KVKK + EU AI Act + ISO 42001 Uyum Rehberi: Türk Şirketleri İçin Birleşik Çerçeve

Özet (TL;DR)

Tek cümlelik cevap: KVKK + EU AI Act + ISO 42001 üç katmanlı bir AI uyum çerçevesi oluşturur; bunların çakışmasını tek bir yönetim sisteminde birleştirmek hem maliyet hem hız açısından üstündür.

• Türk şirketlerinin AI sistemleri üç farklı regülasyona aynı anda tabidir: KVKK (Türkiye), EU AI Act (AB), ISO 42001 (uluslararası gönüllü standart) — biri diğerinin yerine geçmez.
• Üç regülasyonun çakışma alanı %60 düzeyindedir — tek bir uyum programı tasarımıyla üç yükümlülük birlikte yönetilebilir.
• EU AI Act risk-tabanlıdır: Yasak, Yüksek Risk, Sınırlı Risk, Minimal Risk. AB'ye hizmet veren her Türk şirketi sistemlerini sınıflandırmak zorundadır.
• ISO 42001 zorunlu değildir, ancak EU AI Act yüksek-risk yükümlülüklerinin %80'ini karşılayan tek tanınmış standart olarak C-level karar vericilerin tercihi haline geldi.
• Tam uyum tipik olarak 9-15 ay sürer; geç başlayan şirketler 2026-2027 geçiş takviminde ciddi maliyet yükü ile karşılaşacaktır.

Türkiye'de bir AI sistemi üreten veya işleten şirket, çoğunlukla üç farklı düzenleyici çerçeveye aynı anda tabidir:

• KVKK (6698 Sayılı Kanun, Türkiye, 2016): Kişisel veri içeren her AI işleme adımını kapsar. Zorunlu, ihlal halinde idari para cezası.
• EU AI Act (Avrupa Birliği, 2024): AB pazarında AI sistemi sunan veya kullananlar için zorunludur. Cezalar yıllık global cironun %7'sine kadar çıkabilir.
• ISO/IEC 42001 (Uluslararası, 2023): Gönüllü AI yönetim sistemi standardı. Sertifikasyonu ihale şartı olarak istenmeye başlandı.

Üç Çerçeve Aynı Anda Niye Mantıklı?

Bu üç regülasyonun yükümlülüklerinin yaklaşık %60'ı çakışır. Veri yönetişimi, risk değerlendirmesi, dokümantasyon, insan denetimi, kayıt tutma gibi gereksinimler her üçünde de bulunur. Bunları üç ayrı program olarak yönetmek yerine tek bir uyum mimarisi kurmak hem maliyet hem operasyonel verimlilik açısından üstündür.

Tanım

KVKK (Kişisel Verilerin Korunması Kanunu)

Türkiye'nin kişisel verilerin işlenmesini düzenleyen ana kanunu (6698 Sayılı Kanun, 2016). Kişisel veri içeren her AI eğitimi, inference çağrısı ve veri depolama işlemi KVKK kapsamındadır; açık rıza, amaç sınırlaması, veri minimizasyonu ve cross-border transfer kuralları geçerlidir.

Ayrıca: LPPD, Türk GDPR

Wikidata: Q56021829

KVKK'nın AI'a Bakan Yüzü

KVKK, AI'a özel bir kanun değildir — ama AI sistemlerinin işlediği veriler genelde kişisel veri olduğu için her AI projesinin birinci uyum katmanıdır. Önemli yükümlülükler:

• Açık rıza veya başka hukuki sebep. Veri öznesinden açık rıza alınmamışsa, başka bir hukuki sebebe dayanılmalı (sözleşmenin ifası, meşru menfaat vb).
• Amaç sınırlaması. Veri toplandığı amacın dışında AI eğitiminde kullanılması yeni hukuki temel gerektirir.
• Veri minimizasyonu. Sadece gerekli kişisel veri işlenmelidir; LLM prompt'una müşteri sohbet geçmişinin tamamını göndermek genelde minimizasyon ilkesine aykırıdır.
• Yurt dışına aktarım (cross-border transfer). Yurt dışındaki LLM sağlayıcılarına (OpenAI, Anthropic, Google) kişisel veri gönderimi, Kurul kararları çerçevesinde değerlendirilmelidir.
• Veri sorumlusu yükümlülükleri. VERBİS kaydı, aydınlatma metni, veri sahibi başvurularına 30 gün içinde cevap.

KVKK İhlali Cezaları

KVKK kapsamındaki idari para cezaları 2025-2026 döneminde belirgin şekilde artırılmıştır; aydınlatma yükümlülüğü, açık rıza eksikliği ve veri güvenliği ihlallerinde çok yüksek tutarlara ulaşabilir. KVKK Kurulu kararları kamuya açıktır ve her şirketin emsal olarak izlemesi gerekir.

Tanım

EU AI Act (Avrupa Birliği Yapay Zeka Yasası)

AB'nin AI sistemlerini risk seviyelerine göre düzenleyen yasası (Regulation (EU) 2024/1689). Mart 2024'te yürürlüğe girmiş, 2025-2027 arasında kademeli olarak uygulanmaya başlamıştır. AB'de yerleşik olmasa bile AB pazarına AI sistemi sunan tüm şirketleri kapsar (extraterritorial).

Ayrıca: AI Act, AB AI Yasası

Wikidata: Q123828984

Risk Seviyeleri

EU AI Act dört risk kategorisi tanımlar; her kategorinin yükümlülükleri farklıdır.

EU AI Act Risk Seviyeleri

Seviye	Örnek Sistemler	Yükümlülükler	Türk Şirketlerinde Sıklık
Yasak	Social scoring, manipülatif AI, biyometrik gerçek-zamanlı tanıma (sınırlı istisnalar)	Tamamen yasak	Çok düşük
Yüksek Risk	İK seçme, kredi skorlama, eğitim değerlendirme, kritik altyapı, biyometrik	Risk yönetimi, kalite yönetim sistemi, uyum değerlendirmesi, insan denetimi, kayıt tutma, kullanıcı bilgilendirme	Yüksek - bankacılık, sağlık, İK SaaS
Sınırlı Risk	Chatbot, deepfake üretimi, duygu tanıma	Şeffaflık (kullanıcıya AI ile etkileşimde olduğunu bildirme)	Çok yüksek
Minimal Risk	Spam filtresi, oyun AI'ı, basit öneri	Yok (gönüllü davranış kodları)	Yaygın

General-Purpose AI (GPAI) Yükümlülükleri

Vakıf modelleri (foundation models) için ayrı bir yükümlülük katmanı tanımlanmıştır. GPAI sağlayıcıları (OpenAI, Anthropic, Google, Mistral, Meta) teknik dokümantasyon, telif uyum politikası, sistemik risk değerlendirmesi yükümlülüklerine tabidir.

Sonuç. Bir Türk şirketi olarak siz GPAI sağlayıcı değilseniz bu yükümlülükler doğrudan sizi bağlamaz, ancak GPAI tabanlı sistemleri üretime alıyorsanız sağlayıcınızın uyum belgelerini alıp dokümante etmek zorundasınız.

EU AI Act Uygulama Takvimi

Yasanın hükümleri kademeli yürürlüğe girmektedir:

• 2 Şubat 2025: Yasak sistemler ve AI okuryazarlığı yükümlülüğü
• 2 Ağustos 2025: GPAI yönetişim hükümleri, ceza rejimi
• 2 Ağustos 2026: Yüksek risk sistemler ana yükümlülükleri (büyük kısım)
• 2 Ağustos 2027: Belirli yüksek risk kategorileri (ürün bileşeni AI'lar)

Tanım

ISO/IEC 42001:2023

Aralık 2023'te yayınlanan, AI yönetim sistemleri (AIMS - AI Management Systems) için ilk uluslararası standart. ISO 27001'in AI eşdeğeri olarak konumlanır. Gönüllüdür ancak sertifikasyon, kurumsal AI olgunluğunun en güçlü göstergesidir.

Ayrıca: ISO 42001, AIMS

ISO 42001 Neyi Kapsar?

Standart, bir şirketin AI sistemlerini sorumlu, denetlenebilir ve sürdürülebilir şekilde yönetmesi için bir yönetim sistemi çerçevesi tanımlar:

• AI politikası ve hedefler
• Risk değerlendirmesi ve tedavi planı
• AI yaşam döngüsü yönetimi (planlama, geliştirme, devreye alma, izleme, devre dışı bırakma)
• Veri yönetimi
• İnsan denetimi ve kontrolü
• Üçüncü taraf yönetimi
• Performans değerlendirmesi ve sürekli iyileştirme
• İletişim ve şeffaflık

Niye ISO 42001?

ISO 42001 zorunlu olmasa da üç pragmatik fayda sağlar:

1. EU AI Act yüksek risk yükümlülüklerinin yaklaşık %80'i ISO 42001 kapsamında karşılanır. Tek sertifikasyon iki uyumu birlikte ilerletir.
2. İhale şartı olarak istenmeye başlandı. Avrupa Komisyonu kaynaklı projelerin önemli bir kısmında ISO 42001 tercih sebebi/şart olarak yer almakta.
3. Yatırımcı sunumlarında somut sinyal. AI olgunluğunu kanıtlayabilecek tek tanınmış uluslararası sertifikadır.

ISO 27001 ile İlişki

Mevcut ISO 27001 sertifikasyonuna sahip şirketler ISO 42001'i %30-40 daha az maliyetle ekleyebilir; çünkü dokümantasyon, denetim ve yönetişim altyapısının büyük bölümü zaten kuruludur.

Türkiye'de çalışan bir uyum yöneticisi için en kritik araç — üç regülasyonun yükümlülüklerinin nerelerde çakıştığını görmektir. Aşağıdaki matris, yedi temel uyum alanında üç çerçevenin gereksinimlerini karşılaştırır.

Çakışma Matrisi: Yedi Temel Uyum Alanı

Uyum Alanı	KVKK	EU AI Act	ISO 42001
Veri Yönetişimi	Zorunlu (aydınlatma, açık rıza, minimizasyon)	Zorunlu (yüksek risk: kalite yönetimi)	Zorunlu (Madde 7)
Risk Değerlendirmesi	Yüksek riskli işleme için PIA	Zorunlu (yüksek risk)	Zorunlu (Madde 6.1.2)
İnsan Denetimi	Profil çıkarma kararlarında	Zorunlu (yüksek risk)	Zorunlu (Madde 8.3)
Şeffaflık	Aydınlatma metni	AI ile etkileşim bildirimi (sınırlı risk+)	Zorunlu (Madde 7.4)
Kayıt Tutma & Log	Veri işleme envanteri	Yüksek risk: log saklama	Zorunlu (Madde 7.5)
Üçüncü Taraf Yönetimi	Veri işleyen sözleşmeleri	Tedarik zinciri uyumu	Zorunlu (Madde 8.4)
İhlal/Olay Yönetimi	72 saat bildirimi	Ciddi olay bildirimi	Zorunlu (Madde 10)

Pratik anlamı. Yukarıdaki yedi alanda tek bir kontrol setiyle üç regülasyonun gereksinimlerini karşılayabilirsiniz. Şirketinizdeki uyum programını tasarlarken regülasyon başına ayrı program değil, alan başına tek program kurmak doğru mimaridir.

Bir AI sisteminin EU AI Act kapsamında hangi risk kategorisine düştüğünü belirlemek uyum programının ilk adımıdır. Pratik karar matrisi:

Nasıl Yapılır

EU AI Act Risk Seviyesi Belirleme — 5 Adım

Bir AI sisteminin risk kategorisinin pratik tespiti.

Toplam süre: PT2H

1. 1

   1. Yasak Listesi Kontrolü

   Sistem AB AI Act Madde 5 kapsamında yasak uygulamalardan biri mi? (Manipülatif davranış, sosyal skorlama, biyometrik gerçek-zamanlı tanıma vb.) Eğer evet ise sistem AB pazarında piyasaya sürülemez.

2. 2

   2. Annex III Kontrolü

   Annex III, yüksek risk kategorilerinin listesini içerir: biyometrik, kritik altyapı, eğitim, istihdam, kamu hizmetleri, kanun uygulama, göç, adalet, demokratik süreçler. Sisteminiz bu listede mi?

3. 3

   3. Madde 6(2) İstisnası

   Annex III sistemleri için Madde 6(2) sınırlı istisnalar tanır: sadece dar/yardımcı görev, insan kararını desteklemeyen, profillemeyen sistemler. Detaylı değerlendirme gerekir.

4. 4

   4. Şeffaflık Yükümlülüğü

   Yüksek risk değilse, sistem (a) bir kişiyle etkileşimde mi, (b) duygu tanıma/biyometrik kategori mi, (c) deepfake/AI üretimi içerik mi üretiyor? Eğer öyle ise sınırlı risk - şeffaflık yükümlülüğü vardır.

5. 5

   5. Minimal Risk Varsayılan

   Yukarıdaki kategorilerin hiçbirine girmeyen sistemler minimal risk kategorisindedir. Gönüllü davranış kodları dışında özel yükümlülük yoktur.

Türk Şirketlerinde En Sık Yüksek Risk Senaryoları

• İK SaaS (CV elemesi, mülakat değerlendirme): Annex III - İstihdam
• Kredi başvuru skorlama: Annex III - Temel hizmetlere erişim
• Eğitim ve sınav değerlendirme: Annex III - Eğitim
• Biyometrik tanıma sistemleri: Annex III - Biyometrik
• Kamu hizmetleri başvuru değerlendirme: Annex III - Kamu hizmetleri

Nasıl Yapılır

KVKK + EU AI Act + ISO 42001 12 Aylık Uyum Yol Haritası

Sıfırdan üç katmanlı uyum programı kurulumu için fazlı plan.

Toplam süre: P12M

1. 1

   Ay 1-2: Envanter ve Mevcut Durum

   AI sistem envanteri (mevcut + planlanan), kişisel veri envanteri (KVKK), boşluk analizi (gap analysis) üç regülasyon için. Çıktı: uyum durumu raporu.

2. 2

   Ay 2-3: Yönetişim ve Politika

   AI Komitesi kurulumu, AI politikası, kabul edilebilir kullanım politikası, etik ilkeler, sorumluluklar matrisi (RACI). KVKK aydınlatma metinlerinin AI işlemleri için güncellenmesi.

3. 3

   Ay 3-5: Risk Değerlendirmesi

   Her AI sistemi için EU AI Act risk sınıflandırması, KVKK PIA (Veri Koruma Etki Değerlendirmesi), ISO 42001 risk treatment plan. Çıktı: sistem-bazlı risk dosyaları.

4. 4

   Ay 4-7: Teknik Kontroller

   Yüksek risk sistemler için: kalite yönetim sistemi, eval harness, audit log, observability, insan denetimi mekanizmaları. Anonimleştirme katmanı, veri yerleşimi seçenekleri.

5. 5

   Ay 6-9: Dokümantasyon

   Teknik dokümantasyon (EU AI Act Annex IV), kullanıcı bilgilendirme metinleri, üçüncü taraf yönetim sözleşmeleri, eğitim materyalleri.

6. 6

   Ay 9-11: Eğitim ve Operasyonelleştirme

   Tüm AI'da çalışan personele AI okuryazarlık eğitimi (EU AI Act Madde 4 zorunluluğu), uyum süreçlerinin günlük operasyona gömülmesi.

7. 7

   Ay 11-12: Denetim ve Sertifikasyon

   İç denetim, varsa dış denetim ön çalışması. ISO 42001 sertifikasyonu hedefleniyorsa formal sertifikasyon denetimi planlaması.

8.1. "AB pazarında satmıyorum, EU AI Act beni etkilemez"

Yanlış. AB pazarına dolaylı yoldan ürün/hizmet erişimi (örn. AB müşteriniz olan bir SaaS, AB iştirakiniz aracılığıyla yapılan AI işleme) kapsama girer. Doğru soru: "Sistemim AB'deki bir kişiyi etkileyebilir mi?"

8.2. KVKK'yı sadece veri ekibine bırakmak

KVKK uyumu yalnızca veri/IT meselesi değildir; ürün ekibi, hukuk, satış, müşteri hizmetleri ortak çalışmalıdır. "AI Komitesi" tam olarak bunu çözmek için kurulmalıdır.

8.3. ISO 42001'i zorunlu sanmak (veya hiç önemsememek)

ISO 42001 zorunlu değildir, ama EU AI Act yüksek risk yükümlülüklerinin %80'ini tek seferde karşıladığı için stratejik olarak güçlü bir tercihtir. "Zorunlu olmadığı için yapmam" yaklaşımı, sertifikasız rakiplere kıyasla ihalede dezavantaj yaratır.

8.4. AI okuryazarlığı eğitimini geciktirmek

EU AI Act Madde 4 — 2 Şubat 2025'ten itibaren AI sistemi geliştiren, kullanan veya operatör konumundaki personele yeterli AI okuryazarlık eğitimi sağlamak zorunludur. Bu, "henüz yüksek risk sistemim yok" diyenler için de geçerlidir.

8.5. Üçüncü taraf modelleri (GPAI) için tedarikçi yönetimi eksikliği

OpenAI, Anthropic, Google gibi GPAI sağlayıcılarından gelen modellerin uyum belgelerini almamak, üretim dağıtımında ciddi risk yaratır. Sözleşmeler ve uyum dokümantasyonu eksikse, EU AI Act yükümlülüğü size geri döner.

8.6. Eval harness ve audit log'u "sonra ekleriz" diye ertelemek

Hem EU AI Act hem ISO 42001 sürekli izleme ve kayıt tutmayı zorunlu kılar. Audit log olmadan uyum kanıtlanamaz. Bu altyapı gün-1 yatırımıdır, sonradan eklemek 3-5 kat pahalıdır.

9.1. Bankacılık ve Finans

KVKK + BDDK + EU AI Act + ISO 42001 dört katmanlı bir yapı oluşur. BDDK'nın AI ile ilgili yan düzenlemeleri (bulut hizmetleri kılavuzu, dış kaynak kullanımı) ve veri yerleşimi şartları kritiktir. Garanti BBVA, İş Bankası gibi büyük bankalar AI'ı on-prem veya Türkiye-içi cloud üzerinde işliyor.

9.2. Sağlık

KVKK özel nitelikli kişisel veri (sağlık) hükümleri + EU AI Act yüksek risk sınıflandırması + tıbbi cihaz regülasyonu (MDR) bir arada uygulanır. Anonimleştirme ve cross-border transfer kısıtları en sert sektörlerden biridir.

9.3. E-ticaret

KVKK aydınlatma + sınırlı risk şeffaflık (chatbot bildirimi) + GPAI tedarikçi yönetimi temel uyum yükleri. Müşteri kişisel verisi içeren öneri/segmentasyon sistemlerinde profil çıkarma kuralları geçerlidir.

9.4. İK SaaS

CV elemesi, mülakat değerlendirme, performans skorlama gibi sistemler yüksek risk kategorisindedir (Annex III - İstihdam). Tam yükümlülük paketi (kalite yönetim, insan denetimi, dokümantasyon) gerekir.

9.5. Kamu

EU AI Act kamu sektörü için özel yükümlülükler (Madde 26+) ve Türkiye'de Cumhurbaşkanlığı Dijital Dönüşüm Ofisi'nin AI politika rehberi paralel uygulanır. Vatandaş veri haklarına ek hassasiyet.

Vaka 1 — İK SaaS Girişimi, EU AI Act Yüksek Risk Uyumu

Bir Türk İK teknoloji girişimi, CV elemesi ve mülakat değerlendirme ürünleriyle AB pazarına genişlemeyi planladı. Risk sınıflandırması: Annex III - İstihdam = Yüksek risk.

Müdahale. ISO 42001 kapsamında AIMS kuruldu, EU AI Act Annex IV teknik dokümantasyonu hazırlandı, açıklanabilirlik mekanizması (XAI - karar gerekçesi sunma) eklendi, insan denetimi süreci tanımlandı.

Sonuç. 11 aylık çalışma sonunda hem EU AI Act yüksek risk uyumu hem ISO 42001 hazırlığı tamamlandı. AB'de iki büyük müşteri kazanılarak yıllık $1.2M ek gelir.

Vaka 2 — Türk Bankası, KVKK + AI Yönetişim Programı

Bir Türk bankası AI projeleri için merkezi yönetişim eksikliği yaşıyordu; her ekip bağımsız POC çıkarıyordu.

Müdahale. AI Komitesi kuruldu (CDO, CISO, KVKK Sorumlusu, Risk, İç Denetim katılımıyla). KVKK PIA şablonu, EU AI Act risk sınıflandırma şablonu, ISO 42001 hazırlık planı hayata geçirildi. Tüm yeni AI projeleri komite onayından geçer hale getirildi.

Sonuç. 8 ay sonra hem regülatif risk paneli temiz, hem üretim çıkış hızı %40 daha yüksek (daha tutarlı süreç sayesinde).

Vaka 3 — E-Ticaret Pazaryeri, GPAI Tedarikçi Yönetimi

Bir Türk e-ticaret pazaryeri, OpenAI ve Anthropic API'leri üzerinde 8 AI use-case'i çalıştırıyordu. Tedarikçi sözleşmelerinde AI'a özel madde yoktu.

Müdahale. Veri işleme sözleşmesi (DPA) AI özel maddelerle güncellendi, kişisel veri filtreleme katmanı eklendi (her API çağrısından önce PII detection), aylık uyum raporu otomatize edildi.

Sonuç. KVKK risk skoru ciddi düştü, AB müşterilerinin DPIA değerlendirmelerinde geçen oran %100'e çıktı.

Bu kontrol listesi indirilebilir bir asset olarak ayrıca sunulmaktadır; aşağıdaki özet, hızlı bir öz-değerlendirme için kullanılabilir.

Yönetişim (7 madde). AI Komitesi var mı? · AI politikası onaylı mı? · Kabul edilebilir kullanım politikası yayında mı? · Etik ilkeler tanımlı mı? · RACI matrisi mevcut mu? · İhlal/olay yanıt prosedürü var mı? · AI okuryazarlık eğitimi planlandı mı?

KVKK (10 madde). VERBİS kaydı güncel mi? · Aydınlatma metinleri AI işlemlerini kapsıyor mu? · Açık rıza akışı doğru mu? · PIA prosedürü tanımlı mı? · Veri minimizasyonu kontrolleri var mı? · Cross-border transfer prosedürü tanımlı mı? · Veri işleyen sözleşmeleri AI maddeleri içeriyor mu? · Veri sahibi başvuru süreci 30 gün içinde tamamlanıyor mu? · İhlal bildirim süreci 72 saat içinde işliyor mu? · Veri silme/anonimleştirme prosedürü tanımlı mı?

EU AI Act (12 madde). Sistem envanteri var mı? · Risk sınıflandırması tamamlandı mı? · Yüksek risk için kalite yönetim sistemi kuruldu mu? · Risk yönetim süreci işliyor mu? · Veri yönetişimi gereksinimleri karşılandı mı? · Teknik dokümantasyon (Annex IV) hazır mı? · Logging mekanizması aktif mi? · Şeffaflık ve bilgi verme yükümlülükleri yerine getirildi mi? · İnsan denetimi tasarlandı mı? · Doğruluk, sağlamlık, siber güvenlik testleri yapıldı mı? · Uyum değerlendirmesi (conformity assessment) tamamlandı mı? · CE işaretleme yapıldı mı (yüksek risk için)?

ISO 42001 (10 madde). AIMS scope tanımlı mı? · AI politikası ISO 42001 gereklerine uygun mu? · Risk treatment plan dokümante mi? · Statement of Applicability hazır mı? · İç denetim planı mevcut mu? · Yönetim gözden geçirme süreci tanımlı mı? · Düzeltici faaliyetler süreci işliyor mu? · Performans göstergeleri tanımlı ve izleniyor mu? · Şeffaflık yükümlülükleri yerine getirildi mi? · Sürekli iyileştirme süreci aktif mi?

Teknik Altyapı (8 madde). Eval harness kuruldu mu? · Audit log tüm AI sistemlerinde aktif mi? · Anonimleştirme/PII detection katmanı var mı? · Veri yerleşimi (data residency) belirlenmiş ve uyumlu mu? · Üretim observability (Langfuse, Helicone vb.) aktif mi? · Model versiyonlama ve rollback süreci tanımlı mı? · Açıklanabilirlik mekanizmaları (yüksek risk için) entegre mi? · Güvenlik testleri (prompt injection, jailbreak) yapıldı mı?

Şirketinizin üç katmanlı AI uyum programını başlatmak veya mevcut programı sertleştirmek için üç hizmet:

1. Uyum boşluk analizi. KVKK + EU AI Act + ISO 42001 üç katmanlı boşluk değerlendirmesi; çıktı: öncelikli aksiyon yol haritası.
2. AI Komitesi kurulumu ve yönetişim atölyesi. Çerçeve, RACI matrisi, karar verme prosedürleri 2 günlük atölyede netleşir.
3. ISO 42001 hazırlık programı. AIMS tasarımı, dokümantasyon, iç denetim ve sertifikasyon denetimine hazırlık.

Detaylı sohbet için site üzerindeki iletişim formunu kullanabilirsiniz.

Kaynaklar

1. KVKK - 6698 Sayılı Kanun — T.C. KVKK, Türkiye Cumhuriyeti · 2016-04-07
2. EU AI Act - Regulation (EU) 2024/1689 — European Union, Official Journal of the EU · 2024-07-12
3. AI Act Explorer — Future of Life Institute, FLI · 2024
4. ISO/IEC 42001:2023 AI Management Systems — ISO/IEC, ISO · 2023-12-18
5. ISO/IEC 23894:2023 AI Risk Management — ISO/IEC, ISO · 2023-02
6. NIST AI Risk Management Framework — NIST, NIST · 2023-01-26
7. KVKK Kurul Kararları — KVKK Kurulu, T.C. KVKK · 2024-2025
8. European Commission AI Act Guidelines — European Commission, European Commission · 2024-2026
9. OECD AI Principles — OECD, OECD · 2019/2024
10. Türkiye Ulusal Yapay Zeka Stratejisi 2021-2025 — Cumhurbaşkanlığı Dijital Dönüşüm Ofisi, T.C. Cumhurbaşkanlığı · 2021

---

Bu rehber yaşayan bir belgedir; regülatif metinler ve Kurul kararları değiştikçe çeyreklik olarak güncellenmektedir. İçerik bilgilendirme amaçlıdır, hukuki tavsiye niteliği taşımaz.