土耳其 KVKK：个人数据保护合规性

土耳其的 Kişisel Verilerin Korunması Kanunu（KVKK — 个人数据保护法第 6698 号）于 2016 年 4 月 7 日生效，使土耳其成为欧盟以外首批颁布符合 GDPR 的全面数据保护立法的国家之一。随着土耳其不断增长的数字经济、庞大的人口（8500 万）及其作为服务欧洲和中东市场的企业中心的作用，KVKK 合规性已成为国际组织日益重要的考虑因素。

KVKK 由个人数据保护机构（Kişisel Verileri Koruma Kurumu — KVKK 机构或 KVK Kurumu）管理，并由个人数据保护委员会 (Kişisel Verileri Koruma Kurulu) 执行。该委员会积极发布指导意见，调查投诉，并处以巨额罚款——截至 2025 年，每项违规行为的罚款最高可达 1,980 万英镑（62 万美元）。

要点

• KVKK 适用于处理土耳其个人数据的自然人和法人，无论控制者设立在何处
• 一般个人数据存在七种处理条件；八个用于敏感个人数据
• 敏感个人数据包括种族、民族、政治观点、哲学信仰、宗教、教派、工会成员身份、健康、性生活、刑事定罪、生物识别和遗传数据
• 数据主体拥有八项权利，包括访问、更正、删除和反对自动决策
• 跨境数据传输需要董事会的充分性确定或明确同意
• 对于满足特定阈值的控制者，必须进行 VERBıS 注册（数据控制者注册）
• 必须在 72 小时内向董事会发出数据泄露通知，不得无故拖延，严重泄露
• 最高 1,980 万英镑的行政罚款；土耳其刑法规定的刑事责任

---

KVKK 框架和领土范围

适用性

KVKK 适用于：

• 完全或部分通过自动化方式处理个人数据的自然人和法人
• 如果数据是归档系统的一部分，则通过非自动化方式处理个人数据的自然人和法人**

域外影响：KVKK 并未以与 GDPR 第 3 条相同的明确条款明确规定域外适用。不过，理事会已采取的立场是，KVKK 适用于在土耳其处理个人数据的海外数据控制者——这反映在针对 Facebook/Meta 和其他国际公司的执法行动中。土耳其境外向土耳其个人提供商品/服务或处理土耳其个人数据的控制者应评估 KVKK 义务。

豁免：KVKK 不适用于：

• 自然人出于纯粹个人活动而处理个人数据
• 出于刑事调查和起诉目的处理个人数据
• 出于统计目的处理匿名个人数据
• 艺术和文学加工
• 出于新闻、学术、艺术或文学目的进行处理（有限制）
• 国防、安全和公共安全范围内的处理

---

加工条件

第 5 条规定了处理个人数据的条件。 必须满足至少一个条件：

1. 数据主体的明确同意
2. 法律明确规定 — 法律明确要求或允许的处理
3. 保护生命或身体完整性 - 数据主体或第三方无法表示同意的情况
4. 合同必要性 — 签订或履行合同所需的处理
5. 法律义务 — 数据控制者履行法律义务
6. 数据主体已公开数据 — 该人已披露数据
7. 权利的确立、行使或保护——法律诉讼所必需的

敏感个人数据条件（第 6 条）：敏感个人数据只能在以下情况下处理：

1. 经数据主体明确同意
2. 未经同意，仅针对特定类别：

• 健康和性生活数据：仅由卫生部门人员或根据其保密义务，用于保护公共卫生、预防医学、医疗诊断、护理/治疗服务以及卫生服务的规划和管理
• 其他敏感数据（种族、族裔、宗教、工会会员身份等）：法律明确规定允许的处理

敏感个人数据包括：种族、族裔、政治观点、哲学信仰、宗教、教派或其他信仰、服装、工会会员资格、健康、性生活、刑事定罪和安全措施以及生物识别和遗传数据。

---

数据主体权利

第 11 条授予数据主体以下权利——必须在 30 天内免费回复请求：

行使权利：数据主体提交书面请求（或通过控制者指定的方法）。控制者必须在 30 天内做出回应。如果请求被拒绝，数据主体可以在 30 天内向委员会投诉。

---

动词注册

第 16 条要求数据控制者在开始处理个人数据之前在数据控制者注册处 (VERBıS — Veri Sorumluları Sicili) 进行注册。注册要求：

• 控制者身份和联系信息
• 处理目的
• 传输的数据组和接收者
• 转让目的
• 处理的数据类别
• 采取的安全措施
• 保留期限

VERBıS 注册豁免（由董事会决定决定）：

• 年度员工人数少于 50 人且年度财务报表不超过 2500 万土耳其里拉
• 仅为数据主体自身利益进行处理
• 出于有限目的进行处理，不处理敏感数据

重要：即使免除 VERBıS 注册，所有其他 KVKK 义务也适用。 VERBıS 豁免仅消除了注册要求。

海外数据控制者：委员会已确定，受 KVKK 约束的海外数据控制者如果不属于豁免类别，也必须在 VERBıS 中注册。

---

数据控制者的义务

隐私声明

数据控制者必须在收集以下信息时或之前通知数据主体：

• 控制者和代表的身份（如果适用）
• 处理目的
• 个人数据的接收者和传输目的
• 数据收集方法和法律依据
• 第 11 条规定的数据主体权利

语言：必须使用土耳其语才能为土耳其个人提供服务。

数据控制者代表

虽然 KVKK 没有像 GDPR 第 27 条那样明确要求海外控制者有土耳其代表，但委员会的执法实践表明，海外控制者应在土耳其指定一个联络点。预计 2024 年董事会关于跨境转移的法规将正式规定这一要求。

数据最小化和目的限制

第 4 条确立了核心数据处理原则：

• 遵守法律、诚信
• 准确性和最新性
• 出于特定、明确且合法的目的进行处理
• 与目的的相关性、限制性和相称性
• 法律规定或目的要求的保留期限

安全措施（第12条）

数据控制者必须采取一切必要的技术和管理措施来防止：

• 非法处理个人数据
• 非法访问个人数据
• 个人数据丢失、毁坏或更改

委员会发布了具体的技术指南。主要要求包括：

• 敏感个人数据在存储和传输过程中的加密
• 访问控制和身份验证管理
• 审计日志记录
• 渗透测试（至少每年一次）
• 人员培训

---

跨境数据传输

第 9 条和第 9/A 条管辖国际数据传输。主要限制：

一般禁止：未经数据主体明确同意，个人数据不得转移到国外，除非满足以下条件之一：

1. 充分的保护：目的地国家已由董事会确定，以提供充分的保护；并且满足加工条件之一

2. 承诺：海外收款人提供书面承诺，将提供充分的保护；且董事会已批准转让

3. 标准合同条款：2024 年 KVKK 修正案引入了以 GDPR 方法为蓝本的 SCC — 向不充分的国家/地区的传输可以使用理事会批准的标准合同条款

4. 具有约束力的公司规则：批准的集团内转让 BCR

5. 特殊转让：无法获得明确同意且因以下原因需要转让的情况：法律诉讼、切身利益、行使权利、履行公务

具有充分性判定的国家：理事会保留一份清单；截至 2026 年初，它已批准了有限数量的国家。欧盟与土耳其没有互惠充足性安排（尽管 KVKK 与 GDPR 保持一致），这意味着欧盟→土耳其和土耳其→欧盟转移需要 SCC 或明确同意。

云服务的实际情况：许多在土耳其运营的企业都使用在土耳其境外托管的云服务。根据目前的 KVKK 要求，他们必须获得每个个人数据向国外传输的明确同意，或者为传输安排实施 SCC/BCR。

---

违规通知

KVKK 在原法律中没有规定明确的违规通知时间表。然而，董事会决定和实施指南规定：

• 通知董事会：不得无故拖延，最迟在发现个人数据泄露后 72 小时内
• 通知数据主体：如果违规行为可能影响数据主体的权利 - 不得无故拖延
• 使用 kvkk.gov.tr 门户网站上提供的委员会通知表

通知内容：

• 违规的性质和受影响个人的类别/大致数量
• 受影响记录的类别和大致数量
• 数据保护联系人的联系方式
• 违规可能造成的后果
• 已采取或提议的措施

---

董事会执法和处罚

个人数据保护委员会 (Kişisel Verileri Koruma Kurulu) 有七名成员，由土耳其总统任命。它有权：

• 调查投诉
• 依职权进行调查
• 发出具有约束力的决定
• 处以行政罚款
• 发出合规命令

行政罚款（每年更新）：

刑事处罚：根据土耳其刑法第 135-140 条，非法记录、向第三方提供、销毁或使用个人数据可能会导致 1-4 年监禁。滥用敏感数据会增加处罚。

值得注意的执法行动：董事会已发布重大决定，包括对以下公司处以罚款：WhatsApp（因通过隐私政策变更进行非法跨境转移而被处以 195 万英镑）、Trendyol（因数据安全缺陷而采取多项行动）、Meta/Facebook（因 WhatsApp 数据共享而被处以 300 万英镑）以及多家土耳其银行和电信运营商。

---

KVKK 合规检查表

• KVKK 适用性已确定（土耳其业务或处理的土耳其个人数据）
• VERBıS 注册已完成或豁免已确认
• 完成个人数据清查，包括敏感数据识别
• 记录每项活动的加工条件
• 记录敏感数据处理条件（明确同意或特定豁免）
• 以土耳其语编写的隐私声明，包含所有必需元素
• 记录数据主体权利程序（30 天响应）
• 跨境转移评估已完成 - 机制已到位（SCC、同意或充分性）
• 实施的安全措施：加密、访问控制、审核日志记录
• 进行渗透测试并记录结果
• 记录违规通知程序（72 小时董事会通知）
• 记录保留计划并配置自动删除
• KVKK 义务人员培训已完成
• 动词条目保持最新状态

---

常见问题

什么是 VERBıS？我的企业必须注册吗？

VERBıS (Veri Sorumluları Sicili) 是土耳其的数据控制者注册机构——处理个人数据的组织的公共注册机构。对于不符合委员会确定的豁免资格的数据控制者，必须进行注册。豁免类别包括不处理敏感数据的小型组织（员工人数少于 50 名，年营业额少于 2500 万里拉）。所有其他出于商业目的处理个人数据的组织都必须在开始处理之前进行注册。未登记将被处以最高 196 万英镑的行政罚款。

KVKK 与 GDPR 相比如何？

KVKK 和 GDPR 在结构和原则上相似——都建立了法律基础、数据主体权利、控制者/处理者框架和数据安全义务。主要区别：（1）KVKK 的处理条件较少（7 个而 GDPR 为 6 个，但 KVKK 的条件在实质上有所不同）； （2）KVKK跨境转移限制较多——土耳其不是欧盟合格国家，因此欧盟→土耳其和土耳其→欧盟转移需要SCC或同意； (3) VERBıS 注册没有直接的 GDPR 等效项； （4）KVKK刑事处罚范围更广； (5) KVKK 的执法方式对国际数据流的限制更加严格。

我的公司需要土耳其当地代表吗？

KVKK 对于土耳其代表没有类似于 GDPR 第 27 条的明确要求。然而，董事会已对海外公司采取执法行动，而实际合规性（包括 VERBıS 注册和回应董事会调查）需要土耳其语沟通以及在土耳其法律程序内做出回应的能力。许多海外公司指定土耳其律师事务所或合规合作伙伴作为其事实上的代表。 2024 年 KVKK 修正案预计将明确海外控制人的代表要求。

使用 AWS 或 Azure 的土耳其企业有哪些跨境传输选项？

AWS 和 Azure 在土耳其设有数据中心（AWS 和 Azure 均设有伊斯坦布尔区域）。使用土耳其地区的服务可以避免跨境转账问题。如果您使用非土耳其云区域，则需要跨境传输机制。目前，主要的选择是：（1）明确的个人同意（大规模云使用在操作上具有挑战性）； （2）承诺——境外接收者提供保护数据的书面承诺，并经董事会批准（董事会批准流程较长）； (3) 2024 年修正案中引入的董事会批准的 SCC。许多企业正在等待董事会对 SCC 模板的指导，然后再从基于同意的方法迁移。

哪些类型的违规行为会导致 KVKK 罚款最高？

最高的行政罚款（高达 1,960 万英镑）是针对跨境转账违规行为。违反数据安全义务的行为将面临高达 980 万英镑的罚款。不遵守董事会的决定还会招致高额罚款（高达 980 万英镑）。在实践中，委员会对以下行为发出了最高额的罚款：非法跨境传输（特别是社交媒体平台）、技术措施不足导致的数据安全漏洞以及系统性不遵守通知义务。刑事制裁（土耳其刑法典规定的监禁）仅适用于故意非法记录或提供个人数据。

---

后续步骤

土耳其的 KVKK 是一个要求严格的合规框架，具有积极的执行、具体的技术标准和复杂的跨境传输规则。随着土耳其立法通过董事会决定和监管修正案不断发展，保持合规性需要持续监控。

ECOSIRE 协助在土耳其运营的企业进行 KVKK 合规评估、VERBıS 注册支持、数据保护控制的技术实施以及跨境传输机制选择。

开始使用：ECOSIRE 服务

免责声明：本指南仅供参考，不构成法律建议。土耳其数据保护法会通过董事会决定和立法修正案不断发生变化。请咨询合格的土耳其法律顾问，获取针对您的组织的具体建议。