Birçok büyük ABD havayolunun (American Airlines, United, Delta vb.) sahibi olduğu Airlines Reporting Corporation (ARC) adlı bir veri satıcısının, “Seyahat İstihbarat Programı (TIP)” aracılığıyla ABD hükümet kurumlarına uçuş/uçak bileti verilerine erişim hakkı sattığı raporlandı.
Verilerin, isimleri, tam güzergahları (geçmiş ve gelecek uçuşlar), finansal/ödeme ayrıntılarını içerdiği ve 12.800’den fazla seyahat acentesi aracılığıyla yapılan rezervasyonlardan elde edildiği bildiriliyor. Veriler, birden fazla federal ABD kurumu (CBP, ICE vb.) tarafından “ilgili kişilerin” seyahatlerini izlemek için kullanılıyor. ARC verileri, birçok havayolu şirketini ve seyahat acentesini kapsayan büyük ölçekli verilerdir. Seyahat acenteleri aracılığıyla yapılan rezervasyonlar dahil, ancak bazı durumlarda doğrudan havayolları aracılığıyla satın alınan biletler hariç tutulabilir.
Sözleşme, devlet kurumlarının veri kaynağının ARC firması olduğunun, yasa veya mahkeme kararı gerektirmedikçe açıklamaması gerektiğini belirten bir madde içeriyor.
Konuyla ilgili bazı haberler “5 milyar”, bazıları ise “bir milyardan fazla” veya “milyarlarca” veri noktası/geçmişi olduğunu belirtiyor. Kesin sayı abartılı veya kaba bir tahmin olabilir.
Hangi endişeler konuşuluyor
Eleştiriler, verilerin polis teşkilatları tarafından arama emri olmadan veya mahkeme kararlarından daha az denetimle satın alınması veya erişilmesine odaklanıyor. Ancak hükümet, bu kullanımın devam eden soruşturmalar, uyum vb. amaçlarla yapıldığını söylüyor. Bu ayrım tartışmanın bir parçası.
Uzmanlar, bunun zayıf denetime sahip kitlesel bir gözetim olabileceği konusunda endişelerini dile getiriyor. Verilerin nasıl denetlendiği, anonimleştirildiği veya kısıtlandığı tam olarak açık değil. Yükselen endişeler şu şekilde ;
- İnsanların seyahat alışkanlıkları, ödeme bilgileri vb., açık rızaları veya bilgileri olmadan devlet kurumlarına açıklanıyor. Bu durum, suistimale, profillemeye vb. yol açabilir.
- Verilerin nereden/nasıl elde edildiğinin açıklanmasını yasaklayan madde, kamu denetimini zorlaştırıyor.
- Gizlilik hakkı ve Amerikan Anayasasındaki Dördüncü Değişiklik kapsamındaki makul olmayan aramalara karşı korumalar hakkında sorular gündeme getiriyor.
- İnsanlar, hareketlerinin izlendiğini düşünürlerse nasıl/ne zaman/nerede seyahat edeceklerini değiştirebilir veya seyahat etmekten vazgeçebilirler diye düşünülüyor.
Henüz Dava Açılmadı ama Soruşturmalar Var
ARC-TIP programını engellemek veya durdurmak için henüz dava açılmadı ancak devam eden çeşitli soruşturmalar, hukuk bürolarının eylemleri ve hükümetin müdahaleleri mevcut.
Kalfayan Hukuk Bürosu, toplu bir dava açılıp açılamayacağını araştırıyor. ARC aracılığıyla CBP/ICE’ye havayolu yolcu verilerinin satışının gizlilik yasalarını (tüketici koruma vb.) ihlal edip etmediğini araştırıyorlar.
Gizlilik Savunucusu Gruplar / EFF vb. endişelerini dile getiriyor, daha fazla şeffaflık ve düzenleme çağrısında bulunuyor ve veri satışının anayasal veya yasal korumaları (Amerikan Anayasası Dördüncü Değişiklik veya eyalet gizlilik yasaları gibi) ihlal edebileceğini savunuyor. Henüz kamuoyuna açık bir yasal karar yok; dava açmak yerine (şimdilik) politika/düzenleyici bir yanıt talep ediyorlar.
Senatörler / Yasama Organı Üyeleri Senatör Ron Wyden, havayolları ve ARC’den verilerin nerede, nasıl ve hangi yasal dayanakla satıldığı konusunda açıklama yapmalarını talep eden açıklamalarda bulundu.
Bu daha çok denetim/siyasi baskı, dava açmak değil; henüz yasama yasağı yok, ancak yasa tasarıları veya denetim duruşmaları gelebilir.
Havayolları / Hükümet Kurumlarından cevap Var mı?
ARC (Havayolları Raporlama Kurumu) Seyahat İstihbarat Programı’nın 11 Eylül’den sonra ulusal güvenlik ve cezai soruşturmalar için oluşturulduğunu söylüyor. ARC “verileri kim görüyor”, “hangi kısıtlamalar altında görüyor” vb. gibi bazı ayrıntılar konusunda cevap vermedi.
Bazı havayolu şirketleri yorum yapmayı reddetti ve soruları Gümrük ve Sınır Koruma Bakanlığı’na (CBP) veya İç Güvenlik Bakanlığı’na (DHS) yönlendirdiler. Diğerleri ise yolcuları bilgilendirip bilgilendirmediklerini veya gizlilik politikalarına bildirim ekleyip eklemediklerini doğrudan cevaplamadı.
CBP / DHS / ICE, bu verilere kolluk kuvvetlerine yardımcı olmak, “ilgili kişileri” tespit etmek ve soruşturma/sınır güvenliği amaçlarıyla ihtiyaç duyduklarını belirtiler. Kullanımın yasal ve kontrollü olduğunu iddia ediyorlar. Bazı FOIA talepleri, ARC ile CBP arasındaki sözleşmelerin ve “iş beyanı”nın bazı kısımlarını ifşa etti. Kongre ve gizlilik gözlemcileri tarafından daha fazla inceleme yapılıyor.
Temel Hukuki Sorular
Amerikalı hukuk uzmanlarının ilettiği hukuki sorular şu şekilde sıralanıyor;
- CBP/ICE veya diğer kurumlar, izinsiz erişim mi kullanıyor veya yasal kontrolleri atlatıyor mu? İzinsiz erişim ile celp veya yargı denetimi arasındaki ayrım çok önemli.
- Havayolları veya seyahat acenteleri, yolcuları bu veri satışları hakkında bilgilendiriyor mu? Bilgilendirilmiyorsa, bu durum gizlilik yasalarını veya tüketici koruma yasalarını ihlal edebilir.
- Veri aracılarından veri satın almanın Dördüncü Değişiklik (veya eşdeğer korumalar) kapsamında bir “arama” olarak sayıldığına dair yasal emsal olup olmadığı ve bunun daha sıkı bir denetime yol açıp açmayacağı.
- Sözleşmeye veya politikaya dayalı kontroller nelerdir: saklama süresi, kimlerin erişimi var, veriler nasıl kısıtlanıyor.
- ARC’nin, yeniden satışı içermeyen gizlilik varsayımları altında toplanan verileri satarak gizlilik veya veri koruma yasalarını (örneğin, güçlü gizlilik yasalarına sahip eyaletlerde veya GDPR veya diğer düzenlemelere tabi ABD vatandaşı olmayanlar için) ihlal edip etmediği.
Türkiye’de Durum Nedir?
Türkiye’de bu konuya dair doğrudan “havayolu şirketleri, yolcu bilet bilgilerini büyük ölçekli şekilde hükümete satıyor / veriyor” gibi bir bilgi olmamakla birlikte, otellerdeki konaklamalarla ilgili olarak verilen bilgiler düşünüldüğünde, verildiği düşünülebilir. Ama Türkiye’de veri koruma hukuku, KVKK (6698 sayılı Kanun) ile düzenlenmiş durumda. Kişisel verilerin hangi koşullarda işleneceği, üçüncü kişilere aktarılabileceği, açık rıza şartları vs. bu kanun kapsamında belirlenmiş. Özellikle özel alanlara ait veriler (örneğin pasaport numarası, soyadı, kişisel iletişim bilgileri) paylaşılacaksa açık rıza ya da yasal bir zorunluluk gerekiyor.
PNR sistemleri (Passenger Name Record — Yolcu İsim Kaydı) gibi sistemlerde kişisel verilerin sınırların dışında görüntülenmesi, paylaşılması gibi ihlaller için KVKK kararları mevcut. Örneğin, “2023/1309” sayılı karar; bir havayolu şirketinin PNR + soyadı kombinasyonuyla yapılan işlemlerde kişiler arası erişim ihlali ve gerekli teknik/idari tedbirlerin alınmaması nedeniyle idari ceza uygulanması kararı verilmiş.
“Cathay Pasific” örneği gibi, yurtdışı havayolu şirketi tarafından Türkiye’deki yolcuların kişisel verilerinin — isim, pasaport numarası, soyadı, iletişim bilgileri vs. — sistem açıklarından dolayı izinsiz şekilde ifşa edilmesi sonucu ceza kesilmiş.
Havayolu şirketleri Türkiye’de, bilet alım sürecinde ve sadakat/üyelik programlarında veri koruması ve veri işleme politikaları kapsamında “veri koruma aydınlatma metni” yayımlamış durumda. Bu metinlerde “verilerin hangi durumlarda üçüncü taraflarla paylaşılabileceği”, “meşru menfaat”, “yasal zorunluluk”, “gizlilik anlaşmaları” gibi ifadeler var. Örneğin Merkür Hava Yolları gibi şirketler, politikalarında verilerin paylaşılabileceği durumları sınırlı ve ölçülü şekilde, KVKK’ya uygun olarak düzenlediklerini belirtiyor.
Ama Türkiye’de büyük ölçekli, bilet kayıtlarının devlet tarafından “tap-in / topluca satın alma” gibi programlarla açıkça alındığına dair bir belgeleşmiş uygulama görünmüyor. Yolcu seyahat bilgilerinin rutin olarak yetkisiz kurumlara satılması, geniş kullanım hakkı verilmesi gibi pratikler hakkında medya ya da resmi kurum raporlarında doğrulanmış geniş veri yok. Hükümet kaynaklı veri alma programlarının varlığı ya da hukuki dayanağı açıkça paylaşılmamış durumda.
Kaynak : 