Ana Sayfa Hizmetlerimiz Makaleler Hakkımızda İletişim
Ana Sayfa Hizmetlerimiz Makaleler Hakkımızda İletişim

حماية البيانات الشخصية في تركيا: قانون KVKK

كل ما تحتاج معرفته عن حقوقك في حماية بياناتك الشخصية والتزامات الشركات في تركيا

فريق التحرير - مكتب صدارت للمحاماةمارس 2026~14 دقيقة قراءة

محتويات المقال

  1. مقدمة
  2. ما هو قانون KVKK؟
  3. أنواع البيانات الشخصية
  4. مبادئ معالجة البيانات
  5. حقوق صاحب البيانات
  6. التزامات مراقب البيانات
  7. الموافقة الصريحة
  8. نقل البيانات خارج تركيا
  9. العقوبات
  10. الأسئلة الشائعة

مقدمة: أهمية حماية البيانات في العصر الرقمي

أصبحت حماية البيانات الشخصية من أهم القضايا القانونية في العصر الرقمي، حيث تجمع الشركات والمؤسسات كميات هائلة من البيانات الشخصية وتعالجها لأغراض متعددة. في تركيا، يُنظم قانون حماية البيانات الشخصية رقم 6698 (KVKK - Kişisel Verilerin Korunması Kanunu) هذا المجال ويفرض التزامات صارمة على الجهات التي تجمع وتعالج البيانات الشخصية.

بالنسبة للمواطنين العرب المقيمين في تركيا، يكتسب هذا القانون أهمية خاصة لأن بياناتهم الشخصية تُعالج من قبل جهات متعددة: البنوك، شركات الاتصالات، الجامعات، المستشفيات، ومنصات التجارة الإلكترونية. كما أن الشركات التي يؤسسها مستثمرون عرب في تركيا تخضع هي الأخرى لالتزامات حماية البيانات.

في هذا الدليل الشامل، نوضح أحكام قانون KVKK وحقوق الأفراد والتزامات الشركات، مع التركيز على الجوانب العملية التي تهم المقيمين العرب والشركات العربية العاملة في تركيا.

ما هو قانون KVKK؟

صدر قانون حماية البيانات الشخصية رقم 6698 في أبريل 2016 ودخل حيز التنفيذ تدريجياً. يستلهم القانون أحكامه بشكل كبير من التوجيه الأوروبي لحماية البيانات (95/46/EC) ويهدف إلى:

  • حماية الحق الأساسي للأفراد في خصوصية بياناتهم الشخصية
  • تنظيم عمليات جمع ومعالجة وتخزين ونقل البيانات الشخصية
  • تحديد حقوق أصحاب البيانات والتزامات الجهات المعالجة
  • إنشاء هيئة مستقلة للرقابة والإشراف (هيئة حماية البيانات الشخصية - KVKK Kurulu)

نطاق تطبيق القانون

يسري القانون على جميع الأشخاص الطبيعيين والاعتباريين الذين يعالجون بيانات شخصية، سواء كانوا في القطاع العام أو الخاص. كما يسري على الجهات الأجنبية التي تعالج بيانات أشخاص موجودين في تركيا. لا يُفرّق القانون بين الأتراك والأجانب في الحماية.

أنواع البيانات الشخصية

يُعرّف القانون البيانات الشخصية بأنها أي معلومات تتعلق بشخص طبيعي محدد أو قابل للتحديد. يميّز القانون بين نوعين:

البيانات الشخصية العادية

تشمل: الاسم والعنوان، رقم الهاتف والبريد الإلكتروني، رقم الهوية أو جواز السفر، المعلومات المالية والمصرفية، صور الأشخاص وتسجيلاتهم، عنوان IP وملفات تعريف الارتباط (Cookies)، وبيانات الموقع الجغرافي.

البيانات الشخصية الحساسة (Özel Nitelikli)

تخضع لحماية مشددة وتشمل:

  • العرق والأصل الإثني
  • الآراء السياسية
  • المعتقدات الدينية أو الفلسفية
  • العضوية في النقابات أو الجمعيات
  • البيانات الصحية
  • البيانات المتعلقة بالحياة الجنسية
  • البيانات البيومترية والجينية
  • السجل الجنائي والتدابير الأمنية

لا يجوز معالجة البيانات الحساسة إلا بموافقة صريحة من صاحبها أو في الحالات المحددة حصراً في القانون.

مبادئ معالجة البيانات الشخصية

يفرض القانون عدة مبادئ يجب الالتزام بها عند معالجة البيانات الشخصية:

  • المشروعية والنزاهة: يجب أن تتم المعالجة وفقاً للقانون وبحسن نية
  • الدقة والتحديث: يجب أن تكون البيانات دقيقة ومحدّثة
  • تحديد الغرض: يجب جمع البيانات لأغراض محددة ومشروعة وواضحة
  • الصلة والتناسب: يجب ألا تتجاوز البيانات المجمعة ما هو ضروري للغرض المحدد
  • التخزين المحدود: يجب حذف البيانات أو إتلافها بعد انتهاء الغرض من معالجتها

حقوق صاحب البيانات

يكفل القانون لكل شخص (تركي أو أجنبي) تُعالج بياناته الشخصية الحقوق التالية:

  1. حق العلم: معرفة ما إذا كانت بياناته تُعالج أم لا
  2. حق الوصول: طلب معلومات عن البيانات المعالجة والغرض من المعالجة
  3. حق التصحيح: طلب تصحيح البيانات غير الدقيقة أو غير المكتملة
  4. حق الحذف: طلب حذف البيانات أو إتلافها عند زوال سبب المعالجة
  5. حق الاعتراض: الاعتراض على نتائج المعالجة الآلية للبيانات
  6. حق التعويض: طلب تعويض عن الأضرار الناتجة عن المعالجة غير القانونية
  7. حق معرفة الأطراف الثالثة: معرفة الجهات التي نُقلت إليها البيانات

كيفية ممارسة هذه الحقوق

يمكن لصاحب البيانات ممارسة حقوقه عبر:

  1. تقديم طلب كتابي لمراقب البيانات (الشركة أو المؤسسة) مباشرة
  2. يجب على المراقب الرد خلال 30 يوماً من تاريخ استلام الطلب
  3. إذا لم يُرد على الطلب أو كان الرد غير مُرضٍ، يحق لصاحب البيانات تقديم شكوى لهيئة KVKK
  4. يمكن أيضاً رفع دعوى أمام القضاء للمطالبة بالتعويض

التزامات مراقب البيانات (الشركات والمؤسسات)

يفرض القانون على الجهات التي تجمع وتعالج البيانات الشخصية (المعروفة بمراقبي البيانات) التزامات متعددة:

التسجيل في سجل مراقبي البيانات (VERBİS)

يجب على جميع الشركات والمؤسسات التي تعالج بيانات شخصية التسجيل في نظام VERBİS الإلكتروني الخاص بهيئة KVKK. يشمل التسجيل: بيانات المراقب وممثله، أنواع البيانات المعالجة، أغراض المعالجة، والجهات التي تُنقل إليها البيانات.

سياسة الخصوصية وإعلام صاحب البيانات

يجب على المراقب إعلام صاحب البيانات عند جمع بياناته بالمعلومات التالية: هوية المراقب وبيانات الاتصال، الغرض من معالجة البيانات، الأساس القانوني للمعالجة، الجهات التي قد تُنقل إليها البيانات، وحقوق صاحب البيانات.

التدابير الأمنية

يجب على المراقب اتخاذ تدابير أمنية تقنية وإدارية مناسبة لحماية البيانات من الوصول غير المصرح به أو التسريب أو الفقدان أو التلف. تشمل: التشفير، جدران الحماية، أنظمة مراقبة الوصول، تدريب الموظفين، وسياسات أمن المعلومات.

الإبلاغ عن الاختراقات

في حال وقوع اختراق أمني يؤدي إلى تسريب بيانات شخصية، يجب على المراقب إبلاغ هيئة KVKK خلال 72 ساعة من اكتشاف الاختراق، كما يجب إبلاغ الأشخاص المتضررين في أقرب وقت ممكن.

تُعد الموافقة الصريحة الأساس القانوني الرئيسي لمعالجة البيانات الشخصية. يجب أن تكون الموافقة:

  • حرة: دون إكراه أو ضغط
  • محددة: تتعلق بمعالجة محددة ولا تكون عامة
  • واعية: بعد إعلام صاحب البيانات بكافة المعلومات اللازمة
  • صريحة: لا يمكن استنتاجها من السكوت أو عدم الاعتراض

حالات لا تتطلب الموافقة

يسمح القانون بمعالجة البيانات دون موافقة في حالات محددة:

  • إذا نص القانون صراحة على ذلك
  • لحماية حياة أو سلامة شخص غير قادر على التعبير عن إرادته
  • لتنفيذ عقد يكون صاحب البيانات طرفاً فيه
  • لتنفيذ التزام قانوني على المراقب
  • إذا أعلن صاحب البيانات بياناته بنفسه
  • لممارسة حق قانوني أو الدفاع عنه
  • للمصلحة المشروعة للمراقب (بشرط عدم الإضرار بحقوق صاحب البيانات)

نقل البيانات خارج تركيا

يضع القانون شروطاً صارمة لنقل البيانات الشخصية إلى خارج تركيا:

  • الحصول على موافقة صريحة من صاحب البيانات
  • أو وجود مستوى حماية كافٍ في البلد المستقبل (تحدده هيئة KVKK)
  • أو تقديم ضمانات كتابية من المراقبين في كلا البلدين بتوفير حماية كافية

هذا الموضوع مهم بشكل خاص للشركات العربية التي تنقل بيانات عملائها أو موظفيها بين تركيا وبلدانها الأصلية. يجب الالتزام بالإجراءات القانونية لتجنب العقوبات.

العقوبات على مخالفة قانون KVKK

يفرض القانون عقوبات إدارية وجنائية صارمة على المخالفين:

العقوبات الإدارية

المخالفةالغرامة
عدم الوفاء بالتزام الإعلام50,000 - 1,000,000 ليرة
عدم ضمان أمن البيانات75,000 - 1,500,000 ليرة
عدم الامتثال لقرارات الهيئة125,000 - 2,500,000 ليرة
عدم التسجيل في VERBİS100,000 - 2,946,202 ليرة

العقوبات الجنائية

  • الحصول غير المشروع على بيانات شخصية: 1-3 سنوات حبس
  • نشر بيانات شخصية بشكل غير قانوني: 2-4 سنوات حبس
  • عدم حذف البيانات رغم انتهاء الغرض: 1-2 سنة حبس

الأسئلة الشائعة

ما هو قانون KVKK في تركيا؟
KVKK هو اختصار لـ Kişisel Verilerin Korunması Kanunu، أي قانون حماية البيانات الشخصية رقم 6698 الصادر عام 2016. ينظم جمع ومعالجة وتخزين ونقل البيانات الشخصية في تركيا، ويحدد حقوق أصحاب البيانات والتزامات الجهات المعالجة، ويفرض عقوبات على المخالفين. يُعد المعادل التركي للائحة حماية البيانات الأوروبية GDPR.
ما هي العقوبات على مخالفة قانون KVKK؟
تشمل العقوبات نوعين: غرامات إدارية تصل إلى حوالي 3 ملايين ليرة تركية حسب نوع المخالفة، وعقوبات جنائية تتراوح بين سنة و4 سنوات حبس لجرائم الحصول غير المشروع على البيانات الشخصية أو نشرها أو عدم حذفها. تُفرض العقوبات من قبل هيئة KVKK والمحاكم الجنائية.
هل يحق للأجنبي تقديم شكوى بموجب KVKK؟
نعم، يحمي القانون بيانات جميع الأشخاص الطبيعيين بصرف النظر عن جنسيتهم أو وضعهم القانوني في تركيا. يحق لأي شخص تُعالج بياناته في تركيا تقديم طلب لمراقب البيانات، وفي حال عدم الاستجابة، تقديم شكوى لهيئة KVKK أو رفع دعوى أمام المحاكم التركية.
ما هي البيانات الشخصية الحساسة في القانون التركي؟
تشمل البيانات الحساسة (Özel Nitelikli): العرق والأصل الإثني، الآراء السياسية، المعتقدات الدينية أو الفلسفية، العضوية النقابية، البيانات الصحية، البيانات البيومترية والجينية، والحياة الجنسية. تخضع لحماية مشددة ولا يجوز معالجتها إلا بموافقة صريحة أو في حالات محددة حصراً في القانون.
هل يجب على الشركات الأجنبية العاملة في تركيا الامتثال لـ KVKK؟
نعم، يسري القانون على أي جهة تعالج بيانات شخصية لأشخاص موجودين في تركيا، بصرف النظر عن مقر الجهة. يجب على الشركات الأجنبية تعيين ممثل في تركيا والتسجيل في سجل مراقبي البيانات (VERBİS) والامتثال لجميع متطلبات القانون بما فيها الأمن والإعلام والموافقة.

هل تحتاج مساعدة في الامتثال لقانون KVKK؟

تواصل مع مكتب صدارت للمحاماة للحصول على استشارة متخصصة في حماية البيانات الشخصية

تواصل عبر واتساب
إخلاء مسؤولية: هذا المقال لأغراض إعلامية فقط ولا يشكل استشارة قانونية. القوانين واللوائح قابلة للتغيير. للحصول على مشورة قانونية تتناسب مع حالتك الخاصة، يرجى التواصل مع محامٍ مختص.