Turkiets KVKK och 2024 års ändringar: Utgivarens och annonsörens guide till cookie-samtycke, gränsöverskridande överföringar och uttryckligt samtycke 2026
Turkiets lag om skydd av personuppgifter (KVKK, lag nr 6698) har gällt sedan 2016, men under större delen av det decenniet fungerade den som en lugnare kusin till GDPR — igenkännbart lik i struktur men märkbart mildare i tillämpning. Den eran är över. 2024 års KVKK-ändringar, publicerade i officiella tidningen den 12 mars 2024, omstrukturerade regimen för gränsöverskridande dataöverföringar för att anpassas till GDPR-stilens adekvans och standardavtalsklausuler, och KVKK-styrelsen (Kişisel Verileri Koruma Kurulu) har märkbart eskalerat tillämpningen under 2025 och in i 2026. För varje utgivare, annonsör eller plattform som behandlar data om turkiska användare — oavsett om de är baserade i Turkiet eller betjänar den turkiska marknaden från utlandet — är 2026 det år då en modern samtyckesstack slutar vara något önskvärt och blir grundkravet. Den här guiden går igenom lagen i sin ändrade form, vad cookie-samtycke faktiskt kräver, hur gränsöverskridande överföringar nu fungerar och hur styrelsens tillämpning ser ut i praktiken.
KVKK:s struktur efter 2024 års ändringar
KVKK är den primära dataskyddslagstiftningen i Turkiet, och den ändrade texten är nu referenspunkten. Utgivare som har arbetat med versionen från före 2024 tittar på ett föråldrat ramverk.
Vad 2024 års ändringar förändrade
Den stora förändringen var en omskrivning av artikel 9, som reglerar internationella dataöverföringar. Regimen före 2024 var ökänt svår att uppfylla — den krävde antingen uttryckligt samtycke eller ett fall-för-fall-godkännande från styrelsen för nästan varje gränsöverskridande flöde, vilket var ohanterbart för någon modern ad tech-stack. Den ändrade artikel 9 introducerar tre nivåer av överföringsmekanism: ett adekvansbeslut från styrelsen, en uppsättning lämpliga skyddsåtgärder inklusive standardavtalsklausuler, och i smala fall en uppsättning undantag. Detta anpassar äntligen turkisk överföringslagstiftning till GDPR-mönstret och gör programmatisk annonsering internationellt kompatibel utan en ansökan till styrelsen per leverantör.
Vad som inte förändrades
Grunddefinitionerna, rättsliga grunder, registrerades rättigheter och standarden för uttryckligt samtycke för känsliga uppgifter förblir som de var. Det turkiska kravet på uttryckligt samtycke är, om något, strängare i praktiken än GDPR:s standard, och det är här de flesta efterlevnadsluckor hos utgivare fortfarande finns.
VERBIS-registret
Personuppgiftsansvariga över vissa trösklar — inklusive de flesta utländska personuppgiftsansvariga som behandlar turkiska personuppgifter i stor skala — måste registrera sig i registret över personuppgiftsansvariga (VERBIS). Registrering kräver att behandlingsaktiviteter, rättsliga grunder och överföringsmekanismer lämnas ut. Många utländska utgivare har historiskt sett hoppat över VERBIS-registrering; styrelsen har signalerat en mer aktiv hållning i detta avseende under 2025 och 2026.
Vad som räknas som personuppgifter enligt KVKK
KVKK:s definition av personuppgifter är bred och stämmer nära överens med GDPR:s. Personuppgifter är all information som rör en identifierad eller identifierbar fysisk person, och styrelsens vägledning har konsekvent behandlat cookies, annonseringsidentifierare, IP-adresser och enhetsfingeravtryck som personuppgifter när de kan kopplas till en användare direkt eller genom rimliga medel.
Känsliga personuppgifter
KVKK:s lista över känsliga kategorier är bredare än GDPR:s: den inkluderar uttryckligen ras, etniskt ursprung, politisk åsikt, filosofisk övertygelse, religion, sekt, utseende, förenings- eller stiftelsemedlemskap, hälsa, sexualliv, brottmålsdom, säkerhetsåtgärder och biometriska och genetiska uppgifter. Behandling av någon av dessa kräver uttryckligt samtycke — inte den otydliga eller sammanbuntade typen, utan ett specifikt, informerat, frivilligt lämnat samtycke kopplat till den specifika känsliga behandlingen.
Varför detta spelar roll för cookies
En cookie som bara lagrar ett sessions-ID är grundläggande personuppgifter. En cookie som matar ett målgruppssegment som Liberala Väljare eller Hängiven Religiös Gemenskap är känsliga personuppgifter enligt den turkiska definitionen — och den samtyckeskonfiguration som krävs är uttryckligt-samtycke-eller-ingenting. Utgivare som riktar sig mot målgruppssegment som berör KVKK:s känsliga lista bör inte köra dessa segment under allmänt annonseringssamtycke.
Cookie-samtycke under KVKK 2026
Styrelsens ståndpunkt om cookies har skärpts under de senaste två åren. Nuvarande vägledning är otvetydig: cookies och spårningsteknologier som behandlar personuppgifter kräver samtycke om de inte är strikt nödvändiga för en tjänst som användaren har begärt.
De fyra elementen i giltigt uttryckligt samtycke
Turkiskt uttryckligt samtycke måste vara:
- Relaterat till ett specifikt ämne — allmänt paraplysamtycke som täcker ospecificerad framtida behandling är inte giltigt
- Informerat — användaren förstår vilka uppgifter som behandlas, för vilket syfte, av vem och hur länge
- Frivilligt lämnat — användaren kan neka utan att nekas en tjänst de annars har rätt till
- Uttryckt genom en tydlig bekräftande handling — förkryssade rutor, underförstått samtycke och bläddra-som-samtycke är alla ogiltiga
Hur en kompatibel CMP ser ut
En CMP konfigurerad för turkisk trafik 2026 bör presentera:
- En synlig banderoll innan några icke-nödvändiga cookies aktiveras, med turkiska (Türkçe) som standard för turkiska användare
- Lika visuell framträdande för Acceptera, Avböj och Anpassa — styrelsen har specifikt kritiserat banderolldesigner där Avböj är mindre synlig än Acceptera
- Granulära växlar per syfte: analys, annonsering, personalisering, gränsöverskridande överföring och eventuell behandling av känslig kategori
- En beständig, lättillgänglig mekanism för att dra tillbaka samtycke efter det initiala valet
- En Aydınlatma Metni (sekretesspolicy) på turkiska som avslöjar personuppgiftsansvarigs identitet, syften, mottagare, lagring och rättigheter
- Ett separat, tydligt märkt uttryckligt samtyckeflöde (açık rıza) för all behandling av känslig kategori, låst bakom en egen åtgärd
Samtyckesloggar
Den personuppgiftsansvarige måste upprätthålla register över samtycke — vem som samtyckte, när, till vad, via vilket gränssnitt. KVKK-styrelsen har citerat otillräckliga samtyckesloggar i flera tillämpningsåtgärder, och exporterbara tidsstämplade loggar är grundläggande förväntan.
Gränsöverskridande överföringar under den ändrade artikel 9 från 2024
2024 års ändringar introducerade ett trestegat överföringsramverk som speglar GDPR:s tillvägagångssätt. Att förstå vilket steg som gäller för vilket flöde är den vanligaste efterlevnadsluckan för utländska utgivare 2026.
Nivå 1 — Adekvansbeslut
Styrelsen kan utse ett land, internationell organisation eller sektor av ett land som tillhandahåller tillräckligt skydd. Överföringar till adekvata destinationer är tillåtna utan ytterligare mekanism. I början av 2026 har styrelsen gradvis utfärdat adekvansbeslut men har ännu inte utpekat USA brett.
Nivå 2 — Lämpliga skyddsåtgärder
I avsaknad av adekvans är överföringar tillåtna på grundval av lämpliga skyddsåtgärder. Ändringarna förutser specifikt standardavtalsklausuler godkända av styrelsen, bindande företagsregler för koncerninterna överföringar och styrelsegodkända uppförandekoder eller certifieringsmekanismer. Styrelsens standardavtalsklausuler publicerades 2024 och är den huvudsakliga arbetsmekanismen för de flesta utgivare.
Nivå 3 — Undantag
Smala undantag finns för tillfälliga överföringar, överföringar som krävs för avtalsuppfyllelse eller överföringar som användaren uttryckligen har samtyckt till. Dessa kan inte användas som primär rättslig grund för pågående programmatiska flöden.
Praktisk konsekvens för utgivare
En typisk programmatisk stack skickar cookie-härledd data till dussintals utländska leverantörer per bud. Vart och ett av dessa flöden är en gränsöverskridande överföring. Det genomförbara tillvägagångssättet för 2026 är att teckna styrelsegodkända standardavtalsklausuler med varje internationell personuppgiftsbiträde och dokumentera överföringsmekanismen i Aydınlatma Metni och VERBIS-registreringen. Utgivare som har hållit sig till logiken med uttryckligt-samtycke-per-överföring från före 2024 är samtidigt överexponerade för efterlevnadsrisk och underutnyttjar sin monetiseringsmöjlighet.
Registrerades rättigheter
Turkiska registrerade har den fullständiga uppsättningen rättigheter som finns i GDPR, tillämpade genom KVKK-ramverket:
- Rätt att få veta om deras uppgifter behandlas
- Rätt till tillgång till de behandlade uppgifterna
- Rätt till rättelse av felaktiga uppgifter
- Rätt till radering eller anonymisering när behandling inte längre är motiverad
- Rätt att informeras om tredje parter som uppgifterna har lämnats ut till
- Rätt att invända mot automatiserade beslut som ger negativa effekter
- Rätt till ersättning för skador orsakade av olaglig behandling
Svarstider
Personuppgiftsansvariga måste svara på registrerades begäranden inom 30 dagar. Den registrerade kan eskalera till KVKK-styrelsen om personuppgiftsansvariges svar är otillräckligt, och styrelsen har ett 60-dagarsfönster att besluta. Operationell beredskap för 30-dagarsfönstret — med processböcker, verktyg och svarsmallar på turkiska — är en vanlig lucka för utländska utgivare.
Sanktioner och tillämpningshållning 2026
KVKK-styrelsen var relativt tyst under sina första år men har meningsfullt trappat upp tillämpningen. Det totala bötesbeloppet för 2025 var det högsta sedan lagen trädde i kraft, och 2026 är på en liknande bana.
Administrativa sanktioner
Administrativa sanktioner indexeras årligen mot inflation. Från och med 2026 överstiger taket för de allvarligaste överträdelserna 40 miljoner TRY per överträdelse, och separata tak gäller för brister kring datasäkerhet, anmälan, VERBIS-registrering och styrelsebeslut. Utländska personuppgiftsansvariga har bötfällts i toppen av intervallet i flera åtgärder under 2025.
Ryktesmässig exponering
Styrelsen publicerar sammanfattningar av tillämpningsbeslut på sin webbplats. Böter för utländska utgivare har regelbundet gjort turkisk teknikpress, och den ryktesmässiga kostnaden för ett offentligt KVKK-beslut är vanligtvis högre än boten i sig.
Tillämpningsteman
Styrelsens åtgärder 2025 och tidigt 2026 koncentreras kring en liten uppsättning återkommande problem: saknat eller tvetydigt cookie-samtycke, otillräcklig Aydınlatma Metni, oregistrerade utländska personuppgiftsansvariga i VERBIS och olagliga gränsöverskridande överföringar med ramverket från före 2024.
Revisionschecklista för turkisk trafik 2026
- CMP-banderoll serveras på turkiska för turkiska användare, med Acceptera, Avböj och Anpassa i lika visuell framträdande
- Samtyckessyften är granulerade och separerar all behandling av känslig kategori bakom sitt eget uttryckliga samtyckeflöde
- Samtyckesloggar är tidsstämplade, exporterbara och behålls i minst behandlingens löptid plus en reviderbar marginal
- Aydınlatma Metni finns tillgänglig på turkiska med fullständiga upplysningar om personuppgiftsansvarig, biträden, syften, lagring och rättigheter
- VERBIS-registrering är komplett och aktuell om personuppgiftsansvarig överskrider tröskeln
- Gränsöverskridande överföringar förlitar sig på 2024 års standardavtalsklausuler eller en annan giltig artikel 9-mekanism, med mekanismen dokumenterad i Aydınlatma Metni
- Arbetsflödet för begäranden från registrerade kan svara inom 30 dagar från start till slut, på turkiska
- Leverantörslistan har granskats, med oanvända eller redundanta leverantörer borttagna för att minska exponeringen
Utsikterna för 2026
Turkiets dataskyddsregim har ifångat det europeiska ramverket i form och håller snabbt på att ifånga det i tillämpning. 2024 års ändringar tog bort det största strukturella hindret för modern internationell ad tech — det gamla överföringsregelverket — och styrelsen har använt de två åren sedan dess för att fokusera på tillämpning av resten av lagen. Utgivare med en GDPR-klass samtyckesstack behöver göra relativt små justeringar för att vara Turkiet-redo: CMP och meddelande på turkiska, VERBIS-registrering om tillämpligt, 2024-standard överföringsklausuler och omsorg med den bredare listan med känsliga uppgifter. Utgivare som har behandlat Turkiet som en lättviktig marknad kommer att tycka att 2026 är dyrare än 2025, och 2027 dyrare än 2026. Klyftan kan stängas på några veckor om det prioriteras — och det bör det vara.