Struktur KVKK Setelah Amendemen 2024

KVKK adalah undang-undang perlindungan data utama di Turki, dan teks yang telah diamandemen sekarang menjadi titik referensi. Penerbit yang telah bekerja dari versi pra-2024 melihat kerangka kerja yang sudah usang.

Apa yang Diubah oleh Amendemen 2024

Perubahan utamanya adalah penulisan ulang Pasal 9, yang mengatur transfer data internasional. Rezim pra-2024 terkenal sulit dipenuhi — hampir setiap aliran lintas batas memerlukan persetujuan eksplisit atau otorisasi Board per kasus, yang tidak dapat dijalankan untuk tumpukan ad tech modern apa pun. Pasal 9 yang diamandemen memperkenalkan tiga tingkatan mekanisme transfer: keputusan kecukupan dari Board, seperangkat pengamanan yang sesuai termasuk klausul kontrak standar, dan dalam kasus sempit, serangkaian pengecualian. Ini akhirnya menyelaraskan hukum transfer Turki dengan pola GDPR dan membuat iklan programatik secara internasional patuh tanpa pengajuan Board per vendor.

Apa yang Tidak Berubah

Definisi inti, dasar hukum, hak subjek data, dan standar persetujuan eksplisit untuk data sensitif tetap seperti sebelumnya. Ambang persetujuan eksplisit Turki, jika mungkin, lebih ketat dalam praktik daripada standar GDPR, dan di sinilah sebagian besar kesenjangan kepatuhan penerbit masih berada.

Registri VERBIS

Pengendali data di atas ambang tertentu — termasuk sebagian besar pengendali asing yang memproses data pribadi Turki dalam skala besar — harus mendaftar di Registri Pengendali Data (VERBIS). Pendaftaran memerlukan pengungkapan aktivitas pemrosesan, dasar hukum, dan mekanisme transfer. Banyak penerbit asing secara historis melewati pendaftaran VERBIS; Board telah memberi sinyal postur yang lebih aktif terhadap hal ini sepanjang 2025 dan 2026.

Apa yang Dihitung sebagai Data Pribadi di Bawah KVKK

Definisi data pribadi KVKK luas dan sangat selaras dengan GDPR. Data pribadi adalah informasi apa pun yang berkaitan dengan orang alami yang teridentifikasi atau dapat diidentifikasi, dan panduan Board secara konsisten memperlakukan cookie, pengidentifikasi iklan, alamat IP, dan sidik jari perangkat sebagai data pribadi ketika dapat dikaitkan dengan pengguna secara langsung atau melalui cara yang wajar.

Data Pribadi Sensitif

Daftar kategori sensitif KVKK lebih luas dari GDPR: secara eksplisit mencakup ras, asal etnis, pendapat politik, kepercayaan filosofis, agama, sekte, penampilan, keanggotaan asosiasi atau yayasan, kesehatan, kehidupan seksual, hukuman pidana, langkah-langkah keamanan, dan data biometrik dan genetik. Pemrosesan salah satu dari ini memerlukan persetujuan eksplisit — bukan jenis yang ambigu atau digabungkan, tetapi persetujuan spesifik, terinformasi, bebas diberikan yang terikat pada pemrosesan sensitif tertentu.

Mengapa Ini Penting untuk Cookie

Cookie yang hanya menyimpan ID sesi adalah data pribadi dasar. Cookie yang memberi makan segmen audiens seperti Pemilih Liberal atau Komunitas Religius yang Taat adalah data pribadi sensitif di bawah definisi Turki — dan konfigurasi persetujuan yang diperlukan adalah persetujuan eksplisit atau tidak sama sekali. Penerbit yang menargetkan segmen audiens yang menyentuh daftar sensitif KVKK tidak boleh menjalankan segmen tersebut di bawah persetujuan iklan umum.

Persetujuan Cookie di Bawah KVKK pada 2026

Posisi Board tentang cookie telah menguat selama dua tahun terakhir. Panduan saat ini tidak ambigu: cookie dan teknologi pelacakan yang memproses data pribadi memerlukan persetujuan kecuali benar-benar diperlukan untuk layanan yang telah diminta pengguna.

Empat Elemen Persetujuan Eksplisit yang Valid

Persetujuan eksplisit Turki harus:

• Terkait dengan subjek tertentu — persetujuan payung umum yang mencakup pemrosesan masa depan yang tidak ditentukan tidak valid
• Terinformasi — pengguna memahami data apa yang diproses, untuk tujuan apa, oleh siapa, dan untuk berapa lama
• Diberikan secara bebas — pengguna dapat menolak tanpa ditolak dari layanan yang mereka berhak atas
• Dinyatakan dengan tindakan afirmatif yang jelas — kotak yang telah dicentang sebelumnya, persetujuan tersirat, dan gulir-sebagai-persetujuan semuanya tidak valid

Seperti Apa CMP yang Patuh

CMP yang dikonfigurasi untuk lalu lintas Turki pada 2026 harus menampilkan:

• Spanduk yang terlihat sebelum cookie non-esensial apa pun diaktifkan, defaultnya dalam bahasa Turki (Türkçe) untuk pengguna Turki
• Prominensi visual yang sama untuk Terima, Tolak, dan Sesuaikan — Board secara khusus mengkritik desain spanduk di mana Tolak kurang terlihat dari Terima
• Tombol granular per tujuan: analitik, iklan, personalisasi, transfer lintas batas, dan pemrosesan kategori sensitif apa pun
• Mekanisme yang persisten dan mudah diakses untuk menarik persetujuan setelah pilihan awal
• Bahasa Turki Aydınlatma Metni (Pemberitahuan Privasi) yang mengungkapkan identitas pengendali, tujuan, penerima, retensi, dan hak
• Aliran persetujuan eksplisit yang terpisah dan berlabel jelas (açık rıza) untuk pemrosesan kategori sensitif apa pun, dibatasi di balik tindakannya sendiri

Catatan Persetujuan

Pengendali harus memelihara catatan persetujuan — siapa yang menyetujui, kapan, untuk apa, melalui antarmuka apa. KVKK Board telah mengutip log persetujuan yang tidak memadai dalam beberapa tindakan penegakan, dan log yang diberi stempel waktu dan dapat diekspor adalah ekspektasi dasar.

Transfer Lintas Batas di Bawah Pasal 9 Tahun 2024

Amendemen 2024 memperkenalkan kerangka transfer tiga tingkat yang mencerminkan pendekatan GDPR. Memahami tingkat mana yang berlaku untuk aliran mana adalah kesenjangan kepatuhan paling umum bagi penerbit asing pada 2026.

Tingkat 1 — Keputusan Kecukupan

Board dapat menetapkan suatu negara, organisasi internasional, atau sektor negara sebagai memberikan perlindungan yang memadai. Transfer ke tujuan yang memadai diizinkan tanpa mekanisme tambahan. Pada awal 2026, Board secara bertahap mengeluarkan keputusan kecukupan tetapi belum menetapkan Amerika Serikat secara luas.

Tingkat 2 — Pengamanan yang Sesuai

Tanpa adanya kecukupan, transfer diizinkan berdasarkan pengamanan yang sesuai. Amendemen secara khusus mempertimbangkan klausul kontrak standar yang disetujui oleh Board, aturan perusahaan mengikat untuk transfer intra-grup, dan kode etik atau mekanisme sertifikasi yang disetujui Board. Klausul kontrak standar Board diterbitkan pada 2024 dan merupakan mekanisme kerja utama bagi sebagian besar penerbit.

Tingkat 3 — Pengecualian

Pengecualian sempit ada untuk transfer sesekali, transfer yang diperlukan untuk pelaksanaan kontrak, atau transfer yang telah disetujui secara eksplisit oleh pengguna. Ini tidak dapat digunakan sebagai dasar hukum utama untuk aliran programatik yang sedang berlangsung.

Implikasi Praktis bagi Penerbit

Tumpukan programatik tipikal mengirimkan data turunan cookie ke lusinan vendor luar negeri per penawaran. Setiap aliran tersebut adalah transfer lintas batas. Pendekatan yang dapat dijalankan pada 2026 adalah menjalankan klausul kontrak standar yang disetujui Board dengan setiap pemroses internasional dan mendokumentasikan mekanisme transfer dalam Aydınlatma Metni dan pendaftaran VERBIS. Penerbit yang bertahan dengan logika persetujuan eksplisit per transfer pra-2024 secara bersamaan terlalu terekspos pada risiko kepatuhan dan meremehkan peluang monetisasi.

Hak Subjek Data

Subjek data Turki memiliki rangkaian lengkap hak yang ditemukan dalam GDPR, diterapkan melalui kerangka KVKK:

• Hak untuk mengetahui apakah data mereka sedang diproses
• Hak akses ke data yang diproses
• Hak untuk koreksi data yang tidak akurat
• Hak untuk penghapusan atau anonimisasi ketika pemrosesan tidak lagi dapat dibenarkan
• Hak untuk diinformasikan tentang pihak ketiga kepada siapa data telah diungkapkan
• Hak untuk menolak keputusan otomatis yang menghasilkan efek merugikan
• Hak atas kompensasi untuk kerusakan yang disebabkan oleh pemrosesan yang melanggar hukum

Batas Waktu Respons

Pengendali harus merespons permintaan subjek data dalam 30 hari. Subjek data dapat mengajukan ke KVKK Board jika respons pengendali tidak memadai, dan Board memiliki jendela 60 hari untuk memutuskan. Kesiapan operasional untuk jendela 30 hari — dengan panduan, alat, dan templat respons berbahasa Turki — adalah kesenjangan umum bagi penerbit asing.

Denda dan Postur Penegakan pada 2026

KVKK Board relatif tenang selama beberapa tahun pertamanya tetapi telah meningkatkan penegakan secara bermakna. Total denda 2025 adalah yang tertinggi sejak undang-undang berlaku, dan 2026 berada di jalur yang serupa.

Denda Administratif

Denda administratif diindeks tahunan terhadap inflasi. Pada 2026, batas untuk pelanggaran paling serius melebihi TRY 40 juta per pelanggaran, dan batas terpisah berlaku untuk kegagalan seputar keamanan data, notifikasi, pendaftaran VERBIS, dan keputusan Board. Pengendali asing telah didenda di bagian atas kisaran dalam beberapa tindakan 2025.

Paparan Reputasi

Board menerbitkan ringkasan keputusan penegakan di situsnya. Denda penerbit asing secara rutin masuk ke pers teknologi Turki, dan biaya reputasi dari keputusan KVKK publik biasanya lebih tinggi dari dendanya sendiri.

Tema Penegakan

Tindakan 2025 dan awal 2026 dari Board berklaster di sekitar sekumpulan kecil masalah berulang: persetujuan cookie yang hilang atau ambigu, Aydınlatma Metni yang tidak memadai, pengendali asing yang tidak terdaftar di VERBIS, dan transfer lintas batas yang melanggar hukum menggunakan kerangka pra-2024.

Daftar Periksa Audit untuk Lalu Lintas Turki pada 2026

• Spanduk CMP disajikan dalam bahasa Turki untuk pengguna Turki, dengan Terima, Tolak, dan Sesuaikan pada prominensi visual yang sama
• Tujuan persetujuan granular dan memisahkan pemrosesan kategori sensitif di balik aliran persetujuan eksplisitnya sendiri
• Log persetujuan diberi stempel waktu, dapat diekspor, dan disimpan setidaknya selama durasi pemrosesan ditambah margin yang dapat diaudit
• Aydınlatma Metni tersedia dalam bahasa Turki dengan pengungkapan lengkap tentang pengendali, pemroses, tujuan, retensi, dan hak
• Pendaftaran VERBIS lengkap dan terkini jika pengendali melewati ambang
• Transfer lintas batas mengandalkan klausul kontrak standar 2024 atau mekanisme Pasal 9 yang valid lainnya, dengan mekanisme yang didokumentasikan dalam Aydınlatma Metni
• Alur kerja permintaan subjek data dapat merespons dalam 30 hari dari ujung ke ujung, dalam bahasa Turki
• Daftar vendor telah ditinjau, dengan vendor yang tidak digunakan atau redundan dihapus untuk mengurangi paparan

Prospek 2026

Rezim perlindungan data Turki telah menyusul kerangka Eropa dalam bentuk dan secara cepat menyusul dalam penegakan. Amendemen 2024 menghapus hambatan struktural terbesar untuk ad tech internasional modern — rezim transfer lama — dan Board telah menggunakan dua tahun sejak itu untuk fokus pada penegakan sisa undang-undang. Penerbit dengan tumpukan persetujuan berkelas GDPR perlu membuat penyesuaian yang relatif kecil untuk siap menghadapi Turki: CMP dan pemberitahuan berbahasa Turki, pendaftaran VERBIS jika berlaku, klausul transfer standar 2024, dan kehati-hatian dengan daftar data sensitif yang lebih luas. Penerbit yang telah memperlakukan Turki sebagai pasar dengan sentuhan lebih ringan akan menemukan 2026 lebih mahal dari 2025, dan 2027 lebih mahal dari 2026. Kesenjangan dapat ditutup dalam beberapa minggu jika diprioritaskan — dan seharusnya demikian.