İçeriğe geç

EU AI Act ve Digital Omnibus: Yüksek Riskli Sistemlerde Erteleme ve GPAI Yaptırımları (Temmuz 2026)

Digital Omnibus ile yüksek riskli AI yükümlülükleri Aralık 2027'ye ertelendi, ama GPAI yaptırımları 2 Ağustos 2026'da başlıyor. Türk şirketleri için ne değişti?

SYK
Şükrü Yusuf KAYA
AI Expert · Kurumsal AI Danışmanı

TL;DR — Digital Omnibus adı verilen düzenleme paketiyle birlikte EU AI Act'in en çok korkulan başlığı olan yüksek riskli sistem yükümlülükleri 2 Ağustos 2026'dan 2 Aralık 2027'ye ertelendi. Ancak bu "rahatlama" birçok kişinin sandığı gibi genel bir mühlet değil. Genel amaçlı yapay zeka modellerine (GPAI) ilişkin yükümlülükler zaten 2 Ağustos 2025'ten beri yürürlükte ve Avrupa Komisyonu'nun bunları fiilen uygulama, para cezası kesme yetkisi 2 Ağustos 2026'da devreye giriyor. Şeffaflık kuralları da aynı tarihte başlıyor. Türkiye'den AB'ye ürün ya da hizmet satan şirketler için tablo net: yüksek risk için nefes alacak vakit var ama GPAI ve şeffaflık için yok. Üstelik KVKK tarafında sınır ötesi veri aktarımı riski bütün bu takvimden bağımsız olarak sizi çoktan ilgilendiriyor. Bu yazıda neyin ertelendiğini, neyin ertelenmediğini ve önümüzdeki aylarda somut olarak ne yapmanız gerektiğini sahadan gözlemlerimle anlatıyorum.

Son birkaç haftada sahada en çok karşılaştığım cümle şu oldu: "Şükrü Bey, madem AI Act ertelendi, biz de projeyi bir yıl rafa kaldıralım." Bu cümleyi her duyduğumda içim biraz sızlıyor, çünkü bu, bir yarı okunmuş haber başlığının koca bir kurumsal kararı nasıl yanlış yönlendirebileceğinin tipik örneği. Ertelenen şey çok spesifik. Ertelenmeyen şeyler ise tam da birçok Türk şirketinin bugün fiilen kullandığı sistemleri kapsıyor. Gelin bu ayrımı en baştan, sakin sakin kuralım.

Digital Omnibus tam olarak neyi değiştirdi?

Önce şunu netleştireyim. EU AI Act, Avrupa Birliği'nin yapay zekayı yatay olarak, yani sektör bağımsız biçimde düzenleyen ilk büyük çerçeve kanunu. Kademeli bir yürürlük takvimiyle geliyor: yasak uygulamalar en erken, sonra GPAI, sonra yüksek riskli sistemler devreye giriyor. Metnin tam olarak uygulanır hale gelmesi için hedeflenen tarih 2 Ağustos 2026'ydı, birtakım istisnalarla birlikte.

2026 baharında AB kurumları arasında "Digital Omnibus" olarak anılan bir düzenleme paketi üzerinde uzlaşıya varıldı. Bu paketin kamuoyuna yansıyan geçici mutabakatı 7 Mayıs 2026 tarihinde açıklandı. Buradaki en kritik değişiklik şu: Annex III kapsamındaki yüksek riskli sistemler için uyum tarihi 2 Ağustos 2026'dan 2 Aralık 2027'ye ertelendi. Yani şirketlerin en çok yükümlülük, en çok belge, en çok teknik dosya üretmesini gerektiren kategori için takvim yaklaşık on altı ay ileriye alındı.

Ama burada iki ince ayrıntı var ve ben bunları atlayan hiçbir yorumu ciddiye almanızı önermiyorum:

  1. Annex I kapsamındaki düzenlenmiş ürünlere gömülü yapay zeka — yani tıbbi cihazlar, makineler, araçlar gibi zaten kendi sektörel mevzuatına tabi ürünlerin içindeki AI — için uyum tarihi 2 Ağustos 2028. Bu ayrı bir çizgi ve karıştırılmaması gerekiyor.
  2. Geçici mutabakat henüz nihai değil. Paketin tam hukuki etki doğurması için resmi olarak kabul edilmesi ve Avrupa Birliği Resmî Gazetesi'nde (Official Journal) yayımlanması gerekiyor. Yani bugün elimizde güçlü bir siyasi yön var ama son noktası konmuş bir metin yok. Planlamanızı buna göre, biraz esneklik payı bırakarak yapmalısınız.
"

Ertelemeyi bir "af" gibi değil, bir "hazırlık penceresi" gibi okumanızı öneriyorum. On altı ay, teknik dokümantasyonu, risk yönetim sistemini ve insan gözetimi süreçlerini oturtmak için cömert değil; tam da yeterli bir süre.

Ertelenmeyen ne var? Asıl mesele burada

Şimdi haberlerin çoğunun görmezden geldiği kısma geliyoruz. Digital Omnibus yüksek risk takvimini öteledi, ama şu üç başlık masada duruyor ve bunlardan ikisi doğrudan 2026 yazına işaret ediyor:

Birincisi, GPAI yani genel amaçlı yapay zeka modelleri. Bunlara ilişkin yükümlülükler 2 Ağustos 2025'ten beri yürürlükte. Yani bir yıldan uzun süredir teknik olarak geçerli. Değişen şey uygulama tarafı: 2 Ağustos 2026'dan itibaren Avrupa Komisyonu'nun yaptırım yetkileri devreye giriyor. Komisyon, GPAI yükümlülüklerini fiilen uygulayacak, gerektiğinde para cezası kesecek. Yani "kural vardı ama denetleyen yoktu" dönemi bitiyor.

İkincisi, şeffaflık kuralları. AI Act'in şeffaflıkla ilgili hükümleri Ağustos 2026'da yürürlüğe giriyor. Bu, bir kullanıcının bir yapay zeka ile etkileşimde olduğunu bilmesi, sentetik içeriğin (deepfake, AI ile üretilmiş görsel/metin) etiketlenmesi gibi görünürde basit ama pratikte pek çok müşteri hizmetleri botunu, pazarlama içeriğini ve chatbot arayüzünü ilgilendiren bir başlık.

Üçüncüsü, halihazırda piyasadaki GPAI modelleri için uyum. 2 Ağustos 2025'ten önce piyasaya sürülmüş GPAI modellerinin sağlayıcıları için son uyum tarihi 2 Ağustos 2027. Yani "eski" modeller için de bir kapanış tarihi var; süresiz bir muafiyet söz konusu değil.

Bu üçlüyü bir arada okuyunca ortaya çıkan resim şu: Eğer işiniz ağırlıklı olarak hazır büyük dil modelleri üzerine kurulu bir uygulama geliştirmekse — ki Türkiye'deki şirketlerin ezici çoğunluğu tam olarak bunu yapıyor — sizi ilgilendiren esas tarih 2 Aralık 2027 değil, 2 Ağustos 2026.

Düzeltilmiş takvim: tek bakışta

Aşağıdaki tabloyu, kafanızdaki karışıklığı gidermek için bir referans olarak tutmanızı öneriyorum. Tarihleri ezberlemeye çalışmayın; hangi kategoride olduğunuzu belirleyip ilgili satıra odaklanın.

TarihNe oluyor?Kimi ilgilendiriyor?
2 Ağustos 2025GPAI (genel amaçlı model) yükümlülükleri yürürlüğe girdiModel sağlayıcıları; dolaylı olarak model kullananlar
2 Ağustos 2026Komisyon'un yaptırım yetkileri başlıyor; GPAI cezaları uygulanabilir; şeffaflık kuralları yürürlükteGPAI sağlayıcıları, chatbot/asistan geliştirenler, sentetik içerik üretenler
2 Ağustos 20272 Ağustos 2025 öncesi piyasaya sürülmüş GPAI modelleri uyumlu olmalı"Eski" model sağlayıcıları
2 Aralık 2027Annex III yüksek riskli sistem yükümlülükleri (ertelenmiş tarih)Yüksek riskli AI geliştiren/kullanan şirketler
2 Ağustos 2028Annex I düzenlenmiş ürünlere gömülü AI uyumuTıbbi cihaz, makine, araç üreticileri

Bu tabloya bakınca çoğu yöneticinin gözünden kaçan şey şu: 2026 ve 2027 arasında "hiçbir şey olmuyor" değil. Aksine, 2 Ağustos 2026 pek çok pratik uygulama için asıl milat.

"Yüksek riskli" ve "GPAI" pratikte ne demek?

Bu iki terim sahada en çok yanlış anlaşılan iki kavram. Hukuki metnin diliyle değil, sizin işinizin diliyle anlatmaya çalışayım.

Yüksek riskli sistemler

AI Act, belirli kullanım alanlarını doğaları gereği yüksek riskli sayıyor. Annex III listesi bunları sıralıyor. Pratikte en çok karşılaştığımız örnekler şunlar:

  • İşe alım ve İK: CV eleyen, aday sıralayan, performans değerlendiren sistemler. Türkiye'de büyüyen bir şirketin İK ekibinin kullandığı otomatik aday tarama aracı, AB'deki bir iştirak ya da müşteri için çalışıyorsa bu kapsama girebilir.
  • Kredi ve finansal skorlama: Bireylerin kredi değerliliğini belirleyen sistemler.
  • Eğitim: Sınav değerlendiren, öğrenci kabulü belirleyen araçlar.
  • Kritik altyapı, biyometrik tanımlama, kolluk, göç gibi kamusal ağırlıklı alanlar.

Yüksek riskli sayılıyorsanız, sizden istenen şey ciddi: risk yönetim sistemi, veri yönetişimi, teknik dokümantasyon, kayıt tutma (logging), insan gözetimi, doğruluk ve siber güvenlik, uygunluk değerlendirmesi. İşte 2 Aralık 2027'ye ertelenen tam da bu ağır paket.

GPAI: genel amaçlı yapay zeka modelleri

GPAI, belirli bir göreve değil, çok çeşitli görevlere uyarlanabilen büyük modelleri kastediyor — bugün hepimizin bildiği büyük dil modelleri bunun tipik örneği. Burada iki farklı rol var ve bunları karıştırmamak hayati:

  • Model sağlayıcısı iseniz (kendi temel modelinizi eğitip piyasaya sürüyorsanız) doğrudan GPAI yükümlülükleri sizin üzerinizde: teknik dokümantasyon, telif hakkı politikası, eğitim verisi hakkında özet yayımlama gibi.
  • Model kullanıcısı / uygulama geliştiricisi iseniz (hazır bir modelin API'sini alıp üzerine kendi ürününüzü kuruyorsanız) doğrudan GPAI sağlayıcısı yükümlülükleri sizde değil, ama sağlayıcının size verdiği dokümantasyona bağımlısınız ve kendi uygulamanız şeffaflık ya da yüksek risk kapsamına girebilir.
"

Türkiye'deki tipik senaryo şu: Şirket bir ABD merkezli modelin API'sini kullanıyor, üzerine bir müşteri hizmetleri asistanı ya da doküman özetleyici kuruyor. Bu şirket "model sağlayıcısı" değil ama şeffaflık yükümlülüğüyle (kullanıcı bir yapay zekayla konuştuğunu bilmeli) ve eğer kullanım alanı Annex III'e giriyorsa yüksek risk yükümlülükleriyle karşılaşabilir.

Türkiye'deki şirketleri neden ilgilendiriyor? Ekstraterritoryal etki

Burada çok net olmak istiyorum, çünkü "biz Türk şirketiyiz, AB kanunu bizi bağlamaz" düşüncesi sahada gördüğüm en pahalı yanılgılardan biri. AI Act, tıpkı GDPR gibi, ekstraterritoryal, yani ülke sınırları dışına taşan bir etkiye sahip. Basitçe: nerede kurulu olduğunuz değil, çıktınızın AB'de kullanılıp kullanılmadığı belirleyici.

Somutlaştıralım. Aşağıdaki durumların herhangi birindeyseniz AI Act sizi ilgilendiriyor:

  • AB'deki müşterilere ya da kullanıcılara yönelik bir yapay zeka özellikli ürün/hizmet sunuyorsanız.
  • Sisteminizin çıktısı AB içinde kullanılıyorsa (örneğin AB'deki bir iştirakiniz, bayiiniz ya da müşteriniz sizin AI çıktınızı işine katıyorsa).
  • AB'li bir şirketin tedarik zincirinde AI bileşeni sağlıyorsanız — ki ihracatçı Türk şirketleri için en yaygın durum bu.

Türkiye ekonomisinin AB ile ne kadar iç içe olduğunu düşünürsek, bu kapsamın ne kadar geniş olduğu ortaya çıkıyor. Otomotiv yan sanayi, tekstil, makine, yazılım hizmet ihracatı, çağrı merkezi ve BPO hizmetleri... Bu sektörlerin hemen hepsinde bugün bir yapay zeka bileşeni ya var ya da yolda. AB'ye ürün ya da hizmet satan bir Türk şirketiyseniz, AI Act sizin için "uzaktaki bir Avrupa meselesi" değil, sözleşmelerinize yakın zamanda girecek bir uyum şartı.

KVKK boyutu: erteleme sizi buradan kurtarmıyor

Şimdi sık atlanan ama benim danışmanlıklarımda ısrarla altını çizdiğim bir noktaya geliyorum. AI Act takvimi ne olursa olsun, Türkiye'de faaliyet gösteriyorsanız KVKK zaten bugün sizi bağlıyor ve yapay zeka kullanımınız doğrudan KVKK kapsamına giriyor.

KVKK, Kasım 2025'te "Üretken Yapay Zeka ve Kişisel Verilerin Korunması Rehberi (15 Soru)" başlıklı bir doküman yayımladı. Bu rehber, üretken yapay zeka kullanan kurumların en çok sorduğu pratik soruları ele alıyor ve sahada net bir yön çiziyor. Buradaki en kritik mesajlardan biri şu: Türkiye dışında barındırılan (hosted) bir yapay zeka sistemini kullanmak, KVKK açısından yurt dışına veri aktarımı sayılabilir.

Bunun ne anlama geldiğini açayım. Diyelim ki bir çalışanınız, içinde müşteri isimleri, sözleşme detayları ya da kişisel veri barındıran bir metni yurt dışında sunucusu olan bir yapay zeka aracına yapıştırıp özet istiyor. Bu masum görünen işlem, KVKK'nın yurt dışına veri aktarımı rejimi altında değerlendirilebilir ve uygun bir hukuki dayanak (açık rıza, uygun güvenceler, istisna koşulları) yoksa ihlal doğurabilir.

2026 yılı için KVKK'nın idari para cezası aralığı da azımsanacak gibi değil: yaklaşık 85.437 TL ile 17.092.242 TL arasında. Yani AI Act henüz yaptırım aşamasına gelmeden çok önce, KVKK tarafında bugün fiilen maruz olduğunuz bir risk var.

"

Uygulamada gördüğüm en yaygın hata şu: Şirketler AI Act'in ertelenmesini duyunca tüm yapay zeka uyum çalışmalarını dondurdu. Oysa KVKK riski hiç ertelenmedi. AB tarafı size 2027'yi verse bile, KVKK size 2026'yı bile vermiyor — o an geçerli.

Bu yüzden ben iki cepheyi birbirinden ayırmayı öneriyorum. Bir cephe AI Act uyumu (AB odaklı, kademeli takvim), diğer cephe KVKK uyumu (Türkiye odaklı, bugün geçerli). İkisini tek bir "AI mevzuatı" torbasına koyup ertelemek, KVKK riskini görünmez kılıyor.

Sektörel örnekler: bu takvim sizin işinizde neye benziyor?

Soyut kalmasın diye, sahada en çok çalıştığım birkaç sektör üzerinden aynı takvimi somutlaştırayım. Amacım, kendi işinizi bu örneklerden birine benzetip nereye oturduğunuzu görmeniz.

Otomotiv yan sanayi. Diyelim ki AB'deki bir ana sanayi (OEM) için parça üretiyorsunuz ve üretim hattınızda kalite kontrolü yapan bir görüntü işleme yapay zekası var. Bu sistem şu an büyük ihtimalle yüksek risk kapsamında değil, ama OEM müşteriniz tedarik sözleşmesine AI uyum maddeleri eklediğinde sizden dokümantasyon isteyecek. Üstelik parça bir aracın güvenlik fonksiyonuna gömülüyse, Annex I üzerinden 2 Ağustos 2028 çizgisi devreye girebilir. Burada asıl acil olan sözleşmesel hazırlık.

Yazılım ve SaaS ihracatı. AB'li müşterilere bulut tabanlı bir ürün satıyor ve içine bir yapay zeka asistanı gömdüyseniz, sizi ilgilendiren tarih 2 Ağustos 2026. Şeffaflık bildirimi ve sağlayıcı dokümantasyonu bu yaz hazır olmalı. Eğer ürününüz İK ya da kredi skorlama gibi bir alanda kullanılıyorsa, yüksek risk kapsamı da masaya gelir ve 2027 planınızı bugünden kurmanız gerekir.

Çağrı merkezi ve BPO. Türkiye, AB'ye çağrı merkezi ve iş süreci dış kaynak hizmeti veren güçlü bir merkez. Bu sektörde yapay zeka ile çağrı özetleme, duygu analizi, otomatik yanıt yaygınlaştı. Burada iki risk üst üste biniyor: bir yandan AI Act şeffaflığı (arayan kişi bir bot ile mi konuşuyor?), diğer yandan KVKK sınır ötesi aktarım (müşteri konuşmaları yurt dışı bir modele mi gidiyor?). Bu sektördeyseniz, iki cepheyi de aynı anda kapatmanız gerekiyor.

Tekstil ve perakende. Ürün görselleri üretmek, öneri motorları çalıştırmak, müşteri segmentasyonu yapmak için yapay zeka kullanıyorsanız, çoğunlukla yüksek risk dışındasınız ama şeffaflık ve KVKK yine karşınızda. AI ile üretilmiş pazarlama görsellerini etiketlemek, önümüzdeki yaz itibarıyla ihmal edilmemesi gereken bir detay.

"

Bu örneklerin ortak dersi şu: Çoğu Türk şirketi için "yüksek risk" değil, "şeffaflık + KVKK" ikilisi asıl gündem. Ve bu ikili ertelenmedi.

Yönetişimi kim üstlenmeli? İç organizasyon

Uyum bir kişinin işi değil. Sahada gördüğüm en sağlıklı yapı, küçük ama net bir "yapay zeka yönetişim" halkası kurmak. Bu halkada tipik olarak şu roller olur:

  • Hukuk/uyum: Mevzuatı takip eder, sözleşme maddelerini yönetir, KVKK dayanaklarını belgeler.
  • Bilgi teknolojileri/güvenlik: Hangi aracın nerede barındırıldığını, veri akışlarını bilir; gölge AI'yı teknik olarak tespit eder.
  • İş birimi sahipleri: Yapay zekayı fiilen kullanan departmanlar; envanterin gerçekle örtüşmesini sağlar.
  • Üst yönetim sponsoru: Bütçe ve önceliklendirme kararlarını verir.

Bu halka ayda bir toplanıp envanteri günceller, yeni araçları değerlendirir ve takvimdeki bir sonraki eşiğe göre görev dağıtır. Küçük bir şirketseniz bu roller aynı kişide birleşebilir; önemli olan sorumluluğun bir yerde net biçimde tanımlı olması. "Herkesin işi kimsenin işi değildir" tuzağına düşmeyin.

Türk ihracatçı bugün ne yapmalı? Somut adımlar

Teorinin bu kadarı yeter. Şimdi sahada uyguladığım, danışanlarıma verdiğim pratik yol haritasını paylaşayım. Bunları önem sırasına göre dizdim.

1. Envanter çıkarın: nerede, hangi AI, hangi veriyle?

Uyumun ilk adımı her zaman görünürlük. Şirketinizde kullanılan tüm yapay zeka sistemlerinin bir envanterini çıkarın. Her satır için şunları not edin:

  • Hangi departman kullanıyor?
  • Model kimin, nerede barındırılıyor (Türkiye içi mi, dışı mı)?
  • Hangi veriler işleniyor, içinde kişisel veri var mı?
  • Çıktı AB'de kullanılıyor mu?
  • Kullanım alanı Annex III'e (yüksek risk) giriyor mu?

Bu envanteri çıkarmadan yapılan her uyum konuşması havada kalır. Çoğu şirket bu adımda ilk kez fark ediyor ki, resmi olarak "onaylanmamış" ama ekiplerin gündelik kullandığı bir sürü gölge AI aracı var (shadow AI).

2. Rolünüzü belirleyin: sağlayıcı mı, kullanıcı mı?

Her sistem için AI Act'teki rolünüzü netleştirin. Kendi modelinizi mi eğitiyorsunuz (sağlayıcı) yoksa hazır modeli mi kullanıyorsunuz (kullanıcı/deployer)? Bu ayrım, üzerinize düşen yükümlülüklerin ağırlığını doğrudan belirliyor.

3. Şeffaflık için Ağustos 2026'ya hazırlanın

Bu, en yakın somut tarih. Kullanıcılarınızın bir yapay zeka ile etkileşimde olduğunu açıkça bildiğinden emin olun. Chatbot arayüzlerinize net bildirimler ekleyin. Yapay zeka ile ürettiğiniz görsel/video/metin içerikleri etiketleyin. Bu, teknik olarak en kolay ama gözden en çok kaçan adımlardan biri.

4. KVKK sınır ötesi aktarım kontrolü yapın

Yurt dışında barındırılan AI araçlarına giden veri akışını haritalandırın. Kişisel veri içeren akışlar için hukuki dayanağı belgeleyin. Gerekirse çalışanlar için net bir "yapay zeka kullanım politikası" yazın: hangi araçlara hangi tür veri girilebilir, hangileri yasak. KVKK'nın 15 soruluk rehberini bu politikanın omurgası yapın.

5. Yüksek risk kategorisindeyseniz 2027'yi bekleyerek geçirmeyin

Erteleme size bir hazırlık penceresi verdi, boş oturma bahanesi değil. Risk yönetim sistemi, teknik dokümantasyon ve insan gözetimi süreçlerini kurmak aylar alır. 2027 sonunu hedefliyorsanız, çalışmaya 2026'da başlamalısınız.

6. Sözleşmelerinizi gözden geçirin

AB'li müşterileriniz kısa süre içinde sizden AI Act uyumuna dair sözleşmesel taahhütler istemeye başlayacak. Tedarikçi sözleşmelerinize AI ile ilgili sorumluluk, dokümantasyon ve bilgilendirme maddeleri girecek. Buna proaktif hazırlanan, geç kalan rakibinin önüne geçer.

Yasak uygulamalar: en çok unutulan başlık

Yüksek risk ve GPAI konuşulurken çoğu zaman gözden kaçan bir kategori daha var: yasak uygulamalar. AI Act, bazı yapay zeka kullanımlarını kabul edilemez risk sayıp doğrudan yasaklıyor. Bunlar ertelenmedi ve bunların istisnası yok. Sahada danışanlarıma her zaman şunu hatırlatıyorum: bir sistem yüksek riskli olmaktan çok daha kötü bir şey olabilir, yasak olabilir.

Pratikte dikkat etmeniz gereken yasak alanlardan bazıları şunlar:

  • Bilinçaltı ya da manipülatif teknikler kullanarak kişilerin davranışını, onlara zarar verecek şekilde ciddi biçimde çarpıtan sistemler.
  • Kişilerin ya da grupların kırılganlıklarını (yaş, engellilik, ekonomik durum) istismar eden sistemler.
  • Sosyal skorlama: İnsanları davranışlarına ya da kişisel özelliklerine göre puanlayıp bunun sonucunda orantısız ya da bağlam dışı olumsuz muameleye tabi tutmak.
  • Belirli koşullarda biyometrik kategorilendirme ve duygu tanıma uygulamaları (özellikle işyeri ve eğitim ortamlarında).

Neden bunu önemsiyorum? Çünkü bir Türk şirketi, AB pazarına yönelik bir ürün geliştirirken farkında olmadan bu sınırlardan birine dokunabiliyor. Örneğin bir perakende uygulamasında "müşteriyi ikna etmek" için tasarlanmış agresif bir kişiselleştirme motoru, yanlış kurgulandığında manipülatif teknikler yasağına yaklaşabilir. Ya da bir çağrı merkezinde çalışan üzerinde sürekli duygu analizi yapan bir sistem, işyeri duygu tanıma tartışmasının içine girebilir. Bu yüzden envanterinizi çıkarırken sadece "yüksek risk mi?" diye değil, "acaba yasak sınırına yaklaşıyor mu?" diye de sormanızı öneriyorum.

Bütçe ve zamanlama: gerçekçi bir bakış

Uyumu bir maliyet kalemi olarak konuşmadan bu yazıyı bitirmek istemem, çünkü yönetim kurulu toplantılarında ve bütçe görüşmelerinde ilk sorulan soru neredeyse her zaman bu oluyor. Net bir rakam veremem, çünkü her şirketin AI olgunluğu farklı. Ama sahadan bir çerçeve çizeyim.

Şeffaflık uyumunun maliyeti düşük: çoğunlukla arayüz güncellemesi, birkaç bildirim satırı, içerik etiketleme süreci. Bunu bu yaz halledebilirsiniz ve pahalı değil. KVKK sınır ötesi disiplini orta maliyetli: politika yazımı, çalışan eğitimi, veri akışı haritalama gerektiriyor ama çoğu bunlar zaten yapmanız gereken şeyler. Asıl büyük kalem yüksek risk uyumu: risk yönetim sistemi, teknik dokümantasyon, uygunluk değerlendirmesi aylar süren, uzmanlık ve bütçe isteyen bir iş. İşte bu yüzden erteleme önemli; ama işte bu yüzden erteleme sizi rahatlatıp uyutmamalı.

Benim önerim şu önceliklendirme: önce ucuz ve acil olanı bitirin (şeffaflık, Ağustos 2026), sonra bugün geçerli olan riski kapatın (KVKK), en son da uzun soluklu olanı planlı biçimde kurun (yüksek risk, 2027). Bu sıralama hem bütçenizi korur hem de en yakın yaptırım tarihlerine karşı sizi güvenli tarafta tutar.

Uyum kontrol listesi

Aşağıdaki listeyi bir öz denetim aracı gibi kullanabilirsiniz. Her maddeyi "evet / hayır / kısmen" diye işaretleyin; "hayır" ve "kısmen" olanlar sizin önümüzdeki çeyrekteki iş listeniz.

  • Şirketteki tüm yapay zeka sistemlerinin güncel bir envanteri var.
  • Her sistem için AI Act rolümüz (sağlayıcı/kullanıcı) belirlendi.
  • Hangi sistemlerin çıktısının AB'de kullanıldığı tespit edildi.
  • Annex III (yüksek risk) kapsamına giren kullanımlar işaretlendi.
  • Chatbot ve asistanlarda şeffaflık bildirimi var (Ağustos 2026'ya hazır).
  • Yapay zeka ile üretilen içerikler etiketleniyor.
  • Yurt dışı barındırmalı AI araçlarına giden kişisel veri akışları haritalandı.
  • KVKK sınır ötesi aktarım için hukuki dayanak belgelendi.
  • Çalışanlar için yazılı bir yapay zeka kullanım politikası yürürlükte.
  • Gölge AI (shadow AI) kullanımını tespit eden bir süreç var.
  • AB'li müşteri sözleşmeleri AI uyum maddeleri açısından gözden geçirildi.
  • Yüksek risk kapsamındaysak, 2027 için proje planı ve bütçe ayrıldı.

Sık yapılan hatalar

Sahada tekrar tekrar gördüğüm ve sizi uyarmak istediğim tuzaklar şunlar:

Hata 1: "Ertelendi, o zaman durabiliriz." Yazının başından beri anlatmaya çalıştığım şey tam da bu. Ertelenen sadece yüksek risk. GPAI yaptırımı ve şeffaflık 2026'da. KVKK zaten bugün.

Hata 2: AI Act ile KVKK'yı tek torbaya koymak. Bunlar farklı otoriteler, farklı takvimler, farklı yaptırımlar. Birini ertelemek diğerini ertelemez.

Hata 3: "Biz Türk şirketiyiz, AB bizi bağlamaz" sanmak. Ekstraterritoryal etki gerçek. Çıktınız AB'de kullanılıyorsa kapsamdasınız.

Hata 4: Gölge AI'yı görmezden gelmek. Ekipler siz farkında olmadan hassas veriyi yurt dışı araçlara giriyor olabilir. Envanter çıkarmadan risk yönetemezsiniz.

Hata 5: Geçici mutabakatı kesin hukuk sanmak. Digital Omnibus henüz Resmî Gazete'de yayımlanıp kesinleşmedi. Yön belli ama detaylar değişebilir; planınızda esneklik payı bırakın.

Hata 6: Şeffaflığı teknik ayrıntı sanıp ertelemek. Aslında en ucuz, en hızlı kazanç şeffaflıkta. Bir bildirim satırı eklemek saatler alır; ihlalin maliyeti çok daha yüksek.

İleriye dönük: önümüzdeki on iki ay için okuma

Bugün 14 Temmuz 2026. Önümüzdeki takvime baktığımda, benim danışanlarıma çizdiğim resim şu:

Bu yaz (Ağustos 2026): Şeffaflık kuralları ve GPAI yaptırım yetkileri devreye giriyor. Eğer chatbot, asistan ya da içerik üretimi yapıyorsanız, bu tarihe kadar şeffaflık bildirimlerinizi ve sağlayıcı dokümantasyonunuzu hazır etmiş olun. Bu, en acil ve en yakın iş.

2026 sonbahar-kış: Digital Omnibus'un Resmî Gazete'de nihai halinin yayımlanmasını takip edin. Geçici mutabakattaki tarihler büyük ihtimalle korunacak ama nihai metindeki tanımlarda ve istisnalarda ince ayarlar olabilir. Bir hukuk ya da uyum danışmanıyla bu metni satır satır okumak, 2027 planınızı sağlamlaştırır.

2027 boyunca: Yüksek risk kapsamındaysanız, risk yönetim sistemi ve teknik dokümantasyon çalışmanız tam gaz olmalı. 2 Ağustos 2027, eski GPAI modelleri için de bir eşik. 2 Aralık 2027'ye kadar yüksek risk paketini tamamlamış olmanız gerekiyor.

KVKK cephesinde ise takvim beklemiyor: sınır ötesi aktarım disiplini, çalışan politikaları ve veri envanteri bugünden itibaren sizin gündeminizde olmalı. Ben genellikle şunu söylüyorum: AB'nin size verdiği erteleme, aslında Türkiye içi ev ödevinizi bitirmeniz için bir armağan. O pencereyi KVKK uyumunuzu sağlamlaştırarak değerlendirin ki, AI Act tam yürürlüğe girdiğinde çift taraflı hazır olun.

Son bir gözlem: Bu düzenlemelerin hepsi hareket halinde. Tarihler, tanımlar, istisnalar değişebiliyor. Benim tavsiyem, uyumu tek seferlik bir proje değil, çeyreklik olarak gözden geçirilen canlı bir süreç olarak kurgulamanız. Envanterinizi güncel tutun, yeni bir AI aracı benimsendiğinde onu da sürece dahil edin, ve mevzuattaki her yeni adımı kendi kullanım senaryonuza tercüme edin. Sahada gördüğüm kadarıyla, kazanan şirketler mükemmel uyumu ilk günden yakalayanlar değil; disiplinli, düzenli ve gerçekçi bir tempoyla ilerleyenler oluyor.

Danismanlik Baglantilari

Bu yazıya en yakın consulting sayfaları

Bu içerikten sonraki mantıklı adım için en ilgili solution, role ve industry landing'lerini burada görebilirsin.

Yorumlar

Yorumlar

Bağlantılı Pillar Konular

Bu yazının bağlandığı pillar konular