EU AI Act Türkiye'deki şirketleri nasıl etkiler? EU AI Act (Avrupa Birliği Yapay Zeka Yasası), Avrupa pazarına yapay zeka içeren ürün veya hizmet sunan ya da yapay zeka çıktısı AB'de kullanılan her şirketi — merkezi Türkiye'de olsa bile — ekstra-territoryal (ülke-dışı) etkisiyle doğrudan bağlar. Yani bir Türk şirketinin bu yasadan etkilenip etkilenmediğini belirleyen şey, şirketin nerede kurulu olduğu değil, ürettiği yapay zeka çıktısının AB sınırları içinde kullanılıp kullanılmadığıdır.
Bu durum, birçok Türk yöneticinin sandığının aksine, EU AI Act'i "Avrupa'nın iç meselesi" olmaktan çıkarır ve AB ile ticari, teknolojik veya operasyonel bağı olan her Türk kurumunun gündemine sokar. Bu kapsamlı rehber, EU AI Act Türkiye bağlamında ne anlama geldiğini bir yönetim danışmanı titizliğiyle ele alıyor: yasanın kapsamı ve yürürlük takvimi; risk temelli sınıflandırma (yasak, yüksek riskli, sınırlı, minimal); yüksek riskli sistemler için uyum yükümlülükleri; GPAI kuralları; hangi Türk şirketlerinin etkilendiği; ekstra-territoryal etkinin mekaniği; KVKK ile ilişki ve farklar; cezalar; ve adım adım bir hazırlık yol haritası. Amaç, "biz de kapsamda mıyız, kapsamdaysak ne yapmalıyız?" sorusuna tahminle değil, yapılandırılmış bir çerçeveyle yanıt verebilmenizdir. Not: Bu içerik bilgilendirme amaçlıdır ve hukuki tavsiye niteliği taşımaz.
- EU AI Act (Avrupa Birliği Yapay Zeka Yasası)
- Avrupa Birliği'nin yapay zeka sistemlerini risk temelli bir yaklaşımla düzenleyen, dünyanın ilk kapsamlı yapay zeka yasasıdır. Sistemleri kabul edilemez, yüksek riskli, sınırlı ve minimal risk seviyelerine ayırır; yüksek riskli sistemler ve GPAI (genel amaçlı yapay zeka) modelleri için uyum yükümlülükleri getirir. Ekstra-territoryal etkisi nedeniyle, çıktısı AB'de kullanılan yapay zeka sistemlerini sunan Türkiye merkezli şirketleri de kapsar.
- Ayrıca: Avrupa Yapay Zeka Yasası, AB Yapay Zeka Tüzüğü, AI Act, EU AI Act Türkiye
EU AI Act Nedir ve Neden Türk Şirketlerini İlgilendirir?
EU AI Act, Avrupa Birliği'nin yapay zekayı yatay (tüm sektörleri kapsayan) ve risk temelli bir yaklaşımla düzenleyen ilk kapsamlı yasal çerçevesidir. Amacı, yapay zekanın faydalarından yararlanırken temel haklar, güvenlik ve demokratik değerler üzerindeki riskleri sınırlamaktır. Yasanın felsefesi basittir: bir yapay zeka sistemi ne kadar çok zarar verme potansiyeli taşıyorsa, üzerindeki yükümlülükler o kadar ağır olmalıdır. Bu yüzden yasa tek bir kural seti değil, riske göre kademelenen bir yükümlülük piramidi kurar. Yasanın temel kavramlarını daha geniş çerçevede görmek için EU AI Act nedir rehberi iyi bir başlangıçtır; yapay zekanın kendisiyle yeni tanışıyorsanız yapay zeka nedir yazısı temel oluşturur.
Peki bu Avrupa yasası neden Türk şirketlerini ilgilendirsin? Cevap, yasanın coğrafi kapsamındadır. EU AI Act, tıpkı GDPR gibi, yalnızca AB'de kurulu şirketlere değil, çıktısı AB pazarında kullanılan yapay zeka sistemlerine uygulanır. Türkiye, AB ile Gümrük Birliği'ne sahip, ihracatının önemli bir bölümünü AB'ye yapan ve birçok küresel tedarik zincirinin parçası olan bir ülkedir. Bu ekonomik entegrasyon, EU AI Act Türkiye ekseninde soyut bir hukuk tartışması olmaktan çıkarır ve somut bir ticari gerçekliğe dönüştürür.
İkinci bir neden, "Brüksel etkisi" (Brussels effect) denen olgudur: AB'nin koyduğu standartlar, pazarın büyüklüğü nedeniyle çoğu zaman küresel fiili standarda dönüşür. GDPR'nin dünya çapında veri koruma yasalarını nasıl şekillendirdiğini gördük; EU AI Act'in de yapay zeka yönetişimi için benzer bir referans hâline gelmesi beklenmektedir. Bu, AB'ye hiç ihracat yapmayan Türk şirketleri için bile, EU AI Act'i bir "en iyi uygulama" çıpası yapar. Kurumsal yapay zeka yönetişimini kavramsal düzeyde ele almak için AI governance nedir ve sorumlu yapay zeka nedir yazıları bu çerçeveyi tamamlar.
Üçüncü neden rekabetçiliktir. AB pazarına erişim, birçok Türk şirketi için stratejik önem taşır. EU AI Act uyumu, bu erişimin giderek bir ön koşulu hâline gelmektedir; uyumsuz bir yapay zeka bileşeni, bir ihracat sözleşmesini riske atabilir veya bir AB'li müşterinin tedarikçi listesinden çıkmanıza yol açabilir. Bu anlamda uyum, yalnızca bir yükümlülük değil, aynı zamanda bir pazar erişim aracı ve rekabet avantajıdır. EU AI Act Türkiye ihracatçısı için, uyumu bir maliyet kalemi değil, bir yatırım olarak görmek daha doğrudur.
EU AI Act Türkiye'deki Şirketleri Neden Doğrudan Etkiler?
EU AI Act Türkiye ekseninde en kritik kavram ekstra-territoryallik, yani yasanın ülke sınırlarının ötesine uzanan etkisidir. Yasanın kapsamı, sistemi "piyasaya süren" (sağlayıcı), "kullanan" (deployer/kullanıcı), "ithal eden" ve "dağıtan" gibi farklı rolleri kapsar ve bu roller AB dışında da bulunabilir. Örneğin bir Türk yazılım şirketi, AB'deki bir bankaya yapay zeka tabanlı bir kredi değerlendirme modülü satıyorsa, o modül AB pazarına sürülmüş sayılır ve Türk şirketi "sağlayıcı" olarak yasanın yükümlülüklerine tabi olur.
Bunun mekaniği üç tipik senaryo üzerinden anlaşılır. Birincisi, doğrudan ürün/hizmet ihracatı: Türk şirketi, yapay zeka içeren bir yazılımı veya cihazı AB'deki müşterilere satar. İkincisi, çıktı kullanımı: sistem Türkiye'de çalışır ama ürettiği çıktı (örneğin bir skor, bir karar, bir sınıflandırma) AB'de bir kişi hakkında kullanılır. Üçüncüsü, tedarik zinciri: Türk şirketi, AB'ye ürün satan başka bir firmanın yapay zeka bileşenini sağlar. Bu üç senaryonun hepsinde, coğrafi merkez Türkiye olsa da yasal kapsam AB hukukudur.
Burada GDPR ile paralellik öğreticidir. GDPR, AB'deki kişilerin verisini işleyen dünyanın her yerindeki şirketi kapsadığı için, birçok Türk şirketi zaten GDPR uyumu deneyimi yaşadı. EU AI Act de benzer bir coğrafi mantık kurar, ama odağı veriden yapay zeka sistemine kayar. GDPR'nin bu mantığını hatırlamak için GDPR nedir yazısına bakabilirsiniz; iki düzenleme birlikte, AB'ye hizmet veren Türk şirketleri için katmanlı bir uyum ortamı oluşturur.
EU AI Act Türkiye açısından pratik sonuç nettir: AB ile herhangi bir yapay zeka temaslı ticari ilişkiniz varsa, "bu yasa bizi bağlamaz" varsayımı tehlikelidir. Doğru yaklaşım, kapsamda olup olmadığınızı sistem sistem değerlendirmek; kapsamdaysanız hangi rolde (sağlayıcı, kullanıcı, ithalatçı, dağıtıcı) olduğunuzu belirlemektir. Rol, yükümlülüklerinizi doğrudan belirler; çünkü sağlayıcının yükümlülükleriyle kullanıcının yükümlülükleri farklıdır.
EU AI Act'in Yürürlük Takvimi Nedir?
EU AI Act tek bir günde değil, kademeli bir takvimle yürürlüğe girer. Bu kademeli yaklaşım bilinçlidir: en yüksek riskli ve en açık zararlı uygulamalar önce yasaklanır, daha karmaşık uyum gerektiren yükümlülükler ise şirketlere hazırlık süresi tanıyan daha uzun geçiş dönemlerinin sonunda tam olarak uygulanır. Bu takvimi doğru okumak, EU AI Act Türkiye hazırlığında zamanlama açısından belirleyicidir; çünkü her hüküm için geriye doğru planlama yapmak gerekir.
Genel mantık şu şekilde ilerler. İlk aşamada, kabul edilemez risk taşıyan (yasaklı) uygulamalara ilişkin hükümler devreye girer; bunlar en erken uygulanan kısımdır çünkü toplumsal zararı en açık olanlardır. Sonraki aşamada, GPAI (genel amaçlı yapay zeka) modellerine ilişkin şeffaflık ve dokümantasyon kuralları uygulanmaya başlar. En uzun geçiş süresi ise yüksek riskli sistemlere ilişkin kapsamlı yükümlülüklere tanınır; çünkü bu yükümlülükler (uygunluk değerlendirmesi, teknik dokümantasyon, kalite yönetim sistemi) hem geliştiriciler hem kullanıcılar için ciddi hazırlık gerektirir.
EU AI Act Türkiye hazırlığı açısından takvimin pratik dersi şudur: geçiş sürelerinin sonunu beklemek, en pahalı stratejidir. Uyum, özellikle yüksek riskli sistemler için, tasarım aşamasından itibaren gömülmesi gereken bir süreçtir; sistem üretime alındıktan sonra geriye dönük uyum sağlamak hem çok daha maliyetli hem de teknik olarak zordur. Bu yüzden ileri görüşlü Türk şirketleri, resmi son tarihleri beklemeden, kendi yapay zeka portföylerini bugünden yasanın kategorilerine göre haritalamaya başlamaktadır. Erken başlamak, uyum maliyetini zamana yayarak yönetilebilir kılar.
EU AI Act'in Risk Sınıflandırması Nasıl Çalışır?
EU AI Act'in kalbi, risk sınıflandırması adı verilen dört seviyeli piramittir. Yasanın tüm mantığı bu sınıflandırmaya dayanır: bir sistemin hangi seviyeye girdiği, o sisteme uygulanacak yükümlülüklerin ağırlığını doğrudan belirler. Bu yüzden EU AI Act uyumunun ilk ve en kritik adımı, her yapay zeka sisteminizi doğru seviyeye yerleştirmektir. Yanlış sınıflandırma, ya gereksiz maliyete ya da ciddi uyum ihlaline yol açar. Risk sınıflandırması, yasanın hem en güçlü hem de en çok dikkat gerektiren yönüdür.
Seviye 1: Kabul Edilemez Risk (Yasak Uygulamalar)
Piramidin en tepesinde, tamamen yasaklanan uygulamalar bulunur. Bunlar, AB'nin temel değerleriyle ve haklarıyla bağdaşmaz kabul edilen yapay zeka kullanımlarıdır: örneğin devletler tarafından yapılan genel amaçlı sosyal puanlama; insanların zayıflıklarını (yaş, engel, ekonomik durum) sömürerek davranışlarını manipüle eden sistemler; belirli biyometrik kategorize etme ve belirli koşullarda gerçek zamanlı uzaktan biyometrik tanıma uygulamaları. Bu kategorideki sistemler, ne kadar iyi belgelenirse belgelensin, AB pazarında yasaktır. Türk şirketleri için ders açıktır: ürün tasarımında bu tür işlevlerden baştan kaçınmak gerekir.
Seviye 2: Yüksek Riskli Sistemler
Piramidin en kritik ve en çok yükümlülük taşıyan katmanı budur. Yüksek riskli sistemler, insanların güvenliğini, haklarını veya yaşam fırsatlarını önemli ölçüde etkileyebilecek alanlarda kullanılan yapay zeka sistemleridir: kritik altyapı yönetimi, eğitim ve mesleki değerlendirme, işe alım ve çalışan yönetimi, temel kamu ve özel hizmetlere erişim (örneğin kredi skorlaması), kolluk, göç ve sınır yönetimi, adalet. Bu sistemler yasak değildir; ama piyasaya sürülmeden önce kapsamlı uyum yükümlülüklerini karşılamaları gerekir. Bu yazının ilerleyen bölümü, yüksek riskli sistemler için gereken yükümlülükleri ayrıntılı ele alıyor.
Seviye 3: Sınırlı Riskli Sistemler
Bu katmanda, temel şeffaflık yükümlülükleri devreye girer. Sınırlı riskli sistemler, kullanıcılar için doğrudan yüksek risk taşımasa da, insanların bir yapay zeka ile etkileşimde olduklarını bilmelerini gerektirir. Klasik örnek sohbet botlarıdır: bir kullanıcı, bir insanla mı yoksa bir yapay zeka ile mi konuştuğunu bilmelidir. Benzer biçimde, yapay zeka tarafından üretilen veya değiştirilen içerik (örneğin sentetik görüntü, ses veya video — deepfake dahil) uygun biçimde etiketlenmelidir. Bu şeffaflık kuralları, yüksek riskli sistemlere göre çok daha hafiftir ama yine de zorunludur.
Seviye 4: Minimal Riskli Sistemler
Piramidin tabanında, yapay zeka uygulamalarının büyük çoğunluğu yer alır: spam filtreleri, oyun içi yapay zeka, envanter optimizasyonu gibi, temel haklar veya güvenlik açısından kayda değer risk taşımayan sistemler. Bu sistemler için yasa ek bir zorunlu yükümlülük getirmez; kurumlar isterse gönüllü davranış kurallarını benimseyebilir. Çoğu kurumun günlük yapay zeka kullanımının önemli bir kısmı bu kategoriye girer; bu, sınıflandırmanın kurumları boğmadığını, dikkati gerçekten riskli sistemlere yönlendirdiğini gösterir.
| Risk seviyesi | Örnek uygulamalar | Temel yükümlülük |
|---|---|---|
| Kabul edilemez (yasak) | Sosyal puanlama, manipülatif sistemler | Tamamen yasak |
| Yüksek riskli | İşe alım, kredi, sağlık, kritik altyapı | Kapsamlı uyum yükümlülükleri |
| Sınırlı riskli | Sohbet botu, sentetik içerik | Şeffaflık (bilgilendirme, etiketleme) |
| Minimal riskli | Spam filtresi, oyun yapay zekası | Ek zorunluluk yok (gönüllü) |
EU AI Act Türkiye açısından bu risk sınıflandırmasının en önemli pratik sonucu şudur: bir kurumun tüm yapay zeka sistemleri aynı yükümlülüğe tabi değildir. Doğru strateji, sistemleri tek tek sınıflandırıp enerjiyi yüksek riskli sistemlere yoğunlaştırmaktır. Minimal riskli bir uygulamaya yüksek riskli muamelesi yapmak kaynak israfıdır; yüksek riskli bir uygulamayı minimal sanmak ise ciddi bir uyum ihlalidir. Bu yüzden sınıflandırma, kendi başına bir uzmanlık gerektiren ve dikkatle yapılması gereken bir çalışmadır.
Yüksek Riskli Sistemlerin Uyum Yükümlülükleri Nelerdir?
Yüksek riskli sistemler, EU AI Act'in en ağır uyum yükümlülüklerini taşıyan kategorisidir; ve AB'ye yapay zeka çözümü sunan birçok Türk şirketinin gerçek zorluğu tam da buradadır. Bu sistemler için yasa, piyasaya sürülmeden önce karşılanması ve sistemin tüm yaşam döngüsü boyunca sürdürülmesi gereken bir yükümlülükler bütünü tanımlar. Aşağıda, bu uyum yükümlülüklerini kalem kalem ele alıyoruz. Not: Bu liste kavramsal bir haritadır; kendi sisteminiz için kesin gerekleri hukuk danışmanınız ve resmi metinle doğrulamalısınız.
Risk Yönetim Sistemi
Yüksek riskli sistemin tüm yaşam döngüsü boyunca sürekli çalışan bir risk yönetim sistemi kurulmalıdır. Bu sistem, öngörülebilir riskleri tanımlar, değerlendirir ve azaltıcı önlemler alır. Risk yönetimi tek seferlik bir belge değil, sistem güncellendikçe ve yeni riskler ortaya çıktıkça yenilenen yaşayan bir süreçtir. Yapay zekaya özgü riskleri anlamak için yapay zekada önyargı nedir ve yapay zeka halüsinasyonu nedir yazıları, hangi risklerin izleneceğine dair somut bir zemin sunar.
Veri ve Veri Yönetişimi
Yüksek riskli sistemlerin eğitildiği veri kümeleri belirli kalite kriterlerini karşılamalıdır: ilgili, temsil gücü yüksek, mümkün olduğunca hatasız ve eksiksiz. Amaç, verideki önyargının sistem kararlarına yansıyıp ayrımcılık üretmesini önlemektir. Bu, veri yönetişiminin (veri kaynakları, hazırlama, etiketleme, önyargı denetimi) yasal bir yükümlülük hâline geldiği anlamına gelir. Kişisel veri söz konusuysa, bu yükümlülük KVKK ve GDPR ile de kesişir; veri anonimleştirmenin rolü için veri anonimleştirme nedir ve kişisel verinin tanımı için kişisel veri nedir yazılarına bakabilirsiniz.
Teknik Dokümantasyon ve Kayıt Tutma
Sistem, piyasaya sürülmeden önce, uyumu kanıtlayacak ayrıntılı teknik dokümantasyona sahip olmalıdır: sistemin amacı, tasarımı, yetenekleri, sınırları, kullanılan veri ve risk yönetimi. Ayrıca sistem, çalışması sırasında olayları otomatik kaydeden (loglama) bir yapıya sahip olmalıdır; bu, izlenebilirlik ve sonradan denetim için gereklidir. Dokümantasyon, uyumun kâğıt üzerindeki kanıtıdır; iyi belgelenmemiş bir sistem, teknik olarak uygun olsa bile uyumlu sayılmaz.
Şeffaflık ve Kullanıcı Bilgilendirmesi
Yüksek riskli bir sistem, onu kullanan kişilerin (deployer) sistemi doğru anlayıp doğru kullanabilmesi için yeterli şeffaflıkla ve talimatla birlikte sunulmalıdır. Kullanıcı, sistemin ne yaptığını, sınırlarını ve çıktısını nasıl yorumlaması gerektiğini bilmelidir. Bu şeffaflık, açıklanabilir yapay zeka (explainable AI) yaklaşımlarıyla yakından ilgilidir; konuyu derinleştirmek için açıklanabilir yapay zeka nedir yazısına göz atabilirsiniz.
İnsan Gözetimi (Human Oversight)
Yüksek riskli sistemler, etkili insan gözetimi mümkün olacak biçimde tasarlanmalıdır. Bu, bir insanın sistemin çıktısını izleyebilmesi, gerektiğinde müdahale edebilmesi veya sistemi durdurabilmesi anlamına gelir. Amaç, otomatik kararların insan denetimi olmadan geri döndürülemez zararlar üretmesini önlemektir. İnsan gözetimi, yalnızca bir "onay düğmesi" değil, insanın anlamlı biçimde devrede kalmasını sağlayan bir tasarım ilkesidir.
Doğruluk, Sağlamlık ve Siber Güvenlik
Sistem, amacına uygun bir doğruluk düzeyinde çalışmalı; hatalara, tutarsızlıklara ve kötü niyetli saldırılara karşı sağlam olmalıdır. Bu, hem teknik performansı (model doğruluğu) hem de güvenliği (örneğin veri zehirleme veya girdi manipülasyonuna karşı direnç) kapsar. Yapay zekaya özgü güvenlik risklerini anlamak için, büyük dil modellerinin nasıl çalıştığını ele alan LLM nedir yazısı ve üretken sistemlerin doğasını açıklayan üretken yapay zeka nedir yazısı temel oluşturur.
Uygunluk Değerlendirmesi ve İşaretleme
Tüm bu yükümlülükler karşılandıktan sonra, yüksek riskli sistem bir uygunluk değerlendirmesinden geçmeli, bir uygunluk beyanı düzenlenmeli ve (uygulanabilir olduğunda) CE benzeri bir işaretleme ile piyasaya sürülmelidir. Bu süreç, sistemin yasal gereklere uygun olduğunu resmî olarak beyan etmenizi sağlar. Uygunluk değerlendirmesi, uyumun taçlandırıldığı adımdır; ama öncesindeki tüm hazırlık doğru yapılmadıysa geçilemez.
| Yükümlülük | Ne gerektirir | Atlanırsa riski |
|---|---|---|
| Risk yönetimi | Yaşam döngüsü boyunca sürekli süreç | Öngörülmeyen zarar, ihlal |
| Veri yönetişimi | Kaliteli, temsil gücü yüksek veri | Önyargı ve ayrımcılık |
| Teknik dokümantasyon | Ayrıntılı kayıt ve loglama | Uyum kanıtlanamaz |
| İnsan gözetimi | Anlamlı müdahale imkânı | Geri döndürülemez otomatik karar |
| Doğruluk & güvenlik | Sağlamlık ve siber güvenlik | Saldırı ve hata riski |
| Uygunluk değerlendirmesi | Beyan ve işaretleme | Piyasaya sürülemez |
EU AI Act Türkiye açısından bu yükümlülükler listesi göz korkutucu görünebilir; ama doğru okunduğunda, aslında iyi mühendislik ve iyi yönetişimin bir kontrol listesidir. Zaten olgun bir yapay zeka geliştirme süreci yürüten kurumlar, bu yükümlülüklerin çoğunu farklı adlarla halihazırda uyguluyor olabilir. Uyum, sıfırdan bir yük değil, mevcut süreçleri belgelenmiş, denetlenebilir ve sistematik hâle getirmektir. Bu yüzden yüksek riskli sistemler için uyum, teknik bir engelden çok bir olgunlaşma fırsatıdır.
GPAI (Genel Amaçlı Yapay Zeka) Kuralları Nelerdir?
EU AI Act'in en yeni ve en çok tartışılan bölümlerinden biri, GPAI (general-purpose AI, genel amaçlı yapay zeka) modellerine ilişkin kurallardır. GPAI, tek bir dar göreve değil, geniş bir görev yelpazesine hizmet edebilen modelleri ifade eder; büyük dil modelleri (LLM'ler) bunun en tipik örneğidir. Bu modellerin nasıl çalıştığını anlamak için LLM nedir ve dil modellerinin bir alt türü olan GPT nedir yazıları temel oluşturur. GPAI kuralları, yasaya risk temelli piramidin yanına ikinci bir eksen ekler.
GPAI için temel yükümlülükler şeffaflık ve dokümantasyon etrafında toplanır. Bir GPAI sağlayıcısı; modelin yetenekleri ve sınırları hakkında teknik dokümantasyon hazırlamalı, modeli kendi ürünlerine entegre eden aşağı akış (downstream) sağlayıcılara yeterli bilgi sunmalı, telif hakkına saygılı bir eğitim politikası izlemeli ve modelin eğitiminde kullanılan içerik hakkında yeterince ayrıntılı bir özet yayımlamalıdır. Bu kurallar, GPAI ekosistemindeki şeffaflığı artırmayı ve modeli kullanan kurumların bilinçli karar vermesini sağlamayı amaçlar.
Bazı büyük GPAI modelleri ise "sistemik risk" taşıyan olarak nitelenebilir; bunlar, ölçekleri ve yaygın kullanımları nedeniyle toplum düzeyinde etki üretebilecek modellerdir. Sistemik riskli GPAI için ek yükümlülükler devreye girer: model değerlendirmeleri yapmak, sistemik riskleri analiz edip azaltmak, ciddi olayları raporlamak ve yeterli siber güvenlik sağlamak. Bu ek katman, en güçlü modellerin en yüksek gözetim altında olmasını sağlar.
EU AI Act Türkiye bağlamında GPAI kurallarının pratik önemi şudur: Türk şirketlerinin büyük çoğunluğu GPAI modelleri geliştiren değil, kullanan taraftır. Yani çoğu Türk kurumu, hazır bir büyük dil modelini kendi ürününe veya sürecine entegre eder. Bu durumda kurum, ya bir aşağı akış sağlayıcısı ya da bir kullanıcı (deployer) konumundadır. Böyle bir kurumun akıllıca stratejisi, kullandığı GPAI sağlayıcısının EU AI Act uyumlu dokümantasyon sunup sunmadığını sözleşme aşamasında sorgulamak ve bu dokümantasyonu kendi uyum dosyasında kullanmaktır. Uyumun bir kısmı, doğru sağlayıcıyı seçmekle çözülür.
Hangi Türk Şirketleri EU AI Act'ten Etkilenir?
EU AI Act Türkiye ekseninde en somut soru şudur: "Peki bu yasa benim şirketimi kapsıyor mu?" Cevap, şirketin AB ile yapay zeka temaslı ilişkisinin biçimine bağlıdır. Aşağıda, en çok etkilenen Türk şirketi profillerini ele alıyoruz. Ortak nokta, hepsinin bir biçimde yapay zeka çıktısını AB pazarına ulaştırıyor olmasıdır.
AB'ye İhracat Yapan Şirketler
En doğrudan etkilenen grup budur. Yapay zeka içeren bir yazılım, cihaz veya hizmeti AB'ye satan Türk şirketleri, bu sistemin risk seviyesine göre sağlayıcı yükümlülüklerine tabi olur. İhracat yapan bir yazılım firması, bir akıllı cihaz üreticisi veya AB'li müşterilere SaaS sunan bir teknoloji şirketi bu kapsamdadır. İhracat, EU AI Act'i doğrudan devreye sokan en net tetikleyicidir; çünkü ürünü fiilen AB pazarına siz sürersiniz. Bu yüzden AB'ye ihracat yapan Türk şirketleri için EU AI Act uyumu, gümrük ve ürün güvenliği uyumu kadar temel bir ihracat ön koşuludur.
Tedarik Zincirinde Yer Alan Şirketler
İkinci grup, doğrudan AB'ye ihracat yapmasa da AB'ye satan bir firmanın tedarik zincirinde yer alan Türk şirketleridir. Örneğin, AB'ye ürün satan bir üreticiye yapay zeka tabanlı bir bileşen (bir görüntü işleme modülü, bir tahmin motoru) sağlayan bir Türk teknoloji firması, dolaylı olarak kapsama girer. AB'li ana firma, kendi uyum yükümlülüğünü sözleşmelerle tedarikçilerine yansıtır; böylece uyum baskısı ihracat zincirinin geriye doğru her halkasına yayılır. Tedarik zinciri etkisi, EU AI Act'in Türkiye'de sanılandan çok daha geniş bir kesimi etkilemesinin başlıca nedenidir.
AB'li Kullanıcılara Hizmet Verenler
Üçüncü grup, sistemi Türkiye'de çalıştıran ama çıktısını AB'deki kişiler için kullanan şirketlerdir. Örneğin, AB'deki başvuru sahiplerini değerlendiren bir işe alım platformu, AB'li müşterilere kredi skoru üreten bir fintech veya AB'li kullanıcılara yapay zeka destekli danışmanlık sunan bir dijital hizmet, coğrafi olarak Türkiye'de olsa da EU AI Act kapsamına girebilir. Belirleyici olan sunucunun yeri değil, çıktının kim hakkında ve nerede kullanıldığıdır.
Çok Uluslu Grupların Türkiye Kolları
Dördüncü grup, merkezi AB'de olan çok uluslu bir grubun Türkiye'deki iştiraki veya Ar-Ge merkezidir. Bu tür kurumlar, grup genelinde uygulanan yapay zeka yönetişim politikalarına uymak zorunda kalır; grup, EU AI Act uyumunu tüm iştiraklerine yayar. Bu durumda Türkiye kolu, yerel bir yükümlülükten değil, grup politikası nedeniyle uyum sürecinin parçası olur.
| Şirket profili | Etki biçimi | Tipik rol |
|---|---|---|
| AB'ye ihracatçı | Doğrudan kapsam | Sağlayıcı |
| Tedarik zinciri üyesi | Sözleşmeyle dolaylı | Bileşen sağlayıcı |
| AB'li kullanıcıya hizmet | Çıktı AB'de kullanılıyor | Sağlayıcı/Kullanıcı |
| Çok uluslu grup iştiraki | Grup politikası | Kullanıcı |
| Yalnızca yurt içi | Dolaylı (fiili standart) | İzleyici |
Dikkat edilmesi gereken bir nokta, yalnızca yurt içinde faaliyet gösteren ve AB ile hiçbir teması olmayan şirketlerin bile tamamen bağışık olmadığıdır. EU AI Act'in bir "fiili küresel standart" hâline gelmesiyle, bu şirketler bile giderek yasanın ilkelerini (şeffaflık, insan gözetimi, risk yönetimi) benimsemeye yönelir; hem gelecekteki olası bir Türkiye düzenlemesine hazırlık için hem de müşteri güveni için. İhracat yapmayan bir kurum bugün doğrudan yükümlü olmasa da, EU AI Act'in belirlediği çerçeve, sorumlu yapay zekanın küresel dilini oluşturmaktadır.
EU AI Act ile KVKK Arasındaki İlişki ve Farklar Nedir?
Türk yöneticilerin en sık karıştırdığı konu, EU AI Act ile KVKK'nın (Kişisel Verilerin Korunması Kanunu) ilişkisidir. İkisi de "yapay zekayı ilgilendiren düzenleme" gibi görünse de, farklı şeyleri düzenlerler ve birbirinin yerine geçmezler. Bu ayrımı net anlamak, EU AI Act Türkiye uyumunun hem KVKK hem de GDPR ile nasıl örtüştüğünü görmek için kritiktir. KVKK'nın temel çerçevesi için KVKK nedir yazısı, KVKK uyumlu yapay zeka mimarisi için ise KVKK uyumlu yapay zeka nedir yazısı iyi bir başlangıçtır.
Temel fark şudur: KVKK, kişisel verinin işlenmesini düzenler; odağı veridir. Bir yapay zeka sistemi kişisel veri işliyorsa, KVKK devreye girer: hukuki dayanak, aydınlatma yükümlülüğü, veri güvenliği, VERBIS kaydı ve veri sahibinin hakları. EU AI Act ise yapay zeka sisteminin kendisini ve toplumsal riskini düzenler; odağı sistemdir. Sistem hangi risk seviyesinde, hangi güvenlik ve şeffaflık gereklerini karşılıyor, insan gözetimi var mı — bunlar EU AI Act'in sorularıdır. Bir sistem kişisel veri hiç işlemese bile (örneğin bir üretim kalite kontrol modeli) yüksek riskli olabilir ve EU AI Act yükümlülüklerine tabi olur.
Bu iki düzenleme kesişir ama örtüşmez. Bir yapay zeka sistemi, KVKK'ya tam uyumlu olabilir (kişisel veriyi doğru işliyor) ama EU AI Act'in yüksek riskli sistem yükümlülüklerini karşılamıyor olabilir (risk yönetimi veya insan gözetimi eksik). Tersi de mümkündür. AB'ye hizmet veren Türk şirketleri için pratik sonuç, üç katmanlı bir uyum ortamıdır: kişisel veri için KVKK (yurt içi) ve GDPR (AB'li veriler), yapay zeka sistemi için EU AI Act. Bu üçü birbirini tamamlar; biri diğerinin yerini tutmaz.
| Boyut | KVKK / GDPR | EU AI Act |
|---|---|---|
| Odak | Kişisel veri | Yapay zeka sistemi ve riski |
| Temel soru | Veri hukuka uygun mu işleniyor? | Sistem güvenli ve sınıfına uygun mu? |
| Tetikleyici | Kişisel veri işleme | Yapay zeka sisteminin risk seviyesi |
| Örnek yükümlülük | Aydınlatma, VERBIS, veri güvenliği | Risk yönetimi, insan gözetimi, uygunluk |
| Kapsamdaki sistem | Kişisel veri işleyen her sistem | Kişisel veri işlemese de olabilir |
EU AI Act Türkiye uyumunda akıllıca yaklaşım, bu iki (aslında üç) düzenlemeyi ayrı silolarda değil, entegre bir yönetişim çerçevesinde ele almaktır. Aynı yapay zeka sistemi için hem KVKK/GDPR veri yükümlülüklerini hem de EU AI Act sistem yükümlülüklerini tek bir uyum dosyasında yönetmek, hem verimlidir hem de boşlukları önler. Uluslararası çerçeveler burada birleştirici rol oynar: ISO/IEC 42001 (yapay zeka yönetim sistemi standardı) ve NIST AI RMF (yapay zeka risk yönetimi çerçevesi), farklı düzenlemeleri tek bir yönetişim yapısı altında toplamaya yardımcı olur. Bu bir hukuki tavsiye değildir; kendi durumunuz için uzman görüşü almanız önerilir.
EU AI Act Cezaları Ne Kadar ve Neden Ciddiye Alınmalı?
EU AI Act, kâğıt üzerinde kalmaması için ciddi bir yaptırım rejimiyle desteklenir. Cezalar, ihlalin ağırlığına göre kademelenir ve en üst kademede küresel yıllık cironun kayda değer bir yüzdesine ya da yüksek bir sabit tutara kadar çıkabilir. Bu, tıpkı GDPR'de olduğu gibi, cezanın şirketin büyüklüğüyle ölçeklendiği anlamına gelir; büyük bir şirket için ceza, caydırıcı olacak kadar yüksek tasarlanmıştır. EU AI Act Türkiye açısından bu, uyumsuzluğun yalnızca itibar değil, doğrudan finansal risk taşıdığını gösterir.
Ceza kademeleri genel olarak ihlalin türüne bağlıdır. En ağır cezalar, kabul edilemez (yasaklı) uygulamaların ihlali içindir. Yüksek riskli sistem yükümlülüklerinin ihlali için daha düşük ama yine de ciddi bir kademe uygulanır. GPAI kurallarının ihlali için ayrı bir kademe vardır. Ayrıca, yetkili otoritelere yanlış, eksik veya yanıltıcı bilgi vermenin de ayrı bir cezası bulunur. KOBİ'ler ve yeni girişimler için orantılılık gözetilse de, temel prensip nettir: uyumsuzluk pahalıdır.
| İhlal türü | Ağırlık | Ceza kademesi (kavramsal) |
|---|---|---|
| Yasaklı uygulama | En ağır | Küresel cironun yüksek yüzdesi / yüksek sabit tutar |
| Yüksek riskli yükümlülük ihlali | Ağır | Orta-yüksek kademe |
| GPAI kural ihlali | Ciddi | Ayrı kademe |
| Yanlış/eksik bilgi verme | Orta | Daha düşük kademe |
Cezaların asıl mesajı, tutarların kendisi değil, uyumun bir "isteğe bağlı iyi niyet" değil, bir yükümlülük olduğudur. EU AI Act Türkiye ihracatçısı için ceza riski, çoğu zaman doğrudan ceza ödemekten daha geniş bir tehdit içerir: bir uyumsuzluk tespiti, ürünün AB pazarından çekilmesine, sözleşmelerin iptaline ve itibar kaybına yol açabilir. Yani asıl maliyet, cezanın kendisi kadar, pazar erişiminin kaybıdır. Bu yüzden uyum, bir risk azaltma yatırımı olarak değerlendirilmelidir; ve en akıllıca yatırım, sorunu sonradan düzeltmek yerine baştan doğru tasarlamaktır.
Ceza rejimini doğru yorumlamanın pratik yolu, onu bir korku aracı değil, bir önceliklendirme pusulası olarak okumaktır. Yasa koyucunun en ağır cezayı yasaklı uygulamalara, sonra yüksek riskli sistemlere ayırması tesadüf değildir; bu kademelenme, riskin nerede yoğunlaştığını ve uyum enerjinizi öncelikle nereye yönlendirmeniz gerektiğini gösterir. Bir Türk şirketi, ceza kademelerini kendi yapay zeka envanterinin üzerine koyduğunda, hangi sistemlerin en yüksek finansal ve hukuki maruziyeti taşıdığını netçe görür. Bu bakış, sınırlı uyum bütçesini en yüksek risk taşıyan sistemlere yöneltmeyi mümkün kılar; yani ceza rejimi, aslında kaynak tahsisi için bir yol haritasıdır. Uyumu bu gözle ele alan kurumlar, cezadan korkarak değil, riski akıllıca yöneterek hareket eder ve bu yaklaşım hem daha sürdürülebilir hem de daha savunulabilirdir.
EU AI Act Uyum Yol Haritası Nasıl Kurulur?
EU AI Act Türkiye hazırlığının en pratik kısmı, dağınık yükümlülükleri sıralı ve yönetilebilir bir yol haritasına dönüştürmektir. Aşağıdaki adımlar, bir Türk şirketinin sıfırdan bir uyum programını nasıl kurabileceğini gösterir. Bu yol haritası kavramsaldır; her kurum, kendi yapay zeka portföyünün büyüklüğüne ve AB temasının yoğunluğuna göre uyarlamalıdır.
EU AI Act uyum yol haritası
Bir Türk şirketinin EU AI Act uyumunu sıfırdan kurması için adım adım yol haritası.
- 1
Yapay zeka envanteri çıkar
Kurumdaki tüm yapay zeka sistemlerini listele; hangisinin AB pazarına dokunduğunu işaretle.
- 2
Risk sınıflandırması yap
Her sistemi yasak, yüksek riskli, sınırlı veya minimal olarak etiketle; rolünü (sağlayıcı/kullanıcı) belirle.
- 3
Boşluk analizi yürüt
Yüksek riskli çıkan sistemler için mevcut durum ile yükümlülükler arasındaki farkı ölç.
- 4
Yönetişim çerçevesi kur
Roller, sorumluluklar, dokümantasyon ve karar süreçlerini tanımla; ISO/IEC 42001 ve NIST AI RMF'den yararlan.
- 5
Teknik yükümlülükleri uygula
Risk yönetimi, veri yönetişimi, insan gözetimi, loglama ve şeffaflığı sistemlere göm.
- 6
Sürekli izlemeye geç
Uyumu tek seferlik proje değil, düzenli denetlenen bir sürece dönüştür.
Bu yol haritasının en kritik adımı ilk ikisidir: envanter ve sınıflandırma. Bir kurum, hangi yapay zeka sistemlerine sahip olduğunu ve bunların hangi risk seviyesinde olduğunu bilmiyorsa, uyumu planlaması imkânsızdır. Şaşırtıcı biçimde, birçok kurum kendi yapay zeka envanterini tam olarak bilmez: farklı departmanlar bağımsız araçlar edinmiş, "gölge yapay zeka" (shadow AI) oluşmuş olabilir. Bu yüzden envanter çıkarma, uyumun hem ilk adımı hem de çoğu zaman en aydınlatıcı adımıdır.
İkinci kritik nokta, yönetişim çerçevesidir. EU AI Act uyumu tek bir kişinin veya departmanın işi değildir; hukuk, teknoloji, veri, iş birimleri ve üst yönetimin koordinasyonunu gerektirir. Sağlam bir yönetişim, kimin neyden sorumlu olduğunu, kararların nasıl alındığını ve uyumun nasıl belgelendiğini netleştirir. Yapay zeka yönetişimini kurumsal düzeyde kurmak için AI governance nedir yazısı çerçeve sunar; bu çerçeveyi kurmakta dış uzmanlıktan yararlanmak isterseniz yapay zeka danışmanlığı nedir yazısı yol gösterir.
EU AI Act Uyum Kontrol Listesi ve Hazırlık Şablonu
Aşağıdaki kontrol listesi, EU AI Act Türkiye hazırlığında bir kurumun kendi hazırlığını hızlıca değerlendirmesi için pratik bir araçtır. Her maddeye "evet" diyebiliyorsanız, uyum olgunluğunuz yüksek demektir; "hayır" olan her madde, bir sonraki adımınızı işaret eder.
EU AI Act uyum kontrol listesi
Bir kurumun EU AI Act uyum olgunluğunu değerlendirmesi için adım adım kontrol listesi.
- 1
Kapsam netliği
Hangi sistemlerimizin AB pazarına dokunduğunu ve yasanın bizi hangi rolde kapsadığını biliyor muyuz?
- 2
Envanter ve sınıflandırma
Tüm yapay zeka sistemlerimizin bir envanteri ve risk sınıflandırması var mı?
- 3
Yüksek riskli tespit
Yüksek riskli sistemlerimizi belirledik ve bunlar için boşluk analizi yaptık mı?
- 4
Dokümantasyon
Teknik dokümantasyon, loglama ve uyum kanıtı süreçlerimiz hazır mı?
- 5
İnsan gözetimi
Kritik kararlarda anlamlı insan gözetimi tasarladık mı?
- 6
GPAI tedarik
Kullandığımız GPAI sağlayıcılarından uyum dokümantasyonu talep ettik mi?
- 7
KVKK/GDPR entegrasyonu
EU AI Act uyumunu KVKK ve GDPR ile entegre bir çerçevede yönetiyor muyuz?
- 8
Sürekli izleme
Uyumu düzenli denetleyen bir yönetişim ve izleme sürecimiz var mı?
Bu kontrol listesi, bir olgunluk aynası gibi çalışır: çoğu Türk şirketi, ilk kez baktığında birçok maddeye "henüz değil" yanıtı verir; ve bu normaldir. Amaç, mükemmel olmak değil, boşlukları görünür kılmak ve önceliklendirmektir. En akıllıca strateji, tüm sistemleri aynı anda uyumlu hâle getirmeye çalışmak yerine, önce en yüksek riskli ve AB pazarına en çok dokunan sistemlere odaklanmaktır. Bu risk temelli önceliklendirme, sınırlı uyum kaynağını en yüksek etkiye yönlendirir.
Sektörel EU AI Act Örnekleri: Hangi Sektör Nasıl Etkilenir?
EU AI Act'in etkisi sektöre göre belirgin biçimde değişir; çünkü her sektörün yapay zeka kullanımı farklı risk seviyelerine düşer. Aşağıdaki örnekler, EU AI Act Türkiye bağlamında hangi sektörün hangi noktada dikkat etmesi gerektiğini gösterir. Rakamlar değil, kalıplar önemlidir.
Finans ve Bankacılık
Bu sektörde kredi skorlaması ve kredi değerlendirme sistemleri sıklıkla yüksek riskli kategoriye girer; çünkü bireylerin temel hizmetlere erişimini doğrudan etkiler. AB'li müşterilere kredi ürünü sunan bir Türk fintech'i, bu sistemleri için tam uyum yükümlülüklerini karşılamak zorundadır. Ayrıca bu sektörde EU AI Act, mevcut finansal düzenlemelerle (ve Türkiye'de BDDK çerçevesiyle) katmanlı bir uyum ortamı oluşturur.
İnsan Kaynakları ve İşe Alım
İşe alım, terfi ve çalışan değerlendirmesinde kullanılan yapay zeka sistemleri, yasanın açıkça yüksek riskli saydığı alanlardandır; çünkü insanların iş fırsatlarını etkiler. AB'de faaliyet gösteren veya AB'li adayları değerlendiren bir Türk şirketi, işe alım algoritmalarının önyargı denetimi, şeffaflık ve insan gözetimi yükümlülüklerini karşılamasını sağlamalıdır. Önyargı riskini anlamak için yapay zekada önyargı nedir yazısı bu bağlamda özellikle önemlidir.
Sağlık ve Tıbbi Cihazlar
Sağlıkta kullanılan yapay zeka (tanı desteği, görüntü analizi), hem EU AI Act hem de tıbbi cihaz düzenlemeleriyle çift katmanlı bir uyuma tabidir. Bu, en yüksek uyum yükünün olduğu alanlardan biridir; AB'ye sağlık teknolojisi ihraç eden Türk şirketleri için uyum, ürün geliştirme sürecinin ayrılmaz bir parçası olmalıdır.
Üretim ve Sanayi
Üretimde kullanılan kalite kontrol, kestirimci bakım ve robotik sistemler çoğunlukla daha düşük risk seviyelerine düşse de, kritik altyapı veya güvenlik bileşeni içeren uygulamalar yüksek riskli olabilir. AB'ye makine veya akıllı ürün ihraç eden Türk üreticiler, yapay zeka bileşenlerinin ürün güvenliği çerçevesiyle nasıl kesiştiğini değerlendirmelidir.
Perakende ve Pazarlama
Bu sektörde öneri sistemleri ve kişiselleştirme çoğunlukla minimal veya sınırlı risklidir; ancak sohbet botları ve sentetik içerik için şeffaflık yükümlülükleri devreye girer. AB'li tüketicilere hizmet veren bir Türk e-ticaret şirketi, yapay zeka ile üretilen içeriği ve müşteriyle etkileşen botları uygun biçimde etiketlemelidir.
Eğitim ve Kamuya Dönük Hizmetler
Eğitimde kullanılan yapay zeka sistemleri — sınav değerlendirmesi, öğrenci kabul veya yerleştirme, öğrenme çıktısı ölçümü — yasanın yüksek riskli saydığı alanlar arasındadır; çünkü insanların eğitim ve dolayısıyla yaşam fırsatlarını doğrudan etkiler. AB'deki eğitim kurumlarına yapay zeka destekli değerlendirme veya öğrenme teknolojisi sunan Türk eğitim teknolojisi (EdTech) şirketleri, bu sistemler için şeffaflık, önyargı denetimi ve insan gözetimi yükümlülüklerini karşılamalıdır. Benzer biçimde, temel kamu hizmetlerine erişimi belirleyen yapay zeka sistemleri de bu kategoriye girer. Bu alanlarda uyum, yalnızca yasal bir gereklilik değil, aynı zamanda öğrenci ve vatandaş güvenini koruyan bir sorumluluktur; çünkü bir eğitim veya kamu kararının hatalı ya da önyargılı olması, geri döndürülmesi en zor zararlardan birini üretir.
EU AI Act Uyumunda Yaygın Hatalar ve İhlaller Nelerdir?
EU AI Act Türkiye hazırlığında, deneyimli bir gözle bakıldığında kurumların tekrar tekrar aynı hatalara düştüğü görülür. Bu hataların ortak özelliği, uyumu ya çok geç ya da çok yüzeysel ele almalarıdır. En sık görülenler şunlardır:
- "Bizi bağlamaz" varsayımı: En yaygın ve en pahalı hata, coğrafi mesafeye güvenerek kapsam değerlendirmesini hiç yapmamaktır. AB temaslı her yapay zeka teması, bir kapsam sorusu doğurur.
- Envantersiz başlamak: Hangi yapay zeka sistemlerine sahip olduğunu bilmeden uyum planlamak imkânsızdır. "Gölge yapay zeka" — habersiz edinilmiş araçlar — çoğu kurumda gizli bir uyum boşluğudur.
- Sınıflandırmayı atlamak: Tüm sistemleri aynı kefeye koymak, ya kaynak israfına ya da yüksek riskli bir sistemi gözden kaçırmaya yol açar. Doğru sınıflandırma, uyumun temelidir.
- Uyumu son ana bırakmak: Yükümlülükleri, sistem üretime alındıktan sonra geriye dönük sağlamaya çalışmak hem çok pahalı hem de teknik olarak zordur. Uyum, tasarıma gömülmelidir.
- Dokümantasyon eksikliği: İyi çalışan ama belgelenmemiş bir sistem, EU AI Act açısından uyumsuzdur; çünkü uyum kanıtlanabilir olmalıdır. "Yaptık ama yazmadık" bir savunma değildir.
- KVKK ile karıştırmak veya birini yeterli sanmak: KVKK uyumunu EU AI Act uyumu sanmak, tehlikeli bir boşluk yaratır. İkisi farklı şeyleri düzenler ve ayrı ayrı ele alınmalıdır.
- GPAI tedarikçisini sorgulamamak: Hazır bir büyük dil modeli kullanan kurumun, sağlayıcısından uyum dokümantasyonu talep etmemesi, uyum boşluğunu kendi üzerine almasıdır.
Bu hatalardan kaçınmanın en etkili yolu, uyumu bir "hukuk departmanı görevi" olmaktan çıkarıp kurumsal bir öncelik hâline getirmektir. EU AI Act uyumu, teknoloji, hukuk, veri ve iş birimlerinin ortak sorumluluğudur; ve üst yönetimin sahiplenmesini gerektirir. Bağımsız bir dış değerlendirme — projeye duygusal olarak bağlı olmayan, çerçeveyi bilen bir göz — bu hataları erken yakalamada özellikle değerlidir. Kurumsal yapay zeka kapasitesini geliştirmek için kurumsal yapay zeka eğitimi nedir yazısı, ekiplerin bu farkındalığı kazanmasına yardımcı olur.
EU AI Act Uyum Olgunluğu Nasıl Ölçülür ve İzlenir?
Uyum tek seferlik bir hedef değil, sürekli izlenmesi gereken bir durumdur. EU AI Act Türkiye hazırlığını "bir kez yapıp bitirilen proje" olarak görmek, en yaygın stratejik hatalardan biridir; çünkü hem sistemler evrilir hem de yasanın yorumu ve rehberliği zamanla olgunlaşır. Bu yüzden olgun kurumlar, uyumu bir olgunluk modeli ve ölçülebilir göstergelerle izler.
Uyum olgunluğunu izlemenin pratik yolu, birkaç temel göstergeyi düzenli takip etmektir: kurumdaki yapay zeka sistemlerinin ne kadarının envantere alındığı ve sınıflandırıldığı; yüksek riskli sistemlerin ne kadarının tam uyumlu olduğu; dokümantasyonun ne kadar güncel olduğu; ve tespit edilen uyum boşluklarının kapanma hızı. Bu göstergeler, uyumu soyut bir "iyi niyet"ten ölçülebilir bir yönetim konusuna dönüştürür. Her göstergenin bir taban çizgisi, bir hedefi ve bir gözden geçirme sıklığı olmalıdır.
İzlemenin ikinci boyutu, değişikliklere tepki verebilmektir. Bir yapay zeka sistemi güncellendiğinde, risk seviyesi değişebilir; yeni bir kullanım senaryosu eklendiğinde, minimal riskli bir sistem yüksek riskli hâle gelebilir. Bu yüzden uyum yönetişimi, sistem yaşam döngüsüne bağlı olmalı: her önemli değişiklik, bir yeniden sınıflandırma tetiklemelidir. Bu dinamik yaklaşım, uyumun zamanla aşınmasını önler.
Bu yüksek benimseme, EU AI Act Türkiye açısından çift yönlü bir anlam taşır. Bir yandan, Türk şirketleri ve kullanıcıları yapay zekayı hızla benimsiyor; bu, yapay zekanın ekonomik değerinin Türkiye'de hızla artacağını gösterir. Öte yandan, hızlı benimseme, uyum çerçevelerinin gerisinde kalma riskini de büyütür: sistemler hızla üretime alınırken uyum geride kalırsa, sonradan pahalı bir düzeltme gerekir. Bu yüzden yüksek benimseme, uyumu ertelemenin değil, tam tersine öne almanın gerekçesidir. Erken uyum kuran kurumlar, hem AB pazarına erişimi güvenceye alır hem de sorumlu yapay zeka konusunda bir güven avantajı kazanır.
EU AI Act'e Uyum Neden Bir Rekabet Avantajıdır?
EU AI Act Türkiye tartışmasının çoğu, uyumu bir "yük" olarak çerçeveler; ama bu, resmin yalnızca yarısıdır. Uyum, doğru ele alındığında, bir maliyet kalemi olmaktan çıkıp bir rekabet avantajına dönüşür. Bunun birkaç somut nedeni vardır ve bu bakış açısı, uyum yatırımını yönetim kuruluna anlatmayı da kolaylaştırır.
Birincisi, pazar erişimidir. AB, dünyanın en büyük tek pazarlarından biridir ve EU AI Act uyumu, bu pazara yapay zeka temaslı ürün satmanın giderek bir ön koşuludur. Uyumlu olan Türk şirketi, uyumsuz rakiplerinin giremediği sözleşmelere erişebilir; uyum, bir kapı açar. İkincisi, güvendir: EU AI Act ilkelerine (şeffaflık, insan gözetimi, güvenlik) uyan bir şirket, müşterilerine ve iş ortaklarına "sorumlu yapay zeka" konusunda somut bir güvence sunar. Bu güven, özellikle B2B ilişkilerde doğrudan ticari değere dönüşür.
Üçüncüsü, iç olgunluktur. EU AI Act uyumu için kurulan disiplin — envanter, risk yönetimi, dokümantasyon, insan gözetimi — aslında iyi yapay zeka mühendisliğinin ve yönetişiminin ta kendisidir. Bu disiplini kuran bir kurum, yalnızca uyumlu olmaz; aynı zamanda daha güvenilir, daha az riskli ve daha ölçeklenebilir yapay zeka sistemleri geliştirir. Yani uyum çabası, kurumu daha iyi bir yapay zeka kurumu hâline getirir. Bu dönüşümü stratejik olarak yönetmek isteyen kurumlar için dijital dönüşüm nedir yazısı, uyumu daha geniş bir dönüşüm çerçevesine yerleştirir.
EU AI Act Türkiye ekseninde nihai mesaj şudur: uyum, savunmacı bir zorunluluk değil, stratejik bir konumlanmadır. Yasayı erken ve doğru okuyan Türk şirketleri, AB pazarında güvenilir bir yapay zeka tedarikçisi olarak öne çıkacak; geciken şirketler ise hem pazar erişimini hem de güven avantajını kaybetme riskiyle karşılaşacaktır. Bu bağlamda uyum, bir "uymak zorunda kaldığımız kural" değil, "erken uyarak kazandığımız avantaj" olarak görülmelidir.
EU AI Act'te Sağlayıcı ve Kullanıcı Rolleri Arasındaki Fark Nedir?
EU AI Act Türkiye uyumunda en sık gözden kaçan ama en belirleyici ayrımlardan biri, bir kurumun yasadaki rolüdür. Yasa, yapay zeka değer zincirindeki farklı aktörlere farklı yükümlülükler yükler; ve bir Türk şirketinin hangi yükümlülüklere tabi olduğunu, öncelikle hangi rolde olduğu belirler. Aynı sistem için bir kurum "sağlayıcı", başka bir kurum "kullanıcı" olabilir; ve bu iki rolün sorumlulukları önemli ölçüde farklıdır. Bu yüzden risk sınıflandırmasından hemen sonra atılması gereken adım, rol tespitidir.
Sağlayıcı (provider), bir yapay zeka sistemini geliştiren veya kendi adı/markası altında piyasaya süren aktördür. Yüksek riskli sistemler söz konusu olduğunda, en ağır uyum yükümlülükleri sağlayıcıya düşer: risk yönetim sistemini kurmak, teknik dokümantasyonu hazırlamak, uygunluk değerlendirmesini yapmak ve uygunluk beyanını düzenlemek. AB'ye yapay zeka içeren bir ürün ihraç eden Türk yazılım şirketi, tipik olarak sağlayıcı konumundadır ve bu kapsamlı yükümlülükleri karşılamak zorundadır. Sağlayıcı olmak, uyumun ağır ucunda olmak demektir.
Kullanıcı (deployer), bir yapay zeka sistemini kendi otoritesi altında kullanan aktördür — sistemi kendisi geliştirmemiştir, ama işinde kullanır. Kullanıcının yükümlülükleri sağlayıcıya göre daha hafiftir ama önemsiz değildir: sistemi sağlayıcının talimatlarına uygun kullanmak, insan gözetimini fiilen sağlamak, girdi verisinin uygunluğunu gözetmek ve sistemin çalışmasını izlemek. Örneğin AB'de işe alım için hazır bir yapay zeka aracı kullanan bir kurum, o aracın sağlayıcısı olmasa da kullanıcı olarak insan gözetimi ve izleme yükümlülüklerine tabidir. Bu yüzden "biz sadece kullanıyoruz, geliştirmiyoruz" demek, uyumdan muaf olmak anlamına gelmez.
Rollerin bir başka inceliği, rol değişimidir: bir kullanıcı, belirli koşullarda sağlayıcı yükümlülüklerini üstlenebilir. Örneğin bir Türk şirketi, hazır bir sistemi önemli ölçüde değiştirir, kendi markası altında sunar veya sistemin amacını değiştirirse, kullanıcıyken sağlayıcı hâline gelebilir ve daha ağır yükümlülükler devreye girer. Bu yüzden hazır bir yapay zeka sistemini özelleştiren kurumların, bu özelleştirmenin kendilerini sağlayıcı konumuna taşıyıp taşımadığını dikkatle değerlendirmesi gerekir. Rol tespiti tek seferlik değil, sistem değiştikçe yeniden gözden geçirilmesi gereken bir çalışmadır. Yapay zeka değer zincirindeki bu rolleri kurumsal düzeyde yönetmek için AI governance nedir yazısındaki yönetişim çerçevesi yol gösterir.
EU AI Act, ISO/IEC 42001 ve NIST AI RMF Birlikte Nasıl Kullanılır?
EU AI Act Türkiye uyumunu tek başına, sıfırdan kurmaya çalışmak gereksiz zordur; çünkü olgunlaşmış uluslararası çerçeveler tam da bu işi kolaylaştırmak için vardır. İki referans özellikle önemlidir: ISO/IEC 42001 (yapay zeka yönetim sistemi standardı) ve NIST AI RMF (Amerikan standartlar enstitüsünün yapay zeka risk yönetimi çerçevesi). Bu çerçeveler yasal bir zorunluluk değildir; ama EU AI Act'in gerektirdiği yönetişim yapısını kurmak için hazır, denetlenebilir bir iskelet sunarlar. Uyumu bu çerçeveler üzerine inşa etmek, hem zaman kazandırır hem de uluslararası kabul görmüş bir dil sağlar.
ISO/IEC 42001, bir kurumun yapay zekayı sorumlu biçimde yönetmesi için bir yönetim sistemi tanımlar — tıpkı ISO 9001'in kalite yönetimi için yaptığı gibi. Politikalar, roller, risk değerlendirmesi, kontroller ve sürekli iyileştirme döngüsü içerir. EU AI Act'in istediği risk yönetimi, dokümantasyon ve yönetişim yükümlülüklerinin çoğu, ISO/IEC 42001'in kurduğu yapı içinde doğal olarak karşılanır. Bir kurum bu standardı benimsediğinde, EU AI Act uyumu için gereken kurumsal altyapının büyük kısmını zaten kurmuş olur; kalan iş, yasanın spesifik gerekliliklerini bu yapıya eşlemektir.
NIST AI RMF ise daha esnek, gönüllü bir çerçevedir ve yapay zeka risklerini yönetmek için dört temel işlev tanımlar: yönetmek (govern), haritalamak (map), ölçmek (measure) ve yönetip azaltmak (manage). Bu çerçeve, özellikle riskleri tanımlama ve önceliklendirme aşamasında pratiktir. EU AI Act'in risk temelli yaklaşımıyla felsefi olarak uyumludur; ikisi birlikte kullanıldığında, biri "neyi yapmalısın" (yasal yükümlülük), diğeri "nasıl yapabilirsin" (pratik metodoloji) sorusunu yanıtlar. Sorumlu yapay zekanın ilkelerini anlamak için sorumlu yapay zeka nedir yazısı, bu çerçevelerin ortak felsefesini açıklar.
Pratik strateji şudur: bu üçünü rakip değil, katmanlı bir bütün olarak görmek. EU AI Act yasal zemini oluşturur (ne yapmak zorundasınız); ISO/IEC 42001 yönetim sistemini kurar (hangi yapı içinde yapacaksınız); NIST AI RMF risk metodolojisini sağlar (riskleri nasıl tanımlayıp ölçeceksiniz). Bu üç katmanı tek bir entegre uyum programında birleştiren Türk şirketleri, hem EU AI Act uyumunu hem de KVKK ve GDPR uyumunu aynı çatı altında verimli biçimde yönetir. Bu entegrasyonu kurmakta dış uzmanlıktan yararlanmak için yapay zeka danışmanlığı nedir yazısı ve KVKK ekseninde KVKK uyumlu yapay zeka nedir yazısı yol gösterir. Not: Bu çerçevelerin benimsenmesi bir hukuki tavsiye değil, bir iyi uygulama önerisidir.
KOBİ'ler EU AI Act'e Nasıl Orantılı Hazırlanır?
EU AI Act Türkiye tartışmasında sık sorulan bir soru, küçük ve orta ölçekli işletmelerin (KOBİ) bu yükün altından nasıl kalkacağıdır. Endişe haklıdır: kapsamlı uyum yükümlülükleri, sınırlı kaynağı olan bir KOBİ için ilk bakışta ezici görünebilir. Ancak yasa, KOBİ'ler ve yeni girişimler için bazı orantılılık ve destek mekanizmaları öngörür; ve doğru bir önceliklendirme stratejisiyle, bir KOBİ de uyumu yönetilebilir kılabilir. Anahtar, her şeyi aynı anda yapmaya çalışmak yerine, en yüksek riskli ve en çok AB'ye dokunan noktalara odaklanmaktır.
KOBİ'ler için pratik yaklaşım üç ilkeye dayanır. Birincisi, keskin bir kapsam daraltması: bir KOBİ'nin yapay zeka sistemlerinin çoğu büyük olasılıkla minimal veya sınırlı risklidir ve ek yükümlülük gerektirmez. Enerjiyi, gerçekten yüksek riskli olan bir veya iki sisteme yoğunlaştırmak, kaynağı en doğru yere yönlendirir. İkincisi, tedarikçiden yararlanma: bir KOBİ, kullandığı hazır yapay zeka araçlarının ve GPAI modellerinin sağlayıcılarından uyum dokümantasyonu talep ederek, uyum yükünün önemli bir kısmını sağlayıcıya devredebilir. Doğru sağlayıcı seçimi, bir KOBİ için en verimli uyum hamlesidir.
Üçüncü ilke, kademeli olgunlaşmadır. Bir KOBİ, uyumu tek bir dev projede değil, zamanla büyüyen bir yetkinlik olarak kurmalıdır: önce bir yapay zeka envanteri, sonra basit bir risk sınıflandırması, sonra en kritik sistem için temel dokümantasyon. Bu adımların her biri küçüktür ama birikimlidir; ve her adım, bir sonrakini kolaylaştırır. Ayrıca yasa, KOBİ'lerin uyumunu kolaylaştırmak için düzenleyici test ortamları (regulatory sandbox) gibi mekanizmalar da öngörür; bunlar, KOBİ'lerin sistemlerini kontrollü bir ortamda denetim altında geliştirmesine imkân tanır.
KOBİ'ler için en önemli zihniyet değişimi, uyumu bir "büyük şirket lüksü" olarak görmemektir. AB'ye ihracat yapan veya bir AB firmasının tedarik zincirinde yer alan bir KOBİ için EU AI Act uyumu, tam da pazar erişimini koruyan şeydir; uyumsuzluk, bir KOBİ'yi büyük bir müşteriyi kaybetme riskiyle karşı karşıya bırakır. Bu yüzden orantılı ama gerçek bir uyum, KOBİ'ler için savunmacı bir maliyet değil, ihracat kapasitesini koruyan bir yatırımdır. Ekiplerin bu farkındalığı ve temel yetkinliği kazanması için yapay zeka okuryazarlığı nedir ve kurumsal yapay zeka eğitimi nedir yazıları pratik bir başlangıç sunar.
Sıkça Sorulan Sorular
EU AI Act Türkiye'deki şirketleri neden etkiler?
EU AI Act ekstra-territoryal (ülke-dışı) bir yasadır: bir şirketin merkezi Türkiye'de olsa bile, yapay zeka içeren ürünü veya hizmeti AB pazarına sunuluyorsa ya da sisteminin çıktısı AB'de kullanılıyorsa yasa kapsamına girer. Bu, GDPR'nin coğrafi mantığına benzer. Dolayısıyla AB'ye ihracat yapan, bir AB firmasının tedarik zincirinde yer alan veya AB'li kullanıcılara yapay zeka tabanlı hizmet veren Türk şirketleri doğrudan etkilenir; etkilenip etkilenmediğini belirleyen şirketin ülkesi değil, çıktının nerede kullanıldığıdır.
EU AI Act'in risk sınıflandırması nasıl çalışır?
Yasa yapay zeka sistemlerini dört risk seviyesine ayırır. Kabul edilemez risk: sosyal puanlama gibi uygulamalar tamamen yasaktır. Yüksek riskli sistemler: kritik altyapı, işe alım, kredi, eğitim, sağlık gibi alanlarda kullanılan ve ağır uyum yükümlülüklerine tabi sistemler. Sınırlı riskli sistemler: sohbet botu gibi, temel şeffaflık gerektiren sistemler. Minimal riskli sistemler: spam filtresi gibi, ek yükümlülüğü olmayan sistemler. Yükümlülüklerin ağırlığı bu risk sınıflandırmasına göre belirlenir; ilk adım her zaman sisteminizi doğru sınıflandırmaktır.
Yüksek riskli sistemler için hangi uyum yükümlülükleri var?
Yüksek riskli sistemler için uyum yükümlülükleri kapsamlıdır: sürekli bir risk yönetimi sistemi kurmak; veri yönetişimi (eğitim verisinin kalitesi ve temsil gücü); ayrıntılı teknik dokümantasyon ve kayıt tutma (loglama); kullanıcıya yeterli şeffaflık ve talimat sağlamak; etkili insan gözetimi (human oversight) tasarlamak; uygun doğruluk, sağlamlık ve siber güvenlik düzeyi sağlamak; ve piyasaya sürmeden önce uygunluk değerlendirmesi yapıp uygunluk beyanı ile işaretleme sürecini tamamlamak. Bu yükümlülükler sistemin tüm yaşam döngüsü boyunca sürer.
GPAI (genel amaçlı yapay zeka) kuralları nedir?
GPAI, tek bir işe değil geniş bir görev yelpazesine hizmet edebilen genel amaçlı yapay zeka modellerini (örneğin büyük dil modelleri) ifade eder. EU AI Act bu modeller için ayrı bir kural seti getirir: teknik dokümantasyon hazırlamak, modeli entegre eden aşağı akış sağlayıcılara bilgi sağlamak, telif hakkı politikasına uymak ve eğitim verisi hakkında özet yayımlamak. Sistemik risk taşıyan büyük GPAI modelleri için ek yükümlülükler (model değerlendirmesi, sistemik risk analizi, olay raporlama, siber güvenlik) devreye girer. Türk şirketleri çoğunlukla bu modelleri kullanan taraf olduğundan, sağlayıcının sunduğu dokümantasyonu kendi uyumları için kullanmalıdır.
EU AI Act ile KVKK arasındaki fark nedir?
İkisi farklı ama tamamlayıcı düzenlemelerdir. KVKK kişisel verinin işlenmesini düzenler: hukuki dayanak, aydınlatma, veri güvenliği, VERBIS kaydı. EU AI Act ise yapay zeka sisteminin kendisini ve toplumsal riskini düzenler: sistem hangi risk seviyesinde, hangi güvenlik ve şeffaflık gereklerini karşılıyor. Bir sistem KVKK'ya uygun olabilir ama EU AI Act'in yüksek riskli sistem yükümlülüklerini karşılamıyor olabilir; ya da tersi. AB'ye hizmet veren Türk şirketleri için pratik sonuç: KVKK, GDPR ve EU AI Act üçünü birlikte yönetmek gerekir. Bu bir hukuki tavsiye değildir.
EU AI Act'in cezaları ne kadar?
EU AI Act kademeli bir ceza rejimi öngörür ve ihlalin ağırlığına göre değişir. En ağır ceza, kabul edilemez (yasak) uygulamalar içindir ve küresel yıllık cironun belirli bir yüzdesine ya da yüksek bir sabit tutara kadar çıkabilir. Yüksek riskli sistem yükümlülüklerinin ihlali ve GPAI kurallarının ihlali için daha düşük ama yine de ciddi kademeler vardır; yetkililere yanlış veya eksik bilgi vermenin de ayrı bir cezası bulunur. Kesin tutarlar ihlalin türüne ve şirketin büyüklüğüne bağlı olduğundan, kendi durumunuz için güncel resmi metni ve hukuk danışmanınızı esas almalısınız.
AB'ye ihracat yapmayan bir Türk şirketi de EU AI Act'ten etkilenir mi?
Doğrudan yükümlülük altında olmayabilir, ama dolaylı olarak etkilenmesi çok olasıdır. Birçok Türk şirketi, AB'li müşterilerin veya iş ortaklarının tedarik zincirinde yer alır; bu AB'li taraflar, sözleşmeleri aracılığıyla kendi uyum yükümlülüklerini tedarikçilerine yansıtır. Yani AB'ye doğrudan ihracat yapmasanız bile, AB'li bir müşteriniz sizden EU AI Act uyumlu bir yapay zeka bileşeni veya dokümantasyon talep edebilir. Ayrıca EU AI Act küresel bir fiili standart hâline geldiği için, uyumlu olmak pazar erişimi ve rekabet açısından giderek bir ön koşula dönüşmektedir.
EU AI Act uyumu için Türk şirketleri nereden başlamalı?
İlk adım bir yapay zeka envanteri çıkarmaktır: kurumda hangi yapay zeka sistemleri var, hangileri AB pazarına dokunuyor. İkinci adım her sistemi risk sınıflandırmasına göre etiketlemektir. Üçüncü adım, yüksek riskli çıkan sistemler için boşluk analizi yapmaktır. Dördüncü adım, bir yönetişim çerçevesi (roller, dokümantasyon, izleme) kurmaktır; burada ISO/IEC 42001 ve NIST AI RMF gibi çerçeveler yol gösterir. Beşinci adım, uyumu sürekli izlenen bir sürece dönüştürmektir. Küçük ama sistemli başlamak, uyumu yönetilebilir kılar.
EU AI Act yürürlük takvimi nedir?
EU AI Act kademeli olarak yürürlüğe girer: yasak (kabul edilemez risk) uygulamalarına ilişkin hükümler en erken; GPAI kurallarına ilişkin hükümler bir sonraki aşamada; yüksek riskli sistemlere ilişkin yükümlülüklerin tamamı ise daha uzun bir geçiş süresinin sonunda tam olarak uygulanır. Bu kademeli takvim, şirketlere hazırlık için zaman tanımak amacıyla tasarlanmıştır. Türk şirketleri için pratik sonuç şudur: takvimin sonunu beklemek yerine, hangi hükmün ne zaman devreye gireceğini kendi sistemleri için haritalayıp geriye doğru planlama yapmalıdır. Güncel ve kesin tarihler için resmi AB kaynakları esas alınmalıdır.
EU AI Act sadece büyük teknoloji şirketlerini mi ilgilendirir?
Hayır. Yasa, yapay zeka geliştiren büyük sağlayıcıları kapsadığı kadar, yapay zekayı kullanan her ölçekten kurumu da kapsar. Örneğin işe alımda bir yapay zeka aracı kullanan orta ölçekli bir üretici, o sistemin yüksek riskli sınıfa girmesi durumunda kullanıcı (deployer) yükümlülüklerine tabi olur. KOBİ'ler için yasada bazı orantılılık ve destek mekanizmaları öngörülse de, temel prensip herkes için geçerlidir: yapay zekanın riski, şirketin büyüklüğüne değil kullanım alanına göre belirlenir. Bu yüzden EU AI Act, sadece dev teknoloji firmalarının değil, AB ekosistemine dokunan her Türk şirketinin gündemidir.
Özetle: EU AI Act Türkiye'deki Şirketleri Nasıl Etkiler?
Özetle, EU AI Act Türkiye'deki şirketleri, çıktısı AB'de kullanılan yapay zeka sistemleri üzerinden ekstra-territoryal olarak etkiler; belirleyici olan şirketin ülkesi değil, çıktının nerede kullanıldığıdır. Yasa, sistemleri risk sınıflandırmasına (yasak, yüksek riskli, sınırlı, minimal) göre ayırır; en ağır uyum yükümlülükleri yüksek riskli sistemler içindir; GPAI (genel amaçlı yapay zeka) modelleri için ayrı şeffaflık kuralları vardır; ve cezalar ciddidir. En çok etkilenenler, AB'ye ihracat yapan, AB tedarik zincirinde yer alan ve AB'li kullanıcılara hizmet veren Türk şirketleridir.
En önemli mesaj şudur: EU AI Act uyumu, ertelenecek bir yük değil, erken ele alınacak bir stratejik fırsattır. KVKK ve GDPR ile birlikte yönetilen, tasarıma gömülen ve sürekli izlenen bir uyum yaklaşımı, hem ceza ve pazar kaybı riskini düşürür hem de AB pazarında güven avantajı yaratır. Bu yazı bir hukuki tavsiye değil, bilgilendirici bir çerçevedir; kendi durumunuz için uzman görüşü almanız önerilir.
Temel kavramlar için EU AI Act nedir, KVKK nedir ve AI governance nedir yazılarına göz atabilir; kurumunuza özel bir EU AI Act ve KVKK uyum değerlendirmesi ile yol haritası için yapay zeka danışmanlığı ile başlayabilir, ekiplerinizin uyum farkındalığını geliştirmek için kurumsal eğitim seçeneklerini inceleyebilir ve tüm kavramları öğrenme merkezinde derinleştirebilirsiniz.
Danismanlik Baglantilari
Bu yazıya en yakın consulting sayfaları
Bu içerikten sonraki mantıklı adım için en ilgili solution, role ve industry landing'lerini burada görebilirsin.
AI Governance, Risk ve Guvenlik Danismanligi
Kurumsal AI kullanimini veri, erisim, model davranisi ve operasyonel risk eksenlerinde surdurulebilir hale getiren governance cercevesi.
Kurumsal RAG Sistemleri Gelistirme
Sirket ici bilgiye kaynakli, guvenli ve denetlenebilir erisim saglayan uretim seviyesinde RAG mimarileri.
CTO'lar icin Kurumsal AI Mimari Danismanligi
PoC seviyesinde kalan AI girisimlerini guvenli, olceklenebilir ve production-ready mimarilere tasimak icin teknik liderlik danismanligi.