Түркияның KVKK заңы және 2024 жылғы өзгерістер: 2026 жылы cookie келісімі, шекараадан тыс деректер беру және нақты келісім бойынша баспагерлер мен жарнамашыларға арналған нұсқаулық
Түркияның Жеке деректерді қорғау заңы (KVKK, Law No. 6698) 2016 жылдан бері қолданыста, бірақ онжылдықтың көп бөлігінде ол GDPR-дың тынышырақ туысы ретінде жұмыс істеді — құрылымы жағынан ұқсас, бірақ орындауда айтарлықтай жұмсақ. Бұл дәуір аяқталды. 2024 жылғы KVKK өзгерістері, 2024 жылғы 12 наурызда Ресми газетте жарияланған, GDPR стилінің жеткіліктілігі мен стандартты шарттық талаптармен үйлестіру үшін шекараадан тыс деректерді беру режимін қайта құрды, және KVKK кеңесі (Kişisel Verileri Koruma Kurulu) 2025 жыл бойы және 2026 жылға қарай орындауды мәнді түрде арттырды. Түрік пайдаланушыларының деректерін өңдейтін кез келген баспагер, жарнамашы немесе платформа үшін — Түркияда орналасқан болсын немесе шетелден түрік нарығына қызмет көрсеткен болсын — 2026 жыл заманауи келісім стегі «болса жақсы» болатын нәрсе болудан тоқтайтын және базалық болатын жыл. Бұл нұсқаулық заңды өзгертілген түрінде қарастырады, cookie келісімі нені талап ететінін, шекараадан тыс берулер қазір қалай жұмыс істейтінін және Кеңес орындауы іс жүзінде қалай болатынын түсіндіреді.
2024 жылғы өзгерістерден кейін KVKK-ның құрылымы
KVKK Түркиядағы негізгі деректерді қорғау заңы болып табылады, ал оның өзгертілген мәтіні қазір анықтама нүктесі болып табылады. 2024 жылға дейінгі нұсқамен жұмыс істеген баспагерлер ескірген шеңберді қарастырып отыр.
2024 жылғы өзгерістер нені өзгертті
Негізгі өзгеріс халықаралық деректер берудің реттелетін 9-бабын қайта жазу болды. 2024 жылға дейінгі режим өте қиын болып табылды — шекараадан тыс ағынның барлығы дерлік нақты келісімді немесе Кеңестің жеке бекітуін талап етті, бұл кез келген заманауи жарнамалық технология стегіне жарамсыз болды. Өзгертілген 9-баб берудің үш деңгейлі механизмін енгізеді: Кеңестің жеткіліктілік шешімі, стандартты шарттық талаптарды қоса алғанда тиісті қорғау шаралары жиынтығы және тар жағдайларда ерекшеліктер жиынтығы. Бұл ақырында Түркияның беру заңын GDPR үлгісімен сәйкестендіреді және бағдарламалық жарнаманы жеке жеткізушіге Кеңеске өтінім беруді талап етпестен халықаралық деңгейде сәйкес етеді.
Нені өзгертпеді
Негізгі анықтамалар, заңды негіздер, деректер субъектінің құқықтары және сезімтал деректерге арналған нақты келісім стандарты бұрынғыша қалды. Түрік нақты келісімнің шегі іс жүзінде GDPR стандартынан, мүмкіндігінше, қатаңырақ, және бұл баспагерлер сәйкестік олқылықтарының көпшілігі әлі отырған жер.
VERBIS тізілімі
Белгілі бір шектерден асатын деректер бақылаушылары — оның ішінде ауқымды Түркия жеке деректерін өңдейтін шетелдік бақылаушылардың көпшілігі — Деректер бақылаушыларының тізіліміне (VERBIS) тіркелуі тиіс. Тіркеу өңдеу қызметтерін, заңды негіздерді және беру механизмдерін ашуды талап етеді. Көптеген шетелдік баспагерлер тарихи тұрғыдан VERBIS тіркеуін өткізіп жіберді; Кеңес 2025 және 2026 жылдар бойы осыған қатысты белсендірек ұстаным білдірді.
KVKK бойынша жеке деректер деп нені санауға болады
KVKK-ның жеке деректер анықтамасы кең және GDPR-мен тығыз сәйкес келеді. Жеке деректер — анықталған немесе анықталуы мүмкін жеке тұлғаға қатысты кез келген ақпарат, және Кеңестің нұсқаулары пайдаланушымен тікелей немесе ақылға қонымды жолмен байланыстыруға болатын кезде cookie файлдарын, жарнама идентификаторларын, IP мекенжайларын және құрылғы саусақ іздерін жеке деректер ретінде дәйекті түрде қарастырды.
Сезімтал жеке деректер
KVKK-ның сезімтал санаттар тізімі GDPR-дан кеңірек: ол нақты нәсілді, этникалық шығу тегін, саяси пікірді, философиялық сенімді, дінді, секта, сыртқы түрді, қауымдастық немесе қор мүшелігін, денсаулықты, жыныстық өмірді, қылмыстық соттылықты, қауіпсіздік шараларын және биометриялық және генетикалық деректерді қамтиды. Осылардың кез келгенін өңдеу нақты келісімді талап етеді — екіұшты немесе жинақталған түрін емес, нақты сезімтал өңдеуге байланыстырылған нақты, хабарланған, еркін берілген келісімді.
Бұл cookie файлдары үшін неліктен маңызды
Тек сеанс идентификаторын сақтайтын cookie файлы негізгі жеке деректер болып табылады. Либерал сайлаушылар немесе Діндар діни қауымдастық сияқты аудитория сегментін қоректендіретін cookie файлы Түркияның анықтамасы бойынша сезімтал жеке деректер болып табылады — ал қажетті келісім конфигурациясы нақты келісім немесе ештеңе. KVKK сезімтал тізіміне жататын аудитория сегменттерін нысанаға алатын баспагерлер сол сегменттерді жалпы жарнама келісімімен жұмыс істетпеуі керек.
2026 жылы KVKK бойынша cookie келісімі
Cookie файлдарына қатысты Кеңестің позициясы соңғы екі жылда қатаңдады. Ағымдағы нұсқаулық анық: жеке деректерді өңдейтін cookie файлдары мен бақылау технологиялары пайдаланушы сұраған қызмет үшін қатаң қажет болмаса, келісімді талап етеді.
Жарамды нақты келісімнің төрт элементі
Түрік нақты келісімі мыналарға сай болуы тиіс:
- Нақты тақырыпқа қатысты — белгісіз болашақ өңдеуді қамтитын жалпы қолшатыр келісімі жарамды емес
- Хабарланған — пайдаланушы қандай деректер өңделетінін, қандай мақсатта, кімнің тарапынан және қанша уақытқа дейін түсінеді
- Еркін берілген — пайдаланушы өзіне тиесілі қызметтен бас тартылмай бас тарта алады
- Нақты растаушы әрекетпен білдірілген — алдын ала белгіленген жолақтар, болжамды келісім және айналдыру-келісім ретінде — барлығы жарамсыз
Сәйкес CMP қалай болады
2026 жылы Түркия трафигі үшін конфигурацияланған CMP мыналарды ұсынуы тиіс:
- Маңызды емес cookie файлдарының бірі іске қосылғанға дейін көрінетін баннер, Түркия пайдаланушылары үшін Түрік тілінде (Türkçe) әдепкі болады
- Қабылдау, Бас тарту және Теңшеу үшін бірдей визуалды көрнектілік — Кеңес Бас тарту Қабылдаудан аз көрінетін баннер дизайндарын нақты атап өтті
- Мақсат бойынша бөлшекті ауыстырып-қосқыштар: аналитика, жарнама, жекелендіру, шекараадан тыс беру және кез келген сезімтал санат өңдеу
- Бастапқы таңдаудан кейін келісімді кері алуға арналған тұрақты, оңай қолжетімді механизм
- Бақылаушы жеке куәлігін, мақсаттарды, алушыларды, сақтауды және құқықтарды ашатын Түркия тіліндегі Aydınlatma Metni (Құпиялылық туралы хабарлама)
- Өзінің жеке әрекетімен шектелген кез келген сезімтал санат өңдеуге арналған жеке, нақты белгіленген нақты келісім ағыны (açık rıza)
Келісім жазбалары
Бақылаушы келісім жазбаларын сақтауы тиіс — кім, қашан, нені, қандай интерфейс арқылы келісті. KVKK кеңесі бірнеше орындау шараларында жеткіліксіз келісім журналдарын айтты, ал экспортталатын уақыт белгісі бар журналдар базалық күтілетін нәрсе.
2024 жылғы 9-бап бойынша шекараадан тыс берулер
2024 жылғы өзгерістер GDPR тәсілін бейнелейтін үш деңгейлі беру шеңберін енгізді. Қай деңгей қай ағынға қолданылатынын түсіну 2026 жылы шетелдік баспагерлер үшін ең жиі кездесетін сәйкестік олқылығы.
1-деңгей — Жеткіліктілік шешімі
Кеңес елді, халықаралық ұйымды немесе елдің секторын жеткілікті қорғаны қамтамасыз ететін ретінде тағайындай алады. Жеткілікті тағайындалған жерлерге берулер қосымша механизмсіз рұқсат етіледі. 2026 жылдың басынан бастап Кеңес жеткіліктілік шешімдерін біртіндеп шығарып жатыр, бірақ Қосымша Штаттарды жалпы тағайындаған жоқ.
2-деңгей — Тиісті қорғау шаралары
Жеткіліктілік болмаған жағдайда берулер тиісті қорғау шаралары негізінде рұқсат етіледі. Өзгерістер нақты Кеңес мақұлдаған стандартты шарттық талаптарды, топ ішіндегі берулер үшін міндетті корпоративтік ережелерді және Кеңес мақұлдаған мінез-құлық кодекстерін немесе сертификаттау механизмдерін ескереді. Кеңестің стандартты шарттық талаптары 2024 жылы жарияланды және баспагерлердің көпшілігі үшін негізгі жұмыс механизмі болып табылады.
3-деңгей — Ерекшеліктер
Кездейсоқ берулер, шарт орындауы үшін қажетті берулер немесе пайдаланушы нақты келіскен берулер үшін тар ерекшеліктер бар. Бұлар жалғасып жатқан бағдарламалық ағындар үшін негізгі заңды негіз ретінде пайдаланылуы мүмкін емес.
Баспагерлер үшін практикалық салдар
Типтік бағдарламалық стек хабарлама бойынша cookie файлынан алынған деректерді ондаған шетелдік жеткізушілерге жібереді. Осы ағындардың әрқайсысы шекараадан тыс беру болып табылады. 2026 жылы жұмыс істейтін тәсіл — әрбір халықаралық процессормен Кеңес мақұлдаған стандартты шарттық талаптарды орындау және беру механизмін Aydınlatma Metni мен VERBIS тіркеуінде құжаттандыру. 2024 жылға дейінгі беруге нақты келісім логикасында қалған баспагерлер сәйкестік тәуекеліне артық ұшырайды және монетизация мүмкіндіктерін жеткіліксіз пайдаланады.
Деректер субъектісінің құқықтары
Түрік деректер субъектілерінде KVKK шеңберінде қолданылатын GDPR-да табылған толық құқықтар жиынтығы бар:
- Деректерінің өңделіп жатқанын білу құқығы
- Өңделген деректерге қол жеткізу құқығы
- Нақты емес деректерді түзету құқығы
- Өңдеу енді ақталмаған жерде өшіру немесе анонимизациялау құқығы
- Деректер ашылған үшінші тараптар туралы хабарлану құқығы
- Қолайсыз салдар туғызатын автоматтандырылған шешімдерге қарсылық білдіру құқығы
- Заңсыз өңдеуден туындаған залал үшін өтемақы алу құқығы
Жауап беру мерзімдері
Бақылаушылар деректер субъектісінің сұрауларына 30 күн ішінде жауап беруі тиіс. Деректер субъектісі бақылаушының жауабы жеткіліксіз болса KVKK кеңесіне жүгіне алады, ал Кеңестің шешім қабылдауға 60 күндік терезесі бар. 30 күндік терезеге операциялық дайындық — нұсқаулықтармен, құралдармен және Түрік тіліндегі жауап үлгілерімен — шетелдік баспагерлер үшін жалпы олқылық.
2026 жылы айыппұлдар мен орындау ұстанымы
KVKK кеңесі алғашқы жылдарда салыстырмалы түрде тыныш болды, бірақ орындауды мәнді түрде арттырды. 2025 жылғы айыппұлдардың жалпы сомасы заң күшіне енгеннен бері ең жоғары болды, ал 2026 жыл ұқсас траекторияда.
Әкімшілік айыппұлдар
Әкімшілік айыппұлдар жыл сайын инфляцияға индекстеледі. 2026 жылдан бастап ең ауыр бұзушылықтар бойынша шекті мән бұзушылық үшін TRY 40 миллионнан асады, ал деректер қауіпсіздігі, хабарлама, VERBIS тіркеу және Кеңес шешімдерімен байланысты сәтсіздіктерге жеке шектеулер қолданылады. Шетелдік бақылаушылар 2025 жылғы бірнеше шарада ауқымның жоғарғы жағында айыппұл алды.
Беделдік тәуекел
Кеңес орындау шешімдерінің қорытындыларын өз веб-сайтында жариялайды. Шетелдік баспагерлерге салынған айыппұлдар Түркияның технология баспасөзінде үнемі жарық көрді, ал жалпыға бекер KVKK шешімінің беделдік бағасы, әдетте, айыппұлдың өзінен жоғары.
Орындау тақырыптары
Кеңестің 2025 және 2026 жылдың басындағы шаралары аз ғана қайталанатын мәселелер тобының айналасында шоғырланады: жоқ немесе екіұшты cookie келісімі, жеткіліксіз Aydınlatma Metni, VERBIS-те тіркелмеген шетелдік бақылаушылар және 2024 жылға дейінгі шеңберді пайдаланатын заңсыз шекараадан тыс берулер.
2026 жылы Түркия трафигі үшін аудит бақылау тізімі
- CMP баннері Түркия пайдаланушылары үшін Түрік тілінде беріледі, Қабылдау, Бас тарту және Теңшеу бірдей визуалды көрнектілікте
- Келісім мақсаттары бөлшекті және кез келген сезімтал санат өңдеуді өзінің нақты келісім ағынының артына бөлектейді
- Келісім журналдарында уақыт белгісі бар, экспортталатын және кем дегенде өңдеу мерзімі мен тексерілетін жиекке дейін сақталады
- Aydınlatma Metni бақылаушы, процессорлар, мақсаттар, сақтау және құқықтар туралы толық ашу мен Түрік тілінде қолжетімді
- Бақылаушы шекті асса VERBIS тіркеуі толық және жаңартылған
- Шекараадан тыс берулер 2024 жылғы стандартты шарттық талаптарға немесе басқа жарамды 9-бап механизміне сүйенеді, механизм Aydınlatma Metni-де құжатталған
- Деректер субъектісінің сұрау жұмыс процесі Түрік тілінде ұштан ұшқа дейін 30 күн ішінде жауап бере алады
- Жеткізуші тізімі қаралды, пайдаланылмайтын немесе артық жеткізушілер тәуекелді азайту үшін жойылды
2026 жылғы болжам
Түркияның деректерді қорғау режимі нысанда Еуропа шеңберіне жетті және орындауда жылдам жетіп жатыр. 2024 жылғы өзгерістер заманауи халықаралық жарнама технологиясының ең үлкен құрылымдық кедергісін — ескі беру режимін — жойды, ал Кеңес содан бергі екі жылды заңның қалған бөлігін орындауға бағыттады. GDPR деңгейіндегі келісім стегі бар баспагерлер Түркияға дайын болу үшін салыстырмалы түрде кішігірім реттеулер жасауы керек: Түрік тіліндегі CMP және хабарлама, қолданылса VERBIS тіркеуі, 2024 жылғы стандартты беру талаптары және сезімтал деректердің кеңірек тізімімен абайлылық. Түркияны жеңілірек нарық ретінде қарастырған баспагерлер 2026 жылды 2025-тен қымбатырақ, ал 2027 жылды 2026-дан қымбатырақ табады. Алшақтықты басымдық берілсе бірнеше апта ішінде жабуға болады — және болуы керек.