KVKK Tyrklands og breytingarnar 2024: Leiðbeiningar fyrir útgefendur og auglýsendur um samþykki fyrir vafrakökum, þverfagleg gagnaflutninga og skýrt samþykki árið 2026
Tyrkland Lög um vernd persónuupplýsinga (KVKK, Law No. 6698) hafa gilt síðan 2016, en mestan hluta þess áratugar starfaði það sem þegjandi frændi GDPR — greinilega svipað í uppbyggingu en sýnilega mildara í framkvæmd. Þeirri tíð er lokið. Breytingarnar á KVKK 2024, birtar í Opinbera Stjórnartíðindum þann 12. mars 2024, endurskipulögðu kerfi þverfaralegu gagnaflutninga til að samræmast GDPR-stíl hæfni og staðlaðar samningsákvæðum, og KVKK-nefndin (Kişisel Verileri Koruma Kurulu) hefur aukið framkvæmd verulega í gegnum 2025 og inn í 2026. Fyrir hvaða útgefanda, auglýsanda eða vettvang sem vinnur úr gögnum tyrkneska notenda — hvort sem hann er staðsettur í Tyrklandi eða þjónar tyrkneska markaðnum að utan — er 2026 árið þar sem nútímalegt samþykkiskerfi hættir að vera gott að hafa og verður grunnlína. Þessi handbók fer í gegnum lögin í breyttri mynd þeirra, hvað samþykki fyrir vafrakökum krefst í raun, hvernig þverfaglegir gagnaflutninga virka nú, og hvernig framkvæmd nefndarinnar lítur út í reynd.
Uppbygging KVKK eftir breytingarnar 2024
KVKK er aðal löggjöf um persónuvernd í Tyrklandi, og breytt texti hennar er nú tilvísunarpunkturinn. Útgefendur sem hafa verið að vinna með útgáfuna fyrir 2024 horfa á úrelt ramma.
Hvað breytingarnar 2024 breyttu
Aðalbreytingin var endurskrift á 9. grein, sem stjórnar alþjóðlegum gagnaflutninga. Kerfið fyrir 2024 var hræðilega erfitt að uppfylla — það þurfti annað hvort skýrt samþykki eða sérstaka nefndarheimild fyrir næstum hverja þverfaralega flæði, sem var óframkvæmanlegt fyrir sérhvert nútímalegt auglýsingatæknistakk. Breytt 9. grein kynnir þrjú stig flutningsmekanísma: hæfniákvörðun frá nefndinni, mengi viðeigandi öryggisráðstafana þar á meðal staðlaðar samningsákvæðum, og í þröngu tilvikum, mengi fráviksheimilda. Þetta samræmir loksins tyrkneskar flutningslög við GDPR-mynsturið og gerir forritsauglýsingar alþjóðlega í samræmi við reglur án þess að þurfa nefndarskráningu á hverjan söluaðila.
Hvað breyttist ekki
Kjarnaskilgreiningarnar, lögformlegar grunnar, réttindi gagnaefna og skýrt samþykkisstaðall fyrir viðkvæmar gögn haldast óbreyttar. Tyrkneskt skýrt samþykkisþrep er, ef eitthvað er, strangara í reynd en staðall GDPR, og þar sitja enn flest samræmisbresti útgefenda.
VERBIS-skráin
Gagnaráðherrar yfir tilteknum þröskuldum — þar á meðal flestir erlendir ráðherrar sem vinna tyrkneskar persónuupplýsingar í mælikvarða — verða að skráning í Gagnaráðherraskránni (VERBIS). Skráning krefst birtingar á vinnslustarfsemi, lögformlegum grunnum og flutningsmekanismum. Margir erlendir útgefendur hafa sagt upp VERBIS-skráningu sögulega; nefndin hefur gefið til kynna virkari viðhorf til þessa í gegnum 2025 og 2026.
Hvað telst persónuupplýsingar samkvæmt KVKK
Skilgreining KVKK á persónuupplýsingum er víð og samræmist vel við GDPR. Persónuupplýsingar eru allar upplýsingar sem varða auðþekktan eða auðþekkilegan náttúrulegan mann, og leiðbeiningar nefndarinnar hafa stöðugt meðhöndlað vafrakökur, auglýsingatakkaskrár, IP-tölur og tækjafingrafarir sem persónuupplýsingar þegar þær er hægt að tengja við notanda beint eða með eðlilegum leiðum.
Viðkvæmar persónuupplýsingar
Listi KVKK yfir viðkvæmar flokka er víðari en GDPR: hann felur beinlínis í sér kyn, þjóðernis uppruna, pólitíska skoðun, heimspekileg trú, trúarbrögð, sértrúarsöfnuð, útlit, félagasamtaka- eða stofnanameðlimskap, heilsu, kynlíf, sakfellingar í refsimálum, öryggisráðstafanir og lífrænar og erfðafræðilegar gögn. Vinnsla á hverju þessara krefst skýrs samþykkis — ekki tvíræðrar eða sameinaðrar tegundar, heldur sérstaks, upplýsts, frjálsgjafinn samþykkis bundið við tiltekna viðkvæma vinnslu.
Hvers vegna þetta skiptir máli fyrir vafrakökur
Vafrakaka sem geymir aðeins lotuauðkenni er grunnstig persónuupplýsinga. Vafrakaka sem fæðir markhópshluta eins og Frjálslyndir kjósendur eða Trúuð trúarleg samfélag eru viðkvæmar persónuupplýsingar samkvæmt tyrknesku skilgreiningunni — og samþykkisuppsetningin sem þarf er skýrt samþykki eða ekkert. Útgefendur sem beinast að markhópshlutum sem snerta viðkvæman lista KVKK ættu ekki að vera að keyra þessa hluta undir almennum auglýsingarsamþykki.
Samþykki vafrakaka samkvæmt KVKK árið 2026
Afstaða nefndarinnar til vafrakaka hefur herðst á síðustu tveimur árum. Núverandi leiðbeiningar eru ótvíræðar: vafrakökur og rakningartækni sem vinnur persónuupplýsingar þurfa samþykki nema þær séu nauðsynlegar fyrir þjónustu sem notandinn hefur beðið um.
Fjórir þættir gildrar skýrrar samþykkis
Tyrkneskt skýrt samþykki verður að vera:
- Tengt tilteknum efni — almennt regnhlífarsamþykki sem nær yfir ótilgreinda framtíðarvinnslu er ekki gilt
- Upplýst — notandinn skilur hvaða gögn eru unnin, í hvaða tilgangi, af hverjum og hversu lengi
- Gefið frjálslega — notandinn getur neitað án þess að vera neinn þjónusta sem þeir eiga annars rétt á
- Tjáð með skýrri staðfestingarathöfn — forrituð gátreitir, gefið til kynna samþykki og rulla-sem-samþykki eru öll ógild
Hvernig lítur samræmt CMP út
CMP sem er stillt fyrir tyrkneskan umferð árið 2026 ætti að kynna:
- Sýnilegt borðamerki áður en nauðsynleg vafrakaka kveikir, sjálfkrafa á tyrknesku (Türkçe) fyrir tyrkneska notendur
- Jafnt sjónarhlutfall fyrir Samþykkja, Hafna og Sérsníða — nefndin hefur sérstaklega bent á borðamerkjahönnun þar sem Hafna er minna sýnilegt en Samþykkja
- Granulated roforar á tilgang: greining, auglýsingar, sérsníðing, þverfaglegur gagnaflutninga og sérhver viðkvæm-flokks vinnsla
- Þrálátur, auðveldur mekanísmi til að afturkalla samþykki eftir upphaflega val
- Tyrknesk-tungumál Aydınlatma Metni (Persónuverndartilkynning) sem birtir auðkenni ráðherra, tilgang, viðtakendur, varðveislu og réttindi
- Aðskilinn, skýrt-merktur skýr samþykkisflæðir (açık rıza) fyrir sérhverja viðkvæma-flokks vinnslu, girt á bak við eigin aðgerð
Samþyknisskrár
Ráðherrann verður að halda skrár yfir samþykki — hverjir samþykktu, hvenær, hvað, í gegnum hvaða viðmót. KVKK-nefndin hefur vísað til ófullnægjandi samþyknisskráa í nokkrum framkvæmdabeinum, og flytjanleg tímasettar skrár eru grundvallarvæntingin.
Þverfaglegir gagnaflutninga samkvæmt 9. grein 2024
Breytingarnar 2024 kynntu þriggja stiga flutningsramma sem endurspeglar nálgun GDPR. Að skilja hvert stig á við hvaða flæði er algengasti samræmisbresti erlendra útgefenda árið 2026.
Stig 1 — Hæfniákvörðun
Nefndin getur tilnefnt land, alþjóðasamtök eða sektor lands sem veitir fullnægjandi vernd. Flutninga til viðeigandi áfangastaða er heimilt án viðbótarmekanísma. Frá upphafi 2026 hefur nefndin smám saman gefið út hæfniákvarðanir en hefur ekki enn tilgreint Bandaríkin með almennum hætti.
Stig 2 — Viðeigandi öryggisráðstafanir
Án hæfni eru flutninga leyfðir á grundvelli viðeigandi öryggisráðstafana. Breytingarnar gera sérstaklega ráð fyrir stöðluðum samningsákvæðum samþykkta af nefndinni, bindandi fyrirtækjareglum fyrir flutninga í hópi, og kóðar hegðunar eða vottunarmekanisma samþykktar af nefndinni. Stöðluð samningsákvæði nefndarinnar voru gefin út árið 2024 og eru aðal vinnumekanísmi fyrir flesta útgefendur.
Stig 3 — Fráviksheimildir
Þröng undantekningar eru til fyrir einstaka flutninga, flutninga sem þarf til samningsuppfyllingar, eða flutninga sem notandinn hefur skýrt samþykkt. Þessar eru ekki nothæfar sem aðal lagagrundvöllur fyrir áframhaldandi forritsauglýsingaflæði.
Hagnýtar afleiðingar fyrir útgefendur
Dæmigert forritsauglýsingastakk sendir vafrakökuuppruna gögn til tugi erlendra söluaðila á hvert tilboð. Hvert þessara flæða er þverfaglegur gagnaflutningur. Hagnýt nálgun 2026 er að framkvæma nefndarsamþykkt staðlað samningsákvæði með hverjum alþjóðlegum vinnslumanni og skjalfesta flutningsmekanísmann í Aydınlatma Metni og VERBIS-skráningunni. Útgefendur sem hafa haldist við rökstuðning skýrrar samþykkis á flutning fyrir 2024 eru samtímis of útsettir á samræmisáhættu og vannotaðir á monetization tækifæri.
Réttindi gagnaefna
Tyrkneskir gagnaefni hafa fullt sett af réttindum sem finnast í GDPR, beitt í gegnum KVKK-rammann:
- Réttur til að fá að vita hvort gögnin þeirra eru að vera unnin
- Aðgangsréttur að unnum gögnum
- Réttur til leiðréttingar á ónákvæmum gögnum
- Réttur til eyðingar eða nafnleyndar þar sem vinnsla er ekki lengur réttlæt
- Réttur til að vera upplýstur um þriðja aðila sem gögnin hafa verið birt til
- Réttur til að mótmæla sjálfvirkum ákvörðunum sem skapa skaðlegar afleiðingar
- Réttur til bóta fyrir tjón af völdum ólöglegrar vinnslu
Svartímafrestir
Ráðherrar verða að svara beiðnum gagnaefna innan 30 daga. Gagnaefnið getur farið til KVKK-nefndarinnar ef svar ráðherrans er ófullnægjandi, og nefndin hefur 60 daga glugga til að ákveða. Rekstrarbúnaður fyrir 30 daga gluggann — með leiðbeiningunum, tækjum og tyrknesk-tungumála svarsniðmátum — er algengur brestur hjá erlendum útgefendum.
Sektir og framkvæmdarstaðsetning árið 2026
KVKK-nefndin var tiltölulega hljóð í gegnum fyrstu nokkur ár sín en hefur aukið framkvæmd á markverðan hátt. Heildarupphæð sekta 2025 var sú hæsta síðan lög tóku gildi, og 2026 er á svipaðri braut.
Stjórnvaldasektir
Stjórnvaldasektir eru árlega verðtryggðar. Frá og með 2026 fer þak fyrir alvarlegustu brot yfir TRY 40 milljónir á brot, og sérstakar þakmarkanir gilda um mistök kringum gagnaöryggi, tilkynningar, VERBIS-skráningu og nefndarákvarðanir. Erlendir ráðherrar hafa verið sekttir efst á sviðinu í nokkrum 2025 aðgerðum.
Orðsporleg útsetning
Nefndin birtir samantektir framkvæmdaákvarðana á vefsíðu sinni. Sektir erlendra útgefenda hafa reglulega komið fram í tyrknesku tækniprentmiðlum, og orðsporlegur kostnaður opinberrar KVKK-ákvörðunar er venjulega hærri en sekt sjálf.
Framkvæmdaþema
Aðgerðir 2025 og snemma 2026 nefndarinnar þyrpast í kringum lítið sett af endurteknum vandamálum: vantar eða tvírætt samþykki vafrakaka, ófullnægjandi Aydınlatma Metni, óskráðir erlendir ráðherrar í VERBIS og ólögleg þverfagleg gagnaflutninga með því að nota ramma fyrir 2024.
Úttektarskráningarlisti fyrir tyrkneska umferð árið 2026
- CMP-borðamerki er þjónað á tyrknesku fyrir tyrkneska notendur, með Samþykkja, Hafna og Sérsníða við jafnt sjónarhlutfall
- Samþyknitilgangar eru granular og aðskilja sérhverja viðkvæma-flokks vinnslu á bak við eigin skýrar samþykkisflæðir
- Samþyknisskrár eru tímamerktar, flytjanlegar og geymdar í að minnsta kosti vinnslutímann auk hægt-endurskoðanlegt jaðar
- Aydınlatma Metni er tiltæk á tyrknesku með fullum upplýsingagjöfum ráðherra, vinnslumanna, tilgangs, varðveislu og réttinda
- VERBIS-skráning er fullkláruð og uppfærð ef ráðherrann fer yfir þröskuldinn
- Þverfaglegir gagnaflutninga styðjast við stöðluð samningsákvæði 2024 eða aðra gilda 9. greinar mekanísma, með mekanísma sem er skjalfestur í Aydınlatma Metni
- Vinnuflæði beiðna gagnaefna getur svarað innan 30 daga frá enda til enda, á tyrknesku
- Söluaðilalisti hefur verið yfirfarinn, með ónotaðar eða óþarfar söluaðilar fjarlægðar til að draga úr útsetningunni
Horfur 2026
Persónuverndarkerfið í Tyrklandi hefur náð ígildi evrópska rammans í formi og er að ná honum hratt í framkvæmd. Breytingarnar 2024 fjarlægðu stærsta uppbyggingarlegan hindrun í nútímalegri alþjóðlegri auglýsingatækni — gamla flutningskerfið — og nefndin hefur notað tvö árin síðan til að einbeita sér að framkvæmd á afganginum af lögum. Útgefendur með GDPR-gæða samþykkisstakk þurfa að gera tiltölulega smáar leiðréttingar til að vera tilbúnir fyrir Tyrkland: tyrkneskt CMP og tilkynning, VERBIS-skráning ef við á, 2024-staðlaðar flutningsákvæður og gát við víðari lista viðkvæmra gagna. Útgefendur sem hafa verið að meðhöndla Tyrkland sem léttari markað munu finna 2026 dýrara en 2025, og 2027 dýrara en 2026. Bilið er hægt að loka á vikum ef það er forgangsraðað — og ætti að vera.