Yazılım Denetimlerinde Sunucu ve Ağ Kayıtlarının Delil Değeri

Yazılım lisans uyuşmazlıklarında en kritik sorulardan biri artık yalnızca “şirkette lisanssız yazılım var mı?” sorusu değildir. Asıl tartışma, bu kullanımın nasıl ispatlanacağı, hangi teknik verinin mahkeme nezdinde hukuken geçerli delil sayılacağı ve hangi kayıtların tek başına yeterli olmayacağı noktasında yoğunlaşmaktadır. Özellikle kurumsal şirketlerde yapılan yazılım denetimlerinde; sunucu logları, ağ trafiği kayıtları, lisans sunucusu verileri, Active Directory kayıtları, VPN oturum bilgileri, güvenlik duvarı kayıtları ve kullanıcı erişim raporları dosyanın omurgasını oluşturur. Türk hukukunda elektronik ortamdaki veriler ilke olarak delil sisteminin dışına itilmiş değildir; tersine, HMK elektronik ortamdaki verileri açıkça “belge” saymaktadır. Buna karşılık her elektronik veri aynı güçte değildir; hukuka uygun elde edilme, bütünlük, değişmezlik, kaynak doğruluğu ve bilirkişi denetimine elverişlilik gibi ölçütler delilin ağırlığını doğrudan etkiler.

Bu nedenle “sunucu ve ağ kayıtlarının delil değeri” başlığı, sadece teknik bir inceleme konusu değil; Fikir ve Sanat Eserleri Kanunu, Hukuk Muhakemeleri Kanunu, Ceza Muhakemesi Kanunu, Elektronik İmza Kanunu ve Kişisel Verilerin Korunması Kanunu’nun birlikte okunmasını gerektiren çok katmanlı bir hukuk meselesidir. Bilgisayar programları FSEK kapsamında eser olarak korunur; bilgisayar programının tanımı ayrıca yapılmış, her biçim altında ifade edilen bilgisayar programları eser sayılmış ve programın yüklenmesi, görüntülenmesi, çalıştırılması, iletilmesi ve depolanması fiilleri çoğaltma hakkının kapsamında değerlendirilmiştir. Bu yüzden bir yazılımın şirket ağı içinde hangi sunucuda, hangi kullanıcı hesabıyla, hangi tarihte, kaç kez ve hangi lisans mantığıyla çalıştırıldığına ilişkin log kayıtları, çoğu zaman doğrudan ihlal tartışmasının merkezine yerleşir.

Sunucu ve ağ kayıtları neden bu kadar önemlidir?

Yazılım denetimlerinde fiziksel kopya çoğu zaman belirleyici değildir. Özellikle abonelik tabanlı, bulut destekli, lisans sunuculu veya merkezi dağıtımla kurulan yazılımlarda, ihlal iddiası çoğu kez cihazın üzerinde bulunan kurulum dosyasından değil; kimlik doğrulama, oturum açma, lisans checkout, eşzamanlı kullanıcı, IP erişimi, sunucuya bağlanma ve uygulama çağrısı gibi dijital izlerden anlaşılır. Örneğin bir şirket, elinde on kullanıcı lisansı bulunan bir CAD yazılımını kırk kullanıcılı fiili kullanım düzeyine taşımışsa, bu durum bazen masaüstü ekran görüntüsünden çok daha güçlü biçimde lisans sunucusu kayıtları, domain logları ve ağ erişim tablolarıyla ortaya konabilir. FSEK bakımından bilgisayar programlarının eser niteliği ve programın yüklenmesi ile çalıştırılmasının hak sahibinin mali hak alanı içinde değerlendirilmesi, bu kayıtları hukuken önemli kılar.

Başka bir ifadeyle, sunucu ve ağ kayıtları sadece “teknik yan veri” değildir. Bunlar, yazılımın fiilen kullanılıp kullanılmadığını, kullanımın şirket organizasyonu içinde münferit mi yoksa sistematik mi olduğunu, kullanımın deneme sürümü veya eğitim lisansı gibi sınırlı bir modelden ticari kullanıma kaydırılıp kaydırılmadığını ve yetkisiz kurulumun kullanıcı hatası mı yoksa kurumsal politika mı olduğunu gösterebilir. Bu nedenle iyi yapılandırılmış log kayıtları bazen tanık anlatımından daha güçlü, bazen de bilirkişi raporunun omurgası olacak kadar belirleyici olabilir. HMK’nın “elektronik ortamdaki veriler”i belge kabul etmesi de zaten bu tür teknik verilerin hukuk yargılamasında dikkate alınmasının temel zeminini oluşturur.

Türk hukukunda elektronik logların delil sayılmasının temel dayanakları

Hukuk yargılamasında ilk ve en önemli dayanak HMK m.199’dur. Bu hükme göre uyuşmazlık konusu vakıaları ispata elverişli yazılı veya basılı metinler, fotoğraf, film, görüntü veya ses kaydı gibi veriler ile elektronik ortamdaki veriler ve bunlara benzer bilgi taşıyıcıları “belge”dir. Bu ifade son derece geniştir ve sunucu loglarını, ağ erişim kayıtlarını, lisans sunucusu raporlarını, sistem export dosyalarını, e-posta başlık kayıtlarını ve benzeri elektronik verileri kapsayabilecek niteliktedir. Ancak bu verilerin belge sayılması, her birinin otomatik olarak güçlü ve tartışmasız delil olduğu anlamına gelmez; sadece hukuk düzeninin onları baştan dışlamadığını gösterir.

Bunun hemen yanında HMK m.189 ayrı bir eşik koyar: hukuka aykırı olarak elde edilmiş deliller, mahkeme tarafından bir vakıanın ispatında dikkate alınamaz. Dolayısıyla bir şirketin ya da hak sahibinin, yazılım denetimi bahanesiyle karşı tarafın sistemine hukuka aykırı biçimde sızarak kayıt elde etmesi; ölçüsüz, habersiz ve dayanağı belirsiz izleme mekanizmaları kullanması; veri toplama sürecini kanuni sınırlar dışında yürütmesi delilin tartışmalı hâle gelmesine yol açabilir. Elektronik logların mahkemedeki gücü kadar, nasıl elde edildiği de önemlidir. Türk usul hukukunda delilin teknik içeriği kadar hukuka uygun elde edilmesi de belirleyicidir.

HMK m.219 ve 220 ise yazılım denetimlerinde çok kritik iki madde olarak karşımıza çıkar. Taraflar, kendilerinin veya karşı tarafın delil olarak dayandıkları ve ellerinde bulunan tüm belgeleri mahkemeye ibraz etmek zorundadır. Elektronik belgeler de çıktısı alınarak ve talep edildiğinde incelemeye elverişli şekilde elektronik ortamda ibraz edilir. Mahkeme, ibrazı istenen belgenin ispat için zorunlu olduğuna kanaat getirirse kesin süre verebilir; belgeyi ibraz etmeyen taraf kabul edilebilir mazeret de göstermezse, mahkeme belgenin içeriği konusunda diğer tarafın beyanını kabul edebilir. Yazılım lisans davalarında bu hükümlerin pratik etkisi büyüktür: Elinde log bulunan şirketin “sistemsel olarak veremiyoruz” savunması her zaman yeterli görülmeyebilir.

Daha güçlü bir elektronik ispat kategorisi de güvenli elektronik imzalı veriler bakımından ortaya çıkar. HMK m.205’e göre usulüne göre güvenli elektronik imza ile oluşturulan elektronik veriler senet hükmündedir ve hâkim, delil olarak sunulan elektronik imzalı belgenin güvenli elektronik imza ile oluşturulup oluşturulmadığını resen inceler. HMK m.210 ise güvenli elektronik imzalı verinin inkârı hâlinde bilirkişi incelemesini düzenler. Buna paralel olarak 5070 sayılı Elektronik İmza Kanunu, güvenli elektronik imzanın elle atılan imza ile aynı hukukî sonucu doğurduğunu; güvenli elektronik imzanın imza sahibine bağlı, onun tasarrufundaki araçla oluşturulan, kimliği belirlenebilir kılan ve imzalanmış veride sonradan değişiklik yapılıp yapılmadığını tespit edebilen bir yapı olduğunu kabul eder. Bu yüzden zaman damgası ve güvenli elektronik imza ile desteklenmiş log paketleri, sıradan ekran görüntülerine göre çok daha yüksek delil ağırlığı taşıyabilir.

FSEK bakımından sunucu kayıtlarının maddi önemi

Yazılım denetimlerinde logların önemli olmasının sebebi yalnızca HMK’nın belge kavramını geniş tutması değildir. Esas mesele, FSEK’in bilgisayar programlarını eser olarak koruması ve programın kullanım biçimlerine ilişkin fiilleri mali hak ihlali alanına taşımasıdır. Bilgisayar programı FSEK m.1/B’de tanımlanmış, m.2’de ilim ve edebiyat eseri olarak sayılmış, m.22’de çoğaltma hakkının bilgisayar programının yüklenmesi, görüntülenmesi, çalıştırılması, iletilmesi ve depolanması fiillerini de kapsadığı belirtilmiştir. Bu yüzden bir lisans denetiminde “programın şirket sisteminde kaç cihazda kurulu olduğu” kadar, “hangi kullanıcı tarafından hangi tarihlerde çalıştırıldığı” da önemlidir. Sunucu logları tam olarak bu noktada anlam kazanır.

FSEK m.68, hak sahibine yazılı izin alınmaksızın eser işlenmesi, çoğaltılması, yayılması veya umuma iletilmesi hâlinde sözleşme yapılmış olması durumunda isteyebileceği bedelin veya rayiç bedelin en çok üç kat fazlasını talep etme imkânı tanır. FSEK m.71 ise manevi, mali veya bağlantılı hakları ihlal ederek hak sahibinin yazılı izni olmaksızın eseri işleyen, çoğaltan, dağıtan, umuma ileten, satışa arz eden, ticari amaçla satın alan, ithal veya ihraç eden, kişisel kullanım dışında elinde bulunduran ya da depolayan kişi hakkında bir yıldan beş yıla kadar hapis veya adlî para cezası öngörür. Bu hükümler nedeniyle log kayıtları sadece özel hukuk tazminat davasında değil, cezai süreç bakımından da önem taşır. Çünkü aynı kayıt, hem fiili kullanımı hem de ticari amaçla depolamayı veya sistematik çoğaltmayı göstermeye yarayabilir.

Ceza soruşturmasında dijital kayıtların önemi

Lisanssız yazılım kullanımı bazı olaylarda FSEK m.71 kapsamında suç iddiasına dönüştüğünde, ceza muhakemesi boyutu devreye girer. CMK m.134, başka surette delil elde etme imkânının bulunmaması hâlinde hâkim kararıyla bilgisayar ve bilgisayar programlarında arama yapılmasına, kayıtların kopyalanmasına ve çözülmesine izin verir. Şifrenin çözülememesi veya gizlenmiş bilgilere ulaşılamaması hâlinde cihazlara elkoyma mümkündür; sistemdeki bütün verilerin yedeklenmesi yapılır ve istenirse bu yedekten bir kopya şüpheliye veya vekiline verilir. Bu düzenleme, ceza soruşturmasında dijital delilin bütünlüğünün korunması ve sonradan denetlenebilir olması bakımından önemlidir. Yazılım denetimlerinden ceza dosyasına uzanan vakalarda sunucu kayıtlarının nasıl toplandığı ve adli bilişim zincirinin nasıl kurulduğu bu nedenle kritik hâle gelir.

Buradan çıkan sonuç şudur: Aynı log kaydı hukuk davasında “belge”, ceza dosyasında ise adli bilişim materyali ve bilirkişi incelemesinin konusu olabilir. Ancak her iki alanda da ortak sorun değişmez: Kayıtların kaynağı açık mı, toplama usulü hukuka uygun mu, kayıt sonradan değiştirilebilir nitelikte mi, sistem saati güvenilir mi, verinin üretildiği platform tanımlı mı? Mahkemenin güven duymadığı bir log seti, teknik olarak zengin olsa bile hukuken zayıf kalabilir.

Hangi loglar daha güçlü delildir?

Her log aynı ispat gücüne sahip değildir. Uygulamada en kuvvetli kayıtlar genellikle birden fazla katmanda birbirini doğrulayan kayıtlardır. Örneğin lisans sunucusu logunda aynı kullanıcı hesabı için eşzamanlı kullanım görünüyorsa, bunu Active Directory oturum kayıtları, VPN bağlantı kayıtları ve güvenlik duvarı trafiği ile desteklemek mümkündür. Böylece tek bir program çıktısına dayanmayan, farklı sistemlerden gelen ve birbirini teyit eden bir veri zinciri kurulmuş olur. Bu tür çok katmanlı yapı, bilirkişinin “tek kaynağa bağımlı varsayım” eleştirisini zayıflatır. HMK bakımından belge niteliği taşıyan verilerin serbestçe değerlendirilmesi ilkesine göre, hâkim bu bütüncül tabloyu daha ikna edici bulacaktır.

Öte yandan zaman damgası, güvenli elektronik imza, değişiklik kayıtları, hash doğrulaması ve salt okunur arşivleme gibi yöntemler de delil değerini yükseltir. Kanunda “hash” kelimesi geçmese de, 5070 sayılı Kanun’un güvenli elektronik imzada değişikliğin tespit edilebilir olmasını araması, zaman damgasını elektronik verinin üretildiği veya kaydedildiği zamanın tespiti amacıyla tanımlaması ve HMK m.205’in güvenli elektronik imzalı veriye senet hükmü tanıması birlikte değerlendirildiğinde; bütünlüğü korunan ve sonradan müdahalenin tespit edilebilir olduğu kayıtların çok daha güçlü delil oluşturduğu rahatlıkla söylenebilir. Ayrıca 5651 sayılı Kanun’un yer ve erişim sağlayıcılar açısından trafik bilgilerinin doğruluğu, bütünlüğü ve gizliliğinin korunmasını vurgulaması da, Türk hukukunun dijital kayıtların salt varlığıyla değil güvenilirliğiyle ilgilendiğini gösterir. Ordinarye şirket iç ağları doğrudan 5651’in tüm saklama rejimine tabi olmayabilir; çünkü kanun esasen içerik, yer, erişim ve toplu kullanım sağlayıcılarına yöneliktir. Ancak yine de bütünlük ve gizlilik ölçütü, yazılım denetimlerinde örnek alınması gereken bir standarda işaret eder.

Delil değerini zayıflatan başlıca sorunlar

Uygulamada en büyük problem, şirketlerin log tuttuğunu zannetmesi fakat mahkemeye elverişli log tutmamasıdır. Sadece ekran görüntüsü alınmış, kaynağı belirsiz, hangi sunucudan export edildiği belli olmayan, zaman senkronizasyonu bozuk, kullanıcı adı ile gerçek kişi eşlemesi yapılamayan, test ortamı ile canlı ortamı ayrıştırılmamış kayıtlar ciddi zafiyet taşır. Bu tür veriler bilirkişi raporunda “yardımcı belirti” sayılabilir; ama tek başına ihlalin kesin ispatı için yetersiz görülebilir. Özellikle yönetici yetkisine sahip kişilerin logları sonradan değiştirebildiği sistemlerde, değişmezlik güvencesi yoksa delilin ağırlığı düşer. HMK’nın belgeyi kabul etmesi, sahtelik ve inkâr tartışmalarını ortadan kaldırmaz.

İkinci büyük sorun ise hukuka uygunluk boyutudur. Şirketler bazen “denetim yapıyoruz” gerekçesiyle çalışanların tüm dijital hareketlerini sınırsız biçimde izleyebileceklerini varsayar. Oysa KVKK bakımından kişisel verisi işlenen kişi, verilerin kim tarafından, hangi amaçla, hangi hukuki sebeple işlenebileceği ve kimlere aktarılabileceği konusunda aydınlatılmalıdır. Aynı zamanda veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, muhafazasını sağlamak ve gerekli teknik-idari tedbirleri almak zorundadır. Bu nedenle ölçüsüz, amacı belirsiz, aydınlatma yapılmadan sürdürülen veya fazla veri toplayan loglama pratikleri, ileride HMK m.189 bakımından da tartışma doğurabilir. Özellikle çalışan izleme sistemlerinde “ne kadar veri toplandığı” kadar “niçin toplandığı” da önemlidir.

Yazılım denetiminde delil tespiti neden önemlidir?

Sunucu ve ağ kayıtlarının en zayıf tarafı, çoğu zaman kalıcı olmamalarıdır. Kimi loglar yedi gün, kimi otuz gün, kimi doksan gün sonra otomatik döner; bazı bulut altyapılarında varsayılan saklama süresi daha da kısadır. Bu nedenle uyuşmazlık henüz dava aşamasına gelmeden önce delilin kaybolması mümkündür. İşte HMK m.400 ve devamındaki delil tespiti kurumu burada devreye girer. Taraflar, görülmekte olan bir davada ya da ileride açacakları davada ileri sürecekleri bir vakıanın tespiti için keşif, bilirkişi incelemesi veya benzeri işlemler talep edebilirler; delilin hemen tespit edilmemesi hâlinde kaybolacağı veya ileri sürülmesinin önemli ölçüde zorlaşacağı ihtimal dâhilindeyse hukuki yarar var sayılır. Yazılım denetimi uyuşmazlıklarında bu kurum son derece işlevseldir.

Pratikte bu, şu anlama gelir: Hak sahibi, logların silinme ihtimali varsa mahkemeden hızlı bilirkişi incelemesi isteyebilir; şirket ise kendisine yönelen iddialar karşısında sistemin gerçekte ne gösterdiğini, hangi lisans modelinin aktif olduğunu ve iddia edilen kullanıcı yoğunluğunun teknik olarak doğru olmadığını delil tespiti yoluyla erkenden kayıt altına aldırabilir. Delil tespiti yalnızca saldırı aracı değildir; savunma için de güçlü bir mekanizmadır. Özellikle lisans sunucusu hataları, test kullanıcıları, sanal makine kopyaları, devre dışı bırakılmış istemciler ve geçmiş tarihli kayıt bozulmaları gibi karmaşık teknik durumlarda, geç kalınmış savunmadan çok erken tespit daha etkilidir.

Şirketler log tutarken nelere dikkat etmelidir?

İlk kural, loglamayı davalık olunca başlatmak değil, olağan kurumsal yönetişimin parçası hâline getirmektir. Şirketin hangi yazılımları hangi lisans modeliyle kullandığı, hangi sunucuda lisans sunucusu bulunduğu, kullanıcı hesabı-makine eşlemesi, merkezi zaman senkronizasyonu, log saklama süresi, yetki matrisi ve dış kaynak erişimleri önceden belirlenmelidir. Logların yalnızca tutulması değil, düzenli olarak doğrulanması ve raporlanması da gerekir. Aksi hâlde mahkemeye sunulan veri “ham yığın” olarak kalır ve teknik anlamı bilirkişi tarafından dahi netleştirilemeyebilir. HMK m.219’un elektronik belgelerin incelemeye elverişli şekilde ibrazını öngörmesi de zaten düzenli, okunabilir ve doğrulanabilir kayıt yönetimini zorunlu kılar.

İkinci kural, kişisel veri boyutunu göz ardı etmemektir. Kullanıcı adı, IP adresi, oturum tarihi, cihaz bilgisi, erişim modeli ve bazen lokasyon verisi kişisel veri niteliği taşıyabilir. KVKK’ya göre aydınlatma yükümlülüğü, açık rıza gerektiren veya başka bir işleme şartına dayanan tüm veri işleme faaliyetlerinde devam eder. Veri sorumlusu, veri güvenliği için gerekli teknik ve idari tedbirleri almak, denetim yapmak veya yaptırmak ve ihlal halinde Kurul ile ilgili kişiyi bilgilendirmek zorundadır. Bu yüzden şirket içi loglama politikaları, bilgi güvenliği politikası ile KVKK aydınlatma metninin birbirinden kopuk değil, uyumlu parçaları olmalıdır.

Üçüncü kural, logların mahkemeye sunum formatını önceden düşünmektir. Bir davada yalnızca ekran fotoğraflarıyla yetinmek yerine; sistemden alınmış export, açıklayıcı teknik tutanak, gerekiyorsa zaman damgası, mümkünse güvenli elektronik imza, yetkili kişi açıklaması ve log mimarisini gösteren kısa teknik şema birlikte hazırlanmalıdır. Çünkü delil değeri çoğu zaman tek bir dosyada değil, o dosyayı anlaşılır kılan bütün sunum setinde oluşur. Güvenli elektronik imzalı veri senet hükmünde olduğundan, kritik kayıtların bu standarda yaklaştırılması şirket lehine ciddi avantaj sağlayabilir.

Sonuç

Yazılım denetimlerinde sunucu ve ağ kayıtlarının delil değeri, Türk hukukunda son derece yüksektir; fakat bu güç otomatik değildir. Elektronik veriler HMK bakımından belgedir. Güvenli elektronik imzalı olanlar daha da ileri giderek senet hükmü kazanabilir. Bilgisayar programları FSEK kapsamında eser olarak korunduğundan, yazılımın yüklenmesi, çalıştırılması, iletilmesi ve depolanması gibi fiillerin ispatında log kayıtları merkezi rol oynar. Ceza boyutuna taşınan uyuşmazlıklarda CMK m.134 dijital materyalin aranması, kopyalanması ve yedeklenmesine özel usul getirir. Öte yandan KVKK, bu kayıtların sınırsız ve amaçsız biçimde toplanmasına değil; aydınlatılmış, güvenli ve ölçülü biçimde işlenmesine izin verir.

Bu nedenle doğru soru “log var mı?” değildir. Doğru soru şudur: Log hukuka uygun şekilde mi tutuldu, kaynağı açık mı, bütünlüğü korunmuş mu, başka kayıtlarla doğrulanıyor mu, mahkeme ve bilirkişi incelemesine elverişli mi? Bu sorulara güçlü cevap verilebiliyorsa, sunucu ve ağ kayıtları yazılım lisans denetimlerinde en etkili delillerden birine dönüşür. Verilemiyorsa aynı kayıtlar, teknik olarak var olsa bile hukuken zayıf kalır. Kısacası, yazılım denetimlerinde delilin gücü yalnızca verinin içinde değil; verinin hukuki mimarisinde saklıdır.

Sık Sorulan Sorular

Sunucu logları tek başına lisanssız yazılım kullanımını ispatlar mı?
Her zaman değil. HMK elektronik verileri belge sayar; ancak delilin gücü kaynağı, bütünlüğü, doğrulanabilirliği ve diğer kayıtlarla uyumuna göre değişir. Tek başına ham log yerine, lisans sunucusu kayıtları, kullanıcı hesap verileri ve erişim logları birlikte daha güçlü bir tablo oluşturur.

Ekran görüntüsü delil olur mu?
Olabilir; fakat çoğu zaman sınırlı delildir. Ekran görüntüsünün hangi sistemden, hangi tarihte, kim tarafından ve ne şekilde alındığı net değilse ispat gücü düşer. Elektronik verinin sistem export’u, tutanak ve bilirkişi incelemesiyle desteklenmesi daha güvenlidir.

Şirket çalışanlarının loglarını tutmak hukuka aykırı mıdır?
Mutlak olarak hayır; ancak KVKK kapsamında aydınlatma, amaç sınırlılığı, ölçülülük ve veri güvenliği yükümlülükleri gözetilmelidir. Ayrıca hukuka aykırı elde edilen deliller HMK m.189 gereği dikkate alınamaz.

Güvenli elektronik imza logları güçlendirir mi?
Evet. HMK m.205’e göre usulüne uygun güvenli elektronik imza ile oluşturulan elektronik veriler senet hükmündedir. 5070 sayılı Kanun da güvenli elektronik imzanın elle atılan imza ile aynı hukuki sonucu doğurduğunu kabul eder.

Dava açılmadan önce loglar için ne yapılabilir?
HMK m.400 ve devamı uyarınca delil tespiti istenebilir. Özellikle logların silinme veya üzerine yazılma riski varsa, erken bilirkişi incelemesi büyük önem taşır.