Yazılım Lisansı Olmadan Verilen Hizmetlerde Sözleşmesel ve Hukuki Riskler

Yazılım lisansı olmadan verilen hizmetler hangi hukuki riskleri doğurur? Türk hukukunda FSEK, TBK, TTK, KVKK ve ceza hukuku bakımından sözleşmesel, tazminat ve kurumsal sorumluluk sonuçlarını ayrıntılı inceleyen kapsamlı rehber.

Yazılım lisansı olmadan verilen hizmetler, uygulamada çoğu zaman yalnızca “teknik eksiklik” veya “tedarik sorunu” gibi görülür. Oysa mesele bundan çok daha büyüktür. Bir mimarlık ofisinin lisanssız CAD programıyla proje üretmesi, bir muhasebe hizmet sağlayıcısının lisanssız muhasebe yazılımı kullanması, bir ajansın crackli tasarım programıyla müşteri işi teslim etmesi, bir yazılım firmasının lisans hakkı bulunmayan araçlarla kurulum, bakım, geliştirme veya entegrasyon hizmeti sunması; yalnızca hak sahibine karşı telif riski doğurmaz. Aynı fiil, hizmet sözleşmesinin ihlali, ayıplı ifa, tazminat, haksız rekabet, veri güvenliği zafiyeti ve bazı durumlarda ceza soruşturması riskini de beraberinde getirir. Türk hukukunda bilgisayar programları eser olarak korunur ve programın yüklenmesi, çalıştırılması, iletilmesi ve depolanması da hak sahibinin mali hak alanına girer. Bu nedenle “müşteriye hizmet verildi, sonuçta iş teslim edildi” savunması, çoğu dosyada hukuken yeterli değildir.

Konuya en doğru yerden başlamak gerekir: Yazılım lisansı olmadan verilen hizmet, sadece “programı lisanssız kullanmak” değildir. Asıl sorun, hizmetin hukuki temelinin sakatlanmış olmasıdır. Çünkü hizmet sağlayıcı, müşteriye sunduğu üretim veya işleme faaliyetini hukuka uygun bir araç altyapısı üzerinde kurmak zorundadır. Eğer kullanılan yazılım hukuka uygun edinilmemişse, lisans kapsamı aşılmışsa, kullanıcı sayısı veya kullanım amacı lisans sınırlarını ihlal ediyorsa ya da hizmet sunumu lisanssız üçüncü taraf araçlara dayanıyorsa, ortada sadece teknik yöntem sorunu değil, hukuka aykırı bir icra zemini vardır. Bu da hizmetin sözleşmesel niteliğini ve ifanın hukuken “gereği gibi” olup olmadığını doğrudan etkiler. Bu sonuç, FSEK’in bilgisayar programlarını koruyan yapısı ile TBK’nın borcun gereği gibi ifasını esas alan sistemi birlikte okunduğunda ortaya çıkar.

Bilgisayar programlarının hukuki koruması neden bu kadar belirleyici?

5846 sayılı Fikir ve Sanat Eserleri Kanunu, bilgisayar programını tanımlar ve bilgisayar programlarını ilim ve edebiyat eserleri arasında sayar. Kanunun 22. maddesindeki çoğaltma hakkı rejimi ise bilgisayar programının yüklenmesi, görüntülenmesi, çalıştırılması, iletilmesi ve depolanmasını eser sahibinin iznine bağlı alanın parçası olarak kabul eder. Bu nedenle lisanssız yazılım kullanılarak verilen bir hizmette, hukuka aykırılık yalnızca “programın kurulmuş olması” ile sınırlı değildir; o programla müşteri için iş üretilmesi, hizmet sunulması, veri işlenmesi ve sonucun ticari dolaşıma sokulması da mali hak alanına müdahale tartışmasını güçlendirir. Yazılım lisanssızsa, onun üzerinde üretilen hizmetin “meşru hizmet” olduğu varsayımı da zayıflar.

Bu noktada çoğu hizmet sağlayıcı şu yanılgıya düşer: “Ben yazılım satmıyorum, sadece hizmet veriyorum.” Oysa FSEK bakımından sorun, yalnızca yazılım nüshasının satılması değildir. Programın izinsiz işlenmesi, çoğaltılması veya ticari faaliyetin parçası hâline getirilmesi de hak ihlali yaratabilir. Örneğin lisanssız bir tasarım programı kullanılarak hazırlanan marka görselleri, lisanssız mimari yazılımla hazırlanan uygulama projeleri veya lisanssız ERP modülüyle yürütülen danışmanlık hizmeti, iş sonucunun müşteri lehine üretilmiş olmasına rağmen hak sahibinin iznine aykırı kullanım zemini üzerinde kurulmuş olabilir. Bu nedenle yazılım lisansı olmadan hizmet vermek, hukuki bakımdan yalnızca “arka plandaki araç sorunu” değil, hizmetin kendisinin hukuka uygunluğu sorunudur.

Sözleşmesel risk neden doğar?

Türk Borçlar Kanunu m.112’ye göre borç hiç veya gereği gibi ifa edilmezse, borçlu kusursuzluğunu ispat etmedikçe alacaklının zararını gidermekle yükümlüdür. Hizmet sözleşmelerinde bu ilke şu anlama gelir: Hizmet sağlayıcı, müşteriye sadece bir sonuç teslim etmekle değil, sözleşmeye ve hukuka uygun bir ifa gerçekleştirmekle yükümlüdür. Eğer hizmet lisanssız yazılımla verilmişse, müşteri lehine ortaya çıkan sonuç teknik olarak kullanılabilir olsa bile, hizmetin hukuken ayıplı, eksik veya gereği gibi ifa edilmemiş olduğu ileri sürülebilir. Özellikle sözleşmede “mevzuata uygun hizmet”, “hukuka uygun altyapı”, “lisanslı araç kullanımı”, “üçüncü kişi haklarını ihlal etmeyen ifa” veya benzeri güvence kayıtları varsa, hizmet sağlayıcının sözleşmeye aykırılığı daha açık hâle gelir.

Bu çerçevede müşteri yönünden birkaç temel risk başlığı doğar. Birincisi, müşteri kendisine teslim edilen hizmeti kullanırken üçüncü kişilerin telif talepleriyle karşılaşabilir. İkincisi, hizmetin dayandığı yazılım hukuka aykırı olduğu için hizmetin kendisi ticari veya idari denetimlerde tartışmalı hâle gelebilir. Üçüncüsü, müşteri bazı sektörlerde kendi sözleşme taraflarına karşı da temerrüt, garanti ihlali veya uyumsuzluk sorumluluğu altına girebilir. Örneğin bir taşeron proje ofisinden lisanssız yazılımla üretilmiş çizim hizmeti alan ana yüklenici, bu çizimleri yatırımcıya veya idareye sunduğunda zincirleme sözleşmesel risk taşır. Bu nedenle lisanssız yazılımla hizmet verilmesi, sadece hizmet sağlayıcının değil, müşterinin de ticari alanını bozan bir sözleşme kusuru hâline dönüşebilir.

Hizmet bedeli, iade ve tazminat boyutu

Hizmet lisanssız yazılım kullanılarak verilmişse, müşteri çoğu olayda “sözleşmeye uygun ifa gerçekleşmedi” savunusuna dayanabilir. Bu durumda hizmet bedelinin tamamının veya bir kısmının geri istenmesi, uğranılan zararın talep edilmesi, sözleşmenin feshi, eksik ifanın giderilmesi veya hizmetin lisanslı altyapı ile yeniden sunulmasının istenmesi gündeme gelebilir. Kanun tek tek “lisanssız yazılımla verilen hizmette şu sonuç olur” demese de TBK m.112’nin genel borca aykırılık rejimi ile haksız fiil hükümleri, bu sonuçların zeminini oluşturur. Özellikle müşteri, lisanssız kullanım nedeniyle üçüncü kişilere ödeme yapmak zorunda kalmışsa, sistemini yeniden kurmuşsa veya kendi müşterilerine karşı sorumluluk altına girmişse, hizmet sağlayıcıya yönelteceği tazminat talepleri büyüyebilir.

TBK m.49 da burada ayrıca devreye girer. Kusurlu ve hukuka aykırı bir fiille başkasına zarar veren kişi, bu zararı gidermekle yükümlüdür. Hizmet sağlayıcı, lisanssız yazılım kullandığını biliyor veya makul profesyonel özenle bilmesi gerekiyorken buna rağmen bu araçla hizmet sunuyorsa, sadece sözleşmeye aykırılık değil, somut olaya göre haksız fiil sorumluluğu da tartışılabilir. Özellikle lisanssız kullanım müşteriden gizlenmişse, sahte lisans görüntüsü verilmişse veya müşteri açıkça yanıltılmışsa, kusur unsuru çok daha belirgin hâle gelir. Böyle dosyalarda “işi teslim ettim, müşteri kullandı” savunması, borca aykırılık ve zarar ilişkisini ortadan kaldırmaz.

Dış kaynak ve yardımcı kişi kullanımı şirketi kurtarır mı?

Çoğu zaman hayır. TBK m.116’ya göre borçlu, borcun ifasını veya borç ilişkisinden doğan hakkın kullanılmasını yardımcı kişilere bırakmış olsa bile, onların işi yürüttükleri sırada diğer tarafa verdikleri zararı gidermekle yükümlüdür. Bu hüküm, ajanslar, freelance ekipler, dış kaynak yazılımcılar, entegratörler, danışmanlar ve alt yükleniciler bakımından son derece önemlidir. Şirket, müşteriye hizmet verirken işi dışarıdaki bir ekibe gördürmüş olabilir; fakat bu, müşteriye karşı borcun asıl sahibini her zaman kurtarmaz. Dış ekip lisanssız yazılım kullanmış, uygunsuz araçlarla çıktı üretmiş veya lisans sınırını aşan bir sistem kurmuşsa, müşteri çoğu olayda doğrudan sözleşme tarafı olan şirkete yönelebilir. Şirketin daha sonra dış ekibe rücu etmesi ise ayrı bir iç ilişki meselesidir.

Bu nedenle hizmet sözleşmelerinde dış kaynak kullanımı, hukuki risk transferi değil, çoğu zaman risk paylaşımıdır. Şirket sözleşmeye “alt yüklenici tüm lisanslardan sorumludur” diye yazabilir; ancak müşteri nezdinde bu kayıt tek başına tam koruma sağlamaz. Çünkü müşteri açısından önemli olan, kendisine sunulan hizmetin hukuka uygun olup olmadığıdır. Dış kaynak kullanımının hukuki güvence yaratabilmesi için sadece sorumluluk kaydı değil, denetim hakkı, lisans belgesi sunma zorunluluğu, üçüncü taraf araç envanteri, veri işleme sınırları ve tazmin/ibra mekanizmalarının da açıkça düzenlenmesi gerekir. Bu sonuç, TBK m.112 ve m.116’nın birlikte okunmasından doğan doğal bir sözleşme hukuku sonucudur.

Haksız rekabet riski nasıl doğar?

Türk Ticaret Kanunu m.54’e göre haksız rekabet hükümlerinin amacı, dürüst ve bozulmamış rekabetin sağlanmasıdır. TTK m.55 ise aldatıcı veya dürüstlük kuralına aykırı ticari uygulamaları haksız rekabet sayar ve özellikle “iş şartlarına uymamak” kategorisini açıkça düzenler. Yazılım lisansı olmadan verilen hizmetler, maliyet avantajı bakımından burada kritik hâle gelir. Çünkü lisans bedeli, bakım bedeli, güncelleme maliyeti ve yasal uyum yükünü taşımayan hizmet sağlayıcı, aynı hizmeti lisanslı çalışan rakibinden daha düşük maliyetle sunabilir. Bu avantaj, verimlilikten değil hukuka aykırı maliyet kaçınmasından doğuyorsa, haksız rekabet tartışması güçlenir.

Sorun yalnızca fiyat avantajı da değildir. Lisanssız araç kullanan hizmet sağlayıcı müşteriye “tam yasal altyapı”, “kurumsal uyum”, “güvenli sistem” veya “lisanslı çözüm” izlenimi veriyorsa, TTK m.55’teki aldatıcı açıklama mantığı da devreye girebilir. Böylece aynı fiil hem FSEK bakımından telif ihlali hem de TTK bakımından haksız rekabet niteliği taşıyabilir. Özellikle tasarım, yazılım geliştirme, ERP danışmanlığı, mimarlık, üretim planlama ve dijital ajans hizmetleri gibi sektörlerde bu risk oldukça yüksektir; çünkü yazılım doğrudan hizmet maliyetinin ve çıktısının bir parçasıdır.

Ticari kayıt düzeni ve denetim etkisi

TTK m.64, tacirin ticari defterlerini ve işletmeyle ilgili belgelerini üçüncü kişi uzmanlara makul sürede fikir verecek şekilde tutmasını ve saklamasını zorunlu kılar. Hizmet sağlayıcı şirket, işlerini lisanssız yazılım üzerinde yürütüyor, kullandığı araçların lisans durumunu belgeleyemiyor veya yazılım envanterini izleyemiyorsa, bu durum sadece hak sahibiyle yaşanacak telif ihtilafını değil, şirketin kendi denetlenebilirliğini de zedeler. Özellikle muhasebe, tasarım, proje, ERP, veri işleme ve raporlama hizmetlerinde kullanılan yazılım altyapısının hukuki durumu; iç denetim, due diligence, yatırım incelemesi ve bağımsız denetim süreçlerinde kurumsal uyum sorunu olarak görülebilir.

Bu başlık müşteri açısından da önemlidir. Hizmet alan şirket, dışarıdan aldığı hizmetin lisanssız araçlarla üretildiğini öğrenirse, kendi ticari defter ve belge sisteminin bir kısmının tartışmalı bir altyapıya dayandığını fark edebilir. Özellikle dış kaynak muhasebe, bordro, ERP destek, veri analizi ve proje yönetimi hizmetlerinde bu durum zincirleme risk doğurur. Çünkü hizmet alan tarafın kendi kayıtlarının güvenilirliği dahi tartışmaya açılabilir. Bu nedenle yazılım lisansı olmadan hizmet sunmak, salt iç işleyiş kusuru değil; ticari güven ve kurumsal doğrulama sorunu da yaratır.

Yöneticilerin ve şirket organlarının sorumluluğu

TTK m.369, yönetim kurulu üyeleri ve yönetimle görevli üçüncü kişilerin görevlerini tedbirli bir yöneticinin özeniyle yerine getirmesini ve şirket menfaatlerini dürüstlük kurallarına göre gözetmesini zorunlu kılar. TTK m.553 ise kanundan ve esas sözleşmeden doğan yükümlülüklerini kusurlarıyla ihlal eden yöneticilerin şirkete, pay sahiplerine ve alacaklılara karşı sorumlu olabileceğini düzenler. Yazılım lisansı olmadan sistematik biçimde hizmet veriliyorsa ve bu durum şirket politikası hâline gelmişse, mesele sıradan bir çalışan hatasından çıkıp yönetsel özen eksikliğine dönüşebilir. Özellikle üst yönetim lisans maliyetinden kaçınmak için bu modeli teşvik etmişse veya açık uyarılara rağmen hukuka aykırı kullanımı sürdürmüşse, iç sorumluluk tartışması çok daha ağırlaşır.

Bu nedenle yöneticiler açısından en büyük yanılgı, lisans konusunu “BT işi” veya “ajans meselesi” gibi görmektir. Hizmet satışının dayandığı araç altyapısı, hukukî uyum ve kurumsal risk yönetiminin bir parçasıdır. Yöneticinin sorumluluğu çoğu zaman yazılımı bizzat kurmuş olmasından değil; denetim sistemi kurmamasından, raporlama mekanizmasını işletmemesinden ve hukuka aykırı modeli bilerek sürdürmesinden doğar. Bu da TTK’nın özen ve kurumsal yönetim mantığıyla tam uyumludur.

KVKK ve veri güvenliği neden ayrıca gündeme gelir?

Hizmet lisanssız yazılımla veriliyorsa ve bu hizmet sırasında kişisel veri işleniyorsa, KVKK boyutu mutlaka düşünülmelidir. KVKK m.10 veri sorumlusuna aydınlatma yükümlülüğü, m.12 ise kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önleme, muhafazayı sağlama ve gerekli teknik-idari tedbirleri alma yükümlülüğü yükler. Kurulun açıklamalarında da veri sorumlusu ile veri işleyen arasındaki ayrım ve veri sorumlusunun denetim yükümlülüğü açık şekilde vurgulanmaktadır. Lisanssız, güncellemesiz, destek almayan veya crackli yazılımlar veri güvenliği zaafı doğuruyorsa, hizmet sağlayıcı yalnızca telif hukuku değil, veri koruma hukuku bakımından da risk yaratır.

Bu risk özellikle dış kaynak muhasebe, bordro, CRM yönetimi, ERP destek, tasarım ajansları, insan kaynakları yazılımı kullanan danışmanlar ve e-ticaret altyapısı işleten hizmet sağlayıcılar açısından ağırdır. Çünkü bu şirketler çoğu zaman müşteri verisi, çalışan verisi, cari hesap bilgisi, kimlik verisi veya finansal veri işler. Eğer kullanılan yazılım lisanssız olduğu için güvenlik güncellemesi alamıyor, yetkisiz erişim yaratıyor veya veri sızıntısına yol açıyorsa, hizmet sağlayıcının müşteriye karşı sözleşmesel sorumluluğu ile KVKK kaynaklı veri güvenliği sorumluluğu iç içe geçebilir. KVKK’nın 12. maddesindeki veri ihlali ve güvenlik tedbiri mantığı tam da bu yüzden önemlidir.

Ceza hukuku ve dijital delil boyutu

FSEK m.71 ve 72, hak sahibinin yazılı izni olmaksızın işleme, çoğaltma, dağıtma, umuma iletme ve koruyucu programları etkisiz kılmaya yönelik bazı fiilleri ceza tehdidi altına alır. Bu suçlar bakımından soruşturma ve kovuşturma FSEK m.75’e göre şikâyete bağlıdır. Hizmet sağlayıcının lisanssız yazılım kullanarak müşteri işi üretmesi, özellikle bu kullanım sistematikse ve ticari amaçla sürdürülüyorsa, hak sahibinin şikâyeti üzerine ceza soruşturmasına dönüşebilir. Bu aşamada dosya, yalnızca lisans bedeli değil; cihazlar, sunucular, loglar, aktivasyon kayıtları ve kullanılan crack araçları üzerinden de incelenir.

CMK m.134, başka suretle delil elde etme imkânı yoksa bilgisayar ve bilgisayar programlarında arama yapılmasına, kayıtların kopyalanmasına ve çözülmesine karar verilebileceğini düzenler. Bu nedenle lisanssız yazılımla hizmet verildiği iddiası savcılık aşamasına taşınırsa, şirket cihazları ve hizmet üretim zinciri adli bilişim incelemesine konu olabilir. Bu dosyalarda en büyük hata, log silmek, cihazları gizlice formatlamak veya teslim öncesi sistemleri değiştirmektir. Çünkü dijital delilin bütünlüğü, hem ceza hem de hukuk yargılamasında savunmanın merkezine yerleşir.

Delil ve ispat neden kritik?

HMK m.199, elektronik ortamdaki verileri belge sayar. Bu yüzden lisans sözleşmeleri, fatura ve aktivasyon kayıtları, kullanıcı logları, proje e-postaları, teslim tutanakları, uzak erişim kayıtları ve hizmetin hangi yazılım üzerinden verildiğini gösteren sistem çıktıları hukuk yargılamasında son derece önemlidir. Yazılım lisansı olmadan verilen hizmetlerde ispat sorunu genellikle “yazılım gerçekten lisanssız mıydı?” sorusundan ibaret değildir; “hizmet hangi kapsamda verildi, müşteri bunu biliyor muydu, şirket hangi güvenceyi verdi, lisanssız kullanım hizmetin sonucunu nasıl etkiledi?” soruları da belirleyicidir. Bu nedenle teknik kayıt yönetimi, böyle dosyalarda neredeyse sözleşme kadar önemlidir.

Şirketler çoğu zaman sadece sözleşmeye güvenip teknik iz bırakmaz. Oysa lisanssız yazılım kullanıldığı iddiasıyla karşılaşıldığında, savunmayı ayakta tutan şey çoğu kez belge zinciridir. Kimin hangi tarihte hangi yazılımı kurduğu, lisansın hangi şirkete ait olduğu, hizmetin hangi ortamda üretildiği, müşteri verisinin nereye aktarıldığı ve lisansın hangi kapsamı karşıladığı gibi ayrıntılar ispat olmadan savunulamaz. HMK’nın elektronik veriyi belge kabul etmesi, bu dosyaların neden salt sözlü beyanla yürütülemeyeceğini açıkça gösterir.

Sözleşmelerde neye dikkat edilmeli?

Bu tür riskleri azaltmanın yolu, yalnızca “tüm lisanslar yükleniciye aittir” yazmak değildir. Hizmet sözleşmesinde kullanılan tüm yazılımların hukuka uygun lisanslı olacağı, üçüncü kişi haklarının ihlal edilmeyeceği, lisans belgelerinin talep halinde sunulacağı, alt yüklenici kullanımının önceden bildirileceği, veri işleme varsa KVKK yükümlülüklerinin yerine getirileceği, müşterinin denetim hakkının bulunduğu ve ihlal halinde tazmin/ibra mekanizmasının nasıl işleyeceği açıkça düzenlenmelidir. Bu tür kayıtlar, TBK’daki borca aykırılık rejimiyle uyumludur ve sonradan kusur ile risk dağılımının tespitini kolaylaştırır.

Özellikle tasarım, mimarlık, mühendislik, ERP danışmanlığı, dijital pazarlama, bordro hizmetleri ve yazılım geliştirme sözleşmelerinde kullanılan araçlar sözleşmenin “arka planı” gibi görülmemelidir. Çünkü bu araçlar çoğu zaman hizmetin hukuki meşruiyetini belirler. Hizmet sağlayıcı lisanssız altyapı kullanıyorsa, sözleşme sadece ticari değil, telif ve veri güvenliği yönünden de kırılgan hâle gelir. Bu nedenle iyi hazırlanmış bir sözleşme, teknik ekipman listesini değil, hukuka uygun kullanım taahhüdünü merkezine almalıdır.

Sonuç

Yazılım lisansı olmadan verilen hizmetlerde sözleşmesel ve hukuki riskler, sanıldığından çok daha ağırdır. Bilgisayar programları eser olarak korunduğu için lisanssız kullanım FSEK bakımından bedel, tazminat ve bazı hallerde ceza riski doğurur. Hizmet müşteriye teslim edilmiş olsa bile, TBK bakımından borcun gereği gibi ifa edilmediği, müşterinin zarara uğratıldığı ve yardımcı kişiler eliyle yürütülen süreçte şirketin sorumluluğunun devam ettiği ileri sürülebilir. TTK bakımından bu model haksız rekabet ve yönetsel özen sorunu yaratabilir; KVKK bakımından ise veri güvenliği ve denetim yükümlülükleri ayrıca devreye girer.

Bu nedenle doğru soru “hizmet teslim edildi mi?” değildir. Doğru soru şudur: hizmet hangi araçla, hangi lisans zemini üzerinde, kimin sorumluluğunda ve hangi hukukî güvenceyle verildi? Eğer kullanılan yazılım hukuka uygun değilse, hizmetin ticari değeri bulunsa bile hukuki zemini zayıflar. Şirketler açısından en güvenli yol, lisans konusunu teknik detay değil sözleşmesel çekirdek olarak görmek; kullanılan yazılımları, alt yüklenicileri, veri işleme süreçlerini ve denetim haklarını baştan açık şekilde düzenlemektir. Yazılım lisansı olmadan verilen hizmetler, kısa vadede maliyet avantajı gibi görünebilir; fakat orta ve uzun vadede çok daha pahalı bir hukukî dosyaya dönüşme potansiyeli taşır.