Kimlik Bildirimi Yükümlülüğünün Kapsamı ve Sınırları: 2025/2120 Sayılı KVKK İlke Kararı’nın Değerlendirilmesi

Özet

Konaklama tesislerinde kimlik bildirimi uygulaması, mevzuattan kaynaklanan bir yükümlülük olmakla birlikte, uygulamada bu yükümlülüğün kapsamına ilişkin farklı yöntemlerin benimsendiği bir alan olarak karşımıza çıkmaktadır. İlgili kişilerden kimlik belgesi fotokopisi alınması suretiyle gerçekleştirilen veri işleme faaliyetleri, hukuki dayanağı ve kişisel verilerin korunması hukuku bakımından ölçülülüğü yönünden tartışmalara konu olmuştur.

Kişisel Verileri Koruma Kurulu’nun 06.11.2025 tarihli ve 2025/2120 sayılı İlke Kararı ile, konaklama tesislerinde kimlik fotokopisi alınması uygulamasının hukuki bir dayanağının bulunmadığı açıkça ortaya konulmuş; bu uygulamaya son verilmesi ve bu yolla elde edilmiş kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun 7’nci maddesi uyarınca imha edilmesi gerektiği hüküm altına alınmıştır. Anılan İlke Kararı, kimlik bildirimi sürecine ilişkin olarak uygulamada varlığını sürdüren tereddütleri gidermiştir.

Bu makalede, konaklama tesislerinde kimlik bildirimi uygulaması; 1774 sayılı Kimlik Bildirme Kanunu, ilgili ikincil düzenlemeler ve idari işlemler çerçevesinde ele alınmakta; Kişisel Verileri Koruma Kurulu’nun 2025/2120 sayılı İlke Kararı’nın hukuki dayanağı ve yerindeliği değerlendirilmektedir. Bu kapsamda ayrıca, İlke Kararı ile Kültür ve Turizm Bakanlığı’nın 2011/10 sayılı Genelgesi arasındaki ilişki ortaya konularak, kimlik bildirimi yükümlülüğünün sınırları kişisel verilerin korunması hukuku bakımından incelenmektedir.

Anahtar Kelimeler

Konaklama, kişisel veriler, KVKK, kimlik bildirimi, veri minimizasyonu.

Uzman kalemlerden, mevzuat dünyasına dair kapsamlı içeriklere ulaşmak için şimdi Aylık Mevzuat Dergisi’ne göz atın!

1. Giriş

Kişisel verilerin korunmasına ilişkin hukuki tartışmalar, özellikle uygulamaya temas eden alanlarda giderek yoğunlaşmaktadır. Hangi kişisel verilerin hangi amaçla, hangi kapsamda ve ne kadar süreyle işlenebileceği sorusu, çoğu zaman yalnızca normatif düzenlemelerle değil, bu düzenlemelerin sahadaki yansımalarıyla birlikte değerlendirilmesini gerekli kılmaktadır. Bu durum, günlük hayatın olağan akışı içerisinde yoğun kişisel veri işlenen sektörlerde daha belirgin hâle gelmektedir.

Konaklama tesislerinin kişisel veri işleme süreçlerine ilişkin olarak, yasal düzenlemelerin öngördüğü yükümlülükler çerçevesinde şekillenmesi gereken uygulamaların, zaman içerisinde farklı biçimlerde geliştiği görülmektedir. Bazı işletmeler, mevzuatta öngörülen kimlik tespiti ve kayıt tutma yükümlülüğü ile sınırlı kalarak, sınırlı sayıda kişisel veriyi kendi iç sistemlerinde kısa sürelerle muhafaza etmeyi tercih ederken; bazı işletmeler ise bu yükümlülüğün kapsamını genişletecek şekilde, kimlik belgelerinin fiziki kopyalarını da içeren yoğun bir kişisel veri toplama ve saklama pratiğini benimsemiştir.

Uygulamadaki bu belirsizlikler, diğer bir deyişle 6698 sayılı Kişisel Verilerin Korunması Kanunu’nun (“KVKK”) nasıl uygulanacağına ilişkin sorunlar, 2025 yılında Kişisel Verileri Koruma Kurulu (“KVK Kurulu”) tarafından giderilmiştir. Kurulun aldığı 2025/2120 sayılı İlke Kararı ile Türkiye genelinde uygulamada yeknesaklık sağlanmış; bugüne kadar hukuka aykırı olarak nitelendirilen yoğun fiziksel veri toplama ve saklama uygulamalarına son verilmiştir.¹

Belirtmek gerekir ki, bugüne kadar “veri minimizasyonu” olarak anılan asgari kişisel veri işleme ilkesine riayet edilmeksizin, “nasılsa lazım olur” yaklaşımıyla çok büyük ölçeklerde kişisel veri toplanmıştır. Kurul kararıyla birlikte bu konuda yeni bir döneme girilmiş; Resmî Gazete’de yayımlanan karar ile kimlik bilgilerinin işlenmesine ilişkin yeni bir düzenleyici sürecin başladığı tartışılmıştır. Belirtmek gerekir ki, Kültür ve Turizm Bakanlığı tarafından yayımlanan 2011/10 sayılı Genelge ile kimlik bilgilerinin konaklama tesislerinde hangi sınırlar içerisinde işlenmesi gerektiğine dair idari düzeyde açık bir yol haritası çizilmiş olmasına rağmen, bu düzenlemenin uygulamadaki farkındalığının düşük kalmıştır.

Bu makalede, konaklama tesislerinde kimlik bildirimi uygulamasının dayanağını oluşturan yasal mevzuat çerçevesi ayrıntılı olarak ele alınacak; uygulamada gelinen nokta, söz konusu yasal düzenlemeler ışığında değerlendirilecektir. Bu kapsamda, Kişisel Verileri Koruma Kurulu’nun 09.12.2025 tarihli ve 2025/2120 sayılı İlke Kararı genel hatlarıyla incelenecek; kimlik kayıtlarının toplanmasına ilişkin mevzuat hükümleri ile yapılan tespitler doğrultusunda Kurul kararının hukuki dayanağı ve yerindeliği ortaya konulacaktır. Makalede ayrıca, anılan İlke Kararı ile Kültür ve Turizm Bakanlığının 2011/10 sayılı Genelgesi arasındaki ilişki değerlendirilerek, kimlik bildirimi yükümlülüğünün sınırları kişisel verilerin korunması hukuku bakımından incelenecektir.

2. Konaklama Hizmeti Sağlayan İşletmelerde Kimlik Bildirimi İşlemi

Konaklama tesislerinde, hizmetten yararlanan kişilerin kimlik bilgilerinin tutulması işlemi uzun süredir hem mevzuattan kaynaklanan bir yükümlülük hem de uygulamada yerleşmiş pratikler çerçevesinde yürütülmektedir. Bu süreç, özellikle otel, pansiyon, tatil köyü ve benzeri tesislerde, hizmetten yararlanan kişilerin tesise giriş anında kimlik bilgilerinin tespiti ve kayda alınması şeklinde gerçekleşmektedir.

Uygulamada, konaklama tesislerine giriş yapan kişilere “register card” olarak adlandırılan fiziki kayıt kartlarının doldurtulduğu; bu kartlar aracılığıyla ad-soyad, T.C. kimlik numarası ve doğum tarihi gibi temel kimlik bilgilerinin kayıt altına alındığı görülmektedir. Geçmişte büyük ölçüde manuel yöntemlerle tutulan bu kayıtlar, teknolojik gelişmeler sayesinde zamanla elektronik sistemlere aktarılmış ve merkezi veri tabanları üzerinden kolluk kuvvetlerinin erişimine açık hâle getirilmiştir.

Günümüzde hâlen manuel sistemleri kullanan tesisler bulunmakla birlikte, süreci tamamen elektronik sistemler aracılığıyla yürüten ve dijital dönüşümünü tamamlayan işletmeler de mevcuttur.

Bununla birlikte, söz konusu kimlik bildirimi yükümlülüğünün uygulamada çoğu zaman yalnızca kimlik bilgilerinin tespiti ile sınırlı kalmadığı; birçok konaklama tesisinde kimlik belgesinin fotokopisinin alınarak fiziksel kaydının tutulduğu veya dijital kopyasının sistemlerde muhafaza edildiği gözlemlenmektedir.

Bu uygulama, kimi zaman tesislerin iç prosedürleri, kimi zaman ise sektörün alışkanlık hâline gelmiş pratikleri gerekçe gösterilerek sürdürülmüştür.

Resepsiyon süreçlerinde kimlik belgesinin kısa süreli olarak görülmesi ve bilgilerin kayda alınmasıyla yetinilmeyip, belgenin tamamının kopyalanması yoluna gidilmesi; anne-baba adı, cinsiyet, seri numarası, eski kimliklerde kan grubu ve medeni hâl gibi, konaklama hizmetinin sunulması veya kimlik bildirimi yükümlülüğünün yerine getirilmesi bakımından zorunlu olmayan kişisel verilerin de işlenmesine yol açmıştır. Bu durum, kimlik bildirimi işleminin sınırlarının fiilen genişlemesine ve veri işleme faaliyetinin kapsamının mevzuatta öngörülen amacın ötesine taşınmasına neden olmuştur.

Dolayısıyla, konaklama tesislerinde kimlik bildirimi işlemi normatif çerçevede “kimlik tespiti ve kayıt altına alma” amacıyla sınırlı bir yükümlülük olarak düzenlenmiş olmasına rağmen, uygulamada zaman içerisinde farklı bir boyut kazanarak mahremiyet hakkı ve kişisel verilerin korunması hukuku bakımından tartışmalı sonuçlar doğuran bir pratiğe dönüşmüştür. Bu durum, sürece ilişkin yasal düzenlemeler ve kişisel veri hukuku açısından değerlendirilmesi gereken önemli bir çıkış noktası oluşturmaktadır.

2.1. Temel Hukuki Çerçeve

Konaklama tesislerinde kimlik bildirimi işlemi esasen belirli bir mevzuat çerçevesine dayanmaktadır. Bu çerçeve, kimlik bildirimi yükümlülüğünün kapsamını, amacını ve yerine getirilme usulünü belirleyen temel düzenlemelerden oluşmakta olup, söz konusu yükümlülüğün hangi sınırlar içinde ifa edileceğini ortaya koymaktadır. Kimlik bildirimi sürecinin hukuki niteliğinin ve kapsamının doğru şekilde değerlendirilebilmesi için, öncelikle bu süreci düzenleyen yasal normların birlikte ele alınması gerekmektedir. Bu bağlamda, kimlik bildirimi yükümlülüğünün asli hukuki dayanağını oluşturan 1774 sayılı Kimlik Bildirme Kanunu ile Kanunu’nun uygulanmasına ilişkin usul ve esasları düzenleyen ikincil mevzuat, süreç bakımından belirleyici niteliktedir.

2.2. 1774 Sayılı Kimlik Bildirme Kanunu

Konaklama tesislerinde kimlik bildirimi işleminin hukuki dayanağı, başta 1774 sayılı Kimlik Bildirme Kanunu olmak üzere, kamu düzeni ve güvenliğinin sağlanmasına yönelik normatif bir çerçeve içerisinde şekillenmektedir. Anılan mevzuat, konaklama tesislerinin faaliyetleri sırasında hizmetten yararlanan kişilerin kimlik bilgilerinin tespit edilmesini ve belirli usuller çerçevesinde kayıt altına alınmasını öngörmektedir.

Nitekim Kimlik Bildirme Kanunu’nun 2. maddesi aynen şu şekildedir:

“Otel, motel, han, pansiyon, bekar odaları, günübirlik kiralanan evler, kamp, kamping, tatil köyü, marinalar, liman tesisi, kıyı tesisi ve benzeri her türlü, özel veya resmi konaklama yerleri ile özel sağlık müesseseleri, dinlenme ve huzur evleri, dini ve hayır kurumlarının sosyal tesislerinin sorumlu işleticileri, bu yerlerde ücretli veya ücretsiz, gündüz veya gece, yatacak yer gösterdikleri gemi/deniz turizmi araçlarında kalan kişiler de dahil olmak üzere yerli veya yabancı herkesin kimlik ve geliş- ayrılış kayıtlarını, örneğine ve usulüne uygun şekilde günü gününe tutmak, genel kolluk örgütlerinin her an incelemelerine hazır bulundurmak, Devlet İstatistik Enstitüsüne, talebi halinde vermek zorundadırlar.”

Öncelikle ilgili yasal düzenlemeden hareketle mevzuatın kişi bakımından uygulama kapsamının belirlenmesi faydalı olacaktır. Nitekim Kimlik Bildirme Kanunu, yükümlülerin kapsamını yalnızca klasik anlamda turizm işletmeleri ile sınırlı tutmamış; otel, pansiyon ve tatil köylerinin yanı sıra marinalar, liman ve kıyı tesisleri, özel sağlık müesseseleri, huzurevleri ile dini ve hayır kurumlarına ait sosyal tesisler gibi geçici barınma hizmeti sunan farklı nitelikteki işletmeleri de kapsama dâhil etmiştir.

Bu nedenle, kişi bakımından uygulamanın kapsamı “konaklama yerleri ve benzeri geçici barınma tesisleri” şeklinde değerlendirilebilmekte olup, kısaca konaklama tesisleri olarak anılacaktır.

Kanun uyarınca, konaklama tesisleri hizmet alan kişilerin kimlik bilgilerini günlük olarak kayıt altına almakla yükümlüdür. Bu yükümlülük, kimlik tespiti olarak adlandırılabilecek kimlik bilgilerinin doğruluğunun sağlanması ve gerektiğinde yetkili makamların incelemesine imkân tanınması şeklinde tezahür etmektedir. Ayrıca Kimlik Bildirme Kanunu, bu kapsamda tutulan kayıtların kolluk kuvvetlerinin denetimine hazır şekilde muhafaza edilmesini açıkça öngörmektedir.

Buna ek olarak, Kimlik Bildirme Kanunu’nun uygulanmasına ilişkin düzenlemelerde, kimliğini ispat edemeyen kişilerin konaklama tesislerinde barındı- rılmaması gerektiği hüküm altına alınmıştır. Bu düzenleme, kimlik bildirimi yükümlülüğünün yalnızca kayıt tutma ile sınırlı olmadığını; aynı zamanda konaklama hizmetinin sunulmasının ön koşullarından biri olarak kimlik tespitini zorunlu kıldığını ortaya koymaktadır.

2.3. Kimlik Bildirme Kanununun Uygulanması ile İlgili Yönetmelik

1774 sayılı Kimlik Bildirme Kanunu’nun uygulanmasına ilişkin usul ve esaslar, Kimlik Bildirme Kanununun Uygulanması ile İlgili Yönetmelik (“Kimlik Bildirme Yönetmeliği”) aracılığıyla somutlaştırılmıştır. Anılan Yönetmelik, kimlik bildirimi yükümlülüğünün hangi yöntemlerle yerine getirileceğini düzenleyerek konaklama hizmeti sunan işletmeler bakımından uygulamaya yön veren çerçeveyi ortaya koymaktadır. Bu yönüyle Yönetmelik, Kanun’da öngörülen yükümlülüklerin sınırlarını belirleyen tamamlayıcı bir düzenleme niteliği taşımaktadır.

Kimlik Bildirme Yönetmeliğinin “Kayıtlama” başlıklı 5.maddesi şu şekildedir:

“Bu Yönetmelik hükümlerine göre kimlik bildirme belgelerini en yakın yetkili genel kolluk örgütüne vermekle yükümlü tutulanlar, kimliğini nüfus hüviyet cüzdanı veya diğer resmi geçerli belgelerle ispat edemeyen kimseleri, tesislerinde barındıramaz, konut ve iş yerinde çalıştıramaz.”

Yönetmelikte, kimliğini ispat edemeyen kişilerin konaklama tesislerinde barındırılmaması gerektiği açıkça hükme bağlanmıştır. Bu düzenleme, kimlik bildirimi yükümlülüğünün yalnızca kayıt tutmaya ilişkin teknik bir zorunluluk olmadığını; aynı zamanda konaklama hizmetinin sunulmasının ön koşullarından biri olarak kimlik tespitini zorunlu kıldığını ortaya koymaktadır.

Kimlik Bildirme Yönetmeliği’nin “Dağıtım-Görevlendirilecek Kişiler” başlıklı 33. maddesinin Ek-1. maddesinde düzenlenen hüküm ise şu şekildedir:

“1774 sayılı Kanunun 2 nci maddesinde sayılan özel veya resmi her türlü konaklama tesisleri ve işletmeler tüm kayıtlarını bilgisayarda günü gününe tutmak, genel kolluk kuvvetlerinin bilgisayar terminallerine bağlanarak mevcut bilgi, belge ve kayıtları genel kolluk kuvvetlerine anlık olarak bildirmek zorundadırlar.

Bildirilen kayıtlar genel kolluk kuvvetlerine ait sistemde beş yıl süre ile muhafaza edilir. Bu süreyi dolduran kayıtlar kaydedilen sistemden otomatik olarak silinir.

Bu veriler üzerinden yapılan tüm işlemler kayıt altına alınır.”

Yönetmeliğe göre konaklama hizmeti sağlayan tesisler, hizmetten yararlanan kişilere ilişkin kimlik kayıtlarını bilgisayar ortamında ve günü gününe tutmakla yükümlüdür. Bu kayıtların, genel kolluk kuvvetlerinin bilgisayar terminallerine bağlanmak suretiyle mevcut bilgi, belge ve kayıtların anlık olarak kolluk kuvvetlerine bildirilmesi esası benimsenmiştir.

Böylelikle kimlik bildirimi süreci, manuel yöntemlerden uzaklaşarak merkezi ve elektronik bir kayıt sistemine dayandırılmıştır.

Yönetmelik ayrıca, bildirilen kimlik kayıtlarının genel kolluk kuvvetlerine ait sistemlerde beş yıl süreyle muhafaza edileceğini hükme bağlamıştır. Belirlenen sürenin sona ermesiyle birlikte söz konusu kayıtların ilgili sistemlerden otomatik olarak silinmesi öngörülmüştür. Bu düzenleme, kimlik bildirimi kapsamında işlenen kişisel verilerin süresiz olarak saklanmaması ve imhası yönünde önemli bir vurgu teşkil etmektedir. Bunun yanında, kimlik bildirimi kapsamında elde edilen veriler üzerinden yapılan tüm işlemlerin kayıt altına alınması zorunlu tutulmuştur. Bu hüküm, kimlik bilgilerine erişim ve bu veriler üzerinde gerçekleştirilen işlemlerin izlenebilirliğini sağlamaya yönelik bir güvenlik ve denetim mekanizması olarak değerlendirilmektedir.

2.4. Diğer İdari Düzenleyici İşlemler: Kültür ve Turizm Bakanlığı’nım 2011/10 sayılı Genelgesi

Konaklama tesisleri bakımından kimlik bildirimi uygulamasına ilişkin tartışmalar, her ne kadar KVK Kurulunun 06.11.2025 tarihli ve 2025/2120 sayılı İlke Kararı ile yeniden gündeme gelmiş ve bu Karar ile uygulamada tercih edilen yöntemlere ilişkin açık sınırlar çizilmiş olsa da söz konusu sınırların idare tarafından ilk kez bu kararla belirlendiğini söylemek mümkün değildir. Nitekim, idarenin daha önceki düzenleyici işlemleri incelendiğinde, kimlik bildirimi sürecinin kapsamı ve yöntemi bakımından 2011 yılında yayımlanan bir Kültür ve Turizm Bakanlığı genelgesi ile uygulamaya yön verildiği görülmektedir.

Kültür ve Turizm Bakanlığı tarafından yayımlanan 2011/10 sayılı Genelge, konaklama tesislerinde kimlik bildirimi uygulamasına ilişkin olarak idarenin benimsediği yaklaşımı erken bir aşamada ortaya koyan düzenleyici işlemlerden biridir.² Genelge, Kimlik Bildirme Kanunu ve ilgili uygulama yönetmeliğine atıfla, kimlik bildirimi yükümlülüğünün kapsamının ve yönteminin mevzuatta öngörülen sınırlar dâhilinde yerine getirilmesi gerektiğini açıklamaktadır.

Genelgede, kimlik bildirimi işleminin amacının hizmetten yararlanan kişilerin kimlik bilgilerinin tespiti ve kayıt altına alınması olduğu açıkça belirtilmiş; bu amacın ötesine geçen uygulamalardan kaçınılması gerektiği vurgulanmıştır.

Bu çerçevede, ilgililer tarafından kimlik fotokopisi alınması yönündeki uygulamanın kimlik bildirimi yükümlülüğünün yerine getirilmesi bakımından zorunlu olmadığı, bu nedenle anılan yasal düzenleme ile bağdaşmadığı ve ilgili mevzuatın amacına sadık kalarak ölçülü işlem yapılması gerektiği açıkça ifade edilmiştir.

3. KVK Kurulunun 06.11.2025 Tarihli 2025/2120 Sayılı İlke Kararı

KVK Kurulu’nun 06.11.2025 tarihli ve 2025/2120 sayılı İlke Kararı, konaklama tesislerinde uzun süredir fiilen uygulanan kimlik fotokopisi alınması pratiğine ilişkin olarak açık ve bağlayıcı bir hukuki çerçeve ortaya koymuştur. Kurul, bu ilke kararı ile konaklama hizmetinden yararlanan kişiler açısından işlenecek kişisel verilere dair yasal düzenlemeleri ayrıntılı biçimde incelemiş ve söz konusu uygulamayı kişisel verilerin korunması hukuku perspektifinden netleştirmiştir. Kararda, Kimlik Bildirme Kanunu ve ilgili ikincil düzenlemeler uyarınca konaklama tesislerinin, hizmetten yararlanan kişilerin kimlik bilgilerini kayıt altına alma yükümlülüğü bulunduğu; ayrıca 213 sayılı Vergi Usul Kanunu kapsamında gerçek kişilere düzenlenecek faturalarda kimlik bilgilerinin yer almasının zorunlu olduğu ve bu belgelerin işletme kayıtlarında muhafaza edilmesi gerektiği tespit edilmiştir.

Bununla birlikte, kimlik verilerinin işlenmesine ilişkin yasal düzenlemelerin, kimlik belgesinin fotokopisinin alınmasını veya belgedeki tüm bilgilerin ayrıca muhafaza edilmesini zorunlu kılmadığı açıkça vurgulanmıştır. Bu çerçevede Kurul, kimlik fotokopisi alınması suretiyle gerçekleştirilen veri işleme faaliyetinin hukuki dayanağının bulunmadığını ortaya koymuştur. Nitekim KVKK’nın 4. maddesinde belirtildiği üzere; “Kişisel veriler, ancak bu Kanunda ve diğer kanunlarda öngörülen usul ve esaslara uygun olarak işlenebilir”. İlke kararında da vurgulandığı üzere, kişisel verilerin işlenmesi için gerekli olan temel şartların başında “hukuka ve dürüstlük kurallarına uygunluk” prensibi gelmektedir. KVK Kurulu tarafından yayımlanan konuya ilişkin rehberde de konu detaylıca irdelenmiş olup, kişisel veri işleme faaliyetlerinde gözetilmesi gereken “hukuka uygunluk ilkesi” etraflıca ele alınmıştır. İlgili rehbere göre; “Hukuka ve dürüstlük kuralına uygun olma, kişisel verilerin işlenmesinde kanunlarla ve diğer hukuksal düzenlemelerle getirilen ilkelere uygun hareket edilmesi zorunluluğunu ifade etmektedir... Kişisel verilerin korunması açısından ise bu ilkelelere uyum, kişilerin kendilerine kişisel veri işleme konusunda izin ya da emir veren hukuk kurallarına dayanarak gerçekleştirdikleri fillerde, bu hukuk kuralının amacına göre mümkün olan en az miktarda kişisel veri işlemeleri, ilgili kişilerin öngöremeyeceği biçimde hareket etmemeleri gibi davranışları gerektirir...”³ Anılan ilkeden hareketle, konaklama tesisleri tarafından kimlik bildirimi yükümlülüğü kapsamında gerçekleştirilen veri işleme faaliyetlerinin, yalnızca mevzuatta öngörülen amaçla ve bu amacın gerektirdiği ölçüde yürütülmesi gerektiği açıktır. Kimlik tespiti amacıyla gerekli olan bilgilerin kayda alınması mümkün ve hukuken zorunlu olmakla birlikte, bu amaca hizmet etmeyen veya amacın gerçekleştirilmesi için zorunlu olmayan kişisel verilerin işlenmesi, hukuka ve dürüstlük kuralına uygunluk ilkesiyle bağdaşmamaktadır. Nitekim kimlik fotokopisi alınması uygulaması, ilgili kişilerin öngörebileceği bir veri işleme faaliyeti olmaktan uzaklaşmakta ve “nasılsa gerekli olabilir” yaklaşımıyla gerçekleştirilen, ölçüsüz bir veri işleme pratiğine dönüşmektedir. Bu durum, dürüstlük kuralının bir yansıması olan veri minimizasyonu ilkesine de aykırılık teşkil etmektedir. Zira kimlik bildirimi yükümlülüğünün yerine getirilmesi için zorunlu olmayan verilerin işlenmesi, kişisel verilerin korunması hukukunun temel ilkeleriyle bağdaşmamaktadır.

İlke Kararında özellikle, kimlik fotokopisi alınması yoluyla işlenen kişisel verilerin kapsamının, kimlik bildirimi amacını aşacak şekilde genişlediğine dikkat çekilmiştir. Kurul’un bu değerlendirmesi, kimlik bildirimi yükümlülüğünün KVKK’nın 5’inci maddesinin ikinci fıkrasının (a) bendi kapsamında kanunda açıkça düzenlenen bir veri işleme faaliyeti olması ve (ç) bendi kapsamında hukuki bir yükümlülüğün yerine getirilmesi amacıyla gerçekleştirilebileceğini kabul etmekle birlikte; fotokopi işleminin anılan mevzuat hükümlerini aşarak hukuka aykırı hale geleceğini ortaya koymaktadır.

Öte yandan, yeni çipli kimlik uygulamasına geçilmiş olmasına rağmen, eski tip nüfus cüzdanı kullanan kişilerin kimlik fotokopilerinde kan grubu ve dini inanç gibi özel nitelikli kişisel verilerin yer aldığı dikkate alındığında, KVKK’nın 6’ncı maddesindeki hukuki işleme şartlarına uygun bir veri işleme süreci söz konusu olmayacağından, bu uygulamanın hukuka aykırılık teşkil edeceği de kararda vurgulanmıştır.

Kurul, kararında yalnızca mevcut uygulamaya son verilmesi gerektiğini belirtmekle yetinmemiş; daha önce kimlik fotokopisi alınması suretiyle elde edilmiş kişisel verilerin akıbetine ilişkin de açık bir yükümlülük öngörmüştür.

Bu kapsamda, kimlik fotokopisi alınması yoluyla işlenen kişisel verilerin KVKK’nın 7’nci maddesi uyarınca, ilgili mevzuatta öngörülen usul ve esaslara uygun şekilde imha edilmesi gerektiği hüküm altına alınmıştır. Böylelikle Kurul, geçmişte hukuka aykırı şekilde elde edilmiş verilerin muhafazasının da hukuka uygun kabul edilemeyeceğini net bir biçimde ortaya koymuştur.

4. Netice ve Kanaat

Konaklama tesislerinde kimlik bildirimi uygulaması, uygulayıcıların pratiklik ve garanticilik gibi çeşitli yaklaşımları sonucunda, açık bir hukuki dayanağı bulunmayan kimlik belgesi fotokopisi alınması yöntemine evrilmiştir. Oysa Kimlik Bildirme Kanunu ve ilgili ikincil düzenlemeler birlikte değerlendirildiğinde, konaklama tesisleri açısından öngörülen yükümlülüğün; hizmetten yararlanan kişilerin kimlik bilgilerinin tespiti ve bu bilgilerin yetkili makamların incelemesine elverişli şekilde kayıt altına alınması ile sınırlı olduğu açıktır. Mevzuat, kimlik belgesinin fotokopisinin alınmasını veya belgedeki tüm bilgilerin ayrıca muhafaza edilmesini zorunlu kılan bir çerçeve öngörmemektedir.

KVK Kurulunun 2025/2120 sayılı İlke Kararı, kimlik fotokopisi alınması uygulamasının hukuki bir dayanağının bulunmadığını açıkça ortaya koymuş; bu uygulamaya son verilmesi ve bu yolla elde edilmiş kişisel verilerin KVKK’nın 7’nci maddesi uyarınca imha edilmesi gerektiğini hüküm altına almıştır. Böylelikle Kurul, uygulamada varlığını sürdüren tereddütleri gidererek, kimlik bildirimi sürecine ilişkin sınırları kişisel verilerin korunması hukuku bakımından netleştirmiştir. Bununla birlikte İlke Kararı, yeni bir yaklaşım ihdas etmekten ziyade, idari düzenlemelerle uzun süredir işaret edilen sınırları KVKK düzeyinde bağlayıcı ve yaptırımla desteklenen bir hukuki çerçeveye taşımaktadır. Nitekim Kültür ve Turizm Bakanlığının 2011/10 sayılı Genelgesi, kimlik bildirimi yükümlülüğünün amacına uygun ve ölçülü şekilde yerine getirilmesi gerektiğini ortaya koyarak, izlenmesi gereken yönteme 2011 yılından bu yana işaret etmektedir.

KVK Kurulunun kararını sadece hukuki işleme sebepleri ve kişisel verilerin saklanması açısından değil, veri güvenliği açısından ve siber güvenlik açısından da değerlendirmek gerekmektedir. Kişisel verileri hedef alan siber tehditler artmaktadır. Veri sorumluları her ne kadar kişisel veri güvenliğini sağlamak için teknik ve idari tedbirler alsa da yeni siber tehditler, yapay zekâ kullanımı, bilişim sistemlerindeki karmaşık tedarik altyapısı güvenliği sağlamayı zorlaştırmaktadır.

KVK Kurulunun 2025/2120 sayılı İlke Kararı, daha az kişisel veri işlenmesine ve yaşam döngüsü tamamlanmış kişisel verilerin imhasına yönelik açık talimat niteliğinde olduğu için siber güvenliğin sağlanmasına da hizmet etmektedir.

KVK Kurulunun kararı veri sorumlularının asgari kişisel veri işlemesi için teknik ve idari tedbirler almasını zorunlu kılmaktadır. Doktrinde de belirtildiği üzere: "kişisel verilerin işlendikleri amaçla sınırlı ve ölçülü olması olarak ifade edilen veri minimizasyonu ilkesi de, veri sorumlusunun sürekli olarak gerçekten ihtiyaç duyduğu verilerle sınırlı şekilde kişisel veri işlemesi için gerekli idari tedbirleri alması zorunluluğunu beraberinde getirmektedir”.⁴ Benzer şekilde doktrin-

de vurgulandığı üzere “Kişisel verilerin korunması alanında kamuoyunda tartışma yaratan pek çok önemli sorunun veri sızıntılarına ilişkin olduğu görülmektedir. Yeterli teknik ve idari önlemin alınmaması önemli kayıpların yaşanmasına neden olabilir. Bu noktada ekonomik kayıplar yanında, kişi hak ve özgürlükleri açısından oluşan tehlike de dikkatten kaçmamalıdır”.⁵

19.3.2025 tarihinde yürürlüğe giren 7545 sayılı Siber Güvenlik Kanunu’nda bu Karar’a etkileri vardır. Kimlik bilgisi gibi yoğun kişisel veri içeren sistemler, siber saldırganların özellikle hedefinde olmaktadır. Siber Güvenlik Kanunu’nun ‘Temel İlkeler’ başlıklı 4. maddesinin birinci fıkrasının (ç) bendi uyarınca, siber güvenlik tedbirlerinin, hizmet ve ürünlerin tüm yaşam döngüsü boyunca uygulanması esastır. KVK Kurulunun 2025/2120 sayılı İlke Kararı, kimlik bilgilerine yönelik açık bir yaşam döngüsü belirlediği için Siber Güvenlik Kanunu açısından da bu yaşam döngüsünün gözetilmesi zorunludur.

Özetle, daha az kişisel verinin işlenmesine yönelik faaliyetler hem kişilerin mahremiyetini korumaya daha fazla hizmet etmekte hem de uzun vadede siber güvenlik açısından riskleri azaltmaktadır.

Kaynakça

• Çekin, Mesut Serdar (2020) Kişisel Verilerin Korunması Hukuku, On İki Levha Yayıncılık.
• Küzeci, Elif (2021) Kişisel Verilerin Korunması, On İki Levha Yayıncılık.
• Mesut Serdar Çekin (2020) Kişisel Verilerin Korunması Hukuku, On İki Levha Yayıncılık, s. 189.
• Elif Küzeci (2021) Kişisel Verilerin Korunması, On İki Levha Yayıncılık, s. 415.