Resmi Gazete’de yayımlanan ve Kişisel Verileri Koruma Kurumu (KVKK) tarafından alınan 2025/2120 sayılı karar, Türkiye’de uzun süredir tartışma konusu olan kimlik fotokopisi uygulamalarına önemli sınırlamalar getirmiştir. Bu karar, hem bireylerin kişisel verilerinin korunması hem de kurumların veri işleme süreçlerinin hukuka uygun hale getirilmesi açısından dikkat çekicidir.
Her ne kadar söz konusu karar doğrudan otel işletmelerine yönelik olarak verilmiş olsa da, ortaya koyduğu ilkeler ve veri işleme yaklaşımı dikkate alındığında, benzer uygulamaların çalışanlara ilişkin süreçlerde de geçerli olması gerektiği değerlendirilmektedir. Bu çerçevede, işverenlerin çalışanlardan kimlik fotokopisi alma veya bu belgeleri dijital ortamda saklama uygulamalarını gözden geçirmeleri ve yalnızca zorunlu bilgilerle sınırlı veri işleme yöntemlerini benimsemeleri gerektiğini düşünmekteyiz.
Karara göre, otellerde kimlik doğrulama amacıyla kimlik belgesinin görüntülenmesi mümkündür. Ancak bu belgenin fotokopisinin alınması ya da dijital ortamda kaydedilmesi hukuka aykırı kabul edilmektedir. Bu yaklaşım, veri minimizasyonu ilkesine dayanmakta; yani yalnızca gerekli olan bilginin işlenmesini öngörmektedir. Dolayısıyla tüm verilerin fotokopisi alındığında ilgisiz veriler de işlenmiş olmaktadır.
Özellikle eski tip kimlik belgelerinde yer alan kapsamlı kişisel bilgiler, bu tartışmanın merkezinde yer almaktadır. Bu belgelerde bulunan ve çoğu zaman işlem için gerekli olmayan verilerin işlenmesi, ölçüsüz ve gereksiz veri kullanımı olarak değerlendirilmekte ve hukuka aykırı sayılmaktadır. Kurumlar artık sadece ilgili mevzuatta açıkça belirtilen zorunlu bilgileri almakla yükümlüdür.
Kararın en dikkat çekici yönlerinden biri ise mevcut uygulamalara yönelik açık talimatlar içermesidir. Buna göre:
- Kimlik fotokopisi alma uygulamasına derhal son verilmelidir.
- Daha önce alınmış kimlik fotokopileri, kişisel veri güvenliği kurallarına uygun şekilde imha edilmelidir.
- İmha süreci kayıt altına alınmalı ve gerekli tutanaklar düzenlenmelidir.
Bu yükümlülüklerin yerine getirilmemesi durumunda, Kişisel Verileri Koruma Kurumu tarafından ilgili mevzuat kapsamında yaptırım uygulanacağı da özellikle vurgulanmaktadır.
Sonuç olarak, bu karar hem bireylerin mahremiyetini koruma yönünde bir adım hem de kurumlar için bir uyum süreci anlamına gelmektedir. Şirketler ve kuruluşlar, veri işleme alışkanlıklarını gözden geçirmek ve hukuki sınırlar içinde hareket etmek zorundadır.
