KVKK Turske i Izmene 2024: Vodič za Izdavače i Oglašivače o Pristanku za Kolačiće, Prekograničnim Prenosima i Eksplicitnom Pristanku u 2026.
Turski Zakon o zaštiti ličnih podataka (KVKK, Zakon br. 6698) je na snazi od 2016. godine, ali je tokom većeg dela te decenije funkcionisao kao tiši rođak GDPR-a — prepoznatljivo sličan po strukturi, ali primetno blaži u izvršavanju. Ta era je završena. Izmene KVKK iz 2024., objavljene u Službenom listu 12. marta 2024., restrukturirale su režim prekograničnog prenosa podataka kako bi se uskladio sa GDPR-ovim pristupom adekvatnosti i standardnim ugovornim klauzulama, a KVKK odbor (Kişisel Verileri Koruma Kurulu) je smisleno pojačao izvršavanje tokom 2025. i u 2026. godinu. Za svakog izdavača, oglašivača ili platformu koja obrađuje podatke turskih korisnika — bilo sa sedištem u Turskoj ili opslužujući tursko tržište iz inostranstva — 2026. je godina kada moderan stek pristanka prestaje da bude nešto poželjno i postaje osnovna obaveza. Ovaj vodič prolazi kroz zakon u izmenjenom obliku, šta pristanak za kolačiće zapravo zahteva, kako sada funkcionišu prekogranični prenosi i kako izgledaju mere prinude odbora u praksi.
Struktura KVKK-a nakon Izmena 2024.
KVKK je primarni zakon o zaštiti podataka u Turskoj, a izmenjen tekst je sada referentna tačka. Izdavači koji su radili sa verzijom pre 2024. gledaju u zastareli okvir.
Šta su Izmene 2024. Promenile
Ključna promena bila je prepravka Člana 9, koji reguliše međunarodne prenose podataka. Režim pre 2024. bio je notorno težak za ispunjavanje — zahtevao je ili eksplicitni pristanak ili odobrenje odbora od slučaja do slučaja za gotovo svaki prekogranični tok, što je bilo neizvodljivo za bilo koji moderan stek ad tech tehnologije. Izmenjeni Član 9 uvodi tri nivoa mehanizma prenosa: odluku o adekvatnosti odbora, skup odgovarajućih zaštitnih mera uključujući standardne ugovorne klauzule, i u uskim slučajevima, skup derogacija. Ovo konačno usklađuje tursko pravo prenosa sa GDPR obrascem i čini programatičko oglašavanje međunarodno usklađenim bez podnošenja zahteva odboru za svakog prodavca.
Šta se Nije Promenilo
Osnovne definicije, pravni osnovi, prava subjekata podataka i standard eksplicitnog pristanka za osetljive podatke ostaju kakvi su bili. Turski prag eksplicitnog pristanka je, ako išta, stroži u praksi od GDPR standarda, i tu se i dalje nalazi većina nedostataka u usklađenosti izdavača.
VERBIS Registar
Kontrolori podataka iznad određenih pragova — uključujući većinu stranih kontrolora koji obrađuju turske lične podatke u velikom obimu — moraju se registrovati u Registru kontrolora podataka (VERBIS). Registracija zahteva otkrivanje aktivnosti obrade, pravnih osnova i mehanizama prenosa. Mnogi strani izdavači istorijski su preskakali VERBIS registraciju; odbor je signalizovao aktivniji stav po ovom pitanju tokom 2025. i 2026.
Šta se Smatra Ličnim Podacima pod KVKK-om
KVKK definicija ličnih podataka je široka i usko se poklapa sa GDPR-om. Lični podaci su svaka informacija koja se odnosi na identifikovano ili identifikabilno fizičko lice, a smernice odbora su dosljedno tretirale kolačiće, identifikatore oglašavanja, IP adrese i otiske uređaja kao lične podatke kada mogu biti povezani sa korisnikom direktno ili razumnim sredstvima.
Osetljivi Lični Podaci
KVKK lista osetljivih kategorija je šira od GDPR-ove: eksplicitno uključuje rasu, etničko poreklo, političko mišljenje, filozofsko uverenje, veru, sektu, izgled, članstvo u udruženjima ili fondacijama, zdravlje, seksualni život, krivičnu osudu, bezbednosne mere i biometrijske i genetske podatke. Obrada bilo kojih od ovih zahteva eksplicitni pristanak — ne onu nejasnu ili objedinjenu vrstu, već specifičan, informisan, slobodno dat pristanak vezan za specifičnu osetljivu obradu.
Zašto je Ovo Važno za Kolačiće
Kolačić koji čuva samo ID sesije su osnovni lični podaci. Kolačić koji hrani segment publike poput Liberalnih Birača ili Pobožne Verske Zajednice su osetljivi lični podaci prema turskoj definiciji — i potrebna konfiguracija pristanka je eksplicitni-pristanak-ili-ništa. Izdavači koji ciljaju segmente publike koji se tiču KVKK-ove liste osetljivih ne bi trebali da pokreću te segmente pod opštim pristankom za oglašavanje.
Pristanak za Kolačiće pod KVKK-om u 2026.
Stav odbora prema kolačićima se pooštrrio tokom protekle dve godine. Trenutne smernice su nedvosmislene: kolačići i tehnologije praćenja koje obrađuju lične podatke zahtevaju pristanak osim ako nisu strogo neophodne za uslugu koju je korisnik zatražio.
Četiri Elementa Važećeg Eksplicitnog Pristanka
Turski eksplicitni pristanak mora biti:
- Vezan za specifičnu temu — opšti sveobuhvatni pristanak koji pokriva neodređenu buduću obradu nije važeći
- Informisan — korisnik razume koji podaci se obrađuju, za koju svrhu, od koga i koliko dugo
- Slobodno dat — korisnik može odbiti bez uskraćivanja usluge na koju inače ima pravo
- Izražen jasnom afirmativnom radnjom — unapred označena polja, implicitni pristanak i pomicanje kao pristanak su svi nevažeći
Kako Izgleda Usklađeni CMP
CMP konfigurisan za turski saobraćaj u 2026. treba da prikaže:
- Vidljivi baner pre nego što se aktivira bilo koji neesencijalni kolačić, podrazumevano na turskom (Türkçe) za turske korisnike
- Jednaku vizuelnu istaknutost za Prihvati, Odbij i Prilagodi — odbor je posebno kritikovao dizajne banera gde Odbij je manje vidljiv od Prihvati
- Granularne prebacivače po svrsi: analitika, oglašavanje, personalizacija, prekogranični prenos i svaka obrada osetljive kategorije
- Trajni, lako dostupan mehanizam za povlačenje pristanka nakon početnog izbora
- Aydınlatma Metni (Obaveštenje o privatnosti) na turskom jeziku koji otkriva identitet kontrolora, svrhe, primaoce, zadržavanje i prava
- Poseban, jasno označen eksplicitni tok pristanka (açık rıza) za svaku obradu osetljive kategorije, ograđen sopstvenom radnjom
Zapisi o Pristanku
Kontrolor mora voditi evidenciju o pristanku — ko je pristao, kada, na šta, kroz koji interfejs. KVKK odbor je naveo neadekvatne dnevnike pristanka u nekoliko izvršnih akcija, a izvozivi dnevnici sa vremenskim pečatom su osnovno očekivanje.
Prekogranični Prenosi pod Izmenjenim Članom 9 iz 2024.
Izmene iz 2024. uvele su trostepeni okvir prenosa koji odražava GDPR pristup. Razumevanje koji nivo se primenjuje na koji tok je najčešći nedostatak usklađenosti za strane izdavače u 2026.
Nivo 1 — Odluka o Adekvatnosti
Odbor može da označi zemlju, međunarodnu organizaciju ili sektor zemlje kao pružaoce adekvatne zaštite. Prenosi na adekvatne odredišta su dozvoljeni bez dodatnog mehanizma. Od početka 2026., odbor je postepeno donosio odluke o adekvatnosti, ali još uvek nije široko označio Sjedinjene Države.
Nivo 2 — Odgovarajuće Zaštitne Mere
U odsustvu adekvatnosti, prenosi su dozvoljeni na osnovu odgovarajućih zaštitnih mera. Izmene posebno predviđaju standardne ugovorne klauzule odobrene od strane odbora, obavezujuća korporativna pravila za prenose unutar grupe i kodekse ponašanja ili mehanizme sertifikacije odobrene od strane odbora. Standardne ugovorne klauzule odbora objavljene su 2024. i glavni su radni mehanizam za većinu izdavača.
Nivo 3 — Derogacije
Uski izuzeci postoje za povremene prenose, prenose potrebne za izvršenje ugovora ili prenose na koje je korisnik eksplicitno pristao. Ovi se ne mogu koristiti kao primarni pravni osnov za tekuće programatičke tokove.
Praktična Implikacija za Izdavače
Tipičan programatičan stek šalje podatke dobijene iz kolačića desetinama inostranih prodavaca po licitaciji. Svaki od tih tokova je prekogranični prenos. Primenljivi pristup za 2026. je da se izvrše standardne ugovorne klauzule odobrene od strane odbora sa svakim međunarodnim procesorom i da se mehanizam prenosa dokumentuje u Aydınlatma Metni i VERBIS registraciji. Izdavači koji su ostali pri logici eksplicitnog-pristanka-po-prenosu iz pre-2024 su istovremeno prekomerno izloženi riziku usklađenosti i nedovoljno iskorišćeni u mogućnosti monetizacije.
Prava Subjekata Podataka
Turski subjekti podataka imaju pun skup prava pronađenih u GDPR-u, primenjenih kroz KVKK okvir:
- Pravo da saznaju da li se njihovi podaci obrađuju
- Pravo pristupa obrađenim podacima
- Pravo na ispravku netačnih podataka
- Pravo na brisanje ili anonimizaciju kada obrada više nije opravdana
- Pravo da budu obavešteni o trećim stranama kojima su podaci otkriveni
- Pravo na prigovor na automatizovane odluke koje proizvode štetne efekte
- Pravo na naknadu štete prouzrokovane nezakonitom obradom
Rokovi Odgovora
Kontrolori moraju odgovoriti na zahteve subjekata podataka u roku od 30 dana. Subjekt podataka može eskalirati ka KVKK odboru ako je odgovor kontrolora neadekvatan, a odbor ima prozor od 60 dana za donošenje odluke. Operativna spremnost za prozor od 30 dana — sa priručnicima, alatima i šablonima odgovora na turskom jeziku — čest je nedostatak kod stranih izdavača.
Kazne i Stav Prema Izvršavanju u 2026.
KVKK odbor je bio relativno tih tokom prvih nekoliko godina, ali je smisleno pojačao izvršavanje. Ukupan iznos kazni za 2025. bio je najviši od stupanja zakona na snagu, a 2026. prati sličnu putanju.
Administrativne Kazne
Administrativne kazne se godišnje indeksiraju prema inflaciji. Od 2026. gornja granica za najozbiljnije prekršaje prelazi 40 miliona TRY po prekršaju, a posebni limiti se primenjuju na propuste oko bezbednosti podataka, obaveštavanja, VERBIS registracije i odluka odbora. Strani kontrolori su kažnjeni na vrhu raspona u nekoliko akcija iz 2025.
Reputaciona Izloženost
Odbor objavljuje sažetke izvršnih odluka na svojoj veb stranici. Kazne stranim izdavačima redovno su se našle u turskoj tehnološkoj štampi, a reputacioni trošak javne KVKK odluke obično je viši od same kazne.
Teme Izvršavanja
Akcije odbora iz 2025. i ranog 2026. grupisane su oko malog skupa ponavljajućih problema: nedostajući ili nejasni pristanak za kolačiće, neadekvatni Aydınlatma Metni, neregistrovani strani kontrolori u VERBIS-u i nezakoniti prekogranični prenosi koji koriste okvir pre 2024.
Kontrolna Lista Revizije za Turski Saobraćaj u 2026.
- CMP baner se prikazuje na turskom za turske korisnike, sa Prihvati, Odbij i Prilagodi u jednakoj vizuelnoj istaknutosti
- Svrhe pristanka su granularne i odvajaju svaku obradu osetljive kategorije iza sopstvenog eksplicitnog toka pristanka
- Zapisi o pristanku imaju vremenski pečat, mogu se izvoziti i čuvaju se najmanje tokom trajanja obrade plus margin za reviziju
- Aydınlatma Metni je dostupan na turskom sa punim otkrivanjima kontrolora, procesora, svrha, zadržavanja i prava
- VERBIS registracija je kompletna i ažurna ako kontrolor prelazi prag
- Prekogranični prenosi se oslanjaju na standardne ugovorne klauzule iz 2024. ili drugi važeći mehanizam Člana 9, sa dokumentovanim mehanizmom u Aydınlatma Metni
- Tok za obradu zahteva subjekata podataka može da odgovori u roku od 30 dana od početka do kraja, na turskom jeziku
- Lista prodavaca je pregledana, a nekorišćeni ili redundantni prodavci su uklonjeni radi smanjenja izloženosti
Perspektiva za 2026.
Turski režim zaštite podataka sustigao je evropski okvir po formi i brzo ga sustiže po izvršavanju. Izmene iz 2024. uklonile su najveću strukturnu prepreku za modernu međunarodnu ad tech tehnologiju — stari režim prenosa — a odbor je iskoristio dve godine od tada da se fokusira na izvršavanje ostatka zakona. Izdavači sa GDPR-grade stecom pristanka trebaju da naprave relativno male prilagodbe da budu spremni za Tursku: CMP i obaveštenje na turskom jeziku, VERBIS registracija ako je primenljivo, klauzule prenosa standarda 2024. i pažnja sa širim spiskom osetljivih podataka. Izdavači koji su Tursku tretirali kao tržište sa lakšim dodirom naći će 2026. skupljom od 2025., a 2027. skupljom od 2026. Jaz se može zatvoriti za nekoliko nedelja ako se prioritizuje — a trebalo bi da bude.