दुनिया भर में कानूनी सेवाएँ · 15 भाषाएँ
SERKA विधि कार्यालयअंतर्राष्ट्रीय कानूनी सलाह

तुर्की में डेटा गोपनीयता कानून: एक KVKK अनुपालन मार्गदर्शिका

तुर्की में डेटा गोपनीयता कानून: एक KVKK अनुपालन मार्गदर्शिका

लेखक: अधिवक्ता Serkan Kara, Istanbul Bar No. 53770. अंतिम बार अद्यतन: 14 जून 2026.

तुर्की में डेटा गोपनीयता को व्यक्तिगत डेटा संरक्षण कानून संख्या 6698 (KVKK) के द्वारा नियंत्रित किया जाता है, जो यूरोपीय संघ के सामान्य डेटा संरक्षण विनियमन (GDPR) के आधार पर निकटता से तैयार किया गया एक ढाँचा है। KVKK यह नियंत्रित करता है कि डेटा नियंत्रक व्यक्तिगत डेटा को कैसे एकत्र, संसाधित, संग्रहीत और स्थानांतरित करते हैं, अनुच्छेद 5 में वैध-प्रसंस्करण की शर्तें निर्धारित करता है, अनुच्छेद 9 में सीमा-पार स्थानांतरणों को विनियमित करता है, और व्यक्तिगत डेटा संरक्षण प्राधिकरण (Kisisel Verileri Koruma Kurumu) द्वारा प्रवर्तित किया जाता है। सीमा-पार कंपनियों के लिए, KVKK अनुपालन अब GDPR दायित्व, यूरोपीय संघ के AI अधिनियम और उल्लंघन-अधिसूचना कर्तव्यों के साथ-साथ चलता है, इसलिए नियामक उपकरणों को अलग-अलग नहीं, बल्कि एक साथ पढ़ा जाना चाहिए।

विदेशी निवेशकों, जनरल काउंसल और सीमा-पार कंपनियों के लिए, तुर्की में प्रौद्योगिकी और डेटा-गोपनीयता अनुपालन अब केवल एक ही कानून तक सीमित कार्य नहीं रह गया है। व्यक्तिगत डेटा संरक्षण कानून संख्या 6698 (KVKK) मुख्य घरेलू उपकरण है, लेकिन वास्तविक जोखिम GDPR, यूरोपीय संघ के AI अधिनियम, और एंटरप्राइज़ ग्राहकों द्वारा लगाए गए संविदात्मक दायित्वों के माध्यम से भी सामने आता है। यह मार्गदर्शिका उन प्रश्नों का उत्तर देती है जो ग्राहक वास्तव में पूछते हैं, नियामक उपकरणों का नाम बताती है, और यह समझाती है कि एक प्रलेखित अनुपालन कार्यक्रम किस प्रकार प्रवर्तन और लेन-देन के जोखिम को कम करता है।

तुर्की में डेटा गोपनीयता को कौन-सा कानून नियंत्रित करता है?

तुर्की में डेटा गोपनीयता को व्यक्तिगत डेटा संरक्षण कानून संख्या 6698 (KVKK) द्वारा नियंत्रित किया जाता है, जो 2016 में प्रभावी हुआ और संरचनात्मक रूप से यूरोपीय संघ के GDPR के अनुरूप है। KVKK उन डेटा नियंत्रकों और प्रोसेसरों पर लागू होता है जो व्यक्तियों के व्यक्तिगत डेटा को संभालते हैं, वैध-प्रसंस्करण की शर्तें निर्धारित करता है, डेटा-विषय के अधिकारों को परिभाषित करता है, और पर्यवेक्षी निकाय के रूप में व्यक्तिगत डेटा संरक्षण प्राधिकरण की स्थापना करता है। यूरोपीय ग्राहकों की सेवा करने वाली कंपनियाँ GDPR के अधीन भी बनी रहती हैं, इसलिए एक ही व्यवसाय पर अक्सर दोहरे दायित्व होते हैं।

KVKK अपने ढाँचे को परिचित सिद्धांतों पर खड़ा करता है: वैध, निष्पक्ष और पारदर्शी प्रसंस्करण; उद्देश्य की सीमा; डेटा का न्यूनीकरण; सटीकता; भंडारण की सीमा; और डेटा सुरक्षा। ये सिद्धांत अमूर्त नहीं हैं। ये वही मानदंड हैं जिनके विरुद्ध प्राधिकरण किसी ऑडिट के दौरान या किसी घटना के बाद यह मापता है कि प्रसंस्करण वैध था या नहीं और नियंत्रण पर्याप्त थे या नहीं।

KVKK के तहत व्यक्तिगत डेटा के प्रसंस्करण का वैध आधार क्या है?

KVKK के अनुच्छेद 5 के तहत, व्यक्तिगत डेटा को केवल डेटा-विषय की स्पष्ट सहमति से, या जहाँ सूचीबद्ध कानूनी अपवादों में से कोई एक लागू होता हो — जैसे किसी अनुबंध का निष्पादन, किसी कानूनी दायित्व का अनुपालन, किसी वैध हित का संरक्षण, या कानून में स्पष्ट रूप से प्रदान किए गए आधार — तभी संसाधित किया जा सकता है। सहमति के बिना और किसी योग्य अपवाद के बिना प्रसंस्करण अवैध है, चाहे डेटा को तकनीकी रूप से कितनी ही अच्छी तरह सुरक्षित क्यों न किया गया हो।

व्यवहार में, सबसे आम चूक वैध आधार का अभाव नहीं, बल्कि उसे सिद्ध कर पाने में असमर्थता है। नियंत्रकों को प्रत्येक प्रसंस्करण गतिविधि के लिए यह दिखाने में सक्षम होना चाहिए कि किस विशिष्ट आधार पर भरोसा किया गया, उसका उद्देश्य क्या था, कौन-सी डेटा श्रेणियाँ शामिल थीं, और प्रतिधारण अवधि क्या थी। विशेष श्रेणियों के डेटा पर अधिक कठोर शर्तें लागू होती हैं, इसलिए स्वास्थ्य, बायोमेट्रिक या इसी प्रकार के डेटा के प्रसंस्करण का आधार अलग से और सतर्कतापूर्वक प्रलेखित किया जाना चाहिए।

सीमा-पार डेटा स्थानांतरण कैसे विनियमित होते हैं?

KVKK का अनुच्छेद 9 विदेश में व्यक्तिगत डेटा के स्थानांतरण को नियंत्रित करता है, जिसके लिए या तो स्पष्ट सहमति या प्राप्तकर्ता देश में संरक्षण का पर्याप्त स्तर आवश्यक है, और जहाँ उपयुक्त हो वहाँ पक्षों के बीच बाध्यकारी प्रतिबद्धताओं द्वारा समर्थित होना चाहिए। जहाँ कंपनियाँ GDPR के दायरे में भी आती हैं, वहाँ संगत यूरोपीय संघ-मूल डेटा प्रवाहों के लिए समानांतर तंत्र — जैसे मानक संविदात्मक खंड (SCCs), बाध्यकारी कॉर्पोरेट नियम (BCRs), या EU-U.S. डेटा गोपनीयता ढाँचा (DPF) जैसे पर्याप्तता ढाँचे — प्रासंगिक हो जाते हैं।

बार-बार होने वाली गलती क्लाउड आर्किटेक्चर को स्वतः वैध मान लेना है। एक स्थानांतरण ढाँचा ढह जाता है यदि उप-प्रोसेसर श्रृंखला अधूरी हो, यदि वैश्विक सहायता टीमें बिना नियंत्रण के प्रोडक्शन डेटा तक पहुँच सकती हों, या यदि कंपनी यह उत्तर न दे सके कि कौन किस डेटा तक और कब पहुँच सकता है। कानूनी स्थिति को इस तकनीकी वास्तविकता से मेल खाना चाहिए कि डेटा कहाँ स्थित है और उसे कौन छूता है।

स्थानांतरण तंत्र किसके लिए सर्वाधिक उपयुक्त मुख्य सीमा
मानक संविदात्मक खंड (SCCs) अधिकांश सीमा-पार प्रवाह; संविदात्मक रूप से शीघ्रता से लागू करने योग्य जब तक सत्यापन-योग्य तकनीकी और पहुँच नियंत्रणों के साथ न जुड़े, तब तक केवल कागज़ी
बाध्यकारी कॉर्पोरेट नियम (BCRs) परिपक्व शासन वाले बड़े बहुराष्ट्रीय समूह उल्लेखनीय निवेश और आंतरिक अनुमोदन में समय आवश्यक
पर्याप्तता / DPF आच्छादित क्षेत्राधिकारों में पात्र प्राप्तकर्ता आगे के स्थानांतरणों को शामिल नहीं करता, न ही कमज़ोर विक्रेता सावधानी को क्षम्य बनाता है

VERBIS क्या है और किसे पंजीकरण कराना आवश्यक है?

VERBIS, KVKK के तहत रखा जाने वाला डेटा नियंत्रकों का रजिस्टर है, जिसमें डेटा नियंत्रकों को अपनी प्रसंस्करण गतिविधियों को पंजीकृत कराना आवश्यक है, बशर्ते कोई छूट लागू न हो। पंजीकरण एक बार की औपचारिकता नहीं है। यह उस दायित्व से जुड़ा है जिसके तहत एक सटीक प्रसंस्करण सूची बनाए रखनी होती है, जो दर्शाती है कि कौन-सा डेटा रखा गया है, क्यों, किस वैध आधार पर, और कितने समय के लिए।

किसी विशिष्ट कंपनी को पंजीकरण कराना आवश्यक है या नहीं, और कोई भी लागू सीमाएँ या छूट, प्राधिकरण द्वारा निर्धारित की जाती हैं और इनमें परिवर्तन हो सकता है, इसलिए जिस समय आप दाखिल करें, उस समय प्रभावी पंजीकरण दायित्व और किसी भी सीमा की पुष्टि कर लें। व्यावहारिक निष्कर्ष यह है कि एक स्वच्छ VERBIS स्थिति उसी डेटा मानचित्रण पर निर्भर करती है जो अनुपालन कार्यक्रम के हर दूसरे हिस्से को सहारा देता है।

व्यक्तियों के पास कौन-से अधिकार हैं, और यूरोपीय संघ का AI अधिनियम इस तस्वीर में क्या जोड़ता है?

KVKK के तहत, डेटा-विषयों के पास ऐसे अधिकार हैं जिनमें अपने डेटा तक पहुँच, गलत डेटा का सुधार, निर्धारित परिस्थितियों में मिटाना या नष्ट करना, और पूरी तरह स्वचालित प्रसंस्करण के माध्यम से उत्पन्न परिणामों पर आपत्ति का अधिकार शामिल है। नियंत्रकों के पास इन अनुरोधों को कानून द्वारा निर्धारित अवधि के भीतर प्राप्त करने, मूल्यांकन करने और उत्तर देने की प्रक्रिया होनी चाहिए, और उन्हें यह प्रमाणित करने में सक्षम होना चाहिए कि वह प्रक्रिया कार्य करती है।

जो कंपनियाँ AI का निर्माण या उपयोग करती हैं, उनके लिए यूरोपीय संघ का AI अधिनियम एक अलग, जोखिम-आधारित ढाँचा जोड़ता है, जो प्रणालियों को वर्गीकृत करता है और रोज़गार स्क्रीनिंग, ऋण व बीमा मूल्यांकन, तथा बायोमेट्रिक पहचान जैसे उच्च-जोखिम उपयोगों पर शासन संबंधी दायित्व आरोपित करता है। सीमा-पार व्यवसायों के लिए व्यावहारिक प्रश्न यह नहीं है कि वे AI का उपयोग करते हैं या नहीं, बल्कि यह है कि क्या उनकी प्रणालियाँ सही ढंग से वर्गीकृत हैं और क्या वे — जब कोई नियामक या एंटरप्राइज़ ग्राहक माँगे — एक सुसंगत शासन फ़ाइल प्रस्तुत कर सकते हैं, जिसमें जोखिम प्रबंधन, मानवीय निगरानी, तकनीकी प्रलेखन, और लॉगिंग शामिल हो।

KVKK उल्लंघनों के लिए दंड क्या हैं?

KVKK अवैध प्रसंस्करण, डेटा सुरक्षा सुनिश्चित करने में विफलता, या आवश्यक होने पर पंजीकरण न कराने जैसे उल्लंघनों के लिए प्रशासनिक जुर्माने और अन्य उपायों का प्रावधान करता है। मौद्रिक सीमाएँ कानून द्वारा निर्धारित होती हैं और समय के साथ समायोजित होती रहती हैं, इसलिए किसी भी जुर्माने की सीमा को एक निश्चित वर्तमान राशि मानने के बजाय आचरण या दाखिले के समय प्रभावी आँकड़ों के विरुद्ध पुष्टि की जानी चाहिए।

प्रवर्तन के परिणाम उल्लंघन के अस्तित्व से कम, बल्कि प्रतिक्रिया की गुणवत्ता से अधिक संचालित होते हैं। निर्णायक तथ्य आमतौर पर ये होते हैं कि क्या नियंत्रक वास्तविक प्रलेखन के साथ एक वैध उद्देश्य, न्यूनीकरण, और पर्याप्त नियंत्रण सिद्ध कर सकता है, और क्या परिचालन टीम ने बिना विरोधाभास उत्पन्न किए या साक्ष्य खोए उल्लंघन की प्रतिक्रिया को निष्पादित किया।

कंपनियों को डेटा उल्लंघन और अधिसूचना की समय-सीमा को कैसे संभालना चाहिए?

उल्लंघन-प्रतिक्रिया एक प्रक्रिया की परीक्षा है, कोई एकल निर्णय नहीं। GDPR के तहत, अनुच्छेद 33 के अनुसार सीमा को पूरा करने वाले व्यक्तिगत डेटा उल्लंघन की जानकारी होने के बाद पर्यवेक्षी प्राधिकरण को बिना किसी अनुचित देरी के, और जहाँ संभव हो वहाँ 72 घंटों के भीतर अधिसूचना देना आवश्यक है; इसी प्रकार KVKK भी अपनी निर्धारित अवधि के भीतर प्राधिकरण और प्रभावित व्यक्तियों को अधिसूचना देना आवश्यक करता है। आम चूक देरी है: कंपनियाँ पूर्ण निश्चितता की प्रतीक्षा करती हैं और वैधानिक समय-सीमा चूक जाती हैं।

पहले ही दिन में एक बचाव-योग्य प्रतिक्रिया का अर्थ है एकल घटना कमान को सक्रिय करना, नियंत्रण उपायों द्वारा साक्ष्य नष्ट होने से पहले लॉग और स्नैपशॉट जैसे साक्ष्य संरक्षित करना, प्रभावित डेटा सेट और क्षेत्राधिकारों की पहचान करना, और नियामकों, ग्राहकों व बीमाकर्ताओं के बीच एक सुसंगत कथन-माध्यम बनाए रखना। घटना से पहले ही कार्ययोजना तैयार कर लें, क्योंकि तथ्यों के अधूरे रहते हुए प्रक्रिया को डिज़ाइन करने के लिए यह समय-सीमा बहुत कम है।

अक्सर पूछे जाने वाले प्रश्न

क्या KVKK तुर्की में बिना किसी कार्यालय वाली विदेशी कंपनी पर लागू होता है?

KVKK उन डेटा नियंत्रकों तक पहुँच सकता है जो तुर्की में व्यक्तियों के व्यक्तिगत डेटा को संसाधित करते हैं, जो प्रसंस्करण की प्रकृति और स्थान पर निर्भर करता है। बिना स्थानीय कार्यालय वाली कंपनी को यह नहीं मान लेना चाहिए कि वह दायरे से बाहर है; बल्कि उसे यह मानचित्रित करना चाहिए कि उसके डेटा-विषय कहाँ हैं, कौन-सा डेटा संसाधित होता है, और किस वैध आधार पर, तथा कानून संख्या 6698 के तहत अपनी विशिष्ट उपस्थिति पर सलाह लेनी चाहिए।

क्या SCCs GDPR के तहत क्लाउड स्थानांतरणों को स्वतः वैध बना देते हैं?

नहीं। मानक संविदात्मक खंड एक संविदात्मक तंत्र हैं, कोई ऐसी मुहर नहीं जो किसी भी स्थानांतरण को वैध बना दे। उन्हें तकनीकी वास्तविकता से मेल खाना चाहिए और, जहाँ स्थानांतरण जोखिम अधिक हो, वहाँ एन्क्रिप्शन, की-प्रबंधन, और सख्त पहुँच नियंत्रण जैसे पूरक उपायों द्वारा समर्थित होना चाहिए। यदि उप-प्रोसेसर श्रृंखला या पहुँच मॉडल स्पष्ट न हो, तो SCCs केवल कागज़ी बनकर रह जाते हैं और किसी तकनीकी ऑडिट में टिक नहीं पाएँगे।

क्या तुर्की में व्यक्तिगत डेटा संसाधित करने के लिए सहमति सदैव आवश्यक है?

नहीं। KVKK का अनुच्छेद 5 ऐसे कानूनी अपवादों को सूचीबद्ध करता है जो स्पष्ट सहमति के बिना प्रसंस्करण की अनुमति देते हैं, जैसे किसी अनुबंध का निष्पादन या किसी कानूनी दायित्व का अनुपालन। सहमति कई वैध आधारों में से एक है, परंतु जहाँ आप किसी अपवाद पर भरोसा करते हैं, वहाँ आपको उसे ठीक-ठीक पहचानने और यह प्रलेखित करने में सक्षम होना चाहिए कि वह उस विशिष्ट प्रसंस्करण गतिविधि पर क्यों लागू होता है।

यूरोपीय संघ का AI अधिनियम किसी तुर्की कंपनी को कैसे प्रभावित करता है?

यूरोपीय संघ का AI अधिनियम तब प्रासंगिक हो जाता है जब कोई कंपनी यूरोपीय संघ के बाज़ार में AI प्रणालियाँ रखती है, यूरोपीय संघ-आधारित ग्राहकों की सेवा करती है, या अनुबंध द्वारा AI अनुपालन प्रदर्शित करने के लिए बाध्य होती है। खरीद-संबंधी दबाव अक्सर औपचारिक समय-सीमाओं से पहले ही शासन को आवश्यक बना देता है, इसलिए व्यावहारिक कदम यह है कि AI प्रणालियों की सूची बनाई जाए, उन्हें जोखिम के अनुसार वर्गीकृत किया जाए, और वह प्रलेखन एकत्र किया जाए जिसकी एंटरप्राइज़ खरीदार और नियामक अपेक्षा करते हैं।

एक मध्यम-आकार की कंपनी के लिए सबसे तेज़ एकल अनुपालन सुधार क्या है?

मुख्य रजिस्टरों का निर्माण और रखरखाव करें: एक प्रसंस्करण रजिस्टर, एक स्थानांतरण रजिस्टर, जहाँ प्रासंगिक हो वहाँ एक AI प्रणाली रजिस्टर, और एक विक्रेता रजिस्टर। फिर एक सरल खरीद नियम लागू करें कि कोई नया विक्रेता और कोई नई AI सुविधा रजिस्टर अद्यतन तथा स्थानांतरण व वैध-आधार जाँच के बिना सक्रिय न हो। ये रजिस्टर वह साक्ष्य-परत बन जाते हैं जिसकी आपको किसी नियामक या ग्राहक को शीघ्रता से उत्तर देने के लिए आवश्यकता होती है।

अपनी अगली डेटा परियोजना से पहले परामर्श लें

सीमा-पार डेटा गोपनीयता, AI शासन, तथा क्रिप्टो और प्रौद्योगिकी संबंधी प्रश्न इस प्रकार आपस में जुड़ते हैं जिन्हें एक-एक कानून के आधार पर संभालना कठिन है। यदि आपको किसी चेकलिस्ट के बजाय एक प्रलेखित, ऑडिट-तैयार कार्यक्रम की आवश्यकता है, तो हमारी प्रौद्योगिकी, डेटा गोपनीयता, और क्रिप्टो कानून टीम विदेशी निवेशकों और सीमा-पार कंपनियों को KVKK तथा GDPR अनुपालन, स्थानांतरण तंत्र, AI अधिनियम शासन, और घटना-प्रतिक्रिया पर सलाह देती है। जब डेटा संपत्तियाँ किसी सौदे का हिस्सा हों, तब हम अपने कॉर्पोरेट और वाणिज्यिक कानून अभ्यास के माध्यम से संबंधित लेन-देन में भी सहायता प्रदान करते हैं।

संबंधित पठन के लिए, बौद्धिक संपदा कानून, तुर्की में अंतर्राष्ट्रीय निवेश के कानूनी पहलुओं, और तुर्की के लिए AI कानूनी विश्लेषण प्रॉम्प्ट पर हमारी मार्गदर्शिकाएँ देखें।

सामान्य जानकारी, कानूनी सलाह नहीं। तुर्की कानून; अपनी विशिष्ट स्थिति की पुष्टि किसी योग्य अधिवक्ता से करें।