I. 引言
本文围绕“ID card photocopy ban”说明土耳其酒店入住流程中身份证复印件的合规风险。土耳其个人数据保护局(“主管机关”)通过其刊登于2025年12月9日第33102号官方公报的关于“记录旅游和酒店住宿行业接受住宿服务人员土耳其身份证复印件”的原则决定,审查了土耳其酒店住宿中在客人办理入住时收取身份证复印件这一长期做法。该做法此前几乎被旅游和酒店住宿行业的数据控制者普遍采用。在该原则决定中,主管机关认定记录身份证复印件不存在法律依据,因此决定收取身份证复印件违反法律。
围绕“Turkey hotel ID card”这一合规问题,本文说明土耳其酒店入住时身份证信息处理和KVKK风险。
许多住宿设施将这一做法视为例行且几乎“强制”的程序,而主管机关现依据第6698号个人数据保护法(“法律”或“KVKK”)对其重新评估,这对行业内所有数据控制者均具有重大影响。根据该原则决定,经营酒店及其他旅游设施的数据控制者现须重新审查其客人登记流程和数据库与该法律的合规性,并启动新的合规措施。
II. 关于土耳其酒店住宿身份证复印件原则决定的内容与理由
2.1. 被禁止的处理行为及土耳其酒店住宿中身份证复印件禁令
原则决定明确指出,在旅游和酒店住宿行业经营的数据控制者,必须停止向入住其设施的客人收取土耳其身份证复印件并保存该等复印件的做法。因此,对客人身份证进行纸质复印、扫描为数字格式,或以任何方式将其视觉图像保存至系统,均被视为违反KVKK的个人数据处理活动。
通过该原则决定,主管机关不仅对未来的数据处理活动设定禁令,还要求在原则决定公布日期之前取得的身份证复印件,须依照适用法律法规予以销毁。在此背景下,酒店及其他住宿设施必须识别保存在纸质档案和数字系统中的所有身份证复印件,并根据公司的个人数据保存和销毁政策执行删除和销毁程序。
2.2. 土耳其酒店住宿身份证复印件禁令的法律依据与理由
该原则决定的法律理由,本质上建立在对KVKK相关规定以及第1774号身份申报法及其实施条例的综合解释之上。KVKK第5条以列举方式规定了个人数据处理条件,并规定只有基于法律明确规定、合同履行所必需或履行法律义务所必需等特定法律依据时,数据处理才是合法的。另一方面,第6条对特殊类别个人数据的处理设定了更严格条件。
根据身份申报法及相关条例,住宿设施必须在住宿登记簿或电子系统中记录客人的身份信息及其入住/退房日期,并保持该等信息可供主管机关检查。然而,上述法律法规并无允许取得身份证件复印件或保存此类复印件的规定。基于此,主管机关认为,取得身份证复印件不能被解释为“法律明确规定的法律义务要求”。
此外,取得身份证件复印件会导致处理的数据范围超过履行身份核验和登记义务所必需的范围。尤其在旧式身份证件中,包含宗教等信息以及其他特殊类别个人数据;因此,取得身份证复印件会在KVKK第6条项下产生额外风险。基于这些理由,主管机关认为,收取身份证复印件的做法属于没有法律依据的数据处理活动,并且不符合数据最小化原则以及数据处理应与处理目的相关、有限且相称的原则。
2.3. 原则决定后身份核验义务的范围
原则决定虽然禁止记录身份证复印件,但并未取消住宿设施根据身份申报法承担的身份核验义务。换言之,酒店和其他旅游企业仍将继续要求客人出示其身份证件,并仍有义务将这些证件中的强制性信息记录于住宿登记簿或电子系统中。
在这一框架下,原则决定之后,下列做法仍然合法且属于强制要求:
- 要求客人出示身份证件并核对证件上的信息,
- 在住宿登记簿中记录相关法律法规要求的身份信息(例如姓名、姓氏、土耳其身份证号码以及到达和离开日期),
- 保持这些记录可供主管机关检查。
III. 旅游及住宿设施的合规义务
3.1. 更新客人入住程序
原则决定作出后,第一步是审查客人入住程序,并立即停止所有涉及取得身份证复印件的做法。前台程序、入住表格、客人登记卡以及所使用的酒店软件(PMS等)均须相应修订,任何要求身份证复印件的字段或指示均应删除。
必须告知前台员工以及参与客人登记流程的其他员工,身份核验义务仅限于出示身份证件并记录必要身份信息,任何情况下均不得要求身份证复印件。此外,隐私声明和个人数据处理告知文本也必须更新,并考虑到身份证复印件已不再被处理这一事实。
3.2. 识别并销毁既有身份证复印件
原则决定不仅设定面向未来的禁令;还要求依法销毁此前取得的身份证复印件。因此,住宿设施首先必须盘点纸质档案和数字环境中保存的身份证复印件。文件夹、档案室、扫描文件、上传至PMS系统的图像以及电子邮件附件,均应纳入本次审查。
在此过程中识别出的身份证复印件,必须依照公司的个人数据保存和销毁政策予以删除、销毁或匿名化处理,并记录这些操作的日期和范围。
3.3. 审查内部文件和合同关系
为完成合规流程,不仅实际操作需要审查,与数据处理者之间的内部文件和合同关系也必须审查。个人数据清单、保存和销毁政策、KVKK合规程序以及员工指引,均应根据身份证复印件不再被处理这一情况进行更新。
此外,应审查与酒店软件供应商、外部档案公司或类似服务提供商等数据处理者签订的合同,识别其中任何提及身份证复印件的条款,并在必要时予以修订。通过这种方式,数据控制者(住宿设施)和数据处理者均将与原则决定保持一致,从而降低潜在法律和行政风险。
IV. 结论
个人数据保护局于2025年12月9日作出的原则决定,明确将旅游和酒店住宿行业长期存在的一项做法,即取得并保存客人土耳其身份证复印件,定性为KVKK项下的违法个人数据处理活动。
在该原则决定之后,酒店和住宿设施经营者必须迅速审查其客人入住程序、数据库、内部文件以及与数据处理者的关系,并完成合规工作。终止所有基于取得身份证复印件的程序、销毁过去已保存的复印件并妥善记录这些步骤,对于降低潜在行政处罚风险至关重要。
如需就相关事项获得进一步协助,可通过 ASY Legal 联系页面 与团队沟通。
注:本译文仅为便利阅读而提供,可能与原文存在细微差异。
