Yazılım lisansı ve SaaS (Software as a Service) sözleşmeleri, 5846 sayılı Fikir ve Sanat Eserleri Kanunu m.1/B ve m.8-10 çerçevesinde “bilgisayar programları” özel bir eser türü olarak korunur. 6098 sayılı Türk Borçlar Kanunu genel hükümleri, 6102 sayılı Türk Ticaret Kanunu ve 6698 KVKK ile birlikte uygulanır. Bulut bilişim hizmetlerinde veri işleyen-veri sorumlusu ilişkisi, yurt dışına aktarım ve hizmet sürekliliği (SLA) kritik önem taşır. Bu rehber; lisans türleri, SaaS sözleşme maddeleri ve açık kaynak (open source) uyumluluğunu özetler.
Yazılım Üzerindeki Fikri Haklar (FSEK)
5846 FSEK m.2/1 çerçevesinde bilgisayar programları “ilim ve edebiyat eserleri” kategorisinde değerlendirilir. Mali haklar (işleme, çoğaltma, yayma, temsil, işaret-ses-görüntü nakli, bağlantılı haklar) 70 yıl süreyle korunur (m.27). Eser sahibinin manevi hakları (adın belirtilmesi, değişiklik yasağı, topluma arz) devredilemez (m.14-16). Personelin işçi sıfatıyla ürettiği yazılımda mali hakların işverene devri için yazılı sözleşme şarttır (m.18, 5846 m.48-52).
Lisans Türleri: Münhasır, Basit, Tek
FSEK m.56 kapsamında lisans türleri: (a) basit ruhsat — eser sahibi birden çok kişiye aynı hakkı verir, (b) tek ruhsat — yalnız bir kişiye verir ancak eser sahibi de kullanabilir, (c) münhasır/tam ruhsat — tek kişiye verilir ve eser sahibi bile o süreçte kullanamaz. Sözleşmede tür belirtilmezse basit ruhsat kabul edilir. Lisansın süresi, coğrafi kapsamı, alt lisans yetkisi (sublicense), teknik destek ve güncelleme yükümlülükleri açıkça belirtilmelidir.
SaaS Sözleşmesinin Asgari Unsurları
SaaS sözleşmelerinde bulunması gereken hükümler: (1) hizmet tanımı ve kapsamı, (2) kullanım hakları (seat-based, usage-based, unlimited), (3) SLA (hizmet seviyesi anlaşması, uptime %99.5-%99.99), (4) veri sahipliği ve veri taşınabilirliği (data portability), (5) yedekleme ve veri kaybında sorumluluk, (6) güvenlik standartları (ISO 27001, SOC 2, PCI-DSS), (7) alt yüklenici/üçüncü taraf listesi, (8) KVKK veri işleyen sözleşmesi (m.12, m.9), (9) fesih ve geçiş süresi (exit plan), (10) kullanım artışı halinde fiyat revizyonu.
KVKK: Veri İşleyen Sıfatıyla SaaS Sağlayıcı
Bulutta müşteri verisi işleyen SaaS sağlayıcı, 6698 KVKK m.3 çerçevesinde veri işleyen sıfatına sahiptir. Müşteri (veri sorumlusu) ile aralarında m.12 çerçevesinde yazılı sözleşme zorunludur. Sözleşmede (i) işleme amacı, (ii) veri kategorileri, (iii) talimat bağımlılığı, (iv) gizlilik, (v) veri ihlali bildirim zinciri, (vi) alt işleyen yetkisi, (vii) denetim hakları yer almalıdır. Yurt dışına veri aktarımı KVKK m.9 çerçevesinde taahhütname veya Kurul izni ile mümkündür (2024 itibarıyla m.9 değişikliği ile “yeterli koruma bulunan ülke” listesi ve standart sözleşme mekanizması uygulanmaktadır).
Açık Kaynak (Open Source) Lisans Uyumluluğu
MIT, Apache-2.0, GPL-3, AGPL, BSD, LGPL, MPL gibi açık kaynak lisansları; kullanım, değiştirme ve dağıtım koşullarını düzenler. Özellikle GPL (Copyleft) lisanslı kod kullanan türev eser, aynı lisansla dağıtılmak zorundadır — aksi halde FSEK m.66-72 kapsamında tecavüzün tespiti, önlenmesi ve tazminat davası açılabilir. AGPL ek olarak ağ üzerinden sunulan hizmette kaynak kod paylaşımı zorunluluğu getirir (SaaS ihlal riski). Kurumsal yazılım projelerinde Software Bill of Materials (SBOM) tutulmalı ve lisans uyumluluğu düzenli denetlenmelidir.
Mevzuat Özeti
| Konu | Mevzuat | Uygulama |
|---|---|---|
| Yazılım eser niteliği | FSEK m.2/1 | İlim-edebiyat eseri, 70 yıl |
| Mali haklar | FSEK m.21-25 | Devredilebilir, süreli |
| Manevi haklar | FSEK m.14-16 | Devredilemez |
| İşçi eseri | FSEK m.18/2 | Yazılı devir şartı |
| Lisans türleri | FSEK m.56 | Basit / Tek / Münhasır |
| İhlal ve tazminat | FSEK m.66-72 | Tespit, önleme, üç kata kadar tazminat |
| Cezai yaptırım | FSEK Ek m.4 | 1-5 yıl hapis, adli para |
| Veri işleyen sözleşmesi | KVKK m.12 | Yazılı zorunlu |
| Yurt dışı aktarım | KVKK m.9 (2024 değ.) | Yeterli koruma / standart sözleşme |
| Ticari sır koruması | TTK m.62, 6769 SMK | Gizlilik sözleşmesi (NDA) |
Sıkça Sorulan Sorular
SaaS sağlayıcı veriyi kaybetti, sorumluluğu ne kapsar?
SLA’da öngörülen yedekleme ve veri koruma yükümlülüğünün ihlali halinde TBK m.112 (ifa edilememe) ve m.114 (tam tazminat) uygulanır; ayrıca KVKK m.12 kapsamında güvenlik tedbiri ihlali idari para cezası doğurur. Sözleşmedeki sorumluluk sınırlandırma hükümleri yararlanıcı aleyhine orantısızsa TBK m.27, m.115 çerçevesinde geçersiz sayılabilir.
Açık kaynak kod ticari üründe kullanılabilir mi?
Lisansın izin verdiği ölçüde. MIT, Apache-2.0, BSD gibi “permissive” lisanslarda koşullu (telif bilgisi korunarak) ticari kullanım serbesttir; GPL-3/AGPL gibi copyleft lisanslarda türev eserin aynı lisansla dağıtımı zorunludur.
SaaS sağlayıcı hizmeti durdurursa verim kaybolur mu?
Sözleşmede exit plan ve veri taşınabilirliği maddesi zorunludur. Veri sorumlusu müşteri, hizmet sonlanmadan önce makul sürede (30-90 gün) standart formatta veri almalıdır. Aksi halde TBK m.125, m.138 (aşırı ifa güçlüğü) hükümleri ve TKHK m.52 (haksız şart) uygulanabilir.
İlgili Rehberler
- Bilişim Avukatı Ana Rehber
- KVKK VERBİS Kayıt Rehberi
- E-Ticaret Tüketici Hakları
- Açık Rıza Metni Hazırlama
Bu rehber genel bilgilendirme amacı taşır; yazılım/SaaS sözleşmeleri ve lisans uyumluluğunda bilişim avukatı ile görüşmeniz önerilir.