Kişisel Verileri Koruma Kurulu’nun (“Kurul”) 2025/2120 sayılı “Turizm ve Otelcilik Sektöründe Konaklama Hizmeti Alan Kişilerin T.C. Kimlik Belgesi Fotokopisinin Kaydedilmesi Hakkında İlke Kararı” (“İlke Kararı”), 9 Aralık 2025 tarihli Resmî Gazete’de yayımlandı. Kurul, İlke Kararı ile 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında: turizm ve otelcilik sektöründe konaklama yerlerinde misafir edilen kişilerin T.C Kimlik fotokopisinin alınması uygulamasına ilişkin olarak inceleme yapmıştır.
Kurul, İlke Kararı nezdinde gerçekleştirdiği incelemede, turizm ve otelcilik işletmelerinin, misafirlerinin ad, soyad ve T.C. kimlik numarasından oluşan kimlik bilgilerinin kaydedilmesini hukuka uygun bir kişisel veri işleme faaliyeti olarak kabul edilmiştir. Bu doğrultuda ilgili işleme faaliyetinin;
- Kimlik Bildirme Kanunu ve ilgili ikincil mevzuatta düzenlenen yükümlülükler doğrultusunda KVKK madde 5/2(a) uyarınca kanunlarda açıkça öngörülmesi ile
- KVKK madde 5/2(ç) uyarınca veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması
hukuki sebeplerine dayalı olarak işlenebileceği belirtilmiştir.
Bununla birlikte, Kurul, turizm ve otelcilik işletmeleri tarafından T.C. kimlik belgesi veya nüfus cüzdanı fotokopisinin alınmasını ve saklanmasını açıkça hukuka aykırı bulmuştur. Bu değerlendirmede Kurul:
- Uygulamanın, teyit amacıyla dahi olsa “gereğinden fazla veri işleme” niteliğinde ve ölçülülük ilkesine aykırı olduğu,
- Eski nüfus cüzdanlarında din, kan grubu gibi özel nitelikli kişisel veriler yer alması sebebiyle, fotokopiler alınması ile bu verilerin işlenmesinin KVKK madde 6 uyarınca düzenlenen koruma rejimine uygun olmadığı,
- Fotokopi alınmasının, kimlik doğrulamak için zorunlu bir yöntem tesis etmediği ve kişisel verilerin doğruluğunun resmi belge üzerinden teyidinin, fotokopi alınmaksızın T.C. kimlik belgesinin talep edilerek de sağlanabileceği
gerekçelerine dayanmıştır.
Bu doğrultuda İlke Kararı ile turizm ve otelcilik işletmeleri tarafından T.C. kimlik belgesi veya nüfus cüzdanı fotokopisinin alınması faaliyetine son verilmesi ve kayıt altına alan veri sorumlularının bu nitelikteki belgeleri KVKK madde 7 uyarınca düzenlenen usullere uygun olarak imha etmesi kararına varmıştır.
Ek olarak, İlke Kararı faturalandırma amacıyla hangi verilerin işlenebileceğini ortaya koymaktadır. Vergi Usul Kanunu madde 230 ve 240 uyarınca ad, soyad, unvan, adres, vergi dairesi–hesap numarası, oda numarası, oda ücreti ve düzenleme tarihi gibi bilgilerin faturaya ilişkin zorunlu unsurlar olduğu doğrultusunda işlenebileceği belirtilmektedir.
İlke Kararı ile Kurul, kimlik fotokopisi alınması uygulamasının KVKK madde 12’de öngörülen teknik ve idari tedbir yükümlülüğüne aykırı olduğunu belirterek, bu faaliyetin sonlandırılmaması halinde ilgili veri sorumluları hakkında KVKK madde 18 kapsamında idari yaptırım (2026 yılı için beklenen üst sınır yaklaşık 17.092.242 TL) uygulanacağını ifade etmiştir.
İlke Karar’ın tam metnine buradan ulaşabilirsiniz.
