Юридичні послуги по всьому світу · 15 мов
ЮРИДИЧНА ФІРМА SERKAМіжнародний юридичний консалтинг

Технологічне Право, Захист Персональних Даних (KVKK) та Регулювання Криптовалют у Туреччині

Технологічне Право, Захист Персональних Даних (KVKK) та Регулювання Криптовалют у Туреччині

Технологічне право, захист персональних даних (KVKK) та регулювання криптовалют. Юридична фірма Serka консультує міжнародні технологічні компанії, постачальників SaaS, фінтех-компанії, розробників ШІ та криптовалютні платформи з питань турецького права захисту даних, електронної комерції, інтернет-права та права ринків капіталу. Ми вибудовуємо структури комплаєнсу, які дозволяють іноземній платформі законно обслуговувати турецьких користувачів, і захищаємо цю платформу, коли проти неї виступає регулятор.

адвокат Serkan Kara, Стамбульська колегія адвокатів № 53770
Останнє оновлення: червень 2026

Що таке технологічне право та право захисту персональних даних для компаній, що працюють у Туреччині?

Технологічне право та право захисту персональних даних у Туреччині регулюють те, як компанія збирає, зберігає, передає та монетизує персональні дані й цифрові послуги. Основним статутним актом є Закон про захист персональних даних № 6698 (KVKK), який віддзеркалює GDPR ЄС, але встановлює суворіші умови щодо передачі даних за межі Туреччини. Технологічна компанія, що обслуговує турецьких користувачів, зобов’язана дотримуватися цих правил незалежно від того, де розміщені її сервери. Поряд із KVKK, Закон про регулювання електронної комерції № 6563, Закон про інтернет № 5651 та Закон про ринки капіталу № 6362 (для криптоактивів) разом утворюють регуляторний периметр, який має поважати будь-яка іноземна платформа.

Що технологічний проєкт або проєкт обробки даних має розглянути в першу чергу?

Технологічний проєкт слід починати з карти потоків даних: хто є суб’єктами даних, які персональні дані обробляються, з якою метою, де вони зберігаються та які треті сторони або постачальники мають до них доступ. На основі цієї карти юрист може визначити правові зобов’язання, що прив’язуються до кожного потоку, включно зі згодою чи іншою законною підставою, контролем транскордонної передачі, обов’язками щодо безпеки, умовами споживчих договорів та будь-яким галузевим ліцензуванням. Вирішення цих питань під час проєктування продукту, а не після запиту регулятора, — саме це не дає одному комерційному рішенню перетворитися згодом на провал комплаєнсу.

Що таке KVKK і чим він відрізняється від GDPR?

KVKK (Закон про захист персональних даних № 6698) — це загальний турецький статутний акт із захисту даних, структурно близький до GDPR за своїми принципами, правами суб’єктів даних та обов’язками щодо підзвітності. Вирішальна відмінність — транскордонна передача даних. Тоді як GDPR дозволяє передачу на підставі рішень про адекватність та стандартизованих гарантій, KVKK історично вимагав або явної згоди суб’єкта даних, або того, щоб країна призначення була у списку країн із адекватним рівнем захисту, що веде Рада із захисту персональних даних. Оскільки на практиці цей список адекватності залишається обмеженим, більшість міжнародних компаній покладаються на письмові зобов’язання, схвалені Радою, або стандартні договірні гарантії, замість того щоб вважати країну призначення автоматично безпечною.

Реєстрація VERBIS для контролерів даних

Компанії, що відповідають визначеним пороговим значенням, або основна діяльність яких полягає в обробці чутливих персональних даних, повинні зареєструватися у VERBIS — публічному Реєстрі контролерів даних, який веде Управління із захисту персональних даних. Реєстрація документує інвентаризацію даних контролера, цілі обробки, строки зберігання та заходи безпеки. Іноземний контролер даних без турецького осідку повинен призначити Представника контролера даних у Туреччині — роль, яку наша фірма виконує для міжнародних клієнтів. Нездійснення реєстрації або реєстрація неточної інформації наражає контролера на адміністративні штрафи.

Транскордонна передача даних

Згідно з KVKK, персональні дані користувачів у Туреччині не можуть передаватися на сервери за кордоном лише з міркувань зручності. Явна згода — це один зі шляхів, але він крихкий, оскільки користувач може відкликати її в будь-який час. Більш надійним шляхом є письмове зобов’язання або стандартний договірний механізм, схвалений Радою із захисту персональних даних, підкріплений справжньою технічною та організаційною еквівалентністю безпеки. Ми готуємо та подаємо ці документи, щоб глобальна компанія могла зберігати дані на наявній хмарній інфраструктурі, залишаючись законною за турецьким правом.

Як Туреччина регулює криптовалюти та платформи криптоактивів?

Постачальники послуг із криптовалют та криптоактивів у Туреччині регулюються Законом про ринки капіталу № 6362 зі змінами, що ввели криптоактиви до сфери нагляду Ради ринків капіталу (SPK). Постачальники послуг із криптоактивів, зокрема біржі та платформи зберігання, повинні мати дозвіл на діяльність від SPK і дотримуватися вимог щодо капіталу, корпоративного управління, зберігання та протидії відмиванню коштів. Управління біржею, орієнтованою на користувачів у Туреччині, без такого дозволу розглядається як неавторизована діяльність на ринку капіталу та може призвести до кримінальної відповідальності відповідальних керівників і до блокування доступу до платформи.

Ліцензування криптобіржі

Іноземна біржа, яка залучає турецьких користувачів, рекламується турецькою мовою або пропонує торгові пари в турецьких лірах, як правило, повинна заснувати турецьке акціонерне товариство та отримати дозвіл SPK. Ліцензування передбачає дотримання вимог щодо мінімального капіталу, впровадження контролю протидії відмиванню коштів та ідентифікації клієнтів, узгодженого з MASAK (Радою з розслідування фінансових злочинів), а також запровадження відповідних механізмів зберігання. Ми ведемо заявку на отримання дозволу від початку до кінця та структуруємо корпоративну особу, що володіє ліцензією.

Випуск токенів та структурування Web3

Випуск токенів несе ризик, пов’язаний із цінними паперами. Токен, який поводиться як інструмент розподілу прибутку чи дивідендів, може розглядатися як цінний папір, що зумовлює зобов’язання щодо проспекту та розкриття інформації. Ми надаємо правові висновки, що розмежовують utility-токени та security-токени, структуруємо суб’єкта-емітента та запроваджуємо геообмеження роздрібних пропозицій, щоб засновники не наражалися на претензії щодо неавторизованої публічної пропозиції в Туреччині.

Які правила електронної комерції застосовуються до іноземних онлайн-платформ?

Іноземні онлайн-платформи, що продають товари споживачам у Туреччині, повинні дотримуватися Закону про регулювання електронної комерції № 6563 та регламенту про договори дистанційного продажу. Найбільше значення мають два зобов’язання. По-перше, будь-який продаж від бізнесу до споживача має надавати споживачеві чотирнадцятиденне право на відмову без штрафних санкцій, разом із детальною формою попереднього інформування до купівлі. По-друге, комерційні електронні повідомлення, як-от маркетингові SMS, електронні листи чи автоматизовані дзвінки, потребують попередньої згоди, зафіксованої в центральній Системі управління повідомленнями (IYS); відмову споживача від отримання повідомлень слід виконувати автоматично. Надсилання непрошеного маркетингу без згоди IYS або відмова в законному поверненні коштів тягне адміністративні штрафи та скарги споживачів, які можуть порушити локальну обробку платежів.

Чи можуть турецькі органи влади заблокувати або обмежити швидкість іноземної платформи?

Так. Згідно із Законом про інтернет № 5651, іноземний постачальник соціальної мережі з великою щоденною аудиторією турецьких користувачів повинен призначити місцевого представника для отримання правових повідомлень та реагування на них. Коли суд видає наказ про видалення контенту на підставі особистих прав або інших статутних підстав, постачальник повинен діяти в межах встановленого законом строку. Відмова може спонукати Управління з інформаційних та комунікаційних технологій (BTK) запровадити заборони на рекламу, штрафи та прогресивне обмеження пропускної здатності, що погіршує сервіс. Ми діємо як призначений представник, оцінюємо дійсність кожного наказу, подаємо заперечення, коли наказ є дефектним, та виконуємо вузько спрямований комплаєнс, щоб одна суперечка не ставила під загрозу загальну доступність платформи.

Які основні правові ризики для технологічних компаній та винятки з них?

Повторюваними ризиками є незаконна транскордонна передача даних, відсутність реєстрації VERBIS, надання криптопослуг без дозволу SPK, непрошений маркетинг без згоди IYS та ігнорування зобов’язань щодо видалення контенту чи призначення представника за Законом про інтернет. Кожен із них тягне адміністративні штрафи, а декілька несуть кримінальну відповідальність або блокування доступу. До основних винятків та засобів захисту належать законні підстави, відмінні від згоди, за KVKK, справжня анонімізація, що виводить дані за межі поняття персональних даних, схвалені Радою інструменти передачі, а також структурування криптовалютної чи токенової діяльності так, щоб вона не була орієнтована на турецьких роздрібних користувачів. Чи застосовується виняток — питання фактичних обставин, і його слід оцінювати до, а не після того, як діє регулятор.

Чи потрібен мені юрист у питаннях технологій та захисту персональних даних?

Юрист необхідний щоразу, коли технологічний продукт масово охоплює турецьких користувачів, обробляє чутливі чи біометричні дані, передає дані за кордон, пропонує криптовалютні чи токенові послуги або отримав повідомлення від регулятора. Ці питання поєднують право захисту даних, право ринків капіталу, споживче та інтернет-право, і помилка в одній сфері може заморозити платіжні шлюзи або заблокувати весь сервіс. Залучення юриста під час проєктування продукту обходиться набагато дешевше, ніж захист у справі про правозастосування після запуску.

Поширені запитання

Чи застосовується KVKK до компанії, що не має офісу в Туреччині?

Так. KVKK застосовується на підставі обробки персональних даних осіб у Туреччині, а не на підставі того, де компанію зареєстровано чи де розташовані її сервери. Іноземний контролер даних, який обробляє дані турецьких користувачів, як правило, зобов’язаний зареєструватися у VERBIS та призначити Представника контролера даних у Туреччині.

Чи можемо ми зберігати дані клієнтів на AWS або Google Cloud за межами Туреччини?

Часто так, але не автоматично. Зберігання персональних даних турецьких користувачів на іноземній хмарній інфраструктурі є транскордонною передачею за KVKK. Вона має бути підкріплена або дійсною явною згодою, або, більш надійно, схваленим Радою письмовим зобов’язанням чи стандартним договірним механізмом плюс належними заходами безпеки. Ми готуємо та подаємо документи, що санкціонують передачу.

Чи законно керувати криптобіржею для турецьких користувачів із-за кордону?

Орієнтація на турецьких користувачів із неліцензованої офшорної біржі розглядається як неавторизована діяльність на ринку капіталу за Законом № 6362 і може призвести до кримінальної відповідальності та блокування доступу. Платформа, що хоче мати турецьких користувачів, як правило, повинна заснувати турецьку компанію та отримати дозвіл SPK, включно з контролем протидії відмиванню коштів, що відповідає вимогам MASAK.

Що станеться, якщо ми надсилатимемо маркетингові повідомлення без згоди IYS?

Кожне несхвалене комерційне електронне повідомлення може спричинити адміністративний штраф, а повторні порушення тягнуть регуляторні та споживчі скарги. Маркетингові SMS, електронні листи та автоматизовані дзвінки турецьким споживачам повинні бути зареєстровані в системі IYS, а відмови від отримання повідомлень мають застосовуватися автоматично.

Турецький суд зобов’язав нас видалити контент. Який строк?

Згідно із Законом про інтернет № 5651, постачальники повинні діяти за дійсним наказом про видалення контенту в межах встановленого законом строку, застосовного до типу наказу. Пропуск строку може спонукати BTK запровадити заборони на рекламу, штрафи та обмеження пропускної здатності. Ми оцінюємо дійсність наказу, виконуємо його там, де це потрібно, та оскаржуємо дефектні накази.

Як швидко нам слід залучати юриста після запиту регулятора?

Негайно. Раннє залучення юриста може призупинити невідповідний конвеєр обробки даних, зберегти засоби захисту, як-от анонімізація чи альтернативна законна підстава, та відкрити структурований діалог із регулятором до того, як буде остаточно ухвалено штрафи й накази про знищення. Зволікання звужує доступні засоби захисту.

Пов’язані юридичні послуги

Технологічні питання часто пов’язані з іншими сферами практики. Ми координуємо технологічну роботу та роботу з даними з заснуванням компаній у Туреччині для корпоративної особи, що володіє ліцензією SPK, з корпоративним та комерційним правом для договорів SaaS і платформ, зі структуруванням прямих іноземних інвестицій для вхідного технологічного капіталу, з податковим правом та митним регулюванням для оподаткування цифрових послуг, а також із кримінальним захистом та юрисдикцією у випадках виникнення відповідальності на ринку капіталу чи за кіберзлочини.

Запитайте конфіденційну оцінку справи

Якщо ваша платформа обробляє дані турецьких користувачів, пропонує криптовалютні чи токенові послуги турецьким користувачам або отримала повідомлення від регулятора, запитайте конфіденційну оцінку справи. Опишіть продукт, потоки даних та будь-який наявний наказ, і ми визначимо, які зобов’язання застосовуються та яка структура зберігає вашу відповідність вимогам і працездатність.

Правове застереження

Ця сторінка надає загальну інформацію про турецьке технологічне право, право захисту даних та право ринків капіталу і не є юридичною консультацією. Її прочитання не створює відносин адвоката і клієнта. Відносини адвоката і клієнта виникають лише за підписаним договором про надання послуг. За консультацією щодо конкретної ситуації зверніться до кваліфікованого адвоката.