ה-KVKK של טורקיה ותיקוני 2024: המדריך למפרסמים ולמפרסמי מודעות בנושא הסכמה לעוגיות, העברות חוצות גבולות והסכמה מפורשת ב-2026
חוק הגנת המידע האישי של טורקיה (KVKK, Law No. 6698) בתוקף מאז 2016, אך ברוב אותו עשור הוא פעל כדודן שקטר יותר של ה-GDPR — דומה במבנה אך מתון בהרבה באכיפה. אותה תקופה הסתיימה. תיקוני KVKK לשנת 2024, שפורסמו ברשומות ב-12 במרץ 2024, ארגנו מחדש את משטר העברת הנתונים החוצה-גבולות כדי להתאים לעקרון הנאותות בסגנון ה-GDPR ולסעיפים חוזיים סטנדרטיים, ומועצת KVKK (Kişisel Verileri Koruma Kurulu) הגבירה משמעותית את האכיפה לאורך 2025 ועד 2026. עבור כל מפרסם, מפרסם מודעות או פלטפורמה המעבדים נתונים של משתמשים טורקים — בין אם מבוססים בטורקיה ובין אם משרתים את השוק הטורקי מחוץ למדינה — 2026 היא השנה שבה ערימת הסכמה מודרנית מפסיקה להיות תוספת נחמדה ונהיית קו הבסיס. מדריך זה עובר על החוק בנוסחו המתוקן, מה שהסכמה לעוגיות מחייבת בפועל, כיצד פועלות כיום העברות חוצות גבולות, ומה נראית אכיפת המועצה בפועל.
מבנה ה-KVKK לאחר תיקוני 2024
ה-KVKK הוא חוק הגנת המידע העיקרי בטורקיה, ונוסחו המתוקן הוא כיום נקודת הייחוס. מפרסמים שעבדו לפי הגרסה שקדמה ל-2024 מסתכלים על מסגרת מיושנת.
מה שינו תיקוני 2024
השינוי המרכזי היה שכתוב סעיף 9, הממשל על העברות נתונים בינלאומיות. המשטר שלפני 2024 היה ידוע לשמצה בקושי לעמוד בו — הוא דרש הסכמה מפורשת או אישור המועצה פרטני לכל זרימה חוצת גבולות כמעט, מה שלא ניתן ליישום עבור כל ערימת טכנולוגיית מודעות מודרנית. סעיף 9 המתוקן מציג שלושה רמות של מנגנון העברה: החלטת נאותות מהמועצה, מכלול של אמצעי הגנה מתאימים הכולל סעיפים חוזיים סטנדרטיים, ובמקרים מצומצמים, מכלול חריגים. זה מיישר סוף סוף את חוק ההעברה הטורקי עם דפוס ה-GDPR ומאפשר לפרסום הפרוגרמטי לעמוד בדרישות הבינלאומיות ללא הגשה נפרדת למועצה עבור כל ספק.
מה לא השתנה
ההגדרות הבסיסיות, הבסיסים המשפטיים, זכויות נושאי הנתונים ותקן ההסכמה המפורשת לנתונים רגישים נותרו כשהיו. רף ההסכמה המפורשת הטורקי הוא, אם בכלל, מחמיר יותר בפועל מתקן ה-GDPR, וכאן יושבים רוב פערי הציות של המפרסמים עדיין.
רשם VERBIS
בקרי נתונים מעל סף מסוים — כולל רוב הבקרים הזרים המעבדים נתונים אישיים טורקיים בהיקף — חייבים להירשם ברשם בקרי הנתונים (VERBIS). הרישום דורש גילוי פעילויות העיבוד, הבסיסים המשפטיים ומנגנוני ההעברה. מפרסמים זרים רבים דילגו בעבר על הרישום ב-VERBIS; המועצה הצביעה על עמדה פעילה יותר בנושא זה לאורך 2025 ו-2026.
מה נחשב מידע אישי תחת KVKK
הגדרת המידע האישי של ה-KVKK היא רחבה ותואמת מקרוב ל-GDPR. מידע אישי הוא כל מידע הנוגע לאדם טבעי מזוהה או שניתן לזהותו, והנחיות המועצה טיפלו באופן עקבי בעוגיות, מזהי פרסום, כתובות IP וטביעות אצבע של מכשירים כמידע אישי כאשר ניתן לקשרם למשתמש ישירות או באמצעים סבירים.
מידע אישי רגיש
רשימת הקטגוריות הרגישות של ה-KVKK רחבה יותר מזו של ה-GDPR: היא כוללת במפורש גזע, מוצא אתני, דעה פוליטית, אמונה פילוסופית, דת, כת, מראה חיצוני, חברות בעמותה או קרן, בריאות, חיי מין, הרשעה פלילית, אמצעי אבטחה, ונתונים ביומטריים וגנטיים. עיבוד של כל אחד מאלה דורש הסכמה מפורשת — לא מהסוג המעורפל או המאוגד, אלא הסכמה ספציפית, מדעת וניתנת בחופשיות הקשורה לעיבוד הרגיש הספציפי.
מדוע זה חשוב לעוגיות
עוגייה השומרת רק מזהה הפעלה היא מידע אישי בסיסי. עוגייה המזינה פלח קהל כמו מצביעים ליברלים או קהילה דתית אדוקה היא מידע אישי רגיש לפי ההגדרה הטורקית — ותצורת ההסכמה הנדרשת היא הסכמה מפורשת או כלום. מפרסמים המכוונים לפלחי קהל הנוגעים לרשימת הרגישים של KVKK לא אמורים להפעיל פלחים אלה תחת הסכמת פרסום כללית.
הסכמה לעוגיות תחת KVKK ב-2026
עמדת המועצה בנוגע לעוגיות התהדקה בשנתיים האחרונות. ההנחיה הנוכחית היא חד-משמעית: עוגיות וטכנולוגיות מעקב המעבדות מידע אישי דורשות הסכמה, אלא אם הן הכרחיות לחלוטין לשירות שהמשתמש ביקש.
ארבעת המרכיבים של הסכמה מפורשת תקפה
ההסכמה המפורשת הטורקית חייבת להיות:
- קשורה לנושא ספציפי — הסכמת מטרייה כללית המכסה עיבוד עתידי לא מוגדר אינה תקפה
- מדעת — המשתמש מבין אילו נתונים מעובדים, לאיזו מטרה, על ידי מי ולכמה זמן
- ניתנת בחופשיות — המשתמש יכול לסרב מבלי שיישלל ממנו שירות שיש לו זכות אליו
- מבוטאת על ידי פעולה חיובית ברורה — תיבות מסומנות מראש, הסכמה משתמעת והסכמה-כגלילה — כולן אינן תקפות
כיצד נראית CMP ציות
CMP המוגדרת לתנועה טורקית ב-2026 צריכה להציג:
- באנר גלוי לעין לפני שכל עוגייה לא-הכרחית נטענת, כברירת מחדל בטורקית (Türkçe) עבור משתמשים טורקים
- בולטות חזותית שווה לאשר, לדחות ולהתאים אישית — המועצה ציינה במפורש עיצובי באנרים שבהם דחייה פחות בולטת מאשר אישור
- בוררים פרטניים לכל מטרה: ניתוח נתונים, פרסום, התאמה אישית, העברה חוצת גבולות וכל עיבוד של קטגוריה רגישה
- מנגנון קבוע ונגיש בקלות לביטול ההסכמה לאחר הבחירה הראשונית
- Aydınlatma Metni (הודעת פרטיות) בשפה הטורקית המגלה את זהות הבקר, המטרות, הנמענים, תקופת השמירה והזכויות
- זרימת הסכמה מפורשת (açık rıza) נפרדת ומסומנת בבירור לכל עיבוד של קטגוריה רגישה, נעולה מאחורי פעולתה הייחודית
רשומות הסכמה
הבקר חייב לשמור רשומות הסכמה — מי הסכים, מתי, למה, דרך איזה ממשק. מועצת KVKK ציטטה יומני הסכמה לקויים במספר פעולות אכיפה, ויומנים עם חותמת זמן שניתן לייצא הם ציפיית הבסיס.
העברות חוצות גבולות תחת סעיף 9 המתוקן של 2024
תיקוני 2024 הציגו מסגרת העברה תלת-שכבתית המשקפת את גישת ה-GDPR. הבנה איזה שכבה חלה על איזה זרימה היא פער הציות הנפוץ ביותר עבור מפרסמים זרים ב-2026.
שכבה 1 — החלטת נאותות
המועצה יכולה לייעד מדינה, ארגון בינלאומי או מגזר של מדינה כמספקים הגנה מספקת. העברות ליעדים נאותים מותרות ללא מנגנון נוסף. בתחילת 2026, המועצה הוציאה בהדרגה החלטות נאותות אך טרם ייעדה את ארה״ב באופן רחב.
שכבה 2 — אמצעי הגנה מתאימים
בהעדר נאותות, העברות מותרות על בסיס אמצעי הגנה מתאימים. התיקונים מביאים בחשבון ספציפית סעיפים חוזיים סטנדרטיים שאושרו על ידי המועצה, כללים תאגידיים מחייבים להעברות תוך-קבוצתיות וקודי התנהגות או מנגנוני הסמכה שאושרו על ידי המועצה. הסעיפים החוזיים הסטנדרטיים של המועצה פורסמו ב-2024 והם המנגנון המפעיל העיקרי עבור רוב המפרסמים.
שכבה 3 — חריגים
חריגים מצומצמים קיימים עבור העברות מזדמנות, העברות הנדרשות לביצוע חוזה, או העברות שהמשתמש הסכים להן במפורש. לא ניתן להשתמש בהם כבסיס משפטי ראשי לזרימות פרוגרמטיות שוטפות.
השלכה מעשית עבור מפרסמים
ערימה פרוגרמטית טיפוסית שולחת נתונים הנגזרים מעוגיות לעשרות ספקים מחוץ למדינה בכל הצעת מחיר. כל אחת מאותן זרימות היא העברה חוצת גבולות. הגישה הישימה ב-2026 היא ביצוע סעיפים חוזיים סטנדרטיים שאושרו על ידי המועצה עם כל מעבד בינלאומי ותיעוד מנגנון ההעברה ב-Aydınlatma Metni וברישום VERBIS. מפרסמים שנשארו עם לוגיקת הסכמה-מפורשת-להעברה שלפני 2024 חשופים בו-זמנית יתר על המידה לסיכון ציות ומנצלים פחות מדי את הזדמנות המונטיזציה.
זכויות נושאי נתונים
לנושאי הנתונים הטורקים יש את המכלול המלא של הזכויות הנמצאות ב-GDPR, המוחלות דרך מסגרת KVKK:
- זכות לדעת אם המידע שלהם מעובד
- זכות גישה למידע המעובד
- זכות לתיקון מידע שגוי
- זכות מחיקה או אנונימיזציה כאשר העיבוד אינו מוצדק עוד
- זכות להיות מודע לצדדים שלישיים שאליהם נמסר המידע
- זכות להתנגד להחלטות אוטומטיות המייצרות השלכות שליליות
- זכות לפיצוי על נזקים הנגרמים מעיבוד בלתי חוקי
לוחות זמנים לתגובה
בקרים חייבים להגיב לבקשות נושאי הנתונים תוך 30 יום. נושא הנתונים יכול להסלים לדרג של מועצת KVKK אם תגובת הבקר אינה מספקת, ולמועצה יש חלון של 60 יום להחליט. מוכנות תפעולית לחלון של 30 יום — עם מדריכי הפעלה, כלים ותבניות תגובה בשפה הטורקית — היא פער נפוץ עבור מפרסמים זרים.
קנסות ועמדת אכיפה ב-2026
מועצת KVKK הייתה שקטה יחסית בשנים הראשונות שלה, אך הגבירה משמעותית את האכיפה. סך הקנסות של 2025 היה הגבוה ביותר מאז כניסת החוק לתוקף, ו-2026 נמצא במסלול דומה.
קנסות מנהליים
קנסות מנהליים ממודדים שנתית לאינפלציה. החל מ-2026 תקרת ההפרות החמורות ביותר עולה על TRY 40 מיליון להפרה, ותקרות נפרדות חלות על כשלים סביב אבטחת נתונים, הודעות, רישום VERBIS והחלטות המועצה. בקרים זרים קנסו בשיעור הגבוה ביותר של הטווח במספר פעולות של 2025.
חשיפה תדמיתית
המועצה מפרסמת סיכומים של החלטות אכיפה באתר האינטרנט שלה. קנסות מפרסמים זרים הופיעו באופן קבוע בעיתונות הטכנולוגית הטורקית, ועלות התדמית של החלטת KVKK ציבורית גבוהה בדרך כלל מהקנס עצמו.
נושאי אכיפה
פעולות המועצה של 2025 ותחילת 2026 מתרכזות סביב קבוצה קטנה של בעיות חוזרות: הסכמה לעוגיות חסרה או מעורפלת, Aydınlatma Metni לקוי, בקרים זרים שאינם רשומים ב-VERBIS, והעברות חוצות גבולות בלתי חוקיות תוך שימוש במסגרת שלפני 2024.
רשימת בדיקה לביקורת תנועה טורקית ב-2026
- באנר ה-CMP מוגש בטורקית למשתמשים טורקים, עם אשר, דחה והתאם אישית בבולטות חזותית שווה
- מטרות ההסכמה הן פרטניות וכל עיבוד של קטגוריה רגישה מופרד מאחורי זרימת ההסכמה המפורשת שלו
- יומני ההסכמה עם חותמת זמן, ניתנים לייצוא ושמורים לפחות לתקופת העיבוד בתוספת מרווח ניתן לביקורת
- ה-Aydınlatma Metni זמין בטורקית עם גילוי מלא של הבקר, המעבדים, המטרות, השמירה והזכויות
- רישום VERBIS שלם ועדכני אם הבקר עובר את הסף
- העברות חוצות גבולות מסתמכות על הסעיפים החוזיים הסטנדרטיים של 2024 או מנגנון תקף אחר של סעיף 9, עם המנגנון המתועד ב-Aydınlatma Metni
- תהליך עבודה לבקשת נושא הנתונים יכול להגיב תוך 30 יום מקצה לקצה, בטורקית
- רשימת הספקים נבדקה, עם ספקים שאינם בשימוש או מיותרים שהוסרו להפחתת החשיפה
תחזית 2026
משטר הגנת הנתונים של טורקיה השיג את המסגרת האירופית בצורה ומגיע במהירות לאכיפה. תיקוני 2024 הסירו את המחסום המבני הגדול ביותר לטכנולוגיית מודעות בינלאומית מודרנית — משטר ההעברה הישן — והמועצה השתמשה בשנתיים מאז כדי להתמקד באכיפת שאר החוק. מפרסמים עם ערימת הסכמה ברמת GDPR צריכים לבצע התאמות קטנות יחסית כדי להיות מוכנים לטורקיה: CMP והודעה בשפה הטורקית, רישום VERBIS אם ישים, סעיפי העברה סטנדרטיים של 2024, ושמירה על רשימת הנתונים הרגישים הרחבה יותר. מפרסמים שהתייחסו לטורקיה כשוק בעל מגע קל יותר ימצאו את 2026 יקר יותר מ-2025, ואת 2027 יקר יותר מ-2026. הפער ניתן לסגירה בתוך שבועות אם הוא מוגדר כעדיפות — וכך צריך להיות.