KVKKren Egitura 2024ko Aldaketen Ondoren

KVKK Turkiako datu babeserako lege nagusia da, eta bere testu aldatua da orain erreferentzia-puntua. 2024 aurreko bertsioarekin lan egiten ari diren argitaratzaileak esparru zaharkitu bat ikusten ari dira.

2024ko Aldaketek Zer Aldatu Zuten

Aldaketa nagusia 9. artikuluaren berridazketa izan zen, nazioarteko datu transferentziak arautzen dituena. 2024 aurreko araubidea ezagunagatik zail zen betetzen — ia mugaz gaindiko fluxu guztietarako baimen esplizitua edo kasuz kasuko Batzordearen baimena eskatzen zuen, edozein reklama-teknologia pila modernoarentzat bideraezina zena. Aldatutako 9. artikuluak transferentzia-mekanismoen hiru maila aurkezten ditu: Batzordearen egokitasun-erabakia, kontratu-klausula estandarrak barne hartzen dituzten babes-neurri egokien multzoa, eta kasu estuetatik muga-salbuespen multzo bat. Honek azkenean Turkiako transferentzia-legea GDPRaren ereduarekin lerrokatzen du eta publizitate programatikoa nazioarteko mailan araudia betetzeko moduan egiten du saltsa bakoitzeko Batzordean artxibo bereziak aurkeztu gabe.

Zer Ez Zen Aldatu

Oinarrizko definizioak, oinarri juridikoak, datu-subjektuen eskubideak eta datu sentikorren baimen esplizituaren estandarra aurretik bezala geratu ziren. Turkiako baimen esplizituaren muga, praktikan, GDPRren estandarra baino zorrotzagoa da, eta hemen daude argitaratzaileen betepenen hutsune gehienak oraindik.

VERBIS Erregistroa

Zenbait atalase gainditzen dituzten datu-kontrolatzaileak — eskalan Turkiako datu pertsonalak prozesatzen dituzten atzerriko kontrolatzaile gehienak barne — Datu Kontrolatzaileen Erregistroan (VERBIS) erregistratu behar dira. Erregistratzeak prozesatze-jardueren, oinarri juridikoen eta transferentzia-mekanismoen ezagutaraztea eskatzen du. Atzerriko argitaratzaile askok historikoki VERBIS erregistratzea alde batera utzi dute; Batzordeak postura aktiboagoa seinalatu du gai honetan 2025 eta 2026 zehar.

Zer Datu Pertsonaltzat Hartzen Den KVKKren Arabera

KVKKren datu pertsonalen definizioa zabala da eta GDPRraren oso antzekoa. Datu pertsonalak pertsona natural identifikatu edo identifika daitekeen bati buruzko edozein informazio dira, eta Batzordearen gidalerroak etengabe cookie-ak, publizitate-identifikatzaileak, IP helbideak eta gailuen hatz-markak datu pertsonaltzat tratatu ditu zuzenean edo bide arrazoizkoen bidez erabiltzaile batekin lotu daitezkeenean.

Datu Pertsonalen Kategoria Sentikorrak

KVKKren kategoria sentikorreko zerrenda GDPRren zerrenda baino zabalagoa da: berariaz hartzen ditu barnean arraza, etnia jatorria, iritzi politikoa, sinesmen filosofikoa, erlijioa, sekta, itxura, elkarte edo fundazioko kidetzea, osasuna, sexu-bizitza, kondena penala, segurtasun-neurriak eta datu biometrikoak eta genetikoak. Hauetako edozein prozesatzeak baimen esplizitua eskatzen du — ez mota anbiguoa edo bildutakoa, baizik eta prozesatze sentikor zehatz horri lotutako baimen zehatza, informatua eta libreki emana.

Zergatik Den Garrantzitsua Cookie-entzat

Saio-ID bat soilik gordetzen duen cookie bat oinarrizko datu pertsonalak dira. Hauteslari Liberalak edo Komunitate Erlijioso Debotoa bezalako audientzia-segmentu bat elikatzen duen cookie bat Turkiako definizioaren arabera datu pertsonalen kategoria sentikorra da — eta eskatzen den baimen-konfigurazioa baimen esplizitua edo ezer ez da. KVKK-ren zerrenda sentikorra ukitzen duten audientzia-segmentuak xede hartzen dituzten argitaratzaileak ez lukete segmentu horiek publizitate-baimen orokor baten azpian exekutatu beharko.

Cookie-en Baimena KVKKren Arabera 2026an

Batzordearen jarrera cookie-ei buruz azken bi urteotan estutu da. Egungo gidalerroa argia da: datu pertsonalak prozesatzen dituzten cookie-ek eta jarraipen-teknologiek baimena behar dute, erabiltzaileak eskatutako zerbitzu baterako erabat beharrezkoak ez badira salbu.

Baimen Esplizitu Baliodunak Dituen Lau Elementuak

Turkiako baimen esplizituak honako hauek izan behar ditu:

• Gai zehatz bati lotua — zehaztu gabeko etorkizuneko prozesatzea hartzen duen aterki-baimen orokorra ez da baliozkoa
• Informatua — erabiltzaileak ulertzen du zer datu prozesatzen diren, zein helburutarako, nork eta zenbat denboran
• Libreki emana — erabiltzaileak uka dezake bestela eskubidea duen zerbitzu baten ukapenari aurre egin gabe
• Baieztatze-ekintza argi baten bidez adierazita — aurretik markatutako laukiak, inplizitutako baimena eta korritu-baimen gisa guztiak baliogabeak dira

CMP Baten Itxura Araudia Betetzen Duenean

Turkiako trafikorako 2026an konfiguratutako CMP batek honako hauek aurkeztu beharko lituzke:

• Cookie ez-ezinbesteko bat piztu aurretik banner ikusgarria, lehenespenez turkieraz (Türkçe) Turkiako erabiltzaileentzat
• Onartu, Ukatu eta Pertsonalizatu aukerei ikusgarritasun bisual berdina — Batzordeak berariaz nabarmendu ditu Ukatu Onartu baino gutxiago ikusgai dagoen banner diseinuak
• Helburu bakoitzeko ataka-kontrolak: analitika, publizitatea, pertsonalizazioa, mugaz gaindiko transferentzia eta kategoria sentikorreko edozein prozesatze
• Hasierako aukeraren ondoren baimena erretiratzeko iraunkorra eta erraza den mekanismo bat
• Turkiazko Aydınlatma Metni (Pribatutasun Oharra) kontrolatzailearen nortasuna, helburuak, hartzaileak, mantentze-iraupena eta eskubideak agerian jarriz
• Kategoria sentikorreko edozein prozesatzerako bereizitako, argi etiketatutako baimen esplizituaren fluxua (açık rıza), bere ekintza bereziari atxikia

Baimen-Erregistroak

Kontrolatzaileak baimen-erregistroak gorde behar ditu — nork adostu zuen, noiz, zeri buruz, zein interfazeren bidez. KVKK Batzordeak hainbat betearazpen-ekintzetan baimen-erregistro desegokiak aipatu ditu, eta esportatu daitezkeen denbora-marka duten erregistroak dira oinarrizko itxaropena.

Mugaz Gaindiko Transferentziak 2024ko 9. Artoluaren Arabera

2024ko aldaketek GDPRren ikuspegia islatzen duen hiru mailako transferentzia-esparrua aurkeztu zuten. Zein maila zein fluxuri aplikatzen den ulertzea da 2026an atzerriko argitaratzaileentzako betepen-hutsune ohikoena.

1. Maila — Egokitasun-Erabakia

Batzordeak herrialde bat, nazioarteko erakunde bat edo herrialde baten sektore bat babes egokia ematen ari dela izendatu dezake. Helburu egokietarako transferentziak mekanismo gehigarririk gabe onartzen dira. 2026 hasierako egoeraren arabera, Batzordea pixkanaka egokitasun-erabakiak ematen ari da, baina oraindik ez du Estatu Batuak zabalki izendatu.

2. Maila — Babes-Neurri Egokiak

Egokitasunik ezean, transferentziak babes-neurri egokien oinarriarekin onartzen dira. Aldaketek berariaz jasotzen dituzte Batzordeak onartutako kontratu-klausula estandarrak, talde barneko transferentzietarako korporatiboen arau lotesleak, eta Batzordeak onartutako jokabide-kodeak edo ziurtapen-mekanismoak. Batzordearen kontratu-klausula estandarrak 2024an argitaratu ziren eta argitaratzaile gehienentzako lan-mekanismo nagusia dira.

3. Maila — Salbuespenak

Salbuespen estuak daude noizean behingo transferentzietarako, kontratu betetzearako beharrezkoak diren transferentzietarako edo erabiltzaileak berariaz adostu dituen transferentzietarako. Hauek ezin dira erabili oinarri juridiko nagusi gisa etengabeko fluxu programatikoentzat.

Argitaratzaileentzako Inplikazio Praktikoa

Pila programatiko tipiko batek eskaintza bakoitzeko cookie-etatik eratorritako datuak dozenaka atzerriko hornitzailerengana bidaltzen ditu. Fluxu horietako bakoitza mugaz gaindiko transferentzia bat da. 2026ko ikuspegia da Batzordeak onartutako kontratu-klausula estandarrak nazioarteko prozesatzaile bakoitzarekin exekutatzea eta transferentzia-mekanismoa Aydınlatma Metni-n eta VERBIS erregistrazioan dokumentatzea. 2024 aurreko baimen esplizitu-transferentzia logikari atxiki diren argitaratzaileak aldi berean betepen-arriskuan gehiegi exposed eta monetizazio-aukeran gutxiegi erabiliak daude.

Datu-Subjektuen Eskubideak

Turkiako datu-subjektuek GDPRn aurkitzen diren eskubide-multzo osoa dute, KVKK esparruan aplikatua:

• Beren datuak prozesatzen ari diren ala ez jakiteko eskubidea
• Prozesatutako datuetarako sarbide-eskubidea
• Datu zehaztugabeen zuzenketa-eskubidea
• Prozesatzea jadanik justifikatua ez dagoenean ezabatze edo anonimizatzeko eskubidea
• Datuak jakinarazi zaizkion hirugarrenez informatua izateko eskubidea
• Ondorio kaltegarriak eragiten dituzten erabaki automatizatuei aurka egiteko eskubidea
• Legez kanpoko prozesaketak eragindako kalteengatik kalte-ordaina jasotzeko eskubidea

Erantzun-Epeak

Kontrolatzaileak datu-subjektuen eskaerei 30 eguneko epean erantzun behar die. Datu-subjektuak KVKK Batzordearengana jo dezake kontrolatzailearen erantzuna nahikoa ez bada, eta Batzordeak 60 eguneko leihoa du erabakitzeko. 30 eguneko leihorako operatibo-prest egotea — gidoiekin, tresneriarekin eta turkiazko erantzun-txantiloi — atzerriko argitaratzaileen arteko hutsune ohikoa da.

Zigorrak eta Betearazpen-Jarrera 2026an

KVKK Batzordea lehen urteetan nahiko isil egon zen, baina betearazpena esanguratsu areagotu du. 2025eko isun-kopuru totala legea indarrean jarri zenetik altuena izan zen, eta 2026 antzeko ibilbidean dago.

Isun Administratiboak

Isun administratiboak urtero inflazioarekin indizatzen dira. 2026an arau-hauste larrienentzako gehienezko muga TRY 40 milioi baino gehiagokoa da arau-hauste bakoitzeko, eta gainera muga bereiziak aplikatzen zaizkie datu-segurtasunari, jakinarazpenari, VERBIS erregistrazioari eta Batzordearen erabakiei buruzko hutsunei. Atzerriko kontrolatzaileak 2025eko hainbat ekintzatan tarteko altuenean isundu dituzte.

Ospea Arriskua

Batzordeak betearazpen-erabakien laburpenak argitaratzen ditu bere webgunean. Atzerriko argitaratzaileen isunek erregularki Turkiako teknologia-prentsan agertu dira, eta KVKK erabaki publiko baten ospea-kostua normalean isuna bera baino altuagoa da.

Betearazpen-Gaiak

Batzordearen 2025eko eta 2026 hasierako ekintzak arazo errepikakorrren multzo txiki baten inguruan biltzen dira: cookie-en baimen falta edo anbiguoa, Aydınlatma Metni desegokia, VERBISen erregistratu gabeko atzerriko kontrolatzaileak, eta 2024 aurreko esparrua erabiliz egindako legez kanpoko mugaz gaindiko transferentziak.

2026an Turkiako Trafikorako Auditoretzako Egiaztapen-Zerrenda

• CMP bannerra turkieraz zerbitzatzen zaie Turkiako erabiltzaileei, Onartu, Ukatu eta Pertsonalizatu ikusgarritasun bisual berdinarekin
• Baimen-helburuak zehatzak dira eta kategoria sentikorreko edozein prozesatze bere baimen esplizituaren fluxuaren atzean bereizten da
• Baimen-erregistroak denbora-markarekin, esportatzeko modukoak eta gutxienez prozesatze-iraupena gehi marjin auditagarria gordeta mantentzen dira
• Aydınlatma Metni turkieraz eskuragarri dago kontrolatzailearen, prozesatzaileen, helburuen, mantentze-iraupenaren eta eskubideen ezagutarazpen osoarekin
• VERBIS erregistrazioa burutua eta eguneratua dago kontrolatzaileak atala gainditzen badu
• Mugaz gaindiko transferentziak 2024ko kontratu-klausula estandarretan edo beste 9. artikuluko mekanismo baliozkoan oinarritzen dira, mekanismoa Aydınlatma Metni-n dokumentatua izanik
• Datu-subjektuen eskaeraren lan-fluxuak 30 egunetan amaiera-amaieran erantzun dezake, turkieraz
• Hornitzaileen zerrenda aztertu da, erabili gabeko edo erredundanteak diren hornitzaileak exposure murrizteko kenduz

2026ko Etorkizuna

Turkiako datu-babeserako erregimena Europako esparrura forme aldetik iritsi da eta betearazpenean azkar ari da. 2024ko aldaketek teknologia-pila moderno nazioarteko publizitaterako oztopo estrukturalenik handiena kendu zuten — transferentzia-erregimen zaharra — eta Batzordeak ordutik bi urteak erabili ditu legearen gainerako betearazpenean zentratzeko. GDPRren mailako baimen-pila duten argitaratzaileek doikuntza nahiko txikiak egin behar dituzte Turkiarako prest egoteko: turkiazko CMP eta oharra, VERBIS erregistrazioa aplikagarri bada, 2024ko transferentzia-klausula estandarrak eta arreta datu sentikorreko zerrenda zabalagoarekin. Turkia ukitu arinagoko merkatu gisa tratatu duten argitaratzaileak aurkituko dute 2026 2025 baino garestiagoa dela, eta 2027 2026 baino garestiagoa. Hutsunak ixten da astetan lehentasuna ematen bazaio — eta eman beharko litzaioke.