Franchise ve Bayilik Sistemlerinde Lisanssız Yazılım Kullanımından Kimin Sorumlu Olduğu

Franchise ve bayilik ağlarında lisanssız yazılım kullanımı, ilk bakışta sadece o şubede veya o bayide kullanılan bir program sorunu gibi görünür. Oysa bu tür yapılarda sorumluluk, yalnızca bilgisayara programı kuran kişiye göre belirlenmez. Bilgisayar programları Türk hukukunda eser olarak korunur; Fikir ve Sanat Eserleri Kanunu, bilgisayar programlarını ilim ve edebiyat eseri sayar ve programın yüklenmesi, görüntülenmesi, çalıştırılması, iletilmesi ve depolanmasını da eser sahibinin çoğaltma hakkı alanına dahil eder. Bu nedenle franchise şubesi veya bayi tarafından kullanılan lisanssız yazılım, sadece yerel bir “BT kusuru” değil; telif, sözleşme, tazminat, veri güvenliği ve yönetsel sorumluluk zinciri doğurabilen bir hukuk sorunudur.

Bu konuda en kritik soru şudur: Lisanssız yazılımı fiilen franchisee veya bayi kullanıyorsa, franchisor ya da ana şirket de sorumlu olur mu? Türk hukukunda bu sorunun cevabı çoğu olayda “duruma göre evet”tir. Çünkü sorumluluk, sadece bilgisayarın fiziksel sahibi kim diye değil; yazılımı kim zorunlu tuttu, kim lisansı sağladı, kim teknik kontrolü elinde tuttu, kim bu kullanımdan ticari yarar elde etti, kim bunu biliyor veya bilmesi gerekirken görmezden geldi sorularına göre kurulur. Bu nedenle franchise ve bayilik zincirlerinde tek bir sorumlu kalıbı yoktur; bazen asıl risk franchisee veya bayidedir, bazen ana şirkettedir, bazen de iki taraf birlikte hukuki baskı altında kalır. Bu sonuç, FSEK’in hak ihlali rejimi ile TBK, TTK ve KVKK’daki genel sorumluluk hükümlerinin birlikte değerlendirilmesinden çıkar.

Franchise ve bayilik yapısında neden sorumluluk karmaşıklaşır?

Franchise ve bayilik ilişkilerinin temel özelliği, ticari faaliyetin yerel işletmeci eliyle yürütülmesine rağmen markanın, iş modelinin, standartların ve çoğu zaman yazılım altyapısının merkez tarafından belirlenmesidir. Bir şube, franchise sözleşmesi gereği merkezi satış sistemi, merkezi stok programı, merkezi muhasebe entegrasyonu, merkezi sipariş paneli veya merkezi CRM kullanmak zorunda olabilir. Böyle bir durumda hukuka aykırı yazılım kullanımı, görünüşte yerel bilgisayarda çalışsa bile, fiilen merkezi organizasyonun parçası hâline gelir. Tam tersine, bayi kendi inisiyatifiyle bağımsız bir muhasebe ya da tasarım programı kullanıyorsa ve bu yazılım ana şirket sistemiyle bağlantılı değilse, sorumluluk daha çok bayi tarafında yoğunlaşabilir. Bu ayrım, somut olay bazında yapılması gereken en önemli hukuki ayrımdır.

Türk hukukunda bu başlığı çözerken tek başına “franchise” veya “bayilik” etiketi yeterli değildir. Asıl bakılması gereken, ilişkinin hukuki ve fiili mimarisidir. Yazılım merkezi sunucuda mı çalışıyor, lisans merkezi şirket adına mı alınmış, kullanıcı hesaplarını merkez mi açıyor, teknik destek kimde, veri merkezi havuza mı akıyor, markanın standartları yazılım kullanımını zorunlu mu kılıyor? Bu soruların cevapları, hak sahibine, müşteriye veya Kurula karşı kimin ne ölçüde muhatap olacağını belirler. Başka bir deyişle, sorumluluğu sözleşme başlığı değil, fiili kontrol ve kullanım ağırlığı tayin eder. Bu çıkarım, aşağıda değinilecek FSEK m.66, TBK m.112, m.116, m.66 ve KVKK m.12’nin birlikte yorumlanmasının doğal sonucudur.

FSEK bakımından ilk muhatap kim olur?

FSEK bakımından en güçlü çıkış noktası, eserin hak sahibinden yazılı izin alınmadan kullanılmasıdır. Kanun, izinsiz işleme, çoğaltma, yayma ve benzeri kullanımlar bakımından hak sahibine güçlü talepler tanır. Özellikle m.68 uyarınca hak sahibi, sözleşme yapılmış olsaydı isteyebileceği bedelin veya rayiç bedelin en çok üç katına kadar talepte bulunabilir. Franchise ve bayilik ağlarında hak sahibi genellikle önce fiili kullanıcıya bakar. Yani lisanssız yazılım hangi işletmede aktif kullanılıyorsa, hangi satış noktası bu program üzerinden sipariş, raporlama, muhasebe veya üretim yapıyorsa, o işletme doğrudan hedef hâline gelir. Bu nedenle bayi veya franchisee, “programı merkez önerdi” diyerek otomatik olarak dışarı çıkamaz.

Ancak FSEK m.66’nın mantığı, ihlalin işletme organizasyonu içinde yapılması hâlinde işletme sahibini de hedefe yerleştirir. Kanun, ihlal hizmetin ifası sırasında işletmenin temsilcileri veya çalışanları tarafından yapılmışsa işletme sahibi hakkında da dava açılabileceğini belirtir. Franchise ve bayilik ağlarında bu hükmün bire bir uygulanması, tarafların hukuki konumuna göre değişebilse de, merkez şirketin fiili kontrolü yüksekse veya lisanssız kullanım bizzat onun kurduğu sistemin parçasıysa, franchisor’un kendisini tamamen dışarıda tutması güçleşir. Özellikle merkezi lisans sunucusu, ortak kullanıcı hesabı, merkezden zorunlu yüklenen modül, ortak ERP veya merkezi bulut paneli söz konusuysa, hak sahibi karşısında yalnızca yerel şubeyi sorumlu görmek çoğu zaman eksik kalır. Bu değerlendirme, kanunun lafzı ile franchise ağının fiili işleyişinin birlikte okunmasına dayanır.

Burada belirleyici olan husus, merkez ile yerel işletme arasındaki mesafenin gerçek mi, kâğıt üzerinde mi olduğudur. Eğer franchisor, lisanssız yazılımı kendisi tedarik ediyor, kullanıcı sayısını kendisi açıyor, veri akışını kendisi topluyor ve şubeyi bu sistem üzerinde çalışmaya mecbur bırakıyorsa, “ayrı tüzel kişilik” savunması özel hukukta her zaman yeterli olmaz. Buna karşılık bayi, merkezin sisteminden tamamen bağımsız kendi yerel yazılımını hukuka aykırı biçimde kullanıyor ve merkez bunu bilmiyor, denetim alanına da girmiyorsa, dış sorumluluk daha çok bayi üzerinde toplanabilir. Dolayısıyla FSEK bakımından sonuç, tek cümlelik değil; kontrol, yarar ve bilgi ekseninde kademeli bir sonuçtur.

TBK bakımından franchisor ve bayi neden birlikte tartışılır?

Türk Borçlar Kanunu m.112’ye göre borç gereği gibi ifa edilmezse, borçlu kusursuzluğunu ispat edemedikçe karşı tarafın zararını gidermekle yükümlüdür. Franchise ve bayilik yapılarında lisanssız yazılım kullanımı çoğu zaman yalnızca hak sahibine karşı değil, müşteriye veya sözleşme karşı tarafına karşı da sorun yaratır. Örneğin bayi, lisanssız yazılım üzerinde stok ve sipariş yönetimi yapıyor, bu nedenle sistem arızası veya hukuki denetim sonucu hizmet aksıyorsa; müşteri tarafında “gereği gibi ifa edilmeyen ticari hizmet” tartışması doğabilir. Bu durumda yerel işletme doğrudan sözleşme borçlusu olarak sorumlu olur. Eğer ana şirket müşteriye karşı doğrudan taahhüt altındaysa veya hizmet mimarisini merkezden yönetiyorsa, merkez bakımından da sözleşmesel sorumluluk tartışması doğabilir.

Daha da önemlisi, TBK m.116 yardımcı kişilerin fiillerinden sorumluluğu düzenler. Bir borçlu, borcun ifasını yardımcı kişilere bırakmış olsa bile, onların işi yürüttükleri sırada verdikleri zarardan sorumludur. Franchise ve bayilik ağlarında bu hüküm özellikle merkez şirket açısından kritik olabilir. Çünkü ana şirket, markayı taşıyan hizmeti, satış modelini veya teknik süreci fiilen franchisee ya da bayi eliyle yerine getirtmektedir. Eğer merkez, kendi borç ilişkisini sahadaki bayi aracılığıyla yürütüyor ve bu yapı içinde lisanssız yazılım kullanımı doğuyorsa, “bu bağımsız tacir, ben sorumlu değilim” savunması her olayda tam koruma sağlamaz. En azından, merkezin kendi borç ilişkisini yerine getirirken seçtiği organizasyon modelinin sonuçlarından ne ölçüde sorumlu olacağı tartışılır.

TBK m.66 da ayrı bir hat kurar. Bu maddeye göre adam çalıştıran, çalışanın işin yapılması sırasında üçüncü kişilere verdiği zararı gidermekle yükümlüdür; ancak seçim, talimat, gözetim ve denetimde gerekli özeni gösterdiğini ispat ederse kurtulabilir. Franchisee klasik anlamda işçi değildir; fakat merkez şirket kendi iç ekibiyle bayi ağında lisanssız yazılım kuruyor, saha destek personeli gönderiyor veya teknik kurulumları merkez elemanlarıyla yapıyorsa, bu hüküm doğrudan önem kazanır. Ayrıca merkez, kendi çalışanları aracılığıyla bayilere lisanssız modül yükletmişse veya sahte kullanıcı hesabı açtırmışsa, kurtuluş savunması daha da zayıflar. Bu nedenle franchise ve bayilik sistemlerinde sorumluluk zinciri, sadece dış işletmeciye bırakılarak kolayca kesilemez.

Ana şirketin sorumluluğunu artıran başlıca senaryolar

Ana şirketin veya franchisor’un riski en çok şu hâllerde artar: yazılımın merkezi lisansla sağlanması, zorunlu merkez yazılımı kullanımı, kullanıcı ve parola yönetiminin merkezden yapılması, verilerin ortak merkez sunucuda toplanması, lisans aşımının veya sahte aktivasyonun merkez tarafından bilinmesi ya da raporlanmasına rağmen sürdürülmesi ve ağ genelinde aynı hukuka aykırı modelin uygulanması. Böyle bir tabloda merkez sadece marka sahibi değil, fiili sistem kurucusu ve yöneticisi gibi hareket eder. Bu durumda hak sahibi karşısında da, müşteri karşısında da ve hatta veri koruma bakımından da merkezin sorumluluk alanı ciddi biçimde genişler. Bu sonuç, FSEK’in kullanım mantığı ile TBK’daki ifa ve yardımcı kişi hükümlerinin birleşik etkisidir.

Ayrıca merkez, lisans maliyetini kısmak için bayilere “aynı lisansı paylaşın”, “tek kullanıcı hesabıyla devam edin”, “henüz lisans almayın, böyle idare edin” gibi açık veya örtülü talimat veriyorsa, artık yerel işletmenin münferit kusurundan değil, ağ çapında organize edilen bir hukuka aykırılıktan söz edilebilir. Bu durumda merkez yöneticilerinin TTK m.369’daki özen borcu ve m.553’teki sorumluluk rejimi de ayrıca tartışılır. Çünkü sorun sadece satış noktasında olan bir hata değil, yönetsel tercih hâline gelmiş bir uyumsuzluktur.

Bayi veya franchisee’nin asıl sorumlu olduğu senaryolar

Öte yandan her olayda ana şirketi merkezde görmek de doğru değildir. Eğer bayi veya franchisee, merkezden bağımsız biçimde kendi yerel muhasebe, CAD, ofis, stok veya CRM yazılımını satın alıyor, kuruyor ve kullanıyorsa; merkez bu sisteme erişmiyor, veri akışı almıyor ve zorunlu tutmuyorsa, hukuki risk öncelikle yerel işletmede yoğunlaşır. Böyle bir durumda telif ihlali, sözleşmeye aykırılık ve veri güvenliği eksikliği asıl olarak fiili kullanıcı olan bayiye yüklenir. Özellikle bayi, markadan bağımsız iç operasyon yazılımını kendi başına lisanssız yürütüyorsa, merkeze yönelen iddiaların zemini zayıflar. Bu değerlendirme, “fiili kullanım” ve “teknik kontrol” ilkelerine dayanır.

Ancak burada bile merkez tamamen risksiz olmaz. Çünkü franchise ve bayilik sözleşmelerinde çoğu zaman markanın, kalite standartlarının ve bilgi sistemlerinin asgari kontrolü merkeze bırakılır. Eğer merkez düzenli denetim yapıyor ama açık lisans ihlalini görmezden geliyorsa, “bilgi ve tolerans” nedeniyle sorumluluk yeniden güçlenebilir. Kısacası bayi tarafında başlayan risk, merkezin görmezden gelmesiyle ortak bir sorumluluğa dönüşebilir. Bu, özellikle zincir genelinde bilinen ama düzeltilmeyen yazılım uygulamalarında önemlidir.

KVKK bakımından sorumluluk nasıl dağılır?

Franchise ve bayilik ağlarında müşteri verileri, sadakat programı kayıtları, sipariş verileri, çalışan verileri ve bayi performans verileri çoğu zaman ortak sistemlerde işlenir. KVKK m.10 veri sorumlusuna aydınlatma yükümlülüğü getirir; m.12 ise kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, verileri muhafaza etmek ve gerekli teknik-idari tedbirleri almak zorunda olduğunu söyler. Ayrıca veri, veri sorumlusu adına başka biri tarafından işleniyorsa, veri sorumlusu ile veri işleyen teknik ve idari tedbirler bakımından müşterek sorumludur. Bu nedenle lisanssız yazılım, müşteri verisinin işlendiği ortak franchise sisteminde kullanılıyorsa, veri koruma bakımından merkez ile şube arasındaki sorumluluk daha da iç içe geçer.

Merkez şirketin müşteri verisini ortak havuzda topladığı, sadakat programını yönettiği veya şubelere ortak CRM/ERP kullandırdığı yapılarda, lisanssız yazılım kullanımı sadece telif sorunu değil, veri güvenliği sorunu da yaratır. KVKK’nın resmi veri güvenliği rehberi; veri sorumlularının yetki matrisi, erişim logları, kullanıcı hesap yönetimi, ağ güvenliği, uygulama güvenliği, yedekleme ve denetim mekanizmaları kurmasını tavsiye eder. Lisanssız, sahte anahtarlı veya destek dışı yazılımlar bu güvenlik mimarisini zayıflatıyorsa, merkez “veri sadece bayide işleniyordu” diyerek kolayca sıyrılamaz. Özellikle merkezi sunucu veya ortak bulut yapı varsa, sorumluluk merkezi düzeyde çok daha belirginleşir.

Buna karşılık tamamen yerel veri işleme modeli varsa ve bayi yalnızca kendi personelini, kendi müşteri listesini bağımsız bir sistemde tutuyorsa, veri sorumluluğu daha çok bayide kalabilir. Yine de franchise sözleşmesindeki veri paylaşım hükümleri, ortak marka politikaları ve merkez denetimi bu sonucu değiştirebilir. Veri koruma hukukunda asıl ölçüt, fiili veri kontrolünün ve işleme amaç/vasıtalarının kim tarafından belirlendiğidir. Bu nedenle KVKK bakımından da tek cevap yoktur; fakat ortak sistem ne kadar merkeziyse, merkez şirketin riski o kadar artar.

Yönetici ve şirket organlarının sorumluluğu

TTK m.367, yönetimin kısmen veya tamamen devredilebileceğini; ancak bunun yazılı iç yönergeyle yapılması ve görevlerin açık belirlenmesi gerektiğini düzenler. TTK m.369 ise yönetim kurulu üyeleri ve yönetimle görevli üçüncü kişilerin tedbirli bir yöneticinin özeniyle hareket etmek zorunda olduğunu söyler. Franchise ve bayilik ağlarında merkez şirketin lisans yönetimini, bilgi sistemlerini ve şube yazılım standartlarını fiilen yönettiği düşünüldüğünde, lisanssız yazılımın ağ genelinde sürmesi sadece bir şube hatası olarak görülemeyebilir. Eğer merkez yönetimi bunu biliyor veya makul denetimle bilmesi gerekirken önlem almıyorsa, TTK m.553 çerçevesinde iç sorumluluk tartışması da gündeme gelebilir.

Bu özellikle kurumsal zincirler için önemlidir. Çünkü franchisor çoğu zaman yalnızca marka lisansı veren pasif taraf değil; yazılım, operasyon, kampanya, müşteri verisi ve satış akışını yöneten aktif organizatördür. Böyle bir ağda lisans uyumunu “şubeler kendi işini bilir” diyerek tamamen sahaya bırakmak, yönetsel özen standardını zayıflatır. TTK’nın özen borcu mantığı da zaten tam olarak bunu hedefler: risk, organizasyonel olarak öngörülebilir ve yönetilebilir ise, yönetim tarafından ciddiyetle ele alınmalıdır.

Ceza hukuku bakımından durum

Ceza sorumluluğu kural olarak şahsidir. TCK m.20, kimsenin başkasının fiilinden dolayı sorumlu tutulamayacağını ve tüzel kişiler hakkında ceza yaptırımı uygulanamayacağını belirtir. Bu nedenle franchise ağında lisanssız yazılım kullanımı ceza dosyasına taşınırsa, asıl değerlendirme gerçek kişiler üzerinden yapılır: programı bilerek kuran, sahte anahtar kullanan, crack yükleyen, talimat veren veya bilerek sürdürülmesine karar veren kişiler bakımından. Ancak bu, merkezin etkilenmeyeceği anlamına gelmez; çünkü soruşturma sırasında ortak sunucular, kullanıcı hesapları, lisans kayıtları ve e-posta yazışmaları delil konusu olabilir.

FSEK m.71, yazılı izinsiz işleme, çoğaltma, dağıtma ve ticari amaçla elde bulundurma gibi fiilleri yaptırıma bağlar. Franchise ağında lisanssız yazılım kullanımının sistematik ve ticari amaçlı olması, özellikle ortak hesap veya sahte aktivasyon gibi yöntemlerle sürdürülmesi hâlinde ceza riski görünür hâle gelir. Burada yine aynı ilke geçerlidir: kim fiili yönetmiş, kim bilmiş, kim sürdürmüş? Merkez sadece marka sahibi ama fiile uzak ise ceza riski zayıflar; fakat merkez tarafından organize edilen ortak lisans aşımı varsa gerçek kişi yöneticiler bakımından risk artar.

Taraflar kendi aralarında nasıl rücu eder?

Dış dünyaya karşı hak sahibi veya müşteri öncelikle fiili kullanıcıya ya da kontrol edene yönelebilir; fakat iç ilişkide franchisor ile franchisee, merkez ile bayi arasında ayrıca rücu tartışması doğar. Burada belirleyici olan, sözleşme hükümleri, talimat zinciri, denetim kayıtları ve kusur dağılımıdır. Eğer merkez lisanssız sistemi zorunlu tuttuysa, bayiye tam rücu etmesi zorlaşır. Eğer bayi bağımsız biçimde lisanssız program kullandıysa, merkez aleyhine ödeme çıktıktan sonra bayiye dönmek daha kolay olabilir. TBK’nın borca aykırılık, yardımcı kişi ve kusur hükümleri iç ilişkide bu dengeyi kurar. Bu nedenle franchise ve bayilik sözleşmelerinde lisans uyumu, üçüncü taraf yazılımlar, denetim hakkı ve tazmin yükümlülüğü açıkça yazılmalıdır.

Sadece “bayi tüm mevzuata uymakla yükümlüdür” gibi genel ifadeler çoğu zaman yetersiz kalır. Merkezin gerçekten denetim hakkı kullanıp kullanmadığı, lisans belgelerini isteyip istemediği, ortak yazılım onay listesi oluşturup oluşturmadığı ve ihlal halinde şubeyi sistemden çıkarma yetkisi bulunup bulunmadığı önemlidir. Rücu başarısı, çoğu kez bu operasyonel detaylara bağlıdır. Bu paragraf, kanunların açık lafzından çok, sözleşme ve kusur mantığının uygulamadaki sonucudur.

Şirketler ne yapmalı?

Franchise ve bayilik ağlarında en güvenli yaklaşım, yazılım lisans uyumunu “yerel şubenin kendi sorunu” gibi görmemektir. Merkez, hangi yazılımların zorunlu, hangilerinin onaylı, hangilerinin yasak olduğunu açıkça belirlemeli; kullanıcı ve lisans envanterini tutmalı; ortak sistemlerde lisans zincirini merkezi olarak yönetmeli ve şubelerden periyodik belge istemelidir. Eğer yerel işletmelere seçim serbestisi tanınıyorsa, bu durumda da asgari lisans ve veri güvenliği standartları sözleşmeyle netleştirilmelidir. Bu tür bir yapı hem FSEK riskini hem TBK ve KVKK riskini azaltır.

Ayrıca veri işlenen sistemlerde lisans uyumu ile veri güvenliği birlikte ele alınmalıdır. Merkez, CRM, sipariş, sadakat programı, ERP ve muhasebe entegrasyonu gibi alanlarda kullanılan tüm yazılımların lisanslı ve destekli olmasını şart koşmalı; log, yetki ve güncelleme süreçlerini ortak politikaya bağlamalıdır. KVKK rehberindeki teknik ve idari tedbir mantığı da bunu gerektirir. Kısacası franchise ve bayilik ağında yazılım uyumu sadece telif değil, marka itibarı ve veri güvenliği meselesidir.

Sonuç

Franchise ve bayilik sistemlerinde lisanssız yazılım kullanımından kimin sorumlu olduğu sorusunun tek ve kısa bir cevabı yoktur. Genel kural şudur: lisanssız yazılımı fiilen kullanan yerel işletme çoğu zaman ilk sorumludur; ancak ana şirket veya franchisor, yazılımı zorunlu tutuyor, sağlıyor, yönetiyor, bundan ticari yarar elde ediyor veya bildiği halde sürdürüyorsa o da ciddi ölçüde sorumlu hâle gelir. FSEK bakımından telif sorumluluğu, TBK bakımından borca aykırılık ve yardımcı kişi sorumluluğu, KVKK bakımından veri güvenliği ve müşterek sorumluluk, TTK bakımından da yönetsel özen ve iç sorumluluk tartışmaları aynı dosyada birleşebilir.

Bu nedenle doğru yaklaşım “bayi yaptıysa merkez kurtulur” veya “merkez varsa bayi önemsizdir” gibi basit formüller değildir. Doğru hukukî analiz; fiili kullanım, teknik kontrol, lisans tedariki, veri akışı, sözleşme hükümleri, denetim mekanizması ve bilgi düzeyini birlikte değerlendirmektir. Franchise ve bayilik zincirlerinde sorumluluğu azaltmanın tek yolu da budur: lisans yönetimini ağ genelinde görünür, belgeli ve denetlenebilir hâle getirmek. Aksi halde lisanssız yazılım sorunu, tek bir şubenin kusuru gibi başlayıp bütün ağın hukukî ve ticari riskine dönüşebilir