Giriş

Bulut tabanlı "Hizmet Olarak Yazılım" (Software as a Service - SaaS) çözümleri, modern işletmelerin operasyonel omurgasını oluşturmaktadır. Ancak, hizmet sağlayıcılar tarafından sunulan standart SaaS sözleşmeleri genellikle sağlayıcıyı korumaya yönelik, tek taraflı ve standart ("take it or leave it") metinler olarak kurgulanmaktadır. Müzakere edilmeden kabul edilen bu sözleşmeler; veri güvenliği açıklarına, gizli maliyetlere, operasyonel kesintilere ve esneklikten yoksun otomatik yenileme (auto-renewal) tuzaklarına zemin hazırlamaktadır. Başarılı bir SaaS tedarik süreci, yalnızca yazılımın teknik yeteneklerinin değil, sözleşmenin barındırdığı hukuki ve ticari risklerin stratejik bir şekilde yönetilmesine bağlıdır.

Geleneksel Yazılımlardan SaaS ve Yapay Zeka (AI) Modellerine Geçiş

SaaS sözleşmeleri, geleneksel yazılım lisans sözleşmelerinden yapısal olarak farklıdır. Geleneksel yazılımlardaki "kesin performans garantisi", SaaS modelinde yerini genellikle "olduğu gibi" (as-is) sağlanan ve hizmet sürekliliğine dayanan bir yapıya bırakmaktadır. Bu durum, özellikle Üretken Yapay Zeka (GenAI) entegrasyonu barındıran SaaS ürünlerinde daha karmaşık bir hal almaktadır.

Yapay zeka modüllerini içeren hizmetlerde, kurumsal verilerin yapay zeka modellerini eğitmek amacıyla kullanılıp kullanılmayacağı (training data consent) sözleşmede açıkça düzenlenmelidir. İşletmelerin ticari sırlarının ve hassas verilerinin korunması amacıyla, "sıfır veri saklama" (zero retention processing) şartının sözleşmeye derç edilmesi ve yapay zeka çıktılarının neden olabileceği üçüncü taraf fikri mülkiyet ihlallerine karşı sağlayıcının tazmin yükümlülüğü (output indemnity) altına sokulması stratejik bir zorunluluktur.

Sorumluluğun Katmanlı Sınırlandırılması

SaaS sözleşmelerindeki en kritik müzakere alanı, sorumluluğun sınırlandırılmasıdır. Hizmet sağlayıcılar finansal risklerini asgariye indirmeyi hedeflerken, alıcı işletmelerin siber saldırılar veya veri ihlalleri gibi yıkıcı senaryolara karşı korunması gerekmektedir. Etkin bir sözleşme yönetiminde sorumluluk tek bir tavan rakamla sınırlandırılmaz; katmanlı bir mimari (layered approach) ile kurgulanır:
 

• - Genel Üst Sınır (General Cap): Standart hizmet kesintileri ve olağan performans ihlalleri için uygulanır. Sektörel standart genellikle ihlalden önceki 12 ay içinde ödenen hizmet bedeli kadardır.
   

• - Süper Üst Sınır (Super Cap): Veri ihlalleri, gizlilik ihlalleri ve güvenlik zafiyetleri gibi felaket senaryoları için uygulanır. Bir veri ihlalinin maliyeti (adli bilişim incelemeleri, idari para cezaları, itibar kaybı) yıllık abonelik bedelinin çok ötesinde olacağından, bu sınırın sözleşme bedelinin 3 ila 5 katı oranında veya sağlayıcının siber güvenlik sigortası poliçe limitlerine entegre edilmiş sabit bir meblağ olarak belirlenmesi gerekir.
   

• - Sınırsız Sorumluluk (Uncapped Liability): Ağır kusur, kast, dolandırıcılık ve fikri mülkiyet ihlallerinden doğan tazminat yükümlülükleri hiçbir üst sınıra tabi tutulmamalıdır.
   

Fikri Mülkiyet ve Veri Sahipliği 

Veri mülkiyeti ve fikri mülkiyet hakları net çizgilerle ayrılmalıdır. Yazılımın altyapısı, kaynak kodu ve platforma ait fikri mülkiyet hizmet sağlayıcıda kalırken; sisteme yüklenen tüm müşteri verileri, iş süreçleri ve platform üzerinde yaratılan spesifik konfigürasyonların mülkiyeti mutlak surette alıcı işletmede kalmalıdır.

Tazmin (Indemnification) mekanizması, işletmeyi üçüncü kişilerin taleplerine karşı koruyan bir kalkandır. İşletmenin SaaS yazılımını kullanımı nedeniyle üçüncü bir tarafın fikri mülkiyet hakkının ihlal edildiği iddiasıyla açılacak davalarda; sağlayıcının tüm savunma masraflarını üstlenmesi, ihlali ortadan kaldıracak lisansları temin etmesi veya yazılımı ihlalsiz hale getirecek şekilde güncellemesi sözleşmede açıkça güvence altına alınmalıdır.

Hizmet Seviyesi Taahhütleri (SLA), Fiyatlandırma ve Fesih

SaaS yatırımlarının geri dönüşü, hizmetin kesintisiz ve taahhüt edilen performans standartlarında sunulmasına bağlıdır.

• - SLA ve Yaptırımlar: Uptime (kesintisiz çalışma) garantileri, destek birimi yanıt süreleri ve bakım pencereleri net olarak tanımlanmalıdır. Taahhüt edilen hizmet seviyelerinin altına düşülmesi halinde uygulanacak hizmet kredileri (service credits) ve ağır ihlallerde tazminatlı haklı fesih imkanları sözleşmeye eklenmelidir.
   

• - Gizli Maliyetler ve Yenileme Şartları: Standart sözleşmeler genellikle sağlayıcıya tek taraflı fiyat artışı yapma yetkisi ve bildirim yapılmadığı takdirde sözleşmeyi otomatik uzatma (auto-renewal) hakkı tanır. Gelecekteki fiyat artışlarına makul bir yıllık oran sınırı (price cap) getirilmesi ve otomatik yenileme şartlarının kontrol altına alınması bütçe öngörülebilirliği açısından elzemdir.
   

• - Çıkış Stratejisi (Exit Strategy) ve Veri Taşınabilirliği: Sözleşmenin herhangi bir nedenle sona ermesi durumunda, kurumsal verilerin hangi formatta, ne kadar sürede ve güvenli bir şekilde iade edileceği (data portability) düzenlenmeli; sağlayıcıya olan operasyonel bağımlılık (vendor lock-in) riski bertaraf edilmelidir.

Sonuç

SaaS sözleşmeleri, basit lisans satın almalarından ziyade, işletmenin verilerini, operasyonel sürekliliğini ve yasal uyumluluğunu (KVKK, GDPR, sektörel regülasyonlar) doğrudan ilgilendiren kritik iş ortaklıklarıdır. Bu anlaşmaların; IT, satın alma ve yönetici departmanların koordinasyonuyla, emsal sektör verileri (benchmarking) kullanılarak ve sağlayıcının ticari kısıtlamaları (sigorta limitleri vb.) anlaşılarak müzakere edilmesi gerekmektedir.

Hazır şablonların kabul edilmesi yerine, işletmenin özel risk toleransına, bütçe dinamiklerine ve yasal yükümlülüklerine uygun şekilde sözleşme mimarisinin yeniden kurgulanması; muhtemel finansal kayıpları ve operasyonel krizleri önleyen en temel stratejik yatırımdır. İşletmelerin bu karmaşık süreci, bütüncül bir hukuki risk analizi ve müzakere stratejisi çerçevesinde yönetmesi kurumsal menfaatlerin korunması adına büyük önem taşımaktadır.