Сначала неприятная новость. Если вы ведете бизнес в Турции и у вас есть клиенты, сотрудники, заявки на сайте, база телефонов или e‑mail‑рассылка - вы уже работаете с персональными данными.
А значит, на вас распространяется KVKK - турецкий закон о защите персональных данных.
Вы под KVKK, если у вас есть хотя бы что‑то из этого:
Если хотя бы два пункта совпали — вы уже оператор персональных данных в понимании KVKK.
Очень частая путаница. Предприниматель говорит: «У меня есть NDA, значит всё закрыто».
Нет.
Коммерческая тайна — это информация о бизнесе. Например:
Это защищает компанию.
А вот персональные данные защищают конкретного человека. Например:
И если эти данные у вас есть, вы уже попадаете под KVKK — вне зависимости от того, есть у вас NDA или нет.
Сюрприз для многих владельцев интернет‑магазинов: практически всё.
Типичный интернет‑бизнес хранит:
Это всё персональные данные. Даже если вы торгуете через маркетплейс — Trendyol, Hepsiburada, Amazon, Etsy.
Пока данные живут внутри платформы и вы к ним не прикасаетесь — за их защиту отвечает площадка. Но как только вы:
ответственность уже ваша.
Платформа вас не спасёт.
Картина знакомая. У предпринимателя есть Google‑таблица, доступ у менеджера, у бухгалтера, у бывшего сотрудника, у подрядчика «на всякий случай», а ссылка гуляет по чатам: «у кого была, тот и пользуется».
Внутри:
И всё это — без политики хранения, без разграничения доступа и без уведомлений клиенту, что его данные вообще где‑то лежат.
С точки зрения KVKK это называется очень просто: неконтролируемая обработка персональных данных.
Не нужно сразу строить юридическую крепость. Но базовый комплект должен быть — даже если у вас один сайт и одна таблица.
Если сильно упростить до «чек‑листа для живого бизнеса», то нужен не чемодан бумаг, а несколько рабочих документов.
1. Политика конфиденциальности для сайта и онлайн‑форм
Это отдельная страница, ссылка на которую живёт в футере и рядом с формами заявки, подписки, записи на услугу.
В ней простым языком объясняется:
2. Тексты согласия на обработку персональных данных
Те самые фразы под чекбоксом: «Я согласен(а) на обработку персональных данных…».
Важно, чтобы это были не три экрана юридического текста, а понятные 2–3 предложения, которые реально можно прочитать прежде, чем нажать «Отправить». И чтобы человек видел:
3. Уведомление об обработке данных (Aydınlatma Metni)
В турецком праве это отдельный документ — Aydınlatma Metni.
По сути, это «паспорт» ваших процессов обработки данных:
На практике это либо PDF, либо отдельная страница, куда ведёт ссылка «Уведомление KVKK» рядом с формой или в политике конфиденциальности.
4. Внутренний регламент работы с данными
Не обязательно в виде «идеального положения о защите информации». Важно, чтобы внутри компании был документ, где по шагам описано:
Этот документ нужен не ради галочки — без него при росте команды начинаются хаос и «открытые таблицы для всех».
5. Реестр обработок данных
Это может быть обычная таблица в Google Sheets. В строках — все ваши «процессы обработки данных»:
Для каждого процесса вы описываете:
Такой реестр — первое, что смотрит консультант и один из первых запросов регулятора.
Если этих пяти элементов нет, бизнес по факту работает «на честном слове». Формально вы всё равно являетесь оператором персональных данных — просто без документов, которые это подтверждают и защищают.
Самые частые проблемы в реальной жизни:
Пока всё спокойно — об этом никто не вспоминает. Но как только возникает конфликт с клиентом или сотрудником, эта зона риска всплывает первой.
Обычно предприниматель машет рукой: «Ну кто будет проверять мой интернет‑магазин?».
На практике всё чаще история выглядит так:
После жалобы регулятора не сильно интересует ваш оборот. Смотрят на то, как вы обращаетесь с данными.
Типовые последствия:
Важно: KVKK не предполагает «иммунитета для малого бизнеса». Для закона нет разницы, вы банк или небольшой интернет‑магазин с тремя людьми в штате — если вы собираете и храните персональные данные, к вам применяются те же базовые требования.
Персональные данные — это не бумажная формальность. Это вопрос ответственности бизнеса.
Если у вас есть клиенты и сотрудники, значит у вас есть и их данные. А значит, правила обработки и хранения должны быть понятны:
Даже если бизнес маленький. Даже если таблица всего одна. Для закона размер таблицы значения не имеет. Важны три вещи: что вы собираете, как храните и сможете ли это объяснить человеку и регулятору человеческим языком.
Если хотите понять, какие именно документы и процессы нужны под ваш бизнес в Турции — от интернет‑магазина до офлайновой точки — проще всего начать с короткого KVKK‑аудита и плана на 1–2 страницы. Оставьте заявку, и мы разберём вашу ситуацию по шагам на понятном языке.
Информация на сайте не является юридической консультацией и носит ознакомительный характер. Для получения актуальных сведений обращайтесь за консультацией к специалисту.