GDPR и KVKK для турецких компаний: двойное соответствие на практике
Да, европейский GDPR может применяться к компании, зарегистрированной только в Турции, и одновременно вы обязаны соблюдать собственный закон Турции о защите данных — KVKK (Закон № 6698). Если вы продаёте товары или услуги людям в ЕС либо отслеживаете их поведение, на вас распространяются оба режима сразу, и систему нужно выстраивать по более строгому из них. Это руководство объясняет, где GDPR и KVKK пересекаются, где расходятся, что изменила реформа от 12 марта 2024 года (Закон № 7499) для трансграничной передачи данных, и какие штрафы действуют в 2026 году — чтобы бизнес с иностранным участием в Турции точно понимал, что делать.
Почему GDPR дотягивается до турецких компаний
Общий регламент ЕС о защите данных (GDPR, Regulation (EU) 2016/679) не останавливается на границах Европы. Его экстерриториальное действие по статье 3 означает, что компания, учреждённая в Турции, может подпадать под GDPR напрямую, хотя Турция находится за пределами ЕС.
Турецкая компания попадает под GDPR в двух основных ситуациях:
- Предложение товаров или услуг людям в ЕС — например, стамбульский интернет-магазин, программная платформа или отель, которые рекламируют себя и обслуживают клиентов из ЕС, принимают евро или используют языки стран ЕС.
- Мониторинг поведения людей в ЕС — например, отслеживание посетителей сайта, профилирование или поведенческая реклама, нацеленная на пользователей из ЕС.
Если применимо хотя бы одно из этого, обязательства GDPR возникают независимо от того, где находятся ваши серверы или сотрудники. Многие компании с иностранным участием, зарегистрированные в Турции, с удивлением узнают, что отвечают перед регуляторами ЕС наряду с турецким органом.
Распространённые триггеры, которые упускают иностранные основатели
Под действие GDPR можно попасть непреднамеренно. Обычные триггеры:
- Сайт, ориентированный на ЕС, на английском, немецком или французском языке с cookie, аналитикой или рекламными пикселями, которые профилируют посетителей из ЕС.
- Маркетинговые кампании, рассылки или платная реклама, нацеленные на клиентов в ЕС.
- Наём или работа по договору с удалёнными сотрудниками — резидентами ЕС и обработка их персональных данных.
- Размещение сервисов в облачной или SaaS-инфраструктуре в ЕС, обрабатывающей данные клиентов из ЕС.
KVKK: собственный закон Турции о защите данных (№ 6698)
Закон Турции о защите персональных данных № 6698 (Kişisel Verilerin Korunması Kanunu, KVKK) вступил в силу в 2016 году и изначально был построен по образцу более ранней Директивы ЕС о защите данных 1995 года (95/46/EC). Его применяет турецкий орган по защите данных и его коллегиальный руководящий орган — Совет (Kurul).
KVKK не застыл на стандартах 1995 года. Реформа от 12 марта 2024 года приблизила его к GDPR, особенно в части трансграничной передачи и чувствительных данных, поэтому сегодня два режима ближе друг к другу, чем раньше, но всё же не идентичны (подробнее ниже).
Каждая компания, обрабатывающая персональные данные в Турции, должна соблюдать ключевые принципы закона, которые по существу совпадают с GDPR:
- Законность, добросовестность и прозрачность обработки.
- Обработка только для конкретных, явных и законных целей.
- Минимизация данных, точность и ограниченный срок хранения.
- Законное основание для каждого вида обработки — либо явное согласие, либо одно из предусмотренных законом исключений.
Регистрация в VERBİS и контактное лицо
Большинство операторов данных (veri sorumlusu), работающих в Турции, обязаны зарегистрироваться в VERBİS — Реестре операторов данных — и назначить контактное лицо (irtibat kişisi). Обязаны ли вы регистрироваться, зависит от пороговых значений, установленных решениями Совета — главным образом от числа сотрудников и годового показателя финансового баланса, с рядом отраслевых исключений. Стоит проверить именно вашу ситуацию, а не исходить из предположения, что вы попадаете или не попадаете под обязанность.
GDPR против KVKK: ключевые различия, на которых спотыкаются компании
Хотя у двух режимов общая ДНК, различия имеют значение на практике. Считать KVKK прямой копией GDPR — распространённая и дорогостоящая ошибка. Таблица ниже показывает, где они совпадают, а где расходятся.
| Вопрос | GDPR (ЕС) | KVKK (Турция, Закон № 6698) |
|---|---|---|
| Законные основания | Шесть оснований, включая гибкое основание «законный интерес» (ст. 6) | Явное согласие плюс более узкий перечень предусмотренных законом исключений (ст. 5); реформа 2024 года сблизила режимы, но формулировки отличаются |
| Чувствительные данные | Условия для особых категорий по ст. 9 | Ст. 6, переработана в 2024 году — старое разделение «здоровье/половая жизнь» убрано, условия обработки расширены |
| Трансграничная передача | Решения об адекватности / гарантии / исключения (ст. 45–49) | Адекватность / гарантии (SCC, BCR) / исключения (ст. 9), плюс уведомление об SCC в течение 5 рабочих дней |
| Уведомление об инциденте | В надзорный орган в течение 72 часов (ст. 33) | В Совет в течение 72 часов (Решение Совета 2019/10) |
| Штрафы | До большей из величин: 20 млн EUR или 4% мирового оборота (ст. 83) | Штрафы в лирах, индексируются каждый январь; до ~17,09 млн TL в 2026 году за нарушения безопасности / VERBİS / решений Совета |
Законные основания для обработки
GDPR предлагает шесть законных оснований, включая законный интерес. KVKK исторически сильно опирался на явное согласие и более узкий набор предусмотренных законом исключений, оставляя компаниям меньше пространства, чтобы ссылаться на законный интерес. Поправки 2024 года сократили разрыв, но формулировки не идентичны, поэтому основание, которое работает по GDPR, может не лечь чисто на KVKK.
Чувствительные данные (особые категории)
Реформа 2024 года существенно изменила статью 6 KVKK. Она убрала прежнее разделение, при котором данные о здоровье и половой жизни обрабатывались иначе, чем другие чувствительные категории, и расширила условия обработки данных особых категорий (здоровье, биометрия, религиозные убеждения, сведения о судимости и др.), приблизив структуру к статье 9 GDPR. Режим остаётся строгим, поэтому явное согласие или конкретное законное основание — по-прежнему безопасный путь.
Трансграничная передача данных
Это самое большое расхождение и область, в которой иностранные компании чаще всего нарушают KVKK — она подробно разобрана в следующем разделе.
Реформа KVKK 2024 года и трансграничная передача данных
12 марта 2024 года Закон № 7499 (так называемый Восьмой судебный пакет) был опубликован в Официальной газете № 32487 и внёс изменения в KVKK, в том числе в статьи 6 и 9. Подзаконный Регламент о трансграничной передаче персональных данных последовал 10 июля 2024 года. Вместе они заменили прежнюю ограничительную модель передачи, основанную на согласии, многоуровневой системой, которая тесно следует Главе V GDPR.
Теперь персональные данные могут передаваться за рубеж одним из трёх способов:
- Решение об адекватности — передача в страну, сектор или международную организацию, которые Совет официально признал обеспечивающими адекватный уровень защиты.
- Надлежащие гарантии — при отсутствии решения об адекватности передача допускается с использованием одного из инструментов: стандартные договорные положения (SCC), публикуемые Советом, обязательные корпоративные правила (BCR) для внутригрупповых передач, письменное обязательство или иные одобренные инструменты.
- Исключительные случаи — ограниченные, эпизодические передачи на основании явного согласия или конкретных законных оснований (например, исполнение договора либо установление и осуществление правовых требований).
Какую гарантию выбрать компании с иностранным участием
Универсального ответа нет, но помогает простая логика выбора:
- Одна турецкая «дочка», передающая HR- или клиентские данные одной материнской или аффилированной компании в ЕС. SCC Совета обычно практичный выбор — подпишите их, используйте турецкий текст без изменений и подайте уведомление в течение пяти рабочих дней.
- Многонациональная группа, перемещающая данные между множеством юрлиц и стран. BCR могут оправдать более трудоёмкий процесс согласования: после одобрения они покрывают всю группу вместо паутины отдельных договоров.
- Редкая, разовая передача (например, для предъявления требования за рубежом). Может подойти основание из категории исключительных случаев, но не стоит опираться на него для регулярных, постоянных потоков.
Проблема двух направлений
Поскольку ЕС не вынес решения об адекватности в отношении Турции, передачи в обратном направлении — из ЕС в Турцию по GDPR — по-прежнему требуют собственных гарантий, обычно SCC Европейской комиссии. Поэтому многие группы ведут два параллельных набора договоров. Таблица делает это разделение наглядным:
| Направление данных | Применимый режим | Что нужно |
|---|---|---|
| Из Турции (в ЕС или иную страну) | KVKK (ст. 9) | SCC Совета (турецкий текст, без изменений) + уведомить орган в течение 5 рабочих дней; либо BCR |
| В Турцию из ЕС | GDPR (ст. 46) | SCC Европейской комиссии (или BCR), оформленные отправителем из ЕС |
По вопросам подготовки и проверки договоров, стоящих за этими потоками, см., как мы работаем с соглашениями об обработке данных и стандартными договорными положениями.
Практическая дорожная карта соответствия
Для компании с иностранным участием, работающей в Турции или из Турции, обоснованная программа двойного соответствия обычно включает следующие шаги:
- Картируйте потоки данных. Определите, какие персональные данные вы собираете, откуда они поступают (резиденты ЕС? резиденты Турции?), где хранятся и с кем передаются — включая облачных провайдеров и компании группы за рубежом.
- Подтвердите, какие режимы применяются. Оцените экстерриториальное действие статьи 3 GDPR наряду с KVKK. Там, где применимы оба, выстраивайте систему по более строгому стандарту.
- Закрепите законные основания и уведомления. Подготовьте соответствующие KVKK тексты информирования (aydınlatma) и, при необходимости, формы явного согласия, а также соответствующие GDPR уведомления о конфиденциальности для пользователей из ЕС.
- Зарегистрируйтесь в VERBİS, если вы достигаете пороговых значений, и поддерживайте запись в реестре в актуальном состоянии.
- Внедрите механизмы передачи. Примите SCC Совета или BCR для исходящих передач из Турции, подайте уведомление в течение пяти рабочих дней и примите SCC ЕС для входящих передач из ЕС.
- Назначьте ответственных лиц. Контактное лицо VERBİS в Турции и, где требует GDPR, Data Protection Officer (DPO) или представителя в ЕС.
- Готовьтесь к инцидентам. И KVKK, и GDPR требуют уведомления об инциденте в течение 72 часов, поэтому поддерживайте процедуру реагирования, которую реально можно запустить в условиях нехватки времени.
Cookie и информирование на сайте (aydınlatma)
Сайты — частый источник проблем с KVKK. Если ваш сайт использует cookie, аналитику или отслеживающие пиксели, обычно нужны понятное уведомление о cookie, корректное правовое основание для необязательных cookie и текст информирования по KVKK, объясняющий посетителям, что и зачем вы собираете. Для бизнеса с сайтом, ориентированным на ЕС, тот же баннер должен удовлетворять и правилам согласия GDPR, поэтому проектируйте его сразу под более строгий стандарт.
Где юридическая фирма обычно приносит пользу
Встревоженному основателю редко нужно всё сразу. На практике внешний юридический советник наиболее полезен в следующем: картирование потоков данных, выбор и подготовка нужного механизма передачи, подача пятидневного уведомления об SCC, оформление или обновление VERBİS и подготовка двойных уведомлений по KVKK и GDPR. Эта работа также пересекается с регистрацией компании: если вы создаёте компанию с иностранным участием в Турции, заложить соответствие по данным с первого дня дешевле, чем дооснащать систему позже.
Защита данных редко существует сама по себе. При приобретении или совместном предприятии она — ключевая часть due diligence по защите данных в турецких сделках M&A и стоит рядом с другими регуляторными проверками. Чтобы получить индивидуальную оценку ваших обязательств, напишите нашей команде в Стамбуле. Переписку ведём на русском; при необходимости организуем переводчика на встречи или заседания за дополнительную плату.
Санкции за ошибки (цифры 2026 года)
Несоблюдение влечёт последствия в рамках каждого режима по отдельности. Штрафы KVKK — это maktu (фиксированные диапазоны) санкции, переиндексируемые каждый январь; приведённые ниже цифры — диапазоны, опубликованные на 2026 год (коэффициент переоценки 25,49%, Официальная газета от 27 ноября 2025 года, вступление в силу с 1 января 2026 года).
| Нарушение KVKK (диапазон 2026) | Размер штрафа |
|---|---|
| Обязанность информирования (aydınlatma) | 85 437 – 1 709 200 TL |
| Меры безопасности данных (ст. 12) | 256 357 – 17 092 242 TL |
| Несоблюдение регистрации в VERBİS | 341 809 – 17 092 242 TL |
| Неуведомление о трансграничной SCC | 90 308 – 1 806 377 TL |
- По KVKK: административные штрафы Совета (ежегодно переиндексируются, как указано выше), предписания об устранении нарушений и репутационный ущерб. Серьёзная незаконная обработка или незаконная передача персональных данных может также влечь применение Уголовного кодекса Турции (TCK 5237, статьи 135–140), которые охватывают незаконную запись, передачу или получение персональных данных и неуничтожение их.
- По GDPR: штрафы до большей из величин — 20 млн EUR или 4% годового мирового оборота (ст. 83), плюс меры принуждения со стороны надзорных органов ЕС и возможные гражданские иски субъектов данных.
Частые вопросы
Применяется ли GDPR к компании, зарегистрированной только в Турции?
Может применяться. По статье 3 GDPR турецкая компания, которая предлагает товары или услуги людям в ЕС либо отслеживает поведение людей в ЕС, попадает под действие GDPR даже без присутствия в ЕС. В этом случае она обязана соблюдать GDPR и турецкий KVKK одновременно.
KVKK — это то же самое, что GDPR?
Нет. KVKK (Закон № 6698) изначально был построен по образцу законодательства ЕС о защите данных и разделяет те же базовые принципы, но законные основания, правила о чувствительных данных, механизмы передачи и уровни штрафов различаются. Реформа 2024 года (Закон № 7499) сократила разрыв, особенно в части трансграничной передачи и чувствительных данных, но режимы не идентичны.
Что изменилось в трансграничной передаче данных в 2024 году?
Закон № 7499, опубликованный 12 марта 2024 года, и подзаконный Регламент от 10 июля 2024 года заменили прежнюю модель на основе согласия многоуровневой системой: решения об адекватности, надлежащие гарантии (стандартные договорные положения, обязательные корпоративные правила, обязательства) и ограниченные исключительные случаи. Прежний путь через согласие для текущих передач допускался лишь до 1 сентября 2024 года. О передачах, опирающихся на стандартные договорные положения Совета, нужно уведомить орган в течение пяти рабочих дней с момента подписания.
Можно ли передавать персональные данные из ЕС в мою турецкую компанию?
ЕС не предоставил Турции решение об адекватности, поэтому передачи из ЕС в Турцию по GDPR, как правило, требуют собственных гарантий — чаще всего стандартных договорных положений Европейской комиссии. Это отдельно от турецких SCC, нужных для исходящих передач из Турции, поэтому группы часто ведут два параллельных набора договоров.
Должны ли мы регистрироваться в VERBİS?
Многие операторы данных, обрабатывающие персональные данные в Турции, обязаны зарегистрироваться в VERBİS — Реестре операторов данных — и назначить контактное лицо. Достигает ли ваша компания пороговых значений, зависит от таких факторов, как число сотрудников и годовой показатель финансового баланса, с рядом исключений, поэтому это следует проверять для вашей конкретной ситуации.
Каков штраф за нерегистрацию в VERBİS в Турции?
На 2026 год за нерегистрацию в VERBİS, регистрацию с неверными сведениями или несвоевременное обновление может быть наложен административный штраф примерно от 341 809 до 17 092 242 TL. Эти фиксированные (maktu) диапазоны переиндексируются каждый январь, поэтому уточняйте актуальную цифру, прежде чем на неё полагаться.
Как быстро нужно сообщить об утечке данных в Турции?
Вы обязаны уведомить Совет KVKK в течение 72 часов с момента, когда вам стало известно об инциденте с персональными данными (Решение Совета 2019/10), а затронутые лица также должны быть проинформированы в разумный срок. GDPR устанавливает тот же 72-часовой срок уведомления надзорного органа по статье 33, поэтому компании под обоими режимами стоит вести единую процедуру реагирования, выстроенную по более строгому стандарту.
