Назад
12.03.2026

KVKK для малого бизнеса: персональные данные клиентов и сотрудников

Сначала неприятная новость. Если вы ведете бизнес в Турции и у вас есть клиенты, сотрудники, заявки на сайте, база телефонов или e‑mail‑рассылка - вы уже работаете с персональными данными.


А значит, на вас распространяется KVKK - турецкий закон о защите персональных данных.

И нет, это не история «для банков и IT‑гигантов». Малый бизнес там тоже прекрасно помещается.

Вы под KVKK, если у вас есть хотя бы что‑то из этого:

  • форма заявки или подписки на сайте;
  • CRM с телефонами и e‑mail клиентов;
  • база заказов из маркетплейсов;
  • сотрудники в штате или на контракте (их анкеты, паспорта, зарплаты);
  • рассылки по базе клиентов или лидов.

Если хотя бы два пункта совпали — вы уже оператор персональных данных в понимании KVKK.


Коммерческая тайна и персональные данные — это не одно и то же

Очень частая путаница. Предприниматель говорит: «У меня есть NDA, значит всё закрыто».

Нет.

Коммерческая тайна — это информация о бизнесе. Например:

  • база поставщиков;
  • себестоимость;
  • договоры с партнёрами;
  • стратегия продаж;
  • финансовые условия.

Это защищает компанию.

А вот персональные данные защищают конкретного человека. Например:

  • имя и фамилия;
  • номер телефона;
  • e‑mail;
  • паспортные данные;
  • адрес доставки;
  • IP‑адрес;
  • история покупок;
  • зарплата сотрудника.

И если эти данные у вас есть, вы уже попадаете под KVKK — вне зависимости от того, есть у вас NDA или нет.


Какие данные в e‑commerce и маркетплейсах считаются персональными

Сюрприз для многих владельцев интернет‑магазинов: практически всё.

Типичный интернет‑бизнес хранит:

  • имя клиента;
  • телефон;
  • e‑mail;
  • адрес доставки;
  • историю заказов;
  • платёжные данные;
  • cookies и IP.

Это всё персональные данные. Даже если вы торгуете через маркетплейс — Trendyol, Hepsiburada, Amazon, Etsy.

Пока данные живут внутри платформы и вы к ним не прикасаетесь — за их защиту отвечает площадка. Но как только вы:

  • выгружаете таблицу с заказами в Excel/Google Sheets;
  • передаёте контакты в CRM или WhatsApp менеджеру;
  • храните историю клиентов «для повторного контакта»,

ответственность уже ваша.

Платформа вас не спасёт.


Любимая схема малого бизнеса: «всё в Google‑таблице»

Картина знакомая. У предпринимателя есть Google‑таблица, доступ у менеджера, у бухгалтера, у бывшего сотрудника, у подрядчика «на всякий случай», а ссылка гуляет по чатам: «у кого была, тот и пользуется».

Внутри:

  • телефоны клиентов;
  • адреса доставки;
  • заказы;
  • иногда даже сканы паспортов.

И всё это — без политики хранения, без разграничения доступа и без уведомлений клиенту, что его данные вообще где‑то лежат.

С точки зрения KVKK это называется очень просто: неконтролируемая обработка персональных данных.


Минимальный набор документов по KVKK для малого бизнеса

Не нужно сразу строить юридическую крепость. Но базовый комплект должен быть — даже если у вас один сайт и одна таблица.

Если сильно упростить до «чек‑листа для живого бизнеса», то нужен не чемодан бумаг, а несколько рабочих документов.

1. Политика конфиденциальности для сайта и онлайн‑форм

Это отдельная страница, ссылка на которую живёт в футере и рядом с формами заявки, подписки, записи на услугу.

В ней простым языком объясняется:

  • какие данные вы собираете;
  • зачем;
  • на каком основании;
  • сколько храните;
  • кому передаёте (например, платёжным системам, службам доставки).

2. Тексты согласия на обработку персональных данных

Те самые фразы под чекбоксом: «Я согласен(а) на обработку персональных данных…».

Важно, чтобы это были не три экрана юридического текста, а понятные 2–3 предложения, которые реально можно прочитать прежде, чем нажать «Отправить». И чтобы человек видел:

  • кто обрабатывает его данные;
  • для каких целей;
  • как можно отозвать согласие.

3. Уведомление об обработке данных (Aydınlatma Metni)

В турецком праве это отдельный документ — Aydınlatma Metni.

По сути, это «паспорт» ваших процессов обработки данных:

  • кто вы (название компании, контакты);
  • какие данные собираете;
  • на каком правовом основании (согласие, договор, закон и т.д.);
  • кому передаёте (курьерские службы, бухгалтера, внешние подрядчики);
  • как долго храните;
  • какие права есть у человека (доступ, исправление, удаление, жалоба).

На практике это либо PDF, либо отдельная страница, куда ведёт ссылка «Уведомление KVKK» рядом с формой или в политике конфиденциальности.

4. Внутренний регламент работы с данными

Не обязательно в виде «идеального положения о защите информации». Важно, чтобы внутри компании был документ, где по шагам описано:

  • кто имеет доступ к данным клиентов и сотрудников;
  • где конкретно данные хранятся (Google‑таблица, CRM, «1С», облако);
  • как выдаётся доступ новым людям;
  • как доступ закрывается при увольнении сотрудника или завершении проекта с подрядчиком;
  • в каких случаях данные удаляются или обезличиваются.

Этот документ нужен не ради галочки — без него при росте команды начинаются хаос и «открытые таблицы для всех».

5. Реестр обработок данных

Это может быть обычная таблица в Google Sheets. В строках — все ваши «процессы обработки данных»:

  • лиды с сайта;
  • заказы из маркетплейсов;
  • рассылка по базе клиентов;
  • учёт зарплаты сотрудников;
  • заявки на работу (HR).

Для каждого процесса вы описываете:

  • какие данные собираете;
  • откуда они приходят;
  • кому передаёте;
  • сколько храните;
  • кто отвечает.

Такой реестр — первое, что смотрит консультант и один из первых запросов регулятора.

Если этих пяти элементов нет, бизнес по факту работает «на честном слове». Формально вы всё равно являетесь оператором персональных данных — просто без документов, которые это подтверждают и защищают.


Где чаще всего ломается малый бизнес

Самые частые проблемы в реальной жизни:

  • база клиентов лежит «для всех, у кого есть ссылка»;
  • бывшие сотрудники сохраняют копии таблиц и выгрузок;
  • данные передаются подрядчикам без договора и без ограничений по использованию;
  • нет ни одного документа по KVKK — ни политики, ни уведомления, ни согласий;
  • клиент вообще не знает, что его данные хранятся и как их можно удалить;
  • нет понятного механизма «удалить по запросу» или отозвать согласие.

Пока всё спокойно — об этом никто не вспоминает. Но как только возникает конфликт с клиентом или сотрудником, эта зона риска всплывает первой.


Что грозит за нарушения KVKK

Обычно предприниматель машет рукой: «Ну кто будет проверять мой интернет‑магазин?».

На практике всё чаще история выглядит так:

  1. клиент не может отписаться от рассылки или видит утечку в общем чате;
  2. обиженный сотрудник жалуется, что его данные разошлись «кому попало»;
  3. у человека есть право подать жалобу в KVKK Kurumu.

После жалобы регулятора не сильно интересует ваш оборот. Смотрят на то, как вы обращаетесь с данными.

Типовые последствия:

  • Предписание устранить нарушения в срок.Например, сделать уведомление KVKK на сайте, убрать лишние поля из формы, ограничить доступ к таблице с данными. Если вовремя исполнить, можно обойтись без серьёзных финансовых потерь.
  • Административные штрафы.Диапазон — от десятков до сотен тысяч лир в зависимости от нарушения и масштаба. Отдельные штрафы могут быть:
    • за отсутствие уведомления (Aydınlatma Metni);
    • за отсутствие согласия;
    • за передачу данных третьим лицам без правового основания;
    • за утечку из‑за отсутствия базовых мер защиты.
  • Репутационные потери.Даже если сумма штрафа для малого бизнеса не фатальна, публикация решения на сайте регулятора и пост в соцсетях пострадавшего клиента могут стоить дороже. Особенно если вы работаете в B2B и полагаетесь на доверие партнёров.

Важно: KVKK не предполагает «иммунитета для малого бизнеса». Для закона нет разницы, вы банк или небольшой интернет‑магазин с тремя людьми в штате — если вы собираете и храните персональные данные, к вам применяются те же базовые требования.


Простая мысль, которую многие упускают

Персональные данные — это не бумажная формальность. Это вопрос ответственности бизнеса.

Если у вас есть клиенты и сотрудники, значит у вас есть и их данные. А значит, правила обработки и хранения должны быть понятны:

  • внутри команды;
  • самим людям, чьи данные вы держите;
  • и, в идеале, регулятору, если вдруг до него дойдёт дело.

Даже если бизнес маленький. Даже если таблица всего одна. Для закона размер таблицы значения не имеет. Важны три вещи: что вы собираете, как храните и сможете ли это объяснить человеку и регулятору человеческим языком.

Если хотите понять, какие именно документы и процессы нужны под ваш бизнес в Турции — от интернет‑магазина до офлайновой точки — проще всего начать с короткого KVKK‑аудита и плана на 1–2 страницы. Оставьте заявку, и мы разберём вашу ситуацию по шагам на понятном языке.

Информация на сайте не является юридической консультацией и носит ознакомительный характер. Для получения актуальных сведений обращайтесь за консультацией к специалисту.

Связаться
или
+90 505 103 83 50