Автор: адвокат Serkan Kara, Istanbul Bar No. 53770. Останнє оновлення: 14 червня 2026 р.
Захист персональних даних у Туреччині регулюється Законом про захист персональних даних № 6698 (KVKK) — режимом, тісно змодельованим за Загальним регламентом ЄС про захист даних (GDPR). KVKK визначає, як контролери даних збирають, обробляють, зберігають і передають персональні дані, встановлює умови законної обробки у статті 5, регулює транскордонну передачу у статті 9 і виконується Управлінням із захисту персональних даних (Kisisel Verileri Koruma Kurumu). Для транскордонних компаній відповідність KVKK тепер існує поряд із ризиками за GDPR, Законом ЄС про штучний інтелект (EU AI Act) та обов’язками щодо повідомлення про витоки, тож регулівні акти слід читати разом, а не ізольовано.
Для іноземних інвесторів, головних юрисконсультів і транскордонних компаній відповідність вимогам у сфері технологій і захисту даних у Туреччині більше не є питанням одного закону. Закон про захист персональних даних № 6698 (KVKK) є основним національним актом, однак реальні ризики також пов’язані з GDPR, Законом ЄС про штучний інтелект та договірними зобов’язаннями, які накладають корпоративні клієнти. Цей посібник відповідає на запитання, які клієнти ставлять насправді, називає регулівні акти й пояснює, як задокументована програма відповідності знижує ризики правозастосування та угод.
Який закон регулює захист персональних даних у Туреччині?
Захист персональних даних у Туреччині регулюється Законом про захист персональних даних № 6698 (KVKK), який набрав чинності у 2016 році та структурно узгоджений із GDPR ЄС. KVKK поширюється на контролерів і обробників даних, які працюють із персональними даними фізичних осіб, встановлює умови законної обробки, визначає права суб’єктів даних і створює Управління із захисту персональних даних як наглядовий орган. Компанії, що обслуговують європейських клієнтів, також залишаються суб’єктами GDPR, тож один бізнес нерідко несе подвійні зобов’язання.
KVKK будує свою систему на знайомих принципах: законна, справедлива та прозора обробка; обмеження мети; мінімізація даних; точність; обмеження зберігання; та безпека даних. Ці принципи не є абстрактними. Вони є мірилом, за яким Управління оцінює, чи була обробка законною та чи були засоби контролю достатніми під час аудиту або після інциденту.
Що є правовою підставою для обробки персональних даних згідно з KVKK?
Згідно зі статтею 5 KVKK персональні дані можуть оброблятися лише за наявності явної згоди суб’єкта даних або коли застосовується один із перелічених правових винятків, як-от виконання договору, дотримання юридичного обов’язку, захист законного інтересу чи підстави, прямо передбачені законом. Обробка без згоди та без відповідного винятку є незаконною, незалежно від того, наскільки технічно захищеними були дані.
На практиці найпоширенішою помилкою є не відсутність правової підстави, а неспроможність її довести. Контролери мають бути здатні показати для кожного виду обробки конкретну підставу, на яку вони спираються, мету, категорії задіяних даних і строк зберігання. Особливі категорії даних мають суворіші умови, тож підставу для обробки даних про здоров’я, біометричних чи подібних даних слід документувати окремо та обачно.
Як регулюється транскордонна передача даних?
Стаття 9 KVKK регулює передачу персональних даних за кордон, вимагаючи або явної згоди, або належного рівня захисту в країні-одержувачі, підкріпленого, де доречно, обов’язковими зобов’язаннями між сторонами. Коли компанії також підпадають під дію GDPR, для відповідних потоків даних із ЄС стають актуальними паралельні механізми, такі як Стандартні договірні положення (SCC), Обов’язкові корпоративні правила (BCR) чи рамки належності на кшталт Рамки конфіденційності даних ЄС—США (DPF).
Поширена помилка — вважати хмарну архітектуру автоматично законною. Механізм передачі руйнується, якщо ланцюг субобробників неповний, якщо глобальні команди підтримки можуть отримувати доступ до даних робочого середовища без засобів контролю або якщо компанія не може відповісти, хто, до яких даних і коли має доступ. Правова позиція має відповідати технічній реальності: де розміщені дані та хто має до них доступ.
| Механізм передачі | Найкраще підходить для | Ключове обмеження |
|---|---|---|
| Стандартні договірні положення (SCC) | Більшість транскордонних потоків; швидке договірне впровадження | Лише на папері, якщо не поєднано з перевірними технічними засобами та засобами контролю доступу |
| Обов’язкові корпоративні правила (BCR) | Великі транснаціональні групи зі зрілим управлінням | Потребують значних інвестицій і часу на внутрішнє узгодження |
| Належність / DPF | Прийнятні одержувачі в охоплених юрисдикціях | Не охоплює подальші передачі та не виправдовує слабкої перевірки постачальників |
Що таке VERBIS і хто має реєструватися?
VERBIS — це реєстр контролерів даних, який ведеться згідно з KVKK і в якому контролери даних зобов’язані реєструвати свої види обробки, якщо не застосовується виняток. Реєстрація не є одноразовою формальністю. Вона пов’язана з обов’язком вести точний реєстр обробки, що відображає, які дані зберігаються, з якою метою, на якій правовій підставі та протягом якого часу.
Чи зобов’язана конкретна компанія реєструватися, а також будь-які застосовні порогові значення чи винятки, визначаються Управлінням і можуть змінюватися, тож підтверджуйте обов’язок реєстрації та чинні порогові значення на момент подання. Практичний висновок такий: чиста позиція у VERBIS залежить від того самого картографування даних, що підтримує кожну іншу частину програми відповідності.
Які права мають фізичні особи та як Закон ЄС про штучний інтелект доповнює картину?
Згідно з KVKK суб’єкти даних мають права, зокрема: доступ до своїх даних, виправлення неточних даних, видалення чи знищення у визначених обставинах і право заперечувати проти рішень, ухвалених виключно шляхом автоматизованої обробки. Контролери повинні мати процес отримання, оцінювання та надання відповіді на такі запити у встановлений законом строк і мати змогу довести, що цей процес працює.
Для компаній, які створюють або впроваджують штучний інтелект, Закон ЄС про штучний інтелект додає окремий режим, що ґрунтується на оцінці ризиків, класифікує системи та накладає зобов’язання з управління для застосувань підвищеного ризику, як-от відбір персоналу, оцінювання кредитоспроможності та страхування і біометрична ідентифікація. Практичне питання для транскордонного бізнесу не в тому, чи використовує він штучний інтелект, а в тому, чи правильно класифіковано його системи та чи здатний він надати узгоджений файл управління — включно з управлінням ризиками, людським наглядом, технічною документацією та журналюванням — коли цього вимагатиме регулятор чи корпоративний клієнт.
Які санкції за порушення KVKK?
KVKK передбачає адміністративні штрафи та інші заходи за порушення, такі як незаконна обробка, незабезпечення безпеки даних чи нереєстрація, коли це вимагається. Грошові порогові значення встановлюються законом і з часом коригуються, тож будь-який діапазон штрафу слід звіряти з показниками, чинними на момент діяння чи подання, а не сприймати як фіксовану поточну суму.
Результати правозастосування визначаються не стільки фактом порушення, скільки якістю реагування. Вирішальними фактами зазвичай є те, чи може контролер довести законну мету, мінімізацію та достатні засоби контролю реальною документацією, і чи виконала операційна команда реагування на витік без суперечностей та без втрати доказів.
Як компаніям діяти у разі витоку даних і дотримуватися строків повідомлення?
Реагування на витік — це перевірка процесу, а не одне рішення. Згідно з GDPR стаття 33 вимагає повідомлення наглядового органу без невиправданої затримки і, де це можливо, протягом 72 годин з моменту, коли стало відомо про витік персональних даних, що відповідає пороговому значенню; KVKK так само вимагає повідомлення Управління та постраждалих осіб у встановлений ним строк. Поширеною помилкою є затримка: компанії чекають на цілковиту певність і пропускають установлене законом вікно.
Захищене реагування в перший день означає активацію єдиного командного центру з реагування на інцидент, збереження доказів, як-от журналів і знімків стану, перш ніж локалізація їх знищить, визначення задіяних наборів даних і юрисдикцій та підтримання єдиного узгодженого каналу комунікації з регуляторами, клієнтами та страховиками. Розробіть план дій до інциденту, адже вікно надто коротке, щоб проєктувати процес, поки факти ще неповні.
Поширені запитання
Чи поширюється KVKK на іноземну компанію, яка не має офісу в Туреччині?
KVKK може охоплювати контролерів даних, які обробляють персональні дані фізичних осіб у Туреччині, залежно від характеру та місця обробки. Компанії без місцевого офісу не варто припускати, що вона перебуває поза сферою дії; натомість їй слід визначити, де перебувають суб’єкти її даних, які дані обробляються та на якій правовій підставі, і отримати консультацію щодо її конкретної присутності згідно із Законом № 6698.
Чи легалізують SCC автоматично хмарні передачі згідно з GDPR?
Ні. Стандартні договірні положення є договірним механізмом, а не печаткою, що легалізує будь-яку передачу. Вони мають відповідати технічній реальності і, де ризик передачі високий, підкріплюватися додатковими заходами, як-от шифрування, керування ключами та суворий контроль доступу. Якщо ланцюг субобробників чи модель доступу неясні, SCC залишаються лише на папері й не витримають технічного аудиту.
Чи завжди потрібна згода для обробки персональних даних у Туреччині?
Ні. Стаття 5 KVKK перелічує правові винятки, які дозволяють обробку без явної згоди, як-от виконання договору чи дотримання юридичного обов’язку. Згода є однією з кількох правових підстав, але коли ви спираєтеся на виняток, ви повинні бути здатні точно його визначити та задокументувати, чому він застосовується до цього конкретного виду обробки.
Як Закон ЄС про штучний інтелект впливає на турецьку компанію?
Закон ЄС про штучний інтелект стає актуальним, коли компанія розміщує системи штучного інтелекту на ринку ЄС, обслуговує клієнтів із ЄС або зобов’язана за договором продемонструвати відповідність вимогам щодо штучного інтелекту. Тиск із боку закупівель нерідко змушує запроваджувати управління раніше за офіційні строки, тож практичним кроком є інвентаризація систем штучного інтелекту, їх класифікація за ризиком і збирання документації, яку очікують корпоративні покупці та регулятори.
Яке найшвидше покращення відповідності для компанії середнього розміру?
Створіть і ведіть основні реєстри: реєстр обробки, реєстр передач, реєстр систем штучного інтелекту (де це доречно) та реєстр постачальників. Потім запровадьте просте правило закупівель: жоден новий постачальник і жодна нова функція штучного інтелекту не запускаються без оновлення реєстру та перевірки передачі й правової підстави. Ці реєстри стають тим рівнем доказів, який вам потрібен, щоб швидко відповісти регулятору чи клієнту.
Поговоріть із юристом перед наступним проєктом, пов’язаним із даними
Транскордонний захист даних, управління штучним інтелектом і питання криптовалют та технологій перетинаються у спосіб, який важко контролювати закон за законом. Якщо вам потрібна задокументована, готова до аудиту програма, а не контрольний список, наша команда з технологічного права, захисту даних і криптовалют консультує іноземних інвесторів і транскордонні компанії з питань відповідності KVKK та GDPR, механізмів передачі, управління згідно із Законом про штучний інтелект та реагування на інциденти. Ми також супроводжуємо пов’язані угоди через нашу практику корпоративного та комерційного права, коли активи даних є частиною угоди.
Для пов’язаного читання перегляньте наші посібники з права інтелектуальної власності, правових аспектів міжнародних інвестицій у Туреччині та запитів для юридичного аналізу за допомогою штучного інтелекту в Туреччині.
Загальна інформація, а не юридична консультація. Турецьке право; перевірте свою конкретну ситуацію з кваліфікованим юристом.