Юрист по технологиям, ИИ и кибербезопасности

Кому подходит эта услуга

Мы работаем с иностранными компаниями, чей продукт или выручка связаны с Турцией через технологии, а не через физический магазин. Это включает:

Поставщиков ПО и SaaS-провайдеров, лицензирующих продукты турецким клиентам
Онлайн-маркетплейсы, магазины приложений и платформы с турецкими пользователями или продавцами
Облачных, хостинговых и инфраструктурных провайдеров с потоками данных в Турцию или из неё
Финтех-, крипто- и платёжные компании, обслуживающие турецких потребителей
Разработчиков и операторов ИИ, чьи системы обрабатывают турецкие персональные данные или принимают решения
Производителей оборудования, IoT и подключённых устройств, продающих на турецком рынке

Чтобы попасть под эти правила, турецкое юридическое лицо вам не нужно. Многие обязанности следуют за пользователем или за данными, а не за адресом компании. Если резиденты Турции могут покупать у вас или загружать к вам данные, турецкое право, возможно, уже применяется к вам.

Турецкая правовая база для технологий, ИИ и кибербезопасности

Единого «технологического кодекса» в Турции не существует. Ваши обязанности вытекают из нескольких законов, работающих вместе, и правильный ответ обычно находится на пересечении более чем одного из них:

Закон о кибербезопасности № 7545 — рамочная база кибербезопасности, Управление кибербезопасности (Siber Güvenlik Başkanlığı) и Совет по кибербезопасности.
Закон об электронной торговле № 6563 (с поправками Закона № 7416) — обязанности посреднических и электронно-торговых поставщиков услуг, регистрация ETBİS и режим лицензии электронной торговли.
KVKK № 6698 — обработка персональных данных и трансграничная передача, под надзором Совета KVKK.
Турецкий обязательственный кодекс № 6098 (TBK) — основа договорного права для лицензионных, разработческих и сервисных соглашений.
Турецкий торговый кодекс № 6102 (TTK) — корпоративные обязанности, недобросовестная конкуренция и правила торгового реестра.
Отраслевое регулирование — банковское, платёжное, рынка капитала, телеком и потребительские правила, накладывающиеся сверху там, где они применимы.

Закон: Базовый набор — это Закон о кибербезопасности № 7545, Закон об электронной торговле № 6563 (с поправками Закона № 7416), KVKK № 6698, TBK № 6098 и TTK № 6102. Большинство технологических вопросов в Турции решаются прочтением двух-трёх из них вместе, а не одного в отрыве от остальных.

IT-, программные и SaaS-договоры, которые мы составляем и согласовываем

Именно в договорах выигрывается или проигрывается большая часть трансграничных технологических рисков. Мы составляем, проверяем и согласовываем соглашения, лежащие в основе вашего турецкого бизнеса, с положениями, которые устоят по турецкому праву и выдержат турецкий суд, если до него дойдёт:

Лицензии на ПО, условия подписки и SaaS, пользовательские соглашения
Договоры на разработку, интеграцию и поддержку ПО с чёткими условиями приёмки и передачи прав на интеллектуальную собственность
Облачные, хостинговые соглашения и договоры обработки данных, включая положения о процессоре, соответствующие KVKK
Соглашения об уровне обслуживания (SLA), обязательства по доступности и средства защиты при сбоях
Реселлерские, дистрибьюторские, агентские и партнёрские соглашения для турецкого рынка
Передача технологий, эскроу и white-label-схемы

Мы уделяем особое внимание положениям о применимом праве и разрешении споров, ограничению ответственности, а также защите интеллектуальной собственности и конфиденциальности. По более широкой работе по составлению договоров, идущей рядом с этими, смотрите нашу услугу коммерческие и технологические договоры, а по защите вашего кода и бренда — нашу работу по защите ПО, товарных знаков и лицензированию.

Совет: Договор по иностранному праву не становится автоматически неисполнимым в Турции, но турецкий суд применит императивные турецкие нормы независимо от выбранного права. Учесть эти нормы с самого начала дешевле, чем исправлять договор уже в ходе спора.

Соответствие требованиям электронной торговли и онлайн-платформ (Закон № 6563)

Закон об электронной торговле № 6563, существенно переработанный Законом № 7416, делит онлайн-бизнес на посреднических поставщиков услуг (платформа) и электронно-торговых поставщиков услуг (продавец) и наделяет каждого своим набором обязанностей. По мере роста объёма ваших операций обязанности возрастают ступенчато.

Регистрация ETBİS в Министерстве торговли для бизнеса внутри режима.
Обязанности по прозрачности и информированию — понятное ценообразование, идентификация продавца, обработка жалоб и условия договора.
Режим лицензии электронной торговли для крупных платформ, с условиями, привязанными к масштабу.
Ступенчатые обязанности, растущие с чистым объёмом операций и числом транзакций, охватывающие лимиты рекламных расходов, обмен данными, ограничения на собственные бренды и прочее.

Следите за порогом: Ступени по чистому объёму операций в Законе № 6563 выражены в турецких лирах и пересчитываются, поэтому платформа, находившаяся ниже ступени в один год, может перейти её в следующий. Проверьте свой текущий показатель, прежде чем считать, что вы вне сферы действия, — обязанности резко меняются на каждой ступени.

Вопросы платформенных рынков и антимонопольного права часто возникают в той же беседе, особенно для маркетплейсов с рыночной силой. Они рассматриваются в нашей услуге конкуренция и правила платформенных рынков. Для платёжных и криптоплатформ смотрите наш материал о регулировании крипто- и финтех-платформ в Турции.

Защита данных и трансграничная передача данных (KVKK № 6698)

Почти любой технологический бизнес обрабатывает персональные данные, и в момент, когда эти данные покидают Турцию, применяется статья 9 KVKK. Правила передачи были переписаны Законом № 7499 (в силе с 1 июня 2024 года), отойдя от прежней схемы «явное согласие плюс разрешение» в сторону структурированного набора механизмов в стиле GDPR.

Передавать персональные данные за рубеж можно на одном из трёх оснований:

Решение об адекватности, охватывающее страну назначения, отрасль или организацию.
Надлежащие гарантии — стандартные договорные положения (SCC), обязательные корпоративные правила (BCR) или сопоставимые обязательства.
Исключения (derogations) для конкретных, ограниченных ситуаций.

Следите за сроком: Когда вы опираетесь на стандартные договорные положения, подписанные SCC должны быть направлены в Совет KVKK в течение 5 рабочих дней с момента подписания через модуль передачи данных (Veri Aktarım Modülü). Пропустите этот срок — и в остальном действительная передача может превратиться в нарушение комплаенса. Уточните текущее окно для уведомления, прежде чем подавать.

Для групп, уже выстроенных под европейские правила, KVKK и GDPR пересекаются, но не идентичны, и допущение, что они одинаковы, порождает реальные проблемы. Наш материал о сопоставлении GDPR и KVKK для трансграничных данных разбирает, где они расходятся.

Обязанности по кибербезопасности и реагирование на инциденты (Закон № 7545)

Закон о кибербезопасности № 7545, опубликованный в Официальном вестнике 19 марта 2025 года, — первый в Турции специализированный закон о кибербезопасности. Он создал Управление кибербезопасности (Siber Güvenlik Başkanlığı) и Совет по кибербезопасности и наделил их широкими полномочиями в отношении подпадающих операторов, с особым акцентом на критическую инфраструктуру.

На рамочном уровне бизнес, попадающий в сферу действия, может ожидать обязанностей в части:

Мер безопасности, аудитов и проверок со стороны Управления кибербезопасности
Сообщения об инцидентах кибербезопасности и уязвимостях
Требований об одобрении определённых сделок и продуктов в сфере кибербезопасности
Обязанностей по сотрудничеству и ведению учёта

Поскольку значительная часть подзаконного регулирования по Закону № 7545 в 2026 году ещё формируется, практическая сфера некоторых обязанностей продолжает обретать очертания. Мы отслеживаем эти изменения и переводим их в конкретный план для вашего бизнеса. Для обзора простым языком прочитайте наш материал о Законе о кибербезопасности № 7545.

Санкции серьёзны: Закон № 7545 предусматривает административные штрафы, достигающие миллионов лир, с повышенными диапазонами за неполучение требуемых одобрений сделок, а отдельные нарушения являются уголовными преступлениями, влекущими лишение свободы наряду с судебными штрафами. Наказания могут усиливаться для должностных лиц, рецидивистов и организованных групп. Относитесь к этим обязанностям как к действующим, а не теоретическим.

Управление ИИ, картирование рисков и комплаенс

По состоянию на середину 2026 года в Турции нет единого всеобъемлющего «Закона об ИИ» в силе. Это не означает, что ИИ не регулируется — это означает, что ИИ регулируется через законы, которым вам и так приходится следовать: защита данных по KVKK, правила защиты прав потребителей, право интеллектуальной собственности и отраслевое регулирование. Проект закона об ИИ и национальная стратегия находятся в разработке, и ситуация может измениться.

Для иностранного бизнеса, внедряющего ИИ в Турции, практическая работа — это картирование рисков, а не отметка в одном законе:

Где ваш ИИ обрабатывает персональные данные — сопоставление с обязанностями KVKK, включая прозрачность и вопросы автоматизированного принятия решений
Защита и лицензирование моделей, наборов данных и результатов через защиту ПО, товарных знаков и лицензирование
Риски по потребительскому и рекламному праву там, где ИИ касается турецких конечных пользователей
Согласование с Регламентом ЕС об ИИ (EU AI Act), если вы также обслуживаете рынок ЕС, чтобы один продукт удовлетворял обоим режимам

Мы даём консультационные заключения, основанные на действительно действующем праве, и отмечаем, где находящийся в разработке законопроект мог бы изменить картину. Для справки смотрите наш материал о навигации в регулировании ИИ в Турции.

Совет: Стройте свой комплаенс по ИИ на правилах, существующих сегодня (KVKK, потребительское право и право интеллектуальной собственности), а не ждите специализированного закона об ИИ. Задокументированная оценка рисков сейчас станет фундаментом, который вы переиспользуете, когда выйдет специализированный закон.

Трансграничный механизм: доверенность, апостиль и дистанционное ведение

Чтобы мы вели ваше дело, вам не нужно находиться в Турции. Почти всё в этой практике ведётся дистанционно, документы перемещаются курьером и по защищённым каналам.

Доверенность (vekaletname) — вы предоставляете полномочия через нотариально удостоверенную доверенность, подготовленную так, чтобы она покрывала конкретные подачи, регистрации и взаимодействия с регуляторами, которые нужны вашему делу.
Апостиль — для стран Гаагской конвенции об апостиле один штамп апостиля удостоверяет ваши документы для использования в Турции; страны вне конвенции используют консульскую легализацию.
Дистанционный онбординг — инструкции, KYC, проверка договоров и переписка с регуляторами полностью ведутся по электронной почте и видеосвязи.

Если ваша стратегия указывает на локальное присутствие — турецкую компанию, филиал или представительство — мы можем создать турецкую компанию или представительство и структурировать его под ваши потребности в части данных, налогов и операций. Многие технологические компании также взвешивают льготы зоны технологического развития (Teknopark), прежде чем решить, где разместить R&D.

Совет: Составьте доверенность достаточно широко, чтобы одним документом покрыть подачи в ETBİS, KVKK и регуляторам. Узкая доверенность часто означает повторную поездку к нотариусу за рубежом посреди дела, что стоит вам недель.

Споры, регуляторные расследования и санкции

Когда что-то идёт не так, риски исходят сразу от нескольких регуляторов, у каждого из которых свой процесс и свои санкции. Мы защищаем и представляем вас по следующим направлениям:

Расследования Совета KVKK по утечкам данных, неправомерной обработке и трансграничной передаче, включая ответы на жалобы и аудиты.
Правоприменение Министерства торговли в части обязанностей электронной торговли по Закону № 6563, включая вопросы ETBİS и лицензии.
Проверки Управления кибербезопасности и административные и уголовные риски по Закону № 7545.
Коммерческие споры, возникающие из технологических договоров, — неоплата, дефектная поставка, нарушения прав интеллектуальной собственности и конфиденциальности.

Общий знаменатель — скорость: сроки регуляторов коротки, и качество вашего первого письменного ответа часто определяет весь исход. Мы готовим эти ответы так, чтобы они были точными и полными, а не оборонительными. Когда споры доходят до формальных разбирательств, мы работаем вместе с командой по коммерческим и технологическим договорам над принудительным исполнением.

Риски и типичные ошибки иностранных технологических компаний

Одни и те же ошибки, которых можно избежать, повторяются снова и снова у технологических клиентов, впервые работающих в Турции:

Допущение, что «нет турецкого юрлица» означает «нет турецкого права». Обязанности по KVKK и Закону № 6563 могут следовать за вашими турецкими пользователями, а не за местом регистрации.
Отношение к KVKK как к идентичному GDPR. Механизмы и сроки различаются, а 5-дневного уведомления о SCC в рабочих днях у GDPR аналога нет.
Копирование договора из США или ЕС. Императивные турецкие нормы перекрывают выбранное право по ключевым пунктам, а непереведённый и неадаптированный договор может быть трудно исполнить здесь.
Пропуск смены ступени в электронной торговле. Рост выводит платформу за порог объёма операций, активируя новые обязанности, которых бизнес не планировал.
Игнорирование кибербезопасности до выхода подзаконных актов. Санкции по Закону № 7545 уже действуют, даже пока детальное регулирование формируется.

Общий знаменатель: обычно это сбои в документации и сроках, а не технические. Короткая проверка комплаенса в начале вашей турецкой деятельности стоит доли от штрафа регулятора впоследствии.

KVKK и GDPR: в чём различия для трансграничных данных

Многие наши клиенты уже ведут программы по GDPR и хотят знать, чего дополнительно требует Турция. Эти два режима имеют общую ДНК, но не взаимозаменяемы.

Пункт	GDPR ЕС	KVKK № 6698 (Турция)
Основания трансграничной передачи	Адекватность, гарантии (SCC/BCR), исключения	Адекватность, гарантии (SCC/BCR), исключения (с Закона № 7499, в силе с 1 июня 2024 г.)
Уведомление о SCC	Подача в орган не требуется	Подписанные SCC уведомляются Совету KVKK в течение 5 рабочих дней
Реестр	Центрального реестра контролёров нет	Реестр контролёров данных VERBİS для подпадающих контролёров
Ведущий регулятор	Надзорные органы стран-членов / EDPB	Совет KVKK (Kişisel Verileri Koruma Kurulu)

Приведение программы GDPR в соответствие с KVKK обычно сводится к закрытию конкретных пробелов, а не к началу с нуля. Наш материал о сопоставлении GDPR и KVKK для трансграничных данных подробнее разбирает каждую строку.

Зачем привлекать турецкого юриста по технологиям

Технологическое право в Турции меняется быстро и написано на турецком, включая подзаконное регулирование, которое определяет, как закон на самом деле работает. Иностранная внутренняя команда, какой бы сильной она ни была, будет с трудом отслеживать в реальном времени развивающиеся правила Управления кибербезопасности, решения Совета KVKK и рекомендации Министерства торговли по электронной торговле.

Турецкий юрист по технологиям даёт вам три вещи, которые не даст перевод: обязательный текст на языке оригинала, регуляторную практику за ним и право подавать документы, отвечать и представлять вас перед турецкими органами и судами. Мы сочетаем это с коммерческим подходом, поэтому советы выстраиваются вокруг вашей сделки и вашего аппетита к риску, а не вокруг абстрактного комплаенса ради него самого. Для русскоязычных клиентов переписку мы ведём на русском языке, а при необходимости можем организовать переводчика для встреч и слушаний за дополнительную плату — напишите нам по-русски.

Как начать

Начать просто. Вы рассказываете нам, что вы создаёте и где это касается Турции; мы говорим, какие из этих законов применяются и что они требуют; и мы согласовываем объём работы и доверенность, чтобы мы могли действовать. Дальше, будь то один договор, полное выстраивание комплаенса или ответ регулятору, у вас есть единый контакт с турецкой квалификацией, который ведёт дело дистанционно. Первый шаг — консультация, описанная ниже. Напишите нам по-русски: переписку ведём на русском, а при необходимости организуем переводчика за дополнительную плату.

Как мы работаем с вами

Первичная консультация и определение объёма

Мы начинаем с предметного разговора о вашем продукте, о том, где он касается Турции, и о том, что вызвало необходимость — договор, запуск, поток данных или письмо регулятора. Вы уходите с ясным пониманием того, какие законы применяются к вам и что будет дальше.

Правовая и комплаенс-оценка

Мы сопоставляем вашу деятельность с Законом № 7545, Законом № 6563, KVKK и вашими договорами и составляем приоритизированный список обязанностей, пробелов и рисков, чтобы вы знали, что срочно, а что может подождать.

Заключение договора, доверенность и оформление апостиля

Мы согласовываем письменный объём работы и основу гонорара, затем организуем нотариальную доверенность с апостилем или консульской легализацией, чтобы мы могли подавать документы, регистрировать и взаимодействовать с регуляторами от вашего имени, без вашего приезда.

Составление документов, подачи и устранение нарушений

Мы составляем или пересматриваем договоры, готовим подачи в ETBİS, KVKK и другие, уведомляем о стандартных договорных положениях в требуемый срок и закрываем выявленные оценкой пробелы комплаенса.

Взаимодействие с регуляторами и реагирование на инциденты

Если регулятор открывает запрос либо происходит инцидент безопасности или с данными, мы управляем сроками, готовим ваши письменные ответы и представляем вас перед Советом KVKK, Министерством торговли или Управлением кибербезопасности.

Постоянный комплаенс и мониторинг

Поскольку эта область постоянно меняется, мы можем держать вас в курсе новых подзаконных актов, пересчёта порогов и решений Совета KVKK, а также корректировать ваши договоры и подачи по мере изменения правил.

Часто задаваемые вопросы

Применяется ли турецкое технологическое право к моей компании, если у нас нет офиса в Турции?

Да, может применяться. Обязанности по KVKK и Закону об электронной торговле № 6563 часто следуют за вашими турецкими пользователями и обрабатываемыми вами данными, а не за адресом регистрации. Если резиденты Турции могут покупать у вас или загружать к вам данные, у вас могут быть турецкие обязанности даже без местного юрлица. Короткая оценка покажет, попадаете ли вы в сферу действия и как именно.

Что такое Закон о кибербезопасности № 7545 и кого он затрагивает?

Закон № 7545 — первый в Турции специализированный закон о кибербезопасности, опубликованный в Официальном вестнике 19 марта 2025 года. Он создал Управление кибербезопасности (Siber Güvenlik Başkanlığı) и Совет по кибербезопасности и налагает обязанности по безопасности, отчётности и одобрению, с особым акцентом на критическую инфраструктуру. Значительная часть детального подзаконного регулирования ещё формируется, поэтому точную сферу действия для конкретного бизнеса следует подтверждать индивидуально.

Могу ли я передавать персональные данные из Турции на свои серверы за рубежом?

Да, но только на действительном правовом основании по статье 9 KVKK: решение об адекватности, надлежащие гарантии, такие как стандартные договорные положения или обязательные корпоративные правила, либо исключение. Правила были переписаны Законом № 7499, действующим с 1 июня 2024 года. Если вы используете стандартные договорные положения, они должны быть уведомлены Совету KVKK в короткий срок, поэтому механизм нужно настроить правильно до начала перемещения данных.

Чем KVKK отличается от GDPR?

У них общая структура, но они не идентичны. Оба допускают трансграничную передачу через адекватность, гарантии и исключения, но KVKK требует, чтобы подписанные стандартные договорные положения были уведомлены Совету в течение 5 рабочих дней, чему нет аналога в GDPR, и Турция ведёт реестр контролёров VERBİS. Приведение программы GDPR в соответствие с KVKK обычно сводится к закрытию конкретных пробелов, а не к перестройке с нуля.

Есть ли в Турции закон об ИИ?

По состоянию на середину 2026 года единого всеобъемлющего закона об ИИ в силе нет. ИИ регулируется через существующее право — KVKK, защиту прав потребителей, интеллектуальную собственность и отраслевое регулирование, — пока продвигаются проект закона об ИИ и национальная стратегия. Мы консультируем по рискам ИИ на основе действующих правил и отмечаем, где находящийся в разработке законопроект мог бы изменить ваши обязанности. Если вы также обслуживаете ЕС, к тому же продукту обычно относится Регламент ЕС об ИИ (EU AI Act).

Что такое ETBİS и нужно ли мне регистрироваться?

ETBİS — это информационная система электронной торговли Министерства торговли. Бизнес в рамках режима Закона об электронной торговле № 6563, включая многих посреднических и электронно-торговых поставщиков услуг, обязан зарегистрироваться. Нужно ли вам регистрироваться, зависит от вашей роли и деятельности, что мы оцениваем до вашего запуска на турецком рынке.

Какие санкции применяются по Закону о кибербезопасности № 7545?

Закон № 7545 предусматривает административные штрафы, достигающие миллионов лир, с повышенными диапазонами за неполучение требуемых одобрений сделок, а отдельные нарушения являются уголовными преступлениями, влекущими лишение свободы наряду с судебными штрафами. Наказания могут усиливаться для должностных лиц, рецидивистов и организованных групп. Поскольку денежные пределы могут пересчитываться, точную текущую сумму следует подтвердить, прежде чем опираться на конкретное число.

Можете ли вы вести наше дело дистанционно, без нашего приезда в Турцию?

Да. Почти вся эта работа ведётся дистанционно. Вы предоставляете нам полномочия через нотариально удостоверенную доверенность, заверенную апостилем для стран Гаагской конвенции или консульской легализацией в остальных случаях. Онбординг, проверка договоров, подачи и переписка с регуляторами ведутся по электронной почте и видеосвязи. Для русскоязычных клиентов переписку мы ведём на русском языке, а при необходимости организуем переводчика для встреч и слушаний за дополнительную плату.

Составляете ли вы договоры на ПО, SaaS и облако по турецкому праву?

Да. Мы составляем и согласовываем лицензии, условия подписки и SaaS, договоры на разработку и поддержку, облачные соглашения и договоры обработки данных, SLA и реселлерские или дистрибьюторские договоры. Мы фокусируемся на применимом праве, ограничениях ответственности, защите интеллектуальной собственности и положениях о данных, соответствующих KVKK, чтобы соглашения устояли по турецкому праву.

Моя платформа растёт — когда вступают в силу дополнительные обязанности по электронной торговле?

Закон об электронной торговле № 6563 устанавливает ступенчатые обязанности, растущие с чистым объёмом операций и числом транзакций. Лировые пороги со временем пересчитываются, поэтому по мере роста платформа может перейти ступень и приобрести новые обязанности в части рекламных расходов, обмена данными, деятельности под собственным брендом и лицензирования. Мы отслеживаем вашу позицию относительно текущих порогов, чтобы смена ступени не застала вас врасплох.

Что произойдёт, если у нас случится утечка данных, затрагивающая турецких пользователей?

У вас могут возникнуть обязанности по уведомлению Совета KVKK и затронутых лиц в сжатые сроки, а также может возникнуть отдельное измерение инцидента кибербезопасности по Закону № 7545. Первый письменный ответ во многом определяет исход, поэтому мы помогаем вам правильно оценить, задокументировать и сообщить об инциденте и представляем вас в любом последующем расследовании.

Как Регламент ЕС об ИИ (EU AI Act) влияет на бизнес, работающий в Турции?

Сам по себе Регламент ЕС об ИИ не связывает деятельность в Турции, но он применяется, если вы также размещаете системы ИИ на рынке ЕС или затрагиваете пользователей ЕС. Для бизнеса, обслуживающего оба рынка, мы помогаем выстроить единый комплаенс-подход, который вместе удовлетворяет требованиям EU AI Act и действующим правилам Турции, относящимся к ИИ, чтобы вы не вели две разрозненные программы.

Стоит ли нам создавать турецкую компанию или просто продавать дистанционно?

Это зависит от ваших потоков данных, налоговой позиции, ожиданий клиентов и планов роста. Некоторые технологические компании работают исключительно трансгранично; другим выгодна турецкая компания, филиал или представительство, а некоторые рассматривают льготы зоны технологического развития для R&D. Мы оцениваем компромиссы и, если это имеет смысл, берём на себя создание компании за вас.

Как нам начать и сколько это будет стоить?

Вы начинаете с консультации, где мы определяем, какие законы применяются и что вам нужно. Затем мы согласовываем письменный объём работы и основу гонорара, соответствующую задаче, будь то один договор, выстраивание комплаенса или ответ регулятору, до начала любой содержательной работы. Дальше у вас есть единый контакт с турецкой квалификацией, ведущий дело дистанционно. Переписку мы ведём на русском языке, а при необходимости организуем переводчика за дополнительную плату.

Право технологий, ИИ и кибербезопасности в Турции