Yazılım Varlık Yönetimi Eksikliğinin Şirketler Açısından Hukuki Sonuçları

Yazılım varlık yönetimi, en basit tanımıyla bir şirketin kullandığı yazılımları yaşam döngüsü boyunca planlama, takip etme, yönetme ve optimize etme pratiğidir. Bu çerçeve; hangi yazılımın nerede kurulu olduğu, hangi lisansla kullanıldığı, kullanıcı sayısı, modül kapsamı, abonelik süresi, bakım-destek durumu, devreden lisanslar, kullanılmayan lisanslar ve uyum risklerinin birlikte izlenmesini kapsar. Başka bir deyişle yazılım varlık yönetimi, sadece BT envanteri değil; lisans, sözleşme, maliyet ve uyum yönetiminin kesişim alanıdır.

Şirketlerin önemli bir kısmı yazılım varlık yönetimini hâlâ operasyonel bir “IT housekeeping” başlığı gibi görmektedir. Oysa bu eksiklik, yalnızca fazla lisans maliyeti veya eksik lisans riski yaratmaz; telif hakkı ihlali, sözleşmeye aykırılık, kurumsal yönetim zaafı, ticari kayıt düzeninin bozulması, veri güvenliği açığı ve hatta bazı durumlarda ceza soruşturmasına kadar uzanabilen çok katmanlı bir hukukî tablo doğurur. Bu nedenle yazılım varlık yönetimi eksikliği, teknik bir verimsizlik değil; doğrudan hukukî risk üreten bir kurumsal zafiyet olarak değerlendirilmelidir.

Yazılım varlık yönetimi neden hukukî bir meseledir?

Türk hukukunda bilgisayar programları açıkça eser olarak korunur. 5846 sayılı Fikir ve Sanat Eserleri Kanunu, bilgisayar programlarını ilim ve edebiyat eseri sayar; ayrıca bir programın yüklenmesi, görüntülenmesi, çalıştırılması, iletilmesi ve depolanması da eser sahibinin çoğaltma hakkı kapsamında değerlendirilir. Bu nedenle hangi yazılımın hangi lisansla kullanıldığını bilmeyen, kullanıcı sayısını veya modül kapsamını izlemeyen, sahte anahtar, crackli sürüm, eğitim lisansı, deneme sürümü veya süresi dolmuş abonelik kullanımını ayıramayan bir şirket, farkında olmadan doğrudan telif hakkı ihlali alanına girebilir. Yazılım varlık yönetimi eksikliği işte tam burada hukukî bir mesele hâline gelir.

Sorun yalnızca korsan yazılım kullanımı da değildir. Yazılım varlık yönetimi olmayan bir şirkette; aynı lisansın birden fazla cihazda kullanılması, tek kullanıcı lisansının ekipçe paylaşılması, SaaS aboneliğinin yetkisiz biçimde devredilmesi, grup şirketleri arasında sözleşmeye aykırı kullanım, yurt dışından alınan lisansların Türkiye’de uygunsuz yayılması veya dış kaynak ekiplerin lisanssız araçlarla iş üretmesi çok daha kolay hâle gelir. Bu tür her bir başlık, farklı hukuk alanlarını aynı dosyada buluşturabilir.

FSEK bakımından en doğrudan risk: telif hakkı ihlali

Yazılım varlık yönetimi eksikliğinin en görünür hukukî sonucu FSEK kaynaklıdır. Kanun, hak sahibinden yazılı izin alınmadan eserin işlenmesi, çoğaltılması, yayılması, temsil edilmesi veya umuma iletilmesi hâlinde hak sahibine güçlü talepler tanır. Özellikle FSEK m.68, hak sahibine, sözleşme yapılmış olsaydı isteyebileceği bedelin veya rayiç bedelin en çok üç katına kadar talepte bulunma imkânı verir. FSEK m.70 de kusur varsa maddi tazminat ve elde edilen kârın devri gibi taleplere kapı açar. Yazılım varlık yönetimi eksikliği nedeniyle şirket hangi yazılımı hangi kapsamda kullandığını belgeleyemiyorsa, bu talepler karşısında savunması ciddi biçimde zayıflar.

Bu noktada kritik olan, ihlalin çoğu zaman “bilinçli korsanlık” şeklinde başlamamasıdır. Çoğu dosyada sorun; eksik envanter, dağınık satın alma, güncellenmeyen kullanıcı listesi, devreden çalışan hesaplarının kapatılmaması, dış kaynak ekiplerin kontrolsüz erişimi veya merkezileştirilmemiş lisans kayıtları nedeniyle ortaya çıkar. FSEK bakımından ise hak sahibi için sonuç çoğu zaman aynıdır: yazılım, izin verilen kapsam dışında kullanılmıştır. Dolayısıyla yazılım varlık yönetimi eksikliği, telif hakkı ihlalinin en yaygın kurumsal sebebi hâline gelebilir.

Daha da önemlisi, FSEK m.66 mantığı gereği ihlal şirket çalışanları veya hizmet ifası sırasında hareket eden kişiler eliyle yapılmışsa, işletme sahibine karşı da dava açılabilir. Bu, şirketlerin “bunu çalışan yaptı”, “ajans böyle kurmuş”, “BT departmanı fark etmemiş” gibi savunmalarla her zaman dışarı çıkamayacağını gösterir. Yazılım varlık yönetimi eksikliği, tam da bu yüzden yalnızca BT’nin değil, şirketin bütününün sorunudur.

TBK bakımından sözleşmeye aykırılık ve tazminat riski

Yazılım varlık yönetimi eksikliği sadece hak sahibine karşı telif sorunu yaratmaz; müşterilere, tedarikçilere ve sözleşme karşı taraflarına karşı da borca aykırılık riski doğurur. Türk Borçlar Kanunu m.112’ye göre borç hiç veya gereği gibi ifa edilmezse, borçlu kusursuzluğunu ispat edemedikçe alacaklının zararını gidermekle yükümlüdür. Bir şirket müşterisine ERP desteği, muhasebe hizmeti, yazılım geliştirme, tasarım, veri işleme veya raporlama hizmeti sunarken lisanssız ya da lisans sınırını aşan yazılım kullanıyorsa, “sonuç teslim edildi” savunması her zaman yeterli olmaz. Çünkü hizmet, hukuka uygun altyapı üzerinde ve gereği gibi ifa edilmemiş sayılabilir.

TBK m.116 da yazılım varlık yönetimi eksikliği bulunan şirketler için çok kritik bir hükümdür. Bu maddeye göre borçlu, borcun ifasını yardımcı kişilere bırakmış olsa bile, onların işi yürüttükleri sırada verdikleri zarardan sorumludur. Yani şirket dış kaynak yazılımcı, entegratör, ajans, freelance ekip veya danışman kullanıyorsa ve bu ekipler lisanssız veya uygunsuz araçlar üzerinden hizmet üretiyorsa, müşteri karşısında asıl sözleşme tarafı olan şirketin sorumluluğu devam edebilir. Yazılım varlık yönetimi eksikliği, bu tür yardımcı kişi risklerini görünmez kıldığı için TBK m.116 bakımından da ağır sonuç üretir.

TBK m.66’nın seçim, talimat, gözetim ve denetim mantığı da burada önemlidir. Şirket, çalışanlarının veya kendisi adına iş gören kişilerin faaliyetlerini hukuken yönetmek zorundadır. Uygun lisans kontrolü, yazılım envanteri, kullanıcı yetkisi, dış kaynak sözleşmesi ve denetim mekanizması bulunmayan bir yapıda, şirketin “özen gösterdim” savunması zayıflar. Kısacası yazılım varlık yönetimi eksikliği, sadece doğrudan yazılım kullanımını değil, şirketin gözetim ve kontrol yükümlülüğünü de ihlal riskine açık hâle getirir.

TTK bakımından kayıt düzeni ve yönetici sorumluluğu

Türk Ticaret Kanunu m.64, her tacirin ticari defterlerini ve işletmeyle ilgili belgelerini; faaliyetleri ve finansal durum hakkında uzmanlara makul sürede fikir verecek şekilde tutmasını ve saklamasını zorunlu kılar. Yazılım varlık yönetimi olmayan bir şirkette, hangi yazılımın hangi süreçte kullanıldığı, hangi lisansın hangi kullanıcıya tahsis edildiği, hangi aboneliğin ne zaman sona erdiği ve hangi tedarikçiden ne alındığı çoğu zaman net biçimde izlenemez. Bu da sadece IT karmaşası değil, ticari kayıt ve denetlenebilirlik sorunu yaratır. Özellikle muhasebe, stok, bordro, üretim, CRM ve ERP sistemlerinde kullanılan yazılımlar bakımından bu eksiklik, şirketin kendi ticari altyapısını da tartışmalı hâle getirebilir.

TTK m.369, yönetim kurulu üyeleri ve yönetimle görevli üçüncü kişilerin görevlerini tedbirli bir yöneticinin özeniyle yerine getirmesini ve şirket menfaatlerini dürüstlük kurallarına uygun gözetmesini ister. TTK m.553 ise kanundan ve esas sözleşmeden doğan yükümlülüklerin kusurla ihlali hâlinde yöneticilerin şirkete, pay sahiplerine ve alacaklılara karşı sorumluluğunu düzenler. Yazılım varlık yönetimi eksikliği, yöneticiler açısından tam da bu noktada önem kazanır. Çünkü lisans yönetimi, abonelik kontrolü, yazılım envanteri ve dış kaynak erişimi artık tali BT konuları değil; kurumsal risk yönetiminin parçasıdır. Yönetim bunu rastgele yürütüyor, iç yönerge oluşturmuyor, raporlama zinciri kurmuyor ve açık uyarılara rağmen önlem almıyorsa, iç sorumluluk tartışması doğabilir.

Bu noktada sorun şudur: Yazılım varlık yönetimi eksikliği çoğu zaman bir “olay” olarak değil, bir “sistem eksikliği” olarak ortaya çıkar. Yani dosyada tek bir crackli program değil; çok sayıda kullanıcı, dağınık lisans, kontrolsüz dış kaynak, kapatılmamış hesaplar ve belgesiz abonelikler birlikte bulunur. Böyle bir tablo, yönetimin risk öngörüsü ve denetim kapasitesi bakımından doğrudan değerlendirilir. Bu nedenle SAM eksikliği, TTK bakımından da doğrudan yönetişim ve yönetici sorumluluğu konusudur.

KVKK bakımından veri güvenliği zafiyeti

Yazılım varlık yönetimi eksikliğinin en ciddi sonuçlarından biri de veri güvenliği alanında ortaya çıkar. KVKK m.12’ye göre veri sorumlusu; kişisel verilerin hukuka aykırı işlenmesini ve erişilmesini önlemek, verilerin muhafazasını sağlamak için gerekli teknik ve idari tedbirleri almak zorundadır. Kurulun Kişisel Veri Güvenliği Rehberi de veri sorumlularına; yetki matrisi, kullanıcı hesap yönetimi, erişim logları, ağ güvenliği, uygulama güvenliği, güncel antivirüs sistemleri, yedekleme, sızma testleri, risk analizi ve periyodik denetimler gibi çok sayıda teknik-idari tedbir tavsiye etmektedir. Yazılım varlık yönetimi olmayan bir şirkette bu tedbirlerin önemli kısmı kağıt üzerinde kalır. Çünkü hangi sistemin çalıştığı, hangi sürümün kullanıldığı ve hangi yazılımın destek/güncelleme zinciri içinde olduğu dahi bilinmemektedir.

Lisanssız, sahte anahtarlı, destek dışı veya kaynağı belirsiz yazılımlar; güncelleme zincirinin kırılması, loglama eksikliği, belirsiz veri akışı ve kontrolsüz erişim gibi riskler yaratabilir. KVKK bakımından lisanssız yazılım kullanmak tek başına ayrıca isimlendirilmiş bir ihlal türü değildir; ancak bu kullanım veri güvenliğini zayıflatıyorsa, şirketin m.12 kapsamındaki savunması büyük ölçüde çöker. Bu yüzden yazılım varlık yönetimi eksikliği, KVKK bakımından da salt “lisans problemi” değil, veri sorumlusunun güvenlik mimarisini bozan bir yapısal eksikliktir.

KVKK m.10’daki aydınlatma yükümlülüğü de dolaylı biçimde etkilenir. Şirket kişisel verileri hangi amaçlarla, hangi sistemler üzerinde ve kimlere aktararak işlediğini şeffaf biçimde ortaya koymak zorundadır. Oysa yazılım varlık yönetimi olmayan bir yapıda, verinin hangi araçlarla işlendiği, hangi bulut servislerine aktığı ve hangi üçüncü taraf yazılım bileşenlerinin kullanıldığı dahi net biçimde bilinmeyebilir. Bu da hem aydınlatma kalitesini hem de veri işleme şeffaflığını zedeler.

Veri işleyenler ve dış kaynak ekipler bakımından risk

KVKK m.12/2, kişisel verilerin veri sorumlusu adına başka bir gerçek veya tüzel kişi tarafından işlenmesi hâlinde veri sorumlusu ile bu kişinin teknik ve idari tedbirler bakımından müşterek sorumluluğunu düzenler. Yazılım varlık yönetimi eksikliği olan şirketler, çoğu zaman dış kaynak ajans, entegratör, yazılım geliştirici, muhasebe hizmet sağlayıcısı veya bulut altyapı tedarikçisi üzerinden veri işlettikleri için ek risk altındadır. Şirket kendi iç envanterini bilmiyorsa, veri işleyenin kullandığı araçları ve lisans durumunu da çoğu zaman etkili biçimde denetleyemez. Bu durumda telif ihlali ve veri güvenliği riski birlikte büyür.

KVKK rehberi, veri işleyenlerle sözleşmeler yapılmasını, denetim mekanizmalarının kurulmasını ve hizmet sağlayıcının yerinde veya sistem üzerinde incelenebilmesini önerir. Yazılım varlık yönetimi eksikliği, bu sözleşmesel ve operasyonel denetimi de anlamsızlaştırır. Çünkü neyi denetlediğinizi bilmiyorsanız, veriyi hangi yazılımın işlediğini de güvenilir biçimde teyit edemezsiniz. Bu nedenle SAM eksikliği, veri işleyen ilişkilerinde zincirleme bir uyumsuzluk üretir.

Denetim ve ispat boyutu

Yazılım varlık yönetimi olmayan şirketler için en zor an, denetim veya uyuşmazlık anıdır. Çünkü o noktada şirketten yazılım envanteri, lisans belgeleri, abonelik kayıtları, kullanıcı sayıları, sözleşmeler, lisans devirleri, log kayıtları ve tedarik zinciri istenir. İç denetim, bağımsız denetim veya mahkeme sürecinde bu kayıtları sunamayan şirket, yalnızca maddi olarak değil ispat bakımından da zayıf duruma düşer. KGK’nın bağımsız denetimde mevzuatın dikkate alınmasına ilişkin standardı da denetçinin, finansal tablolar üzerinde önemli etki doğurabilecek mevzuat ihlallerini dikkate alması gerektiğini belirtir. Yazılım varlık yönetimi eksikliği, özellikle finansal süreçleri besleyen ERP, bordro, muhasebe ve raporlama yazılımlarında bu açıdan daha kritik hâle gelir.

Elektronik kayıtlar ve yazılım logları, hukuk uyuşmazlıklarında fiilen ana delil hâline gelir. Yazılım varlık yönetimi olan bir şirket, hangi lisansın hangi kullanıcıda olduğunu, ne zaman yenilendiğini, hangi modülün açık olduğunu ve dış kaynak erişimlerini daha rahat ispatlar. Buna karşılık SAM eksikliği bulunan şirketler, genellikle “hangi cihazda ne kurulu olduğunu sonradan toplamaya çalışan” savunmasız taraf hâline gelir. Bu da telif, sözleşme ve KVKK dosyalarında aleyhe önemli sonuç doğurabilir.

Haksız rekabet ve piyasa etkisi

Yazılım varlık yönetimi eksikliğinin bir başka sonucu da dolaylı haksız rekabet riskidir. TTK, dürüst ve bozulmamış rekabetin korunmasını amaçlar ve kanuni veya sözleşmesel iş şartlarına uymamayı haksız rekabet rejimi içine alır. Lisans bedeli, bakım ücreti ve uyum maliyeti taşımayan şirket, rakibine göre hukuka aykırı bir maliyet avantajı elde edebilir. Yazılım varlık yönetimi eksikliği bu sonucu bilinçli olarak üretmese bile, şirketi lisanssız kullanım, eksik lisans veya sahte abonelik yapıları nedeniyle böyle bir avantaja sürükleyebilir. Bu da özellikle aynı pazarda lisanslı çalışan rakipler açısından ayrı bir hukukî baskı yaratır.

Ceza hukuku bakımından risk ne zaman görünür olur?

Her yazılım varlık yönetimi eksikliği ceza dosyasına dönüşmez. Ancak bu eksiklik, sistematik biçimde lisanssız kullanım, sahte lisans anahtarı, crack, koruma önlemlerini aşan araçlar veya ticari amaçla elde bulundurma/depolama sonucunu doğuruyorsa FSEK m.71 ve m.72 kapsamında ceza riski görünür hâle gelir. Ceza sorumluluğu şahsi olduğu için TCK m.20 uyarınca şirket tüzel kişiliği değil, fiile katılan gerçek kişiler değerlendirilir. Ne var ki kötü SAM yapısı, tam da bu fiillerin tespit edilememesine, sonra da kurumsal ölçekte sürmesine yol açtığı için ceza riskini dolaylı ama ciddi biçimde büyütür.

Şirketler ne yapmalı?

En doğru yaklaşım, yazılım varlık yönetimini yalnızca lisans sayımı gibi görmemektir. Şirketin yazılım envanteri, lisans belgeleri, kullanıcı matrisi, abonelik takvimi, grup şirketi kullanımı, dış kaynak erişimi ve veri işleyen araçları tek merkezde görünür olmalıdır. Buna ek olarak yönetim kuruluna veya üst yönetime düzenli raporlama yapılmalı, kritik yazılımlar için lisans sözleşmesi–kullanım fiili–teknik log üçlüsü birlikte izlenmelidir. Bu yapı kurulduğunda şirket hem FSEK bakımından telif riskini hem TBK bakımından sözleşme riskini hem de KVKK bakımından veri güvenliği riskini daha yönetilebilir hâle getirir.

Ayrıca dış kaynak ekipler, ajanslar ve veri işleyenlerle yapılan sözleşmelerde lisanslı yazılım kullanma, üçüncü taraf araç envanteri sunma, veri ihlali bildirimi, denetim hakkı ve tazmin yükümlülüğü açıkça yazılmalıdır. Yazılım varlık yönetimi yalnızca içeride değil, tedarik zinciri boyunca kurulmalıdır. Çünkü şirketin en büyük açığı çoğu zaman kendi bilgisayarında değil, kendi adına iş yapan üçüncü kişinin sisteminde ortaya çıkar.

Sonuç

Yazılım varlık yönetimi eksikliğinin şirketler açısından hukukî sonuçları, sıradan bir BT verimsizliğinin çok ötesindedir. Bu eksiklik; bilgisayar programlarının telif koruması nedeniyle FSEK kapsamında bedel, tazminat ve bazı hâllerde ceza riskine; TBK kapsamında sözleşmeye aykırılık ve yardımcı kişi sorumluluğuna; TTK kapsamında kayıt düzeni ve yönetici özen yükümlülüğüne; KVKK kapsamında ise veri güvenliği ve müşterek sorumluluk riskine dönüşebilir. Başka bir ifadeyle SAM eksikliği, farklı hukuk alanlarının ortak kırılma noktasıdır.

Bu nedenle şirketler için asıl mesele “kaç lisans eksik” sorusu değildir. Asıl mesele, kullandıkları yazılım ekosistemini hukuken savunulabilir, denetlenebilir ve belgelenebilir hâle getirip getirmedikleridir. Yazılım varlık yönetimi güçlü olan şirket, lisans ihtilafını da veri güvenliği riskini de sözleşme denetimini de çok daha rahat yönetir. Yazılım varlık yönetimi olmayan şirket ise çoğu zaman hukuki krizi, farkına vardığında çoktan yaşamaya başlamış olur.