ساختار KVKK پس از اصلاحات ۲۰۲۴

KVKK قانون اصلی حمایت از داده در ترکیه است و متن اصلاح شده‌اش اکنون نقطه مرجع است. ناشرانی که با نسخه پیش از ۲۰۲۴ کار می‌کنند با چارچوبی قدیمی روبرو هستند.

اصلاحات ۲۰۲۴ چه چیزی را تغییر داد

تغییر اصلی بازنویسی ماده ۹ بود که انتقال‌های بین‌المللی داده را نظم می‌دهد. رژیم پیش از ۲۰۲۴ به دلیل دشواری اجرا بدنام بود — برای تقریباً هر جریان فرامرزی به رضایت صریح یا مجوز موردی هیئت نیاز داشت، که برای هر پشته فناوری تبلیغات مدرن غیرعملی بود. ماده ۹ اصلاح شده سه سطح مکانیسم انتقال معرفی می‌کند: تصمیم کفایت از هیئت، مجموعه‌ای از ضمانت‌های مناسب شامل بندهای قراردادی استاندارد، و در موارد محدود، مجموعه‌ای از استثناها. این بالاخره قانون انتقال ترکیه را با الگوی GDPR همسو می‌کند و تبلیغات برنامه‌ریزی شده را بدون ثبت هیئت برای هر فروشنده در سطح بین‌المللی منطبق می‌سازد.

چه چیزی تغییر نکرد

تعریف‌های اصلی، پایه‌های قانونی، حقوق موضوع داده و استاندارد رضایت صریح برای داده‌های حساس همان‌گونه که بودند باقی ماندند. آستانه رضایت صریح ترکیه در عمل، اگر چیزی باشد، از استاندارد GDPR سخت‌گیرانه‌تر است، و اینجاست که بیشتر شکاف‌های انطباق ناشران هنوز قرار دارد.

رجیستری VERBIS

کنترل‌کنندگان داده‌ای که از آستانه‌های مشخصی تجاوز می‌کنند — از جمله اکثر کنترل‌کنندگان خارجی که داده‌های شخصی ترکیه را در مقیاس پردازش می‌کنند — باید در رجیستری کنترل‌کنندگان داده (VERBIS) ثبت‌نام کنند. ثبت‌نام نیازمند افشای فعالیت‌های پردازش، پایه‌های قانونی و مکانیسم‌های انتقال است. بسیاری از ناشران خارجی تاریخاً از ثبت‌نام VERBIS اجتناب کرده‌اند؛ هیئت رویکرد فعال‌تری را در این زمینه در طول ۲۰۲۵ و ۲۰۲۶ نشان داده است.

چه چیزی تحت KVKK به عنوان داده شخصی محسوب می‌شود

تعریف داده شخصی در KVKK گسترده است و به GDPR نزدیک است. داده شخصی هر اطلاعاتی است که به شخص حقیقی شناخته‌شده یا قابل شناسایی مربوط باشد، و رهنمود هیئت به طور مداوم کوکی‌ها، شناسه‌های تبلیغاتی، آدرس‌های IP و اثر انگشت دستگاه‌ها را به عنوان داده شخصی تلقی کرده است وقتی که می‌توان آن‌ها را به کاربری مستقیماً یا از طریق ابزارهای معقول مرتبط کرد.

داده‌های شخصی حساس

فهرست دسته‌بندی‌های حساس KVKK از فهرست GDPR گسترده‌تر است: صراحتاً نژاد، قومیت، عقیده سیاسی، باور فلسفی، دین، فرقه، ظاهر، عضویت در انجمن یا بنیاد، سلامت، زندگی جنسی، محکومیت کیفری، اقدامات امنیتی و داده‌های بیومتریک و ژنتیکی را در بر می‌گیرد. پردازش هر یک از اینها مستلزم رضایت صریح است — نه نوع مبهم یا دسته‌بندی شده، بلکه رضایت خاص، آگاهانه و آزادانه داده شده که به پردازش حساس خاصی مرتبط باشد.

چرا این برای کوکی‌ها اهمیت دارد

کوکی که فقط یک شناسه جلسه را ذخیره می‌کند داده شخصی پایه است. کوکی که یک بخش مخاطب مانند رأی‌دهندگان لیبرال یا جامعه مذهبی متدین را تغذیه می‌کند تحت تعریف ترکیه داده شخصی حساس است — و پیکربندی رضایت لازم رضایت صریح-یا-هیچ است. ناشرانی که بخش‌های مخاطب را هدف قرار می‌دهند که فهرست حساس KVKK را لمس می‌کنند نباید آن بخش‌ها را تحت رضایت تبلیغاتی عمومی اجرا کنند.

رضایت کوکی تحت KVKK در سال ۲۰۲۶

موضع هیئت در مورد کوکی‌ها در دو سال گذشته سخت‌تر شده است. رهنمود فعلی بی‌ابهام است: کوکی‌ها و فناوری‌های ردیابی که داده‌های شخصی را پردازش می‌کنند نیازمند رضایت هستند، مگر اینکه برای سرویسی که کاربر درخواست کرده کاملاً ضروری باشند.

چهار عنصر رضایت صریح معتبر

رضایت صریح ترکیه باید:

• مرتبط با موضوع خاص باشد — رضایت چتری کلی که پردازش آینده نامشخص را پوشش می‌دهد معتبر نیست
• آگاهانه باشد — کاربر درک می‌کند چه داده‌ای پردازش می‌شود، برای چه هدفی، توسط چه کسی و برای چه مدت
• آزادانه داده شده باشد — کاربر می‌تواند بدون اینکه از سرویسی که در غیر این صورت به آن حق دارد محروم شود امتناع کند
• با یک اقدام تأییدی صریح ابراز شده باشد — کادرهای از پیش تیک زده، رضایت ضمنی و اسکرول-به‌عنوان-رضایت همه نامعتبر هستند

یک CMP منطبق چه شکلی دارد

یک CMP پیکربندی شده برای ترافیک ترکیه در سال ۲۰۲۶ باید ارائه دهد:

• یک بنر قابل مشاهده قبل از فعال شدن هر کوکی غیرضروری، به طور پیش‌فرض به ترکی (Türkçe) برای کاربران ترکیه
• برجستگی بصری برابر برای قبول، رد و سفارشی‌سازی — هیئت به طور خاص طرح‌های بنری را نشان داده که در آنها رد کمتر از قبول قابل مشاهده است
• تبدیل‌های دقیق به ازای هر هدف: تحلیل، تبلیغات، شخصی‌سازی، انتقال فرامرزی و هر پردازش دسته‌بندی حساس
• یک مکانیسم پایدار و در دسترس برای پس‌گرفتن رضایت پس از انتخاب اولیه
• یک Aydınlatma Metni (اطلاعیه حریم خصوصی) به ترکی که هویت کنترل‌کننده، اهداف، گیرندگان، نگهداری و حقوق را فاش می‌کند
• یک جریان رضایت صریح (açık rıza) جداگانه و با برچسب واضح برای هر پردازش دسته‌بندی حساس، که در پشت اقدام خودش قفل شده است

سوابق رضایت

کنترل‌کننده باید سوابق رضایت را نگهداری کند — چه کسی رضایت داد، چه وقت، به چه چیزی، از طریق چه رابطی. هیئت KVKK در چندین اقدام اجرایی سوابق رضایت ناکافی را ذکر کرده، و لاگ‌های دارای مهر زمانی قابل صادرات انتظار پایه هستند.

انتقال‌های فرامرزی تحت ماده ۹ اصلاح شده ۲۰۲۴

اصلاحات ۲۰۲۴ یک چارچوب انتقال سه سطحی معرفی کرد که رویکرد GDPR را منعکس می‌کند. درک اینکه کدام سطح برای کدام جریان اعمال می‌شود رایج‌ترین شکاف انطباق برای ناشران خارجی در سال ۲۰۲۶ است.

سطح ۱ — تصمیم کفایت

هیئت می‌تواند یک کشور، سازمان بین‌المللی یا بخشی از یک کشور را به عنوان ارائه دهنده حمایت کافی تعیین کند. انتقال به مقاصد کافی بدون مکانیسم اضافی مجاز است. از اوایل ۲۰۲۶، هیئت به تدریج تصمیمات کفایت صادر کرده اما هنوز ایالات متحده را به طور گسترده تعیین نکرده است.

سطح ۲ — ضمانت‌های مناسب

در غیاب کفایت، انتقال‌ها بر اساس ضمانت‌های مناسب مجاز هستند. اصلاحات به طور خاص بندهای قراردادی استاندارد تأیید شده توسط هیئت، قوانین شرکتی الزام‌آور برای انتقال‌های درون‌گروهی و کدهای رفتاری یا مکانیسم‌های صدور گواهینامه تأیید شده توسط هیئت را در نظر می‌گیرند. بندهای قراردادی استاندارد هیئت در سال ۲۰۲۴ منتشر شدند و مکانیسم کاری اصلی برای اکثر ناشران هستند.

سطح ۳ — استثناها

استثناهای محدودی برای انتقال‌های گاه‌به‌گاه، انتقال‌های مورد نیاز برای انجام قرارداد، یا انتقال‌هایی که کاربر صراحتاً به آن رضایت داده وجود دارد. اینها قابل استفاده به عنوان پایه قانونی اصلی برای جریان‌های برنامه‌ریزی شده مداوم نیستند.

پیامد عملی برای ناشران

یک پشته برنامه‌ریزی شده معمولی در هر پیشنهاد داده‌های مشتق از کوکی را به ده‌ها فروشنده خارجی ارسال می‌کند. هر یک از آن جریان‌ها یک انتقال فرامرزی است. رویکرد قابل اجرا در ۲۰۲۶ اجرای بندهای قراردادی استاندارد تأیید شده هیئت با هر پردازنده بین‌المللی و مستندسازی مکانیسم انتقال در Aydınlatma Metni و ثبت‌نام VERBIS است. ناشرانی که با منطق رضایت صریح-به-ازای-انتقال پیش از ۲۰۲۴ باقی مانده‌اند همزمان در معرض خطر انطباق بیش از حد و در فرصت کسب درآمد کم‌استفاده هستند.

حقوق موضوع داده

اتباع داده‌ای ترکیه مجموعه کامل حقوق موجود در GDPR را دارند که از طریق چارچوب KVKK اعمال می‌شود:

• حق دانستن اینکه آیا داده‌هایشان پردازش می‌شود
• حق دسترسی به داده‌های پردازش شده
• حق تصحیح داده‌های نادرست
• حق پاک‌سازی یا ناشناس‌سازی جایی که پردازش دیگر توجیه‌پذیر نیست
• حق اطلاع از اشخاص ثالثی که داده به آنها افشا شده است
• حق اعتراض به تصمیمات خودکار که اثرات نامطلوب ایجاد می‌کنند
• حق دریافت غرامت برای آسیب‌های ناشی از پردازش غیرقانونی

جدول زمانی پاسخ

کنترل‌کنندگان باید ظرف ۳۰ روز به درخواست‌های موضوع داده پاسخ دهند. موضوع داده می‌تواند در صورتی که پاسخ کنترل‌کننده ناکافی باشد به هیئت KVKK مراجعه کند، و هیئت یک پنجره ۶۰ روزه برای تصمیم‌گیری دارد. آمادگی عملیاتی برای پنجره ۳۰ روزه — با راهنماها، ابزار و الگوهای پاسخ به زبان ترکی — یک شکاف رایج برای ناشران خارجی است.

جریمه‌ها و رویکرد اجرایی در سال ۲۰۲۶

هیئت KVKK در چند سال اول نسبتاً آرام بود اما اجرا را به طور معناداری افزایش داده است. مجموع جریمه‌های ۲۰۲۵ بالاترین رقم از زمان لازم‌الاجرا شدن قانون بود، و ۲۰۲۶ در مسیر مشابهی قرار دارد.

جریمه‌های اداری

جریمه‌های اداری سالانه با تورم شاخص‌بندی می‌شوند. از سال ۲۰۲۶ سقف جدی‌ترین تخلفات از TRY ۴۰ میلیون به ازای هر تخلف تجاوز می‌کند، و سقف‌های جداگانه‌ای برای شکست‌های مرتبط با امنیت داده، اطلاع‌رسانی، ثبت‌نام VERBIS و تصمیمات هیئت اعمال می‌شود. کنترل‌کنندگان خارجی در چندین اقدام ۲۰۲۵ در بالاترین سطح محدوده جریمه شده‌اند.

ریسک اعتباری

هیئت خلاصه تصمیمات اجرایی را در وب‌سایت خود منتشر می‌کند. جریمه‌های ناشران خارجی به طور منظم در مطبوعات فناوری ترکیه مطرح شده، و هزینه اعتباری یک تصمیم عمومی KVKK معمولاً از خود جریمه بالاتر است.

موضوعات اجرایی

اقدامات ۲۰۲۵ هیئت و اوایل ۲۰۲۶ حول مجموعه کوچکی از مسائل تکراری جمع می‌شوند: رضایت کوکی مفقود یا مبهم، Aydınlatma Metni ناکافی، کنترل‌کنندگان خارجی ثبت‌نشده در VERBIS و انتقال‌های فرامرزی غیرقانونی با استفاده از چارچوب پیش از ۲۰۲۴.

چک‌لیست حسابرسی برای ترافیک ترکیه در سال ۲۰۲۶

• بنر CMP به ترکی برای کاربران ترکیه ارائه می‌شود، با قبول، رد و سفارشی‌سازی با برجستگی بصری مساوی
• اهداف رضایت دقیق هستند و هر پردازش دسته‌بندی حساس پشت جریان رضایت صریح خودش جداگانه شده است
• لاگ‌های رضایت دارای مهر زمانی، قابل صادرات و حداقل برای مدت پردازش به علاوه یک حاشیه قابل حسابرسی نگهداری می‌شوند
• Aydınlatma Metni به ترکی با افشای کامل کنترل‌کننده، پردازنده‌ها، اهداف، نگهداری و حقوق در دسترس است
• ثبت‌نام VERBIS کامل و به‌روز است اگر کنترل‌کننده از آستانه تجاوز کند
• انتقال‌های فرامرزی بر بندهای قراردادی استاندارد ۲۰۲۴ یا مکانیسم معتبر دیگر ماده ۹ متکی هستند، با مکانیسم مستند شده در Aydınlatma Metni
• جریان کار درخواست موضوع داده می‌تواند ظرف ۳۰ روز از ابتدا تا انتها به زبان ترکی پاسخ دهد
• فهرست فروشندگان بررسی شده، با فروشندگان بلااستفاده یا اضافی حذف شده برای کاهش خطر

چشم‌انداز ۲۰۲۶

رژیم حمایت از داده ترکیه از نظر شکل به چارچوب اروپایی رسیده و از نظر اجرا به سرعت در حال رسیدن است. اصلاحات ۲۰۲۴ بزرگترین مانع ساختاری برای فناوری تبلیغات بین‌المللی مدرن — رژیم انتقال قدیمی — را برداشت، و هیئت از دو سال بعد از آن برای تمرکز بر اجرای بقیه قانون استفاده کرده است. ناشرانی که یک پشته رضایت در سطح GDPR دارند باید تنظیمات نسبتاً کوچکی انجام دهند تا برای ترکیه آماده باشند: CMP و اطلاعیه به زبان ترکی، ثبت‌نام VERBIS در صورت امکان، بندهای انتقال استاندارد ۲۰۲۴ و دقت با فهرست گسترده‌تر داده‌های حساس. ناشرانی که ترکیه را به عنوان بازاری با دست سبک‌تر تلقی کرده‌اند، ۲۰۲۶ را گران‌تر از ۲۰۲۵ و ۲۰۲۷ را گران‌تر از ۲۰۲۶ خواهند یافت. شکاف می‌تواند در طی هفته‌ها بسته شود اگر اولویت‌بندی شود — و باید بشود.