EU AI Act Nedir? Avrupa Yapay Zeka Yasası Rehberi
EU AI Act nedir? EU AI Act (Avrupa Birliği Yapay Zeka Yasası), yapay zeka sistemlerini oluşturdukları riske göre sınıflandırıp yükümlülük getiren, dünyanın ilk kapsamlı yatay yapay zeka mevzuatıdır. Bu rehber: net tanım, risk sınıflandırması, yüksek riskli sistemler, uyum takvimi, türkiye etkisi, GPAI kuralları, cezalar ve sık sorulan sorular.
EU AI Act nedir? EU AI Act (Artificial Intelligence Act, Türkçesiyle Avrupa Birliği Yapay Zeka Yasası), yapay zeka sistemlerini oluşturdukları riske göre sınıflandırıp her risk düzeyine orantılı yükümlülükler getiren, dünyanın ilk kapsamlı yatay yapay zeka mevzuatıdır. Yasa, tek tek sektörleri değil, hangi alanda kullanılırsa kullanılsın tüm yapay zeka sistemlerini kesen yatay bir çerçeve kurar.
Yasa, 1 Ağustos 2024'te yürürlüğe girdi ve GDPR'ın veri koruma alanında yaptığını yapay zeka için yapmayı amaçlıyor: küresel bir standart belirlemek. Bu rehber EU AI Act nedir, risk sınıflandırması nasıl işler, yüksek riskli sistemler için hangi yükümlülükler doğar, uyum takvimi nasıl işler ve türkiye etkisi neden doğrudan sorularını yanıtlıyor.
- EU AI Act (Avrupa Birliği Yapay Zeka Yasası)
- Yapay zeka sistemlerini yol açtıkları riske göre kabul edilemez, yüksek, sınırlı ve minimal olmak üzere dört kademeye ayıran ve her kademeye orantılı yükümlülük getiren, 2024'te yürürlüğe giren dünyanın ilk kapsamlı yatay yapay zeka mevzuatı. Yasa, kademeli bir uyum takvimiyle 2025-2027 arasında aşamalı uygulanır ve AB pazarını etkileyen tüm sağlayıcıları kapsar.
- Ayrıca: Avrupa Birliği Yapay Zeka Yasası, AB Yapay Zeka Yasası, Artificial Intelligence Act, AI Act, EU AI Act
EU AI Act Neden Çıkarıldı?
Yapay zeka son yıllarda işe alımdan kredi kararlarına, sağlıktan kamu hizmetlerine kadar giderek daha kritik alanlara yayıldı. Bu yayılım büyük fayda üretirken, aynı zamanda yeni riskler getirdi: ayrımcı kararlar, açıklanamayan otomasyon, biyometrik gözetim ve güvenilmez sistemler. Avrupa Birliği bu riskleri, inovasyonu tümüyle durdurmadan yönetecek ortak bir hukuki çerçeve arayışına girdi.
EU AI Act tam olarak bu dengeyi kurmayı hedefler: temel hakları ve güvenliği korurken yapay zeka için güvenilir ve öngörülebilir bir iç pazar yaratmak. Yasa, "her yapay zeka aynı kuralla düzenlenmeli" yaklaşımını reddeder; onun yerine bir e-posta filtresiyle bir kredi karar sistemine aynı yükü bindirmenin yanlış olduğunu kabul ederek riske dayalı bir mantık kurar. Bu mantığın kalbinde risk sınıflandırması yer alır.
EU AI Act'te Risk Sınıflandırması Nasıl İşler?
Yasanın temel mekanizması risk sınıflandırmasıdır: her yapay zeka sistemi, insanların hakları ve güvenliği üzerindeki potansiyel etkisine göre bir risk kademesine yerleştirilir ve yükümlülük o kademeye göre belirlenir. Yükümlülük, sistemin ne yaptığına değil, ne kadar zarar verebileceğine bağlıdır. Bu dört kademeli risk sınıflandırması, tüm yasanın omurgasıdır.
| Risk kademesi | Örnek | Yükümlülük |
|---|---|---|
| Kabul edilemez risk | Sosyal puanlama, manipülatif sistemler | Tamamen yasak |
| Yüksek risk | İşe alım, kredi, sağlık, kritik altyapı | Sıkı uyum + uygunluk değerlendirmesi |
| Sınırlı risk | Chatbot, üretken içerik | Şeffaflık: kullanıcıya bilgi verme |
| Minimal risk | Spam filtresi, oyun yapay zekası | Serbest, ek yükümlülük yok |
Bu tablonun anlattığı temel fikir şudur: yasa sistemlerin çoğunu (minimal risk) neredeyse hiç düzenlemez, enerjisini gerçek zarar potansiyeli olan az sayıda sisteme yoğunlaştırır. Kabul edilemez risk kategorisi — örneğin devlet eliyle sosyal puanlama veya bilinçaltı manipülasyon — tümüyle yasaklanmıştır. Piramidin geri kalanında yük, risk arttıkça artar.
Yüksek Riskli Sistemler İçin Hangi Yükümlülükler Var?
Yüksek riskli sistemler EU AI Act'in ağırlık merkezidir; yasanın en ayrıntılı ve en maliyetli kısmı buradadır. Bir sistem; sağlık, işe alım, eğitim, kredi değerlendirme, kritik altyapı, kolluk veya göç gibi alanlarda karar veriyor ya da bu kararları belirgin biçimde etkiliyorsa yüksek riskli sayılır. Bu sistemler yasak değildir, ama piyasaya sürülmeden önce ve kullanımda sıkı bir dizi koşulu karşılamak zorundadır.
Yüksek riskli bir yapay zeka sistemi için temel uyum adımları
Bir yüksek riskli sistemin AB pazarına sunulmadan önce karşılaması gereken çekirdek yükümlülükler.
- 1
Risk yönetim sistemi kur
Sistemin yaşam döngüsü boyunca risklerini sürekli tanımlayan ve azaltan bir süreç oluşturulur.
- 2
Veri yönetişimini sağla
Eğitim, doğrulama ve test verisinin kalitesi, temsil gücü ve önyargı denetimi belgelenir.
- 3
Teknik dokümantasyon ve kayıt tut
Sistemin tasarımı, sınırları ve olayları izlenebilir biçimde kayıt altına alınır (logging).
- 4
İnsan gözetimini tasarla
Sistemi bir insanın anlamlı biçimde denetleyip gerektiğinde durdurabilmesi güvence altına alınır.
- 5
Uygunluk değerlendirmesi yap
Sistem, piyasaya sürülmeden önce uygunluk değerlendirmesinden geçirilir ve CE işareti ile beyan edilir.
Bu yükümlülükler bir defalık bir formalite değil, sürekli bir yönetişim sorumluluğudur. Sistem piyasaya sürüldükten sonra da izlenmeli, ciddi olaylar bildirilmeli ve dokümantasyon güncel tutulmalıdır. Pratikte bu, yüksek riskli bir yapay zeka projesine baştan bir uyum ve belgelendirme katmanı eklemek anlamına gelir — sonradan eklenmesi çok daha maliyetlidir.
EU AI Act Kimleri Kapsıyor?
Yasa yalnızca yapay zekayı "üretenleri" değil, zincirin farklı halkalarını da ayrı ayrı tanımlar. En ağır yük sağlayıcıdadır (provider): sistemi geliştiren veya kendi markasıyla piyasaya sunan taraf. Ancak yasa, sistemi bir işte kullanan tarafı (deployer/kullanıcı), ithalatçıyı ve dağıtıcıyı da kapsar; her rolün kendi orantılı yükümlülükleri vardır. Örneğin yüksek riskli bir sistemi işe alımda kullanan bir şirket, sağlayıcı olmasa bile insan gözetimini sağlamak ve sistemi amaçlandığı gibi kullanmakla yükümlüdür.
Bu rol ayrımı Türkiye açısından önemlidir, çünkü çoğu Türk şirketi yasanın kapsamına iki farklı kapıdan girer. Bir yazılım firması AB'ye sattığı üründe sağlayıcı; hazır bir AB modelini kendi ürününe gömen bir başka şirket ise kullanıcı konumundadır. Hangi rolde olduğunuzu doğru belirlemek, hangi yükümlülüklere tabi olduğunuzu ve dolayısıyla uyum maliyetinizi baştan netleştirir. Bu nedenle uyum çalışması, teknik geliştirmeden önce bir rol ve kapsam analiziyle başlamalıdır.
Genel Amaçlı Modeller (GPAI) İçin Kurallar
EU AI Act, yalnızca dar amaçlı sistemleri değil, ChatGPT gibi genel amaçlı yapay zeka (GPAI) modellerini de kapsayan ayrı bir bölüm içerir. Bu modeller tek bir göreve bağlı olmadığından, riskleri de aşağı akıştaki sayısız uygulamaya yayılır. Yasa bu nedenle GPAI sağlayıcılarına — OpenAI, Google, Meta veya açık kaynak modeller yayınlayan Hugging Face ekosistemindeki geliştiriciler gibi — özel şeffaflık yükümlülükleri getirir.
Temel yükümlülükler; teknik dokümantasyon hazırlamak, modeli entegre edecek geliştiriciler için bilgi sağlamak, AB telif hukukuna uymak ve eğitim verisinin içeriği hakkında özet yayımlamaktır. "Sistemik risk" taşıyan çok büyük modeller için ise ek gereklilikler devreye girer: model değerlendirmesi, saldırı testi (adversarial testing) ve ciddi olayların raporlanması. Bu ayrım, temel dil modellerinin ne olduğunu anlamayı gerektirir; ayrıntı için LLM nedir ve üretken yapay zeka nedir rehberlerine bakabilirsiniz.
EU AI Act Uyum Takvimi Nasıl İşliyor?
Yasa 2024'te yürürlüğe girse de, tüm kurallar aynı anda uygulanmaya başlamadı. Uyum takvimi kademelidir ve şirketlere hazırlanmaları için aşamalı bir süre tanır. Bu takvimi bilmek, bir kurumun hangi yükümlülüğe ne zaman uyması gerektiğini planlaması için kritiktir.
| Tarih | Yürürlüğe giren | Kimi ilgilendirir |
|---|---|---|
| Ağustos 2024 | Yasa yürürlüğe girdi | Genel çerçeve başladı |
| Şubat 2025 | Yasaklı uygulamalar geçerli | Kabul edilemez risk taşıyan herkes |
| Ağustos 2025 | GPAI (genel amaçlı model) kuralları | Model sağlayıcılar |
| Ağustos 2026 | Yüksek riskli yükümlülüklerin çoğu | Yüksek riskli sistem sağlayıcıları |
| Ağustos 2027 | Belirli ürün-gömülü yüksek risk kuralları | Regüle ürünlere gömülü yapay zeka |
Bu kademeli uyum takvimi bir soluklanma süresi değil, bir hazırlık penceresidir. Yüksek riskli bir sistem geliştiren kurumun, 2026'daki yükümlülükleri karşılamak için dokümantasyon, veri yönetişimi ve insan gözetimi süreçlerini bugünden kurmaya başlaması gerekir; bu süreçler aylarca sürebilir. Takvimi "sonra bakarız" diye ertelemek, en yaygın uyum hatasıdır.
EU AI Act'in Türkiye Etkisi Nedir?
EU AI Act bir AB yasasıdır, ama etkisi AB sınırlarında bitmez. Yasa etki temelli (extraterritorial) uygulanır: bir şirketin nerede kurulu olduğuna değil, sisteminin AB pazarına sunulup sunulmadığına veya çıktısının AB'de kullanılıp kullanılmadığına bakar. Bu yüzden türkiye etkisi soyut değil, doğrudan ve operasyoneldir.
Somut olarak: AB'deki bir müşteriye yapay zeka destekli yazılım satan bir Türk şirketi, AB'li kullanıcılar için bir öneri motoru işleten bir e-ticaret firması veya çıktısı AB'de değerlendirilen bir model geliştiren bir ekip, yasanın kapsamına girer. GDPR'da yaşanan "Brüksel etkisi" burada da geçerlidir: AB'ye ürün veya hizmet veren Türk şirketleri, pratikte bu standardı benimsemek zorunda kalır. Bu nedenle türkiye etkisi, ihracat yapan her teknoloji şirketinin gündemindedir.
EU AI Act ile GDPR ve KVKK İlişkisi
EU AI Act sıklıkla GDPR ile karıştırılır, ama ikisi farklı şeyleri düzenler. GDPR (ve Türkiye'deki karşılığı KVKK) kişisel verinin nasıl işleneceğini düzenler; EU AI Act ise yapay zeka sisteminin kendisini — güvenliğini, risk düzeyini ve güvenilirliğini — düzenler. Bir yapay zeka sistemi kişisel veri işliyorsa, aynı anda her iki mevzuata da uymak zorundadır; biri diğerinin yerine geçmez.
Bu ayrım pratikte önemlidir. Örneğin bir işe alım algoritması, GDPR açısından adayların verisini hukuka uygun işlemeli; EU AI Act açısından ise yüksek riskli sistem olarak önyargı denetimi, insan gözetimi ve dokümantasyon yükümlülüklerini karşılamalıdır. Türkiye'de faaliyet gösteren ve AB'ye hizmet veren kurumlar için bu iki katmanı birlikte tasarlamak gerekir; KVKK'nın yapay zeka bağlamındaki yansımaları için KVKK nedir rehberine göz atabilirsiniz.
EU AI Act'te Cezalar ve Yaygın Yanılgılar
Yasaya uymamanın maliyeti yüksektir. En ağır ihlallerde — örneğin yasaklı bir uygulamanın kullanılması — ceza, küresel yıllık cironun %7'sine veya 35 milyon euroya (hangisi yüksekse) kadar çıkabilir. Diğer yükümlülük ihlallerinde bu oran cironun %3'üne ya da 15 milyon euroya iner; yanlış veya eksik bilgi vermek gibi hafif ihlaller için daha düşük eşikler uygulanır. Cezalar, ihlalin ağırlığına ve şirketin büyüklüğüne göre orantılı belirlenir.
Bu noktada birkaç yaygın yanılgıyı düzeltmek gerekir:
- "Bu sadece AB şirketlerini bağlar" yanılgısı: Yasa etki temellidir; AB pazarına ürün sunan Türk şirketleri de kapsanır.
- "Tüm yapay zeka yasaklanıyor" yanılgısı: Sistemlerin ezici çoğunluğu minimal risktedir ve serbesttir; yasaklar yalnızca kabul edilemez risk kategorisindedir.
- "Uyum tek seferlik bir belgedir" yanılgısı: Yüksek riskli sistemlerde uyum, sistemin tüm yaşam döngüsü boyunca süren bir yönetişim sorumluluğudur.
- "Vakit çok" yanılgısı: Uyum takvimi kademeli olsa da, yüksek riskli sistemler için hazırlık aylar sürer; erteleme en pahalı hatadır.
Bu yanılgıları erkenden aşan kurumlar, uyumu bir engel değil bir pazar erişimi avantajı hâline getirebilir. Kurumsal bir yapay zeka yol haritasında uyumu baştan tasarlamak için yapay zeka danışmanlığı ile başlayabilirsiniz.
Sıkça Sorulan Sorular
EU AI Act ne zaman yürürlüğe girdi?
EU AI Act 1 Ağustos 2024'te yürürlüğe girdi, ancak yükümlülükler aynı anda başlamadı. Uyum takvimi kademelidir: yasaklı uygulamalar 2 Şubat 2025'te, genel amaçlı model kuralları 2 Ağustos 2025'te, yüksek riskli sistemlerin çoğu ise 2026-2027'de uygulanmaya başlar.
Türkiye'deki şirketler EU AI Act'e uymak zorunda mı?
AB pazarına yapay zeka ürünü sunan ya da sistemin çıktısı AB içinde kullanılan Türk şirketleri kapsama girer. Yasa etki temelli (extraterritorial) uygulanır; şirketin AB'de olması gerekmez. AB'ye hizmet veya ürün ihraç eden yazılım firmaları için türkiye etkisi doğrudandır.
EU AI Act'te yüksek riskli sistemler nelerdir?
Sağlık, işe alım, kredi değerlendirme, eğitim, kritik altyapı, kolluk ve göç gibi alanlarda karar veren veya bunları etkileyen yapay zeka sistemleri yüksek riskli sayılır. Bu sistemler için risk yönetimi, veri yönetişimi, insan gözetimi ve uygunluk değerlendirmesi zorunludur.
EU AI Act'e uymamanın cezası nedir?
Yasaklı uygulamalarda ceza, küresel yıllık cironun %7'sine veya 35 milyon euroya (hangisi yüksekse) kadar çıkabilir. Diğer ihlallerde bu oran cironun %3'üne ya da 15 milyon euroya iner. Cezalar, ihlalin ağırlığına ve şirketin büyüklüğüne göre orantılı belirlenir.
EU AI Act ile GDPR arasındaki fark nedir?
GDPR kişisel verinin işlenmesini düzenler; EU AI Act ise yapay zeka sisteminin kendisini, güvenliğini ve risk düzeyini düzenler. İkisi birbirini tamamlar: bir yapay zeka sistemi kişisel veri işliyorsa hem GDPR'a hem AI Act'e uymak zorundadır.
ChatGPT gibi genel amaçlı modeller AI Act kapsamında mı?
Evet. Genel amaçlı yapay zeka (GPAI) modelleri için ayrı bir kategori vardır: teknik dokümantasyon, telif ve eğitim verisi şeffaflığı gibi yükümlülükler getirilir. Sistemik risk taşıyan çok büyük modeller için ek değerlendirme ve raporlama gereklilikleri uygulanır.
Özetle: EU AI Act Nedir?
Özetle eu ai act nedir sorusunun cevabı şudur: yapay zeka sistemlerini oluşturdukları riske göre dört kademeye ayırıp orantılı yükümlülükler getiren, dünyanın ilk kapsamlı yatay yapay zeka yasası. Risk sınıflandırması yasanın omurgasıdır; yüksek riskli sistemler için sıkı uyum gerekir; kademeli uyum takvimi 2025-2027 arasında işler ve türkiye etkisi, AB'ye hizmet veren her şirket için doğrudandır. Temel kavramlar için yapay zeka nedir ve ChatGPT nedir rehberlerine göz atabilir, kurumsal uyum ve strateji için yapay zeka danışmanlığı ile başlayabilirsiniz.
Danismanlik Baglantilari
Bu yazıya en yakın consulting sayfaları
Bu içerikten sonraki mantıklı adım için en ilgili solution, role ve industry landing'lerini burada görebilirsin.
Kurumsal RAG Sistemleri Gelistirme
Sirket ici bilgiye kaynakli, guvenli ve denetlenebilir erisim saglayan uretim seviyesinde RAG mimarileri.
AI Agent ve Workflow Otomasyonu
Tek adimli chatbot'larin otesine gecen; arac, kural ve insan onayi ile ilerleyen AI destekli is akislarina gecis.
COO'lar icin Operasyonel AI ve Surec Otomasyonu
Tekrarlayan is yuklerini azaltan, karar hizini artiran ve ekipleri daha yuksek katma degerli islere tasiyan AI destekli operasyon sistemleri.