Abstract

Dijital çağda birey mahremiyetinin güvence altına alınması ve güvenli bir bilgi toplumu yapısının inşa edilmesi açısından kişisel verilerin korunması, kritik bir öneme sahiptir. Bilgi ve iletişim teknolojilerindeki hızlı ilerleme ile dijitalleşmenin toplumun tüm kesimlerine yayılması, kişisel verilerin toplanmasını, işlenmesini, saklanmasını ve paylaşılmasını kolaylaştırmış; ancak beraberinde veri güvenliğine ilişkin ciddi riskleri de ortaya çıkarmıştır. Bu çerçevede, kişisel verilerin korunmasına yönelik yaklaşımların yalnızca teknik boyutta ele alınması yeterli görülmemekte; aynı zamanda bu yaklaşımların kurumsal düzeyde değerlendirilmesi gerekliliği gündeme gelmektedir. Literatürde yapılan mevcut araştırmalar, kişisel verilerin korunmasına ilişkin süreçlerin kurumsal kuram bağlamında, özellikle “kurumsallaşma” boyutuyla yeterince incelenmediğini ortaya koymaktadır. Bu çalışmada, Türkiye’de kişisel verilerin korunmasına yönelik hukuki ve kurumsal düzenlemeler ile uygulamalar, kurumsal kuramın kurumsallaşma perspektifi çerçevesinde ele alınmakta; ayrıca Avrupa’daki gelişim süreciyle karşılaştırmalı olarak analiz edilmektedir. Nitel araştırma yöntemiyle yürütülen çalışmada, Türkiye’ye özgü hukuki, idari ve toplumsal gelişmeler sistematik olarak değerlendirilmiş; ilgili mevzuat, yönetmelikler ve uygulamalar kurumsallaşma süreci bağlamında çok boyutlu bir analizle incelenmiştir. Elde edilen bulgular, Türkiye’de kurumsallaşma sürecinin Avrupa’daki gelişimden farklı biçimde “zorlayıcı, ahlaki ve bilişsel” aşamalar doğrultusunda ilerlediğini göstermektedir. Bu tespit, kişisel veri koruma kültürünün kurumsal yapılara ve toplumsal dinamiklere nasıl yansıdığına ilişkin önemli ipuçları sunmaktadır. Çalışmanın temel amacı, ulusal literatürdeki kuramsal boşluklara katkı sağlamak ve uygulayıcı aktörlere stratejik politika önerileri sunmaktır. Böylece kişisel verilerin korunmasına yönelik Türkiye’deki yapının kurumsal temeller üzerinde daha sağlam biçimde şekillenmesine katkı sağlanması hedeflenmektedir.

Abstract

The protection of personal data is of critical importance in safeguarding individual privacy and fostering a secure information society in the digital age. The rapid advancement of information and communication technologies and the widespread digitalization across all segments of society have facilitated the collection, processing, storage, and sharing of personal data; however, these developments have also introduced serious risks concerning data security. In this context, it has become evident that approaches to personal data protection should not be considered solely from a technical perspective, but also require evaluation at the institutional level. Existing studies in the literature reveal that the processes related to personal data protection have not been adequately examined within the framework of institutional theory, particularly in terms of the “institutionalization” dimension. This study analyzes the legal and institutional regulations and practices regarding personal data protection in Türkiye through the lens of the institutionalization perspective of institutional theory and presents a comparative evaluation with the development process in Europe. Conducted using a qualitative research method, the study systematically evaluates the legal, administrative, and social processes specific to Türkiye; relevant legislation, regulations, and practices have been analyzed through a multi-dimensional institutionalization framework. The findings indicate that the institutionalization process in Türkiye has progressed differently from that in Europe, advancing sequentially through coercive, normative, and cognitive stages. This observation provides significant insights into how the culture of personal data protection is internalized at both institutional and societal levels. The primary aim of the study is to contribute to the theoretical gap in national literature and to offer strategic policy recommendations for practitioners. Thus, it is intended that the structure of personal data protection in Türkiye will be strengthened on more solid institutional foundations.

Structured Abstract:

In today's digital age, the extremely rapid development of information and communication technologies has facilitated the collection, storage, processing, and transfer of personal data. However, this situation has also brought with it serious data security risks in terms of protecting individual privacy and building a secure information society. While developed Western countries recognized this situation early on and established comprehensive legal and technical infrastructures, the process in Turkey took shape later, mainly in line with external dynamics and efforts to harmonize with the European Union. Studies on personal data protection (PDP) in Turkey generally address the issue from the perspective of technical infrastructure or compliance with legal regulations. However, how these processes are examined in terms of institutional expectations, the search for societal legitimacy, and cultural codes has not been sufficiently investigated in the literature.

The main objective of this study is to examine the legal, administrative, and social regulations and practices regarding the protection of personal data in Turkey within the framework of the "institutionalization" dimension of the New Institutional Theory, and to analyze them comparatively with the historical development in Europe. The study also aims to fill theoretical gaps in the national literature, reveal structural problems in the field of personal data protection, and contribute to establishing this field on a more solid institutional foundation by offering strategic recommendations to decision-makers and practitioners.

The theoretical basis of this study rests on "Institutional Theory," which analyzes not only the technical and functional activities of organizations but also how they integrate with their social and cultural environment. From the perspective of New Institutional Theory, an "institution" is not merely a physical or legal structure; it is a normative and cognitive structure built by social actors, internalized to gain legitimacy, and guiding the behavior of individuals and organizations. This theory argues that organizations gain legitimacy by adapting to three fundamental external pressures: forcing (legal sanctions), normative/moral (professional and ethical standards), and cognitive (cultural meaning systems). In this context, "institutionalization" refers to the process by which certain patterns of thought and behavior gain continuity in social life over time, achieving a "rule-like" status; and being accepted as "natural" and "legitimate" not only legally but also socially. The institutionalization process: It progresses through three main mechanisms: the "cognitive dimension," where mental patterns are established; the "moral dimension," where behavioral patterns are validated through education and certification; and the "forcing dimension," where the state enforces regulations.

In this research, a qualitative research method was preferred, taking into account the contextual depth of the subject and the multidimensional nature of the phenomena. Unlike quantitative methods, this approach, which allows for an understanding of the cultural elements behind social phenomena and institutional behaviors, utilized "document analysis" as the data collection and analysis method. During the data collection process, the literature was comprehensively reviewed; national and international regulations, directives, circulars, public reports, board decisions, and policy documents were examined in detail. The obtained data were classified along the lines of fundamental concepts of institutional theory and institutional compliance mechanisms (cognitive, moral, and forcing dimensions), and thematically analyzed based on cognitive, moral, and forcing dimensions, presented in tables and figures.

Research findings indicate that the culture of personal data protection in Europe has followed a natural bottom-up development process in a historical context. The privacy threats that emerged with the development of information technologies in the 1960s and 1970s created a strong awareness in society, forming the basis of the cognitive stage. Following this mental foundation, the moral stage was reached by establishing a framework of responsibility through the creation of various institutions, the publication of international guidance documents, and the establishment of data protection authorities. Finally, the forcing stage was completed with the binding enactment of normative regulations through legal texts such as the Council of Europe Convention No. 108 of 1981, Directive 95/46/EC of 1995, and finally the General Data Protection Regulation (GDPR), which entered into force in 2018 and has quite strict sanctions. In conclusion, the European institutionalization model has shown a stable development with a Cognitive-Moral-Forcing (C-M-F) sequence, evolving from soft to hard sanctions.

Unlike the organic development in Europe, the institutionalization process in Türkiye has been shaped from top to bottom through the intervention of state authority. The process in Türkiye began with the Forcing phase in 2010 with the addition of a clause to Article 20 of the Constitution and, in particular, the enactment of Law No. 6698 on the Protection of Personal Data (KVKK) in 2016. Following the establishment of the forcing legal framework, the transition to the Ethical dimension occurred with the establishment of the Personal Data Protection Authority (KVKK), the implementation of the Data Controllers Registry Information System (VERBIS), and the compliance of data controllers' administrative/technical infrastructures with the legislation. In the final stage of institutionalization, the Cognitive dimension was reached through seminars, public service announcements, training programs, guide documents, and media coverage of breach decisions conducted by the KVKK, aiming to raise awareness in society and institutions. This analysis clearly reveals that the institutionalization process in Türkiye progresses in a F-M-C (Forcing-Moral-Cognitive) sequence, the exact opposite of Europe, first through legal obligation (Forcing), then institutional conformity (Moral), and finally mental internalization (Cognitive).

Analyses demonstrate that the establishment of the Personal Data Protection Authority in Türkiye and the implementation of Law No. 6698 have filled a significant gap at the legal and institutional level. However, for the understanding of personal data protection to become a permanent, internalized, and sustainable societal norm, relying solely on legal sanctions and technical controls is insufficient. The fact that the process remains predominantly "forcing" leads to a superficial perception of data protection and creates obstacles to institutionalization.

According to the study's findings, for development in Türkiye to succeed in the long term, it is critical to shift from a legally mandated (F-M-C) based approach to a cognitively based (C-M-F) model that promotes voluntary correct practices and centers mental internalization, as in the European model. For this fundamental transformation to occur, it is necessary to improve cultural habits and digital literacy levels, and to increase widespread, systematic awareness and education activities encompassing all segments of society.

Future studies that examine institutional theory not only through the dynamics of Western societies but also within the context of individual-organization interaction, taking into account Türkiye's unique socio-cultural, legal, and administrative structure (F-M-C model), will both contribute to the national literature and offer more applicable solutions to policy-making processes.

Yapılandırılmış Özet:

Günümüz dijital çağında bilgi ve iletişim teknolojilerinin son derece hızlı gelişmesi, kişisel verilerin toplanmasını, depolanmasını, işlenmesini ve aktarılmasını kolaylaştırmıştır. Ancak bu durum birey mahremiyetinin korunması ve güvenli bir bilgi toplumu inşa edilmesi açısından ciddi veri güvenliği risklerini de beraberinde getirmiştir. Gelişmiş Batı ülkeleri bu durumu erken dönemde fark ederek kapsamlı hukuki ve teknik altyapılar tesis ederken, Türkiye’deki süreç ağırlıklı olarak dış dinamikler ve Avrupa Birliğine uyum çabaları doğrultusunda daha geç şekillenmiştir. Türkiye’de kişisel verilerin korunması (KVK) alanında yapılan çalışmalar, konuyu genellikle teknik altyapı ya da hukuki düzenlemelere uyum ekseninde ele almaktadır. Buna karşın süreçlerin kurumsal çevre beklentileri, toplumsal meşruiyet arayışları ve kültürel kodlarla nasıl incelendiği literatürde yeterince incelenmemiştir.

Bu çalışmanın temel amacı, Türkiye’de kişisel verilerin korunmasına ilişkin hukuki, idari ve toplumsal düzenleme ve uygulamaları, Yeni Kurumsal Kuram'ın "kurumsallaşma" boyutu kapsamında incelemek ve Avrupa’daki tarihsel gelişimle karşılaştırmalı olarak analiz etmektir. Çalışma ayrıca, ulusal literatürdeki kuramsal boşlukları doldurmayı, KVK alanındaki yapısal sorunları ortaya koymayı ve karar alıcılar ile uygulayıcılara stratejik öneriler sunarak bu alanın daha sağlam kurumsal temeller üzerine oturmasına katkı sağlamayı amaçlamaktadır.

Çalışmanın teorik temeli, örgütlerin yalnızca teknik ve işlevsel etkinliklerini değil, aynı zamanda içinde bulundukları sosyal ve kültürel çevreyle nasıl bütünleştiğini analiz eden "Kurumsal Kuram"a dayanmaktadır. Yeni Kurumsal Kuram perspektifinden "kurum", yalnızca fiziksel ya da hukuki bir yapı değil; toplumsal aktörler tarafından inşa edilen, içselleştirilerek meşruiyet kazanan ve bireylerle örgütlerin davranışlarını yönlendiren normatif ve bilişsel yapılardır. Bu kuram, örgütlerin zorlayıcı (hukuki yaptırımlar), normatif/ahlaki (mesleki ve etik standartlar) ve bilişsel (kültürel anlam sistemleri) olmak üzere üç temel dışsal baskıya uyum sağlayarak meşruiyet kazandığını savunmaktadır. Bu bağlamda "kurumsallaşma", belirli düşünce ve davranış kalıplarının zaman içinde toplumsal yaşamda süreklilik kazanarak "kural benzeri" bir statüye erişmesi; sadece hukuki değil, aynı zamanda toplumsal olarak "doğal" ve "meşru" kabul edilmesi sürecini ifade eder. Kurumsallaşma süreci; zihinsel kalıpların yerleştiği "bilişsel boyut", davranış kalıplarının eğitim ve sertifikasyonlarla doğrulandığı "ahlaki boyut" ve devletin düzenlemelerle yaptırım uyguladığı "zorlayıcı boyut" olmak üzere üç temel mekanizma üzerinden ilerlemektedir.

Araştırmada, konunun bağlamsal derinliği ve ve olguların çok boyutlu yapısı göz önünde bulundurularak nitel araştırma yöntemi tercih edilmiştir. Nicel yöntemlerin aksine, sosyal olguların ve kurumsal davranışların arkasındaki kültürel unsurların anlaşılmasına imkân tanıyan bu yaklaşım çerçevesinde, veri toplama ve çözümleme yöntemi olarak "doküman analizi" kullanılmıştır. Veri toplama sürecinde literatür kapsamlı biçimde incelenmiş; ulusal ve uluslararası düzenlemeler, yönetmelikler, tebliğler, kamu raporları, kurul kararları ve politika belgeleri detaylı olarak incelenmiştir. Elde edilen veriler, kurumsal kuramın temel kavramları ve kurumsal uyum mekanizmaları (bilişsel, ahlaki ve zorlayıcı boyutlar) ekseninde sınıflandırılmış, bilişsel, ahlaki ile zorlayıcı boyutlar temelinde tematik olarak çözümlenerek tablolar ve şekillerle sunulmuştur.

Araştırma bulguları, Avrupa'da kişisel verilerin korunması kültürünün tarihsel bağlamda aşağıdan yukarıya doğru doğal bir gelişim süreci izlediğini göstermektedir. 1960 ve 1970'li yıllarda bilgi teknolojilerinin gelişmesiyle ortaya çıkan mahremiyet tehditleri, toplumda güçlü bir farkındalık oluşturarak bilişsel aşamanın temelini oluşturmuştur. Bu zihinsel altyapının ardından, çeşitli kurumların oluşturulması, uluslararası rehber dokümanların yayımlanması ve veri koruma otoritelerinin kurulmasıyla bir sorumluluk çerçevesi inşa edilerek Ahlaki aşamaya geçilmiştir. Sürecin en sonunda ise, 1981 tarihli 108 No'lu Avrupa Konseyi Sözleşmesi, 1995 tarihli 95/46/EC sayılı Direktif ve nihayet 2018'de yürürlüğe giren oldukça katı yaptırımlara sahip Genel Veri Koruma Tüzüğü (GDPR) gibi hukuki metinlerle normatif düzenlemeler bağlayıcı hale getirilerek Zorlayıcı aşama tamamlanmıştır. Sonuç olarak Avrupa kurumsallaşma modeli, yumuşak yaptırımlardan sert yaptırımlara evrilen Bilişsel-Ahlaki-Zorlayıcı (B-A-Z) sıralamasıyla istikrarlı bir gelişim göstermiştir.

Avrupa'daki organik gelişimin aksine, Türkiye'de kurumsallaşma süreci devlet otoritesinin müdahalesiyle yukarıdan aşağıya doğru şekillenmiştir. Türkiye'deki süreç, 2010 yılında Anayasanın 20. maddesine eklenen fıkra ve özellikle 2016 yılında kabul edilen 6698 sayılı Kişisel Verilerin Korunması Kanunu'nun (KVKK) yürürlüğe girmesiyle Zorlayıcı aşama ile başlamıştır. Zorlayıcı yasal çerçevenin kurulmasının ardından, Kişisel Verileri Koruma Kurumu'nun (KVK Kurumu) teşkil edilmesi, Veri Sorumluları Sicil Bilgi Sistemi'nin (VERBİS) hayata geçirilmesi ve veri sorumlularının idari/teknik altyapılarını mevzuata uyumlu hale getirmesiyle Ahlaki boyuta geçiş yapılmıştır. Kurumsallaşmanın nihai aşamasında ise, KVK Kurumu tarafından yürütülen seminerler, kamu spotları, eğitim programları, rehber dokümanlar ve medyaya yansıyan ihlal kararları aracılığıyla toplumda ve kurumlarda farkındalık yaratılmaya çalışılarak Bilişsel boyuta yönelinmiştir. Bu analiz, Türkiye'deki kurumsallaşma sürecinin önce yasal zorunluluk (Zorlayıcı), ardından kurumsal uyum (Ahlaki) ve son olarak zihinsel içselleştirme (Bilişsel) şeklinde, Avrupa'nın tam tersi istikametinde olan Z-A-B (Zorlayıcı-Ahlaki-Bilişsel) sıralamasıyla ilerlediğini açıkça ortaya koymaktadır.

Yapılan analizler, Türkiye'de KVK Kurumu'nun kurulması ve 6698 sayılı Kanun'un uygulanmasının yasal ve kurumsal düzlemde çok önemli bir boşluğu doldurduğunu kanıtlamaktadır. Ancak, kişisel verilerin korunması anlayışının kalıcı, içselleştirilmiş ve sürdürülebilir bir toplumsal norm haline gelebilmesi için mevcut sistemin sadece hukuki yaptırımlara ve teknik denetimlere dayanması yeterli değildir. Sürecin ağırlıklı olarak “zorlayıcı” boyutta kalması, veri koruma anlayışının yüzeysel algılanmasına ve kurumsallaşmanın önünde engel oluşmasına neden olmaktadır.

Çalışmanın bulgularına göre, Türkiye'deki gelişimin uzun vadede başarıya ulaşabilmesi için, yasal zorunluluk (Z-A-B) temelli yaklaşımdan ziyade, Avrupa modelinde olduğu gibi gönüllü doğru uygulamaları teşvik eden, zihinsel içselleştirmeyi merkeze alan bilişsel temelli (B-A-Z) bir modele geçiş kritik önemdedir. Bu köklü dönüşümün gerçekleşebilmesi için; kültürel alışkanlıkların ve dijital okuryazarlık seviyelerinin iyileştirilmesi, toplumun tüm kesimlerini kapsayan geniş çaplı, sistematik farkındalık ve eğitim faaliyetlerinin artırılması gerekmektedir.

Gelecekte yapılacak olan çalışmaların, kurumsal kuramı sadece Batılı toplumların dinamikleri üzerinden değil, Türkiye'nin kendine özgü sosyo-kültürel, hukuki ve idari yapısını (Z-A-B modelini) dikkate alarak birey-örgüt etkileşimi bağlamında ele alması hem ulusal literatüre katkı sağlayacak hem de politika üretim süreçlerine daha uygulanabilir çözümler sunacaktır.

ملخص منظم

في عصرنا الرقمي، سهّل التطور السريع للغاية لتكنولوجيا المعلومات والاتصالات جمع البيانات الشخصية وتخزينها ومعالجتها ونقلها. إلا أن هذا الوضع قد جلب معه مخاطر جسيمة على أمن البيانات، لا سيما فيما يتعلق بحماية خصوصية الأفراد وبناء مجتمع معلوماتي آمن. وبينما أدركت الدول الغربية المتقدمة هذا الوضع مبكرًا وأنشأت بنى تحتية قانونية وتقنية شاملة، فقد تبلورت هذه العملية في تركيا لاحقًا، بما يتماشى أساسًا مع الديناميكيات الخارجية وجهود التوافق مع الاتحاد الأوروبي. تتناول الدراسات المتعلقة بحماية البيانات الشخصية في تركيا هذه القضية عمومًا من منظور البنية التحتية التقنية أو الامتثال للوائح القانونية. ومع ذلك، لم يتم بحث كيفية دراسة هذه العمليات من حيث التوقعات المؤسسية، والسعي إلى الشرعية المجتمعية، والأعراف الثقافية بشكل كافٍ في الأدبيات.

يهدف هذا البحث بشكل أساسي إلى دراسة الأنظمة والممارسات القانونية والإدارية والاجتماعية المتعلقة بحماية البيانات الشخصية في تركيا، وذلك في إطار بُعد "التأسيس المؤسسي" لنظرية المؤسسات الجديدة، وتحليلها مقارنةً بالتطور التاريخي في أوروبا. كما يهدف البحث إلى سدّ الثغرات النظرية في الأدبيات الوطنية، والكشف عن المشكلات الهيكلية في مجال حماية البيانات الشخصية، والمساهمة في ترسيخ هذا المجال على أسس مؤسسية أكثر متانة من خلال تقديم توصيات استراتيجية لصناع القرار والممارسين.

تستند الأسس النظرية لهذه الدراسة إلى "النظرية المؤسسية"، التي لا تحلل الأنشطة التقنية والوظيفية للمنظمات فحسب، بل تحلل أيضًا كيفية اندماجها مع بيئتها الاجتماعية والثقافية. من منظور النظرية المؤسسية الجديدة، لا تُعدّ "المؤسسة" مجرد هيكل مادي أو قانوني، بل هي هيكل معياري ومعرفي يبنيه الفاعلون الاجتماعيون، ويستوعبونه لاكتساب الشرعية، ويوجه سلوك الأفراد والمنظمات. تجادل هذه النظرية بأن المنظمات تكتسب الشرعية من خلال التكيف مع ثلاثة ضغوط خارجية أساسية: الإكراه (العقوبات القانونية)، والمعياري/الأخلاقي (المعايير المهنية والأخلاقية)، والمعرفي (أنظمة المعنى الثقافي). في هذا السياق، تشير "المؤسسية" إلى العملية التي تكتسب من خلالها أنماط معينة من الفكر والسلوك استمرارية في الحياة الاجتماعية بمرور الوقت، محققةً وضعًا أشبه بالقاعدة، ومقبولةً على أنها "طبيعية" و"شرعية" ليس فقط قانونيًا بل اجتماعيًا أيضًا. عملية المؤسسية: تتقدم من خلال ثلاث آليات رئيسية: "البُعد المعرفي"، حيث تُرسخ الأنماط الذهنية؛ البُعد "الأخلاقي"، حيث يتم التحقق من صحة الأنماط السلوكية من خلال التعليم والشهادات؛ و"بُعد الإكراه"، حيث تقوم الدولة بإنفاذ اللوائح.

في هذا البحث، تم تفضيل المنهج النوعي، مراعاةً للعمق السياقي للموضوع والطبيعة متعددة الأبعاد للظواهر. وعلى عكس المناهج الكمية، اعتمد هذا المنهج، الذي يتيح فهم العناصر الثقافية الكامنة وراء الظواهر الاجتماعية والسلوكيات المؤسسية، على "تحليل الوثائق" كأسلوب لجمع البيانات وتحليلها. وخلال عملية جمع البيانات، جرى استعراض شامل للأدبيات؛ حيث تم فحص اللوائح والتوجيهات والتعاميم والتقارير العامة وقرارات المجالس ووثائق السياسات الوطنية والدولية بالتفصيل. وصُنفت البيانات المُجمعة وفقًا للمفاهيم الأساسية للنظرية المؤسسية وآليات الامتثال المؤسسي (الأبعاد المعرفية والأخلاقية والإلزامية)، وحُللت موضوعيًا بناءً على هذه الأبعاد، وعُرضت في جداول ورسوم بيانية.

تشير نتائج البحث إلى أن ثقافة حماية البيانات الشخصية في أوروبا قد تطورت بشكل طبيعي من القاعدة إلى القمة ضمن سياق تاريخي. فقد أدت التهديدات التي برزت على الخصوصية مع تطور تكنولوجيا المعلومات في الستينيات والسبعينيات إلى خلق وعي قوي في المجتمع، مما شكل أساس المرحلة المعرفية. وانطلاقًا من هذا الأساس الفكري، تم الوصول إلى المرحلة الأخلاقية من خلال وضع إطار للمسؤولية عبر إنشاء مؤسسات مختلفة، ونشر وثائق إرشادية دولية، وإنشاء هيئات حماية البيانات. وأخيرًا، اكتملت مرحلة الإلزام بسنّ لوائح معيارية ملزمة من خلال نصوص قانونية مثل اتفاقية مجلس أوروبا رقم 108 لعام 1981، والتوجيه 95/46/EC لعام 1995، وأخيرًا اللائحة العامة لحماية البيانات (GDPR)، التي دخلت حيز التنفيذ في عام 2018 وتتضمن عقوبات صارمة. وخلاصة القول، فقد أظهر نموذج التأسيس المؤسسي الأوروبي تطورًا مستقرًا بتسلسل معرفي-أخلاقي-إلزامي (C-M-F)، متطورًا من عقوبات مخففة إلى عقوبات صارمة.

على عكس التطور العضوي في أوروبا، اتسمت عملية التأسيس المؤسسي في تركيا بتدخل سلطة الدولة من أعلى الهرم إلى أسفله. بدأت هذه العملية في تركيا بمرحلة الإلزام عام 2010 بإضافة بند إلى المادة 20 من الدستور، وتحديدًا بسنّ القانون رقم 6698 بشأن حماية البيانات الشخصية (KVKK) عام 2016. بعد إرساء الإطار القانوني الإلزامي، انتقلنا إلى البُعد الأخلاقي بإنشاء هيئة حماية البيانات الشخصية (KVKK)، وتطبيق نظام معلومات سجل مراقبي البيانات (VERBIS)، وتوافق البنى التحتية الإدارية/التقنية لمراقبي البيانات مع التشريعات. في المرحلة النهائية من التأسيس المؤسسي، تحقق البُعد المعرفي من خلال الندوات، والإعلانات التوعوية، والبرامج التدريبية، والوثائق الإرشادية، والتغطية الإعلامية لقرارات انتهاك البيانات الصادرة عن هيئة حماية البيانات الشخصية، بهدف رفع مستوى الوعي في المجتمع والمؤسسات. يكشف هذا التحليل بوضوح أن عملية التأسيس المؤسسي في تركيا تتقدم في تسلسل F-M-C (الإجبار-الأخلاقي-المعرفي)، وهو عكس أوروبا تمامًا، أولاً من خلال الالتزام القانوني (الإجبار)، ثم الامتثال المؤسسي (الأخلاقي)، وأخيرًا الاستيعاب العقلي (المعرفي).

تُظهر التحليلات أن إنشاء هيئة حماية البيانات الشخصية في تركيا وتطبيق القانون رقم 6698 قد سدّ فجوةً كبيرةً على الصعيدين القانوني والمؤسسي. مع ذلك، لكي يصبح فهم حماية البيانات الشخصية معيارًا مجتمعيًا دائمًا ومتأصلًا ومستدامًا، فإن الاعتماد على العقوبات القانونية والضوابط التقنية وحدها غير كافٍ. فبقاء العملية في جوهرها "إلزامية" يُؤدي إلى نظرة سطحية لحماية البيانات، ويُعيق ترسيخها مؤسسيًا.

ووفقًا لنتائج الدراسة، لكي ينجح التطور في تركيا على المدى الطويل، من الضروري التحوّل من نهج قائم على الإلزام القانوني (F-M-C) إلى نموذج قائم على الإدراك (C-M-F) يُشجع الممارسات الصحيحة الطوعية، ويُركز على الإدراك الذهني، كما هو الحال في النموذج الأوروبي. ولتحقيق هذا التحوّل الجذري، لا بدّ من تحسين العادات الثقافية ومستويات المعرفة الرقمية، وزيادة أنشطة التوعية والتثقيف المنهجية والواسعة النطاق التي تشمل جميع شرائح المجتمع.

... إن الدراسات المستقبلية التي تفحص النظرية المؤسسية ليس فقط من خلال ديناميكيات المجتمعات الغربية ولكن أيضًا في سياق التفاعل بين الفرد والمنظمة، مع الأخذ في الاعتبار الهيكل الاجتماعي والثقافي والقانوني والإداري الفريد لتركيا (نموذج F-M-C)، ستساهم في الأدبيات الوطنية وستقدم حلولًا أكثر قابلية للتطبيق على عمليات صنع السياسات.

Résumé Structuré:

À l’ère du numérique, le développement extrêmement rapide des technologies de l’information et de la communication a facilité la collecte, le stockage, le traitement et le transfert des données personnelles. Toutefois, cette situation a également engendré de sérieux risques pour la sécurité des données, notamment en matière de protection de la vie privée et de construction d’une société de l’information sécurisée. Si les pays occidentaux développés ont pris conscience de cette situation très tôt et ont mis en place des infrastructures juridiques et techniques complètes, le processus en Turquie s’est mis en place plus tardivement, principalement sous l’influence de dynamiques externes et des efforts d’harmonisation avec l’Union européenne. Les études sur la protection des données personnelles (PDP) en Turquie abordent généralement la question sous l’angle de l’infrastructure technique ou de la conformité à la réglementation. Cependant, la manière dont ces processus sont examinés au regard des attentes institutionnelles de la recherche de légitimité sociale et des normes culturelles reste insuffisamment explorée dans la littérature.

L’objectif principal de cette étude est d’examiner les réglementations et pratiques juridiques, administratives et sociales relatives à la protection des données personnelles en Turquie dans le cadre de la dimension «institutionnalisation» de la nouvelle théorie institutionnelle, et de les analyser comparativement à l’évolution historique en Europe. L’étude vise également à combler les lacunes théoriques de la littérature nationale, à révéler les problèmes structurels dans le domaine de la protection des données personnelles et à contribuer à établir ce domaine sur une base institutionnelle plus solide en offrant des recommandations stratégiques aux décideurs et aux praticiens.

Le fondement théorique de cette étude repose sur la «théorie institutionnelle», qui analyse non seulement les activités techniques et fonctionnelles des organisations, mais aussi leur intégration à leur environnement socioculturel. Dans la perspective de la nouvelle théorie institutionnelle, une «institution» n’est pas simplement une structure physique ou juridique; c’est une structure normative et cognitive construite par les acteurs sociaux, internalisée pour acquérir une légitimité et guidant le comportement des individus et des organisations. Cette théorie soutient que les organisations acquièrent leur légitimité en s’adaptant à trois pressions externes fondamentales: la contrainte (sanctions légales), la pression normative/morale (normes professionnelles et éthiques) et la pression cognitive (systèmes de significations culturelles). Dans ce contexte, l’«institutionnalisation» désigne le processus par lequel certains schémas de pensée et de comportement s’ancrent dans la vie sociale au fil du temps, acquérant un statut quasi normatif et étant acceptés comme « naturels » et « légitimes », non seulement juridiquement, mais aussi socialement. Le processus d’institutionnalisation se déroule selon trois mécanismes principaux: la dimension cognitive, où s’établissent les schémas mentaux; la «dimension morale», où les modèles comportementaux sont validés par l'éducation et la certification; et la «dimension contraignante», où l'État applique la réglementation.

Dans cette recherche, une méthode qualitative a été privilégiée, compte tenu de la profondeur contextuelle du sujet et de la nature multidimensionnelle des phénomènes. Contrairement aux méthodes quantitatives, cette approche, qui permet de comprendre les éléments culturels sous-jacents aux phénomènes sociaux et aux comportements institutionnels, a utilisé l'analyse documentaire comme méthode de collecte et d'analyse des données. Lors de la collecte des données, la littérature a fait l'objet d'une revue exhaustive: réglementations, directives, circulaires, rapports publics, décisions des instances dirigeantes et documents de politique, tant nationaux qu'internationaux, ont été examinés en détail. Les données obtenues ont été classées selon les concepts fondamentaux de la théorie institutionnelle et les mécanismes de conformité institutionnelle (dimensions cognitive, morale et contraignante), puis analysées thématiquement selon ces trois dimensions, et présentées sous forme de tableaux et de figures.

Les résultats de la recherche indiquent que la culture de la protection des données personnelles en Europe a suivi un processus de développement ascendant naturel, inscrit dans un contexte historique. Les menaces pesant sur la vie privée, apparues avec le développement des technologies de l'information dans les années 1960 et 1970, ont suscité une forte prise de conscience au sein de la société, constituant le fondement de la phase cognitive. Après avoir posé ces fondements intellectuels, l'étape morale a été franchie grâce à la mise en place d'un cadre de responsabilité, via la création de diverses institutions, la publication de documents d'orientation internationaux et la mise en place d'autorités de protection des données. Enfin, l'étape de contrainte s'est achevée avec l'adoption de réglementations normatives contraignantes, notamment par le biais de textes juridiques tels que la Convention n° 108 du Conseil de l'Europe de 1981, la Directive 95/46/CE de 1995 et, enfin, le Règlement général sur la protection des données (RGPD), entré en vigueur en 2018 et assorti de sanctions particulièrement strictes. En conclusion, le modèle européen d'institutionnalisation a connu une évolution stable, suivant une séquence cognitivo-morale-contrainte (C-M-C), passant de sanctions souples à des sanctions coercitives.

Contrairement au développement organique observé en Europe, le processus d'institutionnalisation en Turquie a été façonné de manière verticale par l'intervention de l'État. Ce processus a débuté en 2010 par une phase d'imposition, marquée par l'ajout d'un alinéa à l'article 20 de la Constitution et, en particulier, par la promulgation de la loi n° 6698 relative à la protection des données personnelles (KVKK) en 2016. Après la mise en place de ce cadre juridique contraignant, la transition vers la dimension éthique s'est opérée avec la création de l'Autorité de protection des données personnelles (KVKK), la mise en œuvre du Système d'information du registre des responsables du traitement des données (VERBIS) et la mise en conformité des infrastructures administratives et techniques des responsables du traitement avec la législation. Dans la dernière phase d'institutionnalisation, la dimension cognitive a été atteinte grâce à des séminaires, des campagnes de sensibilisation, des programmes de formation, des guides et une couverture médiatique des décisions de la KVKK relative’s aux violations de données, dans le but de sensibiliser la société et les institutions. Cette analyse révèle clairement que le processus d’institutionnalisation en Turquie progresse selon une séquence F-M-C (Force-Moral-Cognitif), exactement l’inverse de l’Europe, d’abord par l’obligation légale (Force), puis par la conformité institutionnelle (Moral), et enfin par l’internalisation mentale (Cognitif).

Les analyses démontrent que la création de l'Autorité de protection des données personnelles en Turquie et la mise en œuvre de la loi n° 6698 ont comblé une lacune importante sur les plans juridique et institutionnel. Cependant, pour que la protection des données personnelles devienne une norme sociétale permanente, intégrée et durable, il est insuffisant de s'appuyer uniquement sur des sanctions légales et des contrôles techniques. Le caractère majoritairement contraignant du processus engendre une perception superficielle de la protection des données et freine son institutionnalisation.

Selon les conclusions de l'étude, pour que le développement en Turquie soit couronné de succès à long terme, il est essentiel de passer d'une approche juridiquement contraignante (F-M-C) à un modèle cognitif (C-M-F) qui encourage les bonnes pratiques volontaires et privilégie l'intégration mentale, à l'instar du modèle européen. Pour que cette transformation fondamentale ait lieu, il est nécessaire d'améliorer les habitudes culturelles et le niveau de culture numérique, et de développer des actions de sensibilisation et d'éducation systématiques et généralisées, touchant tous les segments de la société. Les études futures qui examineront la théorie institutionnelle non seulement à travers la dynamique des sociétés occidentales, mais aussi dans le contexte de l'interaction individu-organisation, en tenant compte de la structure socioculturelle, juridique et administrative unique de la Turquie (modèle F-M-C), contribueront à la littérature nationale et offriront des solutions plus pertinentes pour l'élaboration des politiques publiques.

Resumen Estructurado:

En la era digital actual, el rapidísimo desarrollo de las tecnologías de la información y la comunicación ha facilitado la recopilación, el almacenamiento, el procesamiento y la transferencia de datos personales. Sin embargo, esta situación también ha traído consigo graves riesgos para la seguridad de los datos, en lo que respecta a la protección de la privacidad individual y la construcción de una sociedad de la información segura. Si bien los países occidentales desarrollados reconocieron esta situación desde el principio y establecieron infraestructuras legales y técnicas integrales, el proceso en Turquía se desarrolló más tarde, principalmente en consonancia con la dinámica externa y los esfuerzos por armonizarse con la Unión Europea. Los estudios sobre la protección de datos personales (PDP) en Turquía generalmente abordan el tema desde la perspectiva de la infraestructura técnica o el cumplimiento de las normativas legales. Sin embargo, la forma en que estos procesos se examinan en términos de expectativas institucionales, la búsqueda de legitimidad social y códigos culturales no se ha investigado suficientemente en la literatura.

El objetivo principal de este estudio es examinar las normativas y prácticas legales, administrativas y sociales relativas a la protección de datos personales en Turquía dentro del marco de la dimensión de "institucionalización" de la Nueva Teoría Institucional, y analizarlas comparativamente con el desarrollo histórico en Europa. El estudio también pretende subsanar lagunas teóricas en la bibliografía nacional, revelar problemas estructurales en el ámbito de la protección de datos personales y contribuir a consolidar este campo sobre una base institucional más sólida, ofreciendo recomendaciones estratégicas a los responsables de la toma de decisiones y a los profesionales.

La base teórica de este estudio se fundamenta en la "Teoría Institucional", que analiza no solo las actividades técnicas y funcionales de las organizaciones, sino también cómo se integran con su entorno social y cultural. Desde la perspectiva de la Nueva Teoría Institucional, una "institución" no es simplemente una estructura física o legal; es una estructura normativa y cognitiva construida por actores sociales, internalizada para obtener legitimidad y que guía el comportamiento de individuos y organizaciones. Esta teoría sostiene que las organizaciones obtienen legitimidad al adaptarse a tres presiones externas fundamentales: coercitivas (sanciones legales), normativas/morales (estándares profesionales y éticos) y cognitivas (sistemas de significado cultural). En este contexto, la "institucionalización" se refiere al proceso por el cual ciertos patrones de pensamiento y comportamiento obtienen continuidad en la vida social a lo largo del tiempo, alcanzando un estatus de "regla"; y siendo aceptados como "naturales" y "legítimos" no solo legalmente sino también socialmente. El proceso de institucionalización: Progresa a través de tres mecanismos principales: la "dimensión cognitiva", donde se establecen patrones mentales; la "dimensión moral", donde los patrones de comportamiento se validan a través de la educación y la certificación; y la "dimensión coercitiva", donde el estado impone las regulaciones.

En esta investigación, se optó por un método cualitativo, considerando la profundidad contextual del tema y la naturaleza multidimensional de los fenómenos. A diferencia de los métodos cuantitativos, este enfoque, que permite comprender los elementos culturales subyacentes a los fenómenos sociales y los comportamientos institucionales, utilizó el análisis documental como método de recolección y análisis de datos. Durante la recolección de datos, se realizó una revisión exhaustiva de la literatura; se examinaron en detalle regulaciones nacionales e internacionales, directivas, circulares, informes públicos, decisiones de juntas directivas y documentos de políticas. Los datos obtenidos se clasificaron según conceptos fundamentales de la teoría institucional y mecanismos de cumplimiento institucional (dimensiones cognitiva, moral y de coerción), y se analizaron temáticamente en función de dichas dimensiones, presentándose en tablas y figuras.

Los resultados de la investigación indican que la cultura de protección de datos personales en Europa ha seguido un proceso de desarrollo natural ascendente en un contexto histórico. Las amenazas a la privacidad surgidas con el desarrollo de las tecnologías de la información en las décadas de 1960 y 1970 generaron una fuerte conciencia social, sentando las bases de la etapa cognitiva. Tras esta base mental, se alcanzó la etapa moral mediante el establecimiento de un marco de responsabilidad a través de la creación de diversas instituciones, la publicación de documentos de orientación internacionales y el establecimiento de autoridades de protección de datos. Finalmente, la etapa de aplicación se completó con la promulgación vinculante de normas a través de textos legales como el Convenio n.º 108 del Consejo de Europa de 1981, la Directiva 95/46/CE de 1995 y, por último, el Reglamento General de Protección de Datos (RGPD), que entró en vigor en 2018 y establece sanciones bastante estrictas. En conclusión, el modelo de institucionalización europeo ha mostrado un desarrollo estable con una secuencia Cognitivo-Moral-Aplicación (C-M-A), evolucionando desde sanciones suaves hasta sanciones severas.

A diferencia del desarrollo orgánico en Europa, el proceso de institucionalización en Turquía se ha configurado de arriba abajo mediante la intervención de la autoridad estatal. El proceso en Turquía comenzó con la fase de imposición en 2010 con la adición de una cláusula al artículo 20 de la Constitución y, en particular, con la promulgación de la Ley n.º 6698 sobre la protección de datos personales (KVKK) en 2016. Tras el establecimiento del marco jurídico de imposición, se produjo la transición a la dimensión ética con la creación de la Autoridad de Protección de Datos Personales (KVKK), la implementación del Sistema de Información del Registro de Responsables del Tratamiento de Datos (VERBIS) y el cumplimiento de la legislación por parte de las infraestructuras administrativas y técnicas de los responsables del tratamiento de datos. En la etapa final de la institucionalización, se alcanzó la dimensión cognitiva mediante seminarios, anuncios de servicio público, programas de capacitación, documentos guía y cobertura mediática de las decisiones de la KVKK sobre violaciones de seguridad, con el objetivo de sensibilizar a la sociedad y a las instituciones. Este análisis revela claramente que el proceso de institucionalización en Turquía progresa en una secuencia F-M-C (Imposición-Moral-Cognitivo), exactamente lo contrario que en Europa, primero a través de la obligación legal (Imposición), luego la conformidad institucional (Moral) y finalmente la internalización mental (Cognitivo).

Los análisis demuestran que la creación de la Autoridad de Protección de Datos Personales en Turquía y la implementación de la Ley n.° 6698 han subsanado una importante deficiencia a nivel legal e institucional. Sin embargo, para que la comprensión de la protección de datos personales se convierta en una norma social permanente, internalizada y sostenible, no basta con depender únicamente de sanciones legales y controles técnicos. El hecho de que el proceso siga siendo predominantemente coercitivo genera una percepción superficial de la protección de datos y crea obstáculos para su institucionalización.

Según los resultados del estudio, para que el desarrollo en Turquía tenga éxito a largo plazo, es fundamental pasar de un enfoque basado en mandatos legales (F-M-C) a un modelo cognitivo (C-M-F) que promueva prácticas voluntarias correctas y se centre en la internalización mental, como en el modelo europeo. Para que se produzca esta transformación fundamental, es necesario mejorar los hábitos culturales y los niveles de alfabetización digital, así como aumentar las actividades de sensibilización y educación generalizadas y sistemáticas que abarquen a todos los segmentos de la sociedad.

Futuros estudios que examinen la teoría institucional no solo a través de la dinámica de las sociedades occidentales, sino también en el contexto de la interacción individuo-organización, teniendo en cuenta la singular estructura sociocultural, jurídica y administrativa de Turquía (modelo F-M-C), contribuirán a la literatura nacional y ofrecerán soluciones más aplicables a los procesos de formulación de políticas.

结构化摘要：

在当今的数字时代，信息和通信技术的飞速发展极大地促进了个人数据的收集、存储、处理和传输。然而，这也带来了严重的数据安全风险，尤其是在保护个人隐私和构建安全的信息社会方面。发达的西方国家很早就认识到了这一问题，并建立了完善的法律和技术基础设施，而土耳其的进程则相对较晚，这主要是受外部环境变化和与欧盟协调努力的影响。目前关于土耳其个人数据保护的研究大多从技术基础设施或法律法规遵守的角度出发。然而，文献中尚未充分探讨如何从制度预期、社会合法性寻求和文化规范的角度来审视这些过程。

本研究的主要目的是在新制度理论的“制度化”维度框架下，考察土耳其个人数据保护方面的法律、行政和社会法规及实践，并将其与欧洲的历史发展进行比较分析。该研究还旨在填补国内文献中的理论空白，揭示个人数据保护领域的结构性问题，并通过向决策者和从业者提供战略建议，为建立该领域更坚实的制度基础做出贡献。

本研究的理论基础是“制度理论”，该理论不仅分析组织的技术和功能活动，还分析它们如何与社会文化环境相融合。从新制度理论的视角来看，“制度”不仅仅是物理或法律结构，而是由社会行动者构建的规范性和认知性结构，这种结构被内化以获得合法性，并指导个人和组织的行为。该理论认为，组织通过适应三种基本的外部压力来获得合法性：强制力（法律制裁）、规范/道德压力（职业和道德标准）以及认知压力（文化意义体系）。在此背景下，“制度化”指的是某些思维和行为模式在社会生活中随着时间的推移而获得延续性，最终达到“规则化”地位，并被社会和法律层面都视为“自然”和“合法”的过程。制度化过程主要通过三种机制进行：“认知维度”，即心理模式的建立；“道德维度”，即通过教育和认证来验证行为模式；以及“强制维度”，即国家强制执行法规。

本研究采用定性研究方法，以充分考虑研究主题的背景深度和现象的多维性。与定量方法不同，这种方法能够深入理解社会现象和制度行为背后的文化因素，并采用“文献分析”作为数据收集和分析方法。在数据收集过程中，研究人员全面回顾了相关文献，并详细审查了国家和国际法规、指令、通告、公开报告、董事会决议和政策文件。收集到的数据根据​​制度理论和制度合规机制的基本概念（认知、道德和强制维度）进行分类，并基于这些维度进行主题分析，最终以表格和图表的形式呈现。

研究结果表明，欧洲个人数据保护文化在历史背景下经历了自下而上的自然发展过程。20世纪60年代和70年代信息技术发展带来的隐私威胁在社会中引发了强烈的意识，奠定了认知阶段的基础。在此心理基础之上，通过建立各类机构、发布国际指导文件以及设立数据保护机构，构建了责任框架，从而进入了道德阶段。最终，通过诸如1981年欧洲委员会第108号公约、1995年第95/46/EC号指令以及2018年生效并具有相当严格制裁措施的《通用数据保护条例》(GDPR）等法律文本，实现了具有约束力的规范性法规的颁布，完成了强制阶段。总之，欧洲的制度化模式呈现出认知-道德-强制（C-M-F）的稳定发展态势，从温和的制裁逐步演变为严厉的制裁。

与欧洲的有机发展不同，土耳其的制度化进程是由国家权力机构自上而下地主导塑造的。土耳其的这一进程始于2010年的强制阶段，当时在宪法第20条中增加了一项条款，特别是2016年颁布了第6698号《个人数据保护法》（KVKK）。在强制性法律框架建立之后，随着个人数据保护局（KVKK）的成立、数据控制者注册信息系统（VERBIS）的实施以及数据控制者行政/技术基础设施符合相关法律法规的要求，这一进程过渡到了伦理层面。在制度化的最后阶段，通过举办研讨会、发布公益广告、开展培训项目、编写指导文件以及KVKK对违规事件的处理结果进行媒体报道等方式，旨在提高社会和机构的意识，最终达到了认知层面。这项分析清楚地表明，土耳其的制度化过程是按照 F-M-C（强制-道德-认知）的顺序进行的，这与欧洲的情况正好相反，欧洲首先通过法律义务（强制），然后是制度上的顺从（道德），最后是心理上的内化（认知）。

分析表明，土耳其个人数据保护局的成立以及第6698号法律的实施，填补了法律和制度层面的重大空白。然而，要使个人数据保护的理念成为一种永久、内化且可持续的社会规范，仅仅依靠法律制裁和技术控制是不够的。目前，该过程仍然主要以“强制”为主，导致人们对数据保护的理解流于表面，并阻碍了制度化进程。

研究发现，为了土耳其的长期发展取得成功，至关重要的是要从基于法律强制（F-M-C）的方法转向基于认知（C-M-F）的模式，后者提倡自愿的正确做法，并注重心理内化，正如欧洲模式所倡导的那样。为了实现这一根本性的转变，必须改善文化习惯和数字素养水平，并加强覆盖社会各阶层的广泛、系统的宣传和教育活动。

未来的研究若不仅从西方社会动态的角度，而且在个体与组织互动的背景下，结合土耳其独特的社会文化、法律和行政结构（F-M-C模型），来考察制度理论，将有助于丰富土耳其的制度理论文献，并为政策制定过程提供更具适用性的解决方案。

Структурированная аннотация:

В современную цифровую эпоху чрезвычайно быстрое развитие информационных и коммуникационных технологий способствовало сбору, хранению, обработке и передаче персональных данных. Однако эта ситуация также повлекла за собой серьезные риски для безопасности данных с точки зрения защиты частной жизни и построения безопасного информационного общества. В то время как развитые западные страны рано осознали эту ситуацию и создали всеобъемлющую правовую и техническую инфраструктуру, в Турции этот процесс развивался позже, в основном в соответствии с внешней динамикой и усилиями по гармонизации с Европейским союзом. Исследования по защите персональных данных (ЗПД) в Турции, как правило, рассматривают этот вопрос с точки зрения технической инфраструктуры или соблюдения правовых норм. Однако то, как эти процессы рассматриваются с точки зрения институциональных ожиданий, поиска общественной легитимности и культурных кодов, недостаточно изучено в литературе.

Основная цель данного исследования — изучить правовые, административные и социальные нормы и практики, касающиеся защиты персональных данных в Турции в рамках измерения «институционализации» Новой институциональной теории, и проанализировать их в сравнительном контексте с историческим развитием в Европе. Целью исследования также является восполнение теоретических пробелов в национальной литературе, выявление структурных проблем в области защиты персональных данных и содействие укреплению институциональной основы этой области путем предоставления стратегических рекомендаций лицам, принимающим решения, и практикам.

Теоретической основой данного исследования является «институциональная теория», которая анализирует не только техническую и функциональную деятельность организаций, но и то, как они интегрируются со своей социальной и культурной средой. С точки зрения новой институциональной теории, «институт» — это не просто физическая или юридическая структура; это нормативная и когнитивная структура, созданная социальными субъектами, интернализированная для обретения легитимности и направляющая поведение отдельных лиц и организаций. Эта теория утверждает, что организации обретают легитимность, адаптируясь к трем фундаментальным внешним факторам: принуждению (юридические санкции), нормативно-моральным (профессиональные и этические стандарты) и когнитивным (культурные системы значений). В этом контексте «институционализация» относится к процессу, посредством которого определенные модели мышления и поведения приобретают преемственность в социальной жизни с течением времени, достигая «правоподобного» статуса и принимаяся как «естественные» и «легитимные» не только юридически, но и социально. Процесс институционализации проходит через три основных механизма: «когнитивное измерение», где формируются ментальные модели; Существует «моральное измерение», в котором модели поведения подтверждаются посредством образования и сертификации; и «принудительное измерение», в котором государство обеспечивает соблюдение правил.

В данном исследовании предпочтение было отдано качественному методу, учитывающему контекстную глубину предмета и многомерный характер явлений. В отличие от количественных методов, этот подход, позволяющий понять культурные элементы, лежащие в основе социальных явлений и институционального поведения, использовал «анализ документов» в качестве метода сбора и анализа данных. В процессе сбора данных был проведен всесторонний обзор литературы; подробно изучены национальные и международные нормативные акты, директивы, циркуляры, публичные отчеты, решения советов и программные документы. Полученные данные были классифицированы в соответствии с основными понятиями институциональной теории и механизмами институционального соответствия (когнитивное, моральное и принудительное измерения) и тематически проанализированы на основе когнитивного, морального и принудительного измерений, представлены в таблицах и рисунках.

Результаты исследования показывают, что культура защиты персональных данных в Европе развивалась естественным путем «снизу вверх» в историческом контексте. Угрозы конфиденциальности, возникшие с развитием информационных технологий в 1960-х и 1970-х годах, сформировали сильное осознание в обществе, заложив основу когнитивного этапа. Следуя этой ментальной основе, был достигнут моральный этап, включавший создание системы ответственности посредством формирования различных институтов, публикации международных руководящих документов и учреждения органов по защите данных. Наконец, этап принуждения завершился принятием обязательных нормативных актов в виде правовых текстов, таких как Конвенция Совета Европы № 108 от 1981 года, Директива 95/46/EC от 1995 года и, наконец, Общий регламент по защите данных (GDPR), который вступил в силу в 2018 году и предусматривает довольно строгие санкции. В заключение, европейская модель институционализации продемонстрировала стабильное развитие в последовательности «когнитивное-моральное-принуждение» (К-П-П), эволюционируя от мягких к жестким санкциям.

В отличие от органического развития в Европе, процесс институционализации в Турции формировался сверху вниз посредством вмешательства государственных органов. Процесс в Турции начался с этапа принуждения в 2010 году с добавления пункта в статью 20 Конституции и, в частности, с принятия Закона № 6698 о защите персональных данных (KVKK) в 2016 году. После создания правовой базы принуждения произошел переход к этическому измерению с созданием Управления по защите персональных данных (KVKK), внедрением системы регистрации информации о контролерах данных (VERBIS) и приведением административно-технической инфраструктуры контролеров данных в соответствие с законодательством. На заключительном этапе институционализации было достигнуто когнитивное измерение посредством семинаров, социальной рекламы, программ обучения, руководящих документов и освещения в СМИ решений KVKK о нарушениях, направленных на повышение осведомленности общества и учреждений. Этот анализ ясно показывает, что процесс институционализации в Турции протекает в последовательности F-M-C (принуждение-мораль-познание), что прямо противоположно ситуации в Европе: сначала через юридическое обязательство (принуждение), затем через институциональное соответствие (мораль) и, наконец, через ментальную интернализацию (познание).

Анализы показывают, что создание Управления по защите персональных данных в Турции и принятие Закона № 6698 заполнили существенный пробел на правовом и институциональном уровне. Однако для того, чтобы понимание защиты персональных данных стало постоянной, усвоенной и устойчивой общественной нормой, полагаться исключительно на правовые санкции и технический контроль недостаточно. Тот факт, что процесс остается преимущественно «принудительным», приводит к поверхностному восприятию защиты данных и создает препятствия для институционализации.

Согласно результатам исследования, для долгосрочного успеха развития в Турции крайне важно перейти от подхода, основанного на законодательном предписании (F-M-C), к когнитивно-ориентированной модели (C-M-F), которая способствует добровольному внедрению правильных практик и ставит во главу угла ментальную интернализацию, как это принято в европейской модели. Для осуществления этой фундаментальной трансформации необходимо улучшить культурные привычки и уровень цифровой грамотности, а также расширить масштабы систематической информационно-просветительской деятельности, охватывающей все слои общества.

Будущие исследования, рассматривающие институциональную теорию не только в контексте динамики западных обществ, но и в контексте взаимодействия индивида и организации, принимая во внимание уникальную социокультурную, правовую и административную структуру Турции (модель F-M-C), внесут вклад в национальную литературу и предложат более применимые решения для процессов принятия политических решений.

संरचित सारांश:

आज के डिजिटल युग में, सूचना और संचार प्रौद्योगिकियों के तीव्र विकास ने व्यक्तिगत डेटा के संग्रह, भंडारण, प्रसंस्करण और हस्तांतरण को सुगम बना दिया है। हालांकि, इस स्थिति ने व्यक्तिगत गोपनीयता की रक्षा और एक सुरक्षित सूचना समाज के निर्माण के संदर्भ में गंभीर डेटा सुरक्षा जोखिम भी पैदा कर दिए हैं। जबकि विकसित पश्चिमी देशों ने इस स्थिति को शीघ्र ही पहचान लिया और व्यापक कानूनी और तकनीकी अवसंरचना स्थापित की, तुर्की में यह प्रक्रिया बाद में, मुख्य रूप से बाहरी गतिशीलता और यूरोपीय संघ के साथ सामंजस्य स्थापित करने के प्रयासों के अनुरूप, आकार लेने लगी। तुर्की में व्यक्तिगत डेटा संरक्षण (पीडीपी) पर अध्ययन आम तौर पर तकनीकी अवसंरचना या कानूनी नियमों के अनुपालन के परिप्रेक्ष्य से इस मुद्दे को संबोधित करते हैं। हालांकि, संस्थागत अपेक्षाओं, सामाजिक वैधता की खोज और सांस्कृतिक कोड के संदर्भ में इन प्रक्रियाओं की जांच साहित्य में पर्याप्त रूप से नहीं की गई है।

इस अध्ययन का मुख्य उद्देश्य नव संस्थागत सिद्धांत के "संस्थागतकरण" आयाम के ढांचे के भीतर तुर्की में व्यक्तिगत डेटा संरक्षण से संबंधित कानूनी, प्रशासनिक और सामाजिक नियमों और प्रथाओं की जांच करना और यूरोप में ऐतिहासिक विकास के साथ उनकी तुलनात्मक विश्लेषण करना है। इस अध्ययन का उद्देश्य राष्ट्रीय साहित्य में मौजूद सैद्धांतिक कमियों को दूर करना, व्यक्तिगत डेटा संरक्षण के क्षेत्र में संरचनात्मक समस्याओं को उजागर करना और निर्णयकर्ताओं और अभ्यासकर्ताओं को रणनीतिक सिफारिशें प्रदान करके इस क्षेत्र को अधिक ठोस संस्थागत आधार पर स्थापित करने में योगदान देना भी है।

इस अध्ययन का सैद्धांतिक आधार "संस्थागत सिद्धांत" पर टिका है, जो न केवल संगठनों की तकनीकी और कार्यात्मक गतिविधियों का विश्लेषण करता है, बल्कि यह भी देखता है कि वे अपने सामाजिक और सांस्कृतिक परिवेश के साथ कैसे एकीकृत होते हैं। नव-संस्थागत सिद्धांत के परिप्रेक्ष्य से, एक "संस्था" केवल एक भौतिक या कानूनी संरचना नहीं है; यह सामाजिक कर्ताओं द्वारा निर्मित एक मानक और संज्ञानात्मक संरचना है, जो वैधता प्राप्त करने के लिए आंतरिक रूप से अपनाई जाती है, और व्यक्तियों और संगठनों के व्यवहार का मार्गदर्शन करती है। यह सिद्धांत तर्क देता है कि संगठन तीन मूलभूत बाहरी दबावों के अनुकूल होकर वैधता प्राप्त करते हैं: बाध्यकारी (कानूनी प्रतिबंध), मानक/नैतिक (पेशेवर और नैतिक मानदंड), और संज्ञानात्मक (सांस्कृतिक अर्थ प्रणाली)। इस संदर्भ में, "संस्थागतकरण" उस प्रक्रिया को संदर्भित करता है जिसके द्वारा विचार और व्यवहार के कुछ पैटर्न समय के साथ सामाजिक जीवन में निरंतरता प्राप्त करते हैं, एक "नियम-समान" स्थिति प्राप्त करते हैं; और न केवल कानूनी रूप से बल्कि सामाजिक रूप से भी "स्वाभाविक" और "वैध" के रूप में स्वीकार किए जाते हैं। संस्थागतकरण प्रक्रिया: यह तीन मुख्य तंत्रों के माध्यम से आगे बढ़ती है: "संज्ञानात्मक आयाम," जहां मानसिक पैटर्न स्थापित होते हैं; "नैतिक आयाम," जहां शिक्षा और प्रमाणन के माध्यम से व्यवहारिक पैटर्न को मान्य किया जाता है; और "बलपूर्वक लागू करने वाला आयाम," जहां राज्य नियमों को लागू करता है।

इस शोध में, विषय की प्रासंगिक गहराई और घटनाओं की बहुआयामी प्रकृति को ध्यान में रखते हुए, गुणात्मक शोध पद्धति को प्राथमिकता दी गई। मात्रात्मक पद्धतियों के विपरीत, यह दृष्टिकोण, जो सामाजिक घटनाओं और संस्थागत व्यवहारों के पीछे के सांस्कृतिक तत्वों को समझने में सहायक है, ने डेटा संग्रह और विश्लेषण पद्धति के रूप में "दस्तावेज़ विश्लेषण" का उपयोग किया। डेटा संग्रह प्रक्रिया के दौरान, साहित्य की व्यापक समीक्षा की गई; राष्ट्रीय और अंतर्राष्ट्रीय विनियमों, निर्देशों, परिपत्रों, सार्वजनिक रिपोर्टों, बोर्ड के निर्णयों और नीतिगत दस्तावेजों की गहन जांच की गई। प्राप्त डेटा को संस्थागत सिद्धांत और संस्थागत अनुपालन तंत्र (संज्ञानात्मक, नैतिक और बाध्यकारी आयाम) की मूलभूत अवधारणाओं के आधार पर वर्गीकृत किया गया और संज्ञानात्मक, नैतिक और बाध्यकारी आयामों के आधार पर विषयगत विश्लेषण किया गया, जिसे तालिकाओं और चित्रों में प्रस्तुत किया गया है।

शोध निष्कर्ष बताते हैं कि यूरोप में व्यक्तिगत डेटा संरक्षण की संस्कृति ने ऐतिहासिक संदर्भ में एक स्वाभाविक बॉटम-अप विकास प्रक्रिया का अनुसरण किया है। 1960 और 1970 के दशक में सूचना प्रौद्योगिकी के विकास के साथ उभरे गोपनीयता के खतरों ने समाज में एक मजबूत जागरूकता पैदा की, जिसने संज्ञानात्मक चरण का आधार बनाया। इस मानसिक आधार के बाद, विभिन्न संस्थानों की स्थापना, अंतर्राष्ट्रीय मार्गदर्शन दस्तावेजों के प्रकाशन और डेटा संरक्षण प्राधिकरणों की स्थापना के माध्यम से उत्तरदायित्व का ढांचा तैयार करके नैतिक चरण तक पहुंचा गया। अंततः, यूरोप परिषद कन्वेंशन संख्या 108, 1981, निर्देश 95/46/EC, 1995 और अंत में सामान्य डेटा संरक्षण विनियमन (GDPR), जो 2018 में लागू हुआ और जिसमें काफी सख्त प्रतिबंध हैं, जैसे कानूनी ग्रंथों के माध्यम से मानक नियमों के बाध्यकारी अधिनियमन के साथ बाध्यकारी चरण पूरा हुआ। निष्कर्षतः, यूरोपीय संस्थागतकरण मॉडल ने संज्ञानात्मक-नैतिक-बाध्यकारी (C-M-F) अनुक्रम के साथ एक स्थिर विकास दिखाया है, जो नरम से कठोर प्रतिबंधों की ओर विकसित हुआ है।

यूरोप में हुए स्वाभाविक विकास के विपरीत, तुर्की में संस्थागतकरण की प्रक्रिया राज्य प्राधिकरण के हस्तक्षेप से ऊपर से नीचे तक आकार लेती रही है। तुर्की में यह प्रक्रिया 2010 में संविधान के अनुच्छेद 20 में एक खंड के संशोधन और विशेष रूप से 2016 में व्यक्तिगत डेटा संरक्षण कानून संख्या 6698 (KVKK) के अधिनियमन के साथ अनिवार्य चरण से शुरू हुई। अनिवार्य कानूनी ढांचा स्थापित होने के बाद, व्यक्तिगत डेटा संरक्षण प्राधिकरण (KVKK) की स्थापना, डेटा नियंत्रक रजिस्ट्री सूचना प्रणाली (VERBIS) के कार्यान्वयन और डेटा नियंत्रकों के प्रशासनिक/तकनीकी बुनियादी ढांचे के कानून के अनुपालन के साथ नैतिक आयाम की ओर संक्रमण हुआ। संस्थागतकरण के अंतिम चरण में, समाज और संस्थानों में जागरूकता बढ़ाने के उद्देश्य से KVKK द्वारा आयोजित सेमिनारों, सार्वजनिक सेवा घोषणाओं, प्रशिक्षण कार्यक्रमों, मार्गदर्शक दस्तावेजों और उल्लंघन निर्णयों के मीडिया कवरेज के माध्यम से संज्ञानात्मक आयाम प्राप्त किया गया। यह विश्लेषण स्पष्ट रूप से दर्शाता है कि तुर्की में संस्थागतकरण की प्रक्रिया एफ-एम-सी (बलपूर्वक-नैतिक-संज्ञानात्मक) क्रम में आगे बढ़ती है, जो यूरोप के बिल्कुल विपरीत है, पहले कानूनी दायित्व (बलपूर्वक), फिर संस्थागत अनुरूपता (नैतिक), और अंत में मानसिक आंतरिककरण (संज्ञानात्मक) के माध्यम से।

विश्लेषणों से पता चलता है कि तुर्की में व्यक्तिगत डेटा संरक्षण प्राधिकरण की स्थापना और कानून संख्या 6698 के कार्यान्वयन ने कानूनी और संस्थागत स्तर पर एक महत्वपूर्ण कमी को पूरा किया है। हालांकि, व्यक्तिगत डेटा संरक्षण की समझ को एक स्थायी, आंतरिक और टिकाऊ सामाजिक मानदंड बनाने के लिए, केवल कानूनी प्रतिबंधों और तकनीकी नियंत्रणों पर निर्भर रहना अपर्याप्त है। यह तथ्य कि प्रक्रिया अभी भी मुख्य रूप से "जबरदस्ती" पर आधारित है, डेटा संरक्षण की सतही धारणा को जन्म देता है और संस्थागतकरण में बाधा उत्पन्न करता है।

अध्ययन के निष्कर्षों के अनुसार, तुर्की में दीर्घकालिक विकास की सफलता के लिए, कानूनी रूप से अनिवार्य (एफ-एम-सी) दृष्टिकोण से हटकर एक संज्ञानात्मक (सी-एम-एफ) मॉडल की ओर बढ़ना महत्वपूर्ण है, जो स्वैच्छिक सही प्रथाओं को बढ़ावा देता है और मानसिक आत्मसातकरण को केंद्र में रखता है, जैसा कि यूरोपीय मॉडल में है। इस मूलभूत परिवर्तन के लिए, सांस्कृतिक आदतों और डिजिटल साक्षरता के स्तर में सुधार करना और समाज के सभी वर्गों को शामिल करते हुए व्यापक, व्यवस्थित जागरूकता और शिक्षा गतिविधियों को बढ़ाना आवश्यक है।

भविष्य में किए जाने वाले वे अध्ययन जो संस्थागत सिद्धांत का विश्लेषण न केवल पश्चिमी समाजों की गतिशीलता के माध्यम से करते हैं, बल्कि तुर्की की अनूठी सामाजिक-सांस्कृतिक, कानूनी और प्रशासनिक संरचना (एफ-एम-सी मॉडल) को ध्यान में रखते हुए व्यक्ति-संगठन अंतःक्रिया के संदर्भ में भी करते हैं, राष्ट्रीय साहित्य में योगदान देंगे और नीति-निर्माण प्रक्रियाओं के लिए अधिक व्यावहारिक समाधान प्रस्तुत करेंगे।