Turkijos KVKK ir 2024 m. pakeitimai: leidėjų ir reklamuotojų vadovas dėl slapukų sutikimo, tarpvalstybinių duomenų perdavimų ir aiškaus sutikimo 2026 m.
Turkijos Asmens duomenų apsaugos įstatymas (KVKK, Law No. 6698) galioja nuo 2016 m., tačiau didžiąją to dešimtmečio dalį veikė kaip tylesnysis BDAR (GDPR) pusbrolis — panašios struktūros, tačiau vykdymas buvo žymiai švelnesnis. Ta era baigėsi. 2024 m. KVKK pakeitimai, paskelbti Oficialiajame leidinyje 2024 m. kovo 12 d., pertvarkė tarpvalstybinių duomenų perdavimų režimą, kad jis atitiktų BDAR stiliaus tinkamumą ir standartines sutartines sąlygas, o KVKK taryba (Kişisel Verileri Koruma Kurulu) 2025 m. ir 2026 m. pradžioje reikšmingai sustiprino vykdymą. Kiekvienam leidėjui, reklamuotojui ar platformai, tvarkančiai Turkijos vartotojų duomenis — nesvarbu, ar jie yra įsikūrę Turkijoje, ar aptarnauja Turkijos rinką iš užsienio — 2026 m. yra metai, kai šiuolaikinis sutikimo rinkinys nustoja būti pageidaujamu ir tampa baziniu reikalavimu. Šiame vadove nagrinėjamas įstatymas jo pakeistame pavidale, ką iš tiesų reikalauja slapukų sutikimas, kaip dabar veikia tarpvalstybiniai perdavimai ir kaip atrodo tarybos vykdymas praktikoje.
KVKK struktūra po 2024 m. pakeitimų
KVKK yra pagrindinis duomenų apsaugos teisės aktas Turkijoje, o jo pakeistas tekstas dabar yra atskaitos taškas. Leidėjai, dirbę su iki 2024 m. versija, naudojasi pasenusia sistema.
Ką pakeitė 2024 m. pakeitimai
Pagrindinis pokytis buvo 9 straipsnio, kuriame reglamentuojami tarptautiniai duomenų perdavimai, perrašymas. Iki 2024 m. galiojęs režimas buvo žinomais sunkiai vykdomas — beveik kiekvienam tarpvalstybiniam srautui reikėjo arba aiškaus sutikimo, arba tarybos leidimo kiekvienu atveju atskirai, o tai buvo neįgyvendinama bet kokiam šiuolaikiniam reklamų technologijų rinkiniui. Pakeistas 9 straipsnis įdiegia trijų lygių perdavimo mechanizmą: tarybos tinkamumo sprendimą, tinkamų apsaugos priemonių rinkinį, įskaitant standartines sutartines sąlygas, ir siaurais atvejais — išimčių rinkinį. Tai pagaliau suderina Turkijos perdavimo teisę su BDAR modeliu ir leidžia programinei reklamai atitikti tarptautinius reikalavimus be atskiro tarybos pateikimo kiekvienam tiekėjui.
Kas nepasikeitė
Pagrindiniai apibrėžimai, teisėtumo pagrindai, duomenų subjektų teisės ir aiškaus sutikimo standartas jautriems duomenims liko tokie pat, kokie buvo. Turkijos aiškaus sutikimo riba praktiškai yra, jei ne griežtesnė nei BDAR standartas, ir būtent čia tebegyvuoja dauguma leidėjų atitikties spragų.
VERBIS registras
Duomenų valdytojai, viršijantys tam tikras ribas — įskaitant daugumą užsienio valdytojų, dideliu mastu tvarkančių Turkijos asmens duomenis — turi registruotis Duomenų valdytojų registre (VERBIS). Registracijai reikia atskleisti tvarkymo veiklą, teisėtumo pagrindus ir perdavimo mechanizmus. Daugelis užsienio leidėjų istoriškai praleido VERBIS registraciją; taryba 2025 ir 2026 m. pažymėjo aktyvesnę poziciją šiuo klausimu.
Kas laikoma asmens duomenimis pagal KVKK
KVKK asmens duomenų apibrėžtis yra plati ir labai artima BDAR. Asmens duomenys — tai bet kokia informacija, susijusi su identifikuotu arba identifikuojamu fiziniu asmeniu, o tarybos gairės nuosekliai traktuoja slapukus, reklamos identifikatorius, IP adresus ir įrenginių pirštų atspaudus kaip asmens duomenis, kai juos galima sieti su vartotoju tiesiogiai arba pagrįstomis priemonėmis.
Jautrūs asmens duomenys
KVKK jautrių kategorijų sąrašas platesnis nei BDAR: jis aiškiai apima rasę, etninę kilmę, politinę nuomonę, filosofinį įsitikinimą, religiją, sektos priklausomybę, išvaizdą, narystę asociacijose ar fonduose, sveikatą, lytinį gyvenimą, teistumą, saugumo priemones ir biometrinius bei genetinius duomenis. Bet kurio iš jų tvarkymas reikalauja aiškaus sutikimo — ne dviprasmiško ar bendrojo tipo, o konkretaus, informuoto, laisvai duoto sutikimo, susieto su konkrečiu jautriu tvarkymu.
Kodėl tai svarbu slapukams
Slapukas, kuriame saugomas tik sesijos ID, yra pagrindiniai asmens duomenys. Slapukas, tiekiantis auditorijos segmentą kaip antai Liberalūs rinkėjai ar Pamaldi religinė bendruomenė, pagal Turkijos apibrėžtį yra jautrūs asmens duomenys — o reikalinga sutikimo konfigūracija yra aiškus sutikimas arba nieko. Leidėjai, taikantys auditorijos segmentus, kurie liečia KVKK jautrųjį sąrašą, neturėtų vykdyti tų segmentų pagal bendrą reklamos sutikimą.
Slapukų sutikimas pagal KVKK 2026 m.
Tarybos pozicija dėl slapukų per pastaruosius dvejus metus sugriežtėjo. Dabartinės gairės vienareikšmės: slapukai ir sekimo technologijos, tvarkančios asmens duomenis, reikalauja sutikimo, nebent jos yra griežtai būtinos vartotojo prašytai paslaugai.
Keturi galiojančio aiškaus sutikimo elementai
Turkijos aiškus sutikimas turi būti:
- Susijęs su konkrečiu dalyku — bendrasis skėtinis sutikimas, apimantis neapibrėžtą būsimą tvarkymą, negalioja
- Informuotas — vartotojas supranta, kokie duomenys tvarkomi, kokiu tikslu, kieno ir kiek laiko
- Laisvai duotas — vartotojas gali atsisakyti neprarasdamas paslaugos, kuria kitu atveju turi teisę naudotis
- Išreikštas aiškiu tvirtinamuoju veiksmu — iš anksto pažymėti langeliai, numanomas sutikimas ir slinkimas kaip sutikimas — visa tai negalioja
Kaip atrodo suderinta CMP
CMP, sukonfigūruota Turkijos srautui 2026 m., turėtų pateikti:
- Matomą banerį prieš užsidegant bet kuriam nebūtinam slapukui, numatytąja kalba — turkų (Türkçe) Turkijos vartotojams
- Vienodą vaizdinę svarbą Sutikimui, Atmetimui ir Tinkiniui — taryba konkrečiai nurodė banerių dizainus, kuriuose Atmetimas mažiau matomas nei Sutikimas
- Išsamius jungiklius pagal tikslą: analizė, reklama, personalizavimas, tarpvalstybinis perdavimas ir bet koks jautrių kategorijų tvarkymas
- Nuolatinį, lengvai prieinamą mechanizmą sutikimui atšaukti po pradinio pasirinkimo
- Turkų kalba pateiktą Aydınlatma Metni (Privatumo pranešimą), atskleidžiantį valdytojo tapatybę, tikslus, gavėjus, saugojimą ir teises
- Atskirą, aiškiai pažymėtą aiškaus sutikimo srautą (açık rıza) bet kokiam jautrių kategorijų tvarkymui, apsaugotą savo paties veiksmu
Sutikimo įrašai
Valdytojas turi saugoti sutikimo įrašus — kas sutiko, kada, su kuo, per kurią sąsają. KVKK taryba keliuose vykdymo veiksmuose nurodė nepakankamai išsamius sutikimo žurnalus, o eksportuojami laiko žymos žurnalai yra bazinis lūkestis.
Tarpvalstybiniai perdavimai pagal 2024 m. 9 straipsnį
2024 m. pakeitimai įdiegė trijų lygių perdavimo sistemą, atspindinčią BDAR metodą. Supratimas, kuris lygmuo taikomas kuriam srautui, yra dažniausia atitikties spraga užsienio leidėjams 2026 m.
1 lygis — Tinkamumo sprendimas
Taryba gali paskirti šalį, tarptautinę organizaciją ar šalies sektorių kaip teikiančius tinkamą apsaugą. Perdavimai į tinkamas paskirties vietas leidžiami be papildomo mechanizmo. 2026 m. pradžioje taryba palaipsniui priima tinkamumo sprendimus, tačiau Jungtinių Valstijų iki šiol plačiai nepaskyrė.
2 lygis — Tinkamos apsaugos priemonės
Nesant tinkamumo, perdavimai leidžiami remiantis tinkamomis apsaugos priemonėmis. Pakeitimai konkrečiai numato tarybos patvirtintas standartines sutartines sąlygas, privalomuosius verslo taisyklės grupės vidaus perdavimams ir tarybos patvirtintus elgesio kodeksus ar sertifikavimo mechanizmus. Tarybos standartinės sutartinės sąlygos buvo paskelbtos 2024 m. ir yra pagrindinis darbinis mechanizmas daugumai leidėjų.
3 lygis — Išimtys
Siauros išimtys egzistuoja retkarčiams vykdomiems perdavimams, sutarties vykdymui reikalingiems perdavimams arba perdavimams, su kuriais vartotojas aiškiai sutiko. Jų negalima naudoti kaip pagrindinio teisinio pagrindo nuolatiniams programiniams srautams.
Praktinė reikšmė leidėjams
Tipinis programinis rinkinys kiekvieno pasiūlymo metu siunčia iš slapukų gautus duomenis dešimtims užsienio tiekėjų. Kiekvienas iš tų srautų yra tarpvalstybinis perdavimas. 2026 m. praktiškai veikiantis metodas yra sudaryti tarybos patvirtintas standartines sutartines sąlygas su kiekvienu tarptautiniu duomenų tvarkytoju ir dokumentuoti perdavimo mechanizmą Aydınlatma Metni ir VERBIS registracijoje. Leidėjai, laikęsi iki 2024 m. taikytos aiškaus sutikimo kiekvienam perdavimui logikos, kartu yra pernelyg veikiami atitikties rizikos ir nepakankamai išnaudoja monetizacijos galimybes.
Duomenų subjektų teisės
Turkijos duomenų subjektai turi visas BDAR numatytas teises, taikomas per KVKK sistemą:
- Teisė sužinoti, ar jų duomenys yra tvarkomi
- Teisė susipažinti su tvarkomais duomenimis
- Teisė ištaisyti netikslius duomenis
- Teisė ištrinti arba anonimizuoti, kai tvarkymas nebėra pagrįstas
- Teisė būti informuotam apie trečiąsias šalis, kurioms duomenys buvo atskleisti
- Teisė prieštarauti automatizuotiems sprendimams, sukeliantiems neigiamas pasekmes
- Teisė į žalos, atsiradusios dėl neteisėto tvarkymo, atlyginimą
Atsakymo terminai
Valdytojai turi atsakyti į duomenų subjektų prašymus per 30 dienų. Duomenų subjektas gali kreiptis į KVKK tarybą, jei valdytojo atsakymas nepakankamas, o taryba turi 60 dienų langą sprendimui priimti. Veiklos pasirengimas 30 dienų langui — su procedūrų aprašais, įrankiais ir atsakymų šablonais turkų kalba — yra dažna spraga užsienio leidėjams.
Baudos ir vykdymo pozicija 2026 m.
KVKK taryba buvo palyginti rami pirmaisiais savo metais, tačiau reikšmingai sustiprino vykdymą. 2025 m. bendras baudų dydis buvo didžiausias nuo įstatymo įsigaliojimo, o 2026 m. eina panašia trajektorija.
Administracinės baudos
Administracinės baudos kasmet indeksuojamos pagal infliaciją. 2026 m. už pačius sunkiausius pažeidimus nustatyta riba viršija TRY 40 milijonų vienam pažeidimui, o atskiros ribos taikomos duomenų saugumo, pranešimų, VERBIS registracijos ir tarybos sprendimų pažeidimams. Užsienio valdytojai keliuose 2025 m. veiksmuose buvo baudžiami didžiausiomis baudomis.
Reputacijos rizika
Taryba savo svetainėje skelbia vykdymo sprendimų santraukas. Baudos užsienio leidėjams reguliariai patenka į Turkijos technologijų spaudą, o viešo KVKK sprendimo reputacijos kaina paprastai yra didesnė nei pati bauda.
Vykdymo temos
Tarybos 2025 m. ir 2026 m. pradžios veiksmai telkiasi aplink nedidelį pasikartojančių problemų rinkinį: trūkstamas arba dviprasmiškas slapukų sutikimas, neadekvatus Aydınlatma Metni, neregistruoti užsienio valdytojai VERBIS registre ir neteisėti tarpvalstybiniai perdavimai naudojant iki 2024 m. sistemą.
Audito kontrolinis sąrašas Turkijos srautui 2026 m.
- CMP baneris Turkijos vartotojams pateikiamas turkų kalba, Sutikimas, Atmetimas ir Tinkinis turi vienodą vaizdinę svarbą
- Sutikimo tikslai išsamūs, jautrių kategorijų tvarkymas atskiriamas į savo aiškaus sutikimo srautą
- Sutikimo žurnalai turi laiko žymą, yra eksportuojami ir saugomi bent tvarkymo trukmę plius audituojamą atsargą
- Aydınlatma Metni prieinama turkų kalba su visišku valdytojo, tvarkytojų, tikslų, saugojimo ir teisių atskleidimu
- VERBIS registracija atlikta ir atnaujinta, jei valdytojas viršija ribą
- Tarpvalstybiniai perdavimai grindžiami 2024 m. standartinėmis sutartinėmis sąlygomis ar kitu galiojančiu 9 straipsnio mechanizmu, mechanizmas dokumentuotas Aydınlatma Metni
- Duomenų subjektų prašymų darbo eiga gali atsakyti per 30 dienų nuo pradžios iki pabaigos, turkų kalba
- Tiekėjų sąrašas peržiūrėtas, nenaudojami arba pertekliniai tiekėjai pašalinti siekiant sumažinti poveikį
2026 m. perspektyvos
Turkijos duomenų apsaugos režimas formos atžvilgiu pasivijo Europos sistemą ir sparčiai jį vejasi vykdymo atžvilgiu. 2024 m. pakeitimai pašalino didžiausią struktūrinę kliūtį šiuolaikiniams tarptautiniams reklamų technologijoms — senąjį perdavimų režimą — o taryba paskutinius dvejus metus skyrė likusios įstatymo dalies vykdymui. Leidėjams, turintiems BDAR lygio sutikimo rinkinį, reikia palyginti nedidelių koregavimų, kad būtų pasirengę Turkijai: turkų kalba pateikta CMP ir pranešimas, VERBIS registracija, jei taikoma, 2024 m. standartinės perdavimo sąlygos ir atida dėl platesnio jautrių duomenų sąrašo. Leidėjai, traktavę Turkiją kaip švelnesne baksą rinką, 2026 m. ras brangiau nei 2025 m., o 2027 m. — brangiau nei 2026 m. Spragą galima užpildyti per kelias savaites, jei tai prioritizuojama — ir taip turėtų būti.