İçeriğe geç

Anahtar Çıkarımlar

  1. EU AI Act, yapay zeka sistemlerini oluşturdukları riske göre sınıflandıran ve buna göre yükümlülük getiren, dünyanın ilk kapsamlı yatay yapay zeka mevzuatıdır.
  2. Risk sınıflandırması dört kademelidir: kabul edilemez (yasak), yüksek riskli, sınırlı riskli (şeffaflık) ve minimal riskli (serbest).
  3. Yüksek riskli sistemler yasanın ağırlık merkezidir: risk yönetimi, veri kalitesi, kayıt tutma, insan gözetimi ve uygunluk değerlendirmesi zorunludur.
  4. Uyum takvimi kademelidir: yasaklar 2025 Şubat'ında, genel amaçlı model (GPAI) kuralları 2025 Ağustos'unda, yüksek riskli yükümlülüklerin çoğu 2026-2027'de devreye girer.
  5. Türkiye etkisi doğrudandır: AB pazarına yapay zeka ürünü sunan veya çıktısı AB'de kullanılan her Türk şirketi, yer bakımından değil etki bakımından kapsama girer.

EU AI Act Nedir? Avrupa Yapay Zeka Yasası Rehberi

EU AI Act nedir? EU AI Act (Avrupa Birliği Yapay Zeka Yasası), yapay zeka sistemlerini oluşturdukları riske göre sınıflandırıp yükümlülük getiren, dünyanın ilk kapsamlı yatay yapay zeka mevzuatıdır. Bu rehber: net tanım, risk sınıflandırması, yüksek riskli sistemler, uyum takvimi, türkiye etkisi, GPAI kuralları, cezalar ve sık sorulan sorular.

SYK
Şükrü Yusuf KAYA
AI Expert · Kurumsal AI Danışmanı

EU AI Act nedir? EU AI Act (Artificial Intelligence Act, Türkçesiyle Avrupa Birliği Yapay Zeka Yasası), yapay zeka sistemlerini oluşturdukları riske göre sınıflandırıp her risk düzeyine orantılı yükümlülükler getiren, dünyanın ilk kapsamlı yatay yapay zeka mevzuatıdır. Yasa, tek tek sektörleri değil, hangi alanda kullanılırsa kullanılsın tüm yapay zeka sistemlerini kesen yatay bir çerçeve kurar.

Yasa, 1 Ağustos 2024'te yürürlüğe girdi ve GDPR'ın veri koruma alanında yaptığını yapay zeka için yapmayı amaçlıyor: küresel bir standart belirlemek. Bu rehber EU AI Act nedir, risk sınıflandırması nasıl işler, yüksek riskli sistemler için hangi yükümlülükler doğar, uyum takvimi nasıl işler ve türkiye etkisi neden doğrudan sorularını yanıtlıyor.

Tanım
EU AI Act (Avrupa Birliği Yapay Zeka Yasası)
Yapay zeka sistemlerini yol açtıkları riske göre kabul edilemez, yüksek, sınırlı ve minimal olmak üzere dört kademeye ayıran ve her kademeye orantılı yükümlülük getiren, 2024'te yürürlüğe giren dünyanın ilk kapsamlı yatay yapay zeka mevzuatı. Yasa, kademeli bir uyum takvimiyle 2025-2027 arasında aşamalı uygulanır ve AB pazarını etkileyen tüm sağlayıcıları kapsar.
Ayrıca: Avrupa Birliği Yapay Zeka Yasası, AB Yapay Zeka Yasası, Artificial Intelligence Act, AI Act, EU AI Act

EU AI Act Neden Çıkarıldı?

Yapay zeka son yıllarda işe alımdan kredi kararlarına, sağlıktan kamu hizmetlerine kadar giderek daha kritik alanlara yayıldı. Bu yayılım büyük fayda üretirken, aynı zamanda yeni riskler getirdi: ayrımcı kararlar, açıklanamayan otomasyon, biyometrik gözetim ve güvenilmez sistemler. Avrupa Birliği bu riskleri, inovasyonu tümüyle durdurmadan yönetecek ortak bir hukuki çerçeve arayışına girdi.

EU AI Act tam olarak bu dengeyi kurmayı hedefler: temel hakları ve güvenliği korurken yapay zeka için güvenilir ve öngörülebilir bir iç pazar yaratmak. Yasa, "her yapay zeka aynı kuralla düzenlenmeli" yaklaşımını reddeder; onun yerine bir e-posta filtresiyle bir kredi karar sistemine aynı yükü bindirmenin yanlış olduğunu kabul ederek riske dayalı bir mantık kurar. Bu mantığın kalbinde risk sınıflandırması yer alır.

EU AI Act'te Risk Sınıflandırması Nasıl İşler?

Yasanın temel mekanizması risk sınıflandırmasıdır: her yapay zeka sistemi, insanların hakları ve güvenliği üzerindeki potansiyel etkisine göre bir risk kademesine yerleştirilir ve yükümlülük o kademeye göre belirlenir. Yükümlülük, sistemin ne yaptığına değil, ne kadar zarar verebileceğine bağlıdır. Bu dört kademeli risk sınıflandırması, tüm yasanın omurgasıdır.

EU AI Act'in dört risk kademesi ve getirdiği yükümlülükler
Risk kademesiÖrnekYükümlülük
Kabul edilemez riskSosyal puanlama, manipülatif sistemlerTamamen yasak
Yüksek riskİşe alım, kredi, sağlık, kritik altyapıSıkı uyum + uygunluk değerlendirmesi
Sınırlı riskChatbot, üretken içerikŞeffaflık: kullanıcıya bilgi verme
Minimal riskSpam filtresi, oyun yapay zekasıSerbest, ek yükümlülük yok

Bu tablonun anlattığı temel fikir şudur: yasa sistemlerin çoğunu (minimal risk) neredeyse hiç düzenlemez, enerjisini gerçek zarar potansiyeli olan az sayıda sisteme yoğunlaştırır. Kabul edilemez risk kategorisi — örneğin devlet eliyle sosyal puanlama veya bilinçaltı manipülasyon — tümüyle yasaklanmıştır. Piramidin geri kalanında yük, risk arttıkça artar.

Yüksek Riskli Sistemler İçin Hangi Yükümlülükler Var?

Yüksek riskli sistemler EU AI Act'in ağırlık merkezidir; yasanın en ayrıntılı ve en maliyetli kısmı buradadır. Bir sistem; sağlık, işe alım, eğitim, kredi değerlendirme, kritik altyapı, kolluk veya göç gibi alanlarda karar veriyor ya da bu kararları belirgin biçimde etkiliyorsa yüksek riskli sayılır. Bu sistemler yasak değildir, ama piyasaya sürülmeden önce ve kullanımda sıkı bir dizi koşulu karşılamak zorundadır.

Nasıl Yapılır

Yüksek riskli bir yapay zeka sistemi için temel uyum adımları

Bir yüksek riskli sistemin AB pazarına sunulmadan önce karşılaması gereken çekirdek yükümlülükler.

  1. 1

    Risk yönetim sistemi kur

    Sistemin yaşam döngüsü boyunca risklerini sürekli tanımlayan ve azaltan bir süreç oluşturulur.

  2. 2

    Veri yönetişimini sağla

    Eğitim, doğrulama ve test verisinin kalitesi, temsil gücü ve önyargı denetimi belgelenir.

  3. 3

    Teknik dokümantasyon ve kayıt tut

    Sistemin tasarımı, sınırları ve olayları izlenebilir biçimde kayıt altına alınır (logging).

  4. 4

    İnsan gözetimini tasarla

    Sistemi bir insanın anlamlı biçimde denetleyip gerektiğinde durdurabilmesi güvence altına alınır.

  5. 5

    Uygunluk değerlendirmesi yap

    Sistem, piyasaya sürülmeden önce uygunluk değerlendirmesinden geçirilir ve CE işareti ile beyan edilir.

Bu yükümlülükler bir defalık bir formalite değil, sürekli bir yönetişim sorumluluğudur. Sistem piyasaya sürüldükten sonra da izlenmeli, ciddi olaylar bildirilmeli ve dokümantasyon güncel tutulmalıdır. Pratikte bu, yüksek riskli bir yapay zeka projesine baştan bir uyum ve belgelendirme katmanı eklemek anlamına gelir — sonradan eklenmesi çok daha maliyetlidir.

EU AI Act Kimleri Kapsıyor?

Yasa yalnızca yapay zekayı "üretenleri" değil, zincirin farklı halkalarını da ayrı ayrı tanımlar. En ağır yük sağlayıcıdadır (provider): sistemi geliştiren veya kendi markasıyla piyasaya sunan taraf. Ancak yasa, sistemi bir işte kullanan tarafı (deployer/kullanıcı), ithalatçıyı ve dağıtıcıyı da kapsar; her rolün kendi orantılı yükümlülükleri vardır. Örneğin yüksek riskli bir sistemi işe alımda kullanan bir şirket, sağlayıcı olmasa bile insan gözetimini sağlamak ve sistemi amaçlandığı gibi kullanmakla yükümlüdür.

Bu rol ayrımı Türkiye açısından önemlidir, çünkü çoğu Türk şirketi yasanın kapsamına iki farklı kapıdan girer. Bir yazılım firması AB'ye sattığı üründe sağlayıcı; hazır bir AB modelini kendi ürününe gömen bir başka şirket ise kullanıcı konumundadır. Hangi rolde olduğunuzu doğru belirlemek, hangi yükümlülüklere tabi olduğunuzu ve dolayısıyla uyum maliyetinizi baştan netleştirir. Bu nedenle uyum çalışması, teknik geliştirmeden önce bir rol ve kapsam analiziyle başlamalıdır.

Genel Amaçlı Modeller (GPAI) İçin Kurallar

EU AI Act, yalnızca dar amaçlı sistemleri değil, ChatGPT gibi genel amaçlı yapay zeka (GPAI) modellerini de kapsayan ayrı bir bölüm içerir. Bu modeller tek bir göreve bağlı olmadığından, riskleri de aşağı akıştaki sayısız uygulamaya yayılır. Yasa bu nedenle GPAI sağlayıcılarına — OpenAI, Google, Meta veya açık kaynak modeller yayınlayan Hugging Face ekosistemindeki geliştiriciler gibi — özel şeffaflık yükümlülükleri getirir.

Temel yükümlülükler; teknik dokümantasyon hazırlamak, modeli entegre edecek geliştiriciler için bilgi sağlamak, AB telif hukukuna uymak ve eğitim verisinin içeriği hakkında özet yayımlamaktır. "Sistemik risk" taşıyan çok büyük modeller için ise ek gereklilikler devreye girer: model değerlendirmesi, saldırı testi (adversarial testing) ve ciddi olayların raporlanması. Bu ayrım, temel dil modellerinin ne olduğunu anlamayı gerektirir; ayrıntı için LLM nedir ve üretken yapay zeka nedir rehberlerine bakabilirsiniz.

EU AI Act Uyum Takvimi Nasıl İşliyor?

Yasa 2024'te yürürlüğe girse de, tüm kurallar aynı anda uygulanmaya başlamadı. Uyum takvimi kademelidir ve şirketlere hazırlanmaları için aşamalı bir süre tanır. Bu takvimi bilmek, bir kurumun hangi yükümlülüğe ne zaman uyması gerektiğini planlaması için kritiktir.

EU AI Act uyum takvimi: temel kilometre taşları
TarihYürürlüğe girenKimi ilgilendirir
Ağustos 2024Yasa yürürlüğe girdiGenel çerçeve başladı
Şubat 2025Yasaklı uygulamalar geçerliKabul edilemez risk taşıyan herkes
Ağustos 2025GPAI (genel amaçlı model) kurallarıModel sağlayıcılar
Ağustos 2026Yüksek riskli yükümlülüklerin çoğuYüksek riskli sistem sağlayıcıları
Ağustos 2027Belirli ürün-gömülü yüksek risk kurallarıRegüle ürünlere gömülü yapay zeka

Bu kademeli uyum takvimi bir soluklanma süresi değil, bir hazırlık penceresidir. Yüksek riskli bir sistem geliştiren kurumun, 2026'daki yükümlülükleri karşılamak için dokümantasyon, veri yönetişimi ve insan gözetimi süreçlerini bugünden kurmaya başlaması gerekir; bu süreçler aylarca sürebilir. Takvimi "sonra bakarız" diye ertelemek, en yaygın uyum hatasıdır.

EU AI Act'in Türkiye Etkisi Nedir?

EU AI Act bir AB yasasıdır, ama etkisi AB sınırlarında bitmez. Yasa etki temelli (extraterritorial) uygulanır: bir şirketin nerede kurulu olduğuna değil, sisteminin AB pazarına sunulup sunulmadığına veya çıktısının AB'de kullanılıp kullanılmadığına bakar. Bu yüzden türkiye etkisi soyut değil, doğrudan ve operasyoneldir.

Somut olarak: AB'deki bir müşteriye yapay zeka destekli yazılım satan bir Türk şirketi, AB'li kullanıcılar için bir öneri motoru işleten bir e-ticaret firması veya çıktısı AB'de değerlendirilen bir model geliştiren bir ekip, yasanın kapsamına girer. GDPR'da yaşanan "Brüksel etkisi" burada da geçerlidir: AB'ye ürün veya hizmet veren Türk şirketleri, pratikte bu standardı benimsemek zorunda kalır. Bu nedenle türkiye etkisi, ihracat yapan her teknoloji şirketinin gündemindedir.

EU AI Act ile GDPR ve KVKK İlişkisi

EU AI Act sıklıkla GDPR ile karıştırılır, ama ikisi farklı şeyleri düzenler. GDPR (ve Türkiye'deki karşılığı KVKK) kişisel verinin nasıl işleneceğini düzenler; EU AI Act ise yapay zeka sisteminin kendisini — güvenliğini, risk düzeyini ve güvenilirliğini — düzenler. Bir yapay zeka sistemi kişisel veri işliyorsa, aynı anda her iki mevzuata da uymak zorundadır; biri diğerinin yerine geçmez.

Bu ayrım pratikte önemlidir. Örneğin bir işe alım algoritması, GDPR açısından adayların verisini hukuka uygun işlemeli; EU AI Act açısından ise yüksek riskli sistem olarak önyargı denetimi, insan gözetimi ve dokümantasyon yükümlülüklerini karşılamalıdır. Türkiye'de faaliyet gösteren ve AB'ye hizmet veren kurumlar için bu iki katmanı birlikte tasarlamak gerekir; KVKK'nın yapay zeka bağlamındaki yansımaları için KVKK nedir rehberine göz atabilirsiniz.

EU AI Act'te Cezalar ve Yaygın Yanılgılar

Yasaya uymamanın maliyeti yüksektir. En ağır ihlallerde — örneğin yasaklı bir uygulamanın kullanılması — ceza, küresel yıllık cironun %7'sine veya 35 milyon euroya (hangisi yüksekse) kadar çıkabilir. Diğer yükümlülük ihlallerinde bu oran cironun %3'üne ya da 15 milyon euroya iner; yanlış veya eksik bilgi vermek gibi hafif ihlaller için daha düşük eşikler uygulanır. Cezalar, ihlalin ağırlığına ve şirketin büyüklüğüne göre orantılı belirlenir.

Bu noktada birkaç yaygın yanılgıyı düzeltmek gerekir:

  • "Bu sadece AB şirketlerini bağlar" yanılgısı: Yasa etki temellidir; AB pazarına ürün sunan Türk şirketleri de kapsanır.
  • "Tüm yapay zeka yasaklanıyor" yanılgısı: Sistemlerin ezici çoğunluğu minimal risktedir ve serbesttir; yasaklar yalnızca kabul edilemez risk kategorisindedir.
  • "Uyum tek seferlik bir belgedir" yanılgısı: Yüksek riskli sistemlerde uyum, sistemin tüm yaşam döngüsü boyunca süren bir yönetişim sorumluluğudur.
  • "Vakit çok" yanılgısı: Uyum takvimi kademeli olsa da, yüksek riskli sistemler için hazırlık aylar sürer; erteleme en pahalı hatadır.

Bu yanılgıları erkenden aşan kurumlar, uyumu bir engel değil bir pazar erişimi avantajı hâline getirebilir. Kurumsal bir yapay zeka yol haritasında uyumu baştan tasarlamak için yapay zeka danışmanlığı ile başlayabilirsiniz.

Sıkça Sorulan Sorular

EU AI Act ne zaman yürürlüğe girdi?

EU AI Act 1 Ağustos 2024'te yürürlüğe girdi, ancak yükümlülükler aynı anda başlamadı. Uyum takvimi kademelidir: yasaklı uygulamalar 2 Şubat 2025'te, genel amaçlı model kuralları 2 Ağustos 2025'te, yüksek riskli sistemlerin çoğu ise 2026-2027'de uygulanmaya başlar.

Türkiye'deki şirketler EU AI Act'e uymak zorunda mı?

AB pazarına yapay zeka ürünü sunan ya da sistemin çıktısı AB içinde kullanılan Türk şirketleri kapsama girer. Yasa etki temelli (extraterritorial) uygulanır; şirketin AB'de olması gerekmez. AB'ye hizmet veya ürün ihraç eden yazılım firmaları için türkiye etkisi doğrudandır.

EU AI Act'te yüksek riskli sistemler nelerdir?

Sağlık, işe alım, kredi değerlendirme, eğitim, kritik altyapı, kolluk ve göç gibi alanlarda karar veren veya bunları etkileyen yapay zeka sistemleri yüksek riskli sayılır. Bu sistemler için risk yönetimi, veri yönetişimi, insan gözetimi ve uygunluk değerlendirmesi zorunludur.

EU AI Act'e uymamanın cezası nedir?

Yasaklı uygulamalarda ceza, küresel yıllık cironun %7'sine veya 35 milyon euroya (hangisi yüksekse) kadar çıkabilir. Diğer ihlallerde bu oran cironun %3'üne ya da 15 milyon euroya iner. Cezalar, ihlalin ağırlığına ve şirketin büyüklüğüne göre orantılı belirlenir.

EU AI Act ile GDPR arasındaki fark nedir?

GDPR kişisel verinin işlenmesini düzenler; EU AI Act ise yapay zeka sisteminin kendisini, güvenliğini ve risk düzeyini düzenler. İkisi birbirini tamamlar: bir yapay zeka sistemi kişisel veri işliyorsa hem GDPR'a hem AI Act'e uymak zorundadır.

ChatGPT gibi genel amaçlı modeller AI Act kapsamında mı?

Evet. Genel amaçlı yapay zeka (GPAI) modelleri için ayrı bir kategori vardır: teknik dokümantasyon, telif ve eğitim verisi şeffaflığı gibi yükümlülükler getirilir. Sistemik risk taşıyan çok büyük modeller için ek değerlendirme ve raporlama gereklilikleri uygulanır.

Özetle: EU AI Act Nedir?

Özetle eu ai act nedir sorusunun cevabı şudur: yapay zeka sistemlerini oluşturdukları riske göre dört kademeye ayırıp orantılı yükümlülükler getiren, dünyanın ilk kapsamlı yatay yapay zeka yasası. Risk sınıflandırması yasanın omurgasıdır; yüksek riskli sistemler için sıkı uyum gerekir; kademeli uyum takvimi 2025-2027 arasında işler ve türkiye etkisi, AB'ye hizmet veren her şirket için doğrudandır. Temel kavramlar için yapay zeka nedir ve ChatGPT nedir rehberlerine göz atabilir, kurumsal uyum ve strateji için yapay zeka danışmanlığı ile başlayabilirsiniz.

Danismanlik Baglantilari

Bu yazıya en yakın consulting sayfaları

Bu içerikten sonraki mantıklı adım için en ilgili solution, role ve industry landing'lerini burada görebilirsin.

Yorumlar

Yorumlar

Bağlantılı Pillar Konular

Bu yazının bağlandığı pillar konular