Kişisel Verileri Koruma Kurulu (“Kurul”), 06.11.2025 tarihli ve 2025/2120 sayılı İlke Kararı (“İlke Kararı”) ile, turizm ve otelcilik sektöründe konaklama hizmeti sunan işletmeler tarafından misafirlerden T.C. kimlik belgesi fotokopisi alınması uygulamasını, 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) çerçevesinde değerlendirmiştir. Söz konusu İlke Kararı, 09.12.2025 tarihli Resmî Gazete’de yayımlanmıştır.

Kurul, değerlendirmesini; bu uygulamanın sektörde yaygın şekilde benimsenmiş olması, şikâyet ve ihbarlara konu edilmesi ve kişisel verilerin işlenmesinde ölçülülük ve veri minimizasyonu ilkeleriyle bağdaşmadığı yönündeki tespitler çerçevesinde yapmıştır. Karar ile amaçlanan, konaklama tesislerinde kişisel verilerin işlenmesine ilişkin uygulamaların KVKK ile uyumlu hale getirilmesidir.

Kurul, öncelikle ilgili mevzuat çerçevesini ele almış; 1774 sayılı Kimlik Bildirme Kanunu uyarınca konaklama tesislerinin misafirlerin kimlik bilgilerini kontrol etme ve belirli bilgileri kayıt altına alma yükümlülüğünün bulunduğunu kabul etmekle birlikte, bu yükümlülüğün kimlik belgesinin fotokopi yoluyla alınmasını veya çoğaltılarak saklanmasını zorunlu kılan bir düzenleme içermediğini açıkça ortaya koymuştur. Bu kapsamda, kimlik bildirimi yükümlülüğünün, kimlik belgesinin aynen kopyalanması olarak yorumlanamayacağı vurgulanmıştır.

Kurul’a göre; konaklama hizmeti sunulması sırasında misafirin ad, soyad, T.C. kimlik numarası ile geliş ve ayrılış tarihleri gibi bilgilerin, ilgili mevzuatta öngörülen kayıt sistemlerine işlenmesi hukuka uygun bir kişisel veri işleme faaliyetidir. Ayrıca, bu bilgilerin doğruluğunun sağlanması amacıyla kimlik belgesinin ibraz edilmesi ve görülmesi, gerekli ve ölçülü bir işlem olarak kabul edilmektedir. Bu noktada Kurul, kimliğin görülmesi ile kimliğin çoğaltılarak saklanması arasında açık bir hukuki ayrım yapmıştır.

Kurul’un değerlendirmesinde özellikle dikkat çekilen bir diğer husus, kimlik belgesi türüne göre işlenen veri kapsamının farklılaşmasıdır. Eski tip nüfus cüzdanlarında yer alan din hanesi, kan grubu, medeni hâl ve aile bilgileri gibi verilerin, konaklama hizmetiyle herhangi bir ilgisi bulunmamasına rağmen kimlik fotokopisi yoluyla işlenmesi, gereksiz ve ölçüsüz veri işleme sonucunu doğurmaktadır. Benzer şekilde, yeni tip çipli T.C. kimlik kartlarında her ne kadar bu bilgiler fiziksel olarak yer almasa da, kimlik belgesinin fotokopi veya tarama yoluyla alınmasının, ilgili kişiye ait biyometrik ve elektronik veri güvenliği risklerini beraberinde getirdiği değerlendirilmiştir.

Kurul, bu kapsamda, kimlik fotokopisi alma uygulamasının; kimlik belgesinde yer alan ve konaklama faaliyeti açısından hiçbir gereklilik taşımayan verilerin de işlenmesine yol açarak, KVKK’nın 6. maddesinde düzenlenen özel nitelikli kişisel verilerin korunmasına ilişkin rejimi dolaylı biçimde ihlal edebileceğine dikkat çekmiştir. Din bilgisi ve kan grubu gibi veriler açıkça özel nitelikli kişisel veri sayıldığından, bu verilerin herhangi bir hukuki dayanak olmaksızın işlenmesi, veri sorumluları açısından ağır hukuki riskler doğurmaktadır.

Buna karşılık, kimlik belgesinin ibraz edilerek yalnızca kimlik doğrulama amacıyla görülmesi, herhangi bir veri kaydına veya çoğaltmaya yol açmadığı sürece, özel nitelikli kişisel verilerin işlenmesi sonucunu doğurmamakta ve bu yönüyle hukuka uygun kabul edilmektedir.

Kurul’un değerlendirmesi yalnızca kimlik bildirimi yükümlülüğü ile sınırlı tutulmamış; faturalandırma ve mali mevzuattan kaynaklanan gerekçeler de ayrıca ele alınmıştır. Bu kapsamda, 213 sayılı Vergi Usul Kanunu ve ilgili ikincil düzenlemeler uyarınca fatura veya benzeri mali belgelerin düzenlenmesi için kimlik bilgilerine ihtiyaç duyulmasının, kimlik belgesinin fotokopi olarak alınmasını zorunlu kılmadığı açıkça belirtilmiştir. Kurul, faturalandırma amacıyla gerekli olan verilerin yalnızca mevzuatın öngördüğü ölçüde kaydedilmesinin yeterli olduğunu; kimlik belgesinin aynen çoğaltılmasının faturalandırma yükümlülüğünün doğal veya zorunlu bir unsuru olarak kabul edilemeyeceğini ifade etmiştir.

Bu çerçevede Kurul, konaklama tesislerinin kimlik fotokopisi alma uygulamasına son vermesi gerektiğini, daha önce bu şekilde elde edilmiş kimlik fotokopilerinin ise KVKK’ya uygun şekilde imha edilmesinin zorunlu olduğunu belirtmiştir. Kimlik verilerine ilişkin veri işleme faaliyetlerinin yalnızca ilgili mevzuatın izin verdiği kapsam ve amaçlarla sınırlı tutulması gerektiği vurgulanmış; aksi yöndeki uygulamaların veri sorumluları bakımından idari yaptırımlara konu olabileceği ifade edilmiştir.

Sonuç olarak, 2025/2120 sayılı İlke Kararı, turizm ve otelcilik sektöründe uzun süredir teamül haline gelmiş bazı uygulamaların kişisel verilerin korunması hukuku bakımından geçerliliğini yitirdiğini ortaya koymakta; konaklama tesislerine veri işleme süreçlerini yeniden yapılandırma ve KVKK ile tam uyum sağlama yönünde açık bir yol haritası sunmaktadır.

Konuya ilişkin herhangi bir sorunuz olması veya daha detaylı bilgiye ihtiyaç duymanız halinde, bizlerle iletişime geçebilirsiniz.

Saygılarımızla,

DT Hukuk