Kurumsal Firmalarda Yazılım Lisans Denetimi Nasıl Yapılır?

 Kurumsal firmalarda yazılım lisans denetimi nasıl yapılır? FSEK kapsamında bilgisayar programlarının korunması, lisans ihlali riski, üç kat bedel, ceza sorumluluğu, delil yönetimi ve şirketler için adım adım denetim süreci bu kapsamlı rehberde açıklanmaktadır.

Dijitalleşmenin kurumsal hayatı dönüştürdüğü günümüzde yazılım, artık şirketlerin yalnızca destek aldığı teknik bir araç değil; bizzat üretimin, muhasebenin, proje yönetiminin, müşteri ilişkilerinin ve veri akışının temel unsurudur. Bu nedenle kurumsal firmalarda yazılım lisans denetimi, sıradan bir bilgi işlem kontrolü olarak değil, doğrudan hukuki risk yönetimi başlığı olarak görülmelidir. Türk hukukunda bilgisayar programları 5846 sayılı Fikir ve Sanat Eserleri Kanunu kapsamında korunur ve WIPO Lex’te yer alan güncel konsolide metne göre Kanun, 21 Aralık 2021 tarihli 7346 sayılı değişiklikleri de içerecek şekilde yürürlüktedir. Aynı metin, bilgisayar programlarını korunan eserler arasında sayan ve 2021 değişikliğiyle özellikle teknolojik önlemleri etkisiz kılmaya ilişkin ceza rejimini güncelleyen yapıyı göstermektedir.

Kurumsal firmalarda yazılım lisans denetimi yapılmasının nedeni yalnızca “kaç lisans var” sorusunu cevaplamak değildir. Esas amaç, şirketin kullandığı her programın hangi hukuki yetkiye dayandığını, bu yetkinin kapsamının aşılıp aşılmadığını, lisans belgelerinin denetime elverişli biçimde saklanıp saklanmadığını ve lisanssız ya da kapsam dışı kullanım nedeniyle FSEK kaynaklı hukuk ve ceza risklerinin doğup doğmadığını ortaya koymaktır. Kültür ve Turizm Bakanlığı’nın açıklamasına göre telif hakkı ihlali halinde hem hukuk hem ceza davası açılabilir; Bakanlık ayrıca izinsiz işleme, çoğaltma, dağıtma, umuma iletme, ticari amaçla satın alma, ithal, ihraç, depolama gibi fiillerin yaptırım doğurabileceğini açıkça belirtmektedir.

Kurumsal yazılım lisans denetiminin hukuki temeli nedir?

Yazılım lisans denetiminin hukuki çekirdeği FSEK’tir. Kanunun 1/B maddesinde bilgisayar programı tanımlanır; 2. maddesinde ise bilgisayar programları ve belli şartlarla hazırlık tasarımları ilim ve edebiyat eseri olarak kabul edilir. Aynı sistematik içinde, bilgisayar programının öğelerine temel oluşturan düşünce ve ilkelerin eser sayılmadığı da belirtilir. Bu ayrım önemlidir; çünkü hukuk soyut fikri değil, programın korunabilir ifade biçimini korur. Denetim yapılırken de tam olarak bu nedenle “şirketimizde bir yazılım kullanılıyor” tespiti yeterli olmaz; kullanılan sürümün, kopyanın, kurulumun ve erişim modelinin telif hukuku bakımından hangi statüde olduğu ayrıca incelenir.

FSEK bakımından özellikle çoğaltma hakkı denetimin merkezindedir. Kanunun 22. maddesi, bir eserin kopyalarının tamamen veya kısmen, doğrudan veya dolaylı, geçici veya sürekli şekilde çoğaltılması hakkını eser sahibine bırakır. Bilgisayar programları bakımından bu çoğaltma alanı yalnızca klasik kopya alma anlamına gelmez; programın yüklenmesi, çalıştırılması, iletilmesi ve depolanması da bu koruma içinde değerlendirilir. Bu nedenle kurumsal firmalarda yazılım lisans denetimi yapılırken yalnızca fiziksel kopya aranmaz; sunucu kurulumları, uzak masaüstü erişimleri, sanal makineler, bulut hesapları, kullanıcı bazlı oturumlar ve çoklu cihaz kullanımları da denetim kapsamına alınır. Çünkü hukuki risk çoğu zaman tam da bu alanlarda doğar.

Kanunun 38. maddesi ise hukuki yollardan edinilmiş bilgisayar programı bakımından belirli serbestiler tanır. Buna göre, sözleşmede aksi belirleyici hüküm yoksa programın düşünülen amaca uygun kullanımı için gerekli çoğaltma ve işleme serbest olabilir; programın yüklenmesi, çalıştırılması ve hata düzeltmesi sözleşmeyle bütünüyle engellenemez; kullanım için gerekli olduğu sürece bir adet yedekleme kopyası da yapılabilir. Ancak bu serbesti yalnızca hukuka uygun edinim halinde geçerlidir. Bu yüzden kurumsal firmalarda yazılım lisans denetimi yapılırken en kritik ayrım, lisanslı kullanım için tanınan teknik serbestiler ile baştan itibaren lisanssız veya kapsam dışı kullanım arasındaki çizgiyi doğru çekmektir.

Yazılım lisans denetimine nasıl başlanmalıdır?

Kurumsal firmalarda yazılım lisans denetimi nasıl yapılır sorusunun ilk cevabı, panikle değil kapsam belirleyerek başlanması gerektiğidir. Şirket, denetimi önce bir “envanter ve yetki eşleştirme” çalışması olarak kurgulamalıdır. Hangi ofisler, hangi sunucular, hangi sanal makineler, hangi kullanıcı grupları ve hangi dış hizmet sağlayıcıların kurduğu sistemler denetim kapsamına girecekse, bu sınır başlangıçta netleştirilmelidir. Bunun nedeni hukuki olduğu kadar pratiktir: FSEK çerçevesinde ihlal tartışması çoğu zaman tek bir cihaza değil, kullanım modeline dayanır. Bu yüzden şirketin merkez ofisi lisanslı görünürken şubelerde, uzak çalışan cihazlarında veya test sunucularında ciddi uyumsuzluk bulunabilir. Kanunun çoğaltma ve umuma iletim mantığı dikkate alındığında, kapsamı dar tanımlanmış bir iç denetim şirketi yanıltabilir.

Bu ilk aşamada ideal olan, hukuk, bilgi işlem, satın alma ve mali işler birimlerinin birlikte çalışmasıdır. Çünkü lisans denetimi sadece teknik kurulum tespiti değildir. Bir programın sistemde yüklü olması teknik bir veridir; fakat bu kurulumun geçerli lisansa dayanıp dayanmadığını anlamak için sözleşme, fatura, abonelik kaydı, yenileme yazışması ve kullanıcı yetkilendirmesi gibi hukuki ve mali belgelerin de incelenmesi gerekir. Kültür ve Turizm Bakanlığı’nın isteğe bağlı kayıt-tescile ilişkin açıklamaları da yazılım üzerinde hak sahipliği ile kullanım hakkının her zaman aynı elde toplanmadığını gösterir; örneğin bir bilgisayar programının eser sahibinin kaynak kodlarını yazan kişi veya kişiler olduğu, mali hakların ise sözleşmeyle ayrıca düzenlenebildiği açıkça belirtilmiştir. Bu yaklaşım, şirket içinde geliştirilmiş yazılımların denetiminde de ayrıca önem taşır.

Envanter çalışması denetimin omurgasıdır

Kurumsal firmalarda yazılım lisans denetiminin ilk somut adımı yazılım envanteridir. Şirketin tüm masaüstü bilgisayarları, dizüstü cihazları, sunucuları, sanal makineleri, bulut hizmet hesapları ve uzak erişim terminalleri üzerinde hangi yazılımların kurulu olduğu tespit edilmelidir. Bu tespitte yalnızca ana program adı değil; sürüm numarası, kurulum tarihi, lisans modeli, etkin kullanıcı sayısı, cihaz sayısı, lisans anahtarı türü, varsa abonelik bitiş tarihi ve programın fiilen hangi departmanda kullanıldığı da kayıt altına alınmalıdır. Çünkü lisans ihlali çoğu zaman “program var mı yok mu” sorusundan değil, “hangi kapsamda kullanılıyor” sorusundan doğar. FSEK’in çoğaltma hakkını geniş yorumlayan yapısı da bu teknik ayrıntıların neden hukuki değer taşıdığını açıklamaktadır.

Burada denetimin önemli bir boyutu da gölge BT kullanımını ortaya çıkarmaktır. Şirket içinde BT departmanı dışında kurulmuş, kişisel hesaplarla aktive edilmiş, deneme sürümünden üretim ortamına taşınmış veya dış tedarikçi tarafından sessizce yüklenmiş yazılımlar çoğu zaman ana envanter dışında kalır. Oysa telif ve lisans riski en çok bu görünmeyen katmanda büyür. Denetim sırasında çalışan cihazlarındaki tasarım, mühendislik, muhasebe, uzaktan erişim, veritabanı, antivirüs, ofis ve proje yönetimi yazılımlarının tamamı görünür hale getirilmelidir. Bu gereklilik, hak sahibinin ihlal halinde hukuk veya ceza yoluna başvurabilmesi ve izinsiz çoğaltma, kullanma, depolama gibi fiillerin yaptırıma bağlanmış olması nedeniyle doğrudan hukuki önem taşır.

Lisans belgeleri ve sözleşmeler nasıl incelenmelidir?

Yazılım envanteri tek başına denetim sayılmaz; ikinci aşama lisans belgelerinin bu envanterle eşleştirilmesidir. Burada şirketin elindeki faturalar, lisans sözleşmeleri, EULA metinleri, bayi veya distribütör yazışmaları, abonelik panelleri, yenileme kayıtları ve destek sözleşmeleri birlikte değerlendirilmelidir. Çünkü bir programın satın alınmış olması her kullanımın serbest olduğu anlamına gelmez. FSEK’te mali hakların birbirinden bağımsız olduğu ve kullanımın yetki sınırları içinde yapılması gerektiği kabul edildiğinden, lisans sözleşmesinin kapsamı aşılmışsa şirketin “satın alma yaptık” savunması yeterli kalmayabilir. Bu nedenle denetimde sadece satın alma belgesi aranmaz; o belgenin hangi kullanıcı, cihaz, lokasyon, süre ve sürüm için yetki verdiği tek tek okunur.

Bu aşamada özellikle tek kullanıcı lisansları, çoklu kullanıcı lisansları, volume lisanslar, abonelik lisansları, OEM lisanslar, eğitim lisansları ve deneme sürümleri ayrı kategorilerde ele alınmalıdır. Çünkü risk her kategoride farklıdır. Örneğin tek kullanıcı lisansının çoklu cihaza yayılması ile deneme sürümünün ticari iş akışında kullanılması farklı hukuki savunmalar üretir, fakat her ikisi de lisans ihlali sonucunu doğurabilir. Aynı şekilde şirket içinde ücreti ödenerek dışarıya yaptırılmış özel yazılımlarda da ayrıca dikkat gerekir. Bakanlığın açıklamasına göre programı yazdıran kişi her zaman eser sahibi sayılmaz; çoğu durumda mali hakların sözleşme çerçevesinde kullanıldığı kabul edilir. Bu yüzden kurumsal firmalarda yazılım lisans denetimi yapılırken şirketin sahip olduğunu düşündüğü özel yazılımlarda dahi sözleşmesel hak zinciri doğrulanmalıdır.

Yüksek riskli alanlar nasıl saptanır?

Kurumsal firmalarda yazılım lisans denetimi nasıl yapılır sorusunun üçüncü halkası, risk ağırlıklı sınıflamadır. Her yazılım aynı derecede hukuki risk üretmez. Şirketin ana faaliyetini doğrudan taşıyan, yüksek lisans bedeline sahip, çok sayıda kullanıcı tarafından erişilen, sunucu ve ağ düzeyinde çoğaltılan veya dış müşteriye hizmet sunumunda kullanılan yazılımlar daha yüksek riskli kabul edilmelidir. Özellikle CAD, BIM, ERP, muhasebe, veri tabanı, güvenlik, medya üretimi, tasarım ve sektöre özel kurumsal yazılımlar bu gruba girer. Çünkü bu yazılımlardaki lisans uyumsuzluğu, FSEK m.68 kapsamında bedel hesabını ağırlaştırabilir ve m.71 bakımından ticari kullanım vurgusunu güçlendirebilir.

Yüksek riskli ikinci alan, kırma araçları veya lisans korumasını aşan çözümlerdir. WIPO Lex’te yer alan güncel konsolide metin, 2021 değişikliğiyle FSEK m.72’nin teknolojik önlemleri etkisiz kılmaya ilişkin rejimini güncellediğini göstermektedir. Bu nedenle aktivasyon kırıcı araçlar, keygen benzeri çözümler veya erişim kontrolünü devre dışı bırakan kurulum yöntemleri, yalnızca lisans eksiği değil, ayrıca ceza riski doğurabilecek ayrı bir katman yaratır. Denetim sırasında sadece programın lisanslı olup olmadığına değil, nasıl aktive edildiğine de bakılmalıdır.

Uyumsuzluk bulunursa şirket ne yapmalıdır?

Denetim sonucunda uyumsuzluk tespit edilirse şirketin ilk refleksi delil yok etmek olmamalıdır. Tam tersine, mevcut tablo kontrollü biçimde kayıt altına alınmalı, yeni kurulumlar durdurulmalı, lisans anahtarı paylaşımı kesilmeli ve ihlalin büyümesi önlenmelidir. Bunun sebebi açıktır: FSEK m.76, mahkemeye gerekli izin ve yetki belgelerini isteme ve bunların sunulmaması halinde haksız kullanım karinesi doğurma imkanı verir. Ceza soruşturması boyutunda ise CMK m.134, somut delillere dayanan kuvvetli şüphe ve başka surette delil elde edilememe şartıyla bilgisayarlar, programlar ve kütükler üzerinde arama, kopyalama ve gerektiğinde elkoyma imkanı tanır. Şirketin paniğe kapılıp kayıtları silmesi, hukuki riski azaltmaktan çok savunma pozisyonunu zayıflatabilir.

Uyumsuzluğun niteliğine göre şirket üç ayrı yol haritası kurmalıdır. Birinci durumda basit lisans açığı vardır; yani lisans modeli doğru ama sayı eksiktir. İkinci durumda kapsam aşımı vardır; örneğin tek lisans çok kullanıcıya yayılmıştır veya eğitim sürümü ticari kullanıma taşınmıştır. Üçüncü durumda ise açık korsanlık veya teknolojik önlem aşımı vardır. Bu üç durumun hukuki risk seviyesi aynı değildir. Ancak hepsinde ortak nokta, mevcut kullanımın belgelendirilmesi, hukuk biriminin erken aşamada sürece dahil edilmesi ve gerekiyorsa hak sahibiyle temas stratejisinin planlanmasıdır. Çünkü Bakanlık açıklamalarına göre telif hakkı ihlali halinde hukuk veya ceza davası açılması mümkündür ve parasal talepler üç kat bedel talebine kadar uzanabilir.

İşverenin çalışan ve tedarikçi kaynaklı riski nasıl yönetilir?

Kurumsal firmalarda yazılım lisans denetimi yalnızca dış hak sahiplerine karşı savunma hazırlamak için yapılmaz; şirket içi sorumluluk haritasını görmek için de yapılır. Programı kim kurdu, hangi departman talep etti, dış BT firması hangi sözleşmeyle hizmet verdi, çalışan kişisel hesabıyla mı aktivasyon yaptı, satın alma birimi lisans türünü yanlış mı yorumladı, bunların hepsi ayrıca incelenmelidir. Çünkü FSEK m.66, ihlal işletme temsilcileri veya çalışanları tarafından hizmetin ifası sırasında yapılmışsa işletme sahibine karşı da dava açılabileceğini ve bu dava bakımından kusurun şart olmadığını öngörür. Bu yüzden “çalışan kendi başına kurdu” veya “tedarikçi yaptı” savunması şirketi otomatik olarak korumaz.

Bu nedenle denetimin dördüncü boyutu iç politika revizyonudur. Şirketin yazılım kurma yetkilerini sınırlandırması, onaysız kurulumları engellemesi, dış BT firmalarıyla yapılan sözleşmelere açık lisans uyumu ve tazmin sorumluluğu hükümleri koyması, çalışanların kişisel lisanslarla ticari faaliyet yürütmesini yasaklaması ve ayrılan personelin erişimlerini kapatması gerekir. Bu tür önlemler doğrudan FSEK metninde tek tek yazmasa da, Kanun’un mali hak, izinsiz kullanım ve ispat rejimi birlikte düşünüldüğünde kurumsal risk yönetiminin mantıklı ve gerekli sonucudur.

Vendor audit veya ihtarname gelirse nasıl hareket edilmelidir?

Kurumsal firmalarda yazılım lisans denetimi çoğu zaman şirketin kendi inisiyatifiyle yapılır; ancak bazen denetim ihtarname, satıcı denetimi veya hak sahibi şikâyeti üzerine zorunlu hale gelir. Böyle bir durumda şirketin yapması gereken ilk şey, karşı tarafın iddia ettiği kullanım sayısını ve lisans kapsamını kendi iç envanteriyle karşılaştırmaktır. Körlemesine kabul de toptan inkâr da hatalı olabilir. Bazı dosyalarda hak sahibi şirketin gerçek kullanımını doğru tespit etmiş olabilir; bazı dosyalarda ise kullanıcı sayısı, sürüm veya şirket yapısı yanlış anlaşılmış olabilir. Sağlıklı cevap, yalnızca teknik rapor ve sözleşme incelemesi tamamlandıktan sonra verilebilir. Çünkü FSEK, hak sahibine hem hukuk hem ceza yolunu açmakta ve özellikle izinsiz çoğaltma, dağıtma, ticari depolama gibi fiilleri ağır şekilde düzenlemektedir.

Bu süreçte şirketin hedefi, “sorunu görünmez kılmak” değil, “hukuki maruziyeti kontrol altına almak” olmalıdır. Uygun olaylarda lisans tamamlama ve ticari uzlaşma makul olabilir. Ancak uzlaşmaya giderken de geçmiş dönemin potansiyel üç kat bedel, tazminat ve ceza şikâyeti riski bilinmelidir. Bakanlığın açıklaması, telif ihlali halinde hukuk veya ceza davası açılabileceğini açıkça söylediği için, satıcı veya hak sahibiyle yürütülen müzakere basit bir satın alma pazarlığı değildir; arka planında gerçek bir dava tehdidi vardır.

Sonuç

Kurumsal firmalarda yazılım lisans denetimi, bugün artık isteğe bağlı bir BT kontrolü değil; şirketin hukuki güvenliği için zorunlu görülebilecek bir uyum mekanizmasıdır. FSEK bilgisayar programlarını eser olarak korur; programın yüklenmesi, çalıştırılması ve depolanması dahi çoğaltma hakkı alanına girebilir; izinsiz kullanım hukuk ve ceza riskleri doğurabilir; mahkeme lisans belgelerini isteyebilir ve sunulamayan belgeler haksız kullanım karinesi yaratabilir; bazı durumlarda dijital inceleme ve elkoyma süreçleri de devreye girebilir. Bu yüzden doğru denetim modeli; envanter çıkarma, lisans-sözleşme eşleştirmesi, risk sınıflaması, uyumsuzluk yönetimi, iç politika revizyonu ve gerektiğinde hukuki savunma hazırlığını birlikte içermelidir.

Kısacası “kurumsal firmalarda yazılım lisans denetimi nasıl yapılır?” sorusunun cevabı tek cümle değildir: önce tüm yazılımlar görünür hale getirilir, sonra her kurulum hukuki yetkiyle eşleştirilir, ardından yüksek riskli alanlar ayrıştırılır, tespit edilen uyumsuzluklar delil korunarak yönetilir ve son aşamada şirketin tekrar aynı hataya düşmesini engelleyecek yazılım uyum politikası kurulur. Kısa vadede zaman alan bu süreç, uzun vadede lisanssız yazılım, üç kat bedel, tazminat ve ceza riskiyle karşılaşmaktan çok daha düşük maliyetlidir.