土耳其 KVKK 与数据保护法律服务

本页面适合哪些人

本页面面向所有接触土耳其个人数据的外国机构，无论其设立在何处。您可能是：

拥有土耳其客户、用户或面向土耳其的电子商务业务的外国公司；
处理土耳其境内员工数据的雇主；
已经运行 GDPR 合规计划、并误以为该计划自动覆盖土耳其的集团企业——其实并不会自动覆盖；
正面临 KVKK 委员会调查、投诉或数据泄露事件的数据控制者。

KVKK 与 GDPR 足够相似，会让人感到熟悉；却又足够不同，因而成为陷阱。VERBİS 登记、2024 年后的传输规则、违规通报时限——这些差异之处，正是外国企业被处罚的高发地带。

什么是 KVKK，谁必须遵守

土耳其的数据保护由《个人数据保护法》第 6698 号（Kişisel Verilerin Korunması Kanunu，KVKK）规范，自 2016 年 4 月 7 日起施行。该法由个人数据保护局及其决策机构委员会（Kurul）执行，委员会公布的决议塑造着日常实务。

法律框架：KVKK 第 6698 号确立核心规则；2024 年 3 月 12 日的改革（第 7499 号法律）重写了跨境传输制度；附属条例与委员会决议补充细节。涉及个人数据的犯罪行为另由《土耳其刑法典》（TCK 第 135–140 条）单独处理。

该法适用于处理土耳其境内人员个人数据的数据控制者与数据处理者，包括在土耳其没有设立机构、但其数据处理行为触及境内个人的外国公司。

KVKK 与 GDPR 何时同时适用

一个常见且代价高昂的误解是：GDPR 合规计划会自动满足土耳其的要求。事实并非如此。许多外国企业会同时受到两套制度的约束——因面向欧盟而适用 GDPR，因处理土耳其境内人员的数据而适用 KVKK。两者的原则相近，但在登记、合法性基础的细微之处、传输机制与通报时限上各不相同。我们为您梳理两者的交叠之处，让您运行一套既在欧盟一侧、又在土耳其一侧均合规的统一计划，而不是两套相互冲突的方案。具体可参阅我们关于商业合同中数据处理条款的服务，以及与竞争与反垄断的交叉问题。

合法处理与明示同意（açık rıza）

个人数据只能基于合法性基础进行处理。相关条件规定于 KVKK 第 5 条与第 6 条，对特殊类别数据（健康、生物识别、宗教信仰等）有更严格的规则。当您依赖同意作为基础时，该同意必须是明示同意（açık rıza）：知情、自愿且针对特定明确目的——捆绑式或预先勾选的同意不算数。此外，您还须向数据主体提供一份告知声明（aydınlatma metni），说明您是谁、处理哪些数据以及为何处理。

提示：不要事事都依赖同意。当其他合法性基础更合适时仍过度使用同意，会导致合规基础脆弱，因为同意可以被撤回。我们会为每一项处理活动选择恰当的合法性基础。

VERBİS 登记

依 KVKK 第 16 条，多数数据控制者必须在开始处理之前在 VERBİS（数据控制者登记系统）登记，并保持登记信息更新。豁免情形与门槛——基于员工人数、年度财务规模等因素——由委员会规定，外国控制者另有专门的登记途径，通常通过一名土耳其境内代表办理。遗漏或疏忽 VERBİS 登记是最常被处罚的违规之一，正因为它公开可见、非黑即白。

2024 年改革后的跨境数据传输

将土耳其个人数据传输至境外——传给母公司、云服务商或集团系统——受到规制，而相关规则随2024 年改革（第 7499 号法律）及其实施细则2024 年 7 月 10 日《传输条例》发生了实质性变化。该制度现已与 GDPR 的结构相对应，提供三条途径：

途径	适用情形
充分性决定	传输至委员会认定其提供充分保护水平的国家（或行业）
适当保障措施	标准合同条款（SCC）、有约束力的公司规则（BCR）或其他经批准的保障措施
例外情形	特定、有限的逐案克减（例如明示同意、履行合同所必需）

注意 SCC 通报：当您依赖标准合同条款时，签署后的条款必须在五个工作日内通报委员会。请将这一步骤纳入您的传输流程——它容易被遗漏，而委员会也很容易核查到。

数据主体请求与您的回应义务

个人依 KVKK 享有相应权利——了解其数据是否被处理、查阅与更正、要求删除，以及对某些处理提出异议。控制者收到请求后，必须在法定期限内回应；如予以拒绝，须说明理由。未回应或处理不当的请求，是引发委员会投诉的常见路径。我们为您搭建请求处理程序与模板，使您的团队能够正确、及时地回应。

数据泄露：72 小时规则

如果个人数据被非法访问或披露，KVKK 第 12 条第 5 款要求“在最短时间内”通报委员会。委员会的基础性第 2019/10 号决议（2019 年 1 月 24 日）将其解读为自知悉泄露之时起72 小时内通报，并须一并通知受影响的个人。

盯紧时钟：72 小时很短，且计时自您知悉之时开始，而非调查结束之时。一份准备就绪的事件响应预案——谁来决策、需通报什么内容、用何种措辞——决定了这是一次受控的披露，还是因迟延通报而构成的第二次违规。

调查、罚款与刑事风险

执法来自两个方向。委员会依第 18 条施加行政罚款——针对安全防护不足（第 12 条）、违规通报失职、未办理 VERBİS 登记等。罚款的里拉金额每年向上调整，因此实际风险持续上升；我们会就当前数额提供建议，而不引用一个很快就会过时的数字。另外，非法记录、传输或获取个人数据构成犯罪，依 TCK 第 135–140 条可处监禁，因此企业内部的个人可能在公司被罚款之外另行承担个人刑事责任。我们在委员会调查中为数据控制者答辩，并在涉及刑事问题时统筹协调刑事层面的应对。

从境外完成合规

您无需在土耳其设有实体即可达成合规。凭一份授权委托书——在境外公证并加注海牙认证（apostille）后翻译，或在土耳其领事馆签署——我们即可为您办理 VERBİS 登记，起草符合土耳其法律的政策与声明，落实传输机制，并在委员会前代表您。我们作为您在土耳其的联络点，使各类请求与通报不致被遗漏。这与公司设立以及应纳入数据处理条款的商业合同自然衔接。如需以中文沟通，请用中文写信给我们——我们以中文与您往来沟通；如有需要，可另行安排中文翻译陪同会议或庭审（需另行付费）。

外国企业常犯的 KVKK 错误

我们最常见到的罚款，往往可归结为一份简短清单：误以为 GDPR 计划覆盖土耳其；跳过或忘记 VERBİS 登记；在没有合法途径（且没有五日内 SCC 通报）的情况下，将数据传输给境外母公司或云服务商；依赖捆绑式同意而非恰当的合法性基础；错过 72 小时的违规通报窗口；以及没有土耳其语的告知声明（aydınlatma）。每一项在检查之前修复都很廉价，检查之后修复则代价高昂。关于相邻义务，可参阅竞争与反垄断以及与公司事务相关的公司设立服务。

为何需要土耳其数据保护律师

KVKK 是通过不断积累的委员会决议来解释的，而这些决议并不总能从法条本身直观看出，2024 年的传输改革也仍在落地磨合之中。土耳其数据保护律师会研读这些决议，了解委员会在一份 VERBİS 登记或违规通报中究竟期待什么，并能在调查启动时为您答辩——而不是让您把一套陌生的制度硬套在 GDPR 模板上。我们将此与竞争与反垄断及公司事务的跨领域支持相结合，应对它们交叉的情形。如需开始，欢迎用中文与我们联系。

我们如何让您达到 KVKK 合规

数据审计与差距评估

我们梳理您持有哪些个人数据、数据如何流动、又流向哪些境外目的地，并对照 KVKK（在同时适用时也对照 GDPR）进行衡量，找出合规缺口。

义务梳理

我们清晰列出 KVKK 对您的具体要求——登记、声明、合法性基础、传输、安全——并提供按优先级排序的固定费用方案。

VERBİS 登记与政策文件

我们为您办理 VERBİS 登记，并起草符合土耳其法律的告知声明、同意文本、数据处理与留存政策。

合法的传输机制

我们为您落实恰当的跨境途径——充分性决定、SCC 或其他保障措施——并在五日内向委员会提交 SCC 通报。

违规与请求处理程序

我们为您搭建 72 小时违规响应预案和数据主体请求处理流程，并提供您的团队可实际使用的模板。

委员会代理

如发生投诉或调查，我们在 KVKK 委员会前代表您，统筹应对工作以及任何罚款事宜。

持续合规与培训

随着规则演变，我们让您的合规计划保持更新，并对您的员工进行培训，使合规在实践中得以维持。

土耳其 KVKK 与数据保护——常见问题

我的 GDPR 合规能覆盖土耳其吗？

不能。KVKK（第 6698 号法律）是一套独立的制度。它与 GDPR 相似，但在 VERBİS 登记、跨境传输和违规通报时限上有所不同，因此 GDPR 合规计划并不会自动使您在土耳其合规。许多公司会同时受到两套制度的约束。

什么是 KVKK？

即《个人数据保护法》第 6698 号，是土耳其的数据保护法，自 2016 年 4 月 7 日起施行，由个人数据保护局及其委员会（Kurul）执行。它规范了如何处理土耳其境内人员的个人数据。

KVKK 是否适用于在土耳其没有办公室的外国公司？

可能适用。当您的数据处理触及土耳其境内人员——土耳其客户、用户或员工——时，即使没有本地机构，您也可能落入 KVKK 的适用范围，并且通常需通过一名土耳其境内代表进行登记和行事。

什么是 VERBİS，我必须登记吗？

VERBİS 是 KVKK 第 16 条项下的数据控制者登记系统。多数控制者必须在开始处理之前登记，并保持登记信息更新。豁免情形与门槛由委员会规定，外国控制者另有专门的登记途径。未登记是最常被处罚的违规之一。

我可以把土耳其个人数据传输给境外母公司吗？

可以，但只能通过 2024 年传输制度下的合法途径：充分性决定、标准合同条款（SCC）或有约束力的公司规则等适当保障措施，或某项特定例外情形。当您使用 SCC 时，必须在五个工作日内将签署后的条款通报委员会。

2024 年 KVKK 修订改变了什么？

第 7499 号法律（2024 年 3 月）及 2024 年 7 月 10 日《传输条例》全面改革了跨境传输，以 GDPR 式的三层结构——充分性、适当保障措施、有限例外——取代了旧的以同意为主的做法。

发生数据泄露后，我必须多快通报？

KVKK 第 12 条第 5 款要求“在最短时间内”通报。委员会 2019 年 1 月 24 日的第 2019/10 号决议将其解读为自知悉泄露之时起 72 小时内通报，并须一并通知受影响的个人。

什么是 açık rıza（明示同意）？

即知情、自愿且针对特定明确目的的同意。捆绑式、预先勾选或“要么接受要么离开”式的同意均无效。通常依第 5–6 条采用其他合法性基础更为合适，因为同意可以被撤回。

KVKK 的罚款有多高？

行政罚款依第 18 条施加，针对安全防护不足、违规通报迟延、未办理 VERBİS 登记等失职行为。罚款的里拉金额每年向上调整，因此我们会就当前数额提供建议，而不引用一个很快就会过时的数字。

在土耳其，有人会因数据泄露而入狱吗？

非法记录、传输或获取个人数据依《土耳其刑法典》第 135–140 条构成刑事犯罪，可处监禁。该刑事责任与公司的行政罚款并行，并可落到个人身上。

数据主体享有哪些权利，我必须多快回应？

个人可询问其数据是否被处理、查阅与更正、要求删除，并对某些处理提出异议。您必须在法定期限内回应，对任何拒绝须说明理由。处理不当的请求是引发委员会投诉的常见路径。

如果我们设立在境外，你们能让我们合规吗？

可以。凭一份经公证并加注海牙认证的授权委托书，我们即可为您办理 VERBİS 登记，起草符合土耳其法律的声明与政策，落实合法传输并在委员会前代表您——担任您在土耳其的联络点。绝大多数外国客户都可远程完成整个合规计划。对中文客户，我们以中文沟通往来，如有需要可另行安排中文翻译（需另行付费）。

土耳其的数据保护与 KVKK 合规