Lisanssız Yazılım Tespiti Halinde Şirketler Ne Yapmalı?

 Lisanssız yazılım tespiti halinde şirketlerin atması gereken hukuki ve pratik adımlar nelerdir? FSEK kapsamında telif hakkı ihlali, üç kat bedel, tazminat, ceza riski, delil yönetimi ve kurumsal uyum bu rehberde.

Dijital iş dünyasında yazılım artık yardımcı bir araç değil, doğrudan işin kendisidir. Muhasebe, mühendislik, mimarlık, tasarım, veri yönetimi, insan kaynakları ve üretim gibi süreçlerin önemli bir kısmı yazılım üzerinden yürüdüğü için lisanssız yazılım tespiti, şirketler açısından sadece teknik bir açık değil, çok boyutlu bir hukuki risk anlamına gelir. Türk hukukunda bilgisayar programları Fikir ve Sanat Eserleri Kanunu kapsamında korunur; bu kanun, eser sahiplerinin mali ve manevi haklarını düzenler, aykırı kullanım halinde hukuk ve ceza yollarını gösterir. Bilgisayar programı kanunda özel olarak tanımlanmış, ayrıca ilim ve edebiyat eseri olarak korunmuştur. Güncel konsolide metin de 7346 sayılı Kanunla yapılan değişiklikleri içerecek şekilde 25 Aralık 2021 itibarıyla yürürlüktedir.

Bu nedenle bir şirkette lisanssız yazılım tespit edildiğinde sorulması gereken ilk soru “Bu program çalışıyor mu?” değil, “Bu program hangi lisansa dayanarak, kaç kullanıcı ve kaç cihaz tarafından, hangi tarihten beri, hangi ticari amaçla kullanılıyor?” sorusudur. Çünkü FSEK m.22, bir eserin kopyalarının doğrudan veya dolaylı, geçici veya sürekli şekilde çoğaltılmasını eser sahibinin münhasır hakkı olarak düzenler. Bilgisayar programları bakımından bu koruma yalnızca klasik kopya alma fiilini değil; kurulum, çalıştırma, depolama ve sisteme kaydetme ile bağlantılı işlemleri de kapsayan geniş bir çerçevede değerlendirilir. Bu yüzden şirket içi yetkisiz kurulumlar çoğu zaman yalnızca sözleşme ihlali değil, telif hakkı ihlali niteliği de taşır.

İlk refleks panik değil, kontrollü iç tespit olmalıdır

Lisanssız yazılım fark edildiğinde şirketlerin en sık yaptığı hata, sistemleri apar topar temizlemeye, programları sessizce kaldırmaya veya log kayıtlarını silmeye yönelmektir. Bu refleks çoğu zaman hukuken yarardan çok zarar doğurur. Çünkü FSEK m.76 uyarınca telif uyuşmazlığından doğan hukuk davalarında mahkeme, davacı taraf yeterli ölçüde delil sunduğunda, yazılımı kullanan taraftan gerekli izin ve yetki belgelerini veya kullanılan eserlerin listesini isteyebilir; bu belgelerin sunulamaması ise haksız kullanım karinesi doğurur. Ceza soruşturması boyutunda da CMK m.134, somut delillere dayanan kuvvetli şüphe ve başka surette delil elde edilememe şartları varsa bilgisayarlar, programlar ve kütükler üzerinde arama, kopyalama ve gerektiğinde elkoyma imkanı tanır. Bu nedenle ilk adım, delili bozmak değil, mevcut durumu kontrollü biçimde tespit etmektir.

Bu aşamada yapılması gereken şey, şirket içinde hızlı ama disiplinli bir “lisans envanteri acil incelemesi” başlatmaktır. Hangi yazılımın hangi cihazlarda kurulu olduğu, hangi sürümün kullanıldığı, abonelik veya lisans süresinin ne zaman başladığı ve bittiği, kullanıcı sayısının lisans kapsamını aşıp aşmadığı, programın lokal mi yoksa ağ üzerinden mi kullanıldığı ve lisans belgelerinin şirket arşivinde bulunup bulunmadığı ayrı ayrı belirlenmelidir. Bu çalışma yapılmadan verilen her karar eksik olacaktır. Zira aynı program bakımından bir cihazda açık korsan kullanım varken başka bir cihazda geçerli lisans bulunabilir; bir yazılım için lisans süresi dolmuş olabilirken başka bir yazılım için yalnızca kullanıcı sayısı aşılmış olabilir. Hukuki maruziyet, ancak bu somut tablo çıktıktan sonra doğru ölçülebilir. Bu değerlendirme, kanunun bilgisayar programlarını eser olarak koruması ve mali hakların kullanımını yazılı izinle ilişkilendirmesi sebebiyle zorunludur.

Şirket önce sorunun kaynağını anlamalıdır

Lisanssız yazılım her zaman aynı yoldan doğmaz. Bazen açıkça crack’li kurulum vardır. Bazen tek kullanıcı lisansı çok sayıda bilgisayarda çalıştırılmıştır. Bazen deneme sürümü fiilen kalıcı kullanım aracına dönüşmüştür. Bazen dışarıdan hizmet alınan BT firması, “kurulum kolaylığı” bahanesiyle lisanssız sürüm yüklemiştir. Bazen de şirket geçmişte yasal şekilde aldığı lisansın kapsamını yanlış yorumlamış, örneğin yalnızca bir ofis için alınmış yetkiyi farklı şube ve iştiraklere yaymıştır. FSEK m.38, bilgisayar programının hukuki yollardan edinilmiş olması halinde, düşünülen amaca uygun kullanım için gerekli çoğaltma ve işleme serbestisini tanır; programın yüklenmesi, çalıştırılması ve hata düzeltmesi de kural olarak engellenemez. Ancak bu istisna yalnızca hukuka uygun edinim halinde geçerlidir. Başlangıçtan itibaren izinsiz kurulum, sahte lisans anahtarı veya kapsam aşımı varsa, m.38 savunma kalkanı oluşturmaz.

Şirketin kaynağı doğru teşhis etmesi, sonraki stratejiyi belirler. Eğer sorun yalnızca lisans adedinin eksikliği ise çözüm bir tür lisans tamamlama ve uzlaşma olabilir. Eğer sorun crack, keygen veya aktivasyon kırıcı araç kullanımıysa dosya daha ağır bir ceza riski de taşır. Eğer sorun çalışan veya dış tedarikçiden kaynaklanıyorsa işverenin iç sorumluluk dağılımı ayrıca gündeme gelir. FSEK m.66, ihlal işletmenin temsilcileri veya çalışanları tarafından görevlerini ifa ederken yapılmışsa işletme sahibi hakkında da dava açılabileceğini ve bu dava bakımından kusurun şart olmadığını düzenler. Bu nedenle “BT firması kurdu, bizim bilgimiz yoktu” ya da “çalışan kendi başına yükledi” savunması, şirketi otomatik olarak güvenli alana taşımaz.

Deliller korunmalı, ama hukuka aykırı kullanıma da devam edilmemelidir

Şirketler için en hassas denge, delili korumak ile ihlali sürdürmemek arasındadır. Bir yandan mevcut durumu belgelemek gerekir; diğer yandan hukuka aykırı kullanımın bilinçli şekilde sürdürülmesi yeni riskler doğurabilir. Bu nedenle pratikte en doğru yol, önce teknik fotoğrafı çıkarmak; ardından dış erişimi sınırlandırmak, yeni kurulumları derhal durdurmak, lisans anahtarı paylaşımını kesmek ve programın kullanımını hukuki değerlendirmeye göre kontrollü biçimde dondurmaktır. Gerekirse alternatif lisanslı yazılıma geçiş planı hazırlanmalı, ama bu geçiş yapılırken hangi cihazda ne bulunduğuna dair kayıtlar da güvence altına alınmalıdır. Çünkü daha sonra hem hukuk davasında hem de olası ceza dosyasında geçmiş kullanımın kapsamı bu veriler üzerinden tartışılacaktır. FSEK m.71’in ticari amaçla satın alma, ithal, ihraç, kişisel kullanım dışında elinde bulundurma veya depolama gibi fiilleri de suç alanına soktuğu düşünüldüğünde, tespitten sonra kullanımın sürmesi ayrıca önem kazanır.

Aynı nedenle şirket içinde e-posta, mesajlaşma yazışmaları, lisans faturaları, tedarikçi teklifleri, BT servis kayıtları ve sözleşmeler de ayrı bir incelemeye alınmalıdır. Çünkü bir lisans uyuşmazlığında yalnızca programın bilgisayarda kurulu olup olmadığı değil, o kurulumun nasıl yapıldığı, kim tarafından yönlendirildiği, şirketin daha önce lisans satın alıp almadığı ve lisans kapsamını nasıl yorumladığı da önem taşır. Özellikle FSEK m.76’daki belge ibrazı ve haksız kullanım karinesi nedeniyle, elinizdeki sözleşme ve fatura seti ne kadar düzenliyse hukuki manevra alanınız o kadar geniş olur. Belgesizlik ise, çoğu olayda, şirketin en zayıf noktasıdır.

Hukuki risk haritası çıkarılmadan hiçbir adım eksiksiz sayılmaz

Lisanssız yazılım tespitinde şirketin atması gereken üçüncü büyük adım, hukuki riskleri başlık başlık ayırmaktır. Birinci risk, tecavüzün ref’i ve men’i davalarıdır. FSEK m.66’ya göre mali ve manevi hakları ihlal edilen kişi, tecavüzün kaldırılmasını talep edebilir. M.69 ise ihlal tehlikesi varsa ya da ihlalin devam ve tekrarı muhtemelse önleme davası açılabileceğini söyler. Bu iki dava türü, şirketin lisanssız yazılımı sistemlerinden kaldırmaya zorlanması, kullanımın durdurulması ve hukuka aykırı durumun mahkeme eliyle sona erdirilmesi anlamına gelebilir. Dolayısıyla mesele yalnızca para ödeme riski değildir; şirketin operasyonel akışı da müdahaleye açık hale gelir.

İkinci risk, para boyutudur. FSEK m.68, hak sahiplerine, bu Kanuna uygun yazılı izin olmadan eseri işleyen, çoğaltan, yayan, temsil eden veya umuma ileten kişiden, sözleşme yapılmış olsaydı isteyebileceği bedelin ya da rayiç bedelin en çok üç kat fazlasını isteme imkanı tanır. Bu, lisanssız yazılım dosyalarının neden sıradan bir “eksik lisans tamamlama” meselesi olmadığını gösteren en önemli hükümlerden biridir. Şirket özellikle yüksek bedelli CAD, ERP, muhasebe, tasarım, veri tabanı veya sektörel kurumsal yazılımlar kullanıyorsa, üç kat bedel hesabı son derece ağır sonuç doğurabilir. İzinsiz çoğaltılan kopyaların imhası veya uygun bedelle hak sahibine verilmesi gibi talepler de somut olaya göre devreye girebilir.

Üçüncü risk, tazminat ve kâr devridir. FSEK m.70’e göre mali hakları ihlal edilen kişi, ihlal eden kusurluysa haksız fiil hükümlerine göre tazminat isteyebilir. Aynı madde, zarar görenin tazminata ek olarak temin edilen kârın kendisine verilmesini de talep edebileceğini düzenler. Bu, şirketin lisanssız yazılımla elde ettiği ticari avantajın, proje üretim kapasitesinin veya maliyet düşüşünün tartışma konusu haline gelebileceği anlamına gelir. Dolayısıyla yalnızca lisans bedeli değil, kullanımın şirkete sağladığı ekonomik fayda da dava dosyasına taşınabilir. Şirketin kendi iç değerlendirmesinde bu maruziyeti önceden hesaplaması, savunma stratejisini belirlemek açısından hayati önemdedir.

Dördüncü risk, ceza boyutudur. FSEK m.71, hak sahibi kişilerin yazılı izni olmaksızın işleme, çoğaltma, dağıtma, umuma iletme, yayımlama ve hukuka aykırı çoğaltılmış eserleri ticari amaçla satın alma, ithal etme, ihraç etme, kişisel kullanım dışı elde bulundurma veya depolama gibi fiiller bakımından bir yıldan beş yıla kadar hapis veya adli para cezası öngörür. M.75 ise bu suçlardan dolayı soruşturma ve kovuşturmanın şikâyete bağlı olduğunu, şikâyetin geçerli olması için hak sahiplerinin veya meslek birliklerinin haklarını gösteren belge ve delilleri Cumhuriyet başsavcılığına sunması gerektiğini söyler. Şirket açısından sonuç şudur: hak sahibi aktif şekilde hareket ederse mesele yalnızca hukuk mahkemesinde kalmayabilir; savcılık dosyasına da dönüşebilir.

Beşinci risk, ihtiyati tedbirdir. FSEK m.77, esaslı zarar, ani tehlike veya emrivaki ihtimali varsa mahkemenin dava öncesinde veya dava sırasında belirli bir işin yapılmasını ya da yapılmamasını emredebileceğini, işin yapıldığı yerin kapatılması veya açılması yönünde karar verebileceğini ve çoğaltılmış nüshaları ya da çoğaltma vasıtalarını muhafaza altına alabileceğini düzenler. Bu hüküm, özellikle lisanssız yazılım şirket faaliyetinin tam merkezindeyse çok ciddi bir baskı yaratır. Çünkü tedbir, daha dava kesinleşmeden operasyonel daralma doğurabilir. Şirket bu riski erken fark etmezse, hukuki savunmasını yalnızca esasa değil, acil tedbir ihtimaline göre de kurmak zorunda kalır.

Hak sahibinden ihtar gelirse şirket nasıl davranmalıdır?

Hak sahibinden ya da vekilinden ihtarname gelmişse, şirketin öncelikle “inkâr” ve “oyalama” refleksinden uzak durması gerekir. Çünkü telif hukukunda hak sahipleri, hem hukuk hem de ceza yollarına başvurabilir; Kültür ve Turizm Bakanlığı da telif hakkı ihlali halinde hukuk veya ceza davası açılabileceğini açıkça belirtmektedir. Bu durumda en sağlıklı yol, ihtarnamenin kapsamını, talep edilen lisans sayısını, ileri sürülen kullanım dönemini ve varsa teknik tespitleri incelemek; şirketin iç envanteriyle karşılaştırmak ve hukuki pozisyonu buna göre belirlemektir. Körlemesine kabul de, refleks olarak tüm iddiaları reddetmek de yanlış olabilir. Çünkü bazı olaylarda hak sahibi kullanım sayısını abartmış olabilir; bazı olaylarda ise şirketin düşündüğünden daha geniş bir ihlal tablosu mevcut olabilir.

Bu aşamada şirketin yapması gereken, karşı tarafla yazışmayı yalnızca ticari bir pazarlık olarak görmemektir. Yazılım lisans uyuşmazlığı, delil ve ceza riski taşıyan bir telif ihtilafıdır. O yüzden ihtara verilecek cevap, teknik rapor, lisans envanteri ve sözleşme incelemesiyle desteklenmelidir. Şirket hakikaten açık bir ihlal tespit etmişse, uzlaşma ve lisans tamamlama seçenekleri çoğu zaman düşünülmelidir. Ancak uzlaşma dili kurulurken de geçmiş ihlalin kapsamı, potansiyel üç kat bedel riski, tazminat ve olası ceza şikâyeti ihtimali birlikte değerlendirilmelidir. Aksi halde aceleyle yapılan bir kabul, şirketin pazarlık gücünü gereksiz biçimde zayıflatabilir. Bu sonuç, FSEK m.68, 70, 71 ve 75’in birlikte okunmasından çıkar.

Dış BT firması ve çalışan sorumluluğu ayrıca araştırılmalıdır

Şirket içinde lisanssız yazılım tespit edildiğinde, olayın yalnızca hak sahibiyle şirket arasındaki ilişki olarak görülmesi eksiktir. İçeride ayrıca bir sorumluluk zinciri araştırılmalıdır. Programı kim kurdu, talimatı kim verdi, tedarik hangi sözleşmeye dayanıyordu, BT hizmeti dışarıdan mı alındı, lisans alımı için bütçe ayrılmış mıydı, programın korsan olduğu biliniyor muydu, önceki yöneticiler veya çalışanlar bu konuda uyarılmış mıydı; bütün bu sorular önemlidir. Çünkü FSEK m.66 şirketin hak sahibi karşısındaki sorumluluğunu ortadan kaldırmasa da, şirketin kendi içinde rücu ve sorumluluk dağılımı yapabilmesi için olayın kaynağını doğru tespit etmesi gerekir. Ayrıca eğer dış tedarikçi sahte lisans, korsan kurulum veya kırma aracı kullanmışsa, sözleşmesel sorumluluk ve tazminat talepleri iç ilişkide gündeme gelebilir.

Bu inceleme özellikle kurumsal yönetim bakımından da önemlidir. Çünkü bir yazılım ihlali bazen tekil bir personel hatasından değil, şirketin hiç lisans politikası kurmamış olmasından kaynaklanır. Böyle bir durumda sorun teknik değil yapısaldır. Satın alma, muhasebe, BT ve hukuk birimleri arasında lisans takibi akışı kurulmamışsa, aynı sorun ileride tekrar eder. Nitekim FSEK m.76’daki belge ibrazı ve karine rejimi, şirketlerin yazılım kullanımını tesadüfe bırakmasının ne kadar tehlikeli olduğunu gösterir. Bir sonraki denetimde aynı zafiyet tekrar ederse, savunma pozisyonu daha da zayıflar.

Kalıcı çözüm: yazılım uyum politikası oluşturmak

Lisanssız yazılım tespiti sonrasında şirketin asıl yapması gereken şey, yalnızca mevcut yangını söndürmek değil, yangının tekrar çıkmasını engelleyecek kurumsal sistemi kurmaktır. Bunun için şirket içinde yazılım envanteri politikası, lisans satın alma ve yenileme prosedürü, kullanıcı bazlı yetki takibi, deneme ve eğitim sürümlerine ilişkin yasaklar, dış BT firmaları için sözleşmesel lisans taahhütleri ve ayrılan çalışanların erişimlerinin kapatılmasına ilişkin süreçler yazılı hale getirilmelidir. Telif haklarının tescille değil eserin yaratılmasıyla doğduğunu belirten Kültür ve Turizm Bakanlığı açıklaması da gösteriyor ki, “karşı taraf kaydetmemiştir, fark edilmez” mantığıyla hareket etmek hukuken savunulabilir değildir. Koruma çoğu zaman zaten mevcuttur; mesele o korumaya uygun davranıp davranmadığınızdır.

Yine aynı çerçevede şirketlerin periyodik iç denetim yapması gerekir. Yılda en az bir kez yazılım-lisans eşleştirmesi yapılmalı, hangi programların gerçekten kullanıldığı, hangilerinin atıl kaldığı, hangilerinin yenileme gerektirdiği ve hangilerinde kullanıcı sayısının aşıldığı kontrol edilmelidir. Bu çalışma yalnızca hukuki koruma sağlamaz; aynı zamanda şirketin gereksiz yazılım maliyetini de azaltır. Lisans uyumu ile mali verimlilik çoğu zaman birbirine zıt değil, birbirini tamamlayan hedeflerdir. Dolayısıyla iyi bir uyum sistemi, hem dava riskini düşürür hem de bütçe yönetimini iyileştirir. FSEK m.68 ve m.76 dikkate alındığında, bu tür önleyici tedbirlerin maliyeti, bir uyuşmazlık çıktığında ödenecek bedelden çok daha düşüktür.

Sonuç

Lisanssız yazılım tespiti halinde şirketlerin yapması gereken şey, paniğe kapılıp programları gizlice silmek ya da meseleyi yalnızca BT departmanına bırakmak değildir. Doğru yol; mevcut kullanımı hızla ama düzenli biçimde tespit etmek, delilleri korumak, hukuka aykırı yeni kullanımı durdurmak, lisans ve sözleşme setini toplamak, hukuki maruziyeti FSEK m.66, 68, 69, 70, 71, 75, 76 ve 77 çerçevesinde ölçmek, varsa hak sahibi ihtarına bilinçli cevap vermek ve son aşamada kalıcı bir yazılım uyum sistemi kurmaktır. Çünkü bilgisayar programları Türk hukukunda korunur; hak sahibi hem üç kat bedel hem tazminat hem de ceza şikâyeti yoluna gidebilir; mahkeme belge ibrazı isteyebilir ve sunulmayan belgeler haksız kullanım karinesi doğurabilir; bazı durumlarda ihtiyati tedbir ve dijital delil süreci de devreye girebilir. Kısacası lisanssız yazılım tespiti, hızlı ama hukuken kontrollü yönetilmesi gereken bir krizdir.

Sık Sorulan Sorular

Lisanssız yazılım tespit edilince şirket programı hemen silmeli mi?
Hukuka aykırı kullanımın sürdürülmemesi gerekir; ancak delil ve envanter tespiti yapılmadan panikle silme işlemi yürütmek çoğu zaman yanlış stratejidir. Çünkü mahkeme belge ve liste isteyebilir, ceza soruşturmasında da dijital inceleme gündeme gelebilir.

Şirket çalışanı kurduysa işveren yine de sorumlu olur mu?
Evet, olabilir. FSEK m.66 uyarınca ihlal çalışan veya temsilci tarafından görevin ifası sırasında yapılmışsa işletme sahibi hakkında da dava açılabilir; bu dava bakımından kusur şartı da aranmaz.

Hak sahibi hangi parasal talepleri ileri sürebilir?
Somut olaya göre sözleşme yapılmış olsaydı istenebilecek bedelin veya rayiç bedelin en çok üç kat fazlası, haksız fiil esaslı tazminat ve elde edilen kârın devri gündeme gelebilir.

Bu durum ceza soruşturmasına dönüşebilir mi?
Evet. FSEK m.71’de sayılan fiiller bakımından ceza sorumluluğu gündeme gelebilir; m.75’e göre soruşturma şikâyete bağlıdır ve hak sahibinin belge ve delil sunması gerekir.

En güçlü şirket savunması nedir?
En güçlü savunma, düzenli lisans envanteri, saklanmış sözleşme ve faturalar, kullanıcı bazlı yetki kayıtları ve iç süreçlerin yazılı olarak kurulmuş olmasıdır. Çünkü FSEK m.76 belge sunulamaması halinde haksız kullanım karinesi öngörür.