โครงสร้างของ KVKK หลังการแก้ไขปี 2024

KVKK คือกฎหมายคุ้มครองข้อมูลหลักของตุรกี และข้อความที่แก้ไขแล้วคือจุดอ้างอิงในปัจจุบัน ผู้เผยแพร่ที่ทำงานกับเวอร์ชันก่อนปี 2024 กำลังดูกรอบที่ล้าสมัย

สิ่งที่การแก้ไขปี 2024 เปลี่ยนแปลง

การเปลี่ยนแปลงหลักคือการเขียนมาตรา 9 ใหม่ ซึ่งควบคุมการถ่ายโอนข้อมูลระหว่างประเทศ ระบอบก่อนปี 2024 เป็นที่รู้กันว่ายากต่อการปฏิบัติตาม — ต้องการการยินยอมอย่างชัดแจ้งหรือการอนุมัติเป็นรายกรณีจากคณะกรรมการสำหรับแทบทุกกระแสข้อมูลข้ามพรมแดน ซึ่งไม่สามารถทำได้จริงสำหรับระบบเทคโนโลยีโฆษณาสมัยใหม่ใดๆ มาตรา 9 ที่แก้ไขแล้วแนะนำกลไกการถ่ายโอนสามระดับ: การตัดสินใจเรื่องความเพียงพอจากคณะกรรมการ ชุดมาตรการคุ้มครองที่เหมาะสมรวมถึงข้อกำหนดสัญญามาตรฐาน และในกรณีแคบ ชุดของการยกเว้น สิ่งนี้ทำให้กฎหมายการถ่ายโอนของตุรกีสอดคล้องกับรูปแบบ GDPR และทำให้การโฆษณาแบบโปรแกรมเป็นไปตามมาตรฐานสากลโดยไม่ต้องยื่นเรื่องต่อคณะกรรมการต่อผู้ขายแต่ละราย

สิ่งที่ไม่เปลี่ยนแปลง

คำจำกัดความหลัก ฐานทางกฎหมาย สิทธิ์ของเจ้าของข้อมูล และมาตรฐานการยินยอมอย่างชัดแจ้งสำหรับข้อมูลที่ละเอียดอ่อนยังคงเหมือนเดิม มาตรฐานการยินยอมอย่างชัดแจ้งของตุรกีนั้น ถ้ามีอะไร ก็เข้มงวดกว่ามาตรฐาน GDPR ในทางปฏิบัติ และนี่คือที่ที่ช่องว่างการปฏิบัติตามกฎระเบียบส่วนใหญ่ของผู้เผยแพร่ยังคงอยู่

ทะเบียน VERBIS

ผู้ควบคุมข้อมูลที่เกินเกณฑ์ที่กำหนด — รวมถึงผู้ควบคุมต่างชาติส่วนใหญ่ที่ประมวลผลข้อมูลส่วนบุคคลของชาวตุรกีในระดับขนาดใหญ่ — ต้องลงทะเบียนในทะเบียนผู้ควบคุมข้อมูล (VERBIS) การลงทะเบียนต้องเปิดเผยกิจกรรมการประมวลผล ฐานทางกฎหมาย และกลไกการถ่ายโอน ผู้เผยแพร่ต่างชาติหลายรายละเว้นการลงทะเบียน VERBIS มาโดยตลอด คณะกรรมการได้ส่งสัญญาณท่าทีที่กระตือรือร้นมากขึ้นในเรื่องนี้ตลอดปี 2025 และ 2026

สิ่งที่ถือเป็นข้อมูลส่วนบุคคลภายใต้ KVKK

คำจำกัดความของข้อมูลส่วนบุคคลของ KVKK มีความกว้างและสอดคล้องกับ GDPR อย่างใกล้ชิด ข้อมูลส่วนบุคคลคือข้อมูลใดๆ ที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุตัวตนได้หรือสามารถระบุตัวตนได้ และแนวทางของคณะกรรมการถือว่าคุกกี้ ตัวระบุการโฆษณา ที่อยู่ IP และลายนิ้วมือของอุปกรณ์เป็นข้อมูลส่วนบุคคลเมื่อสามารถเชื่อมโยงกับผู้ใช้ได้โดยตรงหรือผ่านวิธีการที่สมเหตุสมผล

ข้อมูลส่วนบุคคลที่ละเอียดอ่อน

รายการหมวดหมู่ที่ละเอียดอ่อนของ KVKK กว้างกว่าของ GDPR: รายการนี้ระบุอย่างชัดเจนว่ารวมถึงเชื้อชาติ ต้นกำเนิดทางชาติพันธุ์ ความคิดเห็นทางการเมือง ความเชื่อทางปรัชญา ศาสนา นิกาย รูปลักษณ์ การเป็นสมาชิกสมาคมหรือมูลนิธิ สุขภาพ ชีวิตทางเพศ การตัดสินโทษทางอาญา มาตรการความปลอดภัย และข้อมูลทางชีวมิติและพันธุกรรม การประมวลผลข้อมูลเหล่านี้ต้องมีการยินยอมอย่างชัดแจ้ง — ไม่ใช่ประเภทที่คลุมเครือหรือรวมกลุ่ม แต่เป็นการยินยอมที่เฉพาะเจาะจง มีข้อมูล ให้ไว้อย่างอิสระ โยงกับการประมวลผลที่ละเอียดอ่อนเฉพาะนั้น

เหตุใดสิ่งนี้จึงสำคัญสำหรับคุกกี้

คุกกี้ที่จัดเก็บเพียงรหัสเซสชันคือข้อมูลส่วนบุคคลพื้นฐาน คุกกี้ที่ป้อนข้อมูลกลุ่มผู้ชมเช่นผู้มีสิทธิ์เลือกตั้งสายเสรีนิยมหรือชุมชนศาสนาที่เคร่งครัดคือข้อมูลส่วนบุคคลที่ละเอียดอ่อนตามคำจำกัดความของตุรกี — และการกำหนดค่าการยินยอมที่จำเป็นคือการยินยอมอย่างชัดแจ้งหรือไม่มีเลย ผู้เผยแพร่ที่กำหนดเป้าหมายกลุ่มผู้ชมที่สัมผัสรายการที่ละเอียดอ่อนของ KVKK ไม่ควรดำเนินการกลุ่มเหล่านั้นภายใต้การยินยอมการโฆษณาทั่วไป

การยินยอมคุกกี้ภายใต้ KVKK ในปี 2026

ท่าทีของคณะกรรมการเกี่ยวกับคุกกี้มีความเข้มงวดขึ้นในช่วงสองปีที่ผ่านมา แนวทางปัจจุบันชัดเจน: คุกกี้และเทคโนโลยีการติดตามที่ประมวลผลข้อมูลส่วนบุคคลต้องได้รับการยินยอม เว้นแต่จำเป็นอย่างเคร่งครัดสำหรับบริการที่ผู้ใช้ร้องขอ

องค์ประกอบสี่ประการของการยินยอมอย่างชัดแจ้งที่ถูกต้อง

การยินยอมอย่างชัดแจ้งของตุรกีต้อง:

• เกี่ยวข้องกับหัวข้อเฉพาะ — การยินยอมแบบครอบคลุมทั่วไปที่ครอบคลุมการประมวลผลในอนาคตที่ไม่ระบุไม่ถูกต้อง
• มีข้อมูล — ผู้ใช้เข้าใจว่าข้อมูลใดถูกประมวลผล เพื่อวัตถุประสงค์ใด โดยใคร และนานแค่ไหน
• ให้ไว้อย่างอิสระ — ผู้ใช้สามารถปฏิเสธโดยไม่ถูกปฏิเสธบริการที่พวกเขามีสิทธิ์ได้รับ
• แสดงออกด้วยการกระทำเชิงบวกที่ชัดเจน — ช่องที่ทำเครื่องหมายล่วงหน้า การยินยอมโดยนัย และการเลื่อนหน้าจอเป็นการยินยอมล้วนไม่ถูกต้อง

CMP ที่ปฏิบัติตามกฎระเบียบมีลักษณะอย่างไร

CMP ที่กำหนดค่าสำหรับทราฟฟิกตุรกีในปี 2026 ควรนำเสนอ:

• แบนเนอร์ที่มองเห็นได้ก่อนที่คุกกี้ที่ไม่จำเป็นจะทำงาน โดยค่าเริ่มต้นเป็นภาษาตุรกี (Türkçe) สำหรับผู้ใช้ชาวตุรกี
• ความโดดเด่นทางภาพที่เท่าเทียมกันสำหรับยอมรับ ปฏิเสธ และปรับแต่ง — คณะกรรมการได้ระบุการออกแบบแบนเนอร์ที่ปฏิเสธมองเห็นได้น้อยกว่ายอมรับ
• การสลับแบบละเอียดต่อวัตถุประสงค์: การวิเคราะห์ การโฆษณา การปรับแต่งส่วนตัว การถ่ายโอนข้ามพรมแดน และการประมวลผลหมวดหมู่ที่ละเอียดอ่อนใดๆ
• กลไกถาวรที่เข้าถึงได้ง่ายเพื่อถอนการยินยอมหลังจากการเลือกเริ่มต้น
• Aydınlatma Metni (ประกาศความเป็นส่วนตัว) เป็นภาษาตุรกีที่เปิดเผยตัวตนของผู้ควบคุม วัตถุประสงค์ ผู้รับ ระยะเวลาการเก็บรักษา และสิทธิ์
• ขั้นตอนการยินยอมอย่างชัดแจ้งแยกต่างหากที่มีป้ายชัดเจน (açık rıza) สำหรับการประมวลผลหมวดหมู่ที่ละเอียดอ่อนใดๆ ที่ถูกล็อกไว้หลังการดำเนินการของตัวเอง

บันทึกการยินยอม

ผู้ควบคุมต้องรักษาบันทึกการยินยอม — ใครยินยอม เมื่อใด ต่อสิ่งใด ผ่านอินเทอร์เฟซใด คณะกรรมการ KVKK ได้อ้างถึงบันทึกการยินยอมที่ไม่เพียงพอในการดำเนินการบังคับใช้หลายครั้ง และบันทึกที่ส่งออกได้พร้อมการประทับเวลาคือความคาดหวังพื้นฐาน

การถ่ายโอนข้ามพรมแดนภายใต้มาตรา 9 ที่แก้ไขปี 2024

การแก้ไขปี 2024 แนะนำกรอบการถ่ายโอนสามระดับที่สะท้อนแนวทางของ GDPR การเข้าใจว่าระดับใดใช้กับกระแสใดคือช่องว่างการปฏิบัติตามที่พบบ่อยที่สุดสำหรับผู้เผยแพร่ต่างชาติในปี 2026

ระดับ 1 — การตัดสินใจเรื่องความเพียงพอ

คณะกรรมการสามารถกำหนดให้ประเทศ องค์กรระหว่างประเทศ หรือภาคส่วนของประเทศว่าให้การคุ้มครองที่เพียงพอ การถ่ายโอนไปยังจุดหมายที่เพียงพอได้รับอนุญาตโดยไม่ต้องมีกลไกเพิ่มเติม ณ ต้นปี 2026 คณะกรรมการได้ค่อยๆ ออกการตัดสินใจเรื่องความเพียงพอแต่ยังไม่ได้กำหนดให้สหรัฐอเมริกาโดยรวม

ระดับ 2 — มาตรการคุ้มครองที่เหมาะสม

ในกรณีที่ไม่มีความเพียงพอ การถ่ายโอนได้รับอนุญาตบนพื้นฐานของมาตรการคุ้มครองที่เหมาะสม การแก้ไขกำหนดโดยเฉพาะถึงข้อกำหนดสัญญามาตรฐานที่ได้รับการอนุมัติจากคณะกรรมการ กฎองค์กรผูกพันสำหรับการถ่ายโอนภายในกลุ่ม และจรรยาบรรณหรือกลไกการรับรองที่ได้รับการอนุมัติจากคณะกรรมการ ข้อกำหนดสัญญามาตรฐานของคณะกรรมการได้รับการเผยแพร่ในปี 2024 และเป็นกลไกการทำงานหลักสำหรับผู้เผยแพร่ส่วนใหญ่

ระดับ 3 — การยกเว้น

มีข้อยกเว้นแคบสำหรับการถ่ายโอนที่เกิดขึ้นเป็นครั้งคราว การถ่ายโอนที่จำเป็นสำหรับการปฏิบัติตามสัญญา หรือการถ่ายโอนที่ผู้ใช้ยินยอมอย่างชัดแจ้ง สิ่งเหล่านี้ไม่สามารถใช้เป็นฐานทางกฎหมายหลักสำหรับกระแสโปรแกรมที่ต่อเนื่องได้

ผลกระทบที่ปฏิบัติได้สำหรับผู้เผยแพร่

ระบบโปรแกรมทั่วไปส่งข้อมูลที่ได้มาจากคุกกี้ไปยังผู้ขายต่างประเทศหลายสิบรายต่อการเสนอราคา กระแสเหล่านั้นแต่ละอย่างคือการถ่ายโอนข้ามพรมแดน แนวทางที่ใช้ได้จริงสำหรับปี 2026 คือการดำเนินการข้อกำหนดสัญญามาตรฐานที่ได้รับการอนุมัติจากคณะกรรมการกับผู้ประมวลผลระหว่างประเทศแต่ละราย และจัดทำเอกสารกลไกการถ่ายโอนใน Aydınlatma Metni และการลงทะเบียน VERBIS ผู้เผยแพร่ที่ยังคงใช้ตรรกะการยินยอมอย่างชัดแจ้งต่อการถ่ายโอนก่อนปี 2024 มีความเสี่ยงด้านการปฏิบัติตามกฎระเบียบมากเกินไปและใช้โอกาสการสร้างรายได้ไม่เต็มที่ในเวลาเดียวกัน

สิทธิ์ของเจ้าของข้อมูล

เจ้าของข้อมูลชาวตุรกีมีสิทธิ์ครบชุดที่พบใน GDPR ใช้ผ่านกรอบ KVKK:

• สิทธิ์ในการเรียนรู้ว่าข้อมูลของตนถูกประมวลผลหรือไม่
• สิทธิ์เข้าถึงข้อมูลที่ประมวลผล
• สิทธิ์ในการแก้ไขข้อมูลที่ไม่ถูกต้อง
• สิทธิ์ในการลบหรือทำให้ไม่ระบุตัวตนเมื่อการประมวลผลไม่ได้รับการพิสูจน์อีกต่อไป
• สิทธิ์ในการรับแจ้งเกี่ยวกับบุคคลที่สามที่ข้อมูลถูกเปิดเผยให้
• สิทธิ์ในการคัดค้านการตัดสินใจอัตโนมัติที่สร้างผลกระทบเชิงลบ
• สิทธิ์ในการชดเชยความเสียหายที่เกิดจากการประมวลผลที่ผิดกฎหมาย

กรอบเวลาการตอบสนอง

ผู้ควบคุมต้องตอบสนองต่อคำขอของเจ้าของข้อมูลภายใน30 วัน เจ้าของข้อมูลสามารถยกระดับไปยังคณะกรรมการ KVKK หากการตอบสนองของผู้ควบคุมไม่เพียงพอ และคณะกรรมการมีหน้าต่าง 60 วันในการตัดสินใจ ความพร้อมในการดำเนินงานสำหรับหน้าต่าง 30 วัน — ด้วยคู่มือปฏิบัติ เครื่องมือ และเทมเพลตการตอบสนองเป็นภาษาตุรกี — เป็นช่องว่างทั่วไปสำหรับผู้เผยแพร่ต่างชาติ

บทลงโทษและท่าทีการบังคับใช้ในปี 2026

คณะกรรมการ KVKK ค่อนข้างเงียบในช่วงหลายปีแรก แต่ได้เพิ่มการบังคับใช้อย่างมีนัยสำคัญ ยอดรวมค่าปรับปี 2025 เป็นสูงสุดนับตั้งแต่กฎหมายมีผลบังคับใช้ และปี 2026 อยู่ในเส้นทางที่คล้ายกัน

ค่าปรับทางปกครอง

ค่าปรับทางปกครองถูกจัดดัชนีรายปีตามอัตราเงินเฟ้อ ณ ปี 2026 เพดานสำหรับการละเมิดที่ร้ายแรงที่สุดเกิน 40 ล้าน TRY ต่อการละเมิด และเพดานแยกต่างหากใช้กับความล้มเหลวเกี่ยวกับความปลอดภัยของข้อมูล การแจ้งเตือน การลงทะเบียน VERBIS และการตัดสินใจของคณะกรรมการ ผู้ควบคุมต่างชาติถูกปรับในระดับสูงสุดในการดำเนินการหลายครั้งในปี 2025

ความเสี่ยงด้านชื่อเสียง

คณะกรรมการเผยแพร่สรุปการตัดสินใจการบังคับใช้บนเว็บไซต์ของตน ค่าปรับผู้เผยแพร่ต่างชาติปรากฏในสื่อเทคโนโลยีของตุรกีเป็นประจำ และต้นทุนด้านชื่อเสียงของการตัดสินใจ KVKK สาธารณะมักสูงกว่าค่าปรับเอง

ธีมการบังคับใช้

การดำเนินการของคณะกรรมการในปี 2025 และต้นปี 2026 รวมตัวกันรอบชุดปัญหาที่เกิดซ้ำขนาดเล็ก: การยินยอมคุกกี้ที่ขาดหายหรือคลุมเครือ Aydınlatma Metni ที่ไม่เพียงพอ ผู้ควบคุมต่างชาติที่ไม่ได้ลงทะเบียนใน VERBIS และการถ่ายโอนข้ามพรมแดนที่ผิดกฎหมายโดยใช้กรอบก่อนปี 2024

รายการตรวจสอบการตรวจสอบสำหรับทราฟฟิกตุรกีในปี 2026

• แบนเนอร์ CMP ให้บริการเป็นภาษาตุรกีสำหรับผู้ใช้ชาวตุรกี โดยมียอมรับ ปฏิเสธ และปรับแต่งในความโดดเด่นทางภาพที่เท่าเทียมกัน
• วัตถุประสงค์การยินยอมมีความละเอียดและแยกการประมวลผลหมวดหมู่ที่ละเอียดอ่อนใดๆ ออกจากขั้นตอนการยินยอมอย่างชัดแจ้งของตัวเอง
• บันทึกการยินยอมมีการประทับเวลา ส่งออกได้ และเก็บรักษาไว้อย่างน้อยตลอดระยะเวลาการประมวลผลบวกกับมาร์จิ้นที่ตรวจสอบได้
• Aydınlatma Metni มีให้เป็นภาษาตุรกีพร้อมการเปิดเผยข้อมูลครบถ้วนของผู้ควบคุม ผู้ประมวลผล วัตถุประสงค์ การเก็บรักษา และสิทธิ์
• การลงทะเบียน VERBIS สมบูรณ์และอัปเดตหากผู้ควบคุมเกินเกณฑ์
• การถ่ายโอนข้ามพรมแดนอาศัยข้อกำหนดสัญญามาตรฐานปี 2024 หรือกลไกมาตรา 9 อื่นที่ถูกต้อง โดยมีกลไกที่จัดทำเอกสารใน Aydınlatma Metni
• ขั้นตอนการทำงานคำขอของเจ้าของข้อมูลสามารถตอบสนองได้ภายใน 30 วันตั้งแต่ต้นจนจบ เป็นภาษาตุรกี
• รายชื่อผู้ขายได้รับการตรวจสอบแล้ว โดยนำผู้ขายที่ไม่ใช้หรือซ้ำซ้อนออกเพื่อลดความเสี่ยง

แนวโน้มปี 2026

ระบอบการคุ้มครองข้อมูลของตุรกีได้ทันกับกรอบยุโรปในรูปแบบและกำลังตามทันอย่างรวดเร็วในการบังคับใช้ การแก้ไขปี 2024 ได้ขจัดอุปสรรคโครงสร้างที่ใหญ่ที่สุดต่อเทคโนโลยีโฆษณาระหว่างประเทศสมัยใหม่ — ระบอบการถ่ายโอนเก่า — และคณะกรรมการได้ใช้สองปีนับจากนั้นในการมุ่งเน้นการบังคับใช้ส่วนที่เหลือของกฎหมาย ผู้เผยแพร่ที่มีระบบการยินยอมระดับ GDPR จำเป็นต้องปรับปรุงค่อนข้างน้อยเพื่อให้พร้อมสำหรับตุรกี: CMP และประกาศเป็นภาษาตุรกี การลงทะเบียน VERBIS หากมีผลบังคับใช้ ข้อกำหนดการถ่ายโอนมาตรฐานปี 2024 และความระมัดระวังกับรายการข้อมูลที่ละเอียดอ่อนที่กว้างขึ้น ผู้เผยแพร่ที่ปฏิบัติต่อตุรกีในฐานะตลาดที่มีการกำกับดูแลเบากว่าจะพบว่าปี 2026 แพงกว่าปี 2025 และปี 2027 แพงกว่าปี 2026 ช่องว่างนี้สามารถปิดได้ภายในไม่กี่สัปดาห์หากได้รับการจัดลำดับความสำคัญ — และควรจะเป็น