خدمات حقوقی در سراسر جهان · ۱۵ زبان
مؤسسه حقوقی SERKAمشاوره حقوقی بین‌المللی

قانون حریم خصوصی داده‌ها در ترکیه: راهنمای انطباق با KVKK

قانون حریم خصوصی داده‌ها در ترکیه: راهنمای انطباق با KVKK

نوشتهٔ وکیل Serkan Kara، Istanbul Bar No. 53770. آخرین به‌روزرسانی: ۱۴ ژوئن ۲۰۲۶.

حریم خصوصی داده‌ها در ترکیه بر اساس قانون حمایت از داده‌های شخصی شمارهٔ ۶۶۹۸ (KVKK) اداره می‌شود؛ نظامی که از نزدیک بر مبنای مقررات عمومی حفاظت از داده‌های اتحادیهٔ اروپا (GDPR) الگوبرداری شده است. KVKK تعیین می‌کند که مسئولان داده چگونه داده‌های شخصی را گردآوری، پردازش، نگهداری و منتقل می‌کنند، شرایط پردازش قانونی را در مادهٔ ۵ مقرر می‌دارد، انتقال‌های فرامرزی را در مادهٔ ۹ تنظیم می‌کند و اجرای آن بر عهدهٔ مرجع حمایت از داده‌های شخصی (Kisisel Verileri Koruma Kurumu) است. برای شرکت‌های فرامرزی، انطباق با KVKK اکنون در کنار قرار گرفتن در معرض GDPR، قانون هوش مصنوعی اتحادیهٔ اروپا (EU AI Act) و تعهدات اطلاع‌رسانی نقض داده قرار دارد؛ از همین رو این اسناد حاکم باید به جای آنکه جداگانه بررسی شوند، در کنار یکدیگر مطالعه شوند.

برای سرمایه‌گذاران خارجی، مشاوران حقوقی ارشد و شرکت‌های فرامرزی، انطباق با مقررات فناوری و حریم خصوصی داده‌ها در ترکیه دیگر یک موضوع تک‌قانونی نیست. قانون حمایت از داده‌های شخصی شمارهٔ ۶۶۹۸ (KVKK) سند داخلی محوری است، اما قرار گرفتن واقعی در معرض مسئولیت از مسیر GDPR، قانون هوش مصنوعی اتحادیهٔ اروپا و تعهدات قراردادی تحمیل‌شده از سوی مشتریان شرکتی نیز عبور می‌کند. این راهنما به پرسش‌هایی پاسخ می‌دهد که موکلان واقعاً مطرح می‌کنند، اسناد حاکم را نام می‌برد و توضیح می‌دهد که چگونه یک برنامهٔ انطباق مستند، خطر اجرایی و معاملاتی را کاهش می‌دهد.

کدام قانون بر حریم خصوصی داده‌ها در ترکیه حاکم است؟

حریم خصوصی داده‌ها در ترکیه بر اساس قانون حمایت از داده‌های شخصی شمارهٔ ۶۶۹۸ (KVKK) اداره می‌شود که در سال ۲۰۱۶ لازم‌الاجرا شد و از نظر ساختاری با GDPR اتحادیهٔ اروپا هم‌سو است. KVKK بر مسئولان داده و پردازشگرانی که داده‌های شخصی افراد را در اختیار دارند اعمال می‌شود، شرایط پردازش قانونی را تعیین می‌کند، حقوق صاحبان داده را مشخص می‌سازد و مرجع حمایت از داده‌های شخصی را به‌عنوان نهاد نظارتی ایجاد می‌کند. شرکت‌هایی که به مشتریان اروپایی خدمت می‌رسانند نیز همچنان مشمول GDPR باقی می‌مانند، بنابراین یک کسب‌وکار واحد غالباً تعهدات دوگانه را بر دوش می‌کشد.

KVKK چارچوب خود را بر اصول آشنایی بنا می‌نهد: پردازش قانونی، منصفانه و شفاف؛ محدودیت هدف؛ به‌حداقل‌رساندن داده؛ صحت؛ محدودیت نگهداری؛ و امنیت داده. این اصول انتزاعی نیستند. آن‌ها معیاری هستند که مرجع بر اساس آن می‌سنجد که آیا پردازش قانونی بوده و آیا تدابیر کنترلی در جریان یک ممیزی یا پس از یک رویداد کافی بوده‌اند.

مبنای قانونی پردازش داده‌های شخصی بر اساس KVKK چیست؟

بر اساس مادهٔ ۵ KVKK، داده‌های شخصی تنها با رضایت صریح صاحب داده یا در مواردی که یکی از استثنائات قانونی فهرست‌شده اعمال شود — مانند اجرای یک قرارداد، رعایت یک تکلیف قانونی، حمایت از یک منفعت مشروع، یا مبانی‌ای که صراحتاً در قانون پیش‌بینی شده‌اند — قابل پردازش هستند. پردازش بدون رضایت و بدون وجود یک استثنای واجد شرایط، صرف‌نظر از اینکه داده از نظر فنی چگونه ایمن شده باشد، غیرقانونی است.

در عمل، رایج‌ترین خطا نبود یک مبنای قانونی نیست، بلکه ناتوانی در اثبات آن است. مسئولان داده باید بتوانند برای هر فعالیت پردازشی، مبنای خاص مورد اتکا، هدف، دسته‌بندی‌های داده‌ای درگیر و دورهٔ نگهداری را نشان دهند. دسته‌بندی‌های ویژهٔ داده شرایط سخت‌گیرانه‌تری دارند، بنابراین مبنای پردازش داده‌های سلامت، زیست‌سنجی (بیومتریک) یا مشابه آن باید جداگانه و محتاطانه مستند شود.

انتقال‌های فرامرزی داده چگونه تنظیم می‌شوند؟

مادهٔ ۹ KVKK بر انتقال داده‌های شخصی به خارج از کشور حاکم است و یا رضایت صریح یا سطح کافی از حمایت در کشور دریافت‌کننده را — که در صورت اقتضا با تعهدات الزام‌آور میان طرف‌ها پشتیبانی شود — الزامی می‌داند. در مواردی که شرکت‌ها مشمول GDPR نیز قرار می‌گیرند، سازوکارهای موازی مانند بندهای قراردادی استاندارد (SCC)، قواعد شرکتی الزام‌آور (BCR) یا چارچوب‌های کفایت مانند چارچوب حریم خصوصی داده‌های اتحادیهٔ اروپا و ایالات متحده (DPF) برای جریان‌های داده‌ای دارای منشأ اتحادیهٔ اروپا مرتبط می‌شوند.

اشتباه پرتکرار، تلقی معماری ابری به‌عنوان امری به‌صورت خودکار قانونی است. یک چارچوب انتقال در صورتی فرومی‌پاشد که زنجیرهٔ پردازشگران فرعی ناقص باشد، تیم‌های پشتیبانی جهانی بتوانند بدون کنترل به داده‌های محیط تولید دسترسی پیدا کنند، یا شرکت نتواند پاسخ دهد که چه کسی، به چه داده‌ای و چه زمانی دسترسی دارد. موضع حقوقی باید با واقعیت فنی مربوط به محل قرارگیری داده و افرادی که به آن دست می‌زنند مطابقت داشته باشد.

سازوکار انتقال مناسب‌ترین کاربرد محدودیت کلیدی
بندهای قراردادی استاندارد (SCC) بیشتر جریان‌های فرامرزی؛ استقرار قراردادی سریع صرفاً روی کاغذ، مگر آنکه با کنترل‌های فنی و دسترسی قابل‌راستی‌آزمایی همراه شود
قواعد شرکتی الزام‌آور (BCR) گروه‌های بزرگ چندملیتی با حاکمیت بالغ مستلزم سرمایه‌گذاری چشمگیر و زمان تأیید داخلی
کفایت / DPF دریافت‌کنندگان واجد شرایط در حوزه‌های قضایی پوشش‌داده‌شده انتقال‌های بعدی را پوشش نمی‌دهد و موجب چشم‌پوشی از بررسی ضعیف فروشنده نمی‌شود

VERBIS چیست و چه کسانی باید ثبت‌نام کنند؟

VERBIS سامانهٔ ثبت مسئولان داده است که بر اساس KVKK نگهداری می‌شود و مسئولان داده ملزم‌اند فعالیت‌های پردازشی خود را در آن ثبت کنند، مگر آنکه استثنایی اعمال شود. ثبت‌نام یک تشریفات یک‌باره نیست. این موضوع به تکلیف نگهداری یک فهرست پردازشی دقیق پیوند می‌خورد که بازتاب می‌دهد چه داده‌ای، به چه دلیل، بر چه مبنای قانونی و برای چه مدت نگهداری می‌شود.

اینکه آیا یک شرکت مشخص ملزم به ثبت‌نام است، و هرگونه آستانه یا استثنای قابل‌اعمال، از سوی مرجع تعیین می‌شود و ممکن است تغییر کند، بنابراین تکلیف ثبت‌نام و هر آستانهٔ لازم‌الاجرا را در زمان ثبت، تأیید کنید. نتیجهٔ عملی این است که یک وضعیت پاکیزه در VERBIS به همان نقشه‌برداری داده‌ای متکی است که هر بخش دیگر یک برنامهٔ انطباق را پشتیبانی می‌کند.

افراد چه حقوقی دارند و قانون هوش مصنوعی اتحادیهٔ اروپا چه چیزی به این تصویر می‌افزاید؟

بر اساس KVKK، صاحبان داده از حقوقی برخوردارند که شامل دسترسی به داده‌های خود، اصلاح داده‌های نادرست، محو یا نابودسازی در شرایط معین، و حق اعتراض به نتایجی است که صرفاً از طریق پردازش خودکار حاصل شده‌اند. مسئولان داده باید فرایندی برای دریافت، ارزیابی و پاسخ به این درخواست‌ها در مهلت مقرر در قانون داشته باشند و بتوانند کارکرد این فرایند را اثبات کنند.

برای شرکت‌هایی که هوش مصنوعی می‌سازند یا به‌کار می‌گیرند، قانون هوش مصنوعی اتحادیهٔ اروپا یک نظام جداگانه و مبتنی‌بر‌خطر اضافه می‌کند که سامانه‌ها را طبقه‌بندی می‌کند و بر کاربردهای پرخطرتر — مانند غربالگری استخدامی، ارزیابی اعتبار و بیمه، و شناسایی زیست‌سنجی — تعهدات حاکمیتی تحمیل می‌کند. پرسش عملی برای کسب‌وکارهای فرامرزی این نیست که آیا از هوش مصنوعی استفاده می‌کنند، بلکه این است که آیا سامانه‌هایشان به‌درستی طبقه‌بندی شده‌اند و آیا می‌توانند هنگامی که یک نهاد ناظر یا یک مشتری شرکتی درخواست می‌کند، یک پروندهٔ حاکمیتی منسجم — شامل مدیریت خطر، نظارت انسانی، مستندسازی فنی و ثبت گزارش‌ها — ارائه دهند.

مجازات‌های تخلف از KVKK چیست؟

KVKK برای تخلفاتی مانند پردازش غیرقانونی، قصور در تأمین امنیت داده، یا قصور در ثبت‌نام در مواردی که الزامی است، جریمه‌های اداری و سایر تدابیر را پیش‌بینی می‌کند. آستانه‌های مالی توسط قانون تعیین و در طول زمان تعدیل می‌شوند، بنابراین هر دامنهٔ جریمه باید به جای آنکه به‌عنوان یک مبلغ ثابت کنونی تلقی شود، با ارقام لازم‌الاجرا در زمان وقوع رفتار یا ثبت، تأیید گردد.

نتایج اجرایی، کمتر تحت‌تأثیر وجود یک نقض، و بیشتر تحت‌تأثیر کیفیت واکنش هستند. واقعیت‌های تعیین‌کننده معمولاً این است که آیا مسئول داده می‌تواند هدف قانونی، به‌حداقل‌رساندن و کنترل‌های کافی را با مستندات واقعی اثبات کند، و آیا تیم عملیاتی واکنش به نقض را بدون ایجاد تناقض یا از دست دادن ادله اجرا کرده است.

شرکت‌ها چگونه باید با نقض داده و ساعت‌شمار اطلاع‌رسانی برخورد کنند؟

واکنش به نقض، آزمونی برای فرایند است، نه یک تصمیم منفرد. بر اساس GDPR، مادهٔ ۳۳ اطلاع‌رسانی به مرجع نظارتی را بدون تأخیر بی‌مورد و در صورت امکان ظرف ۷۲ ساعت از زمان آگاهی از یک نقض دادهٔ شخصی که به آستانه می‌رسد، الزامی می‌داند؛ KVKK نیز به همین ترتیب اطلاع‌رسانی به مرجع و افراد متأثر را در مهلتی که تعیین می‌کند الزامی می‌سازد. خطای رایج، تأخیر است: شرکت‌ها در انتظار قطعیت کامل می‌مانند و مهلت قانونی را از دست می‌دهند.

یک واکنش قابل‌دفاع در روز نخست به معنای فعال‌سازی یک فرماندهی واحد رویداد، حفظ ادله مانند گزارش‌ها (لاگ‌ها) و تصاویر لحظه‌ای پیش از آنکه مهار، آن‌ها را از بین ببرد، شناسایی مجموعه‌داده‌های متأثر و حوزه‌های قضایی، و حفظ یک کانال روایی منسجم میان نهادهای ناظر، مشتریان و بیمه‌گران است. کتابچهٔ راهنمای واکنش را پیش از وقوع رویداد بسازید، زیرا مهلت برای طراحی فرایند در حالی که واقعیت‌ها هنوز ناقص‌اند بسیار کوتاه است.

پرسش‌های پرتکرار

آیا KVKK بر یک شرکت خارجی بدون دفتر در ترکیه اعمال می‌شود؟

KVKK می‌تواند مسئولان داده‌ای را که داده‌های شخصی افراد حاضر در ترکیه را پردازش می‌کنند، بسته به ماهیت و محل پردازش، دربر بگیرد. یک شرکت بدون دفتر محلی نباید فرض کند که خارج از دامنهٔ شمول است؛ بلکه باید نقشه‌برداری کند که صاحبان داده‌اش کجا قرار دارند، چه داده‌ای پردازش می‌شود و بر چه مبنای قانونی، و دربارهٔ ردپای خاص خود تحت قانون شمارهٔ ۶۶۹۸ مشاوره بگیرد.

آیا SCCها به‌صورت خودکار انتقال‌های ابری را تحت GDPR قانونی می‌کنند؟

خیر. بندهای قراردادی استاندارد یک سازوکار قراردادی هستند، نه مُهری که هر انتقالی را قانونی کند. این بندها باید با واقعیت فنی هم‌سو باشند و در مواردی که خطر انتقال بالاست، با تدابیر تکمیلی مانند رمزنگاری، مدیریت کلید و کنترل دسترسی سخت‌گیرانه پشتیبانی شوند. اگر زنجیرهٔ پردازشگران فرعی یا مدل دسترسی روشن نباشد، SCCها صرفاً روی کاغذ باقی می‌مانند و از یک ممیزی فنی جان سالم به‌در نمی‌برند.

آیا رضایت همواره برای پردازش داده‌های شخصی در ترکیه لازم است؟

خیر. مادهٔ ۵ KVKK استثنائات قانونی‌ای را فهرست می‌کند که پردازش را بدون رضایت صریح مجاز می‌سازند، مانند اجرای یک قرارداد یا رعایت یک تکلیف قانونی. رضایت یکی از چند مبنای قانونی است، اما هرگاه به یک استثنا اتکا می‌کنید، باید بتوانید آن را به‌دقت شناسایی کنید و مستند سازید که چرا بر آن فعالیت پردازشی خاص اعمال می‌شود.

قانون هوش مصنوعی اتحادیهٔ اروپا چگونه بر یک شرکت ترکیه‌ای اثر می‌گذارد؟

قانون هوش مصنوعی اتحادیهٔ اروپا در مواردی مرتبط می‌شود که یک شرکت سامانه‌های هوش مصنوعی را در بازار اتحادیهٔ اروپا عرضه می‌کند، به مشتریان مستقر در اتحادیهٔ اروپا خدمت می‌رساند، یا طبق قرارداد ملزم به اثبات انطباق هوش مصنوعی است. فشار تدارکاتی غالباً حاکمیت را زودتر از مهلت‌های رسمی ضروری می‌سازد، بنابراین گام عملی این است که سامانه‌های هوش مصنوعی را فهرست کنید، آن‌ها را بر اساس خطر طبقه‌بندی نمایید و مستنداتی را گردآوری کنید که خریداران شرکتی و نهادهای ناظر انتظار دارند.

سریع‌ترین بهبود انطباق برای یک شرکت متوسط چیست؟

سامانه‌های ثبتی محوری را بسازید و نگهداری کنید: یک سامانهٔ ثبت پردازش، یک سامانهٔ ثبت انتقال، یک سامانهٔ ثبت سامانه‌های هوش مصنوعی در صورت اقتضا، و یک سامانهٔ ثبت فروشندگان. سپس یک قاعدهٔ تدارکاتی ساده را الزامی کنید مبنی بر اینکه هیچ فروشندهٔ جدید و هیچ قابلیت هوش مصنوعی جدیدی بدون به‌روزرسانی سامانهٔ ثبت و بررسی انتقال و مبنای قانونی، عملیاتی نشود. این سامانه‌های ثبتی به همان لایهٔ ادله‌ای تبدیل می‌شوند که برای پاسخ سریع به یک نهاد ناظر یا مشتری به آن نیاز دارید.

پیش از پروژهٔ دادهٔ بعدی خود با مشاور حقوقی گفت‌وگو کنید

حریم خصوصی فرامرزی داده، حاکمیت هوش مصنوعی، و پرسش‌های مربوط به رمزارز و فناوری به‌گونه‌ای با یکدیگر تلاقی می‌کنند که مدیریت آن‌ها به‌صورت قانون‌به‌قانون دشوار است. اگر به جای یک فهرست وارسی، به یک برنامهٔ مستند و آمادهٔ ممیزی نیاز دارید، تیم حقوق فناوری، حریم خصوصی داده و رمزارز ما به سرمایه‌گذاران خارجی و شرکت‌های فرامرزی دربارهٔ انطباق با KVKK و GDPR، سازوکارهای انتقال، حاکمیت قانون هوش مصنوعی و واکنش به رویداد مشاوره می‌دهد. هنگامی که دارایی‌های داده‌ای بخشی از یک معامله باشند، از معاملات مرتبط نیز از طریق حوزهٔ حقوق شرکتی و تجاری خود پشتیبانی می‌کنیم.

برای مطالعهٔ مرتبط، به راهنماهای ما دربارهٔ حقوق مالکیت فکری، جنبه‌های حقوقی سرمایه‌گذاری‌های بین‌المللی در ترکیه، و پرامپت‌های تحلیل حقوقی هوش مصنوعی برای ترکیه مراجعه کنید.

اطلاعات عمومی، نه مشاورهٔ حقوقی. حقوق ترکیه؛ وضعیت خاص خود را با مشاور واجد صلاحیت راستی‌آزمایی کنید.