pro každý případ přeshraničního toku dat, což bylo pro jakýkoli moderní technologický systém v oblasti reklamy nepraktické. Novelizovaný článek 9 zavádí tři úrovně mechanismu přenosu: rozhodnutí o přiměřenosti od Rady, soubor vhodných záruk včetně standardních smluvních doložek a v úzkých případech soubor výjimek. To konečně slaďuje turecký zákon o přenosech s modelem GDPR a umožňuje programatické inzerování v souladu s mezinárodními požadavky bez podávání žádostí Radě pro každého dodavatele zvlášť.
Co se nezměnilo
Klíčové definice, zákonné důvody, práva subjektů údajů a standard výslovného souhlasu pro citlivé údaje zůstaly beze změny. Turecká laťka pro výslovný souhlas je v praxi přísnější než standard GDPR a zde se stále nacházejí největší mezery v souladu vydavatelů.
Registr VERBIS
Správci údajů překračující určité prahové hodnoty — včetně většiny zahraničních správců zpracovávajících turecké osobní údaje ve velkém měřítku — se musí registrovat v Registru správců údajů (VERBIS). Registrace vyžaduje zveřejnění činností zpracování, zákonných důvodů a mechanismů přenosu. Mnoho zahraničních vydavatelů registraci VERBIS historicky přeskočilo; Rada signalizovala aktivnější přístup k tomuto tématu v průběhu roku 2025 a 2026.
Co se považuje za osobní údaje podle KVKK
Definice osobních údajů v KVKK je široká a úzce koresponduje s GDPR. Osobní údaje jsou jakékoli informace týkající se identifikované nebo identifikovatelné fyzické osoby a pokyny Rady konzistentně považují cookies, reklamní identifikátory, IP adresy a otisky zařízení za osobní údaje, pokud je lze přímo nebo přiměřenými prostředky spojit s uživatelem.
Citlivé osobní údaje
Seznam citlivých kategorií v KVKK je širší než v GDPR: výslovně zahrnuje rasu, etnický původ, politický názor, filozofické přesvědčení, náboženství, sektu, vzhled, členství v sdružení nebo nadaci, zdraví, sexuální život, trestní odsouzení, bezpečnostní opatření a biometrické a genetické údaje. Zpracování kteréhokoli z nich vyžaduje výslovný souhlas — nikoli nejednoznačný nebo sdružený, ale konkrétní, informovaný, svobodně udělený souhlas vázaný na konkrétní citlivé zpracování.
Proč je to důležité pro cookies
Cookie, která ukládá pouze identifikátor relace, jsou základní osobní údaje. Cookie, která zásobuje segment publika jako Liberální voliči nebo Zbožná náboženská komunita, jsou citlivé osobní údaje podle turecké definice — a požadovaná konfigurace souhlasu je výslovný souhlas nebo nic. Vydavatelé cílící na segmenty publika, které se dotýkají citlivého seznamu KVKK, by neměli provozovat tyto segmenty v rámci obecného reklamního souhlasu.
Souhlas s cookies podle KVKK v roce 2026
Postoj Rady ke cookies se za poslední dva roky zpřísnil. Současné pokyny jsou jednoznačné: cookies a sledovací technologie zpracovávající osobní údaje vyžadují souhlas, pokud nejsou nezbytně nutné pro službu, o kterou uživatel požádal.
Čtyři prvky platného výslovného souhlasu
Turecký výslovný souhlas musí být:
- Vázán na konkrétní předmět — obecný zastřešující souhlas pokrývající blíže nespecifikované budoucí zpracování není platný
- Informovaný — uživatel rozumí tomu, jaké údaje jsou zpracovávány, za jakým účelem, kým a jak dlouho
- Svobodně udělený — uživatel může odmítnout, aniž by mu byla odepřena služba, na kterou má jinak nárok
- Vyjádřený jasným kladným úkonem — předem zaškrtnutá políčka, implicitní souhlas a scrollování jako souhlas jsou neplatné
Jak vypadá kompatibilní CMP
CMP nakonfigurovaný pro turecký provoz v roce 2026 by měl prezentovat:
- Viditelný banner před aktivací jakéhokoli nezbytného cookies, s turečtinou (Türkçe) jako výchozím jazykem pro turecké uživatele
- Stejnou vizuální prominenci pro Přijmout, Odmítnout a Přizpůsobit — Rada konkrétně kritizovala designy bannerů, kde je Odmítnout méně viditelné než Přijmout
- Granulární přepínače pro každý účel: analytika, reklama, personalizace, přeshraniční přenos a jakékoli zpracování citlivých kategorií
- Trvalý, snadno přístupný mechanismus pro odvolání souhlasu po úvodní volbě
- Aydınlatma Metni (Oznámení o ochraně soukromí) v tureckém jazyce obsahující informace o správci, účelech, příjemcích, době uchovávání a právech
- Samostatný, jasně označený tok výslovného souhlasu (açık rıza) pro jakékoli zpracování citlivých kategorií, chráněný vlastní akcí
Záznamy o souhlasu
Správce musí vést záznamy o souhlasu — kdo souhlasil, kdy, s čím, prostřednictvím jakého rozhraní. Rada KVKK citovala nedostatečné protokoly souhlasu v několika vymáhacích akcích a exportovatelné záznamy s časovými razítky jsou minimálním očekáváním.
Přeshraniční přenosy podle novelizovaného článku 9 z roku 2024
Novely z roku 2024 zavedly třístupňový rámec přenosů, který odráží přístup GDPR. Pochopení toho, která úroveň se vztahuje na který tok, je nejčastější mezerou v souladu zahraničních vydavatelů v roce 2026.
Úroveň 1 — Rozhodnutí o přiměřenosti
Rada může určit zemi, mezinárodní organizaci nebo sektor země jako poskytující přiměřenou ochranu. Přenosy do přiměřených destinací jsou povoleny bez dalšího mechanismu. Na začátku roku 2026 Rada postupně vydávala rozhodnutí o přiměřenosti, ale ještě neurčila Spojené státy v širokém rozsahu.
Úroveň 2 — Vhodné záruky
V případě neexistence přiměřenosti jsou přenosy povoleny na základě vhodných záruk. Novely výslovně počítají se standardními smluvními doložkami schválenými Radou, závaznými podnikovými pravidly pro přenosy uvnitř skupiny a kodexy chování nebo certifikačními mechanismy schválenými Radou. Standardní smluvní doložky Rady byly zveřejněny v roce 2024 a jsou hlavním pracovním mechanismem pro většinu vydavatelů.
Úroveň 3 — Výjimky
Existují úzké výjimky pro příležitostné přenosy, přenosy potřebné pro plnění smlouvy nebo přenosy, se kterými uživatel výslovně souhlasil. Tyto nelze použít jako primární právní základ pro průběžné programatické toky.
Praktické důsledky pro vydavatele
Typický programatický systém odesílá data odvozená z cookies desítkám zahraničních dodavatelů při každé aukci. Každý z těchto toků je přeshraničním přenosem. Funkční přístup pro rok 2026 spočívá v uzavření standardních smluvních doložek schválených Radou s každým mezinárodním zpracovatelem a zdokumentování mechanismu přenosu v Aydınlatma Metni a registraci VERBIS. Vydavatelé, kteří se drželi logiky výslovného souhlasu pro každý přenos podle vzoru před rokem 2024, jsou zároveň nadměrně vystaveni riziku nesouladu a nedostatečně využívají monetizační příležitosti.
Práva subjektů údajů
Turečtí subjekty údajů mají úplnou sadu práv obsažených v GDPR, uplatňovaných v rámci KVKK:
- Právo zjistit, zda jsou jejich data zpracovávána
- Právo na přístup ke zpracovávaným datům
- Právo na opravu nepřesných dat
- Právo na výmaz nebo anonymizaci, pokud zpracování již není odůvodněné
- Právo být informován o třetích stranách, kterým byla data zpřístupněna
- Právo vznést námitku proti automatizovaným rozhodnutím způsobujícím nepříznivé účinky
- Právo na náhradu škody způsobené protiprávním zpracováním
Lhůty pro odpověď
Správci musí odpovídat na žádosti subjektů údajů do 30 dnů. Subjekt údajů může eskalovat na Radu KVKK, pokud odpověď správce není dostatečná, a Rada má 60denní okno pro rozhodnutí. Operační připravenost pro 30denní okno — s provozními příručkami, nástroji a šablonami odpovědí v tureckém jazyce — je běžnou mezerou u zahraničních vydavatelů.
Sankce a postoj k vymáhání v roce 2026
Rada KVKK byla v prvních letech relativně klidná, ale smysluplně zintenzivnila vymáhání. Celková výše pokut za rok 2025 byla nejvyšší od doby, kdy zákon vstoupil v platnost, a rok 2026 je na podobné trajektorii.
Správní pokuty
Správní pokuty jsou ročně indexovány k inflaci. Od roku 2026 strop za nejzávažnější porušení přesahuje 40 milionů TRY za jedno porušení a samostatné stropy se vztahují na selhání v oblasti bezpečnosti dat, oznamování, registrace VERBIS a rozhodnutí Rady. Zahraniční správci byli v několika akcích v roce 2025 pokutováni na horní hranici rozsahu.
Reputační expozice
Rada zveřejňuje na svých webových stránkách shrnutí rozhodnutí o vymáhání. Pokuty zahraničních vydavatelů se pravidelně objevovaly v tureckém technologickém tisku a reputační náklady veřejného rozhodnutí KVKK jsou obvykle vyšší než samotná pokuta.
Témata vymáhání
Akce Rady v roce 2025 a na začátku roku 2026 se soustřeďují kolem malé sady opakujících se problémů: chybějící nebo nejednoznačný souhlas s cookies, nedostatečný Aydınlatma Metni, neregistrovaní zahraniční správci v VERBIS a protiprávní přeshraniční přenosy v rámci předreformního rámce z roku 2024.
Kontrolní seznam auditu pro turecký provoz v roce 2026
- Banner CMP je zobrazován turecky pro turecké uživatele, s Přijmout, Odmítnout a Přizpůsobit se stejnou vizuální prominencí
- Účely souhlasu jsou granulární a jakékoli zpracování citlivých kategorií je skryto za vlastním tokem výslovného souhlasu
- Záznamy souhlasu mají časová razítka, jsou exportovatelné a uchovávají se alespoň po dobu zpracování plus auditovatelnou rezervu
- Aydınlatma Metni je v turečtině k dispozici s úplným zveřejněním správce, zpracovatelů, účelů, doby uchovávání a práv
- Registrace VERBIS je kompletní a aktuální, pokud správce překračuje prahovou hodnotu
- Přeshraniční přenosy se opírají o standardní smluvní doložky z roku 2024 nebo o jiný platný mechanismus podle článku 9, s mechanismem zdokumentovaným v Aydınlatma Metni
- Pracovní postup pro žádosti subjektů údajů dokáže odpovědět do 30 dnů od začátku do konce, v tureckém jazyce
- Seznam dodavatelů byl přezkoumán s odstraněním nepoužívaných nebo nadbytečných dodavatelů za účelem snížení expozice
Výhled pro rok 2026
Turecký režim ochrany dat dohnal evropský rámec formou a rychle ho dohání i v prosazování. Novely z roku 2024 odstranily největší strukturální překážku pro moderní mezinárodní adtech — starý režim přenosů — a Rada využila uplynulé dva roky k zaměření na prosazování zbytku zákona. Vydavatelé s vrstevnatým systémem souhlasů ve standardu GDPR musí provést relativně malé úpravy, aby byli připraveni na Turecko: CMP a oznámení v turečtině, registrace VERBIS pokud je použitelná, doložky o přenosu ve standardu z roku 2024 a pozornost věnovaná širšímu seznamu citlivých dat. Vydavatelé, kteří k Turecku přistupovali jako k méně přísněji regulovanému trhu, shledají rok 2026 nákladnějším než rok 2025 a rok 2027 nákladnějším než rok 2026. Mezera může být uzavřena v průběhu týdnů, pokud bude prioritizována — a měla by být.