Otellerde kimlik fotokopisi dönemi sona erdi. Resmî Gazete’de yayımlanan karar ile konaklama hizmeti sunan tüm tesislerin konaklayanlardan kimlik belgesi fotokopisi alması hukuka aykırı kabul edildi ve derhal durdurulması istendi. Kişisel Verileri Koruma Kurulu (KVKK), turizm ve otelcilik sektöründe yıllardır süregelen “kimlik fotokopisi alma” uygulamasına resmen son verdi. Karar, sektörde yaygınlaşan şikâyetler, ihbarlar ve veri güvenliğine ilişkin risklerin Kurul tarafından değerlendirilmesi sonucu alındı. Avukat Özge Özmen Korkut, KVKK’nın turizm sektörüne yönelik kararı hakkında “Bu düzenleme ile özellikle tatil bölgelerinde milyonlarca kişinin kimlik verilerinin kötüye kullanım ihtimalinin azaltılması ve sektörde veri güvenliğinin güçlendirilmesi amaçlanıyor” dedi.
Veri güvenliği riski
Konaklayan müşterilerden kişisel temel bilgilerin alınmasının yasal bir yükümlülük olduğunu vurgulayan Korkut, “Kurul, ilgili tüm mevzuatı inceleyerek konaklama tesislerinin misafirin adı, soyadı, T.C. kimlik numarası ve oda bilgileri gibi temel kayıtları tutmasının “kanunlarda öngörülen” bir yükümlülük olduğunu vurguladı ancak kimlik doğrulaması için gerekli bilgilerin ötesine geçilerek kimlik belgesinin fotokopisinin alınması, saklanması veya sisteme yüklenmesi, kanunun beşinci ve altıncı maddeleri gereğince ölçülülük ilkesine aykırı bulundu” ifadelerini kullandı. Korkut, Kurul’un verdiği kararda kimlik fotokopisindeki fotoğraf, din, kan grubu gibi özel nitelikli kişisel verilerin gereksiz yere işlenmesinin veri güvenliği bakımından ciddi risk oluşturduğunu dile getirdi.
KVKK’nın sadece yeni işlemler için değil geçmişte alınmış fotokopiler için de net bir yükümlülük getirdiğini ifade eden Korkut, “Konaklama amacıyla daha önce alınmış tüm kimlik fotokopilerinin, veri sorumluları tarafından kanunun yedinci maddesi uyarınca imha edilmesi zorunlu. Bu imha işleminin, teknik ve idari tedbirlerle güvenli şekilde yapılması gerekiyor” açıklamasında bulundu.
“Hukuki dayanağı yok”
Kurulun otellerin kimlik fotokopisi alma alışkanlığının herhangi bir kanuni dayanağının bulunmadığını açıkça belirttiğini söyleyen Korkut, mevzuatta yer alan yükümlülüklerin kimlik fotokopisinden ziyade, kimlik bilgilerini kayıt altına alma, kimlik gösterilerek doğrulama yapma, geliş–ayrılış bilgilerinin kolluğa bildirilmesi şeklinde olduğunu ifade etti. Korkut, bu nedenle Kurul’un fotokopi alma uygulamasını kanunun “veri minimalizasyonu” ilkesine aykırı olarak değerlendirdiğini dile getirdi.
Turizmde yeni kurallar
Kararın ardından Türkiye genelinde tüm konaklama tesislerinin yeni bir döneme gireceğini dile getiren Korkut, “Kimlik kartı veya pasaport yalnızca gösterilmek suretiyle doğrulama yapacak, misafir bilgilerinin kaydını yasal çerçevede tutacak, kimlik belgesi fotokopisini alamayacak, işleyemeyecek, saklayamayacak, geçmiş fotokopileri imha edecek” diyerek otellerin yapması gerekenleri sıraladı. Korkut, KVKK’nın karara aykırı hareket eden tesisler hakkında kanunun on sekizinci maddesi gereğince yaptırım uygulanacağını hatırlattığını dile getirdi. Korkut, “Bu düzenleme ile özellikle tatil bölgelerinde milyonlarca kişinin kimlik verilerinin kötüye kullanım ihtimalinin azaltılması ve sektörde veri güvenliğinin güçlendirilmesi amaçlanıyor” yorumunda bulundu.
