Turecká KVKK a zmeny z roku 2024: Príručka pre vydavateľov a inzerentov o súhlase s cookies, cezhraničných prenosoch a výslovnom súhlase v roku 2026
Turecký zákon o ochrane osobných údajov (KVKK, zákon č. 6698) je v platnosti od roku 2016, ale väčšinu tohto desaťročia fungoval ako tichší bratranec GDPR — rozoznateľne podobný v štruktúre, ale pozoruhodne miernejší v presadzovaní. Táto éra sa skončila. Zmeny KVKK z roku 2024, uverejnené v Úradnom vestníku 12. marca 2024, reštrukturalizovali režim cezhraničných prenosov údajov tak, aby zodpovedal štandardu primeranosti GDPR a štandardným zmluvným doložkám, a Rada KVKK (Kişisel Verileri Koruma Kurulu) výrazne zintenzívnila presadzovanie počas roku 2025 a do roku 2026. Pre každého vydavateľa, inzerenta alebo platformu, ktorá spracúva údaje tureckých používateľov — či už so sídlom v Turecku alebo obsluhuje turecký trh zo zahraničia — je rok 2026 rokom, keď moderný súhlasový zásobník prestáva byť niečím príjemným a stáva sa základnou požiadavkou. Táto príručka prechádza zákonom v jeho zmenenom znení, čo skutočne vyžaduje súhlas s cookies, ako teraz fungujú cezhraničné prenosy a ako vyzerá presadzovanie Radou v praxi.
Štruktúra KVKK po zmenách z roku 2024
KVKK je primárnym zákonom o ochrane údajov v Turecku a jej zmenený text je teraz referenčným bodom. Vydavatelia, ktorí pracovali s verziou pred rokom 2024, sa pozerajú na zastaraný rámec.
Čo zmeny z roku 2024 zmenili
Kľúčovou zmenou bolo prepísanie článku 9, ktorý upravuje medzinárodné prenosy údajov. Režim pred rokom 2024 bol notoricky ťažko splniteľný — vyžadoval buď výslovný súhlas alebo autorizáciu Rady prípad od prípadu pre takmer každý cezhraničný tok, čo bolo neuskutočniteľné pre akýkoľvek moderný zásobník reklamných technológií. Zmenený článok 9 zavádza tri úrovne prenosových mechanizmov: rozhodnutie o primeranosti Rady, súbor primeraných záruk vrátane štandardných zmluvných doložiek a v úzkych prípadoch súbor výnimiek. To napokon zosúlaďuje turecké prenosové právo so vzorom GDPR a robí programatickú reklamu medzinárodne súladnou bez podávania žiadostí Rade za každého dodávateľa.
Čo sa nezmenilo
Základné definície, právne základy, práva dotknutých osôb a štandard výslovného súhlasu pre citlivé údaje zostávajú tak, ako boli. Turecká latka výslovného súhlasu je v praxi, ak vôbec, prísnejšia ako štandard GDPR a práve tu väčšina medzier v súlade vydavateľov stále spočíva.
Register VERBIS
Prevádzkovatelia údajov nad určitými prahovými hodnotami — vrátane väčšiny zahraničných prevádzkovateľov spracúvajúcich turecké osobné údaje vo veľkom meradle — sa musia registrovať v Registri prevádzkovateľov údajov (VERBIS). Registrácia vyžaduje zverejnenie spracovateľských aktivít, právnych základov a prenosových mechanizmov. Mnohí zahraniční vydavatelia historicky vynechávali registráciu v VERBIS; Rada signalizovala aktívnejší postoj k tejto otázke počas rokov 2025 a 2026.
Čo sa považuje za osobné údaje podľa KVKK
Definícia osobných údajov v KVKK je široká a úzko zodpovedá GDPR. Osobné údaje sú akékoľvek informácie týkajúce sa identifikovanej alebo identifikovateľnej fyzickej osoby a usmernenie Rady dôsledne považuje cookies, reklamné identifikátory, IP adresy a odtlačky zariadení za osobné údaje, keď ich možno prepojiť s používateľom priamo alebo prostredníctvom primeraných prostriedkov.
Citlivé osobné údaje
Zoznam citlivých kategórií v KVKK je širší ako v GDPR: výslovne zahŕňa rasu, etnický pôvod, politický názor, filozofické presvedčenie, náboženstvo, sektu, výzor, členstvo v združení alebo nadácii, zdravie, sexuálny život, odsúdenie za trestný čin, bezpečnostné opatrenia a biometrické a genetické údaje. Spracúvanie ktoréhokoľvek z nich vyžaduje výslovný súhlas — nie nejednoznačný alebo súhrnný, ale konkrétny, informovaný, slobodne udelený súhlas viazaný na konkrétne citlivé spracúvanie.
Prečo je to dôležité pre cookies
Cookie, ktorý ukladá iba identifikátor relácie, sú základné osobné údaje. Cookie, ktorý napĺňa segment publika, ako sú Liberálni voliči alebo Nábožná náboženská komunita, sú citlivé osobné údaje podľa tureckej definície — a požadovaná konfigurácia súhlasu je výslovný súhlas alebo nič. Vydavatelia, ktorí cielí na segmenty publika dotýkajúce sa citlivého zoznamu KVKK, by nemali tieto segmenty prevádzkovať na základe všeobecného reklamného súhlasu.
Súhlas s cookies podľa KVKK v roku 2026
Postoj Rady k cookies sa za posledné dva roky sprísnił. Súčasné usmernenie je jednoznačné: cookies a technológie sledovania, ktoré spracúvajú osobné údaje, vyžadujú súhlas, pokiaľ nie sú nevyhnutne potrebné pre službu, ktorú používateľ požadoval.
Štyri prvky platného výslovného súhlasu
Turecký výslovný súhlas musí byť:
- Viazaný na konkrétny predmet — všeobecný súhlas pod záštitou pokrývajúci nešpecifikované budúce spracúvanie nie je platný
- Informovaný — používateľ rozumie tomu, aké údaje sa spracúvajú, na aký účel, kým a ako dlho
- Slobodne udelený — používateľ môže odmietnuť bez toho, aby mu bola odopretá služba, na ktorú má inak nárok
- Vyjadrený jasným potvrdzujúcim úkonom — vopred začiarknuté políčka, implicitný súhlas a posúvanie ako súhlas sú všetky neplatné
Ako vyzerá súladný CMP
CMP nakonfigurovaný pre turecký prenos v roku 2026 by mal prezentovať:
- Viditeľný banner pred aktiváciou akéhokoľvek nepodstatného cookie, štandardne v turečtine (Türkçe) pre tureckých používateľov
- Rovnakú vizuálnu výraznosť pre Prijať, Odmietnuť a Prispôsobiť — Rada výslovne poukázala na návrhy bannerov, kde je Odmietnuť menej viditeľné ako Prijať
- Podrobné prepínače pre každý účel: analytika, reklama, personalizácia, cezhraničný prenos a akékoľvek spracúvanie citlivých kategórií
- Trvalý, ľahko dostupný mechanizmus na odvolanie súhlasu po počiatočnej voľbe
- Turecky jazykový Aydınlatma Metni (oznámenie o ochrane súkromia) odhaľujúci totožnosť prevádzkovateľa, účely, príjemcov, dobu uchovávania a práva
- Samostatný, jasne označený tok výslovného súhlasu (açık rıza) pre akékoľvek spracúvanie citlivých kategórií, chránený vlastnou akciou
Záznamy o súhlase
Prevádzkovateľ musí viesť záznamy o súhlase — kto súhlasil, kedy, s čím, prostredníctvom akého rozhrania. Rada KVKK citovala nedostatočné protokoly súhlasu vo viacerých presadzovacích opatreniach a exportovateľné protokoly s časovou pečiatkou sú základným očakávaním.
Cezhraničné prenosy podľa zmeneného článku 9 z roku 2024
Zmeny z roku 2024 zaviedli trojúrovňový rámec prenosov, ktorý odzrkadľuje prístup GDPR. Pochopenie toho, ktorá úroveň sa vzťahuje na ktorý tok, je najčastejšou medzerou v súlade zahraničných vydavateľov v roku 2026.
Úroveň 1 — Rozhodnutie o primeranosti
Rada môže určiť krajinu, medzinárodnú organizáciu alebo sektor krajiny ako poskytujúce primeranú ochranu. Prenosy do primeraných destinácií sú povolené bez ďalšieho mechanizmu. Na začiatku roku 2026 Rada postupne vydávala rozhodnutia o primeranosti, ale ešte neurčila Spojené štáty v širšom zmysle.
Úroveň 2 — Primerané záruky
Pri absencii primeranosti sú prenosy povolené na základe primeraných záruk. Zmeny výslovne predpokladajú štandardné zmluvné doložky schválené Radou, záväzné vnútropodnikové pravidlá pre prenosy v rámci skupiny a kódexy správania alebo certifikačné mechanizmy schválené Radou. Štandardné zmluvné doložky Rady boli uverejnené v roku 2024 a sú hlavným pracovným mechanizmom pre väčšinu vydavateľov.
Úroveň 3 — Výnimky
Úzke výnimky existujú pre príležitostné prenosy, prenosy vyžadované na plnenie zmluvy alebo prenosy, s ktorými používateľ výslovne súhlasil. Tieto nie je možné použiť ako primárny právny základ pre prebiehajúce programatické toky.
Praktické dôsledky pre vydavateľov
Typický programatický zásobník odosiela údaje odvodené z cookies desiatkami zahraničných dodávateľov za každú ponuku. Každý z týchto tokov je cezhraničným prevodom. Uskutočniteľný prístup v roku 2026 je uzavrieť štandardné zmluvné doložky schválené Radou s každým medzinárodným spracovateľom a zdokumentovať prenosový mechanizmus v Aydınlatma Metni a v registrácii VERBIS. Vydavatelia, ktorí sa držali logiky výslovného-súhlasu-za-každý-prenos pred rokom 2024, sú súčasne prílišne vystavení riziku súladu a nevyužívajú príležitosti na monetizáciu.
Práva dotknutých osôb
Turecké dotknuté osoby majú úplný súbor práv nachádzajúcich sa v GDPR, aplikovaný prostredníctvom rámca KVKK:
- Právo zistiť, či sa ich údaje spracúvajú
- Právo na prístup k spracúvaným údajom
- Právo na opravu nepresných údajov
- Právo na vymazanie alebo anonymizáciu, keď spracúvanie už nie je odôvodnené
- Právo byť informovaný o tretích stranách, ktorým boli údaje sprístupnené
- Právo namietať voči automatizovaným rozhodnutiam s nepriaznivými účinkami
- Právo na náhradu škody spôsobenej nezákonným spracúvaním
Lehoty na odpoveď
Prevádzkovatelia musia odpovedať na žiadosti dotknutých osôb do 30 dní. Dotknutá osoba môže eskalovať na Radu KVKK, ak je odpoveď prevádzkovateľa nedostatočná, a Rada má 60-dňové okno na rozhodnutie. Operačná pripravenosť na 30-dňové okno — s pracovnými postupmi, nástrojmi a šablónami odpovedí v turečtine — je bežnou medzerou pre zahraničných vydavateľov.
Sankcie a presadzovací postoj v roku 2026
Rada KVKK bola v prvých rokoch relatívne tichá, ale výrazne zvýšila presadzovanie. Celkový objem pokút v roku 2025 bol najvyšší od nadobudnutia účinnosti zákona a rok 2026 je na podobnej trajektórii.
Správne pokuty
Správne pokuty sú každoročne indexované k inflácii. K roku 2026 strop pre najzávažnejšie porušenia presahuje TRY 40 miliónov za porušenie, pričom samostatné stropy sa vzťahujú na zlyhania v oblasti bezpečnosti údajov, notifikácie, registrácie VERBIS a rozhodnutí Rady. Zahraniční prevádzkovatelia boli pokutovaní na hornom okraji rozsahu vo viacerých opatreniach v roku 2025.
Reputačné riziko
Rada uverejňuje súhrny presadzovacích rozhodnutí na svojej webovej stránke. Pokuty uložené zahraničným vydavateľom sa pravidelne objavujú v tureckom technologickom tisku a reputačné náklady verejného rozhodnutia KVKK sú zvyčajne vyššie ako samotná pokuta.
Témy presadzovania
Opatrenia Rady z roku 2025 a začiatku roku 2026 sa sústreďujú okolo malého súboru opakujúcich sa problémov: chýbajúci alebo nejednoznačný súhlas s cookies, nedostatočný Aydınlatma Metni, nezaregistrovaní zahraniční prevádzkovatelia v VERBIS a nezákonné cezhraničné prenosy s použitím rámca pred rokom 2024.
Kontrolný zoznam auditu pre turecký prenos v roku 2026
- Banner CMP sa zobrazuje v turečtine pre tureckých používateľov, pričom Prijať, Odmietnuť a Prispôsobiť majú rovnakú vizuálnu výraznosť
- Účely súhlasu sú podrobné a oddeľujú akékoľvek spracúvanie citlivých kategórií za vlastný tok výslovného súhlasu
- Protokoly súhlasu sú opatrené časovou pečiatkou, exportovateľné a uchovávané minimálne po dobu spracúvania plus auditovateľná hranica
- Aydınlatma Metni je k dispozícii v turečtine s úplným zverejnením prevádzkovateľa, spracovateľov, účelov, doby uchovávania a práv
- Registrácia v VERBIS je úplná a aktuálna, ak prevádzkovateľ prekročí prah
- Cezhraničné prenosy sa opierajú o štandardné zmluvné doložky z roku 2024 alebo iný platný mechanizmus podľa článku 9, pričom mechanizmus je zdokumentovaný v Aydınlatma Metni
- Pracovný tok žiadostí dotknutých osôb je schopný odpovedať do 30 dní od začiatku do konca, v turečtine
- Zoznam dodávateľov bol preskúmaný, pričom nepoužívaní alebo nadbytočné dodávatelia boli odstránení, aby sa znížila expozícia
Výhľad na rok 2026
Turecký režim ochrany údajov dohnal európsky rámec z hľadiska formy a rýchlo ho dobieha z hľadiska presadzovania. Zmeny z roku 2024 odstránili najväčší štrukturálny blokovač modernej medzinárodnej reklamnej technológie — starý prenosový režim — a Rada využila uplynulé dva roky na sústredenie na presadzovanie zvyšku zákona. Vydavatelia s konsenzuálnym zásobníkom na úrovni GDPR musia urobiť relatívne malé úpravy, aby boli pripravení na Turecko: CMP a oznámenie v turečtine, registrácia VERBIS ak je to uplatniteľné, štandardné prenosové doložky z roku 2024 a starostlivosť so širším zoznamom citlivých údajov. Vydavatelia, ktorí zaobchádzali s Tureckom ako s ľahším trhom, zistia, že rok 2026 je drahší ako 2025 a rok 2027 drahší ako 2026. Medzera sa dá uzavrieť v priebehu týždňov, ak bude prioritizovaná — a mala by byť.