A KVKK felépítése a 2024-es módosítások után

A KVKK Törökország elsődleges adatvédelmi törvénye, és módosított szövege jelenleg a referenciapont. Azok a kiadók, akik a 2024 előtti verzióval dolgoztak, elavult keretrendszert használnak.

Mit változtattak meg a 2024-es módosítások

A legfontosabb változás a 9. cikk átírása volt, amely a nemzetközi adattovábbítást szabályozza. A 2024 előtti rendszer hírhedten nehezen volt teljesíthető — szinte minden határon átnyúló adatfolyamhoz kifejezett hozzájárulást vagy egyedi testületi engedélyt igényelt, ami a modern hirdetéstechnológiai infrastruktúra számára kivitelezhetetlen volt. A módosított 9. cikk három szintű továbbítási mechanizmust vezet be: a Testület megfelelőségi határozatát, egy megfelelő biztosítékokat tartalmazó rendszert (beleértve a standard szerződési feltételeket), és szűk esetekben kivételeket. Ez végre összhangba hozza a török átviteli jogot a GDPR-mintával, és lehetővé teszi a programmatikus hirdetés nemzetközi megfelelőségét anélkül, hogy szállítónként testületi bejegyzés kellene.

Mi nem változott

Az alapvető fogalmak, jogalapok, érintetti jogok és az érzékeny adatokra vonatkozó kifejezettbeleegyezési standard változatlanok maradtak. A török kifejezett beleegyezési küszöb a gyakorlatban ha lehetséges, még szigorúbb, mint a GDPR-é, és a legtöbb kiadói megfelelőségi hiányosság itt összpontosul.

A VERBIS-nyilvántartás

Bizonyos küszöböket meghaladó adatkezelőknek — beleértve a legtöbb külföldi adatkezelőt, aki nagy léptékben kezel török személyes adatokat — regisztrálniuk kell az Adatkezelők Nyilvántartásában (VERBIS). A regisztrációhoz szükséges az adatkezelési tevékenységek, jogalapok és átviteli mechanizmusok közzététele. Sok külföldi kiadó korábban mellőzte a VERBIS-regisztrációt; a Testület 2025-ben és 2026-ban aktívabb hozzáállást jelzett erre vonatkozóan.

Mi minősül személyes adatnak a KVKK szerint

A KVKK személyes adat meghatározása tág és szorosan illeszkedik a GDPR-éhoz. Személyes adat minden olyan információ, amely azonosított vagy azonosítható természetes személyre vonatkozik, és a Testület iránymutatása következetesen személyes adatként kezeli a cookie-kat, hirdetési azonosítókat, IP-címeket és eszköz-ujjlenyomatokat, ha azok közvetlenül vagy ésszerű eszközökkel összekapcsolhatók egy felhasználóval.

Érzékeny személyes adatok

A KVKK érzékeny kategóriáinak listája szélesebb, mint a GDPR-é: kifejezetten tartalmazza a fajt, etnikai eredetet, politikai véleményt, filozófiai meggyőződést, vallást, szektát, megjelenést, egyesületi vagy alapítványi tagságot, egészségügyi állapotot, szexuális életet, büntetőítéletet, biztonsági intézkedéseket és biometrikus és genetikai adatokat. Ezek bármelyikének kezelése kifejezett hozzájárulást igényel — nem a kétértelmű vagy összevont fajtát, hanem az adott érzékeny adatkezeléshez kötött, specifikus, tájékozott, szabadon adott hozzájárulást.

Miért fontos ez a cookie-k esetében

Egy olyan cookie, amely csak munkamenet-azonosítót tárol, alapvető személyes adat. Egy olyan cookie, amely Liberális Szavazók vagy Vallásos Közösség közönségszegmenst táplálja, érzékeny személyes adat a török definíció szerint — és a szükséges hozzájárulási konfiguráció kifejezett beleegyezés vagy semmi. Azoknak a kiadóknak, akik a KVKK érzékeny listáját érintő közönségszegmenseket céloznak, nem szabad ezeket a szegmenseket általános hirdetési hozzájárulás alatt futtatni.

Cookie-hozzájárulás a KVKK alapján 2026-ban

A Testület cookie-kkal kapcsolatos álláspontja az elmúlt két évben megszigorodott. A jelenlegi iránymutatás egyértelmű: a személyes adatokat kezelő cookie-k és nyomkövetési technológiák hozzájárulást igényelnek, kivéve, ha feltétlenül szükségesek a felhasználó által kért szolgáltatáshoz.

Az érvényes kifejezett hozzájárulás négy eleme

A török kifejezett hozzájárulásnak a következőknek kell megfelelnie:

• Konkrét tárgyhoz kapcsolódó — a meg nem határozott jövőbeli adatkezelést lefedő általános kerethozzájárulás érvénytelen
• Tájékozott — a felhasználó érti, hogy milyen adatokat kezelnek, milyen célból, ki által és mennyi ideig
• Szabadon adott — a felhasználó megtagadhatja anélkül, hogy egy egyébként igénybe vehető szolgáltatástól megfosztanák
• Egyértelmű megerősítő cselekménnyel kifejezett — az előre bejelölt négyzetek, hallgatólagos hozzájárulás és a görgetés mint hozzájárulás mind érvénytelenek

Hogyan néz ki egy megfelelő CMP

A 2026-ban a török forgalomra konfigurált CMP-nek a következőket kell bemutatnia:

• Látható banner minden nem alapvető cookie tüzelése előtt, alapértelmezetten törökül (Türkçe) a török felhasználók számára
• Az Elfogadás, Elutasítás és Testreszabás egyenlő vizuális kiemelése — a Testület kifejezetten bírálta azokat a bannerterveket, amelyekben az Elutasítás kevésbé látható, mint az Elfogadás
• Célonkénti részletes kapcsolók: elemzés, hirdetés, személyre szabás, határon átnyúló adattovábbítás és bármilyen érzékeny kategóriájú adatkezelés
• Állandó, könnyen elérhető mechanizmus a hozzájárulás visszavonásához a kezdeti döntés után
• Török nyelvű Aydınlatma Metni (Adatvédelmi Tájékoztató), amely feltárja az adatkezelő kilétét, a célokat, a címzetteket, a megőrzési időt és a jogokat
• Külön, egyértelműen jelölt kifejezett hozzájárulási folyamat (açık rıza) minden érzékeny kategóriájú adatkezeléshez, saját műveleti kapuval

Hozzájárulási nyilvántartások

Az adatkezelőnek nyilvántartást kell vezetnie a hozzájárulásokról — ki adott hozzájárulást, mikor, mihez, milyen felületen keresztül. A KVKK Testület számos végrehajtási intézkedésben hivatkozott nem megfelelő hozzájárulási naplókra, és az exportálható, időbélyegzős naplók az alapelvárás.

Határon átnyúló adattovábbítás a 2024-es 9. cikk alapján

A 2024-es módosítások egy háromszintű átviteli keretrendszert vezettek be, amely tükrözi a GDPR megközelítését. Annak megértése, hogy melyik szint vonatkozik melyik adatfolyamra, a leggyakoribb megfelelőségi hiányosság a külföldi kiadók számára 2026-ban.

1. szint — Megfelelőségi határozat

A Testület meghatározhat egy országot, nemzetközi szervezetet vagy egy ország szektorát megfelelő védelmet nyújtónak. A megfelelőséggel rendelkező célállomásokra irányuló adatátvitel további mechanizmus nélkül engedélyezett. 2026 elejétől a Testület fokozatosan ad ki megfelelőségi határozatokat, de az Egyesült Államokat általánosan még nem jelölte meg.

2. szint — Megfelelő biztosítékok

Megfelelőség hiányában az adattovábbítás megfelelő biztosítékok alapján engedélyezett. A módosítások kifejezetten rendelkeznek a Testület által jóváhagyott standard szerződési feltételekről, csoporton belüli adattovábbításra vonatkozó kötelező erejű vállalati szabályokról, valamint Testület által jóváhagyott magatartási kódexekről vagy tanúsítási mechanizmusokról. A Testület standard szerződési feltételeit 2024-ben tették közzé, és ezek a legtöbb kiadó számára a fő munkamechanizmus.

3. szint — Kivételek

Szűk kivételek léteznek az alkalmi adattovábbításokra, a szerződés teljesítéséhez szükséges adattovábbításokra, vagy azokra, amelyekhez a felhasználó kifejezetten hozzájárult. Ezek nem használhatók elsődleges jogalapként a folyamatban lévő programmatikus adatfolyamokhoz.

Gyakorlati következmény a kiadók számára

Egy tipikus programmatikus infrastruktúra ajánlatonként cookie-ból származó adatokat küld tucat külföldi szállítónak. Ezek mindegyike határon átnyúló adattovábbítás. A 2026-ban működőképes megközelítés az, hogy minden nemzetközi adatfeldolgozóval megkötik a Testület által jóváhagyott standard szerződési feltételeket, és dokumentálják az átviteli mechanizmust az Aydınlatma Metni-ben és a VERBIS-regisztrációban. Azok a kiadók, akik ragaszkodtak a 2024 előtti átvitelenkénti kifejezett hozzájárulás logikájához, egyszerre vannak túlterhelve megfelelőségi kockázattal és kihasználatlanul hagyják a monetizációs lehetőségeket.

Érintetti jogok

A török érintetteknek megvan a GDPR-ban található jogok teljes készlete, a KVKK-keretrendszeren keresztül alkalmazva:

• Jog annak megismerésére, hogy adataikat kezelik-e
• A kezelt adatokhoz való hozzáférési jog
• Pontatlan adatok helyesbítésének joga
• Törlési vagy anonimizálási jog, ha az adatkezelés már nem indokolt
• Jog az adatokat megismerő harmadik felek megismerésére
• Jog az automatizált döntések elleni tiltakozásra, amelyek kedvezőtlen hatásokat okoznak
• Jog a jogtalan adatkezelés által okozott kár megtérítésére

Válaszadási határidők

Az adatkezelőknek 30 napon belül kell válaszolniuk az érintetti kérelmekre. Az érintett a KVKK Testülethez fordulhat, ha az adatkezelő válasza nem megfelelő, és a Testületnek 60 napos ablaka van a döntésre. A 30 napos ablakra való működési felkészültség — folyamatleírásokkal, eszközökkel és török nyelvű válaszsablonokkal — a külföldi kiadók közös hiányossága.

Szankciók és végrehajtási magatartás 2026-ban

A KVKK Testület az első néhány évben viszonylag csendes volt, de érdemlegesen fokozta a végrehajtást. A 2025-ös bírságok összege volt a legmagasabb a törvény hatályba lépése óta, és 2026 hasonló pályán halad.

Közigazgatási bírságok

A közigazgatási bírságokat évente inflációhoz indexálják. 2026-ban a legsúlyosabb jogsértések felső határa meghaladja a 40 millió TRY-t jogsértésenként, és külön felső értékek vonatkoznak az adatbiztonsággal, értesítéssel, VERBIS-regisztrációval és Testületi határozatokkal kapcsolatos mulasztásokra. A külföldi adatkezelőket számos 2025-ös ügyben a tartomány legfelső részén bírságolták meg.

Hírnévbeli kitettség

A Testület közzéteszi a végrehajtási határozatok összefoglalóit honlapján. A külföldi kiadókra kiszabott bírságok rendszeresen szerepelnek a török technológiai sajtóban, és egy nyilvános KVKK-határozat hírnévbeli költsége jellemzően magasabb, mint maga a bírság.

Végrehajtási témák

A Testület 2025-ös és 2026 eleji intézkedései egy kis ismétlődő problémacsoportra összpontosulnak: hiányzó vagy kétértelmű cookie-hozzájárulás, nem megfelelő Aydınlatma Metni, a VERBIS-ben nem regisztrált külföldi adatkezelők és a 2024 előtti keretrendszert használó jogellenes határon átnyúló adattovábbítás.

Ellenőrzőlista a török forgalomhoz 2026-ban

• A CMP-banner törökül jelenik meg a török felhasználók számára, az Elfogadás, Elutasítás és Testreszabás egyenlő vizuális kiemelésével
• A hozzájárulási célok részletesek, és az érzékeny kategóriájú adatkezelést saját kifejezett hozzájárulási folyamat mögé zárják
• A hozzájárulási naplók időbélyegzősek, exportálhatók és legalább a feldolgozási időtartamig és egy auditálható ráhagyással megőrzöttek
• Az Aydınlatma Metni elérhető törökül, teljes körű közzétételekkel az adatkezelőről, adatfeldolgozókról, célokról, megőrzési időkről és jogokról
• A VERBIS-regisztráció teljes és naprakész, ha az adatkezelő átlépi a küszöböt
• A határon átnyúló adattovábbítás a 2024-es standard szerződési feltételekre vagy egy másik érvényes 9. cikk szerinti mechanizmusra támaszkodik, a mechanizmus az Aydınlatma Metni-ben dokumentálva
• Az érintetti kérelemkezelési munkafolyamat képes 30 napon belül, törökül válaszolni
• A szállítói listát felülvizsgálták, a nem használt vagy redundáns szállítókat eltávolították a kockázat csökkentése érdekében

A 2026-os kilátások

Törökország adatvédelmi rendszere formájában felzárkózott az európai keretrendszerhez, és a végrehajtásban is gyorsan felzárkózik. A 2024-es módosítások eltávolították a modern nemzetközi hirdetéstechnológia legnagyobb strukturális akadályát — a régi átviteli rendszert —, és a Testület az azóta eltelt két évet a törvény többi részének végrehajtására összpontosította. A GDPR-szintű hozzájárulási infrastruktúrával rendelkező kiadóknak viszonylag kis módosításokat kell tenniük, hogy Törökország-ready legyenek: török nyelvű CMP és tájékoztató, VERBIS-regisztráció, ha alkalmazandó, 2024-es standard átviteli záradékok és figyelem az érzékeny adatok szélesebb listájával. Azok a kiadók, akik Törökországot könnyebb piacként kezelték, 2026-ban drágábban fognak kijönni, mint 2025-ben, 2027-ben pedig drágábban, mint 2026-ban. A rés heteken belül bezárható, ha prioritást kap — és annak kell kapnia.