BT Departmanının Lisans İhlallerindeki Hukuki ve İdari Sorumluluğu

 BT departmanı lisanssız yazılım kullanımından ne zaman sorumlu olur? Türk hukukunda BT ekibinin yazılım lisans ihlallerindeki hukuki, idari, cezai ve kurumsal sorumluluğunu FSEK, TBK, TTK, İş Kanunu, KVKK ve delil hukuku açısından inceleyen kapsamlı rehber.

Şirketlerde yazılım lisans uyumu çoğu zaman satın alma departmanının, bazen de hukuk biriminin konusu gibi görülür. Oysa uygulamada lisans ihlallerinin en görünür teknik yüzü çoğu kez BT departmanıdır. Çünkü yazılımın kurulması, kullanıcı sayısının yönetilmesi, lisans anahtarlarının tanımlanması, aboneliklerin sürdürülmesi, sunucu erişimlerinin açılması, sanal makinelerin çoğaltılması, deneme sürümlerinin kontrolü, logların tutulması ve güncelleme rejiminin işletilmesi çoğunlukla BT ekibinin fiilî kontrol alanındadır. Bununla birlikte Türk hukukunda “BT departmanı” başlıklı müstakil bir sorumluluk maddesi yoktur; sorumluluk, somut olayda gerçek kişilerin görev tanımı, talimat zinciri, yetki alanı, kusuru ve şirket içindeki konumuna göre çalışan, yönetici, temsilci, müdür veya organ üyesi düzeyinde kurulur. Bu nedenle BT departmanı bakımından asıl soru, “otomatik sorumlu mu” değil; “hangi fiil, hangi yetki ve hangi ihmal nedeniyle sorumluluk zincirinin neresinde yer alır” sorusudur.

Türk hukukunda bilgisayar programları açıkça eser olarak korunur. FSEK’te “bilgisayar programı” tanımlanmış; ayrıca her biçim altında ifade edilen bilgisayar programları ve belirli koşullardaki hazırlık tasarımları ilim ve edebiyat eseri sayılmıştır. Aynı Kanun’un çoğaltma hakkına ilişkin 22. maddesi ise programın yüklenmesi, görüntülenmesi, çalıştırılması, iletilmesi ve depolanmasını da eser sahibinin münhasır çoğaltma hakkı kapsamına alır. Bu yüzden lisans ihlali yalnızca kırık sürüm kurmak ya da crack dosyası kullanmak değildir; tek kullanıcı lisansını çok sayıda kullanıcıya açmak, test lisansını üretim ortamına taşımak, sanal kopyaları lisans sınırı dışında çoğaltmak veya hukuka uygun edinilmeyen bir programı şirket sistemine entegre etmek de ihlal alanına girebilir. BT departmanının hukuki önemi de tam burada ortaya çıkar; çünkü bu fiillerin çoğu teknik olarak BT süreçleri üzerinden gerçekleşir.

BT departmanı neden bu kadar kritik bir konumdadır?

Birçok şirkette yazılımın satın alınması başka birim tarafından yapılsa bile, fiilî kullanım mimarisini BT belirler. Kimin hangi programa erişeceği, lisans sunucusunun nasıl yapılandırılacağı, hangi cihazlara kurulum yapılacağı, kaç oturumun açılabileceği, eski personelin erişimlerinin kapatılıp kapatılmayacağı ve paylaşımlı hesapların önlenip önlenmeyeceği gibi başlıklar teknik görünümlü olsa da, hukuki riskin doğduğu asıl temas noktalarıdır. Bu nedenle BT departmanı bazen ihlalin faili, bazen ihlale iştirak eden ekip, bazen de ihlali önlemekle yükümlü olmasına rağmen bunu yapmayan kurumsal kontrol katmanı olarak dosyanın merkezine yerleşebilir. Ancak bu sonuç otomatik değildir; somut olayda BT’nin sadece uygulayıcı mı, karar verici mi, uyarı mekanizması mı yoksa denetimden sorumlu birim mi olduğu mutlaka ayrı ayrı değerlendirilmelidir. Bu ayrım, kanunların işletme sahibi, çalışan, yardımcı kişi, yönetici ve organ üyesi gibi farklı sorumluluk kategorileri öngörmesinden doğar.

Anonim şirketlerde yönetimin iç yönergeyle kısmen veya tamamen devredilebilmesi ve bu iç yönergenin görevleri, bağlılık ilişkilerini ve kimin kime bilgi sunmakla yükümlü olduğunu göstermesi zorunluluğu, BT fonksiyonunun rastgele bir teknik destek alanı değil, kurumsal yönetişim konusu olduğunu gösterir. Aynı şekilde yönetim kurulu üyeleri ve yönetimle görevli üçüncü kişiler, görevlerini tedbirli bir yöneticinin özeniyle yerine getirmek ve şirket menfaatlerini dürüstlük kurallarına uyarak gözetmekle yükümlüdür. Bu çerçevede lisans yönetimi BT’ye bırakılmışsa, sorumluluk tartışması sadece BT uzmanı düzeyinde kalmayabilir; devrin nasıl yapıldığı, denetimin kurulup kurulmadığı ve üst yönetimin bu yapıyı nasıl izlediği de ayrıca incelenir.

Lisans ihlali sayılan tipik BT fiilleri nelerdir?

BT departmanı bakımından en sık karşılaşılan riskli davranışların başında, lisans anahtarlarının paylaşılması, tek kullanıcı veya sınırlı sayıda kullanıcı lisanslarının eşzamanlı çoklu kullanıma açılması, deneme veya eğitim lisanslarının kurumsal üretim ortamında kullanılması, lisans sunucusunun teknik sınırlarının aşılması, korsan yazılım kurulumuna göz yumulması ve kurumsal cihazlarda crack veya keygen benzeri araçların tutulması gelir. Hukuken bu davranışların önemi, programın yüklenmesi, çalıştırılması ve depolanmasının dahi eser sahibinin çoğaltma hakkı alanına girmesidir. Dolayısıyla “sadece kurulu duruyordu” veya “sadece birkaç kullanıcı daha eklenmişti” şeklindeki savunmalar, lisans metni ve fiilî kullanım biçimiyle birlikte incelendiğinde her zaman koruyucu olmayabilir.

Bir diğer tipik alan, abonelik tabanlı yazılımlarda yetkisiz hesap mimarisidir. BT departmanı, örneğin kişi bazlı lisansları ortak hesapla kullandırıyor, ayrılan çalışanların hesabını kapatmadan yeni personele devrediyor, lisanssız istemcileri ağdan dışlamıyor veya yetki sınırını bilerek görmezden geliyorsa, teknik altyapı üzerinden hukuki ihlalin süreklilik kazanmasına katkı sunmuş olabilir. Özellikle lisans uyarılarının loglarda görünmesine rağmen aksiyon alınmaması, üretici denetim e-postalarının yok sayılması ve “şimdilik çalışsın” yaklaşımı, kusur değerlendirmesinde BT’nin konumunu ağırlaştırabilir. Bu sonuç doğrudan tek bir “BT departmanı maddesi”nden değil; FSEK’in izinsiz kullanımı yaptırıma bağlaması, TBK’nın kusurlu fiili tazmin rejimine bağlaması ve çalışan ile yardımcı kişilerin fiillerini sorumluluk alanına alması nedeniyle ortaya çıkar.

BT personelinin kişisel hukuki sorumluluğu ne zaman doğar?

Türk Borçlar Kanunu m.396, işçinin yüklendiği işi özenle yapmak ve işverenin haklı menfaatinin korunmasında sadakatle davranmak zorunda olduğunu; işverene ait makineleri, araçları, teknik sistemleri ve tesisleri usulüne uygun kullanması gerektiğini açıkça söyler. BT personeli bakımından bu hükmün pratik karşılığı şudur: sistem yöneticisi, ağ yöneticisi, altyapı uzmanı veya bilgi güvenliği personeli; şirket sistemlerini görev tanımına, iç politikaya ve hukuka uygun kullanmakla yükümlüdür. Bilerek korsan kurulum yapmak, sahte lisans tanımlamak, lisans durumunu gizlemek, denetim kayıtlarını tahrif etmek veya şirketi lisanssız sistem üzerinde bırakmak, işçinin özen ve sadakat borcuyla ciddi biçimde çatışabilir.

Bu durumda BT çalışanının kişisel sorumluluğu iki ayrı kanaldan gündeme gelebilir. Birincisi, işverene karşı sözleşmesel veya haksız fiil sorumluluğudur. TBK m.112’ye göre borç hiç veya gereği gibi ifa edilmezse, borçlu kusursuzluğunu ispat etmedikçe zararı gidermekle yükümlüdür. TBK m.49 da kusurlu ve hukuka aykırı fiille başkasına zarar verenin tazminle yükümlü olduğunu düzenler. Eğer BT çalışanı görevini gereği gibi yerine getirmemiş, lisans ihlalini bilerek doğurmuş veya büyütmüşse; şirketin üçüncü kişilere ödediği bedeller, dönüşüm maliyetleri ve bazı zarar kalemleri bakımından iç ilişkide rücu tartışması ortaya çıkabilir. Fakat burada şirketin kendi denetim eksikliği de ayrıca değerlendirilir; yani her zarar otomatik olarak tek başına BT çalışanına yüklenemez.

İkincisi, iş hukuku ve disiplin sonuçlarıdır. İş Kanunu m.25/II, işverenin ahlak ve iyi niyet kurallarına uymayan hâller nedeniyle iş sözleşmesini derhal feshedebileceğini; özellikle işçinin işverenin güvenini kötüye kullanmak ve doğruluk ile bağlılığa uymayan davranışlarda bulunmak gibi fiillerinin haklı fesih sebebi olabileceğini düzenler. BT personelinin lisanssız sistemi bilerek kurması, gizlemesi, kendi kişisel hesaplarıyla şirketi bağımlı bırakması veya lisans ihlalini teknik raporlarda saklaması, olayın ağırlığına göre bu bent kapsamında değerlendirilebilir. Ancak burada da otomatik sonuç yoktur; fesihte somut olay, kusurun derecesi, iç politika varlığı ve ispat durumu önemlidir.

Dış dünyaya karşı sorumluluk neden çoğu zaman şirkete yönelir?

FSEK’in en önemli hükümlerinden biri, ihlalin işletme temsilcileri veya çalışanları tarafından hizmetin ifası sırasında gerçekleştirilmesi hâlinde işletme sahibi hakkında da dava açılabilmesi ve bunun için kusur şartının aranmamasıdır. Kanunun 66. maddesi, manevi ve mali hakları ihlal edilen kişinin tecavüzün ref’ini talep edebileceğini; ihlal hizmetlerini ifa ettikleri sırada bir işletmenin temsilcisi veya müstahdemleri tarafından yapılmışsa işletme sahibi hakkında da dava açılabileceğini açıkça söyler. Bu hüküm, BT departmanının eyleminin çoğu durumda dış sorumluluğu şirketten bütünüyle uzaklaştıramayacağını gösterir. Yani hak sahibi yazılım üreticisi bakımından ilk muhatap çoğu zaman fiilî kullanıcı olan şirket olacaktır.

Buna FSEK m.68 ve m.71 de eklenir. 68. madde, hak sahibine, izinsiz kullanım hâlinde sözleşme yapılmış olsaydı isteyebileceği bedelin veya rayiç bedelin en çok üç katına kadar talep imkânı verir. 71. madde ise koruma altındaki eserlerle ilgili manevi, mali veya bağlantılı hakların yazılı izin olmaksızın işlenmesi, çoğaltılması, dağıtılması veya hukuka aykırı çoğaltılmış eserlerin elinde bulundurulması gibi fiilleri cezai yaptırım alanına taşır. Teknik olarak BT departmanı kurmuş olsa da, şirket sistemi kendi ticari faaliyeti için kullanıyorsa, dış dünyadaki hak sahibi bakımından sorumluluk genellikle şirket merkezli kurulur; şirket sonra iç ilişkide BT personeli veya yöneticiler hakkında ayrı değerlendirme yapabilir.

TBK m.66 da bu resmi güçlendirir. Adam çalıştıran, çalışanın kendisine verilen işin yapılması sırasında başkalarına verdiği zararı gidermekle yükümlüdür; ancak seçim, talimat, gözetim ve denetimde gerekli özeni gösterdiğini ispat ederse kurtulabilir. Ayrıca borcun ifasını yardımcı kişilere bırakan borçlu da onların işi yürütürken verdiği zarardan sorumludur. BT departmanı şirketin yardımcı kişisi veya çalışanı olarak lisans ihlali doğuran işlemleri yapmışsa, dış ilişki bakımından “teknik ekip yaptı” savunması çoğu dosyada sınırlı etki yaratır. Şirketin gerçek kurtuluş zemini, BT personeline uygun talimat verildiğini, denetim kurulduğunu, uyarı sisteminin işlediğini ve organizasyonun zararı önlemeye elverişli olduğunu gösterebilmesidir.

“İdari sorumluluk” BT departmanı açısından ne anlama gelir?

Bu başlık uygulamada iki farklı anlama gelir. Birinci anlam, şirket içi idari ve organizasyonel sorumluluktur. BT departmanı yöneticisinin görev tanımı, yetki matrisi, lisans satın alma onay akışı, kurulum yetkileri, log yönetimi, iç denetim prosedürü ve ayrılış/erişim kapatma süreçleri kurumsal olarak tanımlanmışsa; bunlara uyulmaması disiplin, görevden alma, yetki daraltma, iç soruşturma veya performans sorumluluğu doğurabilir. Bu boyut doğrudan kanunda “BT departmanına idari yaptırım” diye düzenlenmemiştir; fakat TTK’daki yönetimin devri ve iç yönerge zorunluluğu ile özen yükümlülüğü, şirketin bu alanı kurumsal olarak düzenlemesi gerektiğini açıkça gösterir.

İkinci anlam ise dış idari yükümlülüklerdir. Örneğin kişisel veri işlenen altyapılarda veri güvenliği ve aydınlatma yükümlülükleri esasen veri sorumlusuna, yani çoğu olayda şirkete aittir. KVKK m.10 uyarınca veri sorumlusu veya yetkilendirdiği kişi, kişisel verilerin elde edilmesi sırasında ilgili kişilere veri sorumlusunun kimliği, işleme amacı, aktarım amaçları, veri toplama yöntemi ve hukuki sebebi ile ilgili kişi hakları hakkında bilgi vermek zorundadır. KVKK m.12’ye göre de veri sorumlusu; kişisel verilerin hukuka aykırı işlenmesini ve erişimini önlemek, verilerin muhafazasını sağlamak için gerekli teknik ve idari tedbirleri almak ve gerekli denetimleri yapmak veya yaptırmak zorundadır. Bu yüzden BT departmanı dışarıya karşı her zaman doğrudan “veri sorumlusu” olmaz; fakat veri sorumlusunun yükümlülüklerini fiilen hayata geçiren teknik yapı olduğu için, ihlalin iç kaynaklı sorumluluk ve görev kusuru boyutunda merkezi rol oynar.

Buradan çıkan önemli sonuç şudur: BT departmanı açısından “idari sorumluluk” çoğu zaman kişisel veri hukuku, bilgi güvenliği ve lisans uyumunun şirket içinde hangi usulle yönetildiğiyle ilgilidir. Eğer BT departmanı, veri güvenliği için gerekli teknik tedbirleri kurmamış, lisanssız veya güvenliksiz yazılımları ağda tutmuş, log ve denetim mekanizmalarını işletmemiş veya uyarı mekanizmalarını susturmuşsa, dışarıdaki idari para cezası çoğunlukla şirkete yönelse bile iç ilişkide BT yöneticileri ve sorumlu personel bakımından ciddi hesap verme süreci doğabilir. Bu, özellikle lisanssız yazılımın aynı zamanda veri ihlali, log kaybı veya siber güvenlik zaafı yarattığı dosyalarda daha da belirginleşir.

BT müdürü veya CIO düzeyinde sorumluluk daha mı ağırdır?

Çoğu kez evet. Çünkü teknik uzman ile karar verici teknik yönetici aynı konumda değildir. Bir sistem uzmanı verilen talimatı uygulamış olabilir; fakat BT müdürü, altyapı yöneticisi, CIO veya yönetimle görevli üçüncü kişi; yazılım envanterini kurmak, lisans politikasını işletmek, satın alma ve erişim matrisini denetlemek, iç denetim raporlarını yönetime sunmak ve riskleri raporlamakla daha geniş ölçüde ilişkilendirilir. TTK m.369’daki özen yükümlülüğü ve m.553’teki kusurlu ihlal sorumluluğu, özellikle yönetimle görevli üçüncü kişiler ve yöneticiler bakımından bu alanı doğrudan ilgilendirir. Şirket lisanssız sistem üzerinde çalışmaya devam ederken BT yöneticisi bunu biliyor, raporlamıyor veya bilerek sürdürüyor ise sorumluluk değerlendirmesi sıradan bir teknik personelden daha ağır olabilir.

Bu durum yönetimin devri hükümleriyle de bağlantılıdır. TTK m.367, iç yönergede kimin kime bağlı olduğunu ve kimin bilgi sunmakla yükümlü olduğunu belirlemeyi zorunlu kılar. Dolayısıyla BT müdürüne lisans yönetimi devredilmişse, “ben sadece teknik iş yaparım” savunması belirli bir noktadan sonra yetersiz kalabilir. Elbette tek başına unvan mahkûmiyet veya tazmin sorumluluğu yaratmaz; ancak görev tanımı, erişim yetkisi, raporlama zinciri ve risk uyarılarının varlığı BT yöneticisini dosyanın merkezine çekebilir.

Ceza hukuku boyutu nasıl doğar?

Lisans ihlalleri her zaman ceza mahkûmiyeti doğurmaz; fakat belirli fiiller cezai alana taşınabilir. FSEK m.71, koruma altındaki eserlerle ilgili hakları ihlal ederek eseri hak sahibinin yazılı izni olmadan işleyen, çoğaltan, dağıtan, yayımlayan veya hukuka aykırı çoğaltılmış eserleri elinde bulunduran kişiler için ceza yaptırımı öngörür. BT departmanı çalışanı veya yöneticisi sahte lisans anahtarı kullanmış, crack kurmuş, lisans atlatma aracı üretmiş ya da bunları sistematik biçimde ağda tutmuşsa, somut olayın niteliğine göre cezai risk kişisel olarak da gündeme gelebilir. Ancak bu değerlendirme her zaman fiilin tipi, kast, ticari amaç, yazılımın niteliği ve teknik kullanım biçimine göre yapılır.

Eğer lisans ihlali aynı zamanda haksız rekabet boyutu kazanmışsa, TTK m.62 ve m.63 de ayrıca önem kazanabilir. TTK, haksız rekabet fiillerinden birini kasten işleyenleri ve çalışanlarının işledikleri cezayı gerektiren haksız rekabet fiilini öğrenip bunu önlemeyenleri şikâyet üzerine cezalandırılabilir sayar; tüzel kişi faaliyeti çerçevesinde işlenen fiillerde tüzel kişi adına hareket eden organ üyeleri veya ortaklar bakımından da sonuç doğurabileceğini belirtir. BT departmanı, şirketin lisanssız yazılımla sistematik maliyet avantajı kurduğu ve bunun bilerek sürdürüldüğü bir tabloda teknik taşıyıcı rol oynuyorsa, bu boyut da dışlanmamalıdır.

Ceza soruşturması başladığında dijital delil rejimi ayrı bir önem taşır. CMK m.134, somut delillere dayanan kuvvetli şüphe ve başka surette delil elde edilememe hâlinde bilgisayar ve bilgisayar programlarında arama, kopyalama ve gerekirse elkoyma yapılabileceğini düzenler. Bu nedenle BT departmanı yöneticileri için risk yalnızca bir hukuk davası değildir; şirket sunucuları, lisans sunucuları, log kayıtları, yedekler ve kullanıcı hesapları adli bilişim incelemesine konu olabilir. Lisans ihlalinin üstüne bir de log silme, kayıt bozma veya delil saklama davranışı eklenirse dosyanın ağırlığı daha da artabilir.

İç soruşturma ve delil toplama sürecinde BT departmanı nasıl hareket etmelidir?

Lisans ihlali şüphesi doğduğunda şirketlerin en sık yaptığı hata, paniğe kapılıp sistemi sessizce düzeltmeye çalışmak ve izleri temizlemektir. Oysa HMK m.189, hukuka aykırı elde edilen delillerin dikkate alınamayacağını söyler; m.199 ise elektronik ortamdaki verileri açıkça belge sayar. Bu yüzden BT departmanı, hem delil karartma şüphesi yaratmamalı hem de iç soruşturmayı hukuka uygun yürütmelidir. Log kayıtları, lisans sunucusu dökümleri, e-posta uyarıları, kurulum listeleri, sanal makine şablonları ve aktivasyon kayıtları ileride hukuk veya ceza dosyasında belirleyici olabilir. BT ekibinin rolü burada “sorunu sessizce örtmek” değil, delili bozmadan teknik tabloyu ortaya koymaktır.

Aynı zamanda KVKK sınırları da gözetilmelidir. Çalışan cihazlarının, hesap kayıtlarının ve erişim loglarının incelenmesi çoğu zaman kişisel veri işleme anlamına gelir. Bu nedenle BT departmanı, lisans uyumu bahanesiyle ölçüsüz, amaç dışı ve belirsiz veri toplama yöntemlerine başvurmamalıdır. Şirketin aydınlatma metinleri, iç politika metinleri, cihaz kullanım kuralları ve loglama rejimi önceden kurulmamışsa, sonradan yapılan kontrolün hukuka uygunluğu daha çok tartışılır. Bu başlık, lisans uyumu ile veri koruma hukukunun neden birlikte yönetilmesi gerektiğini açıkça gösterir.

BT departmanı sorumluluğunu azaltmak için şirketler ne yapmalı?

İlk yapılması gereken şey, lisans yönetimini “yardım masası işi” olmaktan çıkarıp yazılı kurumsal politika hâline getirmektir. Hangi yazılımın kim tarafından talep edileceği, satın alma onayını kimin vereceği, kurulum yetkisinin kimde olacağı, sanal kopyalama ve imaj alma süreçlerinin nasıl kontrol edileceği, ayrılan personelin erişimlerinin hangi süre içinde kapatılacağı ve deneme/eğitim lisanslarının üretim ortamına taşınmasının yasak olduğu açık biçimde belirlenmelidir. TTK’nın iç yönerge ve görev dağılımı mantığı ile yönetici özen yükümlülüğü, bu alanın yazılı ve denetlenebilir düzenlenmesini gerektirir.

İkinci olarak, BT departmanının uyarı yükümlülüğü kurumsallaştırılmalıdır. Lisans denetim uyarısı, vendor bildirimi, eşzamanlı kullanıcı aşımı, log alarmı veya lisanssız kurulum tespiti gibi durumlarda BT’nin bunu kime, hangi süre içinde ve hangi formatta raporlayacağı belirlenmelidir. Çünkü birçok uyuşmazlıkta sorun, ihlalin hiç fark edilmemesi değil; fark edilmesine rağmen resmî raporlama zincirine sokulmamasıdır. Bu zincir kurulursa, hem şirket kurtuluş kanıtını güçlendirebilir hem de BT personelinin “bilgi verdim ama aksiyon alınmadı” savunması somutlaşabilir.

Üçüncü olarak, BT ve hukuk birimleri birlikte çalışmalıdır. Lisans metni teknik ekip tarafından okunmadığında teknik doğru ama hukuken yanlış mimari kurulabilir; hukuk birimi teknik akışı anlamadığında da metin doğru ama operasyon uygulanamaz kalır. Özellikle çok kullanıcılı lisans, sanallaştırma, bulut abonelikleri, OEM lisanslar, API tabanlı kullanım ve kullanıcı bazlı aboneliklerde hukuki metin ile teknik gerçeklik eşleştirilmelidir. BT departmanının hukuki sorumluluğunu azaltan en güçlü mekanizma, tek başına “hata yapmamak” değil; hatanın kurumsal olarak erken fark edilmesini sağlayan çift kontrol sistemidir.

Sonuç

BT departmanının lisans ihlallerindeki hukuki ve idari sorumluluğu, Türk hukukunda tek bir maddede düzenlenmiş yalın bir konu değildir. Bilgisayar programlarının eser sayılması ve programın yüklenmesi, çalıştırılması ve depolanmasının dahi koruma alanına girmesi nedeniyle FSEK; çalışanların özen ve sadakat borcu ile adam çalıştıranın ve yardımcı kişilerin fiillerinden sorumluluk rejimi nedeniyle TBK; görev dağılımı, yönetim devri, özen yükümlülüğü ve yönetici sorumluluğu nedeniyle TTK; disiplin ve haklı fesih boyutuyla İş Kanunu; veri güvenliği ve denetim boyutuyla KVKK; delil ve soruşturma süreci bakımından HMK ve CMK birlikte okunmalıdır. Bu çok katmanlı yapı, BT departmanını ne otomatik fail ne de otomatik sorumsuz yapar; sorumluluk, somut olayda rol, yetki, kusur ve ihmal dağılımına göre kurulur.

Pratik sonuç şudur: BT departmanı lisans ihlallerinde çoğu zaman ilk teknik temas noktasıdır; fakat dış dünyaya karşı sorumluluk çoğunlukla şirket ve gerektiğinde yönetim düzeyine de yayılır. BT çalışanı bilerek kurmuş, gizlemiş, sürdürmüş veya denetim yükümlülüğünü ihmal etmişse kişisel sorumluluğu doğabilir; BT yöneticisi riskleri bilerek raporlamamışsa yönetim sorumluluğu tartışması ağırlaşabilir; şirket ise denetim ve organizasyon kurmadıysa “teknik ekip yaptı” savunmasıyla tam korunamaz. Bu nedenle lisans uyumu, bugün her şirket için yalnızca BT operasyonu değil, hukuk, kurumsal yönetişim ve risk yönetimi meselesidir.

Sık Sorulan Sorular

BT departmanı lisans ihlalinde otomatik olarak sorumlu mudur?
Hayır. Türk hukukunda “BT departmanı” adlı müstakil bir fail kategorisi yoktur. Sorumluluk, somut olayda gerçek kişilerin görev tanımı, yetkisi, talimat ilişkisi, kusuru ve fiilî katkısına göre belirlenir. Buna karşılık BT ekibi kurulum, erişim ve log süreçlerinin merkezinde olduğu için birçok dosyada kritik sorumluluk halkasıdır.

Şirket, BT personeli korsan yazılım kurdu diye tamamen kurtulur mu?
Genellikle hayır. FSEK m.66, ihlal işletmenin temsilcileri veya çalışanları tarafından hizmetin ifası sırasında yapılmışsa işletme sahibi hakkında da dava açılabileceğini söyler. TBK m.66 ve 116 da çalışanın ve yardımcı kişinin fiillerinden doğan zarar bakımından şirketi belirli koşullarda sorumluluk alanında tutar.

BT personeli için işten çıkarma sebebi oluşabilir mi?
Evet, somut olaya göre oluşabilir. İş Kanunu m.25/II, işverenin güvenini kötüye kullanmak ve doğruluk ile bağlılığa aykırı davranışları haklı fesih sebebi olarak düzenler. Bilerek lisanssız kurulum yapmak, sistemi gizlemek veya iç denetimi yanıltmak bu kapsamda tartışılabilir.

BT müdürü ile sıradan sistem uzmanı aynı ölçüde mi sorumlu olur?
Her zaman değil. Yönetim ve raporlama yetkisi olan BT yöneticileri, TTK’daki özen yükümlülüğü ve görev devri rejimi nedeniyle daha ağır değerlendirmeyle karşılaşabilir. Teknik personelin sorumluluğu ise çoğu kez fiilî kurulum, gizleme veya talimata aykırılık ekseninde incelenir.

Lisans ihlali şüphesinde BT logları delil olur mu?
Evet. HMK m.199, elektronik ortamdaki verileri belge sayar. Ancak HMK m.189’a göre hukuka aykırı elde edilmiş deliller dikkate alınamaz. Bu yüzden log, erişim kaydı ve kurulum dökümleri önemli delil olabilir; fakat bunların hukuka uygun, değişmezliği korunmuş ve amaçla sınırlı biçimde toplanması gerekir.