خدمات قانونية حول العالم · 15 لغة
مكتب SERKA للمحاماةاستشارات قانونية دولية

قانون خصوصية البيانات في تركيا: دليل الامتثال لقانون KVKK

قانون خصوصية البيانات في تركيا: دليل الامتثال لقانون KVKK

بقلم المحامي Serkan Kara، Istanbul Bar No. 53770. آخر تحديث: 14 يونيو 2026.

تخضع خصوصية البيانات في تركيا لقانون حماية البيانات الشخصية رقم 6698 (KVKK)، وهو نظام مُصاغ على نحو وثيق وفق اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR). يحكم قانون KVKK كيفية قيام المتحكمين في البيانات بجمع البيانات الشخصية ومعالجتها وتخزينها ونقلها، ويُحدّد شروط المعالجة المشروعة في المادة 5، وينظّم عمليات النقل عبر الحدود في المادة 9، وتتولى إنفاذه هيئة حماية البيانات الشخصية (Kisisel Verileri Koruma Kurumu). وبالنسبة للشركات العاملة عبر الحدود، أصبح الامتثال لقانون KVKK يقترن اليوم بالتعرّض لأحكام GDPR، وقانون الاتحاد الأوروبي للذكاء الاصطناعي (EU AI Act)، والتزامات الإبلاغ عن خروقات البيانات؛ ومن ثمّ يجب قراءة هذه الأدوات الناظمة معًا لا بمعزل عن بعضها.

بالنسبة للمستثمرين الأجانب والمستشارين القانونيين العامين والشركات العاملة عبر الحدود، لم يعد الامتثال في مجالي التكنولوجيا وخصوصية البيانات في تركيا مسألة تخضع لنصٍّ تشريعي واحد. فقانون حماية البيانات الشخصية رقم 6698 (KVKK) هو الأداة المحلية الأساسية، لكنّ التعرّض الفعلي يمتد كذلك عبر اللائحة العامة لحماية البيانات (GDPR)، وقانون الاتحاد الأوروبي للذكاء الاصطناعي (EU AI Act)، والالتزامات التعاقدية التي يفرضها العملاء من المؤسسات الكبرى. يجيب هذا الدليل عن الأسئلة التي يطرحها العملاء فعليًا، ويُسمّي الأدوات الناظمة، ويوضّح كيف يقلّل برنامج امتثالٍ موثّق من مخاطر الإنفاذ والمعاملات.

ما القانون الذي يحكم خصوصية البيانات في تركيا؟

تخضع خصوصية البيانات في تركيا لقانون حماية البيانات الشخصية رقم 6698 (KVKK)، الذي دخل حيز النفاذ عام 2016، والمتوائم هيكليًا مع اللائحة العامة لحماية البيانات في الاتحاد الأوروبي (GDPR). ينطبق قانون KVKK على المتحكمين في البيانات والمعالجين الذين يتعاملون مع البيانات الشخصية للأفراد، ويُحدّد شروط المعالجة المشروعة، ويُعرّف حقوق أصحاب البيانات، ويُنشئ هيئة حماية البيانات الشخصية بوصفها الجهة الإشرافية. كما تظل الشركات التي تخدم العملاء الأوروبيين خاضعةً لأحكام GDPR، ولذلك كثيرًا ما تتحمّل المنشأة الواحدة التزامات مزدوجة.

يبني قانون KVKK إطاره على مبادئ مألوفة: المعالجة المشروعة والعادلة والشفافة؛ وتحديد الغرض؛ وتقليل البيانات إلى الحدّ الأدنى؛ والدقة؛ والحدّ من مدة التخزين؛ وأمن البيانات. وهذه المبادئ ليست تجريدية. فهي المعيار الذي تقيس به الهيئة ما إذا كانت المعالجة مشروعة وما إذا كانت الضوابط كافية أثناء التدقيق أو عقب وقوع حادثة.

ما الأساس المشروع لمعالجة البيانات الشخصية بموجب قانون KVKK؟

بموجب المادة 5 من قانون KVKK، لا يجوز معالجة البيانات الشخصية إلا بالموافقة الصريحة لصاحب البيانات أو حيثما ينطبق أحد الاستثناءات القانونية المنصوص عليها، مثل تنفيذ عقد، أو الامتثال لالتزام قانوني، أو حماية مصلحة مشروعة، أو الأسباب المنصوص عليها صراحةً في القانون. وتُعدّ المعالجة دون موافقة ودون استثناءٍ مؤهِّل معالجةً غير مشروعة، بصرف النظر عن كيفية تأمين البيانات تقنيًا.

في الممارسة العملية، لا يكمن الإخفاق الأكثر شيوعًا في غياب الأساس المشروع، بل في العجز عن إثباته. وينبغي أن يكون بمقدور المتحكمين أن يُظهروا، لكل نشاط معالجة، الأساس المحدّد الذي اعتمدوا عليه، والغرض، وفئات البيانات المعنية، ومدة الاحتفاظ. وتخضع الفئات الخاصة من البيانات لشروط أكثر صرامة، لذا ينبغي توثيق الأساس المعتمَد لمعالجة البيانات الصحية أو البيومترية أو ما شابهها على نحو منفصل ومتحفّظ.

كيف يُنظَّم نقل البيانات عبر الحدود؟

تحكم المادة 9 من قانون KVKK نقل البيانات الشخصية إلى الخارج، إذ تشترط إمّا الموافقة الصريحة وإمّا توافر مستوى ملائم من الحماية في الدولة المتلقّية، مدعومةً عند الاقتضاء بتعهّدات مُلزِمة بين الأطراف. وحيثما تخضع الشركات أيضًا لأحكام GDPR، تصبح الآليات الموازية ذات صلة بتدفّقات البيانات المقابلة ذات المنشأ الأوروبي، مثل الشروط التعاقدية المعيارية (SCCs)، أو القواعد المؤسسية المُلزِمة (BCRs)، أو أُطر الكفاية مثل إطار خصوصية البيانات بين الاتحاد الأوروبي والولايات المتحدة (DPF).

أمّا الخطأ المتكرّر فهو معاملة البنية السحابية على أنها مشروعة تلقائيًا. فإطار النقل ينهار إذا كانت سلسلة المعالجين الفرعيين غير مكتملة، أو إذا كان بمقدور فرق الدعم العالمية الوصول إلى بيانات الإنتاج دون ضوابط، أو إذا كانت الشركة عاجزة عن الإجابة عمّن يستطيع الوصول إلى أي بيانات ومتى. فلا بدّ أن يتطابق الموقف القانوني مع الواقع التقني لموضع البيانات ومن يتعامل معها.

آلية النقل الأنسب لـ القيد الرئيسي
الشروط التعاقدية المعيارية (SCCs) معظم التدفّقات عبر الحدود؛ سريعة التطبيق تعاقديًا تبقى مجرد وثيقة ما لم تُقترن بضوابط تقنية وضوابط وصول قابلة للتحقّق
القواعد المؤسسية المُلزِمة (BCRs) المجموعات متعددة الجنسيات الكبرى ذات الحوكمة الناضجة تتطلّب استثمارًا كبيرًا ووقتًا للموافقة الداخلية
الكفاية / إطار DPF المتلقّون المؤهَّلون في الولايات القضائية المشمولة لا تشمل عمليات النقل اللاحقة ولا تُغني عن العناية الواجبة تجاه الموردين

ما هو نظام VERBIS ومن يجب عليه التسجيل؟

VERBIS هو سجل المتحكمين في البيانات المُدار بموجب قانون KVKK، ويُلزَم فيه المتحكمون في البيانات بتسجيل أنشطة المعالجة الخاصة بهم ما لم ينطبق إعفاء. والتسجيل ليس إجراءً شكليًا يُؤدّى مرة واحدة. فهو يرتبط بالتزام الاحتفاظ بجرد دقيق للمعالجة يعكس ما هي البيانات المحتفظ بها، ولماذا، وعلى أي أساس مشروع، ولأي مدة.

أمّا مسألة ما إذا كانت شركة بعينها مُلزَمة بالتسجيل، وأي عتبات أو إعفاءات قابلة للتطبيق، فهي من تحديد الهيئة وقد تتغيّر؛ لذا تأكّد من التزام التسجيل ومن أي عتبات سارية وقت تقديمك الطلب. والخلاصة العملية أن سلامة الوضع لدى VERBIS تعتمد على ذات عملية رسم خريطة البيانات التي تدعم كل جزء آخر من برنامج الامتثال.

ما الحقوق التي يتمتّع بها الأفراد، وكيف يضيف قانون الاتحاد الأوروبي للذكاء الاصطناعي إلى الصورة؟

بموجب قانون KVKK، يتمتّع أصحاب البيانات بحقوق تشمل الوصول إلى بياناتهم، وتصحيح البيانات غير الدقيقة، والمحو أو الإتلاف في ظروف محدّدة، والحق في الاعتراض على النتائج المُتخذة استنادًا إلى المعالجة الآلية وحدها. وعلى المتحكمين أن تكون لديهم آلية لاستقبال هذه الطلبات وتقييمها والردّ عليها خلال المدة التي يحدّدها القانون، وأن يكونوا قادرين على إثبات أن هذه الآلية تعمل.

وبالنسبة للشركات التي تبني أنظمة الذكاء الاصطناعي أو تنشرها، يضيف قانون الاتحاد الأوروبي للذكاء الاصطناعي نظامًا منفصلًا قائمًا على المخاطر، يصنّف الأنظمة ويفرض التزامات حوكمة على الاستخدامات الأعلى خطورة مثل فرز التوظيف، وتقييم الائتمان والتأمين، والتعرّف البيومتري. والسؤال العملي للشركات العاملة عبر الحدود ليس ما إذا كانت تستخدم الذكاء الاصطناعي، بل ما إذا كانت أنظمتها مصنّفة تصنيفًا صحيحًا وما إذا كان بمقدورها تقديم ملفّ حوكمة متماسك — يشمل إدارة المخاطر، والإشراف البشري، والتوثيق التقني، وسجلات التشغيل — عندما تطلب ذلك جهة تنظيمية أو عميل من المؤسسات.

ما العقوبات المترتبة على مخالفات قانون KVKK؟

ينصّ قانون KVKK على غرامات إدارية وتدابير أخرى عن المخالفات مثل المعالجة غير المشروعة، أو الإخفاق في ضمان أمن البيانات، أو الإخفاق في التسجيل عند وجوبه. والعتبات المالية محدّدة بنصّ القانون وتُعدَّل بمرور الوقت، لذا ينبغي التحقّق من أي نطاق غرامة بالرجوع إلى الأرقام السارية وقت ارتكاب الفعل أو وقت تقديم الطلب، لا اعتبارها مبلغًا حاليًا ثابتًا.

وتتحدّد نتائج الإنفاذ بجودة الاستجابة أكثر مما تتحدّد بمجرد وجود مخالفة. فالوقائع الحاسمة عادةً هي ما إذا كان بمقدور المتحكم إثبات غرضٍ مشروع وتقليلٍ للبيانات وضوابطَ كافية بتوثيق حقيقي، وما إذا كان الفريق التشغيلي قد نفّذ الاستجابة للخرق دون تناقضات ودون فقدان الأدلة.

كيف ينبغي للشركات التعامل مع خرق البيانات ومع مهلة الإبلاغ؟

الاستجابة للخرق اختبار لعملية متكاملة، لا قرار منفرد. فبموجب اللائحة العامة لحماية البيانات (GDPR)، تشترط المادة 33 الإبلاغ إلى الجهة الإشرافية دون تأخير لا مبرّر له، وحيثما أمكن خلال 72 ساعة من العلم بوقوع خرق للبيانات الشخصية يبلغ العتبة المقرّرة؛ كذلك يشترط قانون KVKK الإبلاغ إلى الهيئة وإلى الأفراد المتضررين خلال المدة التي يحدّدها. والإخفاق الشائع هو التأخير: إذ تنتظر الشركات اليقين التام فتفوّت النافذة الزمنية القانونية.

إن الاستجابة القابلة للدفاع عنها في اليوم الأول تعني تفعيل مركز قيادة واحد للحادثة، والحفاظ على الأدلة مثل السجلات واللقطات قبل أن يتلفها الاحتواء، وتحديد مجموعات البيانات والولايات القضائية المتأثرة، والإبقاء على قناة سردية واحدة متسقة عبر الجهات التنظيمية والعملاء وشركات التأمين. ابنِ دليل الإجراءات قبل وقوع الحادثة، لأن النافذة أقصر من أن تتيح تصميم العملية بينما الوقائع لا تزال غير مكتملة.

الأسئلة الشائعة

هل ينطبق قانون KVKK على شركة أجنبية لا مكتب لها في تركيا؟

يمكن أن يطال قانون KVKK المتحكمين في البيانات الذين يعالجون البيانات الشخصية للأفراد في تركيا، تبعًا لطبيعة المعالجة وموقعها. ولا ينبغي لشركة لا مكتب محلي لها أن تفترض أنها خارج النطاق؛ بل عليها رسم خريطة لأماكن وجود أصحاب بياناتها، وما البيانات التي تُعالَج، وعلى أي أساس مشروع، والحصول على المشورة بشأن بصمتها المحدّدة بموجب القانون رقم 6698.

هل تُضفي الشروط التعاقدية المعيارية (SCCs) المشروعية تلقائيًا على عمليات النقل السحابية بموجب GDPR؟

لا. الشروط التعاقدية المعيارية آلية تعاقدية، لا ختمًا يُضفي المشروعية على أي عملية نقل. فلا بدّ أن تتواءم مع الواقع التقني، وأن تُدعَم — حيثما كان خطر النقل مرتفعًا — بتدابير تكميلية مثل التشفير، وإدارة المفاتيح، والرقابة الصارمة على الوصول. وإذا كانت سلسلة المعالجين الفرعيين أو نموذج الوصول غير واضح، تتحوّل الشروط التعاقدية المعيارية إلى مجرد وثيقة ولن تصمد أمام تدقيق تقني.

هل الموافقة مطلوبة دائمًا لمعالجة البيانات الشخصية في تركيا؟

لا. تُعدّد المادة 5 من قانون KVKK استثناءات قانونية تسمح بالمعالجة دون موافقة صريحة، مثل تنفيذ عقد أو الامتثال لالتزام قانوني. فالموافقة أساس مشروع واحد من بين عدة أُسس، لكن حيثما تعتمد على استثناء يجب أن تكون قادرًا على تحديده بدقة وتوثيق سبب انطباقه على نشاط المعالجة المحدّد ذاك.

كيف يؤثّر قانون الاتحاد الأوروبي للذكاء الاصطناعي في شركة تركية؟

يصبح قانون الاتحاد الأوروبي للذكاء الاصطناعي ذا صلة حيثما تطرح شركة أنظمة ذكاء اصطناعي في سوق الاتحاد الأوروبي، أو تخدم عملاء مقيمين في الاتحاد الأوروبي، أو تكون مُلزَمة تعاقديًا بإثبات الامتثال في مجال الذكاء الاصطناعي. وكثيرًا ما تفرض ضغوط المشتريات الحوكمة في وقت أبكر من المواعيد النهائية الرسمية، لذا فإن الخطوة العملية هي جرد أنظمة الذكاء الاصطناعي، وتصنيفها بحسب المخاطر، وتجميع التوثيق الذي يتوقّعه المشترون من المؤسسات والجهات التنظيمية.

ما أسرع تحسين امتثالي مفرد لشركة متوسطة الحجم؟

ابنِ السجلات الأساسية وحافظ عليها: سجل المعالجة، وسجل عمليات النقل، وسجل أنظمة الذكاء الاصطناعي حيثما كان ذا صلة، وسجل الموردين. ثم افرض قاعدة مشتريات بسيطة مفادها ألا يُطلَق أي مورد جديد ولا أي ميزة ذكاء اصطناعي جديدة دون تحديثٍ للسجل وفحصٍ لآلية النقل والأساس المشروع. فهذه السجلات تصبح طبقة الأدلة التي تحتاجها للردّ على جهة تنظيمية أو عميل بسرعة.

تحدّث إلى مستشارك القانوني قبل مشروع بياناتك القادم

تتقاطع مسائل خصوصية البيانات عبر الحدود، وحوكمة الذكاء الاصطناعي، والعملات المشفّرة والتكنولوجيا، بطرق يصعب إدارتها نصًّا تشريعيًا تلو الآخر. وإذا كنت بحاجة إلى برنامج موثّق وجاهز للتدقيق بدلًا من قائمة مرجعية، فإن فريق قانون التكنولوجيا وخصوصية البيانات والعملات المشفّرة لدينا يقدّم المشورة للمستثمرين الأجانب والشركات العاملة عبر الحدود بشأن الامتثال لقانوني KVKK وGDPR، وآليات النقل، وحوكمة قانون الذكاء الاصطناعي، والاستجابة للحوادث. كما ندعم المعاملات ذات الصلة من خلال ممارستنا في قانون الشركات والقانون التجاري عندما تكون أصول البيانات جزءًا من صفقة.

للاطلاع على مواد ذات صلة، راجع أدلّتنا حول قانون الملكية الفكرية، والجوانب القانونية لـالاستثمارات الدولية في تركيا، وموجّهات التحليل القانوني بالذكاء الاصطناعي لتركيا.

معلومات عامة، وليست استشارة قانونية. القانون التركي؛ تحقّق من وضعك المحدّد مع مستشار قانوني مؤهَّل.