Для кого эта страница
Эта страница — для иностранных организаций, которые так или иначе соприкасаются с турецкими персональными данными, где бы они ни находились. Вы можете быть:
- иностранной компанией с турецкими клиентами, пользователями или интернет-магазином, охватывающим Турцию;
- работодателем, обрабатывающим данные персонала в Турции;
- группой компаний, у которой уже есть программа соответствия GDPR и которая полагает, что та автоматически покрывает Турцию, — а это не так;
- контролёром данных, столкнувшимся с проверкой Совета KVKK, жалобой или утечкой данных.
KVKK достаточно близок к GDPR, чтобы казаться знакомым, и достаточно отличается, чтобы стать ловушкой. Именно на расхождениях — регистрация VERBİS, правила передачи после реформы 2024 года, сроки уведомления об утечках — иностранные компании и получают штрафы.
Что такое KVKK и кто обязан его соблюдать
Турецкая защита персональных данных регулируется Законом о защите персональных данных № 6698 (Kişisel Verilerin Korunması Kanunu, KVKK), действующим с 7 апреля 2016 года. Его применяет Управление по защите персональных данных и его орган, принимающий решения, — Совет (Kurul), чьи опубликованные решения формируют повседневную практику.
Закон применяется к контролёрам и обработчикам данных, которые обрабатывают персональные данные людей в Турции, включая иностранные компании без турецкого присутствия, если их обработка затрагивает находящихся здесь лиц.
Когда одновременно применяются KVKK и GDPR
Распространённое и дорогостоящее заблуждение — что программа соответствия GDPR автоматически удовлетворяет требованиям Турции. Это не так. Многие иностранные компании подпадают сразу под оба режима: под GDPR — потому что ориентируются на ЕС, под KVKK — потому что обрабатывают данные людей в Турции. Принципы созвучны, но обязанности различаются в части регистрации, нюансов правовых оснований, механики передачи данных и сроков уведомления. Мы сопоставляем эти режимы так, чтобы вы вели одну согласованную программу, соответствующую обеим сторонам, а не две противоречащие друг другу. По вопросам пересечения с европейским правом полезно ознакомиться с нашими услугами по коммерческим договорам, где располагаются условия об обработке данных.
Законная обработка и явное согласие (açık rıza)
Персональные данные могут обрабатываться только при наличии законного основания. Условия закреплены в статьях 5 и 6 KVKK, причём для особых категорий данных (здоровье, биометрия, религиозные убеждения и т. п.) действуют более строгие правила. Если вы опираетесь на согласие, оно должно быть явным согласием (açık rıza): информированным, добровольным и конкретным для определённой цели — связанное в пакет или проставленное заранее согласие не считается. Отдельно вы обязаны предоставить субъектам данных информационное уведомление (aydınlatma metni), разъясняющее, кто вы, что и зачем обрабатываете.
Регистрация в VERBİS
Большинство контролёров данных обязаны зарегистрироваться в VERBİS (Реестр контролёров данных) согласно статье 16 KVKK до начала обработки и поддерживать запись в актуальном состоянии. Исключения и пороговые значения — основанные на таких факторах, как число сотрудников и годовой финансовый размер, — устанавливаются Советом, а у иностранных контролёров есть свой порядок регистрации, обычно через представителя, базирующегося в Турции. Отсутствие или запущенная запись в VERBİS — одно из наиболее часто штрафуемых нарушений именно потому, что оно заметно и однозначно.
Трансграничная передача данных после реформы 2024 года
Передача турецких персональных данных за рубеж — материнской компании, облачному провайдеру, в групповую систему — регулируется, и правила существенно изменились с реформой 2024 года (Закон № 7499) и его исполнительным Положением о передаче данных от 10 июля 2024 года. Сейчас режим повторяет структуру GDPR и предусматривает три пути:
| Путь | Когда применяется |
|---|---|
| Решение об адекватности | Передача в страну (или сектор), которую Совет признал обеспечивающей адекватный уровень защиты |
| Надлежащие гарантии | Стандартные договорные положения (SCC), обязательные корпоративные правила (BCR) или иные одобренные гарантии |
| Исключения | Конкретные, ограниченные отступления для отдельных случаев (например, явное согласие, договорная необходимость) |
Запросы субъектов данных и ваши обязанности по ответу
У граждан есть права по KVKK — узнать, обрабатываются ли их данные, получить к ним доступ и исправить их, потребовать удаления и возразить против определённой обработки. Контролёр, получивший запрос, обязан ответить в установленный законом срок, а при отказе — изложить его причины. Оставленные без ответа или неверно обработанные запросы — частый путь к жалобе в Совет. Мы выстраиваем процедуру обработки запросов и шаблоны, чтобы ваша команда отвечала корректно и в срок.
Утечки данных: правило 72 часов
Если к персональным данным получен незаконный доступ или они незаконно раскрыты, статья 12(5) KVKK требует уведомить Совет «в кратчайший срок». Основополагающее Решение Совета № 2019/10 (от 24 января 2019 года) трактует это как уведомление в течение 72 часов с момента, когда вам стало известно об утечке, с уведомлением также и затронутых лиц.
Проверки, штрафы и уголовные риски
Принуждение к соблюдению идёт с двух сторон. Совет налагает административные штрафы по статье 18 — за недостатки безопасности (ст. 12), несоблюдение обязанности уведомлять об утечках, отсутствие регистрации в VERBİS и иное. Суммы в лирах ежегодно пересматриваются в сторону повышения, поэтому реальные риски постоянно растут; мы консультируем по актуальным цифрам, а не приводим число, которое быстро устаревает. Отдельно, незаконная запись, передача или получение персональных данных является преступлением по статьям 135-140 TCK и влечёт лишение свободы, поэтому конкретные лица внутри бизнеса могут нести персональную уголовную ответственность наряду со штрафом компании. Мы защищаем контролёров при проверках Совета и координируем уголовно-правовой аспект, когда он возникает.
Ведение дела из-за рубежа
Чтобы привести себя в соответствие, вам не требуется присутствие в Турции. По доверенности — нотариально заверенной и апостилированной за рубежом и переведённой либо подписанной в турецком консульстве — мы регистрируем вас в VERBİS, готовим ваши политики и уведомления по турецкому праву, выстраиваем механизмы передачи данных и представляем вас перед Советом. Мы выступаем вашим контактным лицом в Турции, чтобы запросы и уведомления не терялись. Это естественно связано с регистрацией компании и вашими коммерческими договорами, где и должны находиться условия об обработке данных. Напишите нам по-русски — переписку мы ведём на русском, а при необходимости организуем переводчика за дополнительную плату.
Типичные ошибки иностранных компаний в части KVKK
Штрафы, которые мы видим чаще всего, восходят к короткому списку: уверенность, что программа GDPR покрывает Турцию; пропуск или забытая регистрация в VERBİS; передача данных материнской компании или облачному провайдеру за рубеж без законного пути (и без уведомления по SCC в пятидневный срок); опора на пакетное согласие вместо верного законного основания; пропуск 72-часового окна для уведомления об утечке; отсутствие информационного уведомления (aydınlatma) на турецком языке. Каждую из этих ошибок дёшево исправить до проверки и дорого — после неё. По смежным обязанностям рекомендуем ознакомиться с нашими услугами по конкурентному праву и коммерческим договорам.
Зачем нужен турецкий юрист по защите данных
KVKK толкуется через растущий массив решений Совета, которые не всегда очевидны из самого текста закона, а реформа передачи данных 2024 года ещё только приживается. Турецкий юрист по защите данных читает эти решения, знает, чего на деле ожидает Совет в записи VERBİS или уведомлении об утечке, и может защитить вас при начале проверки — вместо того чтобы оставить вас наедине с задачей наложить незнакомый режим на шаблон GDPR. К этому мы добавляем междисциплинарную поддержку по конкурентному праву и корпоративным вопросам, когда они пересекаются. Свяжитесь с нами, чтобы обсудить вашу ситуацию.
Как мы приводим вас в соответствие с KVKK
Аудит данных и оценка пробелов
Мы составляем карту того, какие персональные данные вы храните, как они движутся и куда уходят за рубеж, и сопоставляем их с KVKK (и с GDPR, где он тоже применяется), чтобы выявить пробелы.
Картирование обязанностей
Мы чётко излагаем, что именно требует от вас KVKK — регистрация, уведомления, законные основания, передачи, безопасность — с приоритизированным планом по фиксированной стоимости.
Регистрация в VERBİS и политики
Мы регистрируем вас в VERBİS и готовим ваши информационные уведомления, тексты согласий, политики обработки и хранения данных по турецкому праву.
Законные механизмы передачи
Мы выстраиваем верный трансграничный путь — адекватность, SCC или иную гарантию — и подаём в Совет уведомление по SCC в пятидневный срок.
Процедуры по утечкам и запросам
Мы выстраиваем ваш 72-часовой план реагирования на утечки и рабочий процесс по запросам субъектов данных, с шаблонами, которыми ваша команда действительно сможет пользоваться.
Представительство перед Советом
Если возникает жалоба или проверка, мы представляем вас перед Советом KVKK и ведём ответ и работу с любым штрафом.
Постоянное соответствие и обучение
Мы поддерживаем вашу программу в актуальном состоянии по мере изменения правил и обучаем ваш персонал, чтобы соответствие сохранялось на практике.
KVKK и защита данных в Турции — часто задаваемые вопросы
Покрывает ли моё соответствие GDPR Турцию?
Нет. KVKK (Закон № 6698) — отдельный режим. Он напоминает GDPR, но отличается в части регистрации VERBİS, трансграничной передачи и сроков уведомления об утечках, поэтому программа GDPR не делает вас автоматически соответствующим в Турции. Многие компании подпадают сразу под оба режима.
Что такое KVKK?
Закон о защите персональных данных № 6698 — закон Турции о защите данных, действующий с 7 апреля 2016 года, применяемый Управлением по защите персональных данных и его Советом (Kurul). Он регулирует, как могут обрабатываться персональные данные людей в Турции.
Применяется ли KVKK к иностранной компании без офиса в Турции?
Может применяться. Если ваша обработка затрагивает людей в Турции — турецких клиентов, пользователей или сотрудников, — вы можете подпадать под KVKK даже без местного присутствия и, как правило, регистрируетесь и действуете через представителя, базирующегося в Турции.
Что такое VERBİS и обязан ли я регистрироваться?
VERBİS — это Реестр контролёров данных по статье 16 KVKK. Большинство контролёров обязаны зарегистрироваться до начала обработки и поддерживать запись в актуальном состоянии. Исключения и пороговые значения устанавливаются Советом, а у иностранных контролёров есть свой порядок регистрации. Отсутствие регистрации — одно из наиболее часто штрафуемых нарушений.
Могу ли я передавать турецкие персональные данные материнской компании за рубежом?
Да, но только законным путём в рамках режима передачи 2024 года: решение об адекватности, надлежащие гарантии, такие как стандартные договорные положения (SCC) или обязательные корпоративные правила, либо конкретное исключение. При использовании SCC вы обязаны уведомить о подписанных положениях Совет в течение пяти рабочих дней.
Что изменилось в поправках к KVKK 2024 года?
Закон № 7499 (март 2024 года) и Положение о передаче данных от 10 июля 2024 года переработали трансграничную передачу, заменив прежний подход, тяготевший к согласию, на трёхуровневую структуру в духе GDPR: адекватность, надлежащие гарантии и ограниченные исключения.
Как быстро я обязан сообщить об утечке данных?
Статья 12(5) KVKK требует уведомления «в кратчайший срок». Решение Совета 2019/10 от 24 января 2019 года трактует это как 72 часа с момента, когда вам стало известно об утечке, с уведомлением также и затронутых лиц.
Что такое açık rıza (явное согласие)?
Согласие, которое является информированным, добровольным и конкретным для определённой цели. Связанное в пакет, проставленное заранее или согласие по принципу «всё или ничего» недействительно. Часто лучше подходит другое законное основание по статьям 5-6, поскольку согласие можно отозвать.
Насколько велики штрафы по KVKK?
Административные штрафы налагаются по статье 18 за такие нарушения, как недостаточная безопасность, просрочка уведомления об утечке и отсутствие регистрации в VERBİS. Суммы в лирах ежегодно пересматриваются в сторону повышения, поэтому мы консультируем по актуальным цифрам, а не приводим число, которое быстро устаревает.
Может ли кто-то попасть в тюрьму из-за утечки данных в Турции?
Незаконная запись, передача или получение персональных данных является уголовным преступлением по статьям 135-140 Уголовного кодекса Турции и влечёт лишение свободы. Эта уголовная ответственность идёт наряду с административным штрафом компании и может возлагаться на конкретных лиц.
Какие права у субъектов данных и как быстро я обязан отвечать?
Граждане могут узнать, обрабатываются ли их данные, получить к ним доступ и исправить их, потребовать удаления и возразить против определённой обработки. Вы обязаны ответить в установленный законом срок и изложить причины любого отказа. Неверно обработанные запросы — частый путь к жалобе в Совет.
Можете ли вы привести нас в соответствие, если мы находимся за рубежом?
Да. По нотариально заверенной и апостилированной доверенности мы регистрируем вас в VERBİS, готовим ваши уведомления и политики по турецкому праву, настраиваем законные передачи данных и представляем вас перед Советом — выступая вашим контактным лицом в Турции. Большинство иностранных клиентов ведут всю программу дистанционно. Для русскоязычных клиентов переписку мы ведём на русском, а при необходимости организуем переводчика за дополнительную плату.
