Bulut Yazılımlarda Yetkisiz Kullanım ve Hukuki Sorumluluk

Bulut yazılımlarda yetkisiz kullanım hangi durumlarda oluşur? Türk hukukunda FSEK, TBK ve KVKK çerçevesinde hesap paylaşımı, kullanıcı aşımı, veri işleme, yurt dışına veri aktarımı, üç kat bedel, tazminat ve ceza riski bu kapsamlı rehberde incelenmektedir.

Bulut tabanlı yazılımlar, klasik masaüstü programlardan farklı olarak yalnızca bir kurulum dosyasına değil; kullanıcı hesabına, abonelik süresine, oturum doğrulamasına, merkezi yönetime ve çoğu zaman uzaktan veri işleme altyapısına dayanır. Bu nedenle bulut yazılımlarda yetkisiz kullanım meselesi, artık sadece “kaçak kopya” tartışması değildir. Bugün birçok uyuşmazlık; kullanıcı hesabının paylaşılması, seat sınırının aşılması, aboneliğin kapsamı dışında kullanım, trial veya eğitim erişiminin ticari faaliyete dönüştürülmesi, grup şirketlerine veya üçüncü kişilere hesabın açılması ve koruma mekanizmalarının aşılması üzerinden doğmaktadır. Türk hukukunda bilgisayar programları 5846 sayılı Fikir ve Sanat Eserleri Kanunu kapsamında eser olarak korunur; bu koruma, bulut mimarisinde de geçerliliğini korur.

Konu yalnızca telif hukuku ile de sınırlı değildir. Bulut yazılım kullanan şirketler çoğu zaman çalışan, müşteri, tedarikçi veya iş ortağı verilerini de aynı sistemler üzerinde işler. Bu nedenle yetkisiz kullanım, bir yandan lisans ve telif ihlali yaratırken diğer yandan kişisel veri güvenliği, veri işleyen-veri sorumlusu ilişkisi, yurt dışına veri aktarımı ve teknik-idari tedbir yükümlülükleri bakımından da ayrı sorumluluklar doğurabilir. Kişisel Verileri Koruma Kurumu, bulut hizmeti sunan bir şirketin bazı durumlarda veri işleyen sıfatıyla hareket edebileceğini; veri sorumlusunun da gerekli güvenlik seviyesinin sağlanmasından kaçamayacağını açıkça ortaya koymaktadır.

Bulut yazılım neden klasik lisans ilişkisinden farklıdır?

Klasik lisans modelinde kullanıcı çoğu zaman belirli bir sürüm için yerel kurulum ve cihaz temelli bir yetki aldığını düşünürdü. Bulut modelinde ise kullanım hakkı, çoğu zaman hesap bazlı ve süreye bağlıdır. Adobe’nin güncel kurumsal lisanslama belgelerinde named user licensing modelinin uygulama ve hizmet kullanımını belirli bir bireysel kullanıcıya bağladığı, lisansların merkezi olarak yönetildiği ve uyum takibinin makine üzerinden değil kullanıcı üzerinden yapıldığı açıkça belirtilmektedir. Autodesk’in güncel destek içeriklerinde ise oturum açma gerektiren aboneliklerde her seat’in tek bir “Authorized User”a atanacağı ve seat’lerin paylaşılamayacağı ifade edilmektedir. Microsoft Hizmet Sözleşmesi de hesap bilgilerinin başka kullanıcıya veya başka bir varlığa devredilemeyeceğini düzenlemektedir. Bu yapı, bulut yazılım lisans ihlalinin temelini oluşturur: teknik erişim var olsa bile hukukî yetki kişiye, kuruma, süreye ve kapsamına göre sınırlanmıştır.

Bu fark, Türk hukuku bakımından da önemlidir. FSEK m.52’ye göre mali haklara ilişkin sözleşme ve tasarrufların yazılı olması ve konu olan hakların ayrı ayrı gösterilmesi gerekir. Bir başka deyişle, yazılımı kullanma yetkisi soyut ve sınırsız bir serbestlik değildir; yazılı ve belirli bir hukuki ilişkiye dayanmalıdır. Aynı Kanun, lisansın basit veya tam ruhsat olabileceğini, aksi kararlaştırılmadıkça lisansların basit sayılacağını ve eserin kopyası üzerindeki mülkiyet devrinin fikri hak devri anlamına gelmeyeceğini de düzenler. Bu nedenle bulut yazılım aboneliğinde kullanıcı hesabına erişebilmek, kendi başına geniş kullanım hakkı vermez.

Bulut yazılımlarda yetkisiz kullanım hangi durumlarda oluşur?

Bulut yazılımlarda yetkisiz kullanımın en yaygın biçimi, named user ya da tek kullanıcı aboneliğinin ekip içinde paylaşılmasıdır. Şirket içinde aynı kullanıcı adı ve parolanın birden fazla personelce kullanılması, pratikte çok yaygın olsa da lisans yapısına açıkça aykırı olabilir. Autodesk’in resmî desteği, tek kullanıcılı aboneliklerde her koltuğun tek bir yetkili kullanıcıya atanacağını ve paylaşılamayacağını açıkça belirtir. Microsoft Hizmet Sözleşmesi de hesap bilgilerinin başka kullanıcıya veya kuruluşa devredilemeyeceğini söylemektedir. Adobe tarafında named user modeli zaten lisansın kullanıcıya bağlı olduğunu ve merkezi uyum takibi için bu yapının esas alındığını ortaya koyar. Bu nedenle şirket içinde “aynı ekip kullanıyor” gerekçesi, bulut lisanslarda çoğu zaman hukukî koruma sağlamaz.

İkinci yaygın ihlal türü, satın alınan seat veya kullanıcı sayısının fiilen aşılmasıdır. Özellikle büyüyen şirketlerde birkaç abonelikle başlanıp yeni çalışanların aynı ürün üzerinde çalıştırılması, lisansın kapsamını aşan tipik bir davranıştır. Autodesk, güncel denetim sayfasında “overuse of subscription seats” ve “overuse of perpetual seats” başlıklarını ayrı birer uyumsuzluk kategorisi olarak göstermektedir. Bu, üretici gözünde fazla koltuk kullanımının bağımsız bir ihlal tipi olduğunu gösterir. Türk hukukunda da yazılım üzerinde tanınan ekonomik hakların izin verilenden daha geniş kullanılması, sırf teknik kolaylık diye önemsiz görülemez; çünkü FSEK m.68, izinsiz işleme, çoğaltma, yayma, temsil veya umuma iletim hallerinde ağırlaştırılmış mali sonuç öngörmektedir.

Üçüncü tipik ihlal, abonelik süresi sona erdiği hâlde ticari kullanımın fiilen sürdürülmesidir. Bulut yazılım ekosisteminde kullanıcı bazen yazılımın cihazda hâlâ açılabildiğini veya eski dosyalara erişimin sürdüğünü görerek kullanımın serbest olduğunu sanır. Oysa hukukî açıdan önemli olan, yalnızca teknik erişim değil, kullanım yetkisinin devam ediyor olmasıdır. Abonelik modeli, doğası gereği süreye bağlı bir kullanım hakkı kurar. Süre bittiğinde şirketin sözleşmesel dayanağı da sona erer. Bu noktadan sonra devam eden ticari kullanım, sözleşmeye aykırılık yanında telif hakkı ihlali tartışmasını da doğurabilir.

Dördüncü önemli başlık, trial, eğitim, kişisel veya tüketici aboneliğinin ticari faaliyete dönüştürülmesidir. Autodesk’in eğitim erişimi belgelerinde bu erişimin yalnızca öğrenme, öğretme ve araştırma amaçlarıyla kullanılabileceği, ticari ve profesyonel kullanıma kapalı olduğu açıkça ifade edilmektedir. Aynı ekosistemde deneme sürümlerinin sınırlı süreli değerlendirme amacı taşıdığı ve üretim amaçlı ticari kullanım için tasarlanmadığı anlaşılmaktadır. Bu nedenle şirketin eğitim erişimiyle müşteri projesi hazırlaması ya da deneme sürümünü üretim zincirine katması, yalnızca “uygunsuz seçenek” tercihi değil, izin verilen amaç sınırını aşan bir kullanım modelidir.

Beşinci yaygın ihlal türü, aynı aboneliğin farklı şirketler, grup şirketleri, taşeronlar veya dış danışmanlarca kullanılmasıdır. Uygulamada merkez şirket adına alınan bulut yazılım hesabının şubelerde, iştiraklerde veya freelance ekipte kullanılması sık görülür. Ancak lisans ilişkisi çoğu zaman sözleşmenin tarafı olan belirli kullanıcıya veya belirli organizasyona bağlanır. Özellikle Microsoft’un hesap devri yasağı ve Autodesk’in authorized user kurgusu düşünüldüğünde, şirketler arası fiilî paylaşımın lisans kapsamını aşması çok kolaydır. Grup içi yakınlık, sözleşmesel yetki yaratmaz.

En ağır ihlal biçimlerinden biri ise koruma önlemlerini aşmaktır. Abonelik süresi bittiği için erişilemeyen yazılımı crack, patch, sahte aktivasyon veya başka bir teknik araçla kullanmaya devam etmek, sadece sözleşme ihlali olarak kalmaz. 7346 sayılı Kanun ile FSEK m.72, teknolojik önlemleri etkisiz kılmaya yönelik ürün ve araçlar bakımından daha geniş bir koruma rejimi kurmuştur. WIPO’nun güncel mevzuat kaydı, Türk telif rejiminin 2021 değişiklikleriyle güncellendiğini doğrulamakta; bu değişiklikler koruma önlemlerini aşmaya dönük fiilleri daha görünür hale getirmektedir.

Bulut yazılımda yetkisiz kullanımın sözleşmesel boyutu

Bulut yazılımlarda yetkisiz kullanım çoğu zaman ilk aşamada sözleşmeye aykırılık olarak görünür. Türk Borçlar Kanunu m.112’ye göre borç hiç veya gereği gibi ifa edilmezse borçlu, kusursuzluğunu ispat etmedikçe alacaklının zararını gidermekle yükümlüdür. M.113 ise yapma veya yapmama borçlarında aykırılığın sonuçlarının giderilmesini ve uygun durumda aykırı durumun ortadan kaldırılmasını mümkün kılar. Bulut abonelik sözleşmelerinde kullanıcı sayısı, kullanım amacı, hesap devri, oturum paylaşımı, organizasyon sınırı ve sözleşme süresi açıkça belirlenmişse, bunların ihlali doğrudan sözleşmeye aykırılık sorumluluğu yaratır.

Bu sözleşmesel sorumluluk, şirketin savunma alanını daraltır. Çünkü “program çalışıyordu” veya “ekip içinde kullandık” gibi fiilî açıklamalar, sözleşmedeki sınırlar aşılmışsa hukukî meşruiyet sağlamaz. Dahası, TBK m.116’ya göre borçlu, borcun ifasını veya sözleşmeden doğan hakkın kullanımını yardımcı kişilere bırakmış olsa bile, onların işi yürüttükleri sırada diğer tarafa verdikleri zarardan sorumludur. Bu nedenle hesabı çalışan paylaşmış, eski personel giriş yapmış veya dış BT firması kurulumu yönetmiş olsa bile, lisans sözleşmesinin tarafı olan şirket çoğu durumda sorumluluk altında kalır.

Telif hakkı ihlali boyutu

Bulut yazılımlarda yetkisiz kullanım yalnızca sözleşme ihlali değildir; çoğu zaman telif hakkı alanına da taşınır. FSEK, bilgisayar programlarını eser olarak koruduğu için, korunan yazılımın izin verilenden daha geniş ticari kullanımı yazılı izinsiz yararlanma tartışmasını doğurur. Kültür ve Turizm Bakanlığı, telif hakkı ihlali halinde hukuk veya ceza davası açılabileceğini; yazılı izin olmaksızın işleme, çoğaltma, dağıtma, umuma iletme, yayımlama ve hukuka aykırı çoğaltılmış eserleri ticarî amaçla satın alma, ithal etme, ihraç etme, kişisel kullanım dışında elde bulundurma veya depolamanın yaptırım alanına girdiğini açıklamaktadır. Bu açıklama, bulut yazılımın “bulutta olduğu için farklı hukuk” alanında olmadığını; aksine telif rejiminin içinde bulunduğunu ortaya koyar.

FSEK m.68 bu çerçevede en ağır mali araçtır. Yazılı izin olmadan işleme, çoğaltma, yayma, temsil veya umuma iletim hâlinde hak sahibi, sözleşme yapılmış olsaydı isteyebileceği bedelin veya rayiç bedelin en çok üç katını isteyebilir. Bulut yazılımlarda named user paylaşımı, koltuk aşımı, yanlış lisans tipi kullanımı veya süre bitimi sonrası ticari yararlanma bu talebin temelini oluşturabilir. Şirketler için bu, sırf sonradan lisans satın almanın geçmiş dönemin ekonomik riskini ortadan kaldırmayabileceği anlamına gelir.

FSEK m.66 ve m.69 da kullanımın kaldırılması ve önlenmesi açısından önemlidir. Hak sahibi, tecavüzün ref’ini ve men’ini isteyebilir. Özellikle bulut yazılım şirketin günlük faaliyetinin merkezindeyse, hesabın kapatılması veya erişimin durdurulması fiilen çok ağır sonuç yaratabilir. Bulut modelde “kurulu dosya” kadar “hesaba erişim” değerli olduğu için, men ve ref talepleri operasyonel baskı yaratma bakımından daha da etkili olabilir.

Veri koruma ve KVKK boyutu neden ayrıca önemlidir?

Bulut yazılımlar çoğu zaman sadece yazılım kullanım hakkı değil, aynı zamanda veri işleme altyapısıdır. Bu nedenle lisanssız veya yetkisiz kullanım, kişisel verilerin hukuka aykırı erişim, yanlış kullanıcı tarafından görüntülenmesi veya uygunsuz aktarımı riskini de doğurur. KVKK’nın “Veri Sorumlusu ve Veri İşleyen” dokümanında, bir bulut bilişim hizmeti sunan şirketin bazı durumlarda müşterileri adına işlenen veriler bakımından “veri işleyen” sıfatıyla hareket ettiği açıkça belirtilmektedir. Bu, bulut yazılım hizmeti alan şirketin veri sorumlusu sıfatını kaybetmediği; aksine veri işleyen ilişkisini doğru kurması gerektiği anlamına gelir.

KVKK’nın Kişisel Veri Güvenliği Rehberi de veri sorumlusunun Kanun’un 12. maddesi uyarınca kişisel verilerin hukuka aykırı işlenmesini ve erişimini önlemek, verilerin muhafazasını sağlamak için gerekli teknik ve idari tedbirleri almak zorunda olduğunu belirtmektedir. Aynı rehber, veri sorumlusunun önce risk ve tehditleri belirlemesi, çalışan farkındalığı yaratması, veri işleyenlerle ilişkileri yönetmesi ve bulutta depolanan kişisel veriler bakımından yeterli güvenlik önlemlerini değerlendirmesi gerektiğini söylemektedir. Rehberde bulutta depolanan veriler için iki kademeli kimlik doğrulama, erişim logları, kullanıcı hesap yönetimi, ağ güvenliği, log kayıtları ve yedekleme gibi tedbirler özellikle öne çıkarılmaktadır. Bu öneriler, bulut yazılımlarda hesap paylaşımı veya yetkisiz erişimin neden sadece lisans sorunu değil, veri güvenliği sorunu da olduğunu gösterir.

Bulut yazılım altyapısı yurt dışındaki sunucularla çalışıyorsa, kişisel verilerin yurt dışına aktarımı da ayrıca gündeme gelir. KVKK’nın “Yurt Dışına Aktarım” sayfasında, 2024 değişiklikleri sonrasında standart sözleşmeler ve bağlayıcı şirket kurallarının uygun güvence yöntemleri olarak öngörüldüğü; Kurul tarafından ilan edilen standart sözleşmelerin imzalanmasının ek bir izin gerekmeksizin veri aktarımına imkân tanıyabileceği belirtilmektedir. Rehberde de standart sözleşmelerin Kurul tarafından ilan edilen metinler üzerinden ve sınırlı değişikliklerle kullanılabileceği açıklanmaktadır. Bu nedenle bulut yazılım kullanan şirketin lisans ilişkisi ne kadar düzgün olursa olsun, kişisel veri içeren bulut ortamlarında uygun aktarım mekanizması kurulmamışsa ayrı bir KVKK riski doğabilir.

Delil ve ispat bakımından bulut yazılımlar neden daha hassastır?

Bulut yazılım uyuşmazlıklarında delil, klasik masaüstü yazılımlara göre daha merkezî ve daha izlenebilir olabilir. Çünkü kullanım çoğu zaman kullanıcı hesabı, oturum zamanı, lisans ataması, ürün profili, erişim geçmişi ve organizasyon paneli üzerinden yönetilir. Adobe Admin Console’un lisans, kullanıcı ve ödeme yönetimi için merkezi panel sunduğu; named user lisanslamanın da merkezi uyum takibini kolaylaştırdığı resmî belgelerde belirtilmektedir. Autodesk de tek kullanıcılı aboneliklerde her koltuğun tek yetkili kullanıcıya atanacağını açıkça yazar. Bu yapı, şirketin yetkisiz kullanımını gizlemeyi teknik olarak zorlaştırabilir.

Türk hukukunda bu teknik görünürlük, FSEK m.76 ile birleştiğinde güçlü bir ispat baskısı yaratır. Hak sahibi yeterli başlangıç delili sunduğunda, kullanıcı şirketten gerekli izin ve yetki belgeleri veya kullanılan eserlerin listesi istenebilir; bunların sunulamaması haksız kullanıma karine oluşturur. Bulut yazılım kullanan şirketler açısından bu, lisans panel kayıtlarının, kullanıcı atamalarının, abonelik faturalarının ve erişim geçmişinin saklanmasını çok daha önemli hale getirir. “Aslında lisanslıydık” demek yetmez; bunu hesap, kullanıcı ve sözleşme verileriyle göstermek gerekir.

Bulut yazılımlarda şirketler için pratik sonuç nedir?

Pratikte en büyük risk, bulut yazılımların “fiziksel kopya yok, o halde klasik ihlal de yok” diye düşünülmesidir. Oysa bulut modeli, ihlali daha az değil çoğu zaman daha görünür hale getirir. Yetkisiz kullanıcı, paylaşılan hesap, fazla seat, eğitim sürümünün ticari projeye taşınması, süresi biten aboneliğin fiilî kullanımda tutulması veya grup şirketi paylaşımı, merkezi sistemlerde daha kolay iz bırakabilir. Bu da hak sahibine hem sözleşmesel hem telif temelli taleplerini daha rahat kurma olanağı sağlar.

Şirketlerin bu alandaki temel ödevi, yalnızca yazılım satın almak değil; kullanıcı-koltuk-hesap-süre-organizasyon eşleşmesini sürekli denetlemektir. Ayrıca kişisel veri içeren bulut sistemlerde veri işleyen sözleşmeleri, teknik-idari tedbirler, iki aşamalı doğrulama, erişim logları ve gerekiyorsa yurt dışına veri aktarım mekanizmaları kurulmalıdır. Aksi halde lisans ihlali ile KVKK ihlali aynı dosyada birleşebilir. Bulut çağında hukuki sorumluluk, “kim kurdu?” sorusundan çok “kim, hangi yetkiyle, hangi veriye ve hangi kapsamda erişti?” sorusunun etrafında şekillenmektedir.

Sonuç

Bulut yazılımlarda yetkisiz kullanım, klasik korsan yazılım anlayışından daha geniş ve daha karmaşık bir hukukî alandır. Hesap paylaşımı, seat aşımı, süresi biten aboneliğin sürdürülmesi, trial veya eğitim erişimin ticari kullanıma çevrilmesi, farklı şirket veya üçüncü kişilere hesap açılması ve koruma önlemlerinin aşılması, başlıca ihlal biçimleridir. Türk hukukunda bilgisayar programları eser olarak korunur; bu nedenle bulut yazılım üzerindeki izin dışı kullanım, hem sözleşmeye aykırılık hem de telif hakkı ihlali sonuçları doğurabilir. Ayrıca kişisel veri işlenen bulut ortamlarda veri sorumlusu-veri işleyen ilişkisi, teknik-idari tedbirler ve yurt dışı aktarım kuralları da ayrı sorumluluk alanları yaratır.

En güvenli yaklaşım, bulut yazılımı yalnızca “abonelik satın aldık” mantığıyla değil, kullanıcı ve veri yönetişimi mantığıyla yönetmektir. Şirket lisans haritasını, kullanıcı atamalarını, sözleşme kapsamını ve veri güvenliği tedbirlerini birlikte yönetmiyorsa, hukukî risk çoğu zaman başlamış demektir. Bulut ekosisteminde meşruiyetin ölçüsü, sadece erişim değil; erişimin doğru kişi, doğru amaç, doğru süre ve doğru sözleşme zeminiyle kurulmuş olmasıdır.

Sık Sorulan Sorular

Bulut yazılım hesabını aynı ekip içinde paylaşmak gerçekten ihlal sayılır mı?
Birçok sağlayıcının resmî şartlarında tek kullanıcılı veya named user lisansın kişiye bağlı olduğu ve paylaşımın yasaklandığı görülmektedir. Bu nedenle ekip içi parola paylaşımı çoğu durumda lisans kapsamını ihlal eder.

Abonelik bitmiş ama program açılıyorsa kullanmaya devam edebilir miyim?
Teknik erişimin devam etmesi, sözleşmesel kullanım yetkisinin de devam ettiği anlamına gelmez. Abonelik tabanlı modelde esas olan geçerli hak ilişkisidir.

Bulut sağlayıcısı veri işleyense şirketin KVKK sorumluluğu biter mi?
Hayır. KVKK rehber ve açıklamalarına göre veri sorumlusu, veri işleyenin gerekli teknik ve idari tedbirleri almasını sağlamakla yükümlüdür.

Yurt dışındaki bulut sunucuya veri aktarımı için ne gerekir?
Güncel KVKK rejiminde, uygun güvence yöntemi olarak standart sözleşmeler ve bağlayıcı şirket kuralları öngörülmektedir. Kurul tarafından ilan edilen standart sözleşmelerin kullanılması, ek izin gerekmeksizin aktarım imkânı sağlayabilir.

Çalışan veya dış BT firması yanlış kullanmışsa şirket yine de sorumlu olabilir mi?
Evet. TBK m.116 yardımcı kişilerin fiillerinden sorumluluğu düzenler; ayrıca FSEK m.66 kapsamında çalışanların hizmet sırasında yaptığı ihlaller nedeniyle işletme sahibine karşı da dava açılabilir.