信息技术与人工智能法
土耳其KVKK下的数据泄露通知义务:实务指南
发布于 2026年6月12日·8 分钟阅读
律师 Mona Hukuk 编辑团队 - 安塔利亚 · 安塔利亚律师协会
勒索软件攻击导致服务器瘫痪、员工误将客户数据库发送至错误邮箱、第三方供应商遭受入侵致使客户记录外泄——根据土耳其《个人数据保护法》(KVKK,第6698号法律,Kişisel Verilerin Korunması Kanunu),上述每种情形均可能在严格时限内触发强制通知义务。正确履行这些义务至关重要:迟延或不完整通知可能招致巨额行政处罚及声誉损失,其代价远超事先充分准备所需的成本。
法律依据:KVKK第12条
KVKK第12条(Madde 12)确立了数据控制者(veri sorumlusu)的核心数据安全义务。该条款明确列举三项义务:防止个人数据被非法处理(işleme)、防止个人数据被非法访问(erişim)以及确保个人数据得到妥善保护(muhafaza)。数据控制者须采取与适当安全级别相称的一切必要技术及行政措施。
第12条第5款规定了通知义务的触发条件:当所处理的个人数据被他人以非法手段获取时,数据控制者须尽快向受影响个人及个人数据保护委员会(KVK Kurulu,以下简称"委员会")进行通知。
72小时通知时限
委员会第2019/10号决定(Kurul Kararı No. 2019/10)赋予"尽快"标准以实际内容。数据控制者须在得知数据泄露之时起72小时内向委员会提交通知。若无法在该时限内完成通知,须同步说明迟延原因。向受影响个人的通知须在无不当迟延的情况下跟进,并结合泄露的严重程度合理安排。
向委员会提交通知的必备内容
向委员会提交的通知须通过委员会官方网站上的电子系统提交,并须涵盖以下内容:
- 数据泄露的日期和时间(如已知)
- 受影响个人人数及所涉数据类别
- 数据泄露可能造成的后果
- 已采取或计划采取的应对措施
- 数据保护官员(Veri Koruma Görevlisi)联系方式(如适用)
- 迟延通知的原因(如有)
在可获取的情况下,应附上佐证材料,包括日志记录、事件报告及取证调查结论等。
向受影响个人发出通知
当数据泄露可能对受影响个人的权利和自由构成高风险时,须向其发出通知。通知须清晰说明事件经过、所涉数据内容、已采取的措施,以及个人如何联系数据控制者和委员会。在向个人发出通知存在实际困难的情况下(例如,联系方式未知或受影响人数极多),以公开公告作为替代方式亦属可接受。
数据泄露应对实务清单
- 控制事态(ihlali sınırla)。 隔离受影响系统、撤销已泄露凭证、阻止数据进一步外泄。
- 留存完整记录(belgelendir)。 记录受影响数据的内容、涉及人数及泄露发生的经过。
- 评估风险(risk değerlendirmesi)。 判断数据泄露是否对个人构成高风险——这是决定是否履行通知义务的关键依据。
- 启动72小时计时。 自得知数据泄露之时起,倒计时即刻开始。应立即寻求法律顾问介入。
- 向委员会提交通知(Kurul'a bildir)。 提交包含一切现有信息的通知表格,并注明待补充的缺口信息。
- 向个人发出通知(ilgililere bildir)。 根据风险程度及现有沟通渠道,量身拟定通知内容。
- 保存记录(kayıtları sakla)。 对每一步骤进行记录——委员会保有审计权。
行政处罚
根据KVKK第18条(Madde 18),未履行数据安全义务最高可被处以两百万土耳其里拉(Türk Lirası)的罚款(该金额每年随重新评估调整而上浮)。违反通知义务构成独立违规行为,可被额外课处独立罚款。罚款金额每年依据土耳其税务局(Gelir İdaresi Başkanlığı)公布的重新评估率进行更新。
常见问题解答
是否所有数据泄露均须向委员会提交通知? 否。通知义务的触发以对受影响个人产生风险为前提。低风险事件应在内部留存记录,但未必需要对外通知——该风险评估本身亦须以书面形式记录在案。
向委员会提交通知时是否须备齐全部信息? 否。委员会接受分阶段通知。可先提交现有信息,随着调查推进再予以补充。
KVKK是否适用于处理土耳其居民数据的境外企业? 适用。若您在向土耳其境内个人提供商品或服务的过程中处理其个人数据,则无论贵公司注册地点在何处,均须遵守KVKK相关义务。
数据泄露是否可能引发刑事责任? 是。未经授权披露或访问个人数据,除承担KVKK行政处罚外,还可能依据《土耳其刑法典》(Türk Ceza Kanunu)第136条承担相应刑事责任。
涉及跨境数据传输的数据泄露是否存在额外义务? 是。影响已向境外传输数据的泄露事件须依据KVKK第9条(Madde 9)进行专项评估,并可能需要在多个司法管辖区履行通知义务。
Mona Hukuk 如何为您提供支持
数据泄露发生时,分秒必争。Mona Hukuk 协助企业提前制定泄露应对预案;一旦事件发生,我们将处理向委员会的通知事宜、起草个人通知内容,并在委员会调查程序中提供法律代理服务。
请发送电子邮件至 contact@monahukuk.com 或拨打 +90 (242) 606 14 32 安排安塔利亚咨询。
Türk Hukuku'ndaki gelişmeleri haftalık özet olarak almak ister misiniz?
Resmî Gazete duyuruları, yargı kararları ve mevzuat değişikliklerini haftalık olarak e-postanıza gönderiyoruz. Ücretsiz; istediğiniz an iptal edebilirsiniz.