Skip to content

HUKUKUN TEKNOLOJİYLE İMTİHANI: SAAS SÖZLEŞMELERİ

HUKUKUN TEKNOLOJİYLE İMTİHANI: SAAS SÖZLEŞMELERİ

SaaS “Software as a Service” ya da Türkçe karşılığı Hizmet olarak Yazılım, esasen indirme yahut yükleme işlemlerine tabi olmadan bir web tarayıcısı aracılığıyla kullanımı mümkün kılan, hizmet sağlayıcının veri merkezi üzerinden yönetilen bir yazılım “software” çözümünü ifade eder. SaaS çözümü belirli sektörlerin gözünden -belki de- kaçmakta olsa da günlük yaşamımızda oldukça yoğun bir yer kaplamakta. İş hayatı içinde CRM, mailing, İK çözümleri gibi kullanımlarla karşımıza çıkan SaaS çözümü, aslında günlük bazda en çok da hangi çözümle karşımıza çıkıyor diye sorulduğunda, belki de ilk akılda beliren hizmet olmasa da kendisi Spotify.

Spotify’ın SaaS dünyasındaki yerine ilişkin olarak yayınlanmış olan şu podcastin linkini de dinlemeniz için buraya bırakıyorum:

SaaS ile ilgili yapılabilecek diğer ilk değerlendirme SaaS’ın bir hizmet sağladığı ve dolayısıyla bir hizmet olduğu, bu nedenle de herhangi bir lisanslama işlemi içermediğidir. SaaS ile sağlanan çözümün temel unsurları çoğunlukla sağlayıcı serverlarında muhafaza edilir ve kullanıcı tarafından yukarıda da bahsettiğimiz gibi web tarayıcı aracılığıyla ulaşılan yazılıma erişim, -özellikle kiralama yöntemi ile (subscription based) kullanıma açılan yazılımlar için- kullanım süresinin sona ermesi ile erişim de taraflar arası sözleşme de ya kısıtlı hale gelir ya da engellenir ve sona erer. Bu temel işeyiş biçimi itibariyle -istisnai haller de söz konusu- kullanıcı, sağlayıcının temel altyapısı üzerinde hizmetten yararlanır ve dolayısıyla bu kullanıma bağlı bir lisans varlığından söz edilmez. Kullanım lisansının söz konusu olacağı ve belirli hallerde dağıtımın da sağlayıcının belirlediği çerçeve dışına çıkabileceği haller on-premise servisler için geçerli olacaktır. SaaS kullanımı hususunda yaşanan bu anlam bulanıklığı nedeniyle, hizmete ilişkin sözleşmelerin revize ve müzakere süreci noktasında çözümsüz kalınan ve/veya sağlayıcı ile kullanıcı arasında kullanım esasına ilişkin belirsizliklerin giderilemediği haller yaşanabilmektedir. Bu nedenle SaaS’a ilişkin sözleşme müzakerelerinde dikkat edilmesi gereken birkaç hususu aşağıda paylaşmakta fayda var:

Saas’ın Erişebilirliği

Bahsetmiş olduğumuz üzere SaaS indirilen yahut lokal makinelere yüklenen bir servis değil, yazılım kullanımına dayanan bir hizmettir. Kullanıcılar internet bağlantısı ile sağlayıcı serverları üzerindeki yazılıma ulaşarak hizmete erişmekte olduğundan, yazılımın erişilebilirliği ve performans monitörleme önemli hususların başında yer almaktadır. Zira, sağlanan hizmetin her an erişilebilir olması ve performansının özellikle kullanıcı deneyimine etkisi, yazılımın kalitesini doğrudan etkileyen ve nihayetinde ticari başarısını belirleyen belki de en önemli faktör.

Kullanıcıların çoğunlukla beklentisi bilgisayarlarına yüklemiş oldukları uygulamalarına erişim nasıl mümkünse SaaS uygulamalarına da bu şekliyle erişimin mümkün olması. Aksi durumda kullanıcının ve nihayetine müşteri olan şirketin ticari faaliyetinin olumsuz yönde etkilenebilecek olduğunu -özellikle finans uygulamaları, e-mail kullanımı halinde- söylemek gerçek dışı bir durum olmayacaktır. Tam olarak bu riskin minimize edilebilmesini sağlamak adına da SaaS sözleşmelerine entegre SLA’ler “Service Level Agreement” kullanılmaktadır. Sağlayıcının ticari stratejisi ile altyapı yeterliliğine göre SLA SaaS sözleşmesi içerisinde ve her SaaS kullanımı gerçekleştiren müşteriye sağlanabilir olmakla, uygulamada da sıklıkla görüldüğü biçimiyle kiralama modellerine göre destek hizmetlerinin derecelendirilmesi yöntemi de söz konusu olmaktadır. Ancak her halde, müşteri ister enterprise ister basic (kullanımlar muhtelif olmakla çoğu ayırım bu ve benzeri iz düşümlere sahip) paketi kullanıyor olsun, erişilebilirlik hususunda destek hizmetleri müşterilerin erişimine sunulabilir olmalıdır. SLA içeriğinin oluşturulmasında response time ile resolution time süreleri yine bahsedilen paketlere göre farklılık gösterebilir olsa da özellikle kritik addedilen destek kategorisine dahil kullanıcı/müşteri talepleri her bir paket kullanıcısı için erişilebilir kılınmalıdır. Bir yandan sağlayıcının omuzlarına erişilebilirlik ve SLA sağlanmasına ilişkin ciddi bir yük bindirilse de kullanıcı/müşterinin de belirlenen bakım dönemleriyle, sağlayıcının kontrolü dışında gelişen -internet kesintileri gibi- hallerde de sağlayıcıyı zorlamaması daha sağlıklı bir sonuç verecektir.

Veri Güvenliği ve Veri İhlali

Hizmete bağlı üretilen veriler çoğunlukla yine sağlayıcı serverlarında tutulduğundan, sağlayıcının veri güvenliği yükümlülüklerini sağlamak noktasında önemli bir yükümü bulunmaktadır. Bu noktada sağlayıcının, müşteri/kullanıcının veri koruma prosedürlerine uygun düzenlemeler yapması talep edilebilir ve/veya veri güvenliği, veri kayıplarına ilişkin belirli garantiler sağlaması istenebilir. Ancak her halde veri güvenliğine ilişkin düzenlenmesi ve müzakeresi bakımından en hayati önemi taşıyan başlıklar mücbir sebep, felaket planı ve buna bağlı devamlılık senaryoları ile veri sorumlusu ve veri işleyen görevlerinin somut duruma göre belirlenmesi ve ilişkinin sona ermesi ile veri iadesi hususlarının belirlenmesi olacaktır.

Veri ihlali ile veri güvenliği hususları özellikle KVKK ile GDPR’ın belirlediği yükümlülükler nedeniyle SaaS sağlayıcısı bakımından ciddi bir önem ihtiva etmektedir. Bu nedenle sağlayıcının çalışanların gerekli eğitimleri aldığından emin olması, veri korumasının sağlanabilmesi adına firewall, şifreleme teknikleri gibi güvenlikle ilintili doğru teknolojik yöntemlerin kullanılması (Azure Information Protection, Microsoft AD gibi yöntemler güvenliğin sağlanmasında oldukça yarar sağlamakta), veri kaçağı ya da ihlalinin tespit edilmesine yarayan Azure Active Directory gibi ürünlerin entegre edilmesi yazılımın güvenilirliği bakımından artık zaruri bir hal almıştır. Ufak birkaç örnekle de olsa veri güvenliğinin sağlanmasının önemi, SaaS sağlayıcısının özellikle veri kaybı, veri kaçağı, verilerin 3. kişilere açılması vb. durumların vukuunda sorumlu tutulması ihtimali nedeniyle önemle ele alınması gereken bir husustur.

Bu iki başlığa ek olarak SaaS sözleşmelerinde bulunması gereken ve müzakere edilmesi muhtemel başlıklar şunlar olabilir:

  • Fiyat
  • Genel hizmet hükümleri
  • Sözleşmenin sona ermesi koşulları ve süreler
  • Altyapı gereksinimleri ve sorumluluk
  • SLA’e bağlı krediler ve erişilebilirlik oran garantisi
  • Fikri sınai haklar ve müdahale halinde belirlenmesi muhtemel ceza-i şartlar
  • Sağlayıcının devri, satılması hallerinde hizmet devamlılığı

Bunlara eklenebilecek birden çok başlık olmakla birlikte, tüm sözleşme sürecinde göz önünde bulundurulması gereken nokta şu: SaaS sağlayıcısı ile müzakere gerçekleştirmek mümkün müdür? Bazı durumlarda, örneğin global hizmet sağlayıcılarının herhangi bir hizmetinden faydalanılmak istendiğinde, bu sağlayıcılar ile herhangi bir müzakere gerçekleştirmenin mümkün olmadığı açıktır. Ancak daha küçük ölçekli ve belki de start-up seviyesindeki sağlayıcılar ile müzakere süreçlerinin yürütülmesi ve kullanıcı/müşteri tarafının faydasına olacak başlıkların görüşülmesi ya da en azından belirttiğimiz başlıklar üzerinden endişe ve belirsizliklerin giderilmesi yönünde talepte bulunmak uzun vadeli kullanımın mümkün olmasını sağlayacaktır.