터키의 KVKK와 2024년 개정: 2026년 쿠키 동의, 국경 간 데이터 이전, 명시적 동의에 관한 퍼블리셔 및 광고주 가이드
터키의 개인정보보호법(KVKK, Law No. 6698)은 2016년부터 시행되어 왔지만, 그 10년의 대부분 동안 GDPR의 조용한 사촌처럼 운용되었습니다 — 구조적으로 유사하지만 집행은 현저히 온화했습니다. 그 시대는 끝났습니다. 2024년 3월 12일 관보에 공표된 2024년 KVKK 개정은 GDPR 방식의 적정성 결정 및 표준계약조항과 일치하도록 국경 간 데이터 이전 체계를 재편했으며, KVKK 위원회(Kişisel Verileri Koruma Kurulu)는 2025년 내내 2026년으로 이어지며 집행을 의미 있게 강화했습니다. 터키 사용자의 데이터를 처리하는 모든 퍼블리셔, 광고주 또는 플랫폼에게 — 터키 내에 기반을 두든 해외에서 터키 시장에 서비스를 제공하든 — 2026년은 현대적인 동의 스택이 '있으면 좋은' 것에서 기본 요건이 되는 해입니다. 이 가이드는 개정된 형태의 법률을 살펴보고, 쿠키 동의가 실제로 무엇을 요구하는지, 국경 간 이전이 이제 어떻게 작동하는지, 위원회의 집행이 실제로 어떻게 보이는지를 설명합니다.
2024년 개정 이후 KVKK의 구조
KVKK는 터키의 주요 데이터보호 법률이며, 개정된 텍스트가 현재 참조 기준점입니다. 2024년 이전 버전으로 작업해 온 퍼블리셔는 구식 프레임워크를 보고 있는 것입니다.
2024년 개정이 바꾼 것
주요 변경 사항은 국제 데이터 이전을 규율하는 제9조의 개정이었습니다. 2024년 이전 체계는 악명 높게 충족하기 어려웠습니다 — 거의 모든 국경 간 흐름에 명시적 동의 또는 건별 위원회 승인이 필요했으며, 이는 현대 애드테크 스택에는 실행 불가능했습니다. 개정된 제9조는 세 가지 이전 메커니즘 계층을 도입합니다: 위원회의 적정성 결정, 표준계약조항을 포함한 적절한 안전장치 집합, 그리고 좁은 경우에는 이탈 규정 집합. 이로써 터키의 이전 법이 마침내 GDPR 방식과 일치하게 되었으며, 벤더별 위원회 신청 없이도 프로그래매틱 광고가 국제적으로 적법하게 됩니다.
바뀌지 않은 것
핵심 정의, 적법 근거, 정보주체 권리, 민감 데이터에 대한 명시적 동의 기준은 이전과 동일합니다. 터키의 명시적 동의 기준은 실제로 GDPR 기준보다 더 엄격하며, 대부분의 퍼블리셔 컴플라이언스 격차가 여전히 이곳에 있습니다.
VERBIS 등록부
특정 임계값 이상의 데이터 관리자 — 대규모로 터키 개인정보를 처리하는 대부분의 해외 관리자 포함 — 는 데이터 관리자 등록부(VERBIS)에 등록해야 합니다. 등록에는 처리 활동, 적법 근거, 이전 메커니즘의 공개가 필요합니다. 많은 해외 퍼블리셔가 역사적으로 VERBIS 등록을 생략했으며, 위원회는 2025년과 2026년에 걸쳐 이에 대한 더 적극적인 태도를 시사했습니다.
KVKK에서 개인정보에 해당하는 것
KVKK의 개인정보 정의는 광범위하며 GDPR과 매우 유사합니다. 개인정보란 식별되거나 식별 가능한 자연인에 관한 모든 정보이며, 위원회 가이던스는 쿠키, 광고 식별자, IP 주소, 기기 지문을 직접 또는 합리적인 수단을 통해 사용자와 연결할 수 있을 때 개인정보로 일관되게 취급해 왔습니다.
민감한 개인정보
KVKK의 민감 카테고리 목록은 GDPR보다 광범위합니다: 인종, 민족적 출신, 정치적 의견, 철학적 신념, 종교, 종파, 외모, 협회 또는 재단 회원권, 건강, 성생활, 형사 유죄판결, 보안 조치, 그리고 생체인식 및 유전 데이터를 명시적으로 포함합니다. 이 중 어느 것이든 처리하려면 명시적 동의가 필요합니다 — 모호하거나 일괄적인 종류가 아니라, 특정 민감 처리에 결부된 구체적이고 정보에 입각하며 자유롭게 부여된 동의입니다.
쿠키에 왜 중요한가
세션 ID만 저장하는 쿠키는 기본 개인정보입니다. 자유주의 유권자 또는 독실한 종교 커뮤니티 같은 오디언스 세그먼트를 공급하는 쿠키는 터키 정의에 따른 민감 개인정보입니다 — 필요한 동의 구성은 명시적 동의 또는 없음입니다. KVKK의 민감 목록에 해당하는 오디언스 세그먼트를 타겟팅하는 퍼블리셔는 해당 세그먼트를 일반 광고 동의 하에 운용해서는 안 됩니다.
2026년 KVKK 하의 쿠키 동의
쿠키에 관한 위원회의 입장은 지난 2년간 강화되었습니다. 현재 가이던스는 명확합니다: 개인정보를 처리하는 쿠키 및 추적 기술은 사용자가 요청한 서비스에 엄격히 필요한 경우가 아니면 동의가 필요합니다.
유효한 명시적 동의의 네 가지 요소
터키의 명시적 동의는 다음과 같아야 합니다:
- 특정 주제와 관련 — 불특정 미래 처리를 포괄하는 일반적인 포괄 동의는 유효하지 않음
- 정보에 입각 — 사용자는 어떤 데이터가 처리되는지, 어떤 목적으로, 누구에 의해, 얼마 동안인지를 이해함
- 자유롭게 부여 — 사용자는 그렇지 않으면 권리가 있는 서비스를 거부당하지 않고 거절할 수 있음
- 명확한 긍정적 행위로 표현 — 사전 체크된 박스, 묵시적 동의, 스크롤-동의 모두 무효
준수하는 CMP의 모습
2026년 터키 트래픽용으로 구성된 CMP는 다음을 제시해야 합니다:
- 비필수 쿠키가 실행되기 전 표시되는 눈에 띄는 배너, 터키 사용자에게는 기본적으로 터키어(Türkçe)로 표시
- 동의, 거부, 맞춤 설정에 동일한 시각적 두드러짐 — 위원회는 거부가 동의보다 덜 눈에 띄는 배너 디자인을 구체적으로 지적함
- 목적별 세분화된 토글: 분석, 광고, 개인화, 국경 간 이전, 민감 카테고리 처리
- 초기 선택 이후 동의를 철회하기 위한 지속적이고 쉽게 접근 가능한 메커니즘
- 관리자 신원, 목적, 수신자, 보존, 권리를 공개하는 터키어 Aydınlatma Metni(개인정보 처리방침)
- 민감 카테고리 처리에 대해 자체 행동으로 제한된 별도의 명확하게 표시된 명시적 동의 흐름(açık rıza)
동의 기록
관리자는 동의 기록 — 누가, 언제, 무엇에, 어떤 인터페이스를 통해 동의했는지 — 을 유지해야 합니다. KVKK 위원회는 여러 집행 조치에서 부적절한 동의 로그를 언급했으며, 내보낼 수 있는 타임스탬프 로그가 기본적인 기대치입니다.
2024년 제9조에 따른 국경 간 이전
2024년 개정은 GDPR의 접근 방식을 반영하는 세 단계 이전 프레임워크를 도입했습니다. 어느 계층이 어떤 흐름에 적용되는지 이해하는 것은 2026년 해외 퍼블리셔의 가장 일반적인 컴플라이언스 격차입니다.
1계층 — 적정성 결정
위원회는 국가, 국제기구 또는 국가의 특정 분야가 적절한 보호를 제공한다고 지정할 수 있습니다. 적정하다고 지정된 목적지로의 이전은 추가 메커니즘 없이 허용됩니다. 2026년 초 기준으로 위원회는 점진적으로 적정성 결정을 발표하고 있지만 미국을 광범위하게 지정하지는 않았습니다.
2계층 — 적절한 안전장치
적정성이 없는 경우 적절한 안전장치를 기반으로 이전이 허용됩니다. 개정은 특히 위원회가 승인한 표준계약조항, 그룹 내 이전을 위한 구속력 있는 기업 규칙, 위원회 승인 행동강령 또는 인증 메커니즘을 고려합니다. 위원회의 표준계약조항은 2024년에 발표되었으며 대부분의 퍼블리셔에게 주요 작업 메커니즘입니다.
3계층 — 이탈 규정
산발적인 이전, 계약 이행에 필요한 이전, 또는 사용자가 명시적으로 동의한 이전에 대한 좁은 예외가 존재합니다. 이것들은 진행 중인 프로그래매틱 흐름의 주요 적법 근거로 사용할 수 없습니다.
퍼블리셔에 대한 실질적인 함의
일반적인 프로그래매틱 스택은 입찰마다 쿠키 파생 데이터를 수십 개의 해외 벤더에게 전송합니다. 이러한 각각의 흐름이 국경 간 이전입니다. 2026년의 실행 가능한 접근 방식은 각 국제 처리자와 위원회 승인 표준계약조항을 체결하고 Aydınlatma Metni와 VERBIS 등록에 이전 메커니즘을 문서화하는 것입니다. 2024년 이전의 이전별 명시적 동의 논리를 고수해 온 퍼블리셔는 컴플라이언스 위험에 과도하게 노출되어 있는 동시에 수익화 기회를 충분히 활용하지 못하고 있습니다.
정보주체 권리
터키 정보주체는 KVKK 프레임워크를 통해 적용되는 GDPR에서 발견되는 권리의 전체 집합을 갖습니다:
- 자신의 데이터가 처리되고 있는지 알 권리
- 처리된 데이터에 대한 접근권
- 부정확한 데이터의 정정권
- 처리가 더 이상 정당화되지 않는 경우 삭제 또는 익명화 권리
- 데이터가 공개된 제3자에 대해 통보받을 권리
- 불리한 결과를 야기하는 자동화된 결정에 이의를 제기할 권리
- 불법 처리로 인한 손해에 대한 배상권
응답 기한
관리자는 정보주체의 요청에 30일 내에 응답해야 합니다. 정보주체는 관리자의 응답이 부적절한 경우 KVKK 위원회에 이의를 제기할 수 있으며, 위원회는 결정에 60일의 기간이 있습니다. 30일 기간에 대한 운영 준비 — 절차서, 도구, 터키어 응답 템플릿 포함 — 는 해외 퍼블리셔에게 흔한 격차입니다.
2026년 과징금 및 집행 기조
KVKK 위원회는 첫 몇 년간 비교적 조용했지만 집행을 의미 있게 강화했습니다. 2025년 과징금 총액은 법률 시행 이후 가장 높았으며, 2026년도 유사한 궤도에 있습니다.
행정 과징금
행정 과징금은 매년 인플레이션에 연동됩니다. 2026년 기준으로 가장 심각한 위반에 대한 상한선은 위반당 TRY 4000만을 초과하며, 데이터 보안, 통지, VERBIS 등록, 위원회 결정에 관한 실패에는 별도의 상한이 적용됩니다. 해외 관리자는 2025년 여러 조치에서 범위의 상단에서 과징금을 부과받았습니다.
평판 노출
위원회는 집행 결정의 요약을 웹사이트에 공표합니다. 해외 퍼블리셔 과징금은 정기적으로 터키 기술 언론에 보도되었으며, 공개적인 KVKK 결정의 평판 비용은 일반적으로 과징금 자체보다 높습니다.
집행 주제
위원회의 2025년과 2026년 초 조치는 소수의 반복적인 문제들을 중심으로 집중되어 있습니다: 누락되거나 모호한 쿠키 동의, 부적절한 Aydınlatma Metni, VERBIS에 미등록된 해외 관리자, 2024년 이전 프레임워크를 사용하는 불법 국경 간 이전.
2026년 터키 트래픽 감사 체크리스트
- CMP 배너가 터키 사용자에게 터키어로 제공되며, 동의, 거부, 맞춤 설정이 동일한 시각적 두드러짐을 가짐
- 동의 목적이 세분화되고 민감 카테고리 처리를 자체적인 명시적 동의 흐름 뒤에 분리함
- 동의 로그가 타임스탬프 처리되어 있고, 내보낼 수 있으며, 최소한 처리 기간에 감사 가능한 여유를 더한 기간 동안 보존됨
- Aydınlatma Metni가 관리자, 처리자, 목적, 보존, 권리에 대한 완전한 공개와 함께 터키어로 이용 가능함
- 관리자가 임계값을 초과하는 경우 VERBIS 등록이 완료되고 최신 상태임
- 국경 간 이전이 2024년 표준계약조항 또는 다른 유효한 제9조 메커니즘에 의존하며, 메커니즘이 Aydınlatma Metni에 문서화됨
- 정보주체 요청 워크플로우가 종단 간 30일 이내에 터키어로 응답할 수 있음
- 벤더 목록이 검토되었으며, 미사용 또는 중복 벤더가 노출을 줄이기 위해 제거됨
2026년 전망
터키의 데이터 보호 체계는 형태에서 유럽 프레임워크를 따라잡았으며 집행에서도 빠르게 따라잡고 있습니다. 2024년 개정은 현대 국제 애드테크의 가장 큰 구조적 장벽 — 구식 이전 체계 — 을 제거했으며, 위원회는 그 이후 2년간 나머지 법률의 집행에 집중해 왔습니다. GDPR급 동의 스택을 갖춘 퍼블리셔는 터키 준비를 위해 비교적 작은 조정이 필요합니다: 터키어 CMP 및 고지, 해당 시 VERBIS 등록, 2024년 표준 이전 조항, 그리고 더 광범위한 민감 데이터 목록에 주의. 터키를 가벼운 시장으로 취급해 온 퍼블리셔는 2026년이 2025년보다 비용이 많이 들고, 2027년이 2026년보다 비용이 많이 든다는 것을 알게 될 것입니다. 격차는 우선순위가 부여되면 몇 주 내에 좁힐 수 있습니다 — 그리고 그래야 합니다.