Çalışanın İşten Ayrılırken Kurduğu Lisanssız Yazılım Sistemlerinin Sorumluluğu

 İşten ayrılan çalışanın kurduğu lisanssız yazılım sistemlerinden kim sorumludur? Türk hukukunda FSEK, İş Kanunu, TBK, TTK, ceza ve tazminat boyutlarıyla şirket ve çalışan sorumluluğunu ayrıntılı inceleyen kapsamlı rehber.

Şirketlerde lisanssız yazılım riski çoğu zaman yalnızca “korsan program kullanımı” olarak algılanır. Oysa uygulamada en tehlikeli senaryolardan biri, çalışanın görevdeyken kurduğu ama ayrılış sonrasında şirketin kullanmaya devam ettiği lisanssız veya lisans şartlarına aykırı sistemlerdir. Bu sistem bazen crackli bir muhasebe programı, bazen yetkisiz bir CAD paketi, bazen tek kullanıcı lisansıyla çok kişili kullanılan bir ERP modülü, bazen de şirket adına değil çalışanın kişisel hesabı üzerinden aktive edilmiş bir abonelik yazılımı olabilir. Sorun, çalışan işten ayrıldığında görünür hâle gelir; çünkü şirket sistem çalışsın diye kullanmaya devam ederken, telif, sözleşme, veri güvenliği ve hatta ceza hukuku riskleri aynı anda ortaya çıkar. Türk hukukunda bu tablo, sadece eski çalışanın kusuruyla açıklanmaz; FSEK, TBK, İş Kanunu, TTK ve gerektiğinde CMK birlikte değerlendirilir.

Türk hukukunda bilgisayar programları açıkça eser olarak korunur. 5846 sayılı Fikir ve Sanat Eserleri Kanunu, bilgisayar programlarını ilim ve edebiyat eseri sayar; ayrıca bir programın yüklenmesi, görüntülenmesi, çalıştırılması, iletilmesi ve depolanması da çoğaltma hakkının kapsamında değerlendirilir. Bu nedenle hukuki risk yalnızca korsan CD kopyalamaktan ibaret değildir; lisans dışı kurulum, sahte lisans anahtarıyla kullanım, lisans sınırını aşan çoğaltma, tek hesapla çoklu kullanıcı erişimi veya yetkisiz depolama da ihlal tartışması doğurabilir. Çalışanın sistemi kurmuş olması, programın şirket faaliyetinde kullanılmasını “kişisel hata” seviyesinde tutmaz; çünkü fiilî kullanım ticari organizasyonun parçası hâline gelmiştir.

Bu nedenle asıl soru “programı kim kurdu?” sorusundan biraz daha geniştir. Esas mesele, yazılımın hangi lisans rejimiyle kullanıldığı, şirketin bu sistemi bilip bilmediği, öğrendikten sonra kullanmaya devam edip etmediği, yöneticilerin denetim yükümlülüğünü yerine getirip getirmediği ve zarar doğduğunda kimin hangi hukuki hatta sorumlu tutulacağıdır. Bir başka ifadeyle, işten ayrılan çalışanın kurduğu lisanssız sistemlerde sorumluluk çoğu zaman katmanlıdır: hak sahibine karşı dış sorumluluk, şirket içi rücu sorumluluğu, iş hukuku sonuçları, ceza riski ve veri güvenliği sonuçları aynı anda gündeme gelebilir.

Lisanssız sistemi kuran çalışan hangi hukuki yükümlülükleri ihlal edebilir?

İşçi, Türk Borçlar Kanunu m.396 uyarınca yüklendiği işi özenle yapmak ve işverenin haklı menfaatinin korunmasında sadakatle davranmak zorundadır. Aynı maddede, işçinin işverene ait makineleri, araç ve gereçleri, teknik sistemleri ve tesisleri usulüne uygun kullanması gerektiği; iş gördüğü sırada öğrendiği üretim ve iş sırlarını hizmet ilişkisi devam ederken kendi yararına kullanamayacağı veya başkalarına açıklayamayacağı, işverenin haklı menfaatinin korunması için gerekli olduğu ölçüde hizmet ilişkisi sona erdikten sonra da sır saklamakla yükümlü olduğu düzenlenmiştir. Bir çalışanın, işveren adına lisanssız sistem kurması, sahte lisans kullanması, şirketi ileride telif ihlali riskiyle karşı karşıya bırakması ve ayrılırken sistemi lisans belgeleri olmaksızın devretmesi, bu özen ve sadakat borcuyla ciddi biçimde çatışabilir.

Eğer çalışan, lisanssız yazılımı bilinçli şekilde kurmuş, bunu gizlemiş, sahte anahtar kullanmış, şirketi yanıltmış veya sistemi kendi kişisel e-posta ve hesapları üzerinden şirketin erişemeyeceği biçimde yapılandırmışsa, olay sadece teknik hata değil, sadakat borcuna aykırı davranış niteliği kazanabilir. Özellikle programın lisanssız olduğunu biliyor ve buna rağmen işvereni bu konuda bilgilendirmeyip sistemi işleyişin zorunlu parçası hâline getiriyorsa, çalışan kendi kusurunu ağırlaştırır. Bu durumda iş sözleşmesi devam ederken olay fark edilmişse, İş Kanunu m.25/II-e’de düzenlenen “işverenin güvenini kötüye kullanmak” ve “doğruluk ve bağlılığa uymayan davranışlar” çerçevesinde haklı nedenle fesih gündeme gelebilir. İş Kanunu’ndaki bu bent, örnek sayım yapar; yalnızca hırsızlık değil, güven ilişkisini sarsan benzer davranışları da kapsar.

Çalışan işten ayrıldıktan sonra dahi sorumluluğu tamamen ortadan kalkmaz. TBK m.396’nın son fıkrası, işçinin iş gördüğü sırada öğrendiği üretim ve iş sırları gibi bilgileri işverenin haklı menfaati gerektiriyorsa hizmet ilişkisinin sona ermesinden sonra da saklamak zorunda olduğunu kabul eder. Eğer çalışan lisanssız sistemi kurmakla kalmayıp, ayrılırken yönetici parolalarını, kurulum yöntemlerini, lisans kaynağını, entegrasyon yapılarını ve kritik erişim bilgilerini saklıyor veya şirketi fiilen sistemi kullanmaya mecbur bırakacak biçimde bilgi vermiyorsa, artık sadece geçmişteki kurulum eylemi değil, ayrılış sonrası davranışı da hukuki önem kazanır. Bu tür bir tablo, hem sözleşmesel zarar hem de haksız fiil sorumluluğu bakımından ayrıca tartışılabilir.

Şirket hak sahibine karşı sorumluluktan kurtulur mu?

Çoğu olayda hayır. FSEK bakımından hak sahibi, mali ve manevi haklarına tecavüz edildiğini ileri sürerek kullanımı durdurma, tazminat ve özel bazı taleplerde bulunabilir. Özellikle FSEK m.68, hak sahibine, izin alınmadan kullanılan eser bakımından sözleşme yapılmış olsaydı isteyebileceği bedelin veya rayiç bedelin en çok üç katına kadar bedel isteme imkânı tanır. FSEK m.70 ise mali hakları haleldar edilen kişinin kusur varsa tazminat ve elde edilen kârın devri gibi taleplerini gündeme getirir. Bu düzenlemeler bakımından hak sahibi çoğu zaman önce fiilî kullanıcıya bakar; yani programı iş süreçlerinde kullanan şirket doğrudan hedef olur. “Bunu eski çalışan kurmuştu” savunması, hak sahibine karşı her zaman koruyucu bir kalkan oluşturmaz.

Bunun nedeni basittir: Telif hakkı ihlali değerlendirilirken fiilin ticari organizasyon içinde sürdürülüp sürdürülmediği önemlidir. Şirket, çalışan ayrıldıktan sonra sistemi kullanmaya devam ediyor, ürün veya hizmet üretiminde ondan yararlanıyor, müşteri işlerini bu altyapı üzerinden yürütüyor ve lisanssızlığı öğrendiği hâlde sistemi kapatmıyorsa, bu andan itibaren sorumluluğu daha da güçlenir. Hatta birçok dosyada ilk kurucu çalışanın kusuru ile sonradan bilerek kullanmaya devam eden işverenin kusuru birlikte değerlendirilir. Bu nedenle şirket açısından kritik eşik, lisanssızlığı öğrendiği andır. Öğrendikten sonra kullanımın sürdürülmesi, çoğu kez “geçmiş çalışanın fiili” savunmasını zayıflatır. Bu sonuç FSEK’in izinsiz yararlanmayı yaptırıma bağlayan yapısıyla ve TBK’daki genel kusur sorumluluğuyla uyumludur.

Türk Borçlar Kanunu m.66 da şirket aleyhine önemli bir hat oluşturur. Bu maddeye göre adam çalıştıran, çalışanın kendisine verilen işin yapılması sırasında başkalarına verdiği zararı gidermekle yükümlüdür; ancak çalışanı seçerken, talimat verirken, gözetim ve denetimde bulunurken gerekli özeni gösterdiğini ispat ederse kurtulabilir. Ayrıca işletmenin çalışma düzeninin zararın doğmasını önlemeye elverişli olduğunu ispat edemeyen işletme de sorumluluktan kurtulamaz. Lisanssız sistemi çalışan kurmuş olsa bile, şirketin yazılım envanteri yoksa, lisans denetimi yapmıyorsa, kurulum yetkilerini kontrol etmiyorsa ve ayrılış süreçlerinde teknik teslim prosedürü bulunmuyorsa, TBK m.66 anlamında organizasyon kusuru tartışması güçlenir.

Ayrıca TBK m.116’ya göre borçlu, borcun ifasını veya borç ilişkisinden doğan hakkın kullanılmasını yardımcı kişilere bıraksa bile onların işi yürüttükleri sırada diğer tarafa verdikleri zararı gidermekle yükümlüdür. Şirketin müşteriye sunduğu yazılım altyapısı, muhasebe hizmeti, tasarım hizmeti veya üretim sistemi; çalışan tarafından kurulan lisanssız yazılıma dayanıyorsa, müşteriyle olan sözleşmesel ilişkilerde de şirketin “çalışan yaptı” savunması sınırlı etki doğurur. Bu, özellikle SaaS, dış kaynak muhasebe, mühendislik çizim, mimarlık, üretim otomasyonu ve e-ticaret altyapılarında çok önemlidir. Çünkü lisanssız sistem yalnızca hak sahibine karşı değil, müşterilere karşı da performans ve uyum riski yaratır.

Şirket eski çalışana rücu edebilir mi?

Kural olarak evet, fakat otomatik değil. Şirket, hak sahibine ödeme yapmak, uzlaşma bedeli ödemek, tazminat karşılamak, sistem dönüşüm maliyetine katlanmak veya müşteri zararlarını gidermek zorunda kalırsa, bunların oluşumunda eski çalışanın kusuru ve hukuka aykırı davranışı varsa ona rücu etmeyi gündeme getirebilir. TBK m.49, kusurlu ve hukuka aykırı fiille başkasına zarar veren kişinin zararı gidermekle yükümlü olduğunu söyler. TBK m.112 ise borç gereği gibi ifa edilmezse borçlunun, kusursuzluğunu ispat etmedikçe alacaklının zararını gidermekle yükümlü olduğunu düzenler. Eğer çalışan iş sözleşmesi, görev tanımı, şirket politikaları veya açık talimatlara rağmen lisanssız sistem kurduysa, şirket içi zarar bakımından bu maddeler rücu tartışmasının temelini oluşturabilir.

Ancak rücu dosyalarında işverenin kendi kusuru da mutlaka değerlendirilir. Şirketin yıllarca sistemi denetlemeden kullanmış olması, lisans belgelerini hiç istememesi, satın alma-IT koordinasyonunu kurmaması, ayrılışta teslim tutanağı almaması ve risk ortaya çıktıktan sonra kullanımı sürdürmesi, eski çalışana yöneltilecek talepleri zayıflatabilir. Yani şirket dışarıya karşı tam ödeme yapmış olsa bile, iç ilişkide eski çalışana dönebilmesi için kendi denetim eksikliğiyle zararın büyümesi arasındaki bağ da mahkemece tartışılacaktır. Pratikte rücu başarısı, “çalışan ağır kusurlu ve işveren makul ölçüde dikkatliydi” tablosu ne kadar net kurulabiliyorsa o kadar artar. Bu değerlendirme TBK m.66’daki kurtuluş kanıtı mantığıyla da uyumludur.

Yönetici ve şirket organlarının sorumluluğu ne zaman devreye girer?

Konu sadece çalışan-işveren ilişkisiyle sınırlı kalmayabilir. Türk Ticaret Kanunu m.369, yönetim kurulu üyeleri ve yönetimle görevli kişilerin görevlerini tedbirli bir yöneticinin özeniyle yerine getirmesini ve şirket menfaatlerini dürüstlük kurallarına uygun gözetmesini ister. TTK m.553 ise kanundan ve esas sözleşmeden doğan yükümlülükleri kusurlarıyla ihlal eden kurucuların, yönetim kurulu üyelerinin, yöneticilerin ve tasfiye memurlarının şirkete, pay sahiplerine ve şirket alacaklılarına karşı sorumlu olacağını düzenler. Bu nedenle lisanssız sistemi kuran kişi bir çalışan olsa bile, yöneticiler riski öğrendikten sonra hareketsiz kalıyor, uyum mekanizması kurmuyor ve şirketi açık ihlal ortamında çalıştırmaya devam ediyorsa, şirket içi sorumluluk tartışması organ düzeyine de sıçrayabilir.

Özellikle yatırım alan, denetimden geçen, halka açılma hazırlığı yapan veya birleşme-devralma sürecine giren şirketlerde yazılım lisans uyumu artık klasik bir “BT ayrıntısı” değildir. Çünkü lisanssız sistemin ayrılan çalışandan miras kalması, tek başına mazeret sayılmaz; yönetimin bunu ne zaman öğrendiği, ne yaptığı ve neden geciktiği sorgulanır. Eğer şirket yönetimi, eski çalışanın kişisel hesabına bağlı lisanslarla kritik süreçleri yürüttüğünü biliyor ve buna rağmen kurumsal lisans temin etmiyorsa, kusur artık bireysel teknik personelden çıkıp yönetsel seviyeye taşınabilir. TTK’daki özen ve sorumluluk rejimi bu noktada önem kazanır.

Cezai sorumluluk doğar mı?

Somut olaya göre evet. FSEK m.71, hak sahibi kişilerin yazılı izni olmaksızın eseri işleyen, çoğaltan, yayan, temsil eden, umuma ileten, hukuka aykırı çoğaltılmış nüshaları ticari amaçla elinde bulunduran veya depolayan kişiler bakımından hapis veya adlî para cezası öngörür. FSEK m.72 ise bilgisayar programlarının hukuka aykırı çoğaltılmasının önüne geçmek amacıyla oluşturulmuş ek programları etkisiz kılmaya yönelik yazılım veya teknik donanımlar bakımından ayrıca ceza tehdidi içerir. Crack, keygen, lisans atlatma modülü, sahte aktivasyon aracı veya koruyucu mekanizmayı kıran script kullanımı, olayın özelliğine göre bu alanı tetikleyebilir.

Burada önemli nokta, ceza sorumluluğunun şahsî olmasıdır. TCK m.20’ye göre ceza sorumluluğu şahsîdir; kimse başkasının fiilinden dolayı sorumlu tutulamaz ve tüzel kişiler hakkında ceza yaptırımı uygulanmaz, ancak kanunun öngördüğü güvenlik tedbirleri saklıdır. Bu yüzden ceza dosyasında sanık kural olarak gerçek kişilerdir: sistemi kuran çalışan, crack aracını kullanan kişi, buna talimat veren yönetici veya bilerek sürdürülmesini sağlayan karar verici olabilir. Ancak şirket ceza almasa da soruşturmanın merkezine oturur; çünkü programın kurulu olduğu cihazlar, sunucular, log kayıtları, aktivasyon verileri ve e-posta zincirleri delil konusu hâline gelir.

Eğer soruşturma aşamasında dijital delil toplanacaksa, CMK m.134 devreye girer. Bu madde, somut delillere dayanan kuvvetli şüphe ve başka surette delil elde edilememesi hâlinde bilgisayar ve bilgisayar programlarında arama, kopyalama ve gerektiğinde elkoyma yapılabileceğini düzenler. Bu da pratikte şu anlama gelir: eski çalışanın kurduğu lisanssız sistem yalnızca bir tazminat meselesi olarak kalmayabilir; savcılık süreci başlaması hâlinde şirket cihazları, lisans sunucuları, yedekler ve kullanıcı kayıtları adli bilişim incelemesine konu olabilir.

İş ilişkisi bittikten sonra ortaya çıkan lisanssız sistemlerde delil nasıl yönetilmelidir?

Bu dosyalarda en büyük hata paniğe kapılıp veri silmektir. Oysa hukuken ve teknik olarak doğru yaklaşım, önce mevcut durumu tespit etmektir. HMK m.199, elektronik ortamdaki verileri belge sayar; dolayısıyla sunucu logları, lisans aktivasyon kayıtları, kurulum tarihleri, şirket içi mesajlar, e-postalar, kullanıcı logları ve yedekler hukuk yargılamasında delil niteliği taşıyabilir. Buna karşılık HMK m.189/2, hukuka aykırı elde edilen delillerin dikkate alınamayacağını düzenler. Bu nedenle şirket, eski çalışanın kişisel alanlarına hukuka aykırı erişerek delil toplamamalı; kendi sistemlerinde mevcut verileri usulüne uygun biçimde korumalıdır.

Delil yönetiminde ilk adım, etkilenen sistemlerin envanterini çıkarmaktır. Hangi cihazlarda hangi program kurulu, lisans kaydı kimin adına, aktivasyon hangi e-posta üzerinden yapılmış, lisans anahtarı sahte mi, tek kullanıcı lisansı çok kullanıcıya mı açılmış, sunucuda crack aracı var mı, kurulum tarihleri çalışanın görev dönemiyle örtüşüyor mu, bunlar hızlıca tespit edilmelidir. İkinci adım, log ve disk imajı gibi kritik verilerin korunmasıdır. Üçüncü adım ise teknik ve hukuki iç incelemenin birlikte yürütülmesidir. Sadece BT departmanının, sadece hukuk biriminin veya sadece dış danışmanın tek başına yaptığı çalışma çoğu zaman eksik kalır. Çünkü hem delil zinciri hem de hukuki nitelendirme aynı anda kurulmalıdır. Bu sonuç HMK’daki delil rejimi ve CMK m.134’ün dijital delile verdiği önemle uyumludur.

KVKK boyutu neden önemlidir?

Çalışanın kurduğu lisanssız sistem çoğu zaman yalnızca telif ihlali yaratmaz; aynı zamanda veri güvenliği riski doğurur. 6698 sayılı Kanun’un 12. maddesine göre veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, kişisel verilerin muhafazasını sağlamak için gerekli teknik ve idari tedbirleri almak zorundadır. Aynı maddede, kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde bu kişilerin de veri güvenliğine ilişkin tedbirler bakımından müşterek sorumluluğu düzenlenmiştir. Eğer ayrılan çalışanın kurduğu lisanssız sistem aynı zamanda müşteri verilerini, çalışan verilerini veya ticari sırları işliyorsa, mesele telif uyuşmazlığını aşıp KVKK riski de üretir.

Özellikle crackli yazılımlar, lisans atlatma araçları ve yetkisiz üçüncü taraf eklentiler çoğu zaman güncelleme alamayan, zararlı kod riski taşıyan veya kontrolsüz veri akışına neden olan yapılardır. Şirket, eski çalışanın kurduğu bu altyapıyı kullanmaya devam ederek veri güvenliği bakımından da kusurlu bir pozisyona düşebilir. Burada kritik olan, sistemin lisanssız olduğunun öğrenildiği andan itibaren şirketin hangi teknik ve idari tedbirleri aldığıdır. Yani olay sadece “eski çalışan bizi kandırdı” çizgisinde okunmaz; veri sorumlusu olarak şirketin kendi güvenlik tedbirleri de ayrıca değerlendirilir.

Şirketler pratikte ne yapmalıdır?

İlk yapılması gereken, sistemi derhal ama kontrollü şekilde hukukî incelemeye almaktır. Şirket, eski çalışanın kurduğu yazılım altyapısını fark ettiğinde hemen lisans envanteri çıkarmalı, aktif kullanım kapsamını tespit etmeli, gerekiyorsa sistemi izole etmeli ve hak sahibiyle temas stratejisini belirlemelidir. Amaç delil karartmak değil, zararı büyütmeden hukuki pozisyonu netleştirmektir. Aynı anda iç raporlama yapılmalı; yönetim, hukuk, BT ve gerekiyorsa dış adli bilişim uzmanı koordineli çalışmalıdır. Bu süreçte “şimdilik devam edelim, sonra bakarız” yaklaşımı en riskli yoldur; çünkü bilinen lisanssız kullanımın sürmesi hem kusuru hem de zararın kapsamını büyütür.

İkinci olarak, eski çalışanla ilgili belgeler toplanmalıdır. Görev tanımı, yazılım kurma yetkisi, teslim tutanakları, e-posta yazışmaları, talimat zinciri, ayrılış sürecindeki beyanlar ve kullanılan hesaplar birlikte incelenmelidir. Burada amaç, sorumluluğu peşinen eski çalışana yıkmak değil; kimin hangi aşamada neyi bildiğini tespit etmektir. Çünkü dava veya soruşturmada asıl belirleyici olan bu bilgi zinciridir. Eğer şirket kendi denetim eksikliğini hiç sorgulamadan doğrudan eski çalışana yönelirse, dış uyuşmazlıkta zayıf kalabilir.

Üçüncü olarak, geleceğe dönük kurumsal önlem alınmalıdır. Şirketlerde yazılım envanteri, lisans matrisi, kurulum yetkisi, çalışan ayrılışında teknik teslim süreci, parola devri, kurumsal hesap politikası ve yazılım uyum denetimi mutlaka standartlaştırılmalıdır. Özellikle kritik sistemlerin kişisel e-posta, kişisel kredi kartı, kişisel abonelik veya tek çalışana bağlı yönetici erişimiyle kurulması yasaklanmalıdır. Eski çalışanın kurduğu lisanssız sistem sorunu çoğu zaman sadece bir kişinin kusurundan değil, kurumsal kontrolsüzlükten büyür. TTK’daki özen borcu ve TBK’daki organizasyon sorumluluğu da zaten bunu esas alır.

Sonuç

Çalışanın işten ayrılırken kurduğu lisanssız yazılım sistemleri, Türk hukukunda tek boyutlu bir sorun değildir. Bilgisayar programları eser olarak korunduğu için FSEK bakımından telif hakkı ihlali, üç kat bedele kadar talep, tazminat ve ceza riski doğabilir. İşçi bakımından TBK m.396’daki özen ve sadakat borcu, işverene karşı sözleşmesel ve haksız fiil sorumluluğunu gündeme getirebilir. İş Kanunu bakımından olay hizmet ilişkisi sürerken öğrenilmişse haklı fesih zemini oluşabilir. Şirket bakımından ise “bunu eski çalışan yaptı” savunması tek başına yeterli değildir; çünkü şirket sistemi kullanmaya devam ediyorsa, denetim yapmadıysa veya riski öğrendiği hâlde gidermediyse kendi dış sorumluluğunu da büyütür.

Bu nedenle doğru hukuki yaklaşım şudur: önce sorumluluğun kaynağını, sonra bilgi ve kusur zincirini, ardından da kullanımın devam edip etmediğini tespit etmek gerekir. Çalışanın ağır kusuru varsa rücu mümkündür; fakat şirketin kendi denetim ve organizasyon eksikliği de hesaba katılır. En güvenli yol, uyuşmazlık çıktıktan sonra savunma üretmek değil; çalışan ayrılış prosedürlerini, lisans envanterini ve teknik teslim mekanizmalarını baştan kurmaktır. Çünkü lisanssız sistemler çoğu zaman çalışanın ayrıldığı gün değil, şirket bunları kurumsal sürecin doğal parçası gibi kullanmaya devam ettiği gün gerçek hukuki krize dönüşür.