Hukuk Güncesi
17 Mayıs 2021 Tarihinde yazıldı
Yazılımın Hizmet Olarak Sunulmasında, SaaS Modelinde Veri Sorumluluğu Kime Ait Olmalı?
Hizmet Olarak Yazılım
Kişisel bilgisayarın çıkmaya hazırlandığı 80’li yılların sonunda bu teknolojik gelişmeye paralel olarak bu bilgisayarlarda kullanılacak yazılımların hukuki olarak nasıl korunacağı da tartışılmaya başlanmıştı. Patent olarak mı korunacaktı? Yoksa telif hukuku içine mi alınacaktı? AB ve WIPO bünyesindeki tartışmalar sonunda bilgisayar programlarının telif hukuku koruması içine alınması kararlaştırılmıştı. Henüz ağ teknolojisinin emekleme döneminde olduğu o günlerde kişisel bilgisayarlar bir ana bilgisayar etrafında (mainframe computer) kapalı sistemler olarak düşünülmüştü. Haliyle bu bilgisayarları çalıştıracak işletim sistemi yazılımları ve uygulama yazılımları da bir bilgisayar üzerinde yer alacak şekilde tasarlanmıştı.
Yazılım kullanma lisansları bu şekilde bir yazılımın bir bilgisayarda sınırlı sayıda kullanıcı ile çalışması amacıyla veriliyordu (On Premise). Ancak ağ ve internet teknolojisinin hızla gelişmesi, veri nakil sistemlerinin yüksek hızlara ulaşması nedeniyle tüm bilgisayarlar nerede olurlarsa olsunlar birbirlerine bağlı çalışma imkanına sahip olacaktı. Aralarında uzun mesafeler bulunan ana şirket-bağlı şirketler arasında veri transferleri telsiz sistemleri veya dial up yöntemleriyle yapılırken, özel internet protokolleriyle ağ/internet üzerinden yapılmaya, veri transfer hızları yükselmeye başladı.
Bulut (Cloud) Hizmetlerin Doğuşu
Uzak mesafedeki bilgisayarların bir ağ üzerinden birbirlerine bağlanması, güvenlik sorununu gündeme getirdi. Bilgisayar bir kere dışarıya açıldı mı istenmeyen kişilerin bir şekilde erişimine müsait hale geliyordu. Bu nedenle firewall yazılım-donanım sistemleri sürekli gelişiyor ancak maliyetler de artıyordu. Bulut sistemleri tam da bu ortamda bir ihtiyaca binaen doğdu. Bir yandan yüksek yazılım lisans maliyetlerini azaltıyor, bir yandan veri güvenlik ihtiyacının standardı yüksek hosting firmaları tarafından sağlanmasına imkan veriyor, öte yandan süreli, kullandıkça-öde gibi ucuz yöntemlere imkan veriyordu. Bazı ülkelerde hizmet-lisans ücretlerinin farklı vergilendirilmesi mali yönden ilave avantajlar da sağlıyordu. Ayrıca hizmet süresi içinde yazılımın en son versiyonundan yararlanma bir diğer deyişle güncelleme-bakım ek lisans ücretlerinden kurtulmak da mümkün hale geliyordu artık.
On premise lisanslama yöntemi yanında hızla büyüyen bir yazılım sektörü ile karşı karşıyaydık: Bulut Hizmeti, hizmet (servis) olarak yazılım…
Bulut hizmetlerinin de çeşitleri çıkıyordu ortaya: Hizmet olarak Yazılım (Software as a Service, SaaS), Hizmet olarak Yazılım Geliştirme Ortamı (Platform as a Service, PaaS), Hizmet olarak Altyapı (Infrastructure as a Service, IaaS).
Hizmet Olarak Yazılım (SaaS)’da Veri Sorumluluğu
Bir firmanın verileri artık onun mal varlığının en büyük bileşeni olmaya doğru büyük önem kazanıyor. Hatta bu veriler aslında her gün çalışan, gelişen bir organizma haline geliyor. Haliyle bu verinin korunması bir firma açısından hayati önem taşıyor. Öte yandan firmaların kurumsal kaynakların yönetimi, mali sistemini takip, CRM hizmetleri konularında; bağlı şirketler ve hizmet sunan şirketler arasında hızlı olarak erişime, kullanıma da açılma imkanı veriyor bu gelişmeler.
Bulut hizmetlerinde bu veriler, firmanın dışında bulutta durduğuna göre bu verilerin bakımı, yedeklenmesi dâhil korunması önemli konular arasına giriveriyor.
O zaman soruyu soralım: Bir uygulama yazılımı diyelim bir ERP (Kurumsal Kaynak Planlama Yazılımı)’ndan SaaS olarak yararlanmak isteyen bir firma verilerinin yedeklenmesi sorumluluğu kime ait olacak?
Yazılımevi-Hosting Firması-Müşteri İlişkisi
Konunun üç tarafı var. Bir yandan ERP yazılımını SaaS olarak müşterilerine sunan Yazılımevi. Diğer yandan bu hizmetten yararlanacak Müşteri ve Müşterinin ERP yazılımının üzerinde barınacağı sunucuyu temin eden, sistemi 24 saat çalışır vaziyette tutma taahhütü veren, gerekli ağ güvenliğinden de sorumlu olacak hosting firması…
Müşteriler aslında kendi hosting firmalarını da seçebilirler. Ancak SaaS modelinde hosting hizmeti sözleşmeleri Yazılımevi ve hosting firmaları arasında yapılıyor. Müşteri bu ilişkide taraf olmuyor. Muhatap olarak Yazılımevini görüyor. Ancak müşteri bu modelin bir sorumluluk üstlenmekten ziyade kendisine nitelikli hizmet sunan özel bir imkan olarak değerlendirmeli. Zira, bilişim alanında faaliyet gösteren Yazılımevi en iyi hosting firmasını en ucuza bulma imkanına müşteriden daha fazla sahiptir.
Hosting firmaları aynı süpermarket mantığıyla, ben size profesyonel olarak barındırma hizmeti veriyorum. Yazılımevi hizmet olarak sunduğu yazılımı benim raflarımda bulunan sunuculara yüklüyor, Müşteri de kendi kullanıcı şifreleri ile o yazılıma uzaktan erişiyor. Ben hem bu sistemin 24 saat çalışmasını garanti ediyorum hem de tek tek firmalar için maliyetli olacak yüksek güvenlik sistemleri ile güvenlik sağlıyorum, sorumluluğum bundan ibarettir diyor. Bir diğer deyişle, ne SaaS’tan ne de verilerden dolayı hiçbir sorumluluk kabul etmem diyor. Hatta daha ileri giderek bazı alt yapı sorunları olabilir onlardan bile sorumluluk kabul etmem diyor.
Müşteri karşısında verilerinin güvenliği, bakımı, yedeklenmesiyle ilgili sorumlu arıyor. Yazılımevi ise ben verilerinize istisnalar dışında erişmiyorum, kendi kullanıcı şifreleriniz ile kendiniz giriyorsunuz, verilerin bakımı ve yedeğini alma konusunda sorumluluk size aittir diyor.
Bu alanın veri ve veri yedekleme kuralları bu mantık içinde şekilleniyor. Özetle, bir Yazılımevine düşen ERP veya yazılımı içinde, müşterinin verilerini yedeklemesi için özel fonksiyonlar geliştirmek ve bunu hizmet olarak müşterisine sunmaktır. Müşterinin bu fonksiyonu kullanarak, ister otomatik biçimde isterse elle, istediği adreste bulunan uygun bir veri kayıt ortamına kendi verilerinin yedeğini almakla yükümlü olması bu sistemin temelidir. Bir hosting firmasının veya Yazılımevinin belirli periyotlarla veri yedeği alması bile, Yazılımevi veya hosting firmasının veri yedeklemesinin sorumluluğunu üstlendiği anlamına gelmeyecektir. Bu nedenle SaaS sözleşmelerinde bu husus özel olarak belirtilir. Müşterinin veri tabanının bakımını da dış kaynak kullanarak temin etmesi mümkün olacaktır. Bazı Yazılımevlerinin veri tabanının bakımını ücretli ya da ücretsiz üstlenmesi, verilerin sorumluluğunu da üstlendiği anlamına gelmemelidir. Çünkü veri tabanını bakıma vermeden önce yedeğini almak müşterinin sorumluluğunda olmalıdır.
Bir anlamda hakkaniyetli bir düzenlemedir bu. Bir firmanın en kıymetli mal varlıkları arasında olan verilerinin zarar görmesi halinde ortaya çıkacak zarar, SaaS ücreti veya hosting ücretleriyle kıyaslanamayacak derecede yüksektir. Oysa ticaretin temel kuralı, alınan riskin alınan ücretle orantılı olmasıdır… Müşterilerin bu tür talepleri kabul edilse bile, bu riskin sigortalanması gerekeceğini ve bu maliyetin de SaaS bedeline ekleneceğini bilmesi gerekmektedir. Bu nedenle büyük şirketlerin, Yazılımevlerinin bünyelerinde özel olarak yetkilendirilmiş risk bölümleri vardır. Risk bölümleri alınan risk karşılığını maddi olarak tespit edip, şirket kaynaklarından karşılık ayırır… Tüm kazanç kalemlerinin, satış primlerinin hesabı bu risk analizine göre yapılır. Sözleşmelerdeki bir sorumluluk hükmünün değişmesi için mutlaka risk bölümünün onayı gerekmektedir.
ERP lisans ve proje sözleşme müzakerelerinde çok ciddi ve gereksiz zaman kaybına neden olan veri bakımı, yedekleme ve verilerden sorumluluk konusu, gerek uluslararası yazılım hizmet dünyasında, gerekse ülkemizde böyle şekillenmektedir. Firmaların talebi/sorusu “benim verimin yedeklenmesi sorumluluğu sana ait olmalı! Ey Yazılımevi.” değil, “SaaS olarak bana sunduğunuz yazılım hizmetinin verilerinin yedeklenmesi nasıl olacak, veriler nasıl korunacak, hizmet veri bakımını yapmama imkan veriyor mu? ERP üzerinde benim veri yedeklememe imkan veren fonksiyon nasıl çalışıyor?” olmalıdır. Yani gündelik hayatta pratik bir yol olarak görülen, madem bir sorun oldu bu hizmetinizden kaynaklanıyor, siz sorumlusunuz mantığının SaaS modelinde çalışmayacağı anlaşılmalıdır. Bu bilinç ve ön kabuller, kıymetli zamanın, yazılım sözleşme müzakerelerinde boşa harcanmamasını sağlayacaktır.
Av. Haluk İnanıcı