土耳其KVKK合规指南：个人数据保护义务详解

《个人数据保护法》（Kişisel Verilerin Korunması Kanunu，KVKK）是土耳其规范个人数据处理活动的基本法律。KVKK与欧盟《通用数据保护条例》（GDPR）在很大程度上具有平行规定，对每一个处理客户数据、员工数据或业务伙伴数据的组织均创设了合规义务。对于安塔利亚地区从事旅游、医疗卫生、房地产、教育及科技行业的企业而言，KVKK不仅是普通立法，更是一个涉及财务、法律与声誉风险的重要合规议题。本指南涵盖KVKK合规基础知识及企业应采取的具体步骤。

KVKK的适用范围

KVKK适用于处理个人数据（kişisel veri）的所有自然人和法人。个人数据是指与已识别或可识别自然人相关的任何信息，包括：

• 姓名、姓氏，
• 土耳其国民身份证号码/外国人身份证号码，
• 电子邮件、电话，
• IP地址，
• 位置信息，
• 健康数据，
• 性取向，
• 生物特征数据，
• 员工绩效信息，
• 客户偏好，
• Cookie信息。

对于特殊类别个人数据（özel nitelikli kişisel veri，涵盖健康、族裔来源、宗教信仰、生物特征等）适用更为严格的保护规则。

数据控制者与数据处理者

KVKK定义了两种基本角色：

• 数据控制者（Veri Sorumlusu）：决定数据处理目的和方式的个人/组织，负责建立和管理数据注册系统。
• 数据处理者（Veri İşleyen）：依据数据控制者授权、代表数据控制者处理数据的个人/组织。

企业通常为数据控制者；其使用的云服务提供商或CRM软件为数据处理者。

核心合规义务

一、告知义务（Aydınlatma Yükümlülüğü）

数据控制者须就以下事项向被处理个人数据的数据主体进行告知：

• 数据控制者身份，
• 数据处理目的，
• 数据可能被传输的对象，
• 数据收集方式及法律依据，
• 数据主体的权利（查阅、删除、更正等）。

此类告知通常以隐私告知（Aydınlatma Metni）或隐私政策（Gizlilik Politikası）的形式在网站上公布，并在申请、签订合同或采购服务时向数据主体出示。

二、明确同意（Açık Rıza）

对于特定数据处理活动，须取得数据主体的明确同意。明确同意须满足以下条件：

• 须针对特定事项，
• 须建立在充分信息基础之上，
• 须系自由给予，
• 须可撤回。

告知与明确同意不应混淆。告知在任何情况下均为必要；明确同意仅在特定交易中才予以寻求。

三、VERBİS注册（VERBİS Kaydı）

达到一定规模的数据控制者须在数据控制者注册信息系统（Veri Sorumluları Sicil Bilgi Sistemi，VERBİS）进行注册。VERBİS是一个可公开查询的注册系统，记录以下信息：

• 处理的数据类型，
• 针对何人进行处理，
• 处理目的，
• 保存期限，
• 数据共享对象。

对于有义务注册但未注册、或VERBİS记录不完整的数据控制者，将予以行政处罚。

四、个人数据存储与销毁政策（Saklama ve İmha Politikası）

须在VERBİS注册的数据控制者必须制定个人数据存储与销毁政策。该政策须：

• 包含个人数据清单，
• 规定各类数据的保存期限，
• 说明存储期届满后的销毁或匿名化方式，
• 描述定期审查机制。

五、数据安全措施（Veri Güvenliği Tedbirleri）

数据控制者负有以下义务：

• 采取行政与技术措施防止未授权访问，
• 实施加密（şifreleme）、访问控制（erişim kontrolü）、备份（yedekleme），
• 与员工签订保密协议，
• 制定数据泄露应对预案。

六、数据泄露通知（Veri İhlali Bildirimi）

发生数据泄露（网络攻击、数据外泄等）时，数据控制者须：

• 在尽可能短的时间内向个人数据保护局（KVKK Kurumu）报告，
• 通知受影响的数据主体。

逾期通知和逾期应对将就每次泄露事件追加额外处罚。

七、响应数据主体申请（Başvuruların Yanıtlanması）

数据主体享有以下权利：

• 了解其数据是否被处理，
• 获取已处理数据的相关信息，
• 申请更正或删除，
• 就自动化系统分析产生的不利后果提出异议。

数据控制者须在规定期限内对上述申请作出回应。

跨境数据传输（Yurt Dışına Veri Aktarımı）

在土耳其境内处理的个人数据向境外传输，一般受到限制。可适用的机制包括：数据主体的明确同意、土耳其个人数据保护局认定为提供充分保护（yeterli koruma）的国家名单，或约束性公司规则（bağlayıcı şirket kuralları）。

通过云服务、电子邮件服务或向境外组织传输客户数据均属此范畴；不合规将面临严重处罚。

行政处罚（İdari Yaptırımlar）

对于违反KVKK的行为，个人数据保护局有权施加行政罚款（idari para cezası）。罚款金额因以下因素而有所不同：

• 违规类型，
• 泄露影响人数，
• 数据控制者规模，
• 违规重复情况，

处罚金额可达相当高的水平。个人数据保护局公开发布的决定可供公众查阅，对企业造成声誉损害。

企业合规实操步骤

KVKK合规的典型路径如下：

1. 建立数据清单（veri envanteri）——梳理企业内部所有数据流。
2. 准备隐私告知书与隐私政策。
3. 设计明确同意流程——涵盖营销、员工、客户等场景。
4. 制定存储与销毁政策。
5. 完成VERBİS注册。
6. 员工培训。
7. 更新合同——尤其是与数据处理者（CRM、云服务、IT服务商）合同中的KVKK条款。
8. 建立数据泄露应对预案。
9. 定期审查并根据需要更新。

行业专项议题

旅游业

酒店和旅行社处理大量个人数据：护照信息、健康申报、支付数据。银行卡信息的跨境传输和存储尤为重要。

医疗卫生行业

患者数据属于特殊类别数据（özel nitelikli veri），适用更为严格的规则。

电子商务

Cookie政策、用户分析工具及定向广告工具须在KVKK框架下进行审慎评估。

房地产

客户身份信息、财务数据、产权证明文件须长期保存。

法律支持

为助力安塔利亚地区企业实现KVKK合规，MONA HUKUK提供从数据清单建立到VERBİS注册、从隐私告知书起草到员工培训的全方位合规服务。凭借我们在信息技术法律领域的专业经验，我们确保贵企业同时符合土耳其法律法规及国际标准的要求。

请发送电子邮件至 contact@monahukuk.com 或拨打 +90 (242) 606 14 32 安排安塔利亚咨询。