İçeriğe geç

EU AI Act Ağustos 2026: Denetim Yetkileri Devrede, Digital Omnibus Ertelemesi

2 Ağustos 2026'da Komisyonun GPAI denetim yetkileri fiilen devreye giriyor; Digital Omnibus ise yüksek riskli sistemleri 2027'ye erteliyor. Türk şirketleri için ne değişiyor?

SYK
Şükrü Yusuf KAYA
AI Expert · Kurumsal AI Danışmanı

TL;DR — 2 Ağustos 2026, EU AI Act'in kağıt üstündeki kurallarını gerçek bir denetim rejimine çeviren tarih. Bu tarihten itibaren Avrupa Komisyonu, genel amaçlı yapay zeka (GPAI) modeli sağlayıcılarına karşı belge isteme, değerlendirme yapma, önlem talep etme ve para cezası kesme yetkilerini fiilen kullanmaya başlıyor. Aynı dönemde 7 Mayıs 2026'da uzlaşılan "Digital Omnibus" paketi, Ek III kapsamındaki yüksek riskli sistemler için beklenen 2 Ağustos 2026 son tarihini 2 Aralık 2027'ye erteliyor. Yani tablo ikili: GPAI cephesinde denetim sertleşiyor, yüksek riskli uygulama yükümlülüklerinde ise nefes alma payı doğuyor. Türkiye'den Avrupa'ya hizmet ve ürün satan herkes için bu, "yükümlülük yok" değil, "yükümlülüğün takvimi değişti" anlamına geliyor.

Neden bu tarih önemli, sahadan anlatayım

Son aylarda kurumsal danışmanlık görüşmelerimin neredeyse yarısı aynı cümleyle açıldı: "Hocam, biz EU AI Act'e tabi miyiz, değil miyiz?" Bu sorunun cevabı sandığınızdan daha sık "evet" çıkıyor. Çünkü regülasyon coğrafi sınırlara değil, sistemin nerede kullanıldığına ve çıktısının Avrupa pazarına dokunup dokunmadığına bakıyor. İstanbul'daki bir yazılım evi, Almanya'daki bir müşterisi için işe alım eleme aracı geliştiriyorsa; Bursa'daki bir üretici, Avrupa'ya sattığı makinede gömülü bir karar sistemi çalıştırıyorsa; bu regülasyonun kapsamındasınız demektir.

2 Ağustos 2026'yı özel kılan şey şu: GPAI kuralları aslında 2 Ağustos 2025'ten beri yürürlükteydi. Yani büyük dil modeli sağlayıcılarının teknik dokümantasyon tutma, aşağı akış (downstream) geliştiricilere bilgi verme, AB telif hukukuna uyum politikası benimseme ve eğitim verisine dair özet yayımlama yükümlülükleri bir yıldır kağıt üzerinde vardı. Eksik olan tek şey vardı: dişler. Komisyonun bu yükümlülükleri fiilen denetleyip yaptırım uygulama yetkisi 2 Ağustos 2026'da devreye giriyor. Bir kuralın var olmasıyla o kuralın arkasında ceza kesebilen bir otoritenin durması arasındaki fark, uyum bütçesi ayıran her yönetim kurulunun çok iyi bildiği bir farktır.

"

Regülasyonda "yükümlülük tarihi" ile "yaptırım tarihi" aynı şey değildir. Birincisi sizi kurala bağlar, ikincisi kuralı ihlal etmenin bedelini gerçek kılar. 2 Ağustos 2026 ikincisidir.

Komisyon 2 Ağustos 2026'da tam olarak neyi denetleyebilecek?

GPAI sağlayıcılarına karşı Komisyonun kazandığı yetkiler dört ana başlıkta toplanıyor. Bunları müşterilerime hep somut senaryolarla anlatıyorum, çünkü soyut kaldığında kimse ciddiye almıyor.

Birincisi, belge ve bilgi talep etme yetkisi. Komisyon bir modelin teknik dokümantasyonunu, eğitim sürecine dair kayıtlarını, güvenlik değerlendirmelerini isteyebilir. Bu, "gizli tarif" savunmasının artık her durumda geçerli olmadığı anlamına geliyor.

İkincisi, değerlendirme (evaluation) yapma yetkisi. Komisyon, sistemik risk taşıyan modeller için bağımsız değerlendirmeler yürütebilir; modelin gerçekten iddia edilen güvenlik önlemlerine sahip olup olmadığını test edebilir.

Üçüncüsü, önlem talep etme yetkisi. Bu, uyum önlemlerinden risk azaltmaya, pazar kısıtlamasına, geri çağırmaya ve piyasadan çekmeye kadar uzanan geniş bir yelpaze. Yani Komisyon bir modeli fiilen Avrupa pazarından çekilmeye zorlayabilir.

Dördüncüsü ve en çok konuşulanı, para cezası kesme yetkisi. GPAI ihlallerinde cezalar küresel yıllık cironun belirli bir yüzdesine kadar çıkabiliyor. Bir modelin geliştiricisi için bu, teorik bir risk değil, bilanço kalemi.

YetkiNe anlama geliyorPratik etki
Belge talebiTeknik dokümantasyon ve kayıtları isteme"Gizli" savunması zayıflar
DeğerlendirmeBağımsız güvenlik testiİddia edilen önlemler doğrulanır
Önlem talebiRisk azaltma, geri çağırma, çekmeModel pazardan çekilebilir
Para cezasıKüresel ciroya oranlı yaptırımBilanço riski oluşur

Digital Omnibus: erteleme neyi değiştiriyor?

Şimdi tablonun diğer yarısına geçelim, çünkü sadece sertleşen tarafı anlatmak eksik bir resim çizer. 7 Mayıs 2026'da uzlaşmaya varılan ve resmi kabul için bekleyen "Digital Omnibus" paketi, Ek III (Annex III) kapsamındaki yüksek riskli yapay zeka sistemleri için beklenen uyum son tarihini 2 Ağustos 2026'dan 2 Aralık 2027'ye erteledi.

Ek III neyi kapsıyor? İşe alım ve İK sistemleri, kredi skorlaması, eğitim ve sınav değerlendirmeleri, kritik altyapı yönetimi, kolluk kuvvetleri uygulamaları gibi "temel haklara doğrudan dokunan" kullanım alanlarını. Yani çoğu şirketin yapay zeka projesi tam da bu kategoriye giriyor. İşe alımda CV eleme kullanıyorsanız, müşteri kredisini algoritmayla puanlıyorsanız, bu erteleme sizin takviminizi doğrudan etkiliyor.

Erteleme neden yapıldı? Açık konuşalım: uyum altyapısı hazır değildi. Uyumlu harmonize standartlar, sınıflandırma rehberleri ve destek araçları gecikince, sektörden ve üye devletlerden "bu takvimle uyum imkânsız" baskısı geldi. Komisyon da yüksek riskli yükümlülüklerin fiilen uygulanmasını, altyapı olgunlaşana kadar öteledi.

"

Erteleme bir af değildir. "Daha az yapın" demiyor; "aynı şeyi daha hazır bir altyapıyla, biraz daha geç yapın" diyor. Bu farkı yönetim kuruluna doğru anlatmak, danışmanın en kritik işlerinden biri.

Sık yapılan üç yanlış yorum

Sahada en çok gördüğüm hatalar bunlar, ve her biri şirketlere pahalıya patlıyor.

"Erteleme oldu, artık acele etmemize gerek yok." Bu en tehlikeli yorum. Yüksek riskli sistemler için uyum, bir hafta sonunda halledilecek iş değil. Veri yönetişimi, risk yönetim sistemi, teknik dokümantasyon, insan gözetimi mekanizmaları, kayıt tutma altyapısı — bunların hepsi aylar süren çalışmalar. 2 Aralık 2027 uzak görünüyor ama uyum yolculuğu 18 ay sürüyorsa, bugün başlamak geç bile olabilir.

"Biz sadece modeli kullanıyoruz, geliştirmiyoruz, o yüzden sorumlu değiliz." Yanlış. Regülasyon "sağlayıcı" (provider) ve "kullanıcı/dağıtıcı" (deployer) rollerini ayrı tanımlıyor ve her birine ayrı yükümlülükler yüklüyor. Bir GPAI modelini alıp yüksek riskli bir uygulamada kullanıyorsanız, dağıtıcı olarak insan gözetimi, kullanım amacına uygunluk ve kayıt tutma yükümlülükleriniz var.

"Türkiye AB üyesi değil, bizi bağlamaz." Coğrafya değil, pazar belirleyici. Çıktınız Avrupa'da kullanılıyorsa kapsamdasınız. Üstelik Türkiye'nin kendi KVKK çerçevesi de otomatik karar verme ve profilleme konularında paralel yükümlülükler getiriyor; iki rejimi birlikte düşünmek gerekiyor.

Türkiye bağlamı: KVKK ile EU AI Act nasıl örtüşüyor?

KVKK'nın özellikle otomatik karar verme, profilleme ve açık rıza konularındaki hükümleri, EU AI Act'in şeffaflık ve insan gözetimi yükümlülükleriyle büyük ölçüde aynı mantığı paylaşıyor. Danışmanlıklarımda kurumlara hep şunu söylüyorum: İki ayrı uyum projesi yürütmeyin, tek bir yönetişim omurgası kurun, ikisini birden besleyin.

Pratikte bu şu demek: Bir kişisel veri işleme envanteri tutuyorsanız (ki KVKK zaten istiyor), aynı envanteri yapay zeka sistemleri için de risk sınıflandırma tablosuna bağlayın. Bir DPIA (veri koruma etki değerlendirmesi) şablonunuz varsa, ona AI Act'in temel hak etki değerlendirmesi (FRIA) alanlarını ekleyin. ISO 42001 (yapay zeka yönetim sistemi standardı) bu iki çerçeveyi tek çatı altında birleştirmek için iyi bir iskelet sunuyor.

Uygulamaya dönük yol haritası: bugün ne yapmalı?

Kurumlara verdiğim eylem planını dört fazda özetleyeyim.

Faz bir, envanter ve sınıflandırma. Önce şirketinizde çalışan tüm yapay zeka sistemlerini listeleyin — resmi olanları da, birimlerin sessizce kullandığı gölge YZ araçlarını da. Her sistemi risk kategorisine yerleştirin: yasak, yüksek riskli, sınırlı riskli, minimal riskli. Bu envanter olmadan hiçbir uyum çalışması anlamlı olmaz, çünkü neyi koruduğunuzu bilmiyorsanız koruyamazsınız.

Faz iki, rol netleştirme. Her sistem için sağlayıcı mısınız, dağıtıcı mı, ithalatçı mı olduğunuzu belirleyin. Rol, yükümlülüğü belirler. Çoğu Türk şirketi hem GPAI modeli tüketen dağıtıcı hem de kendi ürününü Avrupa'ya satan sağlayıcı konumunda; bu ikili rol iyi yönetilmeli.

Faz üç, dokümantasyon ve teknik altyapı. Teknik dokümantasyon şablonları, model kartları, veri yönetişim kayıtları, risk yönetim sistemi ve insan gözetimi prosedürleri. Bu faz en uzun süreni; erteleme size tam da bu fazı sağlıklı kurmak için zaman kazandırdı.

Faz dört, izleme ve tazeleme. Regülasyon canlı bir hedef. Digital Omnibus'un kendisi bunun kanıtı: takvimler değişiyor, standartlar olgunlaşıyor, rehberler yayımlanıyor. Uyum bir kerelik proje değil, sürekli bir işletim disiplini.

"

Uyumu bir "compliance projesi" olarak görürseniz biter ve unutulur. Bir "işletim disiplini" olarak görürseniz kurumsallaşır ve rekabet avantajına dönüşür. Avrupa'ya güvenle ürün satan Türk şirketi, uyumu bir maliyet değil, bir kapı olarak kullanır.

GPAI sağlayıcısı olmayan şirketler için asıl mesaj

Çoğu Türk şirketi kendi temel modelini eğitmiyor. Bu yüzden "GPAI denetimi bizi ilgilendirmez" diye düşünmek cazip. Ama işin özü şu: Siz bir GPAI modelinin üzerine uygulama kuruyorsanız, o modelin sağlayıcısının Komisyona sunduğu dokümantasyona ve şeffaflık bilgilerine bağımlısınız. 2 Ağustos 2026 sonrası sağlayıcılar daha titiz dokümantasyon üretmek zorunda kalacak; bu da sizin kendi uyum dosyanızı beslemenizi kolaylaştıracak. Sağlayıcınızdan model kartı, kullanım kısıtları ve güvenlik değerlendirmesi bilgilerini talep etmeyi bugünden alışkanlık haline getirin.

Ayrıca sözleşmelerinize dikkat edin. GPAI sağlayıcınızla imzaladığınız hizmet sözleşmesinde, onların size regülasyon uyumu için gerekli bilgileri sağlama taahhüdü var mı? Yoksa, bir sonraki yenilemede eklenmesini isteyin. Uyum tedarik zincirinin en zayıf halkası kadar güçlüdür; sizin dosyanız, tedarikçinizin şeffaflığına dayanır.

Rakamlarla neden aciliyet var?

Sadece EU AI Act değil, genel yapay zeka yönetişimi ortamı da sertleşiyor. Sektör analizleri, yeterli risk korkuluğu (guardrail) kurulmadığı için 2026 sonuna kadar yapay zeka ile ilgili hukuki taleplerin 2.000'i aşacağını öngörüyor. Bu, yönetişim boşluğunun soyut bir risk değil, ölçülebilir bir dava dalgasına dönüştüğünü gösteriyor. Erteleme size zaman verdi; ama bu zamanı beklemeye değil, hazırlanmaya harcamanız gerekiyor.

Şirketlerin çoğu için asıl darboğaz teknoloji değil, süreç. Kim sorumlu, hangi sistem hangi kategoride, dokümantasyonu kim tutuyor, bir denetim geldiğinde 48 saat içinde hangi dosyayı sunacaksınız? Bu sorulara bugün cevabınız yoksa, 2 Aralık 2027 aslında hiç de uzak değil.

Cezaların büyüklüğü: neden yönetim kurulu bu işe girmeli?

Regülasyon uyumunu teknik ekibe havale etmek, gördüğüm en yaygın stratejik hata. EU AI Act'teki ceza mimarisi tam olarak bu yüzden yönetim kurulu meselesi. En ağır ihlaller — örneğin yasak uygulamaların kullanımı — küresel yıllık cironun yüzde 7'sine kadar cezalarla karşılanabiliyor. Yüksek riskli sistem yükümlülüklerinin ihlali daha düşük ama yine de bilanço sarsıcı oranlarda. GPAI özelinde ise Komisyonun kesebileceği cezalar küresel cironun belirli bir yüzdesine kadar çıkıyor.

Bu rakamlar niye önemli? Çünkü bir uyum yatırımının maliyetiyle karşılaştırıldığında, cezanın büyüklüğü kararı kolaylaştırıyor. Bir orta ölçekli şirkette yüksek riskli bir sistemin tam uyum maliyeti — dokümantasyon, risk yönetim sistemi, insan gözetimi, denetim — genellikle altı haneli bir rakam. Ceza ise yedi ya da sekiz haneli olabiliyor. Yönetim kuruluna bu karşılaştırmayı net gösterdiğinizde, uyum bütçesi tartışması saniyeler içinde bitiyor.

"

Uyum bir maliyet merkezi değil, bir sigorta poliçesidir. Primi bugün ödemezseniz, hasarı yarın çok daha pahalıya ödersiniz.

Sistemik risk taşıyan modeller ve uygulama kuralları

GPAI dünyasında iki katman var. Sıradan GPAI modelleri ve "sistemik risk taşıyan" GPAI modelleri. İkinci kategori, belirli bir hesaplama eşiğinin üzerinde eğitilen, yani en büyük ve en yetenekli modelleri kapsıyor. Bu modeller için ek yükümlülükler var: sistemik risk değerlendirmesi ve azaltımı, çekişmeli (adversarial) test, ciddi olay bildirimi, siber güvenlik önlemleri.

Komisyon, bu yükümlülüklerin nasıl yerine getirileceğini somutlaştırmak için bir Uygulama Kuralları (Code of Practice) süreci yürüttü. Bu kurallar, sağlayıcıların uyumu pratikte nasıl gösterebileceğine dair bir yol haritası sunuyor. Türk şirketleri için buradaki asıl mesaj şu: Kendi modelinizi eğitmeseniz de, kullandığınız modelin bu kategoriye girip girmediğini bilmeniz gerekiyor. Çünkü sistemik risk taşıyan bir modelin üzerine uygulama kuruyorsanız, o modelin taşıdığı risklerin bir kısmı sizin uygulamanıza da yansıyor.

Sektör sektör ne değişiyor?

Danışmanlıklarımda soyut regülasyon dilini sektöre çevirmek en çok işe yarayan şey oluyor. Kısaca gezelim.

Bankacılık ve finansta kredi skorlama ve dolandırıcılık tespiti sistemleri Ek III kapsamında yüksek riskli. Türkiye'de bunlara BDDK'nın kendi düzenlemeleri de ekleniyor; iki katmanlı bir uyum söz konusu. Avrupa'da faaliyet gösteren ya da Avrupalı müşteriye hizmet veren finans kuruluşları için erteleme nefes aldırıcı ama kredi kararı veren her algoritmanın açıklanabilir, denetlenebilir ve insan gözetimine tabi olması gerekiyor.

Sağlıkta tanı destek, hasta triyajı ve tıbbi cihaz yazılımları hem EU AI Act hem de tıbbi cihaz regülasyonlarının kesişiminde. Buradaki uyum çift yönlü ve en titiz olması gereken alan; çünkü hem temel haklar hem de doğrudan hasta güvenliği söz konusu.

İnsan kaynaklarında CV eleme, aday sıralama ve performans değerlendirme sistemleri klasik yüksek riskli örnekler. Çok sayıda Türk şirketi Avrupa'daki iştirakleri ya da uzaktan çalışan havuzları için bu araçları kullanıyor ve çoğu bunun regülasyon kapsamına girdiğinin farkında bile değil.

Üretim ve sanayide makinelere gömülü karar sistemleri, kalite kontrol yapay zekası ve öngörücü bakım araçları söz konusu. Avrupa'ya makine ihraç eden Türk üreticileri için bu, ürün güvenliği regülasyonlarıyla iç içe geçen bir alan.

SektörTipik yüksek riskli sistemTürkiye'de ek katman
BankacılıkKredi skorlama, dolandırıcılıkBDDK düzenlemeleri
SağlıkTanı destek, triyajTıbbi cihaz mevzuatı
İKCV eleme, aday sıralamaKVKK profilleme
ÜretimGömülü karar sistemleriÜrün güvenliği

Yönetişim yapısını kurmak: kim sorumlu?

Bir uyum çalışmasının başarısını belirleyen en önemli şey, teknik detaylar değil, sorumluluğun net olması. Sahada gördüğüm en sağlıklı yapı şu: Bir "yapay zeka yönetişim komitesi" kurun. Bu komitede hukuk, bilgi güvenliği, veri koruma (DPO), iş birimi temsilcisi ve teknik lider birlikte otursun. Her yapay zeka sisteminin bir "sahibi" olsun — o sistemin risk kategorisinden, dokümantasyonundan ve uyumundan sorumlu tek bir isim.

Bu yapı olmadan uyum havada kalır. "Herkesin işi, kimsenin işi değildir" ilkesi burada acımasızca işliyor. Bir denetim geldiğinde "bu sistemden kim sorumlu?" sorusuna anında cevap veremiyorsanız, uyumunuz kağıt üzerinde kalmış demektir. Ben kurumlara hep şunu söylüyorum: Yönetişim, dokümantasyondan önce gelir. Önce kimin neyden sorumlu olduğunu netleştirin, sonra dokümanları o sorumlular üretsin.

Sözleşme ve tedarik zinciri yönetimini derinleştirmek

Yukarıda kısaca değindim ama bu konu ayrı bir başlığı hak ediyor, çünkü Türk şirketlerinin en zayıf olduğu alan burası. Yapay zeka tedarik zincirinizde en az üç taraf var: temel model sağlayıcısı, aracı platform/araç sağlayıcıları, ve sizin kendi geliştirmeniz. Bu zincirin her halkasında uyum bilgisinin akması gerekiyor.

Sözleşmelerinizde şu maddeleri arayın ya da ekletin: Sağlayıcı, regülasyon uyumu için gerekli teknik dokümantasyonu ve model bilgilerini sağlamayı taahhüt ediyor mu? Model önemli ölçüde değiştiğinde ya da yeni bir sürüme geçtiğinde size bildirim yapıyor mu? Bir ciddi olay durumunda bilgilendirme yükümlülüğü var mı? Bu maddeler olmadan, sizin uyum dosyanız her an tedarikçinizin sessizliğiyle çökebilir.

Ayrıca "kullanım amacı" (intended purpose) tanımına dikkat edin. Sağlayıcı modeli belirli bir kullanım için sertifikalamış olabilir; siz onu bambaşka bir yüksek riskli bağlamda kullanırsanız, regülasyon gözünde siz o sistemin yeni "sağlayıcısı" konumuna geçebilirsiniz ve tüm yükümlülükler sizin omzunuza biner. Bu, birçok şirketin farkında olmadan üstlendiği gizli bir risk.

Nereden başlamalı — somut ilk adım

Eğer bu yazıyı okuduktan sonra tek bir şey yapacaksanız, şu olsun: Önümüzdeki iki hafta içinde şirketinizdeki yapay zeka sistemlerinin bir envanterini çıkarın ve her birini risk kategorisine yerleştirin. Bu envanteri bir Excel tablosu kadar basit tutabilirsiniz — sistem adı, kullanım amacı, işlenen veri türü, risk kategorisi, sorumlu birim. Bu tablo, hem KVKK hem EU AI Act uyumunuzun ortak omurgası olacak. Denetim geldiğinde ilk sorulacak şey de tam olarak bu envanter olacak. Hazırlıklı olmanın en ucuz yolu, en erken başlamaktır; ve erteleme size tam olarak bu erken başlangıç için bir hediye penceresi açtı.

Denetime hazır olmanın 90 günlük pratik planı

Danışmanlıklarımda soyut tavsiyelerin işe yaramadığını, insanların takvimli ve somut planlara ihtiyaç duyduğunu gördüm. O yüzden kurumlara verdiğim 90 günlük planı paylaşayım. İlk 30 günde envanteri çıkarın ve rolleri netleştirin; bu ayın çıktısı, her yapay zeka sistemini risk kategorisine ve bir sorumluya bağlayan tek bir tablodur. İkinci 30 günde yüksek riskli olarak işaretlediğiniz sistemler için boşluk analizi yapın: mevcut dokümantasyonunuz nerede eksik, insan gözetimi mekanizmanız var mı, kayıtları kim tutuyor? Üçüncü 30 günde bu boşlukları kapatmaya başlayın ve bir "denetim tatbikatı" yapın — yani birine "yarın Komisyon geldi, X sistemi için dosyayı 48 saatte hazırla" deyin ve gerçekten hazırlayabiliyor musunuz görün.

Bu tatbikat, kağıt üzerindeki uyumla gerçek uyum arasındaki farkı acımasızca ortaya koyar. Çoğu şirkette ilk tatbikat felaketle sonuçlanır: dokümanlar dağınık, sorumlu belirsiz, kayıtlar eksik. İyi haber şu ki, bunu bir denetim gelmeden önce, kendi kontrollü ortamınızda keşfetmek çok daha ucuz. Ben buna "regülasyonun yangın tatbikatı" diyorum; gerçek yangında ne yapacağınızı öğrenmenin en güvenli yolu.

Son bir hatırlatma: Bu plan bir kere yapılıp bitirilecek bir şey değil. Digital Omnibus'un takvimleri değiştirmesi bile gösteriyor ki regülasyon canlı. Bu yüzden envanterinizi çeyreklik gözden geçirin, yeni yapay zeka sistemleri eklendikçe tabloya işleyin, ve sorumluları güncel tutun. Uyum bir kas gibidir; düzenli çalıştırmazsanız erir. Avrupa pazarına güvenle satış yapmak isteyen her Türk şirketi için bu disiplin, artık bir tercih değil, bir işletim gerekliliği.

En sık sorulan sorular ve kısa cevaplar

Danışmanlık oturumlarımın sonunda hep aynı sorular geliyor; en yaygın olanlarını kısa cevaplarıyla toparlayayım, çünkü bu sorular muhtemelen sizin de aklınızdadır.

"Biz küçük bir şirketiz, bu regülasyon büyük teknoloji devleri için değil mi?" Hayır. Regülasyon şirket büyüklüğüne değil, sistemin risk kategorisine ve pazara bakıyor. Beş kişilik bir yazılım firması bile, Avrupa'ya işe alım eleme aracı satıyorsa yüksek riskli sağlayıcı konumunda olabilir. Küçük olmak sizi kapsam dışında bırakmıyor; sadece uyum yükünü orantılı hale getiren bazı esneklikler olabiliyor.

"ChatGPT ya da benzeri bir aracı sadece iç verimlilik için kullanıyoruz, bu da mı kapsamda?" Genel amaçlı bir asistanı iç yazışma, özet çıkarma gibi düşük riskli işlerde kullanmak, yüksek riskli kategoriye girmez. Ama aynı aracı bir işe alım kararında, bir kredi değerlendirmesinde ya da bir müşteriye doğrudan tıbbi/hukuki tavsiye vermede kullanırsanız, tablo değişir. Kritik olan araç değil, kullanım amacı ve kararın kime dokunduğu.

"Uyum için hemen pahalı bir danışmanlık almak zorunda mıyım?" Hayır. İlk adımlar — envanter, risk sınıflandırma, rol tespiti — büyük ölçüde iç kaynakla yapılabilir. Dışarıdan destek, boşluk analizi ve yüksek riskli sistemlerin dokümantasyonu gibi teknik derinlik gerektiren aşamalarda değer katıyor. Önce kendi evinizi tanıyın, sonra uzman çağırın; tersi hem pahalı hem verimsiz olur.

"Model sağlayıcım zaten uyumluysa, ben otomatik uyumlu olur muyum?" Kesinlikle hayır. Sağlayıcının uyumu, modelin kendisiyle ilgili yükümlülükleri kapsar. Sizin dağıtıcı olarak yükümlülükleriniz — insan gözetimi, kullanım amacına uygunluk, kayıt tutma, kullanıcıları bilgilendirme — ayrıdır ve size aittir. Uyum zincirleme bir sorumluluktur; her halka kendi kısmından sorumludur.

Bu soruların ortak dersi şu: EU AI Act'i "bizi ilgilendirmez" diye bir kenara atmak, çoğu Türk şirketi için yanlış bir refleks. Doğru refleks, "hangi sistemim, hangi kategoride, kimin sorumluluğunda?" sorusunu bugün sormak. Bu üç kelimelik soru, koca bir uyum programının başlangıç noktasıdır ve cevabını bulmak için ne pahalı bir yazılıma ne de bir orduya ihtiyacınız var; sadece dürüst bir envantere ve net bir sorumluluk dağılımına ihtiyacınız var.

Uyumu rekabet avantajına çevirmek

Şimdiye kadar hep yükümlülükten, cezadan, riskten konuştuk. Ama madalyonun bir de parlak yüzü var ve ben danışmanlıklarımda hep bu tarafı öne çıkarmayı seviyorum. EU AI Act uyumu, doğru konumlandırıldığında bir maliyet değil, bir satış argümanı olabilir. Düşünün: Avrupalı bir müşteri, yapay zeka içeren bir çözüm satın alırken en çok neyden korkuyor? Kendi başına regülasyon riski üstlenmekten. Siz "biz zaten AI Act uyumluyuz, dokümantasyonumuz hazır, size gerekli tüm bilgileri sağlarız" diyebiliyorsanız, rakiplerinizin önüne geçersiniz. Uyum, tedarikçi seçiminde bir ayrıştırıcıya dönüşür.

Bunu somut gördüğüm birçok örnek var. Avrupa'ya yazılım satan Türk şirketleri, ihale ve tedarikçi değerlendirme süreçlerinde giderek daha sık "yapay zeka yönetişimi belgeleriniz var mı?" sorusuyla karşılaşıyor. Bu soruya hazırlıklı gelen, model kartlarını, risk değerlendirmelerini ve uyum dokümantasyonunu masaya koyabilen şirketler işi alıyor; "biz ona henüz bakmadık" diyenler eleniyor. Yani uyum, bir gün gelecek bir denetimden korunmak kadar, bugün bir sözleşmeyi kazanmakla da ilgili.

Ayrıca uyum disiplini, iç kaliteyi de yükseltiyor. Bir yapay zeka sistemini belgelemeye, risklerini haritalamaya, insan gözetimi kurmaya zorlandığınızda, aslında daha iyi bir sistem inşa etmiş oluyorsunuz. Regülasyonun istediği şeylerin çoğu — açıklanabilirlik, izlenebilirlik, veri kalitesi, hata yönetimi — zaten iyi mühendisliğin gereği. Uyumu bir bürokratik yük değil, mühendislik disiplininin bir dışavurumu olarak görürseniz, hem regülatöre hem müşteriye hem de kendi ekibinize karşı daha sağlam bir konumda olursunuz. İşte bu yüzden ben uyumu hiçbir zaman "zorunlu kötü" olarak sunmam; doğru yapıldığında, hem kapıyı hem de anahtarı elinde tutan taraf olursunuz.

Danismanlik Baglantilari

Bu yazıya en yakın consulting sayfaları

Bu içerikten sonraki mantıklı adım için en ilgili solution, role ve industry landing'lerini burada görebilirsin.

Yorumlar

Yorumlar

Bağlantılı Pillar Konular

Bu yazının bağlandığı pillar konular