ترکی کا KVKK اور 2024 کی ترامیم: کوکی رضامندی، سرحد پار منتقلی اور 2026 میں واضح رضامندی کے لیے ناشرین اور اشتہار دہندگان کی رہنما کتاب
ترکی کا ذاتی ڈیٹا کے تحفظ کا قانون (KVKK، قانون نمبر 6698) 2016 سے نافذ ہے، لیکن اس دہائی کے بیشتر حصے میں یہ GDPR کے ایک خاموش رشتہ دار کے طور پر کام کرتا رہا — ساخت میں قابل شناخت مماثل لیکن نفاذ میں نمایاں طور پر نرم۔ وہ دور ختم ہو چکا ہے۔ KVKK کی 2024 ترامیم، جو 12 مارچ 2024 کو سرکاری گزٹ میں شائع ہوئیں، نے سرحد پار ڈیٹا منتقلی کے نظام کو GDPR طرز کی مناسبیت اور معیاری معاہداتی شقوں کے مطابق ازسرنو ترتیب دیا، اور KVKK بورڈ (Kişisel Verileri Koruma Kurulu) نے 2025 اور 2026 تک نفاذ کو بامعنی طور پر بڑھایا ہے۔ ترک صارفین کے ڈیٹا پر کارروائی کرنے والے ہر ناشر، اشتہار دہندہ یا پلیٹ فارم کے لیے — چاہے وہ ترکی میں مقیم ہو یا بیرون ملک سے ترکی مارکیٹ کی خدمت کر رہا ہو — 2026 وہ سال ہے جب ایک جدید رضامندی اسٹیک کسی اچھی چیز سے بنیادی ضرورت بن جاتا ہے۔ یہ رہنما کتاب قانون کی ترمیم شدہ شکل، کوکی رضامندی کی اصل ضروریات، سرحد پار منتقلی اب کیسے کام کرتی ہے، اور عملی طور پر بورڈ کا نفاذ کیسا نظر آتا ہے، اس پر روشنی ڈالتی ہے۔
2024 کی ترامیم کے بعد KVKK کی ساخت
KVKK ترکی میں بنیادی ڈیٹا تحفظ قانون ہے، اور اس کا ترمیم شدہ متن اب حوالہ نقطہ ہے۔ جو ناشرین 2024 سے پہلے کے ورژن سے کام کر رہے ہیں وہ ایک پرانے فریم ورک کو دیکھ رہے ہیں۔
2024 کی ترامیم نے کیا تبدیل کیا
اہم تبدیلی آرٹیکل 9 کی دوبارہ تحریر تھی جو بین الاقوامی ڈیٹا کی منتقلی کو منظم کرتی ہے۔ 2024 سے پہلے کا نظام بدنام زمانہ طور پر پورا کرنا مشکل تھا — اس کے لیے تقریباً ہر سرحد پار بہاؤ کے لیے یا تو واضح رضامندی یا بورڈ کی کیس بہ کیس اجازت درکار تھی، جو کسی بھی جدید اشتہاری ٹیکنالوجی اسٹیک کے لیے ناقابل عمل تھی۔ ترمیم شدہ آرٹیکل 9 منتقلی کے تین درجاتی طریقہ کار متعارف کراتا ہے: بورڈ سے مناسبیت کا فیصلہ، معیاری معاہداتی شقوں سمیت مناسب تحفظات کا ایک سیٹ، اور محدود معاملات میں استثنائی دفعات کا ایک سیٹ۔ اس سے ترکی کا منتقلی قانون آخرکار GDPR کے نمونے کے مطابق آ گیا اور پروگرامیٹک اشتہارات کو فی وینڈر بورڈ کی درخواست کے بغیر بین الاقوامی سطح پر تعمیل کے قابل بناتا ہے۔
کیا تبدیل نہیں ہوا
بنیادی تعریفات، قانونی بنیادیں، ڈیٹا کے مضامین کے حقوق، اور حساس ڈیٹا کے لیے واضح رضامندی کا معیار ویسا ہی رہا جیسا پہلے تھا۔ ترکی کی واضح رضامندی کی حد، اگر کچھ ہے تو، عملاً GDPR کے معیار سے سخت تر ہے، اور یہیں پر زیادہ تر ناشر کی تعمیل کے خلاء ابھی بھی موجود ہیں۔
VERBIS رجسٹری
بعض حدود سے تجاوز کرنے والے ڈیٹا کنٹرولرز — بشمول زیادہ تر غیر ملکی کنٹرولرز جو بڑے پیمانے پر ترکی کے ذاتی ڈیٹا پر کارروائی کرتے ہیں — کو ڈیٹا کنٹرولرز رجسٹری (VERBIS) میں رجسٹر ہونا ضروری ہے۔ رجسٹریشن کے لیے کارروائی کی سرگرمیوں، قانونی بنیادوں اور منتقلی کے طریقہ کاروں کے انکشاف کی ضرورت ہے۔ بہت سے غیر ملکی ناشرین نے تاریخی طور پر VERBIS رجسٹریشن کو نظرانداز کیا ہے؛ بورڈ نے 2025 اور 2026 کے دوران اس پر زیادہ فعال موقف کا اشارہ دیا ہے۔
KVKK کے تحت ذاتی ڈیٹا کیا شمار ہوتا ہے
KVKK کی ذاتی ڈیٹا کی تعریف وسیع ہے اور GDPR سے قریب سے مطابقت رکھتی ہے۔ ذاتی ڈیٹا کسی شناخت شدہ یا قابل شناخت قدرتی شخص سے متعلق کوئی بھی معلومات ہے، اور بورڈ کی رہنمائی نے کوکیز، اشتہاری شناخت کاروں، IP پتوں اور ڈیوائس کی انگلیوں کے نشانوں کو ذاتی ڈیٹا کے طور پر مسلسل ٹریٹ کیا ہے جب انہیں براہ راست یا معقول ذرائع سے صارف سے جوڑا جا سکتا ہے۔
حساس ذاتی ڈیٹا
KVKK کی حساس زمروں کی فہرست GDPR سے زیادہ وسیع ہے: اس میں واضح طور پر نسل، نسلی اصل، سیاسی رائے، فلسفیانہ عقیدہ، مذہب، فرقہ، ظاہری شکل، انجمن یا فاؤنڈیشن کی رکنیت، صحت، جنسی زندگی، مجرمانہ سزا، حفاظتی اقدامات، اور بائیومیٹرک اور جینیاتی ڈیٹا شامل ہیں۔ ان میں سے کسی کی بھی پروسیسنگ کے لیے واضح رضامندی درکار ہے — مبہم یا مجموعی قسم نہیں، بلکہ مخصوص، باخبر، آزادانہ طور پر دی گئی رضامندی جو مخصوص حساس پروسیسنگ سے منسلک ہو۔
یہ کوکیز کے لیے کیوں اہم ہے
ایک کوکی جو صرف سیشن ID محفوظ کرتی ہے وہ بنیادی ذاتی ڈیٹا ہے۔ ایک کوکی جو لبرل ووٹرز یا عقیدت مند مذہبی برادری جیسے ناظرین کے حصے کو فیڈ کرتی ہے وہ ترکی کی تعریف کے تحت حساس ذاتی ڈیٹا ہے — اور ضروری رضامندی کی ترتیب واضح رضامندی یا کچھ نہیں ہے۔ جو ناشرین KVKK کی حساس فہرست کو چھونے والے ناظرین کے حصوں کو نشانہ بناتے ہیں انہیں وہ حصے عام اشتہاری رضامندی کے تحت نہیں چلانے چاہئیں۔
2026 میں KVKK کے تحت کوکی رضامندی
کوکیز پر بورڈ کی پوزیشن پچھلے دو سالوں میں سخت ہو گئی ہے۔ موجودہ رہنمائی واضح ہے: ذاتی ڈیٹا پر کارروائی کرنے والی کوکیز اور ٹریکنگ ٹیکنالوجیز کو رضامندی درکار ہوتی ہے جب تک کہ وہ کسی ایسی خدمت کے لیے سختی سے ضروری نہ ہوں جس کی درخواست صارف نے کی ہو۔
درست واضح رضامندی کے چار عناصر
ترکی کی واضح رضامندی ہونی چاہیے:
- کسی مخصوص موضوع سے متعلق — غیر متعینہ مستقبل کی پروسیسنگ کو کور کرنے والی عمومی چھتری رضامندی درست نہیں ہے
- باخبر — صارف سمجھتا ہے کہ کون سا ڈیٹا پروسیس ہو رہا ہے، کس مقصد کے لیے، کس کے ذریعے، اور کب تک
- آزادانہ طور پر دی گئی — صارف بغیر کسی ایسی خدمت سے محروم ہوئے انکار کر سکتا ہے جس کا وہ بصورت دیگر حقدار ہو
- واضح تصدیقی عمل کے ذریعے اظہار کیا گیا — پہلے سے نشان زدہ باکسز، مضمر رضامندی، اور اسکرول کرنا بطور رضامندی سب درست نہیں ہیں
ایک تعمیل CMP کیسی نظر آتی ہے
2026 میں ترکی ٹریفک کے لیے ترتیب دی گئی CMP کو یہ پیش کرنا چاہیے:
- کوئی بھی غیر ضروری کوکی فائر ہونے سے پہلے ایک نظر آنے والا بینر، ترک صارفین کے لیے ترکی (Türkçe) میں ڈیفالٹ
- قبول، رد، اور اپنی مرضی سے ترتیب دینے کے لیے مساوی بصری نمایانی — بورڈ نے خاص طور پر ایسے بینر ڈیزائنز کی نشاندہی کی ہے جہاں رد قبول سے کم نظر آتا ہے
- ہر مقصد کے لیے تفصیلی ٹوگل: تجزیات، اشتہار، ذاتی کاری، سرحد پار منتقلی، اور کوئی بھی حساس زمرے کی پروسیسنگ
- ابتدائی انتخاب کے بعد رضامندی واپس لینے کا مستقل، آسانی سے قابل رسائی طریقہ کار
- ترکی زبان میں Aydınlatma Metni (رازداری نوٹس) جس میں کنٹرولر کی شناخت، مقاصد، وصول کنندگان، برقراری، اور حقوق ظاہر کیے گئے ہوں
- کسی بھی حساس زمرے کی پروسیسنگ کے لیے ایک الگ، واضح طور پر لیبل کیا گیا واضح رضامندی فلو (açık rıza)، اپنے عمل کے پیچھے گیٹ کیا گیا
رضامندی کے ریکارڈ
کنٹرولر کو رضامندی کے ریکارڈ رکھنے ہوں گے — کس نے رضامندی دی، کب، کس چیز پر، کس انٹرفیس کے ذریعے۔ KVKK بورڈ نے کئی نفاذی کارروائیوں میں ناکافی رضامندی لاگز کا حوالہ دیا ہے، اور وقت کی مہر کے ساتھ برآمد کرنے کے قابل لاگز بنیادی توقع ہے۔
2024 ترمیم شدہ آرٹیکل 9 کے تحت سرحد پار منتقلیاں
2024 کی ترامیم نے تین درجاتی منتقلی کا فریم ورک متعارف کرایا جو GDPR کے نقطہ نظر کی عکاسی کرتا ہے۔ یہ سمجھنا کہ کون سا درجہ کس بہاؤ پر لاگو ہوتا ہے، 2026 میں غیر ملکی ناشرین کے لیے سب سے عام تعمیل کی خلا ہے۔
درجہ 1 — مناسبیت کا فیصلہ
بورڈ کسی ملک، بین الاقوامی تنظیم، یا کسی ملک کے شعبے کو کافی تحفظ فراہم کرنے والے کے طور پر نامزد کر سکتا ہے۔ مناسب مقامات پر منتقلی کسی اضافی طریقہ کار کے بغیر اجازت ہے۔ 2026 کے شروع تک بورڈ نے بتدریج مناسبیت کے فیصلے جاری کیے ہیں لیکن ابھی تک امریکہ کو وسیع پیمانے پر نامزد نہیں کیا ہے۔
درجہ 2 — مناسب تحفظات
مناسبیت کی غیر موجودگی میں، منتقلی مناسب تحفظات کی بنیاد پر اجازت ہے۔ ترامیم خاص طور پر بورڈ سے منظور شدہ معیاری معاہداتی شقوں، گروپ کے اندر منتقلیوں کے لیے پابند کارپوریٹ قوانین، اور بورڈ سے منظور شدہ ضابطہ اخلاق یا سرٹیفیکیشن طریقہ کاروں پر غور کرتی ہیں۔ بورڈ کی معیاری معاہداتی شقیں 2024 میں شائع ہوئیں اور زیادہ تر ناشرین کے لیے بنیادی کام کرنے والا طریقہ کار ہیں۔
درجہ 3 — استثنائی دفعات
کبھی کبھار منتقلیوں، معاہدے کی کارکردگی کے لیے ضروری منتقلیوں، یا ان منتقلیوں کے لیے محدود استثنائی دفعات موجود ہیں جن کے لیے صارف نے واضح طور پر رضامندی دی ہو۔ یہ جاری پروگرامیٹک بہاؤ کے لیے بنیادی قانونی بنیاد کے طور پر استعمال نہیں کی جا سکتیں۔
ناشرین کے لیے عملی مضمرات
ایک عام پروگرامیٹک اسٹیک فی بولی درجنوں بیرون ملک وینڈرز کو کوکی سے ماخوذ ڈیٹا بھیجتا ہے۔ ان بہاؤ میں سے ہر ایک سرحد پار منتقلی ہے۔ 2026 کے لیے قابل عمل نقطہ نظر یہ ہے کہ ہر بین الاقوامی پروسیسر کے ساتھ بورڈ سے منظور شدہ معیاری معاہداتی شقوں پر عمل کریں اور Aydınlatma Metni اور VERBIS رجسٹریشن میں منتقلی کے طریقہ کار کو دستاویزی شکل دیں۔ جو ناشرین 2024 سے پہلے کی فی منتقلی واضح رضامندی کی منطق پر قائم رہے ہیں وہ بیک وقت تعمیل کے خطرے سے ضرورت سے زیادہ بے نقاب ہیں اور منیٹائزیشن کے موقع سے کم فائدہ اٹھا رہے ہیں۔
ڈیٹا سبجیکٹ کے حقوق
ترکی کے ڈیٹا سبجیکٹس کے پاس KVKK فریم ورک کے ذریعے لاگو GDPR میں پائے جانے والے حقوق کا مکمل سیٹ ہے:
- یہ جاننے کا حق کہ آیا ان کا ڈیٹا پروسیس ہو رہا ہے
- پروسیس شدہ ڈیٹا تک رسائی کا حق
- غلط ڈیٹا کی درستگی کا حق
- مٹانے یا گمنام بنانے کا حق جہاں پروسیسنگ اب جائز نہیں ہے
- ان تھرڈ پارٹیز کے بارے میں مطلع کیے جانے کا حق جن کو ڈیٹا ظاہر کیا گیا ہے
- منفی اثرات پیدا کرنے والے خودکار فیصلوں پر اعتراض کا حق
- غیر قانونی پروسیسنگ سے ہونے والے نقصانات کے لیے معاوضے کا حق
جواب کی مدت
کنٹرولرز کو ڈیٹا سبجیکٹ کی درخواستوں کا جواب 30 دن کے اندر دینا ہوگا۔ اگر کنٹرولر کا جواب ناکافی ہو تو ڈیٹا سبجیکٹ KVKK بورڈ تک بڑھا سکتا ہے، اور بورڈ کے پاس فیصلہ کرنے کے لیے 60 دن کی ونڈو ہے۔ 30 دن کی ونڈو کے لیے آپریشنل تیاری — رن بک، ٹولنگ، اور ترکی زبان میں جواب کے سانچوں کے ساتھ — غیر ملکی ناشرین کے لیے ایک عام خلا ہے۔
2026 میں جرمانے اور نفاذ کا موقف
KVKK بورڈ اپنے پہلے کئی سالوں میں نسبتاً خاموش رہا لیکن نے نفاذ کو بامعنی طور پر بڑھایا ہے۔ 2025 کا کل جرمانہ قانون کے نافذ ہونے کے بعد سے سب سے زیادہ تھا، اور 2026 اسی رفتار پر ہے۔
انتظامی جرمانے
انتظامی جرمانوں کو سالانہ افراط زر سے منسلک کیا جاتا ہے۔ 2026 تک سب سے سنگین خلاف ورزیوں کی حد فی خلاف ورزی TRY 40 ملین سے تجاوز کر گئی ہے، اور ڈیٹا سیکیورٹی، اطلاع، VERBIS رجسٹریشن، اور بورڈ کے فیصلوں کے گرد ناکامیوں پر الگ حدود لاگو ہوتی ہیں۔ غیر ملکی کنٹرولرز کو 2025 کی کئی کارروائیوں میں سب سے اوپر کی حد پر جرمانہ کیا گیا ہے۔
شہرت کا انکشاف
بورڈ اپنی ویب سائٹ پر نفاذی فیصلوں کا خلاصہ شائع کرتا ہے۔ غیر ملکی ناشرین پر جرمانے باقاعدگی سے ترکی کی ٹیکنالوجی پریس میں جگہ پاتے رہے ہیں، اور ایک عوامی KVKK فیصلے کی شہرت کی قیمت عام طور پر خود جرمانے سے زیادہ ہوتی ہے۔
نفاذ کے موضوعات
بورڈ کی 2025 اور ابتدائی 2026 کی کارروائیاں دہرائے جانے والے مسائل کے ایک چھوٹے سیٹ کے گرد جمع ہیں: گمشدہ یا مبہم کوکی رضامندی، ناکافی Aydınlatma Metni، VERBIS میں غیر رجسٹرڈ غیر ملکی کنٹرولرز، اور 2024 سے پہلے کے فریم ورک کا استعمال کرتے ہوئے غیر قانونی سرحد پار منتقلیاں۔
2026 میں ترکی ٹریفک کے لیے آڈٹ چیک لسٹ
- CMP بینر ترک صارفین کے لیے ترکی میں دیا جاتا ہے، قبول، رد، اور اپنی مرضی سے ترتیب دینے کے ساتھ مساوی بصری نمایانی
- رضامندی کے مقاصد تفصیلی ہیں اور اپنے واضح رضامندی فلو کے پیچھے کسی بھی حساس زمرے کی پروسیسنگ کو الگ کرتے ہیں
- رضامندی کے لاگز وقت کی مہر کے ساتھ، برآمد کے قابل، اور کم از کم پروسیسنگ کی مدت کے علاوہ قابل آڈٹ مارجن کے لیے برقرار رکھے جاتے ہیں
- Aydınlatma Metni کنٹرولر، پروسیسرز، مقاصد، برقراری، اور حقوق کے مکمل انکشافات کے ساتھ ترکی میں دستیاب ہے
- VERBIS رجسٹریشن مکمل اور تازہ ترین ہے اگر کنٹرولر حد سے تجاوز کرے
- سرحد پار منتقلیاں 2024 معیاری معاہداتی شقوں یا کسی دوسرے درست آرٹیکل 9 طریقہ کار پر انحصار کرتی ہیں، جس کا طریقہ کار Aydınlatma Metni میں دستاویزی ہے
- ڈیٹا سبجیکٹ کی درخواست کا ورک فلو ترکی میں شروع سے آخر تک 30 دنوں کے اندر جواب دے سکتا ہے
- وینڈر کی فہرست کا جائزہ لیا گیا ہے، غیر استعمال شدہ یا فالتو وینڈرز کو انکشاف کم کرنے کے لیے ہٹایا گیا ہے
2026 کا نقطہ نظر
ترکی کا ڈیٹا تحفظ نظام شکل میں یورپی فریم ورک کو پکڑ چکا ہے اور نفاذ میں تیزی سے پکڑ رہا ہے۔ 2024 کی ترامیم نے جدید بین الاقوامی اشتہاری ٹیک کی سب سے بڑی ساختی رکاوٹ کو دور کر دیا — پرانا منتقلی نظام — اور بورڈ نے تب سے دو سال قانون کے باقی حصے کے نفاذ پر توجہ مرکوز کرنے میں گزارے ہیں۔ GDPR گریڈ رضامندی اسٹیک والے ناشرین کو ترکی کے لیے تیار ہونے کے لیے نسبتاً چھوٹی ایڈجسٹمنٹ کرنی ہیں: ترکی زبان میں CMP اور نوٹس، قابل اطلاق ہونے پر VERBIS رجسٹریشن، 2024 معیاری منتقلی شقیں، اور حساس ڈیٹا کی وسیع فہرست کے ساتھ احتیاط۔ جو ناشرین ترکی کو ہلکی چھوان والی مارکیٹ کے طور پر ٹریٹ کرتے رہے ہیں انہیں 2026 سال 2025 سے زیادہ مہنگا، اور 2027 سال 2026 سے زیادہ مہنگا ملے گا۔ اس خلا کو ہفتوں میں بند کیا جا سکتا ہے اگر اسے ترجیح دی جائے — اور ایسا ہونا چاہیے۔