Структура KVKK после поправок 2024 года

KVKK — это основной закон о защите данных в Турции, и его изменённый текст теперь является точкой отсчёта. Издатели, работавшие по версии до 2024 года, имеют дело с устаревшей нормативной базой.

Что изменили поправки 2024 года

Главным изменением стала переработка Статьи 9, которая регулирует международные передачи данных. Режим до 2024 года было печально трудно удовлетворить — он требовал либо явного согласия, либо индивидуального разрешения Совета почти для каждого трансграничного потока, что было неработоспособно для любого современного рекламного техстека. Изменённая Статья 9 вводит три уровня механизма передачи: решение об адекватности от Совета, набор соответствующих гарантий, включая стандартные договорные положения, и в узких случаях набор дерогаций. Это наконец согласует турецкое право передачи с паттерном GDPR и делает программатик-рекламу международно соответствующей без подачи в Совет по каждому поставщику.

Что не изменилось

Основные определения, правовые основания, права субъектов данных и стандарт явного согласия для чувствительных данных остаются прежними. Турецкая планка явного согласия, если уж на то пошло, на практике строже стандарта GDPR, и именно здесь по-прежнему находится большинство пробелов соответствия у издателей.

Реестр VERBIS

Контролёры данных выше определённых порогов — включая большинство иностранных контролёров, обрабатывающих турецкие персональные данные в масштабе — должны зарегистрироваться в Реестре контролёров данных (VERBIS). Регистрация требует раскрытия видов деятельности по обработке, правовых оснований и механизмов передачи. Многие иностранные издатели исторически пропускали регистрацию в VERBIS; Совет сигнализировал о более активной позиции по этому вопросу в течение 2025 и 2026 годов.

Что считается персональными данными по KVKK

Определение персональных данных в KVKK широкое и тесно соответствует GDPR. Персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу, и руководство Совета последовательно трактовало cookie, рекламные идентификаторы, IP-адреса и отпечатки устройств как персональные данные, когда они могут быть привязаны к пользователю напрямую или разумными средствами.

Чувствительные персональные данные

Список чувствительных категорий в KVKK шире, чем в GDPR: он прямо включает расу, этническое происхождение, политические взгляды, философские убеждения, религию, секту, внешность, членство в ассоциациях или фондах, здоровье, половую жизнь, уголовные судимости, меры безопасности и биометрические и генетические данные. Обработка любого из них требует явного согласия — не двусмысленного или объединённого, а конкретного, информированного, свободно данного согласия, привязанного к конкретной чувствительной обработке.

Почему это важно для cookie

Cookie, который хранит только идентификатор сессии, — это базовые персональные данные. Cookie, который питает сегмент аудитории вроде Либеральные избиратели или Набожная религиозная община, — это чувствительные персональные данные по турецкому определению, и требуемая конфигурация согласия — явное-согласие-или-ничего. Издатели, нацеленные на сегменты аудитории, затрагивающие чувствительный список KVKK, не должны запускать эти сегменты в рамках общего рекламного согласия.

Согласие на cookie по KVKK в 2026 году

Позиция Совета по cookie ужесточилась за последние два года. Текущее руководство недвусмысленно: cookie и технологии отслеживания, обрабатывающие персональные данные, требуют согласия, если они не строго необходимы для услуги, запрошенной пользователем.

Четыре элемента действительного явного согласия

Турецкое явное согласие должно быть:

• Связано с конкретным предметом — общее зонтичное согласие, охватывающее неуточнённую будущую обработку, недействительно
• Информированным — пользователь понимает, какие данные обрабатываются, с какой целью, кем и как долго
• Свободно данным — пользователь может отказаться, не лишаясь услуги, на которую он иначе имеет право
• Выражено ясным утвердительным действием — предварительно отмеченные поля, подразумеваемое согласие и прокрутка-как-согласие все недействительны

Как выглядит соответствующая CMP

CMP, настроенная для турецкого трафика в 2026 году, должна представлять:

• Видимый баннер до срабатывания любого несущественного cookie, по умолчанию на турецком (Türkçe) для турецких пользователей
• Равную визуальную заметность для «Принять», «Отклонить» и «Настроить» — Совет специально указал на дизайны баннеров, где «Отклонить» менее заметен, чем «Принять»
• Гранулярные переключатели по каждой цели: аналитика, реклама, персонализация, трансграничная передача и любая обработка чувствительных категорий
• Постоянный, легкодоступный механизм отзыва согласия после первоначального выбора
• Aydınlatma Metni (Уведомление о конфиденциальности) на турецком языке, раскрывающее личность контролёра, цели, получателей, хранение и права
• Отдельный, чётко обозначенный поток явного согласия (açık rıza) для любой обработки чувствительных категорий, защищённый собственным действием

Записи о согласии

Контролёр должен вести записи о согласии — кто дал согласие, когда, на что, через какой интерфейс. Совет KVKK ссылался на неадекватные журналы согласия в нескольких действиях по правоприменению, и экспортируемые журналы с временными метками являются базовым ожиданием.

Трансграничные передачи по Статье 9 в редакции 2024 года

Поправки 2024 года ввели трёхуровневую структуру передачи, которая отражает подход GDPR. Понимание того, какой уровень применяется к какому потоку, — самый распространённый пробел соответствия для иностранных издателей в 2026 году.

Уровень 1 — решение об адекватности

Совет может назначить страну, международную организацию или сектор страны как обеспечивающий адекватную защиту. Передачи в адекватные пункты назначения разрешены без дополнительного механизма. По состоянию на начало 2026 года Совет постепенно выносил решения об адекватности, но ещё не назначил Соединённые Штаты в широком смысле.

Уровень 2 — соответствующие гарантии

В отсутствие адекватности передачи разрешены на основе соответствующих гарантий. Поправки прямо предусматривают стандартные договорные положения, утверждённые Советом, обязательные корпоративные правила для внутригрупповых передач и утверждённые Советом кодексы поведения или механизмы сертификации. Стандартные договорные положения Совета были опубликованы в 2024 году и являются основным рабочим механизмом для большинства издателей.

Уровень 3 — дерогации

Существуют узкие исключения для случайных передач, передач, необходимых для исполнения договора, или передач, на которые пользователь явно дал согласие. Они непригодны в качестве основного правового основания для текущих программатик-потоков.

Практический вывод для издателей

Типичный программатик-стек отправляет данные, полученные из cookie, десяткам зарубежных поставщиков за каждую ставку. Каждый из этих потоков — это трансграничная передача. Работоспособный подход 2026 года — заключить утверждённые Советом стандартные договорные положения с каждым международным обработчиком и задокументировать механизм передачи в Aydınlatma Metni и регистрации VERBIS. Издатели, которые придерживались логики до 2024 года «явное-согласие-на-каждую-передачу», одновременно перегружены риском соответствия и недоиспользуют возможность монетизации.

Права субъектов данных

Турецкие субъекты данных имеют полный набор прав, найденных в GDPR, применяемых через структуру KVKK:

• Право узнать, обрабатываются ли их данные
• Право на доступ к обрабатываемым данным
• Право на исправление неточных данных
• Право на удаление или анонимизацию, когда обработка более не оправдана
• Право быть проинформированным о третьих сторонах, которым данные были раскрыты
• Право возражать против автоматизированных решений, производящих неблагоприятные последствия
• Право на компенсацию ущерба, причинённого незаконной обработкой

Сроки ответа

Контролёры должны отвечать на запросы субъектов данных в течение 30 дней. Субъект данных может эскалировать в Совет KVKK, если ответ контролёра неадекватен, и у Совета есть 60-дневное окно для принятия решения. Операционная готовность к 30-дневному окну — с регламентами, инструментарием и шаблонами ответов на турецком языке — это распространённый пробел для иностранных издателей.

Штрафы и позиция по правоприменению в 2026 году

Совет KVKK был относительно тихим в первые несколько лет, но существенно нарастил правоприменение. Общая сумма штрафов 2025 года была самой высокой с момента вступления закона в силу, и 2026 год идёт по похожей траектории.

Административные штрафы

Административные штрафы ежегодно индексируются по инфляции. По состоянию на 2026 год потолок для наиболее серьёзных нарушений превышает 40 миллионов турецких лир за нарушение, а отдельные лимиты применяются к нарушениям, связанным с безопасностью данных, уведомлением, регистрацией VERBIS и решениями Совета. Иностранные контролёры были оштрафованы по верхней границе диапазона в нескольких действиях 2025 года.

Репутационная уязвимость

Совет публикует резюме решений по правоприменению на своём сайте. Штрафы иностранных издателей регулярно попадали в турецкую технологическую прессу, и репутационная цена публичного решения KVKK обычно выше самого штрафа.

Темы правоприменения

Действия Совета в 2025 и начале 2026 года группируются вокруг небольшого набора повторяющихся проблем: отсутствующее или двусмысленное согласие на cookie, неадекватное Aydınlatma Metni, незарегистрированные иностранные контролёры в VERBIS и незаконные трансграничные передачи с использованием структуры до 2024 года.

Чек-лист аудита для турецкого трафика в 2026 году

• Баннер CMP подаётся на турецком для турецких пользователей, с «Принять», «Отклонить» и «Настроить» на равной визуальной заметности
• Цели согласия гранулярны и отделяют любую обработку чувствительных категорий за собственным потоком явного согласия
• Журналы согласия имеют временные метки, экспортируемы и хранятся по крайней мере на время обработки плюс проверяемый запас
• Aydınlatma Metni доступно на турецком с полными раскрытиями контролёра, обработчиков, целей, хранения и прав
• Регистрация VERBIS завершена и актуальна, если контролёр превышает порог
• Трансграничные передачи опираются на стандартные договорные положения 2024 года или другой действительный механизм Статьи 9, с механизмом, задокументированным в Aydınlatma Metni
• Рабочий процесс запросов субъектов данных может отвечать в течение 30 дней от начала до конца, на турецком
• Список поставщиков был пересмотрен, с удалением неиспользуемых или избыточных поставщиков для снижения уязвимости

Перспектива 2026 года

Режим защиты данных Турции догнал европейскую структуру по форме и быстро догоняет по правоприменению. Поправки 2024 года устранили крупнейший структурный блокировщик современного международного рекламного техстека — старый режим передачи — и Совет использовал прошедшие два года, чтобы сосредоточиться на правоприменении остальной части закона. Издателям со стеком согласия уровня GDPR нужно внести относительно небольшие корректировки, чтобы быть готовыми к Турции: CMP и уведомление на турецком языке, регистрация VERBIS, если применимо, договорные положения о передаче стандарта 2024 года и внимание к более широкому списку чувствительных данных. Издатели, которые относились к Турции как к рынку с более лёгким подходом, найдут 2026 год дороже 2025 года, а 2027 год дороже 2026 года. Разрыв можно закрыть за недели, если ему отдать приоритет, — и это следует сделать.