Kişisel Verileri Koruma Kurulu’nun Konaklama Sektörüne İlişkin İlke Kararı
KİŞİSEL VERİLERİ KORUMA KURULU’NUN KONAKLAMA SEKTÖRÜNE İLİŞKİN İLKE KARARI
Giriş
Kişisel Verileri Koruma Kurulu (“Kurul”) otelcilik sektöründe teamül olarak uygulanmakta olan misafir edilen kişilerden T.C. kimlik belgesi fotokopisi alınması prosedürüne ilişkin değerlendirmeleri neticesinde konuya ilişkin İlke Kararı almıştır. 06.11.2025 tarih ve 2025/2120 sayılı Resmi Gazete’de yayımlanan karar ile bahsi geçen uygulamanın 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) kapsamında hukuka aykırı olduğuna hükmedilmiş ve ilgili uygulamaya son verilmesi yönünde hüküm kurulmuştur.
Kurulun verdiği bu karar hem kişisel verilerin korunması hem de konaklama tesislerinin hukuki yükümlülükleri açısından önemli değişiklikler içermektedir.
Karar Öncesi Uygulamalar
Bilindiği üzere teamül olarak konaklama hizmeti veren birçok tesiste, misafir kabulü sırasında T.C. kimlik kartı veya pasaport gibi kimlik belgelerinin fotokopisini alınmaktadır. Her ne kadar işletmeler, tesislerinde konaklayan misafirlere ilişkin bir güvenlik önlemi olarak bu uygulamayı sürdürmekte ve özellikle rezervasyon sırasında ödeme takibi, kayıp eşya, hırsızlık veya hukuki uyuşmazlıklarda işletmelerin menfaatlerinin korunması hedeflenmekte ise de mevzuat kapsamında işletmecilere getirilen bu yönde bir yükümlülük veya hak bulunmamaktadır. Kaldı ki, Kurul’un da ilke kararında değindiği üzere, bu şekilde yapılan kayıtlar esasında kişisel veri işlemesidir. Dolayısıyla Kanun’da öngörülen kıstas ve şartlara tabidir.
İlke Kararı Kapsamında Yapılan Değerlendirmeler
Kurul incelemelerine ilk olarak konaklama sektöründe halihazırda uygulanmakta olan prosedürlerin hukuki dayanaklarını inceleyerek başlamıştır. Bu kapsamda, 1774 sayılı Kimlik Bildirme Kanunu ile Kimlik Bildirme Kanununun Uygulanmasına Dair Yönetmelik hükümleri incelenmiştir.
Bu çerçevede, ilgili kanun ve yönetmelik düzenlemelerinin, konaklama sektöründe faaliyet gösteren işletmelere ziyaretçilerinin kimlik bilgilerini kaydetme yükümlülükleri getirdiği görülmüştür. İlgili yükümlülüğün detaylarının düzenlendiği Kimlik Bildirme Kanununun Uygulanmasına Dair Yönetmelik’in 5. ve 23. maddeleri; işletmelere, tesislerinde konaklamaya gelen misafirlerin kimlik bilgilerinin hem kayıt altına alınmasını hem de kayda konu kimlik bilgilerinin resmi bir belge ile teyit edilmesini zorunlu kılmaktadır.
Bu düzenlemeler ışığında değerlendirme yapan Kurul, konaklama hizmeti almaya gelen misafirlerin isim, soy isim ve T.C. kimlik numarasından oluşan bilgilerinin kaydedilmesi şeklinde gerçekleştirilen kişisel veri işleme faaliyetlerinin; “kanunlarda açıkça öngörülmesi” ve “veri sorumlusunun hukuki yükümlülüğünün yerine getirilmesi” sebepleri ile Kanun’un 5. maddesinin (a) ve (ç) bentleri kapsamında hukuka uygun olduğu yönünde tespitte bulunmuştur.
Bununla beraber, konaklama hizmetleri sunan işletmeler tarafından uygulamada misafirlerin kimlik belgelerinin fotokopilerinin alınması, söz konusu verilerin resmi belgeler ile teyit edilerek kaydının ötesine geçmektedir. Nitekim, bir kimlik belgesi üzerinde yalnızca kanunlarca zorunlu koşulan bilgiler yer almamaktadır. Kurul’un da kararında belirttiği üzere, özellikle eski kimlik belgeleri, kişilerin dini veya kan grubu gibi özel nitelikli kişisel verileri de ihtiva edebilmektedir. Dolayısıyla, Kurul söz konusu bilgilerin kaydının ötesine geçilerek kimlik belgelerinin fotokopilerinin alınmasını Kanun’da öngörülen hukuki sebeplere dayandırılamayacağını belirtmektedir. Kanaatimizce de yalnızca gerekli bilgilerin alınarak kayıtlara işlenmesi yeterli iken kimlik belgelerinin fotokopilerinin alınması Kanun’un ölçülülük ilkesi ile uyuşmamaktadır.
Bütün bu sebeplerle, Kurul ilke kararı kapsamında; (i) konaklama sektöründe faaliyet gösteren işletmelerin misafirlerden kimlik fotokopilerini alması uygulamasının hukuka aykırı olduğuna, (ii) söz konusu uygulamanın durdurulmasına ve (iii) halihazırda bu şekilde hukuka aykırı şekilde işlenmiş olan verilerin imha edilmesine karar vermiştir.
İlke Kararının Konaklama Tesisleri Açısından Etkisi
Her ne kadar konaklama tesisleri tarafından misafirlerden söz konusu dokümanların alınmasının hukuki delil ve güvence açısından önemli olduğu ve olası uyuşmazlık durumlarında işletmelerin menfaatlerinin korunması adına önem arz ettiği savunulabilecek olsa da; Kurul’un da ilke kararı ile açıkça ortaya koyduğu üzere, işletmelerin korunan menfaatleri karşısında kişilerin ihlal edilen hakları değerlendirildiğinde ilgili uygulamaların sona erdirilmesinin toplum menfaati açısından daha doğru olduğu izahtan varestedir.
Bu kapsamda, ilke kararı ile tüm konaklama hizmeti sunan işletmelerin derhal kimlik belgesi gibi resmi belgelerin fotokopilerinin alınmasını durdurması gerekmektedir. Ayrıca, geriye dönük olarak da, söz konusu işletmeler tarafından alınmış olan fotokopiler halen saklanmakta ise imhaları gerekmektedir.
Sonuç ve Değerlendirme
Kurul’un söz konusu İlke Kararı ile birlikte, konaklama sektöründe uzun süredir teamül olarak uygulanan kimlik fotokopisi alma pratiğinin 6698 sayılı Kanun’a aykırı olduğu açıkça ortaya konulmuş; işletmelerin yalnızca mevzuatın zorunlu kıldığı kimlik bilgilerinin (isim, soyisim, T.C. kimlik numarası vb.) kaydedilmesi ile yetinmesi gerektiği netleştirilmiştir. Bu çerçevede, konaklama tesislerinin hem mevcut uygulamalarını hem de iç politika ve prosedürlerini Kanun, ikincil düzenlemeler ve Kurul kararları ile uyumlu hale getirmeleri önem arz etmektedir.
Aksi yöndeki uygulamalar, Kurul nezdinde idari para cezası da dahil olmak üzere çeşitli yaptırım risklerini gündeme getirebilecektir. Bu nedenle, işletmelerin söz konusu İlke Kararı’nı dikkate alarak kişisel veri işleme faaliyetlerini gözden geçirmeleri ve gerekli uyum adımlarını süratle atmaları hukuki risklerin azaltılması bakımından büyük önem taşımaktadır.
Saygılarımızla,
Atabay Hukuk Bürosu