Struktura KVKK po zmianach z 2024 roku

KVKK jest podstawowym aktem prawnym dotyczącym ochrony danych w Turcji, a jej znowelizowany tekst jest obecnie punktem odniesienia. Wydawcy, którzy pracowali na wersji sprzed 2024 roku, patrzą na przestarzałe ramy prawne.

Co zmieniły zmiany z 2024 roku

Kluczową zmianą było przepisanie artykułu 9, który reguluje międzynarodowe transfery danych. Reżim sprzed 2024 roku był notoryjnie trudny do spełnienia — wymagał albo wyraźnej zgody, albo indywidualnej autoryzacji Rady dla niemal każdego transgranicznego przepływu, co było niewykonalne dla jakiegokolwiek nowoczesnego stosu technologii reklamowej. Znowelizowany artykuł 9 wprowadza trzy poziomy mechanizmów transferu: decyzję o adekwatności Rady, zestaw odpowiednich zabezpieczeń obejmujących standardowe klauzule umowne oraz w wąskich przypadkach zestaw odstępstw. To wreszcie dostosowuje tureckie prawo transferowe do modelu RODO i sprawia, że programatyczna reklama staje się zgodna z prawem międzynarodowym bez konieczności składania do Rady wniosków per dostawca.

Co się nie zmieniło

Podstawowe definicje, podstawy prawne, prawa podmiotów danych oraz standard wyraźnej zgody na wrażliwe dane pozostają takie same. Turecki próg wyraźnej zgody jest w praktyce, jeśli w ogóle, surowszy niż standard RODO i właśnie tu wciąż tkwi większość luk w zgodności wydawców.

Rejestr VERBIS

Administratorzy danych powyżej określonych progów — w tym większość zagranicznych administratorów przetwarzających tureckie dane osobowe na dużą skalę — muszą rejestrować się w Rejestrze Administratorów Danych (VERBIS). Rejestracja wymaga ujawnienia czynności przetwarzania, podstaw prawnych i mechanizmów transferu. Wielu zagranicznych wydawców historycznie pomijało rejestrację VERBIS; Rada sygnalizowała bardziej aktywne podejście w tej kwestii przez cały 2025 i 2026 rok.

Co liczy się jako dane osobowe w rozumieniu KVKK

Definicja danych osobowych w KVKK jest szeroka i ściśle odpowiada RODO. Dane osobowe to wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, a wskazówki Rady konsekwentnie traktują pliki cookie, identyfikatory reklamowe, adresy IP i odciski cyfrowe urządzeń jako dane osobowe, gdy można je powiązać z użytkownikiem bezpośrednio lub za pomocą rozsądnych środków.

Wrażliwe dane osobowe

Lista kategorii wrażliwych w KVKK jest szersza niż w RODO: obejmuje wprost rasę, pochodzenie etniczne, poglądy polityczne, przekonania filozoficzne, religię, sektę, wygląd zewnętrzny, przynależność do stowarzyszenia lub fundacji, zdrowie, życie seksualne, wyroki skazujące, środki bezpieczeństwa oraz dane biometryczne i genetyczne. Przetwarzanie którejkolwiek z tych kategorii wymaga zgody wyraźnej — nie tej nieokreślonej czy zbiorczej, lecz konkretnej, świadomej, swobodnie wyrażonej zgody powiązanej z konkretnym wrażliwym przetwarzaniem.

Dlaczego ma to znaczenie dla plików cookie

Plik cookie przechowujący jedynie identyfikator sesji stanowi podstawowe dane osobowe. Plik cookie zasilający segment odbiorców, taki jak Liberalni wyborcy czy Pobożna wspólnota religijna, stanowi wrażliwe dane osobowe w rozumieniu tureckim — a wymagana konfiguracja zgody to wyraźna zgoda albo nic. Wydawcy targetujący segmenty odbiorców, które dotykają listy wrażliwych kategorii KVKK, nie powinni prowadzić tych segmentów na podstawie ogólnej zgody reklamowej.

Zgoda na pliki cookie w świetle KVKK w 2026 roku

Stanowisko Rady w kwestii plików cookie zaostrzało się przez ostatnie dwa lata. Obecne wskazówki są jednoznaczne: pliki cookie i technologie śledzące przetwarzające dane osobowe wymagają zgody, chyba że są ściśle niezbędne do świadczenia usługi, o którą użytkownik wnioskował.

Cztery elementy ważnej wyraźnej zgody

Turecka wyraźna zgoda musi być:

• Powiązana z konkretnym przedmiotem — ogólna zgoda parasolowa obejmująca nieokreślone przyszłe przetwarzanie jest nieważna
• Świadoma — użytkownik rozumie, jakie dane są przetwarzane, w jakim celu, przez kogo i jak długo
• Dobrowolna — użytkownik może odmówić bez utraty dostępu do usługi, do której ma prawo
• Wyrażona w formie wyraźnego działania potwierdzającego — wstępnie zaznaczone pola, zgoda dorozumiana i przewijanie jako zgoda są wszystkie nieważne

Jak wygląda zgodny CMP

CMP skonfigurowany dla ruchu z Turcji w 2026 roku powinien prezentować:

• Widoczny baner przed aktywacją jakiegokolwiek nieistotnego pliku cookie, domyślnie w języku tureckim (Türkçe) dla tureckich użytkowników
• Równą widoczność wizualną dla Akceptuj, Odrzuć i Dostosuj — Rada wprost wskazała na projekty banerów, w których Odrzuć jest mniej widoczny niż Akceptuj
• Szczegółowe przełączniki dla każdego celu: analityka, reklama, personalizacja, transfer transgraniczny oraz przetwarzanie wszelkich kategorii wrażliwych
• Stały, łatwo dostępny mechanizm wycofania zgody po dokonaniu wyboru
• Tureckojęzyczny Aydınlatma Metni (informacja o prywatności) ujawniający tożsamość administratora, cele, odbiorców, okresy przechowywania i prawa
• Oddzielny, wyraźnie oznaczony przepływ wyraźnej zgody (açık rıza) dla wszelkiego przetwarzania kategorii wrażliwych, wymagający odrębnego działania

Rejestry zgód

Administrator musi prowadzić rejestry zgód — kto wyraził zgodę, kiedy, na co i przez jaki interfejs. Rada KVKK wskazała na niewystarczające dzienniki zgód w kilku działaniach egzekucyjnych, a eksportowalne dzienniki z sygnaturą czasową stanowią bazowe oczekiwanie.

Transfery transgraniczne na podstawie znowelizowanego artykułu 9 z 2024 roku

Zmiany z 2024 roku wprowadziły trzypoziomowe ramy transferu, które odzwierciedlają podejście RODO. Zrozumienie, który poziom ma zastosowanie do którego przepływu, jest najczęstszą luką w zakresie zgodności dla zagranicznych wydawców w 2026 roku.

Poziom 1 — Decyzja o adekwatności

Rada może wyznaczyć kraj, organizację międzynarodową lub sektor kraju jako zapewniający odpowiednią ochronę. Transfery do odpowiednich miejsc docelowych są dozwolone bez dodatkowego mechanizmu. Na początku 2026 roku Rada stopniowo wydawała decyzje o adekwatności, ale nie wyznaczyła jeszcze Stanów Zjednoczonych w szerokim zakresie.

Poziom 2 — Odpowiednie zabezpieczenia

W przypadku braku adekwatności transfery są dozwolone na podstawie odpowiednich zabezpieczeń. Zmiany przewidują wprost standardowe klauzule umowne zatwierdzone przez Radę, wiążące reguły korporacyjne dla transferów wewnątrzgrupowych oraz zatwierdzone przez Radę kodeksy postępowania lub mechanizmy certyfikacji. Standardowe klauzule umowne Rady zostały opublikowane w 2024 roku i stanowią główny mechanizm roboczy dla większości wydawców.

Poziom 3 — Odstępstwa

Wąskie wyjątki istnieją dla okazjonalnych transferów, transferów wymaganych do realizacji umowy lub transferów, na które użytkownik wyraził wyraźną zgodę. Nie można ich stosować jako podstawowego podstawy prawnej dla bieżących programatycznych przepływów.

Praktyczne implikacje dla wydawców

Typowy stos programatyczny wysyła dane pochodne z plików cookie do dziesiątek zagranicznych dostawców na każde zapytanie ofertowe. Każdy z tych przepływów stanowi transfer transgraniczny. Wykonalnym podejściem na 2026 rok jest zawarcie zatwierdzonych przez Radę standardowych klauzul umownych z każdym międzynarodowym podmiotem przetwarzającym i udokumentowanie mechanizmu transferu w Aydınlatma Metni oraz rejestracji VERBIS. Wydawcy, którzy trzymali się logiki wyraźnej-zgody-per-transfer sprzed 2024 roku, są jednocześnie nadmiernie narażeni na ryzyko zgodności i niedostatecznie wykorzystują możliwości monetyzacji.

Prawa podmiotów danych

Tureckie podmioty danych mają pełen zestaw praw z RODO, stosowany w ramach KVKK:

• Prawo do dowiedzenia się, czy ich dane są przetwarzane
• Prawo dostępu do przetwarzanych danych
• Prawo do poprawiania niedokładnych danych
• Prawo do usunięcia lub anonimizacji w przypadkach, gdy przetwarzanie nie jest już uzasadnione
• Prawo do informacji o osobach trzecich, którym dane zostały ujawnione
• Prawo sprzeciwu wobec zautomatyzowanych decyzji wywołujących negatywne skutki
• Prawo do odszkodowania za szkody spowodowane niezgodnym z prawem przetwarzaniem

Terminy odpowiedzi

Administratorzy muszą odpowiadać na wnioski podmiotów danych w ciągu 30 dni. Podmiot danych może eskalować sprawę do Rady KVKK, jeśli odpowiedź administratora jest niewystarczająca, a Rada ma 60-dniowe okno na podjęcie decyzji. Gotowość operacyjna do obsługi 30-dniowego okna — z procedurami, narzędziami i szablonami odpowiedzi w języku tureckim — jest częstą luką u zagranicznych wydawców.

Kary i stanowisko egzekucyjne w 2026 roku

Rada KVKK była stosunkowo cicha przez pierwsze kilka lat, ale znacząco zwiększyła egzekwowanie. Łączna kwota grzywien w 2025 roku była najwyższa od czasu wejścia ustawy w życie, a 2026 rok podąża podobną trajektorią.

Grzywny administracyjne

Grzywny administracyjne są corocznie indeksowane do inflacji. Na rok 2026 pułap dla najpoważniejszych naruszeń przekracza TRY 40 milionów za naruszenie, a oddzielne pułapy mają zastosowanie do uchybień w zakresie bezpieczeństwa danych, powiadamiania, rejestracji VERBIS i decyzji Rady. Zagraniczni administratorzy byli karani na maksymalnych poziomach w kilku działaniach w 2025 roku.

Ryzyko reputacyjne

Rada publikuje streszczenia decyzji egzekucyjnych na swojej stronie internetowej. Grzywny nałożone na zagranicznych wydawców regularnie trafiają do tureckiej prasy technologicznej, a reputacyjny koszt publicznej decyzji KVKK jest zazwyczaj wyższy niż sama grzywna.

Motywy egzekucyjne

Działania Rady z 2025 roku i początku 2026 roku koncentrują się wokół małego zestawu powtarzających się problemów: brakująca lub niejednoznaczna zgoda na pliki cookie, niewystarczający Aydınlatma Metni, niezarejestrowani zagraniczni administratorzy w VERBIS oraz niezgodne z prawem transfery transgraniczne z wykorzystaniem ram sprzed 2024 roku.

Lista kontrolna audytu dla ruchu tureckiego w 2026 roku

• Baner CMP jest wyświetlany po turecku dla tureckich użytkowników, z Akceptuj, Odrzuć i Dostosuj o równej widoczności wizualnej
• Cele zgody są szczegółowe i oddzielają wszelkie przetwarzanie kategorii wrażliwych za własny przepływ wyraźnej zgody
• Dzienniki zgód mają sygnatury czasowe, są eksportowalne i przechowywane przez co najmniej czas przetwarzania plus audytowalny margines
• Aydınlatma Metni jest dostępny w języku tureckim z pełnym ujawnieniem administratora, podmiotów przetwarzających, celów, okresu przechowywania i praw
• Rejestracja VERBIS jest kompletna i aktualna, jeśli administrator przekracza próg
• Transfery transgraniczne opierają się na standardowych klauzulach umownych z 2024 roku lub innym ważnym mechanizmie z artykułu 9, z mechanizmem udokumentowanym w Aydınlatma Metni
• Przepływ pracy dla wniosków podmiotów danych może reagować w ciągu 30 dni od końca do końca, w języku tureckim
• Lista dostawców została zweryfikowana, a nieużywani lub zbędni dostawcy zostali usunięci w celu zmniejszenia narażenia

Perspektywy na 2026 rok

Turecki reżim ochrony danych dogonił europejskie ramy pod względem formy i szybko dogania je pod względem egzekwowania. Zmiany z 2024 roku usunęły największą strukturalną przeszkodę dla nowoczesnej, międzynarodowej technologii reklamowej — stary reżim transferowy — a Rada przez minione dwa lata skupiała się na egzekwowaniu pozostałych przepisów ustawy. Wydawcy z stosem zgód na poziomie RODO muszą dokonać stosunkowo niewielkich korekt, aby być gotowi na Turcję: CMP i informacja w języku tureckim, rejestracja VERBIS jeśli dotyczy, standardowe klauzule transferowe z 2024 roku oraz ostrożność w odniesieniu do szerszej listy danych wrażliwych. Wydawcy, którzy traktowali Turcję jako lżejszy rynek, odkryją, że 2026 rok będzie droższy niż 2025, a 2027 droższy niż 2026. Lukę można wypełnić w ciągu kilku tygodni, jeśli zostanie to potraktowane priorytetowo — a tak właśnie powinno być.