Yazılım Lisans Uyum Politikası Neden Her Şirket İçin Gereklidir?

Yazılım lisans uyum politikası neden gereklidir? Türk hukukunda FSEK, TBK ve güncel lisans modelleri çerçevesinde lisanssız yazılım, üç kat bedel, tazminat, ceza riski, çalışan sorumluluğu ve şirketler için uyum politikasının zorunluluğu bu kapsamlı rehberde açıklanmaktadır.

Yazılım lisans uyum politikası, bugün artık yalnızca büyük şirketlerin “kurumsal prosedürü” değildir. Yazılım, muhasebeden üretime, mimarlıktan mühendisliğe, insan kaynaklarından satış operasyonlarına kadar neredeyse bütün ticari süreçlerin temel altyapısı haline geldiği için, hangi yazılımın kim tarafından, hangi lisans modeliyle, hangi cihazda, hangi süre boyunca ve hangi amaçla kullanıldığını düzenleyen yazılı bir politika her şirket için hukukî bir ihtiyaçtır. Türk hukukunda bilgisayar programları 5846 sayılı Fikir ve Sanat Eserleri Kanunu kapsamında korunan eserler arasında yer alır ve Kanun’un güncel metni 21 Aralık 2021 tarihli 7346 sayılı değişiklikleri içermektedir. Bu nedenle yazılım kullanımı sadece teknik bir BT konusu değil, doğrudan telif ve sözleşme hukuku konusudur.

Kültür ve Turizm Bakanlığı Telif Hakları Genel Müdürlüğü’nün resmî açıklamasına göre telif hakkı ihlali halinde hem hukuk hem de ceza davası açılabilir. Aynı açıklama; yazılı izin olmaksızın işleme, temsil etme, çoğaltma, değiştirme, dağıtma, umuma iletme ve yayımlama ile hukuka aykırı çoğaltılmış eserleri ticarî amaçla satın alma, ithal etme, ihraç etme, kişisel kullanım amacı dışında elde bulundurma veya depolama fiillerini açıkça saymaktadır. Bu çerçevede bir şirkette lisanssız veya lisans kapsamı dışında yazılım kullanımı tespit edildiğinde, konu yalnızca “eksik lisans bedeli” olmaktan çıkabilir; üç kat bedel, tazminat, kullanımın durdurulması ve ceza şikâyeti gibi ağır sonuçlar doğabilir. Tam da bu nedenle yazılım lisans uyum politikası, risk doğduktan sonra değil risk doğmadan önce kurulmalıdır.

Önce temel hukuki zemini netleştirmek gerekir. Bakanlığın “Genel Sorular” sayfasında açıkça belirtildiği üzere, telif koruması eserin yaratıldığı andan itibaren kendiliğinden başlar; ayrıca zorunlu bir kayıt veya tescil şartı aranmaz. İsteğe bağlı kayıt-tescil ise hak yaratmaz, esasen ispat kolaylığı sağlar. Bu bilgi şirketler açısından çok önemlidir; çünkü uygulamada hâlâ “tescil yoksa ciddi risk de yoktur” gibi hatalı bir varsayım görülmektedir. Oysa yazılımın korunan eser niteliği, lisans zinciri ve kullanım kapsamı bakımından tartışma, tescilden bağımsız olarak zaten başlamaktadır. Bu yüzden uyum politikası, “önce biri bizi uyarsın” mantığına değil, yazılımı baştan hukuka uygun kullanma mantığına dayanmalıdır.

Bir yazılım lisans uyum politikasının neden gerekli olduğunu anlamak için, modern lisans modellerinin ne kadar karmaşık hale geldiğine bakmak yeterlidir. Adobe’nin güncel kurumsal lisans belgelerinde “named user licensing” modelinin lisansı bireysel kullanıcıya bağladığı ve merkezi uyum takibini kolaylaştırdığı belirtilmektedir. Autodesk’in güncel resmî içeriğinde ise oturum açma gerektiren aboneliklerde her seat’in tek bir “Authorized User”a atanacağı ve seat’lerin paylaşılamayacağı açıkça yazmaktadır. Microsoft Hizmet Sözleşmesi de hesap bilgilerinin başka bir kullanıcıya veya başka bir kuruluşa devredilemeyeceğini düzenlemektedir. Bu tablo, günümüzde lisans ihlalinin çoğu zaman “korsan CD” değil; kullanıcı paylaşımı, hesap devri, seat aşımı, yanlış lisans tipi kullanımı ve abonelik kapsamı dışına çıkma şeklinde doğduğunu gösterir. Şirket içinde bu ayrımları yönetecek yazılı bir politika yoksa, ihlal çoğu zaman bilinçli değil, dağınık kullanım alışkanlıkları nedeniyle oluşur.

Yazılım lisans uyum politikası bu nedenle önce tanım ve sınır koyma işlevi görür. Şirket, hangi yazılımları kullandığını, bu yazılımların OEM, tek kullanıcı, çoklu kullanıcı, named user, trial, eğitim, kişisel veya kurumsal abonelik olup olmadığını bilmeden uyum sağlayamaz. Bakanlığın “Genel Sorular” sayfasında eser sahibinin mali hakları arasında işleme, çoğaltma, yayma, temsil ve umuma iletim haklarının ayrı ayrı sayılması da bunu destekler. Çünkü lisansın kapsamı, korunan ekonomik hakların hangi sınır içinde kullandırıldığıyla ilgilidir. Politika yoksa şirket içinde “tek kullanıcı lisansı ofiste paylaşılabilir”, “eğitim sürümü ticari işte de kullanılabilir” veya “bulut hesabı ekip arasında döndürülebilir” gibi yanlış alışkanlıklar kolayca yerleşir.

Bir diğer temel sebep, çalışan ve taşeron kaynaklı sorumluluktur. Türk Borçlar Kanunu m.112’ye göre borç gereği gibi ifa edilmezse borçlu, kusursuzluğunu ispat etmedikçe alacaklının zararını gidermekle yükümlüdür. Aynı metindeki m.113, yapma ve yapmama borçlarında aykırılığın sonuçlarının giderilmesini mümkün kılar. M.116 ise borçlunun, borcun ifasını veya bir borç ilişkisinden doğan hakkın kullanılmasını yardımcı kişilere bırakmış olsa bile, onların işi yürüttükleri sırada diğer tarafa verdikleri zarardan sorumlu olduğunu açıkça düzenler. Başka bir deyişle, lisanssız yazılımı çalışan yüklemiş, dış BT firması kurmuş veya eski personel bırakmış olsa bile, hak sahibi karşısında şirketin sorumluluğu ciddi biçimde devam edebilir. Bu yüzden iyi bir uyum politikası, sadece “ne yasak?” sorusunu değil, “kim kurabilir, kim devredebilir, kim hesap açabilir, kim lisans satın alabilir?” sorularını da cevaplamak zorundadır.

Yazılım lisans uyum politikasının zorunlu olmasının bir başka nedeni, FSEK m.68 çerçevesindeki ağır mali risktir. Bakanlığın telif ihlali sayfası, izni alınmamış hak sahibinin sözleşme yapılmış olsaydı isteyebileceği bedelin veya rayiç bedelin en çok üç kat fazlasını isteyebileceğini açıkça belirtmektedir. Bu hüküm, lisans ihlalini basit “eksik lisans bedeli” olmaktan çıkarır. Şirket içinde yazılı politika yoksa ve lisans yönetimi dağınıksa, uzun yıllara yayılan kullanıcı aşımı, trial sürümün üretim ortamında kullanılması, eğitim lisansının ticari projeye sokulması veya OEM/tek kullanıcı lisansın yanlış taşınması, işlem başına küçük görünen ama toplamda çok büyük mali sonuçlar doğurabilir. Özellikle pahalı CAD, ERP, muhasebe, veri tabanı ve tasarım yazılımlarında bu risk son derece büyüktür.

Tazminat ve kâr devri riski de ayrıca göz ardı edilmemelidir. Aynı resmî Bakanlık açıklamasında maddi ve manevi tazminat istenebileceği, ayrıca hukuka aykırı hareket eden kişinin bu eylemle elde ettiği kârın da talep edilebileceği belirtilmektedir. Bu ne demektir? Şirket lisanssız yazılımla yalnızca yazılım bedelinden kaçınmış sayılmaz; aynı zamanda o yazılımla müşteri projesi üretmiş, muhasebe süreci yürütmüş, tasarım teslim etmiş veya operasyonel verim elde etmiş olabilir. Bu durumda hak sahibi, ihlali yalnızca teknik bir kurulum sorunu olarak değil, ekonomik fayda üreten bir kullanım olarak da ileri sürebilir. İyi hazırlanmış bir lisans uyum politikası, tam da bu nedenle “yazılımı kurma” ile “yazılımı ticari sürece sokma” arasındaki aşamalara kontrol noktaları koymalıdır.

Ceza boyutu da politikanın neden zorunlu olduğunu gösterir. Bakanlığın resmî açıklamasında, korunan eserlerle ilgili izinsiz işleme, çoğaltma, dağıtma, umuma iletme ve yayımlama fiilleri ile hukuka aykırı çoğaltılmış eserleri ticarî amaçla edinme, elde bulundurma veya depolama hallerinde ceza davası açılabileceği açıkça yer almaktadır. Aynı sayfada, bir bilgisayar programının hukuka aykırı çoğaltılmasının önüne geçmek için oluşturulmuş ilave programları etkisiz kılmaya yönelik program veya teknik donanımların üretilmesi, satışa arz edilmesi veya kişisel kullanım dışında elde bulundurulması da ayrıca sayılmıştır. WIPO’daki güncel kayıt ise 2021 değişiklikleriyle FSEK m.72’nin teknolojik önlemleri etkisiz kılma bakımından güncellendiğini göstermektedir. Şirket içinde lisans uyum politikası yoksa, bir çalışanın crack, patch veya sahte aktivasyon kullanması yalnızca “BT disiplini sorunu” olarak kalmaz; ceza riski taşıyan bir hukukî zemine dönüşebilir.

Yazılım lisans uyum politikası ayrıca ispat politikasıdır. Bakanlığın telif ihlali açıklamasında, hak sahibinin hukuk davası açabileceği ve gerekli hallerde belge ile kullanımın ortaya konulmasının önemli olduğu gösterilmektedir; uygulamada FSEK m.76 da gerekli izin ve yetki belgelerinin sunulamamasının haksız kullanıma karine doğurabileceği yönünde işler. Şirket içinde yazılım envanteri, lisans sözleşmeleri, fatura seti, reseller zinciri, kullanıcı atamaları, abonelik bitiş tarihleri ve admin panel kayıtları düzenli tutulmuyorsa, ihtilaf anında savunma alanı hızla daralır. Bu nedenle lisans uyum politikası sadece yasakları değil, belge saklama ve kanıt üretme düzenini de içermelidir. Aksi halde şirket, lisansı aslında satın almış olsa bile bunu ispatlayamadığı için ciddi dezavantaj yaşayabilir.

Peki böyle bir politikanın içinde ne olmalıdır? Öncelikle yazılım edinme ve kurulum yetkisi sınırlandırılmalıdır. Her çalışanın kendi inisiyatifiyle yazılım indirip kurması, en sık ihlal sebeplerinden biridir. Politika, kimlerin yazılım talep edebileceğini, kimin onay vereceğini, kimlerin kurulum yapabileceğini ve hangi kayıtların tutulacağını belirlemelidir. İkinci olarak lisans türleri ayrı ayrı sınıflandırılmalıdır. OEM, tek kullanıcı, çoklu kullanıcı, bulut aboneliği, trial, eğitim ve açık kaynak kullanım senaryoları birbirine karıştırılmamalıdır. Üçüncü olarak kullanıcı yönetimi açık olmalıdır: named user hesapları paylaşılmayacak, işten ayrılan personelin erişimi derhal kapatılacak, ortak şifre kullanılmayacak, group company veya taşeron erişimi ayrıca onaya bağlanacaktır. Modern üretici dokümanları tam da bu risklere odaklanmaktadır.

Politikanın dördüncü temel unsuru düzenli iç denetimdir. Autodesk’in resmî denetim sayfasında “overuse of subscription seats”, “nonvalid software” ve “non-commercial licenses used commercially” gibi başlıklar açıkça sayılmakta ve denetim sürecinde ortam taramasına kadar giden bir yapı anlatılmaktadır. Bu, üreticilerin lisans uyumunu yalnızca sözleşme metinlerinden değil, fiilî kullanımdan da takip ettiğini gösterir. Şirket iç politikası düzenli iç denetim öngörmüyorsa, sorun genellikle ihtarname geldikten sonra fark edilir. Oysa amaç, üreticinin audit mektubundan önce ihlali şirketin kendisinin görmesidir. Bu nedenle yıllık veya yarıyıllık yazılım lisans taraması, kullanıcı eşleştirmesi ve belge kontrolü politikanın vazgeçilmez parçası olmalıdır.

Beşinci unsur eğitim ve farkındalıktır. Politika yalnızca hukuk biriminin veya bilgi işlem departmanının bildiği bir metin olarak kalırsa, gerçek hayatta işe yaramaz. Çalışanlara trial ve eğitim lisansının ticari işte kullanılamayacağı, named user hesabının paylaşılmayacağı, OEM lisansın cihazdan cihaza taşınamayacağı, reseller dışı satın alma kanallarının risk taşıdığı ve bulut hesap bilgilerinin devredilemeyeceği öğretilmelidir. Çünkü ihlallerin büyük kısmı kötüniyetten değil, yanlış alışkanlıktan doğar. Yazılı politika bu alışkanlığı değiştirmek için vardır.

Altıncı ve çoğu zaman unutulan unsur, birleşme-devralma ve dış kaynak kullanımı kontrolüdür. Bir şirket başka bir şirketi devraldığında veya bir işletmeyi aktif-pasifiyle birlikte aldığında, yazılım lisans uyumsuzluğu da devredilen riskler arasında olabilir. Türk Ticaret Kanunu birleşmede aktif ve pasiflerin devrini düzenlerken, Türk Borçlar Kanunu m.202 ve m.203 malvarlığı ve işletme devralınmasında borçların devralana yönelebileceğini göstermektedir. Bu nedenle iyi bir lisans uyum politikası, M&A öncesi yazılım due diligence’ını ve dış BT tedarikçilerinin lisans yetkilerinin kontrolünü de kapsamalıdır. “Bunu eski şirket kurmuştu” savunması çoğu zaman geç kalmış bir savunmadır.

Son olarak, yazılım lisans uyum politikası bir kriz planı da içermelidir. İhtarname gelirse ne yapılacak, kim bilgilendirilecek, hangi cihazlar ve kayıtlar korunacak, kim karşı tarafa cevap verecek, uzlaşma yetkisi kimde olacak, delil tespiti veya savcılık süreci riski varsa hangi dış danışmanlar devreye girecek? Bunlar önceden belirlenmezse ilk refleks çoğu zaman veri silmek, sessizce kaldırmak veya uygunsuz kabul yazısı göndermek olur. Oysa doğru kriz yönetimi, delili koruyarak iç inceleme yapmak ve savunma alanını kaybetmeden süreci kontrol etmektir. TBK’daki yardımcı kişi sorumluluğu ve Bakanlığın gösterdiği hukuk-ceza yolları düşünüldüğünde, bu kriz planı her şirket için zorunlu hale gelir.

Sonuç olarak, yazılım lisans uyum politikası neden her şirket için gereklidir sorusunun cevabı çok nettir: çünkü yazılım kullanımı artık doğrudan telif, sözleşme, delil ve yaptırım hukukunun içindedir. Şirketin hangi yazılımı kullandığını bilmemesi, kullandığını sandığı lisansın kapsamını anlamaması, çalışan ve taşeron erişimini kontrol etmemesi, belge düzeni tutmaması ve modern lisans modellerini hafife alması; üç kat bedel, tazminat, kullanımın durdurulması ve ceza riskiyle sonuçlanabilir. Bu nedenle yazılım lisans uyum politikası, şirketi yavaşlatan bürokratik bir metin değil; şirketi pahalı ve yıpratıcı uyuşmazlıklardan koruyan temel hukukî güvenlik duvarıdır.