Turkin KVKK ja vuoden 2024 muutokset: julkaisijoiden ja mainostajien opas evästeiden suostumukseen, rajat ylittäviin siirtoihin ja nimenomaiseen suostumukseen vuonna 2026
Turkin henkilötietojen suojalaki (KVKK, Law No. 6698) on ollut voimassa vuodesta 2016, mutta suurimman osan tästä vuosikymmenestä se toimi GDPR:n hiljaisempana serkkuna — rakenteeltaan tunnistettavan samanlaisena mutta täytäntöönpanoltaan huomattavasti lievempänä. Tuo aikakausi on päättynyt. Vuoden 2024 KVKK-muutokset, jotka julkaistiin Virallisessa lehdessä 12. maaliskuuta 2024, uudelleenjärjestivät rajat ylittävien tietojen siirtojärjestelmän vastaamaan GDPR-tyylistä riittävyyttä ja vakiosopimuslausekkeita, ja KVKK-hallitus (Kişisel Verileri Koruma Kurulu) on merkittävästi tiivistänyt täytäntöönpanoa vuoden 2025 aikana ja vuoteen 2026 tultaessa. Jokaiselle julkaisijalle, mainostajalle tai alustalle, joka käsittelee turkkilaisten käyttäjien tietoja — olipa kyseessä Turkissa sijaitseva tai ulkomailta Turkin markkinoita palveleva toimija — 2026 on vuosi, jolloin nykyaikainen suostumuspino lakkaa olemasta mukava lisäominaisuus ja muuttuu perustasovaatimukseksi. Tämä opas käy läpi lain muutetussa muodossaan, mitä evästeiden suostumus käytännössä vaatii, miten rajat ylittävät siirrot nyt toimivat ja miltä hallituksen täytäntöönpano näyttää käytännössä.
KVKK:n rakenne vuoden 2024 muutosten jälkeen
KVKK on Turkin ensisijainen tietosuojalaki, ja sen muutettu teksti on nyt viitekohdaksi. Julkaisijat, jotka ovat olleet käyttämässä ennen vuotta 2024 voimassa ollutta versiota, katsovat vanhentuneeseen kehykseen.
Mitä vuoden 2024 muutokset muuttivat
Keskeinen muutos oli 9 artiklan uudelleenkirjoittaminen, joka sääntelee kansainvälisiä tiedonsiirtoja. Ennen vuotta 2024 voimassa ollut järjestelmä oli kuuluisasti vaikea täyttää — se edellytti lähes jokaiselle rajat ylittävälle virrolle joko nimenomaista suostumusta tai tapauskohtaista hallituksen lupaa, mikä oli epäkäytännöllinen jokaiselle nykyaikaiselle mainosteknologiapinoon. Muutettu 9 artikla esittelee kolme siirtomekanismin tasoa: hallituksen riittävyyspäätös, asianmukaisten suojatoimien joukko, joka sisältää vakiosopimuslausekkeet, ja kapeissa tapauksissa poikkeusjoukko. Tämä viimein yhdenmukaistaa Turkin siirtolain GDPR-mallin kanssa ja tekee ohjelmistomainonnan kansainvälisesti vaatimustenmukaiseksi ilman per-toimittaja hallituskirjausta.
Mikä ei muuttunut
Perusmääritelmät, oikeudelliset perusteet, rekisteröityjen oikeudet ja arkaluonteisten tietojen nimenomaisen suostumuksen standardi pysyivät ennallaan. Turkin nimenomaisen suostumuksen kynnys on käytännössä jopa tiukempi kuin GDPR:n standardi, ja tässä suurin osa julkaisijoiden vaatimustenmukaisuusaukoista edelleen sijaitsee.
VERBIS-rekisteri
Tietyt kynnykset ylittävien rekisterinpitäjien — mukaan lukien useimpien ulkomaisten rekisterinpitäjien, jotka käsittelevät turkkilaisia henkilötietoja laajamittaisesti — täytyy rekisteröityä rekisterinpitäjien rekisteriin (VERBIS). Rekisteröityminen edellyttää käsittelytoimintojen, oikeudellisten perusteiden ja siirtomekanismien ilmoittamista. Monet ulkomaiset julkaisijat ovat historiallisesti ohittaneet VERBIS-rekisteröinnin; hallitus on osoittanut aktiivisempaa asennetta tähän asiaan vuosien 2025 ja 2026 aikana.
Mitä pidetään henkilötietona KVKK:n mukaan
KVKK:n henkilötietomääritelmä on laaja ja vastaa läheisesti GDPR:ää. Henkilötiedot ovat mitä tahansa tietoa, joka liittyy tunnistettuun tai tunnistettavissa olevaan luonnolliseen henkilöön, ja hallituksen ohjeet ovat johdonmukaisesti käsitelleet evästeitä, mainostunnisteita, IP-osoitteita ja laitteiden sormenjälkiä henkilötietoina, kun ne voidaan yhdistää käyttäjään suoraan tai kohtuullisin keinoin.
Arkaluonteiset henkilötiedot
KVKK:n arkaluonteisten kategorioiden lista on laajempi kuin GDPR:n: se nimenomaisesti sisältää rodun, etnisen alkuperän, poliittisen mielipiteen, filosofisen vakaumuksen, uskonnon, lahkon, ulkonäön, järjestön tai säätiön jäsenyyden, terveyden, seksuaalielämän, rikostuomion, turvaamistoimenpiteet ja biometriset ja geneettiset tiedot. Minkä tahansa näiden käsittely edellyttää nimenomaista suostumusta — ei monitulkintaista tai pakettimuotoista, vaan erityistä, tietoista ja vapaaehtoisesti annettua suostumusta, joka on sidottu nimenomaiseen arkaluonteiseen käsittelyyn.
Miksi tämä on tärkeää evästeille
Eväste, joka tallentaa vain istuntotunnuksen, on perushenkilötieto. Eväste, joka syöttää yleisösegmenttiä kuten Liberaalit äänestäjät tai Uskollinen uskonnollinen yhteisö, on turkkilaisen määritelmän mukaan arkaluonteista henkilötietoa — ja tarvittava suostumusmääritys on nimenomainen suostumus tai ei mitään. Julkaisijoiden, jotka kohdentavat yleisösegmentteihin, jotka koskettavat KVKK:n arkaluonteista listaa, ei tulisi ajaa näitä segmenttejä yleisen mainossuostumuksen alla.
Evästeiden suostumus KVKK:n mukaan vuonna 2026
Hallituksen kanta evästeisiin on tiukentunut viimeisen kahden vuoden aikana. Nykyinen ohjeistus on yksiselitteinen: evästeet ja seurantateknologiat, jotka käsittelevät henkilötietoja, edellyttävät suostumusta, ellei se ole ehdottoman välttämätöntä käyttäjän pyytämälle palvelulle.
Kelvollisen nimenomaisen suostumuksen neljä elementtiä
Turkin nimenomaisen suostumuksen on oltava:
- Liittyvä tiettyyn aiheeseen — yleinen kattavat suostumus, joka kattaa määrittelemättömän tulevan käsittelyn, ei ole voimassa
- Tietoinen — käyttäjä ymmärtää mitä tietoja käsitellään, mihin tarkoitukseen, kenen toimesta ja kuinka kauan
- Vapaaehtoisesti annettu — käyttäjä voi kieltäytyä ilman, että hänelle evätään palvelu, johon hänellä muuten on oikeus
- Ilmaistu selkeän vahvistavan teon kautta — valmiiksi täpätyt ruudut, implisiittinen suostumus ja vieritys-suostumuksena ovat kaikki pätemättömiä
Miltä vaatimustenmukainen CMP näyttää
Vuonna 2026 Turkin liikenteelle konfiguroidun CMP:n tulisi esittää:
- Näkyvä banneri ennen kuin mikään ei-välttämätön eväste käynnistyy, oletuksena turkin kielellä (Türkçe) turkkilaisille käyttäjille
- Tasavertainen visuaalinen näkyvyys Hyväksy-, Hylkää- ja Mukauta-vaihtoehdoille — hallitus on erityisesti nostanut esiin bannerien suunnittelut, joissa Hylkää on vähemmän näkyvissä kuin Hyväksy
- Yksityiskohtaiset vipukytkimet tarkoituskohtaisesti: analytiikka, mainonta, personointi, rajat ylittävä siirto ja mahdollinen arkaluonteisten kategorioiden käsittely
- Pysyvä, helposti saavutettavissa oleva mekanismi peruuttaa suostumus alkuperäisen valinnan jälkeen
- Turkinkielinen Aydınlatma Metni (tietosuojailmoitus), joka paljastaa rekisterinpitäjän henkilöllisyyden, tarkoitukset, vastaanottajat, säilytysajan ja oikeudet
- Erillinen, selkeästi merkitty nimenomaisen suostumuksen virtaus (açık rıza) minkä tahansa arkaluonteisten kategorioiden käsittelylle, suljettu oman toimintansa taakse
Suostumustietueet
Rekisterinpitäjän on säilytettävä suostumustietueita — kuka suostui, milloin, mihin, minkä käyttöliittymän kautta. KVKK-hallitus on viitannut riittämättömiin suostumislokeihin useissa täytäntöönpanotoimissa, ja vietävissä olevat aikaleimalliset lokit ovat perustasoinen odotus.
Rajat ylittävät siirrot vuoden 2024 muutetun 9 artiklan mukaan
Vuoden 2024 muutokset esittelivät kolmitasoisen siirtokehyksen, joka heijastaa GDPR:n lähestymistapaa. Sen ymmärtäminen, mikä taso soveltuu mihinkin virtaan, on yleisin vaatimustenmukaisuusaukko ulkomaisille julkaisijoille vuonna 2026.
Taso 1 — Riittävyyspäätös
Hallitus voi nimetä maan, kansainvälisen järjestön tai maan sektorin riittävän suojan tarjoajaksi. Siirrot riittäviin kohteisiin ovat sallittuja ilman lisämekanismia. Vuoden 2026 alun tilanteessa hallitus on vähitellen antanut riittävyyspäätöksiä, mutta ei ole vielä nimennyt Yhdysvaltoja laajasti.
Taso 2 — Asianmukaiset suojatoimet
Riittävyyden puuttuessa siirrot ovat sallittuja asianmukaisten suojatoimien perusteella. Muutokset nimenomaisesti harkitsevat hallituksen hyväksymiä vakiosopimuslausekkeita, konserninjohtamissääntöjä konserninsiirtoja varten ja hallituksen hyväksymiä käytännesääntöjä tai sertifiointimekanismeja. Hallituksen vakiosopimuslausekkeet julkaistiin vuonna 2024 ja ovat tärkeimmät toimivat mekanismit useimmille julkaisijoille.
Taso 3 — Poikkeukset
Kapeita poikkeuksia on satunnaisille siirroille, sopimuksen täyttämiseen tarvittaville siirroille tai siirroille, joihin käyttäjä on nimenomaisesti suostunut. Näitä ei voida käyttää ensisijaisena oikeudellisena perusteena jatkuville ohjelmistomainontavirroille.
Käytännön vaikutus julkaisijoille
Tyypillinen ohjelmistomainontapino lähettää evästeistä johdettuja tietoja kymmenille ulkomaisille toimittajille jokaista tarjousta kohden. Jokainen noista virroista on rajat ylittävä siirto. Vuoden 2026 toimiva lähestymistapa on suorittaa hallituksen hyväksymät vakiosopimuslausekkeet jokaisen kansainvälisen käsittelijän kanssa ja dokumentoida siirtomekanismi Aydınlatma Metni:ssä ja VERBIS-rekisteröinnissä. Julkaisijat, jotka ovat pitäytyneet ennen vuotta 2024 voimassa olleessa nimenomainen suostumus-per-siirto -logiikassa, ovat samanaikaisesti ylialtistuneita vaatimustenmukaisuusriskille ja alihyödyntäneet monetisointimahdollisuuden.
Rekisteröityjen oikeudet
Turkkilaisilla rekisteröidyillä on GDPR:ssä löytyvien oikeuksien täydellinen joukko sovellettuna KVKK-kehyksen kautta:
- Oikeus saada tietää, käsitelläänkö heidän tietojaan
- Oikeus saada pääsy käsiteltyihin tietoihin
- Oikeus virheellisten tietojen korjaamiseen
- Oikeus poistamiseen tai anonymisointiin, kun käsittely ei enää ole perusteltua
- Oikeus saada tietää kolmansista osapuolista, joille tiedot on luovutettu
- Oikeus vastustaa automaattisia päätöksiä, jotka aiheuttavat haitallisia vaikutuksia
- Oikeus korvaukseen laittomasta käsittelystä aiheutuvista vahingoista
Vastaamisaikataulut
Rekisterinpitäjien on vastattava rekisteröityjen pyyntöihin 30 päivän kuluessa. Rekisteröity voi eskalaa asian KVKK-hallitukselle, jos rekisterinpitäjän vastaus on riittämätön, ja hallituksella on 60 päivän aikaikkuna päätöksentekoa varten. Operatiivinen valmius 30 päivän ikkunalle — käsikirjojen, työkalujen ja turkinkielisten vastausmallien avulla — on ulkomaisten julkaisijoiden yleinen puute.
Sanktiot ja täytäntöönpanoasenne vuonna 2026
KVKK-hallitus oli suhteellisen hiljainen ensimmäisinä vuosinaan, mutta on merkittävästi lisännyt täytäntöönpanoa. Vuoden 2025 sakon kokonaismäärä oli korkein sitten lain voimaantulon, ja vuosi 2026 on samanlaisella kehitysuralla.
Hallinnolliset sakot
Hallinnolliset sakot indeksoidaan vuosittain inflaatioon. Vuodesta 2026 vakavimpien rikkomusten katto ylittää TRY 40 miljoonaa rikkomusta kohti, ja erilliset katot koskevat tietoturvaloukkauksia, ilmoituksia, VERBIS-rekisteröintiä ja hallituksen päätöksiä koskevia epäonnistumisia. Ulkomaisille rekisterinpitäjille on määrätty sakkoja vaihteluvälin yläpäässä useissa vuoden 2025 toimissa.
Mainealtistus
Hallitus julkaisee yhteenvetoja täytäntöönpanopäätöksistä verkkosivustollaan. Ulkomaisten julkaisijoiden sakot ovat säännöllisesti päätyneet Turkin teknologiapressee, ja julkisen KVKK-päätöksen mainekustannus on tyypillisesti korkeampi kuin itse sakko.
Täytäntöönpanoteemat
Hallituksen vuoden 2025 ja vuoden 2026 alun toimet keskittyvät pienen toistuvan ongelmasarjan ympärille: puuttuva tai epäselvä evästeiden suostumus, riittämätön Aydınlatma Metni, rekisteröimättömät ulkomaiset rekisterinpitäjät VERBIS:ssä ja laittomat rajat ylittävät siirrot, joissa käytetään ennen vuotta 2024 voimassa ollutta kehystä.
Turkkilaisen liikenteen tarkistuslista vuodelle 2026
- CMP-banneri tarjoillaan turkin kielellä turkkilaisille käyttäjille, ja Hyväksy-, Hylkää- ja Mukauta-toiminnoilla on tasavertainen visuaalinen näkyvyys
- Suostumustarkoitukset ovat yksityiskohtaisia, ja mahdollinen arkaluonteisten kategorioiden käsittely erotetaan oman nimenomaisen suostumuksen virtauksensa taakse
- Suostumuslogi on aikaleimallinen, vietävissä oleva ja säilytetty vähintään käsittelykeston ajan sekä tarkastettava marginaali
- Aydınlatma Metni on saatavilla turkin kielellä täydellisine rekisterinpitäjää, käsittelijöitä, tarkoituksia, säilytysaikaa ja oikeuksia koskevine tietoineen
- VERBIS-rekisteröinti on valmis ja ajan tasalla, jos rekisterinpitäjä ylittää kynnyksen
- Rajat ylittävät siirrot perustuvat vuoden 2024 vakiosopimuslausekkeisiin tai muuhun voimassa olevaan 9 artiklan mekanismiin, ja mekanismi on dokumentoitu Aydınlatma Metni:ssä
- Rekisteröityneen pyyntötyönkulku pystyy vastaamaan 30 päivässä alusta loppuun turkin kielellä
- Toimittajalista on tarkastettu ja käyttämättömät tai redundantit toimittajat poistettu altistumisen vähentämiseksi
Vuoden 2026 näkymät
Turkin tietosuojajärjestelmä on muodon osalta saavuttanut eurooppalaisen kehyksen ja on nopeasti saavuttamassa myös täytäntöönpanossa. Vuoden 2024 muutokset poistivat suurimman rakenteellisen esteen nykyaikaiselle kansainväliselle mainosteknologialle — vanhan siirtojärjestelmän — ja hallitus on käyttänyt kaksi vuotta sen jälkeen keskittyäkseen muun lain täytäntöönpanoon. GDPR-tasoisen suostumuspinon omaavien julkaisijoiden tarvitsee tehdä suhteellisen pieniä muutoksia ollakseen Turkki-valmiita: turkinkielinen CMP ja ilmoitus, VERBIS-rekisteröinti tarvittaessa, vuoden 2024 standardiset siirtolausekkeet ja huolellisuus laajemman arkaluonteisten tietojen listan kanssa. Julkaisijat, jotka ovat käsitelleet Turkkia kevyemmän kosketuksen markkinana, löytävät vuoden 2026 kalliimmaksi kuin 2025, ja vuoden 2027 kalliimmaksi kuin 2026. Aukko voidaan sulkea viikoissa, jos sille asetetaan prioriteetti — ja niin pitäisi tehdä.