अनुपालन3 मई, 2026 | FlexyConsent

तुर्की का KVKK और 2024 के संशोधन: कुकी सहमति, सीमा-पार स्थानांतरण और स्पष्ट सहमति पर प्रकाशकों और विज्ञापनदाताओं के लिए 2026 की मार्गदर्शिका

तुर्की के व्यक्तिगत डेटा संरक्षण कानून (KVKK, Law No. 6698) 2016 से लागू है, लेकिन उस दशक के अधिकांश समय में यह GDPR के शांत चचेरे भाई की तरह काम करता था — संरचना में पहचाने जाने योग्य रूप से समान, लेकिन प्रवर्तन में उल्लेखनीय रूप से नरम। वह युग समाप्त हो गया है। 2024 के KVKK संशोधन, जो 12 मार्च 2024 को आधिकारिक राजपत्र में प्रकाशित हुए, ने सीमा-पार डेटा स्थानांतरण व्यवस्था को GDPR-शैली की पर्याप्तता और मानक संविदात्मक खंडों के साथ संरेखित करने के लिए पुनर्गठित किया, और KVKK बोर्ड (Kişisel Verileri Koruma Kurulu) ने 2025 और 2026 में प्रवर्तन को सार्थक रूप से तेज किया है। किसी भी प्रकाशक, विज्ञापनदाता या प्लेटफ़ॉर्म के लिए जो तुर्की उपयोगकर्ताओं के डेटा को संसाधित करता है — चाहे तुर्की में स्थित हो या विदेश से तुर्की बाजार को सेवा प्रदान कर रहा हो — 2026 वह वर्ष है जब एक आधुनिक सहमति स्टैक एक अच्छी-सुविधा होने से बंद हो जाती है और आधार रेखा बन जाती है। यह मार्गदर्शिका कानून को उसके संशोधित रूप में, कुकी सहमति वास्तव में क्या आवश्यक है, सीमा-पार स्थानांतरण अब कैसे काम करते हैं, और व्यवहार में बोर्ड का प्रवर्तन कैसा दिखता है, इस पर चर्चा करती है।

2024 के संशोधनों के बाद KVKK की संरचना

KVKK तुर्की में प्राथमिक डेटा संरक्षण क़ानून है, और इसका संशोधित पाठ अब संदर्भ बिंदु है। जो प्रकाशक 2024 से पूर्व के संस्करण से काम कर रहे हैं, वे एक पुरानी रूपरेखा को देख रहे हैं।

2024 के संशोधनों ने क्या बदला

मुख्य परिवर्तन अनुच्छेद 9 का पुनर्लेखन था, जो अंतर्राष्ट्रीय डेटा स्थानांतरण को नियंत्रित करता है। 2024 से पूर्व की व्यवस्था को पूरा करना कुख्यात रूप से कठिन था — इसके लिए लगभग हर सीमा-पार प्रवाह के लिए या तो स्पष्ट सहमति या मामला-दर-मामला बोर्ड प्राधिकरण की आवश्यकता थी, जो किसी भी आधुनिक विज्ञापन तकनीक स्टैक के लिए अव्यावहारिक था। संशोधित अनुच्छेद 9 स्थानांतरण तंत्र के तीन स्तर पेश करता है: बोर्ड से पर्याप्तता निर्णय, मानक संविदात्मक खंडों सहित उचित सुरक्षा उपायों का एक सेट, और संकीर्ण मामलों में, छूट का एक सेट। यह अंततः तुर्की स्थानांतरण कानून को GDPR पैटर्न के साथ संरेखित करता है और प्रति-विक्रेता बोर्ड फाइलिंग के बिना अंतरराष्ट्रीय स्तर पर प्रोग्रामेटिक विज्ञापन को अनुपालन योग्य बनाता है।

क्या नहीं बदला

मूल परिभाषाएं, कानूनी आधार, डेटा विषय अधिकार और संवेदनशील डेटा के लिए स्पष्ट-सहमति मानक जैसे थे वैसे ही रहे। तुर्की का स्पष्ट-सहमति बार, व्यवहार में, GDPR के मानक से सख्त है, और यहीं अधिकांश प्रकाशक अनुपालन अंतराल अभी भी हैं।

VERBIS रजिस्ट्री

कुछ सीमाओं से अधिक डेटा नियंत्रक — बड़े पैमाने पर तुर्की व्यक्तिगत डेटा को संसाधित करने वाले अधिकांश विदेशी नियंत्रकों सहित — डेटा नियंत्रक रजिस्ट्री (VERBIS) में पंजीकरण कराना होगा। पंजीकरण के लिए प्रसंस्करण गतिविधियों, कानूनी आधार और स्थानांतरण तंत्र का प्रकटीकरण आवश्यक है। कई विदेशी प्रकाशकों ने ऐतिहासिक रूप से VERBIS पंजीकरण को छोड़ दिया है; बोर्ड ने 2025 और 2026 में इस पर अधिक सक्रिय रुख का संकेत दिया है।

KVKK के तहत व्यक्तिगत डेटा क्या माना जाता है

KVKK की व्यक्तिगत डेटा परिभाषा व्यापक है और GDPR के करीब से मेल खाती है। व्यक्तिगत डेटा किसी पहचाने गए या पहचाने जाने योग्य प्राकृतिक व्यक्ति से संबंधित कोई भी जानकारी है, और बोर्ड के मार्गदर्शन ने लगातार कुकीज़, विज्ञापन पहचानकर्ताओं, IP पतों और डिवाइस फिंगरप्रिंट को व्यक्तिगत डेटा के रूप में माना है जब उन्हें सीधे या उचित साधनों से किसी उपयोगकर्ता से जोड़ा जा सकता है।

संवेदनशील व्यक्तिगत डेटा

KVKK की संवेदनशील श्रेणियों की सूची GDPR की तुलना में व्यापक है: इसमें स्पष्ट रूप से नस्ल, जातीय मूल, राजनीतिक राय, दार्शनिक विश्वास, धर्म, संप्रदाय, उपस्थिति, संघ या फाउंडेशन सदस्यता, स्वास्थ्य, यौन जीवन, आपराधिक सजा, सुरक्षा उपाय और बायोमेट्रिक और आनुवंशिक डेटा शामिल हैं। इनमें से किसी का भी प्रसंस्करण स्पष्ट सहमति की आवश्यकता है — अस्पष्ट या बंडल प्रकार की नहीं, बल्कि एक विशिष्ट, सूचित, स्वतंत्र रूप से दी गई सहमति जो विशिष्ट संवेदनशील प्रसंस्करण से जुड़ी हो।

यह कुकीज़ के लिए क्यों मायने रखता है

एक कुकी जो केवल एक सत्र ID संग्रहीत करती है वह बुनियादी व्यक्तिगत डेटा है। एक कुकी जो उदारवादी मतदाता या धर्मनिष्ठ धार्मिक समुदाय जैसे दर्शक खंड को फ़ीड करती है वह तुर्की परिभाषा के तहत संवेदनशील व्यक्तिगत डेटा है — और आवश्यक सहमति कॉन्फ़िगरेशन स्पष्ट-सहमति-या-कुछ-नहीं है। KVKK की संवेदनशील सूची को छूने वाले दर्शक खंडों को लक्षित करने वाले प्रकाशकों को उन खंडों को सामान्य विज्ञापन सहमति के तहत नहीं चलाना चाहिए।

2026 में KVKK के तहत कुकी सहमति

कुकीज़ पर बोर्ड की स्थिति पिछले दो वर्षों में सख्त हुई है। वर्तमान मार्गदर्शन स्पष्ट है: कुकीज़ और ट्रैकिंग तकनीकें जो व्यक्तिगत डेटा संसाधित करती हैं उन्हें सहमति की आवश्यकता है जब तक कि वे उपयोगकर्ता द्वारा अनुरोधित सेवा के लिए कड़ाई से आवश्यक न हों।

वैध स्पष्ट सहमति के चार तत्व

तुर्की की स्पष्ट सहमति होनी चाहिए:

एक अनुपालन CMP कैसी दिखती है

2026 में तुर्की ट्रैफ़िक के लिए कॉन्फ़िगर किया गया CMP प्रस्तुत करना चाहिए:

सहमति रिकॉर्ड

नियंत्रक को सहमति के रिकॉर्ड बनाए रखने चाहिए — किसने सहमति दी, कब, किस चीज के लिए, किस इंटरफ़ेस के माध्यम से। KVKK बोर्ड ने कई प्रवर्तन कार्रवाइयों में अपर्याप्त सहमति लॉग का हवाला दिया है, और निर्यात योग्य टाइमस्टैम्प्ड लॉग आधार रेखा अपेक्षा हैं।

2024 के अनुच्छेद 9 के तहत सीमा-पार स्थानांतरण

2024 के संशोधनों ने एक तीन-स्तरीय स्थानांतरण ढांचा पेश किया जो GDPR के दृष्टिकोण को दर्शाता है। 2026 में विदेशी प्रकाशकों के लिए यह समझना कि कौन सा स्तर किस प्रवाह पर लागू होता है सबसे आम अनुपालन अंतराल है।

स्तर 1 — पर्याप्तता निर्णय

बोर्ड किसी देश, अंतर्राष्ट्रीय संगठन या किसी देश के क्षेत्र को पर्याप्त सुरक्षा प्रदान करने वाला नामित कर सकता है। पर्याप्त गंतव्यों के लिए स्थानांतरण अतिरिक्त तंत्र के बिना अनुमत हैं। 2026 की शुरुआत में, बोर्ड धीरे-धीरे पर्याप्तता निर्णय जारी कर रहा है लेकिन अभी तक संयुक्त राज्य अमेरिका को व्यापक रूप से नामित नहीं किया है।

स्तर 2 — उचित सुरक्षा उपाय

पर्याप्तता की अनुपस्थिति में, उचित सुरक्षा उपायों के आधार पर स्थानांतरण अनुमत हैं। संशोधन विशेष रूप से बोर्ड द्वारा अनुमोदित मानक संविदात्मक खंडों, इंट्रा-ग्रुप स्थानांतरण के लिए बाध्यकारी कॉर्पोरेट नियमों और बोर्ड-अनुमोदित आचार संहिताओं या प्रमाणीकरण तंत्र पर विचार करते हैं। बोर्ड के मानक संविदात्मक खंड 2024 में प्रकाशित हुए और अधिकांश प्रकाशकों के लिए मुख्य कार्य तंत्र हैं।

स्तर 3 — छूट

सामयिक स्थानांतरणों, अनुबंध प्रदर्शन के लिए आवश्यक स्थानांतरणों, या उन स्थानांतरणों के लिए संकीर्ण अपवाद मौजूद हैं जिनके लिए उपयोगकर्ता ने स्पष्ट रूप से सहमति दी है। ये चल रहे प्रोग्रामेटिक प्रवाहों के लिए प्राथमिक कानूनी आधार के रूप में उपयोग योग्य नहीं हैं।

प्रकाशकों के लिए व्यावहारिक निहितार्थ

एक सामान्य प्रोग्रामेटिक स्टैक प्रत्येक बोली पर कुकी-व्युत्पन्न डेटा को दर्जनों विदेशी विक्रेताओं को भेजता है। उन प्रत्येक प्रवाह एक सीमा-पार स्थानांतरण है। 2026 का कार्यशील दृष्टिकोण प्रत्येक अंतर्राष्ट्रीय प्रोसेसर के साथ बोर्ड-अनुमोदित मानक संविदात्मक खंडों को निष्पादित करना और Aydınlatma Metni और VERBIS पंजीकरण में स्थानांतरण तंत्र का दस्तावेज़ीकरण करना है। जो प्रकाशक 2024 से पूर्व के स्पष्ट-सहमति-प्रति-स्थानांतरण तर्क के साथ बने रहे हैं, वे एक साथ अनुपालन जोखिम पर अधिक और मुद्रीकरण अवसर पर कम उपयोग किए हुए हैं।

डेटा विषय अधिकार

तुर्की डेटा विषयों के पास GDPR में मिले अधिकारों का पूर्ण सेट है, जो KVKK ढांचे के माध्यम से लागू होता है:

प्रतिक्रिया समयसीमाएं

नियंत्रकों को डेटा विषय अनुरोधों का जवाब 30 दिनों के भीतर देना होगा। यदि नियंत्रक की प्रतिक्रिया अपर्याप्त है तो डेटा विषय KVKK बोर्ड को मामला सौंप सकता है, और बोर्ड के पास निर्णय लेने के लिए 60-दिन की विंडो है। 30-दिन की विंडो के लिए परिचालन तत्परता — रनबुक, टूलिंग और तुर्की-भाषा प्रतिक्रिया टेम्पलेट के साथ — विदेशी प्रकाशकों के लिए एक सामान्य अंतराल है।

2026 में जुर्माना और प्रवर्तन रुख

KVKK बोर्ड अपने पहले कई वर्षों में अपेक्षाकृत शांत था लेकिन प्रवर्तन को सार्थक रूप से बढ़ाया है। 2025 का जुर्माना कुल कानून के लागू होने के बाद से सबसे अधिक था, और 2026 एक समान प्रक्षेपवक्र पर है।

प्रशासनिक जुर्माने

प्रशासनिक जुर्माने सालाना मुद्रास्फीति के लिए अनुक्रमित हैं। 2026 से सबसे गंभीर उल्लंघनों के लिए सीमा TRY 40 मिलियन प्रति उल्लंघन से अधिक है, और डेटा सुरक्षा, अधिसूचना, VERBIS पंजीकरण और बोर्ड निर्णयों के आसपास विफलताओं पर अलग-अलग सीमाएं लागू होती हैं। विदेशी नियंत्रकों को 2025 की कई कार्रवाइयों में सीमा के शीर्ष पर जुर्माना लगाया गया है।

प्रतिष्ठा जोखिम

बोर्ड अपनी वेबसाइट पर प्रवर्तन निर्णयों के सारांश प्रकाशित करता है। विदेशी प्रकाशक जुर्माने नियमित रूप से तुर्की प्रौद्योगिकी प्रेस में छपे हैं, और एक सार्वजनिक KVKK निर्णय की प्रतिष्ठा लागत आमतौर पर जुर्माने से अधिक होती है।

प्रवर्तन विषय

बोर्ड की 2025 और 2026 की शुरुआती कार्रवाइयां आवर्ती मुद्दों के एक छोटे सेट के आसपास केंद्रित हैं: गायब या अस्पष्ट कुकी सहमति, अपर्याप्त Aydınlatma Metni, VERBIS में अपंजीकृत विदेशी नियंत्रक और 2024 से पूर्व के ढांचे का उपयोग करने वाले अवैध सीमा-पार स्थानांतरण।

2026 में तुर्की ट्रैफ़िक के लिए ऑडिट चेकलिस्ट

2026 का दृष्टिकोण

तुर्की का डेटा संरक्षण शासन रूप में यूरोपीय ढांचे के साथ पकड़ में आ गया है और प्रवर्तन में तेजी से पकड़ में आ रहा है। 2024 के संशोधनों ने आधुनिक अंतर्राष्ट्रीय विज्ञापन तकनीक के लिए सबसे बड़ी संरचनात्मक बाधा को हटा दिया — पुराने स्थानांतरण शासन को — और बोर्ड ने तब से दो वर्षों का उपयोग कानून के बाकी हिस्से को लागू करने पर ध्यान केंद्रित करने के लिए किया है। GDPR-ग्रेड सहमति स्टैक वाले प्रकाशकों को तुर्की के लिए तैयार होने के लिए अपेक्षाकृत छोटे समायोजन करने की जरूरत है: तुर्की-भाषा CMP और नोटिस, लागू होने पर VERBIS पंजीकरण, 2024-मानक स्थानांतरण खंड और व्यापक संवेदनशील-डेटा सूची के साथ सावधानी। जो प्रकाशक तुर्की को हल्के-स्पर्श बाजार के रूप में मानते रहे हैं, वे पाएंगे कि 2026, 2025 से अधिक महंगा है, और 2027, 2026 से अधिक महंगा है। यदि इसे प्राथमिकता दी जाए तो अंतर को हफ्तों में बंद किया जा सकता है — और इसे होना चाहिए।

← ब्लaderegistrdelays delays सभी पढ़ें →