İçeriğe geç

EU AI Act Digital Omnibus 2026: GPAI Değişiklikleri ve Türk Şirketleri İçin 2 Ağustos Gerçeği

Digital Omnibus EU AI Act'i nasıl değiştirdi, 2 Ağustos 2026 GPAI yaptırımları ne getiriyor ve AB pazarına dokunan Türk şirketleri 60 günde ne yapmalı? Sahadan uyum rehberi.

SYK
Şükrü Yusuf KAYA
AI Expert · Kurumsal AI Danışmanı

TL;DR — Avrupa Birliği, 7 Mayıs 2026'da vardığı "Digital Omnibus" uzlaşısıyla EU AI Act'i ilk kez kapsamlı biçimde revize etti. Değişiklikler üç eksende topluyor: bazı yükümlülüklerde takvim rahatlaması, yüksek riskli sistemler için hedefli sadeleştirme ve genel amaçlı yapay zekâ (GPAI) modellerinde denetim yetkisinin AB düzeyinde merkezileşmesi. Öte yandan 2 Ağustos 2026 hâlâ kritik bir tarih: Komisyon'un GPAI sağlayıcılarına karşı yaptırım yetkileri — bilgi talebi, model erişimi, geri çağırma ve para cezaları — o gün devreye giriyor. Türkiye'den AB pazarına model, ürün veya hizmet sunan herkes bu tabloyu bugünden okumak zorunda. Bu yazıda neyin değiştiğini, neyin sabit kaldığını ve Türk şirketlerinin önümüzdeki 60 gün içinde ne yapması gerektiğini sahadan bir gözle anlatıyorum.

Neden Bu Yazıyı Şimdi Yazıyorum

Son üç haftada danışmanlık verdiğim dört farklı şirketten neredeyse aynı soruyla karşılaştım: "Hocam, AB yasayı gevşetti mi, yoksa sıkılaştırdı mı? Biz projeyi durduralım mı, hızlandıralım mı?" Bu kafa karışıklığı çok normal, çünkü basında çıkan başlıklar bir yandan "AB geri adım attı", bir yandan "Ağustos'ta cezalar başlıyor" diyor. İkisi de kısmen doğru, ikisi de eksik.

Gerçek şu: Digital Omnibus bir geri adım değil, bir yeniden dengeleme. AB, yasanın uygulanabilirliğini artırmak için bazı takvimleri esnetti ve bürokratik yükü azalttı; ama denetimin kalbi olan GPAI rejiminde tam tersine yetkiyi merkezileştirip güçlendirdi. Yani "kolaylaştı" diye rahatlayan da, "her şey ertelendi" diye erteleyen de yanılıyor.

Ben bu konuyu bir uyum avukatı gibi değil, sahada model deploy eden, KVKK ve AI Act arasındaki köprüyü kuran bir mühendis-danışman gözüyle ele alacağım. Amacım maddeleri ezberletmek değil; size karar verebileceğiniz bir zihinsel harita vermek.

Digital Omnibus Tam Olarak Neyi Değiştirdi

7 Mayıs 2026'da Konsey, Parlamento ve Komisyon müzakerecileri geçici uzlaşıya vardı. Bu, Haziran 2024'te kabul edilen AI Act'in ilk esaslı değişiklik paketi. Üç ana başlıkta özetliyorum.

1. Takvim rahatlaması. Yüksek riskli sistemlerin bazı teknik yükümlülüklerinde uyum tarihleri ötelendi. Buradaki mantık, uyumlaştırılmış standartların (harmonised standards) ve destek araçlarının henüz hazır olmaması. AB, "kurala uyun" derken uyulacak teknik referansı sağlamadıysa cezalandırmanın adil olmayacağını kabul etti. Bu, şirketlere nefes alanı açıyor ama bir aldatmaca değil — yükümlülük ortadan kalkmıyor, sadece geç başlıyor.

2. Hedefli sadeleştirme. Özellikle KOBİ'ler ve düşük riskli kullanım senaryoları için dokümantasyon ve kayıt yükümlülükleri hafifletildi. Bazı tekrar eden bildirim süreçleri tek bir kayda indirildi. Bu, "compliance theater" dediğimiz, hiçbir gerçek riski azaltmayan ama saatlerce iş gücü yiyen bürokrasiyi kırpma çabası.

3. GPAI denetiminde merkezileşme. İşte asıl kritik değişiklik burada. Digital Omnibus, GPAI modellerine dayalı yapay zekâ sistemlerinin denetim yetkisini netleştirdi ve AB düzeyinde topladı. Artık AI Office, modelin ve sistemin aynı sağlayıcı (ya da aynı şirketler topluluğu) tarafından geliştirildiği durumlarda münhasır yetkiye sahip. Yani "hangi ülkenin düzenleyicisi bana bakıyor?" belirsizliği azalıyor; büyük model sağlayıcıları doğrudan Brüksel'deki AI Office'in radarında.

"

Bunu bir cümlede özetlersem: AB, çevre bürokrasiyi hafifletirken merkezdeki denetimi sıkılaştırdı. Küçük oyuncuya alan açtı, büyük model sağlayıcısını ise doğrudan kendi masasına çekti.

2 Ağustos 2026: Değişmeyen Kırmızı Çizgi

Digital Omnibus'un getirdiği rahatlamalara rağmen bir tarih yerinde duruyor: 2 Ağustos 2026. Bu tarihte Komisyon'un GPAI sağlayıcılarına yönelik yaptırım yetkileri fiilen uygulanmaya başlıyor.

Kısa bir kronoloji ile netleştireyim:

TarihNe Oluyor
2 Şubat 2025Yasaklı uygulamalar (unacceptable risk) yürürlükte
2 Ağustos 2025GPAI model kuralları yürürlükte (yükümlülük başladı)
2 Ağustos 2026Komisyon'un yaptırım yetkileri devreye giriyor (para cezaları dahil)
2 Ağustos 20272 Ağustos 2025'ten önce piyasaya sürülmüş GPAI modelleri de tam uyumlu olmak zorunda

Buradaki incelik şu: GPAI yükümlülükleri aslında 2025 Ağustos'unda başladı, ama Komisyon sağlayıcılara AI Office ile çalışmak için 12 aylık bir "yumuşak" pencere tanıdı. O pencere 2 Ağustos 2026'da kapanıyor. Bilgi talebi, model erişimi talebi ve gerektiğinde geri çağırma yetkileri o tarihten itibaren aktif.

Ceza tavanları da caydırıcı: yasaklı uygulamalar için küresel cironun %7'sine kadar, diğer ihlaller için %3'e kadar, yanlış/eksik bilgi verilmesi için %1'e kadar. Bunlar KVKK'daki idari para cezalarının çok üzerinde rakamlar ve "ciro üzerinden" hesaplandığı için büyük şirketler açısından milyonlarca euroya ulaşabilir.

GPAI Nedir ve Neden Türk Şirketlerini İlgilendirir

"Biz büyük dil modeli üretmiyoruz, bizi neden ilgilendirsin?" sorusunu çok duyuyorum. Cevap iki katmanlı.

Birinci katman — dağıtım zinciri sorumluluğu. AI Act, değer zincirindeki her aktöre rol biçiyor: sağlayıcı (provider), dağıtıcı (deployer), ithalatçı, yetkili temsilci. Siz bir GPAI modeli kullanarak AB pazarına bir ürün/hizmet sunuyorsanız, "deployer" sıfatıyla belirli şeffaflık ve insan gözetimi yükümlülükleri size de düşüyor. Modeli siz eğitmemiş olabilirsiniz ama onu bir sisteme gömüp AB'ye satıyorsanız zincirin bir halkasısınız.

İkinci katman — ihracatçı gerçekliği. Türkiye'nin AB ile entegre bir üretim ve hizmet ekonomisi var. Otomotiv yan sanayiden yazılım dış kaynak hizmetine, e-ticaretten fintech'e kadar birçok şirket AB'deki müşterilere doğrudan ya da dolaylı satış yapıyor. AI Act'in "extraterritorial" (ülke dışı) etkisi tam da burada devreye giriyor: sistemin çıktısı AB'de kullanılıyorsa, sağlayıcı Türkiye'de olsa bile yasa uygulanabilir.

Yani mesele "AB'de ofisim var mı" değil; "çıktım AB'de bir insanı etkiliyor mu" sorusu. Bir Türk sigorta teknolojisi şirketinin risk skorlama modeli, bir Alman sigortacı üzerinden AB vatandaşına fiyat belirliyorsa, o model yüksek riskli kategoriye girer ve zincir boyunca yükümlülük doğar.

Türkiye Bağlamı: KVKK, AI Act ve Boşluk

Türkiye'nin henüz AB AI Act'e denk, kapsamlı ve yürürlükte bir yapay zekâ yasası yok. Ama bu, "kural yok" demek değil. Üç kaynaktan yükümlülük doğuyor:

Birincisi, KVKK. Kişisel veri işleyen her yapay zekâ sistemi zaten 6698 sayılı Kanun kapsamında. Otomatik karar verme, profilleme, açık rıza, veri minimizasyonu ve yurt dışına veri aktarımı hükümleri doğrudan uygulanıyor. AI Act'in "high-risk" dediği birçok senaryo (işe alım, kredi skorlama, biyometrik tanımlama) KVKK açısından da hassas.

İkincisi, AB'nin extraterritorial etkisi. Yukarıda anlattığım gibi, AB pazarına dokunan Türk şirketleri fiilen AI Act'e tabi.

Üçüncüsü, hazırlık aşamasındaki ulusal düzenlemeler. Türkiye'de yapay zekâ konusunda politika belgeleri ve kanun çalışmaları gündemde. Bugün gönüllü olarak AI Act uyumlu bir yönetişim kuran şirket, yarın çıkacak ulusal düzenlemeye de büyük ölçüde hazır olacak. Ben buna "uyum arbitrajı" diyorum: en katı çerçeveye göre kurgula, gerisi otomatik uyar.

"

Sahada gördüğüm en pahalı hata, "önce hızlıca yapalım, uyumu sonra ekleriz" yaklaşımı. Uyum sonradan eklenen bir modül değil, mimari bir karardır. Sonradan eklemeye çalıştığınızda modeli, veri hattını ve logging altyapısını baştan kurmanız gerekir — bu da iki katı maliyettir.

Pratik Yol Haritası: Önümüzdeki 60 Gün

Teoriyi bırakıp masaya oturalım. 2 Ağustos'a kadar, AB pazarına dokunan bir Türk şirketiyseniz sırasıyla şunları yapmanızı öneriyorum.

Adım 1 — Envanter çıkarın. Kullandığınız tüm yapay zekâ sistemlerini listeleyin. Hangi modeli, hangi sağlayıcıdan, hangi kullanım senaryosunda kullanıyorsunuz? Shadow AI (kayıt dışı, çalışanların kendiliğinden kullandığı araçlar) dahil. Bu envanter olmadan hiçbir uyum çalışması mümkün değil.

Adım 2 — Risk sınıflandırması yapın. Her sistemi AI Act'in dört kademesine göre etiketleyin: kabul edilemez risk (yasak), yüksek risk, sınırlı risk (şeffaflık), minimal risk. Yüksek riskli olanlar (işe alım, kredi, sağlık, kritik altyapı, biyometrik) en yoğun yükümlülüğü doğurur.

Adım 3 — Rol belirleyin. Her sistem için sıfatınızı netleştirin: sağlayıcı mı, dağıtıcı mı, ikisi birden mi? Rol, yükümlülüğün kapsamını belirler.

Adım 4 — Dokümantasyon başlatın. Teknik dokümantasyon, veri yönetişimi kayıtları, insan gözetimi mekanizması ve log tutma. Digital Omnibus bazı yükleri hafifletmiş olsa da yüksek riskli sistemlerde bu belgeler zorunlu kalıyor.

Adım 5 — KVKK ile hizalayın. DPIA (Veri Koruma Etki Değerlendirmesi) süreçlerinizi AI Act'in risk değerlendirmesiyle birleştirin. İki ayrı doküman üretmeyin; tek bir entegre yönetişim çerçevesi kurun.

Adım 6 — Tedarikçi sözleşmelerini gözden geçirin. GPAI sağlayıcınızdan (OpenAI, Anthropic, Google, açık kaynak vb.) hangi uyum garantilerini, hangi dokümantasyonu alıyorsunuz? Sözleşmelerinize AI Act uyum maddeleri ekleyin.

Model Seçimi Artık Bir Uyum Kararı

2026'da model seçimi sadece teknik değil, hukuki bir karar. Haziran 2026 dalgasıyla piyasada GPT-5.6, Claude Sonnet 5, Gemini 3.2 ve çok sayıda Çinli model (Qwen 3.7, DeepSeek V4.1, GLM-6) var. Her birinin AI Act uyum durumu, dokümantasyon şeffaflığı ve veri yerleşimi farklı.

Örneğin GPAI Code of Practice'e (gönüllü uyum aracı) imza atan sağlayıcılar, telif, şeffaflık ve güvenlik konularında daha net taahhütler veriyor. Bir Türk şirketi olarak, AB pazarına dokunan bir üründe model seçerken sağlayıcının bu koda uyup uymadığını, sistem kartı ve model kartı yayınlayıp yayınlamadığını sormak artık standart due diligence.

Çinli modeller maliyet açısından cazip olabilir ama veri yerleşimi ve şeffaflık açısından AB denetiminde ekstra soru işaretleri doğurabilir. Bu bir yasak değil, bir risk değerlendirmesi meselesi — sektörünüze ve veri hassasiyetinize göre karar verilmeli.

Yüksek Riskli Sistemlerde İnsan Gözetimi

AI Act'in ruhu tek bir kelimeye indirgenebilir: hesap verebilirlik. Yüksek riskli sistemlerde "makine karar verdi" savunması geçmiyor. İnsan gözetimi (human oversight) zorunlu ve bu gözetimin gerçek, anlamlı ve belgelenebilir olması gerekiyor.

Pratikte bu şu demek: Bir kredi reddi, bir işe alım elemesi ya da bir sağlık triyaj kararı tamamen otomatik olamaz. Bir insanın kararı gözden geçirebilmesi, gerekçesini görebilmesi ve gerektiğinde geçersiz kılabilmesi (override) gerekiyor. Bu yüzden explainability (açıklanabilirlik) altyapısı artık lüks değil, yasal gereklilik.

Sahada gördüğüm iyi bir uygulama şablonu: her yüksek riskli kararda modelin çıktısının yanına (1) güven skoru, (2) kararı etkileyen en önemli faktörler ve (3) insan operatörün onay/ret/eskalasyon butonu koymak. Bu üçlü, hem yasal uyumu hem operasyonel kaliteyi aynı anda çözüyor.

Sık Yapılan Üç Hata

Hata 1 — "AB'de ofisim yok, beni bağlamaz." Yanlış. Çıktınız AB'de kullanılıyorsa yasa uygulanabilir. Coğrafi ofis değil, çıktının etkisi belirleyici.

Hata 2 — "Digital Omnibus geldi, artık ertelendi." Kısmen doğru ama tehlikeli bir genelleme. Bazı teknik yükümlülükler ötelendi, ama GPAI yaptırımları ve yüksek risk çerçevesi yerinde. Erteleme "yok sayma" değil.

Hata 3 — "Uyumu hukuk departmanı halleder." Uyum, mühendislik, hukuk ve ürün ekiplerinin ortak işi. Logging, açıklanabilirlik, veri hattı — bunlar hukukçunun tek başına çözebileceği şeyler değil. Uyum bir takım sporu.

Bugünden Ne Yapmalı

Eğer AB pazarına dokunan bir yapay zekâ sisteminiz varsa, bu hafta içinde envanter çıkarma ve risk sınıflandırması adımlarını başlatın. 2 Ağustos'a kadar tam uyum şart değil ama bir yol haritanızın ve öncelik listenizin olması şart. Denetim geldiğinde "hiçbir şey yapmadık" ile "planımız var, uyguluyoruz" arasındaki fark, ceza ile muafiyet arasındaki farktır.

Digital Omnibus'u bir fırsat olarak okuyun: AB size düşük riskli senaryolarda nefes alanı açtı, yüksek riskli senaryolarda ise net kurallar koydu. Bu netlik aslında iyi haber — belirsizlik, uyumun en pahalı halidir. Artık neyin beklendiğini biliyoruz; geriye disiplinli uygulama kalıyor. Ben danışmanlık verdiğim şirketlere hep şunu söylüyorum: en katı çerçeveye göre kurun, o zaman hem AB'ye hem yarın çıkacak Türk düzenlemesine hazır olursunuz. Uyum, rekabet avantajının yeni adı.

AI Act ve KVKK'yı Yan Yana Okumak

Türk şirketleri için en pratik yaklaşım, iki çerçeveyi tek tabloda görmek. Aşağıdaki karşılaştırma, hangi yükümlülüğün nereden geldiğini ve nerede örtüştüğünü gösteriyor.

KonuKVKK (6698)EU AI ActÖrtüşme / Fark
Otomatik karar vermeMd. 11 — itiraz hakkı, açık rızaYüksek risk — insan gözetimi zorunluİkisi de insan müdahalesi ister; AI Act daha detaylı
ŞeffaflıkAydınlatma yükümlülüğüSınırlı risk — kullanıcıya "AI ile konuşuyorsun" bildirimiAI Act, chatbot/deepfake için ek etiketleme ister
Veri minimizasyonuMd. 4 — amaçla sınırlıVeri yönetişimi — eğitim verisi kalitesiKVKK işleme, AI Act eğitim verisine odaklı
Yurt dışı aktarımMd. 9 — yeterlilik/taahhütModel yerleşimi denetlenirBulut LLM kullanımı ikisini birden tetikler
Yaptırımİdari para cezası (sabit tarife)Küresel cironun %7'sine kadarAI Act cezaları çok daha ağır

Bu tablo şunu gösteriyor: KVKK ile AI Act rakip değil, üst üste binen iki katman. Akıllı şirket iki ayrı uyum ekibi kurmaz; tek bir "AI yönetişim komitesi" altında her iki çerçeveyi birlikte yönetir. Böylece bir DPIA hazırladığınızda aynı belge AI Act'in risk değerlendirmesinin çekirdeğini de oluşturur.

GPAI Code of Practice: Gönüllü Ama Belirleyici

Temmuz 2025'te Komisyon üç önemli aracı yayımladı: GPAI yükümlülüklerinin kapsamını netleştiren kılavuz, sistemik riskli modeller için ek yükümlülükler ve GPAI Code of Practice — bağımsız uzmanlarca hazırlanan gönüllü bir uyum aracı. Bu kod, şeffaflık, telif ve güvenlik-emniyet olmak üzere üç başlıkta pratik rehberlik sunuyor.

"Gönüllü" kelimesi yanıltıcı olmasın. Kodun imzalanması, AI Office ile ilişkide "iyi niyet karinesi" sağlıyor. İmzalayan sağlayıcı, yükümlülüklerini yerine getirdiğinin varsayımından yararlanıyor; imzalamayan ise her şeyi tek tek kanıtlamak zorunda. Bu yüzden büyük sağlayıcılar koda katılıyor. Bir Türk deployer olarak, kullandığınız modelin sağlayıcısının bu koda imza atıp atmadığını bilmek, kendi uyum yükünüzü doğrudan etkiliyor.

Pratik tavsiyem: model seçim kriterlerinize "GPAI Code of Practice imzacısı mı?", "model kartı ve sistem kartı yayınlıyor mu?", "eğitim verisi özeti (training data summary) paylaşıyor mu?" sorularını ekleyin. Bu üç soru, uyum açısından güvenli sağlayıcıyı riskli olandan hızlıca ayırır.

Sektörel Kısa Bakışlar

Fintech ve bankacılık. Kredi skorlama ve dolandırıcılık tespiti yüksek riskli. AI Act'in insan gözetimi ve açıklanabilirlik şartları, BDDK'nın model yönetişim beklentileriyle örtüşüyor. AB'ye hizmet veren Türk fintech'leri için çifte uyum kaçınılmaz.

Sağlık teknolojisi. Tıbbi cihaz yazılımı (SaMD) niteliğindeki AI, hem AB Tıbbi Cihaz Yönetmeliği (MDR) hem AI Act kapsamında. Klinik doğrulama ve risk yönetimi dokümantasyonu iki çerçevede de aranıyor.

İnsan kaynakları teknolojisi. İşe alım, aday sıralama ve performans değerlendirme AI'ları açıkça yüksek riskli. AB'ye HR SaaS satan Türk şirketleri için bu, ürünün çekirdek özelliğinin denetime tabi olması demek.

E-ticaret ve pazarlama. Öneri sistemleri çoğunlukla minimal/sınırlı risk. Ama deepfake reklam üretimi veya duygu tanıma gibi özellikler daha sıkı şeffaflık yükümlülüğü doğurur.

Küçük Bir Vaka: Anonim Bir Türk SaaS Şirketi

Danışmanlık verdiğim orta ölçekli bir Türk SaaS şirketi, AB'deki müşterilerine sözleşme analizi yapan bir GPAI tabanlı ürün sunuyordu. Başta "biz sadece bir arayüzüz, modeli OpenAI sağlıyor, sorumluluk onların" diye düşünüyorlardı. Oysa AI Act nezdinde onlar "deployer" ve müşterinin hukuki kararını etkileyen bir sistem sunuyorlar.

Yaptığımız çalışma dört haftada şunları içerdi: sistem envanteri, risk sınıflandırması (sınırlı risk çıktı ama şeffaflık yükümlülüğü vardı), kullanıcıya "bu analiz AI tarafından üretildi, nihai hukuki karar için avukatınıza danışın" uyarısının eklenmesi, çıktıların loglanması ve bir insan-gözden-geçirme akışının kurulması. Toplam maliyet, projeyi baştan yapmaya kıyasla çok düşüktü çünkü mimari erken aşamada düzeltildi.

Bu vakadan çıkan ders net: uyumu erken düşünen şirket ucuza, geç düşünen pahalıya öder. Ve çoğu zaman "yüksek risk" korkusu abartılı çıkar — doğru sınıflandırma yapıldığında yükümlülük yönetilebilir olur.

Sık Sorulan Sorular

"2 Ağustos'ta bize ceza gelir mi?" Hayır, o tarihte otomatik ceza gelmiyor. O tarih, Komisyon'un yaptırım araçlarının aktif hale geldiği tarih. Ceza, ihlal tespit edilirse ve süreç işletilirse gündeme gelir. Ama "hazır değiliz" pozisyonu riskinizi artırır.

"Açık kaynak model kullanırsak muaf mıyız?" Kısmen. AI Act, açık kaynak GPAI modellerine bazı istisnalar tanıyor ama sistemik risk taşıyan modeller ve yüksek riskli kullanımlar bu istisnanın dışında. "Açık kaynak" tek başına muafiyet değil.

"KVKK'ya uyuyorsak AI Act'e de uyar mıyız?" Kısmen örtüşür ama yeterli değil. AI Act'in teknik dokümantasyon, risk yönetim sistemi ve piyasa sonrası izleme yükümlülükleri KVKK'da yok. İkisini ayrı ama entegre yönetmek gerekir.

"Türkiye'de ulusal yasa çıkınca her şey değişir mi?" Muhtemelen değişmez, eklenir. Ulusal düzenleme büyük olasılıkla AI Act ve OECD ilkeleriyle uyumlu olacak. Bugün AI Act'e göre kurulmuş bir yönetişim, yarın çıkacak yasaya da temel oluşturur.

Özetle, önümüzdeki 60 gün bir kriz değil, bir hazırlık penceresi. Envanterinizi çıkarın, sistemlerinizi sınıflandırın, KVKK ve AI Act'i tek çatı altında yönetin ve model tedarikçilerinizle uyum konuşmasını bugün başlatın. Denetim geldiğinde elinizde bir plan olması, bu işin en pahalı kısmını — sonradan telafi etmeyi — ortadan kaldırır. Sahadan söyleyebileceğim en dürüst cümle şu: uyum, yavaşlatan bir fren değil, güvenle hızlanmayı sağlayan bir yol tutuşudur.

Uygulanabilir Bir Yönetişim Çerçevesi

Teoriden pratiğe geçmek için danışmanlıklarımda kullandığım basit ama işleyen bir yönetişim çerçevesini paylaşayım. Bu çerçeve, büyük danışmanlık firmalarının yüzlerce sayfalık raporlarını orta ölçekli bir Türk şirketinin gerçekten uygulayabileceği beş katmana indiriyor.

Katman 1 — Sahiplik. Yapay zekâ yönetişiminin bir sahibi olmalı. Bu illa "Chief AI Officer" olmak zorunda değil; bir CTO, bir hukuk direktörü ya da bir ürün lideri olabilir. Kritik olan tek boğaz noktası: kararı kim veriyor, kim hesap veriyor? Sahipsiz uyum, kimsenin uyumu demektir.

Katman 2 — Envanter ve sınıflandırma. Yukarıda anlattığım envanter ve risk sınıflandırması bu katmanda yaşar. Bu bir kerelik değil, canlı bir belge. Her yeni model, her yeni kullanım senaryosu envantere işlenir ve sınıflandırılır. Çeyreklik gözden geçirme iyi bir ritim.

Katman 3 — Kontroller. Her risk seviyesi için asgari kontrol setini tanımlayın. Yüksek risk: insan gözetimi, açıklanabilirlik, loglama, DPIA, piyasa sonrası izleme. Sınırlı risk: şeffaflık bildirimi, kullanım logu. Minimal risk: temel kayıt. Kontrolleri risk seviyesine oranlamak, hem kaynak israfını hem eksik korumayı önler.

Katman 4 — Kanıt. AI Act'in ruhu "yaptığını kanıtla"dır. Her kontrolün bir kanıt üreten mekanizması olmalı: log kayıtları, onay geçmişi, model kartları, değerlendirme raporları. Denetimde işe yarayan şey iyi niyet değil, belgedir. Kanıt üretmeyen kontrol, olmayan kontroldür.

Katman 5 — Tedarikçi yönetimi. GPAI sağlayıcılarınızla ilişkiyi bir kontrol noktası olarak yönetin. Sözleşmelere uyum maddeleri, model kartı talebi, olay bildirim yükümlülüğü ve çıkış (exit) stratejisi ekleyin. Tek bir sağlayıcıya kilitlenmek hem teknik hem uyum riskidir.

Bu beş katman, bir Excel tablosu ve düzenli bir toplantı ritmiyle bile işletilebilir. Amaç mükemmel bir bürokrasi kurmak değil; denetim geldiğinde "biz bu riski gördük, şu kontrolü koyduk, işte kanıtı" diyebilmek.

Rekabet Avantajı Olarak Uyum

Son bir perspektif sunayım, çünkü çoğu şirket uyumu bir maliyet kalemi olarak görüyor ve bu dar bir bakış. AB pazarına satış yapan bir Türk şirketi için AI Act uyumu, bir satış argümanına dönüşebilir. AB'deki alıcı, tedarikçisinin uyumlu olmasını ister — çünkü onun uyumsuzluğu, kendi zincirini de riske atar. "Biz AI Act uyumlu bir sistem sunuyoruz, işte dokümantasyonumuz" diyebilen bir Türk şirketi, diyemeyen rakibinin önüne geçer.

Bunu somutlaştırayım: bir Avrupalı kurumsal alıcı, satın alma sürecinde artık rutin olarak "AI governance" soruları soruyor. Model kartınız var mı? İnsan gözetimi nasıl işliyor? Veri nerede işleniyor? Bu sorulara net cevap veren tedarikçi, sözleşmeyi kapatır. Cevap veremeyen, "sonra döneriz" der ve genelde dönemez. Yani uyum, satış döngüsünü hızlandıran bir kolaylaştırıcıya dönüşüyor.

Dolayısıyla önümüzdeki 60 günü bir tehdit takvimi gibi değil, bir konumlanma fırsatı gibi okumanızı öneriyorum. Digital Omnibus size çerçeveyi netleştirdi, 2 Ağustos size bir hedef tarih verdi. Bu netlik, disiplinli davranan şirket için bir armağan. Envanteri çıkarın, riskleri sınıflandırın, kontrolleri kurun, kanıtı biriktirin ve bunu müşterinize anlatın. Regülasyonu bir yük değil, güvenilirliğinizin belgesi haline getirdiğinizde, uyum sizin için çalışmaya başlar.

Hızlı Kontrol Listesi

Yazıyı kapatırken, ekibinizle bugün masaya oturup işaretleyebileceğiniz bir kontrol listesi bırakıyorum. Bu liste, teoriyi eyleme çeviren en pratik araç.

  • Envanter tamam mı? Tüm AI sistemleri, shadow AI dahil, tek bir listede mi?
  • Sınıflandırma yapıldı mı? Her sistem dört risk kademesinden birine yerleşti mi?
  • Rol netleşti mi? Her sistemde sağlayıcı/dağıtıcı sıfatınız belli mi?
  • KVKK hizası kuruldu mu? DPIA ve AI Act risk değerlendirmesi tek belgede mi?
  • Tedarikçi sözleşmeleri güncellendi mi? GPAI sağlayıcınızdan uyum garantisi ve model kartı alıyor musunuz?
  • İnsan gözetimi kuruldu mu? Yüksek riskli her kararda override edebilen bir insan var mı?
  • Kanıt üretiliyor mu? Loglar, onay geçmişi ve dokümantasyon denetimde gösterilebilir durumda mı?
  • Sahip belli mi? Yönetişimin tek bir sorumlusu var mı?

Bu sekiz maddeyi yeşile çevirebiliyorsanız, 2 Ağustos'a hazırsınız demektir. Çeviremiyorsanız, hangi maddede takıldığınız size önceliğinizi söyler. Uyum, bir kerede biten bir proje değil; işleyen bir kastır. Ama bu kası bugün çalıştırmaya başlayan şirket, yarının denetim ortamında rahat nefes alır. Ben size en sade haliyle şunu söyleyeyim: bugünkü bir saatlik envanter toplantısı, yarınki milyon euroluk ceza riskinden çok daha ucuz. Başlangıç, işin yarısıdır.

Danismanlik Baglantilari

Bu yazıya en yakın consulting sayfaları

Bu içerikten sonraki mantıklı adım için en ilgili solution, role ve industry landing'lerini burada görebilirsin.

Yorumlar

Yorumlar

Bağlantılı Pillar Konular

Bu yazının bağlandığı pillar konular