Structura KVKK după amendamentele din 2024

KVKK este statutul primar de protecție a datelor din Turcia, iar textul său amendat este acum punctul de referință. Editorii care au lucrat pe baza versiunii anterioare lui 2024 se uită la un cadru depășit.

Ce au schimbat amendamentele din 2024

Schimbarea principală a fost o rescriere a Articolului 9, care guvernează transferurile internaționale de date. Regimul anterior anului 2024 era notoriu dificil de respectat — necesita fie consimțământ explicit, fie o autorizare a Consiliului de la caz la caz pentru aproape orice flux transfrontalier, ceea ce era imposibil de realizat pentru orice stack modern de tehnologie publicitară. Articolul 9 amendat introduce trei niveluri de mecanisme de transfer: o decizie de adecvare a Consiliului, un set de garanții adecvate incluzând clauze contractuale standard, și în cazuri restrânse, un set de derogări. Aceasta aliniază în fine dreptul turc al transferurilor cu modelul GDPR și face publicitatea programatică conformă la nivel internațional fără un dosar per furnizor la Consiliu.

Ce nu s-a schimbat

Definițiile de bază, temeiurile legale, drepturile persoanelor vizate și standardul de consimțământ explicit pentru datele sensibile rămân ca înainte. Pragul de consimțământ explicit turc este, dacă există vreo diferență, mai strict în practică decât standardul GDPR, și aceasta este zona unde cele mai multe lacune de conformitate ale editorilor se găsesc în continuare.

Registrul VERBIS

Operatorii de date care depășesc anumite praguri — inclusiv cei mai mulți operatori străini care procesează date cu caracter personal turcești la scară — trebuie să se înregistreze în Registrul Operatorilor de Date (VERBIS). Înregistrarea necesită dezvăluirea activităților de procesare, a temeiurilor legale și a mecanismelor de transfer. Mulți editori străini au omis înregistrarea VERBIS în mod istoric; Consiliul a semnalat o atitudine mai activă în această privință de-a lungul anilor 2025 și 2026.

Ce se consideră date cu caracter personal în temeiul KVKK

Definiția datelor cu caracter personal din KVKK este largă și se aliniază îndeaproape cu GDPR. Datele cu caracter personal reprezintă orice informații referitoare la o persoană fizică identificată sau identificabilă, iar orientările Consiliului au tratat în mod consecvent cookie-urile, identificatorii de publicitate, adresele IP și amprentele digitale ale dispozitivelor drept date cu caracter personal atunci când pot fi legate de un utilizator direct sau prin mijloace rezonabile.

Date cu caracter personal sensibile

Lista categoriilor sensibile din KVKK este mai largă decât cea din GDPR: include în mod explicit rasa, originea etnică, opinia politică, credința filozofică, religia, secta, aspectul exterior, apartenența la asociații sau fundații, sănătatea, viața sexuală, condamnările penale, măsurile de securitate și datele biometrice și genetice. Procesarea oricăreia dintre acestea necesită consimțământ explicit — nu tipul ambiguu sau agrupat, ci un consimțământ specific, informat, liber exprimat, legat de procesarea sensibilă specifică.

De ce contează aceasta pentru cookie-uri

Un cookie care stochează doar un ID de sesiune reprezintă date cu caracter personal de bază. Un cookie care alimentează un segment de audiență precum Alegători liberali sau Comunitate religioasă devotă reprezintă date cu caracter personal sensibile în temeiul definiției turcești — iar configurația de consimțământ necesară este consimțământ explicit sau nimic. Editorii care vizează segmente de audiență care ating lista sensibilă a KVKK nu ar trebui să ruleze aceste segmente pe baza consimțământului general de publicitate.

Consimțământul pentru cookie-uri în temeiul KVKK în 2026

Poziția Consiliului cu privire la cookie-uri s-a înăsprit în ultimii doi ani. Orientarea actuală este neechivocă: cookie-urile și tehnologiile de urmărire care procesează date cu caracter personal necesită consimțământ, cu excepția cazului în care sunt strict necesare pentru un serviciu solicitat de utilizator.

Cele patru elemente ale consimțământului explicit valid

Consimțământul explicit turc trebuie să fie:

• Legat de un subiect specific — consimțământul general umbrelă care acoperă procesarea viitoare nespecificată nu este valid
• Informat — utilizatorul înțelege ce date sunt procesate, în ce scop, de către cine și pentru cât timp
• Liber exprimat — utilizatorul poate refuza fără a fi privat de un serviciu la care are dreptul
• Exprimat printr-un act afirmativ clar — casetele pre-bifate, consimțământul implicit și derularea ca consimțământ sunt toate invalide

Cum arată un CMP conform

Un CMP configurat pentru traficul turc în 2026 ar trebui să prezinte:

• Un banner vizibil înainte ca orice cookie neesențial să fie activat, implicit în turcă (Türkçe) pentru utilizatorii turci
• Proeminență vizuală egală pentru Accept, Respinge și Personalizează — Consiliul a semnalat în mod specific designuri de bannere unde Respinge este mai puțin vizibil decât Accept
• Comutatoare granulare per scop: analitics, publicitate, personalizare, transfer transfrontalier și orice procesare a categoriei sensibile
• Un mecanism persistent, ușor accesibil pentru retragerea consimțământului după alegerea inițială
• Un Aydınlatma Metni (Notă de confidențialitate) în limba turcă care dezvăluie identitatea operatorului, scopurile, destinatarii, perioada de retenție și drepturile
• Un flux de consimțământ explicit (açık rıza) separat, etichetat clar pentru orice procesare a categoriei sensibile, protejat de propria sa acțiune

Înregistrările consimțământului

Operatorul trebuie să mențină înregistrări ale consimțământului — cine și-a dat consimțământul, când, pentru ce, prin ce interfață. Consiliul KVKK a invocat jurnale de consimțământ inadecvate în mai multe acțiuni de aplicare, iar jurnalele exportabile cu marcaj temporal sunt așteptarea de bază.

Transferuri transfrontaliere în temeiul Articolului 9 din 2024

Amendamentele din 2024 au introdus un cadru de transfer pe trei niveluri care oglindește abordarea GDPR. Înțelegerea nivelului care se aplică fiecărui flux este cel mai frecvent decalaj de conformitate pentru editorii străini în 2026.

Nivelul 1 — Decizia de adecvare

Consiliul poate desemna o țară, o organizație internațională sau un sector al unei țări ca oferind protecție adecvată. Transferurile către destinații adecvate sunt permise fără un mecanism suplimentar. La începutul anului 2026, Consiliul emitea treptat decizii de adecvare, dar nu desemnase încă Statele Unite în sens larg.

Nivelul 2 — Garanții adecvate

În absența adecvării, transferurile sunt permise pe baza garanțiilor adecvate. Amendamentele prevăd în mod specific clauze contractuale standard aprobate de Consiliu, reguli corporative obligatorii pentru transferurile intragroup și coduri de conduită sau mecanisme de certificare aprobate de Consiliu. Clauzele contractuale standard ale Consiliului au fost publicate în 2024 și reprezintă principalul mecanism de lucru pentru cei mai mulți editori.

Nivelul 3 — Derogări

Excepții restrânse există pentru transferuri ocazionale, transferuri necesare pentru executarea unui contract sau transferuri pentru care utilizatorul și-a dat consimțământul explicit. Acestea nu pot fi utilizate ca temei juridic primar pentru fluxuri programatice continue.

Implicația practică pentru editori

Un stack programatic tipic trimite date derivate din cookie-uri către zeci de furnizori din afara țării per licitație. Fiecare dintre aceste fluxuri este un transfer transfrontalier. Abordarea practică pentru 2026 este executarea clauzelor contractuale standard aprobate de Consiliu cu fiecare procesator internațional și documentarea mecanismului de transfer în Aydınlatma Metni și în înregistrarea VERBIS. Editorii care au păstrat logica consimțământului-explicit-per-transfer din perioada anterioară anului 2024 sunt simultan supraexpuși la riscul de conformitate și subutilizați în oportunitatea de monetizare.

Drepturile persoanelor vizate

Persoanele vizate turcești beneficiază de setul complet de drepturi găsit în GDPR, aplicat prin cadrul KVKK:

• Dreptul de a afla dacă datele lor sunt procesate
• Dreptul de acces la datele procesate
• Dreptul la corectarea datelor inexacte
• Dreptul la ștergere sau anonimizare atunci când procesarea nu mai este justificată
• Dreptul de a fi informat cu privire la terții cărora le-au fost dezvăluite datele
• Dreptul de a se opune deciziilor automate care produc efecte negative
• Dreptul la compensații pentru daunele cauzate de procesarea ilegală

Termenele de răspuns

Operatorii trebuie să răspundă cererilor persoanelor vizate în termen de 30 de zile. Persoana vizată poate escalada la Consiliul KVKK dacă răspunsul operatorului este inadecvat, iar Consiliul are o fereastră de 60 de zile pentru a decide. Pregătirea operațională pentru fereastra de 30 de zile — cu proceduri, instrumente și șabloane de răspuns în limba turcă — este o lacună frecventă pentru editorii străini.

Sancțiuni și poziția de aplicare în 2026

Consiliul KVKK a fost relativ tăcut în primii câțiva ani, dar a intensificat semnificativ aplicarea. Totalul amenzilor din 2025 a fost cel mai mare de când legea a intrat în vigoare, iar 2026 se află pe o traiectorie similară.

Amenzi administrative

Amenzile administrative sunt indexate anual la inflație. La nivelul anului 2026, plafonul pentru cele mai grave încălcări depășește TRY 40 milioane per încălcare, iar plafoane separate se aplică pentru eșecuri legate de securitatea datelor, notificare, înregistrare VERBIS și decizii ale Consiliului. Operatorii străini au fost amendați la nivelul maxim al intervalului în mai multe acțiuni din 2025.

Expunerea reputațională

Consiliul publică rezumate ale deciziilor de aplicare pe site-ul său. Amenzile aplicate editorilor străini au ajuns în mod regulat în presa de tehnologie turcă, iar costul reputațional al unei decizii publice KVKK este de obicei mai mare decât amenda în sine.

Teme de aplicare

Acțiunile Consiliului din 2025 și începutul lui 2026 se concentrează în jurul unui set mic de probleme recurente: consimțământ pentru cookie-uri lipsă sau ambiguu, Aydınlatma Metni inadecvat, operatori străini neînregistrați în VERBIS și transferuri transfrontaliere ilegale care utilizează cadrul anterior anului 2024.

Lista de verificare a auditului pentru traficul turc în 2026

• Bannerul CMP este afișat în turcă pentru utilizatorii turci, cu Accept, Respinge și Personalizează la proeminență vizuală egală
• Scopurile consimțământului sunt granulare și separă orice procesare a categoriei sensibile în spatele propriului flux de consimțământ explicit
• Jurnalele de consimțământ au marcaj temporal, sunt exportabile și păstrate cel puțin pe durata procesării plus o marjă auditabilă
• Aydınlatma Metni este disponibil în turcă cu dezvăluiri complete ale operatorului, procesatorilor, scopurilor, retenției și drepturilor
• Înregistrarea VERBIS este completă și actualizată dacă operatorul depășește pragul
• Transferurile transfrontaliere se bazează pe clauzele contractuale standard din 2024 sau pe alt mecanism valid al Articolului 9, cu mecanismul documentat în Aydınlatma Metni
• Fluxul de lucru pentru cererile persoanelor vizate poate răspunde în 30 de zile de la un capăt la altul, în turcă
• Lista furnizorilor a fost revizuită, cu furnizorii neutilizați sau redundanți eliminați pentru a reduce expunerea

Perspectiva pentru 2026

Regimul de protecție a datelor din Turcia a ajuns din urmă cadrul european ca formă și îl recuperează rapid ca aplicare. Amendamentele din 2024 au eliminat cel mai mare blocaj structural pentru tehnologia publicitară internațională modernă — vechiul regim de transfer — iar Consiliul a folosit cei doi ani de atunci pentru a se concentra pe aplicarea restului legii. Editorii cu un stack de consimțământ de nivel GDPR trebuie să facă ajustări relativ mici pentru a fi pregătiți pentru Turcia: CMP și notă în turcă, înregistrare VERBIS dacă este aplicabil, clauze de transfer standard din 2024 și atenție față de lista mai largă de date sensibile. Editorii care au tratat Turcia ca pe o piață mai ușoară vor descoperi că 2026 este mai scump decât 2025, iar 2027 mai scump decât 2026. Decalajul poate fi închis în câteva săptămâni dacă este prioritizat — și ar trebui să fie.