Cấu trúc của KVKK sau các sửa đổi năm 2024

KVKK là đạo luật bảo vệ dữ liệu chính của Thổ Nhĩ Kỳ, và văn bản đã sửa đổi hiện là điểm tham chiếu. Các nhà xuất bản đang làm việc với phiên bản trước năm 2024 đang nhìn vào một khuôn khổ lỗi thời.

Các sửa đổi năm 2024 đã thay đổi gì

Thay đổi nổi bật là viết lại Điều 9, điều chỉnh việc chuyển dữ liệu quốc tế. Chế độ trước năm 2024 nổi tiếng là khó đáp ứng — nó yêu cầu hoặc đồng ý rõ ràng hoặc ủy quyền từng trường hợp của Hội đồng cho hầu hết mọi luồng xuyên biên giới, điều này không khả thi đối với bất kỳ ngăn xếp công nghệ quảng cáo hiện đại nào. Điều 9 đã sửa đổi giới thiệu ba tầng cơ chế chuyển dữ liệu: quyết định đầy đủ từ Hội đồng, một bộ biện pháp bảo vệ phù hợp bao gồm các điều khoản hợp đồng tiêu chuẩn, và trong các trường hợp hẹp, một bộ ngoại lệ. Điều này cuối cùng đã điều chỉnh luật chuyển dữ liệu của Thổ Nhĩ Kỳ với mô hình GDPR và làm cho quảng cáo lập trình tuân thủ quốc tế mà không cần nộp đơn cho Hội đồng mỗi nhà cung cấp.

Điều gì không thay đổi

Các định nghĩa cốt lõi, căn cứ pháp lý, quyền của chủ thể dữ liệu và tiêu chuẩn đồng ý rõ ràng đối với dữ liệu nhạy cảm vẫn như cũ. Ngưỡng đồng ý rõ ràng của Thổ Nhĩ Kỳ, nếu có điều gì, thực tế nghiêm ngặt hơn tiêu chuẩn GDPR, và đây là nơi hầu hết các khoảng trống tuân thủ của nhà xuất bản vẫn tồn tại.

Sổ đăng ký VERBIS

Các bộ điều khiển dữ liệu vượt quá các ngưỡng nhất định — bao gồm hầu hết các bộ điều khiển nước ngoài xử lý dữ liệu cá nhân của Thổ Nhĩ Kỳ ở quy mô lớn — phải đăng ký vào Sổ đăng ký Bộ điều khiển Dữ liệu (VERBIS). Đăng ký yêu cầu tiết lộ các hoạt động xử lý, căn cứ pháp lý và cơ chế chuyển dữ liệu. Nhiều nhà xuất bản nước ngoài theo lịch sử đã bỏ qua việc đăng ký VERBIS; Hội đồng đã báo hiệu lập trường tích cực hơn về vấn đề này trong suốt năm 2025 và 2026.

Điều gì được tính là dữ liệu cá nhân theo KVKK

Định nghĩa dữ liệu cá nhân của KVKK rộng và gần như trùng khớp với GDPR. Dữ liệu cá nhân là bất kỳ thông tin nào liên quan đến một thể nhân đã được xác định hoặc có thể nhận dạng, và hướng dẫn của Hội đồng đã nhất quán coi cookie, số nhận dạng quảng cáo, địa chỉ IP và dấu vân tay thiết bị là dữ liệu cá nhân khi chúng có thể được liên kết với người dùng trực tiếp hoặc thông qua các phương tiện hợp lý.

Dữ liệu cá nhân nhạy cảm

Danh sách các danh mục nhạy cảm của KVKK rộng hơn GDPR: nó rõ ràng bao gồm chủng tộc, nguồn gốc dân tộc, quan điểm chính trị, tín ngưỡng triết học, tôn giáo, giáo phái, ngoại hình, tư cách thành viên hội hoặc tổ chức, sức khỏe, đời sống tình dục, án phạt hình sự, biện pháp an ninh và dữ liệu sinh trắc học và di truyền. Xử lý bất kỳ dữ liệu nào trong số này đòi hỏi sự đồng ý rõ ràng — không phải loại mơ hồ hay gói gọn, mà là đồng ý cụ thể, có đầy đủ thông tin, được đưa ra tự do gắn với việc xử lý nhạy cảm cụ thể.

Tại sao điều này quan trọng đối với cookie

Một cookie chỉ lưu ID phiên là dữ liệu cá nhân cơ bản. Một cookie cung cấp dữ liệu cho phân khúc khán giả như Cử tri Tự do hoặc Cộng đồng Tín ngưỡng Ngoan đạo là dữ liệu cá nhân nhạy cảm theo định nghĩa của Thổ Nhĩ Kỳ — và cấu hình đồng ý cần thiết là đồng ý-rõ-ràng-hoặc-không-có-gì. Các nhà xuất bản nhắm vào phân khúc khán giả chạm vào danh sách nhạy cảm của KVKK không nên chạy các phân khúc đó dưới đồng ý quảng cáo chung.

Đồng ý cookie theo KVKK năm 2026

Lập trường của Hội đồng về cookie đã thắt chặt hơn trong hai năm qua. Hướng dẫn hiện tại rõ ràng: cookie và công nghệ theo dõi xử lý dữ liệu cá nhân đòi hỏi sự đồng ý trừ khi chúng cần thiết hoàn toàn cho một dịch vụ mà người dùng đã yêu cầu.

Bốn yếu tố của đồng ý rõ ràng hợp lệ

Đồng ý rõ ràng của Thổ Nhĩ Kỳ phải:

• Liên quan đến một chủ đề cụ thể — đồng ý ô che chung bao gồm việc xử lý tương lai không xác định không hợp lệ
• Có đầy đủ thông tin — người dùng hiểu dữ liệu nào được xử lý, với mục đích gì, bởi ai và trong bao lâu
• Được đưa ra tự do — người dùng có thể từ chối mà không bị từ chối dịch vụ mà họ có quyền
• Được thể hiện bằng hành động khẳng định rõ ràng — ô được đánh dấu trước, đồng ý ngầm định và cuộn trang là đồng ý đều không hợp lệ

CMP tuân thủ trông như thế nào

CMP được cấu hình cho lưu lượng truy cập của Thổ Nhĩ Kỳ vào năm 2026 nên trình bày:

• Banner hiển thị trước khi cookie không thiết yếu nào kích hoạt, mặc định là tiếng Thổ Nhĩ Kỳ (Türkçe) cho người dùng Thổ Nhĩ Kỳ
• Độ nổi bật hình ảnh bình đẳng cho Chấp nhận, Từ chối và Tùy chỉnh — Hội đồng đã chỉ rõ các thiết kế banner nơi Từ chối ít hiển thị hơn Chấp nhận
• Các nút gạt chi tiết theo mục đích: phân tích, quảng cáo, cá nhân hóa, chuyển xuyên biên giới và bất kỳ xử lý danh mục nhạy cảm nào
• Cơ chế liên tục, dễ truy cập để rút lại đồng ý sau lựa chọn ban đầu
• Aydınlatma Metni (Thông báo Quyền riêng tư) bằng tiếng Thổ Nhĩ Kỳ tiết lộ danh tính bộ điều khiển, mục đích, người nhận, thời gian lưu trữ và quyền
• Một luồng đồng ý rõ ràng riêng biệt, được đặt nhãn rõ ràng (açık rıza) cho bất kỳ xử lý danh mục nhạy cảm nào, bị chặn sau hành động riêng của nó

Hồ sơ đồng ý

Bộ điều khiển phải duy trì hồ sơ đồng ý — ai đã đồng ý, khi nào, với điều gì, qua giao diện nào. Hội đồng KVKK đã trích dẫn nhật ký đồng ý không đầy đủ trong một số hành động thực thi, và nhật ký có thể xuất với dấu thời gian là kỳ vọng cơ bản.

Chuyển dữ liệu xuyên biên giới theo Điều 9 sửa đổi năm 2024

Các sửa đổi năm 2024 đã giới thiệu khung chuyển dữ liệu ba tầng phản ánh cách tiếp cận của GDPR. Hiểu tầng nào áp dụng cho luồng nào là khoảng trống tuân thủ phổ biến nhất đối với các nhà xuất bản nước ngoài vào năm 2026.

Tầng 1 — Quyết định đầy đủ

Hội đồng có thể chỉ định một quốc gia, tổ chức quốc tế hoặc lĩnh vực của một quốc gia là cung cấp đầy đủ bảo vệ. Các chuyển dữ liệu đến các điểm đến đầy đủ được phép mà không cần cơ chế bổ sung. Vào đầu năm 2026, Hội đồng đã dần dần ban hành các quyết định đầy đủ nhưng chưa chỉ định Hoa Kỳ rộng rãi.

Tầng 2 — Biện pháp bảo vệ phù hợp

Trong trường hợp không có tính đầy đủ, các chuyển dữ liệu được phép trên cơ sở các biện pháp bảo vệ phù hợp. Các sửa đổi đặc biệt dự kiến các điều khoản hợp đồng tiêu chuẩn được Hội đồng chấp thuận, các quy tắc ràng buộc doanh nghiệp cho các chuyển dữ liệu trong nhóm và các bộ quy tắc ứng xử hoặc cơ chế chứng nhận được Hội đồng chấp thuận. Các điều khoản hợp đồng tiêu chuẩn của Hội đồng đã được công bố vào năm 2024 và là cơ chế làm việc chính cho hầu hết các nhà xuất bản.

Tầng 3 — Ngoại lệ

Tồn tại các ngoại lệ hẹp đối với các chuyển dữ liệu thỉnh thoảng, chuyển dữ liệu cần thiết để thực hiện hợp đồng hoặc các chuyển dữ liệu mà người dùng đã đồng ý rõ ràng. Những điều này không thể được sử dụng làm căn cứ pháp lý chính cho các luồng lập trình đang diễn ra.

Hàm ý thực tế cho các nhà xuất bản

Một ngăn xếp lập trình điển hình gửi dữ liệu có nguồn gốc từ cookie đến hàng chục nhà cung cấp nước ngoài mỗi đấu thầu. Mỗi luồng đó là một chuyển dữ liệu xuyên biên giới. Cách tiếp cận khả thi cho năm 2026 là thực thi các điều khoản hợp đồng tiêu chuẩn được Hội đồng chấp thuận với từng bộ xử lý quốc tế và ghi lại cơ chế chuyển dữ liệu trong Aydınlatma Metni và đăng ký VERBIS. Các nhà xuất bản vẫn tuân theo logic đồng ý-rõ-ràng-mỗi-chuyển-dữ-liệu trước năm 2024 đồng thời bị lộ quá mức về rủi ro tuân thủ và chưa khai thác hết cơ hội kiếm tiền.

Quyền của chủ thể dữ liệu

Các chủ thể dữ liệu Thổ Nhĩ Kỳ có đầy đủ các quyền tìm thấy trong GDPR, được áp dụng thông qua khuôn khổ KVKK:

• Quyền tìm hiểu xem dữ liệu của họ có đang được xử lý không
• Quyền truy cập vào dữ liệu được xử lý
• Quyền chỉnh sửa dữ liệu không chính xác
• Quyền xóa hoặc ẩn danh hóa khi việc xử lý không còn được biện hộ
• Quyền được thông báo về các bên thứ ba mà dữ liệu đã được tiết lộ
• Quyền phản đối các quyết định tự động gây ra tác động bất lợi
• Quyền bồi thường thiệt hại do xử lý bất hợp pháp gây ra

Thời hạn phản hồi

Các bộ điều khiển phải phản hồi các yêu cầu của chủ thể dữ liệu trong vòng 30 ngày. Chủ thể dữ liệu có thể leo thang lên Hội đồng KVKK nếu phản hồi của bộ điều khiển không đầy đủ, và Hội đồng có cửa sổ 60 ngày để quyết định. Sự sẵn sàng hoạt động cho cửa sổ 30 ngày — với sách hướng dẫn vận hành, công cụ và mẫu phản hồi bằng tiếng Thổ Nhĩ Kỳ — là khoảng trống phổ biến đối với các nhà xuất bản nước ngoài.

Hình phạt và lập trường thực thi năm 2026

Hội đồng KVKK tương đối yên tĩnh trong vài năm đầu nhưng đã leo thang đáng kể việc thực thi. Tổng số tiền phạt năm 2025 là cao nhất kể từ khi luật có hiệu lực, và năm 2026 đang trên quỹ đạo tương tự.

Phạt hành chính

Các khoản phạt hành chính được lập chỉ mục hàng năm theo lạm phát. Tính đến năm 2026, mức trần cho các vi phạm nghiêm trọng nhất vượt quá 40 triệu TRY mỗi vi phạm, và các mức trần riêng biệt áp dụng cho các thất bại xung quanh bảo mật dữ liệu, thông báo, đăng ký VERBIS và các quyết định của Hội đồng. Các bộ điều khiển nước ngoài đã bị phạt ở mức cao nhất trong một số hành động năm 2025.

Rủi ro danh tiếng

Hội đồng công bố tóm tắt các quyết định thực thi trên trang web của mình. Các khoản phạt đối với nhà xuất bản nước ngoài thường xuyên xuất hiện trên báo chí công nghệ Thổ Nhĩ Kỳ, và chi phí danh tiếng của một quyết định KVKK công khai thường cao hơn bản thân khoản phạt.

Chủ đề thực thi

Các hành động của Hội đồng vào năm 2025 và đầu năm 2026 tập trung quanh một bộ vấn đề tái diễn nhỏ: đồng ý cookie thiếu hoặc mơ hồ, Aydınlatma Metni không đầy đủ, các bộ điều khiển nước ngoài chưa đăng ký vào VERBIS và chuyển dữ liệu xuyên biên giới bất hợp pháp sử dụng khuôn khổ trước năm 2024.

Danh sách kiểm tra kiểm toán cho lưu lượng truy cập Thổ Nhĩ Kỳ năm 2026

• Banner CMP được phục vụ bằng tiếng Thổ Nhĩ Kỳ cho người dùng Thổ Nhĩ Kỳ, với Chấp nhận, Từ chối và Tùy chỉnh có độ nổi bật hình ảnh bình đẳng
• Mục đích đồng ý chi tiết và phân tách bất kỳ xử lý danh mục nhạy cảm nào sau luồng đồng ý rõ ràng riêng của nó
• Nhật ký đồng ý có dấu thời gian, có thể xuất và được lưu giữ ít nhất trong thời gian xử lý cộng với biên kiểm toán
• Aydınlatma Metni có sẵn bằng tiếng Thổ Nhĩ Kỳ với đầy đủ thông tin tiết lộ về bộ điều khiển, bộ xử lý, mục đích, thời gian lưu trữ và quyền
• Đăng ký VERBIS hoàn chỉnh và cập nhật nếu bộ điều khiển vượt ngưỡng
• Chuyển dữ liệu xuyên biên giới dựa vào các điều khoản hợp đồng tiêu chuẩn năm 2024 hoặc cơ chế Điều 9 hợp lệ khác, với cơ chế được ghi lại trong Aydınlatma Metni
• Luồng công việc yêu cầu chủ thể dữ liệu có thể phản hồi trong vòng 30 ngày từ đầu đến cuối bằng tiếng Thổ Nhĩ Kỳ
• Danh sách nhà cung cấp đã được xem xét, với các nhà cung cấp không sử dụng hoặc dư thừa được loại bỏ để giảm thiểu rủi ro

Triển vọng năm 2026

Chế độ bảo vệ dữ liệu của Thổ Nhĩ Kỳ đã theo kịp khuôn khổ châu Âu về hình thức và đang nhanh chóng theo kịp về thực thi. Các sửa đổi năm 2024 đã loại bỏ rào cản cấu trúc lớn nhất đối với công nghệ quảng cáo quốc tế hiện đại — chế độ chuyển dữ liệu cũ — và Hội đồng đã sử dụng hai năm kể từ đó để tập trung thực thi phần còn lại của luật. Các nhà xuất bản có ngăn xếp đồng ý ở cấp GDPR cần thực hiện các điều chỉnh tương đối nhỏ để sẵn sàng cho Thổ Nhĩ Kỳ: CMP và thông báo bằng tiếng Thổ Nhĩ Kỳ, đăng ký VERBIS nếu áp dụng, các điều khoản chuyển dữ liệu chuẩn năm 2024 và cẩn thận với danh sách dữ liệu nhạy cảm rộng hơn. Các nhà xuất bản đã coi Thổ Nhĩ Kỳ là thị trường nhẹ tay hơn sẽ thấy năm 2026 tốn kém hơn năm 2025, và năm 2027 tốn kém hơn năm 2026. Khoảng cách này có thể được thu hẹp trong vài tuần nếu được ưu tiên — và nên được ưu tiên.