EU AI Act'te 2 Ağustos Kayboldu: Dijital Omnibus Ertelemesinin Tam Anatomisi ve 16 Aylık Hazırlık Planı

Hepimizin takvimine kırmızıyla işaretlediği bir tarih vardı: 2 Ağustos 2026. EU AI Act'in yüksek-riskli yapay zeka sistemlerine ilişkin asıl yükümlülüklerinin yürürlüğe gireceği gün. Geçen hafta o tarih sessiz sedasız yerinden oynadı. Ve size içtenlikle söyleyeyim: bu haberi "oh be, kurtulduk" diye karşılayan birkaç ekiple konuştum ve açıkçası içim biraz cız etti. Çünkü bu erteleme, ilk bakışta göründüğü şey değil — ve onu yanlış okuyan kurumlar, 2027'nin sonunda aynı paniği daha pahalıya yaşayacak.

Bu yazıda meseleyi sakince ve uçtan uca konuşacağız: önce EU AI Act'in risk piramidini bir dakikada hatırlayacağız; sonra zaten yürürlükte olan kısımları, Dijital Omnibus'un tam olarak neyi değiştirdiğini, "yüksek-riskli"nin Türk şirketleri için pratikte ne anlama geldiğini, cezaların neden hâlâ masada olduğunu ve elimize geçen bu 16 ayı çeyrek çeyrek nasıl kullanmanız gerektiğini ele alacağız. Amacım size bir haber özeti vermek değil; canlıya alınabilir bir hazırlık planı bırakmak.

EU AI Act, yapay zekayı tek bir kütle olarak değil, risk seviyesine göre düzenler. Dört katman vardır. En tepede kabul edilemez riskli uygulamalar bulunur: sosyal puanlama, kişilerin zafiyetlerini sömüren manipülasyon, kolluk için kamuya açık alanda gerçek zamanlı biyometrik tanıma gibi. Bunlar yasaktır. Hemen altında yüksek-riskli sistemler gelir — yasak değildir ama en ağır yükümlülükler bunlardadır: risk yönetimi, veri yönetişimi, loglama, insan gözetimi, teknik dokümantasyon, uygunluk değerlendirmesi. Daha aşağıda, kullanıcının bir AI ile etkileştiğini bilmesi gereken sınırlı riskli (şeffaflık) sistemler; en altta da serbest bırakılan minimal riskli kullanımlar yer alır.

Tüm tartışmanın merkezindeki tarih — 2 Ağustos 2026 — işte bu yüksek-riskli katmanla ilgiliydi. Yani spam filtresi ya da ürün öneri motoru gibi minimal kullanımlar değil; kredi skorlama, işe alım, kritik altyapı, kamu hizmetlerine erişim gibi insanların hayatını doğrudan etkileyen sistemler.

Sahada en sık karşılaştığım kafa karışıklığı bu. Ertelenen şey, yalnızca yüksek-riskli sistemlere ilişkin yükümlülüklerin başlama tarihi. AI Act'in birçok parçası çoktan yürürlükte ve bunlar ertelenmedi:

• 2 Şubat 2025'ten beri kabul edilemez riskli (yasak) uygulamalar ve AI okuryazarlığı yükümlülüğü uygulanıyor. Yani sosyal puanlama veya manipülatif sistemler bugün zaten yasadışı ve en ağır ceza dilimine tabi.
• 2 Ağustos 2025'ten beri genel amaçlı yapay zeka (GPAI) modellerine ilişkin yükümlülükler ve yönetişim kuralları yürürlükte. GPAI sağlayıcıları teknik dokümantasyon hazırlamak, downstream sağlayıcıları bilgilendirmek, telif uyum politikası uygulamak ve eğitim verisi özeti yayımlamak zorunda. Amazon, Google, Microsoft, OpenAI ve Anthropic dahil onlarca firma, "uygunluk karinesi" sağlayan Code of Practice'i erkenden imzaladı.

Bunları hatırlatmamın sebebi şu: eğer şirketiniz üretken AI kullanıyor veya AB'ye model/servis sunuyorsa, AI Act sizin için bugün başlamış durumda. Ertelenen tek şey, en ağır yüksek-risk paketinin saatidir.

EU AI Act: yürürlük takvimi (Dijital Omnibus sonrası)

Tarih	Ne yürürlüğe giriyor	Durum
2 Şubat 2025	Yasaklı uygulamalar + AI okuryazarlığı	Yürürlükte
2 Ağustos 2025	GPAI model yükümlülükleri + yönetişim	Yürürlükte
2 Aralık 2026	Şeffaflık / içerik işaretleme (Madde 50)	Yaklaşan yakın eşik
2 Aralık 2027	Annex III yüksek-risk yükümlülükleri	2 Ağustos 2026'dan ertelendi
2 Ağustos 2028	Regüle ürünlere gömülü AI (Annex I)	Ertelendi

"Dijital Omnibus" adı verilen düzenleme paketinde Mayıs 2026'da bir geçici siyasi uzlaşıya varıldı; Konsey temsilcileri 13 Mayıs'ta teyit etti. Özü, uygulamayı sadeleştirmek ve sektöre hazırlanmak için zaman tanımak. Başlıca değişiklikler şunlar:

• Annex III kapsamındaki bağımsız yüksek-riskli sistemler için yükümlülükler 2 Ağustos 2026'dan 2 Aralık 2027'ye kaydı — yaklaşık 16 ay.
• Regüle ürünlere gömülü AI (tıbbi cihaz, makine, araç gibi Annex I ürünleri) 2 Ağustos 2028'e ötelendi.
• Şeffaflık ve içerik işaretleme (watermarking) yükümlülükleri (Madde 50) yalnızca 2 Aralık 2026'ya ertelendi. Dikkat: asıl yakın tarih bu.
• Madde 5'e yeni yasaklar eklendi: rıza dışı mahrem görüntü üreten araçlar ("nudifier") ve çocuk istismarı içeriği üretimi açıkça yasaklandı.
• Sistemini yüksek-risk dışında değerlendiren sağlayıcılar için AB veritabanına kayıt yükümlülüğü yeniden getirildi.

Yani yükümlülükler ortadan kalkmadı. Takvime yayıldı. Bu ikisi çok farklı şeyler: biri "yapmana gerek yok" der, diğeri "daha sonra, ama mutlaka yap" der. Omnibus ikincisidir.

Erteleme de uyum da, ancak sizi ilgilendiriyorsa bir anlam taşır. O yüzden en kritik soru şu: sizin sistemleriniz yüksek-riskli mi? Annex III, yüksek-risk sayılan kullanım alanlarını sayar. Türk kurumları açısından en sık denk gelen başlıklar:

Kredi skorlama ve sigorta fiyatlandırması. Bir bankanın kredi başvurusunu değerlendiren ya da bir sigortacının prim belirleyen AI sistemi, doğrudan Annex III kapsamındadır. Türkiye'de bu alanlar zaten BDDK, SEDDK ve KVKK ile yoğun regüle; AI Act bunun üzerine açıklanabilirlik ve insan gözetimi katmanı ekler.

İşe alım ve İK. CV eleyen, adayları sıralayan veya performans değerlendiren sistemler yüksek-risklidir. "Sadece ön eleme yapıyor" demek sistemi kapsam dışına çıkarmaz; insan üzerinde ayrımcılık riski taşıyan her karar destek katmanı buraya girer.

Kritik altyapı, eğitim, kamu hizmetlerine erişim. Enerji şebekesi yönetimi, sınav/değerlendirme sistemleri, sosyal yardım veya kamu hizmeti tahsisinde kullanılan AI da yüksek-risklidir.

Buradaki tuzak, "biz sadece bir POC yaptık" rahatlığıdır. Annex III, sistemin olgunluğuna değil kullanım amacına bakar. Demo bile olsa, canlıya alındığında insanların kredisine, işine veya hizmet erişimine etki edecekse, yüksek-risk yükümlülükleri sizi bekliyor demektir.

Sahada sıkça duyduğum bir cümle: "Biz AB'de değiliz, bu bizim sorunumuz değil." Keşke o kadar basit olsaydı. AI Act'in kapsamı coğrafi olarak sınır tanımaz; sistemin çıktısı AB içinde kullanılıyorsa, sağlayıcı veya dağıtıcı Türkiye'de olsa bile yükümlülükler devreye girer. Yani AB'deki müşterilere SaaS sunan bir Türk yazılım şirketi, bir Avrupalı banka için model geliştiren bir danışmanlık, ya da AB pazarına ürün satan bir üretici — hepsi kapsam içindedir. Bu, GDPR'ın Türk şirketlerini şaşırtan coğrafi kapsamıyla aynı mantıktır; ve aynı dersi ikinci kez öğrenmemek gerekir. Eğer iş modelinizin herhangi bir ucu AB'ye değiyorsa, AI Act sizin için "yabancı bir mevzuat" değil, doğrudan uyulması gereken bir çerçevedir.

AI Act yükümlülükleri, sistemle olan ilişkinize göre değişir; bu yüzden ilk netleştirmeniz gereken şey rolünüzdür. Sağlayıcı (provider), sistemi geliştirip kendi adıyla piyasaya süren taraftır ve en ağır yük (Madde 16) ondadır: risk yönetimi, teknik dokümantasyon, uygunluk değerlendirmesi, kayıt. Dağıtıcı/uygulayıcı (deployer) ise sistemi kendi süreçlerinde kullanan taraftır ve Madde 26 ile insan gözetimi, kullanım amacına uygunluk, giriş verisinin uygunluğu ve loglama yükümlülüklerini taşır.

Türk kurumlarının çoğu, yabancı bir modeli (OpenAI, Anthropic, Google) ya da bir vendor çözümünü kendi süreçlerinde kullanan dağıtıcı konumundadır — ve "biz sadece kullanıyoruz" demek sizi kapsamdan çıkarmaz. Üstelik bir modeli önemli ölçüde değiştirir, kendi markanızla sunar veya kullanım amacını değiştirirseniz, hukuken sağlayıcı sayılıp ağır yükümlülük dilimine geçebilirsiniz. Bu geçişin farkında olmadan kendini sağlayıcı konumunda bulan çok şirket gördüm. O yüzden envanterinizdeki her sistem için tek bir soruyu netleştirin: bu sistemde ben sağlayıcı mıyım, dağıtıcı mıyım, yoksa ikisi birden mi?

Soyut kalmasın; yüksek-risk damgası yiyen bir sistem için pratikte kurmanız gereken yedi şey var. Birincisi, risk yönetim sistemi: sistemin tüm yaşam döngüsü boyunca süren, belgelenmiş ve güncellenen bir süreç. İkincisi, veri yönetişimi: eğitim, doğrulama ve test verisinin kalitesi, temsil gücü ve önyargı kontrolü. Üçüncüsü, teknik dokümantasyon: sistemin nasıl çalıştığını denetime hazır biçimde gösteren dosya. Dördüncüsü, otomatik kayıt (logging): olayların izlenebilir ve geriye dönük incelenebilir tutulması. Beşincisi, dağıtıcıya şeffaflık: kullanım talimatlarının, sınırların ve uygun kullanım koşullarının açıkça aktarılması. Altıncısı, insan gözetimi: bir insanın kararı anlamlı biçimde denetleyebilmesi ve gerektiğinde geçersiz kılabilmesi. Yedincisi, doğruluk, sağlamlık ve siber güvenlik: sistemin beklenen koşullarda tutarlı ve saldırılara dayanıklı çalışması.

Bu yedi başlık, 2027'ye kadar tamamlamanız gereken iş listesinin omurgasıdır. Hiçbiri bir haftada kurulmaz; her biri süreç, sahiplik ve test ister. İşte ertelemenin size kazandırdığı zamanın gerçek değeri tam da budur: bu yedi katmanı aceleye getirmeden, doğru kurmak. Aşağıda en çok tökezlenen üçünü biraz açalım.

Yüksek-risk yükümlülüklerinin kalbi risk yönetim sistemidir, ama çoğu ekip bunu tek seferlik bir doküman sanıyor. Oysa bu, yaşayan bir süreçtir. Önce sistemin makul biçimde öngörülebilir risklerini tanımlarsınız: ayrımcılık, hatalı ret, güvenlik açığı, kötüye kullanım. Sonra her riski azaltacak önlemleri tasarlar ve uygularsınız. Ardından kalan (residual) riski değerlendirip kabul edilebilir olup olmadığına karar verirsiniz. En kritik kısım sonuncusudur: sistem canlıya alındıktan sonra da izleme sürer; gerçek dünyada ortaya çıkan yeni riskler döngüye geri beslenir. Bir kez yazıp rafa kaldırılan risk değerlendirmesi, denetimde en hızlı çürüyen belgedir. Denetçi size "bu riski ne zaman, kim, hangi veriye bakarak yeniden değerlendirdi?" diye sorduğunda, yaşayan bir kayıt gösterebilmeniz gerekir.

Sahada en sık tökezlenen yükümlülük veri yönetişimidir. Yüksek-riskli bir sistemin eğitim, doğrulama ve test verisi amaca uygun, yeterince temsil edici ve mümkün olduğunca hatasız olmalı. Burada asıl mesele önyargı: tarihsel veride gizlenen ayrımcılık, modele sessizce sızar ve kredi ya da işe alım kararında kendini gösterir. Bu yüzden veri kümenizdeki dağılımları, eksik temsil edilen grupları ve olası proxy değişkenleri — örneğin posta kodunun gelir veya etnisite için bir vekil değişkene dönüşmesi — bilinçli biçimde incelemeniz gerekir. Türkiye bağlamında bu, KVKK'nın özel nitelikli veri hassasiyetiyle de doğrudan örtüşür. Önyargıyı ölçmediğiniz bir sistemde "biz ayrımcılık yapmıyoruz" demek, denetimde geçerli bir savunma değildir; ölçüm olmadan ne olduğunu bilemezsiniz.

İnsan gözetimi, en çok yanlış uygulanan maddedir. Bir ekrana "Onayla" düğmesi koyup her çıktıyı otomatik geçirmek, gözetim değil tiyatrodur. AI Act'in istediği anlamlı gözetimdir: gözeten kişinin sistemi anlayacak yetkinliği, kararı sorgulayacak zamanı ve geçersiz kılacak gerçek yetkisi olmalı. Buradaki asıl düşman otomasyon önyargısıdır — insanlar makineye fazla güvenip körlemesine onaylama eğilimindedir. İyi tasarlanmış bir gözetim katmanı, yüksek riskli vakaları öne çıkarır, karar için gerekçe ister ve gözetenin gerçekten müdahale edip etmediğini ölçer. Eğer onay oranınız %99,9 ise, muhtemelen gözetim değil bir lastik damga işletiyorsunuzdur.

AI Act uyumu çoğu zaman tek bir kurumun duvarları içinde bitmez; bir tedarik zinciri meselesidir. Modeli sağlayan, veriyi sağlayan, sistemi entegre eden ve onu kullanan farklı taraflar olabilir. Bu yüzden uyumun sözleşmelere yazılması şarttır: vendor'ınız hangi belgeleri sağlayacak, hangi kullanım sınırlarını garanti edecek, bir uyumsuzluk çıkarsa sorumluluk nasıl paylaşılacak? Bu maddeler bugün sözleşmeye girmezse, 2027'de denetim kapıya geldiğinde pazarlık gücünüz kalmaz. Erken davranan kurumların en sessiz avantajı budur: uyumu, satın alma ve sözleşme sürecinin bir parçası yaparlar — sonradan eklenmeye çalışılan bir yama olarak değil.

Ertelemeyi bir mola sanmanın en pahalı tarafı, cezaların hâlâ masada olduğunu unutturmasıdır. AI Act'in yaptırım rejimi (Madde 99) üç katmanlıdır ve KVKK ya da GDPR'a alışkın ekipler için bile caydırıcıdır.

Dikkat edilmesi gereken nokta: en üst ceza dilimi (35M€/%7) yasaklı uygulamalar içindir ve o yasaklar Şubat 2025'ten beri yürürlükte — yani ertelemeyle hiç ilgisi yok. Yüksek-risk yükümlülüklerinin tarihi 2027'ye kaysa da, bugün manipülatif ya da yasaklı bir sistem çalıştırıyorsanız risk bugünden gerçektir.

Manşet "2027'ye ertelendi" olduğu için kolayca atlanan üç şey var, ve bunlar 2026'nın kendisini ilgilendiriyor. İlki, 2 Aralık 2026'daki şeffaflık ve içerik işaretleme yükümlülüğü. Üretken AI ile içerik üretiyorsanız (metin, görsel, ses, video), bu içeriğin makine-okunur biçimde işaretlenmesi ve kullanıcının bir AI ile etkileştiğini bilmesi gerekecek. Bu, yüksek-risk paketinden çok daha yakın ve çoğu kurum için çok daha az hazırlıklı oldukları bir alan.

İkincisi, yasaklar: Şubat 2025'ten beri yürürlükteler; ertelenmediler. Üçüncüsü, GPAI yükümlülükleri: Ağustos 2025'ten beri yürürlükteler. Eğer kendi modelinizi eğitiyor veya ince ayar yapıyorsanız, dokümantasyon ve telif yükümlülükleri sizi şimdiden bağlıyor.

Türk kurumları için belki de en pratik içgörü bu: EU AI Act ve KVKK ayrı dünyalar değil. İki rejim, büyük ölçüde aynı mühendislik disiplinlerini ister; tek bir governance katmanı her ikisine birden hizmet eder.

Veri minimizasyonu ve amaç sınırlaması her ikisinde de var. Loglama ve izlenebilirlik: KVKK denetim izi ister, AI Act otomatik kayıt ister — aynı altyapı. Erişim kontrolü: ikisinde de rol-bazlı erişim ve veri sınırları. Açıklanabilirlik ve veri sahibinin hakları: KVKK'da otomatik kararlara itiraz hakkı, AI Act'te insan gözetimi ve açıklanabilirlik. Hatta KVKK'nın veri koruma etki değerlendirmesi (DPIA) ile AI Act'in temel haklar etki değerlendirmesi (FRIA) büyük ölçüde örtüşür; ikisini tek bir süreç olarak tasarlamak hem maliyeti düşürür hem de tutarlılığı artırır.

Pratik tavsiyem: governance'ı "AB için ayrı, Türkiye için ayrı" diye iki silo halinde kurmayın. Tek bir kontrol kataloğu çıkarın, her kontrolü hem KVKK hem AI Act maddelerine eşleyin, bir kez uygulayın.

Somut bir senaryo, soyut maddelerden daha öğreticidir. Bir Türk bankası, kredi başvurularını ön değerlendiren bir model çalıştırıyor olsun — Annex III'e tam isabet, yüksek-risk. İlk çeyrekte yapılması gereken, sistemin envantere alınması, "yüksek-risk" olarak etiketlenmesi ve bankanın bu sistemde sağlayıcı mı dağıtıcı mı olduğunun netleştirilmesidir (model içeride mi geliştirildi, yoksa bir vendor'dan mı alındı?).

İkinci çeyrekte, modelin eğitim verisindeki önyargı analizi ve veri yönetişimi belgelenir; kritik olan, bunun BDDK ve KVKK gereklilikleriyle aynı dosyada birleştirilmesidir — üç ayrı denetim için üç ayrı klasör değil. Üçüncü çeyrekte, her ret kararının bir insan tarafından anlamlı biçimde gözden geçirilebildiği bir akış (human-in-the-loop) ve audit-trail kurulur; müşteriye açıklanabilir bir gerekçe üretilir. Son çeyrekte teknik dokümantasyon ve uygunluk değerlendirmesi tamamlanır, bir iç denetim tatbikatıyla boşluklar kapatılır.

Bu plan, ertelemeyi bahane etmek yerine onu kullanır. Sonuç olarak banka, 2027 sonunda yalnızca "uyumlu" değil; daha tutarlı kararlar veren, denetime hazır ve müşteri güvenini koruyan bir sisteme sahip olur. Uyum, çoğu zaman bir maliyet gibi sunulur; doğru kurgulandığında aslında bir kalite yatırımıdır.

Çoğu kurum kendi temel modelini sıfırdan eğitmiyor; GPT, Claude veya Gemini gibi hazır bir GPAI modelini kullanıyor. Bu sizi sorumluluktan kurtarmaz, ama sorumluluğu paylaştırır. GPAI sağlayıcısı kendi yükümlülüklerini — teknik dokümantasyon, telif uyumu, eğitim verisi özeti — Ağustos 2025'ten beri taşıyor. Siz ise bu modeli yüksek-riskli bir kullanımda devreye alıyorsanız, dağıtıcı yükümlülüklerini üstlenirsiniz: kullanım amacına uygunluk, insan gözetimi, giriş verisinin uygunluğu ve loglama.

Pratikte bu üç adım demektir: vendor'ınızdan uygunluk belgelerini ve kullanım sınırlarını sözleşmeye bağlamak; modelin sizin bağlamınızdaki davranışını test edip sınırlarını belgelemek; ve kendi tarafınızda gözetim ile audit katmanını kurmak. "Sorumluluk vendor'da" demek, denetimde sizi korumaz; çünkü o modeli yüksek-riskli bir kararda kullanan sizsiniz.

Gördüğüm en sessiz başarısızlık sebebi, sorumluluğun kimsede olmamasıdır. AI governance'ı "herkesin işi" yaparsanız, pratikte kimsenin işi olmaz. Net bir AI governance sahibi belirleyin; hukuk, veri, güvenlik ve iş birimlerinden oluşan küçük ama yetkili bir komite kurun; envanteri, risk sınıflandırmasını ve kontrol kataloğunu bu yapının altında tutun. Karar hakkı ve hesap verebilirlik netleşmeden, en iyi teknik hazırlık bile sahada dağılır. Bir kurumun AI olgunluğunu, kullandığı modelden çok bu sahiplik yapısının olup olmamasından anlarım.

Türkiye ve EMEA ekipleriyle çalışırken hep aynı hikâyeyi izliyorum: güzel çalışan bir demo, sonra aylarca rafta bekleyen bir governance işi, sonra son üç ayda patlayan bir panik. Regülasyon ertelendiğinde bu kalıp daha da azgınlaşıyor. Oysa elinizdeki şey tam tersi için bir armağan: nefes nefese değil, sindire sindire doğru kurmak için zaman. İşte yerinizde olsam izleyeceğim sıra.

Nasıl Yapılır

EU AI Act'e 16 aylık hazırlık planı

Yüksek-risk ertelemesinin kazandırdığı süreyi panik yerine planlı uyuma çevirmek için çeyrek bazlı yol haritası.

1. 1

   Çeyrek 1 — Envanter ve sınıflandırma

   Tüm AI sistemlerinizi listeleyin ve her birini risk katmanına eşleyin. Hangileri Annex III? Bu, ertelemeden bağımsız, bugün yapabileceğiniz en yüksek getirili iş.

2. 2

   Çeyrek 2 — Ortak governance omurgası

   KVKK ve AI Act kontrollerini tek bir katalogda birleştirin: veri minimizasyonu, loglama, erişim kontrolü, DPIA/FRIA. Bir kez kurun, iki rejime hizmet etsin.

3. 3

   Çeyrek 3 — Şeffaflık ve doğrulama

   2 Aralık 2026 eşiği için üretken çıktılarda işaretleme ve AI bildirimi devreye alın. Yüksek-riskli kararlara insan onayı, audit-trail ve halüsinasyon kontrolü ekleyin.

4. 4

   Çeyrek 4+ — Uygunluk ve tatbikat

   Teknik dokümantasyonu, risk yönetim dosyasını ve uygunluk değerlendirmesini tamamlayın; bir iç denetim tatbikatıyla 2027 son tarihinden önce boşlukları kapatın.

Birincisi, ertelemeyi durma sinyali sanmak. Tarih uzayınca bütçe ve dikkat başka yere kayıyor; oysa kazanılan tek şey zaman, zorunluluk değil. İkincisi, envanteri atlamak. Hangi sistemin yüksek-riskli olduğunu bilmeden yapılan her uyum yatırımı ya eksik ya da israftır. Üçüncüsü, şeffaflık tarihini gözden kaçırmak. Herkes 2027'ye odaklanırken 2 Aralık 2026 sessizce yaklaşıyor. Dördüncüsü, KVKK ile AI Act'i ayrı projeler olarak yürütmek. Bu, aynı işi iki kez yapıp iki kat maliyet çıkarmaktır. Beşincisi, "biz sadece POC yaptık" rahatlığı. Kapsam, sistemin olgunluğuna değil kullanım amacına bakar; canlıya alındığında insanları etkileyecekse, yüksek-risktir.

Teoriyi bırakıp somut bir başlangıç verelim. İlk 30 gün: bir AI envanteri çıkarın ve her sistemi risk katmanına işaretleyin; "yüksek-risk adayı" olanları ayrı bir listeye alın. İlk 60 gün: KVKK ve AI Act kontrollerini eşleyen tek bir governance kataloğu hazırlayın; en yüksek riskli iki-üç sistem için boşluk analizi yapın. İlk 90 gün: şeffaflık/işaretleme prototipini bir üretken kullanımda test edin ve yüksek-riskli bir karar akışına insan onayı + audit-trail ekleyin. Bu üç adım, ertelemeden bağımsız olarak hem KVKK'ya hem AI Act'e sizi bugünden yaklaştırır.

Dijital Omnibus, AB'nin "uygulamayı biraz sadeleştirelim, sektöre nefes verelim" yaklaşımının bir parçası — niyeti iyi. Ama yükümlülüğü silmiyor, zamana yayıyor. Bu 16 ayı sistemlerini gerçekten işletilebilir, denetlenebilir ve KVKK-uyumlu hale getirmek için kullanan kurumlar 2027 sonunda hazır olacak; tarihe güvenip bekleyenler ise aynı paniği, sadece biraz daha geç ve daha pahalı yaşayacak. Hangi grupta olmak istediğinize bugün karar veriyorsunuz — ve bu kararı vermek için elinizde tam 16 ay, ama kaybedecek tek bir çeyrek bile yok.

Tüm bu çerçeveyi bir kenara koyup kuruma dönelim ve dürüst birkaç soru soralım. AI sistemlerinizin eksiksiz bir envanteri var mı, ve her biri bir risk katmanına atanmış mı? Yüksek-risk adaylarınızın her biri için sağlayıcı mı dağıtıcı mı olduğunuzu netleştirdiniz mi? Üretken AI çıktılarınızda, kullanıcının bir yapay zeka ile konuştuğunu açıkça gösteren bir bildirim var mı? Yüksek-riskli kararlarınızda, bir insanın gerçekten inceleyip geçersiz kılabildiği bir gözetim noktası bulunuyor mu — yoksa sadece bir "Onayla" düğmesi mi? Kullandığınız modellerin sağlayıcılarıyla yaptığınız sözleşmelerde uyum ve sorumluluk maddeleri yer alıyor mu? KVKK ve AI Act kontrollerinizi tek bir katalogda mı yönetiyorsunuz, yoksa iki ayrı ekip iki ayrı tabloda mı çalışıyor?

Bu soruların çoğuna "henüz değil" diyorsanız, yalnız değilsiniz; sahada gördüğüm kurumların büyük kısmı bugün tam olarak burada. Önemli olan, bu listeyi bir suçlama olarak değil, bir başlangıç haritası olarak görmek. Her "hayır", önümüzdeki 16 ayda kapatılacak somut bir boşluğu işaret eder — ve her birini bugünden ele almak, 2027'de panikle boğuşmaktan hem daha ucuz hem daha sağlıklıdır. Üstelik bu öz-değerlendirmeyi bir kez yapıp bir kenara atmayın; çeyrekte bir tekrar edin ve "hayır"ların "evet"e dönüşünü ölçün. Uyum, tek bir teslim değil; izlenen bir eğridir.

Son olarak, uyum konusundaki bakış açınızı tersine çevirmenizi öneririm. Çoğu kurum AI Act'i bir "yapılacaklar listesi" ya da hukuk biriminin sırtındaki bir yük olarak görür. Oysa erteleme bize tam da bunu yeniden düşünme fırsatı veriyor. Governance'ı doğru kuran bir kurum yalnızca cezadan kaçınmıyor; daha tutarlı kararlar veren, müşterisine hesap verebilen ve denetime her an hazır bir sisteme sahip oluyor. Bu, regüle sektörlerde — bankacılık, sigorta, sağlık, kamu — doğrudan bir güvene ve dolayısıyla ticari bir avantaja dönüşüyor.

Müşteriniz, kararının arkasında gösterilebilir bir disiplin olduğunu bildiğinde size daha çok güvenir; denetçiniz, dosyalarınızın hazır olduğunu gördüğünde işiniz kolaylaşır; ekibiniz, neyi neden yaptığını bildiğinde daha hızlı ve daha az korkuyla ilerler. 16 ayı bu çerçevede kullanan kurumlar 2027'ye yalnızca "uyumlu" değil, "önde" girecek. Sahada defalarca gördüm: regülasyonu son anda yetişilecek bir engel olarak görenler yorgun ve savunmacı; onu bir tasarım ilkesi olarak içselleştirenler ise sakin ve özgüvenli oluyor. Hangi tarafta durmak istediğinizi belirleyen şey, mevzuatın kendisi değil; bugün attığınız ilk adım.

Kaynaklar

1. Artificial intelligence: Council and Parliament agree to simplify and streamline rules, European Council · 2026-05-07
2. Article 99: Penalties, EU Artificial Intelligence Act
3. Implementation Timeline, EU Artificial Intelligence Act
4. EU AI Act Omnibus Agreement — Postponed High-Risk Deadlines and Other Key Changes, Gibson Dunn