TL;DR — 2 Ağustos 2026, benim gözümde son bir yılın en önemli düzenleyici eşiği. Çünkü bu tarihte Avrupa Komisyonu, genel amaçlı yapay zeka (GPAI) modeli sağlayıcıları için getirdiği yükümlülükleri fiilen denetlemeye ve gerektiğinde para cezası kesmeye başlıyor. Yükümlülükler aslında 2 Ağustos 2025'te yürürlüğe girmişti; ancak Komisyon'a tanınan bir yıllık uyum penceresi tam da şimdi kapanıyor. Bu yazıda size, sahadaki bir danışman gözüyle, bu tarihin neden yalnızca Avrupalı devleri değil, EU pazarına dokunan Türk şirketlerini de doğrudan ilgilendirdiğini, dört temel sağlayıcı yükümlülüğünün ne anlama geldiğini ve şirketinizde bugün başlatmanız gereken somut kontrol listesini anlatacağım.
Neden 2 Ağustos 2026 sıradan bir tarih değil
Yıllardır kurumlarda yapay zeka eğitimleri verirken şunu gördüm: Düzenleme takvimleri çoğu zaman "uzak, soyut, bizi ilgilendirmez" diye ötelenir. EU AI Act için de aynı refleksi çok kez gördüm. Oysa bu düzenlemenin en kritik özelliği, aşamalı bir takvimle yürürlüğe girmesi. Yani "yasa çıktı, uygulanmaya başlandı" gibi tek bir an yok; birbirini izleyen tarihler var ve her biri farklı bir yükümlülük katmanını devreye alıyor.
GPAI, yani genel amaçlı yapay zeka modelleri tarafında tablo şöyle: Sağlayıcı yükümlülükleri 2 Ağustos 2025'te yürürlüğe girdi. Ama Komisyon'un denetim ve yaptırım yetkileri — buna para cezaları da dahil — 2 Ağustos 2026'dan itibaren uygulanıyor. Yani aradaki bir yıl, sağlayıcılara tanınan bir uyum ve alışma penceresiydi. Ben bu pencereye "nazik geçiş dönemi" diyorum. İşte o nazik dönem şimdi kapanıyor.
Bir ayrıntı daha var ki çoğu şirket bunu gözden kaçırıyor: 2 Ağustos 2025'ten önce piyasaya sürülmüş GPAI modellerinin sağlayıcıları için tam uyum tarihi 2 Ağustos 2027. Yani halihazırda dolaşımdaki büyük modeller için ekstra bir yıllık nefes alma payı var. Ama yeni modeller ve 2026'dan itibaren aktif denetim söz konusu olduğunda, işin rengi değişiyor.
Size en baştan açık konuşayım: Bu bir "belki denetlenir" hikayesi değil. Komisyon bu iş için özel bir yapı — AI Office — kurdu ve bu ofisin görevi tam olarak GPAI sağlayıcılarını izlemek, belge istemek, değerlendirme yapmak ve gerektiğinde ceza sürecini işletmek. Yani mekanizma kurumsallaştı, kadrosu oluştu, araçları belli.
GPAI nedir, neden ayrı bir kategori
Klasik yapay zeka düzenlemesi mantığında sistemleri risk seviyesine göre sınıflandırırsınız: yasak uygulamalar, yüksek riskli sistemler, sınırlı riskli sistemler, minimal riskli sistemler. Ama üretken yapay zekanın yükselişi bu piramide yeni bir katman ekledi: temel modeller, yani tek bir amaca değil, çok sayıda farklı amaca hizmet edebilen genel amaçlı modeller.
GPAI, tam da bu geniş yelpazeyi tanımlıyor. Bir dil modelini düşünün: Aynı model müşteri hizmetlerinde de kullanılabilir, hukuki metin özetlemede de, kod üretiminde de, pazarlama içeriğinde de. Model tek, kullanım alanları sonsuz. İşte bu "tek modelin binlerce kullanımı besleyebilmesi" özelliği, düzenleyiciyi geleneksel sistem-bazlı yaklaşımın ötesine geçmeye zorladı.
Mantık şu: Eğer binlerce uygulama tek bir temel modelin üzerine kuruluyorsa, o modelin şeffaflığı, belgelenmesi ve güvenliği tüm ekosistemi etkiler. Dolayısıyla düzenleyici, zincirin en yukarısındaki sağlayıcıya belirli sorumluluklar yüklüyor. Bu, bana çok mantıklı geliyor; çünkü sahada gördüğüm kadarıyla şirketlerin büyük çoğunluğu kendi modelini sıfırdan eğitmiyor, hazır bir temel modelin üzerine inşa ediyor. O temel model kirliyse, üstüne kurulan her şey kirleniyor.
Dört temel sağlayıcı yükümlülüğü
GPAI modeli sağlayıcıları için dört çekirdek yükümlülük var. Bunları müşterilerime anlatırken hep şu çerçeveyi kullanıyorum: "Ne yaptığını yaz, altındakilere anlat, telifi çiğneme, verini açıkla." Şimdi teker teker gidelim.
Birincisi, teknik dokümantasyonu yaz ve güncel tut. Sağlayıcı, modelin ne olduğunu, nasıl eğitildiğini, mimarisini, yeteneklerini ve sınırlamalarını içeren teknik bir dokümantasyon hazırlamak ve bunu güncel tutmak zorunda. Bu "bir kere yazıp rafa kaldırma" işi değil; model değiştikçe, güncellendikçe belgenin de yaşaması gerekiyor. Benim gözümde bu, en çok ihmal edilen yükümlülük. Çünkü mühendislik ekipleri modeli sürekli geliştirir ama dokümantasyon geride kalır.
İkincisi, alt sağlayıcılara bilgi ve dokümantasyon sağla. Bir temel modeli alıp üstüne kendi uygulamasını kuran şirketlere "downstream provider", yani alt sağlayıcı diyoruz. GPAI sağlayıcısı, bu alt sağlayıcıların kendi yükümlülüklerini yerine getirebilmesi için gereken bilgi ve belgeyi onlara sunmak zorunda. Bu madde benim için çok kritik, çünkü Türk şirketlerinin büyük çoğunluğu tam da bu "alt sağlayıcı" konumunda. Yani sizin uyumunuz, üstünüzdeki sağlayıcının size verdiği belgelere bağlı.
Üçüncüsü, AB telif hakkı politikasına uyum sağla. Sağlayıcı, AB telif hakkı mevzuatına uyumlu bir politika benimsemek zorunda. Bu, özellikle modelin eğitim verisinde kullanılan içeriklerin telif durumuyla ilgili. Üretken yapay zeka dünyasının en tartışmalı konularından biri bu; kimin içeriğiyle model eğitildi, hak sahipleri buna itiraz edebildi mi, opt-out mekanizmaları işletildi mi. Düzenleyici burada net bir sorumluluk tanımlıyor.
Dördüncüsü, eğitim verisi içeriğinin özetini yayımla. Sağlayıcı, modelin hangi tür içerikle eğitildiğine dair yeterince ayrıntılı bir özet yayımlamak zorunda. Bu, tam bir veri seti dökümü değil; ama toplumun ve hak sahiplerinin "bu model neyle beslendi" sorusuna makul bir yanıt bulabileceği bir şeffaflık katmanı. Şeffaflık, bu düzenlemenin ruhunu oluşturan sözcük.
Bu dört yükümlülük, aslında bir felsefeyi yansıtıyor: Temel model sağlayıcısı, ekosisteme karşı bir "sorumlu bilgi kaynağı" olmak zorunda. Ne yaptığını gizleyemez, altındakileri karanlıkta bırakamaz, başkasının emeğini izinsiz kullanamaz ve verisini tümüyle sır gibi saklayamaz.
Sistemik riskli modeller: ekstra sorumluluk katmanı
Şimdi işin daha ağır tarafına geliyorum. Bütün GPAI modelleri aynı kefede değil. Belirli bir eşiği aşan modeller "sistemik riskli GPAI" olarak sınıflandırılıyor ve bunlara ek yükümlülükler geliyor.
Eşik şu: Modelin eğitiminde kullanılan toplam hesaplama gücü 10^25 FLOP'u aşıyorsa, o model sistemik riskli kabul ediliyor. Bu, çok büyük modelleri hedefleyen teknik bir sınır. Fikri şu: Ne kadar büyük ve yetenekli bir model, o kadar geniş bir etki alanı, dolayısıyla o kadar fazla potansiyel sistemik risk.
Sistemik riskli modellerin sağlayıcıları, dört temel yükümlülüğe ek olarak şunları da yapmak zorunda:
- Model değerlendirmesi: Modelin yeteneklerini ve risklerini sistematik biçimde değerlendirmek, ileri düzey test yöntemleri (örneğin adversarial testler) uygulamak.
- Sistemik risk azaltımı: Tespit edilen sistemik riskleri değerlendirmek ve azaltmaya yönelik önlemler almak.
- Ciddi olay raporlaması: Ciddi olayları ve bunlara ilişkin düzeltici önlemleri izlemek, belgelemek ve gecikmeksizin AI Office'e ve ilgili ulusal otoritelere raporlamak.
- Siber güvenlik: Model ve fiziksel altyapı için yeterli düzeyde siber güvenlik koruması sağlamak.
Bu ekstra katman, düzenleyicinin "en büyük modeller en büyük dikkati hak eder" mantığının somut hali. Ben bunu bir orantılılık ilkesi olarak okuyorum: Riskin büyüklüğüyle yükümlülüğün ağırlığı doğru orantılı.
Gönüllü Uygulama Kuralları: uyumu kolaylaştıran yol
Burada şirketlerin işini kolaylaştıran önemli bir mekanizma var: Gönüllü GPAI Uygulama Kuralları (Code of Practice). Bu, üç ana başlıkta — şeffaflık, telif hakkı, güvenlik/emniyet — sağlayıcılara uyumu somutlaştıran bir çerçeve sunuyor.
Bunun mantığı şu: Yasa metni genellikle "ne yapılması gerektiğini" söyler ama "nasıl yapılacağını" ayrıntılandırmaz. Uygulama Kuralları tam da bu boşluğu dolduruyor. Sağlayıcı bu kurallara uymayı taahhüt ederse, yükümlülüklerini yerine getirdiğini göstermenin pratik ve öngörülebilir bir yolunu bulmuş oluyor. Ben buna "uyumun otoyolu" diyorum: Kendi patika yolunuzu açmak yerine, düzenleyicinin çizdiği asfalt yoldan gidiyorsunuz.
Gönüllü olması önemli; kimse sizi zorlamıyor. Ama sahada gördüğüm kadarıyla, bu tür çerçeveler zamanla fiili standarda dönüşür. Yani bugün "gönüllü" olan, yarın "herkesin yaptığı, dolayısıyla yapmazsanız açıklama borçlu olduğunuz" şeye dönüşebilir.
Komisyon'un yaptırım araçları: elinde ne var
2 Ağustos 2026'dan itibaren Komisyon'un — pratikte AI Office'in — kullanabileceği araçlar şunlar:
- Dokümantasyon ve bilgi talep etme: Sağlayıcıdan teknik belgeleri, bilgileri ve açıklamaları isteyebilir.
- Değerlendirme yapma: Modeli değerlendirebilir, gerektiğinde bağımsız uzmanlar aracılığıyla test edebilir.
- Azaltıcı önlem talep etme: Tespit edilen risklere karşı önlem alınmasını isteyebilir.
- Para cezası kesme: Yükümlülüklere uyulmaması durumunda idari para cezaları uygulayabilir.
İşte 2026 tarihinin ağırlığı burada. 2025'te yükümlülükler vardı ama "diş" yoktu; 2026'dan itibaren dişler devreye giriyor. Ceza rakamları, ihlalin ağırlığına ve şirketin küresel cirosuna bağlı olarak belirleniyor; ben burada spesifik rakam vermekten kaçınırım, çünkü rakamlar dava bazında değişir. Ama şunu net söyleyebilirim: Bu cezalar semboliki değil, caydırıcı olacak şekilde tasarlandı.
Türk şirketlerini neden ilgilendiriyor: sınır ötesi etki
Şimdi geldik işin bizi doğrudan ilgilendiren kısmına. Birçok Türk yöneticiyle konuşurken şu itirazı duyuyorum: "Biz AB üyesi değiliz, bu yasa bizi bağlamaz." Bu, tehlikeli bir yanılgı. EU AI Act'in en çarpıcı özelliklerinden biri, sınır ötesi (extraterritorial) etki gücü.
Şöyle düşünün: Yasanın bağlayıcılığı şirketin nerede kurulu olduğuna değil, çıktının nerede kullanıldığına bakıyor. Yani Türkiye'de kurulu bir şirket, geliştirdiği yapay zeka sistemini veya sistemin ürettiği çıktıyı AB pazarında kullanıyorsa — ya da AB'deki kişilere yönelik hizmet veriyorsa — yasanın kapsamına girebiliyor. Fiziksel olarak nerede olduğunuz değil, dijital ayak izinizin nereye ulaştığı önemli.
Bu, KVKK deneyimi olan herkese tanıdık gelecek. GDPR'de de aynı mantık vardı: Avrupalı verisini işliyorsan, nerede olursan ol kapsamdasın. EU AI Act, bu "etki temelli yetki" yaklaşımını yapay zeka dünyasına taşıyor.
İkinci ve daha sinsi risk: dolaylı maruziyet
Sınır ötesi etkiyi anladık. Ama benim asıl vurgulamak istediğim, daha az konuşulan bir risk: dolaylı maruziyet.
Diyelim ki AB pazarına hiç dokunmuyorsunuz. Tamamen yerel bir Türk şirketisiniz. Yine de üstüne uygulama kurduğunuz temel model uyumlu değilse, dolaylı bir riskle karşı karşıyasınız. Çünkü siz "alt sağlayıcı" konumundasınız ve kendi yükümlülüklerinizi yerine getirmek için o temel model sağlayıcısının size verdiği dokümantasyona bağımlısınız.
Somutlaştırayım: Sistemi AB'de kullanan bir müşteriniz varsa ve o müşteriye karşı şeffaflık, izlenebilirlik veya belgeleme yükümlülüğünüz doğuyorsa, bu belgeleri ancak üstünüzdeki sağlayıcı size verirse üretebilirsiniz. Sağlayıcı belge vermiyorsa ya da kendisi uyumlu değilse, sizin uyum zinciriniz de kopuyor. Yani başkasının uyumsuzluğu, sizin sorununuz haline geliyor.
Ben bu duruma "tedarik zinciri uyum riski" diyorum. Nasıl ki bir üründe kullandığınız hammadde kirliyse ürününüz de kirleniyorsa, kullandığınız temel model belgesiz ve uyumsuzsa, sizin uygulamanız da uyum açığı taşıyor. Bu yüzden model seçimini artık salt teknik performans değil, uyum belgeleri açısından da değerlendirmeniz gerekiyor.
KVKK bağlantısı: Üretken Yapay Zeka ve Kişisel Veri Rehberi
Türkiye tarafında bu tabloyu tamamlayan önemli bir gelişme var: KVKK'nın yayımladığı "Üretken Yapay Zeka ve Kişisel Verilerin Korunması" konulu rehber, 15 soru-cevap formatında hazırlanmış pratik bir kaynak. Ben bu rehberi müşterilerime mutlaka okutuyorum, çünkü EU AI Act'in şeffaflık ve hesap verebilirlik ruhuyla çok iyi örtüşüyor.
Neden birlikte okumak gerekiyor? Çünkü iki düzenleme birbirini tamamlıyor. EU AI Act model ve sistem katmanında sorumluluk tanımlarken, KVKK kişisel veri işleme katmanında sizi bağlıyor. Üretken bir yapay zeka uygulaması kurduğunuzda, hem modelin uyumuyla (AI Act tarafı) hem de işlediğiniz kişisel verinin hukuka uygunluğuyla (KVKK tarafı) uğraşmak zorundasınız.
Örneğin bir sohbet asistanı düşünün. Bu asistan kullanıcı verisini işliyor: KVKK devreye giriyor. Aynı asistan bir temel modelin üzerine kurulu ve AB'de kullanılıyor: AI Act devreye giriyor. İki düzenlemenin kesişiminde durmanız gerekiyor. Bu yüzden ben uyum çalışmasını hep "çift raylı" kurgularım: bir ray KVKK, bir ray AI Act.
Alt sağlayıcı şirketler için somut kontrol listesi
Şimdi lafı bağlayalım ve size elle tutulur bir yol haritası vereyim. Eğer bir temel modelin üzerine uygulama kuran bir şirketseniz — ki Türkiye'deki çoğu şirket bu konumda — 2 Ağustos 2026 öncesi şu adımları atmanızı öneriyorum:
1. Model envanteri çıkarın. Şirketinizde hangi yapay zeka modelleri kullanılıyor? Hangi sağlayıcıdan, hangi sürüm, hangi uygulamada? Bunu bilmeden hiçbir uyum çalışması yapamazsınız. Şaşıracaksınız ama pek çok şirket bu basit envantere sahip değil; farklı ekipler farklı modelleri gizli gizli kullanıyor. Önce görünürlük.
2. Sağlayıcı belgelerini toplayın. Kullandığınız her temel model için sağlayıcının teknik dokümantasyonunu, kullanım koşullarını, telif ve eğitim verisi açıklamalarını edinin. Sağlayıcı bu belgeleri vermiyorsa, bu başlı başına bir risk sinyalidir. Belge veremeyen sağlayıcı, sizi de belgesiz bırakır.
3. Kullanımınızı sınıflandırın. Uygulamanız yüksek riskli bir kullanım alanına mı giriyor, yoksa sınırlı/minimal riskli mi? Örneğin işe alım, kredi değerlendirme, sağlık, eğitim gibi alanlar yüksek riskli kategoriye yakındır. Sınıflandırma, üzerinize düşen yükümlülük seviyesini belirler.
4. Şeffaflık etiketlemesi yapın. Kullanıcı bir yapay zeka ile mi etkileşiyor, yoksa insanla mı? Üretilen içerik yapay zeka çıktısı mı? Bu ayrımları kullanıcıya açıkça bildirmeniz gerekiyor. Ben buna "dürüstlük etiketi" diyorum: Kullanıcı, karşısındakinin makine olduğunu bilme hakkına sahip.
5. Loglama ve izlenebilirlik kurun. Sistemin kararlarını, girdilerini ve çıktılarını izlenebilir kılın. Bir sorun çıktığında "ne oldu, neden oldu" sorusuna yanıt verebilecek kayıt altyapısını bugünden kurun. İzlenebilirlik, hem AI Act hem KVKK açısından altın değerinde.
6. Sözleşmeleri gözden geçirin. Sağlayıcılarınızla ve müşterilerinizle olan sözleşmelerde uyum sorumluluğunun nasıl dağıtıldığını netleştirin. Sağlayıcı size gerekli belgeleri vermeyi taahhüt ediyor mu? Bir uyumsuzluk durumunda sorumluluk kimde? Bu sözleşme maddeleri, ileride yaşanabilecek bir anlaşmazlıkta sizi koruyacak ya da açıkta bırakacak.
Bu altı adımı bir kereye mahsus bir proje gibi değil, süreklilik arz eden bir yönetişim döngüsü gibi kurgulamanızı öneriyorum. Çünkü modeller değişir, sağlayıcılar güncellenir, düzenleme takvimi ilerler. Uyum, bir fotoğraf değil, bir filmdir.
Sık yapılan üç hata
Sahada en çok gördüğüm üç hatayı da paylaşmadan geçmeyeyim.
Birincisi, "biz sadece kullanıcıyız" savunması. Pek çok şirket, hazır bir yapay zeka aracını kullandığı için hiçbir sorumluluğu olmadığını sanıyor. Oysa aracı kendi ürününüze veya sürecinize gömüp müşterilerinize sunduğunuz anda, salt kullanıcı olmaktan çıkıp bir sağlayıcı rolüne yaklaşıyorsunuz. Rolünüzü doğru okumak, uyumun ilk adımı.
İkincisi, tarihleri karıştırmak. 2025, 2026, 2027 tarihleri birbirine karışıyor ve şirketler ya erken paniğe kapılıyor ya da geç kalıyor. Net olalım: Yükümlülükler 2025'te başladı, aktif denetim ve ceza 2026'da geliyor, mevcut modeller için tam uyum 2027'ye kadar. Kendi durumunuzun bu takvimde nereye düştüğünü bilmek şart.
Üçüncüsü, uyumu tümüyle hukuka havale etmek. Uyum sadece bir hukuk metni okuma işi değil; mühendislik, ürün, veri ve hukuk ekiplerinin birlikte çalışması gereken bir mesele. Teknik dokümantasyon mühendisliğin, şeffaflık etiketleme ürünün, veri açıklamaları veri ekibinin işidir. Hukuk tek başına bu yükü taşıyamaz.
Nereden başlamalı: önümüzdeki haftalar için pratik öneri
Eğer bugün masaya oturup bir şey yapacak olsanız, size şunu öneririm: Önce bir yarım günlük "uyum keşif oturumu" düzenleyin. Bu oturuma mühendislik, ürün, veri ve hukuktan birer temsilci çağırın. Tek gündem maddesi: "Şu an hangi yapay zeka modellerini, nerede, kimin için kullanıyoruz ve bunların belgesi elimizde var mı?"
Bu basit soru, çoğu zaman büyük bir sessizlikle karşılaşır. İşte o sessizlik, sizin başlangıç noktanızdır. Envanter yoksa önce envanter, belge yoksa önce belge talebi, sınıflandırma yoksa önce sınıflandırma. Uyum, mükemmeliyetle değil, görünürlükle başlar.
2 Ağustos 2026, aslında bir ceza tarihi değil, bir olgunlaşma tarihi. Avrupa, yapay zekayı yasaklamak yerine hesap verebilir kılmayı seçti. Türk şirketleri olarak bu tren bizi de kapsıyor; ister AB pazarına dokunduğumuz için doğrudan, ister kullandığımız temel modeller üzerinden dolaylı. Benim tavsiyem net: Bu tarihi bir tehdit gibi değil, kurumsal olgunluğunuzu kanıtlayacağınız bir fırsat gibi okuyun. Belgeli, şeffaf ve izlenebilir bir yapay zeka pratiği, yalnızca cezadan kaçınmanın değil, müşteri ve iş ortağı güvenini kazanmanın da en sağlam yolu. Bugün atacağınız envanter ve belge toplama adımları, önümüzdeki yıl sizi hem düzenleyici karşısında hem de pazarda bir adım öne taşıyacak.
Risk temelli piramidi biraz daha açalım
Yukarıda risk kategorilerine kısaca değindim ama bu piramidi biraz daha açmak istiyorum, çünkü şirketlerin çoğu kendi konumunu yanlış okuyor. EU AI Act'in temel felsefesi, tüm yapay zekayı aynı kefeye koymamak. Bir e-ticaret sitesindeki ürün öneri motoruyla, işe alım kararı veren bir eleme algoritmasını aynı yükümlülüğe tabi tutmak ne adil ne de akılcı olurdu. Bu yüzden düzenleyici bir orantılılık kurgusu benimsedi.
En tepede yasak uygulamalar var: Örneğin kişilerin davranışını manipüle ederek zarara yol açan sistemler, sosyal skorlama gibi uygulamalar. Bunlar tartışmasız yasak. Hemen altında yüksek riskli sistemler: Sağlık, eğitim, işe alım, kredi, kritik altyapı, adalet gibi alanlarda insan hayatını ve haklarını doğrudan etkileyen sistemler. Bu kategori en ağır belgeleme, izleme ve insan gözetimi yükümlülüklerini taşıyor. Daha altta sınırlı riskli sistemler var: Burada asıl yükümlülük şeffaflık. Kullanıcının bir yapay zeka ile konuştuğunu bilmesi gibi. En altta ise minimal riskli sistemler: Spam filtreleri, oyun içi yapay zeka gibi. Bunlar için özel bir yükümlülük neredeyse yok.
GPAI modelleri bu piramidin yanında, ona dik bir eksen gibi duruyor. Çünkü bir temel model, kullanıldığı yere göre bu kategorilerden herhangi birine düşen uygulamaları besleyebilir. Aynı dil modeli hem minimal riskli bir yazım asistanını hem de yüksek riskli bir işe alım sistemini besleyebilir. İşte bu yüzden model sağlayıcısına özel, kullanımdan bağımsız yükümlülükler getirildi. Sizin göreviniz, kendi uygulamanızın bu piramidin neresine düştüğünü doğru tespit etmek. Yanlış sınıflandırma, ya gereksiz maliyet ya da tehlikeli bir açık demektir.
AI Office: denetimin kurumsal yüzü
Bir düzenleme ancak arkasındaki kurum kadar güçlüdür. Bu yüzden AI Office'in varlığına özellikle dikkat çekmek istiyorum. Bu ofis, GPAI modellerinin denetiminde merkezi rol oynayacak yapı. Belge talep etmek, modelleri değerlendirmek, sistemik risklerle ilgili incelemeler yürütmek ve ihlal durumunda süreç işletmek bu ofisin görevleri arasında.
Neden bu önemli? Çünkü GDPR deneyiminden biliyoruz ki, bir yasa çıkması ile o yasanın fiilen hayata geçmesi arasında büyük fark var. GDPR'nin ilk yıllarında pek çok şirket "bakalım gerçekten uygulanacak mı" diye bekledi. Sonra ilk büyük cezalar geldi ve herkes ciddiyeti anladı. AI Act için de benzer bir eğri bekliyorum. 2026'dan itibaren aktif denetim başladığında, ilk emsal vakalar sektöre ton verecek. Ben müşterilerime hep "emsal vaka çıkmadan hazır olun, çünkü emsal çıktığında zaten geç olur" diyorum.
AI Office'in bir başka önemli işlevi de rehberlik. Yalnızca ceza kesen değil, aynı zamanda yorumlayan, kılavuz yayımlayan, Uygulama Kuralları'nı şekillendiren bir yapı. Yani düzenleyici ile sektör arasında bir diyalog kanalı da açık tutuluyor. Bu diyaloğu takip etmek, uyum stratejinizin bir parçası olmalı. Yayımlanan kılavuzları, güncellenen soru-cevapları izlemek, sizi sürprizlerden korur.
Kurumsal yönetişim: uyumu kime emanet edeceksiniz
Sahada gördüğüm en büyük yapısal eksik, yapay zeka uyumunun net bir sahibinin olmaması. KVKK için genellikle bir irtibat kişisi veya veri koruma sorumlusu vardır. Ama yapay zeka uyumu için çoğu şirkette "herkesin işi, kimsenin işi" durumu hakim. Bu boşluğu doldurmanızı şiddetle öneriyorum.
Bir yapay zeka yönetişim komitesi kurmak, kulağa büyük ve bürokratik gelse de, orta ve büyük ölçekli şirketler için artık kaçınılmaz. Bu komite; mühendislik, ürün, veri, hukuk ve bilgi güvenliğinden temsilcileri bir araya getirir. Görevi, kullanılan modellerin envanterini tutmak, yeni yapay zeka projelerini uyum açısından değerlendirmek, sağlayıcı belgelerini izlemek ve düzenleme takvimini takip etmektir. Küçük şirketlerde bu, tek bir sorumlu kişiye de yüklenebilir; önemli olan sahipliğin net olması.
Bir de "insan gözetimi" ilkesini vurgulamak istiyorum. EU AI Act, özellikle yüksek riskli sistemlerde anlamlı insan gözetimi bekliyor. Yani sistem tek başına, kimsenin denetimi olmadan hayati kararlar veremez. Bir insanın müdahale edebileceği, kararı gözden geçirebileceği, gerektiğinde durdurabileceği bir tasarım şart. Ben buna "insan devrede" prensibi diyorum. Otomasyonun cazibesine kapılıp insanı tümüyle devreden çıkarmak, hem etik hem hukuki açıdan büyük risk.
Rekabet avantajı olarak uyum
Şimdiye kadar hep yükümlülük ve risk dilinden konuştum. Ama madalyonun bir de parlak yüzü var ve bunu atlamak istemem. Uyum, yalnızca cezadan kaçınmak değil; aynı zamanda bir rekabet avantajı ve güven sermayesi.
Düşünün: AB pazarına ürün satmak isteyen bir Türk yazılım şirketisiniz. Rakibiniz "belgelerimiz eksik, uyum durumumuz belirsiz" diyorsa, siz "işte teknik dokümantasyonumuz, işte şeffaflık politikamız, işte kullandığımız modellerin uyum kayıtları" diyebiliyorsanız, ihaleyi kim kazanır? Giderek daha fazla kurumsal alıcı, tedarikçilerinden yapay zeka uyum kanıtı istiyor. Bu, tıpkı bilgi güvenliği sertifikalarının zamanla bir giriş bileti haline gelmesi gibi. Uyum belgeleriniz, sizi masaya oturtan anahtar olabiliyor.
Bir de itibar boyutu var. Bir yapay zeka skandalı — yanlı bir algoritma, sızan bir veri, açıklanamayan bir karar — bir markayı yıllarca yıpratabiliyor. Şeffaf, belgeli ve izlenebilir bir yapay zeka pratiği, böyle krizlere karşı en iyi sigortadır. Ben uyumu bir maliyet kalemi değil, bir dayanıklılık yatırımı olarak görmenizi öneriyorum. Kriz anında, bugün attığınız envanter ve belgeleme adımları sizin cankurtaran halatınız olacak.
Türkiye'nin kendi düzenleme yolculuğu
Son olarak, gözümüzü biraz da yerel ufka çevirelim. Türkiye şu an EU AI Act ölçeğinde kapsamlı bir yapay zeka yasasına sahip değil; ancak KVKK'nın üretken yapay zeka rehberi, Cumhurbaşkanlığı bünyesindeki dijital dönüşüm çalışmaları ve sektörel düzenleyicilerin (özellikle finans tarafında) attığı adımlar, bir yönetişim iskeletinin yavaş yavaş oluştuğunu gösteriyor. Benim beklentim, tıpkı KVKK'nın GDPR'yi izlemesi gibi, Türkiye'nin yapay zeka düzenlemesinin de EU AI Act'ten ciddi biçimde ilham alması yönünde.
Bu ne demek? Bugün EU AI Act için yaptığınız hazırlık, yarın Türkiye düzenlemesi geldiğinde büyük ölçüde işinize yarayacak. Yani "AB için hazırlık" aslında "geleceğe hazırlık". İki cephede birden ilerlemek yerine, tek bir sağlam uyum altyapısı kurup, bunu her iki mevzuata uyarlamak çok daha akıllıca. Ben buna "bir kere kur, çok kez kullan" yaklaşımı diyorum. Sağlam bir model envanteri, temiz bir dokümantasyon disiplini ve net bir yönetişim yapısı; hangi mevzuat gelirse gelsin temelinizi oluşturur.
Bütün bu tabloya baktığımda, 2 Ağustos 2026'yı bir sınav gününden çok bir dönüm noktası olarak görüyorum. Yapay zekayı ciddiye alan, ondan değer üreten ama aynı zamanda sorumlu davranan şirketler ile gününü kurtarmaya çalışan şirketler arasındaki fark, tam da bu tarihten sonra netleşecek. Elinizdeki envanteri çıkarın, sağlayıcı belgelerinizi toplayın, kullanımınızı sınıflandırın ve yönetişim sahipliğini bugün belirleyin. Bu adımlar kulağa mütevazı gelse de, sizi hem düzenleyici karşısında hem de pazarda önemli bir adım öne taşıyacak; ve en önemlisi, yapay zekayı korkuyla değil, olgunlukla kullanan bir kurum olduğunuzu kanıtlayacak.
Danismanlik Baglantilari
Bu yazıya en yakın consulting sayfaları
Bu içerikten sonraki mantıklı adım için en ilgili solution, role ve industry landing'lerini burada görebilirsin.
Kurumsal RAG Sistemleri Gelistirme
Sirket ici bilgiye kaynakli, guvenli ve denetlenebilir erisim saglayan uretim seviyesinde RAG mimarileri.
AI Agent ve Workflow Otomasyonu
Tek adimli chatbot'larin otesine gecen; arac, kural ve insan onayi ile ilerleyen AI destekli is akislarina gecis.
IK Ekipleri icin AI Otomasyon Cozumleri
Ise alim, onboarding, dokuman yonetimi ve calisan deneyimi sureclerinde insan odakli AI cozumleri.