Giriş
09 Aralık 2025 Tarihli ve 33102 Sayılı Resmî Gazete’de;
Kişisel Verileri Koruma Kurulunun 06/11/2025 Tarihli ve 2025/2120 Sayılı Kararı yayımlanmıştır. İlgili ilke kararı, turizm ve otelcilik sektöründe uzun süredir yaygın şekilde uygulanan “konaklama yapan misafirlerden T.C. kimlik belgesi fotokopisi alınması” uygulamasına yönelik artan şikâyet ve ihbarlar sonucunda hazırlanmış olduğu ve Kurulun, bu uygulamanın hukuka uygun olup olmadığını, veri minimizasyonu ve ölçülülük ilkeleri çerçevesinde ayrıntılı şekilde incelemesinin gerektiği belirtilmiştir.
Kişisel Verilerin İşlenme Şartlarına İlişkin Mevzuat Hükümleri
- Bu çerçevede mevzuat hükümleri incelendiğinde; 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5 inci maddesinde kişisel verilerin işlenme şartlarına yer verilmiş olup; bu maddenin birinci fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması, ilgili kişinin kendisi tarafından alenileştirilmiş olması, bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemesinin zorunlu olması) birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükme bağlanmıştır.
- Kanun’un 6’ncı maddesi gereğince; kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi; ilgili kişinin açık rızasının olması, kanunlarda açıkça öngörülmesi, fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, ilgili kişinin alenileştirdiği kişisel verilerle ilgili olması ve alenileştirme iradesine uygun olması, bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması ve finansmanı amacıyla gerekli olması, istihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması, siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kar amacı gütmeyen kuruluşlar tarafından, yalnızca kendi üyelerine veya bunlarla düzenli temasta bulunan kişilere yönelik olması kaydıyla, amaçlarına uygun ve ölçülü şekilde işlenmesi, kamu sağlığının korunması ile kamu düzeninin veya suç işlenmesinin önlenmesi için kolluk birimleri ve yargı makamlarınca zorunlu görülmesi hâllerinden birinin varlığı durumunda mümkündür. Özel nitelikli verilerin işlenmesinde ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
- 1774 sayılı Kimlik Bildirme Kanunu’nun 2’nci maddesi; “Otel, motel, han, pansiyon, bekar odaları, günübirlik kiralanan evler, kamp, kamping, tatil köyü ve benzeri her türlü, özel veya resmî konaklama yerleri ile özel sağlık müesseseleri, dinlenme ve huzur evleri, dinî ve hayır kurumlarının sosyal tesislerinin sorumlu işleticileri, bu yerlerde ücretli veya ücretsiz, gündüz veya gece, yatacak yer gösterdikleri yerli veya yabancı herkesin kimlik ve geliş–ayrılış kayıtlarını, örneğine ve usulüne uygun şekilde günü gününe tutmak, genel kolluk örgütlerinin her an incelemelerine hazır bulundurmak, Devlet İstatistik Enstitüsüne talebi hâlinde vermek zorundadırlar.” hükmünü içerir.
- Kimlik Bildirme Kanununun Uygulanmasına Dair Yönetmeliğin “Kayıtlama” başlıklı 5’inci maddesi; “Bu Yönetmelik hükümlerine göre kimlik bildirme belgelerini en yakın yetkili genel kolluk örgütlerine vermekle yükümlü tutulanlar, kimliğini nüfus hüviyet cüzdanı veya diğer resmî geçerli belgelerle ispat edemeyen kimseleri, tesislerinde barındıramaz, dinlenme ve iş yerinde çalıştıramaz.” hükmünü düzenler. Aynı yönetmeliğin “Yükümlü” başlıklı 23’üncü maddesi; “Yönetmeliğin 6’ncı maddesinde sayılan yerlerin sorumlu işleticileri tarafından; buralarda ücretli veya ücretsiz, gündüz veya gece yatacak yer gösterilen yerli veya yabancı herkesin kimliği ile geliş ve ayrılış tarihleri, Konaklama Yeri Kayıt Defteri (Form-7) ne günü gününe geçirilir. Bu yerlerde kalacak kişilerin, kendilerine verilecek kopyalı bir örnek Konaklama Belgesi (Form-8) ni doldurarak imzalamaları ve sorumlu işleticilere vermeleri şarttır. Konaklama belgesindeki bilgiler, kişinin kimliğini belirten geçerli resmî belge ile karşılaştırıldıktan sonra, konaklama yeri kayıt defterine aktarılır.” hükümlerini içerir.
Yukarıda yer verilen mevzuat hükümleri doğrultusunda konaklama yerlerinin müşterilerden isim, soyisim ve T.C. kimlik numarası gibi temel kimlik bilgilerini alarak kaydetmesinin hem Kimlik Bildirme Kanunu hem de 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında hukuka uygun olduğu belirtilmektedir. Ancak kimlik bilgilerini doğrulamak için kimlik belgesinin gösterilmesinin yeterli olduğu, bunun ötesine geçilerek kimlik veya nüfus cüzdanı fotokopisinin alınmasının hukuki bir dayanağının bulunmadığı ve bu nedenle hukuka aykırı olduğu ifade edilmektedir. Ayrıca nüfus cüzdanlarında din ve kan grubu gibi özel nitelikli kişisel veriler bulunduğundan, fotokopi alma uygulamasının daha da sakıncalı olduğu vurgulanmaktadır. Öte yandan konaklama hizmeti bir satış işlemi niteliği taşıdığından, faturaya ve günlük müşteri listelerine yazılması zorunlu bilgiler kapsamındaki kişisel verilerin kaydedilmesi ise Vergi Usul Kanunu çerçevesinde yasal kabul edilmektedir. Sonuç olarak, gerekli olduğu kadarıyla kimlik bilgilerinin kaydedilmesi hukuka uygunken, kimlik fotokopisi alınması hukuka aykırı bir veri işleme faaliyeti olarak değerlendirilmektedir.
Kurul tarafından yapılan değerlendirme sonucunda; turizm ve otelcilik sektöründe faaliyet gösteren veri sorumlularının konaklama amacıyla misafirlerden T.C. kimlik belgesi fotokopisi alma uygulamasına son verilmesine karar verilmiştir. Ayrıca, kararın yayımlanmasından önce alınmış olan kimlik belgesi fotokopilerinin Kanun’un 7. maddesi uyarınca imha edilmesi gerektiği hükme bağlanmıştır.
Kanun’un 12. maddesi gereğince veri sorumlularının kişisel verilerin hukuka uygun işlenmesini sağlamak amacıyla gerekli teknik ve idari tedbirleri almakla yükümlü olduğu; bu yükümlülüklere aykırı hareket edilmesi hâlinde Kanun’un 18. maddesi kapsamında yaptırım uygulanacağı kamuoyuna duyurulmuştur. Bu doğrultuda alınan İlke Kararı’nın Resmî Gazete’de ve Kurumun internet sitesinde yayımlanmasına oybirliğiyle karar verilmiştir.
Turkish