:quality(80):fill(transparent)){kind=spacer}
:quality(80):fill(transparent)){kind=spacer}
:quality(80):fill(transparent)){kind=spacer}
:quality(80):fill(transparent)){kind=spacer}
:quality(80):fill(transparent)){kind=spacer}
:quality(80):fill(transparent)){kind=spacer}
:quality(80):fill(transparent)){kind=spacer}
:quality(80):fill(transparent)){kind=spacer}
:quality(80):fill(transparent)){kind=spacer}
:quality(80):fill(transparent)){kind=spacer}
:quality(80):fill(transparent)){kind=spacer}
:quality(80):fill(transparent)){kind=small}
:quality(80):fill(transparent)){kind=spacer}
:quality(80):fill(transparent)){kind=spacer}
:quality(80):fill(transparent)){kind=spacer}
:quality(80):fill(transparent)){kind=spacer}
:quality(80):fill(transparent)){kind=spacer}
:quality(80):fill(transparent)){kind=spacer}
:quality(80):fill(transparent)){kind=spacer}
トルコKVKK
The Turkish Data Protection Law (KVKK), officially Law No. 6698 on the Protection of Personal Data, came into force in 2016 to align Turkey’s data protection framework with international standards, particularly the EU’s GDPR. Its primary aim is to safeguard the fundamental rights and freedoms of individuals, especially the right to privacy, by regulating the processing of personal data.
A key obligation under KVKK is the requirement to register with the Data Controllers Registry Information System, known as VERBIS. Most data controllers operating in Turkey—or processing personal data of individuals in Turkey—must register before they begin processing. VERBIS registration includes providing detailed information on data processing activities, including categories of data, legal basis, data transfers, and retention periods. Non-compliance with this requirement may result in administrative fines.
Another core obligation is the appointment of a representative for foreign data controllers without a legal entity in Turkey. This representative acts as the local point of contact for both the Turkish Data Protection Authority and data subjects. The representative must be registered in VERBIS and is responsible for fulfilling certain compliance duties on behalf of the foreign controller.
The KVKK also emphasizes data subject rights, including the right to be informed, to access, to request correction or deletion of personal data, and to object to data processing in certain situations. In the case of data breaches, data controllers must promptly notify the Turkish Data Protection Authority and, if necessary, affected individuals. Failure to report breaches can result in penalties and reputational harm.
Overall, KVKK requires organizations to adopt a proactive, transparent, and accountable approach to data protection.
法令全文を読む
Turkish KVKK Legal Text
法令全文を読むKişisel Verilerin Korunması Kanunu
7 April 2016. Application timelines for some articles differ (Article 8, 9, 11, 13, 14, 15, 16, 17 and 18)
:quality(80):fill(transparent))
Türkiye KVKK Representation
よくあるご質問(FAQ)
当社はKVKKの対象になる?
KVKKはトルコ国内にいるデータ主体の個人データを処理するすべての組織に適用されます。
したがって、KVKKはグローバルに適用され、トルコの個人に関連するすべての処理活動を規律します。
ただし、適用外とされる活動は以下の通りです:
- 家庭内での私的活動
- 匿名化された公式統計の作成
- 国家防衛、安全保障、公共の安全、公共秩序、経済安全を害しない芸術的、歴史的、文学的、科学的目的の活動
- 前述の公共利益保護のために法律で任命された公的機関による予防、保護、情報収集活動
- 捜査、起訴、司法および執行手続に関連する司法当局または執行機関による処理
これらを除く、外国企業によるあらゆる処理活動はKVKKの対象となり、特にデータ管理者代理人の選任や、VERBISへの登録などの義務を順守する必要があります
トルコに代理人、当社にも必要?
トルコでデータ管理者代理人を選任する必要があるのは、以下の条件をすべて満たす企業です:
- データ管理者であり、処理者ではないこと
- トルコ国内にいる個人(データ主体)の個人データを処理していること
- トルコに設立(拠点)を持たないこと
KVKKのデータ管理者とは?
データ管理者とは、個人データの処理目的や手段を決定し、処理のための技術的インフラの設計・管理に責任を持つ組織です。これに対し、処理者は、データ管理者の指示に基づいて個人データを取り扱う役割です。GDPRと同様の基準で、処理内容に対して最終的な意思決定ができるかどうかが判断基準になります。
トルコの個人のデータ処理していることになる?
「処理」には、収集、記録、保存、保護、改変、適応、開示、移転、検索、提供、分類、利用制限など、個人データに対するあらゆる操作が含まれます。
以下のような場合、KVKKの適用対象となります:
- トルコ国内の顧客、ユーザー、学生、患者などと積極的にビジネス展開している
- Google広告やその他オンラインマーケティングでトルコの個人をターゲットにしている
- クッキー、行動ターゲティング広告、ジオロケーションによってトルコ人を監視している
以上に該当する場合、当社はデータ管理者に該当し、トルコのデータ主体の個人データを処理していることになります。そのため、KVKKに基づきデータ管理者代理人の選任が必要です。
例外はある?
非自動手段のみで個人データを処理する企業に加え、以下の組織は代理人選任義務の免除対象です:
- 公証人、法律事務所、会計事務所など特定の専門職
- 労働組合
- 政党
VERBIS登録とは?
VERBISとは、KVKK第16条に基づいて設置された「データ管理者登録情報システム」です。個人データを処理する前に、データ管理者はVERBISへの登録が義務付けられています。
登録手続きの流れは?
外国のデータ管理者の場合、登録は代理人のみが行えます。まずはデータ管理者代理人を選任し、その代理人がVERBISへの登録を実施します。
登録時には、GDPRで求められる「処理活動の記録」と似た一覧の提出が必要です。代理人はこれらの処理活動をVERBISのインターフェイス(verbis.kvkk.gov.tr)に入力し、登録を完了させます。
登録の締め切りは?
登録の締め切りは複数回延長されましたが、2021年12月31日が最終期限となっています。
違反にはどんな罰則がある?
データ管理者代理人(DCR)の選任が義務付けられていながら行わない場合、CCCTB第18条に基づいて制裁の対象となる可能性があります。
違反に対する罰金は毎年引き上げられており、2022年時点で約200万トルコリラに達しています。2021年から2022年にかけては36.20%もの増加が見られます。
PrighterのトルコDCRはどのようにして要件対応している?
Prighter DCRサービスのご利用の流れ
トルコ法では委任状の署名やVERBIS登録に関し、形式上の要件が定められているため、完全デジタル手続きは認められません。申し込みの流れは以下の通りです:
- 会社情報を入力し、委任状(PoA)を生成
- 生成したPoAに署名・公証・アポスティーユ取得(サイン地で実施)
- PoAのスキャンデータを提出し、原本を登録郵便でトルコの住所へ送付
- トルコ国内でPoAに公証を行い、VERBIS登録をPrighterが代行
提供体制:
- 実務業務:IPTECH Legal Danışmanlık Ltd. Şti と協業
- 法的助言:Ozdagistanli Ekici Attorney Partnership が担当
- クライアント対応、サポート、支払:すべてPrighter Groupが一括管理しています