Lisanssız Yazılım Kullanımına Karşı Önleyici Hukuki Tedbirler

Lisanssız yazılım kullanımına karşı hangi önleyici hukuki tedbirler alınmalıdır? Türk hukukunda FSEK, TBK, HMK ve KVKK çerçevesinde şirket içi uyum politikaları, sözleşmesel önlemler, delil tespiti, ihtiyati tedbir, üç kat bedel ve ceza riski bu kapsamlı rehberde açıklanmaktadır.

Yazılım, artık yalnızca teknik bir araç değil; şirketlerin muhasebe, üretim, tasarım, mühendislik, veri yönetimi, satış, müşteri ilişkileri ve iç iletişim süreçlerinin merkezindeki temel altyapıdır. Bu nedenle lisanssız yazılım kullanımı, basit bir BT eksikliği ya da idari dikkatsizlik olarak görülemez. Türk hukukunda bilgisayar programları 5846 sayılı Fikir ve Sanat Eserleri Kanunu kapsamında korunan eserler arasında yer alır ve telif ihlali halinde hem hukuk hem de ceza yolları gündeme gelebilir. Bu yüzden lisanssız yazılım kullanımına karşı alınacak önlemler, yalnızca teknik değil, aynı zamanda doğrudan hukuki tedbirler olarak kurgulanmalıdır.

Konuya “önleyici hukuki tedbir” açısından bakıldığında iki ayrı cephe vardır. Birincisi, yazılım kullanan şirketlerin veya profesyonellerin, daha en baştan lisans ihlali doğmasını önlemek için kurması gereken iç uyum sistemi ve sözleşmesel güvenlik katmanıdır. İkincisi ise hak sahiplerinin, lisanssız kullanımı büyümeden durdurmak için başvurabileceği hukukî araçlardır. Sağlam bir koruma sistemi, bu iki hattın birlikte düşünülmesini gerektirir. Çünkü lisanssız yazılım sorunu çoğu zaman ihlal olduktan sonra fark edilir; oysa en düşük maliyetli çözüm, ihtilaf çıkmadan önce önleyici düzen kurmaktır.

Neden önleyici tedbir zorunludur?

Önleyici tedbirlerin zorunlu olmasının ilk nedeni, telif korumasının kendiliğinden doğmasıdır. Kültür ve Turizm Bakanlığı’nın resmî açıklamasına göre telif hakkı, eser meydana getirildiği anda doğar; zorunlu kayıt veya tescil şartı yoktur. İsteğe bağlı kayıt-tescil, hak yaratmaz; esas olarak ispat kolaylığı sağlar. Bu nedenle şirketlerin “önce bir ihtar gelsin, sonra bakarız” yaklaşımı hukuken güvenli değildir. Koruma zaten vardır; mesele yalnızca hak sahibinin bunu ne zaman ve nasıl ileri süreceğidir.

İkinci neden, yazılım lisans ihlalinin çoğu zaman görünenden daha ağır sonuçlar doğurmasıdır. Telif Hakları Genel Müdürlüğü, telif hakkı ihlali halinde yazılı izinsiz işleme, çoğaltma, değiştirme, dağıtma, umuma iletme ve yayımlama gibi fiiller yanında hukuka aykırı çoğaltılmış eserleri ticari amaçla satın alma, ithal etme, ihraç etme, kişisel kullanım dışında elde bulundurma veya depolama gibi hallerde de hukuk ve ceza yolunun açık olduğunu belirtmektedir. Bu çerçevede lisanssız yazılım, yalnızca eksik lisans faturası riski yaratmaz; aynı zamanda tedbir, tazminat ve ceza baskısını da tetikleyebilir.

Üçüncü neden ise şirket içi dağınık kullanım alışkanlıklarıdır. Uygulamada ihlal çoğu zaman doğrudan “korsan CD” ile başlamaz. Tek kullanıcı lisansının ekipçe paylaşılması, OEM yazılımın başka cihaza taşınması, trial veya eğitim sürümünün ticari faaliyete sokulması, abonelik süresi bitmesine rağmen kullanımın devam etmesi ya da dış BT firmasının kontrolsüz kurulum yapması en sık rastlanan senaryolardır. İşte önleyici hukukî tedbirler tam bu noktada devreye girmelidir: amaç, ihlal oluştuktan sonra savunma kurmak değil, ihlalin oluşmasını sistematik olarak engellemektir.

Temel hukuki çerçeve

FSEK bakımından ilk önemli nokta, bilgisayar programlarının korunan eser sayılmasıdır. Resmî metinde bilgisayar programı tanımlanmış ve her biçim altında ifade edilen bilgisayar programlarının, belirli koşullarla hazırlık tasarımlarıyla birlikte koruma altında olduğu belirtilmiştir. Bu koruma, programın ekonomik olarak kullanılmasını da kapsar. Dolayısıyla lisans ilişkisinin dışına çıkan her kullanım, yalnızca ticari uyumsuzluk değil; telif hakkına müdahale olarak da değerlendirilebilir.

İkinci önemli nokta, mali haklara ilişkin sözleşmelerin yazılı olma zorunluluğudur. FSEK m.52’de mali haklara dair sözleşme ve tasarrufların yazılı olması ve konu olan hakların ayrı ayrı gösterilmesi gerektiği düzenlenmiştir. Bu hüküm, lisans ilişkisinin şirket içinde sözlü alışkanlıklarla değil, açık ve denetlenebilir belge düzeniyle yönetilmesini zorunlu kılar. Yazılım lisans uyum politikası da tam olarak bu nedenle gereklidir: hangi yazılımın hangi yetkiyle kullanıldığı, keyfî yorumlara bırakılamaz.

Borçlar hukuku açısından da önleyici tedbir zorunludur. Türk Borçlar Kanunu m.112’ye göre borç gereği gibi ifa edilmezse borçlu, kusursuzluğunu ispat etmedikçe alacaklının zararını gidermekle yükümlüdür. M.113, yapma ve yapmama borçlarında aykırılığın sonuçlarının giderilmesini mümkün kılar. M.116 ise borçlunun, yardımcı kişilerin fiillerinden de sorumlu olabileceğini düzenler. Bu hükümler birlikte okunduğunda, lisanssız yazılımın çalışan, dış BT firması veya taşeron eliyle kurulmuş olmasının şirketi otomatik olarak sorumluluktan kurtarmadığı görülür. Önleyici tedbirler bu nedenle sadece yazılımı değil, insan davranışını da yönetmelidir.

Birinci önleyici tedbir: yazılı yazılım lisans uyum politikası

Lisanssız yazılım kullanımına karşı alınacak ilk ve en temel hukukî tedbir, şirket içinde yazılı bir yazılım lisans uyum politikası oluşturmaktır. Bu belge, hangi yazılımın hangi lisans modeliyle kullanılabileceğini, kimlerin yazılım talep edebileceğini, kimlerin satın alma ve kurulum onayı vereceğini, hangi durumlarda kullanıcı devri yapılabileceğini ve hangi davranışların açıkça yasak olduğunu göstermelidir. Yazılı politika bulunmadığında şirket içi kullanım alışkanlıkları fiilî hukuk yaratır; oysa telif ve sözleşme hukukunda sınırların sözleşme ve belge ile belirlenmesi gerekir.

Bu politikanın içinde özellikle OEM, tek kullanıcı, çoklu kullanıcı, trial, eğitim, kişisel abonelik ve kurumsal bulut hesapları ayrı ayrı tanımlanmalıdır. Çünkü her lisans türünün taşıdığı hukukî risk farklıdır. Lisans tipi açıkça ayrıştırılmazsa çalışanlar çoğu zaman “aynı program, nasıl olsa aynı iş” mantığıyla yanlış kullanımı normalleştirir. Oysa yanlış lisans tipi kullanımı, kimi zaman doğrudan sözleşmeye aykırılık, kimi zaman da telif hakkı ihlali haline gelir.

İkinci önleyici tedbir: merkezi satın alma ve kurulum yetkisi

Önleyici hukukî tedbirlerin ikinci ayağı, yazılım edinme ve kurulum sürecinin merkezî hale getirilmesidir. Şirket içinde herkesin kendi inisiyatifiyle yazılım indirip kurabildiği bir yapı, lisans ihlaline açık davetiye anlamına gelir. Çünkü bu durumda trial sürümün üretim ortamında kullanılması, eğitim lisansının müşteri işine taşınması, bireysel aboneliğin kurumsal projelerde kullanılması ya da yetkisiz kaynaktan ürün alınması çok kolaylaşır. Merkezi onay mekanizması kurulmadan “uyum” fiilen mümkün değildir.

Bu merkezî sistemin hukukî önemi şuradadır: lisans ilişkisi, hangi hakların kim tarafından kullanıldığını somutlaştırır. Satın alma, kurulum ve kullanıcı ataması farklı kişilerce dağınık biçimde yapılırsa, sonradan hangi hakkın hangi belgeyle alındığını ispat etmek zorlaşır. Bu nedenle lisans uyum politikası, mutlaka satın alma yetkisini, kurulum yetkisini ve hesap yönetimi yetkisini açıkça ayırmalı; denetlenebilir kayıt bırakmalıdır.

Üçüncü önleyici tedbir: envanter ve belge disiplini

FSEK bakımından en önemli savunma araçlarından biri, lisansın varlığını ve kapsamını ispatlayabilmektir. Bakanlığın telif ihlali açıklamasında ve Kanun sistematiğinde, gerekli izin ve yetki belgelerinin önemi açıktır; m.76 çerçevesinde kullanıcıdan bu belgeler istenebilir ve sunulamamaları haksız kullanıma karine doğurabilir. Bu nedenle lisanssız yazılım kullanımına karşı önleyici tedbirlerin merkezinde, sağlam bir envanter ve belge disiplini bulunmalıdır.

Şirket, hangi yazılımların kurulu olduğunu, hangi sürümlerin kullanıldığını, hangi cihazların hangi lisansla eşleştiğini, hangi kullanıcıların hangi seat’e atandığını, hangi aboneliklerin ne zaman biteceğini ve hangi reseller üzerinden alım yapıldığını düzenli biçimde kayıt altına almalıdır. Bu kayıtlar yalnızca iç kontrol için değil, olası bir ihtarname veya dava halinde hukuki savunma için de gereklidir. Belgesiz lisans, pratikte çoğu zaman savunmasız lisanstır.

Dördüncü önleyici tedbir: çalışan ve taşeron sözleşmeleri

Lisanssız yazılım riskinin önemli bölümü, çalışanların veya dış BT hizmeti veren kişilerin davranışlarından doğar. Bu nedenle iş sözleşmelerine, gizlilik taahhütnamelerine, bilgi güvenliği politikalarına ve dış hizmet sözleşmelerine yazılım lisansına uygun kullanım yükümlülüğü açıkça yazılmalıdır. TBK m.116 yardımcı kişilerin fiillerinden sorumluluğu düzenlediği için, şirketin dış yüklenici veya personel davranışını sözleşmesel olarak disipline etmesi ayrıca önem kazanır.

Bu sözleşmelerde özellikle şu başlıklar açık olmalıdır: yetkisiz yazılım kurma yasağı, kullanıcı hesabı paylaşma yasağı, şirket lisanslarının üçüncü kişilerle paylaşılmaması, trial ve eğitim sürümlerinin ticari kullanıma sokulmaması, işten ayrılan personelin erişimlerinin derhal kapatılması ve şirketin lisans denetimlerinde personelden işbirliği isteme hakkı. Bu maddeler şirketi her riskten kurtarmaz; ancak hem önleyici etki yaratır hem de iç sorumluluk zincirini güçlendirir.

Beşinci önleyici tedbir: erişim kontrolü ve log kayıtları

Lisanssız kullanım çoğu zaman kullanıcı davranışları üzerinden büyür. Bu nedenle erişim kontrolü ve log sistemi sadece KVKK açısından değil, lisans uyumu açısından da önemli bir önleyici hukukî tedbirdir. KVKK’nın Kişisel Veri Güvenliği Rehberi, veri güvenliği için mevcut risk ve tehditlerin belirlenmesini, erişim kontrolü kayıtlarının ve diğer raporlama araçlarının düzenli izlenmesini, uyarılar üzerine harekete geçilmesini ve sistem güvenliğinin test edilmesini tavsiye etmektedir. Bu yaklaşım, yazılım kullanımının kim tarafından yapıldığını ve yetkisiz erişim olup olmadığını saptamak bakımından da güçlü bir çerçeve sunar.

Şirket, named user lisansları, bulut panelleri, admin konsolları ve cihaz erişimlerini loglamıyorsa, hem veri güvenliği hem lisans uyumu bakımından kör hale gelir. Oysa hangi kullanıcının ne zaman oturum açtığını, hangi hesapların paylaşıldığını, eski çalışan hesaplarının aktif kalıp kalmadığını ve lisans panelinde fiilî kullanıcı sayısının ne olduğunu görmek, ihlali önlemenin en pratik yollarından biridir. Bu nedenle iyi bir lisans uyum politikası, bilgi güvenliği ve erişim loglarıyla birlikte düşünülmelidir.

Altıncı önleyici tedbir: düzenli iç denetim

Yazılım lisans uyumu, bir kez yapılıp unutulacak bir iş değildir. Çalışan sayısı değişir, cihazlar yenilenir, abonelikler biter, projeler artar, şirket birleşir veya başka bir işletmeyi devralır. Bu yüzden lisans uyumu düzenli iç denetim gerektirir. Aksi halde şirket yalnızca “bir zamanlar uyumluydu” diye kendini güvende sanır. Telif ve sözleşme riski ise o sırada sessizce büyür.

İç denetim, yalnızca kurulu yazılımları saymak değildir. Trial veya eğitim sürümü kullanımı, kullanıcı paylaşımı, yetkisiz reseller alımları, OEM taşıma, bulut hesaplarının grup şirketleri arasında kullanımı ve süresi biten aboneliklerin fiilî kullanımı da ayrıca incelenmelidir. Düzenli iç denetim yapılmadığında, sorun çoğu zaman hak sahibinin ihtarnamesi geldikten sonra fark edilir. Oysa önleyici hukukî tedbirin mantığı, dış ihtardan önce iç tespit yapabilmektir.

Yedinci önleyici tedbir: veri koruma ve bulut kullanımını lisans uyumuyla birleştirmek

Bulut hizmetleri kullanılan şirketlerde lisans uyumu ile veri koruma birbirinden ayrı düşünülemez. KVKK’nın “Veri Sorumlusu ve Veri İşleyen” dokümanı, bulut bilişim hizmeti sunan şirketin bazı durumlarda veri işleyen rolünde hareket edebileceğini; veri sorumlusunun ise kişisel verilerin işlenme amaç ve vasıtalarını belirleyen taraf olarak sorumluluğunu sürdürdüğünü açıkça ortaya koymaktadır. Bu nedenle bulut yazılım lisanslarının paylaşılması veya yetkisiz kullanıcılarla kullanılması, yalnızca telif riski değil, kişisel verilerin yanlış kişi tarafından işlenmesi riski de yaratabilir.

Önleyici hukukî tedbir olarak şirket, bulut yazılımlarda veri sorumlusu-veri işleyen ilişkisinin sözleşmeyle netleştirildiğinden, kullanıcı hesaplarının doğru tanımlandığından, erişimlerin loglandığından ve kişisel veri içeren sistemlerde iki aşamalı kimlik doğrulama, rol bazlı yetkilendirme ve güvenli oturum yönetimi kullanıldığından emin olmalıdır. Böylece aynı anda hem lisans ihlali hem de veri güvenliği ihlali doğurabilecek açıklar kapatılmış olur.

Hak sahipleri için önleyici hukukî araçlar

Lisanssız yazılım kullanımına karşı önleyici hukukî tedbirler yalnızca kullanıcı şirketler bakımından değildir. Hak sahipleri de ihlal büyümeden önce belirli hukuk yollarına başvurabilir. Bunların başında ihtarname, sözleşmesel audit hükümleri, delil tespiti ve ihtiyati tedbir gelir. Hak sahibi ihlali fark ettiğinde doğrudan büyük bir tazminat davası açmak zorunda değildir; önce kullanımın somutlaştırılması, delilin güvence altına alınması ve ihlalin sürmesinin önlenmesi amaçlanabilir.

HMK m.400 ve devamındaki delil tespiti kurumu, burada çok önemli bir önleyici araçtır. Henüz dava açılmadan önce, ileride açılacak davada ileri sürülecek bir vakıanın tespiti için keşif veya bilirkişi incelemesi istenebilir; delilin kaybolma veya ileride ileri sürülmesinin zorlaşma ihtimali varsa hukuki yarar var sayılır. Yazılım dosyalarında log kayıtları, kurulum izleri, kullanıcı atamaları ve aktivasyon verileri silinebilir veya değiştirilebilir olduğundan, delil tespiti özellikle etkili bir önleyici hukuk aracıdır.

FSEK m.69’daki tecavüzün men’i ve m.77’deki ihtiyati tedbir mantığı da hak sahipleri açısından önleyici araçlardır. Amaç yalnızca geçmişe dönük bedel istemek değil, muhtemel veya devam eden ihlali durdurmaktır. Bu nedenle iyi tasarlanmış önleyici strateji, çoğu zaman telif hakkı sahibinin de lisans politikasını, denetim mekanizmasını ve ihtar prosedürünü önceden kurmasını gerektirir.

Sonuç

Lisanssız yazılım kullanımına karşı önleyici hukuki tedbirler, günümüz şirketleri için lüks değil zorunluluktur. Çünkü bilgisayar programları Türk hukukunda korunan eserlerdir; telif ihlali halinde hukuk ve ceza yolları açıktır; yardımcı kişilerin fiilleri şirketi bağlayabilir; belge eksikliği savunmayı zayıflatır; bulut ve veri işleme ortamlarında lisans ihlali, veri güvenliği sorunlarıyla birleşebilir. Bu nedenle şirketin yalnızca “lisans satın almış olması” değil, lisansı doğru kişi, doğru cihaz, doğru amaç ve doğru sözleşme zeminiyle kullanması gerekir.

Önleyici hukukî tedbirin özü şudur: ihlali dava çıktıktan sonra düzeltmeye çalışmak yerine, ihlalin doğmasını sistematik olarak imkânsız hale getirmek. Yazılı politika, merkezî kurulum disiplini, envanter ve belge düzeni, çalışan-taşeron sözleşmeleri, log ve erişim kontrolü, düzenli iç denetim ve veri güvenliği entegrasyonu birlikte kurulduğunda, lisanssız yazılım riski ciddi ölçüde azalır. Kurulmadığında ise küçük görünen bir yazılım tercihi, büyük bir telif ve itibar krizine dönüşebilir.

Sık sorulan sorular

Lisans uyum politikası küçük şirketler için de gerekli midir?
Evet. Telif koruması şirket büyüklüğüne göre değişmez. Küçük şirketlerde dağınık kullanım ve belge eksikliği daha yaygın olduğundan, risk çoğu zaman daha da büyür.

Çalışan lisanssız yazılım kurarsa şirket yine de sorumlu olur mu?
Çoğu durumda evet. TBK m.116 yardımcı kişilerin fiillerinden sorumluluğu düzenler; FSEK m.66 da çalışanların hizmet sırasında yaptığı ihlallerde işletme sahibine karşı dava açılabileceğini kabul eder.

Trial veya eğitim sürümünü ticari işte kullanmak da lisans ihlali sayılabilir mi?
Evet. Kullanım, lisansın verdiği amaç sınırını aşıyorsa sözleşmeye aykırılık ve telif temelli talepler gündeme gelebilir.

Önleyici tedbirler sadece şirket için mi gereklidir?
Hayır. Hak sahipleri bakımından da ihtarname, delil tespiti ve men/tedbir mekanizmaları ihlali büyümeden durdurmaya yarayan önleyici hukuk araçlarıdır.

Belge yoksa ama yazılım gerçekten satın alınmışsa sorun olur mu?
Olabilir. Lisansın varlığını ve kapsamını ispatlayamamak, dava ve denetim süreçlerinde şirketin savunmasını ciddi biçimde zayıflatır.