ERP Sistemlerinde Lisans Aşımı ve Kurumsal Sorumluluk

ERP sistemlerinde lisans aşımı nedir, şirketler ve yöneticiler hangi hukuki risklerle karşılaşır? FSEK, TBK, TTK, KVKK ve ceza hukuku boyutlarıyla ERP lisans ihlallerini inceleyen kapsamlı  hukuki rehber.

ERP, yani kurumsal kaynak planlama sistemi, şirketlerin muhasebe, finans, satın alma, proje yönetimi, risk ve mevzuat uyumu, tedarik zinciri, üretim ve insan kaynakları gibi temel iş süreçlerini tek platformda birleştiren yazılım altyapısını ifade eder. ERP sistemleri farklı departmanlar arasındaki veri akışını merkezileştirir ve şirketin “tek veri kaynağı” mantığıyla çalışmasına yardımcı olur. Bu nedenle ERP lisans uyuşmazlığı, sıradan bir masaüstü yazılım ihtilafından çok daha ağır sonuçlar doğurur; çünkü sorun doğrudan şirketin finansal kayıtlarına, stok hareketlerine, üretim planına, bordro akışına ve yönetim raporlamasına temas eder.

Türk hukukunda bilgisayar programları açıkça eser olarak korunur. Fikir ve Sanat Eserleri Kanunu’na göre bilgisayar programları ilim ve edebiyat eseri sayılır; ayrıca programın yüklenmesi, görüntülenmesi, çalıştırılması, iletilmesi ve depolanması da eser sahibinin çoğaltma hakkı kapsamında değerlendirilir. Bu yüzden ERP lisans aşımı, yalnızca “fazla kullanıcı açıldı” şeklinde dar bir teknik mesele değil; somut olayın niteliğine göre izinsiz çoğaltma, yetkisiz kullanım veya lisans sınırının aşılması olarak telif hukuku alanına girebilen bir ihlal biçimidir.

ERP lisans aşımı kavramı hukuken, ERP sözleşmesinde tanımlanan kullanım sınırının aşılmasını ifade eder. Bu sınır bazen kullanıcı sayısı, bazen modül kapsamı, bazen şirket/şube bazlı kullanım alanı, bazen test ve üretim ortamı ayrımı, bazen de entegrasyon ve erişim modeli üzerinden kurulur. Başka bir anlatımla, şirket elindeki ERP lisansını sözleşmede tanımlanan ekonomik ve teknik kapsamın ötesine taşıdığında lisans aşımı sorunu doğar. ERP’nin çok sayıda iş sürecini tek bir platformda toplaması nedeniyle bu aşım, çoğu zaman yalnızca BT departmanının değil, finans, muhasebe, satın alma ve üst yönetimin de sorumluluk alanına temas eder.

ERP lisans aşımı neden klasik yazılım ihlalinden daha ağırdır?

Bunun en önemli nedeni, ERP’nin şirketin çekirdek operasyonlarına gömülü olmasıdır. Muhasebe, finans, satın alma, proje yönetimi, tedarik zinciri ve üretim gibi günlük iş faaliyetlerinin ERP üzerinden yürütülmesi, bu yazılımdaki her lisans sorununun yalnızca bir telif meselesi değil, aynı zamanda ticari kayıt düzeni ve kurumsal yönetişim sorunu olmasına yol açar. Şirketin finansal sonuçlarını planlama, raporlama ve denetim kabiliyeti de çoğu kez ERP’den beslendiği için, ERP lisans aşımı şirketin yalnızca yazılım uyumunu değil, iç kontrol mimarisini de tartışmalı hâle getirir.

Türk Ticaret Kanunu m.64, her tacirin ticari defterlerini ve kayıtlarını işletmenin iktisadi ve mali durumunu açıkça gösterecek şekilde tutmasını ve işletmeyle ilgili belgelerin kopyalarını saklamasını zorunlu kılar. ERP sistemleri bu kayıt düzeninin fiilî taşıyıcısı hâline geldiğinde, lisanssız veya lisans aşımı içeren kullanım; defter, belge, veri akışı ve raporlama disiplininin nasıl kurulduğu konusunda ek soru doğurur. Sorun burada sadece yazılım üreticisine karşı değil, şirketin kendi denetlenebilirliği bakımından da büyür. Bu nedenle ERP lisans aşımı, klasik bir tek bilgisayar lisans ihlalinden farklı olarak kurumsal sorumluluk tartışmasını merkezî hâle getirir.

FSEK bakımından ERP lisans aşımının sonuçları

FSEK m.68’e göre hak sahibinden Kanuna uygun yazılı izin almadan eseri işleyen, çoğaltan, çoğaltılmış nüshaları yayan, temsil eden veya umuma ileten kişilerden, hak sahibi sözleşme yapılmış olsaydı isteyebileceği bedelin veya rayiç bedelin en çok üç katını isteyebilir. ERP lisans aşımı bakımından bu hüküm çok kritiktir. Çünkü ERP sözleşmeleri çoğu zaman yüksek bedelli, kurumsal, modüler ve kullanıcı bazlı yapılardır. Bu nedenle lisans sınırının aşılması hâlinde talep edilecek varsayımsal lisans bedeli veya rayiç bedel, sıradan ofis yazılımlarına kıyasla çok daha yüksek olabilir.

FSEK m.66 da kurumsal sorumluluk bakımından ayrıca önemlidir. Kanun, manevi ve mali hakları ihlal edilen kişinin tecavüzün ref’ini dava edebileceğini; ihlal, hizmetin ifası sırasında bir işletmenin temsilcileri veya çalışanları tarafından yapılmışsa işletme sahibi hakkında da dava açılabileceğini ve bunun için ayrıca kusur aranmayacağını düzenler. ERP lisans aşımı çoğu zaman şirket çalışanları, BT birimi, ERP danışmanları veya yönetim talimatlarıyla gerçekleştiği için, dış dünyaya karşı ilk muhatap çoğu olayda tüzel kişiliğin kendisi olur. “Bu aşımı danışman yaptı” veya “bunu BT fark etmedi” savunması, hak sahibine karşı şirketin riskini kendiliğinden ortadan kaldırmaz.

Sözleşmesel sorumluluk ve TBK boyutu

ERP lisans aşımı, çoğu dosyada yalnızca telif hakkı ihlali olarak değil, aynı zamanda lisans sözleşmesine aykırılık olarak da görünür. Türk Borçlar Kanunu m.112’ye göre borç hiç veya gereği gibi ifa edilmezse, borçlu kusursuzluğunu ispat edemedikçe alacaklının bundan doğan zararını gidermekle yükümlüdür. ERP sözleşmesinde kullanıcı sayısı, şirket bazlı kullanım, modül sınırı, lokasyon, entegrasyon veya bakım-destek rejimi belirlenmişse; bunların aşılması özel hukuk anlamında sözleşmeye aykırılık tartışmasını güçlendirir. Bu durumda hak sahibi yalnızca FSEK’e değil, sözleşmesel zarar giderimi mantığına da dayanabilir.

TBK m.49 ise kusurlu ve hukuka aykırı fiille başkasına zarar verenin bu zararı gidermekle yükümlü olduğunu düzenler. ERP lisans aşımı kasıtlı, bilinçli veya ağır ihmalli şekilde yürütülmüşse; örneğin lisans uyarıları bilinerek kapatılmışsa, sözleşmeye aykırı kullanıcılar sisteme açılmışsa veya şirket hak sahibini yanıltacak teknik yapı kurmuşsa, haksız fiil temelli tazminat tartışması da gündeme gelebilir. Özellikle ERP’nin yoğun ticari kullanım alanı nedeniyle zarar kalemleri bazen yalnızca lisans bedeliyle sınırlı kalmaz; denetim gideri, sistem dönüşüm masrafı ve iş sürekliliği kaybı da uyuşmazlığın parçası olabilir.

TBK m.116’ya göre borçlu, borcun ifasını yardımcı kişilere bırakmış olsa bile onların işi yürüttükleri sırada diğer tarafa verdikleri zararı gidermekle yükümlüdür. ERP projelerinde dış danışman, implementasyon firması, entegratör veya dış kaynak BT ekibi kullanılması çok yaygındır. Bu nedenle lisans aşımının teknik olarak danışman eliyle gerçekleşmiş olması, şirketi her zaman korumaz. Şirket ile hak sahibi arasındaki asıl lisans ilişkisi sürerken, dış danışman üzerinden yapılan aşım çoğu zaman şirketin dış sorumluluğunu kaldırmaz; sadece iç ilişkide rücu ve kusur paylaşımı tartışması yaratır.

Çalışan, BT birimi ve ERP danışmanı sorumlu olur mu?

Şirket içi düzlemde evet, olabilir. TBK m.396 uyarınca işçi, yüklendiği işi özenle yapmak ve işverenin haklı menfaatlerini korumada sadakatle davranmak zorundadır; işverene ait teknik sistemleri de usulüne uygun kullanmalıdır. Eğer ERP yöneticisi, sistem yöneticisi, finans birimi yetkilisi veya danışman; lisans sınırının aşıldığını biliyor, bunu gizliyor, raporlamıyor ya da bilerek sürdürüyorsa, işveren bakımından iç sorumluluk ve gerektiğinde disiplin/haklı fesih tartışması doğabilir. Ancak bu noktada da kusur dağılımı somut olayla belirlenir; sırf BT biriminde çalışıyor olmak otomatik kişisel sorumluluk yaratmaz.

TBK m.66 ise adam çalıştıranın sorumluluğunu düzenler. Şirket, çalışanının kendisine verilen işin görülmesi sırasında üçüncü kişilere verdiği zarardan kural olarak sorumludur; ancak seçim, talimat, gözetim ve denetimde gerekli özeni gösterdiğini ispat ederse kurtulabilir. ERP lisans aşımı dosyalarında bu hüküm çok önemlidir; çünkü çoğu olayda şirket, lisans yönetimini çalışanlarına, ERP yöneticisine veya BT’ye bırakmıştır. Şirketin kurtuluş zemini “haberim yoktu” savunması değil; lisans envanteri, kullanıcı kontrolü, iç denetim, uyarı mekanizması ve sözleşme yönetimi kurduğunu gösterebilmesidir.

Yönetici ve şirket organlarının sorumluluğu

ERP lisans aşımı yalnızca operasyon birimlerinin sorunu değildir. TTK m.369, yönetim kurulu üyeleri ve yönetimle görevli üçüncü kişilerin görevlerini tedbirli bir yöneticinin özeniyle yerine getirmesini ve şirket menfaatlerini dürüstlük kurallarına uygun gözetmesini zorunlu kılar. TTK m.553 ise kanundan ve esas sözleşmeden doğan yükümlülüklerin kusurla ihlal edilmesi hâlinde kurucuların, yönetim kurulu üyelerinin, yöneticilerin ve tasfiye memurlarının şirkete, pay sahiplerine ve alacaklılara karşı sorumlu olabileceğini düzenler. ERP, finansal kayıt ve yönetsel raporlamanın kalbine yerleştiği için, burada süregelen lisans aşımı üst yönetim tarafından biliniyor veya makul denetimle bilinmesi gerekirken görmezden geliniyorsa, konu yönetici sorumluluğuna kadar çıkabilir.

Bu nedenle ERP lisans aşımı dosyalarında asıl hukuki soru yalnızca “kaç kullanıcı fazlaydı” değildir. Daha önemli soru, “şirket bu riski nasıl yönetti, kim raporladı, kim göz yumdu ve hangi iç kontrol mekanizması çalışmadı” sorusudur. TTK m.64’teki kayıt düzeni ile m.369’daki özen borcu birlikte okunduğunda, lisans yönetiminin şirket içinde kurumsal prosedüre bağlanması gerektiği açıkça ortaya çıkar. ERP’nin finans, muhasebe ve satın alma fonksiyonlarını etkilediği bir yerde, lisans uyumunun rastgele veya tamamen teknik inisiyatife bırakılması yönetsel açıdan savunulabilir bir model değildir.

KVKK ve veri güvenliği boyutu

ERP sistemleri neredeyse daima kişisel veri işler. Çalışan özlük verileri, bordrolar, müşteri kayıtları, tedarikçi bilgileri, cari hareketler, bazen sağlık veya hassas nitelikli veriler ERP altyapısında bulunabilir. KVKK m.10 veri sorumlusuna aydınlatma yükümlülüğü, m.12 ise kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek için gerekli teknik ve idari tedbirleri alma yükümlülüğü yükler. Lisans aşımı doğrudan KVKK ihlali demek değildir; ancak lisanssız veya yetkisiz genişletilmiş ERP kullanımı, yetki yönetimini bozuyor, log disiplinini zayıflatıyor, güncelleme ve destek süreçlerini belirsizleştiriyor veya veri güvenliği zaafı doğuruyorsa, şirket aynı anda veri koruma riskiyle de karşılaşabilir.

Özellikle ERP’de fazladan kullanıcı açılması, eski kullanıcıların kapatılmaması, test verisinin üretime taşınması veya grup şirketlerinin aynı lisansı paylaşıp aynı veri tabanına erişmesi gibi uygulamalar, yalnızca lisans sözleşmesi değil, erişim yetkileri ve kişisel veri güvenliği açısından da problem yaratabilir. Kanun, veri sorumlusundan gerekli denetimleri yapmasını veya yaptırmasını bekler. Bu nedenle ERP lisans aşımı şirket açısından bazen “telif dosyası” olarak başlar ama “iç denetim ve KVKK zafiyeti” başlığına da dönüşebilir. Bu, KVKK’daki teknik-idari tedbir yükümlülüğünün ERP’nin fonksiyonel gerçekliğiyle birlikte değerlendirilmesinden çıkan bir sonuçtur.

Delil, iç denetim ve ispat

ERP lisans aşımı uyuşmazlıklarında ispatın omurgasını çoğu zaman elektronik veriler oluşturur. HMK m.199’a göre uyuşmazlık konusu vakıaları ispata elverişli elektronik ortamdaki veriler ve benzeri bilgi taşıyıcıları belge sayılır. Bu nedenle ERP kullanıcı logları, lisans sunucusu kayıtları, şirket kodu/müşteri numarası bazlı kullanım raporları, aktivasyon geçmişi, danışman e-postaları, bakım sözleşmeleri ve yetki tabloları hukuk yargılamasında önemli delildir. ERP ihtilaflarında “sözleşmede böyle yazıyordu” kadar, “sistem gerçekte nasıl kullanıldı” sorusu da önem taşır.

Bu nedenle şirketin yapması gereken ilk şey, sorun çıktığında veriyi yok etmek değil, delili korumaktır. ERP lisans aşımı şüphesi doğduğunda logların silinmesi, kullanıcı kayıtlarının sonradan düzeltilmesi veya denetimden önce sistemin gerçeği yansıtmayan şekilde yeniden yapılandırılması, savunmayı güçlendirmek yerine zayıflatabilir. Hukuken doğru yaklaşım; lisans envanterini, kullanıcı listesini, sözleşme kapsamını, dış danışman talimatlarını ve ERP altyapısındaki fiilî kullanımı birlikte ortaya koymaktır. HMK m.199’un elektronik veriyi belge sayması, bu tür iç incelemelerin neden dikkatle yürütülmesi gerektiğini açıkça gösterir.

Ceza hukuku boyutu var mı?

Somut olaya göre evet. FSEK m.71, hak sahibinin yazılı izni olmaksızın eseri işleyen, çoğaltan, dağıtan, yayımlayan, ticari amaçla elinde bulunduran veya depolayan kişiler için ceza yaptırımı öngörür. FSEK m.72 ise bilgisayar programının hukuka aykırı çoğaltılmasını önlemek amacıyla oluşturulmuş koruyucu programları etkisiz kılmaya yönelik yazılım veya donanımlar bakımından ayrıca ceza tehdidi getirir. Her ERP lisans aşımı otomatik olarak ceza davası anlamına gelmez; fakat lisans sınırını bilinçli biçimde aşmak, koruma mekanizmalarını devre dışı bırakmak veya sahte aktivasyon yöntemleri kullanmak durumunda ceza riski daha görünür hâle gelir.

Burada kritik ilke TCK m.20’dir: ceza sorumluluğu şahsidir; tüzel kişiler hakkında kural olarak ceza yaptırımı uygulanmaz, ancak güvenlik tedbirleri saklıdır. Bunun anlamı şudur: ERP lisans aşımı dosyasında ceza tehdidi, çoğu zaman şirket tüzel kişiliğine değil; fiile bilerek katılan gerçek kişilere, yani sorumlu yöneticiye, ERP yöneticisine, BT karar vericisine veya açık talimat veren kişilere yönelir. Yine de soruşturmanın şirketi etkilemeyeceği düşünülmemelidir; çünkü delil toplama, cihaz incelemesi ve kayıt denetimi çoğu zaman şirket altyapısı üzerinde yapılır.

Şirketler ne yapmalı?

ERP lisans aşımı riskini azaltmanın yolu, sorun çıkınca savunma üretmek değil, sorun çıkmadan kurumsal lisans yönetimi sistemi kurmaktır. Şirketin elinde güncel lisans envanteri, kullanıcı matrisi, modül bazlı hak listesi, grup şirketi kullanımı politikası, test/üretim ayrımı, dış danışman erişim protokolü ve iç denetim takvimi bulunmalıdır. ERP’nin finansal kayıt ve raporlamanın merkezinde olduğu düşünüldüğünde, bu alanın “BT nasıl olsa bakar” yaklaşımıyla yürütülmesi hukuken zayıf bir zemin yaratır. TTK m.64, m.369 ve m.553 birlikte okunduğunda, ERP lisans yönetiminin kurumsal yönetişimin bir parçası hâline getirilmesi gerektiği açıktır.

İkinci olarak, şirketler lisans denetimini sadece yazılım üreticisinden gelen ihtarnameye bırakmamalıdır. ERP projelerinde dış danışman, integratör ve uygulama destek ekibi kullanılıyorsa, sözleşmelerde açık sorumluluk paylaşımı kurulmalı; TBK m.116 bakımından yardımcı kişilerin fiillerinden doğan riskler hesaba katılmalıdır. Dış danışmanla yapılan sözleşmede “kullanım modelinin lisans sözleşmesine uygun kurulacağı”, “aşım riskinin raporlanacağı” ve “sistem tasarımının sözleşmeye aykırı genişletilmeyeceği” yönünde açık hükümler bulunması, sonradan doğacak rücu ve kusur tartışmalarında şirket lehine önemli zemin oluşturur.

Üçüncü olarak, ERP lisans uyuşmazlığında hedef yalnızca geçmişi temizlemek değil, geleceği de düzenlemektir. Hak sahibiyle uyuşmazlık doğduğunda şirket, lisanslı sürüme geçiş planı, kullanıcı azaltımı, modül daraltımı, grup şirketi ayrıştırması ve veri taşıma takvimini birlikte düşünmelidir. Çünkü FSEK bakımından yalnızca geçmiş bedel değil, devam eden ihlalin durdurulması da önemlidir. ERP gibi çekirdek yazılımlarda “yarın kapatalım” çoğu zaman mümkün olmadığından, en doğru strateji hukuki ve teknik geçiş planını aynı dosyada kurmaktır. Bu, FSEK’in bedel ve ref mantığıyla ERP’nin operasyonel gerçeğinin birlikte değerlendirilmesinden doğan pratik bir sonuçtur.

Sonuç

ERP sistemlerinde lisans aşımı, klasik bir yazılım lisans uyuşmazlığından daha ağır ve daha katmanlı bir hukuki problemdir. Çünkü ERP; muhasebe, finans, tedarik, üretim, insan kaynakları ve raporlamayı tek sistemde toplar. Bu nedenle lisans aşımı, FSEK bakımından telif hakkı ihlali ve yüksek bedel/tazminat riski yaratırken; TBK bakımından sözleşmeye aykırılık ve haksız fiil, TTK bakımından kayıt düzeni ile yönetici özen borcu, KVKK bakımından veri güvenliği ve erişim kontrolü, ceza hukuku bakımından ise somut olaya göre kişisel sorumluluk tartışması doğurabilir.

Bu nedenle şirketler açısından doğru soru “kaç kullanıcı fazla açılmış?” sorusu değildir. Asıl soru şudur: ERP lisans sözleşmesindeki sınır nedir, fiilî kullanım bu sınırı nasıl aştı, bu aşımı kim bildi, kim raporladı ve şirket bunu önlemek için hangi kurumsal yapıyı kurdu? Cevaplar güçlü ise lisans aşımı yönetilebilir bir hukuki risk olarak kalır. Cevaplar zayıfsa, ERP lisans aşımı yalnızca yazılım üreticisiyle yaşanan bir uyuşmazlık olmaktan çıkar; şirketin iç kontrol, yönetişim ve uyum kapasitesini sorgulayan daha büyük bir dosyaya dönüşür.

Sık sorulan sorular

ERP lisans aşımı sadece fazla kullanıcı açılması mıdır?
Hayır. Hukuken lisans aşımı, sözleşmede tanımlanan kullanım kapsamının aşılmasıdır. Bu kapsam kullanıcı, modül, şirket bazlı kullanım, erişim modeli veya sistem çevresi üzerinden kurulabilir. ERP’nin finans, muhasebe, satın alma ve üretim gibi temel iş süreçlerini tek platformda toplaması nedeniyle bu aşımın etkisi genişler.

ERP lisans aşımı nedeniyle doğrudan şirket mi sorumlu olur?
Dış ilişki bakımından çoğu kez evet. FSEK m.66, ihlalin işletme temsilcileri veya çalışanları tarafından hizmet sırasında yapılması hâlinde işletme sahibi hakkında da dava açılabileceğini söyler. İç ilişkide ise çalışan, BT birimi, danışman ve yönetici bakımından ayrıca kusur ve rücu değerlendirmesi yapılabilir.

ERP lisans aşımı ceza davasına dönüşür mü?
Her zaman değil. Ancak FSEK m.71 ve m.72 kapsamına giren, özellikle bilinçli, sistematik veya koruma önlemlerini aşan kullanımlarda ceza riski doğabilir. Ceza sorumluluğu şahsi olduğundan, değerlendirme çoğu zaman fiile katılan gerçek kişiler üzerinden yapılır.

ERP logları ve kullanıcı kayıtları mahkemede delil olur mu?
Evet. HMK m.199 elektronik ortamdaki verileri belge kabul eder. Bu nedenle ERP kullanıcı logları, lisans raporları, aktivasyon kayıtları ve e-posta yazışmaları hukuk yargılamasında önemli delil niteliği taşıyabilir.