土耳其公司的 GDPR 与 KVKK:双重合规导航
是的,欧盟 GDPR 可能适用于一家仅设立在土耳其的公司;与此同时,您还必须遵守土耳其自己的数据保护法 KVKK(6698 号法,Kişisel Verilerin Korunması Kanunu)。如果您向欧盟境内的人销售产品或追踪其行为,您就同时面临两套制度,并须按其中更严格的标准来搭建合规体系。本指南面向在土耳其经营的外资企业,说明 GDPR 与 KVKK 在哪些地方重叠、在哪些地方分歧、2024 年 3 月 12 日的改革(7499 号法)对跨境传输改变了什么,以及当前 2026 年的罚款标准,帮助您清楚地知道该做什么。
为什么 GDPR 会管到土耳其公司
欧盟《通用数据保护条例》(GDPR,Regulation (EU) 2016/679)并不止步于欧洲边界。根据第 3 条的域外适用范围,一家设立在土耳其的公司即便位于欧盟之外,也可能直接落入 GDPR 的管辖。
土耳其公司主要在两种情形下被 GDPR 涵盖:
- 向欧盟境内的人提供商品或服务——例如一家伊斯坦布尔的电商店铺、软件平台或酒店,面向并服务欧盟客户、收取欧元、或使用欧盟语言。
- 监测欧盟境内的人的行为——例如追踪网站访客、画像分析(profiling)、或面向欧盟用户的行为定向广告。
只要符合其中一种情形,无论您的服务器或员工身在何处,GDPR 义务都会随之而来。许多在土耳其注册的外资企业惊讶地发现,自己除了要面对土耳其主管机关之外,还要面对欧盟的监管机构。
外国创始人常忽略的触发点
您可能在无意之间就把自己拉入了 GDPR 的范围。常见触发点包括:
- 面向欧盟的英文、德文或法文网站,带有对欧盟访客进行画像的 Cookie、分析工具或广告像素。
- 面向位于欧盟的客户开展的营销活动、新闻邮件或付费广告。
- 雇佣或承揽欧盟居民远程员工,并处理其个人数据。
- 在以欧盟为基地的云或 SaaS 基础设施上运行服务,处理欧盟客户的数据。
KVKK:土耳其自己的数据保护法(6698 号法)
土耳其《个人数据保护法》6698 号(Kişisel Verilerin Korunması Kanunu,KVKK)于 2016 年生效,最初是以欧盟较早的 1995 年数据保护指令(95/46/EC)为蓝本制定的。它由土耳其数据保护机关及其决策委员会(Kurul)负责执行。
KVKK 并未停留在 1995 年的标准上。2024 年 3 月 12 日的改革使其更靠近 GDPR,尤其是在跨境传输和敏感数据方面,因此如今两套制度比过去更接近,但仍不完全相同(下文详述)。
每一家在土耳其处理个人数据的公司都必须遵守该法的核心原则,这些原则在实质上与 GDPR 一致:
- 处理须合法、公平、透明。
- 仅为特定、明确、正当的目的而处理。
- 数据最小化、准确,并限制保存期限。
- 每一项处理活动都须有合法依据——明示同意,或法定例外情形之一。
VERBİS 登记与联络人
大多数在土耳其经营的数据控制者必须在VERBİS(数据控制者登记系统)登记,并指定一名联络人(irtibat kişisi)。您是否有登记义务,取决于委员会决议所设定的门槛,主要是员工人数和年度财务资产负债表数字,并有一些行业豁免。您应当核实自己的具体情形,而不要想当然地认为自己在门槛之内或之外。
GDPR 与 KVKK:让企业栽跟头的关键差异
尽管两套制度同源,差异在实务中仍然举足轻重。把 KVKK 当作 GDPR 的直接翻版,是常见且代价高昂的错误。下表展示二者在哪里一致、在哪里分道扬镳。
| 问题 | GDPR(欧盟) | KVKK(土耳其,6698 号法) |
|---|---|---|
| 合法依据 | 六项依据,含灵活的"正当利益"依据(第 6 条) | 明示同意加上较窄的法定例外清单(第 5 条);2024 年改革使其更接近,但措辞不同 |
| 敏感数据 | 第 9 条对特殊类别的处理条件 | 第 6 条,2024 年重塑——取消了旧的健康/性生活数据的分立处理,处理条件被拓宽 |
| 跨境传输 | 充分性认定/保障措施/减损情形(第 45–49 条) | 充分性认定/保障措施(SCC、BCR)/例外(第 9 条),外加 5 个工作日的 SCC 报备 |
| 泄露通知 | 72 小时内通知监管机关(第 33 条) | 72 小时内通知委员会(委员会决议 2019/10) |
| 罚款 | 最高为 2000 万欧元或全球营业额 4% 中较高者(第 83 条) | 以里拉计、每年 1 月重新指数化;2026 年针对安全/VERBİS/委员会决议违规最高约 1709 万里拉 |
处理的合法依据
GDPR 提供六项合法依据,包括正当利益。KVKK 历来高度依赖明示同意和一套较窄的法定例外,留给企业援引正当利益的空间更小。2024 年的修正缩小了差距,但措辞并不完全一致,因此一项在 GDPR 下成立的依据,未必能干净地对应到 KVKK 之上。
敏感(特殊类别)数据
2024 年改革实质性地改变了 KVKK 第 6 条。它取消了将健康和性生活数据与其他敏感类别区别对待的旧式分立,并拓宽了可处理特殊类别数据(健康、生物识别、宗教信仰、犯罪记录等)的条件,使结构更接近 GDPR 第 9 条。处理仍然受到严格规范,因此明示同意或某项具体法定条件仍是稳妥路径。
跨境传输
这是最大的一处分歧,也是外资公司最常违反 KVKK 的领域——下一节将详细展开。我们在为客户处理这类条款时,也会为相关协议(如KVKK 数据保护合规所需的文件)提供支持。
2024 年 KVKK 改革与跨境数据传输
2024 年 3 月 12 日,7499 号法(即所谓"第八司法一揽子法案")在第 32487 号官方公报上公布,修订了 KVKK,包括第 6 条和第 9 条。配套的《个人数据跨境传输条例》随后于 2024 年 7 月 10 日出台。二者共同以一套紧密对应 GDPR 第五章的分层框架,取代了旧的、以同意为基础的限制性传输模式。
个人数据现在可以通过以下三种方式之一向境外传输:
- 充分性认定——传输至委员会正式认定为充分的国家、行业或国际组织。
- 适当保障措施——在不存在充分性认定时,可使用以下之一进行传输:委员会公布的标准合同条款(SCC)、用于集团内部传输的有约束力的公司规则(BCR)、书面承诺函,或其他经批准的工具。
- 例外情形——基于明示同意或特定法定理由(例如履行合同,或法律请求的确立与行使)的有限、偶发性传输。
外资公司应当选择哪种保障措施?
没有放之四海皆准的答案,但一条简单的决策路径会有帮助:
- 单一的土耳其子公司向一家欧盟母公司或关联公司传输人事或客户数据。委员会的 SCC 通常是务实之选——签署、原文使用土耳其文本、并在 5 个工作日内报备。
- 跨多个实体和国家流转数据的跨国集团。BCR 可能值得投入更繁重的审批工作,因为一经批准便覆盖整个集团,而不必维护一张由众多单独合同织成的网。
- 罕见的一次性传输(例如为在境外主张法律请求)。可能适用某项例外情形依据,但不要将其用作常规、持续性流转的依据。
"双向"问题
由于欧盟尚未就土耳其作出充分性认定,反方向的传输——即 GDPR 项下从欧盟流向土耳其——仍需要自己的保障措施,通常是欧盟委员会的 SCC。因此许多集团并行维护两套合同。下表把这一区分讲清楚:
| 数据流向 | 适用制度 | 所需文件 |
|---|---|---|
| 离开土耳其(流向欧盟或其他地区) | KVKK(第 9 条) | 委员会 SCC(土耳其文本,不加修改)+在 5 个工作日内向主管机关报备;或 BCR |
| 从欧盟进入土耳其 | GDPR(第 46 条) | 由欧盟一方落实的欧盟委员会 SCC(或 BCR) |
对于支撑这些数据流的协议起草与审阅,可参阅我们如何处理数据处理协议与标准合同条款。
一份实用的合规路线图
对于在土耳其境内经营、或自土耳其向外经营的外资公司而言,一个站得住脚的双重合规方案通常包含以下步骤:
- 梳理数据流。识别您收集了哪些个人数据、数据来自何处(欧盟居民?土耳其居民?)、存储于何处、与谁共享——包括境外的云服务商和集团内公司。
- 确认适用哪些制度。在评估 KVKK 的同时,评估 GDPR 第 3 条的域外适用范围。两者皆适用时,按更严格的标准来搭建。
- 厘清合法依据与告知文本。准备符合 KVKK 的告知(aydınlatma)文本,必要时准备明示同意书,并为欧盟用户准备符合 GDPR 的隐私声明。
- 在 VERBİS 登记(如达到门槛),并保持登记信息为最新状态。
- 落实传输机制。对自土耳其向外的传输采用委员会 SCC 或 BCR,完成 5 个工作日的报备,并对自欧盟向内的传输采用欧盟 SCC。
- 指定负责人。在土耳其指定一名 VERBİS 联络人,并在 GDPR 要求时指定数据保护官或欧盟代表。
- 为事件做好准备。KVKK 与 GDPR 都要求在 72 小时内进行泄露通知,因此应当维护一套在时间压力下真正可以运行的事件响应流程。
Cookie 与网站告知(aydınlatma)
网站是 KVKK 麻烦的常见来源。如果您的网站使用 Cookie、分析工具或追踪像素,您通常需要一份清晰的 Cookie 告知、对非必要 Cookie 的正确法律依据,以及一份告知访客"收集什么、为什么"的 KVKK 告知文本。对于面向欧盟的网站,同一个横幅还必须满足 GDPR 的同意规则,因此应一次性按更严格的标准来设计。
律师事务所通常在哪里增添价值
一位焦虑的创始人很少需要一次性把所有事情都做完。在实务中,外部法律顾问最有用的环节是:数据流梳理、选择并起草合适的传输机制、完成 5 个工作日的 SCC 报备、完成或更新 VERBİS,以及准备 KVKK 与 GDPR 双重告知文本。这项工作也与公司设立相互重叠:如果您正在在土耳其设立外资公司,从第一天就把数据合规内置进来,比事后补救更省钱。
数据保护很少单独出现。在收购或合资中,它是土耳其并购中数据保护尽职调查的核心组成部分,并与其他监管检查相邻,例如土耳其竞争法合规与并购申报门槛。如需就您的具体义务进行量身审阅,欢迎用中文写信给我们——我们以中文沟通;如有需要,可另行安排翻译(需另行付费),预约我们伊斯坦布尔团队的双重合规评估。
做错的代价(2026 年数字)
违规会在每一套制度下独立地产生后果。KVKK 罚款是 maktu(固定区间)罚款,每年 1 月重新指数化;下表是为 2026 年公布的区间(重估率 25.49%,2025 年 11 月 27 日官方公报,自 2026 年 1 月 1 日起生效)。
| KVKK 违规(2026 年区间) | 罚款幅度 |
|---|---|
| 告知/信息义务(aydınlatma) | 85,437 – 1,709,200 里拉 |
| 数据安全措施(第 12 条) | 256,357 – 17,092,242 里拉 |
| 未办理 VERBİS 登记 | 341,809 – 17,092,242 里拉 |
| 未就跨境 SCC 进行报备 | 90,308 – 1,806,377 里拉 |
- 在 KVKK 项下:来自委员会的行政罚款(如上每年重新指数化)、纠正命令,以及声誉损害。严重的非法处理或非法传输个人数据,还可能触及《土耳其刑法》(5237 号法,第 135–140 条),其涵盖非法记录、共享或获取个人数据,以及未予销毁。
- 在 GDPR 项下:罚款最高为 2000 万欧元或全球年营业额 4% 中较高者(第 83 条),加上欧盟监管机构的执法行动,以及数据主体可能提起的民事索赔。
常见问题
GDPR 会适用于一家仅设立在土耳其的公司吗?
可能会。根据 GDPR 第 3 条,一家土耳其公司若向欧盟境内的人提供商品或服务,或监测欧盟境内的人的行为,即便在欧盟没有设立机构,也落入 GDPR 的适用范围。在这种情况下,它必须同时遵守 GDPR 和土耳其的 KVKK。
KVKK 与 GDPR 是一回事吗?
不是。KVKK(6698 号法)最初以欧盟数据保护法为蓝本,共享相同的核心原则,但在合法依据、敏感数据规则、传输机制和罚款幅度上有所不同。2024 年改革(7499 号法)缩小了差距,尤其是在跨境传输和敏感数据方面,但两套制度并不完全相同。
2024 年跨境数据传输有什么变化?
2024 年 3 月 12 日公布的 7499 号法,以及 2024 年 7 月 10 日的配套条例,以一套分层制度取代了旧的、以同意为基础的模式:充分性认定、适当保障措施(标准合同条款、有约束力的公司规则、承诺函)以及有限的例外情形。针对持续性传输的旧同意路径仅被允许使用到 2024 年 9 月 1 日。依赖委员会标准合同条款的传输,须在签署后 5 个工作日内向主管机关报备。
我能把个人数据从欧盟传到我的土耳其公司吗?
欧盟尚未给予土耳其充分性认定,因此 GDPR 项下从欧盟向土耳其的传输通常需要自己的保障措施,最常见的是欧盟委员会的标准合同条款。这与自土耳其向外传输所需的土耳其 SCC 是分开的,因此集团往往并行维护两套合同。
我们必须在 VERBİS 登记吗?
许多在土耳其处理个人数据的数据控制者必须在 VERBİS(数据控制者登记系统)登记并指定一名联络人。您的公司是否达到门槛,取决于诸如员工人数和年度财务资产负债表数字等因素,并有一些豁免,因此应针对您的具体情况进行核实。
在土耳其不办理 VERBİS 登记会被罚多少?
就 2026 年而言,未办理 VERBİS 登记、登记信息有误、或未及时更新,可能招致约 341,809 至 17,092,242 里拉的行政罚款。这些 maktu 区间每年 1 月重新指数化,因此在依赖之前请确认当前数字。
在土耳其,我们必须多快上报数据泄露?
您必须在知悉个人数据泄露后 72 小时内通知 KVKK 委员会(委员会决议 2019/10),并须在合理时间内告知受影响的个人。GDPR 第 33 条对监管机关同样设定了 72 小时的期限,因此同时受两套制度约束的公司,应当按更严格的标准运行一套统一的事件响应流程。
