İtalya’nın veri koruma otoritesi (Garante per la Protezione dei Dati Personali), Dubai merkezli havayolu şirketi Emirates’e, yolcuların sağlık verilerini usulsüz şekilde işlediği gerekçesiyle para cezası kesti. Karar, küresel havacılık sektöründe kişisel verilerin korunmasına ilişkin tartışmaları yeniden alevlendirdi. Yetkililer, Emirates’in COVID-19 test sonuçları ve aşı sertifikaları gibi hassas sağlık bilgilerini, Avrupa Birliği’nin Genel Veri Koruma Tüzüğü’ne (GDPR) aykırı biçimde işlediğini tespit etti. Cezanın miktarı ve ödeme takvimi hakkında henüz resmi bir açıklama yapılmazken, Garante’nin soruşturmasının 2022 yılında başlatıldığı ve şirkete ihlallerin düzeltilmesi için süre tanındığı öğrenildi.
Gelişmenin arka planı
Soruşturma, Emirates’in İtalya’daki operasyonları sırasında yolculardan topladığı sağlık verilerini, GDPR’nin açık rızaya ilişkin hükümlerine uygun şekilde işlemediği iddiasıyla başladı. Garante, şirketin COVID-19 pandemisi döneminde uyguladığı sağlık protokolleri kapsamında, yolcuların test sonuçlarını ve aşı durumlarını kaydettiğini, ancak bu verilerin saklanma süresi ve üçüncü taraflarla paylaşımı konusunda yeterli şeffaflık sağlamadığını belirledi. Özellikle, bazı yolcuların verilerinin, uçuş sonrasında da uzun süre sistemde tutulduğu ve bu durumun GDPR’nin “veri minimizasyonu” ilkesine aykırı olduğu vurgulandı. Emirates ise savunmasında, sağlık verilerinin yalnızca ulusal ve uluslararası sağlık otoritelerinin talepleri doğrultusunda işlendiğini ve veri güvenliği için gerekli teknik tedbirlerin alındığını öne sürdü. Ancak Garante, şirketin sunduğu delilleri yetersiz bularak cezai yaptırım uyguladı.
Emirates, Avrupa’da faaliyet gösteren birçok yabancı havayolu şirketi gibi, GDPR kapsamında denetime tabi. İtalya, özellikle pandemi döneminde sağlık verilerinin ihlali konusunda hassas davranan ülkeler arasında yer alıyor. Benzer şekilde, İspanya ve Fransa da birçok havayolu ve otel zincirine veri koruma ihlalleri nedeniyle ceza kesmişti.
Bölgesel veya küresel boyut
Garante’nin Emirates kararı, yalnızca İtalya’yı değil, tüm Avrupa Birliği’ni ilgilendiren bir emsal niteliği taşıyor. GDPR, AB dışındaki ülkelerde yerleşik şirketlerin de AB vatandaşlarının verilerini işlerken uyması gereken katı kurallar getiriyor. Bu durum, küresel havayolu şirketlerinin veri yönetimi politikalarını yeniden gözden geçirmesine yol açabilir. Öte yandan, Birleşik Arap Emirlikleri (BAE) merkezli Emirates, Orta Doğu’nun en büyük taşıyıcılarından biri olarak, Avrupa pazarında önemli bir paya sahip. Karar, BAE ile AB arasındaki veri koruma standartları uyum sürecini de etkileyebilir. Zira BAE, GDPR’ye eşdeğer bir veri koruma yasası çıkarmış olsa da, uygulama farklılıkları devam ediyor. Havacılık sektöründe sağlık verilerinin işlenmesi, terörizm ve salgın hastalıklar gibi küresel tehditlere karşı güvenlik önlemleri ile bireysel mahremiyet arasındaki hassas dengeyi bir kez daha gündeme getirdi.
Türkiye Açısından Değerlendirme
Türkiye, Avrupa Birliği ile veri koruma standartlarının uyumlaştırılması sürecinde benzer zorluklarla karşılaşabilir. Kişisel Verilerin Korunması Kanunu (KVKK) GDPR ile büyük ölçüde uyumlu olsa da, özellikle havacılık ve turizm sektörlerinde sağlık verilerinin işlenmesi konusunda denetim eksiklikleri bulunuyor. Emirates’e verilen ceza, Türk havayolu şirketleri ve Türkiye’de faaliyet gösteren yabancı taşıyıcılar için bir uyarı niteliği taşıyor. Ayrıca, Türkiye’nin AB ile veri koruma alanında yürüttüğü müzakerelerde, bu tür kararlar referans alınarak daha sıkı düzenlemeler talep edilebilir. Küresel ölçekte ise, sağlık verilerinin sınır ötesi transferi ve güvenliği, Türkiye’nin de dahil olduğu uluslararası turizm ve ulaşım ağlarını doğrudan etkiliyor. Bu nedenle, Türkiye’nin veri koruma otoritelerinin benzer ihlallere karşı caydırıcı yaptırımlar uygulaması, hem ulusal güvenlik hem de ekonomik çıkarlar açısından önem taşıyor.
