EU AI Act 2 Ağustos 2026 Geri Sayım: Türkiye İhracatçıları ve GPAI Sağlayıcıları İçin Tam Uyum Rehberi

Avrupa Birliği'nin 1 Ağustos 2024'te yürürlüğe giren AI Act'i, 2 Ağustos 2026'da Avrupa Komisyonu'nun GPAI sağlayıcılar üzerindeki tam yaptırım yetkilerinin operasyonel olduğu ve Annex III high-risk sistemlerin uyum zorunluluğunun başladığı kritik bir eşiğe ulaşır. Bu tarihten itibaren, AB pazarına AI sistem veya AI çıktısı sunan her Türk şirketi — bulunduğu yere bakılmaksızın — kapsamdadır. Cezalar 35M EUR veya küresel cironun %7'sine kadar çıkar. Bu rehber, Türkiye'nin önde gelen ihracatçı sektörleri (otomotiv, beyaz eşya, tekstil, savunma, finans, sağlık) için uyum yol haritası sağlar; gerçek vaka çalışmaları, ceza hesaplama formülleri ve KVKK + AI Act + ISO 42001 üçlü uyum matrisini içerir.

EU AI Act, dünyada AI'yı kapsamlı ve risk-bazlı bir şekilde düzenleyen ilk yatay yasadır. 1 Ağustos 2024'te yürürlüğe girdi; fakat tam yaptırım, kademeli olarak devreye alındı. 2 Şubat 2025'te yasak AI uygulamaları (Madde 5) yürürlüğe girdi. 2 Ağustos 2025'te GPAI (General Purpose AI) sağlayıcılar için temel yükümlülükler başladı. Ve 2 Ağustos 2026, Komisyon'un GPAI sağlayıcılar üzerinde tam yaptırım yetkilerini kullanmaya başladığı, AI Office'in denetim mekanizmasının operasyonel olduğu, high-risk sistemlerin önemli bir kısmı için uyum zorunluluğunun başladığı kritik tarihtir.

Niye 2 Ağustos 2026 önemli? Üç sebep var. Birincisi, AI Office (Avrupa Komisyonu DG CNECT bünyesinde) GPAI sağlayıcılarına doğrudan ceza kesme yetkisini bu tarihten itibaren kullanmaya başlar. İkincisi, bu tarihte Üye Devletlerin notify edilmiş kuruluşları (notified bodies) operasyonel olmalı ve high-risk sistemlerin CE marking süreci başlamalı. Üçüncüsü, bu tarihte tüm Üye Devletler kendi AI yetkilileri'ni (national competent authorities) belirlemiş ve cezai prosedürlerini ulusal yasaya dönüştürmüş olmalıdır.

1.1. Tarihçe: AI Act'ın 5 Yıllık Geçmişi

AI Act 2018'de High-Level Expert Group on AI'nın "Ethics Guidelines for Trustworthy AI" raporu ile başladı. Nisan 2021'de Avrupa Komisyonu ilk taslağı sundu. Üç yıllık müzakere sürecinde ChatGPT (Kasım 2022) ortaya çıktı ve foundation model / GPAI kategorileri eklendi. Mart 2024'te Avrupa Parlamentosu, Mayıs 2024'te AB Konseyi onayladı. 12 Temmuz 2024'te resmi yayında yayımlandı, 1 Ağustos 2024'te yürürlüğe girdi. Bu süreçte ABD ile AB-ABD AI Konsey kuruldu, OECD AI Principles ile koordinasyon sağlandı.

1.2. Diğer AB Yasalarıyla İlişki

AI Act tek başına bir hukuki rejim değil; AB'nin geniş dijital regülasyon paketinin parçası:

• GDPR (Tüzük 2016/679). Kişisel veri korumayı düzenler; AI Act bunu veri yönetişimi ile tamamlar (Madde 10).
• Data Act (Tüzük 2023/2854). Veri paylaşım ve kullanım hakları; AI eğitim verisi için kritik.
• Digital Services Act (DSA, Tüzük 2022/2065). Çevrimiçi platformların yükümlülükleri; içerik moderasyon AI'ları için.
• Digital Markets Act (DMA, Tüzük 2022/1925). Big Tech (gatekeepers) için ek yükümlülükler; foundation model sağlayıcılar etkilenir.
• Product Liability Directive 2024/2853. AI ürün sorumluluğu — Eylül 2026 itibarıyla AB'de uygulamaya girer.
• AI Liability Directive (taslak). AI hatalarından kaynaklanan zararların kanıtlanması için ispat kolaylaştırma.
• NIS2 Directive (2022/2555). Kritik altyapı siber güvenliği; AI sistemler için ek yükümlülük.
• Cyber Resilience Act. Dijital ürünlerin siber güvenliği; AI ürünleri de kapsar.

Türk şirketler için pratik etki: AI Act tek başına yeterli değildir. AB Dijital Regülasyon Haritası çıkarıp ürününüze hangi yasaların ne ölçüde uygulandığını tespit etmek gerekir.

AI Act, 113 maddeden ve 13 ek'ten (Annex) oluşur. Türk şirketler için kritik maddeler:

• Madde 2 (Kapsam). Extraterritorial uygulama — AB'de yerleşik olmasa bile AB pazarına çıktı sağlayan sağlayıcılar (provider) ve dağıtıcılar (deployer).
• Madde 5 (Yasak Uygulamalar). Sosyal puanlama, manipülatif AI, gerçek zamanlı biyometrik tanımlama (istisnalar hariç), insan zafiyetlerini hedefleyen sistemler.
• Madde 6 ve Annex III (High-Risk Sistemler). Biyometri, kritik altyapı, eğitim, istihdam, temel hizmetler, kolluk, göç ve sınır kontrolü, adalet ve demokratik süreçler.
• Madde 16-29 (Sağlayıcı Yükümlülükleri). Risk yönetim sistemi, data governance, teknik dokümantasyon, record-keeping, şeffaflık, insan gözetimi, doğruluk-sağlamlık-güvenlik, kalite yönetim sistemi.
• Madde 49 (CE Marking). High-risk sistemler için zorunlu uygunluk işareti.
• Madde 51-56 (GPAI Modeller). Genel amaçlı AI modellerine özgü yükümlülükler — dokümantasyon, telif hakkı, transparency, sistemik risk değerlendirmesi.
• Madde 99 (Cezalar). 35M EUR / %7 küresel ciro (yasaklar); 15M EUR / %3 ciro (high-risk ihlali); 7.5M EUR / %1.5 ciro (yanıltıcı bilgi).
• Madde 113 (Yürürlük Takvimi). 2 Şubat 2025 (yasaklar), 2 Ağustos 2025 (GPAI), 2 Ağustos 2026 (tam yaptırım), 2 Ağustos 2027 (high-risk geçiş).

2.1. Yönetim Yapısı

AI Act, dört kademeli bir yönetişim yapısı kurar:

1. AI Office. Avrupa Komisyonu DG CNECT bünyesinde, GPAI sağlayıcılarına doğrudan denetim ve yaptırım yetkisine sahip merkezi otorite.
2. AI Board. Üye Devletlerden temsilcilerin oluşturduğu koordinasyon kurulu.
3. Scientific Panel of Independent Experts. GPAI modellerinin sistemik risk değerlendirmesinde danışmanlık.
4. National Competent Authorities (NCA). Her Üye Devlette belirlenmiş ulusal AI yetkilileri — yerel pazar denetimi ve cezai uygulama.

2.2. Tanımlar Sözlüğü: AI Act Madde 3

AI Act Madde 3, 68 farklı terim tanımlar. Türk şirketler için kritik 12 tanım:

1. AI System. Makinaya dayalı sistem; çeşitli özerklik derecelerinde çalışacak şekilde tasarlanmış; girdilerden tahmin, içerik, öneri veya karar üretebilen.
2. General-Purpose AI (GPAI) Model. Geniş ve farklı veriyle eğitilmiş, çok çeşitli aşağı-akış görevde yetenekli olan AI modeli.
3. Provider. Bir AI sistemi geliştiren veya geliştirten ve kendi adı altında pazara süren gerçek veya tüzel kişi.
4. Deployer. Yetkisi altındaki bir AI sistemini kullanan gerçek veya tüzel kişi (önceden "user" denirdi).
5. Importer. AB'de yerleşik bir gerçek veya tüzel kişi olarak AB pazarına sokulan AI sistemini sağlayan.
6. Distributor. Tedarik zincirindeki, AB pazarında AI sistemini sağlayan provider veya importer dışındaki herhangi bir gerçek veya tüzel kişi.
7. Authorised Representative. AB içinde yerleşik, Madde 22 kapsamında provider adına yetkili kişi.
8. High-Risk AI System. Annex I veya Annex III kapsamına giren AI sistemi (Madde 6 koşulları sağlanarak).
9. Foundation Model. Geniş veri üzerinde, çoğunlukla self-supervised, büyük ölçekte eğitilmiş AI modeli — geniş bir aşağı-akış uygulama yelpazesine uyarlanabilir.
10. Reasonably Foreseeable Misuse. Provider tarafından kullanım kılavuzunda yasaklanmamış olabilecek ama insan davranışının ortalamasına göre öngörülebilir kötüye kullanım.
11. Substantial Modification. AI sisteminin pazara sürüldükten sonra performansını, amacını veya mimarisini önemli ölçüde değiştiren değişiklik (yeniden uygunluk değerlendirmesi gerektirir).
12. Serious Incident. Bir AI sisteminin neden olduğu veya katkıda bulunduğu kişi ölümü, sağlığa ciddi zarar, mülkiyete veya çevreye ciddi zarar, kritik altyapının ciddi aksaması veya temel haklara ciddi ihlal.

2.3. Üye Devlet Bazlı Uygulama Aktarımı

AI Act bir tüzük (regulation) olup doğrudan uygulanır, ancak şu hususlar için Üye Devlet düzenlemesi gereklidir:

• Cezai prosedürler (Madde 99(8)). Her Üye Devlet kendi ceza prosedürlerini ulusal yasaya geçirmelidir.
• National Competent Authority (NCA). Pazar denetim otoritesi atanmalı.
• AI Regulatory Sandbox (Madde 57). Üye Devlet bazlı.
• AB temsilcisi kayıt prosedürü. Üye Devlet bazlı varyasyon.

Türk şirketler için pratik etki: AB ürün satışınızın hangi Üye Devletlerde olduğuna göre birden fazla NCA ile ilişki kurmanız gerekir. En önemli NCA'lar: Almanya (BfDI / BNetzA), Fransa (CNIL), İrlanda (DPC), İspanya (AESIA), Hollanda (AP).

3.1. Yüksek-Risk Sistemlerin 8 Alanı (Annex III)

Annex III, high-risk olarak otomatik sınıflandırılan 8 alan tanımlar:

1. Biyometri. Uzaktan biyometrik tanımlama (real-time olmayan), duygu tanıma, biyometrik kategorizasyon.
2. Kritik Altyapı. Yol trafiği, su, gaz, ısı, elektrik tedariki, dijital altyapı yönetimi.
3. Eğitim ve Mesleki Eğitim. Eğitim kurumuna kabul, öğrenme çıktısı değerlendirmesi, sınav sırasında izleme.
4. İstihdam, İşçi Yönetimi ve Self-Employment Erişimi. İşe alım, terfi, fesih, görev atama, performans değerlendirme.
5. Temel Özel ve Kamu Hizmetlerine Erişim. Sosyal yardımlar, sağlık, kredi skorlama, hayat ve sağlık sigortası fiyatlama, acil çağrı triyaj.
6. Kolluk. Profilleme, risk değerlendirmesi, kanıt değerlendirme.
7. Göç, Sığınma ve Sınır Kontrolü. Sahte belge tespiti, risk değerlendirmesi, vize / iltica başvurularının incelenmesi.
8. Adalet ve Demokratik Süreçler. Mahkeme kararı destek sistemleri, seçim sonucunu etkileyebilecek sistemler.

3.2. Bir Sisteminizin High-Risk Olup Olmadığını Belirleme Algoritması

1. Sisteminiz Madde 5 yasaklarına giriyor mu?
   → EVET: Pazarda yer alamaz. Mimarinizi tamamen değiştirin.
   → HAYIR: 2'ye geç.

2. Annex I'deki AB ürün mevzuatı kapsamında bir güvenlik bileşeni misiniz?
   (Tıbbi cihaz, makine, oyuncak, otomotiv, havacılık vb.)
   → EVET: High-risk. Madde 16+ yükümlülükleri.
   → HAYIR: 3'e geç.

3. Annex III'deki 8 alandan birinde misiniz?
   → EVET: 4'e geç.
   → HAYIR: Sınırlı veya minimal-risk. Madde 50 şeffaflık zorunluluğu varsa uygulanır.

4. Annex III olsanız bile Madde 6(3) istisnasından yararlanabilir misiniz?
   (Sistem dar bir prosedürel görev yapıyor, insan kararını sadece destekliyor,
    profilleme yapmıyor, sapmaları tespit ediyor.)
   → EVET: High-risk değil, AMA istisnayı kendi kaydınıza dokümante edin.
   → HAYIR: High-risk. Madde 16+ tüm yükümlülükler uygulanır.

AI Act, Madde 51-56'da GPAI modelleri için ayrı bir yükümlülük katmanı kurar. GPAI modeli, çok çeşitli aşağı-akış görevlerde kullanılabilen, geniş veri setiyle eğitilmiş genel-amaçlı bir modeldir — GPT-5, Claude Opus 4.7, Gemini 3, Llama 4 gibi tüm büyük temel modeller bu kategoridedir.

4.1. Tüm GPAI Sağlayıcılarının Yükümlülükleri (Madde 53)

1. Teknik Dokümantasyon (Annex XI). Model mimarisi, eğitim verisi açıklaması, eğitim sürecinin ve değerlendirme yönteminin açıklanması.
2. Aşağı-Akış Sağlayıcılara Bilgi (Annex XII). Modelin yetenekleri, sınırlamaları, kabul edilebilir kullanım politikası.
3. Telif Hakkı Politikası. AB telif hakkı yasası (Direktif 2019/790) ile uyumlu — özellikle Madde 4(3) opt-out mekanizması.
4. Eğitim Veri Setinin Detaylı Özeti. AI Office tarafından sağlanan şablona uygun, halka açık özet.

4.2. Sistemik Risk Taşıyan GPAI Sağlayıcıları İçin Ek Yükümlülükler (Madde 55)

Sistemik risk eşiği: 10^25 FLOPs üstünde eğitim hesaplaması (GPT-4 sınıfı ve üstü). Bu modellerin sağlayıcıları için ek yükümlülükler:

1. Model değerlendirmesi (red-teaming dahil).
2. Sistemik risk değerlendirmesi ve azaltma.
3. AI Office''e ciddi olayların raporlanması (incident reporting).
4. Siber güvenlik koruması.

4.3. GPAI Code of Practice (Temmuz 2025)

Avrupa Komisyonu, Temmuz 2025'te GPAI sağlayıcılar için gönüllü davranış kodu (Code of Practice) yayımladı. Bu kod, AI Act yükümlülüklerinin somut yorumunu sağlar — koda imza atan GPAI sağlayıcısı (OpenAI, Anthropic, Google, Meta, Mistral vb.) Madde 53 yükümlülüklerine uyumlu kabul edilir.

5.1. Ceza Hesaplamasında Dikkate Alınan Faktörler

Madde 99(7) cezaları belirlerken şu faktörleri zorunlu kılar:

1. İhlalin doğası, ciddiyeti, süresi.
2. Diğer pazar denetim otoritelerinin verdiği cezalar.
3. Sağlayıcı veya dağıtıcının büyüklüğü, yıllık cirosu, pazar payı.
4. İhlali azaltıcı tedbirler (geri çekme, müşterilere bildirim).
5. İhmal mi kasıt mı.
6. Tekrarlı ihlal geçmişi.
7. Yetkili otorite ile işbirliği seviyesi.

5.2. Türk Şirket İçin Pratik Risk Senaryosu

Yıllık küresel cirosu 500 milyon EUR olan bir Türk otomotiv tedarikçisi, AB pazarına high-risk AI bileşeni (sürücü izleme sistemi) sağlıyor. Madde 16 yükümlülüklerinden teknik dokümantasyonu eksik bırakırsa: maksimum ceza min(15M EUR, %3 x 500M EUR) = min(15M, 15M) = 15M EUR. Buna ek olarak Üye Devlet pazar denetim otoritesi sistemi pazardan geri çekme emri verebilir, mevcut sözleşmeler iptal edilebilir, müşterilere bildirim yapılması zorunlu olur.

AI Act, GDPR'den farklı olarak şirket cezalarının yanında bireysel sorumluluğu doğrudan düzenlemez. Ancak Üye Devlet ulusal hukukları (örneğin Almanya BDSG, Fransız RGPD) AI Act ihlallerini ilave olarak ceza hukuku boyutunda da düzenleyebilir. Türk şirketler için pratik etki: AB'deki bağlı şirketin yönetim kurulu üyeleri, ciddi AI Act ihlallerinde ulusal ceza hukuku kapsamında soruşturmaya tabi olabilir. Bu, ana şirketin Türkiye'de olmasının koruma sağlamadığı bir alandır.

5.4. Cezaların Hesaplanması: Pratik Örnekler

5.5. Üye Devlet Bazlı Yaptırım Yaklaşımı Farklılıkları

AI Act bir tüzük (regulation) olup tüm Üye Devletlerde doğrudan uygulanır, ancak ulusal yaptırım otoriteleri uygulama tarzlarında farklılıklar gösterebilir:

• Almanya (BfDI). Disipline ve dokümantasyona aşırı önem verir; teknik dosya eksiksizliği temel kriter.
• Fransa (CNIL). Daha sıkı yaptırım, özellikle biyometri ve istihdam AI sistemlerinde.
• İrlanda (DPC). Çok uluslu şirketler için tek-temas-noktası (one-stop-shop); Big Tech'in AB merkezi olarak en kritik otorite.
• İtalya (Garante). Tüketici şikayetlerine hızlı yanıt; agresif geçici tedbir kararları.
• İspanya (AESIA). AI'ya özgü bir AI ajansı kurdu — AB'de ilk model.

Türk ihracatçılar için pratik etki: AB pazarınız hangi Üye Devletlerde yoğunsa, o ülkenin DPA/AI ajansı yaklaşımını öğrenin. Yaptırım stilleri farklı olduğu için risk profili de farklı.

AI Act Madde 2(1)(c), tüzüğün AB içinde yerleşik olmayan ama AB pazarına AI sistemleri ya da bu sistemlerin çıktılarını sunan sağlayıcı ve dağıtıcılar için de geçerli olduğunu açıkça düzenler. Pratikte bu, neredeyse her ihracatçı Türk şirketinin kapsam dahilinde olduğu anlamına gelir.

6.1. Hangi Türk Şirketleri Kapsamda?

• AB'ye ürün ihraç eden imalat şirketleri (otomotiv, beyaz eşya, makine) — eğer ürünleri AI içeriyor veya AI ile üretiliyorsa.
• AB pazarına SaaS satış yapan teknoloji şirketleri.
• AB'deki müşterilerine AI destekli hizmet (consulting, analytics, marketing) sağlayan şirketler.
• AB'de iştiraki veya satış ofisi olan tüm Türk şirketleri.
• AB'ye HR / istihdam hizmeti sağlayan şirketler (CV tarama, sınav, mülakat AI'ları).

6.2. Türk İhracatçı Sektörler ve AI Act Riski

6.3. AB Temsilcisi (Authorized Representative) Atama Zorunluluğu

AI Act Madde 22, AB'de yerleşik olmayan high-risk sistem sağlayıcılarının (provider) bir AB temsilcisi (authorized representative) atamasını zorunlu kılar. Bu temsilci:

• Sağlayıcı adına teknik dokümantasyonu tutar.
• Pazar denetim otoriteleri ile iletişim kurar.
• Uygunluk beyanı (declaration of conformity) ve diğer dokümanları yetkililerle paylaşır.
• Sistemde ciddi olay olduğunda yetkililere bildirir.

Türk şirketler için pratik nokta: Bu temsilciliği genelde bir AB hukuk bürosu (Brüksel, Münih, Amsterdam) veya uyum hizmeti şirketi (TÜV, DEKRA, Bureau Veritas AB iştirakleri) sağlar. Yıllık maliyet 15.000-50.000 EUR aralığındadır.

6.4. Otomotiv Sektörü Derinlemesine: TOGG, Tofaş, Ford Otosan

Türk otomotiv sektörü, AB'ye en yüksek hacimde AI içeren ürün ihraç eden sektördür. Üç ana risk alanı vardır:

1. ADAS (Advanced Driver Assistance Systems). Otomatik fren, şerit takip, kör nokta uyarısı. Annex I (otomotiv güvenlik) bağlantısı nedeniyle high-risk; tip onayı sürecine entegre edilmesi gerekiyor.
2. Sürücü izleme. Dikkat dağınıklığı, yorgunluk, alkol tespiti. Biyometri/duygu tanıma sınırı — Annex III(1) kapsamında high-risk olabilir.
3. In-cabin AI asistanı. Sesli komut, ses tonu analizi, kişiselleştirilmiş içerik. Madde 50 şeffaflık zorunluluğu uygulanır.

TOGG için spesifik durum. Türkiye'nin yerli elektrikli aracı TOGG, AB pazarına 2024'te girdi. ADAS sistemleri Type Approval Regulation (UN ECE R157) kapsamında, ek olarak AI Act Annex I ile çift uyumluluk gerekiyor. TOGG'un Avrupa Tip Onay Otoritesi (Almanya KBA) ile koordinasyonu, AI Act riskini azaltıcı bir avantaj sağlıyor.

6.5. Beyaz Eşya Derinlemesine: Arçelik (Beko/Grundig), Vestel, BSH Türkiye

Beyaz eşya sektöründe AI kullanımı çoğunlukla "akıllı ev" özellikleri olarak konumlandırılır. Risk profili:

1. Predictive Maintenance. Cihaz arıza tahmini — bulut tabanlı analitik. Genelde minimal-risk ama ürün güvenliğine bağlıysa (örn. hidrofor patlama riski) Annex I üzerinden high-risk.
2. Enerji optimizasyonu. Akıllı buzdolabı, çamaşır makinesi enerji yönetimi. Minimal-risk.
3. Görüntü tanıma (kameralı buzdolabı). Yiyecek tanıma, son kullanma tarihi uyarısı. Madde 50 şeffaflık.
4. Sesli asistan (Alexa, Google Assistant entegrasyon). Üçüncü taraf AI; sub-processor zinciri analiz edilmeli.

Arçelik Beko için spesifik durum. Beko Eurasia (Almanya) AB içinde dağıtım merkezi olarak çalışıyor. Bu, Beko'nun AI Act yükümlülüklerinde AB temsilcisi atama gerekliliğini bertaraf etmez — Beko Türkiye sağlayıcı, Beko Almanya dağıtıcı (distributor) konumunda. Provider'ın yükümlülükleri Beko Türkiye'de.

6.6. Tekstil Sektörü Derinlemesine: Hugo Boss Tedarikçileri, Mango Tedarikçileri

Tekstil, AI kullanımı görece düşük bir sektör ama büyüyor:

1. Renk eşleştirme AI. Üretim kalite kontrol. Minimal-risk.
2. Talep tahmini AI. Üretim planlama. Minimal-risk.
3. Sürdürülebilirlik raporlama AI. Karbon ayak izi hesaplama. Düzenleme kapsamı dışı.

AI Act açısından düşük risk ama AB CSRD (Corporate Sustainability Reporting Directive) ve CSDDD (Corporate Sustainability Due Diligence Directive) kapsamında yan-yükümlülükler oluşabilir. AI-temelli sürdürülebilirlik raporları yanıltıcıysa, ayrı yaptırım rejimine tabi.

6.7. Finans / Fintech Derinlemesine: Türk Bankaları ve BDDK

Türk bankaları doğrudan AB pazarına SaaS satmıyor olabilir, ama:

1. AB iştirakleri (örn. DenizBank Almanya, İşbank AG, T.C. Ziraat Bankası Frankfurt) AB pazarındaki birer kuruluş — AI Act doğrudan kapsam.
2. AB müşterilerine bankacılık hizmeti verirken kullanılan AI sistemleri (kredi skorlama, KYC, fraud detection) — Annex III(5)(b) kapsamında high-risk.
3. PSD2 kapsamındaki Açık Bankacılık AI'ları — sub-processor zinciri kritik.

BDDK ile AI Act koordinasyonu. BDDK'nın Mayıs 2025'te yayımladığı "Bankacılıkta Yapay Zeka Genelgesi" AI Act ile büyük ölçüde uyumlu. Türk bankaları iki uyum çerçevesini de paralel uygulamalı. BDDK ek olarak operasyonel risk yönetimi (RTS PSD2) yükümlülükleri getirir.

6.8. Sağlık Teknolojileri Derinlemesine

Sağlık AI'sı çift düzenleme rejimine tabi: MDR (Medical Device Regulation EU 2017/745) + AI Act. Türk sağlık-tech şirketler için kritik noktalar:

1. Tıbbi cihaz sınıflandırması (MDR Sınıf I-III). AI'lı tıbbi cihazlar genelde Sınıf IIa veya daha yüksek — notified body onayı zorunlu.
2. Klinik değerlendirme. MDR ek IV + AI Act Annex IV birleşik dokümantasyon.
3. Post-market surveillance. MDR + AI Act'in çakışan post-market izleme yükümlülükleri.

Örnek: Türk bir AI radyoloji şirketi, AB pazarına aktığında MDR Sınıf IIa (radyoloji yorumu) + AI Act Annex III(5)(b) (sağlık erişimi) çift yükümlülüğüne tabi olur. CE marking iki rejimi de kapsayacak şekilde alınmalı.

6.9. AB Tek Pazarına Tedarik Yolu: 7 Farklı Senaryo

Türk şirketler AB pazarına farklı yollardan ulaşabilir; her senaryonun AI Act yansımaları farklıdır:

1. Doğrudan ihracat. Provider rolü Türk şirkette; AB temsilcisi atama, CE marking, post-market monitoring zorunlu.
2. AB iştiraki üzerinden. İştirak provider; ana şirket de işbirliği yükümlülükleri taşır (Madde 25).
3. AB distribütörü üzerinden. Distribütör Madde 24 yükümlülüklerine tabi; provider rolü Türk şirkette kalır.
4. OEM olarak. AB OEM'i ürüne entegre eder; Türk şirket "AI komponent sağlayıcı" rolünde — Madde 25(4) kapsamında.
5. White-label SaaS. AB müşterisi kendi markası altında satar; Türk şirket arka planda sağlayıcı.
6. Marketplace üzerinden (Amazon, eBay). Provider rolü Türk şirkette; marketplace distributor; ek olarak DSA yükümlülükleri.
7. API olarak. Türk SaaS API'sını AB müşteri kullanır; Türk şirket provider, AB müşteri deployer.

Her senaryoda AI Act yükümlülüklerinin nasıl dağıldığını netleştirmek için bir karar matrisi çıkarın.

6.10. Düzenleyici Sandbox: Test Etme Olanağı

AI Act Madde 57, AI Regulatory Sandbox'ı zorunlu kılar. Her Üye Devlet 2 Ağustos 2026'ya kadar en az bir sandbox kurmalıdır. Bu, üretime alınmadan önce regülatörle birlikte test imkanı sağlar.

Türk şirketler için pratik öneri. İlk AI Act uyum projeniz yüksek belirsizlik içeriyorsa, AB Üye Devleti sandbox'ına başvuru değerlendirin. Avantajlar:

• Düşürülmüş regülatif risk
• Erken regülatör feedback'i
• Pazara giriş hızı
• Marketing değeri ("AB sandbox'ında doğrulanmış")

İlk operasyonel sandbox'lar: İspanya (AESIA), Almanya (BfDI), Fransa (CNIL). Türk şirketler için en uygun olanı genelde AB'deki bağlı şirket veya AB temsilcisinin yerleşik olduğu ülkedir.

Türk şirketler için pratik bir gerçek: AI Act tek başına yeterli değildir. KVKK (kişisel veri varsa) ve ISO/IEC 42001 (uluslararası AI yönetim sistemi standardı) ile birleştirilmiş bir uyum mimarisi gerekir.

Pratik tavsiye. İlk önce KVKK temelinde bir veri yönetişim alt-yapısı kurun, üzerine AI Act'ın risk yönetim sistemini bina edin, ISO 42001 ile belgelendirme-edilmiş bir AI yönetim sistemi (AIMS) sağlayın. Bu üçlü, üst yönetim ve AB pazar denetim otoriteleri için uyum kanıtı olarak kullanılır.

7.1. KVKK Etken AI Rehberi Entegrasyonu

KVKK'nın 12 Mart 2026'da yayımladığı Etken Yapay Zeka rehberi, AI Act ile bilinçli olarak uyumludur. Etken AI rehberi 15 sorudan oluşur — AI Act FRIA'ya paralel:

• KVKK 15 sorusu: amaç, veri akış, hukuki dayanak, risk, mitigation, monitoring, üst yönetim onayı.
• AI Act FRIA: özetle aynı yapı (Madde 27).

Türk şirketler için tek bir entegre değerlendirme dokümanı hazırlamak %35 efor tasarrufu sağlar. Bu doküman:

• KVKK DPIA + AI Act FRIA + ISO 42001 risk değerlendirmesi → tek matriks.
• KVKK 15 soru + AI Act Madde 27 unsurları → ortak soru seti.
• Üst yönetim onayı → tek imza.

7.2. ISO 42001 AIMS Belgelendirme Süreci

ISO 42001:2023 (AI Management System) belgelendirmesi adımlar:

1. Hazırlık (4-8 hafta). Mevcut süreç envanteri, GAP analizi, AIMS politika dokümanı taslağı.
2. AIMS implementasyonu (8-16 hafta). Politika, prosedür, kayıt yapısı, sorumluluk matrisi, eğitim programı.
3. İç denetim (2-4 hafta). İç ekip veya dış danışman ile.
4. Yönetim incelemesi (1-2 hafta). Üst yönetim onayı.
5. Akredite belgelendirme kuruluşu denetimi (2-4 hafta). TÜV, BSI, DNV, DEKRA.
6. Belgeleme (2-4 hafta). Bulguların kapatılması, sertifika düzenlemesi.
7. Yıllık gözetim denetimleri (continuous). Her yıl sürekliliği test edilir.

Türk şirketler için pratik gözlem. ISO 42001 belgelendirmesi, sadece AB müşterilerine kanıt sağlamakla kalmaz; iç AI yönetişim kültürünü oluşturmanın en hızlı yoludur. KVKK + AI Act yükümlülüklerinin doğal bir kapsayıcısıdır.

7.1. Annex IV Teknik Dokümantasyon Şablonu (Detaylı)

AI Act Annex IV, high-risk sistemlerin teknik dokümantasyonu için zorunlu içeriği listeler. Türk şirketler için ayrıntılı şablon:

Bölüm 1: Genel Açıklama

• AI sisteminin amacı, kullanıcıları, kullanım bağlamı
• Sağlayıcı kimliği, AB temsilcisi kimliği
• Versiyon ve değişiklik geçmişi
• Sistemde kullanılan donanım/yazılım/firmware

Bölüm 2: Tasarım Açıklaması

• Sistem mimarisi diyagramı
• Eğitim/test/validation veri setleri (kaynak, miktar, kalite, çeşitlilik)
• Eğitim algoritması, hiperparametreler, optimizasyon yöntemi
• Eğitim/değerlendirme metrikleri ve eşikleri
• İnsan-makine arayüzü açıklaması

Bölüm 3: Sistem İzleme ve Test

• Doğruluk metrikleri (accuracy, precision, recall, F1, AUC)
• Sağlamlık (robustness) test sonuçları — adversarial, distribution shift
• Bias değerlendirmesi (cinsiyet, yaş, milliyet, etnik köken)
• Siber güvenlik tedbirleri (input sanitization, output filtering, rate limiting)
• Insanın oversight noktaları ve müdahale mekanizmaları

Bölüm 4: Risk Yönetim Sistemi

• Tanımlanmış riskler ve azaltıcı tedbirler
• Test sırasında karşılaşılan rezidüel riskler
• Kullanım kılavuzu / kullanıcı talimatları (Madde 13)

Bölüm 5: Kalite Yönetim Sistemi

• Uyum süreçleri, belgelendirme, sorumluluklar
• Değişiklik yönetimi prosedürü
• İncident raporlama süreci
• Periyodik review takvimi

Tipik bir Annex IV teknik dosyası 80-300 sayfa arasındadır. Türk şirketlerin hazırlanması 8-16 hafta sürer.

7.2. Veri Yönetişimi (Madde 10) Pratik Adımlar

AI Act Madde 10, eğitim/test/validation veri setlerinin uygun kalitede, ilgili, temsili, hatasız ve eksiksiz olmasını zorunlu kılar. Türk şirketler için pratik uygulama:

1. Veri Sağlayıcı Due Diligence. Üçüncü taraflardan veri satın alındığında, sağlayıcının veri toplama yöntemini, KVKK/GDPR uyumunu, telif hakkı durumunu doğrulayın.
2. Veri Annotation Süreci. Etiketleme yapan kişilerin/şirketlerin nitelikleri, kalite kontrol metrikleri (inter-annotator agreement).
3. Veri Augmentation Şeffaflığı. Sentetik veri üretildiyse hangi yöntemle, hangi orana, hangi sınıflarda.
4. Bias Audit. Eğitim verisinde demografik dengesizlikler için sistematik tarama. KVKK Madde 6 (özel nitelikli veri) ve AI Act Madde 10(5) (özel nitelikli veri istisnası ile bias test) bağlantısı kritik.
5. Veri Yeniden Eğitim Politikası. Modelin güncellenmesinde hangi verinin ekleneceği, hangi verinin çıkarılacağı, model drift'i nasıl izleneceği.

Adım 1: AI Sistem Envanteri (Hafta 1-3)

Şirketinizin kullandığı (in-house geliştirilen, satın alınan, SaaS) tüm AI sistemlerinin envanterini çıkartın. Şu kolonlar zorunlu:

• Sistem adı ve sahibi
• Kullanım amacı
• Kullanım coğrafyası (AB içeriyor mu?)
• Sağlayıcı (provider) mı dağıtıcı (deployer) mı rolü
• Eğitim veri kaynakları
• Kişisel veri içeriyor mu (KVKK & GDPR)
• Annex III alanına giriyor mu

Adım 2: Risk Sınıflandırma (Hafta 3-5)

Her sistem için Madde 5, 6, Annex I ve Annex III taraması yapın. Çıktı: her sisteme atanmış risk seviyesi (yasak / high-risk / sınırlı-risk / minimal-risk).

Adım 3: High-Risk Sistemler İçin Dokümantasyon (Hafta 5-12)

Her high-risk sistem için Annex IV'e uygun teknik dosya:

1. Risk yönetim sistemi (Madde 9).
2. Veri ve veri yönetişim açıklaması (Madde 10).
3. Teknik dokümantasyon (Madde 11 + Annex IV).
4. Record-keeping / Loglama (Madde 12).
5. Şeffaflık ve kullanıcıya bilgi (Madde 13).
6. İnsan gözetim mekanizmaları (Madde 14).
7. Doğruluk, sağlamlık, siber güvenlik (Madde 15).
8. Kalite yönetim sistemi (Madde 17).

Adım 4: AB Temsilcisi Atama (Hafta 6-8)

AB içinde yerleşik bir authorized representative (Brüksel, Münih, Amsterdam tipik tercihler) ile sözleşme. Madde 22 yetkileri sözleşmede açıkça yer almalı.

Adım 5: CE Marking ve Uygunluk Beyanı (Hafta 10-16)

High-risk sistemler için uygunluk değerlendirmesi:

• İç kontrol ile uygunluk değerlendirmesi (Annex VI) — çoğu Annex III sistemi için.
• Notified body uygunluk değerlendirmesi (Annex VII) — biyometri ve ürün güvenliği bağlantılı sistemler için.

Sonuç: CE marking ve declaration of conformity. AB EUDAMED veya AI Act'a özgü EU database'e kayıt.

Adım 6: Post-Market Monitoring Sistemi (Sürekli)

Madde 72 — pazara çıktıktan sonra sistemin performans, güvenlik ve uygunluk göstergeleri sürekli izlenir. Madde 73 — ciddi olaylar (ölüm, vücut bütünlüğüne zarar, kritik altyapı aksaması, temel haklara önemli ihlal) 15 gün içinde AI Office'e raporlanır.

Adım 7: KVKK + AI Act + ISO 42001 Entegrasyonu (Hafta 12-24)

Önceki maddedeki üçlü uyum matrisi devreye alınır.

Adım 8: AB Pazara Çıkış Test Programı (Hafta 16-20)

Üretim öncesi son denetim adımları:

1. Penetration testing. Siber güvenlik açıkları için pen-test yapılır.
2. Adversarial testing. AI sistemini kasıtlı kötüye kullanım denemeleriyle test.
3. Bias auditing. Demografik gruplar arası performans farkları.
4. Stress testing. Yüksek yük altında sistem davranışı.
5. Recovery testing. Sistem çöktüğünde insan müdahalesi mekanizması.

Bu testlerin tüm sonuçları Annex IV teknik dosyaya eklenir. Eksik test, denetim sırasında "ihmal" sayılır.

Adım 9: Beta Müşteri Pilot (Hafta 20-24)

İlk AB müşterilerinizle pilot yürütün. Anlaşmaya:

• Madde 25(1) provider-deployer iş bölümü
• Madde 26 deployer yükümlülükleri (insan oversight, log kayıtları, monitoring)
• Madde 27 FRIA için işbirliği
• Ciddi olay halinde 24 saat içinde bildirim

ekleyin. Pilotta yaşadığınız sorunlar (yanlış sonuç, halüsinasyon, model drift) Madde 73 ciddi olay tanımının altında kalsa bile iç ders kayıtlarına ekleyin.

Adım 10: Üretim Çıkışı (Hafta 24+)

CE marking belgesi alındıktan ve EU AI database'e kayıt yapıldıktan sonra resmi ürün lansmanı. Lansmanla birlikte:

• Sürekli post-market monitoring panosu canlıya alınır
• Müşteri şikayet kanalı operasyonel
• Aylık DPO-CISO-Mühendislik üçlü inceleme toplantıları
• Çeyreklik üst yönetim raporu

8.1. Hukuki Süreç ve Avukat-Mühendis Koordinasyonu

AI Act uyumu, Türk şirketlerinde sıklıkla iki silo arasında düşer: hukuk ekibi dokümantasyonu hukuki dilde yazar, mühendislik ekibi AI sistemini tasarlar/üretir. Bu silolar arasındaki kopukluk, en yaygın uyum hatasıdır.

Pratik çözüm: Üçlü RACI Matrisi

R=Responsible (yürüten), A=Accountable (sorumlu), C=Consulted (danışılan), I=Informed (bilgilendirilen).

8.2. AI Act Eğitim Programı: Şirket-İçi Capacity Building

Madde 4 (AI Literacy) — provider ve deployer'ların ekiplerinin yeterli AI okuryazarlığına sahip olmasını zorunlu kılar. Türk şirketler için pratik eğitim programı:

Seviye 1: Genel Farkındalık (Tüm Çalışanlar — 2 saat)

• AI Act nedir, neden önemli
• Risk kategorileri özet
• Şirketteki sorumluluklar
• Şikayet ve raporlama kanalları

Seviye 2: Departman Spesifik (Mühendislik, Ürün, Pazarlama, Hukuk — 8 saat)

• Kendi rollerine düşen AI Act yükümlülükleri
• Tipik karar noktaları
• Vendor seçim kriterleri
• DPIA katkı süreci

Seviye 3: Liderlik Eğitimi (CIO, CISO, DPO, General Counsel, Yönetim Kurulu — 16 saat)

• Tam yasa metni okuma
• Risk değerlendirme
• Bütçe ve kaynak tahsisi
• Kriz yönetimi (ciddi olay halinde)

Seviye 4: Uzman Eğitimi (AI Compliance Officer — 40 saat)

• Annex IV teknik dokümantasyon
• Notified body koordinasyonu
• Post-market monitoring sistemleri
• KVKK + AI Act + ISO 42001 entegrasyon

Sertifikasyon. AB pazar denetim otoriteleri, eğitim kayıtlarını ve sertifikalarını uyum kanıtı olarak değerlendirir. ISACA, IAPP, IAAI gibi kurumlar AI governance sertifikaları sunar.

Vaka 1 — Türk Otomotiv OEM Tedarikçisi: Sürücü İzleme Sistemi

Problem. Şirket, AB OEM'lerine kamera tabanlı sürücü dikkat-izleme sistemi tedarik ediyor. Sistem AI-tabanlı (yorgunluk tespiti, dikkat dağınıklığı). 2024'te projenin AI Act kapsamında olduğu anlaşılıyor; Annex I (otomotiv ürün güvenliği) + Annex III (biyometri / duygu tanıma sınırı) çift kapsam.

Çözüm. 9 aylık uyum projesi (Kasım 2024 - Temmuz 2025): (1) Risk yönetim sistemi (ISO 14971 + AI Act Madde 9 entegre); (2) Teknik dokümantasyon Annex IV'e göre — 280 sayfa; (3) Notified body olarak TÜV SÜD (Almanya) seçildi; (4) AB temsilcisi olarak Münih hukuk bürosu atandı; (5) Post-market monitoring portal'ı kuruldu; (6) ISO 42001 AIMS belgelendirmesi paralel yürütüldü.

Sonuç. CE marking Mayıs 2025'te alındı. Toplam yatırım: 1.4M EUR (uyum + danışmanlık + notified body + teknik altyapı). Şirket, EU AI Act'a uyumlu ilk Türk otomotiv tedarikçilerinden biri oldu — bu, Avrupa OEM'lerle yeni kontrat müzakerelerinde ciddi rekabet avantajı sağladı.

Vaka 2 — Türk Beyaz Eşya Üreticisi: Predictive Maintenance AI

Problem. Beyaz eşya şirketi, AB pazarına satışı yapılan ürünlerinde "akıllı arıza tahmini" özelliği sunuyor. Sistem bulut tabanlı, ürün IoT sensörlerinden veri topluyor, bulutta AI ile arıza tahmini yapıyor. 2025'te bu sistemin AI Act'a giriyor mu sorusu doğuyor.

Çözüm. Yapılan analiz: (1) Sistem minimal-risk kategorisinde — Annex III'e girmiyor, Annex I (Low Voltage Directive) bağlantısı var ama AI bileşeni güvenlik-kritik değil (sadece konfor); (2) Buna rağmen Madde 50 şeffaflık zorunluluğu uygulandı — kullanıcıya cihazın AI ile arıza tahmini yaptığı bilgisi verildi; (3) ISO 42001 paralel olarak uygulanarak AB OEM müşterilerine "AI yönetişim olgunluk" kanıtı sağlandı.

Sonuç. Tam CE marking gerekmedi (sistem high-risk değil). Toplam yatırım: 150.000 EUR. Şirketin AB satışlarına direkt olumlu etki — büyük perakendecilerden gelen "sizin AI yönetişim politikanız ne?" sorusuna ISO 42001 belgesiyle yanıt verildi.

Vaka 3 — Türk SaaS Şirketi: HR AI (CV Tarama)

Problem. Türk merkezli SaaS şirketi, AB'deki müşterilerine CV tarama ve mülakat AI hizmeti sağlıyor. Bu sistem Annex III(4)(a) — istihdam için AI — kapsamına otomatik olarak high-risk.

Çözüm. (1) Şirket rolü: Provider; AB müşterileri Deployer; (2) Authorized representative: Amsterdam'da kurulan bağlı şirket; (3) Bias monitoring — cinsiyet, yaş, milliyet boyutlarında her ay otomatik bias testi; (4) Teknik dokümantasyon Annex IV'e göre; (5) Kullanıcılara (iş başvurusu yapanlara) açık bilgilendirme zorunluluğu (Madde 50); (6) İnsan gözetimi (Madde 14) — son kararı her zaman insan İK uzmanı verir.

Sonuç. Sistem 2 Ağustos 2026 öncesi CE marking aldı. Toplam yatırım: 380.000 EUR. Şirket AB pazarına satış yapabilen ilk Türk HR-tech SaaS'larından biri oldu.

Vaka 4 — Türk Bankacılık Yazılım Şirketi: Kredi Skoru AI

Problem. Türk bir bankacılık yazılım şirketi, AB'deki banka müşterilerine kredi skoru AI servisi sağlıyor. Annex III(5)(b) "kredi skorlama" alanında otomatik high-risk.

Çözüm. (1) Provider rolü; AB bankaları deployer; (2) Bias monitoring çok kritik — cinsiyet, milliyet, yaş, ZIP kodu (proxy bias riski) için aylık testler; (3) Açıklanabilirlik raporu (SHAP, LIME) her kredi kararı için; (4) ECOA (US) / EU consumer credit directive uyumlu açıklama gerekliliği; (5) AB temsilcisi Frankfurt'ta, Bafin (Almanya bankacılık denetimi) ile koordinasyon için.

Sonuç. Sistem 14 ay içinde tamamen uyumlu hale geldi. Toplam yatırım: 720.000 EUR. AB'deki 8 müşteri bankayla yeni multi-yıllık sözleşmeler imzalandı.

Vaka 5 — Türk Lojistik Şirketi: Rota Optimizasyon AI

Problem. Türk lojistik devi, AB içi taşımacılık için AI tabanlı rota optimizasyonu sunuyor. İlk değerlendirmede "minimal-risk" gözüktü ama detaylı incelemede sürücülere "performans" geri bildirimi veren modül Annex III(4) istihdam AI sınırında bulundu.

Çözüm. (1) Performans modülü ayrı bir ürün haline getirildi — bu modül high-risk olarak yönetildi; (2) Ana rota optimizasyon kalan minimal-risk; (3) Sürücülere açık aydınlatma metni; (4) Sendikalarla istişare (özellikle Almanya, Fransa — işyeri konseyi yükümlülüğü); (5) Bias testleri (cinsiyet, yaş — sürücü demografik dağılımına göre).

Sonuç. Modüler ayırma sayesinde uyum maliyeti %35 düştü. Toplam yatırım: 240.000 EUR (performans modülü için CE marking) + 60.000 EUR (rota modülü için Madde 50).

Vaka 6 — Türk Telco: Müşteri Hizmetleri Voice AI

Problem. Türk telco şirketi, AB'deki iştirakleri için Türkçe + 6 Avrupa dilinde voice AI müşteri hizmetleri çözümü geliştirdi. Çağrı sırasında ses tonu analizi ve duygu tanıma yapan modül Annex III(1) biyometri/duygu tanıma kapsamında high-risk.

Çözüm. (1) Duygu tanıma modülünü opsiyonel hale getirme — varsayılan kapalı; (2) Açıklanabilirlik dashboard'u; (3) İnsan operatöre transfer her zaman mümkün; (4) Kullanıcıya çağrı başında AI ile konuştuğunu bildirme (Madde 50); (5) Audit log: tüm AI kararları 10 yıl saklanır.

Sonuç. AB iştiraklerinde tam uyum sağlandı; Madde 50 + Annex III çift uyumluluğu. Toplam yatırım: 1.1M EUR.

Uyum Maliyet Tahmini

Türk şirketler için temel stratejik soru: AB pazarına ürünü çıkardıktan sonra uyumu mu sağlayacağız, yoksa uyum tamamlanmadan ürünü hiç çıkartmayacak mıyız?

Pazar-önce-uyum yaklaşımı. Bazı şirketler ürünü AB'ye çıkarıyor, "geçici uyum durumu" ile faaliyet gösteriyor, denetim ihtarı geldiğinde hızla tamamlıyor. Risk: Eğer ciddi olay olursa veya bir rakip ihbar ederse, ceza kaçınılmaz. Türk büyük şirketler için önerilmez.

Uyum-önce-pazar yaklaşımı. Uyum tamamlandıktan sonra ürünü AB'ye çıkarıyor. Avantaj: Düşük risk. Dezavantaj: 12-18 aylık pazar girişi gecikmesi.

Hibrit yaklaşım (önerilen). Düşük-risk olarak başlat (limited-risk veya minimal-risk olarak konumlandır), sonra high-risk modüllerini paralel olarak hazırla. Örnek: Bir SaaS önce "salt analitik" konumda satılır (high-risk modülü kapalı), 6 ay içinde high-risk modülü uyumlu hale getirildiğinde aktive edilir.

AI Act'a uyum, çoğunlukla tedarik zinciri sertifikasyonu sorunudur. Türk şirketler AI bileşenlerini sıfırdan üretmiyor; foundation model, embedding API, vektör DB, observability platform — hepsi vendor tedariki.

Vendor Due Diligence Süreci

1. Vendor seçim öncesi. AI Act uyumluluğu, sub-processor listesi, veri yerleşimi, audit hakkı.
2. Sözleşme aşaması. Madde 25 (provider-deployer paylaşımı) ile uyumlu DPA, ihlal bildirim yükümlülüğü, denetim hakkı.
3. Pazara çıkış öncesi. Vendor'ın teknik dokümantasyonunun sizin Annex IV'ünüze entegre edilmesi.
4. Üretimde. Aylık değişiklik bildirimleri, çeyreklik vendor performans incelemesi.
5. Vendor değişimi durumunda. DPIA delta güncelleme, VERBİS düzeltme, kullanıcı bilgilendirmesi.

AI Act çağında AI sorumluluk sigortası giderek standartlaşıyor. Türk şirketler için önemli noktalar:

• Ürün sorumluluk sigortası (AB Product Liability Directive 2024/2853 — Eylül 2026 itibarıyla AI'yı kapsar) artık AI hatalarını da kapsamı dahilinde tutar.
• AI özel sigorta poliçeleri. AIG, Munich Re, Swiss Re gibi şirketler 2025'ten itibaren AI'ya özgü poliçeler sunuyor.
• Tipik kapsamlar. Yanlış AI kararından kaynaklanan üçüncü taraf zararları, AI Act ceza yardımları (limited), pazardan geri çekme masrafları.
• Tipik prim aralığı. Yıllık 50.000-500.000 EUR (yüksek-risk AI sistemleri için), şirket büyüklüğüne göre.
• Genel exclusion'lar. Kasıtlı uyumsuzluk, regülasyon ihlali sonucu cezalar (bazıları), AI Act yasak (Madde 5) ihlalleri.

AI Act'in fazla konuşulmayan boyutu: çevresel sürdürülebilirlik raporlama. Madde 95 (Codes of Conduct) ve EU CSRD direktifinin çakışan yükümlülükleri:

• AI modelinin eğitim sırasındaki karbon ayak izinin raporlanması (özellikle GPAI sağlayıcılar için).
• Çıkarım (inference) maliyetinin hesaplanması ve raporlanması.
• AB Carbon Border Adjustment Mechanism (CBAM) kapsamında ithalata uygulanabilecek karbon vergisi.

Türk ihracatçılar için pratik etki: AI sistemlerinin enerji tüketimini ölçen ve raporlayan altyapı kurmak — 2027 yılı itibariyla CSRD kapsamında Türk büyük ihracatçıları için zorunlu hale gelecek.

AI Act uyumu, yalnızca uyum ekibi/DPO/CISO'nun değil, şirket geneli stratejik bir konunun sorunudur.

Yönetim Kurulu Sunum Çerçevesi

Yönetim Kuruluna AI Act sunumu yaparken kapsanması gereken 7 nokta:

1. Maruz kalma analizi. Şirketin AB pazarına AI ile teması neresi, ne büyüklükte.
2. Risk skor matrisi. En riskli 5 AI sisteminin tablo halinde gösterimi.
3. Ceza modeli. Şu anki cironun yüzde 3 ve yüzde 7'sinin EUR karşılığı; karşılaştırma.
4. Uyum yatırımı. Yıllık tahmini bütçe (uyum sistemi + danışman + sertifikasyon).
5. Pazar fırsatı. Uyumlu olmanın AB'de yeni anlaşmalar açma potansiyeli.
6. Zaman çizelgesi. 2 Ağustos 2026 öncesi nihai durum.
7. Yönetim Kurulu kararı. Risk Komitesi atanması, kaynak ayrılması, üst yönetim sorumluluğu.

Müşteri İletişimi

AI Act uyumu pazarlama bir araç olarak da kullanılabilir:

• Compliance Statement. Web sitenizde, sözleşmelerde, RFP cevaplarında.
• Sertifika gösterimi. CE marking, ISO 42001 sertifikası, AB temsilcisi bilgisi.
• Transparency Report. Yıllık olarak AI sistemlerinizin uyum durumunu paylaşın.
• DPA güncelleme. Müşterileri ile DPA'larda AI Act maddelerini yansıtın.

Yatırımcı İletişimi (Halka Açık veya VC Destekli Şirketler)

AB pazarına satış yapan halka açık Türk şirketler, finansal raporlarında AI Act maruziyeti ve uyum durumu açıklaması yapmaya başlıyor. 2026'dan itibaren bu açıklamalar:

• Yıllık faaliyet raporunda ayrı bölüm
• Risk faktörleri bölümünde maliyet/ceza tahminleri
• Sustainability raporlamasında AI etik politikası

VC destekli şirketler için, yeni round'larda due diligence sırasında AI Act uyumu sorulmaya başlandı. Yatırımcılar:

• DPIA dosyalarını ister
• Ceza maruziyeti hesabını ister
• AI envanteri ister

EU AI Act uyumunu tamamlamak veya mevcut durumun değerlendirilmesi için:

1. AI Act Gap Analysis Atölyesi (2 hafta). AI sistem envanteri, Annex III taraması, risk sınıflandırma, eksik dokümantasyon listesi. Çıktı: önceliklendirilmiş uyum yol haritası.
2. High-Risk Sistem Dokümantasyon Sprint (6-8 hafta). Her high-risk sistem için Annex IV teknik dosya. KVKK + AI Act çift uyumlu DPIA/FRIA + risk yönetim sistemi.
3. AB Temsilcisi & Notified Body Eşleştirme (2-4 hafta). Sektörünüze uygun AB temsilcisi ve notified body kontağı, sözleşme müzakeresi.
4. Post-Market Monitoring Sistemi Kurulumu (3 hafta). Madde 72, 73'e uygun olay raporlama, performans izleme, ciddi olay bildirim altyapısı.
5. ISO 42001 + KVKK + AI Act Entegre Yönetişim (Sürekli). Üç çerçevenin tek bir AI yönetim sistemi (AIMS) altında entegre edilmesi.

İletişim için site üzerindeki contact formu kullanılabilir.

12.0.1. Türk Şirket için Yıllık Operasyonel AI Act Takvimi

Uyum bir defalık değil sürekli süreç. Türk şirketler için yıllık takvim:

Ocak. Yıllık AI envanteri güncellemesi. Yeni sistem eklendiyse risk sınıflandırma.

Şubat. Q4 önceki yılın post-market monitoring raporu. AI Office'e gerekli bildirimler.

Mart. KVKK Etken AI Rehberi yıllık inceleme + DPIA güncelleme.

Nisan. ISO 42001 yıllık gözetim denetimi.

Mayıs. Yıllık eğitim programı yenileme. Personele AI Act + KVKK güncel eğitim.

Haziran. Sub-processor envanteri ve DPA güncelleme.

Temmuz. Risk değerlendirmesi yarı-yıl güncellemesi.

Ağustos. 2 Ağustos yıldönümü — yıllık AI Act uyum durumu raporu.

Eylül. AB temsilcisi yıllık görüşme.

Ekim. Bias audit yıllık tam denetim.

Kasım. Notified body ile yıllık görüşme. Yenileme veya yeni denetim ihtiyacı kontrolü.

Aralık. Yönetim Kurulu Risk Komitesi yıllık özet sunum + bütçe planlaması.

12.1. Son Söz: Stratejik Bir Avantaj Olarak AI Act Uyumu

EU AI Act'a uyum sadece bir maliyet kalemi değil; stratejik bir rekabet avantajıdır. Uyumlu Türk şirketler:

1. AB pazarında diğer Türk rakiplerinin önünde konumlanır.
2. AB'deki büyük kurumsal müşterilerin (banka, devlet, üniversite) RFP süreçlerinde otomatik şortlistede yer alır.
3. Yatırımcılar nezdinde olgunluk göstergesi olarak değerlendirilir.
4. Marka değeri olarak "Trustworthy AI" konumlandırmasıyla pazarlama avantajı sağlar.
5. İç AI yönetişim kültürü oluşturarak gelecekteki regülasyonlara (Türk AI yasası dahil) hazır olur.

2 Ağustos 2026 ertelenebilir bir tarih değildir. Türk şirketlerinin şimdi başlaması, 2027-2028'de AB pazarındaki pozisyonlarını belirleyecek.

12.2. Ek Kaynak ve Topluluklar

Türk şirketler için AI Act uyumunda destek alabileceği topluluklar ve kaynaklar:

• TÜBİSAD Yapay Zeka Komisyonu. Türk bilişim derneği bünyesinde.
• TOBB Yapay Zeka Çalışma Grubu. Sektörel iş birliği.
• TÜRKAK akredite belgelendirme kuruluşları. ISO 42001 sertifikasyonu.
• KVKK Akademi. DPO ve compliance ekipleri için eğitim.
• IAPP Türkiye Şubesi. Uluslararası standartlar topluluğu.
• AB Komisyonu Türkiye Delegasyonu. AI Act yorumlamalı sorularda referans.

İş ortakları arasından Türkiye'de AI Act danışmanlık veren önde gelen kuruluşlar: KPMG Türkiye, PwC Türkiye, Deloitte Türkiye, EY Türkiye, BSI Türkiye, TÜV Türkiye, TÜV SÜD Türkiye ofisleri.

12.3. Türkiye'nin AB AI Act'a Karşı Stratejik Pozisyonu

Türkiye'nin AB ile gümrük birliği üye olduğu için AI Act bağlayıcılığı ekstraterritoryal olmanın ötesinde dolaylı olarak da uygulanır. Türkiye'nin AB AI Act'a karşı stratejik pozisyon noktaları:

1. Türk AI Yasası hazırlık. 2026 sonu itibariyle Türk AI Yasası taslağı AB AI Act'a büyük ölçüde uyumlu olarak hazırlanıyor.
2. TÜRKAK NANDO eşleştirmesi. Türk akreditasyon kuruluşu TÜRKAK'ın AB NANDO ile karşılıklı tanıma çalışmaları devam ediyor.
3. AB-Türkiye AI Diyalogu. TOBB ve Avrupa İşveren Konfederasyonu arasında düzenli toplantılar.
4. Sınıraşan Sandbox. Türk AI sistemlerinin AB'deki sandbox'larda test edilebilmesi için protokol çalışmaları.

Türk şirketlerin stratejik avantajı: erken uyum, Türkiye'nin AB pazarındaki konumunu güçlendirir ve gelecekteki Türk AI Yasası'na hazırlık sağlar.

Bu rehber yaşayan bir belgedir; EU AI Act ekosistemi (delegated acts, GPAI Code of Practice güncellemeleri, notified body akreditasyon) her çeyrek değiştiği için çeyreklik olarak güncellenmektedir.