Turski KVKK i izmjene iz 2024.: vodič za izdavače i oglašivače o pristanku na kolačiće, prekograničnim prijenosima i izričitom pristanku u 2026.
Turski Zakon o zaštiti osobnih podataka (KVKK, Law No. 6698) na snazi je od 2016., ali veći dio tog desetljeća funkcionirao je kao tiši brat od strica GDPR-a — strukturalno prepoznatljivo sličan, ali zamjetno blaži u provedbi. To je doba završilo. Izmjene KVKK-a iz 2024., objavljene u Službenom listu 12. ožujka 2024., restrukturirale su režim prekograničnog prijenosa podataka kako bi se uskladio s adekvatnošću u stilu GDPR-a i standardnim ugovornim klauzulama, a KVKK odbor (Kişisel Verileri Koruma Kurulu) smisleno je pojačao provedbu kroz 2025. i u 2026. Za svakog izdavača, oglašivača ili platformu koja obrađuje podatke turskih korisnika — bilo da su sa sjedištem u Turskoj ili da turskom tržištu služe iz inozemstva — 2026. je godina kada moderan stos pristanka prestaje biti lijep dodatak i postaje osnova. Ovaj vodič prolazi kroz zakon u izmijenjenom obliku, što pristanak na kolačiće zapravo zahtijeva, kako sada funkcioniraju prekogranični prijenosi i kako provedba odbora izgleda u praksi.
Struktura KVKK-a nakon izmjena iz 2024.
KVKK je primarni zakon o zaštiti podataka u Turskoj, a njegov izmijenjeni tekst sada je referentna točka. Izdavači koji su radili prema verziji prije 2024. gledaju na zastarjeli okvir.
Što su izmjene iz 2024. promijenile
Ključna promjena bila je prepisivanje članka 9., koji regulira međunarodne prijenose podataka. Režim prije 2024. bio je notorno težak za ispunjavanje — zahtijevao je izričit pristanak ili odobrenje odbora za svaki slučaj za gotovo svaki prekogranični tok, što je bilo neprovedivo za bilo koji moderan adtech stos. Izmijenjeni članak 9. uvodi tri razine mehanizma prijenosa: odluku o adekvatnosti odbora, skup odgovarajućih zaštitnih mjera uključujući standardne ugovorne klauzule, te u uskim slučajevima skup derogacija. To konačno usklađuje turski zakon o prijenosu s obrascem GDPR-a i čini programatsko oglašavanje međunarodno usklađenim bez podnošenja odboru za svakog dobavljača.
Što se nije promijenilo
Temeljne definicije, zakonske osnove, prava ispitanika i standard izričitog pristanka za osjetljive podatke ostali su kakvi su bili. Turski prag izričitog pristanka je, ako išta, stroži u praksi od standarda GDPR-a, i tu i dalje leži većina nedostataka usklađenosti izdavača.
Registar VERBIS
Voditelji obrade iznad određenih pragova — uključujući većinu stranih voditelja koji u velikom opsegu obrađuju turske osobne podatke — moraju se registrirati u Registru voditelja obrade (VERBIS). Registracija zahtijeva otkrivanje aktivnosti obrade, zakonskih osnova i mehanizama prijenosa. Mnogi strani izdavači su povijesno preskočili VERBIS registraciju; odbor je signalizirao aktivniji stav prema tome kroz 2025. i 2026.
Što se smatra osobnim podacima pod KVKK-om
Definicija osobnih podataka KVKK-a široka je i blisko odgovara GDPR-u. Osobni podaci su svaka informacija koja se odnosi na identificiranu ili identifikabilnu fizičku osobu, a smjernice odbora dosljedno su tretirale kolačiće, identifikatore oglašavanja, IP adrese i otiske prstiju uređaja kao osobne podatke kada se mogu povezati s korisnikom izravno ili razumnim sredstvima.
Osjetljivi osobni podaci
Popis osjetljivih kategorija KVKK-a širi je od onog GDPR-a: izričito uključuje rasu, etničko podrijetlo, političko mišljenje, filozofsko uvjerenje, vjeru, sektu, izgled, članstvo u udruzi ili zakladi, zdravlje, seksualni život, kaznenu osudu, sigurnosne mjere i biometrijske i genetske podatke. Obrada bilo kojeg od njih zahtijeva izričit pristanak — ne onaj dvosmislen ili svežnjevit, već specifičan, informiran, slobodno dani pristanak vezan za specifičnu osjetljivu obradu.
Zašto je to važno za kolačiće
Kolačić koji pohranjuje samo ID sesije temeljni je osobni podatak. Kolačić koji hrani segment publike poput Liberalnih birača ili Pobožne vjerske zajednice osjetljivi je osobni podatak prema turskoj definiciji — i potrebna konfiguracija pristanka je izričit-pristanak-ili-ništa. Izdavači koji ciljaju segmente publike koji diraju u KVKK-ov popis osjetljivih ne bi trebali te segmente pokretati pod općim pristankom na oglašavanje.
Pristanak na kolačiće pod KVKK-om u 2026.
Stav odbora prema kolačićima pooštrilo se u posljednje dvije godine. Trenutne smjernice su nedvosmislene: kolačići i tehnologije praćenja koje obrađuju osobne podatke zahtijevaju pristanak osim ako nisu neophodne za uslugu koju je korisnik zatražio.
Četiri elementa valjanog izričitog pristanka
Turski izričiti pristanak mora biti:
- Vezan za specifičnu temu — opći pristanak-kišobran koji pokriva neodređenu buduću obradu nije valjan
- Informiran — korisnik razumije koji se podaci obrađuju, u koju svrhu, od koga i koliko dugo
- Slobodno dani — korisnik može odbiti bez da mu se uskrati usluga na koju ima pravo
- Izražen jasnom afirmativnom radnjom — unaprijed označeni kvadratići, implicirani pristanak i pomicanje-kao-pristanak sve su nevaljani
Kako izgleda sukladna CMP
CMP konfiguriran za turski promet u 2026. trebao bi prikazati:
- Vidljivi banner prije nego što se aktivira bilo koji neesencijalni kolačić, koji standardno prikazuje turski (Türkçe) za turske korisnike
- Jednaku vizualnu istaknutost za Prihvati, Odbij i Prilagodi — odbor je posebno istaknuo dizajne bannera gdje je Odbij manje vidljiv od Prihvati
- Detaljne preklopnike po svrsi: analitika, oglašavanje, personalizacija, prekogranični prijenos i svaka obrada osjetljive kategorije
- Trajni, lako dostupan mehanizam za povlačenje pristanka nakon početnog izbora
- Aydınlatma Metni (Obavijest o privatnosti) na turskom jeziku koji otkriva identitet voditelja obrade, svrhe, primatelje, čuvanje i prava
- Poseban, jasno označen tok izričitog pristanka (açık rıza) za svaku obradu osjetljive kategorije, zaštićen vlastitom radnjom
Evidencija pristanka
Voditelj obrade mora voditi evidenciju pristanka — tko je pristao, kada, na što, putem kojeg sučelja. KVKK odbor citirao je neadekvatne zapisnike pristanka u nekoliko provedbenih akcija, a izvozivi vremenski označeni zapisnici osnovna su očekivanja.
Prekogranični prijenosi pod izmijenjenim člankom 9. iz 2024.
Izmjene iz 2024. uvele su troslojevni okvir prijenosa koji odražava pristup GDPR-a. Razumijevanje koja se razina primjenjuje na koji tok najčešća je praznina usklađenosti za strane izdavače u 2026.
Razina 1 — Odluka o adekvatnosti
Odbor može odrediti zemlju, međunarodnu organizaciju ili sektor države kao onu koja pruža odgovarajuću zaštitu. Prijenosi na adekvatna odredišta dopušteni su bez dodatnog mehanizma. Početkom 2026. odbor postupno izdaje odluke o adekvatnosti, ali još nije široko odredio Sjedinjene Američke Države.
Razina 2 — Odgovarajuće zaštitne mjere
U nedostatku adekvatnosti, prijenosi su dopušteni na temelju odgovarajućih zaštitnih mjera. Izmjene posebno razmatraju standardne ugovorne klauzule odobrene od odbora, obvezujuća korporativna pravila za prijenose unutar grupe i kodekse ponašanja ili mehanizme certifikacije odobrene od odbora. Standardne ugovorne klauzule odbora objavljene su 2024. i glavni su radni mehanizam za većinu izdavača.
Razina 3 — Derogacije
Uski izuzeci postoje za povremene prijenose, prijenose potrebne za izvršenje ugovora ili prijenose na koje je korisnik izričito pristao. Ovi se ne mogu koristiti kao primarna pravna osnova za tekuće programatske tokove.
Praktična implikacija za izdavače
Tipičan programatski stos šalje podatke izvedene iz kolačića desetinama stranih dobavljača po svakoj ponudi. Svaki od tih tokova prekogranični je prijenos. Radni pristup u 2026. je izvršiti standardne ugovorne klauzule odobrene od odbora s každim međunarodnim obrađivačem i dokumentirati mehanizam prijenosa u Aydınlatma Metni i VERBIS registraciji. Izdavači koji su ostali uz logiku izričitog-pristanka-po-prijenosu iz vremena prije 2024. istovremeno su previše izloženi riziku usklađenosti i premalo iskorištavaju mogućnost monetizacije.
Prava ispitanika
Turski ispitanici imaju potpun skup prava koja se nalaze u GDPR-u, primijenjen kroz okvir KVKK-a:
- Pravo znati obrađuju li se njihovi podaci
- Pravo pristupa obrađenim podacima
- Pravo na ispravak netočnih podataka
- Pravo na brisanje ili anonimizaciju gdje obrada više nije opravdana
- Pravo biti obaviješten o trećim stranama kojima su podaci otkriveni
- Pravo prigovoriti automatiziranim odlukama koje proizvode štetne učinke
- Pravo na naknadu za štetu uzrokovanu nezakonitom obradom
Vremenski rokovi odgovora
Voditelji obrade moraju odgovoriti na zahtjeve ispitanika u roku od 30 dana. Ispitanik može eskalirati KVKK odboru ako je odgovor voditelja obrade neadekvatan, a odbor ima 60-dnevni prozor za odlučivanje. Operativna pripravnost za 30-dnevni prozor — s priručnicima, alatima i predlošcima odgovora na turskom jeziku — uobičajena je praznina za strane izdavače.
Kazne i stav prema provedbi u 2026.
KVKK odbor bio je relativno tih prvih nekoliko godina, ali je smisleno pojačao provedbu. Ukupan iznos kazni u 2025. bio je najviši od stupanja zakona na snagu, a 2026. je na sličnoj putanji.
Administrativne novčane kazne
Administrativne novčane kazne godišnje su indeksirane inflacijom. Od 2026. gornja granica za najteže prekršaje premašuje TRY 40 milijuna po prekršaju, a zasebne gornje granice primjenjuju se na propuste u području sigurnosti podataka, obavješćivanja, VERBIS registracije i odluka odbora. Stranski voditelji obrade kažnjeni su na gornjoj granici raspona u nekoliko akcija iz 2025.
Reputacijska izloženost
Odbor objavljuje sažetke provedbenih odluka na svojoj web stranici. Kazne stranim izdavačima redovito su se pojavljivale u turskom tehnološkom tisku, a reputacijski trošak javne KVKK odluke obično je viši od same kazne.
Teme provedbe
Akcije odbora iz 2025. i početka 2026. grupiraju se oko malog skupa ponavljajućih problema: nedostajući ili dvosmislen pristanak na kolačiće, neadekvatan Aydınlatma Metni, neregistrirani strani voditelji obrade u VERBIS-u i nezakoniti prekogranični prijenosi korištenjem okvira iz vremena prije 2024.
Kontrolni popis revizije za turski promet u 2026.
- CMP banner poslužuje se na turskom za turske korisnike, s Prihvati, Odbij i Prilagodi s jednakom vizualnom istaknutošću
- Svrhe pristanka su detaljne i svaka obrada osjetljive kategorije odvojena je iza vlastitog toka izričitog pristanka
- Zapisnici pristanka vremenski su označeni, izvozivi i čuvani najmanje za trajanje obrade plus revizijski prihvatljiva margina
- Aydınlatma Metni dostupan je na turskom s potpunim otkrivanjem podataka o voditelju obrade, obrađivačima, svrhama, čuvanju i pravima
- VERBIS registracija je kompletna i ažurna ako voditelj obrade prelazi prag
- Prekogranični prijenosi oslanjaju se na standardne ugovorne klauzule iz 2024. ili drugi valjani mehanizam članka 9., s mehanizmom dokumentiranim u Aydınlatma Metni
- Tijek rada zahtjeva ispitanika može odgovoriti u roku od 30 dana od kraja do kraja, na turskom
- Popis dobavljača pregledan je, s nekorištenim ili suvišnim dobavljačima uklonjenim radi smanjenja izloženosti
Izgledi za 2026.
Turski režim zaštite podataka po obliku je dostigao europski okvir i brzo ga dostiže po provedbi. Izmjene iz 2024. uklonile su najveću strukturnu prepreku modernoj međunarodnoj adtech industriji — stari režim prijenosa — a odbor je iskoristio dvije godine od tada da se usredotoči na provedbu ostatka zakona. Izdavači s pristankom na razini GDPR-a trebaju napraviti relativno male prilagodbe da bi bili spremni za Tursku: CMP i obavijest na turskom jeziku, VERBIS registracija ako je primjenjivo, standardne klauzule prijenosa iz 2024. i oprez s proširenijim popisom osjetljivih podataka. Izdavači koji su Tursku tretirali kao tržište s blagim pristupom naći će 2026. skuplji od 2025., a 2027. skuplji od 2026. Jaz se može zatvoriti u tjednima ako se postavi kao prioritet — a trebalo bi.