Yat Sözleşmelerinde Veri, Elektronik Sistem ve Yazılım Lisansı Sorunları

Yat sözleşmelerinde veri, elektronik sistem ve yazılım lisansı sorunları nelerdir? Yat satış, charter, management, refit ve bakım sözleşmelerinde KVKK, FSEK, TBK ve MÖHUK çerçevesinde yazılım lisansı, kullanıcı erişimi, uzaktan destek, veri güvenliği ve yurt dışına veri aktarımı risklerini açıklayan kapsamlı hukuki rehber.

Giriş

Yat sektörü artık yalnız gövde, makine ve donanımdan ibaret değildir. Modern bir yatta seyir elektroniği, motor kontrol üniteleri, stabilizatör yazılımları, alarm sistemleri, CCTV, misafir Wi-Fi altyapısı, eğlence sistemleri, elektronik kart güncellemeleri, uzaktan bakım modülleri, bulut tabanlı izleme panelleri ve kimi zaman da mobil uygulama üzerinden çalışan erişim sistemleri bulunur. Türk Ticaret Kanunu bakımından yatlar, belirli şartlarda “gemi” niteliği taşıyabilir; buna karşılık bu teknelerin üzerinde çalışan yazılım, veri ve elektronik sistemler çoğu zaman borçlar hukuku, fikri mülkiyet hukuku, kişisel verilerin korunması hukuku ve milletlerarası özel hukuk kurallarını aynı anda devreye sokar. Bu yüzden güncel yat sözleşmelerinde asıl risk yalnız teknenin teslimi değil; o teknenin “dijital kontrolünün” ve “hukuken kullanılabilir yazılım altyapısının” da devredilip devredilmediğidir.

Uygulamada en sık yapılan hata, yatın üzerindeki elektronik sistemleri fiziksel ekipmanın doğal uzantısı sanmaktır. Oysa birçok seyir, güvenlik, makine ve eğlence sistemi bakımından asıl belirleyici unsur cihazın kendisi değil; o cihaz üzerinde çalışan yazılım lisansı, güncelleme hakkı, kullanıcı erişimi, üretici hesabı ve uzaktan servis altyapısıdır. Satışta tekne fiziksel olarak devredilmiş olsa bile yazılım hesabı devredilmeyebilir, lisans kişiye veya şirkete bağlı olabilir, kart ve abonelikler sona erebilir, yabancı sunucuya aktarılan veriler için KVKK yükümlülükleri doğabilir. İşte bu nedenle yat sözleşmelerinde veri, elektronik sistem ve yazılım lisansı sorunları, artık tali değil, sözleşmenin çekirdek konularından biridir.

Yazılım hukuken neyi ifade eder?

Türk hukukunda bilgisayar programları, 5846 sayılı Fikir ve Sanat Eserleri Kanunu kapsamında koruma görür. FSEK m. 2’de bilgisayar programları ve bunların hazırlık tasarımları “ilim ve edebiyat eserleri” arasında sayılmıştır. Bu, bir yat üzerindeki seyir yazılımının, makine yönetim arayüzünün, CCTV kayıt platformunun veya özel otomasyon modülünün yalnız teknik araç değil, aynı zamanda fikri hukuk koruması altındaki bir eser niteliği taşıyabileceği anlamına gelir. Dolayısıyla bir yazılımın kullanımı, çoğu kez mülkiyet devri değil, lisans veya mali hak kullanım yetkisi çerçevesinde değerlendirilir.

Bu ayrım sözleşme bakımından son derece önemlidir. Teknenin fiziksel mülkiyetinin satılması, her zaman sistemde yüklü yazılımların sınırsız ve devredilebilir kullanım hakkının da alıcıya geçtiği anlamına gelmez. FSEK’in mali hakların devri ve ruhsata ilişkin hükümleri, yazılım üzerindeki mali hakların veya kullanım yetkisinin sözleşmeyle devredilebileceğini, fakat bunun ayrı hukuki değerlendirme gerektirdiğini gösterir. Özellikle FSEK m. 52’ye ilişkin güncel mevzuat yansımaları, mali haklara dair sözleşme ve tasarrufların yazılı olması ve devre konu hakların ayrı ayrı gösterilmesi gerektiğini açıkça ortaya koymaktadır. Bu nedenle “tekneyle birlikte tüm yazılımlar da devredildi” gibi tek cümlelik hükümler, yüksek değerli sistemlerde her zaman yeterli koruma sağlamaz.

Yat satışında en büyük dijital risk: Donanım var, lisans yok

Yat satış sözleşmelerinde klasik uyuşmazlık başlıkları motor, gövde, ekipman ve title ile ilgilidir. Ancak günümüzde elektronik sistem lisansı da aynı ölçüde önemlidir. Satışa konu teknede chartplotter lisansları, elektronik harita abonelikleri, motor izleme panelleri, uzaktan arıza teşhis modülleri, kamera kayıt yazılımları, medya sunucuları veya otomasyon yazılımları bulunabilir. Bunların bir kısmı tekneye bağlı, bir kısmı kullanıcı hesabına bağlı, bir kısmı da belirli abonelik süresiyle sınırlı olabilir. Yazılımın FSEK kapsamında eser sayılması ve lisans/devrin yazılı kurulma ihtiyacı nedeniyle, satıcı teknenin cihazlarını devretse bile bazı kullanım haklarını fiilen devretmeyebilir. Bu da alıcının tekneyi alıp dijital sistemlerin bir kısmını kullanamaması sonucunu doğurabilir.

Bu yüzden yat satış sözleşmesinde yalnız “elektronik ekipmanlar satışa dahildir” cümlesi yetmez. Hangi sistemlerin lisanslı olduğu, lisansın devredilebilir olup olmadığı, üretici veya distribütör onayının gerekip gerekmediği, kullanıcı adı-şifrelerin kimin hesabında bulunduğu, abonelik ve update sürelerinin ne zaman biteceği, bulut platformu hesabının satıcı şirket adına mı yoksa tekne adına mı açıldığı açıkça araştırılmalıdır. Bu araştırma yapılmazsa, alıcı fiziksel donanımı teslim almış ama lisans kilitli veya süresi dolmuş bir dijital altyapı devralmış olabilir. Bu durum özellikle yabancı üretici yazılımlarında çok yaygındır. Buradaki sonuç, FSEK ve sözleşme serbestisi çerçevesindeki lisans mantığından çıkarılan güçlü bir pratik risktir.

Standart üretici sözleşmeleri ve EULA riski

Modern yat sistemlerinin önemli bir kısmı, üretici veya entegratör tarafından hazırlanan standart lisans sözleşmeleriyle çalışır. Bu sözleşmeler çoğu zaman cihaz açılışı, aktivasyon ekranı, servis portalı veya distribütör hesabı üzerinden kabul edilir. Türk Borçlar Kanunu m. 20, ileride çok sayıdaki benzer sözleşmede kullanılmak üzere önceden tek taraflı hazırlanan hükümleri genel işlem koşulu olarak tanımlar. Aynı sistemde düzenleyene tek taraflı değişiklik yetkisi veren kayıtların yazılmamış sayılabileceği ve dürüstlük kuralına aykırı ağırlaştırıcı hükümlerin içerik denetimine tabi olduğu da kabul edilir. Bu çerçeve, yat üzerindeki yazılım üreticisinin standart EULA metinlerinin, Türk hukukuna tabi ilişkilerde her zaman sınırsız etki doğurmayabileceğini gösterir.

Pratikte bu risk şu şekilde ortaya çıkar: yazılım sağlayıcısı tek taraflı güncelleme, hizmetin durdurulması, uzaktan erişim, veri kullanım politikası veya lisansın devredilemezliği yönünde standart hüküm koyar; satıcı veya management şirketi de bu hükümlerin tekne alıcısına veya kiralayanına otomatik geçeceğini varsayar. Oysa Türk hukukunda bu tür standart hükümler somut olayda ayrıca değerlendirilebilir. Özellikle çok ağır tek taraflı değişiklik yetkileri, beklenmedik sınırlamalar veya sözleşmenin niteliğine yabancı kısıtlamalar tartışma yaratabilir. Bu yüzden yat sözleşmesinde “tüm gömülü yazılım lisansları mevcut EULA hükümleriyle devralınır” demekle yetinmek yerine, kritik lisanslar ayrıca listelenmelidir.

Charter sözleşmelerinde veri sorunu: Misafir, mürettebat ve izleme verileri

Yat charter sözleşmelerinde veri meselesi en az yazılım lisansı kadar önemlidir. Charter sürecinde pasaport ve kimlik verileri, yolcu listeleri, ödeme bilgileri, iletişim bilgileri, rota bilgileri, bazı durumlarda CCTV kayıtları, giriş-çıkış verileri, Wi-Fi oturum kayıtları ve mürettebat bilgileri işlenir. KVKK bakımından kişisel veri işlenmesinde açık rıza her zaman tek hukuki dayanak değildir. Kanunun 5. maddesine ilişkin resmi metin ve açıklamalarda, bir sözleşmenin kurulması veya ifasıyla doğrudan ilgili olması kaydıyla sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olmasının; veri sorumlusunun hukuki yükümlülüğünü yerine getirebilmesinin veya bir hakkın tesisi, kullanılması ya da korunmasının veri işleme şartı olabileceği belirtilmektedir. Bu nedenle charter şirketi veya management şirketi, veriyi yalnız “rıza aldım/almak zorundayım” mantığıyla değil, doğru hukuki sebep analiziyle işlemelidir.

Bununla birlikte, hangi verinin hangi amaçla işlendiği ayrıca açıklanmalıdır. KVKK’nın 10. maddesine ilişkin Kurum açıklamalarında veri sorumlusunun; kimliğini, veri işleme amacını, verilerin kimlere ve hangi amaçla aktarılabileceğini, toplama yöntemini ve hukuki sebebi ile ilgili kişinin haklarını bildirmesi gerektiği açıkça belirtilmektedir. Yolcu listeleri, charter rezervasyonları, marinalara ve acentelere aktarılan veriler, mürettebat kimlik dosyaları ve dijital check-in formları açısından bu yükümlülük doğrudan gündemdedir. Yat charter’ında kullanılan aplikasyonlar veya online check-in sistemleri varsa, aydınlatma ve veri akış şeması sözleşmenin ayrılmaz parçası haline gelmelidir.

Management sözleşmelerinde veri sorumlusu kimdir?

Yat management sözleşmelerinde en zor sorulardan biri, kişisel veriler ve operasyon verileri bakımından veri sorumlusunun kim olduğudur. Tekne malikinin, management şirketinin, charter operatörünün, marina ile SaaS yazılım sağlayıcısının rolleri aynı değildir. KVKK sistemi veri işleme amaç ve vasıtalarını belirleyen kişiyi veri sorumlusu olarak görür; veri güvenliği yükümlülükleri de bu rol üzerinden kurulur. Resmî Kurum açıklamalarına göre veri sorumlusu; kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak için gerekli teknik ve idari tedbirleri almakla yükümlüdür. Bu, management şirketinin “veriler yat sahibine ait” diyerek tüm güvenlik yükünü dışarı atamayacağını; malik de “her şeyi management yürütüyor” diyerek denetimden tamamen kaçamayacağını gösterir.

Bu nedenle management sözleşmelerinde veri başlığı ayrı yazılmalıdır. Hangi veriler malik adına, hangileri management şirketinin kendi süreçleri için işlenecek; rezervasyon verileri, mürettebat bordro verileri, teknik bakım logları ve CCTV kayıtları hangi sürelerle saklanacak; veri ihlali olduğunda kim kimi ne kadar sürede bilgilendirecek; yetkili erişim listesi nasıl tutulacak; ayrılan mürettebatın hesapları ve erişimleri nasıl kapatılacak; bunların tamamı sözleşmede netleştirilmelidir. Veri sorumlusu/işleyen rolü hiç ayrıştırılmadan kurulan management ilişkileri, özellikle yabancı bulut yazılımı kullanıldığında çok hızlı şekilde KVKK ve tazminat riski üretir.

Yurt dışına veri aktarımı: Bulut sistem kullanan yatlar için en kritik başlıklardan biri

Modern yat sistemlerinin önemli kısmı üretici sunucularına veya yabancı ülkelerde bulunan bulut altyapılarına bağlıdır. Konum verisi, motor alarm verisi, bakım logları, CCTV erişimi, uzaktan destek kayıtları, rezervasyon verileri veya mürettebat dosyaları yurt dışındaki sistemlere aktarılabilir. KVKK’nın 9. maddesine ilişkin resmî Kurum açıklamasında, yeterlilik kararı bulunmaması halinde kişisel verilerin yurt dışına aktarımı için Kanun’daki işleme şartlarından birinin mevcut olması ve uygun güvencelerden birinin sağlanması gerektiği ifade edilmektedir. Kurumun “Yurt Dışına Aktarım” sayfası ile rehberinde de uygun güvenceler ve standart sözleşme mekanizmaları açıklanmıştır.

Daha güncel olarak Kurumun 2025 tarihli kamuoyu duyurusunda, yurt dışına veri aktarımında kullanılacak standart sözleşmelere ilişkin teknik detaylar ve noter onaylı Türkçe çeviri gibi usuli gereklilikler ayrıca vurgulanmıştır. Bu durum, yabancı yazılım sağlayıcısına veya global charter platformuna veri akışı olan yat işletmelerinde “sunucu zaten yurtdışında, herkes böyle yapıyor” yaklaşımının hukuken yetersiz olduğunu gösterir. Eğer yat sözleşmesinde yabancı yazılım, yabancı CRM, yabancı rezervasyon platformu veya yabancı motor izleme altyapısı kullanılacaksa, yurt dışına veri aktarımı başlığı ayrıca düşünülmelidir.

Elektronik sistem arızaları: Ayıp mı, lisans sorunu mu, hizmet kesintisi mi?

Yat üzerindeki dijital problemlerin hepsi aynı kategoriye girmez. Bazen cihaz arızalıdır; bazen lisans süresi bittiği için sistem çalışmaz; bazen üretici bulut hizmetini durdurur; bazen de refit sonrası entegrasyon hatası nedeniyle sistem devre dışı kalır. Türk Borçlar Kanunu’nun satım ve eser sözleşmesi hükümleri burada belirleyicidir. Satışta ayıptan sorumluluk rejimi, teslim edilen şeyin sözleşmede kararlaştırılan veya dürüstlük kuralı gereği beklenen kullanım değerini taşımamasını esas alır; eser sözleşmesinde ise yüklenici sözleşmeye uygun sonucu meydana getirmek ve özenle hareket etmek zorundadır. Dolayısıyla elektronik sistemin çalışmaması her zaman “garanti dışı yazılım sorunu” diye geçiştirilemez; sorunun donanım, entegrasyon, lisans veya güncelleme tarafında nereden doğduğu tespit edilmelidir.

Bu yüzden satış ve refit sözleşmelerinde elektronik sistemler için ayrı kabul kriteri yazılması gerekir. “Motor ekranı çalışır halde teslim edilecektir” ile “motor ekranı lisanslı, güncel ve uzaktan erişim hesabı devredilmiş şekilde teslim edilecektir” arasında büyük fark vardır. Aynı şekilde refit sözleşmesinde “yeni navigasyon sistemi kurulacaktır” denmesi yeterli değildir; hangi yazılım sürümü, hangi harita aboneliği, hangi entegrasyon ve hangi kullanıcı lisansı ile teslim edileceği yazılmalıdır. Aksi halde yüklenici sistemi fiziksel olarak monte etmiş ama hukuken eksik teslim etmiş olabilir. Bu sonuç, TBK’daki ayıp ve eser borcu mantığının elektronik sistemlere uyarlanmasından doğar.

Refit ve bakım sözleşmelerinde yazılım lisansı özel olarak düzenlenmelidir

Refit projelerinde elektronik sistem güncellemesi artık neredeyse standart hale gelmiştir. Ancak bu projelerde çok sık şu hata yapılır: yüklenici donanımı teslim eder, fakat lisansların kimin adına aktive edildiği, aboneliklerin kaç yıl geçerli olduğu, üretici portalına erişim yetkisinin kimde kaldığı, bakım yetkisinin münhasır olup olmadığı ve üçüncü taraf servis müdahalesinin lisansı bozup bozmayacağı yazılmaz. FSEK bakımından yazılım mali hakları ve lisans konusu olduğundan, “cihaz tekneye takıldı, demek ki yazılım da devredildi” mantığı yeterli değildir. Lisans haklarının yazılı ve ayrı ayrı gösterilmesi gereği, refit projelerinde özellikle önem kazanır.

Refit sözleşmesinde bu nedenle en az şu başlıklar bulunmalıdır: hangi yazılım modülleri kurulacak, perpetual mi süreli mi lisans verilecek, update ve support süresi ne olacak, üretici hesabı kimin adına açılacak, ayrılan tersane/entegratör sonradan erişimi kapatabilecek mi, üçüncü taraf servis girişleri lisansı düşürecek mi, veri yedekleri ve loglar teslim edilecek mi, kaynak kodu değilse bile yapılandırma dosyaları ve admin seviyesinde erişim teslim edilecek mi? Bu başlıklar yoksa, refit sonrası tekne teknik olarak modernleşmiş görünür ama fiilen tek bir entegratöre bağımlı hale gelebilir. Bu da hukukî ve ticari bakımdan ağır bir kilitlenme riski yaratır.

Yazılım lisansında yabancı unsur varsa uygulanacak hukuk ayrıca düşünülmelidir

Yat sözleşmelerindeki yazılım ve elektronik sistem ilişkileri çok sık yabancı unsurludur. Üretici yabancı olabilir, sunucu başka ülkede olabilir, lisans metni İngilizce olabilir ve destek sözleşmesi farklı bir hukuk sistemine bağlanmış olabilir. MÖHUK m. 24’e göre sözleşmeden doğan borç ilişkileri tarafların açıkça seçtikleri hukuka tabidir; seçilen hukukun sözleşmenin tamamına veya bir kısmına uygulanacağı da kararlaştırılabilir. Bu, yat satış sözleşmesinin Türk hukukuna; içindeki yazılım destek ve lisans ilişkisinin ise yabancı hukuka bağlanabileceği anlamına gelir.

Bu nedenle yat sözleşmelerinde “uygulanacak hukuk” maddesi yazılırken fiziksel tekne satışını ve yazılım/servis katmanını birlikte düşünmek gerekir. Aksi halde tekne devri Türk hukukuna göre sorunsuz görünürken, yazılım lisansı yabancı hukuk ve yabancı forum koşullarına takılabilir. Özellikle uzaktan erişim, bulut paneli, harita aboneliği ve üretici portalı kullanan sistemlerde, lisans ilişkisinin ayrı hukuki alanı olduğu unutulmamalıdır. En güvenli yaklaşım, kritik sistemler için üretici lisans şartlarının sözleşme ekinde incelenmesi ve yat satış/management/refit sözleşmesiyle açıkça uyumlandırılmasıdır.

KVKK bakımından teknik ve idari tedbirler sözleşmeye yazılmalıdır

Kurumun kişisel veri güvenliği rehberinde ve resmi açıklamalarında, veri sorumlularının kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak için teknik ve idari tedbirler almakla yükümlü olduğu açıkça belirtilmektedir. Bu yükümlülük yat sözleşmelerinde soyut bırakılmamalıdır. Özellikle kamera kayıtları, yolcu check-in sistemleri, personel dosyaları, uzaktan motor izleme panelleri ve mobil uygulamalar söz konusuysa; parola politikası, yetki matrisi, log kaydı, veri yedekleme, şifreleme, uzaktan silme, ayrılan personelin erişiminin kapatılması ve veri ihlali bildirimi prosedürü sözleşmeye işlenmelidir.

Uygulamada bu kalemler genellikle IT ekine bırakılır ve ana sözleşmede yer almaz. Bu yanlış bir yaklaşımdır. Çünkü veri ihlali çıktığında yalnız teknik ekip değil; malik, management şirketi, charter operatörü ve yazılım sağlayıcısı arasındaki hukuki sorumluluk zinciri gündeme gelir. Bu yüzden teknik ve idari tedbirler, sadece iç politika değil, sözleşmesel taahhüt olarak da yazılmalıdır. Özellikle dış kaynaklı IT veya SaaS kullanılıyorsa, alt yüklenicinin KVKK yükümlülükleri ve denetim hakkı ayrıca düzenlenmelidir.

Sık yapılan sözleşme hataları

Bu alandaki en yaygın hata, donanım ile yazılım hakkını birbirine karıştırmaktır. Teknenin satılması, sistem yazılımının devredildiği anlamına gelmeyebilir. İkinci hata, üretici EULA metinlerini hiç incelemeden “mevcut haliyle” kabul etmektir. Üçüncü hata, charter ve management sözleşmelerinde kişisel veri işleme rollerini hiç ayırmamaktır. Dördüncü hata, yabancı sunuculara giden veriler için KVKK m. 9 çerçevesini yok saymaktır. Beşinci hata ise refit projelerinde lisans, update ve admin erişimini açıkça yazmamaktır. Bu hatalar nedeniyle tekne fiziken çalışır görünse de, hukuken lisanssız, verisel olarak uyumsuz ve operasyonel olarak kilitli hale gelebilir.

Bir başka yaygın hata da, tüm sorunu “gizlilik maddesi” ile çözeceğini sanmaktır. Oysa veri koruma, gizlilik, yazılım lisansı ve elektronik sistem performansı farklı hukukî başlıklardır. Gizlilik maddesi ticari sırları korur; KVKK kişisel veriyi düzenler; FSEK yazılım üzerindeki mali hak ve lisans rejimini belirler; TBK ise ayıp, eser borcu ve genel işlem koşullarını yönetir. İyi sözleşme bu alanları tek maddede toplamaz; ayrı ama birbiriyle uyumlu hükümler kurar.

Sonuç

Yat sözleşmelerinde veri, elektronik sistem ve yazılım lisansı sorunları, artık teknik ekibe havale edilebilecek yan başlıklar değildir. Bilgisayar programları FSEK kapsamında eser olarak korunur; lisans ve mali hak devri yazılı kurulmalı ve devre konu haklar ayrı ayrı gösterilmelidir. Kişisel veri işleme ve veri güvenliği bakımından KVKK; veri işleme şartları, aydınlatma, ilgili kişi hakları, veri güvenliği tedbirleri ve yurt dışına veri aktarımı için açık yükümlülükler getirir. Sözleşme ve genel işlem koşulları boyutunda TBK; yabancı unsurlu lisans ve servis katmanında ise MÖHUK belirleyici olur.

Bu nedenle modern yat sözleşmesi hazırlanırken şu sorular cevapsız bırakılmamalıdır: Hangi yazılım ve elektronik sistemler tekneyle birlikte devrediliyor? Lisans devredilebilir mi? Abonelik ve update süresi ne? Admin erişimi ve üretici hesabı kimde kalacak? Yolcu, mürettebat ve teknik veriler kim tarafından hangi hukuki sebeple işlenecek? Veriler yurt dışına aktarılacak mı? Veri ihlali olursa kim kimi ne kadar sürede bilgilendirecek? Refit veya bakım sonunda dijital teslim kriteri ne olacak? Bu sorular açık yazılırsa dijital risk yönetilir; yazılmazsa en pahalı yat bile bir şifre, bir lisans anahtarı veya bir veri ihlali yüzünden hukuki krize dönüşebilir. Yat hukukunda gerçek teslim artık sadece anahtar teslimi değil, aynı zamanda erişim, lisans ve veri kontrolü teslimidir