מאת עו״ד Serkan Kara, Istanbul Bar No. 53770. עודכן לאחרונה: 14 ביוני 2026.
הגנת הפרטיות בטורקיה מוסדרת בחוק הגנת הנתונים האישיים מס’ 6698 (KVKK), משטר המעוצב בקווים דומים מאוד לתקנת הגנת הנתונים הכללית של האיחוד האירופי (GDPR). ה‑KVKK מסדיר כיצד בקרי נתונים אוספים, מעבדים, מאחסנים ומעבירים נתונים אישיים, קובע את תנאי העיבוד החוקי בסעיף 5, מסדיר העברות חוצות‑גבולות בסעיף 9, ונאכף בידי הרשות להגנת הנתונים האישיים (Kisisel Verileri Koruma Kurumu). עבור חברות חוצות‑גבולות, הציות ל‑KVKK ניצב כיום לצד החשיפה ל‑GDPR, לחוק הבינה המלאכותית של האיחוד האירופי (EU AI Act) ולחובות דיווח על אירועי דליפה, ולכן יש לקרוא את המקורות המסדירים זה לצד זה ולא כל אחד בנפרד.
עבור משקיעים זרים, יועצים משפטיים ראשיים וחברות חוצות‑גבולות, הציות בתחומי הטכנולוגיה והגנת הפרטיות בטורקיה אינו עוד עניין של חוק יחיד. חוק הגנת הנתונים האישיים מס’ 6698 (KVKK) הוא המכשיר הפנימי המרכזי, אך החשיפה בפועל עוברת גם דרך ה‑GDPR, חוק הבינה המלאכותית של האיחוד האירופי, וחובות חוזיות שמטילים לקוחות ארגוניים. מדריך זה משיב על השאלות שלקוחות אכן שואלים, מציין את המקורות המסדירים, ומסביר כיצד תוכנית ציות מתועדת מצמצמת את סיכוני האכיפה והעסקאות.
איזה דין חל על הגנת הפרטיות בטורקיה?
הגנת הפרטיות בטורקיה מוסדרת בחוק הגנת הנתונים האישיים מס’ 6698 (KVKK), שנכנס לתוקף בשנת 2016 ומותאם במבנהו ל‑GDPR של האיחוד האירופי. ה‑KVKK חל על בקרי נתונים ומעבדי נתונים המטפלים בנתונים אישיים של יחידים, קובע את תנאי העיבוד החוקי, מגדיר את זכויות נושאי הנתונים, ומקים את הרשות להגנת הנתונים האישיים כגוף המפקח. חברות המשרתות לקוחות אירופיים נותרות כפופות גם ל‑GDPR, ולכן עסק יחיד נושא לא פעם חובות כפולות.
ה‑KVKK בונה את מסגרתו על עקרונות מוכרים: עיבוד חוקי, הוגן ושקוף; הגבלת מטרה; צמצום נתונים; דיוק; הגבלת אחסון; ואבטחת נתונים. עקרונות אלה אינם מופשטים. הם אמת המידה שלפיה הרשות בוחנת אם העיבוד היה חוקי ואם הבקרות היו נאותות במהלך ביקורת או לאחר אירוע.
מהו הבסיס החוקי לעיבוד נתונים אישיים לפי ה‑KVKK?
לפי סעיף 5 ל‑KVKK, ניתן לעבד נתונים אישיים רק בהסכמתו המפורשת של נושא הנתונים, או כאשר מתקיים אחד מן החריגים החוקיים המנויים, כגון ביצוע חוזה, עמידה בחובה חוקית, הגנה על אינטרס לגיטימי, או עילות הקבועות במפורש בחוק. עיבוד ללא הסכמה וללא חריג מתאים הוא בלתי חוקי, ללא קשר לאופן שבו הנתונים אובטחו מבחינה טכנית.
בפועל, הכשל הנפוץ ביותר אינו היעדר בסיס חוקי, אלא חוסר היכולת להוכיח אותו. בקרי נתונים אמורים להיות מסוגלים להראות, עבור כל פעילות עיבוד, את הבסיס הספציפי שעליו הסתמכו, את המטרה, את קטגוריות הנתונים הכרוכות, ואת תקופת השמירה. קטגוריות מיוחדות של נתונים כפופות לתנאים מחמירים יותר, ולכן יש לתעד את הבסיס לעיבוד נתוני בריאות, נתונים ביומטריים ונתונים דומים בנפרד ובאופן זהיר.
כיצד מוסדרות העברות נתונים חוצות‑גבולות?
סעיף 9 ל‑KVKK מסדיר את העברתם של נתונים אישיים אל מחוץ למדינה, ודורש הסכמה מפורשת או רמת הגנה נאותה במדינה המקבלת, בגיבוי התחייבויות מחייבות בין הצדדים במקום שבו הדבר מתאים. במקום שבו חברות כפופות גם ל‑GDPR, מנגנונים מקבילים כגון תניות חוזיות סטנדרטיות (SCCs), כללים תאגידיים מחייבים (BCRs), או מסגרות הולמות כדוגמת מסגרת פרטיות הנתונים בין האיחוד האירופי לארה”ב (DPF) הופכים רלוונטיים עבור זרימות הנתונים המתאימות שמקורן באיחוד האירופי.
הטעות החוזרת היא התייחסות אל ארכיטקטורת ענן כאל חוקית מאליה. מסגרת העברה קורסת אם שרשרת מעבדי המשנה אינה שלמה, אם צוותי תמיכה גלובליים יכולים להגיע לנתוני הסביבה הפעילה (production) ללא בקרות, או אם החברה אינה יכולה להשיב מי יכול לגשת לאילו נתונים ומתי. העמדה המשפטית חייבת להתאים למציאות הטכנית של מיקום הנתונים ושל מי שנוגע בהם.
| מנגנון העברה | מתאים ביותר ל | מגבלה מרכזית |
|---|---|---|
| תניות חוזיות סטנדרטיות (SCCs) | רוב הזרימות חוצות‑הגבולות; מהיר ליישום חוזי | נייר בלבד אלא אם משולב עם בקרות טכניות ובקרות גישה הניתנות לאימות |
| כללים תאגידיים מחייבים (BCRs) | קבוצות רב‑לאומיות גדולות בעלות ממשל בוגר | נדרשת השקעה ניכרת וזמן לאישור פנימי |
| הלימות / DPF | נמענים זכאים בתחומי שיפוט מכוסים | אינה מכסה העברות המשך ואינה פוטרת מבדיקת נאותות לקויה של ספקים |
מהו VERBIS ומי חייב להירשם?
VERBIS הוא מרשם בקרי הנתונים המתנהל לפי ה‑KVKK, שבו נדרשים בקרי נתונים לרשום את פעילויות העיבוד שלהם, אלא אם חל פטור. הרישום אינו פורמליות חד‑פעמית. הוא קשור לחובה לקיים מצאי עיבוד מדויק המשקף אילו נתונים מוחזקים, מדוע, על איזה בסיס חוקי ולמשך כמה זמן.
השאלה אם חברה ספציפית חייבת להירשם, וכן ספי החלה או פטורים החלים, נקבעים בידי הרשות ועשויים להשתנות, ולכן יש לוודא את חובת הרישום ואת הספים התקפים במועד ההגשה. המסקנה המעשית היא שמצב VERBIS תקין תלוי באותו מיפוי נתונים שתומך בכל יתר חלקיה של תוכנית הציות.
אילו זכויות יש ליחידים, וכיצד חוק הבינה המלאכותית של האיחוד האירופי מוסיף לתמונה?
לפי ה‑KVKK, לנושאי הנתונים זכויות הכוללות גישה לנתוניהם, תיקון נתונים שגויים, מחיקה או השמדה בנסיבות מוגדרות, וזכות להתנגד לתוצאות המופקות אך ורק באמצעות עיבוד אוטומטי. על בקרי הנתונים להפעיל הליך לקבלת בקשות אלה, הערכתן ומענה עליהן בתוך התקופה הקבועה בחוק, ולהיות מסוגלים להציג ראיה לכך שההליך אכן פועל.
עבור חברות הבונות או מטמיעות בינה מלאכותית, חוק הבינה המלאכותית של האיחוד האירופי מוסיף משטר נפרד מבוסס‑סיכון, המסווג מערכות ומטיל חובות ממשל על שימושים בעלי סיכון גבוה יותר, כגון סינון מועמדים לעבודה, הערכת אשראי וביטוח, וזיהוי ביומטרי. השאלה המעשית עבור עסקים חוצי‑גבולות אינה אם הם משתמשים בבינה מלאכותית, אלא אם מערכותיהם מסווגות נכון ואם הם מסוגלים להפיק תיק ממשל קוהרנטי — הכולל ניהול סיכונים, פיקוח אנושי, תיעוד טכני ורישום (logging) — כאשר רגולטור או לקוח ארגוני מבקש זאת.
מהן הסנקציות בגין הפרות ה‑KVKK?
ה‑KVKK קובע קנסות מנהליים ואמצעים נוספים בגין הפרות כגון עיבוד בלתי חוקי, אי‑הבטחת אבטחת נתונים, או אי‑רישום במקום שבו הוא נדרש. הספים הכספיים נקבעים בחוק ומותאמים לאורך זמן, ולכן יש לאמת כל טווח קנס מול הסכומים התקפים במועד ההתנהגות או ההגשה, ולא להתייחס אליו כסכום עדכני קבוע.
תוצאות האכיפה מוּנעות פחות מעצם קיומה של הפרה ויותר מאיכות התגובה. העובדות המכריעות הן בדרך כלל אם בקר הנתונים יכול להוכיח מטרה חוקית, צמצום ובקרות נאותות באמצעות תיעוד אמיתי, ואם הצוות התפעולי ביצע תגובה לאירוע מבלי ליצור סתירות או לאבד ראיות.
כיצד על חברות לטפל בדליפת נתונים ובשעון הדיווח?
תגובה לאירוע היא מבחן של תהליך, לא החלטה בודדת. לפי ה‑GDPR, סעיף 33 מחייב דיווח לרשות המפקחת ללא שיהוי בלתי סביר, וכאשר הדבר אפשרי, בתוך 72 שעות מרגע היוודע על דליפת נתונים אישיים העוברת את הסף; ה‑KVKK מחייב באופן דומה דיווח לרשות וליחידים הנפגעים בתוך התקופה שהוא קובע. הכשל הנפוץ הוא עיכוב: חברות ממתינות לוודאות מושלמת ומפספסות את חלון הזמן הקבוע בחוק.
תגובה הניתנת להגנה ביום הראשון פירושה הפעלת מפקדת אירוע אחת, שימור ראיות כגון יומנים וצילומי מצב (snapshots) לפני שהבלימה משמידה אותם, זיהוי מערכי הנתונים ותחומי השיפוט הנפגעים, והחזקת ערוץ נרטיב עקבי אחד מול רגולטורים, לקוחות ומבטחים. בנו את ספר ההפעלה לפני האירוע, משום שהחלון קצר מכדי לעצב את התהליך בעוד העובדות עדיין חלקיות.
שאלות נפוצות
האם ה‑KVKK חל על חברה זרה שאין לה משרד בטורקיה?
ה‑KVKK עשוי לחול על בקרי נתונים המעבדים נתונים אישיים של יחידים בטורקיה, בהתאם לאופי העיבוד ולמיקומו. חברה ללא משרד מקומי אל לה להניח שהיא מחוץ לתחולה; תחת זאת, עליה למפות היכן מצויים נושאי הנתונים שלה, אילו נתונים מעובדים ועל איזה בסיס חוקי, ולקבל ייעוץ בנוגע לטביעת הרגל הספציפית שלה לפי חוק מס’ 6698.
האם תניות SCC מכשירות אוטומטית העברות ענן לפי ה‑GDPR?
לא. תניות חוזיות סטנדרטיות הן מנגנון חוזי, לא חותמת המכשירה כל העברה. עליהן להתיישב עם המציאות הטכנית, וכאשר סיכון ההעברה גבוה, להיתמך באמצעים משלימים כגון הצפנה, ניהול מפתחות ובקרת גישה קפדנית. אם שרשרת מעבדי המשנה או מודל הגישה אינם ברורים, ה‑SCCs הופכות לנייר בלבד ולא יעמדו בביקורת טכנית.
האם הסכמה נדרשת תמיד לעיבוד נתונים אישיים בטורקיה?
לא. סעיף 5 ל‑KVKK מונה חריגים חוקיים המתירים עיבוד ללא הסכמה מפורשת, כגון ביצוע חוזה או עמידה בחובה חוקית. הסכמה היא בסיס חוקי אחד מבין כמה, אך כאשר אתם מסתמכים על חריג עליכם להיות מסוגלים לזהותו במדויק ולתעד מדוע הוא חל על אותה פעילות עיבוד ספציפית.
כיצד משפיע חוק הבינה המלאכותית של האיחוד האירופי על חברה טורקית?
חוק הבינה המלאכותית של האיחוד האירופי הופך רלוונטי כאשר חברה מעמידה מערכות בינה מלאכותית בשוק האיחוד האירופי, משרתת לקוחות באיחוד, או נדרשת חוזית להוכיח ציות בתחום הבינה המלאכותית. לחץ רכש כופה לעיתים קרובות ממשל מוקדם יותר מן המועדים הפורמליים, ולכן הצעד המעשי הוא לערוך מצאי של מערכות הבינה המלאכותית, לסווגן לפי סיכון, ולהרכיב את התיעוד שרוכשים ארגוניים ורגולטורים מצפים לו.
מהו השיפור המהיר ביותר בציות עבור חברה בינונית?
בנו ותחזקו את המרשמים המרכזיים: מרשם עיבוד, מרשם העברות, מרשם מערכות בינה מלאכותית במקום שבו הדבר רלוונטי, ומרשם ספקים. לאחר מכן אכפו כלל רכש פשוט, שלפיו אף ספק חדש ואף יכולת בינה מלאכותית חדשה אינם עולים לאוויר ללא עדכון מרשם ובדיקת העברה ובסיס חוקי. מרשמים אלה הופכים לשכבת הראיות הדרושה לכם כדי להשיב לרגולטור או ללקוח במהירות.
שוחחו עם עורך דין לפני פרויקט הנתונים הבא שלכם
הגנת פרטיות חוצת‑גבולות, ממשל בינה מלאכותית, ושאלות קריפטו וטכנולוגיה משתלבות באופנים שקשה לנהלם חוק אחר חוק. אם אתם זקוקים לתוכנית מתועדת ומוכנה לביקורת ולא לרשימת תיוג, צוות דיני הטכנולוגיה, הגנת הפרטיות והקריפטו שלנו מייעץ למשקיעים זרים ולחברות חוצות‑גבולות בנושאי ציות ל‑KVKK ול‑GDPR, מנגנוני העברה, ממשל לפי חוק הבינה המלאכותית, ותגובה לאירועים. אנו תומכים גם בעסקאות נלוות באמצעות תחום הדין התאגידי והמסחרי שלנו כאשר נכסי נתונים מהווים חלק מעסקה.
לקריאה נוספת בנושאים קרובים, ראו את המדריכים שלנו בנושא דיני קניין רוחני, ההיבטים המשפטיים של השקעות בינלאומיות בטורקיה, והנחיות (prompts) לניתוח משפטי בבינה מלאכותית עבור טורקיה.
מידע כללי, אינו מהווה ייעוץ משפטי. הדין הטורקי; אמתו את מצבכם הספציפי מול עורך דין מוסמך.