Η δομή του KVKK μετά τις τροποποιήσεις του 2024

Το KVKK είναι ο κύριος νόμος προστασίας δεδομένων στην Τουρκία, και το τροποποιημένο κείμενό του αποτελεί πλέον το σημείο αναφοράς. Εκδότες που εργάζονται βάσει της έκδοσης προ του 2024 χρησιμοποιούν ένα παρωχημένο πλαίσιο.

Τι άλλαξαν οι τροποποιήσεις του 2024

Η κεντρική αλλαγή ήταν η επανεγγραφή του Άρθρου 9, που διέπει τις διεθνείς μεταφορές δεδομένων. Το καθεστώς προ του 2024 ήταν γνωστά δύσκολο να τηρηθεί — απαιτούσε είτε ρητή συγκατάθεση είτε έγκριση του Συμβουλίου ανά περίπτωση για σχεδόν κάθε διασυνοριακή ροή, κάτι που ήταν ανεφάρμοστο για κάθε σύγχρονη τεχνολογική στοίβα διαφήμισης. Το τροποποιημένο Άρθρο 9 εισάγει τρία επίπεδα μηχανισμού μεταφοράς: απόφαση επάρκειας από το Συμβούλιο, σύνολο κατάλληλων εγγυήσεων περιλαμβανομένων τυπικών συμβατικών ρητρών, και σε στενές περιπτώσεις σύνολο παρεκκλίσεων. Αυτό εναρμονίζει επιτέλους τον τουρκικό νόμο μεταφορών με το πρότυπο GDPR και καθιστά το programmatic advertising διεθνώς συμμορφούμενο χωρίς ξεχωριστή αίτηση στο Συμβούλιο ανά προμηθευτή.

Τι δεν άλλαξε

Οι βασικοί ορισμοί, οι νόμιμες βάσεις, τα δικαιώματα υποκειμένων δεδομένων και το πρότυπο ρητής συγκατάθεσης για ευαίσθητα δεδομένα παραμένουν ως είχαν. Ο τουρκικός πήχης ρητής συγκατάθεσης είναι στην πράξη αυστηρότερος από το πρότυπο του GDPR, και εδώ εντοπίζονται ακόμα τα περισσότερα κενά συμμόρφωσης των εκδοτών.

Το Μητρώο VERBIS

Υπεύθυνοι επεξεργασίας που υπερβαίνουν ορισμένα κατώφλια — συμπεριλαμβανομένων των περισσότερων αλλοδαπών υπευθύνων που επεξεργάζονται τουρκικά προσωπικά δεδομένα σε μεγάλη κλίμακα — πρέπει να εγγραφούν στο Μητρώο Υπευθύνων Επεξεργασίας (VERBIS). Η εγγραφή απαιτεί γνωστοποίηση δραστηριοτήτων επεξεργασίας, νόμιμων βάσεων και μηχανισμών μεταφοράς. Πολλοί αλλοδαποί εκδότες έχουν παραδοσιακά παραλείψει την εγγραφή στο VERBIS· το Συμβούλιο έχει σηματοδοτήσει πιο ενεργητική στάση σε αυτό το ζήτημα κατά τη διάρκεια του 2025 και 2026.

Τι θεωρείται προσωπικό δεδομένο βάσει KVKK

Ο ορισμός προσωπικών δεδομένων του KVKK είναι ευρύς και ευθυγραμμίζεται στενά με αυτόν του GDPR. Προσωπικά δεδομένα είναι οποιεσδήποτε πληροφορίες σχετίζονται με εντοπισμένο ή εντοπίσιμο φυσικό πρόσωπο, και οι κατευθύνσεις του Συμβουλίου αντιμετωπίζουν σταθερά τα cookies, τα αναγνωριστικά διαφήμισης, τις διευθύνσεις IP και τα ψηφιακά αποτυπώματα συσκευών ως προσωπικά δεδομένα, όταν μπορούν να συνδεθούν με έναν χρήστη άμεσα ή μέσω εύλογων μέσων.

Ευαίσθητα προσωπικά δεδομένα

Ο κατάλογος ευαίσθητων κατηγοριών του KVKK είναι ευρύτερος από αυτόν του GDPR: περιλαμβάνει ρητά φυλή, εθνική καταγωγή, πολιτική γνώμη, φιλοσοφική πεποίθηση, θρησκεία, αίρεση, εμφάνιση, συμμετοχή σε σύλλογο ή ίδρυμα, υγεία, σεξουαλική ζωή, ποινική καταδίκη, μέτρα ασφαλείας και βιομετρικά και γενετικά δεδομένα. Η επεξεργασία οποιουδήποτε από αυτά απαιτεί ρητή συγκατάθεση — όχι την ασαφή ή συνδυαστική, αλλά συγκεκριμένη, ενημερωμένη, ελεύθερα παρεχόμενη συγκατάθεση συνδεδεμένη με τη συγκεκριμένη ευαίσθητη επεξεργασία.

Γιατί αυτό έχει σημασία για τα cookies

Ένα cookie που αποθηκεύει μόνο ένα αναγνωριστικό συνεδρίας αποτελεί βασικά προσωπικά δεδομένα. Ένα cookie που τροφοδοτεί ένα τμήμα κοινού όπως Φιλελεύθεροι ψηφοφόροι ή Ευσεβής θρησκευτική κοινότητα αποτελεί ευαίσθητα προσωπικά δεδομένα βάσει του τουρκικού ορισμού — και η απαιτούμενη διαμόρφωση συγκατάθεσης είναι ρητή συγκατάθεση ή τίποτα. Εκδότες που στοχεύουν τμήματα κοινού που αγγίζουν τον ευαίσθητο κατάλογο του KVKK δεν πρέπει να εκτελούν αυτά τα τμήματα υπό γενική διαφημιστική συγκατάθεση.

Συγκατάθεση για cookies βάσει KVKK το 2026

Η στάση του Συμβουλίου απέναντι στα cookies έχει γίνει αυστηρότερη τα τελευταία δύο χρόνια. Οι τρέχουσες κατευθύνσεις είναι σαφείς: τα cookies και οι τεχνολογίες παρακολούθησης που επεξεργάζονται προσωπικά δεδομένα απαιτούν συγκατάθεση, εκτός εάν είναι απολύτως απαραίτητα για υπηρεσία που έχει ζητήσει ο χρήστης.

Τα τέσσερα στοιχεία της έγκυρης ρητής συγκατάθεσης

Η τουρκική ρητή συγκατάθεση πρέπει να είναι:

• Σχετική με συγκεκριμένο αντικείμενο — η γενική ομπρέλα συγκατάθεσης που καλύπτει αόριστη μελλοντική επεξεργασία δεν είναι έγκυρη
• Ενημερωμένη — ο χρήστης κατανοεί ποια δεδομένα επεξεργάζονται, για ποιο σκοπό, από ποιον και για πόσο διάστημα
• Ελεύθερα παρεχόμενη — ο χρήστης μπορεί να αρνηθεί χωρίς να του αποστερηθεί υπηρεσία στην οποία δικαιούται υπό άλλες συνθήκες
• Εκφρασμένη με σαφή καταφατική πράξη — τα προεπιλεγμένα κουτάκια, η σιωπηρή συγκατάθεση και η κύλιση ως συγκατάθεση είναι όλα άκυρα

Πώς φαίνεται ένα συμμορφούμενο CMP

Ένα CMP ρυθμισμένο για τουρκική κυκλοφορία το 2026 πρέπει να παρουσιάζει:

• Ορατό banner πριν ενεργοποιηθεί οποιοδήποτε μη απαραίτητο cookie, με προεπιλογή τουρκικά (Türkçe) για τους Τούρκους χρήστες
• Ίση οπτική εμφάνιση για Αποδοχή, Απόρριψη και Προσαρμογή — το Συμβούλιο έχει επισημάνει ειδικά σχέδια banner όπου η Απόρριψη είναι λιγότερο ορατή από την Αποδοχή
• Λεπτομερείς εναλλάκτες ανά σκοπό: αναλυτικά, διαφήμιση, εξατομίκευση, διασυνοριακή μεταφορά και οποιαδήποτε επεξεργασία ευαίσθητης κατηγορίας
• Μόνιμο, εύκολα προσβάσιμο μηχανισμό ανάκλησης συγκατάθεσης μετά την αρχική επιλογή
• Τουρκόφωνο Aydınlatma Metni (Ειδοποίηση Απορρήτου) που γνωστοποιεί την ταυτότητα του υπευθύνου, σκοπούς, αποδέκτες, περίοδο διατήρησης και δικαιώματα
• Ξεχωριστή, σαφώς επισημασμένη ροή ρητής συγκατάθεσης (açık rıza) για οποιαδήποτε επεξεργασία ευαίσθητης κατηγορίας, προστατευμένη από τη δική της ενέργεια

Αρχεία συγκατάθεσης

Ο υπεύθυνος επεξεργασίας πρέπει να τηρεί αρχεία συγκατάθεσης — ποιος συναίνεσε, πότε, σε τι, μέσω ποιας διεπαφής. Το Συμβούλιο KVKK έχει αναφερθεί σε ανεπαρκή αρχεία συγκατάθεσης σε αρκετές ενέργειες επιβολής, και τα εξαγώγιμα αρχεία με χρονοσήμανση αποτελούν ελάχιστη προσδοκία.

Διασυνοριακές μεταφορές βάσει του τροποποιημένου Άρθρου 9 του 2024

Οι τροποποιήσεις του 2024 εισήγαγαν ένα τριεπίπεδο πλαίσιο μεταφορών που αντικατοπτρίζει την προσέγγιση του GDPR. Η κατανόηση ποιο επίπεδο εφαρμόζεται σε ποια ροή είναι το πιο συνηθισμένο κενό συμμόρφωσης για αλλοδαπούς εκδότες το 2026.

Επίπεδο 1 — Απόφαση Επάρκειας

Το Συμβούλιο μπορεί να χαρακτηρίσει χώρα, διεθνή οργανισμό ή κλάδο χώρας ως παρέχοντα επαρκή προστασία. Μεταφορές σε επαρκείς προορισμούς επιτρέπονται χωρίς επιπλέον μηχανισμό. Στις αρχές του 2026, το Συμβούλιο εξέδιδε σταδιακά αποφάσεις επάρκειας αλλά δεν είχε ακόμα χαρακτηρίσει ευρέως τις Ηνωμένες Πολιτείες.

Επίπεδο 2 — Κατάλληλες Εγγυήσεις

Ελλείψει επάρκειας, οι μεταφορές επιτρέπονται βάσει κατάλληλων εγγυήσεων. Οι τροποποιήσεις προβλέπουν ειδικά τυπικές συμβατικές ρήτρες εγκεκριμένες από το Συμβούλιο, δεσμευτικούς εταιρικούς κανόνες για ενδοομιλικές μεταφορές και εγκεκριμένους από το Συμβούλιο κώδικες δεοντολογίας ή μηχανισμούς πιστοποίησης. Οι τυπικές συμβατικές ρήτρες του Συμβουλίου δημοσιεύτηκαν το 2024 και αποτελούν τον κύριο λειτουργικό μηχανισμό για τους περισσότερους εκδότες.

Επίπεδο 3 — Παρεκκλίσεις

Υπάρχουν στενές εξαιρέσεις για περιστασιακές μεταφορές, μεταφορές που απαιτούνται για εκτέλεση σύμβασης ή μεταφορές στις οποίες ο χρήστης έχει ρητά συναινέσει. Αυτές δεν μπορούν να χρησιμοποιηθούν ως κύρια νόμιμη βάση για συνεχιζόμενες programmatic ροές.

Πρακτική επίπτωση για εκδότες

Μια τυπική programmatic στοίβα στέλνει δεδομένα που προέρχονται από cookies σε δεκάδες υπερπόντιους προμηθευτές ανά προσφορά. Καθεμία από αυτές τις ροές αποτελεί διασυνοριακή μεταφορά. Η εφαρμόσιμη προσέγγιση για το 2026 είναι η σύναψη εγκεκριμένων από το Συμβούλιο τυπικών συμβατικών ρητρών με κάθε διεθνή εκτελούντα την επεξεργασία και η τεκμηρίωση του μηχανισμού μεταφοράς στο Aydınlatma Metni και στην εγγραφή VERBIS. Εκδότες που έχουν εμμείνει στη λογική ρητής συγκατάθεσης ανά μεταφορά του προ-2024 καθεστώτος είναι ταυτόχρονα υπερβολικά εκτεθειμένοι σε κίνδυνο συμμόρφωσης και αξιοποιούν ανεπαρκώς ευκαιρίες δημιουργίας εσόδων.

Δικαιώματα υποκειμένων δεδομένων

Τα τουρκικά υποκείμενα δεδομένων διαθέτουν το πλήρες σύνολο δικαιωμάτων που απαντάται στο GDPR, εφαρμοζόμενο μέσω του πλαισίου KVKK:

• Δικαίωμα να πληροφορηθούν εάν τα δεδομένα τους υποβάλλονται σε επεξεργασία
• Δικαίωμα πρόσβασης στα δεδομένα που υποβάλλονται σε επεξεργασία
• Δικαίωμα διόρθωσης ανακριβών δεδομένων
• Δικαίωμα διαγραφής ή ανωνυμοποίησης όταν η επεξεργασία δεν δικαιολογείται πλέον
• Δικαίωμα ενημέρωσης για τρίτους στους οποίους γνωστοποιήθηκαν τα δεδομένα
• Δικαίωμα αντίρρησης σε αυτοματοποιημένες αποφάσεις που παράγουν δυσμενή αποτελέσματα
• Δικαίωμα αποζημίωσης για ζημίες που προκαλούνται από παράνομη επεξεργασία

Προθεσμίες απάντησης

Οι υπεύθυνοι πρέπει να απαντούν σε αιτήματα υποκειμένων δεδομένων εντός 30 ημερών. Το υποκείμενο δεδομένων μπορεί να προσφύγει στο Συμβούλιο KVKK εάν η απάντηση του υπευθύνου είναι ανεπαρκής, και το Συμβούλιο έχει παράθυρο 60 ημερών για απόφαση. Η επιχειρησιακή ετοιμότητα για το παράθυρο των 30 ημερών — με runbooks, εργαλεία και τουρκόφωνα πρότυπα απαντήσεων — αποτελεί συνηθισμένο κενό για αλλοδαπούς εκδότες.

Κυρώσεις και στάση επιβολής το 2026

Το Συμβούλιο KVKK ήταν σχετικά ήσυχο τα πρώτα χρόνια του, αλλά έχει εντείνει σημαντικά την επιβολή. Το συνολικό ποσό προστίμων για το 2025 ήταν το υψηλότερο από την έναρξη ισχύος του νόμου, και το 2026 βρίσκεται σε παρόμοια τροχιά.

Διοικητικά πρόστιμα

Τα διοικητικά πρόστιμα ευρετηριάζονται ετησίως στον πληθωρισμό. Από το 2026, το ανώτατο όριο για τις πιο σοβαρές παραβάσεις υπερβαίνει τα 40 εκατομμύρια TRY ανά παράβαση, και χωριστά ανώτατα όρια εφαρμόζονται για αποτυχίες γύρω από ασφάλεια δεδομένων, κοινοποίηση, εγγραφή VERBIS και αποφάσεις Συμβουλίου. Αλλοδαποί υπεύθυνοι έχουν πρόστιμα στο ανώτατο εύρος σε αρκετές ενέργειες του 2025.

Φήμη και έκθεση

Το Συμβούλιο δημοσιεύει περιλήψεις αποφάσεων επιβολής στον ιστότοπό του. Τα πρόστιμα αλλοδαπών εκδοτών έχουν εμφανιστεί τακτικά στον τουρκικό τεχνολογικό τύπο, και το κόστος φήμης μιας δημόσιας απόφασης KVKK είναι συνήθως υψηλότερο από το ίδιο το πρόστιμο.

Θέματα επιβολής

Οι ενέργειες του Συμβουλίου για το 2025 και τις αρχές του 2026 συγκεντρώνονται γύρω από ένα μικρό σύνολο επαναλαμβανόμενων ζητημάτων: ελλείπουσα ή ασαφής συγκατάθεση για cookies, ανεπαρκές Aydınlatma Metni, αλλοδαποί υπεύθυνοι μη εγγεγραμμένοι στο VERBIS και παράνομες διασυνοριακές μεταφορές χρησιμοποιώντας το πλαίσιο προ του 2024.

Λίστα ελέγχου ελέγχου για τουρκική κυκλοφορία το 2026

• Το banner CMP εμφανίζεται στα τουρκικά για τους Τούρκους χρήστες, με Αποδοχή, Απόρριψη και Προσαρμογή σε ίση οπτική εμφάνιση
• Οι σκοποί συγκατάθεσης είναι λεπτομερείς και οποιαδήποτε επεξεργασία ευαίσθητης κατηγορίας βρίσκεται πίσω από τη δική της ροή ρητής συγκατάθεσης
• Τα αρχεία συγκατάθεσης φέρουν χρονοσήμανση, είναι εξαγώγιμα και διατηρούνται τουλάχιστον για τη διάρκεια της επεξεργασίας συν ελέγξιμο περιθώριο
• Το Aydınlatma Metni είναι διαθέσιμο στα τουρκικά με πλήρη γνωστοποίηση υπευθύνου, εκτελούντων την επεξεργασία, σκοπών, διατήρησης και δικαιωμάτων
• Η εγγραφή VERBIS είναι πλήρης και ενημερωμένη εάν ο υπεύθυνος υπερβαίνει το κατώφλι
• Οι διασυνοριακές μεταφορές βασίζονται στις τυπικές συμβατικές ρήτρες του 2024 ή άλλο έγκυρο μηχανισμό Άρθρου 9, με τον μηχανισμό τεκμηριωμένο στο Aydınlatma Metni
• Η ροή εργασίας αιτημάτων υποκειμένων δεδομένων μπορεί να απαντήσει εντός 30 ημερών από άκρο σε άκρο, στα τουρκικά
• Ο κατάλογος προμηθευτών έχει ελεγχθεί, με αχρησιμοποίητους ή πλεονάζοντες προμηθευτές να έχουν αφαιρεθεί για μείωση έκθεσης

Η προοπτική για το 2026

Το τουρκικό καθεστώς προστασίας δεδομένων έχει φτάσει στο επίπεδο του ευρωπαϊκού πλαισίου ως προς τη μορφή και φτάνει γρήγορα στο επίπεδό του ως προς την επιβολή. Οι τροποποιήσεις του 2024 αφαίρεσαν το μεγαλύτερο δομικό εμπόδιο για τη σύγχρονη διεθνή ad tech — το παλαιό καθεστώς μεταφορών — και το Συμβούλιο χρησιμοποίησε τα δύο χρόνια που ακολούθησαν για να επικεντρωθεί στην επιβολή του υπόλοιπου νόμου. Εκδότες με στοίβα συγκατάθεσης επιπέδου GDPR χρειάζονται σχετικά μικρές προσαρμογές για να είναι έτοιμοι για την Τουρκία: CMP και ειδοποίηση στα τουρκικά, εγγραφή VERBIS εάν απαιτείται, ρήτρες μεταφοράς κατά το πρότυπο του 2024 και προσοχή στον ευρύτερο κατάλογο ευαίσθητων δεδομένων. Εκδότες που αντιμετώπιζαν την Τουρκία ως αγορά με ελαφρύτερες απαιτήσεις θα βρουν το 2026 ακριβότερο από το 2025, και το 2027 ακριβότερο από το 2026. Το κενό μπορεί να κλείσει σε εβδομάδες εάν δοθεί προτεραιότητα — και πρέπει να δοθεί.