Freelance ve Dış Kaynak Ekiplerin Kullandığı Yazılımlardan Şirket Sorumlu Olur mu?

Freelance yazılımcıların, ajansların ve dış kaynak ekiplerin kullandığı lisanssız veya lisansa aykırı yazılımlardan şirket sorumlu olur mu? Türk hukukunda FSEK, TBK, TTK, KVKK ve ceza hukuku açısından kapsamlı değerlendirme.

Şirketler, maliyet ve hız avantajı nedeniyle yazılım geliştirme, tasarım, modelleme, veri işleme, muhasebe otomasyonu, ERP uyarlama, CAD çizimi, test, siber güvenlik ve bulut yönetimi gibi birçok işi artık freelance çalışanlara veya dış kaynak ekiplerine bırakıyor. Ancak işin dışarıya devredilmesi, hukuki riskin de dışarıya devredildiği anlamına gelmiyor. Özellikle dış ekiplerin lisanssız, crackli, sahte anahtarlı veya sözleşmedeki kullanım sınırını aşan yazılımlar kullanması halinde, ilk bakışta “bu bizim personelimiz değil” savunması cazip görünse de Türk hukukunda tablo çoğu zaman daha karmaşıktır. Bilgisayar programları 5846 sayılı Fikir ve Sanat Eserleri Kanunu kapsamında eser olarak korunur; programın yüklenmesi, görüntülenmesi, çalıştırılması, iletilmesi ve depolanması da çoğaltma hakkının kapsamına girer. Bu nedenle dış kaynak ekip eliyle yapılan uygunsuz kullanım, yalnızca teknik bir satın alma problemi değil; telif, sözleşme, tazminat, yönetsel özen, veri güvenliği ve bazı hallerde ceza riski doğuran çok katmanlı bir soruna dönüşebilir.

Bu başlıkta en kritik soru şudur: Dışarıdaki kişi veya ekip şirketin bordrolu çalışanı değilse, şirket yine de sorumlu tutulabilir mi? Cevap çoğu olayda “evet, belirli ölçüde tutulabilir” şeklindedir; fakat sorumluluğun türü ve ağırlığı her senaryoda aynı değildir. Çünkü hukuken farklı sorumluluk kanalları vardır: hak sahibine karşı FSEK kaynaklı dış sorumluluk, sözleşme taraflarına karşı TBK kaynaklı borca aykırılık sorumluluğu, şirket içi rücu ilişkisi, yöneticilerin TTK kapsamındaki özen ve sorumluluk yükü, veri işleme varsa KVKK boyutu ve fiil cezai alana taşınmışsa gerçek kişilere yönelik ceza sorumluluğu. Dolayısıyla “freelance kullandıysa sadece o sorumludur” veya “şirket her durumda tam sorumludur” gibi iki uç yaklaşım da hukuken eksiktir.

Dış kaynak ekiplerin kullandığı yazılımlar neden şirketi ilgilendirir?

Bunun ilk sebebi, dış kaynağın çoğu zaman şirket adına iş görmesidir. Bir freelance geliştirici müşteri portalını şirket adına yazıyorsa, bir dış kaynak muhasebe ekibi şirketin cari ve finans süreçlerini bir yazılım üzerinden yürütüyorsa, bir ajans tasarım ve montaj işini şirketin ticari faaliyeti için yapıyorsa veya bir entegratör ERP sistemini şirketin canlı verisi üzerinde kuruyorsa, yapılan iş artık soyut bir dış hizmet değil; şirketin ticari faaliyetine bağlanan bir icra faaliyetidir. Bu bağ, FSEK bakımından “fiili kullanım”, TBK bakımından “yardımcı kişi”, KVKK bakımından ise çoğu olayda “veri işleyen” ilişkisini gündeme getirir. Yani dış ekip kendi ofisinde çalışıyor olsa bile, yaptığı iş şirketin hukuki alanına temas eder.

İkinci sebep, yazılım lisans ihlalinin çoğu zaman sadece kuran kişiye değil, sonuçtan yararlanan ve kullanımı sürdüren tarafa da yönelmesidir. FSEK m.66’ya göre manevi ve mali hakları ihlal edilen kişi, tecavüzün ref’ini dava edebilir; tecavüz, hizmetlerini ifa ettikleri sırada bir işletmenin temsilcisi veya müstahdemleri tarafından yapılmışsa işletme sahibi hakkında da dava açılabilir ve kusur ayrıca şart değildir. Bu hüküm lafzen “temsilci veya müstahdem” der; dış kaynak ekipler klasik anlamda işçi olmayabilir. Ancak dış ekibin şirket organizasyonuna fiilen entegre olduğu, şirket adına sistem kurduğu ve şirketin bu sistemi ticari faaliyetinde kullandığı hallerde şirketin tamamen dışarıda kaldığını söylemek güçleşir. En azından şirket, kendi kullanımını ve onayını açıklamak zorunda kalır. Bu nedenle dış kaynak modelinin varlığı, hak sahibine karşı otomatik dokunulmazlık sağlamaz.

FSEK bakımından şirket ne zaman ilk muhatap olur?

Bilgisayar programları eser sayıldığı için, izinsiz işleme, çoğaltma, yayma, temsil veya umuma iletim halleri FSEK’in mali hak rejimi içinde değerlendirilir. FSEK m.68, hak sahibinden Kanuna uygun yazılı izin alınmadan eseri işleyen, çoğaltan, çoğaltılmış nüshaları yayan, temsil eden veya umuma ileten kişilere karşı, hak sahibine sözleşme yapılmış olsaydı isteyebileceği bedelin veya rayiç bedelin en çok üç kat fazlasını isteme imkânı verir. Uygulamada hak sahibi çoğu zaman teknik kurucudan önce, yazılımı kendi ticari sürecinde kullanan şirkete yönelir. Bunun nedeni basittir: ticari fayda çoğu kez şirketin bilançosuna ve iş sürecine yansımaktadır.

Burada dış kaynak ekibin yazılımı kimin hesabıyla, hangi lisansla ve kimin adına kullandığı çok önemlidir. Şirket; freelance geliştiriciye kendi kurumsal lisanslarını, uzak erişim hesaplarını veya sunucularını veriyor ve dış ekip bu araçlarla lisans sınırını aşıyorsa, şirketin doğrudan kullanım ve organizasyon bağlantısı çok daha güçlü kurulur. Aynı şekilde şirket, dış ekipten gelen teslimi bilerek lisanssız yazılım üzerinde çalıştırıyor, canlı sistemde tutuyor veya kendi kullanıcılarına açıyorsa, hak sahibi karşısında “bunu biz değil ajans yaptı” savunması ciddi ölçüde zayıflar. Bu sonuç, FSEK m.22’de bilgisayar programının yüklenmesi, çalıştırılması ve depolanmasının da çoğaltma hakkı alanında sayılmasından ve m.66-m.68’in şirket kullanımını doğrudan etkileyen yapısından çıkar.

Buna karşılık dış ekip, tamamen kendi araçlarıyla, kendi bağımsız altyapısında, sadece nihai çıktıyı teslim ederek çalışıyorsa ve şirket o uygunsuz yazılımı hiç kullanmıyor ya da kendi sistemine almıyorsa, şirketin FSEK bakımından doğrudan yazılım kullanıcısı olarak sorumluluğu her olayda aynı ağırlıkta kurulmayabilir. Ancak risk yine sıfırlanmaz; çünkü şirketin bu yöntemi bilip bilmediği, buna talimat verip vermediği, sonucu ticari faaliyetine nasıl entegre ettiği ve çıktı üzerinde ayrıca telif sorunu bulunup bulunmadığı belirleyici olur. Bu nokta, kanunda tek cümleyle yazılı değil; FSEK’in fiili yararlanma mantığı ile TBK’daki borca aykırılık ve yardımcı kişi sorumluluğunun birlikte yorumlanmasından çıkan bir değerlendirmedir.

TBK bakımından “yardımcı kişi” sorumluluğu neden çok önemlidir?

Dış kaynak ekipler bakımından asıl kritik hükümlerin başında TBK m.116 gelir. Bu maddeye göre borçlu, borcun ifasını veya bir borç ilişkisinden doğan hakkın kullanılmasını yardımcı kişilere bırakmış olsa bile, onların işi yürüttükleri sırada diğer tarafa verdikleri zararı gidermekle yükümlüdür. Yazılım geliştirme, entegrasyon, ERP uyarlama, tasarım, veri işleme veya teknik destek işini şirketin bir sözleşmesel yükümlülüğünün parçası olarak dışarıya verdiğinizde, o ekip çoğu zaman sizin “yardımcı kişiniz” hâline gelir. Bu durumda dış kaynak ekip, müşteriye sunulan ürünü lisanssız yazılımla üretmiş, uygunsuz bileşen kullanmış veya destek hizmetini hukuka aykırı araçlarla yürütmüşse, müşteri veya karşı sözleşme tarafı nezdinde şirketin sorumluluğu gündeme gelebilir.

TBK m.66 da benzer biçimde önemlidir. Adam çalıştıran, çalışanın işin yapılması sırasında üçüncü kişilere verdiği zararı gidermekle yükümlüdür; ancak seçim, talimat, gözetim ve denetimde gerekli özeni gösterdiğini ispat ederse kurtulabilir. Dış kaynak ekipler her zaman klasik işçi sayılmasa da, şirketin organizasyonu içine sokulmuş ve şirket adına yürütülen işlerde bu madde ile m.116 birlikte düşünülür. Özellikle dış ekip sizin sunucunuza bağlanıyor, şirket verisini işliyor, sizin kullanıcılarınız için modül açıyor veya müşterinize teslim ettiğiniz ürünü üretiyorsa, kurtuluş savunmanız “personelim değil” değil; “makul seçim, açık lisans politikası, denetim ve kontrol kurdum” olacaktır.

Başka bir ifadeyle, dış kaynağa iş vermek hukuki risk transferi değildir; en fazla risk paylaşımıdır. Şirket daha sonra ajansa, freelancer’a veya dış yazılımcıya rücu etmeye çalışabilir; fakat hak sahibi veya müşteri karşısında ilk savunma hattı çoğu kez şirketin kendisi olur. Bu nedenle dış kaynak sözleşmesine “tüm sorumluluk yüklenicide” yazmak tek başına yeterli koruma yaratmaz. Sözleşme önemlidir, ama mahkeme somut olayda şirketin kendi denetim ve organizasyon kusurunu ayrıca değerlendirir. Bu sonuç, TBK m.112, m.116 ve m.66’nın birlikte okunmasından doğar.

Şirket yöneticileri “bunu ajans yaptı” diyerek tamamen kurtulur mu?

Hayır. TTK m.367, yönetimin iç yönergeyle kısmen veya tamamen devredilebileceğini; bu iç yönergenin görevleri, bağlılık ilişkilerini ve bilgi sunma yükümlülüklerini göstermesi gerektiğini söyler. TTK m.369 ise yönetim kurulu üyeleri ve yönetimle görevli üçüncü kişilerin görevlerini tedbirli bir yöneticinin özeniyle yerine getirmesini ve şirket menfaatlerini dürüstlük kurallarına uygun gözetmesini zorunlu kılar. TTK m.553 de kanundan ve esas sözleşmeden doğan yükümlülükleri ihlal eden yöneticilerin, kusursuz olduklarını ispatlamadıkça şirkete, pay sahiplerine ve alacaklılara karşı sorumlu olacağını düzenler. Bu yüzden dış kaynak yazılım kullanımında lisans yönetimi tamamen ajansa bırakılmış, ancak üst yönetim hiçbir kontrol, iç yönerge, onay süreci veya raporlama zinciri kurmamışsa, sorun bir noktadan sonra yönetsel özen eksikliği hâline de gelebilir.

Bu özellikle teknoloji şirketleri, SaaS firmaları, ajans zinciriyle çalışan e-ticaret şirketleri, ERP dış kaynak kullanan gruplar ve müşteri verisi işleyen platformlar bakımından önemlidir. Çünkü dış ekiplerin kullandığı yazılımlar çoğu zaman doğrudan şirketin sunduğu ürünün veya hizmetin parçası olur. Eğer yönetim, dış kaynak sözleşmesi yapmış olmayı tek başına yeterli sayıyor ve kullanılan yazılımların lisans durumunu, entegrasyon zincirini, üçüncü taraf bileşenleri ve erişim hesaplarını hiç denetlemiyorsa, TTK bakımından özen standardı tartışmaya açılabilir. Bu sonuç, TTK’nın güncel yönetim ve sorumluluk hükümlerinin doğrudan bir yansımasıdır.

KVKK boyutu neden ayrı bir risk yaratır?

Dış kaynak ekipler çoğu zaman yalnızca kod yazmaz; aynı zamanda şirketin müşteri, çalışan, tedarikçi veya kullanıcı verisine erişir. KVKK’ya göre veri sorumlusu, kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek ve verilerin muhafazasını sağlamak için uygun güvenlik düzeyini temin edecek teknik ve idari tedbirleri almak zorundadır. Kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi halinde, veri sorumlusu ile bu kişi tedbirlerin alınması hususunda birlikte sorumludur. Ayrıca veri işleyen, veri sorumlusunun verdiği yetki ve talimat çerçevesinde onun adına veri işleyen kişi olarak tanımlanır. Bu nedenle dış kaynak ekip “sadece taşeron” olsa bile, veri işleme ilişkisi varsa şirketin KVKK riski devam eder.

Bu alan lisans ihlaliyle şu noktada birleşir: dış ekip crackli, güvensiz, güncellemesiz veya lisansa aykırı bir yazılım kullanıyorsa, sadece telif sorunu çıkmaz; veri güvenliği de zayıflar. Örneğin dış ajans, müşterinin canlı verisini lisanssız ETL aracıyla işliyor, freelance muhasebeci bordro verisini yetkisiz bir masaüstü programında tutuyor ya da entegratör şirket içi veriyi lisanssız ERP danışmanlık aracıyla dışarı aktarıyorsa, veri ihlali halinde şirket “bunu tedarikçi yaptı” diyerek tamamen sıyrılamaz. KVKK resmi açıklamalarında da veri işleyen tarafından gerçekleştirilen ihlallerde veri sorumlusunun sorumluluğunun devam ettiği açıkça belirtilmektedir.

Ceza hukuku bakımından kim risk taşır?

Ceza sorumluluğu kural olarak şahsidir. TCK m.20’ye göre kimse başkasının fiilinden dolayı sorumlu tutulamaz; tüzel kişiler hakkında ceza yaptırımı uygulanmaz, ancak kanunda öngörülen güvenlik tedbirleri saklıdır. Bu nedenle dış kaynak ekibin crack kurması veya koruyucu programı etkisiz kılan araç kullanması halinde, ceza dosyasında asıl değerlendirme gerçek kişiler üzerinden yapılır. Ancak bu, şirketin tamamen güvenli olduğu anlamına gelmez. Çünkü FSEK m.71 yazılı izinsiz işleme, çoğaltma, dağıtma, umuma iletme ve ticari amaçla elde bulundurma veya depolama gibi fiilleri; m.72 ise bilgisayar programının hukuka aykırı çoğaltılmasını önlemek amacıyla oluşturulmuş koruyucu programları etkisiz kılmaya yönelik program veya donanımları yaptırıma bağlar. Şirket yöneticisi, BT sorumlusu veya proje sahibi bu fiilleri bizzat yönlendirmiş, bilerek sürdürmüş veya organize etmişse ceza riski kişisel düzeyde onlara da uzanabilir.

Özellikle şu senaryoda risk ağırlaşır: şirket, dış kaynağa açıkça “lisans almayın, böyle idare edin” diyor; kurumsal lisans açmadan yetkisiz erişim sağlıyor; sahte hesap veya shared key kullandırıyor; sonra da ortaya çıkan sistemi canlıda kullanmaya devam ediyor. Bu durumda dış kaynak ekibin bağımsız fiilinden değil, birlikte yürütülen bir hukuka aykırılıktan söz edilmesi mümkündür. Şirket tüzel kişiliği kural olarak ceza almasa da, soruşturmada şirket sunucuları, loglar, erişim kayıtları ve dış kaynak sözleşmeleri delil konusu olabilir. Bu sonuç, FSEK m.71-72 ile TCK m.20’nin birlikte okunmasından kaynaklanır.

Şirket kendini nasıl korur?

Bu alandaki en etkili korunma yöntemi, yalnızca sözleşmeye “yüklenici tüm lisanslardan sorumludur” yazmak değildir. Şirketin en azından şu yapıyı kurması gerekir: dış kaynak ekip yalnızca şirketçe onaylanmış yazılımları kullanacak; kullanılan tüm üçüncü taraf araçlar ve bileşenler raporlanacak; lisans belgeleri talep halinde ibraz edilecek; veri işleyen sıfatıyla çalışan ekip KVKK yükümlülüklerine tabi olacak; şirket denetim ve log inceleme hakkını saklı tutacak; proje sonunda erişimler kapanacak ve kullanılan araçların listesi teslim edilecek. Bunların hepsi, TBK’daki yardımcı kişi sorumluluğu ve KVKK’daki veri sorumlusu yükümlülüğünün pratik karşılığıdır.

TTK m.64 de burada önem kazanır. Tacir, ticari defterlerini ve belgelerini faaliyetleri ve finansal durumu hakkında fikir verebilecek şekilde tutmak; işletmesiyle ilgili belgelerin kopyalarını yazılı, görsel veya elektronik ortamda saklamak zorundadır. Dış kaynak ekiplerle çalışırken lisans belgeleri, alt yüklenici sözleşmeleri, kullanıcı listeleri, erişim yetkileri, teslim tutanakları ve denetim loglarının saklanması yalnızca iyi uygulama değil, ileride doğabilecek uyuşmazlıklarda şirketin savunma omurgasıdır. Şirket kayıt tutmazsa, dış kaynağın hangi yazılımı hangi kapsamda kullandığını sonradan ispatlamak çok zorlaşır.

Sonuç

Freelance ve dış kaynak ekiplerin kullandığı yazılımlardan şirketin sorumluluğu, Türk hukukunda sanıldığından daha geniştir. Dış kaynak modelinin varlığı, şirketi otomatik olarak dışarı çıkarmaz. Bilgisayar programları eser sayıldığı için FSEK bakımından hak sahibi çoğu zaman fiili yararlanıcı ve ticari kullanıcı olan şirkete de yönelebilir. TBK bakımından yardımcı kişi ve adam çalıştıran sorumluluğu, şirketin dış ekibin fiillerinden tamamen sıyrılmasını zorlaştırır. TTK bakımından yöneticilerin özen ve gözetim yükü; KVKK bakımından veri sorumlusu-veri işleyen ilişkisi de bu sonucu güçlendirir. Ceza boyutunda sorumluluk şahsi olmakla birlikte, şirket adına organize edilen kullanımlarda gerçek kişi yöneticiler ve sorumlular da dosyaya girebilir.

Bu nedenle doğru soru “freelance kullandı, şirket kurtulur mu?” değildir. Doğru soru şudur: dış kaynak ekip şirket adına ne yaptı, hangi yazılımı hangi lisansla kullandı, şirket bunu biliyor muydu, kontrol ediyor muydu ve sonucu kendi ticari faaliyetine nasıl entegre etti? Cevaplar şirket lehine güçlü ise risk yönetilebilir. Cevaplar zayıfsa, dış kaynak modeli şirket için kalkan değil, ek bir sorumluluk zinciri yaratır. Şirketin en güvenli pozisyonu, dış kaynağı serbest bırakmak değil; lisans, erişim, veri ve teslim süreçlerini sözleşmeyle ve fiilen denetlenebilir hâle getirmektir.

Sık sorulan sorular

Freelance yazılımcı kendi bilgisayarında korsan yazılım kullanırsa şirket yine de sorumlu olur mu?
Her olayda aynı ölçüde değil; ancak şirketin riski sıfırlanmaz. Şirket talimat vermişse, sonucu kendi sistemine entegre etmişse, lisanssız kullanımı biliyor veya makul denetimle bilebilecek durumdaysa sorumluluk güçlenir. Şirketin tamamen dışarıda kalabilmesi için fiilî kullanım, bilgi ve organizasyon bağının zayıf olması gerekir.

Dış kaynak ajansla sözleşme yapmak şirketi korur mu?
Kısmen korur ama tek başına yeterli değildir. Sözleşme, rücu ve risk paylaşımı sağlar; ancak hak sahibi veya müşteri karşısında şirketin TBK m.116 ve ilgili diğer hükümler uyarınca tamamen kurtulduğu anlamına gelmez.

Dış kaynak ekip veri işliyorsa KVKK bakımından şirket sorumluluğu devam eder mi?
Evet. KVKK’nın resmi açıklamalarına göre veri sorumlusu, veriler kendi adına başka bir gerçek veya tüzel kişi tarafından işlense bile gerekli tedbirler bakımından birlikte sorumludur. Veri ihlali dış ekipten kaynaklansa da şirketin sorumluluğu devam edebilir.

Yöneticiler bu konuda kişisel risk taşır mı?
Taşıyabilir. Özellikle lisans yönetimi, dış kaynak onayı ve iç denetim mekanizması kurulmamışsa veya bilinen ihlale göz yumulmuşsa, TTK m.369 ve m.553 çerçevesinde yöneticilerin özen ve sorumluluk yükü tartışılabilir.

Ceza davasında şirket mi sanık olur?
Kural olarak hayır; ceza sorumluluğu şahsidir. Ancak fiili organize eden, talimat veren veya bilerek sürdüren gerçek kişiler soruşturmaya konu olabilir; ayrıca şirket altyapısı delil incelemesine açılabilir.