Turška KVKK in spremembe 2024: Vodnik za založnike in oglaševalce o privolitvi za piškotke, čezmejnih prenosih in izrecni privolitvi v letu 2026
Turška Zakon o varstvu osebnih podatkov (KVKK, Zakon št. 6698) je v veljavi od leta 2016, toda večji del tega desetletja je deloval kot tihi bratranec GDPR — prepoznavno podoben po strukturi, a opazno milejši pri izvrševanju. Ta era se je končala. Spremembe KVKK iz leta 2024, objavljene v Uradnem listu 12. marca 2024, so prestrukturirale ureditev čezmejnih prenosov podatkov, da bi se uskladile s standardom ustreznosti in standardnimi pogodbenimi klavzulami GDPR, Svet KVKK (Kişisel Verileri Koruma Kurulu) pa je skozi leto 2025 in v leto 2026 bistveno okrepil izvrševanje. Za vsakega založnika, oglaševalca ali platformo, ki obdeluje podatke turških uporabnikov — bodisi s sedežem v Turčiji bodisi, da od zunaj zadovoljuje turški trg — je leto 2026 tisto, ko sodobni sklad privolitev neha biti prijetna nadgradnja in postane osnovna zahteva. Ta vodnik obravnava zakon v njegovi spremenjenem obliki, kaj dejansko zahteva privolitev za piškotke, kako zdaj delujejo čezmejni prenosi in kako izgleda izvrševanje Sveta v praksi.
Struktura KVKK po spremembah leta 2024
KVKK je primarni zakon o varstvu podatkov v Turčiji, njen spremenjen besedilo pa je zdaj referenčna točka. Založniki, ki so delali po različici pred letom 2024, gledajo na zastarelo ogrodje.
Kaj so spremenile spremembe leta 2024
Ključna sprememba je bila prepis 9. člena, ki ureja mednarodne prenose podatkov. Ureditev pred letom 2024 je bila znana po tem, da jo je bilo težko upoštevati — zahtevala je ali izrecno privolitev ali odobritev Sveta za vsak primer posebej za skoraj vsak čezmejni tok, kar ni bilo izvedljivo za noben sodoben sklad oglaševalske tehnologije. Spremenjen 9. člen uvaja tri ravni prenosnih mehanizmov: odločitev o ustreznosti Sveta, sklop ustreznih zaščitnih ukrepov vključno s standardnimi pogodbenimi klavzulami ter v ozkih primerih sklop odstopanj. To naposled usklajuje turško pravo o prenosih z vzorcem GDPR in naredi programatično oglaševanje mednarodno skladno brez vlaganja vloge pri Svetu za vsakega prodajalca.
Kaj se ni spremenilo
Temeljne opredelitve, pravne podlage, pravice posameznikov, na katere se nanašajo osebni podatki, ter standard izrecne privolitve za občutljive podatke ostajajo nespremenjeni. Turška letvica za izrecno privolitev je v praksi, če sploh, strožja od standarda GDPR, in ravno tu večina vrzeli v skladnosti založnikov še vedno ostaja.
Register VERBIS
Upravljavci podatkov nad določenimi pragi — vključno z večino tujih upravljavcev, ki v obsežnem obsegu obdelujejo turške osebne podatke — se morajo registrirati v Registru upravljavcev podatkov (VERBIS). Registracija zahteva razkritje dejavnosti obdelave, pravnih podlag in prenosnih mehanizmov. Mnogi tuji založniki so registracijo VERBIS zgodovinsko zamudili; Svet je v letih 2025 in 2026 signaliziral bolj aktivno stališče glede tega.
Kaj šteje za osebne podatke po KVKK
Opredelitev osebnih podatkov v KVKK je široka in se tesno ujema z GDPR. Osebni podatki so kakršne koli informacije v zvezi z identificirano ali določljivo fizično osebo, Svet pa je v svojih smernicah dosledno obravnaval piškotke, oglaševalske identifikatorje, naslove IP in prstne odtise naprav kot osebne podatke, kadar jih je mogoče neposredno ali z razumnimi sredstvi povezati z uporabnikom.
Občutljivi osebni podatki
Seznam občutljivih kategorij v KVKK je širši kot v GDPR: izrecno vključuje raso, etnično poreklo, politično mnenje, filozofsko prepričanje, vero, sekto, videz, članstvo v združenju ali fundaciji, zdravje, spolno življenje, obsodbo za kaznivo dejanje, varnostne ukrepe ter biometrične in genetske podatke. Obdelava katerega koli od teh zahteva izrecno privolitev — ne dvoumno ali skupinsko, temveč specifično, ozaveščeno, prostovoljno podano privolitev, vezano na konkretno občutljivo obdelavo.
Zakaj je to pomembno za piškotke
Piškotek, ki shranjuje samo ID seje, so temeljni osebni podatki. Piškotek, ki napaja ciljni segment, kot so Liberalni volivci ali Pobožna verska skupnost, so občutljivi osebni podatki po turški opredelitvi — in potrebna konfiguracija privolitve je izrecna privolitev ali nič. Založniki, ki ciljajo na ciljne segmente, ki se dotikajo občutljivega seznama KVKK, teh segmentov ne bi smeli izvajati na podlagi splošne oglaševalske privolitve.
Privolitev za piškotke po KVKK v letu 2026
Stališče Sveta glede piškotkov se je v zadnjih dveh letih zaostrilo. Trenutne smernice so nedvoumne: piškotki in tehnologije sledenja, ki obdelujejo osebne podatke, zahtevajo privolitev, razen če niso nujno potrebni za storitev, ki jo je zahteval uporabnik.
Štiri elementi veljavne izrecne privolitve
Turška izrecna privolitev mora biti:
- Vezana na konkretno zadevo — splošna krovne privolitve, ki zajema nedoločeno prihodnjo obdelavo, ni veljavna
- Ozaveščena — uporabnik razume, kateri podatki se obdelujejo, za kakšen namen, s strani koga in kako dolgo
- Prostovoljna — uporabnik lahko zavrne, ne da bi mu bila odreknjena storitev, do katere je sicer upravičen
- Izražena z jasnim pritrdilnim dejanjem — vnaprej odkljukana polja, implicitna privolitev in drsenje kot privolitev so vse neveljavne
Kako izgleda skladen CMP
CMP, ki je konfiguriran za turški promet v letu 2026, mora prikazovati:
- Vidno pasico pred vsakim aktiviranjem nebistvenih piškotkov, privzeto v turščini (Türkçe) za turške uporabnike
- Enako vizualno izrazitost za Sprejmi, Zavrni in Prilagodi — Svet je posebej opozoril na zasnove pasic, kjer je Zavrni manj vidno kot Sprejmi
- Podrobna stikala za vsak namen: analitika, oglaševanje, personalizacija, čezmejni prenos in vsaka obdelava občutljivih kategorij
- Trajen, zlahka dostopen mehanizem za umik privolitve po začetni izbiri
- Turško-jezikovno Aydınlatma Metni (obvestilo o zasebnosti), ki razkriva identiteto upravljavca, namene, prejemnike, hranjenje in pravice
- Ločen, jasno označen tok izrecne privolitve (açık rıza) za vsako obdelavo občutljivih kategorij, zavarovan za lastno dejanje
Zapisi o privolitvah
Upravljavec mora voditi evidence privolitev — kdo je privolil, kdaj, za kaj, prek katerega vmesnika. Svet KVKK je v več izvršilnih ukrepih navedel neustrezne dnevnike privolitev, izvozni dnevniki s časovnimi žigi pa so osnovno pričakovanje.
Čezmejni prenosi po spremenjenem 9. členu iz leta 2024
Spremembe iz leta 2024 so uvedle trinivojski okvir prenosov, ki odraža pristop GDPR. Razumevanje, katera raven se nanaša na kateri tok, je najpogostejša vrzel v skladnosti tujih založnikov v letu 2026.
Raven 1 — Odločitev o ustreznosti
Svet lahko določi državo, mednarodno organizacijo ali sektor države kot tisto, ki zagotavlja ustrezno zaščito. Prenosi v ustrezne namembne kraje so dovoljeni brez dodatnega mehanizma. V začetku leta 2026 je Svet postopoma izdajal odločitve o ustreznosti, a Združenih držav Amerike splošno še ni določil.
Raven 2 — Ustrezni zaščitni ukrepi
V odsotnosti ustreznosti so prenosi dovoljeni na podlagi ustreznih zaščitnih ukrepov. Spremembe izrecno predvidevajo standardne pogodbene klavzule, ki jih je odobril Svet, zavezujoča korporativna pravila za prenose znotraj skupin ter kodekse ravnanja ali mehanizme certificiranja, ki jih je odobril Svet. Standardne pogodbene klavzule Sveta so bile objavljene leta 2024 in so glavni delovni mehanizem za večino založnikov.
Raven 3 — Odstopanja
Ozke izjeme obstajajo za občasne prenose, prenose, potrebne za izpolnitev pogodbe, ali prenose, za katere je uporabnik izrecno privolil. Teh ni mogoče uporabiti kot primarno pravno podlago za tekoče programatične tokove.
Praktične posledice za založnike
Tipičen programatični sklad pošilja podatke, pridobljene iz piškotkov, desetinam tujih ponudnikov na vsako ponudbo. Vsak od teh tokov je čezmejni prenos. Izvedljiv pristop za leto 2026 je skleniti standardne pogodbene klavzule, ki jih je odobril Svet, z vsakim mednarodnim obdelovalcem in dokumentirati prenosni mehanizem v Aydınlatma Metni in v registraciji VERBIS. Založniki, ki so se držali logike izrecne-privolitve-za-vsak-prenos pred letom 2024, so hkrati pretirano izpostavljeni tveganju skladnosti in premalo izkoriščajo priložnosti za monetizacijo.
Pravice posameznikov
Turški posamezniki imajo celoten nabor pravic iz GDPR, ki se uveljavljajo prek okvira KVKK:
- Pravica vedeti, ali se njihovi podatki obdelujejo
- Pravica dostopa do obdelanih podatkov
- Pravica do popravka netočnih podatkov
- Pravica do izbrisa ali anonimizacije, kadar obdelava ni več upravičena
- Pravica biti obveščen o tretjih osebah, ki so jim bili podatki razkriti
- Pravica do ugovora zoper avtomatizirane odločitve, ki povzročajo škodljive učinke
- Pravica do odškodnine za škodo, povzročeno z nezakonito obdelavo
Roki za odgovor
Upravljavci morajo odgovoriti na zahteve posameznikov v 30 dneh. Posameznik se lahko pritoži Svetu KVKK, če je odgovor upravljavca neustrezen, Svet pa ima 60-dnevno okno za odločitev. Operativna pripravljenost za 30-dnevno okno — s priročniki, orodji in predlogami odgovorov v turščini — je pogosta vrzel pri tujih založnikih.
Kazni in stališče izvrševanja v letu 2026
Svet KVKK je bil v prvih nekoliko letih razmeroma tih, a je izvrševanje znatno okrepil. Skupni znesek glob v letu 2025 je bil najvišji od uveljavitve zakona, leto 2026 pa je na podobni poti.
Upravne globe
Upravne globe so letno indeksirane z inflacijo. Za leto 2026 zgornja meja za najresnejše kršitve presega TRY 40 milijonov na kršitev, ločene zgorne meje pa veljajo za kršitve glede varnosti podatkov, obvestil, registracije VERBIS in odločitev Sveta. Tuji upravljavci so bili v več ukrepih leta 2025 kaznovani z globami na vrhnji ravni razpona.
Reputacijska izpostavljenost
Svet na svojem spletnem mestu objavlja povzetke izvršilnih odločitev. Globe tujih založnikov so redno pristale v turškem tehnološkem tisku, reputacijski stroški javne odločitve KVKK pa so navadno višji od same globe.
Teme izvrševanja
Ukrepi Sveta iz leta 2025 in začetka leta 2026 se zbirajo okrog majhnega nabora ponavljajočih se vprašanj: manjkajoča ali dvoumna privolitev za piškotke, neustrezen Aydınlatma Metni, neregistrirani tuji upravljavci v VERBIS ter nezakoniti čezmejni prenosi z uporabo okvira pred letom 2024.
Revizijski kontrolni seznam za turški promet v letu 2026
- Pasica CMP se za turške uporabnike prikazuje v turščini, s Sprejmi, Zavrni in Prilagodi z enako vizualno izrazitostjo
- Nameni privolitve so podrobni in ločijo kakršno koli obdelavo občutljivih kategorij za lastnim tokom izrecne privolitve
- Dnevniki privolitev imajo časovne žige, so izvozni in hranjeni vsaj za čas obdelave plus preverljiva meja
- Aydınlatma Metni je na voljo v turščini s popolnim razkritjem upravljavca, obdelovalcev, namenov, hranjenja in pravic
- Registracija VERBIS je popolna in posodobljena, če upravljavec preseže prag
- Čezmejni prenosi temeljijo na standardnih pogodbenih klavzulah iz leta 2024 ali drugem veljavnem mehanizmu po 9. členu, z mehanizmom, dokumentiranim v Aydınlatma Metni
- Delovni tok zahtev posameznikov se je sposoben odzvati v 30 dneh od konca do konca, v turščini
- Seznam ponudnikov je bil pregledan, neuporabljeni ali odvečni ponudniki pa so bili odstranjeni za zmanjšanje izpostavljenosti
Obeti za leto 2026
Turški režim varstva podatkov je po obliki dohitel evropski okvir in ga po izvrševanju hitro dohiteva. Spremembe leta 2024 so odpravile največjo strukturno oviro za sodobno mednarodno oglaševalsko tehnologijo — staro ureditev prenosov — Svet pa je od takrat dve leti namenjal izvrševanju preostanka zakona. Založniki s skladom privolitev na ravni GDPR morajo narediti razmeroma majhne prilagoditve, da bodo pripravljeni na Turčijo: CMP in obvestilo v turščini, registracija VERBIS, če je primerno, standardne prenosne klavzule iz leta 2024 ter pozornost pri širšem seznamu občutljivih podatkov. Založniki, ki so Turčijo obravnavali kot lažji trg, bodo ugotovili, da je leto 2026 dražje od leta 2025, leto 2027 pa dražje od leta 2026. Vrzel je mogoče zapolniti v tednih, če bo to postavljeno na prednostni seznam — in bi moralo biti.