Lisanssız Yazılım Kullanımında Şirket Yöneticilerinin Kişisel Sorumluluğu

Lisanssız yazılım kullanımı, birçok şirket tarafından yalnızca bir “BT uyum sorunu” gibi görülse de, Türk hukukunda mesele bundan çok daha geniştir. Konu; fikri mülkiyet hukuku, sözleşme hukuku, haksız fiil sorumluluğu, ceza hukuku ve şirketler hukukunun kesiştiği bir alandadır. Özellikle anonim şirketlerde yönetim kurulu üyeleri, limited şirketlerde müdürler, genel müdürler, bilgi işlem yöneticileri ve fiilen karar veren üst düzey yöneticiler bakımından, “şirket kullandıysa şirket sorumludur” yaklaşımı çoğu zaman eksik kalır. Çünkü bazı durumlarda dosyanın muhatabı sadece şirket değil, bizzat yöneticinin kendisi de olabilir.

Türk hukukunda bilgisayar programları açıkça eser olarak korunur. FSEK’e göre bilgisayar programları ve bunların program sonucunu doğuracak hazırlık tasarımları ilim ve edebiyat eseri sayılır. Aynı Kanun’da “bilgisayar programı” ayrıca tanımlanmış; programın yüklenmesi, görüntülenmesi, çalıştırılması, iletilmesi ve depolanması gibi fiiller de çoğaltma hakkının kapsamına alınmıştır. Bunun pratik sonucu şudur: Bir programı yalnızca CD’den kopyalamak ya da crack’lemek değil, lisans dışı biçimde kurmak, çalıştırmak veya sunucuda tutmak da hak ihlali tartışmasını doğurabilir.

Bu nedenle lisanssız yazılım meselesi, sadece korsan kopya satın almaktan ibaret değildir. Satın alınmış ama lisans kapsamı aşılmış yazılımlar, tek kullanıcı lisansının ekip tarafından ortak kullanılması, deneme sürümünün ticari faaliyette kullanılması, eğitim lisansının şirket işlerinde değerlendirilmesi ya da hukuka uygun edinilmemiş kopyaların şirkette aktif tutulması da risk üretir. FSEK’in şahsen kullanmaya ilişkin istisnası ise kâr amacı güdülmeyen ve belirli şartları taşıyan çoğaltmalar için öngörülmüştür; ayrıca bilgisayar programları bakımından serbest alan, programı hukuki yollardan edinen kişiye bağlanmıştır. Bu yüzden şirket ortamında korsan veya hukuka aykırı edinilmiş yazılımın “zaten sadece iç kullanımdaydı” savunması çoğu olayda güvenli bir liman sağlamaz.

Şirket yöneticisinin kişisel sorumluluğu neden gündeme gelir?

Bu sorunun cevabı tek cümleyle verilemez. Çünkü “kişisel sorumluluk” en az üç ayrı düzlemde ortaya çıkar. Birincisi, hak sahibi yazılım üreticisine karşı özel hukuk sorumluluğudur. İkincisi, telif hakkı ihlali nedeniyle yürüyebilecek ceza soruşturması ve ceza davasındaki fail sorumluluğudur. Üçüncüsü ise, yöneticinin kendi şirketine, pay sahiplerine veya şirket alacaklılarına karşı doğabilecek iç sorumluluğudur. Türk hukukundaki asıl risk, bu üç hattın aynı dosyada birleşebilmesidir.

Şirket yöneticisi sırf unvan taşıdığı için otomatik olarak her yazılım ihlalinden şahsen sorumlu olmaz. Ancak lisanssız kullanım kararını vermişse, buna açıkça talimat etmişse, satın alma ve uyum süreçlerini bilerek devre dışı bırakmışsa, gelen ihtar veya denetim uyarılarına rağmen kullanımı sürdürmüşse ya da organizasyonu bile isteye denetimsiz bırakmışsa, tablo değişir. Ceza hukukunda sorumluluk şahsidir; başkasının fiilinden dolayı kimse cezalandırılamaz. Buna karşılık suçun faili, azmettireni veya iştirak edeni olan gerçek kişiler cezai risk taşır. Ayrıca konusu suç teşkil eden emir hiçbir surette yerine getirilemez; aksi halde emri verenle uygulayan birlikte sorumlu olur. Bu çerçevede “ben sadece şirket adına talimat verdim” savunması, her dosyada yöneticiyi dışarıda bırakmaz.

FSEK bakımından şirket ve yöneticiye yönelen hukukî risk

FSEK, hak sahibine ihlalin durdurulması ve sonuçlarının giderilmesi için güçlü araçlar verir. Manevi ve mali hakları ihlal edilen kişi tecavüzün ref’ini isteyebilir. Daha önemlisi, ihlal şirket temsilcileri veya çalışanları tarafından hizmetin görülmesi sırasında gerçekleştirilmişse, işletme sahibi hakkında da dava açılabilir ve kusur şartı aranmaz. Bu düzenleme, şirketin “personel yapmış, merkez bilmiyordu” savunmasını zayıflatır. Hak sahibi ayrıca, varsayımsal lisans bedelinin veya rayiç bedelin en çok üç katına kadar bedel talep edebilir; kusur varsa ayrıca haksız fiil esaslarına göre maddi ve manevi tazminat da gündeme gelir.

Buradaki hassas nokta şudur: FSEK m.66/2 doğrudan “işletme sahibi” aleyhine dava açılabileceğini söyler. Şirketler bakımından işletme sahibi çoğu olayda tüzel kişiliğin kendisidir. Fakat yönetici, yalnızca organ sıfatıyla değil, aynı zamanda ihlalin fiilî mimarı olarak dosyada yer alıyorsa, artık mesele sadece şirketin sorumluluğu olarak kalmaz. Örneğin lisanssız kurulum talimatını veren genel müdür, denetime karşı kayıt saklayan BT yöneticisi veya sahte lisans anahtarlarının kullanılmasını onaylayan yönetici, salt temsilci değil doğrudan ihlale katılan kişi olarak değerlendirilebilir. Bu durumda hak sahibinin talepleri bakımından yöneticiye yönelen kişisel haksız fiil sorumluluğu da ayrıca tartışılır. Türk Borçlar Kanunu’na göre kusurlu ve hukuka aykırı fiille başkasına zarar veren, bu zararı gidermekle yükümlüdür.

Bir başka önemli husus da şirket içi rücu riskidir. Yazılım üreticisine ödeme yapan şirket, bazı hallerde bu zararın oluşmasına sebep olan yöneticiye dönebilir. Çünkü anonim şirketlerde yönetim kurulu üyeleri ve yöneticiler, kanundan ve esas sözleşmeden doğan yükümlülüklerini kusurlarıyla ihlal ettiklerinde şirkete, pay sahiplerine ve şirket alacaklılarına karşı sorumlu tutulabilir. Limited şirkette de anonim şirkete ilişkin bu sorumluluk rejimi kıyasen uygulanır. Dolayısıyla dışarıya karşı yazılım firmasıyla uzlaşılmış olması, yöneticinin dosyadan tamamen çıktığı anlamına gelmez; şirket içi sorumluluk davası riski devam edebilir.

Cezai sorumluluk: suçun faili kim olur?

FSEK m.71, manevi, mali veya bağlantılı hakları ihlal ederek eseri hak sahibinin yazılı izni olmaksızın işleyen, çoğaltan, dağıtan, yayan, ticari amaçla satın alan, ithal veya ihraç eden, kişisel kullanım amacı dışında elinde bulunduran veya depolayan kişiler hakkında bir yıldan beş yıla kadar hapis veya adli para cezası öngörür. Lisanssız yazılımın şirket bünyesinde ticari faaliyet için kullanılması, olayın özelliklerine göre bu hükmün kapsamına girebilir. Burada fail şirket değil, gerçek kişidir. Çünkü TCK m.20 uyarınca ceza sorumluluğu şahsidir ve tüzel kişiler hakkında kural olarak ceza yaptırımı uygulanmaz.

Bu çerçevede uygulamada en sık tartışılan soru şudur: Şirket adına kullanılan korsan yazılımdan dolayı kim sanık olur? Tek bir cevap yoktur. Programı fiilen kuran çalışan, crack uygulayan BT personeli, bunu bilerek ve isteyerek talimatlandıran yönetici, şirket içinde lisanssız kullanımı sistematik hale getiren karar verici ve kimi durumlarda yazılım tedarik sürecini bilerek hukuka aykırı biçimde yürüten üst yönetim dosyada birlikte yer alabilir. Ceza hukukunda unvan değil, fiil, kast, iştirak biçimi ve somut katkı belirleyicidir. Özellikle hukuka aykırı emrin yerine getirilmesi hâlinde emri verenle uygulayanın birlikte sorumluluğu, yönetici bakımından ciddi bir risk başlığıdır.

Şirketlerin çoğu bu noktada “tüzel kişi ceza almaz” cümlesine fazla güvenmektedir. Oysa bu doğru olmakla birlikte eksiktir. Doğru olan; cezanın şirkete değil gerçek kişilere yönelmesidir. Eksik olan ise, ceza dosyasının şirketi etkilemeyeceği varsayımıdır. Çünkü ceza soruşturması sırasında şirket bilgisayarları, sunucular, lisans kayıtları, e-postalar, satın alma belgeleri ve kullanıcı logları delil konusu olabilir. CMK m.134, somut delillere dayanan kuvvetli şüphe ve başka suretle delil elde etme imkânının bulunmaması hâlinde bilgisayar ve bilgisayar programlarında arama, kopyalama ve gerekiyorsa elkoyma tedbirine izin vermektedir. Bu da yöneticiler açısından sadece bir dava değil, aynı zamanda operasyonel ve itibari bir kriz anlamına gelir.

Anonim ve limited şirketlerde iç sorumluluk

Anonim şirketlerde yönetim kurulu üyeleri ile yönetimle görevli üçüncü kişiler, görevlerini tedbirli bir yöneticinin özeniyle yürütmek ve şirket menfaatlerini dürüstlük kurallarına uygun biçimde gözetmek zorundadır. Yönetimin devri mümkündür; ancak bu devrin geçerli ve koruyucu sonuç doğurabilmesi için kanuna uygun bir organizasyon ve iç yönerge yapısı gerekir. Ayrıca görev veya yetkiyi devreden kişiler, devralanı seçerken makul derecede özen göstermediklerinin ispatı hâlinde sorumluluktan kurtulamazlar. Yani “BT işlerini dışarıya verdik” veya “bunu bilgi işlem müdürü yürütüyordu” savunması, uygun devir ve denetim kurulmadıkça tek başına yeterli değildir.

Limited şirkette de tablo benzerdir. TTK m.629, müdürlerin temsil yetkisinin kapsamı ve sınırlandırılmasında anonim şirkete ilişkin hükümleri kıyasen uygular. TTK m.644 ise anonim şirket yöneticilerinin sorumluluğunu düzenleyen 553 ve devamı maddelerin limited şirketlere de uygulanacağını açıkça belirtir. Ayrıca limited şirketin yönetimi ve temsiliyle yetkilendirilen kişinin görevini yerine getirirken işlediği haksız fiilden şirketin sorumlu olacağı düzenlenmiştir. Bu hükümler birlikte okunduğunda, limited şirket müdürlerinin lisanssız yazılım kullanımına göz yumması veya bunu organize etmesi halinde hem dışa karşı şirketin sorumluluğu hem de içe karşı müdürün kişisel sorumluluğu tartışılabilir.

Kişisel sorumluluğun en sık doğduğu senaryolar

İlk senaryo, açık talimattır. Yönetici, maliyeti düşürmek için lisans alınmamasını söylemiş, çalışanlara crack veya keygen kullanma yönünde direktif vermiş, satın alma talebini reddetmiş ya da “şimdilik böyle idare edin” diyerek hukuka aykırı kullanımı bilinçli biçimde sürdürmüşse kişisel risk ciddi biçimde artar. Bu halde yönetici yalnızca organizasyon kusuruyla değil, doğrudan ihlale iştirak eden kişi olarak değerlendirilir.

İkinci senaryo, bilerek göz yummadır. Yazılım üreticisinden ihtarname gelmiş, iç denetimde eksik lisans saptanmış, vendor audit başlatılmış veya çalışanlar durumu yönetime bildirmiştir. Buna rağmen kullanıma son verilmemişse, sonraki ihlaller bakımından “haberim yoktu” savunması zayıflar. Yönetici artık sadece pasif değil, sonucu kabullenen konuma geçer. Bu durum ceza dosyasında kastın, özel hukuk dosyasında ise kusurun tartışılmasına yol açabilir.

Üçüncü senaryo, organizasyon ve denetim eksikliğidir. Şirkette yazılım envanteri yoksa, lisans takibi yapılmıyorsa, satın alma ve kurulum yetkileri dağınıksa, eski cihazlar kontrolsüz devrediliyorsa, çalışanlar kişisel hesaplarla kurumsal iş yapıyorsa ve buna rağmen yönetim hiçbir iç politika oluşturmamışsa, özellikle TTK’daki özen borcu ve TBK’daki adam çalıştıranın sorumluluğu çerçevesinde yönetici aleyhine ciddi değerlendirme yapılabilir. Çünkü modern ticari işletmede yazılım lisans uyumu artık tali bir ayrıntı değil, temel uyum başlıklarından biridir.

Dördüncü senaryo, delegasyonun yanlış kurulmasıdır. Yönetim görevini kısmen veya tamamen devretmiş olabilir. Ancak iç yönerge yoksa, görev tanımları belirsizse, raporlama zinciri kurulu değilse veya devralan kişiler makul özenle seçilmemişse, devir savunması yöneticiye tam koruma sağlamaz. Kanun açıkça, devredenlerin makul seçim özeni göstermemesi hâlinde sorumluluğun süreceğini kabul eder.

Beşinci senaryo ise birleşme, devralma ve grup şirketi yapılarında ortaya çıkar. Bir şirket başka bir işletmeyi devraldığında veya grup içinde merkezi BT yönetimi kurulduğunda, lisansların kime ait olduğu, hangi tüzel kişilikte kullanılacağı ve kullanıcı sayısının hangi sözleşme kapsamında kaldığı net değilse, ihlal kararı fiilen merkez yönetiminden çıkabilir. Bu durumda formal kullanıcı başka bir şirket olsa bile, fiili karar verici yöneticinin sorumluluğu ayrıca gündeme gelebilir. Bu, özellikle grup CIO’su, holding BT yöneticisi veya ortak satın alma yapısını yöneten karar vericiler bakımından önemlidir.

İhtarname veya denetim gelirse yönetici ne yapmalıdır?

En büyük hata, panikle veri silmek, cihaz değiştirmek, log kayıtlarını temizlemek veya çalışanlara “hiçbir şey söylemeyin” şeklinde kayıt dışı talimat vermektir. Böyle bir refleks kısa vadede pratik görünse de, uzun vadede dosyayı ağırlaştırabilir. İlk yapılması gereken şey, ayrıcalıklı bir iç inceleme başlatmak, hangi cihazlarda hangi programların hangi lisans temelinde bulunduğunu tespit etmek, hukuka aykırı kopyaları derhal izole etmek ve delil karartma şüphesi doğurmayacak kontrollü bir uyum planı oluşturmaktır. Ceza soruşturması ihtimali varsa CMK m.134 rejimi, bilişim sistemleri üzerindeki işlemleri zaten yüksek hassasiyete taşır.

İkinci olarak, olay “sadece yazılım firmasıyla para pazarlığı” seviyesinde görülmemelidir. Çünkü dosya bir yandan FSEK m.68 uyarınca üç kat bedele kadar talepleri, diğer yandan FSEK m.71 kapsamında ceza riskini, ayrıca şirket içi rücu ve yönetici sorumluluğunu birlikte barındırabilir. Bu yüzden teknik envanter, lisans sözleşmeleri, fatura zinciri, kullanıcı sayısı, sunucu erişimleri, abonelik kayıtları ve kurulum geçmişi birlikte değerlendirilmelidir. Salt muhasebe kayıtlarına bakmak çoğu zaman yeterli olmaz.

Şirket yöneticileri için en doğru korunma yöntemi: belgeye dayalı uyum sistemi

Lisanssız yazılım riskinden korunmanın en etkili yolu, kriz çıktığında savunma üretmek değil, kriz çıkmadan yönetim standardı kurmaktır. Yönetici açısından en güçlü koruma, “ben bilmiyordum” savunması değil; “şirkette yazılım lisans uyum sistemi kurdum, satın alma ve kurulum yetkilerini sınırladım, düzenli denetim yaptım, uyarı gelince derhal aksiyon aldım” diyebilmektir. TTK’nın özen borcu tam da bunu bekler.

Bu nedenle her şirkette en azından yazılım envanteri, lisans matrisi, yetkili kurulum prosedürü, çalışan cihaz politikası, deneme sürümü ve eğitim lisansı kullanım kuralları, dış kaynak ekiplerin erişim şartları ve periyodik iç denetim mekanizması bulunmalıdır. Ayrıca birleşme-devralma işlemlerinde yazılım lisans due diligence’i yapılmalı; grubun başka bir şirketi adına alınan lisansların bu şirkette kullanılması gibi “gri alanlar” sözleşme bazında temizlenmelidir. Bunlar sadece BT düzeni değil, aynı zamanda yönetici sorumluluğunu azaltan hukukî emniyet tedbirleridir.

Sonuç

Lisanssız yazılım kullanımında şirket yöneticilerinin kişisel sorumluluğu, sanıldığından çok daha somut bir risktir. Türk hukukunda bilgisayar programları eser olarak korunur; lisans dışı kurulum ve kullanım telif hakkı ihlali sonucunu doğurabilir. Hak sahibi, ihlalin durdurulmasını, üç kata kadar bedel talebini ve şartları varsa maddi-manevi tazminatı isteyebilir. Ceza hukukunda ise tüzel kişi değil, fiile katılan gerçek kişiler sorumlu olur. Şirketler hukukunda da özen borcunu ihlal eden yönetici, kendi şirketine, pay sahiplerine ve alacaklılara karşı ayrıca hesap verebilir.

Bu sebeple mesele, “korsan yazılım kullanılmış mı?” sorusundan ibaret değildir. Asıl soru şudur: Bu kullanımı kim organize etti, kim bildi, kim görmezden geldi ve şirket içinde bu riski önlemek için hangi yönetim tedbirleri alındı? Cevaplar yöneticiyi koruyabileceği gibi, doğrudan dosyanın merkezine de yerleştirebilir. Bu nedenle lisans uyumu, bugün her şirket için yalnızca BT politikası değil, yönetici sorumluluğunu yöneten temel bir hukuk ve kurumsal yönetim meselesidir.