Uzun yıllar boyunca konaklama tesislerinde check-in işlemleri sırasında misafirlerden kimlik belgesi fotokopisi alınması, sektörde neredeyse sorgulanmadan uygulanan, “rutin” ve “zorunlu” kabul edilen bir işlem olarak görülmüştür. Bu uygulama, çoğu zaman güvenlik, mevzuata uyum veya idari kolaylık gerekçeleriyle savunulmuş; kişisel verilerin korunması hukuku bakımından ise yeterince tartışılmamıştır. Ancak kişisel verilerin korunmasına ilişkin farkındalığın artması ve veri işleme faaliyetlerinin hukuki sınırlarının daha net çizilmesiyle birlikte, bu yerleşik uygulamaların hukuka uygunluğu da yeniden değerlendirilir hale gelmiştir. Nitekim Kişisel Verileri Koruma Kurulu tarafından yayımlanan ve Resmi Gazete’de yürürlüğe giren İlke Kararı ile, turizm ve otelcilik sektöründe konaklama hizmeti alan kişilerden check-in sırasında kimlik belgesi fotokopisi alınmasının, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında hukuka aykırı bir veri işleme faaliyeti olduğu açıkça ortaya konulmuştur. Bu yazımızda; söz konusu İlke Kararı, kararın amacı, hukuki dayanakları ve konaklama tesislerinin hangi verileri hangi kapsamda işleyebileceği ele alınacaktır.
Konaklama Tesislerinde Kimlik Fotokopisi Alınması Uygulamasının Hukuki Arka Planı
Turizm ve otelcilik sektöründe faaliyet gösteren konaklama tesisleri bakımından, misafirlerin kimlik bilgilerinin alınması ve yetkili kolluk birimlerine bildirilmesi yükümlülüğü uzun süredir yürürlükte olan çeşitli mevzuat düzenlemelerine dayanmaktadır. Özellikle 1774 sayılı Kimlik Bildirme Kanunu uyarınca, konaklama tesislerinin müşterilerinin kimlik bilgilerini tespit ederek ilgili sistemlere aktarması zorunlu tutulmuş; bu yükümlülük uygulamada çoğu zaman kimlik belgesinin fotokopisinin alınması şeklinde yorumlanmıştır. Ancak bu yorum, mevzuatın lafzı ve amacıyla örtüşmeyen, zaman içerisinde yerleşmiş ancak hukuki temeli yeterince sorgulanmamış bir uygulama haline gelmiştir.
Uygulamada konaklama tesisleri, kimlik fotokopisi alınmasını çoğu zaman güvenlik gerekçesi, denetimlerde sorun yaşanmaması veya idari kolaylık sağlanması gibi nedenlerle savunmuş; bu işlemin hukuki dayanağının Kimlik Bildirme Kanunu veya ilgili ikincil düzenlemelerde yer aldığı varsayımından hareket etmiştir. Ne var ki, söz konusu mevzuat hükümleri incelendiğinde, konaklama tesislerine yüklenen yükümlülüğün “kimlik belgesinin ibrazı ve kimlik bilgilerinin kaydedilmesi” ile sınırlı olduğu, kimlik belgesinin birebir kopyasının alınması, taranması veya saklanması yönünde açık ve net bir zorunluluk öngörülmediği görülmektedir. Buna rağmen kimlik fotokopisi alınması uygulaması, sektörde adeta standart bir prosedür gibi benimsenmiş ve uzun yıllar boyunca devam etmiştir.
Kişisel verilerin korunması hukukunun gelişmesiyle birlikte ise bu uygulamanın hukuki niteliği daha görünür hale gelmiştir. Zira kimlik belgesi fotokopisi, yalnızca isim ve kimlik numarası gibi temel bilgileri değil; fotoğraf, doğum tarihi, seri numarası ve benzeri pek çok kişisel veriyi tek bir belge üzerinde barındırmakta, bu yönüyle veri minimizasyonu ve ölçülülük ilkeleri bakımından ciddi riskler doğurmaktadır. Konaklama hizmetinin sunulabilmesi ve ilgili bildirim yükümlülüklerinin yerine getirilebilmesi için bu kadar geniş kapsamlı bir veri setinin işlenmesinin zorunlu olup olmadığı sorusu, kişisel verilerin korunması hukuku çerçevesinde tartışılması gereken temel meselelerden biri haline gelmiştir.
İşte bu noktada, Kişisel Verileri Koruma Kurulu’nun İlke Kararı ile birlikte, konaklama tesislerinde kimlik fotokopisi alınması uygulamasının hukuki dayanağının bulunmadığı ve bu uygulamanın kişisel verilerin korunmasına ilişkin temel ilkelerle bağdaşmadığı açıkça ortaya konulmuş; sektör genelinde uzun süredir devam eden yerleşik bir pratiğin hukuki sınırları ilk kez bu kadar net şekilde çizilmiştir.
Kişisel Verileri Koruma Kurulu İlke Kararı ve Hukuki Gerekçeleri
Kişisel Verileri Koruma Kurulu tarafından, turizm ve otelcilik sektöründe faaliyet gösteren konaklama tesislerinde misafirlerden check-in işlemleri sırasında T.C. kimlik belgesi fotokopisi alınmasına ilişkin uygulama, yapılan başvurular ve resen yürütülen incelemeler neticesinde değerlendirilmiş ve bu değerlendirme sonucunda 06.11.2025 tarihli ve 2025/2120 sayılı İlke Kararı alınmıştır. Söz konusu İlke Kararı, 09.12.2025 tarihli ve 32361 sayılı Resmi Gazete’de yayımlanarak yürürlüğe girmiştir. Karar ile birlikte, sektörde uzun süredir devam eden ve fiilen standart bir prosedür haline gelen kimlik fotokopisi alınması uygulamasının hukuki dayanağı açık biçimde tartışılmış ve bu uygulamanın 6698 sayılı Kişisel Verilerin Korunması Kanunu’na aykırı olduğu tespit edilmiştir.
Kurul, İlke Kararı’nda öncelikle veri sorumlularının kişisel verileri hangi şartlar altında işleyebileceğini düzenleyen KVKK’nın 5. maddesini esas almış; konaklama tesislerinin kimlik fotokopisi alma uygulamasının, açık rıza alınmaksızın veri işlenmesine imkan tanıyan hukuki sebeplerden herhangi birine dayanıp dayanmadığını irdelemiştir. Bu kapsamda yapılan değerlendirmede, 1774 sayılı Kimlik Bildirme Kanunu uyarınca konaklama tesislerine yüklenen yükümlülüğün, yalnızca kimlik bilgilerinin tespiti ve bildirilmesi ile sınırlı olduğu, kimlik belgesinin fotokopisinin alınmasına yönelik açık bir düzenlemenin ise mevzuatta yer almadığı tespit edilmiştir. Dolayısıyla, kimlik fotokopisi alınmasının “kanunlarda açıkça öngörülme” şartını karşılamadığı açıkça ifade edilmiştir. Kurul, İlke Kararı’nda ayrıca KVKK’nın ilgili maddesinde düzenlenen genel ilkelere özel bir önem atfetmiş; kişisel verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerektiği ilkesinin, kimlik fotokopisi alınması uygulaması bakımından ihlal edildiğini değerlendirmiştir. Zira kimlik belgesi fotokopisi, yalnızca ad-soyad ve kimlik numarası gibi temel bilgileri değil, aynı zamanda fotoğraf, doğum tarihi, seri numarası ve benzeri birçok kişisel veriyi de içermekte olup, bu kadar geniş kapsamlı bir veri setinin konaklama hizmetinin sunulması için zorunlu olmadığı Kurul tarafından açıkça ortaya konulmuştur.
İlke Kararı’nda dikkat çekilen bir diğer husus, kimlik fotokopisi alınması suretiyle gerçekleştirilen veri işleme faaliyetinin, veri güvenliği risklerini de artırdığı yönündedir. Kurul’a göre, kimlik fotokopilerinin fiziki veya dijital ortamlarda saklanması; yetkisiz erişim, veri ihlali ve kötüye kullanım risklerini beraberinde getirmekte olup, bu risklerin, veri minimizasyonu ilkesine uygun davranılması halinde önemli ölçüde azaltılabileceği açıktır. Bu çerçevede Kurul, veri sorumlularının yalnızca işleme amacı için gerekli olan verilerle yetinmesi gerektiğini bir kez daha vurgulamıştır.
Kurul, İlke Kararı’nda, bu düzenlemenin yalnızca ileriye dönük bir yasaklama niteliği taşımadığını; kararın yayımlanmasından önce hukuki dayanak olmaksızın elde edilmiş kimlik fotokopilerinin de KVKK’nın 7. maddesi ve ilgili imha mevzuatı çerçevesinde silinmesi, yok edilmesi veya anonim hale getirilmesi gerektiğini açıkça belirtmiştir. Bu yönüyle İlke Kararı, konaklama tesislerinin mevcut veri saklama politikalarını gözden geçirmesini ve gerekli uyum adımlarını ivedilikle atmasını zorunlu kılan bağlayıcı bir düzenleme niteliği taşımaktadır.
Bu İlke Kararı’na rağmen konaklama tesisleri tarafından kimlik fotokopisi alınması uygulamasının sürdürülmesi halinde, ilgili işletmeler bakımından 6698 sayılı Kanun’un 12. maddesi uyarınca veri güvenliğine ilişkin yükümlülüklerin ihlali ve Kanun’un 4 ve 5. maddelerine aykırı veri işleme fiilleri gündeme gelebilecektir. Bu kapsamda, Kişisel Verileri Koruma Kurulu tarafından resen veya şikayet üzerine yapılacak incelemeler sonucunda, veri sorumluları hakkında KVKK’nın 18. maddesinde öngörülen idari para cezalarının uygulanması, hukuka aykırı şekilde işlenen kişisel verilerin silinmesi veya yok edilmesine karar verilmesi ve ihlalin niteliğine göre veri ihlali bildirimi yükümlülüğünün doğması söz konusu olabilecektir.
Sonuç
Kişisel Verileri Koruma Kurulu tarafından 06.11.2025 tarihli ve 2025/2120 sayılı İlke Kararı ile, turizm ve otelcilik sektöründe uzun yıllardır yaygın şekilde uygulanan ve çoğu zaman mevzuattan kaynaklandığı varsayılan kimlik fotokopisi alma pratiğinin, 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamında hukuka aykırı olduğu açık ve tereddüde yer bırakmayacak biçimde ortaya konulmuştur. Bu karar ile birlikte, konaklama tesislerinin check-in süreçlerinde kimlik belgesinin ibrazını talep etmesi ve kimlik bilgilerini mevzuatın öngördüğü ölçüde kaydetmesi mümkün olmakla birlikte, kimlik belgesinin fotokopisinin alınması, taranması veya saklanması suretiyle gerçekleştirilen veri işleme faaliyetlerinin artık hukuken kabul edilebilir olmadığı netleşmiştir.
İlke Kararı, sektörde yerleşik hale gelmiş uygulamaların hukuki dayanağının her zaman mevcut olmadığını ve kişisel verilerin korunması hukukunda “alışkanlık” veya “sektör pratiği” gerekçesinin tek başına yeterli bir meşruiyet sağlamadığını bir kez daha göstermektedir. Bu çerçevede, konaklama tesislerinin yalnızca ileriye dönük uygulamalarını değil, geçmişte herhangi bir hukuki dayanak olmaksızın elde edilmiş kimlik fotokopilerine ilişkin veri saklama ve imha süreçlerini de gözden geçirmeleri ve KVKK’ya uyumlu hâle getirmeleri gerekmektedir.
Sonuç olarak, söz konusu İlke Kararı ile turizm sektöründe faaliyet gösteren veri sorumluları bakımından kişisel verilerin işlenmesine ilişkin sınırlar daha belirgin hale gelmiş; kimlik kontrolü ile kimlik belgesinin çoğaltılması arasındaki hukuki fark açıkça çizilmiştir. Konaklama tesislerinin bu yeni hukuki çerçeveyi dikkate alarak iç prosedürlerini güncellememeleri hâlinde, idari yaptırımlar ve diğer hukuki sorumluluklarla karşılaşmaları kaçınılmaz olacaktır.
Av. Mehmet Emre Darıcı
EN
IT