Lisanssız Yazılım Kullanımında El Koyma, Arama ve Dijital İnceleme Süreci

 Lisanssız yazılım soruşturmalarında arama, elkoyma ve dijital inceleme nasıl yapılır? Türk hukukunda FSEK, CMK, Anayasa ve KVKK çerçevesinde şirket bilgisayarları, sunucular, ev-ofis cihazları ve dijital deliller üzerindeki süreci anlatan kapsamlı rehber.

Lisanssız yazılım kullanımı, uygulamada çoğu zaman “telif ihlali” başlığı altında konuşulur; ancak dosya savcılık veya kolluk aşamasına taşındığında mesele artık yalnızca lisans bedeli tartışması olmaktan çıkar. Bu noktada arama, elkoyma, dijital kopyalama, log incelemesi, cihaz iadesi, yedekleme, kişisel veri sınırları ve delilin hukuka uygun elde edilmesi gibi ceza muhakemesi başlıkları devreye girer. Türk hukukunda bilgisayar programları eser olarak korunur; bilgisayar programı kanunda tanımlanmış, bilgisayar programları ilim ve edebiyat eseri sayılmış ve programın yüklenmesi, görüntülenmesi, çalıştırılması, iletilmesi ve depolanması da eser sahibinin çoğaltma hakkı alanına bağlanmıştır. Bu nedenle şirket bilgisayarında veya sunucuda lisanssız yazılım bulunduğu iddiası, yalnızca sözleşmesel bir anlaşmazlık değil, belirli koşullarda ceza soruşturmasına konu olabilecek bir fikrî hak ihlali niteliği de taşıyabilir.

Bu başlıkta en kritik hata, lisanssız yazılım dosyalarında “her ihbarda otomatik arama yapılır” ya da “kolluk geldiğinde her şeyi sınırsız inceleyebilir” gibi iki uç varsayımdan birine savrulmaktır. Türk hukukunda arama ve elkoyma, doğrudan Anayasa’nın özel hayat, konut dokunulmazlığı, haberleşme gizliliği ve hukuka aykırı delil yasağı çerçevesi içinde değerlendirilir. Anayasa’ya göre özel kâğıtlar ve eşyalar hâkim kararı olmadan kural olarak aranamaz ve bunlara el konulamaz; konuta girilemez, haberleşmenin gizliliğine dokunulamaz ve kanuna aykırı elde edilmiş bulgular delil olarak kabul edilemez. Bu nedenle lisanssız yazılım şüphesi, güçlü bile olsa, usulsüz bir arama veya ölçüsüz dijital inceleme için açık çek vermez.

Süreç çoğu zaman nasıl başlar?

Lisanssız yazılım kullanımına ilişkin ceza boyutu çoğu olayda hak sahibinin veya yetkili meslek birliğinin şikâyetiyle görünür hâle gelir. Güncel FSEK metnine göre 71 ve 72. maddelerdeki suçlar bakımından soruşturma ve kovuşturma şikâyete bağlıdır; üstelik şikâyetin geçerli sayılabilmesi için hak sahiplerinin veya üyesi oldukları meslek birliklerinin haklarını kanıtlayan belge ve diğer delilleri Cumhuriyet başsavcılığına sunmaları gerekir. Bu belge ve deliller şikâyet süresi içinde verilmezse kovuşturmaya yer olmadığı kararı verilir. Aynı hüküm, şikâyet üzerine Cumhuriyet savcısının suç konusu eşya bakımından CMK hükümlerine göre elkoyma tedbirine ilişkin işlemleri yapacağını ve gerekli görürse hukuka aykırı çoğaltıldığı iddia edilen eserlerin çoğaltılmasıyla sınırlı olarak faaliyeti durdurabileceğini; bu kararın da yirmi dört saat içinde hâkim onayına sunulacağını düzenler. Bu çerçevede lisanssız yazılım dosyalarının önemli bir kısmı, doğrudan savcılığa sunulan lisans belgeleri, denetim kayıtları, seri numaraları, log çıktıları veya ekran görüntüleriyle başlar.

FSEK’in ceza hükümleri de soruşturmanın hukuki temelini gösterir. Güncel metne göre hak sahibinin yazılı izni olmaksızın bir eseri işlemek, temsil etmek, çoğaltmak, değiştirmek, dağıtmak, umuma iletmek, yayımlamak ya da hukuka aykırı çoğaltılmış eserleri ticari amaçla satın almak, ithal veya ihraç etmek, kişisel kullanım amacı dışında elinde bulundurmak veya depolamak ceza tehdidi altında düzenlenmiştir. Ayrıca bir bilgisayar programının hukuka aykırı çoğaltılmasını önlemek amacıyla oluşturulmuş koruyucu programları etkisiz kılmaya yönelik program veya teknik donanımları üretmek, satışa arz etmek, satmak veya kişisel kullanım amacı dışında elde bulundurmak da ayrıca yaptırıma bağlanmıştır. Bu nedenle crack, keygen, lisans atlatma aracı veya sahte aktivasyon altyapısı içeren dosyalar, soruşturma eşiğini daha hızlı aşabilir.

Arama kararı hangi şartlarda verilir?

Ceza Muhakemesi Kanunu’na göre şüphelinin veya sanığın üstü, eşyası, konutu, işyeri veya ona ait diğer yerler; yakalanabileceği ya da suç delillerinin elde edilebileceği hususunda makul şüphe varsa aranabilir. Başka kişilerin üstü, eşyası, konutu veya işyeri bakımından da arama mümkündür; ancak bu durumda aranan kişinin veya suç delillerinin belirtilen yerde bulunduğunu kabul ettirebilecek olayların varlığı gerekir. Lisanssız yazılım dosyalarında bu, örneğin şirket merkezindeki sunucu odası, çalışanların kullandığı iş istasyonları, dış kaynak hizmet sağlayıcının ofisi veya ev-ofis cihazları bakımından farklı yoğunlukta somut veri aranacağı anlamına gelir. Salt soyut ihbar ile ağır dijital müdahale arasında doğrudan bir otomatiklik yoktur.

Arama kararı kural olarak hâkim tarafından verilir. Gecikmesinde sakınca bulunan hâllerde Cumhuriyet savcısının yazılı emriyle kolluk arama yapabilir; ancak karar veya emirde aramanın nedenini oluşturan fiil, aranacak kişi veya yer ve kararın geçerli olacağı süre açıkça gösterilmelidir. Ayrıca savcı hazır olmaksızın konut, işyeri veya diğer kapalı yerlerde arama yapılacaksa o yer ihtiyar heyetinden veya komşulardan iki kişi bulundurulur. Aranacak yerin sahibi veya zilyedi de aramada hazır bulunabilir; yoksa temsilcisi, ayırt etme gücüne sahip yakınlarından biri veya komşusu hazır bulundurulur. Bu kurallar, özellikle şirket yerleşkelerinde yapılan aramaların “sessiz ve kayıtsız” bir işlem değil, biçim şartlarına bağlı bir muhakeme tedbiri olduğunu gösterir.

Gece vakti arama bakımından da özel bir sınır vardır. CMK m.118’e göre konutta, işyerinde veya diğer kapalı yerlerde gece araması yapılamaz; yalnızca suçüstü, gecikmesinde sakınca bulunan hâller veya firar eden yakalanmış/tutuklu kişinin tekrar yakalanması gibi istisnai durumlarda bu yasak uygulanmaz. Bu kural, lisanssız yazılım dosyalarında şirket ofisleri veya ev-ofis çalışma alanları bakımından özellikle önemlidir. Uygulamada “dijital delil silinebilir” endişesi her zaman otomatik gece araması gerekçesi yaratmaz; somut olayın gerçekten gecikmeye tahammülü olmayan bir niteliği bulunmalıdır. Bu, doğrudan madde metninden çıkan usulî sonuçtur.

Elkoyma ne zaman mümkün olur?

Elkoyma, aramadan ayrı ama onunla bağlantılı bir koruma tedbiridir. CMK’ya göre ispat aracı olarak yararlı görülen veya müsadereye konu olabilecek eşya ve malvarlığı değerleri muhafaza altına alınır; kişi bunları rızasıyla teslim etmezse elkoyma uygulanabilir. Elkoyma da kural olarak hâkim kararıyla yapılır; gecikmesinde sakınca bulunan hâllerde savcının yazılı emriyle kolluk elkoyma işlemini gerçekleştirebilir. Savcının yazılı emri yirmi dört saat içinde hâkim onayına sunulur; hâkim de elkoymadan itibaren kırk sekiz saat içinde karar vermezse tedbir kendiliğinden kalkar. Eşyasına elkonulan kişi, hâkimden bu konuda her zaman karar verilmesini de isteyebilir. Bu çerçevede lisanssız yazılım soruşturmasında yalnızca yazılımın yüklü olduğu bilgisayar değil; lisans anahtarlarını, crack araçlarını, harici diskleri, sunucu imajlarını veya aktivasyon kayıtlarını içeren materyaller de tedbirin konusu olabilir.

Anayasa da elkoyma tedbirinin yargısal güvencelerini ayrıca vurgular. Özel kâğıtlar ve eşyalar bakımından hâkim kararı esastır; gecikmesinde sakınca bulunan hâllerde yetkili merciin yazılı emriyle elkoyma yapılabilse de bu karar yirmi dört saat içinde hâkim onayına sunulmalı, hâkim de kırk sekiz saat içinde karar vermelidir; aksi hâlde elkoyma kendiliğinden kalkar. Konut dokunulmazlığı ve haberleşmenin gizliliği bakımından da benzer süreli yargısal kontrol mekanizması öngörülmüştür. Bu anayasal çerçeve, lisanssız yazılım soruşturmasında elkoymanın “teknik zorunluluk” gerekçesiyle sınırsızlaştırılamayacağını açıkça gösterir.

Dijital inceleme sürecinin kalbi: CMK 134

Lisanssız yazılım dosyalarında asıl belirleyici hüküm çoğu zaman CMK m.134’tür. Bu madde, bir suç dolayısıyla yapılan soruşturmada, başka surette delil elde etme imkânı yoksa, savcının istemi üzerine şüphelinin kullandığı bilgisayar ve bilgisayar programları ile bilgisayar kütüklerinde arama yapılmasına, bilgisayar kayıtlarından kopya çıkarılmasına ve bu kayıtların çözülerek metin hâline getirilmesine hâkim tarafından karar verileceğini düzenler. Buradaki iki eşik özellikle önemlidir: birincisi madde metni soruşturma evresini hedef alır; ikincisi ise dijital arama ve kopyalama için “başka surette delil elde etme imkânının bulunmaması” şartını arar. Yani şirket bilgisayarında korsan program iddiası varsa bile, kolluğun ilk refleksi her zaman doğrudan tüm sistemin imajını almak değildir; daha hafif araçlarla sonuca ulaşılıp ulaşılamayacağı da önem taşır.

Aynı maddenin ikinci fıkrası, şifre çözülemiyorsa veya gizlenmiş bilgilere ulaşılamıyorsa cihazlara elkoyma imkânı verir. Ancak bu elkoyma kalıcı bir müsadere mantığıyla değil, şifrenin çözülmesi ve gerekli kopyaların alınması amacıyla düzenlenmiştir; madde metni, çözüm ve kopyalama tamamlanınca elkonulan cihazların gecikmeksizin iade edilmesini emreder. Bu ayrım çok önemlidir. Çünkü uygulamada şirketler çoğu zaman “sunuculara el konulursa aylarca geri alamayız” endişesi taşır; oysa CMK 134’ün sistematiği, dijital delile erişim sağlandıktan sonra cihaz iadesini esas alır. Elbette somut olayın büyüklüğü, sistem mimarisi ve inceleme yükü sürenin pratikte uzamasına neden olabilir; ancak madde metnindeki kural iadenin geciktirilmemesidir.

CMK 134’ün en önemli güvencelerinden biri, dijital delilin tek taraflı ve iz bırakmadan alınmaması için yedekleme zorunluluğudur. Kanuna göre bilgisayar veya bilgisayar kütüklerine elkoyma işlemi sırasında sistemdeki bütün verilerin yedeklemesi yapılır. İlgili kişi isterse bu yedekten bir kopya kendisine veya vekiline verilir ve bu husus tutanağa geçirilerek imza altına alınır. Ayrıca elkoyma olmaksızın da sistemdeki verilerin tamamı veya bir kısmı kopyalanabilir; kopyalanan veriler kâğıda yazdırılarak bu husus tutanağa kaydedilir ve ilgililerce imzalanır. Bu hükümler, adli bilişim sürecinde zincirin izlenebilir olmasını ve savunma tarafının “hangi veri alındı, ne kopyalandı, neye müdahale edildi” sorularını cevaplayabilmesini sağlar.

Buradan çıkan pratik sonuç şudur: lisanssız yazılım soruşturmalarında dijital inceleme, salt cihazı götürme işlemi değildir. Kanun; arama, kopyalama, çözümleme, yedekleme, kopya verme ve tutanak altına alma süreçlerini birlikte kurar. Bu nedenle şirketler açısından en doğru yaklaşım, kolluk geldiğinde “cihazı açmayız, gösteremeyiz” çizgisine gitmek de değildir; tüm sistemi savunmasız bırakmak da değildir. Esas olan, karara dayalı ve ölçülü müdahalenin hangi veri kümesine yöneldiğini anlamak, tutanakları dikkatle izlemek ve mümkünse teknik ile hukuk ekiplerinin eşgüdüm içinde hareket etmesini sağlamaktır. Bu paragraftaki son cümle, doğrudan CMK 134’teki güvencelerin uygulamadaki mantığına dayanan bir çıkarımdır.

E-posta, mesajlaşma ve iletişim kayıtları ayrı bir alan mıdır?

Evet. Uygulamada en sık karıştırılan noktalardan biri, şirket bilgisayarında veya sunucusunda bulunan verilerin kopyalanmasıyla haberleşmenin denetlenmesi tedbirinin aynı şey sanılmasıdır. Oysa Anayasa, haberleşmenin gizliliğini ayrıca korur; haberleşmeye müdahale kural olarak hâkim kararına bağlıdır. CMK m.135 de telekomünikasyon yoluyla iletişimin tespiti, dinlenmesi ve kayda alınmasını ayrı bir tedbir olarak düzenler; bu tedbir için suç işlendiğine ilişkin kuvvetli şüphe ve başka suretle delil elde edilememesi gerekir, ayrıca kanunda tek tek sayılan suçlarla sınırlı uygulanır. Maddede sayılan katalog suçlar arasında FSEK 71-72 suçları yer almamaktadır. Bu nedenle sırf lisanssız yazılım soruşturması yürütülüyor diye telekomünikasyonun denetlenmesi tedbirine otomatik başvurulamaz; şirket sunucusundaki mevcut e-posta arşivlerinin adli kopyalanması ile canlı iletişimin dinlenmesi aynı hukuki rejim değildir.

Bu ayrım, özellikle kurumsal e-posta ve mesajlaşma araçları bakımından hayati önemdedir. Bir dizüstü bilgisayarın imajında yer alan geçmiş e-posta verisi veya sunucudaki arşivlenmiş yazışma, CMK 134 incelemesinde teknik olarak ele geçebilir; fakat canlı iletişimin izlenmesi, yönlendirilmesi veya gerçek zamanlı takibi daha farklı ve daha sıkı güvencelere tabidir. Bu nedenle soruşturma sırasında “zaten bilgisayarlarımız alındı, artık tüm haberleşme sınırsızca incelenir” varsayımı da, “e-postaya hiç dokunulamaz” iddiası da doğru değildir. Doğru yaklaşım, verinin elde ediliş biçimini ve hangi tedbir rejimi altında toplandığını ayırmaktır. Bu paragraf, Anayasa m.22 ile CMK 134 ve 135’in birlikte okunmasından çıkan hukuki sonuçtur.

Kişisel veriler ve şirket içi paralel inceleme

Kamu makamlarının yürüttüğü ceza soruşturması ayrı, şirketin kendi iç uyum incelemesi ayrıdır. Şirket, savcılık sürecinden bağımsız olarak kendi sistemlerinde hangi yazılımların kurulu olduğunu, kimin hangi lisans anahtarını kullandığını, kullanıcı loglarını, e-posta uyarılarını veya cihaz envanterini incelerken KVKK’yı da gözetmek zorundadır. KVKK m.10 veri sorumlusuna aydınlatma yükümlülüğü yükler; m.12 ise kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önleme, verileri muhafaza etme, gerekli teknik-idari tedbirleri alma ve gerekli denetimleri yapma zorunluluğunu düzenler. Aynı maddede, kişisel verileri veri sorumlusu adına işleyen üçüncü kişilerle müşterek sorumluluk ve görevden ayrıldıktan sonra da devam eden sır saklama yükümlülüğü de yer alır. Bu nedenle şirket, lisanssız yazılım şüphesini araştırırken ölçüsüz ve amaç dışı bir “genel gözetim” mekanizması kurmamalı; incelemeyi soruşturulan olayla bağlantılı ve orantılı tutmalıdır.

Buradaki denge önemlidir. Bir yandan şirketin delil koruma ve uyum yükümlülüğü vardır; diğer yandan inceleme sırasında çalışanların, yöneticilerin veya müşterilerin kişisel verileri gereksiz yere açığa çıkarılmamalıdır. Örneğin lisans sunucusu loglarının, aktivasyon e-postalarının veya cihaz listelerinin toplanması çoğu zaman meşru bir iç inceleme adımıdır; ancak bunun kapsamı, amacı ve erişim yetkisi önceden belirlenmemişse, sonradan başka bir uyum sorunu doğabilir. Bu paragraf, KVKK m.10 ve m.12’nin lisans uyumu gibi şirket içi denetim süreçlerine uygulanmasının doğal sonucudur.

Sivil hukuk yolu ve ihtiyati tedbir boyutu

Lisanssız yazılım dosyaları her zaman önce veya yalnızca ceza soruşturmasıyla ilerlemez. FSEK m.76 ve 77, hukuk mahkemesi tarafındaki koruma yollarını da güçlendirir. Güncel metne göre FSEK kapsamındaki hukuk davalarında mahkeme, davacının iddiasının doğruluğu hakkında kuvvetli kanaat oluşturmaya yetecek delil sunulması hâlinde, eseri kullananlardan gerekli izin ve yetkileri aldıklarına dair belgeleri veya yararlanılan eserlerin listesini isteyebilir; bu belge veya listelerin sunulamaması haksız kullanıma karine teşkil eder. Ayrıca esaslı zarar, ani tehlike veya emrivakilerin önlenmesi için hukuk mahkemesi davadan önce veya sonra ihtiyati tedbir kararı verebilir; işin yapıldığı yerin kapatılması/açılması, belirli bir fiilin yapılması veya yapılmaması ve çoğaltılmış nüshaların ya da çoğaltma araçlarının muhafaza altına alınması gibi tedbirler alınabilir. Bu nedenle lisanssız yazılım dosyasında ceza soruşturması başlamasa bile, hukuk mahkemesi ekseninde çok hızlı ve operasyonel etkisi yüksek tedbirlerle karşılaşmak mümkündür.

Bu başlık pratiğe şu şekilde yansır: hak sahibi bazen savcılığa şikâyet etmek yerine veya bununla birlikte, önce hukuk mahkemesinde ihtiyati tedbir yoluna gider. Şirket açısından risk bu durumda da küçümsenmemelidir; çünkü sunucu odasının kapatılması, belirli yazılımların kullanımının durdurulması, kopyaların muhafaza altına alınması veya lisans belgelerinin mahkemeye sunulmasının istenmesi, ticari faaliyeti doğrudan etkileyebilir. Bu paragraftaki sonuç, FSEK m.76 ve 77’nin şirket operasyonu üzerindeki etkisine dair hukuki bir çıkarımdır.

Şirketler pratikte nasıl hareket etmeli?

Lisanssız yazılım şüphesinde en büyük hata veri silmek, sistemleri gizlice yeniden kurmak veya logları temizlemektir. Çünkü Anayasa açık biçimde kanuna aykırı elde edilmiş bulguların delil olarak kabul edilemeyeceğini söyler; fakat bu ilke, şirketin delili yok etmesini meşrulaştırmaz. Aksine, CMK 134’ün mantığı dijital verinin bütünlüğünü korumak, yedeğini almak ve incelemeyi izlenebilir kılmaktır. Bu yüzden şirketin ilk refleksi “iz bırakmayalım” değil, hangi cihazlarda hangi yazılımın kurulu olduğunu, hangi lisans belgelerinin mevcut olduğunu ve hangi verilerin soruşturma açısından kritik olabileceğini hukuka uygun biçimde tespit etmek olmalıdır. Bu paragraf, Anayasa m.38 ve CMK m.134’ün birlikte yorumundan çıkan uygulama sonucudur.

İkinci olarak, şirket teknik ve hukuki savunmayı birbirinden koparmamalıdır. Arama ve elkoyma kararı geldiğinde kararın kapsamı, süresi, hangi adres veya cihazı kapsadığı, hangi fiil nedeniyle verildiği ve tutanaklara ne geçtiği dikkatle izlenmelidir. Savunma avukatı ile BT ekibinin aynı dili konuşması, “hangi sunucu imajı alındı”, “hangi kullanıcı hesabı incelendi”, “hangi yedek verildi” ve “hangi cihaz ne zaman iade edildi” sorularını netleştirir. Bu, doğrudan CMK 119 ve 134’teki tutanak, kapsam ve kopya güvencelerinin pratik karşılığıdır.

Üçüncü olarak, soruşturma devam ederken lisans ihlalinin sürdürülmesi ayrı bir risk yaratır. FSEK 75, şikâyet üzerine savcının elkoyma işlemlerini başlatabileceğini ve gerektiğinde çoğaltma faaliyetini sınırlı olarak durdurabileceğini söyler; FSEK 77 de hukuk mahkemesinde tedbir yolunu açar. Bu nedenle şirket “nasıl olsa henüz hüküm yok” diyerek tartışmalı yazılımı kullanmaya devam ettiğinde, hem zararı hem de kusur tartışmasını büyütebilir. Bu paragraf, FSEK 75 ve 77’nin soruşturma-uyum ilişkisine dair uygulama sonucudur.

Sonuç

Lisanssız yazılım kullanımında el koyma, arama ve dijital inceleme süreci; Türk hukukunda yalnızca bir teknik operasyon değildir. Süreç, FSEK’teki şikâyet ve hak ihlali rejimiyle başlar; Anayasa’nın özel hayat, konut, haberleşme ve hukuka aykırı delil yasaklarıyla sınırlandırılır; CMK’nın arama, elkoyma ve dijital kopyalama hükümleriyle şekillenir; şirketin kendi iç incelemesinde ise KVKK’nın aydınlatma ve veri güvenliği kurallarıyla dengelenir. Bu nedenle şirket bilgisayarında korsan yazılım bulunduğu iddiası ortaya çıktığında, mesele ne “sadece lisans alalım kapanır” kadar basittir ne de “kolluk her şeye bakabilir” kadar sınırsızdır. Usul, bu tür dosyalarda sonucun neredeyse kendisi kadar önemlidir.

Doğru hukuki yaklaşım, arama ve elkoyma tedbirlerini baştan reddetmek veya sorgusuz kabullenmek değildir. Esas olan; şikâyetin hukuki temelini, kararın kapsamını, dijital incelemenin sınırlarını, iletişim ve kişisel veri ayrımını, tutanak ve kopya güvencelerini ve gerekiyorsa hukuk mahkemesindeki paralel tedbir riskini birlikte görmektir. Lisanssız yazılım dosyalarında en güçlü savunma çoğu zaman “sorun yok” demek değil; süreci usulüne uygun yönetmek, delili bozmadan korumak ve teknik gerçekliği hukuki çerçeveye doğru yerleştirmektir.