Turcijas KVKK un 2024. gada grozījumi: izdevēju un reklāmdevēju ceļvedis par sīkfailu piekrišanu, pārrobežu datu pārsūtīšanu un skaidru piekrišanu 2026. gadā
Turcijas Personas datu aizsardzības likums (KVKK, Likums Nr. 6698) ir spēkā kopš 2016. gada, taču lielāko daļu šīs desmitgades tas darbojās kā GDPR klusāks brālēns — pēc struktūras atpazīstami līdzīgs, bet izpildē ievērojami maigāks. Šī ēra ir beigusies. 2024. gada KVKK grozījumi, kas publicēti Oficiālajā Vēstnesī 2024. gada 12. martā, restrukturizēja pārrobežu datu pārsūtīšanas režīmu, saskaņojot to ar GDPR tipa piemērotību un standarta līguma klauzulām, un KVKK padome (Kişisel Verileri Koruma Kurulu) ir ievērojami pastiprināusi izpildi 2025. gadā un 2026. gadā. Jebkuram izdevējam, reklāmdevējam vai platformai, kas apstrādā Turcijas lietotāju datus — neatkarīgi no tā, vai atrodas Turcijā vai apkalpo Turcijas tirgu no ārvalstīm — 2026. gads ir tas gads, kad mūsdienīgs piekrišanas risinājums pārstāj būt labvēlīgs papildinājums un kļūst par bāzes prasību. Šis ceļvedis iepazīstina ar likumu tā grozītajā formā, faktiskajām prasībām sīkfailu piekrišanai, pārrobežu pārsūtīšanas mehānismiem un to, kā izskatās padomes izpilde praksē.
KVKK struktūra pēc 2024. gada grozījumiem
KVKK ir galvenais datu aizsardzības likums Turcijā, un tā grozītais teksts tagad ir atskaites punkts. Izdevēji, kuri strādāja no versijas pirms 2024. gada, skatās uz novecojušu ietvaru.
Ko 2024. gada grozījumi mainīja
Galvenās izmaiņas bija 9. panta pārrakstīšana, kas regulē starptautisko datu pārsūtīšanu. Pirms 2024. gada režīms bija sarežģīti izpildāms — tas prasīja vai nu skaidru piekrišanu, vai katras lietas padomes atļauju gandrīz katram pārrobežu datu plūsmai, kas bija neizpildāmi jebkuram mūsdienīgam reklāmu tehnoloģiju risinājumam. Grozītais 9. pants ievieš trīs pārsūtīšanas mehānismu līmeņus: padomes piemērotības lēmumu, atbilstošu aizsardzības pasākumu kopumu, tostarp standarta līguma klauzulas, un šauros gadījumos — atkāpju kopumu. Tas beidzot saskaņo Turcijas pārsūtīšanas likumu ar GDPR shēmu un padara programmatisko reklāmu starptautiski atbilstošu bez katram pārdevējam atsevišķa padomes pieteikuma.
Kas nav mainījies
Pamatdefinīcijas, likumīgie pamati, datu subjektu tiesības un skaidras piekrišanas standarts sensitīvajiem datiem paliek tādi paši kā iepriekš. Turcijas skaidras piekrišanas latiņa praksē, ja kaut kas, ir stingrāka nekā GDPR standarts, un tieši šeit lielākā daļa izdevēju atbilstības trūkumu joprojām atrodas.
VERBIS reģistrs
Datu pārziņiem virs noteiktas sliekšņvērtības — ieskaitot lielāko daļu ārvalstu pārziņu, kas apstrādā Turcijas personas datus lielā apjomā — jāreģistrējas Datu pārziņu reģistrā (VERBIS). Reģistrācija prasa apstrādes darbību, juridisko pamatojumu un pārsūtīšanas mehānismu atklāšanu. Daudzi ārvalstu izdevēji vēsturiski ir izlaiduši VERBIS reģistrāciju; padome ir norādījusi uz aktīvāku nostāju šajā jautājumā 2025. un 2026. gadā.
Kas tiek uzskatīts par personas datiem saskaņā ar KVKK
KVKK personas datu definīcija ir plaša un cieši atbilst GDPR. Personas dati ir jebkura informācija, kas attiecas uz identificētu vai identificējamu fizisku personu, un padomes norādījumi konsekventi ir uzskatījuši sīkfailus, reklāmas identifikatorus, IP adreses un ierīces pirkstu nospiedumus par personas datiem, ja tos var saistīt ar lietotāju tieši vai ar saprātīgiem līdzekļiem.
Sensitīvie personas dati
KVKK sensitīvo kategoriju saraksts ir plašāks nekā GDPR: tas skaidri ietver rasi, etnisko izcelsmi, politisko viedokli, filozofisko pārliecību, reliģiju, sektu, izskatu, biedrojumu apvienībā vai fondā, veselību, seksuālo dzīvi, kriminālo notiesājumu, drošības pasākumus un biometriskos un ģenētiskos datus. Jebkuru no tiem apstrādājot, nepieciešama skaidra piekrišana — ne neskaidra vai apvienota, bet gan specifiska, informēta, brīvi dota piekrišana, kas saistīta ar konkrēto sensitīvo apstrādi.
Kāpēc tas ir svarīgi sīkfailiem
Sīkfails, kas glabā tikai sesijas ID, ir pamata personas dati. Sīkfails, kas baro auditorijas segmentu kā Liberālo vēlētāju vai Dedzīgas reliģiskās kopienas, ir sensitīvi personas dati saskaņā ar Turcijas definīciju — un nepieciešamā piekrišanas konfigurācija ir skaidra piekrišana vai nekas. Izdevējiem, kas mērķē auditorijas segmentus, kuri skar KVKK sensitīvo sarakstu, nevajadzētu darboties šajos segmentos ar vispārēju reklāmas piekrišanu.
Sīkfailu piekrišana saskaņā ar KVKK 2026. gadā
Padomes nostāja par sīkfailiem pēdējos divos gados ir kļuvusi stingrāka. Pašreizējie norādījumi ir nepārprotami: sīkfailiem un izsekošanas tehnoloģijām, kas apstrādā personas datus, nepieciešama piekrišana, ja vien tie nav stingri nepieciešami pakalpojumam, ko lietotājs ir pieprasījis.
Četri derīgas skaidras piekrišanas elementi
Turcijas skaidrajai piekrišanai jābūt:
- Saistītai ar konkrētu priekšmetu — vispārēja jumta piekrišana nespecificētai turpmākai apstrādei nav derīga
- Informētai — lietotājs saprot, kādi dati tiek apstrādāti, kādam mērķim, no kā un cik ilgi
- Brīvi dotai — lietotājs var atteikties, netiekot liegts pakalpojums, uz kuru viņam citādi ir tiesības
- Izteiktai ar skaidru apstiprinošu darbību — iepriekš atzīmētas izvēles rūtiņas, netieša piekrišana un ritināšana kā piekrišana ir visi nederīgi
Kā izskatās atbilstošs CMP
CMP, kas konfigurēts Turcijas trafikam 2026. gadā, jāpiedāvā:
- Redzams reklāmkarogs pirms jebkura nebūtiska sīkfaila aktivizēšanas, pēc noklusējuma turku valodā (Türkçe) Turcijas lietotājiem
- Vienlīdzīga vizuālā pamanāmība Pieņemt, Noraidīt un Pielāgot — padome ir īpaši norādījusi uz reklāmkarogu dizainiem, kur Noraidīt ir mazāk redzams nekā Pieņemt
- Detalizētas pārslēgšanas ierīces katram mērķim: analītika, reklāma, personalizācija, pārrobežu pārsūtīšana un jebkura sensitīvo kategoriju apstrāde
- Pastāvīgs, viegli pieejams mehānisms piekrišanas atsaukšanai pēc sākotnējās izvēles
- Turcijas valodas Aydınlatma Metni (privātuma paziņojums), kas atklāj pārziņa identitāti, mērķus, saņēmējus, glabāšanas laiku un tiesības
- Atsevišķa, skaidri marķēta skaidras piekrišanas plūsma (açık rıza) jebkurai sensitīvo kategoriju apstrādei, ko nodrošina ar savu darbību
Piekrišanas ieraksti
Pārzinim jāuztur piekrišanas ieraksti — kas piekrita, kad, kam un caur kādu saskarni. KVKK padome vairākās izpildes darbībās ir minējusi nepietiekamus piekrišanas žurnālus, un eksportējami laika zīmoga žurnāli ir bāzes prasība.
Pārrobežu pārsūtīšana saskaņā ar 2024. gada 9. pantu
2024. gada grozījumi ieviesa trīs līmeņu pārsūtīšanas ietvaru, kas atspoguļo GDPR pieeju. Izpratne par to, kurš līmenis attiecas uz kādu plūsmu, ir visbiežāk sastopamais atbilstības trūkums ārvalstu izdevējiem 2026. gadā.
1. līmenis — piemērotības lēmums
Padome var atzīt valsti, starptautisku organizāciju vai valsts nozari kā nodrošinošu atbilstošu aizsardzību. Pārsūtīšana uz piemērotiem galamērķiem ir atļauta bez papildu mehānisma. 2026. gada sākumā padome ir pakāpeniski izdevusi piemērotības lēmumus, taču vēl nav atzinusi Amerikas Savienotās Valstis kopumā.
2. līmenis — atbilstoši aizsardzības pasākumi
Piemērotības neesamības gadījumā pārsūtīšana ir atļauta, pamatojoties uz atbilstošiem aizsardzības pasākumiem. Grozījumi konkrēti paredz padomes apstiprinātas standarta līguma klauzulas, saistošus korporatīvos noteikumus grupas iekšējām pārsūtīšanām un padomes apstiprinātas rīcības kodeksus vai sertifikācijas mehānismus. Padomes standarta līguma klauzulas tika publicētas 2024. gadā un ir galvenais darbības mehānisms lielākajai daļai izdevēju.
3. līmenis — atkāpes
Šauros gadījumos pastāv atkāpes gadījuma rakstura pārsūtīšanai, līguma izpildei nepieciešamai pārsūtīšanai vai pārsūtīšanai, kurai lietotājs ir skaidri piekritis. Tos nevar izmantot kā primāro juridisko pamatu pastāvīgām programmatiskajām plūsmām.
Praktiskās sekas izdevējiem
Tipiska programmatiskā sistēma nosūta sīkfailiem iegūtus datus desmitiem ārvalstu pārdevēju par katru solījumu. Katra no šīm plūsmām ir pārrobežu pārsūtīšana. 2026. gada praktiskā pieeja ir noslēgt padomes apstiprinātas standarta līguma klauzulas ar katru starptautisko apstrādātāju un dokumentēt pārsūtīšanas mehānismu Aydınlatma Metni un VERBIS reģistrācijā. Izdevēji, kas turpināja izmantot pirms 2024. gada skaidras piekrišanas par katru pārsūtīšanu loģiku, vienlaikus ir pārāk pakļauti atbilstības riskam un nepietiekami izmanto monetizācijas iespējas.
Datu subjektu tiesības
Turcijas datu subjektiem ir pilns tiesību kopums, kas atrodams GDPR, piemērots caur KVKK ietvaru:
- Tiesības uzzināt, vai viņu dati tiek apstrādāti
- Piekļuves tiesības apstrādātajiem datiem
- Tiesības labot neprecīzus datus
- Tiesības uz dzēšanu vai anonimizāciju, ja apstrāde vairs nav pamatota
- Tiesības tikt informētam par trešajām pusēm, kurām dati ir izpausti
- Tiesības iebilst pret automatizētiem lēmumiem, kas rada nelabvēlīgas sekas
- Tiesības uz kompensāciju par zaudējumiem, kas radušies nelikumīgas apstrādes rezultātā
Atbildes termiņi
Pārziņiem jāatbild uz datu subjektu pieprasījumiem 30 dienu laikā. Datu subjekts var vērsties KVKK padomē, ja pārziņa atbilde ir nepietiekama, un padomei ir 60 dienu logs lēmuma pieņemšanai. Operatīvā gatavība 30 dienu logam — ar rokasgrāmatām, rīkiem un atbildes veidnēm turku valodā — ir bieži sastopams trūkums ārvalstu izdevējiem.
Sodi un izpildes pozīcija 2026. gadā
KVKK padome bija relatīvi klusā pirmajās vairākās darbības gados, taču ir ievērojami pastiprināt izpildi. 2025. gada naudas sodu kopsumma bija visaugstākā kopš likuma stāšanās spēkā, un 2026. gads ir līdzīgā trajektorijā.
Administratīvie sodi
Administratīvie sodi ir ikgadēji indeksēti pret inflāciju. 2026. gadā smagākajiem pārkāpumiem noteiktais griesti pārsniedz TRY 40 miljonus par pārkāpumu, un atsevišķi griesti attiecas uz datu drošības, paziņošanas, VERBIS reģistrācijas un padomes lēmumu neizpildi. Ārvalstu pārziņi vairākās 2025. gada darbībās ir sodīti ar maksimālajiem sodiem.
Reputācijas riska pakļautība
Padome publicē izpildes lēmumu kopsavilkumus savā tīmekļa vietnē. Ārvalstu izdevēju naudas sodi regulāri ir nonākuši Turcijas tehnoloģiju presē, un publisku KVKK lēmumu reputācijas izmaksas parasti ir augstākas nekā pats sods.
Izpildes temati
Padomes 2025. gada un 2026. gada sākuma darbības koncentrējas ap nelielu atkārtotu problēmu kopumu: trūkstoša vai neskaidra sīkfailu piekrišana, nepietiekams Aydınlatma Metni, nereģistrēti ārvalstu pārziņi VERBIS un nelikumīga pārrobežu pārsūtīšana, izmantojot ietvaru pirms 2024. gada.
Auditēšanas kontrolsaraksts Turcijas trafikam 2026. gadā
- CMP reklāmkarogs tiek rādīts turku valodā Turcijas lietotājiem, ar Pieņemt, Noraidīt un Pielāgot vienlīdzīgā vizuālajā pamanāmībā
- Piekrišanas mērķi ir detalizēti un jebkura sensitīvo kategoriju apstrāde tiek atdalīta aiz savas skaidras piekrišanas plūsmas
- Piekrišanas žurnāli ir laika zīmogoti, eksportējami un glabāti vismaz apstrādes ilgumam plus revidējama robeža
- Aydınlatma Metni ir pieejams turku valodā ar pilnīgu pārziņa, apstrādātāju, mērķu, glabāšanas laika un tiesību atklāšanu
- VERBIS reģistrācija ir pabeigta un atjaunināta, ja pārzinis pārsniedz slieksni
- Pārrobežu pārsūtīšana pamatojas uz 2024. gada standarta līguma klauzulām vai citu derīgu 9. panta mehānismu, ar mehānismu dokumentētu Aydınlatma Metni
- Datu subjekta pieprasījumu darbplūsma spēj atbildēt 30 dienu laikā no gala līdz galam, turku valodā
- Pārdevēju saraksts ir pārskatīts, ar neizmantotiem vai liekajiem pārdevējiem, kas noņemti, lai samazinātu riska pakļautību
2026. gada perspektīva
Turcijas datu aizsardzības režīms ir panācis Eiropas ietvaru pēc formas un strauji panāk to izpildē. 2024. gada grozījumi novērsa lielāko strukturālo šķērsli mūsdienīgai starptautiskai reklāmu tehnoloģijai — veco pārsūtīšanas režīmu — un padome ir izmantojusi divus gadus kopš tā, lai koncentrētos uz pārējās likuma daļas izpildi. Izdevējiem ar GDPR līmeņa piekrišanas sistēmu jāveic samērā nelielas korekcijas, lai būtu gatavi Turcijai: turku valodas CMP un paziņojums, VERBIS reģistrācija, ja piemērojams, 2024. gada standarta pārsūtīšanas klauzulas un uzmanība ar plašāko sensitīvo datu sarakstu. Izdevēji, kuri ir uzskatījuši Turciju par vieglāku tirgu, atklās, ka 2026. gads ir dārgāks par 2025. gadu, un 2027. gads — dārgāks par 2026. gadu. Šo plaisu var slēgt nedēļu laikā, ja tas tiek prioritizēts — un tam vajadzētu būt.