Uzaktan Çalışma Düzeninde Lisanssız Yazılım Kullanımının Hukuki Sonuçları

Uzaktan çalışma modeli artık istisnai değil, birçok sektör için kalıcı bir çalışma biçimidir. Ancak işin ofis dışına taşınması, yazılım lisans risklerini azaltmamış; aksine cihaz çeşitliliği, ev ağı kullanımı, bulut hesapları, kişisel bilgisayarlar ve dağınık kullanıcı yönetimi nedeniyle daha karmaşık hâle getirmiştir. Türk hukukunda uzaktan çalışma, 4857 sayılı İş Kanunu m.14’te “işçinin, işveren tarafından oluşturulan iş organizasyonu kapsamında iş görme edimini evinde ya da teknolojik iletişim araçları ile işyeri dışında yerine getirmesi esasına dayalı ve yazılı olarak kurulan iş ilişkisi” olarak tanımlanmıştır. Aynı maddede, uzaktan çalışma sözleşmesinde işin tanımı, yapılma şekli, süresi ve yeri, ücret, işveren tarafından sağlanan ekipman, bunların korunmasına ilişkin yükümlülükler, iletişim ve özel çalışma şartlarının yer alması öngörülmüştür. Uzaktan Çalışma Yönetmeliği de bu rejimi tamamlayarak iş araçları, veri koruma kuralları, iletişim yöntemi ve işverenin tedbir alma yükümlülüklerini ayrıntılandırır.

Tam da bu nedenle uzaktan çalışmada lisanssız yazılım kullanımı, yalnızca “evden çalışan personelin bireysel tercihi” olarak görülemez. Çoğu dosyada asıl tartışma, lisanssız programın işverenin organizasyonu içinde mi kullanıldığı, işverenin cihaz ve hesap yapısını nasıl kurduğu, veri koruma ve ekipman kurallarını sözleşmede nasıl düzenlediği ve çalışanı ne ölçüde denetlediği noktasında ortaya çıkar. İş Kanunu ve Uzaktan Çalışma Yönetmeliği birlikte okunduğunda, uzaktan çalışmanın yazılı sözleşmeye bağlanması, ekipman ve korunma yükümlülüklerinin belirlenmesi ve veri koruma kurallarının açıkça işletilmesi gerektiği görülür. Bu yüzden uzaktan çalışan bir işçinin korsan muhasebe, CAD, ofis ya da tasarım programı kullanması, çoğu zaman sadece bireysel bir ihlal değil, kurumsal uyum eksikliği olarak da değerlendirilebilir. Bu, somut olayın özelliklerine göre özel hukuk, ceza hukuku, iş hukuku ve kişisel verilerin korunması boyutları olan çok katmanlı bir sorumluluk alanı doğurur.

Türk hukukunda bilgisayar programları açıkça eser olarak korunmaktadır. Fikir ve Sanat Eserleri Kanunu’nda bilgisayar programı tanımlanmış; ayrıca her biçim altında ifade edilen bilgisayar programları ve belirli koşullardaki hazırlık tasarımları ilim ve edebiyat eseri sayılmıştır. Yine FSEK m.22’de çoğaltma hakkının, bilgisayar programının yüklenmesi, görüntülenmesi, çalıştırılması, iletilmesi ve depolanması fiillerini de kapsadığı belirtilmiştir. Bunun anlamı şudur: Hukuki sorun yalnızca crack dosyası indirmek veya sahte lisans anahtarı kullanmak değildir. Tek kullanıcı lisansının ekipçe kullanılması, deneme sürümünün ticari işlerde çalıştırılması, eğitim lisansının gelir getirici faaliyette kullanılması ya da yetkisiz kopyanın uzaktan erişimle şirket işinde aktif tutulması da telif hakkı ihlali tartışması doğurabilir.

Uzaktan çalışmada lisans ihlali nasıl ortaya çıkar?

Ofis düzeninde lisans ihlali çoğu zaman tek ağ, tek sunucu ve sınırlı cihaz sayısı üzerinden izlenir. Uzaktan çalışmada ise tablo parçalanır. İşçi bazen işverenin verdiği dizüstünü, bazen kendi kişisel bilgisayarını, bazen evdeki ikinci cihazını, bazen de bulut tabanlı hesabını kullanır. Buna VPN bağlantısı, uzak masaüstü, eşzamanlı oturum, paylaşılan lisans havuzu ve mobil çalışma eklendiğinde, fiilî kullanım ile sözleşmedeki lisans kapsamı arasındaki uyumsuzluk büyür. İşte bu yüzden uzaktan çalışma sözleşmesinde ekipman, korunma yükümlülükleri, iletişim ve özel çalışma şartlarının yazılı olarak gösterilmesi; ayrıca Yönetmelik uyarınca işverenin gerekli malzeme ve iş araçlarını kural olarak sağlaması, kullanım esaslarını açık ve anlaşılır biçimde bildirmesi ve iş araçları listesini yazılı olarak teslim edip özlük dosyasında saklaması büyük önem taşır.

Pratikte lisans ihlali en sık şu şekillerde görülür: işveren lisans maliyetini azaltmak için çalışanı kendi cihazıyla çalışmaya yönlendirir; çalışan kişisel bilgisayarındaki korsan yazılımı şirket işinde kullanır; şirket, merkezi lisans satın almadığı halde uzaktan çalışanların ev cihazlarında yetkisiz kurulumlara fiilen göz yumar; bir abonelik hesabı birden fazla çalışan arasında paylaşılır; deneme veya öğrenci lisansı ticari projelerde kullanılır; crack veya lisans atlatma aracı, evden çalışan personel tarafından şirket iş süreçlerine entegre edilir. Kanun metinleri bu senaryoları tek tek saymaz; ancak FSEK’in bilgisayar programlarını eser olarak koruyan hükümleri ile uzaktan çalışma rejiminin yazılı organizasyon zorunluluğu birlikte değerlendirildiğinde, bunların önemli bir kısmının telif ihlali ve organizasyon kusuru doğurabileceği sonucuna varmak güçlü bir hukuki çıkarımdır.

İşverenin hukuki sorumluluğu neden daha ağırdır?

Uzaktan çalışan işçinin lisanssız yazılım kullanması hâlinde ilk refleks çoğu zaman “çalışan kendi bilgisayarında yaptı” savunmasıdır. Ancak bu savunma her zaman yeterli olmaz. Türk Borçlar Kanunu m.66’ya göre adam çalıştıran, çalışanın kendisine verilen işin yapılması sırasında başkalarına verdiği zararı gidermekle yükümlüdür. Aynı maddede, işveren ancak çalışanını seçerken, talimat verirken, gözetim ve denetimde bulunurken gerekli özeni gösterdiğini ispat ederse sorumluluktan kurtulabilir; ayrıca işletmenin çalışma düzeninin zararı önlemeye elverişli olduğunu ispat edemeyen işletme bakımından da sorumluluk devam eder. Bu hüküm, uzaktan çalışmada işverenin sorumluluğunu özellikle ağırlaştırır. Çünkü evden çalışma, denetimin sıfır olduğu bir serbest alan değil; aksine yazılı kurallar, ekipman yönetimi ve denetim modeli kurulması gereken bir iş organizasyonudur.

Başka bir ifadeyle, işveren çalışana “evden nasıl çalışıyorsan çalış” deme lüksüne sahip değildir. Uzaktan Çalışma Yönetmeliği m.11 uyarınca işveren, uzaktan çalışanı işyerine ve yaptığı işe dair verilerin korunması ve paylaşımına ilişkin işletme kuralları ve ilgili mevzuat hakkında bilgilendirmek; bu verilerin korunmasına yönelik gerekli tedbirleri almak zorundadır. Aynı maddede korunması gereken verinin tanım ve kapsamının sözleşmede belirlenmesi ve işveren tarafından belirlenen kurallara uzaktan çalışanın uymasının zorunlu olduğu düzenlenmiştir. Bu yüzden lisanssız yazılım kullanımı, özellikle müşteri verileri, ticari sırlar veya kişisel verilerle çalışan şirketlerde sadece telif riski değil; veri güvenliği ve sözleşmesel yönetim eksikliği anlamına da gelir.

İşverenin sorumluluğu burada iki ayrı hatta ilerler. İlki, doğrudan hak sahibine karşı telif ve tazminat sorumluluğudur. İkincisi, çalışanın fiili nedeniyle doğan zararın üçüncü kişilere yansıması hâlinde TBK m.66 çerçevesinde işletme sorumluluğudur. Eğer işveren lisanssız kullanımı açıkça teşvik etmişse, satın alma süreçlerini bilerek devre dışı bırakmışsa, ihtarlara rağmen kullanımı sürdürmüşse veya uzaktan çalışma altyapısını tamamen kontrolsüz bırakmışsa, sorumluluk çok daha ağır değerlendirilir. Buna karşılık işveren; lisans envanteri, cihaz listesi, kurumsal yazılım politikası, uzaktan erişim kuralları, BYOD sınırlamaları ve periyodik denetim mekanizması kurmuşsa savunma zemini güçlenir. Bu sonuç, TBK m.66’daki seçim-talimat-gözetim-denetim ölçütlerinden ve Uzaktan Çalışma Yönetmeliği’nin ekipman ile veri koruma hükümlerinden çıkarılmaktadır.

Çalışanın kişisel sorumluluğu tamamen ortadan kalkar mı?

Hayır. Uzaktan çalışan işçinin, işverenin bilgisi dışında crack kurması, sahte lisans anahtarı kullanması, lisans atlatma aracı indirmesi veya kişisel cihazındaki korsan yazılımı bilerek ticari faaliyette kullanması hâlinde, kişisel sorumluluğu da gündeme gelebilir. TBK m.49’a göre kusurlu ve hukuka aykırı bir fiille başkasına zarar veren kişi bu zararı gidermekle yükümlüdür. Dolayısıyla çalışan, özellikle kasıtlı davranmışsa, işverene veya hak sahibine karşı doğrudan haksız fiil sorumluluğuyla karşılaşabilir. TBK m.66/4 de zaten işverenin ödediği tazminat için, zarar veren çalışana ancak onun bizzat sorumlu olduğu ölçüde rücu edebileceğini düzenler.

Ancak burada denge önemlidir. Her olayda bütün riskin çalışana yüklenmesi hukuken isabetli değildir. Çünkü uzaktan çalışmada cihaz mimarisi, lisans satın alma yetkisi, erişim kurgusu ve veri koruma kuralları çoğu zaman işveren tarafından belirlenir. Eğer şirket, kişisel cihaz kullanımını serbest bırakmış, yazılım kurulumlarını kontrol etmemiş, lisanslı alternatif sunmamış ve buna rağmen çalışanı yoğun iş baskısı altında sonuç üretmeye zorlamışsa, dosya sadece “çalışanın bireysel kusuru” ekseninde okunamaz. Bu nedenle somut olayda çalışanın kastı, yetkisi, bilgi seviyesi ve işverenin organizasyon yapısı birlikte incelenmelidir. Bu değerlendirme, TBK m.49 ve m.66 hükümlerinin birlikte yorumlanmasının doğal sonucudur.

FSEK kapsamında özel hukuk sonuçları

Lisanssız yazılım kullanımı sabit görülürse, hak sahibi yazılım firması FSEK kapsamındaki hukuk davalarına başvurabilir. En kritik düzenleme m.68’dir. Bu maddeye göre hak sahibinden Kanuna uygun yazılı izin almadan eseri işleyen, çoğaltan, yayan, temsil eden veya umuma ileten kişilerden, hak sahibi sözleşme yapılmış olsaydı isteyebileceği bedelin ya da rayiç bedelin en çok üç kat fazlasını talep edebilir. Ayrıca izinsiz çoğaltılan kopyaların satışa çıkarılmamış olması durumunda imha veya bedel karşılığı teslim gibi talepler; satışa çıkarılmış olması hâlinde de ilgili nüshalar bakımından farklı talepler söz konusu olabilir. FSEK m.70 ise manevi tazminat, kusur varsa maddi tazminat ve temin edilen kârın devri imkânını düzenler.

Uzaktan çalışma dosyalarında bu hükümlerin önemi daha da artar. Çünkü ihlal bazen tek merkezli bir ofiste değil, onlarca ev cihazı ve dağınık kullanıcı hesabı içinde gerçekleşir. Hak sahibi açısından bu durum zarar miktarının tespiti bakımından güçlük yaratırken, FSEK m.68’in üç kat bedel mekanizması önemli bir telafi aracı sağlar. Ayrıca uzaktan çalışanların kullandığı nüshaların ve erişim biçimlerinin tespiti için bilirkişi incelemesi, lisans kayıtlarının ibrazı ve sistem loglarının değerlendirilmesi gündeme gelebilir. Bu nedenle “evde kuruluymdu, şirketin ana sunucusunda değildi” savunması otomatik koruma sağlamaz; zira kanun, fiili kullanım ve iznin varlığına bakar. Bu yorum, FSEK m.22, m.68 ve m.70’in birlikte değerlendirilmesinden doğmaktadır.

Bir diğer kritik hüküm FSEK m.76’dır. Bu hükme göre mahkeme, davacının iddiasının doğruluğu hakkında kuvvetli kanaat oluşturmaya yeter miktarda delil sunması hâlinde, eseri kullananlardan Kanunda öngörülen izin ve yetkileri aldıklarına dair belgeleri veya yararlanılan eserlerin listelerini sunmasını isteyebilir; bu belgelerin sunulamaması haksız kullanıma karine teşkil eder. Uzaktan çalışma bakımından bu hüküm son derece pratiktir. Çünkü hak sahibi, önce asgari düzeyde güçlü teknik delil ortaya koyduğunda, karşı tarafın lisans sözleşmelerini, kullanıcı listelerini ve yetki belgelerini mahkemeye sunması beklenebilir. Belge sunulamaması, uzaktan çalışma gibi dağınık yapılarda savunmayı ciddi biçimde zayıflatır.

Lisanssız uzaktan kullanım suç sayılır mı?

Somut olaya göre evet. FSEK m.71, koruma altındaki fikir ve sanat eserleriyle ilgili manevi, mali veya bağlantılı hakları ihlal eden çeşitli fiiller için ceza öngörmektedir. Hak sahibi kişilerin yazılı izni olmaksızın bir eseri işlemek, temsil etmek, çoğaltmak, değiştirmek, dağıtmak, umuma iletmek, yayımlamak, hukuka aykırı çoğaltılmış eserleri satışa arz etmek, ticarî amaçla satın almak, ithal veya ihraç etmek ya da kişisel kullanım amacı dışında elinde bulundurmak veya depolamak, bir yıldan beş yıla kadar hapis veya adlî para cezasını gündeme getirebilir. Aynı bölümde, koruyucu programları etkisiz kılmaya yönelik yazılım veya teknik donanımları üretmek, satmak veya kişisel kullanım amacı dışında bulundurmak da ayrıca suç olarak düzenlenmiştir.

Burada önemli bir ayrım vardır: Her lisans uyumsuzluğu otomatik olarak aynı yoğunlukta cezai sorumluluk doğurmaz. Somut fiilin niteliği, yazılı izin durumu, ticari amaç, depolama şekli, çoğaltma ve yayma boyutu belirleyicidir. Bununla birlikte uzaktan çalışmada crack, keygen veya lisans atlatma programlarının kullanılması, özellikle FSEK m.72 bakımından ayrıca risklidir. Yani evden çalışma, ceza riskini azaltan değil; çoğu zaman görünürlüğünü zorlaştıran ama varlığını ortadan kaldırmayan bir modeldir.

Ceza sorumluluğu bakımından TCK m.20 de unutulmamalıdır. Bu hüküm, ceza sorumluluğunun şahsî olduğunu, kimsenin başkasının fiilinden dolayı sorumlu tutulamayacağını ve tüzel kişiler hakkında ceza yaptırımı uygulanamayacağını; ancak kanunda öngörülen güvenlik tedbirlerinin saklı olduğunu belirtir. Bunun sonucu şudur: Ceza davasında sanık genellikle şirket değil, fiile katılan gerçek kişidir. Ancak bu durum şirketin hiçbir sonuçla karşılaşmayacağı anlamına gelmez; çünkü soruşturma süreci şirket cihazlarını, uzaktan erişim sistemlerini, log kayıtlarını ve kurumsal iletişimi delil konusu yapabilir.

Ayrıca FSEK m.75’e göre 71 ve 72. maddelerdeki suçlar şikâyete bağlıdır; hak sahipleri veya meslek birlikleri belge ve delillerle Cumhuriyet başsavcılığına başvurmalıdır. Şikâyet üzerine savcı, CMK hükümlerine göre elkoyma tedbirleri için işlem yapabilir; gerektiğinde hukuka aykırı çoğaltıldığı iddia edilen eserlerin çoğaltılmasıyla sınırlı olarak faaliyetin durdurulmasına da karar verebilir ve bu karar hâkim onayına sunulur. Bu, uzaktan çalışma dosyalarında savcılık sürecinin sadece teorik değil, pratik bir risk olduğunu gösterir.

KVKK boyutu: korsan yazılım sadece telif riski değildir

Uzaktan çalışan personelin kullandığı lisanssız programlar, çoğu zaman yalnızca telif hakkı sorunu yaratmaz; veri güvenliğini de bozar. Korsan yazılımların kötü amaçlı kod içermesi, güncelleme alamaması, yetkisiz veri transferi yapması veya arka kapı oluşturması hâlinde şirketin kişisel veri işleme süreçleri de tehlikeye girer. KVKK’ya göre kişisel veri, kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgidir; veri sorumlusu ise kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak için gerekli teknik ve idari tedbirleri almak zorundadır. Ayrıca kendi adına başka bir kişi veri işliyorsa da bu tedbirler bakımından müşterek sorumluluk devam eder ve veri sorumlusu gerekli denetimleri yapmak veya yaptırmak zorundadır.

Uzaktan çalışmada bu sorumluluk daha görünürdür. Çünkü Yönetmelik m.11 zaten işverene, çalışanı verilerin korunması ve paylaşımı hakkında bilgilendirme ve gerekli tedbirleri alma yükümlülüğü yükler. Bu nedenle işveren, evden çalışan personelin korsan yazılım kullanması sonucu müşteri verileri sızdırıldığında “cihaz evdeydi, benim kontrolüm dışındaydı” demekle her zaman kurtulamaz. Aksine, uzaktan çalışma sözleşmesinde korunacak verinin tanım ve kapsamını belirlememiş, kurumsal cihaz politikası kurmamış, lisanslı yazılım temin etmemiş veya veri güvenliği denetimi yapmamışsa, KVKK bakımından da ciddi eleştiriyle karşılaşabilir. Bu, KVKK m.12 ile Uzaktan Çalışma Yönetmeliği m.11’in birlikte okunmasının doğal sonucudur.

KVKK m.10 gereği veri sorumlusu, kişisel verilerin elde edilmesi sırasında ilgili kişilere veri sorumlusunun kimliği, işleme amacı, aktarım amaçları, veri toplamanın yöntemi ve hukuki sebebi gibi konularda aydınlatma yapmakla yükümlüdür. Bu yüzden uzaktan çalışanların izlenmesi, cihaz loglarının alınması, evden bağlantı kayıtlarının toplanması gibi denetim araçları da sınırsız değildir. İşveren lisans uyumunu sağlamak isterken, aydınlatma yapmadan ve amacı açıklamadan ölçüsüz gözetim kurarsa ayrı bir hukuki sorun yaratabilir. Üstelik KVKK’daki aydınlatma ve veri güvenliği yükümlülüklerine aykırılık için idari para cezaları da öngörülmüştür.

Eğer lisanssız yazılım nedeniyle kişisel veriler kanuni olmayan yollarla başkaları tarafından elde edilirse, KVKK Kurulu’nun 2019/10 sayılı kararına göre bu durumun veri sorumlusu tarafından öğrenildiği tarihten itibaren gecikmeksizin ve en geç 72 saat içinde Kurula bildirilmesi; etkilenen kişilere de makul olan en kısa sürede bilgi verilmesi gerekir. Uzaktan çalışmada korsan yazılım kaynaklı bir sızıntı yaşandığında mesele artık sadece telif davası değil, veri ihlali bildirimi zorunluluğu doğuran çift katmanlı bir kriz hâline gelebilir.

Evden çalışan personelin cihazları nasıl denetlenebilir?

Uzaktan çalışma düzeninde delil ve denetim en hassas başlıklardan biridir. HMK m.199, elektronik ortamdaki verileri açıkça belge sayar. Bu yüzden sunucu logları, lisans sunucusu kayıtları, VPN erişim bilgileri, cihaz envanterleri, iş e-postaları ve kurulum kayıtları hukuk yargılamasında delil olarak kullanılabilir. Ancak HMK m.189’a göre hukuka aykırı elde edilen deliller ispatta dikkate alınamaz. Bu nedenle işveren, lisanssız yazılımı tespit etmek isterken ölçüsüz, gizli ve dayanağı belirsiz müdahaleler yapamaz; özellikle kişisel cihazların incelenmesinde hukuki sınırlar daha da daralır.

Bu sebeple en güvenli yaklaşım, baştan yazılı uzaktan çalışma sözleşmesi kurmak, işveren tarafından sağlanan ekipmanı listelemek, hangi yazılımların kurulu olacağını belirlemek, kişisel cihaz kullanımını ya yasaklamak ya da sıkı kurallara bağlamak, iletişim ve denetim yöntemini açıkça göstermek ve veri koruma politikasını tebliğ etmektir. Zaten Yönetmelik, iş araçlarının kullanım esaslarının açık ve anlaşılır biçimde çalışana bildirilmesini; iletişimin yöntem ve zaman aralığının belirlenmesini; verilerin korunmasına ilişkin işletme kurallarının uygulanmasını öngörmektedir. Bu kurallar yoksa, sonradan yapılan denetim hem ispat hem de kişisel veri hukuku bakımından daha tartışmalı hâle gelir.

Hukuk davası açılmadan önce delilin kaybolma riski varsa HMK m.400 uyarınca delil tespiti de istenebilir. Taraflar, ileride açacakları davada ileri sürecekleri bir vakıanın tespiti için keşif veya bilirkişi incelemesi talep edebilir; delilin hemen tespit edilmemesi hâlinde kaybolacağı veya ileri sürülmesinin önemli ölçüde zorlaşacağı ihtimali hukuki yarar sayılır. Uzaktan çalışmada log kayıtlarının kısa saklama süreleri, ev cihazlarının değişmesi veya hesapların kapatılması nedeniyle bu mekanizma özellikle önemlidir.

Ceza soruşturması boyutunda ise CMK m.134 devreye girer. Bu maddeye göre soruşturmada başka surette delil elde etme imkânı yoksa hâkim kararıyla bilgisayar ve bilgisayar programları ile kütüklerinde arama yapılabilir, kopya alınabilir ve gerekiyorsa elkonulabilir; ayrıca sistemdeki verilerin yedeklemesi yapılır ve istenirse bunun bir kopyası şüpheliye veya vekiline verilir. Uzaktan çalışan personelin ev cihazında iş için kullanılan korsan yazılım bulunduğu iddiası ceza dosyasına taşınırsa, ev-ofis ayrımı delil koruma tedbirlerini tamamen ortadan kaldırmaz.

Şirketler ne yapmalı?

En etkili çözüm, ihtarname geldikten sonra panik yönetimi değil; lisans uyumunu uzaktan çalışma mimarisinin içine yerleştirmektir. İşveren, uzaktan çalışma sözleşmelerini standartlaştırmalı; hangi yazılımların lisanslı olduğu, hangi cihazlarda kurulabileceği, kişisel cihaz kullanımının kapsamı, bulut hesaplarının kime ait olduğu, lisans devrinin mümkün olup olmadığı ve log/denetim rejimi gibi konuları açıkça düzenlemelidir. İşveren tarafından sağlanan cihazların listesi özlük dosyasında tutulmalı, çalışanlara kurumsal mağaza veya izinli yazılım havuzu sunulmalı, crack ve benzeri araçların kullanımı açıkça yasaklanmalıdır. Bu yaklaşım, hem Yönetmelik hükümleriyle uyumludur hem de TBK m.66 bakımından gerekli özenin gösterildiğine dair güçlü savunma zemini yaratır.

İkinci olarak, şirketler veri koruma ve lisans yönetimini birbirinden ayrı düşünmemelidir. Korsan yazılım çoğu zaman siber güvenlik zafiyetiyle birlikte gelir. Bu nedenle lisans envanteri, erişim yönetimi, VPN politikası, çok faktörlü doğrulama, güncelleme zorunluluğu ve veri ihlali müdahale planı birlikte ele alınmalıdır. KVKK Kurulu’nun veri ihlali bildirimi konusunda 72 saat yaklaşımı, uzaktan çalışma kaynaklı yazılım risklerinin veri güvenliği krizine dönüşmesi hâlinde şirketin ne kadar hızlı hareket etmesi gerektiğini açıkça gösterir.

Sonuç

Uzaktan çalışma düzeninde lisanssız yazılım kullanımı, klasik ofis kullanımından daha düşük riskli değil; çoğu zaman daha da tehlikelidir. Çünkü uzaktan çalışma, cihazların ve kullanıcıların dağınıklaşmasına yol açarken, aynı zamanda işveren için yazılı organizasyon, ekipman yönetimi, veri koruma ve denetim yükümlülüklerini daha görünür hâle getirir. Bilgisayar programları FSEK kapsamında eser olarak korunur; programın yüklenmesi, çalıştırılması ve depolanması dahi hak ihlali tartışması doğurabilir. Hak sahibi, üç kata kadar bedel, tazminat, men ve ref talepleri ileri sürebilir; somut olayın niteliğine göre ceza süreci de başlayabilir.

Bu nedenle mesele “çalışan evde kendi bilgisayarında kurmuş” denilerek küçümsenmemelidir. Asıl hukuki soru şudur: Yazılım kim için, hangi iş kapsamında, hangi organizasyon içinde ve hangi kurallar altında kullanıldı? Cevap, çoğu olayda doğrudan işverenin uzaktan çalışma mimarisine çıkar. Yazılı sözleşme, cihaz listesi, lisans envanteri, veri koruma politikası, denetim usulü ve hızlı müdahale planı olmayan şirketler için uzaktan çalışma, verimlilik aracı olmaktan çıkıp telif, tazminat, ceza ve KVKK risklerinin birleştiği bir kırılganlık alanına dönüşebilir.