KVKK隐私指南:你在土耳其的数据保护权利
了解KVKK(土耳其个人数据保护法)赋予你的权利。学习如何申请数据删除、提交投诉以及在土耳其行使隐私权。
KVKK隐私指南:你在土耳其的数据保护权利
土耳其的Kisisel Verilerin Korunmasi Kanunu(KVKK),即第6698号个人数据保护法,自2016年起施行。它是土耳其版的欧盟GDPR,赋予你对个人数据的重要权利。然而大多数土耳其公民从未行使过这些权利——许多人甚至不知道它们的存在。
本指南详解KVKK对你意味着什么、如何使用它,以及何时向当局升级投诉。
KVKK保护什么
KVKK涵盖所有"个人数据"——任何能直接或间接识别你身份的信息:
| 数据类别 | 示例 |
|---|---|
| 身份 | TC Kimlik Numarasi、姓名、出生日期、照片 |
| 联系方式 | 手机号、邮箱、家庭住址 |
| 金融 | 银行账户、信用卡、薪资、税务记录 |
| 健康 | 医疗记录、处方、血型 |
| 生物特征 | 指纹、人脸识别数据 |
| 数字 | IP地址、Cookie、浏览历史、位置数据 |
| 职业 | 就业历史、教育、绩效评估 |
| 敏感 | 政治观点、宗教信仰、犯罪记录 |
谁必须遵守
每个处理土耳其境内人员个人数据的组织都必须遵守KVKK,包括:
- 所有规模的土耳其企业
- 在土耳其运营的国际企业
- 政府机构
- 医疗服务提供者
- 教育机构
- 银行和金融机构
- 在线平台和应用
KVKK第11条赋予你的权利
1. 知情权(Bilgilendirilme Hakki)
你可以询问任何组织是否处理你的个人数据,并要求知道他们持有哪些数据。
2. 访问权(Erisim Hakki)
你可以要求组织提供其持有的你的所有个人数据的完整副本。
3. 更正权(Duzeltme Hakki)
如果你的数据不准确或不完整,你可以要求更正。
4. 删除权(Silme Hakki)
在以下情况下可以要求删除个人数据:
- 处理的原始目的不再存在
- 你撤回了同意
- 数据被非法处理
- 法律义务要求删除
5. 反对权(Itiraz Hakki)
你可以反对:
- 基于数据的自动化决策
- 影响你的画像分析
- 用于直接营销的数据处理
6. 数据可携权
你可以要求以结构化、机器可读的格式获取数据,以便转移到其他服务。
7. 损害赔偿权(Tazminat Hakki)
如果因数据的非法处理而遭受损害,你可以要求赔偿。
如何行使KVKK权利:分步指南
第1步:确定数据控制者
"数据控制者"(veri sorumlusu)是决定数据处理目的和方式的组织,通常是你直接打交道的公司。
第2步:提交书面申请
KVKK要求书面申请:
- 寄送挂号信(推荐iadeli taahhutlu mektup)
- 使用注册邮箱发送邮件
- 使用公司的KVKK申请表(许多公司在网站上公布)
申请须包含:
- 全名和TC Kimlik Numarasi
- 回复地址或邮箱
- 明确描述你的请求
- 签名(实体或电子)
第3步:等待回复
| 时限 | 要求 |
|---|---|
| 30天 | 数据控制者回复的最长期限 |
| 免费 | 回复通常免费 |
| 书面 | 回复必须是书面形式 |
第4步:必要时升级
如果组织30天内未回复,或你对回复不满意,可以向KVKK委员会(Kisisel Verileri Koruma Kurulu)提交投诉。
如何提交KVKK投诉
向KVKK委员会投诉
- 前提条件:必须先直接向数据控制者申请,且收到不满意的回复或30天内未收到回复
- 期限:收到回复后30天内(若无回复则为初始申请后60天内)
- 方式:通过KVKK网站(kvkk.gov.tr)或向委员会地址寄送挂号信
- 所需文件:原始申请副本、回复(如有)、身份信息和投诉的明确说明
委员会的权力
KVKK委员会拥有实际执行力:
| 措施 | 说明 |
|---|---|
| 要求合规 | 指示组织满足你的请求 |
| 行政罚款 | 对组织处以罚款(截至2026年最高1,966,862里拉) |
| 数据销毁令 | 命令删除非法处理的数据 |
| 公开公告 | 公开发布违规信息 |
| 刑事移送 | 将案件移交检察机关追究刑事责任 |
KVKK实际场景
场景1:不需要的营销
你持续收到一家只购物过一次的公司的短信促销。根据KVKK:
- 联系公司要求停止营销目的的数据处理
- 要求从营销数据库中删除你的手机号
- 30天内未合规则向KVKK投诉
场景2:数据泄露通知
你使用的公司宣布数据泄露。KVKK要求他们"尽快"通知委员会和受影响的个人。如果你是通过新闻而非直接通知得知泄露,这本身可能构成值得举报的KVKK违规。
场景3:过度数据收集
一个没有正当理由的移动应用要求你的TC Kimlik Numarasi(如外卖应用):
- 拒绝提供
- 向KVKK举报过度数据收集
- 如果已经提供,要求删除
场景4:离职
离职时,前雇主必须删除不再需要的个人数据(法定保留要求除外)。你可以要求他们提供仍持有的数据清单,并要求删除不必要的数据。
KVKK与GDPR:主要区别
| 特征 | KVKK | GDPR |
|---|---|---|
| 适用范围 | 仅土耳其 | 欧盟/欧洲经济区+全球影响 |
| 同意 | 大多数处理需要明确同意 | 明确同意是六种法律基础之一 |
| DPO要求 | 非强制 | 特定组织强制 |
| 泄露通知 | "尽快"(无固定期限) | 72小时 |
| 最高罚款 | 约200万里拉 | 最高2000万欧元或全球营收的4% |
| 国际传输 | 需要充分性决定或明确同意 | 类似框架,基于充分性决定 |
主动保护隐私
KVKK赋予你事后权利,但主动的隐私保护更为重要:
- 最小化数据分享:仅在绝对必要时提供个人数据
- 阅读隐私政策:注册前了解收集哪些数据及其用途
- 使用化名:不需要真名的服务可考虑使用替代名称
- 分离邮箱地址:不同用途使用不同邮箱(银行、购物、订阅)
- 安全分享敏感数据:需要分享个人信息时使用加密渠道
对于需要分享KVKK保护范围内的敏感个人数据——医疗记录、金融信息、身份证件——使用LOCK.PUB创建密码保护的过期备忘录。确保数据不会停留在不安全的渠道中,降低未授权访问的风险。
建立数据意识文化
土耳其的数字化转型正在加速,通过数字系统流动的个人数据量也在增长。了解KVKK权利不仅是法律合规的问题——更是掌控你的数字生活。
当你需要传输KVKK保护范围内的个人信息时,始终自问:这个渠道是否充分保护了我的数据?如果答案是否定的,LOCK.PUB等工具提供了为敏感通信添加加密和过期的简单方法。
将本指南分享给朋友和家人。行使KVKK权利的人越多,土耳其的数据保护文化就越强大。
你的个人数据属于你。KVKK给了你保护它的工具——请使用它们。