11 Eylül Sonrası Artan Önemi
PNR (Passenger Name Record), havayolu şirketlerinin, yolcuları hakkında ticari amaçlarla tuttukları kişisel bilgilerdir. Teknolojik yenilikler, bu bilgilerin daha fazla başlıkta tutulmasını, sınıflandırılmasını ve daha hızlı erişilebilir hale gelmesini sağlamıştır. Bu bilgi havuzu, tüm dünyada sadece ticari olarak değil, aynı zamanda suçla mücadele faaliyetlerinin ihtiyaç duyduğu önemli bir bilgi kaynağı olarak da görülmeye başlanmıştır.
11 Eylül 2001 terör saldırısından iki ay sonra ABD, 19 Kasım 2001 tarihinde havacılık ve ulaşım güvenliği yasasında yaptığı değişiklikle havayolu şirketlerine, ABD’ye, ABD’den ya da ABD üzerinden yaptıkları uçuşlarla ilgili yolcu PNR bilgilerini elektronik ortamda paylaşma zorunluluğu getirmiştir. Bu kurala uymayan şirketlerin uçuşlarında ABD hava sahasını kullanamayacaklarını ilan etmiştir.
ABD’ye diğer ülkelerden gelen dış uçuşlarla ilgili en fazla yoğunluğun yaşandığı hat hiç şüphesiz Avrupa-ABD hattıdır. 11 Eylül 2001 terör saldırısından sonra küresel çapta bilgi ve istihbarat toplama konusunda daha agresif bir strateji izlemeye başlayan ABD, AB başta olmak üzere kendi ülkesine havayoluyla bağlantılı olan her ülkeden PNR bilgisi talep etmektedir.
ABD’nin AB ile PNR paylaşımı mantığındaki rol dağılımı şu şekildedir; ABD talep eden AB ise talep edilen konumdadır. Sadece AB için değil herhangi bir ülkeden ABD’ye uçak kaldıran tüm havayolu şirketleri ve ülkeler için de aslında bu rol dağılımı geçerlidir.
Bu yazıda, ABD ile AB arasında süre gelen PNR tartışması ya da anlaşması kısaca incelenecektir.
AB Konseyi’nin Tutumu
17 Mayıs 2004 tarihinde AB Konseyi, AB ülkelerindeki havayolu şirketlerinin hava yolu yolcularına ait PNR bilgilerini ABD makamlarına vermeleri konusunda ABD ile mutabakata varmıştır. Bu anlaşmayla birlikte, AB ülkelerinden ABD’ye uçan yolculara ait 34 ayrı başlıkta tutulan kişisel bilgiler ABD istihbarat makamlarıyla paylaşılmaya başlanmıştır. Bu paylaşım, ABD istihbarat servislerinin, havayolu şirketlerinin veri bankalarına doğrudan erişim sağlaması yoluyla icra edilmiştir.
Verilen bilgiler arasında, isim, soy isim, pasaport numarası, e-posta adresi, telefon numarası, seyahat acentesi bilgisi, biletin kimlerle birlikte kesildiği, koltuk, uçuş ve güzergâh bilgileri, fatura ve ödeme bilgileri, konaklanacak yer ve bagaj bilgileri de bulunmaktadır.
Bu verilere erişim ve kullanım sınırının belirsiz olması, ayrıca bu bilgilerden dolayı ABD’ye girmesi yasaklananların bu kararın geri alınmasına yönelik başvuru ve itiraz yoluna sahip olmamaları büyük eleştirilere neden olmuştur. Bu çerçevede, Avrupa Parlamentosu, bu anlaşmanın insan haklarıyla çeliştiği gerekçesiyle Eylül 2004’de Avrupa Adalet Divanı’na başvurmuştur. Adalet Divanı, 30 Mayıs 2006 tarihinde Parlamento’nun istediği yönde bir karar vermiştir. Kararda, Konsey’in ABD ile böyle bir anlaşma akdetmeye yetkisinin olmadığını belirterek böyle bir anlaşmanın yeni baştan müzakere edilmesinin yolunu açmıştır.
Bu müzakerelerde ABD özellikle AB ülkeleriyle sahip olduğu ikili ilişkileri devreye sokmuş ve ABD’ye vizesiz seyahat konusunu önemli bir koz olarak kullanmıştır. Bu tutum, ‘vizesiz seyahat için daha fazla bilgi paylaşımı’ şeklinde özetlenebilir.
Ekim 2006’da Konsey ile ABD arasında geçici bir anlaşmaya varılmıştır. Ancak bu anlaşmanın 31 Temmuz 2007’de süresinin dolması nedeniyle sınırları daha belirgin bir anlaşma için çalışmalara hız kesmeden devam edilmiştir.
2007 Tarihli PNR Anlaşması
Müzakereler neticesinde 23 Temmuz 2007’de her iki tarafın da üzerinde hem fikir olduğu PNR bilgi transferi anlaşması imzalanmıştır. Buna göre, önceden 34 olan paylaşılacak bilgi başlığı 19’a düşürülmüştür. Bilginin paylaşımında doğrudan sisteme erişim yerine, bilginin ABD makamlarına gönderilmesi usulü benimsenmiştir. Kişisel bilgiler 7 yıldan fazla olmamak üzere aktif bilgi sisteminde muhafaza edilmesi ve daha sonra 8 yıldan fazla olmamak üzere anonim olarak saklanması öngörülmüştür.
Avrupa Parlamentosu, bu anlaşmanın da öncekinden pek farklı olmadığını ve kişisel verilerin korunması konusunda yeterli garantileri içermediğini, bilgilerin yanlış girilmesi ya da suiistimal edilmesi nedeniyle mağdur olan kişilerin hakkını arayabilmeleri mevcut anlaşma çerçevesinde mümkün olmadığını belirtmiştir. ABD’nin kişisel verileri koruma mevzuatı da böyle bir olumsuz duruma karşı çare üretmemektedir. AB Parlamentosu’nun itirazları bu tarihe kadar fazla bir anlam ifade etmemekteydi. Zira bu işbirliğinin hukuki zeminini belirleme yetkisi, 2010 yılına kadar AB Konseyi’nin tekelindeydi.
AB Parlamentosu’nun Eleştirileri
2009 yılının son günlerinde Lizbon Anlaşması’nın yürürlüğe girmesiyle, daha önce tek elde toplanan bu yetki, Konsey ve Parlamento arasında paylaştırılmıştır. Böylece, halk tarafından seçilen tek AB organı olan Parlamento’ya, AB’nin üçüncü taraflarla akdedeceği anlaşmaların onaylanmasında etkili bir söz hakkı vermiştir.
Parlamento, ABD’nin yanı sıra Kanada ve Avustralya ile de sürdürülen PNR bilgi paylaşımının hukuki zemininin, kişisel verilerin korunması ve insan haklarının korunması bağlamında yeterli garantileri içermediğini söyleyerek, bu alanda yeni anlaşmaların müzakere edilmesini istemiştir.
Avrupa Komisyonu, bunun üzerine Eylül 2010’da, AB’nin dış PNR stratejisini ve üçüncü taraflarla bu konuda müzakere önceliklerini belirleyen bir belge kabul etmiştir. Bu çerçevede, 2010 yılından itibaren Avrupa Komisyonu, bu üç ülkeyle yeni PNR anlaşmaları üzerinde müzakerelere başlamıştır. 2011 Ekim ayında Avustralya ile varılan anlaşma Konsey’in ve Parlamento’nun onayını alarak yürürlüğe girmiştir. AB’nin ABD ve Kanada ile PNR anlaşmaları akdetme süreci halen devam etmektedir.
Yeni PNR Anlaşması
AB Konseyi, 14 Aralık 2011 tarihinde ABD ile PNR bilgilerinin paylaşımı konusundaki işbirliği anlaşmasına yeşil ışık yakmıştır. AB Parlamentosu tarafından da uygun bulunması halinde 2007 tarihli geçici PNR Anlaşmasının yerini alacaktır. Getirdiği hükümlere baktığımızda genel olarak şunu söyleyebiliriz ki, 2007 Anlaşmasına göre, hem verilerin kullanım alanları hem saklanma süresi hem de veri sahiplerinin hakkını bir nebze olsun koruma altına alma hususiyetleri bakımından nispi bir iyileşme sağlamaktadır.
7 yıl süreyle geçerli olması öngörülen anlaşmayla PNR bilgileri, terörizm ve belirli sınıraşan suçların önlenmesi ile soruşturma ve kovuşturma aşamalarında kullanılabilecektir. Veriler ABD makamlarınca maksimum 15 yıl süreyle muhafaza edilecek; terör suçlarıyla ilgili durumlarda 15 yıl, diğer suçlarda 10 yıl boyunca istifade edilebilecektir. Veriler alındıktan 6 ay sonra anonimleştirilecek, ilk 5 yılın sonunda da ayrı bir veri tabanına aktarılarak, erişim yetkisi sınırlandırılacaktır.
Kişisel bilgilerin korunması kapsamında, yolcular kendi PNR bilgilerine erişebilecekler, bunların düzeltilmesini hatta silinmesi talep edebileceklerdir. Ayrıca, bu bilgilerin hatalı girişinden kaynaklanan hak mahrumiyetlerinde, zararlarının tazmini amacıyla, ABD yasalarında belirtildiği şekilde tazminat talep etme hakkına da sahip olabileceklerdir.
Anlaşma ayrıca ABD makamlarına, PNR bilgilerinin analizi sonucunda AB ile bağıntılı herhangi bir istihbarata ulaştıklarında bunu ilgili AB birimleri ve üye ülkeyle paylaşma yükümlülüğü getirmektedir.
Parlamento’nun Tutumu Henüz Net Değil
Söz konusu anlaşma, Parlamento’da ciddi tartışmalara neden olacak gibi durmaktadır. Zira bazı Parlamenterler tarafından, gündemdeki yeni PNR anlaşmasının temel hak ve özgürlükleri karşılamaktan uzak olduğu dile getirilmeye başlanmıştır.
Yolcuların kredi kartı bilgileri de dâhil birçok kişisel bilginin en az 10 yıl boyunca ABD makamlarınca depolanması ve işlenmesi, AB vatandaşlarının kişisel verilerinin korunması hakkını ihlal ettiği belirtilmektedir. Avrupa Veri Koruma Otoritesi de anlaşmanın bu haliyle yeterli korumayı sağlamadığı görüşündedir.
Anlaşma, önümüzdeki günlerde Parlamento’nun gündemine gelecek ve tartışılacaktır. Parlamento tarafından kabul edilmemesi halinde ABD makamlarıyla yeniden müzakere edilecektir.
Araştırmacı*