R.Gazete No: 33102
R.G. Tarihi: 09.12.2025
KURUL KARARI
Kişisel
Verileri Koruma Kurumundan:
Turizm ve Otelcilik
Sektöründe Konaklama Hizmeti Alan Kişilerin T.C. Kimlik Belgesi
Fotokopisinin Kaydedilmesi Hakkında İlke Kararı
Karar No: 2025/2120
Karar Tarihi: 06/11/2025
Turizm ve otelcilik sektörü, insana hizmet etme niteliğinden dolayı kişisel verilerin en yoğun işlendiği sektörlerden biridir. Bu minvalde konaklama yerlerinde misafir edilen kişilerden T.C. kimlik belgesi fotokopisi alındığı yönünde Kişisel Verileri Koruma Kurumuna (Kurum) muhtelif sayıda şikâyet ve ihbar iletilmiş olup bu husus hakkında sektörün bilgilendirilmesi ve konuya ilişkin olarak Kişisel Verileri Koruma Kurulu (Kurul) tarafından İlke Kararı alınması gereği hasıl olmuştur.
Bu çerçevede
mevzuat hükümleri incelendiğinde;
•
6698 sayılı Kişisel Verilerin Korunması Kanunu'nun
(Kanun) 5 inci maddesinde kişisel verilerin
işlenme şartlarına yer verilmiş olup; bu maddenin
birinci fıkrasında, kişisel verilerin ilgili kişinin açık rızası olmaksızın
işlenemeyeceği, ikinci fıkrasında belirtilen şartlardan (-Kanunlarda açıkça
öngörülmesi, -Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda
bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin kendisinin ya da bir
başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, -Bir sözleşmenin
kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, sözleşmenin
taraflarına ait kişisel verilerin işlenmesinin gerekli olması, -Veri
sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
-İlgili kişinin kendisi tarafından alenileştirilmiş olması, -Bir hakkın tesisi,
kullanılması veya korunması için veri işlemenin zorunlu olması, -ilgili kişinin
temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru
menfaatleri için veri işlenmesinin zorunlu olması) birinin varlığı halinde,
ilgili kişinin açık rızası aranmaksızın kişisel verilerinin işlenmesinin mümkün
olduğu hükme bağlanmıştır.
• Kanun'un 6'ncı maddesi gereğince; (I) Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri özel nitelikli kişisel veridir. (2) (Mülga:2/3/2024-7499/33 md.) (3) (Değişik:2/3/2024-7499/33 md.) Özel nitelikli kişisel verilerin işlenmesi yasaktır. Ancak bu verilerin işlenmesi; a) İlgili kişinin açık rızasının olması, b) Kanunlarda açıkça öngörülmesi, c) Fiili imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuki geçerlilik tanınmayan kişinin, kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması, ç) İlgili kişinin alenileştirdiği kişisel verilere ilişkin ve alenileştirme iradesine uygun olması, d) Bir hakkın tesisi, kullanılması veya korunması için zorunlu olması, e) Sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlarca, kamu sağlığının korunması, koruyucu hekimlik, tıbbi teşhis, tedavi ve bakım hizmetlerinin yürütülmesi ile sağlık hizmetlerinin planlanması, yönetimi ve finansmanı amacıyla gerekli olması, fi İstihdam, iş sağlığı ve güvenliği, sosyal güvenlik, sosyal hizmetler ve sosyal yardım alanlarındaki hukuki yükümlülüklerin yerine getirilmesi için zorunlu olması, g) Siyasi, felsefi, dini veya sendikal amaçlarla kurulan vakıf, dernek ve diğer kâr amacı gütmeyen kuruluş ya da oluşumların, tâbi oldukları mevzuata ve amaçlarına uygun olmak, faaliyet alanlarıyla sınırlı olmak ve üçüncü kişilere açıklanmamak kaydıyla; mevcut veya eski üyelerine ve mensuplarına veyahut bu kuruluş ve oluşumlarla düzenli olarak temasta olan kişilere yönelik olması, halinde mümkündür. (4) Özel nitelikli kişisel verilerin işlenmesinde, ayrıca Kurul tarafından belirlenen yeterli önlemlerin alınması şarttır.
•
1774
sayılı Kimlik Bildirme Kanunu'nun 2 nci maddesi; ''Otel, motel, han,
pansiyon, bekar odaları, günübirlik kiralanan evler, kamp, kamping, tatil köyü
ve benzeri her türlü, özel veya resmi konaklama yerleri ile özel sağlık
müesseseleri, dinlenme ve huzur evleri, dini ve hayır kurumlanma sosyal
tesislerinin sorumlu işleticileri, bu yerlerde ücretli veya ücretsiz, gündüz
veya gece, yatacak yer gösterdikleri yerli veya yabancı herkesin kimlik ve
geliş- ayrılış kayıtlarını, örneğine ve usulüne uygun şekilde günü gününe
tutmak, genel kolluk örgütlerinin her an incelemelerine hazır bulundurmak,
Devlet İstatistik Enstitüsüne, talebi halinde vermek zorundadırlar. "
hükmünü haizdir.
•
Kimlik
Bildirme Kanununun Uygulanmasına Dair Yönetmeliğin "Kayıtlama" başlıklı 5 inci
maddesi; "Bu Yönetmelik hükümlerine göre kimlik bildirme belgelerini en
yakın yetkili genel kolluk örgütüne vermekle yükümlü tutulanlar, kimliğini
nüfus hüviyet cüzdanı veya diğer resmi geçerli belgelerle ispat edemeyen
kimseleri, tesislerinde barındıramaz, konut ve iş yerinde çalıştıramaz. "
ve aynı yönetmeliğin "Yükümlü" başlıklı 23 üncü maddesi; "Yönetmeliğin
6.maddesinde sayılan yerlerin sorumlu işleticileri tarafından; buralarda
ücretli veya ücretsiz, gündüz veya gece yatacak yer gösterilen yerli veya
yabancı herkesin kimliği ile geliş ve ayrılış tarihleri, Konaklama Yeri Kayıt
Defteri (Form: 7) ne günü gününe geçirilir.
Bu yerlerde kalacak kişilerin, kendilerine verilecek kopyalı
bir örnek Konaklama Belgesi (form:8) ni doldurarak imzalamaları ve sorumlu
işleticiye vermeleri şarttır.
Konaklama belgesindeki bilgiler, kişinin kimliğini belirten geçerli resmi belge ile karşılaştırıldıktan sonra, konaklama yeri kayıt defterine aktarılır." hükümlerini haizdir.
Yukarıda yer verilen mevzuat
hükümleri çerçevesinde bütün olarak değerlendirme yapıldığında; anılan yerlerde
konaklama hizmeti alan ilgili kişilerden isim, soy isim, T.C. kimlik
numarasından oluşan kimlik bilgilerinin kaydedilmesi şeklinde gerçekleşen
kişisel veri işleme faaliyetinin 1774 sayılı Kimlik Bildirme Kanunu ve
Kimlik Bildirme Kanununun Uygulanmasına Dair Yönetmeliğin açık hükümleri
doğrultusunda 6698 sayılı Kanunun 5 inci maddesinin (a) bendi "Kanunlarda
açıkça öngörülmesi" ve (ç) bendi ''Veri sorumlusunun hukuki
yükümlülüğünü yerine getirebilmesi için zorunlu olması " şartları
çerçevesinde işlendiği ve dolayısıyla hukuka uygun bir işleme faaliyeti olduğu
açıktır.
Bununla beraber önemle belirtmek
gerekir ki, ilgili yerlerde konaklayan kişilerden işlenen kişisel verilerin
doğruluğunun resmî belge ile karşılaştırmak suretiyle teyidinin sağlanması ve
bu amaçla T.C. kimlik belgesinin talep edilmesi, hukuki olduğu gibi aynı
zamanda eşyanın tabiatı gereğidir. Ancak, teyit amacıyla olsa dahi T.C. kimlik
belgesinin istenmesinin ardından fotokopisinin de alınarak kayda geçirilmesi
şeklinde gerçekleşen kişisel veri işleme faaliyeti, gereğinden fazla veri
işleme sonucunu doğurmakla beraber bu işleme faaliyetinin herhangi bir hukuki
bir dayanağı da söz konusu değildir. Dolayısıyla ilgili kişilere ait T.C.
Kimlik Belgesi fotokopisinin kaydedilmesi işleminin 6698 sayılı Kanun uyarınca
hukuka aykırı bir işleme faaliyeti olduğu sonucuna varılmaktadır.
Ek olarak, bilindiği üzere
ülkemizde 2 Ocak 2017 tarihinden itibaren eski nüfus cüzdanları değiştirilerek
üzerinde çip bulunan kimlik kartına geçiş yapılmıştır. Ancak halihazırda nüfus
cüzdanı kullanımına da devam edilebilmektedir. Dolayısıyla nüfus cüzdanı
üzerinde kişilerin dini ve kan grubu gibi özel nitelikli kişisel verilerinin de
yer aldığı dikkate alındığında; veri sorumlularının konaklama nedeniyle ilgili
kişilerin nüfus cüzdanı fotokopilerini kayıt altına alması halinde Kanunun 6
ncı maddesine de ayrıca aykırılık teşkil edecek bir işleme faaliyetinde
bulunduğunun belirtilmesi elzemdir.
Diğer taraftan turizm ve otelcilik sektöründe genel olarak konaklamaya ilişkin bir hizmet satışı söz konusu olduğundan faturalandırma amacıyla ilgili kişilerin kişisel verilerinin işlenmesi de mümkündür. Bu çerçevede ilgili mevzuat hükümleri şu şekildedir;
•
213
sayılı Vergi Usul Kanunun 230 uncu maddesi; "Faturada en az aşağıdaki
bilgiler bulunur:
1.
Faturanın
düzenlenme tarihi seri ve sıra numarası;
2.
Faturayı
düzenleyenin adı, varsa ticaret unvanı, iş adresi, bağlı olduğu vergi dairesi
ve hesap numarası;
3.
Müşterinin
adı, ticaret unvanı, adresi, varsa vergi dairesi ve hesap numarası;
4.
Malın
veya işin nev'i, miktarı, fiyatı ve tutarı;
5.
(Değişik:
4/12/1985-3239/19 md.) Satılan malların teslim tarihi ve irsaliye numarası,
(Malın alıcıya teslim edilmek üzere satıcı tarafından taşındığı veya
taşıttırıldığı hallerde satıcının, teslim edilen malın alıcı tarafından
taşınması veya taşıttırılması halinde alıcının taşınan veya taşıttırılan mallar
için sevk irsaliyesi düzenlemesi ve taşıtta bulundurulması şarttır. "
• Aynı Kanunun "Taşıma ve otel işletmelerine ait belgeler"
başlıklı 240 ncı maddesi: "... C) Günlük müşteri listeleri: Otel, motel
ve pansiyon gibi konaklama yerleri, odalar, bölmeler ve yatak planlarına uygun
olarak müteselsil seri ve sıra numaralı günlük müşteri listeleri düzenlerler ve
işletmede bulundururlar.
Bu listelerde aşağıdaki
bilgiler bulunur:
1.
Mükellefin
adı, soyadı, varsa unvanı ve adresi,
2.
Oda
numaraları yazılmak suretiyle müşterinin adı, soyadı ve oda ücreti,
3.
Düzenleme
tarihi. " şeklindedir.
Bu kapsamda 213 sayılı Vergi Usul
Kanunun yukarıda yer verilen maddeleri çerçevesinde ilgili kişilerin anılan
maddede yer verilen kişisel verilerinin işlenmesi faaliyeti 6698 sayılı Kanunun
5 inci maddesinin (a) bendinde yer alan "Kanunlarda açıkça öngörülmesi"
şartı çerçevesinde hukuka uygun bir işleme faaliyetidir.
Sonuç olarak, Kurul tarafından
yapılan değerlendirme neticesinde;
- Turizm
ve otelcilik alanında hizmet veren veri sorumluları tarafından, konaklama
yerlerinde misafir edilen kişilerden T.C. kimlik belgesi fotokopisi alınması
uygulamasına son verilmesi,
- İlke
Kararının yayımlanmasından önce konaklama amacıyla hizmet alan ilgili kişilere
ait T.C. Kimlik Belgesi fotokopilerini kayıt altına alan veri sorumlularının bu
nitelikteki belgeleri Kanun'un 7 nci maddesine uygun olarak imha etmesi
gerektiği
sonucuna varılmıştır.
Bilindiği üzere, Kanun'un 12 nci
maddesinin birinci fıkrası "Veri sorumlusu; a) Kişisel verilerin hukuka
aykırı olarak işlenmesini önlemek, b) Kişisel verilere hukuka aykırı olarak
erişilmesini önlemek, c) Kişisel verilerin muhafazasını sağlamak, amacıyla
uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari
tedbirleri almak zorundadır. " hükmünü, Kanunun 15 inci maddesinin altınca
fıkrası "Şikâyet üzerine veya resen yapılan inceleme sonucunda, ihlalin
yaygın olduğunun tespit edilmesi hâlinde Kurul, bu konuda ilke kararı alır ve
bu karan yayımlar" hükmünü amirdir.
Bu çerçevede yukarıda belirtilen
hususların, Kanun'un 12 nci maddesinin birinci fıkrası uyarınca kişisel
verilerin hukuka uygun işlenmesini teminen veri sorumluları tarafından alınması
gereken idari ve teknik tedbirlerden olduğu ve belirtilen hususlara uygun
hareket edilmediğinin tespiti halinde ilgili veri sorumluları hakkında Kanun'un
18 inci maddesi hükümleri çerçevesinde işlem tesis edileceği hususunda
kamuoyunun ve sektör temsilcilerinin bilgilendirilmesi ve bu kapsamda Kanun'un
15 inci maddesinin altıncı fıkrası uyarınca İlke Kararı alınarak Resmi
Gazete'de ve Kurumun internet sitesinde yayımlanmasına oybirliği ile karar
verilmiştir.
----------o----------
