خدمات حقوقی در سراسر جهان · ۱۵ زبان
مؤسسه حقوقی SERKAمشاوره حقوقی بین‌المللی

حقوق فناوری، حفاظت از داده‌ها (KVKK) و مقررات رمزارز در ترکیه

حقوق فناوری، حفاظت از داده‌ها (KVKK) و مقررات رمزارز در ترکیه

حقوق فناوری، حریم خصوصی داده‌ها (KVKK) و مقررات رمزارز. مؤسسه حقوقی Serka به شرکت‌های فناوری بین‌المللی، ارائه‌دهندگان SaaS، فین‌تک‌ها، توسعه‌دهندگان هوش مصنوعی و پلتفرم‌های رمزارز در زمینهٔ حقوق حفاظت از داده‌ها، تجارت الکترونیک، اینترنت و بازارهای سرمایهٔ ترکیه مشاوره می‌دهد. ما ساختارهای انطباقی را بنا می‌کنیم که به یک پلتفرم خارجی اجازه می‌دهد به‌طور قانونی به کاربران ترکیه خدمت‌رسانی کند، و هنگامی که یک نهاد ناظر علیه آن پلتفرم اقدام می‌کند از آن دفاع می‌کنیم.

وکیل Serkan Kara, کانون وکلای استانبول شماره 53770
آخرین به‌روزرسانی: ژوئن 2026

حقوق فناوری و حریم خصوصی داده‌ها برای شرکت‌هایی که در ترکیه فعالیت می‌کنند چیست؟

حقوق فناوری و حریم خصوصی داده‌ها در ترکیه نحوهٔ جمع‌آوری، ذخیره، انتقال و کسب درآمد یک شرکت از داده‌های شخصی و خدمات دیجیتال را تنظیم می‌کند. قانون اصلی، قانون حفاظت از داده‌های شخصی شمارهٔ 6698 (KVKK) است که با مقررات عمومی حفاظت از داده‌های اتحادیهٔ اروپا (GDPR) منعکس‌کنندهٔ یکدیگرند اما شرایط سخت‌گیرانه‌تری برای انتقال داده به خارج از ترکیه وضع می‌کند. یک شرکت فناوری که به کاربران ترکیه خدمت‌رسانی می‌کند، صرف‌نظر از محل قرارگیری سرورهایش، تابع این قواعد است. در کنار KVKK، قانون تنظیم تجارت الکترونیک شمارهٔ 6563، قانون اینترنت شمارهٔ 5651 و قانون بازارهای سرمایه شمارهٔ 6362 (برای دارایی‌های رمزی) در مجموع محدودهٔ مقرراتی را تشکیل می‌دهند که هر پلتفرم خارجی باید آن را رعایت کند.

یک پروژهٔ فناوری یا داده ابتدا باید چه چیزی را بررسی کند؟

یک پروژهٔ فناوری باید با ترسیم نقشهٔ جریان داده آغاز شود: صاحبان داده چه کسانی هستند، چه داده‌های شخصی پردازش می‌شود، با چه هدفی، در کجا ذخیره می‌شود و کدام اشخاص ثالث یا تأمین‌کنندگان با آن در تماس‌اند. از روی این نقشه، وکیل می‌تواند تعهدات قانونی مرتبط با هر جریان را شناسایی کند، از جمله رضایت یا سایر مبانی قانونی، کنترل‌های انتقال فرامرزی، وظایف امنیتی، شرایط قرارداد رو به مصرف‌کننده و هرگونه مجوز بخشی. حل‌وفصل این پرسش‌ها در حین طراحی محصول، به‌جای پس از استعلام یک نهاد ناظر، همان چیزی است که مانع از تبدیل یک تصمیم تجاری واحد به یک شکست انطباقی در آینده می‌شود.

KVKK چیست و چه تفاوتی با GDPR دارد؟

KVKK (قانون حفاظت از داده‌های شخصی شمارهٔ 6698) قانون عمومی حفاظت از داده‌های ترکیه است که از نظر ساختاری در اصول، حقوق صاحبان داده و وظایف پاسخگویی به GDPR نزدیک است. تفاوت تعیین‌کننده، انتقال فرامرزی داده است. در حالی که GDPR انتقال را بر اساس تصمیمات کفایت و تضمین‌های استانداردشده مجاز می‌داند، KVKK به‌طور تاریخی یا رضایت صریح صاحب داده را الزامی کرده یا اینکه کشور مقصد باید در فهرست کشورهای دارای حفاظت کافی که توسط هیئت حفاظت از داده‌های شخصی نگهداری می‌شود ظاهر شده باشد. از آنجا که این فهرست کفایت در عمل محدود باقی مانده است، بیشتر شرکت‌های بین‌المللی به‌جای تلقی یک مقصد به‌عنوان امن خودکار، بر تعهدات کتبی تأییدشده توسط هیئت یا تضمین‌های قراردادی استاندارد تکیه می‌کنند.

ثبت‌نام VERBIS برای کنترل‌کنندگان داده

شرکت‌هایی که به آستانه‌های مشخص می‌رسند، یا فعالیت اصلی‌شان پردازش داده‌های شخصی حساس است، باید در VERBIS، یعنی سامانهٔ عمومی ثبت کنترل‌کنندگان داده که توسط مرجع حفاظت از داده‌های شخصی نگهداری می‌شود، ثبت‌نام کنند. ثبت‌نام، فهرست داده‌های کنترل‌کننده، اهداف پردازش، دوره‌های نگهداری و اقدامات امنیتی را مستند می‌کند. یک کنترل‌کنندهٔ دادهٔ خارجی که اقامتگاهی در ترکیه ندارد باید یک نمایندهٔ کنترل‌کنندهٔ داده در ترکیه منصوب کند، نقشی که مؤسسهٔ ما برای موکلان بین‌المللی ایفا می‌کند. عدم ثبت‌نام، یا ثبت اطلاعات نادرست، کنترل‌کننده را در معرض جریمه‌های اداری قرار می‌دهد.

انتقال فرامرزی داده

طبق KVKK، داده‌های شخصی کاربران در ترکیه را نمی‌توان صرفاً به‌خاطر سهولت به سرورهای خارج از کشور منتقل کرد. رضایت صریح یک مسیر است، اما شکننده است زیرا کاربر می‌تواند هر زمان آن را پس بگیرد. مسیر بادوام‌تر، یک تعهد کتبی یا سازوکار قراردادی استاندارد است که توسط هیئت حفاظت از داده‌های شخصی تأیید شده و با هم‌ارزی واقعی امنیتی فنی و سازمانی پشتیبانی می‌شود. ما این اسناد را تهیه و ارائه می‌کنیم تا یک شرکت جهانی بتواند داده‌ها را روی زیرساخت ابری موجود خود نگه دارد و در عین حال طبق قوانین ترکیه قانونی باقی بماند.

ترکیه چگونه رمزارز و پلتفرم‌های دارایی رمزی را تنظیم می‌کند؟

ارائه‌دهندگان خدمات رمزارز و دارایی رمزی در ترکیه طبق قانون بازارهای سرمایه شمارهٔ 6362 تنظیم می‌شوند، که اصلاح شده تا دارایی‌های رمزی را تحت نظارت هیئت بازارهای سرمایه (SPK) قرار دهد. ارائه‌دهندگان خدمات دارایی رمزی، از جمله صرافی‌ها و پلتفرم‌های حضانت (custody)، باید مجوز فعالیت از SPK داشته باشند و از تعهدات سرمایه، حاکمیت شرکتی، حضانت و مبارزه با پول‌شویی پیروی کنند. بهره‌برداری از یک صرافی که کاربران در ترکیه را هدف قرار می‌دهد بدون آن مجوز، به‌عنوان یک فعالیت غیرمجاز در بازارهای سرمایه تلقی می‌شود و می‌تواند به مسئولیت کیفری برای مدیران مسئول و به مسدودسازی دسترسی به پلتفرم منجر شود.

اخذ مجوز برای یک صرافی رمزارز

یک صرافی خارجی که کاربران ترک را جذب می‌کند، به زبان ترکی تبلیغ می‌کند، یا جفت‌های معاملاتی با لیر ترکیه عرضه می‌کند، عموماً باید یک شرکت سهامی ترکیه‌ای تأسیس کند و مجوز SPK را اخذ نماید. اخذ مجوز شامل برآورده‌کردن حداقل الزامات سرمایه، اجرای کنترل‌های مبارزه با پول‌شویی و شناسایی مشتری هم‌راستا با MASAK (هیئت بررسی جرایم مالی)، و استقرار ترتیبات حضانت منطبق با مقررات است. ما درخواست مجوز را به‌طور کامل از ابتدا تا انتها مدیریت می‌کنیم و ساختار حقوقی شرکتی را که مجوز را در اختیار دارد طراحی می‌کنیم.

انتشار توکن و ساختاردهی Web3

انتشار توکن خطر اوراق بهادار را به همراه دارد. توکنی که مانند یک ابزار تقسیم سود یا سود سهام رفتار می‌کند می‌تواند به‌عنوان یک اوراق بهادار تلقی شود، که تعهدات مربوط به امیدنامه (prospectus) و افشا را فعال می‌کند. ما نظرات حقوقی ارائه می‌دهیم که توکن‌های کاربردی (utility) را از توکن‌های اوراق بهادار (security) متمایز می‌کند، نهاد منتشرکننده را ساختاردهی می‌کنیم، و عرضه‌های خرد را با محدودسازی جغرافیایی (geo-fence) محصور می‌کنیم تا بنیان‌گذاران در ترکیه در معرض ادعاهای عرضهٔ عمومی غیرمجاز قرار نگیرند.

چه قواعد تجارت الکترونیکی بر پلتفرم‌های آنلاین خارجی اعمال می‌شود؟

پلتفرم‌های آنلاین خارجی که به مصرف‌کنندگان در ترکیه فروش می‌کنند باید از قانون تنظیم تجارت الکترونیک شمارهٔ 6563 و مقررات قراردادهای فروش از راه دور پیروی کنند. دو تعهد بیش از همه اهمیت دارند. نخست، هر فروش بنگاه به مصرف‌کننده باید به مصرف‌کننده یک حق انصراف چهارده‌روزه بدون جریمه، همراه با یک فرم اطلاعات مقدماتی مفصل پیش از خرید، اعطا کند. دوم، پیام‌های الکترونیکی تجاری مانند پیامک بازاریابی، ایمیل یا تماس‌های خودکار نیازمند تأیید قبلی ثبت‌شده در سامانهٔ مرکزی مدیریت پیام (IYS) هستند؛ انصراف یک مصرف‌کننده باید به‌طور خودکار رعایت شود. ارسال بازاریابی ناخواسته بدون تأیید IYS، یا انکار یک بازپرداخت قانونی، جریمه‌های اداری و شکایات مصرف‌کننده‌ای را به دنبال دارد که می‌تواند پردازش پرداخت محلی را مختل کند.

آیا مقامات ترکیه می‌توانند یک پلتفرم خارجی را مسدود یا کند کنند؟

بله. طبق قانون اینترنت شمارهٔ 5651، یک ارائه‌دهندهٔ شبکهٔ اجتماعی خارجی با پایگاه بزرگ کاربران روزانهٔ ترک باید یک نماینده محلی برای دریافت و پاسخ به اخطارهای قانونی منصوب کند. هنگامی که یک دادگاه دستور حذف محتوا را بر مبنای حقوق شخصی یا سایر مبانی قانونی صادر می‌کند، ارائه‌دهنده باید ظرف مهلت قانونی اقدام کند. امتناع می‌تواند موجب شود که مرجع فناوری‌های اطلاعات و ارتباطات (BTK) ممنوعیت تبلیغات، جریمه و کند کردن پهنای باند به‌صورت تدریجی را که خدمت را تنزل می‌دهد اعمال کند. ما به‌عنوان نمایندهٔ منصوب عمل می‌کنیم، اعتبار هر دستور را ارزیابی می‌کنیم، در جایی که دستور معیوب باشد اعتراض ثبت می‌کنیم، و انطباق را به‌صورت هدفمند و محدود اجرا می‌کنیم تا یک اختلاف واحد در دسترس‌پذیری کلی پلتفرم را به خطر نیندازد.

خطرات حقوقی اصلی برای شرکت‌های فناوری چیست، و استثناها کدامند؟

خطرات تکرارشونده عبارت‌اند از انتقال غیرقانونی فرامرزی داده، نبود ثبت‌نام VERBIS، بهره‌برداری از یک خدمت رمزارز بدون مجوز SPK، بازاریابی ناخواسته بدون تأیید IYS، و نادیده‌گرفتن تعهدات حذف محتوا یا تعهدات نمایندگی طبق قانون اینترنت. هر یک جریمه‌های اداری به همراه دارد، و چند مورد مسئولیت کیفری یا مسدودسازی دسترسی را در پی دارند. استثناها و دفاعیات اصلی شامل مبانی قانونی غیر از رضایت طبق KVKK، گمنام‌سازی واقعی که داده را از دامنهٔ داده‌های شخصی خارج می‌کند، اسناد انتقال تأییدشده توسط هیئت، و ساختاردهی فعالیت رمزارز یا توکن به‌گونه‌ای است که کاربران خرد ترک را هدف قرار ندهد. اینکه آیا یک استثنا اعمال می‌شود یا نه به واقعیت‌های پرونده بستگی دارد و باید پیش از اقدام نهاد ناظر، نه پس از آن، ارزیابی شود.

آیا برای امور فناوری و حریم خصوصی داده‌ها به وکیل نیاز دارم؟

هرگاه یک محصول فناوری در مقیاس بزرگ با کاربران ترک در تماس باشد، داده‌های حساس یا زیستی (بیومتریک) را پردازش کند، داده را به خارج منتقل کند، خدمات رمزارز یا توکن عرضه کند، یا اخطاری از یک نهاد ناظر دریافت کرده باشد، حضور وکیل ضروری است. این امور حقوق حفاظت از داده، بازارهای سرمایه، مصرف‌کننده و اینترنت را با هم ترکیب می‌کنند، و یک اشتباه در یک حوزه می‌تواند درگاه‌های پرداخت را مسدود کند یا کل خدمت را متوقف سازد. به‌کارگیری وکیل در حین طراحی محصول بسیار کم‌هزینه‌تر از دفاع در برابر یک اقدام اجرایی پس از راه‌اندازی است.

پرسش‌های پرتکرار

آیا KVKK بر شرکتی که دفتری در ترکیه ندارد اعمال می‌شود؟

بله. KVKK بر مبنای پردازش داده‌های شخصی افراد در ترکیه اعمال می‌شود، نه بر مبنای محل ثبت شرکت یا محل قرارگیری سرورهای آن. یک کنترل‌کنندهٔ دادهٔ خارجی که داده‌های کاربران ترک را پردازش می‌کند عموماً ملزم است در VERBIS ثبت‌نام کند و یک نمایندهٔ کنترل‌کنندهٔ داده در ترکیه منصوب نماید.

آیا می‌توانیم داده‌های مشتریان را روی AWS یا Google Cloud خارج از ترکیه نگه داریم؟

اغلب بله، اما نه به‌طور خودکار. ذخیرهٔ داده‌های شخصی کاربران ترک روی زیرساخت ابری خارجی، طبق KVKK یک انتقال فرامرزی است. این کار باید یا با رضایت صریح معتبر، یا به‌صورت بادوام‌تر با یک تعهد کتبی تأییدشده توسط هیئت یا سازوکار قراردادی استاندارد به‌علاوهٔ اقدامات امنیتی کافی پشتیبانی شود. ما اسنادی را که انتقال را مجاز می‌کند تهیه و ارائه می‌کنیم.

آیا اداره یک صرافی رمزارز برای کاربران ترک از خارج از کشور قانونی است؟

هدف قراردادن کاربران ترک از یک صرافی فراساحلی فاقد مجوز، طبق قانون شمارهٔ 6362 به‌عنوان یک فعالیت غیرمجاز در بازارهای سرمایه تلقی می‌شود و می‌تواند به مسئولیت کیفری و مسدودسازی دسترسی منجر شود. پلتفرمی که کاربران ترک را می‌خواهد معمولاً باید یک شرکت ترکیه‌ای تأسیس کند و مجوز SPK را اخذ نماید، از جمله کنترل‌های مبارزه با پول‌شویی منطبق با MASAK.

اگر پیام‌های بازاریابی را بدون تأیید IYS ارسال کنیم چه می‌شود؟

هر پیام الکترونیکی تجاری تأییدنشده می‌تواند یک جریمهٔ اداری را فعال کند، و تخلفات مکرر شکایات نظارتی و مصرف‌کننده را جلب می‌کند. پیامک بازاریابی، ایمیل و تماس‌های خودکار به مصرف‌کنندگان ترک باید در سامانهٔ IYS ثبت شوند، و انصراف‌ها باید به‌طور خودکار اعمال گردند.

یک دادگاه ترک به ما دستور حذف محتوا داد. مهلت چقدر است؟

طبق قانون اینترنت شمارهٔ 5651، ارائه‌دهندگان باید در مورد یک دستور معتبر حذف محتوا ظرف مهلت قانونی قابل‌اعمال برای نوع آن دستور اقدام کنند. از دست‌دادن مهلت می‌تواند موجب شود که BTK ممنوعیت تبلیغات، جریمه و کند کردن پهنای باند را اعمال کند. ما اعتبار دستور را ارزیابی می‌کنیم، در جایی که لازم باشد انطباق می‌دهیم، و دستورهای معیوب را به چالش می‌کشیم.

پس از استعلام یک نهاد ناظر، چقدر سریع باید وکیل را درگیر کنیم؟

فوراً. وکیل زودهنگام می‌تواند یک خط لولهٔ دادهٔ نامنطبق را متوقف کند، دفاعیاتی مانند گمنام‌سازی یا مبنای قانونی جایگزین را حفظ کند، و پیش از نهایی‌شدن جریمه‌ها و دستورهای امحا، یک گفت‌وگوی ساختارمند با نهاد ناظر آغاز کند. تأخیر دفاعیات در دسترس را محدود می‌کند.

خدمات حقوقی مرتبط

امور فناوری اغلب به سایر حوزه‌های تخصصی متصل می‌شوند. ما کار فناوری و داده را با تأسیس شرکت در ترکیه برای ساختار حقوقی شرکتی که مجوز SPK را در اختیار دارد، با حقوق شرکتی و تجاری برای قراردادهای SaaS و پلتفرم، با ساختاردهی سرمایه‌گذاری مستقیم خارجی برای سرمایهٔ فناوری ورودی، با حقوق مالیاتی و مقررات گمرکی برای مالیات خدمات دیجیتال، و با دفاع کیفری و صلاحیت قضایی در جایی که مسئولیت بازارهای سرمایه یا جرایم سایبری مطرح می‌شود، هماهنگ می‌کنیم.

درخواست ارزیابی محرمانهٔ پرونده

اگر پلتفرم شما داده‌های کاربران ترک را پردازش می‌کند، خدمات رمزارز یا توکن به کاربران ترک عرضه می‌کند، یا اخطاری از یک نهاد ناظر دریافت کرده است، درخواست ارزیابی محرمانهٔ پرونده کنید. محصول، جریان‌های داده و هر دستور در جریان را شرح دهید، و ما تعهداتی را که اعمال می‌شود و ساختاری را که شما را منطبق و در حال فعالیت نگه می‌دارد شناسایی خواهیم کرد.

سلب مسئولیت حقوقی

این صفحه اطلاعات عمومی دربارهٔ حقوق فناوری، حفاظت از داده‌ها و بازارهای سرمایهٔ ترکیه ارائه می‌دهد و مشاورهٔ حقوقی محسوب نمی‌شود. خواندن آن رابطهٔ وکیل و موکل ایجاد نمی‌کند. رابطهٔ وکیل و موکل تنها با یک قرارداد امضاشده شکل می‌گیرد. برای مشاوره دربارهٔ یک وضعیت خاص، با یک وکیل واجد صلاحیت مشورت کنید.