Struktur KVKK Selepas Pindaan 2024

KVKK adalah statut perlindungan data utama di Turki, dan teksnya yang dipinda kini menjadi titik rujukan. Penerbit yang telah bekerja dari versi pra-2024 sedang melihat rangka kerja yang sudah lapuk.

Apa yang Dipinda oleh Pindaan 2024

Perubahan utama adalah penulisan semula Perkara 9, yang mengawal pemindahan data antarabangsa. Rejim pra-2024 terkenal sukar dipenuhi — ia memerlukan sama ada persetujuan eksplisit atau kebenaran Lembaga kes demi kes untuk hampir setiap aliran rentas sempadan, yang tidak boleh dilaksanakan untuk mana-mana tindanan teknologi iklan moden. Perkara 9 yang dipinda memperkenalkan tiga peringkat mekanisme pemindahan: keputusan kecukupan daripada Lembaga, satu set perlindungan yang sesuai termasuk klausa kontrak standard, dan dalam kes yang sempit, satu set pengecualian. Ini akhirnya menyelaraskan undang-undang pemindahan Turki dengan corak GDPR dan menjadikan pengiklanan programatik patuh secara antarabangsa tanpa pemfailan Lembaga setiap vendor.

Apa yang Tidak Berubah

Definisi teras, asas undang-undang, hak subjek data, dan standard persetujuan eksplisit untuk data sensitif kekal seperti sebelumnya. Bar persetujuan eksplisit Turki, jika ada, lebih ketat dalam amalan daripada standard GDPR, dan inilah di mana kebanyakan jurang pematuhan penerbit masih berada.

Daftar VERBIS

Pengawal data di atas ambang tertentu — termasuk kebanyakan pengawal asing yang memproses data peribadi Turki dalam skala besar — mesti mendaftar dalam Daftar Pengawal Data (VERBIS). Pendaftaran memerlukan pendedahan aktiviti pemprosesan, asas undang-undang, dan mekanisme pemindahan. Ramai penerbit asing telah melangkau pendaftaran VERBIS secara sejarah; Lembaga telah memberi isyarat pendirian yang lebih aktif mengenai perkara ini sepanjang 2025 dan 2026.

Apa yang Dikira sebagai Data Peribadi di bawah KVKK

Definisi data peribadi KVKK adalah luas dan sangat menepati GDPR. Data peribadi adalah sebarang maklumat yang berkaitan dengan individu semula jadi yang dikenal pasti atau boleh dikenal pasti, dan panduan Lembaga secara konsisten menganggap kuki, pengecam pengiklanan, alamat IP, dan cap jari peranti sebagai data peribadi apabila ia boleh dikaitkan dengan pengguna secara langsung atau melalui cara yang munasabah.

Data Peribadi Sensitif

Senarai kategori sensitif KVKK adalah lebih luas daripada GDPR: ia secara eksplisit merangkumi bangsa, asal usul etnik, pendapat politik, kepercayaan falsafah, agama, sekte, penampilan, keahlian persatuan atau yayasan, kesihatan, kehidupan seksual, sabitan jenayah, langkah keselamatan, dan data biometrik dan genetik. Memproses mana-mana daripadanya memerlukan persetujuan eksplisit — bukan jenis yang samar-samar atau digabungkan, tetapi persetujuan yang spesifik, dimaklumkan, diberikan secara bebas yang dikaitkan dengan pemprosesan sensitif yang spesifik.

Mengapa Ini Penting untuk Kuki

Kuki yang hanya menyimpan ID sesi adalah data peribadi asas. Kuki yang menyuap segmen audiens seperti Pengundi Liberal atau Komuniti Agama yang Taat adalah data peribadi sensitif di bawah definisi Turki — dan konfigurasi persetujuan yang diperlukan adalah persetujuan eksplisit atau tiada. Penerbit yang menyasarkan segmen audiens yang menyentuh senarai sensitif KVKK tidak seharusnya menjalankan segmen tersebut di bawah persetujuan pengiklanan umum.

Persetujuan Kuki di bawah KVKK pada 2026

Pendirian Lembaga mengenai kuki telah diperketatkan selama dua tahun yang lalu. Panduan semasa tidak berbelah-bagi: kuki dan teknologi penjejakan yang memproses data peribadi memerlukan persetujuan melainkan benar-benar diperlukan untuk perkhidmatan yang diminta oleh pengguna.

Empat Elemen Persetujuan Eksplisit yang Sah

Persetujuan eksplisit Turki mestilah:

• Berkaitan dengan subjek tertentu — persetujuan payung umum yang merangkumi pemprosesan masa hadapan yang tidak ditentukan adalah tidak sah
• Dimaklumkan — pengguna memahami data apa yang diproses, untuk tujuan apa, oleh siapa, dan untuk berapa lama
• Diberikan secara bebas — pengguna boleh menolak tanpa dinafikan perkhidmatan yang mereka layak dapatkan
• Dinyatakan melalui tindakan afirmatif yang jelas — kotak yang telah ditandakan sebelumnya, persetujuan tersirat, dan tatal sebagai persetujuan semuanya tidak sah

Bagaimana CMP yang Patuh Kelihatan

CMP yang dikonfigurasi untuk trafik Turki pada 2026 harus membentangkan:

• Sepanduk yang kelihatan sebelum sebarang kuki bukan penting diaktifkan, lalai kepada bahasa Turki (Türkçe) untuk pengguna Turki
• Ketampakan visual yang sama untuk Terima, Tolak, dan Sesuaikan — Lembaga telah secara khusus menyebut reka bentuk sepanduk di mana Tolak kurang kelihatan daripada Terima
• Togol terperinci bagi setiap tujuan: analitik, pengiklanan, pemperibadian, pemindahan rentas sempadan, dan sebarang pemprosesan kategori sensitif
• Mekanisme yang berterusan dan mudah diakses untuk menarik balik persetujuan selepas pilihan awal
• Bahasa Turki Aydınlatma Metni (Notis Privasi) mendedahkan identiti pengawal, tujuan, penerima, pengekalan, dan hak
• Aliran persetujuan eksplisit (açık rıza) yang berasingan dan berlabel jelas untuk sebarang pemprosesan kategori sensitif, digabungkan di sebalik tindakannya sendiri

Rekod Persetujuan

Pengawal mesti menyelenggara rekod persetujuan — siapa yang bersetuju, bila, kepada apa, melalui antara muka apa. Lembaga KVKK telah menyebut log persetujuan yang tidak mencukupi dalam beberapa tindakan penguatkuasaan, dan log bertanda masa yang boleh dieksport adalah jangkaan garis dasar.

Pemindahan Rentas Sempadan di bawah Perkara 9 Tahun 2024

Pindaan 2024 memperkenalkan rangka kerja pemindahan tiga peringkat yang mencerminkan pendekatan GDPR. Memahami peringkat mana yang terpakai kepada aliran mana adalah jurang pematuhan yang paling biasa bagi penerbit asing pada 2026.

Peringkat 1 — Keputusan Kecukupan

Lembaga boleh menetapkan sebuah negara, organisasi antarabangsa, atau sektor sebuah negara sebagai menyediakan perlindungan yang mencukupi. Pemindahan ke destinasi yang mencukupi dibenarkan tanpa mekanisme tambahan. Pada awal 2026, Lembaga telah secara beransur-ansur mengeluarkan keputusan kecukupan tetapi belum menetapkan Amerika Syarikat secara meluas.

Peringkat 2 — Perlindungan yang Sesuai

Ketiadaan kecukupan, pemindahan dibenarkan atas dasar perlindungan yang sesuai. Pindaan secara khusus mempertimbangkan klausa kontrak standard yang diluluskan oleh Lembaga, peraturan korporat mengikat untuk pemindahan dalam kumpulan, dan kod tingkah laku atau mekanisme pensijilan yang diluluskan Lembaga. Klausa kontrak standard Lembaga diterbitkan pada 2024 dan merupakan mekanisme kerja utama bagi kebanyakan penerbit.

Peringkat 3 — Pengecualian

Pengecualian sempit wujud untuk pemindahan sekali-sekala, pemindahan yang diperlukan untuk pelaksanaan kontrak, atau pemindahan yang pengguna telah bersetuju secara eksplisit. Ini tidak boleh digunakan sebagai asas undang-undang utama untuk aliran programatik yang berterusan.

Implikasi Praktikal bagi Penerbit

Tindanan programatik yang tipikal menghantar data terbitan kuki kepada berpuluh-puluh vendor luar negara per bida. Setiap aliran tersebut adalah pemindahan rentas sempadan. Pendekatan yang boleh dilaksanakan pada 2026 adalah untuk melaksanakan klausa kontrak standard yang diluluskan Lembaga dengan setiap pemproses antarabangsa dan mendokumentasikan mekanisme pemindahan dalam Aydınlatma Metni dan pendaftaran VERBIS. Penerbit yang telah berpegang kepada logik persetujuan-eksplisit-setiap-pemindahan pra-2024 secara serentak terdedah kepada risiko pematuhan dan kurang menggunakan peluang monetisasi.

Hak Subjek Data

Subjek data Turki mempunyai set penuh hak yang terdapat dalam GDPR, yang dilaksanakan melalui rangka kerja KVKK:

• Hak untuk mengetahui sama ada data mereka sedang diproses
• Hak akses kepada data yang diproses
• Hak untuk pembetulan data yang tidak tepat
• Hak untuk pemadaman atau tanpa nama di mana pemprosesan tidak lagi dijustifikasikan
• Hak untuk diberitahu tentang pihak ketiga yang data telah didedahkan
• Hak untuk membantah keputusan automatik yang menghasilkan kesan buruk
• Hak untuk pampasan atas kerosakan yang disebabkan oleh pemprosesan yang menyalahi undang-undang

Garis Masa Respons

Pengawal mesti bertindak balas terhadap permintaan subjek data dalam masa 30 hari. Subjek data boleh meningkat kepada Lembaga KVKK jika respons pengawal tidak mencukupi, dan Lembaga mempunyai tetingkap 60 hari untuk membuat keputusan. Kesediaan operasi untuk tetingkap 30 hari — dengan buku panduan, alat, dan templat respons dalam bahasa Turki — adalah jurang yang biasa bagi penerbit asing.

Penalti dan Pendirian Penguatkuasaan pada 2026

Lembaga KVKK agak sunyi pada beberapa tahun pertamanya tetapi telah meningkatkan penguatkuasaan secara bermakna. Jumlah denda 2025 adalah yang tertinggi sejak undang-undang berkuat kuasa, dan 2026 berada pada trajektori yang serupa.

Denda Pentadbiran

Denda pentadbiran diindeks setiap tahun kepada inflasi. Pada 2026 siling bagi pelanggaran yang paling serius melebihi TRY 40 juta setiap pelanggaran, dan had berasingan terpakai kepada kegagalan berkaitan keselamatan data, pemberitahuan, pendaftaran VERBIS, dan keputusan Lembaga. Pengawal asing telah didenda pada tahap tertinggi dalam beberapa tindakan 2025.

Pendedahan Reputasi

Lembaga menerbitkan ringkasan keputusan penguatkuasaan di laman webnya. Denda penerbit asing secara kerap telah menjadi berita akhbar teknologi Turki, dan kos reputasi keputusan KVKK awam biasanya lebih tinggi daripada denda itu sendiri.

Tema Penguatkuasaan

Tindakan 2025 dan awal 2026 Lembaga berkumpul sekitar set kecil isu berulang: persetujuan kuki yang hilang atau samar-samar, Aydınlatma Metni yang tidak mencukupi, pengawal asing yang tidak berdaftar dalam VERBIS, dan pemindahan rentas sempadan yang menyalahi undang-undang menggunakan rangka kerja pra-2024.

Senarai Semak Audit untuk Trafik Turki pada 2026

• Sepanduk CMP dihidangkan dalam bahasa Turki untuk pengguna Turki, dengan Terima, Tolak, dan Sesuaikan pada ketampakan visual yang sama
• Tujuan persetujuan adalah terperinci dan mengasingkan sebarang pemprosesan kategori sensitif di sebalik aliran persetujuan eksplisitnya sendiri
• Log persetujuan bertanda masa, boleh dieksport, dan dikekalkan sekurang-kurangnya untuk tempoh pemprosesan ditambah margin yang boleh diaudit
• Aydınlatma Metni tersedia dalam bahasa Turki dengan pendedahan penuh pengawal, pemproses, tujuan, pengekalan, dan hak
• Pendaftaran VERBIS lengkap dan terkini jika pengawal melepasi ambang
• Pemindahan rentas sempadan bergantung pada klausa kontrak standard 2024 atau mekanisme Perkara 9 yang sah yang lain, dengan mekanisme yang didokumentasikan dalam Aydınlatma Metni
• Aliran kerja permintaan subjek data boleh bertindak balas dalam masa 30 hari dari hujung ke hujung, dalam bahasa Turki
• Senarai vendor telah disemak, dengan vendor yang tidak digunakan atau berlebihan dikeluarkan untuk mengurangkan pendedahan

Pandangan 2026

Rejim perlindungan data Turki telah mengejar rangka kerja Eropah dari segi bentuk dan sedang mengejar dengan pesat dari segi penguatkuasaan. Pindaan 2024 membuang sekatan struktur terbesar kepada teknologi iklan antarabangsa moden — rejim pemindahan lama — dan Lembaga telah menggunakan dua tahun sejak itu untuk menumpukan pada penguatkuasaan baki undang-undang. Penerbit dengan tindanan persetujuan gred GDPR perlu membuat pelarasan yang agak kecil untuk bersedia menghadapi Turki: CMP dan notis dalam bahasa Turki, pendaftaran VERBIS jika berkenaan, klausa pemindahan standard 2024, dan berhati-hati dengan senarai data sensitif yang lebih luas. Penerbit yang telah menganggap Turki sebagai pasaran yang lebih ringan akan mendapati 2026 lebih mahal daripada 2025, dan 2027 lebih mahal daripada 2026. Jurang itu boleh ditutup dalam beberapa minggu jika ia diutamakan — dan ia sepatutnya.