टर्की केवीकेके: व्यक्तिगत डेटा सुरक्षा अनुपालन

तुर्की का किसीसेल वेरिलेरिन कोरुनमासि कनुनु (केवीकेके - व्यक्तिगत डेटा संरक्षण कानून संख्या 6698) 7 अप्रैल, 2016 को लागू हुआ, जिससे तुर्की यूरोपीय संघ के बाहर जीडीपीआर-संरेखित व्यापक डेटा संरक्षण कानून बनाने वाले पहले देशों में से एक बन गया। तुर्की की बढ़ती डिजिटल अर्थव्यवस्था, महत्वपूर्ण जनसंख्या (85 मिलियन) और यूरोपीय और मध्य पूर्वी दोनों बाजारों में सेवा देने वाले व्यवसायों के केंद्र के रूप में इसकी भूमिका के साथ, केवीकेके अनुपालन अंतरराष्ट्रीय संगठनों के लिए एक महत्वपूर्ण विचार बन गया है।

केवीकेके को पर्सनल डेटा प्रोटेक्शन अथॉरिटी (किसीसेल वेरिलेरी कोरुमा कुरुमु - KVKK अथॉरिटी या केवीके कुरुमु) द्वारा प्रशासित किया जाता है और पर्सनल डेटा प्रोटेक्शन बोर्ड (किसीसेल वेरिलेरी कोरुमा कुरुमु) द्वारा लागू किया जाता है। बोर्ड ने सक्रिय रूप से मार्गदर्शन जारी किया है, शिकायतों की जांच की है, और महत्वपूर्ण जुर्माना लगाया है - 2025 तक प्रति उल्लंघन ₺19.8 मिलियन ($620,000 USD) तक का जुर्माना।

मुख्य बातें

• केवीकेके तुर्की व्यक्तियों के व्यक्तिगत डेटा को संसाधित करने वाले प्राकृतिक और कानूनी व्यक्तियों पर लागू होता है, चाहे नियंत्रक कहीं भी स्थापित हो
• सामान्य व्यक्तिगत डेटा के लिए सात प्रसंस्करण स्थितियाँ मौजूद हैं; संवेदनशील व्यक्तिगत डेटा के लिए आठ
• संवेदनशील व्यक्तिगत डेटा में नस्ल, जातीय मूल, राजनीतिक राय, दार्शनिक विश्वास, धर्म, संप्रदाय, संघ सदस्यता, स्वास्थ्य, यौन जीवन, आपराधिक सजा, बायोमेट्रिक और आनुवंशिक डेटा शामिल हैं।
• डेटा विषयों के पास आठ अधिकार हैं जिनमें पहुंच, सुधार, मिटाना और स्वचालित निर्णयों पर आपत्ति शामिल है
• सीमा पार डेटा स्थानांतरण के लिए या तो बोर्ड द्वारा पर्याप्तता निर्धारण या स्पष्ट सहमति की आवश्यकता होती है
• कुछ निश्चित सीमाओं को पूरा करने वाले नियंत्रकों के लिए VERBİS पंजीकरण (डेटा नियंत्रक रजिस्ट्री) अनिवार्य है
• डेटा उल्लंघन की सूचना बोर्ड को बिना किसी देरी के और गंभीर उल्लंघनों के लिए 72 घंटों के भीतर आवश्यक है
• ₺19.8 मिलियन तक प्रशासनिक जुर्माना; तुर्की आपराधिक संहिता के तहत आपराधिक दायित्व

---

केवीकेके फ्रेमवर्क और प्रादेशिक दायरा

प्रयोज्यता

KVKK इस पर लागू होता है:

• प्राकृतिक और कानूनी व्यक्ति जो व्यक्तिगत डेटा को पूर्ण या आंशिक रूप से स्वचालित माध्यमों से संसाधित करते हैं
• प्राकृतिक और कानूनी व्यक्ति जो व्यक्तिगत डेटा को संसाधित करते हैं गैर-स्वचालित माध्यमों से यदि डेटा फाइलिंग सिस्टम का हिस्सा है

बाह्यक्षेत्रीय पहुंच: केवीकेके स्पष्ट रूप से जीडीपीआर अनुच्छेद 3 के समान स्पष्ट शब्दों में बाह्यक्षेत्रीय अनुप्रयोग को नहीं बताता है। हालांकि, बोर्ड ने यह स्थिति ली है कि केवीकेके तुर्की में व्यक्तियों के व्यक्तिगत डेटा को संसाधित करने वाले विदेशी डेटा नियंत्रकों पर लागू होता है - जो फेसबुक/मेटा और अन्य अंतरराष्ट्रीय कंपनियों के खिलाफ प्रवर्तन कार्रवाइयों में परिलक्षित होता है। तुर्की के बाहर के नियंत्रक, जो तुर्की व्यक्तियों को सामान/सेवाएं प्रदान करते हैं या तुर्की व्यक्तियों के डेटा को संसाधित करते हैं, उन्हें केवीकेके दायित्वों का आकलन करना चाहिए।

छूट: केवीकेके इन पर लागू नहीं होता है:

• विशुद्ध रूप से व्यक्तिगत गतिविधियों के लिए प्राकृतिक व्यक्तियों द्वारा व्यक्तिगत डेटा का प्रसंस्करण
• आपराधिक जांच और अभियोजन उद्देश्यों के लिए व्यक्तिगत डेटा का प्रसंस्करण
• सांख्यिकीय उद्देश्यों के लिए अज्ञात व्यक्तिगत डेटा का प्रसंस्करण
• कला और साहित्य के लिए प्रसंस्करण
• पत्रकारिता, शैक्षणिक, कलात्मक या साहित्यिक उद्देश्यों के लिए प्रसंस्करण (सीमाओं के साथ)
• राष्ट्रीय रक्षा, सुरक्षा और सार्वजनिक सुरक्षा के दायरे में प्रसंस्करण

---

प्रसंस्करण स्थितियाँ

अनुच्छेद 5 उन शर्तों को निर्धारित करता है जिनके तहत व्यक्तिगत डेटा संसाधित किया जा सकता है। कम से कम एक शर्त पूरी होनी चाहिए:

1. डेटा विषय की स्पष्ट सहमति
2. स्पष्ट रूप से कानून द्वारा प्रदान किया गया - प्रसंस्करण स्पष्ट रूप से कानून द्वारा आवश्यक या अनुमत है
3. जीवन या शारीरिक अखंडता की सुरक्षा - जहां डेटा विषय या तीसरा पक्ष सहमति प्रदान नहीं कर सकता है
4. अनुबंध आवश्यकता - अनुबंध के समापन या निष्पादन के लिए आवश्यक प्रसंस्करण
5. कानूनी दायित्व - डेटा नियंत्रक के कानूनी दायित्व की पूर्ति
6. डेटा विषय ने डेटा सार्वजनिक कर दिया है - व्यक्ति ने डेटा का खुलासा कर दिया है
7. किसी अधिकार की स्थापना, प्रयोग या सुरक्षा- कानूनी कार्यवाही के लिए आवश्यक

संवेदनशील व्यक्तिगत डेटा शर्तें (अनुच्छेद 6): संवेदनशील व्यक्तिगत डेटा को केवल संसाधित किया जा सकता है:

1. डेटा विषय की स्पष्ट सहमति से
2. सहमति के बिना, केवल विशिष्ट श्रेणियों के लिए:

• स्वास्थ्य और यौन जीवन डेटा: केवल सार्वजनिक स्वास्थ्य की सुरक्षा, निवारक दवा, चिकित्सा निदान, देखभाल/उपचार सेवाओं और स्वास्थ्य सेवाओं की योजना और प्रबंधन के लिए, स्वास्थ्य क्षेत्र में व्यक्तियों की गोपनीयता के दायित्व के तहत या उसके तहत
• अन्य संवेदनशील डेटा (जाति, जातीय मूल, धर्म, संघ सदस्यता, आदि): प्रसंस्करण की अनुमति वहीं दी जाती है जहां कानूनों द्वारा स्पष्ट रूप से प्रदान किया गया हो

संवेदनशील व्यक्तिगत डेटा में शामिल हैं: नस्ल, जातीय मूल, राजनीतिक राय, दार्शनिक विश्वास, धर्म, संप्रदाय, या अन्य विश्वास, कपड़े, ट्रेड यूनियन सदस्यता, स्वास्थ्य, यौन जीवन, आपराधिक सजा और सुरक्षा उपाय, और बायोमेट्रिक और आनुवंशिक डेटा।

---

डेटा विषय अधिकार

अनुच्छेद 11 डेटा विषयों को निम्नलिखित अधिकार प्रदान करता है - अनुरोधों का बिना किसी शुल्क के 30 दिनों के भीतर जवाब दिया जाना चाहिए:

अधिकारों का प्रयोग: डेटा विषय लिखित अनुरोध प्रस्तुत करते हैं (या नियंत्रक द्वारा निर्दिष्ट विधि के माध्यम से)। नियंत्रकों को 30 दिनों के भीतर जवाब देना होगा। यदि अनुरोध अस्वीकार कर दिया जाता है, तो डेटा विषय 30 दिनों के भीतर बोर्ड को शिकायत कर सकता है।

---

VERBİS पंजीकरण

अनुच्छेद 16 में डेटा नियंत्रकों को व्यक्तिगत डेटा संसाधित करने से पहले डेटा नियंत्रक रजिस्ट्री (VERBİS - Veri Sorumluları Sicili) के साथ पंजीकरण करने की आवश्यकता होती है। पंजीकरण की आवश्यकता है:

• नियंत्रक की पहचान और संपर्क जानकारी
• प्रसंस्करण उद्देश्य
• स्थानांतरित डेटा समूह और प्राप्तकर्ता
• स्थानांतरण उद्देश्य
• डेटा श्रेणियां संसाधित
• सुरक्षा उपाय किए गए
• अवधारण अवधि

वर्बिस पंजीकरण से छूट (बोर्ड के निर्णयों द्वारा निर्धारित):

• कर्मचारियों की वार्षिक संख्या 50 से कम और वार्षिक वित्तीय विवरण 25 मिलियन तुर्की लीरा से अधिक नहीं
• केवल डेटा विषय के स्वयं के लाभ के लिए प्रसंस्करण
• सीमित उद्देश्य के लिए प्रसंस्करण जहां संवेदनशील डेटा संसाधित नहीं किया जाता है

महत्वपूर्ण: भले ही VERBİS पंजीकरण से छूट हो, अन्य सभी KVKK दायित्व लागू होते हैं। VERBİS छूट केवल रजिस्ट्री आवश्यकता को हटाती है।

विदेशी डेटा नियंत्रक: बोर्ड ने निर्धारित किया है कि केवीकेके के अधीन विदेशी डेटा नियंत्रकों को भी VERBİS में पंजीकृत होना चाहिए यदि वे छूट श्रेणी में नहीं हैं।

---

डेटा नियंत्रकों के दायित्व

गोपनीयता सूचना

डेटा नियंत्रकों को डेटा संग्रह के समय या उससे पहले विषयों को सूचित करना चाहिए:

• नियंत्रक और प्रतिनिधि की पहचान (यदि लागू हो)
• प्रसंस्करण उद्देश्य
• व्यक्तिगत डेटा के प्राप्तकर्ता और स्थानांतरण उद्देश्य
• डेटा संग्रह विधि और कानूनी आधार
• अनुच्छेद 11 के तहत डेटा विषय अधिकार

भाषा: तुर्की व्यक्तियों की सेवा के लिए तुर्की में होनी चाहिए।

डेटा नियंत्रक प्रतिनिधि

जबकि केवीकेके को स्पष्ट रूप से जीडीपीआर अनुच्छेद 27 की तरह विदेशी नियंत्रकों के लिए एक तुर्की प्रतिनिधि की आवश्यकता नहीं है, बोर्ड के प्रवर्तन अभ्यास ने संकेत दिया है कि विदेशी नियंत्रकों को तुर्की में एक संपर्क बिंदु नामित करना चाहिए। सीमा पार स्थानांतरण पर 2024 बोर्ड विनियमन से इस आवश्यकता को औपचारिक रूप देने की उम्मीद है।

डेटा न्यूनतमकरण और उद्देश्य सीमा

अनुच्छेद 4 मुख्य डेटा प्रोसेसिंग सिद्धांत स्थापित करता है:

• कानून का अनुपालन और सद्भावना
• सटीकता और अद्यतित होना
• विशिष्ट, स्पष्ट और वैध उद्देश्यों के लिए प्रसंस्करण
• उद्देश्य के लिए प्रासंगिकता, प्रतिबंध और आनुपातिकता
• कानून द्वारा निर्धारित या उद्देश्य के लिए आवश्यक अवधि के लिए प्रतिधारण

सुरक्षा उपाय (अनुच्छेद 12)

डेटा नियंत्रकों को इन्हें रोकने के लिए सभी आवश्यक तकनीकी और प्रशासनिक उपाय करने होंगे:

• व्यक्तिगत डेटा का गैरकानूनी प्रसंस्करण
• व्यक्तिगत डेटा तक गैरकानूनी पहुंच
• व्यक्तिगत डेटा की हानि, विनाश, या परिवर्तन

बोर्ड ने विशिष्ट तकनीकी दिशानिर्देश जारी किए हैं। मुख्य आवश्यकताओं में शामिल हैं:

• भंडारण और प्रसारण में संवेदनशील व्यक्तिगत डेटा का एन्क्रिप्शन
• अभिगम नियंत्रण और प्रमाणीकरण प्रबंधन
• ऑडिट लॉगिंग
• प्रवेश परीक्षण (कम से कम वार्षिक)
• कर्मियों के लिए प्रशिक्षण

---

सीमा पार डेटा स्थानांतरण

अनुच्छेद 9 और 9/ए अंतरराष्ट्रीय डेटा हस्तांतरण को नियंत्रित करते हैं। प्रमुख प्रतिबंध:

सामान्य निषेध: व्यक्तिगत डेटा को डेटा विषय की स्पष्ट सहमति के बिना विदेश में स्थानांतरित नहीं किया जा सकता है, जब तक निम्नलिखित शर्तों में से एक पूरी नहीं होती है:

1. पर्याप्त सुरक्षा: पर्याप्त सुरक्षा प्रदान करने के लिए गंतव्य देश को बोर्ड द्वारा निर्धारित किया गया है; और प्रसंस्करण शर्तों में से एक पूरी हो गई है

2. वचनपत्र: विदेशी प्राप्तकर्ता लिखित में वचन देता है कि पर्याप्त सुरक्षा प्रदान की जाएगी; और बोर्ड ने स्थानांतरण को मंजूरी दे दी है

3. मानक संविदात्मक धाराएँ: 2024 केवीकेके संशोधन जीडीपीआर के दृष्टिकोण पर आधारित एससीसी पेश करते हैं - गैर-पर्याप्त देशों में स्थानांतरण बोर्ड द्वारा अनुमोदित मानक संविदात्मक धाराओं का उपयोग कर सकते हैं

4. बाध्यकारी कॉर्पोरेट नियम: इंट्राग्रुप ट्रांसफर के लिए स्वीकृत बीसीआर

5. असाधारण स्थानांतरण: जहां स्पष्ट सहमति प्राप्त नहीं की जा सकती और स्थानांतरण आवश्यक है: कानूनी कार्यवाही, महत्वपूर्ण हित, अधिकारों का प्रयोग, आधिकारिक कर्तव्यों का प्रदर्शन

पर्याप्तता निर्धारण वाले देश: बोर्ड एक सूची रखता है; 2026 की शुरुआत में, इसने सीमित संख्या में देशों को मंजूरी दी है। EU के पास तुर्की के साथ पारस्परिक पर्याप्तता व्यवस्था नहीं है (KVKK के GDPR संरेखण के बावजूद), जिसका अर्थ है कि EU→तुर्की और तुर्की→EU हस्तांतरण के लिए SCCs या स्पष्ट सहमति की आवश्यकता होती है।

क्लाउड सेवाओं के लिए व्यावहारिक वास्तविकता: तुर्की में काम करने वाले कई व्यवसाय तुर्की के बाहर होस्ट की गई क्लाउड सेवाओं का उपयोग करते हैं। वर्तमान केवीकेके आवश्यकताओं के तहत, उन्हें विदेश में स्थानांतरित किए गए प्रत्येक व्यक्ति के डेटा के लिए स्पष्ट सहमति प्राप्त करनी होगी या स्थानांतरण व्यवस्था के लिए एससीसी/बीसीआर लागू करना होगा।

---

उल्लंघन अधिसूचना

केवीकेके मूल कानून में स्पष्ट उल्लंघन अधिसूचना समयरेखा निर्दिष्ट नहीं करता है। हालाँकि, बोर्ड के निर्णय और कार्यान्वयन मार्गदर्शन स्थापित करते हैं:

• बोर्ड को अधिसूचना: बिना किसी देरी के और व्यक्तिगत डेटा उल्लंघन के बारे में पता चलने के अधिकतम 72 घंटों के भीतर
• डेटा विषयों के लिए अधिसूचना: यदि उल्लंघन से डेटा विषयों के अधिकारों पर असर पड़ने की संभावना है - तो बिना किसी देरी के
• kvkk.gov.tr पोर्टल पर उपलब्ध बोर्ड के अधिसूचना फॉर्म का उपयोग करें

अधिसूचना सामग्री:

• उल्लंघन की प्रकृति और प्रभावित व्यक्तियों की श्रेणियां/अनुमानित संख्या
• श्रेणियाँ और प्रभावित रिकॉर्ड की अनुमानित संख्या
• डेटा सुरक्षा संपर्क व्यक्ति का संपर्क विवरण
• उल्लंघन के संभावित परिणाम
• उठाए गए या प्रस्तावित उपाय

---

बोर्ड प्रवर्तन और दंड

पर्सनल डेटा प्रोटेक्शन बोर्ड (किसीसेल वेरिलेरी कोरुमा कुरुलु) में तुर्की के राष्ट्रपति द्वारा नियुक्त सात सदस्य हैं। इसका अधिकार है:

• शिकायतों की जांच करें
• पदेन जांच करें
• बाध्यकारी निर्णय जारी करें
• प्रशासनिक जुर्माना लगाएं
• अनुपालन आदेश जारी करें

प्रशासनिक जुर्माना (वार्षिक अद्यतन):

आपराधिक दंड: तुर्की दंड संहिता के अनुच्छेद 135-140 के तहत, गैरकानूनी रिकॉर्डिंग, तीसरे पक्ष को प्रावधान, विनाश, या व्यक्तिगत डेटा के उपयोग के परिणामस्वरूप 1-4 साल की कैद हो सकती है। संवेदनशील डेटा के दुरुपयोग से जुर्माना बढ़ जाता है।

उल्लेखनीय प्रवर्तन कार्रवाइयां: बोर्ड ने जुर्माने सहित महत्वपूर्ण निर्णय जारी किए हैं: व्हाट्सएप (गोपनीयता नीति में बदलाव के माध्यम से गैरकानूनी सीमा पार हस्तांतरण के लिए ₺1.95 मिलियन), ट्रेंडयोल (डेटा सुरक्षा कमियों के लिए कई कार्रवाई), मेटा/फेसबुक (व्हाट्सएप डेटा साझाकरण के लिए ₺3 मिलियन), और विभिन्न तुर्की बैंक और दूरसंचार ऑपरेटर।

---

केवीकेके अनुपालन चेकलिस्ट

• केवीकेके प्रयोज्यता निर्धारित की गई (तुर्की संचालन या तुर्की व्यक्तियों का डेटा संसाधित)
• VERBİS पंजीकरण पूरा हो गया है या छूट की पुष्टि हो गई है
• संवेदनशील डेटा पहचान सहित व्यक्तिगत डेटा सूची पूरी की गई
• प्रत्येक गतिविधि के लिए प्रलेखित प्रसंस्करण शर्तें
• संवेदनशील डेटा प्रोसेसिंग स्थितियाँ प्रलेखित (स्पष्ट सहमति या विशिष्ट छूट)
• गोपनीयता नोटिस सभी आवश्यक तत्वों के साथ तुर्की में तैयार किया गया है
• डेटा विषय अधिकार प्रक्रियाएँ प्रलेखित (30-दिवसीय प्रतिक्रिया)
• सीमा पार स्थानांतरण मूल्यांकन पूरा हो गया है - तंत्र लागू है (एससीसी, सहमति, या पर्याप्तता)
• सुरक्षा उपाय लागू किए गए: एन्क्रिप्शन, एक्सेस नियंत्रण, ऑडिट लॉगिंग
• प्रवेश परीक्षण आयोजित किया गया और परिणाम प्रलेखित किए गए
• उल्लंघन अधिसूचना प्रक्रिया प्रलेखित (72-घंटे की बोर्ड अधिसूचना)
• अवधारण कार्यक्रम प्रलेखित और स्वचालित विलोपन कॉन्फ़िगर किया गया
• केवीकेके दायित्वों पर कार्मिक प्रशिक्षण पूरा हुआ
• VERBİS प्रविष्टियाँ अद्यतन और अद्यतित रखी गईं

---

अक्सर पूछे जाने वाले प्रश्न

VERBİS क्या है और क्या मेरे व्यवसाय के लिए पंजीकरण अनिवार्य है?

VERBİS (Veri Sorumluları Sicili) तुर्की की डेटा नियंत्रक रजिस्ट्री है - संगठनों का एक सार्वजनिक रजिस्टर जो व्यक्तिगत डेटा संसाधित करता है। उन डेटा नियंत्रकों के लिए पंजीकरण अनिवार्य है जो बोर्ड द्वारा निर्धारित छूट के लिए योग्य नहीं हैं। छूट वाली श्रेणियों में छोटे संगठन (50 से कम कर्मचारी और 25 मिलियन टीएल से कम वार्षिक टर्नओवर) शामिल हैं जो संवेदनशील डेटा संसाधित नहीं करते हैं। व्यावसायिक उद्देश्यों के लिए व्यक्तिगत डेटा संसाधित करने वाले अन्य सभी संगठनों को प्रसंस्करण शुरू करने से पहले पंजीकरण करना होगा। पंजीकरण में विफलता पर ₺1.96 मिलियन तक का प्रशासनिक जुर्माना लगाया जा सकता है।

केवीकेके की तुलना जीडीपीआर से कैसे की जाती है?

केवीकेके और जीडीपीआर संरचना और सिद्धांतों में समान हैं - दोनों वैध आधार, डेटा विषय अधिकार, नियंत्रक/प्रोसेसर ढांचे और डेटा सुरक्षा दायित्व स्थापित करते हैं। मुख्य अंतर: (1) केवीकेके में कम प्रसंस्करण स्थितियाँ हैं (7 बनाम जीडीपीआर 6, लेकिन केवीकेके की स्थितियाँ सार में भिन्न हैं); (2) केवीकेके सीमा पार हस्तांतरण अधिक प्रतिबंधात्मक हैं - तुर्की एक ईयू-पर्याप्त देश नहीं है, इसलिए ईयू→तुर्की और तुर्की→ईयू हस्तांतरण के लिए एससीसी या सहमति की आवश्यकता होती है; (3) VERBİS पंजीकरण का कोई प्रत्यक्ष जीडीपीआर समकक्ष नहीं है; (4) केवीकेके आपराधिक दंड अधिक व्यापक हैं; (5) केवीकेके का प्रवर्तन दृष्टिकोण अंतरराष्ट्रीय डेटा प्रवाह पर अधिक प्रतिबंधात्मक रहा है।

क्या मेरी कंपनी को तुर्की में एक स्थानीय प्रतिनिधि की आवश्यकता है?

केवीकेके के पास तुर्की प्रतिनिधि के लिए जीडीपीआर अनुच्छेद 27 के अनुरूप कोई स्पष्ट आवश्यकता नहीं है। हालाँकि, बोर्ड ने विदेशी कंपनियों के खिलाफ प्रवर्तन कार्रवाई की है, और व्यावहारिक अनुपालन - जिसमें VERBİS पंजीकरण और बोर्ड जांच का जवाब देना शामिल है - के लिए तुर्की भाषा संचार और तुर्की कानूनी प्रक्रियाओं के भीतर जवाब देने की क्षमता की आवश्यकता होती है। कई विदेशी कंपनियाँ अपने वास्तविक प्रतिनिधि के रूप में एक तुर्की कानूनी फर्म या अनुपालन भागीदार को नियुक्त करती हैं। 2024 केवीकेके संशोधनों से विदेशी नियंत्रकों के लिए प्रतिनिधि आवश्यकताओं को स्पष्ट करने की उम्मीद है।

AWS या Azure का उपयोग करने वाले तुर्की व्यवसायों के लिए सीमा पार स्थानांतरण विकल्प क्या हैं?

AWS और Azure के डेटा सेंटर तुर्की में हैं (AWS और Azure दोनों के इस्तांबुल क्षेत्र हैं)। तुर्की-क्षेत्र सेवाओं का उपयोग करने से सीमा पार स्थानांतरण संबंधी समस्याओं से बचा जा सकता है। यदि आप गैर-तुर्की क्लाउड क्षेत्रों का उपयोग करते हैं, तो आपको एक सीमा-पार स्थानांतरण तंत्र की आवश्यकता है। वर्तमान में, प्राथमिक विकल्प हैं: (1) स्पष्ट व्यक्तिगत सहमति (बड़े पैमाने पर क्लाउड उपयोग के लिए परिचालन रूप से चुनौतीपूर्ण); (2) वचन - विदेशी प्राप्तकर्ता बोर्ड द्वारा अनुमोदित डेटा की सुरक्षा के लिए एक लिखित प्रतिबद्धता प्रदान करता है (बोर्ड अनुमोदन प्रक्रिया लंबी है); (3) बोर्ड-अनुमोदित एससीसी को 2024 के संशोधनों में पेश किया गया। कई व्यवसाय सहमति-आधारित दृष्टिकोण से स्थानांतरित होने से पहले एससीसी टेम्पलेट्स पर बोर्ड के मार्गदर्शन की प्रतीक्षा कर रहे हैं।

किस प्रकार के उल्लंघनों पर सबसे अधिक केवीकेके जुर्माना लगता है?

सबसे अधिक प्रशासनिक जुर्माना (₺19.6 मिलियन तक) सीमा पार स्थानांतरण उल्लंघन के लिए है। डेटा सुरक्षा दायित्व उल्लंघन पर ₺9.8 मिलियन तक का जुर्माना लगाया जा सकता है। बोर्ड के निर्णयों का अनुपालन करने में विफलता पर उच्च जुर्माना (₺9.8 मिलियन तक) भी लगाया जाता है। व्यवहार में, बोर्ड ने सबसे बड़ा जुर्माना जारी किया है: गैरकानूनी सीमा पार स्थानांतरण (विशेष रूप से सोशल मीडिया प्लेटफार्मों के लिए), अपर्याप्त तकनीकी उपायों के परिणामस्वरूप डेटा सुरक्षा उल्लंघन, और अधिसूचना दायित्वों के साथ व्यवस्थित गैर-अनुपालन। आपराधिक प्रतिबंध (तुर्की दंड संहिता के तहत कारावास) जानबूझकर गैरकानूनी रिकॉर्डिंग या व्यक्तिगत डेटा के प्रावधान के लिए आरक्षित हैं।

---

अगले चरण

तुर्की का केवीकेके सक्रिय प्रवर्तन, विशिष्ट तकनीकी मानकों और जटिल सीमा पार हस्तांतरण नियमों के साथ एक मांग अनुपालन ढांचा है। चूंकि तुर्की कानून बोर्ड के निर्णयों और नियामक संशोधनों के माध्यम से विकसित हो रहा है, अनुपालन बनाए रखने के लिए निरंतर निगरानी की आवश्यकता होती है।

ECOSIRE KVKK अनुपालन मूल्यांकन, VERBİS पंजीकरण समर्थन, डेटा सुरक्षा नियंत्रण के तकनीकी कार्यान्वयन और सीमा पार हस्तांतरण तंत्र चयन के साथ तुर्की में काम करने वाले व्यवसायों की सहायता करता है।

आरंभ करें: ECOSIRE सेवाएँ

अस्वीकरण: यह मार्गदर्शिका केवल सूचनात्मक उद्देश्यों के लिए है और इसमें कानूनी सलाह शामिल नहीं है। तुर्की डेटा संरक्षण कानून बोर्ड के निर्णयों और विधायी संशोधनों के माध्यम से निरंतर परिवर्तन के अधीन है। अपने संगठन के लिए विशिष्ट सलाह के लिए योग्य तुर्की कानूनी सलाहकार से परामर्श लें।