09 Aralık 2025 Tarihli Resmi Gazete
Sayı: 33102
Kişisel Verileri Koruma Kurumundan:
Turizm ve Otelcilik Sektöründe Konaklama Hizmeti Alan Kişilerin T.C. Kimlik Belgesi Fotokopisinin Kaydedilmesi Hakkında İlke Kararı
Karar No: 2025/2120
Karar Tarihi: 06/11/2025
ÖZET:
1. Konu ve Amaç
- Turizm ve otelcilik sektöründe, konaklayan kişilerden T.C. kimlik belgesi fotokopisi alınması uygulaması yaygınlaştığı için KVKK’ya aykırılık şüphesi doğmuş,
- Kişisel Verileri Koruma Kurulu bu konuda ilke kararı almıştır.
2. Hukuki Çerçeve ve Değerlendirme
a) Hangi veriler hukuka uygun işlenebilir?
Aşağıdaki işlemler hukuka uygundur:
- Konaklama yerlerinin, Kimlik Bildirme Kanunu ve ilgili Yönetmelik uyarınca;
- Misafirlerin adı, soyadı, T.C. kimlik numarası, geliş–ayrılış bilgileri gibi verilerini alması,
- Kimlik bilgilerinin resmî kimlik belgesi ile karşılaştırılarak doğrulanması,
- Yine Vergi Usul Kanunu gereği fatura düzenlemek için;
- Ad-soyad, adres, vergi dairesi / vergi numarası gibi bilgilerin işlenmesi.
Bu işlemler, KVKK m.5 uyarınca:
- “Kanunlarda açıkça öngörülmesi” ve
- “Veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için zorunlu olması” sebeplerine dayanıyor ve hukuka uygundur.
b) Kimlik fotokopisi almak neden hukuka aykırı?
- Kimliğin gösterilerek bilgilerin doğrulanması hukuki ve gerekli iken,
- Kimliğin fotokopisinin alınması ve saklanması;
- Gereğinden fazla veri işleme anlamına geliyor,
- Bu işlem için herhangi bir kanuni dayanak yok,
- Eski nüfus cüzdanlarında din, kan grubu gibi özel nitelikli kişisel veriler bulunduğundan, fotokopinin saklanması KVKK m.6’ya da aykırılık oluşturuyor.
Bu nedenle, T.C. kimlik belgesi fotokopisinin kaydedilmesi KVKK’ya aykırı bir kişisel veri işleme faaliyeti olarak değerlendirilmiştir.
3. Kurulun Sonuç ve Kararı
Kurulun ulaştığı sonuçlar:
- Otel, pansiyon, konaklama tesisi vb. veri sorumluları;
- Misafirlerden T.C. kimlik belgesi fotokopisi alma uygulamasına son vermek zorundadır.
- Daha önce alınmış kimlik fotokopileri:
- İlke kararından önce konaklama amaçlı alınmış T.C. kimlik belgesi fotokopileri,
- KVKK m.7’ye uygun şekilde imha edilmelidir (silme, yok etme, anonim hale getirme).
- Teknik ve idari tedbir yükümlülüğü:
- Bu kurallara uyulması, KVKK m.12’de düzenlenen kişisel verilerin korunmasına yönelik teknik ve idari tedbir alma yükümlülüğünün bir parçasıdır.
- Aykırılık tespit edilirse, ilgili veri sorumluları hakkında KVKK m.18 uyarınca idari yaptırım (para cezası vb.) uygulanabilecektir.
- Karar, KVKK m.15/6 uyarınca ilke kararı olarak kabul edilmiş;
- Resmî Gazete’de ve Kurumun internet sitesinde yayımlanmasına karar verilmiştir.
Turizm ve otelcilik sektörü, insana hizmet etme niteliğinden dolayı kişisel verilerin en yoğun işlendiği sektörlerden biridir. Bu minvalde konaklama yerlerinde misafir edilen kişilerden T.C. kimlik belgesi fotokopisi alındığı yönünde Kişisel Verileri Koruma Kurumuna (Kurum) muhtelif sayıda şikâyet ve ihbar iletilmiş olup bu husus hakkında sektörün bilgilendirilmesi ve konuya ilişkin olarak Kişisel Verileri Koruma Kurulu (Kurul) tarafından İlke Kararı alınması gereği hasıl olmuştur.
Bu çerçevede mevzuat hükümleri incelendiğinde;
• 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (Kanun) 5 inci maddesinde kişisel verilerin işlenme şartlarına yer verilmiş olup; bu maddenin birinci fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan hiçinin kendisinin ya da bir bankasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri sorumlusunun hukuki yükiimlülüğünü yerine getirebilmesi için zorunlu olması, -İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması, -ilgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde, ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün olduğu hükme bağlanmıştır.
• Kanun’un 6’ncı maddesi gereğince; (1) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir.
(2) (Mülga:2/3/2024-7499/33 md.) (3) (Değişık:2/3/2024-7499/33 md.) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi; a) İlgili kişinin açık rızasının olması, b) Kanunlarda açıkça öngörülmesi, c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması, d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, fi İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması, g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkündür. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
• 1774 sayılı Kimlik Bildirme Kanunu’nun 2 nci maddesi; ‘‘Otel, motel, han, pansiyon, bekar odaları, günübirlik kiralanan evler, kamp, kamping, tatil köyü ve benzeri her türlü, özel veya resmi konaklama yerleri ile özel sağlık müesseseleri, dinlenme ve huzur evleri, dini ve hayır kurumlarının sosyal tesislerinin sorumlu işleticileri, bu yerlerde ücretli veya ücretsiz, gündüz veya gece, yatacak yer gösterdikleri yerli veya yabancı herkesin kimlik ve geliş- ayrılış kayıtlarını, örneğine ve usulüne uygun şekilde günü gününe tutmak, genel kolluk örgütlerinin her an incelemelerine hazır bulundurmak, Devlet İstatistik Enstitüsüne, talebi halinde vermek zorundadırlar. ” hükmünü haizdir.
• Kimlik Bildirme Kanununun Uygulanmasına Dair Yönetmeliğin “Kayıtlama” başlıklı 5 inci maddesi; “Bu Yönetmelik hükümlerine göre kimlik bildirme belgelerini en yakın yetkili genel kolluk örgütüne vermekle yükümlü tutulanlar, kimliğini nüfus hüviyet cüzdanı veya diğer resmi geçerli belgelerle ispat edemeyen kimseleri, tesislerinde barındıramaz, konut ve iş yerinde çalıştıramaz. ” ve aynı yönetmeliğin “Yükümlü” başlıklı 23 üncü maddesi; “Yönetmeliğin 6.maddesinde sayılan yerlerin sorumlu işleticileri tarafından; buralarda ücretli veya ücretsiz, gündüz veya gece yatacak yer gösterilen yerli veya yabancı herkesin kimliği ile geliş ve ayrılış tarihleri, Konaklama Yeri Kayıt Defteri (Form: 7) ne günü gününe geçirilir.
Bu yerlerde kalacak kişilerin, kendilerine verilecek kopyalı bir örnek Konaklama Belgesi (form:8) ni doldurarak imzalamaları ve sorumlu işleticiye vermeleri şarttır.
Konaklama belgesindeki bilgiler, kişinin kimliğini belirten geçerli resmi belge ile karşılaştırdıktan sonra, konaklama yeri kayıt defterine aktarılır.” hükümlerini haizdir.
Yukarıda yer verilen mevzuat hükümleri çerçevesinde bütün olarak değerlendirme yapıldığında; anılan yerlerde konaklama hizmeti alan ilgili kişilerden isim, soy isim, T.C. kimlik numarasından oluşan kimlik bilgilerinin kaydedilmesi şeklinde gerçekleşen kişisel veri işleme faaliyetinin 1774 sayılı Kimlik Bildirme Kanunu ve Kimlik Bildirme Kanununun Uygulanmasına Dair Yönetmeliğin açık hükümleri doğrultusunda 6698 sayılı Kanunun 5 inci maddesinin (a) bendi “Kanunlarda açıkça öngörülmesi” ve (ç) bendi ‘‘Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması ” şartları çerçevesinde işlendiği ve dolayısıyla hukuka uygun bir işleme faaliyeti olduğu açıktır.
Bununla beraber önemle belirtmek gerekir ki, ilgili yerlerde konaklayan kişilerden işlenen kişisel verilerin doğruluğunun resmî belge ile karşılaştırmak suretiyle teyidinin sağlanması ve bu amaçla T.C. kimlik belgesinin talep edilmesi, hukuki olduğu gibi aynı zamanda eşyanın tabiatı gereğidir. Ancak, teyit amacıyla olsa dahi T.C. kimlik belgesinin istenmesinin ardından fotokopisinin de alınarak kayda geçirilmesi şeklinde gerçekleşen kişisel veri işleme faaliyeti, gereğinden fazla veri işleme sonucunu doğurmakla beraber bu işleme faaliyetinin herhangi bir hukuki bir dayanağı da söz konusu değildir. Dolayısıyla ilgili kişilere ait T.C. Kimlik Belgesi fotokopisinin kaydedilmesi işleminin 6698 sayılı Kanun uyarınca hukuka aykırı bir işleme faaliyeti olduğu sonucuna varılmaktadır.
Ek olarak, bilindiği üzere ülkemizde 2 Ocak 2017 tarihinden itibaren eski nüfus cüzdanları değiştirilerek üzerinde çip bulunan kimlik kartına geçiş yapılmıştır. Ancak halihazırda nüfus cüzdanı kullanımına da devam edilebilmektedir. Dolayısıyla nüfus cüzdanı üzerinde kişilerin dini ve kan grubu gibi özel nitelikli kişisel verilerinin de yer aldığı dikkate alındığında; veri sorumlularının konaklama nedeniyle ilgili kişilerin nüfus cüzdanı fotokopilerini kayıt altına alması halinde Kanunun 6 ncı maddesine de ayrıca aykırılık teşkil edecek bir işleme faaliyetinde bulunduğunun belirtilmesi elzemdir.
Diğer taraftan turizm ve otelcilik sektöründe genel olarak konaklamaya ilişkin bir hizmet satışı söz konusu olduğundan faturalandırma amacıyla ilgili kişilerin kişisel verilerinin işlenmesi de mümkündür. Bu çerçevede ilgili mevzuat hükümleri şu şekildedir;
• 213 sayılı Vergi Usul Kanunun 230 uncu maddesi; Faturada en az aşağıdaki bilgiler bulunur:
1. Faturanın düzenlenme tarihi seri ve sıra numarası;
2. Faturayı düzenleyenin adı, varsa ticaret unvanı, iş adresi, bağlı olduğu vergi dairesi ve hesap numarası;
3. Müşterinin adı, ticaret unvanı, adresi, varsa vergi dairesi ve hesap numarası;
4. Malın veya işin nev’i, miktarı, fiyatı ve tutarı;
5. (Değişik: 4/12/1985-3239/19 md.) Satılan malların teslim tarihi ve irsaliye numarası, (Malın alıcıya teslim edilmek üzere satıcı tarafından taşındığı veya taşıttırıldığı hallerde satıcının, teslim edilen malın alıcı tarafından taşınması veya taşıttırılması halinde alıcının taşınan veya taşıttırılan mallar için sevk irsaliyesi düzenlemesi ve taşıtta bulundurulması şarttır. ”
Aynı Kanunun “Taşıma ve otel işletmelerine ait belgeler” başlıklı 240 ncı maddesi: “… C) Günlük müşteri listeleri: Otel, motel ve pansiyon gibi konaklama yerleri, odalar, bölmeler ve yatak planlarına uygun olarak müteselsil seri ve sıra numaralı günlük müşteri listeleri düzenlerler ve işletmede bulundururlar.
Bu listelerde aşağıdaki bilgiler bulunur:
1. Mükellefin adı, soyadı, varsa unvanı ve adresi,
2. Oda numaraları yazılmak suretiyle müşterinin adı, soyadı ve oda ücreti,
3. Düzenleme tarihi. ” şeklindedir.
Bu kapsamda 213 sayılı Vergi Usul Kanunun yukarıda yer verilen maddeleri çerçevesinde ilgili kişilerin anılan maddede yer verilen kişisel verilerinin işlenmesi faaliyeti 6698 sayılı Kanunun 5 inci maddesinin (a) bendinde yer alan ”Kanunlarda açıkça öngörülmesi ” şartı çerçevesinde hukuka uygun bir işleme faaliyetidir.
Sonuç olarak, Kurul tarafından yapılan değerlendirme neticesinde;
– Turizm ve otelcilik alanında hizmet veren veri sorumluları tarafından, konaklama yerlerinde misafir edilen kişilerden T.C. kimlik belgesi fotokopisi alınması uygulamasına son verilmesi,
– İlke Kararının yayımlanmasından önce konaklama amacıyla hizmet alan ilgili kişilere ait T.C. Kimlik Belgesi fotokopilerini kayıt altına alan veri sorumlularının bu nitelikteki belgeleri Kanun’un 7 nci maddesine uygun olarak imha etmesi gerektiği
sonucuna varılmıştır.
Bilindiği üzere, Kanun’un 12 nci maddesinin birinci fıkrası “Veri sorumlusu; a) Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır. ” hükmünü, Kanunun 15 inci maddesinin altınca fıkrası “Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve bu karan yayımlar” hükmünü amirdir.
Bu çerçevede yukarıda belirtilen hususların, Kanun’un 12 nci maddesinin birinci fıkrası uyarınca kişisel verilerin hukuka uygun işlenmesini teminen veri sorumluları tarafından alınması gereken idari ve teknik tedbirlerden olduğu ve belirtilen hususlara uygun hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında Kanun’un 18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda kamuoyunun ve sektör temsilcilerinin bilgilendirilmesi ve bu kapsamda Kanun’un 15 inci maddesinin altıncı fıkrası uyarınca İlke Kararı alınarak Resmi Gazete’de ve Kurumun internet sitesinde yayımlanmasına oybirliği ile karar verilmiştir.
