Lisanssız Yazılım Kullanımının KVKK ve Veri Güvenliği Riskleri

Lisanssız yazılım kullanımı, çoğu zaman sadece telif hakkı veya lisans bedeli sorunu gibi görülür. Oysa kişisel veri işleyen şirketler bakımından asıl tehlike, bu tür yazılımların veri güvenliği mimarisini zayıflatmasıdır. 6698 sayılı Kişisel Verilerin Korunması Kanunu, veri sorumlusuna kişisel verilerin hukuka aykırı işlenmesini ve erişimini önleme, verilerin muhafazasını sağlama ve gerekli teknik-idari tedbirleri alma yükümlülüğü yükler. Bilgisayar programları da ayrıca 5846 sayılı FSEK kapsamında eser olarak korunur. Bu yüzden lisanssız yazılım kullanımı, tek başına “KVKK’da ayrıca sayılmış bağımsız bir ihlal türü” olmasa bile, veri güvenliği yükümlülüklerinin ihlali, telif sorumluluğu ve bazı durumlarda ceza riskiyle birleşen çok katmanlı bir hukukî problem yaratabilir.

Lisanssız yazılım neden KVKK konusudur?

KVKK’nın 12. maddesi, veri sorumlusunun uygun güvenlik düzeyini sağlamaya yönelik gerekli her türlü teknik ve idari tedbiri almak zorunda olduğunu söyler. Aynı maddede veri sorumlusunun, kişisel veriler kendi adına başka bir gerçek veya tüzel kişi tarafından işlense bile bu tedbirler bakımından müştereken sorumlu olduğu, kendi kurumunda gerekli denetimleri yapmak veya yaptırmak zorunda bulunduğu ve kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde ilgililere ve Kurula bildirim yükümlülüğü bulunduğu düzenlenmiştir. Bu yapı nedeniyle lisanssız yazılım, özellikle güncelleme, erişim kontrolü, loglama, antivirüs, yedekleme ve güvenlik denetimi süreçlerini zaafa uğratıyorsa, doğrudan KVKK riskine dönüşür.

Burada önemli ayrım şudur: Kanunda “lisanssız yazılım kullanmak” diye müstakil bir madde yoktur. Ancak veri sorumlusu, kullandığı bilişim altyapısının güvenliğini kurmak zorundadır. KVKK Rehberi, teknik tedbirler arasında yetki matrisi, yetki kontrolü, erişim logları, kullanıcı hesap yönetimi, ağ güvenliği, uygulama güvenliği, log kayıtları, yedekleme, güvenlik duvarı, güncel antivirüs sistemleri ve anahtar yönetimini açıkça saymaktadır. Lisanssız, sahte anahtarlı, crackli veya destek dışı yazılım kullanımı bu tedbirlerin bir veya birkaçını zayıflatıyorsa, KVKK sorunu telif ihlalinden bağımsız olarak da ortaya çıkar. Bu nedenle lisanssız yazılım, KVKK bakımından çoğu kez “dolaylı ama çok ciddi” bir risk faktörüdür.

KVKK’ya göre veri sorumlusu neyle yükümlüdür?

KVKK’nın 10. maddesine göre veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında ilgili kişilere veri sorumlusunun kimliği, verilerin hangi amaçla işleneceği, kimlere ve hangi amaçla aktarılabileceği, veri toplamanın yöntemi ve hukuki sebebi ile ilgili kişi hakları hakkında bilgi vermek zorundadır. Kurulun Aydınlatma Rehberi de bu yükümlülüğün açık, anlaşılır ve ispatlanabilir biçimde yerine getirilmesi gerektiğini vurgular. Bir şirket müşteri, çalışan veya tedarikçi verisini lisanssız bir CRM, muhasebe, ERP, bordro, tasarım veya destek yazılımı üzerinden işliyorsa, aslında veriyi hangi teknik ortamda, hangi erişim rejimiyle ve hangi güvenlik seviyesinde işlediği de bu aydınlatma ve şeffaflık çerçevesiyle bağlantılı hâle gelir.

KVKK’nın 12. maddesi ise daha ağır bir yük kurar. Veri sorumlusu; hukuka aykırı işlemeyi önlemek, hukuka aykırı erişimi önlemek ve muhafazayı sağlamak için her türlü teknik ve idari tedbiri almak zorundadır. Ayrıca kendi adına veri işleyenlerle müştereken sorumludur ve kurum içinde gerekli denetimleri yapmak veya yaptırmak zorundadır. Bu madde, lisanssız yazılımın neden doğrudan şirket yönetimini ilgilendirdiğini açıkça gösterir. Çünkü lisanssız yazılım çoğu zaman sadece “fazladan kopya” değil; denetimsiz kullanıcı hesabı, belgesiz kurulum, kontrolsüz uzaktan erişim, güncel olmayan bileşen ve belirsiz veri akışı anlamına gelir. Bunların tamamı, madde 12’deki teknik-idari tedbir mantığıyla çatışabilir.

Lisanssız yazılım veri güvenliğini nasıl zayıflatır?

KVKK’nın Kişisel Veri Güvenliği Rehberi, veri sorumlularının bilişim ağlarında hangi yazılım ve servislerin çalıştığını kontrol etmesi, olmaması gereken hareketleri belirlemesi, tüm kullanıcı işlem hareketlerini düzenli olarak loglaması, güvenlik sorunlarını hızla raporlaması ve bilinen zaafiyetlere karşı düzenli zaafiyet taraması ile sızma testleri yapması gerektiğini söyler. Yine aynı rehber, iyi yapılandırılmış güvenlik duvarı, ağ geçidi, erişim kontrolü ve düzenli güvenlik kontrollerini veri güvenliğinin önemli unsurları olarak gösterir. Lisanssız yazılım kullanıldığında şirket çoğu kez bu güvenlik zincirinin dışına çıkar: hangi sürümün kurulu olduğu net değildir, üreticinin resmi güncelleme ve destek kanalı kullanılamaz, güvenlik uyarıları izlenmez veya kullanıcı logları kurumsal uyum mantığıyla tutulmaz. Bu nedenle lisanssız yazılım, veri güvenliğini çoğu olayda yapısal biçimde zayıflatır.

Burada özellikle crackli veya sahte anahtarlı yazılımlar daha tehlikelidir. Çünkü bu tür kurulumlar genellikle resmi lisanslama zincirinin dışında kaldığı için şirketin hangi bileşeni kullandığını, bunun hangi güvenlik yamalarını aldığını ve hangi servislerle haberleştiğini güvenilir biçimde izlemesi zorlaşır. KVKK Rehberi, “tek bir siber güvenlik ürünüyle tam güvenlik sağlanamaz” diyerek tamamlayıcı ve düzenli kontrol edilen tedbirlerin uygulanmasını tavsiye eder. Lisanssız yazılım, bu tamamlayıcı güvenlik mimarisini bozuyorsa, veri sorumlusunun savunması zayıflar. Bu cümle bir kanun hükmü değil, rehberdeki tedbir mantığından çıkan hukukî sonuçtur.

En sık görülen riskli senaryolar

En yaygın senaryolardan biri, lisanssız ofis, ERP, muhasebe veya CRM yazılımının canlı müşteri ve çalışan verisiyle kullanılmasıdır. Böyle bir durumda şirket yalnızca telif hakkı ihlali riski taşımaz; aynı zamanda veriyi hangi güvenlik rejimi altında işlediğini de savunmak zorunda kalır. KVKK Rehberi, kullanıcı hesap yönetimi, erişim logları, yetki kontrolü, ağ güvenliği ve uygulama güvenliğini temel teknik tedbirler arasında saymaktadır. Lisanssız kurulu bir sistemde bu tedbirlerin kurumsal olarak belgelendirilmesi genellikle zorlaşır. Özellikle küçük ve orta ölçekli işletmelerde “zaten program çalışıyor” mantığıyla yıllarca devam eden kullanım, veri sorumlusunun denetim yükümlülüğünü görünmez biçimde aşındırır.

İkinci tip senaryo, dış kaynak ekiplerin veya freelance çalışanların lisanssız araçlarla veri işlemesidir. KVKK m.12/2, kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde, veri sorumlusu ile bu kişilerin teknik ve idari tedbirler bakımından müştereken sorumlu olduğunu açıkça söyler. Kurulun veri ihlali duyurusunda da veri işleyen nezdinde bulunan kişisel verilerin kanuni olmayan yollarla elde edilmesi halinde veri işleyenin bunu gecikmeksizin veri sorumlusuna bildirmesi gerektiği belirtilmiştir. Yani ajans, dış muhasebe firması, dış yazılımcı veya çağrı merkezi hizmet sağlayıcısı lisanssız yazılım kullanıyorsa, şirket “bu bizim sistemimiz değildi” diyerek KVKK riskinden tamamen çıkamaz.

Üçüncü tip senaryo, eski sürüm ve destek dışı yazılımlar üzerinden veri işlenmesidir. KVKK Rehberi, bilişim ağlarında çalışan yazılım ve servislerin kontrol edilmesini, güvenlik yazılımı mesajları ve erişim kontrol kayıtları düzenli kontrol edilerek bilinen zaafiyetlere karşı hızlı harekete geçilmesini tavsiye eder. Lisanssız veya sahte anahtarlı kurulumlarda bu tür düzenli güvenlik yönetimi çoğu kez fiilen aksar. Sonuçta veri ihlali yaşanmasa bile, şirketin teknik-idari tedbir standardı sorgulanabilir. Bu da inceleme veya şikâyet halinde veri sorumlusunun savunmasını zayıflatır.

Veri sorumlusu–veri işleyen ilişkisi neden kritik?

KVKK, veri sorumlusunu işleme amaç ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu gerçek veya tüzel kişi olarak tanımlar. Bu yüzden asıl sorumluluk genellikle hizmeti kullanan veya işleten şirkettedir. Dışarıdaki yazılımcı, barındırma firması, bakım şirketi veya destek ajansı veri işleyen olabilir; ancak veri sorumlusu kendi adına işlenen veriler bakımından teknik ve idari tedbirleri sağlamak ve denetimi kurmak zorundadır. Kurulun veri güvenliği rehberi de veri işleyenlerle ilişkilerin yönetilmesini, sözleşmeler yapılmasını, denetim yapılmasını ve hizmet sağlayıcının yerinde incelenebilmesini tavsiye etmektedir. Lisanssız yazılım kullanımı bu ilişkinin en zayıf halkasını oluşturur; çünkü veri işleyen kendi ortamında güvensiz araç kullanıyorsa, veri sorumlusu da savunmasız hâle gelir.

Buradan çıkan en önemli sonuç şudur: Şirketler sadece kendi cihazlarındaki lisans durumunu değil, veri işleyenlerinin kullandığı yazılımları da sözleşmesel ve fiili olarak denetlemek zorundadır. Kurul rehberi sözleşmeler, gizlilik taahhütnameleri, kurumsal politikalar, rastgele/periyodik denetimler ve risk analizlerini idari tedbirler arasında açıkça saymaktadır. Bu nedenle veri işleyenle yapılan sözleşmede “lisanslı ve güncel yazılım kullanma”, “üçüncü taraf araç envanteri sunma”, “veri ihlali halinde derhal bildirim” ve “denetim hakkı” gibi hükümler bulunmuyorsa, şirket yalnızca BT değil KVKK bakımından da açık verir.

Veri ihlali olursa ne olur?

KVKK m.12/5’e göre işlenen kişisel verilerin kanuni olmayan yollarla başkaları tarafından elde edilmesi hâlinde veri sorumlusu bu durumu en kısa sürede ilgilisine ve Kurula bildirmek zorundadır. Kurulun 2019/10 sayılı duyurusunda ise veri sorumlusunun, haklı gerekçe olmadıkça veri ihlalini 72 saat içinde Kurula bildirmesi gerektiği, gecikme varsa nedenlerini açıklaması gerektiği ve ihlale ilişkin bilgi, etki ve önlemleri kayıt altına alıp incelemeye hazır bulundurması gerektiği belirtilmiştir. Lisanssız veya crackli bir yazılım veri sızıntısına, yetkisiz erişime veya log kaybına yol açarsa, sorun yalnızca “kaçak program kullandık” olmaktan çıkar; 72 saatlik bildirim yükümlülüğü de derhal devreye girer.

Kurul karar özetleri, bu bildirimin teorik bir yükümlülük olmadığını gösteriyor. Örneğin yardım masası paneli hizmeti veren bir veri sorumlusuna ilişkin 2021/426 sayılı kararda, veri ihlaliyle ilgili 72 saat içinde bildirim yapılmadığı için Kurul idari para cezası uygulanmasına karar vermiştir. Bu karar, lisanssız yazılımla ilişkili olsun veya olmasın, teknik zaaf kaynaklı veri ihlalinde “önce içerde halledelim” yaklaşımının ciddi yaptırım riski taşıdığını göstermektedir. Lisanssız yazılım kullanımı veri ihlaline sebep olursa, şirket aynı anda hem telif sorumluluğu hem KVKK yaptırımı ile karşılaşabilir.

İdari para cezası ve Kurul incelemesi riski

KVKK m.15, Kurulun şikâyet üzerine veya ihlal iddiasını öğrenmesi hâlinde resen inceleme yapabileceğini düzenler. Veri sorumlusu, Kurulun istediği bilgi ve belgeleri on beş gün içinde göndermek ve gerektiğinde yerinde inceleme yapılmasına imkân sağlamak zorundadır. Aynı kanunun 18. maddesi, aydınlatma, veri güvenliği, Kurul kararlarına uyma ve VERBİS gibi yükümlülüklere aykırılık hâllerinde idari yaptırımlar öngörür. Kurumun 2025 tarihli yayını da bu cezaların her takvim yılı başında yeniden değerleme oranında artırılarak uygulandığını belirtmektedir. Bu nedenle lisanssız yazılım, Kurul nezdinde “tek başına isimlendirilmiş bir ihlal” olmasa da, veri güvenliği tedbirlerinin yetersizliği, denetim eksikliği ve bildirim yükümlülüğünün ihlali üzerinden idari para cezasına zemin hazırlayabilir.

Özellikle Kurulun yerinde inceleme ve belge isteme yetkisi, şirketlerin lisanssız yazılımı sadece iç mesele olarak görmemesi gerektiğini gösterir. Eğer bir veri ihlali veya şikâyet dosyası açılırsa, kullanılan sistemin ne olduğu, hangi servislerin çalıştığı, logların tutulup tutulmadığı, güvenlik uyarılarının izlenip izlenmediği ve veri işleyen sözleşmelerinin nasıl kurulduğu sorulabilir. KVKK Rehberi de kurum içi periyodik/rastgele denetimleri, risk analizlerini ve kurumsal politikaları idari tedbirler arasında saymaktadır. Yazılım envanteri belirsiz, lisans zinciri dağınık ve log yönetimi zayıf şirketlerde bu sorulara sağlıklı cevap vermek güçleşir.

FSEK ve KVKK kesişimi

Lisanssız yazılım kullanımı yalnızca veri güvenliği değil, aynı zamanda telif sorunudur. FSEK’e göre bilgisayar programları eser niteliğindedir ve programın yüklenmesi, çalıştırılması ve depolanması dahi hak sahibinin mali hak alanına girebilir. Bu nedenle şirket veri güvenliğini zayıflatan bir lisanssız yazılım kullandığında, bir yandan KVKK m.12 bakımından teknik-idari tedbir eksikliğiyle, diğer yandan FSEK bakımından izinsiz yararlanma iddiasıyla karşılaşabilir. Özellikle sahte lisans anahtarı, crack veya yetkisiz çoğaltma söz konusuysa, tek olay iki ayrı hukuk alanında sonuç üretir. Bu, lisanssız yazılımın neden sadece “BT hatası” sayılamayacağını açıkça gösterir.

Bu kesişim, müşteriye verilen hizmetlerde daha da büyür. Bir şirket lisanssız yazılım üzerinden müşteri verisi işliyor, rapor üretiyor, bordro veya muhasebe hizmeti veriyor ya da dış kaynak çağrı merkezi işletiyorsa, hem veri sorumlusu sıfatıyla KVKK yükümlülüğü altındadır hem de kullandığı program bakımından FSEK riski taşır. Böyle dosyalarda zarar yalnızca yazılım üreticisine karşı değil, müşteriye ve ilgili kişilere karşı da doğabilir. Bu sonuç, FSEK’in koruma rejimi ile KVKK’nın veri güvenliği yükümlülüklerinin birlikte değerlendirilmesinden çıkan hukukî tablodur.

Şirketler kendini nasıl korur?

İlk yapılması gereken, lisans yönetimini bilgi güvenliği yönetiminin bir parçası hâline getirmektir. KVKK Rehberi, teknik tedbir olarak yetki matrisi, kullanıcı hesap yönetimi, log kayıtları, ağ güvenliği, uygulama güvenliği, yedekleme ve güncel antivirüs sistemlerini; idari tedbir olarak da veri işleme envanteri, kurumsal politikalar, sözleşmeler, gizlilik taahhütnameleri, periyodik denetimler, risk analizleri ve eğitim faaliyetlerini önermektedir. Yazılım envanterinin lisans envanteriyle birlikte tutulması, yalnızca FSEK bakımından değil KVKK bakımından da güçlü savunma sağlar. Şirket hangi sistemde hangi sürümün çalıştığını, bu sistemin hangi veriye eriştiğini ve kim tarafından yönetildiğini bilmelidir.

İkinci olarak, veri işleyenlerle sözleşmeler güçlendirilmelidir. Rehber, veri sorumlusunun veri işleyenle ilişkisini sözleşmeyle düzenlemesini, veri kategorilerini belirtmesini ve gerektiğinde yerinde denetim yapabilmesini tavsiye etmektedir. Dış ajans, danışman, entegratör, çağrı merkezi veya bulut sağlayıcısı lisanssız yazılım kullanıyorsa, şirket yalnızca “bu onların alanıydı” diyemez. Bu nedenle sözleşmelerde lisanslı ve güncel yazılım kullanma yükümlülüğü, ihlal bildirim süresi, denetim hakkı ve veri işleyen altyapısındaki değişikliklerin bildirilmesi açıkça yer almalıdır.

Üçüncü olarak, olay çıktığında delil karartma değil kontrollü iç inceleme yapılmalıdır. KVKK ve FSEK riskinin birleştiği dosyalarda logların, erişim kayıtlarının, yazılım listelerinin ve olay raporlarının korunması gerekir. Kurul, veri ihlallerine ilişkin bilgi, etki ve alınan önlemlerin kayıt altına alınmasını ve incelemeye hazır tutulmasını istemektedir. Şirket için en güvenli yol, lisanssız yazılım tespit edildiğinde bunu sessizce gizlemek değil; hangi verilerin etkilendiğini, ihlal olup olmadığını, bildirim gerekip gerekmediğini ve lisanssız kullanımın ne ölçüde veri güvenliği zafiyeti yarattığını hızla tespit etmektir.

Sonuç

Lisanssız yazılım kullanımının KVKK ve veri güvenliği riskleri, çoğu şirketin düşündüğünden daha büyüktür. Lisanssız yazılım tek başına otomatik bir KVKK maddesi ihlali olarak düzenlenmemiştir; ancak veri sorumlusunun teknik ve idari tedbir yükümlülüğünü zayıflattığı ölçüde doğrudan KVKK riskine dönüşür. Kişisel verilerin işlendiği sistemlerde lisanssız, crackli, sahte anahtarlı veya destek dışı yazılım kullanılması; erişim kontrolü, loglama, güvenlik güncellemesi, antivirüs, yedekleme ve denetim süreçlerini bozabiliyorsa, şirketin m.12 kapsamındaki savunması önemli ölçüde zayıflar. Veri ihlali yaşanırsa 72 saatlik bildirim, Kurul incelemesi ve idari para cezası riski de eklenir.

Bu nedenle lisanssız yazılımı yalnızca “telif maliyeti” olarak görmek büyük hatadır. Asıl mesele, bu yazılımların veri işleme altyapısını hukuken ve teknik olarak savunmasız bırakmasıdır. Doğru yaklaşım; yazılım lisans uyumunu KVKK uyumundan ayrı değil, onun bir parçası olarak yönetmek, veri işleyenleri sözleşme ve denetimle kontrol etmek ve olay çıktığında teknik izleri silmek yerine hukukî olarak yönetilebilir bir inceleme süreci kurmaktır. Şirket açısından en pahalı dosyalar, çoğu zaman lisanssız yazılımın kendisinden değil, o yazılımın veri güvenliği krizine dönüşmesinden çıkar.

Sık sorulan sorular

Lisanssız yazılım kullanmak tek başına otomatik KVKK ihlali midir?
Hayır. Kanunda “lisanssız yazılım” başlıklı ayrı bir ihlal tipi yoktur. Ancak lisanssız kullanım veri sorumlusunun m.12 kapsamındaki teknik ve idari tedbirlerini zayıflatıyorsa, KVKK riski doğurur.

KVKK açısından en büyük risk nedir?
En büyük risk, lisanssız yazılımın veri güvenliği mimarisini zayıflatmasıdır. Yetki kontrolü, erişim logları, kullanıcı hesap yönetimi, ağ güvenliği, uygulama güvenliği, log kayıtları, yedekleme ve güncel antivirüs sistemleri gibi tedbirler zafiyete uğrarsa, veri sorumlusunun savunması ciddi biçimde zayıflar.

Dış ajans veya tedarikçi lisanssız yazılım kullanırsa şirket yine de sorumlu olur mu?
Evet, olabilir. KVKK m.12/2’ye göre veri sorumlusu, kendi adına veri işleyenlerle teknik ve idari tedbirler bakımından müştereken sorumludur. Ayrıca Kurulun veri ihlali duyurusu, veri işleyenin ihlali gecikmeksizin veri sorumlusuna bildirmesi gerektiğini belirtir.

Veri ihlali olursa bildirim süresi nedir?
Kurulun 2019/10 sayılı duyurusuna göre veri sorumlusu, haklı gerekçe yoksa ihlali 72 saat içinde Kurula bildirmelidir; gecikme varsa nedenini açıklamalıdır. Kanun da en kısa sürede ilgili kişiye ve Kurula bildirim yükümlülüğü öngörür.

Lisanssız yazılım aynı zamanda telif sorunu da yaratır mı?
Evet. Bilgisayar programları FSEK kapsamında eser olarak korunur; programın yüklenmesi, çalıştırılması ve depolanması da hak sahibinin mali hak alanına girebilir. Bu nedenle lisanssız yazılım dosyaları çoğu zaman hem KVKK hem FSEK riski taşır