Автор: адвокат Serkan Kara, Istanbul Bar No. 53770. Последнее обновление: 14 июня 2026 г.
Защита персональных данных в Турции регулируется Законом о защите персональных данных № 6698 (KVKK) — правовым режимом, тесно смоделированным по образцу Общего регламента ЕС по защите данных (GDPR). KVKK определяет, каким образом операторы данных собирают, обрабатывают, хранят и передают персональные данные, устанавливает условия правомерной обработки в статье 5, регулирует трансграничную передачу в статье 9 и применяется Управлением по защите персональных данных (Kişisel Verileri Koruma Kurumu). Для трансграничных компаний соблюдение KVKK сегодня сочетается с рисками по GDPR, Регламентом ЕС об искусственном интеллекте (EU AI Act) и обязанностями по уведомлению об инцидентах, поэтому применимые правовые акты следует рассматривать в совокупности, а не по отдельности.
Для иностранных инвесторов, корпоративных юристов и трансграничных компаний соблюдение требований в сфере технологий и защиты данных в Турции больше не сводится к одному закону. Закон о защите персональных данных № 6698 (KVKK) является основным национальным актом, однако реальные риски также связаны с GDPR, Регламентом ЕС об искусственном интеллекте и договорными обязательствами, налагаемыми корпоративными клиентами. Это руководство отвечает на вопросы, которые клиенты задают на практике, называет применимые правовые акты и объясняет, как документированная программа соответствия снижает правоприменительные и сделочные риски.
Какой закон регулирует защиту персональных данных в Турции?
Защита персональных данных в Турции регулируется Законом о защите персональных данных № 6698 (KVKK), который вступил в силу в 2016 году и структурно соответствует GDPR ЕС. KVKK применяется к операторам и обработчикам данных, работающим с персональными данными физических лиц, устанавливает условия правомерной обработки, определяет права субъектов данных и учреждает Управление по защите персональных данных в качестве надзорного органа. Компании, обслуживающие европейских клиентов, также остаются субъектами GDPR, поэтому один и тот же бизнес зачастую несёт двойные обязательства.
KVKK строит свою систему на знакомых принципах: правомерная, добросовестная и прозрачная обработка; ограничение цели; минимизация данных; точность; ограничение срока хранения; и безопасность данных. Эти принципы не являются абстрактными. Именно по ним Управление оценивает, была ли обработка правомерной и были ли меры защиты достаточными в ходе проверки или после инцидента.
Каковы правовые основания для обработки персональных данных согласно KVKK?
Согласно статье 5 KVKK, персональные данные могут обрабатываться только с явного согласия субъекта данных либо при наличии одного из перечисленных законных исключений, таких как исполнение договора, соблюдение установленной законом обязанности, защита законного интереса или основания, прямо предусмотренные законом. Обработка без согласия и без подходящего исключения является неправомерной, независимо от того, насколько технически защищены данные.
На практике наиболее частая ошибка заключается не в отсутствии правового основания, а в невозможности его доказать. Операторы должны быть способны показать для каждой операции обработки конкретное основание, на которое они опираются, цель, категории затрагиваемых данных и срок хранения. К специальным категориям данных применяются более строгие условия, поэтому основание для обработки данных о здоровье, биометрических и аналогичных данных следует документировать отдельно и с осторожностью.
Как регулируется трансграничная передача данных?
Статья 9 KVKK регулирует передачу персональных данных за рубеж, требуя либо явного согласия, либо достаточного уровня защиты в принимающей стране, подкреплённого при необходимости обязывающими обязательствами между сторонами. Если компании также подпадают под действие GDPR, для соответствующих потоков данных, происходящих из ЕС, становятся актуальными параллельные механизмы, такие как стандартные договорные положения (SCC), обязательные корпоративные правила (BCR) или рамки достаточности защиты, например рамочное соглашение ЕС-США о защите данных (DPF).
Повторяющаяся ошибка — рассматривать облачную архитектуру как автоматически правомерную. Механизм передачи рушится, если цепочка субобработчиков неполна, если глобальные команды поддержки могут получить доступ к производственным данным без контроля или если компания не может ответить на вопрос, кто, к каким данным и когда имеет доступ. Правовая позиция должна соответствовать технической реальности — где находятся данные и кто с ними работает.
| Механизм передачи | Наиболее подходит для | Ключевое ограничение |
|---|---|---|
| Стандартные договорные положения (SCC) | Большинства трансграничных потоков; быстро внедряются на договорном уровне | Остаются формальностью на бумаге, если не подкреплены проверяемыми техническими мерами и контролем доступа |
| Обязательные корпоративные правила (BCR) | Крупных многонациональных групп со зрелым управлением | Требуют значительных вложений и времени на внутреннее утверждение |
| Достаточность защиты / DPF | Подходящих получателей в охваченных юрисдикциях | Не покрывают дальнейшие передачи и не освобождают от тщательной проверки поставщиков |
Что такое VERBIS и кто обязан регистрироваться?
VERBIS — это реестр операторов данных, ведущийся в соответствии с KVKK, в котором операторы данных обязаны регистрировать свою деятельность по обработке, если не применяется освобождение. Регистрация не является разовой формальностью. Она связана с обязанностью вести точный реестр обработки, отражающий, какие данные хранятся, для чего, на каком правовом основании и в течение какого срока.
Обязана ли конкретная компания регистрироваться, а также любые применимые пороговые значения или освобождения устанавливаются Управлением и могут меняться, поэтому подтверждайте обязанность регистрации и действующие пороговые значения на момент подачи. Практический вывод заключается в том, что чистый статус в VERBIS зависит от того же картирования данных, которое поддерживает все остальные части программы соответствия.
Какие права имеют физические лица и что добавляет к этой картине Регламент ЕС об искусственном интеллекте?
Согласно KVKK, субъекты данных обладают правами, включая доступ к своим данным, исправление неточных данных, удаление или уничтожение в определённых обстоятельствах, а также право возражать против решений, принятых исключительно посредством автоматизированной обработки. Операторы должны иметь процедуру приёма, оценки и ответа на такие запросы в установленный законом срок и должны быть способны доказать, что эта процедура работает.
Для компаний, которые создают или внедряют ИИ, Регламент ЕС об искусственном интеллекте добавляет отдельный, основанный на оценке риска режим, который классифицирует системы и налагает обязательства по управлению на использование с более высоким риском, такое как отбор кандидатов при трудоустройстве, оценка кредитоспособности и страхования, а также биометрическая идентификация. Практический вопрос для трансграничного бизнеса состоит не в том, используют ли они ИИ, а в том, правильно ли классифицированы их системы и могут ли они представить связный пакет документов по управлению — включая управление рисками, человеческий надзор, техническую документацию и ведение журналов — когда об этом попросит регулятор или корпоративный клиент.
Каковы санкции за нарушение KVKK?
KVKK предусматривает административные штрафы и иные меры за нарушения, такие как неправомерная обработка, необеспечение безопасности данных или отсутствие требуемой регистрации. Денежные пороговые значения устанавливаются законом и со временем корректируются, поэтому любой диапазон штрафов следует подтверждать по показателям, действующим на момент совершения деяния или подачи, а не рассматривать как фиксированную текущую сумму.
Результаты правоприменения определяются не столько самим фактом нарушения, сколько качеством реакции. Решающими обстоятельствами обычно являются то, может ли оператор доказать правомерную цель, минимизацию и достаточные меры контроля с помощью реальной документации, и то, выполнила ли операционная команда реагирование на инцидент без противоречий и без утраты доказательств.
Как компаниям следует реагировать на утечку данных и соблюдать срок уведомления?
Реагирование на утечку — это проверка процесса, а не единичное решение. Согласно GDPR, статья 33 требует уведомления надзорного органа без неоправданной задержки и, где это осуществимо, в течение 72 часов с момента, когда стало известно об утечке персональных данных, достигшей порогового значения; KVKK также требует уведомления Управления и затронутых лиц в установленный им срок. Распространённая ошибка — промедление: компании ждут полной определённости и упускают предусмотренный законом срок.
Обоснованная реакция в первый день означает активацию единого центра управления инцидентом, сохранение доказательств, таких как журналы и снимки систем, до того как меры по локализации их уничтожат, выявление затронутых наборов данных и юрисдикций, а также поддержание единого согласованного канала коммуникации с регуляторами, клиентами и страховщиками. Создавайте план действий до инцидента, поскольку срок слишком короток, чтобы выстраивать процесс, пока факты ещё неполны.
Часто задаваемые вопросы
Применяется ли KVKK к иностранной компании, не имеющей офиса в Турции?
KVKK может распространяться на операторов данных, которые обрабатывают персональные данные физических лиц в Турции, в зависимости от характера и места обработки. Компании без местного офиса не следует исходить из того, что она находится вне сферы действия закона; вместо этого ей следует определить, где находятся её субъекты данных, какие данные обрабатываются и на каком правовом основании, и получить консультацию по своей конкретной ситуации в рамках Закона № 6698.
Легализуют ли SCC облачные передачи автоматически согласно GDPR?
Нет. Стандартные договорные положения — это договорный механизм, а не печать, легализующая любую передачу. Они должны соответствовать технической реальности и, когда риск передачи высок, подкрепляться дополнительными мерами, такими как шифрование, управление ключами и строгий контроль доступа. Если цепочка субобработчиков или модель доступа неясны, SCC остаются лишь формальностью на бумаге и не выдержат технической проверки.
Всегда ли требуется согласие для обработки персональных данных в Турции?
Нет. Статья 5 KVKK перечисляет законные исключения, допускающие обработку без явного согласия, такие как исполнение договора или соблюдение установленной законом обязанности. Согласие — это одно из нескольких правовых оснований, но если вы опираетесь на исключение, вы должны быть способны точно его определить и задокументировать, почему оно применимо к данной конкретной операции обработки.
Как Регламент ЕС об искусственном интеллекте затрагивает турецкую компанию?
Регламент ЕС об искусственном интеллекте становится актуальным, когда компания размещает системы ИИ на рынке ЕС, обслуживает клиентов, находящихся в ЕС, или обязана по договору продемонстрировать соответствие требованиям в области ИИ. Закупочное давление часто вынуждает внедрять управление раньше формальных сроков, поэтому практический шаг — провести инвентаризацию систем ИИ, классифицировать их по уровню риска и собрать документацию, которую ожидают корпоративные покупатели и регуляторы.
Какое одно улучшение соответствия даёт самый быстрый эффект для средней компании?
Создайте и ведите основные реестры: реестр обработки, реестр передач, реестр систем ИИ там, где это применимо, и реестр поставщиков. Затем внедрите простое правило закупок: ни один новый поставщик и ни одна новая функция ИИ не вводятся в эксплуатацию без обновления реестра и проверки механизма передачи и правового основания. Эти реестры становятся тем доказательным слоем, который нужен, чтобы быстро ответить регулятору или клиенту.
Обсудите вопрос с юристом до начала следующего проекта по работе с данными
Вопросы трансграничной защиты данных, управления ИИ, криптовалют и технологий пересекаются таким образом, что управлять ими по отдельным законам затруднительно. Если вам нужна документированная программа, готовая к проверке, а не просто чек-лист, наша команда по технологическому праву, защите данных и криптовалютам консультирует иностранных инвесторов и трансграничные компании по вопросам соблюдения KVKK и GDPR, механизмов передачи, управления в рамках Регламента об ИИ и реагирования на инциденты. Мы также сопровождаем связанные сделки в рамках нашей практики корпоративного и коммерческого права, когда информационные активы являются частью сделки.
В качестве дополнительного материала ознакомьтесь с нашими руководствами по праву интеллектуальной собственности, правовым аспектам международных инвестиций в Турции и промптам для юридического анализа с помощью ИИ в Турции.
Общая информация, не являющаяся юридической консультацией. Турецкое право; проверьте свою конкретную ситуацию у квалифицированного юриста.