Strukturen til KVKK etter 2024-endringene

KVKK er den primære databeskyttelsesloven i Tyrkia, og den endrede teksten er nå referansepunktet. Utgivere som har arbeidet fra versjonen fra før 2024 ser på et utdatert rammeverk.

Hva 2024-endringene endret

Den viktigste endringen var en omskriving av artikkel 9, som regulerer internasjonale dataoverføringer. Regimet fra før 2024 var beryktet vanskelig å overholde — det krevde enten eksplisitt samtykke eller en sak-for-sak styreautoritasjon for nesten hver grenseoverskridende flyt, noe som var upraktisk for enhver moderne annonsetekstakk. Den endrede artikkel 9 innfører tre nivåer av overføringsmekanismer: en tilstrekkelighetsbeslutning fra styret, et sett av passende sikkerhetstiltak inkludert standard kontraktsklausuler, og i snevre tilfeller et sett av unntak. Dette bringer endelig tyrkisk overføringslov i tråd med GDPR-mønsteret og gjør programmatisk annonsering internasjonalt kompatibel uten en per-leverandør styreinnlevering.

Hva som ikke endret seg

Kjernedefinisjonene, lovlige grunnlag, den registrertes rettigheter og standarden for eksplisitt samtykke for sensitive data forblir som de var. Den tyrkiske eksplisitte samtykkelisten er, om noe, strengere i praksis enn GDPR-standarden, og dette er der de fleste samsvarsgap hos utgivere fortsatt befinner seg.

VERBIS-registeret

Dataansvarlige over visse terskler — inkludert de fleste utenlandske ansvarlige som behandler tyrkiske personopplysninger i skala — må registrere seg i Registeret over dataansvarlige (VERBIS). Registrering krever offentliggjøring av behandlingsaktiviteter, rettslige grunnlag og overføringsmekanismer. Mange utenlandske utgivere har historisk hoppet over VERBIS-registrering; styret har signalisert en mer aktiv holdning til dette gjennom 2025 og 2026.

Hva som regnes som personopplysninger under KVKK

KVKK sin definisjon av personopplysninger er bred og stemmer nøye overens med GDPR. Personopplysninger er enhver informasjon som relaterer seg til en identifisert eller identifiserbar fysisk person, og styrets veiledning har konsekvent behandlet informasjonskapsler, annonserings-IDer, IP-adresser og enhetsavtrykk som personopplysninger når de kan knyttes til en bruker direkte eller gjennom rimelige midler.

Sensitive personopplysninger

KVKK sin liste over sensitive kategorier er bredere enn GDPR sin: den inkluderer eksplisitt rase, etnisk opprinnelse, politisk mening, filosofisk tro, religion, sekt, utseende, forenings- eller stiftelsesmedlemskap, helse, seksuelt liv, straffedommer, sikkerhetstiltak og biometriske og genetiske opplysninger. Behandling av noen av disse krever eksplisitt samtykke — ikke den tvetydige eller bundlede typen, men et spesifikt, informert, fritt gitt samtykke knyttet til den spesifikke sensitive behandlingen.

Hvorfor dette er viktig for informasjonskapsler

En informasjonskapsel som bare lagrer en sesjons-ID er grunnleggende personopplysninger. En informasjonskapsel som mater et målgruppesegment som Liberale velgere eller Hengiven religiøs befolkning er sensitive personopplysninger etter den tyrkiske definisjonen — og den påkrevde samtykkekonfigurasjonen er eksplisitt samtykke eller ingenting. Utgivere som målretter mot målgruppesegmenter som berører KVKK sin sensitive liste, bør ikke kjøre disse segmentene under generelt annonseringssamtykke.

Informasjonskapseltillatelse under KVKK i 2026

Styrets holdning til informasjonskapsler har strammet seg til de siste to årene. Den nåværende veiledningen er utvetydig: informasjonskapsler og sporingsteknologier som behandler personopplysninger krever samtykke med mindre de er strengt nødvendige for en tjeneste brukeren har bedt om.

De fire elementene i gyldig eksplisitt samtykke

Tyrkisk eksplisitt samtykke må være:

• Relatert til et spesifikt emne — generelt paraplysamtykke som dekker uangitt fremtidig behandling er ikke gyldig
• Informert — brukeren forstår hvilke data som behandles, for hvilket formål, av hvem og i hvor lang tid
• Frivillig gitt — brukeren kan nekte uten å bli nektet en tjeneste de ellers har rett på
• Uttrykt ved en klar bekreftende handling — forhåndsavkryssede bokser, implisitt samtykke og scrolling som samtykke er alle ugyldige

Hva en kompatibel CMP ser ut som

En CMP konfigurert for tyrkisk trafikk i 2026 bør presentere:

• Et synlig banner før noen ikke-essensiell informasjonskapsel avfyres, som standard til tyrkisk (Türkçe) for tyrkiske brukere
• Lik visuell fremtredenhet for Godta, Avvis og Tilpass — styret har spesifikt påpekt bannerdesign der Avvis er mindre synlig enn Godta
• Granulære veksler per formål: analyse, annonsering, personalisering, grenseoverskridende overføring og eventuell behandling av sensitive kategorier
• En vedvarende, lett tilgjengelig mekanisme for å trekke tilbake samtykke etter det opprinnelige valget
• En tyrkisk Aydınlatma Metni (personvernerklæring) som avslører den ansvarliges identitet, formål, mottakere, oppbevaring og rettigheter
• En separat, tydelig merket eksplisitt samtykkeprosess (açık rıza) for eventuell behandling av sensitive kategorier, sperret bak sin egen handling

Samtykkeregistre

Den ansvarlige må opprettholde registre over samtykke — hvem som ga samtykke, når, til hva, gjennom hvilket grensesnitt. KVKK-styret har sitert utilstrekkelige samtykkelogger i flere håndhevelseshandlinger, og eksporterbare tidsstemplede logger er grunnforventningen.

Grenseoverskridende overføringer under det endrede artikkel 9 fra 2024

2024-endringene innführte et trelagsrammeverk for overføringer som speiler GDPR sin tilnærming. Å forstå hvilket lag som gjelder for hvilken flyt er det vanligste samsvarsgapet for utenlandske utgivere i 2026.

Lag 1 — Tilstrekkelighetsbeslutning

Styret kan utpeke et land, en internasjonal organisasjon eller en sektor av et land som å gi tilstrekkelig beskyttelse. Overføringer til tilstrekkelige destinasjoner er tillatt uten ytterligere mekanisme. Fra begynnelsen av 2026 har styret gradvis utstedt tilstrekkelighetsbeslutninger, men har ennå ikke utpekt USA bredt.

Lag 2 — Passende sikkerhetstiltak

I mangel av tilstrekkelighet er overføringer tillatt på grunnlag av passende sikkerhetstiltak. Endringene forutsetter spesifikt standard kontraktsklausuler godkjent av styret, bindende konsernregler for overføringer innen konsern og styregodkjente atferdskodekser eller sertifiseringsmekanismer. Styrets standard kontraktsklausuler ble publisert i 2024 og er den viktigste arbeidsmekanismen for de fleste utgivere.

Lag 3 — Unntak

Snevre unntak eksisterer for tilfeldige overføringer, overføringer som kreves for kontraktsoppfyllelse, eller overføringer brukeren eksplisitt har samtykket til. Disse kan ikke brukes som primært rettslig grunnlag for løpende programmatiske flyter.

Praktisk implikasjon for utgivere

En typisk programmatisk stakk sender informasjonskapsel-avledede data til dusinvis av utenlandske leverandører per bud. Hver av disse flytene er en grenseoverskridende overføring. Den gjennomførbare tilnærmingen for 2026 er å utføre styregodkjente standard kontraktsklausuler med hver internasjonal behandler og dokumentere overføringsmekanismen i Aydınlatma Metni og VERBIS-registreringen. Utgivere som har holdt seg til logikken med eksplisitt-samtykke-per-overføring fra før 2024 er samtidig overeksponert for samsvarsrisiko og underutnyttet på monetiseringsmuligheten.

Den registrertes rettigheter

Tyrkiske registrerte har det fulle settet med rettigheter som finnes i GDPR, anvendt gjennom KVKK-rammeverket:

• Rett til å lære om dataene deres behandles
• Rett til innsyn i de behandlede dataene
• Rett til korrigering av unøyaktige data
• Rett til sletting eller anonymisering der behandling ikke lenger er berettiget
• Rett til å bli informert om tredjeparter dataene er utlevert til
• Rett til å protestere mot automatiserte beslutninger som gir negative effekter
• Rett til erstatning for skade forårsaket av ulovlig behandling

Svarfrister

Ansvarlige må svare på den registrertes forespørsler innen 30 dager. Den registrerte kan eskalere til KVKK-styret hvis den ansvarliges svar er utilstrekkelig, og styret har et vindu på 60 dager for å avgjøre. Operasjonell beredskap for 30-dagers vinduet — med arbeidsprotokoll, verktøy og svarsmaler på tyrkisk — er et vanlig gap for utenlandske utgivere.

Straffer og håndhevelsesposisjon i 2026

KVKK-styret var relativt stille de første årene, men har i vesentlig grad trappet opp håndhevelsen. Det totale bøtebeløpet i 2025 var det høyeste siden loven trådte i kraft, og 2026 er på en lignende bane.

Administrative bøter

Administrative bøter er årlig indeksert til inflasjon. Per 2026 overstiger taket for de mest alvorlige overtredelsene TRY 40 millioner per overtredelse, og separate tak gjelder for feil rundt datasikkerhet, varsling, VERBIS-registrering og styrebeslutninger. Utenlandske ansvarlige har blitt bøtelagt i toppen av rekkevidden i flere 2025-handlinger.

Omdømmeskade

Styret publiserer sammendrag av håndhevelsesvedtak på nettstedet sitt. Bøter for utenlandske utgivere har jevnlig havnet i tyrkisk teknologipress, og omdømmekostnaden for en offentlig KVKK-avgjørelse er typisk høyere enn selve bøten.

Håndhevelsestemaer

Styrets handlinger fra 2025 og tidlig 2026 samler seg rundt et lite sett med tilbakevendende problemer: manglende eller tvetydig informasjonskapseltillatelse, utilstrekkelig Aydınlatma Metni, uregistrerte utenlandske ansvarlige i VERBIS og ulovlige grenseoverskridende overføringer ved bruk av rammeverket fra før 2024.

Revisjonsliste for tyrkisk trafikk i 2026

• CMP-banner vises på tyrkisk for tyrkiske brukere, med Godta, Avvis og Tilpass med lik visuell fremtredenhet
• Samtykkeformål er granulerte og skiller eventuell behandling av sensitive kategorier bak sin egen eksplisitte samtykkeprosess
• Samtykkelogger er tidsstemplede, eksporterbare og oppbevart i minst behandlingens varighet pluss en reviderbar margin
• Aydınlatma Metni er tilgjengelig på tyrkisk med fullstendig offentliggjøring av den ansvarlige, behandlere, formål, oppbevaring og rettigheter
• VERBIS-registrering er fullstendig og oppdatert hvis den ansvarlige krysser terskelen
• Grenseoverskridende overføringer er basert på standard kontraktsklausuler fra 2024 eller en annen gyldig artikkel 9-mekanisme, med mekanismen dokumentert i Aydınlatma Metni
• Arbeidsflyt for den registrertes forespørsler kan svare innen 30 dager fra ende til ende, på tyrkisk
• Leverandørlisten er gjennomgått, med ubrukte eller overflødige leverandører fjernet for å redusere eksponering

Utsiktene for 2026

Tyrkias databeskyttelsesregime har tatt igjen det europeiske rammeverket i form og tar raskt igjen det i håndhevelse. 2024-endringene fjernet den største strukturelle blokkeren for moderne internasjonal annonseteknik — det gamle overføringsregimet — og styret har brukt de to årene siden til å fokusere på håndhevelse av resten av loven. Utgivere med en GDPR-grad samtykkestabel trenger å gjøre relativt små justeringer for å være Tyrkia-klare: tyrkisk CMP og erklæring, VERBIS-registrering hvis aktuelt, standard overføringsklausuler fra 2024 og forsiktighet med den bredere sensitive datalisten. Utgivere som har behandlet Tyrkia som et lettere marked vil finne 2026 dyrere enn 2025, og 2027 dyrere enn 2026. Gapet kan lukkes på uker hvis det prioriteres — og det bør det.