Структура KVKK після змін 2024 року

KVKK є основним законодавчим актом про захист даних у Туреччині, а змінений текст тепер є відправною точкою. Видавці, що працювали з версією до 2024 року, спираються на застарілу базу.

Що змінили зміни 2024 року

Головна зміна — переписання Статті 9, яка регулює міжнародні передачі даних. Режим до 2024 року був сумнозвісно складним для виконання — він вимагав або явної згоди, або дозволу Ради для кожного окремого випадку майже для кожного транскордонного потоку, що було нездійсненним для будь-якого сучасного стеку рекламних технологій. Змінена Стаття 9 запроваджує три рівні механізмів передачі: рішення про адекватність від Ради, набір відповідних захисних заходів, включно зі стандартними договірними положеннями, і у вузьких випадках — набір дерогацій. Це нарешті приводить турецьке право щодо передач у відповідність із моделлю GDPR і дає змогу здійснювати програматичну рекламу в міжнародному відповідно до вимог без окремого звернення до Ради для кожного постачальника.

Що не змінилось

Основні визначення, правові підстави, права суб'єктів даних та стандарт явної згоди для чутливих даних залишились незмінними. Турецький поріг явної згоди є, якщо що, суворішим на практиці, ніж стандарт GDPR, і саме тут зосереджена більшість прогалин у відповідності видавців.

Реєстр VERBIS

Контролери даних, що перевищують певні порогові значення — у тому числі більшість іноземних контролерів, які масштабно обробляють персональні дані турецьких громадян — зобов'язані зареєструватися у Реєстрі контролерів даних (VERBIS). Реєстрація передбачає розкриття інформації про діяльність з обробки, правові підстави та механізми передачі. Багато іноземних видавців традиційно нехтували реєстрацією у VERBIS; Рада дала сигнал про більш активну позицію щодо цього питання впродовж 2025 і 2026 років.

Що вважається персональними даними за KVKK

Визначення персональних даних за KVKK є широким і тісно збігається з GDPR. Персональні дані — це будь-яка інформація, що стосується ідентифікованої або ідентифікованої фізичної особи, і керівні принципи Ради послідовно розглядали файли cookie, ідентифікатори реклами, IP-адреси та відбитки пристроїв як персональні дані, коли їх можна пов'язати з користувачем безпосередньо або за допомогою розумних засобів.

Чутливі персональні дані

Перелік чутливих категорій у KVKK ширший, ніж у GDPR: він прямо включає расу, етнічне походження, політичні погляди, філософські переконання, релігію, секту, зовнішній вигляд, членство в асоціаціях або фондах, стан здоров'я, статеве життя, кримінальний вирок, заходи безпеки та біометричні і генетичні дані. Обробка будь-яких із цих даних вимагає явної згоди — не розмитої чи пакетної, а конкретної, поінформованої, вільно наданої згоди, пов'язаної з конкретною чутливою обробкою.

Чому це важливо для файлів cookie

Файл cookie, що зберігає лише ідентифікатор сесії, — це базові персональні дані. Файл cookie, який живить сегмент аудиторії на зразок Ліберальні виборці або Набожна релігійна громада, — це чутливі персональні дані за турецьким визначенням, і необхідна конфігурація згоди — явна згода або нічого. Видавці, що таргетують сегменти аудиторії, які торкаються чутливого переліку KVKK, не повинні запускати ці сегменти в рамках загальної рекламної згоди.

Згода на файли cookie за KVKK у 2026 році

Позиція Ради щодо файлів cookie посилилась за останні два роки. Поточні керівні принципи однозначні: файли cookie та технології відстеження, що обробляють персональні дані, потребують згоди, якщо вони не є строго необхідними для послуги, що її запросив користувач.

Чотири елементи дійсної явної згоди

Турецька явна згода має бути:

• Пов'язаною з конкретним предметом — загальна широка згода, що охоплює невизначену майбутню обробку, є недійсною
• Поінформованою — користувач розуміє, які дані обробляються, для якої мети, ким і як довго
• Вільно наданою — користувач може відмовити, не позбавляючись послуги, на яку він інакше має право
• Вираженою у чіткій позитивній дії — попередньо відмічені прапорці, мовчазна згода і прокрутка як згода — все це недійсне

Як виглядає відповідна CMP

CMP, налаштована для турецького трафіку у 2026 році, має представляти:

• Видимий банер до того, як спрацює будь-який неістотний файл cookie, з налаштуванням за замовчуванням на турецьку (Türkçe) для турецьких користувачів
• Однакову візуальну помітність для «Прийняти», «Відхилити» та «Налаштувати» — Рада спеціально критикувала дизайни банерів, де «Відхилити» менш помітне, ніж «Прийняти»
• Деталізовані перемикачі для кожної мети: аналітика, реклама, персоналізація, транскордонна передача та будь-яка обробка чутливих категорій
• Постійний, легкодоступний механізм відкликання згоди після первинного вибору
• Aydınlatma Metni (Повідомлення про конфіденційність) турецькою мовою з розкриттям ідентичності контролера, цілей, одержувачів, строків зберігання та прав
• Окремий, чітко позначений потік явної згоди (açık rıza) для будь-якої обробки чутливих категорій, захищений власним підтверджувальним кроком

Записи про згоду

Контролер зобов'язаний вести облік згоди — хто надав згоду, коли, на що, через який інтерфейс. Рада KVKK посилалась на неналежні журнали згоди у кількох правозастосовчих діях, а журнали з позначками часу, придатні для експорту, є базовим очікуванням.

Транскордонні передачі за зміненою Статтею 9 (2024)

Зміни 2024 року запровадили триступеневу структуру передачі, що відображає підхід GDPR. Розуміння того, який рівень застосовується до якого потоку, є найпоширенішою прогалиною у відповідності іноземних видавців у 2026 році.

Рівень 1 — Рішення про адекватність

Рада може визначити країну, міжнародну організацію або галузь країни такою, що забезпечує належний захист. Передачі до адекватних місць призначення дозволені без додаткового механізму. На початку 2026 року Рада поступово видавала рішення про адекватність, але ще не визначила Сполучені Штати у широкому сенсі.

Рівень 2 — Відповідні захисні заходи

За відсутності адекватності передачі дозволені на підставі відповідних захисних заходів. Зміни спеціально передбачають стандартні договірні положення, затверджені Радою, обов'язкові корпоративні правила для внутрішньогрупових передач та кодекси поведінки або механізми сертифікації, затверджені Радою. Стандартні договірні положення Ради були опубліковані у 2024 році і є основним робочим механізмом для більшості видавців.

Рівень 3 — Дерогації

Вузькі винятки існують для разових передач, передач, необхідних для виконання договору, або передач, на які користувач явно надав згоду. Вони не можуть використовуватися як основна правова підстава для поточних програматичних потоків.

Практичний наслідок для видавців

Типовий програматичний стек надсилає дані, отримані з файлів cookie, десяткам закордонних постачальників на кожен аукціон. Кожен із цих потоків є транскордонною передачею. Практичний підхід для 2026 року — укласти затверджені Радою стандартні договірні положення з кожним міжнародним обробником і задокументувати механізм передачі в Aydınlatma Metni та реєстрації VERBIS. Видавці, що продовжують дотримуватися логіки явної-згоди-на-кожну-передачу зразка до 2024 року, одночасно надмірно ризикують з точки зору відповідності та недовикористовують можливості монетизації.

Права суб'єктів даних

Турецькі суб'єкти даних мають повний набір прав, передбачених GDPR, що реалізуються через механізм KVKK:

• Право дізнатися, чи обробляються їхні дані
• Право на доступ до оброблюваних даних
• Право на виправлення неточних даних
• Право на видалення або анонімізацію, якщо обробка більше не виправдана
• Право бути поінформованим про третіх осіб, яким передано дані
• Право заперечувати проти автоматизованих рішень, що спричиняють негативні наслідки
• Право на відшкодування шкоди, завданої незаконною обробкою

Строки надання відповіді

Контролери зобов'язані відповідати на запити суб'єктів даних упродовж 30 днів. Суб'єкт даних може звернутися до Ради KVKK, якщо відповідь контролера є неналежною, і Рада має 60-денний строк для прийняття рішення. Оперативна готовність для 30-денного строку — з інструкціями, інструментами та шаблонами відповідей турецькою мовою — є типовою прогалиною для іноземних видавців.

Штрафи та позиція щодо правозастосування у 2026 році

Рада KVKK була відносно тихою впродовж перших кількох років, але з часом помітно посилила правозастосування. Загальна сума штрафів у 2025 році стала найвищою з моменту набрання чинності законом, і 2026 рік рухається аналогічною траєкторією.

Адміністративні штрафи

Адміністративні штрафи щорічно індексуються відповідно до інфляції. Станом на 2026 рік верхня межа для найсерйозніших порушень перевищує 40 мільйонів турецьких лір за одне порушення, а окремі обмеження застосовуються до порушень щодо безпеки даних, повідомлення, реєстрації у VERBIS та рішень Ради. Іноземних контролерів у кількох справах 2025 року оштрафували за максимальною ставкою.

Репутаційні ризики

Рада публікує резюме правозастосовчих рішень на своєму веб-сайті. Штрафи щодо іноземних видавців регулярно висвітлює турецька технологічна преса, і репутаційна ціна публічного рішення KVKK зазвичай є вищою, ніж сам штраф.

Тематика правозастосування

Дії Ради у 2025 та на початку 2026 року зосереджуються навколо невеликого набору повторюваних питань: відсутня або неоднозначна згода на файли cookie, неналежний Aydınlatma Metni, незареєстровані іноземні контролери у VERBIS та незаконні транскордонні передачі з використанням механізму до 2024 року.

Контрольний перелік аудиту турецького трафіку у 2026 році

• Банер CMP відображається турецькою мовою для турецьких користувачів, із рівною візуальною помітністю для «Прийняти», «Відхилити» та «Налаштувати»
• Цілі згоди є деталізованими, а будь-яка обробка чутливих категорій відокремлена власним потоком явної згоди
• Записи про згоду мають позначки часу, придатні для експорту та зберігаються щонайменше впродовж строку обробки плюс доступний для перевірки запас
• Aydınlatma Metni доступний турецькою мовою з повним розкриттям інформації про контролера, обробників, цілі, строки зберігання та права
• Реєстрація у VERBIS є повною і актуальною, якщо контролер перевищує встановлений поріг
• Транскордонні передачі спираються на стандартні договірні положення 2024 року або інший дійсний механізм Статті 9, а механізм задокументований в Aydınlatma Metni
• Робочий процес обробки запитів суб'єктів даних здатний надати відповідь впродовж 30 днів від початку до кінця, турецькою мовою
• Список постачальників переглянуто: невикористані або надлишкові постачальники видалені задля зниження ризиків

Перспективи на 2026 рік

Режим захисту даних Туреччини наздогнав Європейську систему за формою і стрімко наздоганяє її за правозастосуванням. Зміни 2024 року усунули найбільшу структурну перешкоду для сучасних міжнародних рекламних технологій — старий режим передачі, — а Рада використала ці два роки для посилення правозастосування щодо решти закону. Видавцям із стеком отримання згоди рівня GDPR достатньо зробити відносно невеликі корективи, щоб бути готовими до Туреччини: CMP і повідомлення турецькою мовою, реєстрація у VERBIS за потреби, договірні положення про передачу стандарту 2024 року та уважність щодо ширшого переліку чутливих даних. Видавці, що ставились до Туреччини як до ринку зі слабшим регулюванням, виявлять, що 2026 рік коштуватиме дорожче за 2025-й, а 2027-й — дорожче за 2026-й. Прогалину можна усунути за лічені тижні, якщо це питання поставити в пріоритет — а так і слід зробити.