Türkiye’de konaklama sektöründe yıllardır süregelen “misafirlerden kimlik fotokopisi alınması” uygulaması, hem sektörde hem de kişisel verilerin korunması hukukunda en tartışmalı konular arasındaydı. Konaklama işletmelerinin misafirlerden kimlik fotokopisi talep etmesi; kimliklerde yer alan fotoğraf, seri numarası, anne–baba adı, doğum yeri, nüfus kayıt bilgileri gibi çok sayıda kişisel verinin gereğinden fazla işlenmesine neden olmakta, bu durum özellikle ölçülülük ilkesi bakımından ciddi soru işaretleri doğurmaktaydı. Bu tartışmalara son veren Kişisel Verileri Koruma Kurulu’nun 6 Kasım 2025 tarihli ve 2025/2120 sayılı İlke Kararı, 9 Aralık 2025 tarihli ve 33102 sayılı Resmî Gazete’de yayımlanarak yürürlüğe girmiş ve konunun yasal çerçevesini kesin olarak belirlemiştir.

Kurul, uzun süredir şikâyetlere konu olan uygulamayı detaylı şekilde inceleyerek, kimlik doğrulaması yapılmasının kanuna uygun olduğunu, ancak kimlik fotokopisi alınması ve saklanmasının açıkça kanuna aykırı olduğunu tespit etmiştir. Bu karar, konaklama sektörünün yanı sıra kimlik fotokopisi alma pratiğini kullanan tüm veri sorumlularını yakından ilgilendirmektedir.

Kimlik Belgesinin Gösterilmesi Gerekli, Fotokopisinin Alınması Yasak

İlke Kararı, kimlik doğrulamasının nasıl yapılacağına ilişkin net bir ayrım ortaya koymaktadır.
Öncelikle, kimlik belgesinin gösterilmesi ve konaklama işletmesi tarafından kimlikte yer alan bilgilerin kontrol edilmesi hukuka uygundur. Bu süreç, Kimlik Bildirme Kanunu’nun ilgili hükümleri gereğince yapılması zorunlu olan bir kamu güvenliği tedbiridir. Oteller, pansiyonlar, günlük kiralık ev işletmeleri ve diğer konaklama tesisleri, misafir kimlik bilgisini kontrol ederek kayıt altına almakla yükümlüdür. Bu yükümlülük Kurul tarafından da açıkça teyit edilmiştir.

Buna karşılık, kimlik fotokopisi alınması, kimlikte yer alan gereksiz ve fazla bilgilerin işlenmesine yol açtığı için hukuka aykırı bulunmuştur. Kararda özellikle şu hususlar vurgulanmaktadır:

• Kimlik fotokopisi, konaklama hizmeti için gerekli olandan çok daha fazla kişisel veri içermektedir.
• KVKK’nın 4. maddesindeki veri minimizasyonu ve ölçülülük ilkelerini ihlal etmektedir.
• Kimlik fotokopisi alınmasını zorunlu kılan herhangi bir kanuni düzenleme bulunmamaktadır.
• İşleme faaliyeti KVKK’nın 5. maddesinde sayılan hukuka uygunluk sebeplerinden hiçbirine dayanmamaktadır.

Bu değerlendirmeler ışığında Kurul, kimlik fotokopisi alınmasının kanunsuz, ölçüsüz ve gereksiz veri işleme olduğuna hükmetmiştir.

Kimlik Bildirme Kanunu Ne Zaman Uygulanır?

Kurul, İlke Kararında Kimlik Bildirme Kanunu’nun ilgili maddelerine de atıf yapmıştır. Kapıdan alınan kimlik bilgileri, kimlik numarası, ad–soyad gibi temel bilgiler; konaklama tesisi tarafından mevzuata uygun şekilde tutulmak zorundadır. Ancak bu düzenlemelerin kimlik belgesinin bir kopyasının alınması gerektiği yönünde bir zorunluluk getirmediği açıktır.

Konaklama yerlerinin “günlük müşteri listeleri” hazırlaması gerekir; ancak bu listelerde yalnızca adı, soyadı, uyruğu, oda numarası, giriş tarihi gibi bilgiler yer almaktadır. Kimlik belgesinin fotokopisinin alınmasına dair doğrudan bir düzenleme bulunmadığı gibi, bu tür bir uygulama Kurul’a göre veri sorumlusunun hukuki yükümlülüğünü yerine getirmesi için gerekli de değildir. Bu nedenle, kimlik fotokopisinin alınması hukuki dayanağı olmayan bir veri işleme faaliyeti olarak değerlendirilmiştir.

Konaklama Tesisleri İçin Yeni Yasal Yükümlülükler

İlke Kararı, sadece kimlik fotokopisinin alınmasını yasaklamakla kalmamış, aynı zamanda konaklama işletmeleri için ciddi uyum yükümlülükleri getirmiştir. Buna göre:

• Kimlik belgesi yalnızca gösterilerek kontrol edilmelidir. Belgenin taranması, fotokopisinin çekilmesi veya görselinin kaydedilmesi yasaktır.
• Mevcutta saklanan tüm kimlik fotokopileri derhal imha edilmelidir. İmha, KVKK İmha Politikası ve teknik-idari tedbirler çerçevesinde yapılmalıdır.
• Kayıt süreçleri yeniden düzenlenmeli, personel talimatları güncellenmelidir.
• Aydınlatma metinleri ve veri işleme süreçleri karara uygun hâle getirilmelidir.
• Dijital sistemlerde kimlik görüntüsü veya fotokopi barındıran arşivler temizlenmelidir.

Bu yükümlülüklere uyulmaması hâlinde, Kurul tarafından idari yaptırımlar uygulanması gündeme gelebilir.

Kimlik Fotokopisi Alınan Tüm Süreçler Gözden Geçirilmeli

Kararın etkisi yalnızca otel sektörüne özgü değildir. Günlük hayatın pek çok alanında, veri sorumluları kimlik fotokopisi almaya devam etmektedir. Örneğin:

• Ziyaretçi girişleri,
• Çalışan özlük dosyaları,
• Bankacılık işlemleri,
• Üyelik sözleşmeleri,
• Kiralama sözleşmeleri,
• Güvenlik birimleri tarafından yapılan kayıtlar.

Kurul, İlke Kararının tüm veri sorumluları için bağlayıcı olduğunu açıkça ifade ettiğinden, bu uygulamanın konaklama hizmeti verilsin verilmesin her işletme tarafından yeniden değerlendirilmesi zorunludur. Kimlik fotokopisinin alınması için, kimlikteki tüm bilgilerin ilgili süreç açısından neden gerekli olduğunun ortaya konulması gerekmektedir. Çoğu süreçte böyle bir gereklilik bulunmadığından, fotokopi alma pratiği geniş ölçüde hukuka aykırı nitelik kazanmaktadır.

Karar Yayımlandığı Gün İtibarıyla Yürürlükte

İlke Kararı, Resmî Gazete’de yayımlandığı 9 Aralık 2025 tarihi itibarıyla yürürlüğe girmiş olup, kararın bağlayıcılığı yalnızca konaklama sektörüne değil, Türkiye’deki tüm veri sorumlularına yöneliktir. Bu nedenle işletmelerin kararın gereğini gecikmeksizin yerine getirmesi, hem olası bir idari yaptırımı önlemek hem de kişisel veri güvenliği yükümlülüklerini yerine getirmek bakımından önem taşımaktadır.

Değerlendirmemiz

Bıçak Hukuk olarak uzun süredir dile getirdiğimiz üzere, kimlik fotokopisi alma pratiği hem ölçülülük ilkesine hem de veri minimizasyonu kuralına aykırıdır. Kimlik belgesindeki çok sayıda bilginin, konaklama gibi sınırlı bir hizmet için toplanması; gereksiz veri işleme anlamına gelmekte ve veri güvenliği bakımından yüksek risk oluşturmaktadır. İlke Kararı, bu yaklaşımımızı teyit etmekte ve uygulamada yaşanan belirsizlikleri ortadan kaldırmaktadır. Karar, kişisel verilerin korunması alanında önemli bir dönüm noktasıdır. Konaklama işletmeleri başta olmak üzere, kimlik fotokopisi alma uygulamasına yönelen tüm veri sorumlularının süreçlerini yeniden yapılandırması, saklama ve imha politikalarını gözden geçirmesi ve gerekli tedbirleri alması gerekmektedir.

Sonuç: Kimlik Doğrulama Evet, Kimlik Fotokopisi Hayır

İlke Kararı ile birlikte Türkiye’de uygulanması gereken kural çok nettir:

• Kimlik belgesi gösterilerek kontrol edilebilir.
• Kimlik fotokopisi alınamaz, saklanamaz, işlenemez.

Bu çerçevede tüm işletmelerin veri işleme faaliyetlerini yeniden gözden geçirmesi, gereksiz ve hukuka aykırı veri işleme pratiklerinden uzaklaşması ve KVKK’ya uyumlu bir yapı oluşturması büyük önem taşımaktadır. Bıçak Hukuk olarak KVKK uyum süreçlerinde işletmelere kapsamlı danışmanlık vermeye devam ediyoruz.