Konaklama Hizmeti Alan Kişilerin T.C. Kimlik Belgesi Fotokopisinin Alınması ve Saklanması Hakkında

Konaklama ve otelcilik sektöründe misafirlerin kimlik bilgilerinin kolluk kuvvetlerine bildirilmesi, 1774 sayılı Kimlik Bildirme Kanunu'nun 2. maddesi ile Kimlik Bildirme Kanununun Uygulanması ile İlgili Yönetmeliğin 8 ve 9. maddeleri uyarınca bir zorunluluktur. İşletmeler, bu bildirimi gecikmeksizin yerine getirebilmek ve misafirlerin işlem sürecini hızlandırmak amacıyla uygulamada sıklıkla kimlik kartı fotokopisi alma yöntemine başvurmaktadır.

Ancak bu uygulamanın yaygınlaşması üzerine, Kişisel Verileri Koruma Kurulu ("Kurul"), misafirlerin T.C. kimlik kartı fotokopisinin alınması ve saklanmasına ilişkin şikâyetleri incelemiş; bunun sonucunda 2025/2120 sayılı İlke Kararı'nı yayımlamıştır. Kurul, söz konusu uygulamanın herhangi bir kanuni dayanağı bulunmadığını, Kişisel Verilerin Korunması Kanunu'nun ("KVKK") temel ilkelerinden olan "ölçülülük" ilkesine aykırı olduğunu tespit ederek kimlik kartı fotokopisinin alınması ve saklanmasını hukuka aykırı bulmuş ve bu uygulamayı yasaklamıştır.

KVKK m. 5 uyarınca kişisel verilerin işlenmesi, KVKK'da belirtilen işleme şartlarından birine dayanmak zorundadır. 1774 sayılı Kimlik Bildirme Kanunu m. 2 gereğince konaklama işletmelerinin misafirlerin kimlik bilgilerini (ad, soyad, T.C. kimlik numarası vb.) kayıt altına alması ve bunları kolluk kuvvetlerine bildirmesi kanunlarda açıkça öngörülmüş bir yükümlülüktür. Dolayısıyla bu kapsamda gerçekleştirilen veri işleme faaliyeti hukuka uygundur.

Bununla birlikte Kurul, kimlik belgesinin ibraz edilmesinin ardından belgenin fotokopisinin alınarak kayıt altına alınması ve saklanması şeklindeki uygulamanın gereğinden fazla veri işleme sonucunu doğurduğunu değerlendirmektedir. Konaklama yerleri yalnızca kimlik bilgilerini kaydetmekle yükümlüdür; kimlik fotokopisi alma zorunluluğu hiçbir kanun hükmünde yer almamaktadır. Dolayısıyla bu işleme faaliyetinin KVKK bakımından herhangi bir hukuki dayanağı bulunmamaktadır.

Ayrıca KVKK m. 4/2 uyarınca kişisel verilerin işlenmesinde Kanun'da belirtilen ilkelere uyulması zorunludur. Bu ilkelerden ç) bendinde, verilerin işlendikleri amaçla bağlantılı, sınırlı ve ölçülü olması gerekliliği düzenlenmiştir. Kimlik doğrulaması yapmak için kimlik belgesinin fiziksel olarak incelenmesi yeterli iken; belgenin fotokopisinin alınması veya dijital olarak taranıp saklanması, amaçla bağlantılı olma ilkesi ve ölçülülük ilkesi ile bağdaşmamaktadır.

Öte yandan KVKK m. 6 gereğince özel nitelikli kişisel verilerin, Kanun'da belirtilen istisnalar dışında işlenmesi yasaktır. Eski tip nüfus cüzdanlarında yer alan din ve kan grubu bilgilerinin özel nitelikli veri statüsünde olduğu dikkate alındığında; kimlik fotokopisinin alınması hâlinde bu veriler de herhangi bir hukuki sebep veya geçerli açık rıza olmaksızın işlenmiş olacaktır. Bu durum Kanun'un 6. maddesine açıkça aykırılık teşkil etmektedir.

Tüm bu gerekçelerle Kurul, konaklama işletmelerinin T.C. kimlik kartı fotokopisi alması ve saklaması uygulamasının hukuka uygun olmadığını açıkça ifade etmiş ve bu uygulamanın sonlandırılması gerektiğini belirtmiştir. KVKK'nın 7. maddesi gereğince, işleme amacı ve hukuki sebebi ortadan kalkan kişisel verilerin imhası zorunlu olduğundan, veri sorumlularının bu fotokopileri uygun yöntemlerle derhal imha etmesi gerekmektedir.

İşletmelerin karşılaşabileceği idari yaptırımlar, KVKK m. 18 kapsamında; Kurul tarafından verilen kararların yerine getirilmemesi ile veri güvenliğine ilişkin yükümlülüklerin ihlal edilmesi çerçevesinde değerlendirilir. Bu kapsamda, kimlik fotokopisi alma uygulamasının sürdürülmesi veya gerekli tedbirlerin alınmaması hâlinde veri sorumluları idari para cezalarıyla karşılaşabilir. Ayrıca KVKK m. 17 uyarınca, Kurul'un öngördüğü şekilde m. 7'ye aykırı olarak kişisel verileri silmeyen, yok etmeyen veya anonim hâle getirmeyenler hakkında da cezai yaptırım uygulanması mümkündür.