Konaklama tesisleri tarafından kimlik bilgilerinin kaydedilmesine ilişkin Kişisel Verileri Koruma Kurumu’nun Önemli Kararı, 9 Aralık 2025 tarihli ve 33102 sayılı Resmî Gazete’de yeni yayımlanmıştır. Tam metne buradan göz atabilirsiniz. Bu karar, otellere ve konaklama hizmeti sağlayıcılarına uygulanacak tüm standartları ve ilkeleri şekillendirecek nitelikte bir ana karardır.
Giriş
Kişisel Verileri Koruma Kurumu’nun (bundan böyle Kurum olarak anılacaktır) konaklama tesisleri ve oteller tarafından kimlik bilgilerinin kaydedilmesine ilişkin Önemli Kararı, 9 Aralık 2025 tarihli ve 33102 sayılı Resmî Gazete’de yayımlanmıştır. Bu karar, Türkiye’de veri gizliliğinin geliştirilmesi açısından önemli ölçütler içermektedir.
Türkiye’de kişisel verilerin korunmasından sorumlu temel idari organ nedir?
Kişisel Verileri Koruma Kurumu, kişisel verilerin korunmasını sağlamak ve Anayasada belirtilen mahremiyet ve özgürlüğe ilişkin temel haklarla uyumlu şekilde farkındalık geliştirmek amacıyla kurulmuştur.
Türkiye’de özel hayata saygı hakkı nedir?
Özel hayata saygı hakkı, Türk Anayasasında güvence altına alınmıştır. Madde 20, herkesin özel ve aile hayatına saygı gösterilmesini isteme hakkına sahip olduğunu düzenlemekte ve özel ve aile hayatının gizliliğinin, kanunda öngörülen şartlar ve sınırlamalara tabi olmak üzere, korunacağı ilkesini tesis etmektedir.
Özel hayata saygı hakkının korunmasına ilişkin daha fazla bilgi için Özel Hayatın Gizliliği ve Kişisel Verilerin Korunması Hakkına İlişkin makalemize göz atabilirsiniz.
Türk kişisel veri koruma hukuku nedir?
6698 sayılı Kişisel Verilerin Korunması Kanunu, Türkiye’de kişisel verilerin korunmasını düzenleyen temel hukuki çerçeveyi oluşturmaktadır. Kanunun Madde 1’de ortaya konulan temel amacı, kişisel verilerin işlenmesine ilişkin olarak bireylerin temel hak ve özgürlüklerini—özellikle özel hayatın gizliliği hakkını—korumak ve kişisel veri işleme faaliyetlerinde bulunan gerçek ve tüzel kişilere uygulanacak ilke, yükümlülük ve usulleri belirlemektir.
Kişisel verilerin işlenmesi ne anlama gelir?
6698 sayılı Kanun’un 2. maddesine göre, “kişisel verilerin işlenmesi”; kişisel veriler üzerinde tamamen veya kısmen otomatik olan ya da otomatik olmayan ancak bir veri kayıt sisteminin parçası olmak kaydıyla gerçekleştirilen her türlü işlemi ifade eder. Bu işlemler; toplama, kaydetme, saklama, muhafaza etme, değiştirme, yeniden düzenleme, açıklama, aktarma, devralma, elde edilebilir hâle getirme, sınıflandırma veya kullanılmasının engellenmesi gibi faaliyetleri kapsar.
Kişisel Verileri Koruma Kurumu’nun Önemli Kararına Genel Bakış
Konaklama tesisleri tarafından kimlik bilgilerinin kaydedilmesine ilişkin Kişisel Verileri Koruma Kurumu’nun Önemli Kararı, 9 Aralık 2025 tarihli ve 33102 sayılı Resmî Gazete’de yeni yayımlanmıştır. 06/11/2025 tarihli ve 2025/2120 sayılı Kurul Kararı, doğrudan bireylere hizmet sunma niteliği nedeniyle kişisel verilerin en yoğun işlendiği alan olan konaklama sektörüne ilişkin önemli ilkeler geliştirmiştir.
Kurum’a iletilen bildirim ve şikâyet üzerine, sektörü bilgilendirmek ve yeknesak uygulamayı sağlamak amacıyla, Kurul Kararı iki farklı Kanun metni tarafından güdülen iki ayrı ve rekabet hâlindeki menfaati analiz ederek oluşturulmuştur.
6698 sayılı Kanun’un 5. maddesi uyarınca, kişisel veriler ilgili kişinin açık rızası olmaksızın işlenemez. Ancak aynı maddenin ikinci fıkrası uyarınca, aşağıdaki şartlardan birinin varlığı hâlinde kişisel veriler açık rıza aranmaksızın işlenebilir:
a) Kanunlarda açıkça öngörülmesi,
b) Fiilî imkânsızlık nedeniyle rızasını açıklayamayacak durumda bulunan veya rızasına hukuken geçerlilik tanınmayan kişinin kendisinin ya da bir başkasının hayatı veya beden bütünlüğünün korunması için zorunlu olması,
c) Bir sözleşmenin kurulması veya ifasıyla doğrudan doğruya ilgili olması kaydıyla, kişisel verilerin işlenmesinin gerekli olması,
ç) Veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesi için zorunlu olması,
d) İlgili kişi tarafından kişisel verilerin alenileştirilmiş olması,
e) Bir hakkın tesisi, kullanılması veya korunması için veri işlemenin zorunlu olması,
f) İlgili kişinin temel hak ve özgürlüklerine zarar vermemek kaydıyla, veri sorumlusunun meşru menfaatleri için veri işlemenin zorunlu olması.
1774 sayılı Kimlik Bildirme Kanunu’nun 2. maddesi uyarınca; oteller, moteller, hanlar, pansiyonlar, misafirhaneler, yatılı tesisler, kamplar, kamping alanları, tatil köyleri ve benzeri tesisler; özel sağlık kurumları; dinlenme ve eğlenme yerleri; kamuya ait veya özel sosyal tesisler ile kişilerin geçici veya sürekli olarak, ücretsiz ya da ücret karşılığında kaldıkları yerler, kanunda belirtilen usul ve esaslara uygun olarak, konaklayan Türk vatandaşları ile yabancıların kimlik ve giriş–çıkış bilgilerini kaydetmek ve bildirmekle yükümlüdür.
Kişisel Verileri Koruma Kurumu’nun Önemli Kararı
Tüm bu hususlar dikkate alındığında, Kişisel Verileri Koruma Kurumu, konaklama hizmeti alan kişilerden ad, soyad, Türkiye Cumhuriyeti kimlik numarası ve kimlik bilgileri gibi bilgilerin talep edilmesinin 1774 sayılı Kanun’a uyum için gerekli olduğu sonucuna varmaktadır. Bununla birlikte, Kurul tarafından, bu zorunluluğun Türk Kimlik Kartının fotokopisinin talep edilmesi ve kaydedilmesi gibi ek bir kişisel veri işleme faaliyeti niteliğindeki bir uygulamayı kapsamadığı belirtilmiştir.
Kimlik kartının kopyalanması veya kaydedilmesi işlemi yapılmaksızın yalnızca görsel olarak doğrulanması, Kanun’un öngördüğü amacı yerine getirmek için yeterli olabilmekle birlikte; Türkiye Cumhuriyeti Kimlik Kartının fotokopisinin alınması uygulaması, gerekenden daha fazla kişisel verinin işlenmesine yol açmakta ve veri güvenliği bakımından ek riskler oluşturmaktadır. Bu nedenle, söz konusu uygulama, 6698 sayılı Kanun anlamında Kurul tarafından ölçülü kabul edilmemektedir.
Sonuç olarak, Kişisel Verileri Koruma Kurumu tarafından verilen Önemli Karara göre, kimlik kartı fotokopilerinin kaydedilmesi veya saklanması suretiyle kişisel veri işlenmesi, 6698 sayılı Kanun’un 5. maddesinde öngörülen şartları —özellikle “kanunda açıkça öngörülme” veya “zorunluluk” koşullarını— karşılamamaktadır.
Sonuç
Kısaca, oteller tarafından kimlik bilgilerinin kaydedilmesine ilişkin Kişisel Verileri Koruma Kurumu’nun Önemli Kararı Kurul tarafından yeni yayımlanmıştır. Bu makalede, yeni kararın kimliklerle bağlantılı veri gizliliğinin korunması için Kurul tarafından bir ölçüt (benchmark) olarak getirildiği ortaya konmuştur. Kurul, Türkiye Cumhuriyeti Kimlik Kartının fotokopisinin saklanması uygulamasının, gerekenden fazla kişisel veri işlenmesine yol açtığını ve veri güvenliği bakımından ek riskler oluşturduğunu vurgulamakta; bu nedenle söz konusu uygulamanın Kanun ile bağdaşmadığı sonucuna varmaktadır.
Avukat Büşra Dereli
