What is KVKK and how does it differ from GDPR?

KVKK (Kişisel Verilerin Korunması Kanunu, Law No. 6698) is The data protection law enacted in 2016. While modeled on the EU's 1995 Data Protection Directive (pre-GDPR), key differences include: (1) Cross-border data transfers require explicit Personal Data Protection Board (KVKK) approval or binding commitments — no adequacy decisions like GDPR, (2) Mandatory VERBİS registration (Data Controllers Registry), (3) Penalties up to TRY 10 million per violation, (4) No equivalent of GDPR's Legitimate Interest basis — consent is the primary processing ground, (5) Shorter response time for data subject requests (30 days vs. GDPR's 30 days with extension option).

Are cryptocurrency exchanges legal ?

Crypto Asset Service Providers (CASP) are now regulated under amendments to Capital Markets Law No. 6362. Operating a crypto exchange without Capital Markets Board (SPK) license is a criminal offense. The Central Bank (TCMB) banned direct crypto payments for goods and services in April 2021. However, buying, selling, and trading crypto assets through licensed platforms is legal. All CASPs must implement KYC/AML procedures, report suspicious transactions to MASAK (Financial Crimes Investigation Board), and maintain minimum capital requirements.

What are the e-commerce legal requirements ?

E-commerce businesses must comply with: (1) Law No. 6563 on Regulation of Electronic Commerce — mandatory commercial electronic message consent, (2) Distance Selling Contracts Regulation — 14-day withdrawal right for consumers, (3) ETBİS registration (E-Commerce Information System) for all online sellers, (4) KVKK compliance for customer data processing, (5) Consumer Protection Law No. 6502, (6) Payment Services Law No. 6493 if handling payments. Non-compliance carries administrative fines from TRY 10,000 to TRY 1,000,000.

Do foreign tech companies need a legal entity ?

Not always, but practically essential for compliance. Law No. 5651 (Internet Law) requires social media platforms with over 10 million daily users to appoint a Turkey representative. The new e-commerce amendments require platforms exceeding certain transaction volumes to establish entities. For KVKK compliance, appointing a Turkey-based Data Controller Representative is mandatory if processing citizens' data without a establishment. Serka 법률사무소 assists foreign tech companies with entity formation, representative appointments, and regulatory compliance.

터키 기술법 | KVKK 및 크립토

기술법, 데이터 프라이버시(KVKK) 및 암호화폐 규제. Serka 법률사무소은 국제 기술 기업, SaaS 제공업체, 핀테크, AI 개발자, 암호화폐 플랫폼에 대하여 튀르키예의 데이터 보호법, 전자상거래법, 인터넷법 및 자본시장법에 관한 자문을 제공합니다. 저희는 외국 플랫폼이 튀르키예 사용자에게 적법하게 서비스를 제공할 수 있도록 컴플라이언스 체계를 구축하며, 규제 당국이 해당 플랫폼에 대해 조치를 취할 경우 이를 방어합니다.

변호사 Serkan Kara, 이스탄불 변호사회 번호 53770
최종 업데이트: 2026년 6월

튀르키예에서 영업하는 기업에게 기술법과 데이터 프라이버시법이란 무엇입니까?

튀르키예의 기술법과 데이터 프라이버시법은 기업이 개인정보와 디지털 서비스를 수집, 저장, 이전, 수익화하는 방식을 규율합니다. 핵심 법률은 EU GDPR을 반영하면서도 튀르키예 국외로의 데이터 이전에 대해서는 더 엄격한 조건을 부과하는 개인정보보호법 제6698호(KVKK)입니다. 튀르키예 사용자에게 서비스를 제공하는 기술 기업은 서버가 어디에 위치하든 관계없이 이러한 규정의 적용을 받습니다. KVKK와 더불어 전자상거래 규제법 제6563호, 인터넷법 제5651호, 그리고 (암호자산에 관한) 자본시장법 제6362호가 함께 외국 플랫폼이 반드시 준수해야 하는 규제 경계를 형성합니다.

기술 또는 데이터 프로젝트에서 가장 먼저 검토해야 할 것은 무엇입니까?

기술 프로젝트는 데이터 흐름도(data-flow map)에서 출발해야 합니다. 즉, 정보주체가 누구인지, 어떤 개인정보가 처리되는지, 어떤 목적으로 처리되는지, 어디에 저장되는지, 어떤 제3자 또는 공급업체가 해당 데이터에 접근하는지를 파악해야 합니다. 이 흐름도를 바탕으로 변호인은 동의 또는 그 밖의 적법한 처리 근거, 국외 이전 통제, 보안 의무, 소비자 대상 계약 조건, 그리고 부문별 인허가를 포함하여 각 흐름에 결부되는 법적 의무를 식별할 수 있습니다. 규제 당국의 조사 이후가 아니라 제품 설계 단계에서 이러한 문제를 해결하는 것이야말로 하나의 사업적 결정이 추후 컴플라이언스 실패로 비화되지 않도록 막아 줍니다.

KVKK란 무엇이며 GDPR과 어떻게 다릅니까?

KVKK(개인정보보호법 제6698호)는 튀르키예의 일반 개인정보보호 법률로서, 그 원칙, 정보주체의 권리, 책임성 의무에 있어 GDPR과 구조적으로 유사합니다. 결정적인 차이는 데이터의 국외 이전에 있습니다. GDPR이 적정성 결정 및 표준화된 보호조치 하에서 이전을 허용하는 반면, KVKK는 종래에 정보주체의 명시적 동의를 받거나 이전 대상국이 개인정보보호위원회가 정한 적정 보호 수준 보유국 목록에 등재되어 있을 것을 요구해 왔습니다. 실무상 해당 적정성 목록이 여전히 제한적으로 유지되어 왔기 때문에, 대부분의 국제 기업은 이전 대상국을 자동으로 안전하다고 취급하기보다는 위원회가 승인한 서면 확약서 또는 표준 계약상 보호조치에 의존하고 있습니다.

데이터 관리자(controller)를 위한 VERBIS 등록

정해진 기준을 충족하는 기업, 또는 핵심 활동이 민감 개인정보 처리인 기업은 개인정보보호청이 운영하는 공적 데이터 관리자 등록부인 VERBIS에 등록해야 합니다. 등록을 통해 관리자의 데이터 목록, 처리 목적, 보유 기간, 보안 조치가 문서화됩니다. 튀르키예 내 사업장이 없는 외국 데이터 관리자는 튀르키예에 데이터 관리자 대리인(Data Controller Representative)을 선임해야 하며, 이는 저희 사무소가 국제 의뢰인을 위하여 수행하는 역할입니다. 등록을 하지 않거나 부정확한 정보를 등록할 경우 관리자는 행정 과태료에 노출됩니다.

데이터의 국외 이전

KVKK에 따라 튀르키예 내 사용자의 개인정보는 단지 편의를 이유로 국외 서버로 이전될 수 없습니다. 명시적 동의가 하나의 경로이기는 하나, 사용자가 언제든지 이를 철회할 수 있다는 점에서 취약합니다. 보다 안정적인 경로는 진정한 기술적·관리적 보안 동등성에 의해 뒷받침되는, 개인정보보호위원회가 승인한 서면 확약서 또는 표준 계약 메커니즘입니다. 저희는 글로벌 기업이 튀르키예 법 하에서 적법성을 유지하면서도 기존 클라우드 인프라에 데이터를 보관할 수 있도록 이러한 문서를 작성하고 제출합니다.

튀르키예는 암호화폐 및 암호자산 플랫폼을 어떻게 규제합니까?

튀르키예의 암호화폐 및 암호자산 서비스 제공업체는, 암호자산을 자본시장위원회(SPK)의 감독 범위 내로 편입하도록 개정된 자본시장법 제6362호에 따라 규제됩니다. 거래소와 수탁(custody) 플랫폼을 포함한 암호자산 서비스 제공업체는 SPK로부터 영업 인가를 받아야 하며, 자본, 지배구조, 수탁, 자금세탁방지 의무를 준수해야 합니다. 그러한 인가 없이 튀르키예 내 사용자를 대상으로 거래소를 운영하는 것은 무인가 자본시장 활동으로 취급되며, 책임 있는 임원에 대한 형사책임 및 플랫폼에 대한 접속 차단으로 이어질 수 있습니다.

암호화폐 거래소 인가

튀르키예 사용자를 유치하거나, 튀르키예어로 광고하거나, 튀르키예 리라 거래쌍을 제공하는 외국 거래소는 일반적으로 튀르키예 주식회사를 설립하고 SPK 인가를 받아야 합니다. 인가에는 최소 자본 요건의 충족, MASAK(금융범죄조사위원회)에 부합하는 자금세탁방지 및 고객확인 통제의 시행, 그리고 규정에 부합하는 수탁 체계의 마련이 수반됩니다. 저희는 인가 신청 전 과정을 관리하고 라이선스를 보유하는 법인 구조를 설계합니다.

토큰 발행 및 Web3 구조 설계

토큰 발행에는 증권 관련 위험이 따릅니다. 이익 분배 또는 배당 성격을 띠는 토큰은 증권으로 취급될 수 있으며, 이는 투자설명서 및 공시 의무를 촉발합니다. 저희는 유틸리티 토큰과 증권형 토큰을 구별하는 법률 의견을 제공하고, 발행 주체를 구조화하며, 창업자가 튀르키예에서 무인가 공모 주장에 노출되지 않도록 소매(retail) 공모에 대한 지역 차단(geo-fence)을 적용합니다.

외국 온라인 플랫폼에는 어떤 전자상거래 규칙이 적용됩니까?

튀르키예 내 소비자에게 판매하는 외국 온라인 플랫폼은 전자상거래 규제법 제6563호 및 통신판매 계약 규정을 준수해야 합니다. 두 가지 의무가 가장 중요합니다. 첫째, 모든 사업자 대 소비자(B2C) 판매에서는 구매 전 상세한 사전 정보 양식과 함께, 소비자에게 위약금 없는 14일의 청약철회권을 부여해야 합니다. 둘째, 마케팅 SMS, 이메일, 자동 전화와 같은 상업적 전자 메시지에는 중앙 메시지 관리 시스템(IYS)에 기록된 사전 승인이 필요하며, 소비자의 수신 거부는 자동으로 이행되어야 합니다. IYS 승인 없이 원치 않는 마케팅을 발송하거나 적법한 환불을 거부하는 경우, 행정 과태료 및 현지 결제 처리를 교란할 수 있는 소비자 민원을 초래합니다.

튀르키예 당국이 외국 플랫폼을 차단하거나 대역폭을 제한할 수 있습니까?

그렇습니다. 인터넷법 제5651호에 따라, 튀르키예 내 일일 사용자 기반이 큰 외국 소셜 네트워크 제공업체는 법적 통지를 수령하고 이에 응답할 현지 대리인을 선임해야 합니다. 법원이 인격권 또는 그 밖의 법정 사유에 근거하여 콘텐츠 삭제를 명령하는 경우, 제공업체는 법정 기한 내에 조치를 취해야 합니다. 이를 거부할 경우 정보통신기술청(BTK)이 광고 금지, 과태료, 그리고 서비스를 저하시키는 점진적 대역폭 제한을 부과할 수 있습니다. 저희는 선임된 대리인으로서 활동하며, 각 명령의 유효성을 평가하고, 명령에 하자가 있는 경우 이의를 제기하며, 하나의 분쟁이 플랫폼 전체의 가용성을 위태롭게 하지 않도록 좁게 표적화된 컴플라이언스를 이행합니다.

기술 기업의 주요 법적 위험과 그 예외는 무엇입니까?

반복적으로 나타나는 위험은 위법한 데이터 국외 이전, VERBIS 등록 누락, SPK 인가 없는 암호화폐 서비스 운영, IYS 승인 없는 원치 않는 마케팅, 그리고 인터넷법상 콘텐츠 삭제 또는 대리인 선임 의무의 무시입니다. 이들 각각은 행정 과태료를 수반하며, 그중 일부는 형사책임 또는 접속 차단의 위험을 동반합니다. 주요 예외 및 항변에는 KVKK상 동의 이외의 적법한 처리 근거, 데이터를 개인정보의 범위에서 제외시키는 진정한 익명화, 위원회가 승인한 이전 수단, 그리고 튀르키예 소매 사용자를 대상으로 하지 않도록 암호화폐 또는 토큰 활동을 구조화하는 것이 포함됩니다. 예외의 적용 여부는 사실관계에 따라 달라지며, 규제 당국이 조치를 취한 이후가 아니라 그 이전에 평가되어야 합니다.

기술 및 데이터 프라이버시 사안에 변호사가 필요합니까?

기술 제품이 대규모로 튀르키예 사용자를 접하거나, 민감정보 또는 생체정보를 처리하거나, 데이터를 국외로 이전하거나, 암호화폐 또는 토큰 서비스를 제공하거나, 규제 당국의 통지를 받은 경우에는 언제나 변호사가 필요합니다. 이러한 사안들은 데이터 보호법, 자본시장법, 소비자법, 인터넷법이 결합되어 있으며, 한 영역에서의 실수가 결제 게이트웨이를 동결시키거나 서비스 전체를 차단시킬 수 있습니다. 제품 설계 단계에서 변호인을 선임하는 것이 출시 이후 집행 조치를 방어하는 것보다 훨씬 비용이 적게 듭니다.

자주 묻는 질문

튀르키예에 사무소가 없는 기업에도 KVKK가 적용됩니까?

그렇습니다. KVKK는 기업이 어디에 설립되어 있는지 또는 서버가 어디에 위치하는지가 아니라, 튀르키예 내 개인의 개인정보 처리를 기준으로 적용됩니다. 튀르키예 사용자의 데이터를 처리하는 외국 데이터 관리자는 일반적으로 VERBIS에 등록하고 튀르키예에 데이터 관리자 대리인을 선임해야 합니다.

고객 데이터를 튀르키예 밖의 AWS 또는 Google Cloud에 보관할 수 있습니까?

가능한 경우가 많으나, 자동으로 허용되는 것은 아닙니다. 튀르키예 사용자의 개인정보를 외국 클라우드 인프라에 저장하는 것은 KVKK상 국외 이전에 해당합니다. 이는 유효한 명시적 동의에 의하거나, 보다 안정적으로는 위원회가 승인한 서면 확약서 또는 표준 계약 메커니즘과 더불어 적정한 보안 조치에 의해 뒷받침되어야 합니다. 저희는 해당 이전을 인가하는 문서를 작성하고 제출합니다.

해외에서 튀르키예 사용자를 위한 암호화폐 거래소를 운영하는 것이 적법합니까?

무인가 역외 거래소에서 튀르키예 사용자를 대상으로 하는 것은 법률 제6362호상 무인가 자본시장 활동으로 취급되며, 형사책임 및 접속 차단으로 이어질 수 있습니다. 튀르키예 사용자를 원하는 플랫폼은 일반적으로 튀르키예 법인을 설립하고, MASAK에 부합하는 자금세탁방지 통제를 포함하여 SPK 인가를 받아야 합니다.

IYS 승인 없이 마케팅 메시지를 발송하면 어떻게 됩니까?

승인되지 않은 상업적 전자 메시지 각각이 행정 과태료를 촉발할 수 있으며, 반복적인 위반은 규제 및 소비자 민원을 야기합니다. 튀르키예 소비자에 대한 마케팅 SMS, 이메일, 자동 전화는 IYS 시스템에 등록되어야 하며, 수신 거부는 자동으로 적용되어야 합니다.

튀르키예 법원이 콘텐츠 삭제를 명령했습니다. 기한은 언제입니까?

인터넷법 제5651호에 따라, 제공업체는 유효한 콘텐츠 삭제 명령에 대하여 해당 명령 유형에 적용되는 법정 기한 내에 조치를 취해야 합니다. 기한을 도과할 경우 BTK가 광고 금지, 과태료, 대역폭 제한을 부과할 수 있습니다. 저희는 명령의 유효성을 평가하고, 필요한 경우 이를 준수하며, 하자 있는 명령에 대해서는 이의를 제기합니다.

규제 당국의 조사가 있은 후 얼마나 빨리 변호인을 선임해야 합니까?

즉시 선임해야 합니다. 조기에 변호인이 개입하면 컴플라이언스에 위반되는 데이터 파이프라인을 중단시키고, 익명화 또는 대체적 적법 근거와 같은 항변 수단을 보전하며, 과태료 및 폐기 명령이 확정되기 전에 규제 당국과 체계적인 대화를 시작할 수 있습니다. 지체는 활용 가능한 항변 수단을 축소시킵니다.

비밀 보장 사건 평가 요청

귀하의 플랫폼이 튀르키예 사용자 데이터를 처리하거나, 튀르키예 사용자에게 암호화폐 또는 토큰 서비스를 제공하거나, 규제 당국의 통지를 받은 경우 비밀 보장 사건 평가를 요청하시기 바랍니다. 제품, 데이터 흐름, 그리고 계류 중인 명령이 있다면 이를 설명해 주시면, 저희가 적용되는 의무와 귀하를 적법하게 유지하면서 운영을 지속하게 하는 구조를 식별해 드리겠습니다.

법적 고지

본 페이지는 튀르키예의 기술법, 데이터 보호법, 자본시장법에 관한 일반적인 정보를 제공할 뿐 법률 자문에 해당하지 않습니다. 본 페이지를 읽는 것만으로는 변호사-의뢰인 관계가 성립하지 않습니다. 변호사-의뢰인 관계는 서명된 위임 계약에 의해서만 성립합니다. 구체적인 상황에 관한 자문은 자격을 갖춘 변호사와 상담하시기 바랍니다.

터키 기술법, 개인정보보호(KVKK) 및 암호화폐 규제