Юридические услуги по всему миру · 15 языков
ЮРИДИЧЕСКАЯ ФИРМА SERKAМеждународный юридический консалтинг

Право в сфере технологий, защита персональных данных (KVKK) и регулирование криптовалют в Турции

Право в сфере технологий, защита персональных данных (KVKK) и регулирование криптовалют в Турции

Право в сфере технологий, защита персональных данных (KVKK) и регулирование криптовалют. Юридическая фирма Serka консультирует международные технологические компании, поставщиков SaaS, финтех-компании, разработчиков ИИ и криптовалютные платформы по вопросам турецкого законодательства о защите данных, электронной коммерции, интернете и рынках капитала. Мы выстраиваем структуры комплаенса, позволяющие иностранной платформе законно обслуживать пользователей в Турции, и защищаем эту платформу, когда регулятор предпринимает против неё меры.

адвокат Serkan Kara, Стамбульская коллегия адвокатов № 53770
Последнее обновление: июнь 2026 г.

Что такое право в сфере технологий и защиты персональных данных для компаний, работающих в Турции?

Право в сфере технологий и защиты персональных данных в Турции регулирует то, как компания собирает, хранит, передаёт и монетизирует персональные данные и цифровые услуги. Базовым законом является Закон о защите персональных данных № 6698 (KVKK), который повторяет европейский GDPR, но устанавливает более строгие условия передачи данных за пределы Турции. Технологическая компания, обслуживающая турецких пользователей, связана этими правилами независимо от того, где расположены её серверы. Наряду с KVKK Закон о регулировании электронной коммерции № 6563, Закон об интернете № 5651 и Закон о рынках капитала № 6362 (для криптоактивов) совместно образуют регуляторный периметр, который должна соблюдать любая иностранная платформа.

Что следует проверить в первую очередь в технологическом или информационном проекте?

Технологический проект следует начинать с карты потоков данных: кто является субъектами данных, какие персональные данные обрабатываются, с какой целью, где они хранятся и какие третьи стороны или поставщики имеют к ним доступ. На основе этой карты юрист может определить юридические обязательства, привязанные к каждому потоку, включая согласие или иное правовое основание, контроль трансграничной передачи, обязанности по обеспечению безопасности, договорные условия в отношении потребителей и любое отраслевое лицензирование. Разрешение этих вопросов на этапе проектирования продукта, а не после запроса регулятора, — это то, что не даёт одному коммерческому решению превратиться позднее в нарушение требований комплаенса.

Что такое KVKK и чем он отличается от GDPR?

KVKK (Закон о защите персональных данных № 6698) — это общий турецкий закон о защите данных, структурно близкий к GDPR по своим принципам, правам субъектов данных и обязанностям по подотчётности. Решающее различие касается трансграничной передачи данных. В то время как GDPR допускает передачу на основании решений об адекватности и стандартизированных гарантий, KVKK исторически требовал либо явного согласия субъекта данных, либо того, чтобы страна назначения фигурировала в списке стран с надлежащим уровнем защиты, который ведёт Совет по защите персональных данных (Personal Data Protection Board). Поскольку этот список адекватности на практике оставался ограниченным, большинство международных компаний полагаются на письменные обязательства, одобренные Советом, или стандартные договорные гарантии, а не рассматривают страну назначения как автоматически безопасную.

Регистрация в VERBIS для операторов данных

Компании, отвечающие установленным пороговым критериям, или те, чья основная деятельность заключается в обработке специальных категорий персональных данных, должны зарегистрироваться в VERBIS — публичном Реестре операторов данных (Data Controllers’ Registry), который ведёт Управление по защите персональных данных (Personal Data Protection Authority). Регистрация документирует инвентаризацию данных оператора, цели обработки, сроки хранения и меры безопасности. Иностранный оператор данных, не имеющий представительства в Турции, обязан назначить Представителя оператора данных (Data Controller Representative) в Турции — роль, которую наша фирма выполняет для международных клиентов. Отсутствие регистрации или регистрация недостоверных сведений подвергает оператора административным штрафам.

Трансграничная передача данных

В соответствии с KVKK персональные данные пользователей в Турции не могут передаваться на серверы за рубежом исключительно из соображений удобства. Явное согласие является одним из путей, но он ненадёжен, поскольку пользователь может отозвать его в любой момент. Более устойчивый путь — это письменное обязательство или стандартный договорный механизм, одобренный Советом по защите персональных данных и подкреплённый реальной технической и организационной эквивалентностью мер безопасности. Мы готовим и подаём эти документы, чтобы глобальная компания могла хранить данные на своей существующей облачной инфраструктуре, оставаясь при этом в рамках турецкого законодательства.

Как Турция регулирует криптовалюты и платформы криптоактивов?

Поставщики услуг в сфере криптовалют и криптоактивов в Турции регулируются Законом о рынках капитала № 6362 с поправками, включившими криптоактивы в сферу надзора Совета по рынкам капитала (SPK). Поставщики услуг в сфере криптоактивов, включая биржи и кастодиальные платформы, должны иметь разрешение на осуществление деятельности от SPK и соблюдать требования к капиталу, корпоративному управлению, кастодиальному хранению и противодействию отмыванию денег. Эксплуатация биржи, ориентированной на пользователей в Турции, без такого разрешения рассматривается как несанкционированная деятельность на рынке капитала и может повлечь уголовную ответственность для ответственных руководителей, а также блокировку доступа к платформе.

Лицензирование криптобиржи

Иностранной бирже, которая привлекает турецких пользователей, размещает рекламу на турецком языке или предлагает торговые пары с турецкой лирой, как правило, необходимо учредить турецкое акционерное общество и получить разрешение SPK. Лицензирование включает соответствие требованиям к минимальному капиталу, внедрение средств контроля противодействия отмыванию денег и идентификации клиентов в соответствии с требованиями MASAK (Совет по расследованию финансовых преступлений, Financial Crimes Investigation Board), а также организацию соответствующих кастодиальных механизмов. Мы ведём заявку на получение разрешения от начала до конца и формируем корпоративную структуру, держащую лицензию.

Выпуск токенов и структурирование Web3

Выпуск токенов несёт риск признания их ценными бумагами. Токен, который ведёт себя как инструмент участия в прибыли или дивидендный инструмент, может быть признан ценной бумагой, что влечёт обязательства по проспекту эмиссии и раскрытию информации. Мы предоставляем юридические заключения, разграничивающие утилитарные токены и токены-ценные бумаги, структурируем эмитента и применяем географические ограничения (geo-fence) для розничных предложений, чтобы основатели не подвергались претензиям о несанкционированном публичном предложении в Турции.

Какие правила электронной коммерции применяются к иностранным онлайн-платформам?

Иностранные онлайн-платформы, продающие товары потребителям в Турции, должны соблюдать Закон о регулировании электронной коммерции № 6563 и положение о договорах дистанционной продажи. Наибольшее значение имеют два обязательства. Во-первых, любая продажа от бизнеса потребителю (business-to-consumer) должна предоставлять потребителю четырнадцатидневное право отказа без штрафных санкций вместе с подробной формой предварительной информации до покупки. Во-вторых, коммерческие электронные сообщения, такие как маркетинговые SMS, электронные письма или автоматизированные звонки, требуют предварительного согласия, зафиксированного в центральной Системе управления сообщениями (IYS); отказ потребителя от рассылки должен исполняться автоматически. Отправка нежелательных маркетинговых сообщений без одобрения IYS или отказ в законном возврате средств влекут административные штрафы и потребительские жалобы, которые могут нарушить локальную обработку платежей.

Могут ли турецкие власти заблокировать или замедлить иностранную платформу?

Да. В соответствии с Законом об интернете № 5651 иностранный поставщик социальной сети с большой ежедневной турецкой пользовательской базой должен назначить локального представителя для получения юридических уведомлений и реагирования на них. Когда суд выносит постановление об удалении контента на основании прав личности или иных установленных законом оснований, поставщик обязан принять меры в установленный законом срок. Отказ может привести к тому, что Управление по информационным и коммуникационным технологиям (BTK) введёт запреты на рекламу, штрафы и прогрессирующее замедление пропускной способности, ухудшающее работу сервиса. Мы выступаем в качестве назначенного представителя, оцениваем действительность каждого постановления, подаём возражения там, где постановление является ошибочным, и осуществляем узконаправленное исполнение требований, чтобы один спор не поставил под угрозу общую доступность платформы.

Каковы основные юридические риски для технологических компаний и какие существуют исключения?

Повторяющимися рисками являются незаконная трансграничная передача данных, отсутствие регистрации в VERBIS, оказание криптоуслуг без разрешения SPK, нежелательный маркетинг без одобрения IYS и игнорирование обязательств по удалению контента или назначению представителя в рамках Закона об интернете. Каждый из них влечёт административные штрафы, а некоторые — уголовную ответственность или блокировку доступа. Основные исключения и средства защиты включают правовые основания, отличные от согласия, в рамках KVKK, подлинную анонимизацию, выводящую данные из сферы действия понятия персональных данных, одобренные Советом инструменты передачи, а также структурирование криптовалютной или токенной деятельности таким образом, чтобы она не была ориентирована на турецких розничных пользователей. Применимость исключения зависит от конкретных фактов и должна оцениваться до, а не после действий регулятора.

Нужен ли мне юрист по вопросам технологий и защиты персональных данных?

Юрист необходим всякий раз, когда технологический продукт затрагивает турецких пользователей в больших масштабах, обрабатывает специальные категории или биометрические данные, передаёт данные за рубеж, предлагает крипто- или токенные услуги либо получил уведомление от регулятора. Эти вопросы сочетают в себе право в области защиты данных, рынков капитала, защиты прав потребителей и интернет-право, и ошибка в одной из областей может привести к блокировке платёжных шлюзов или всего сервиса. Привлечение юриста на этапе проектирования продукта обходится значительно дешевле, чем защита в рамках мер принудительного исполнения после запуска.

Часто задаваемые вопросы

Применяется ли KVKK к компании, не имеющей офиса в Турции?

Да. KVKK применяется исходя из обработки персональных данных физических лиц в Турции, а не из того, где компания зарегистрирована или где расположены её серверы. Иностранный оператор данных, обрабатывающий данные турецких пользователей, как правило, обязан зарегистрироваться в VERBIS и назначить Представителя оператора данных в Турции.

Можем ли мы хранить данные клиентов на AWS или Google Cloud за пределами Турции?

Часто да, но не автоматически. Хранение персональных данных турецких пользователей на иностранной облачной инфраструктуре является трансграничной передачей в соответствии с KVKK. Она должна быть обеспечена либо действительным явным согласием, либо, что более устойчиво, одобренным Советом письменным обязательством или стандартным договорным механизмом плюс адекватными мерами безопасности. Мы готовим и подаём документы, разрешающие такую передачу.

Законно ли управлять криптобиржей для турецких пользователей из-за рубежа?

Ориентация на турецких пользователей с нелицензированной офшорной биржи рассматривается как несанкционированная деятельность на рынке капитала в соответствии с Законом № 6362 и может повлечь уголовную ответственность и блокировку доступа. Платформа, желающая обслуживать турецких пользователей, как правило, должна учредить турецкую компанию и получить разрешение SPK, включая средства контроля противодействия отмыванию денег, соответствующие требованиям MASAK.

Что произойдёт, если мы отправим маркетинговые сообщения без одобрения IYS?

Каждое неодобренное коммерческое электронное сообщение может повлечь административный штраф, а повторные нарушения привлекают жалобы со стороны регуляторов и потребителей. Маркетинговые SMS, электронные письма и автоматизированные звонки турецким потребителям должны быть зарегистрированы в системе IYS, а отказы от рассылки должны применяться автоматически.

Турецкий суд обязал нас удалить контент. Каков срок?

В соответствии с Законом об интернете № 5651 поставщики обязаны исполнить действительное постановление об удалении контента в установленный законом срок, применимый к данному типу постановления. Пропуск срока может привести к тому, что BTK введёт запреты на рекламу, штрафы и замедление пропускной способности. Мы оцениваем действительность постановления, исполняем его там, где это требуется, и оспариваем ошибочные постановления.

Как быстро следует привлекать юриста после запроса регулятора?

Немедленно. Привлечённый на раннем этапе юрист может приостановить несоответствующий требованиям конвейер обработки данных, сохранить средства защиты, такие как анонимизация или альтернативное правовое основание, и начать структурированный диалог с регулятором до окончательного утверждения штрафов и постановлений об уничтожении данных. Промедление сужает доступные средства защиты.

Смежные юридические услуги

Технологические вопросы часто связаны с другими сферами практики. Мы координируем работу в сфере технологий и данных с учреждением компаний в Турции для корпоративной структуры, держащей лицензию SPK, с корпоративным и коммерческим правом для соглашений SaaS и платформенных соглашений, со структурированием прямых иностранных инвестиций для входящего технологического капитала, с налоговым правом и таможенным регулированием для налогообложения цифровых услуг и с уголовной защитой и вопросами юрисдикции при возникновении ответственности в сфере рынков капитала или киберпреступности.

Запросите конфиденциальную оценку дела

Если ваша платформа обрабатывает данные турецких пользователей, предлагает крипто- или токенные услуги турецким пользователям либо получила уведомление от регулятора, запросите конфиденциальную оценку дела. Опишите продукт, потоки данных и любое находящееся на рассмотрении постановление, и мы определим применимые обязательства и структуру, которая обеспечит ваше соответствие требованиям и продолжение работы.

Правовая оговорка

Эта страница предоставляет общую информацию о турецком праве в сфере технологий, защиты данных и рынков капитала и не является юридической консультацией. Её прочтение не создаёт отношений «адвокат — клиент». Отношения «адвокат — клиент» возникают только при подписании соглашения об оказании услуг. Для получения консультации по конкретной ситуации обратитесь к квалифицированному адвокату.