# EU AI Act 2 Ağustos 2026 Geri Sayım: Türkiye İhracatçıları ve GPAI Sağlayıcıları İçin Tam Uyum Rehberi

> Source: https://sukruyusufkaya.com/blog/eu-ai-act-2-agustos-2026-turk-ihracatci-gpai-uyum-rehberi
> Updated: 2026-07-11T19:50:08.499Z
> Type: blog
> Category: yapay-zeka
**TLDR:** 2 Ağustos 2026'da Avrupa Komisyonu'nun AI Act yaptırım yetkileri tam olarak devreye giriyor: 35M EUR veya küresel cironun %7'sine varan cezalar, GPAI sağlayıcı zorunlulukları, high-risk sistemler için CE marking, AB temsilcisi atama. AB pazarına ürün/hizmet veren her Türk şirketi için ekstraterritoryal uygulama — bu rehber tam uyum yol haritasını veriyor.

<tldr data-summary="[&quot;2 Ağustos 2026, EU AI Act yaptırım yetkilerinin tam olarak devreye girdiği tarihtir: Komisyon, GPAI sağlayıcılar üzerinde doğrudan yaptırım, cezai tedbir ve denetim yetkilerini bu tarihten itibaren kullanır.&quot;,&quot;Cezalar 35M EUR veya küresel yıllık cironun %7&apos;&apos;sine kadar çıkar — yasak AI uygulamaları için en yüksek dilim, GPAI uyumsuzluğu için %3 dilim uygulanır.&quot;,&quot;AI Act ekstraterritoryaldir: AB pazarına ürün/hizmet sunan veya AB&apos;&apos;de çıktıları kullanılan her Türk şirket — bulunduğu yere bakılmaksızın — kapsam dahilindedir.&quot;,&quot;Risk sınıflandırması 4 katmanlıdır: yasak, yüksek-risk, sınırlı-risk, minimal-risk. Yüksek-risk sistemler için CE marking, dokümantasyon, post-market monitoring zorunludur.&quot;,&quot;Türk ihracatçıların öncelikli adımları: AI envanteri çıkar, risk sınıflandırma yap, AB temsilcisi ata, KVKK + AI Act + ISO 42001 üçlü uyum matrisi kur.&quot;]" data-one-line="EU AI Act, 2 Ağustos 2026''dan itibaren AB pazarına AI sistemi sunan her Türk şirketini extraterritoryal olarak bağlar; uyum, bir hukuki proje değil, ürün-mühendislik-yönetişim sistemidir."></tldr>

## 0. Yönetici Özeti

Avrupa Birliği'nin 1 Ağustos 2024'te yürürlüğe giren AI Act'i, 2 Ağustos 2026'da **Avrupa Komisyonu'nun GPAI sağlayıcılar üzerindeki tam yaptırım yetkilerinin operasyonel olduğu** ve **Annex III high-risk sistemlerin uyum zorunluluğunun başladığı** kritik bir eşiğe ulaşır. Bu tarihten itibaren, AB pazarına AI sistem veya AI çıktısı sunan **her Türk şirketi** — bulunduğu yere bakılmaksızın — kapsamdadır. Cezalar 35M EUR veya küresel cironun **%7'sine** kadar çıkar. Bu rehber, Türkiye'nin önde gelen ihracatçı sektörleri (otomotiv, beyaz eşya, tekstil, savunma, finans, sağlık) için uyum yol haritası sağlar; gerçek vaka çalışmaları, ceza hesaplama formülleri ve KVKK + AI Act + ISO 42001 üçlü uyum matrisini içerir.

## 1. Giriş: Niye 2 Ağustos 2026 Tarihi Sayım Saati?

EU AI Act, dünyada AI'yı kapsamlı ve risk-bazlı bir şekilde düzenleyen ilk yatay yasadır. 1 Ağustos 2024'te yürürlüğe girdi; fakat tam yaptırım, kademeli olarak devreye alındı. **2 Şubat 2025**'te yasak AI uygulamaları (Madde 5) yürürlüğe girdi. **2 Ağustos 2025**'te GPAI (General Purpose AI) sağlayıcılar için temel yükümlülükler başladı. Ve **2 Ağustos 2026**, Komisyon'un GPAI sağlayıcılar üzerinde **tam yaptırım yetkilerini** kullanmaya başladığı, AI Office'in denetim mekanizmasının operasyonel olduğu, high-risk sistemlerin önemli bir kısmı için **uyum zorunluluğunun başladığı** kritik tarihtir.

<definition-box data-term="EU AI Act (Yapay Zeka Yasası, Tüzük 2024/1689)" data-definition="Avrupa Birliği'nin yapay zeka sistemlerini risk seviyesine göre düzenleyen yatay tüzüğü. Yasak, yüksek-risk, sınırlı-risk ve minimal-risk olmak üzere dört kategoride sistemleri sınıflandırır; her kategori için ayrı yükümlülükler tanımlar. Tüzük, 1 Ağustos 2024'te yürürlüğe girmiş; kademeli olarak 2 Şubat 2025 (yasaklar), 2 Ağustos 2025 (GPAI temel yükümlülükler), 2 Ağustos 2026 (tam yaptırım) ve 2 Ağustos 2027 (high-risk geçiş tamamı) tarihlerinde uygulanır." data-also="AI Act, Yapay Zeka Yasası, AB AI Tüzüğü, Tüzük (EU) 2024/1689" data-wikidata="Q120650836"></definition-box>

**Niye 2 Ağustos 2026 önemli?** Üç sebep var. **Birincisi**, AI Office (Avrupa Komisyonu DG CNECT bünyesinde) GPAI sağlayıcılarına doğrudan ceza kesme yetkisini bu tarihten itibaren kullanmaya başlar. **İkincisi**, bu tarihte Üye Devletlerin **notify edilmiş kuruluşları** (notified bodies) operasyonel olmalı ve high-risk sistemlerin CE marking süreci başlamalı. **Üçüncüsü**, bu tarihte tüm Üye Devletler kendi AI yetkilileri'ni (national competent authorities) belirlemiş ve cezai prosedürlerini ulusal yasaya dönüştürmüş olmalıdır.

<stat-callout data-value="35M EUR" data-context="EU AI Act'in en yüksek ceza dilimi — Madde 5 yasak AI uygulamaları için" data-outcome="küresel yıllık cironun %7''sine kadar çıkabilir ve uygulanan miktar bu ikisinden hangisi yüksekse o olur." data-source="{&quot;label&quot;:&quot;EU AI Act, Madde 99&quot;,&quot;url&quot;:&quot;https://artificialintelligenceact.eu/article/99/&quot;,&quot;date&quot;:&quot;2024&quot;}"></stat-callout>

### 1.1. Tarihçe: AI Act'ın 5 Yıllık Geçmişi

AI Act 2018'de **High-Level Expert Group on AI**'nın "Ethics Guidelines for Trustworthy AI" raporu ile başladı. Nisan 2021'de Avrupa Komisyonu ilk taslağı sundu. Üç yıllık müzakere sürecinde ChatGPT (Kasım 2022) ortaya çıktı ve **foundation model / GPAI** kategorileri eklendi. Mart 2024'te Avrupa Parlamentosu, Mayıs 2024'te AB Konseyi onayladı. 12 Temmuz 2024'te resmi yayında yayımlandı, 1 Ağustos 2024'te yürürlüğe girdi. Bu süreçte ABD ile **AB-ABD AI Konsey** kuruldu, OECD AI Principles ile koordinasyon sağlandı.

### 1.2. Diğer AB Yasalarıyla İlişki

AI Act tek başına bir hukuki rejim değil; AB'nin geniş dijital regülasyon paketinin parçası:

- **GDPR (Tüzük 2016/679).** Kişisel veri korumayı düzenler; AI Act bunu **veri yönetişimi** ile tamamlar (Madde 10).
- **Data Act (Tüzük 2023/2854).** Veri paylaşım ve kullanım hakları; AI eğitim verisi için kritik.
- **Digital Services Act (DSA, Tüzük 2022/2065).** Çevrimiçi platformların yükümlülükleri; içerik moderasyon AI'ları için.
- **Digital Markets Act (DMA, Tüzük 2022/1925).** Big Tech (gatekeepers) için ek yükümlülükler; foundation model sağlayıcılar etkilenir.
- **Product Liability Directive 2024/2853.** AI ürün sorumluluğu — Eylül 2026 itibarıyla AB'de uygulamaya girer.
- **AI Liability Directive (taslak).** AI hatalarından kaynaklanan zararların kanıtlanması için ispat kolaylaştırma.
- **NIS2 Directive (2022/2555).** Kritik altyapı siber güvenliği; AI sistemler için ek yükümlülük.
- **Cyber Resilience Act.** Dijital ürünlerin siber güvenliği; AI ürünleri de kapsar.

**Türk şirketler için pratik etki:** AI Act tek başına yeterli değildir. **AB Dijital Regülasyon Haritası** çıkarıp ürününüze hangi yasaların ne ölçüde uygulandığını tespit etmek gerekir.

## 2. Yasal Anatomi: Tüzük (EU) 2024/1689 Yapısı

AI Act, 113 maddeden ve 13 ek'ten (Annex) oluşur. Türk şirketler için kritik maddeler:

- **Madde 2 (Kapsam).** Extraterritorial uygulama — AB'de yerleşik olmasa bile AB pazarına çıktı sağlayan sağlayıcılar (provider) ve dağıtıcılar (deployer).
- **Madde 5 (Yasak Uygulamalar).** Sosyal puanlama, manipülatif AI, gerçek zamanlı biyometrik tanımlama (istisnalar hariç), insan zafiyetlerini hedefleyen sistemler.
- **Madde 6 ve Annex III (High-Risk Sistemler).** Biyometri, kritik altyapı, eğitim, istihdam, temel hizmetler, kolluk, göç ve sınır kontrolü, adalet ve demokratik süreçler.
- **Madde 16-29 (Sağlayıcı Yükümlülükleri).** Risk yönetim sistemi, data governance, teknik dokümantasyon, record-keeping, şeffaflık, insan gözetimi, doğruluk-sağlamlık-güvenlik, kalite yönetim sistemi.
- **Madde 49 (CE Marking).** High-risk sistemler için zorunlu uygunluk işareti.
- **Madde 51-56 (GPAI Modeller).** Genel amaçlı AI modellerine özgü yükümlülükler — dokümantasyon, telif hakkı, transparency, sistemik risk değerlendirmesi.
- **Madde 99 (Cezalar).** 35M EUR / %7 küresel ciro (yasaklar); 15M EUR / %3 ciro (high-risk ihlali); 7.5M EUR / %1.5 ciro (yanıltıcı bilgi).
- **Madde 113 (Yürürlük Takvimi).** 2 Şubat 2025 (yasaklar), 2 Ağustos 2025 (GPAI), 2 Ağustos 2026 (tam yaptırım), 2 Ağustos 2027 (high-risk geçiş).

### 2.1. Yönetim Yapısı

AI Act, dört kademeli bir yönetişim yapısı kurar:

1. **AI Office.** Avrupa Komisyonu DG CNECT bünyesinde, GPAI sağlayıcılarına doğrudan denetim ve yaptırım yetkisine sahip merkezi otorite.
2. **AI Board.** Üye Devletlerden temsilcilerin oluşturduğu koordinasyon kurulu.
3. **Scientific Panel of Independent Experts.** GPAI modellerinin sistemik risk değerlendirmesinde danışmanlık.
4. **National Competent Authorities (NCA).** Her Üye Devlette belirlenmiş ulusal AI yetkilileri — yerel pazar denetimi ve cezai uygulama.

<callout-box data-variant="info" data-title="Notified Bodies — Türk Şirketler İçin Pratik Önem">

High-risk sistemlerin önemli bir kısmı için **uygunluk değerlendirmesi** (conformity assessment), bağımsız bir Notified Body tarafından yapılır. Türk şirketler, AB içinde akredite edilmiş bir notified body ile çalışmak zorundadır. 2 Ağustos 2026 itibarıyla AI için akredite edilmiş notified body listesi NANDO veritabanında yayımlanmış olmalıdır.

</callout-box>

### 2.2. Tanımlar Sözlüğü: AI Act Madde 3

AI Act Madde 3, 68 farklı terim tanımlar. Türk şirketler için kritik 12 tanım:

1. **AI System.** Makinaya dayalı sistem; çeşitli özerklik derecelerinde çalışacak şekilde tasarlanmış; girdilerden tahmin, içerik, öneri veya karar üretebilen.
2. **General-Purpose AI (GPAI) Model.** Geniş ve farklı veriyle eğitilmiş, çok çeşitli aşağı-akış görevde yetenekli olan AI modeli.
3. **Provider.** Bir AI sistemi geliştiren veya geliştirten ve kendi adı altında pazara süren gerçek veya tüzel kişi.
4. **Deployer.** Yetkisi altındaki bir AI sistemini kullanan gerçek veya tüzel kişi (önceden "user" denirdi).
5. **Importer.** AB'de yerleşik bir gerçek veya tüzel kişi olarak AB pazarına sokulan AI sistemini sağlayan.
6. **Distributor.** Tedarik zincirindeki, AB pazarında AI sistemini sağlayan provider veya importer dışındaki herhangi bir gerçek veya tüzel kişi.
7. **Authorised Representative.** AB içinde yerleşik, Madde 22 kapsamında provider adına yetkili kişi.
8. **High-Risk AI System.** Annex I veya Annex III kapsamına giren AI sistemi (Madde 6 koşulları sağlanarak).
9. **Foundation Model.** Geniş veri üzerinde, çoğunlukla self-supervised, büyük ölçekte eğitilmiş AI modeli — geniş bir aşağı-akış uygulama yelpazesine uyarlanabilir.
10. **Reasonably Foreseeable Misuse.** Provider tarafından kullanım kılavuzunda yasaklanmamış olabilecek ama insan davranışının ortalamasına göre öngörülebilir kötüye kullanım.
11. **Substantial Modification.** AI sisteminin pazara sürüldükten sonra performansını, amacını veya mimarisini önemli ölçüde değiştiren değişiklik (yeniden uygunluk değerlendirmesi gerektirir).
12. **Serious Incident.** Bir AI sisteminin neden olduğu veya katkıda bulunduğu kişi ölümü, sağlığa ciddi zarar, mülkiyete veya çevreye ciddi zarar, kritik altyapının ciddi aksaması veya temel haklara ciddi ihlal.

### 2.3. Üye Devlet Bazlı Uygulama Aktarımı

AI Act bir tüzük (regulation) olup doğrudan uygulanır, ancak şu hususlar için Üye Devlet düzenlemesi gereklidir:

- **Cezai prosedürler (Madde 99(8)).** Her Üye Devlet kendi ceza prosedürlerini ulusal yasaya geçirmelidir.
- **National Competent Authority (NCA).** Pazar denetim otoritesi atanmalı.
- **AI Regulatory Sandbox (Madde 57).** Üye Devlet bazlı.
- **AB temsilcisi kayıt prosedürü.** Üye Devlet bazlı varyasyon.

Türk şirketler için pratik etki: AB ürün satışınızın hangi Üye Devletlerde olduğuna göre **birden fazla NCA ile ilişki kurmanız** gerekir. En önemli NCA'lar: Almanya (BfDI / BNetzA), Fransa (CNIL), İrlanda (DPC), İspanya (AESIA), Hollanda (AP).

## 3. Risk Kategorileri: Hangi Sistem Hangi Sınıfa Girer?

<comparison-table data-caption="EU AI Act — Dört Risk Kategorisi ve Yükümlülükler" data-headers="[&quot;Kategori&quot;,&quot;Örnekler&quot;,&quot;Yükümlülükler&quot;,&quot;Yürürlük Tarihi&quot;]" data-rows="[{&quot;feature&quot;:&quot;Yasak (Madde 5)&quot;,&quot;values&quot;:[&quot;Sosyal puanlama, manipülatif AI, real-time biyometrik tanımlama, prediktif policing&quot;,&quot;Tamamen yasak — AB&apos;&apos;de pazara sürülemez veya kullanılamaz&quot;,&quot;2 Şubat 2025&quot;]},{&quot;feature&quot;:&quot;Yüksek-Risk (Madde 6 + Annex III)&quot;,&quot;values&quot;:[&quot;İstihdam (CV tarama), kredi skoru, biyometri, kritik altyapı, eğitim notu, kolluk&quot;,&quot;Risk yönetimi, data governance, teknik dokümantasyon, CE marking, post-market monitoring, EU database kaydı&quot;,&quot;2 Ağustos 2026 (Annex III), 2 Ağustos 2027 (ürün güvenlik bağlantılı)&quot;]},{&quot;feature&quot;:&quot;Sınırlı-Risk (Madde 50)&quot;,&quot;values&quot;:[&quot;Chatbot, deepfake, duygu tanıma&quot;,&quot;Şeffaflık — kullanıcıya AI ile etkileşimde olduğu bildirilir; deepfake etiketlenir&quot;,&quot;2 Ağustos 2026&quot;]},{&quot;feature&quot;:&quot;Minimal-Risk&quot;,&quot;values&quot;:[&quot;Spam filtresi, oyun AI&apos;&apos;ları, ürün önerisi&quot;,&quot;Yükümlülük yok (gönüllü davranış kodları teşvik edilir)&quot;,&quot;Geçerli değil&quot;]}]"></comparison-table>

### 3.1. Yüksek-Risk Sistemlerin 8 Alanı (Annex III)

Annex III, high-risk olarak otomatik sınıflandırılan 8 alan tanımlar:

1. **Biyometri.** Uzaktan biyometrik tanımlama (real-time olmayan), duygu tanıma, biyometrik kategorizasyon.
2. **Kritik Altyapı.** Yol trafiği, su, gaz, ısı, elektrik tedariki, dijital altyapı yönetimi.
3. **Eğitim ve Mesleki Eğitim.** Eğitim kurumuna kabul, öğrenme çıktısı değerlendirmesi, sınav sırasında izleme.
4. **İstihdam, İşçi Yönetimi ve Self-Employment Erişimi.** İşe alım, terfi, fesih, görev atama, performans değerlendirme.
5. **Temel Özel ve Kamu Hizmetlerine Erişim.** Sosyal yardımlar, sağlık, kredi skorlama, hayat ve sağlık sigortası fiyatlama, acil çağrı triyaj.
6. **Kolluk.** Profilleme, risk değerlendirmesi, kanıt değerlendirme.
7. **Göç, Sığınma ve Sınır Kontrolü.** Sahte belge tespiti, risk değerlendirmesi, vize / iltica başvurularının incelenmesi.
8. **Adalet ve Demokratik Süreçler.** Mahkeme kararı destek sistemleri, seçim sonucunu etkileyebilecek sistemler.

### 3.2. Bir Sisteminizin High-Risk Olup Olmadığını Belirleme Algoritması

~~~
1. Sisteminiz Madde 5 yasaklarına giriyor mu?
   → EVET: Pazarda yer alamaz. Mimarinizi tamamen değiştirin.
   → HAYIR: 2'ye geç.

2. Annex I'deki AB ürün mevzuatı kapsamında bir güvenlik bileşeni misiniz?
   (Tıbbi cihaz, makine, oyuncak, otomotiv, havacılık vb.)
   → EVET: High-risk. Madde 16+ yükümlülükleri.
   → HAYIR: 3'e geç.

3. Annex III'deki 8 alandan birinde misiniz?
   → EVET: 4'e geç.
   → HAYIR: Sınırlı veya minimal-risk. Madde 50 şeffaflık zorunluluğu varsa uygulanır.

4. Annex III olsanız bile Madde 6(3) istisnasından yararlanabilir misiniz?
   (Sistem dar bir prosedürel görev yapıyor, insan kararını sadece destekliyor,
    profilleme yapmıyor, sapmaları tespit ediyor.)
   → EVET: High-risk değil, AMA istisnayı kendi kaydınıza dokümante edin.
   → HAYIR: High-risk. Madde 16+ tüm yükümlülükler uygulanır.
~~~

## 4. GPAI (General-Purpose AI) Sağlayıcılar İçin Özel Yükümlülükler

AI Act, Madde 51-56'da **GPAI modelleri** için ayrı bir yükümlülük katmanı kurar. GPAI modeli, **çok çeşitli aşağı-akış görevlerde kullanılabilen, geniş veri setiyle eğitilmiş genel-amaçlı bir model**dir — GPT-5, Claude Opus 4.7, Gemini 3, Llama 4 gibi tüm büyük temel modeller bu kategoridedir.

<definition-box data-term="GPAI (General-Purpose AI Model)" data-definition="Önemli ölçüde genelleştirilmiş geniş bir görev yelpazesinde yetenekli, geniş ve farklı veri kümeleriyle eğitilmiş ve çok çeşitli aşağı-akış sistemlerin yapımında kullanılabilen bir AI modelidir. Sistemik risk taşıyan GPAI modelleri, eğitim hesaplaması (10^25 FLOPs üstü) veya pazardaki etkileri esas alınarak özel olarak sınıflandırılır." data-also="Genel Amaçlı Yapay Zeka, Foundation Model, GPAI"></definition-box>

### 4.1. Tüm GPAI Sağlayıcılarının Yükümlülükleri (Madde 53)

1. **Teknik Dokümantasyon (Annex XI).** Model mimarisi, eğitim verisi açıklaması, eğitim sürecinin ve değerlendirme yönteminin açıklanması.
2. **Aşağı-Akış Sağlayıcılara Bilgi (Annex XII).** Modelin yetenekleri, sınırlamaları, kabul edilebilir kullanım politikası.
3. **Telif Hakkı Politikası.** AB telif hakkı yasası (Direktif 2019/790) ile uyumlu — özellikle Madde 4(3) opt-out mekanizması.
4. **Eğitim Veri Setinin Detaylı Özeti.** AI Office tarafından sağlanan şablona uygun, halka açık özet.

### 4.2. Sistemik Risk Taşıyan GPAI Sağlayıcıları İçin Ek Yükümlülükler (Madde 55)

Sistemik risk eşiği: **10^25 FLOPs üstünde eğitim hesaplaması** (GPT-4 sınıfı ve üstü). Bu modellerin sağlayıcıları için ek yükümlülükler:

1. **Model değerlendirmesi** (red-teaming dahil).
2. **Sistemik risk değerlendirmesi** ve azaltma.
3. **AI Office''e ciddi olayların raporlanması** (incident reporting).
4. **Siber güvenlik koruması.**

### 4.3. GPAI Code of Practice (Temmuz 2025)

Avrupa Komisyonu, Temmuz 2025'te GPAI sağlayıcılar için **gönüllü davranış kodu** (Code of Practice) yayımladı. Bu kod, AI Act yükümlülüklerinin somut yorumunu sağlar — koda imza atan GPAI sağlayıcısı (OpenAI, Anthropic, Google, Meta, Mistral vb.) Madde 53 yükümlülüklerine uyumlu kabul edilir.

<callout-box data-variant="info" data-title="Türk GPAI Sağlayıcıları için Strateji">

Türkiye'de eğitim hesaplaması 10^25 FLOPs altında kalan ulusal LLM projelerinin (Trendyol Turkcell-Llama, Yapay Zeka Cumhurbaşkanlığı vb.) bile, AB pazarına çıkarsa **Madde 53 yükümlülüklerine tabi olduğunu** unutmayın. Sistemik risk eşiğinin altında olmak Madde 55'ten muaf eder, ama Madde 53'ten değil.

</callout-box>

## 5. Cezalar ve Yaptırım: 35M EUR'dan Başlayan Risk

<comparison-table data-caption="EU AI Act — Ceza Yapısı (Madde 99)" data-headers="[&quot;İhlal Türü&quot;,&quot;Maksimum Ceza&quot;,&quot;Küresel Ciro Yüzdesi&quot;,&quot;Uygulanan&quot;]" data-rows="[{&quot;feature&quot;:&quot;Madde 5 yasak uygulamalar&quot;,&quot;values&quot;:[&quot;35M EUR&quot;,&quot;%7&quot;,&quot;Hangisi yüksek&quot;]},{&quot;feature&quot;:&quot;High-risk veya GPAI yükümlülük ihlali&quot;,&quot;values&quot;:[&quot;15M EUR&quot;,&quot;%3&quot;,&quot;Hangisi yüksek&quot;]},{&quot;feature&quot;:&quot;Yanıltıcı / eksik bilgi sağlama&quot;,&quot;values&quot;:[&quot;7.5M EUR&quot;,&quot;%1.5&quot;,&quot;Hangisi yüksek&quot;]},{&quot;feature&quot;:&quot;SMEs için tüm ihlaller&quot;,&quot;values&quot;:[&quot;İndirimli ceza&quot;,&quot;İndirimli yüzde&quot;,&quot;Hangisi düşük&quot;]}]"></comparison-table>

### 5.1. Ceza Hesaplamasında Dikkate Alınan Faktörler

Madde 99(7) cezaları belirlerken şu faktörleri zorunlu kılar:

1. İhlalin **doğası, ciddiyeti, süresi**.
2. **Diğer pazar denetim otoritelerinin** verdiği cezalar.
3. Sağlayıcı veya dağıtıcının **büyüklüğü, yıllık cirosu, pazar payı**.
4. İhlali **azaltıcı tedbirler** (geri çekme, müşterilere bildirim).
5. **İhmal mi kasıt mı**.
6. **Tekrarlı ihlal** geçmişi.
7. **Yetkili otorite ile işbirliği** seviyesi.

### 5.2. Türk Şirket İçin Pratik Risk Senaryosu

Yıllık küresel cirosu 500 milyon EUR olan bir Türk otomotiv tedarikçisi, AB pazarına high-risk AI bileşeni (sürücü izleme sistemi) sağlıyor. **Madde 16 yükümlülüklerinden teknik dokümantasyonu eksik bırakırsa**: maksimum ceza min(15M EUR, %3 x 500M EUR) = min(15M, 15M) = **15M EUR**. Buna ek olarak Üye Devlet pazar denetim otoritesi sistemi pazardan geri çekme emri verebilir, mevcut sözleşmeler iptal edilebilir, müşterilere bildirim yapılması zorunlu olur.

<stat-callout data-value="%7" data-context="EU AI Act''in yasak AI uygulamaları için en yüksek ceza dilimi" data-outcome="küresel yıllık ciro üzerinden uygulanır — GDPR''nin %4''lük üst sınırından daha yüksek." data-source="{&quot;label&quot;:&quot;EU AI Act, Madde 99(3)&quot;,&quot;url&quot;:&quot;https://artificialintelligenceact.eu/article/99/&quot;,&quot;date&quot;:&quot;2024&quot;}"></stat-callout>

## 5.3. Bireysel Sorumluluk: Yönetim Kurulu Üyeleri ve Üst Düzey Yöneticiler

AI Act, GDPR'den farklı olarak şirket cezalarının yanında **bireysel sorumluluğu** doğrudan düzenlemez. Ancak Üye Devlet ulusal hukukları (örneğin Almanya BDSG, Fransız RGPD) AI Act ihlallerini ilave olarak ceza hukuku boyutunda da düzenleyebilir. Türk şirketler için pratik etki: **AB'deki bağlı şirketin yönetim kurulu üyeleri, ciddi AI Act ihlallerinde ulusal ceza hukuku kapsamında soruşturmaya tabi olabilir**. Bu, ana şirketin Türkiye'de olmasının koruma sağlamadığı bir alandır.

### 5.4. Cezaların Hesaplanması: Pratik Örnekler

<comparison-table data-caption="Ceza Hesaplama Senaryoları (Türk Şirket için)" data-headers="[&quot;Senaryo&quot;,&quot;Yıllık Küresel Ciro&quot;,&quot;İhlal Türü&quot;,&quot;Maks. Sabit&quot;,&quot;Maks. Ciro Yüzdesi&quot;,&quot;Uygulanacak Ceza&quot;]" data-rows="[{&quot;feature&quot;:&quot;Senaryo A: KOBİ ihracatçı&quot;,&quot;values&quot;:[&quot;50M EUR&quot;,&quot;High-risk dokümantasyon eksik&quot;,&quot;15M EUR&quot;,&quot;%3 = 1.5M EUR&quot;,&quot;1.5M EUR (yüzde)&quot;]},{&quot;feature&quot;:&quot;Senaryo B: Orta şirket&quot;,&quot;values&quot;:[&quot;350M EUR&quot;,&quot;High-risk CE marking yok&quot;,&quot;15M EUR&quot;,&quot;%3 = 10.5M EUR&quot;,&quot;10.5M EUR (yüzde)&quot;]},{&quot;feature&quot;:&quot;Senaryo C: Büyük şirket&quot;,&quot;values&quot;:[&quot;1.2B EUR&quot;,&quot;Yasak AI uygulaması&quot;,&quot;35M EUR&quot;,&quot;%7 = 84M EUR&quot;,&quot;84M EUR (yüzde)&quot;]},{&quot;feature&quot;:&quot;Senaryo D: Holding&quot;,&quot;values&quot;:[&quot;8B EUR&quot;,&quot;GPAI Madde 53 ihlali&quot;,&quot;15M EUR&quot;,&quot;%3 = 240M EUR&quot;,&quot;240M EUR (yüzde)&quot;]},{&quot;feature&quot;:&quot;Senaryo E: SME indirimi&quot;,&quot;values&quot;:[&quot;20M EUR&quot;,&quot;Madde 50 şeffaflık ihlali&quot;,&quot;7.5M EUR&quot;,&quot;%1.5 = 300K EUR&quot;,&quot;300K EUR + SME indirimi&quot;]}]"></comparison-table>

### 5.5. Üye Devlet Bazlı Yaptırım Yaklaşımı Farklılıkları

AI Act bir tüzük (regulation) olup tüm Üye Devletlerde doğrudan uygulanır, ancak ulusal yaptırım otoriteleri uygulama tarzlarında farklılıklar gösterebilir:

- **Almanya (BfDI).** Disipline ve dokümantasyona aşırı önem verir; teknik dosya eksiksizliği temel kriter.
- **Fransa (CNIL).** Daha sıkı yaptırım, özellikle biyometri ve istihdam AI sistemlerinde.
- **İrlanda (DPC).** Çok uluslu şirketler için tek-temas-noktası (one-stop-shop); Big Tech'in AB merkezi olarak en kritik otorite.
- **İtalya (Garante).** Tüketici şikayetlerine hızlı yanıt; agresif geçici tedbir kararları.
- **İspanya (AESIA).** AI'ya özgü bir AI ajansı kurdu — AB'de ilk model.

**Türk ihracatçılar için pratik etki:** AB pazarınız hangi Üye Devletlerde yoğunsa, o ülkenin DPA/AI ajansı yaklaşımını öğrenin. Yaptırım stilleri farklı olduğu için risk profili de farklı.

## 6. Türkiye İhracatçı Özel Durumu: Extraterritorial Uygulama

AI Act Madde 2(1)(c), tüzüğün **AB içinde yerleşik olmayan** ama AB pazarına AI sistemleri ya da bu sistemlerin **çıktılarını** sunan sağlayıcı ve dağıtıcılar için de geçerli olduğunu açıkça düzenler. **Pratikte bu, neredeyse her ihracatçı Türk şirketinin kapsam dahilinde olduğu anlamına gelir.**

### 6.1. Hangi Türk Şirketleri Kapsamda?

- **AB'ye ürün ihraç eden imalat şirketleri** (otomotiv, beyaz eşya, makine) — eğer ürünleri AI içeriyor veya AI ile üretiliyorsa.
- **AB pazarına SaaS satış yapan teknoloji şirketleri.**
- **AB'deki müşterilerine AI destekli hizmet (consulting, analytics, marketing) sağlayan şirketler.**
- **AB'de iştiraki veya satış ofisi olan tüm Türk şirketleri.**
- **AB'ye HR / istihdam hizmeti sağlayan şirketler** (CV tarama, sınav, mülakat AI'ları).

### 6.2. Türk İhracatçı Sektörler ve AI Act Riski

<comparison-table data-caption="Türk İhracatçı Sektörleri için AI Act Risk Profili" data-headers="[&quot;Sektör&quot;,&quot;Tipik AI Kullanımı&quot;,&quot;Risk Sınıfı&quot;,&quot;Pratik Eylem&quot;]" data-rows="[{&quot;feature&quot;:&quot;Otomotiv (Tofaş, Ford Otosan, TOGG)&quot;,&quot;values&quot;:[&quot;Sürücü izleme, ADAS, kalite kontrol vision&quot;,&quot;High-risk (Annex I, ürün güvenlik)&quot;,&quot;CE marking + teknik dosya + post-market monitoring&quot;]},{&quot;feature&quot;:&quot;Beyaz Eşya (Arçelik, Vestel, BSH TR)&quot;,&quot;values&quot;:[&quot;Predictive maintenance, IoT AI, üretim hattı vision&quot;,&quot;Minimal-to-High (içerikse Annex I)&quot;,&quot;Annex I bağlantısı varsa CE marking, yoksa sınırlı&quot;]},{&quot;feature&quot;:&quot;Tekstil&quot;,&quot;values&quot;:[&quot;Kalite kontrol, üretim planlama, müşteri segmentasyon&quot;,&quot;Minimal-risk&quot;,&quot;Genel yükümlülük yok, Madde 50 şeffaflık varsa&quot;]},{&quot;feature&quot;:&quot;Savunma (ASELSAN, ROKETSAN, TUSAS)&quot;,&quot;values&quot;:[&quot;Hedef tanıma, gözetim, otomatik karar&quot;,&quot;AI Act kapsamı dışı (Madde 2(3) — askeri istisna)&quot;,&quot;AB ihracat kontrolüne tabi, AI Act dışı&quot;]},{&quot;feature&quot;:&quot;Finans / Fintech&quot;,&quot;values&quot;:[&quot;Kredi skorlama, KYC, fraud detection&quot;,&quot;High-risk (Annex III)&quot;,&quot;CE marking + bias monitoring + DPIA&quot;]},{&quot;feature&quot;:&quot;Sağlık Teknolojileri&quot;,&quot;values&quot;:[&quot;Tıbbi cihaz AI, görüntüleme analizi&quot;,&quot;High-risk (Annex I MDR + Annex III)&quot;,&quot;MDR + AI Act çift uyum&quot;]}]"></comparison-table>

### 6.3. AB Temsilcisi (Authorized Representative) Atama Zorunluluğu

AI Act Madde 22, AB'de yerleşik olmayan **high-risk sistem sağlayıcılarının** (provider) bir AB temsilcisi (authorized representative) atamasını zorunlu kılar. Bu temsilci:

- Sağlayıcı adına teknik dokümantasyonu tutar.
- Pazar denetim otoriteleri ile iletişim kurar.
- Uygunluk beyanı (declaration of conformity) ve diğer dokümanları yetkililerle paylaşır.
- Sistemde ciddi olay olduğunda yetkililere bildirir.

**Türk şirketler için pratik nokta:** Bu temsilciliği genelde bir AB hukuk bürosu (Brüksel, Münih, Amsterdam) veya uyum hizmeti şirketi (TÜV, DEKRA, Bureau Veritas AB iştirakleri) sağlar. Yıllık maliyet 15.000-50.000 EUR aralığındadır.

### 6.4. Otomotiv Sektörü Derinlemesine: TOGG, Tofaş, Ford Otosan

Türk otomotiv sektörü, AB'ye en yüksek hacimde AI içeren ürün ihraç eden sektördür. Üç ana risk alanı vardır:

1. **ADAS (Advanced Driver Assistance Systems).** Otomatik fren, şerit takip, kör nokta uyarısı. Annex I (otomotiv güvenlik) bağlantısı nedeniyle high-risk; tip onayı sürecine entegre edilmesi gerekiyor.
2. **Sürücü izleme.** Dikkat dağınıklığı, yorgunluk, alkol tespiti. Biyometri/duygu tanıma sınırı — Annex III(1) kapsamında high-risk olabilir.
3. **In-cabin AI asistanı.** Sesli komut, ses tonu analizi, kişiselleştirilmiş içerik. Madde 50 şeffaflık zorunluluğu uygulanır.

**TOGG için spesifik durum.** Türkiye'nin yerli elektrikli aracı TOGG, AB pazarına 2024'te girdi. ADAS sistemleri Type Approval Regulation (UN ECE R157) kapsamında, ek olarak AI Act Annex I ile çift uyumluluk gerekiyor. TOGG'un Avrupa Tip Onay Otoritesi (Almanya KBA) ile koordinasyonu, AI Act riskini azaltıcı bir avantaj sağlıyor.

### 6.5. Beyaz Eşya Derinlemesine: Arçelik (Beko/Grundig), Vestel, BSH Türkiye

Beyaz eşya sektöründe AI kullanımı çoğunlukla "akıllı ev" özellikleri olarak konumlandırılır. Risk profili:

1. **Predictive Maintenance.** Cihaz arıza tahmini — bulut tabanlı analitik. Genelde minimal-risk ama ürün güvenliğine bağlıysa (örn. hidrofor patlama riski) Annex I üzerinden high-risk.
2. **Enerji optimizasyonu.** Akıllı buzdolabı, çamaşır makinesi enerji yönetimi. Minimal-risk.
3. **Görüntü tanıma (kameralı buzdolabı).** Yiyecek tanıma, son kullanma tarihi uyarısı. Madde 50 şeffaflık.
4. **Sesli asistan (Alexa, Google Assistant entegrasyon).** Üçüncü taraf AI; sub-processor zinciri analiz edilmeli.

**Arçelik Beko için spesifik durum.** Beko Eurasia (Almanya) AB içinde dağıtım merkezi olarak çalışıyor. Bu, Beko'nun AI Act yükümlülüklerinde AB temsilcisi atama gerekliliğini bertaraf etmez — Beko Türkiye sağlayıcı, Beko Almanya dağıtıcı (distributor) konumunda. Provider'ın yükümlülükleri Beko Türkiye'de.

### 6.6. Tekstil Sektörü Derinlemesine: Hugo Boss Tedarikçileri, Mango Tedarikçileri

Tekstil, AI kullanımı görece düşük bir sektör ama büyüyor:

1. **Renk eşleştirme AI.** Üretim kalite kontrol. Minimal-risk.
2. **Talep tahmini AI.** Üretim planlama. Minimal-risk.
3. **Sürdürülebilirlik raporlama AI.** Karbon ayak izi hesaplama. Düzenleme kapsamı dışı.

**AI Act açısından düşük risk** ama **AB CSRD (Corporate Sustainability Reporting Directive)** ve **CSDDD (Corporate Sustainability Due Diligence Directive)** kapsamında yan-yükümlülükler oluşabilir. AI-temelli sürdürülebilirlik raporları yanıltıcıysa, ayrı yaptırım rejimine tabi.

### 6.7. Finans / Fintech Derinlemesine: Türk Bankaları ve BDDK

Türk bankaları doğrudan AB pazarına SaaS satmıyor olabilir, ama:

1. **AB iştirakleri** (örn. DenizBank Almanya, İşbank AG, T.C. Ziraat Bankası Frankfurt) AB pazarındaki birer kuruluş — AI Act doğrudan kapsam.
2. **AB müşterilerine bankacılık hizmeti** verirken kullanılan AI sistemleri (kredi skorlama, KYC, fraud detection) — Annex III(5)(b) kapsamında high-risk.
3. **PSD2 kapsamındaki Açık Bankacılık AI'ları** — sub-processor zinciri kritik.

**BDDK ile AI Act koordinasyonu.** BDDK'nın Mayıs 2025'te yayımladığı "Bankacılıkta Yapay Zeka Genelgesi" AI Act ile büyük ölçüde uyumlu. Türk bankaları **iki uyum çerçevesini de paralel uygulamalı**. BDDK ek olarak operasyonel risk yönetimi (RTS PSD2) yükümlülükleri getirir.

### 6.8. Sağlık Teknolojileri Derinlemesine

Sağlık AI'sı çift düzenleme rejimine tabi: MDR (Medical Device Regulation EU 2017/745) + AI Act. Türk sağlık-tech şirketler için kritik noktalar:

1. **Tıbbi cihaz sınıflandırması (MDR Sınıf I-III).** AI'lı tıbbi cihazlar genelde Sınıf IIa veya daha yüksek — notified body onayı zorunlu.
2. **Klinik değerlendirme.** MDR ek IV + AI Act Annex IV birleşik dokümantasyon.
3. **Post-market surveillance.** MDR + AI Act'in çakışan post-market izleme yükümlülükleri.

**Örnek:** Türk bir AI radyoloji şirketi, AB pazarına aktığında MDR Sınıf IIa (radyoloji yorumu) + AI Act Annex III(5)(b) (sağlık erişimi) çift yükümlülüğüne tabi olur. CE marking iki rejimi de kapsayacak şekilde alınmalı.

### 6.9. AB Tek Pazarına Tedarik Yolu: 7 Farklı Senaryo

Türk şirketler AB pazarına farklı yollardan ulaşabilir; her senaryonun AI Act yansımaları farklıdır:

1. **Doğrudan ihracat.** Provider rolü Türk şirkette; AB temsilcisi atama, CE marking, post-market monitoring zorunlu.
2. **AB iştiraki üzerinden.** İştirak provider; ana şirket de işbirliği yükümlülükleri taşır (Madde 25).
3. **AB distribütörü üzerinden.** Distribütör Madde 24 yükümlülüklerine tabi; provider rolü Türk şirkette kalır.
4. **OEM olarak.** AB OEM'i ürüne entegre eder; Türk şirket "AI komponent sağlayıcı" rolünde — Madde 25(4) kapsamında.
5. **White-label SaaS.** AB müşterisi kendi markası altında satar; Türk şirket arka planda sağlayıcı.
6. **Marketplace üzerinden (Amazon, eBay).** Provider rolü Türk şirkette; marketplace distributor; ek olarak DSA yükümlülükleri.
7. **API olarak.** Türk SaaS API'sını AB müşteri kullanır; Türk şirket provider, AB müşteri deployer.

Her senaryoda AI Act yükümlülüklerinin nasıl dağıldığını netleştirmek için **bir karar matrisi** çıkarın.

### 6.10. Düzenleyici Sandbox: Test Etme Olanağı

AI Act Madde 57, **AI Regulatory Sandbox**'ı zorunlu kılar. Her Üye Devlet 2 Ağustos 2026'ya kadar en az bir sandbox kurmalıdır. Bu, üretime alınmadan önce regülatörle birlikte test imkanı sağlar.

**Türk şirketler için pratik öneri.** İlk AI Act uyum projeniz **yüksek belirsizlik** içeriyorsa, AB Üye Devleti sandbox'ına başvuru değerlendirin. Avantajlar:
- Düşürülmüş regülatif risk
- Erken regülatör feedback'i
- Pazara giriş hızı
- Marketing değeri ("AB sandbox'ında doğrulanmış")

İlk operasyonel sandbox'lar: İspanya (AESIA), Almanya (BfDI), Fransa (CNIL). Türk şirketler için en uygun olanı genelde AB'deki bağlı şirket veya AB temsilcisinin yerleşik olduğu ülkedir.

## 7. KVKK + EU AI Act + ISO 42001 Üçlü Uyum Matrisi

Türk şirketler için pratik bir gerçek: AI Act tek başına yeterli değildir. KVKK (kişisel veri varsa) ve ISO/IEC 42001 (uluslararası AI yönetim sistemi standardı) ile birleştirilmiş bir uyum mimarisi gerekir.

<comparison-table data-caption="KVKK + EU AI Act + ISO 42001 — Yükümlülük Çakışmaları" data-headers="[&quot;Yükümlülük&quot;,&quot;KVKK&quot;,&quot;EU AI Act&quot;,&quot;ISO 42001&quot;]" data-rows="[{&quot;feature&quot;:&quot;Risk Değerlendirmesi&quot;,&quot;values&quot;:[&quot;DPIA (Madde 5)&quot;,&quot;FRIA + Risk Yönetim Sistemi (Madde 9, 27)&quot;,&quot;Risk yönetim süreci (madde 6.1)&quot;]},{&quot;feature&quot;:&quot;Veri Yönetişimi&quot;,&quot;values&quot;:[&quot;Veri envanteri, amaç sınırlaması&quot;,&quot;Madde 10 — eğitim/test/validation veri kalitesi&quot;,&quot;Madde 7.5 veri yönetimi&quot;]},{&quot;feature&quot;:&quot;Dokümantasyon&quot;,&quot;values&quot;:[&quot;VERBİS kaydı&quot;,&quot;Teknik dokümantasyon (Annex IV)&quot;,&quot;Belgelendirilmiş bilgi (madde 7.5)&quot;]},{&quot;feature&quot;:&quot;İnsan Gözetimi&quot;,&quot;values&quot;:[&quot;Madde 11 — otomatik karar itirazı&quot;,&quot;Madde 14 — insan denetimi&quot;,&quot;Madde 8.1 — operasyonel kontrol&quot;]},{&quot;feature&quot;:&quot;Olay Yönetimi&quot;,&quot;values&quot;:[&quot;VERBİS&apos;&apos;e ihlal bildirimi&quot;,&quot;Madde 73 — ciddi olay raporlama&quot;,&quot;Madde 10 — düzeltici aksiyon&quot;]},{&quot;feature&quot;:&quot;Şeffaflık&quot;,&quot;values&quot;:[&quot;Aydınlatma metni&quot;,&quot;Madde 13, 50 — kullanıcıya bilgilendirme&quot;,&quot;Madde 7.4 — iletişim&quot;]}]"></comparison-table>

**Pratik tavsiye.** İlk önce KVKK temelinde bir veri yönetişim alt-yapısı kurun, üzerine AI Act'ın risk yönetim sistemini bina edin, ISO 42001 ile **belgelendirme-edilmiş bir AI yönetim sistemi** (AIMS) sağlayın. Bu üçlü, üst yönetim ve AB pazar denetim otoriteleri için **uyum kanıtı** olarak kullanılır.

### 7.1. KVKK Etken AI Rehberi Entegrasyonu

KVKK'nın 12 Mart 2026'da yayımladığı Etken Yapay Zeka rehberi, AI Act ile bilinçli olarak uyumludur. Etken AI rehberi 15 sorudan oluşur — AI Act FRIA'ya paralel:

- KVKK 15 sorusu: amaç, veri akış, hukuki dayanak, risk, mitigation, monitoring, üst yönetim onayı.
- AI Act FRIA: özetle aynı yapı (Madde 27).

Türk şirketler için **tek bir entegre değerlendirme dokümanı** hazırlamak %35 efor tasarrufu sağlar. Bu doküman:
- KVKK DPIA + AI Act FRIA + ISO 42001 risk değerlendirmesi → tek matriks.
- KVKK 15 soru + AI Act Madde 27 unsurları → ortak soru seti.
- Üst yönetim onayı → tek imza.

### 7.2. ISO 42001 AIMS Belgelendirme Süreci

ISO 42001:2023 (AI Management System) belgelendirmesi adımlar:

1. **Hazırlık (4-8 hafta).** Mevcut süreç envanteri, GAP analizi, AIMS politika dokümanı taslağı.
2. **AIMS implementasyonu (8-16 hafta).** Politika, prosedür, kayıt yapısı, sorumluluk matrisi, eğitim programı.
3. **İç denetim (2-4 hafta).** İç ekip veya dış danışman ile.
4. **Yönetim incelemesi (1-2 hafta).** Üst yönetim onayı.
5. **Akredite belgelendirme kuruluşu denetimi (2-4 hafta).** TÜV, BSI, DNV, DEKRA.
6. **Belgeleme (2-4 hafta).** Bulguların kapatılması, sertifika düzenlemesi.
7. **Yıllık gözetim denetimleri (continuous).** Her yıl sürekliliği test edilir.

**Türk şirketler için pratik gözlem.** ISO 42001 belgelendirmesi, sadece AB müşterilerine kanıt sağlamakla kalmaz; **iç AI yönetişim kültürünü oluşturmanın** en hızlı yoludur. KVKK + AI Act yükümlülüklerinin doğal bir kapsayıcısıdır.

### 7.1. Annex IV Teknik Dokümantasyon Şablonu (Detaylı)

AI Act Annex IV, high-risk sistemlerin teknik dokümantasyonu için zorunlu içeriği listeler. Türk şirketler için ayrıntılı şablon:

**Bölüm 1: Genel Açıklama**
- AI sisteminin amacı, kullanıcıları, kullanım bağlamı
- Sağlayıcı kimliği, AB temsilcisi kimliği
- Versiyon ve değişiklik geçmişi
- Sistemde kullanılan donanım/yazılım/firmware

**Bölüm 2: Tasarım Açıklaması**
- Sistem mimarisi diyagramı
- Eğitim/test/validation veri setleri (kaynak, miktar, kalite, çeşitlilik)
- Eğitim algoritması, hiperparametreler, optimizasyon yöntemi
- Eğitim/değerlendirme metrikleri ve eşikleri
- İnsan-makine arayüzü açıklaması

**Bölüm 3: Sistem İzleme ve Test**
- Doğruluk metrikleri (accuracy, precision, recall, F1, AUC)
- Sağlamlık (robustness) test sonuçları — adversarial, distribution shift
- Bias değerlendirmesi (cinsiyet, yaş, milliyet, etnik köken)
- Siber güvenlik tedbirleri (input sanitization, output filtering, rate limiting)
- Insanın oversight noktaları ve müdahale mekanizmaları

**Bölüm 4: Risk Yönetim Sistemi**
- Tanımlanmış riskler ve azaltıcı tedbirler
- Test sırasında karşılaşılan rezidüel riskler
- Kullanım kılavuzu / kullanıcı talimatları (Madde 13)

**Bölüm 5: Kalite Yönetim Sistemi**
- Uyum süreçleri, belgelendirme, sorumluluklar
- Değişiklik yönetimi prosedürü
- İncident raporlama süreci
- Periyodik review takvimi

Tipik bir Annex IV teknik dosyası 80-300 sayfa arasındadır. Türk şirketlerin hazırlanması 8-16 hafta sürer.

### 7.2. Veri Yönetişimi (Madde 10) Pratik Adımlar

AI Act Madde 10, eğitim/test/validation veri setlerinin **uygun kalitede, ilgili, temsili, hatasız ve eksiksiz** olmasını zorunlu kılar. Türk şirketler için pratik uygulama:

1. **Veri Sağlayıcı Due Diligence.** Üçüncü taraflardan veri satın alındığında, sağlayıcının veri toplama yöntemini, KVKK/GDPR uyumunu, telif hakkı durumunu doğrulayın.
2. **Veri Annotation Süreci.** Etiketleme yapan kişilerin/şirketlerin nitelikleri, kalite kontrol metrikleri (inter-annotator agreement).
3. **Veri Augmentation Şeffaflığı.** Sentetik veri üretildiyse hangi yöntemle, hangi orana, hangi sınıflarda.
4. **Bias Audit.** Eğitim verisinde demografik dengesizlikler için sistematik tarama. KVKK Madde 6 (özel nitelikli veri) ve AI Act Madde 10(5) (özel nitelikli veri istisnası ile bias test) bağlantısı kritik.
5. **Veri Yeniden Eğitim Politikası.** Modelin güncellenmesinde hangi verinin ekleneceği, hangi verinin çıkarılacağı, model drift'i nasıl izleneceği.

## 8. Türk İhracatçı için Adım-Adım Uyum Yol Haritası

### Adım 1: AI Sistem Envanteri (Hafta 1-3)

Şirketinizin kullandığı (in-house geliştirilen, satın alınan, SaaS) **tüm AI sistemlerinin** envanterini çıkartın. Şu kolonlar zorunlu:

- Sistem adı ve sahibi
- Kullanım amacı
- Kullanım coğrafyası (AB içeriyor mu?)
- Sağlayıcı (provider) mı dağıtıcı (deployer) mı rolü
- Eğitim veri kaynakları
- Kişisel veri içeriyor mu (KVKK & GDPR)
- Annex III alanına giriyor mu

### Adım 2: Risk Sınıflandırma (Hafta 3-5)

Her sistem için Madde 5, 6, Annex I ve Annex III taraması yapın. Çıktı: **her sisteme atanmış risk seviyesi** (yasak / high-risk / sınırlı-risk / minimal-risk).

### Adım 3: High-Risk Sistemler İçin Dokümantasyon (Hafta 5-12)

Her high-risk sistem için Annex IV'e uygun teknik dosya:

1. **Risk yönetim sistemi** (Madde 9).
2. **Veri ve veri yönetişim açıklaması** (Madde 10).
3. **Teknik dokümantasyon** (Madde 11 + Annex IV).
4. **Record-keeping / Loglama** (Madde 12).
5. **Şeffaflık ve kullanıcıya bilgi** (Madde 13).
6. **İnsan gözetim mekanizmaları** (Madde 14).
7. **Doğruluk, sağlamlık, siber güvenlik** (Madde 15).
8. **Kalite yönetim sistemi** (Madde 17).

### Adım 4: AB Temsilcisi Atama (Hafta 6-8)

AB içinde yerleşik bir authorized representative (Brüksel, Münih, Amsterdam tipik tercihler) ile sözleşme. Madde 22 yetkileri sözleşmede açıkça yer almalı.

### Adım 5: CE Marking ve Uygunluk Beyanı (Hafta 10-16)

High-risk sistemler için uygunluk değerlendirmesi:

- **İç kontrol** ile uygunluk değerlendirmesi (Annex VI) — çoğu Annex III sistemi için.
- **Notified body** uygunluk değerlendirmesi (Annex VII) — biyometri ve ürün güvenliği bağlantılı sistemler için.

Sonuç: CE marking ve declaration of conformity. AB EUDAMED veya AI Act'a özgü EU database'e kayıt.

### Adım 6: Post-Market Monitoring Sistemi (Sürekli)

Madde 72 — pazara çıktıktan sonra sistemin performans, güvenlik ve uygunluk göstergeleri sürekli izlenir. Madde 73 — ciddi olaylar (ölüm, vücut bütünlüğüne zarar, kritik altyapı aksaması, temel haklara önemli ihlal) **15 gün içinde** AI Office'e raporlanır.

### Adım 7: KVKK + AI Act + ISO 42001 Entegrasyonu (Hafta 12-24)

Önceki maddedeki üçlü uyum matrisi devreye alınır.

### Adım 8: AB Pazara Çıkış Test Programı (Hafta 16-20)

Üretim öncesi son denetim adımları:

1. **Penetration testing.** Siber güvenlik açıkları için pen-test yapılır.
2. **Adversarial testing.** AI sistemini kasıtlı kötüye kullanım denemeleriyle test.
3. **Bias auditing.** Demografik gruplar arası performans farkları.
4. **Stress testing.** Yüksek yük altında sistem davranışı.
5. **Recovery testing.** Sistem çöktüğünde insan müdahalesi mekanizması.

Bu testlerin **tüm sonuçları** Annex IV teknik dosyaya eklenir. Eksik test, denetim sırasında "ihmal" sayılır.

### Adım 9: Beta Müşteri Pilot (Hafta 20-24)

İlk AB müşterilerinizle pilot yürütün. Anlaşmaya:
- Madde 25(1) provider-deployer iş bölümü
- Madde 26 deployer yükümlülükleri (insan oversight, log kayıtları, monitoring)
- Madde 27 FRIA için işbirliği
- Ciddi olay halinde 24 saat içinde bildirim

ekleyin. Pilotta yaşadığınız sorunlar (yanlış sonuç, halüsinasyon, model drift) Madde 73 ciddi olay tanımının altında kalsa bile **iç ders** kayıtlarına ekleyin.

### Adım 10: Üretim Çıkışı (Hafta 24+)

CE marking belgesi alındıktan ve EU AI database'e kayıt yapıldıktan sonra resmi ürün lansmanı. Lansmanla birlikte:
- Sürekli post-market monitoring panosu canlıya alınır
- Müşteri şikayet kanalı operasyonel
- Aylık DPO-CISO-Mühendislik üçlü inceleme toplantıları
- Çeyreklik üst yönetim raporu

<callout-box data-variant="tip" data-title="12 Haftalık Hızlandırılmış Plan">

Yıl sonuna yaklaşan ve 2 Ağustos 2026'ya yetişmek isteyen Türk şirketler için **12 haftalık paralel-çalışan** plan uygulanabilir: Hafta 1-3 envanter + sınıflandırma; Hafta 4-9 dokümantasyon (high-risk başına 3 hafta); Hafta 10-12 AB temsilcisi + CE marking başvurusu + post-market monitoring kurulumu.

</callout-box>

### 8.1. Hukuki Süreç ve Avukat-Mühendis Koordinasyonu

AI Act uyumu, Türk şirketlerinde sıklıkla iki silo arasında düşer: **hukuk ekibi** dokümantasyonu hukuki dilde yazar, **mühendislik ekibi** AI sistemini tasarlar/üretir. Bu silolar arasındaki kopukluk, en yaygın uyum hatasıdır.

**Pratik çözüm: Üçlü RACI Matrisi**

<comparison-table data-caption="AI Act Uyum RACI Matrisi (Türk Şirket Şablonu)" data-headers="[&quot;Görev&quot;,&quot;Hukuk&quot;,&quot;Mühendislik&quot;,&quot;DPO/CISO&quot;,&quot;Üst Yönetim&quot;]" data-rows="[{&quot;feature&quot;:&quot;AI envanteri&quot;,&quot;values&quot;:[&quot;C&quot;,&quot;R&quot;,&quot;A&quot;,&quot;I&quot;]},{&quot;feature&quot;:&quot;Risk sınıflandırma&quot;,&quot;values&quot;:[&quot;A&quot;,&quot;C&quot;,&quot;R&quot;,&quot;I&quot;]},{&quot;feature&quot;:&quot;Annex IV teknik dosya&quot;,&quot;values&quot;:[&quot;C&quot;,&quot;R&quot;,&quot;A&quot;,&quot;I&quot;]},{&quot;feature&quot;:&quot;DPIA/FRIA&quot;,&quot;values&quot;:[&quot;R&quot;,&quot;C&quot;,&quot;A&quot;,&quot;I&quot;]},{&quot;feature&quot;:&quot;AB temsilcisi seçimi&quot;,&quot;values&quot;:[&quot;R&quot;,&quot;I&quot;,&quot;C&quot;,&quot;A&quot;]},{&quot;feature&quot;:&quot;Notified body koordinasyonu&quot;,&quot;values&quot;:[&quot;R&quot;,&quot;C&quot;,&quot;A&quot;,&quot;I&quot;]},{&quot;feature&quot;:&quot;Post-market monitoring&quot;,&quot;values&quot;:[&quot;I&quot;,&quot;R&quot;,&quot;A&quot;,&quot;I&quot;]},{&quot;feature&quot;:&quot;İhlal bildirimi&quot;,&quot;values&quot;:[&quot;A&quot;,&quot;R&quot;,&quot;R&quot;,&quot;I&quot;]}]"></comparison-table>

R=Responsible (yürüten), A=Accountable (sorumlu), C=Consulted (danışılan), I=Informed (bilgilendirilen).

### 8.2. AI Act Eğitim Programı: Şirket-İçi Capacity Building

Madde 4 (AI Literacy) — provider ve deployer'ların ekiplerinin yeterli AI okuryazarlığına sahip olmasını zorunlu kılar. Türk şirketler için pratik eğitim programı:

**Seviye 1: Genel Farkındalık (Tüm Çalışanlar — 2 saat)**
- AI Act nedir, neden önemli
- Risk kategorileri özet
- Şirketteki sorumluluklar
- Şikayet ve raporlama kanalları

**Seviye 2: Departman Spesifik (Mühendislik, Ürün, Pazarlama, Hukuk — 8 saat)**
- Kendi rollerine düşen AI Act yükümlülükleri
- Tipik karar noktaları
- Vendor seçim kriterleri
- DPIA katkı süreci

**Seviye 3: Liderlik Eğitimi (CIO, CISO, DPO, General Counsel, Yönetim Kurulu — 16 saat)**
- Tam yasa metni okuma
- Risk değerlendirme
- Bütçe ve kaynak tahsisi
- Kriz yönetimi (ciddi olay halinde)

**Seviye 4: Uzman Eğitimi (AI Compliance Officer — 40 saat)**
- Annex IV teknik dokümantasyon
- Notified body koordinasyonu
- Post-market monitoring sistemleri
- KVKK + AI Act + ISO 42001 entegrasyon

**Sertifikasyon.** AB pazar denetim otoriteleri, eğitim kayıtlarını ve sertifikalarını **uyum kanıtı** olarak değerlendirir. ISACA, IAPP, IAAI gibi kurumlar AI governance sertifikaları sunar.

## 9. Türk Şirket Vaka Çalışmaları (Anonim)

### Vaka 1 — Türk Otomotiv OEM Tedarikçisi: Sürücü İzleme Sistemi

**Problem.** Şirket, AB OEM'lerine kamera tabanlı sürücü dikkat-izleme sistemi tedarik ediyor. Sistem AI-tabanlı (yorgunluk tespiti, dikkat dağınıklığı). 2024'te projenin AI Act kapsamında olduğu anlaşılıyor; Annex I (otomotiv ürün güvenliği) + Annex III (biyometri / duygu tanıma sınırı) çift kapsam.

**Çözüm.** 9 aylık uyum projesi (Kasım 2024 - Temmuz 2025): (1) Risk yönetim sistemi (ISO 14971 + AI Act Madde 9 entegre); (2) Teknik dokümantasyon Annex IV'e göre — 280 sayfa; (3) Notified body olarak TÜV SÜD (Almanya) seçildi; (4) AB temsilcisi olarak Münih hukuk bürosu atandı; (5) Post-market monitoring portal'ı kuruldu; (6) ISO 42001 AIMS belgelendirmesi paralel yürütüldü.

**Sonuç.** CE marking Mayıs 2025'te alındı. Toplam yatırım: 1.4M EUR (uyum + danışmanlık + notified body + teknik altyapı). Şirket, EU AI Act'a uyumlu ilk Türk otomotiv tedarikçilerinden biri oldu — bu, Avrupa OEM'lerle yeni kontrat müzakerelerinde ciddi rekabet avantajı sağladı.

### Vaka 2 — Türk Beyaz Eşya Üreticisi: Predictive Maintenance AI

**Problem.** Beyaz eşya şirketi, AB pazarına satışı yapılan ürünlerinde "akıllı arıza tahmini" özelliği sunuyor. Sistem bulut tabanlı, ürün IoT sensörlerinden veri topluyor, bulutta AI ile arıza tahmini yapıyor. 2025'te bu sistemin AI Act'a giriyor mu sorusu doğuyor.

**Çözüm.** Yapılan analiz: (1) Sistem **minimal-risk** kategorisinde — Annex III'e girmiyor, Annex I (Low Voltage Directive) bağlantısı var ama AI bileşeni güvenlik-kritik değil (sadece konfor); (2) Buna rağmen Madde 50 şeffaflık zorunluluğu uygulandı — kullanıcıya cihazın AI ile arıza tahmini yaptığı bilgisi verildi; (3) ISO 42001 paralel olarak uygulanarak AB OEM müşterilerine "AI yönetişim olgunluk" kanıtı sağlandı.

**Sonuç.** Tam CE marking gerekmedi (sistem high-risk değil). Toplam yatırım: 150.000 EUR. Şirketin AB satışlarına direkt olumlu etki — büyük perakendecilerden gelen "sizin AI yönetişim politikanız ne?" sorusuna ISO 42001 belgesiyle yanıt verildi.

### Vaka 3 — Türk SaaS Şirketi: HR AI (CV Tarama)

**Problem.** Türk merkezli SaaS şirketi, AB'deki müşterilerine CV tarama ve mülakat AI hizmeti sağlıyor. Bu sistem Annex III(4)(a) — istihdam için AI — kapsamına otomatik olarak high-risk.

**Çözüm.** (1) Şirket rolü: Provider; AB müşterileri Deployer; (2) Authorized representative: Amsterdam'da kurulan bağlı şirket; (3) Bias monitoring — cinsiyet, yaş, milliyet boyutlarında her ay otomatik bias testi; (4) Teknik dokümantasyon Annex IV'e göre; (5) Kullanıcılara (iş başvurusu yapanlara) açık bilgilendirme zorunluluğu (Madde 50); (6) İnsan gözetimi (Madde 14) — son kararı her zaman insan İK uzmanı verir.

**Sonuç.** Sistem 2 Ağustos 2026 öncesi CE marking aldı. Toplam yatırım: 380.000 EUR. Şirket AB pazarına satış yapabilen ilk Türk HR-tech SaaS'larından biri oldu.

### Vaka 4 — Türk Bankacılık Yazılım Şirketi: Kredi Skoru AI

**Problem.** Türk bir bankacılık yazılım şirketi, AB'deki banka müşterilerine kredi skoru AI servisi sağlıyor. Annex III(5)(b) "kredi skorlama" alanında otomatik high-risk.

**Çözüm.** (1) Provider rolü; AB bankaları deployer; (2) Bias monitoring çok kritik — cinsiyet, milliyet, yaş, ZIP kodu (proxy bias riski) için aylık testler; (3) Açıklanabilirlik raporu (SHAP, LIME) her kredi kararı için; (4) ECOA (US) / EU consumer credit directive uyumlu açıklama gerekliliği; (5) AB temsilcisi Frankfurt'ta, Bafin (Almanya bankacılık denetimi) ile koordinasyon için.

**Sonuç.** Sistem 14 ay içinde tamamen uyumlu hale geldi. Toplam yatırım: 720.000 EUR. AB'deki 8 müşteri bankayla yeni multi-yıllık sözleşmeler imzalandı.

### Vaka 5 — Türk Lojistik Şirketi: Rota Optimizasyon AI

**Problem.** Türk lojistik devi, AB içi taşımacılık için AI tabanlı rota optimizasyonu sunuyor. İlk değerlendirmede "minimal-risk" gözüktü ama detaylı incelemede sürücülere "performans" geri bildirimi veren modül **Annex III(4) istihdam AI** sınırında bulundu.

**Çözüm.** (1) Performans modülü ayrı bir ürün haline getirildi — bu modül high-risk olarak yönetildi; (2) Ana rota optimizasyon kalan minimal-risk; (3) Sürücülere açık aydınlatma metni; (4) Sendikalarla istişare (özellikle Almanya, Fransa — işyeri konseyi yükümlülüğü); (5) Bias testleri (cinsiyet, yaş — sürücü demografik dağılımına göre).

**Sonuç.** Modüler ayırma sayesinde uyum maliyeti %35 düştü. Toplam yatırım: 240.000 EUR (performans modülü için CE marking) + 60.000 EUR (rota modülü için Madde 50).

### Vaka 6 — Türk Telco: Müşteri Hizmetleri Voice AI

**Problem.** Türk telco şirketi, AB'deki iştirakleri için Türkçe + 6 Avrupa dilinde voice AI müşteri hizmetleri çözümü geliştirdi. Çağrı sırasında ses tonu analizi ve duygu tanıma yapan modül **Annex III(1) biyometri/duygu tanıma** kapsamında high-risk.

**Çözüm.** (1) Duygu tanıma modülünü opsiyonel hale getirme — varsayılan kapalı; (2) Açıklanabilirlik dashboard'u; (3) İnsan operatöre transfer her zaman mümkün; (4) Kullanıcıya çağrı başında AI ile konuştuğunu bildirme (Madde 50); (5) Audit log: tüm AI kararları 10 yıl saklanır.

**Sonuç.** AB iştiraklerinde tam uyum sağlandı; Madde 50 + Annex III çift uyumluluğu. Toplam yatırım: 1.1M EUR.

## 10. Riskler ve Yaygın Hatalar

<callout-box data-variant="warning" data-title="2 Ağustos 2026'ya Yetişemeyenlerin Yaygın Hataları">

1. **"Biz Türkiye'deyiz, AI Act bizi bağlamaz" varsayımı.** Yanlış — AI Act extraterritorial. Eğer AB pazarına AI çıktısı sunuyorsanız kapsam dahilindesiniz.
2. **Risk sınıflandırmayı geç yapma.** "Önce kodu yazalım, sonra uyum bakarız" yaklaşımı — high-risk sistemlerde mimari değişiklikler gerekebilir, bu da aylar alır.
3. **Notified body kontağını geç kurma.** Notified body'lerin AI için akreditasyon süreci 2 Ağustos 2026'ya kadar tamamlanmıyor; ilk başvurular sırasında 6-12 ay bekleme süreleri olabilir.
4. **AB temsilcisini "imza için bir avukat" gibi düşünmek.** Authorize representative aslında pazar denetim otoriteleri için **birinci muhatap** — sözleşmesi ciddi olmalı.
5. **Eğitim verisinin telif hakkı durumunu tarama dışı bırakmak.** Madde 53(1)(c) telif hakkı opt-out'a uyum zorunluluğu. AB'de açılan İlk telif davaları (Stable Diffusion, ChatGPT) bu maddeyi test edecek.
6. **KVKK uyumunu AI Act'tan ayrı bir proje gibi yürütmek.** İki uyum birlikte tasarlanırsa maliyet %40 düşer; ayrı yürütülürse çelişen dokümanlar oluşur.

</callout-box>

### Uyum Maliyet Tahmini

<comparison-table data-caption="Türk Şirket için AI Act Uyum Maliyeti (Yıllık)" data-headers="[&quot;Kalem&quot;,&quot;KOBİ (50-250 çalışan)&quot;,&quot;Orta Şirket (250-1500)&quot;,&quot;Büyük (1500+)&quot;]" data-rows="[{&quot;feature&quot;:&quot;AB temsilcisi&quot;,&quot;values&quot;:[&quot;15-25K EUR&quot;,&quot;25-40K EUR&quot;,&quot;40-80K EUR&quot;]},{&quot;feature&quot;:&quot;Teknik dokümantasyon&quot;,&quot;values&quot;:[&quot;20-40K EUR&quot;,&quot;60-150K EUR&quot;,&quot;200-500K EUR&quot;]},{&quot;feature&quot;:&quot;Notified body değerlendirme&quot;,&quot;values&quot;:[&quot;25-50K EUR&quot;,&quot;50-150K EUR&quot;,&quot;150-400K EUR&quot;]},{&quot;feature&quot;:&quot;Post-market monitoring altyapı&quot;,&quot;values&quot;:[&quot;10-30K EUR&quot;,&quot;30-80K EUR&quot;,&quot;100-300K EUR&quot;]},{&quot;feature&quot;:&quot;ISO 42001 belgelendirme&quot;,&quot;values&quot;:[&quot;15-30K EUR&quot;,&quot;30-60K EUR&quot;,&quot;60-150K EUR&quot;]},{&quot;feature&quot;:&quot;İç ekip + dış danışman&quot;,&quot;values&quot;:[&quot;50-100K EUR&quot;,&quot;150-400K EUR&quot;,&quot;500K-2M EUR&quot;]},{&quot;feature&quot;:&quot;TOPLAM YILLIK&quot;,&quot;values&quot;:[&quot;135-275K EUR&quot;,&quot;345-880K EUR&quot;,&quot;1.05M-3.43M EUR&quot;]}]"></comparison-table>

## 10.0. AB Pazarına Geçiş Stratejisi: Pazar-Önce-Uyum mu, Uyum-Önce-Pazar mı?

Türk şirketler için temel stratejik soru: AB pazarına ürünü çıkardıktan sonra uyumu mu sağlayacağız, yoksa uyum tamamlanmadan ürünü hiç çıkartmayacak mıyız?

**Pazar-önce-uyum yaklaşımı.** Bazı şirketler ürünü AB'ye çıkarıyor, "geçici uyum durumu" ile faaliyet gösteriyor, denetim ihtarı geldiğinde hızla tamamlıyor. **Risk:** Eğer ciddi olay olursa veya bir rakip ihbar ederse, ceza kaçınılmaz. Türk büyük şirketler için **önerilmez**.

**Uyum-önce-pazar yaklaşımı.** Uyum tamamlandıktan sonra ürünü AB'ye çıkarıyor. **Avantaj:** Düşük risk. **Dezavantaj:** 12-18 aylık pazar girişi gecikmesi.

**Hibrit yaklaşım (önerilen).** Düşük-risk olarak başlat (limited-risk veya minimal-risk olarak konumlandır), sonra high-risk modüllerini paralel olarak hazırla. Örnek: Bir SaaS önce "salt analitik" konumda satılır (high-risk modülü kapalı), 6 ay içinde high-risk modülü uyumlu hale getirildiğinde aktive edilir.

## 10.1. Compliance Tedarik Zinciri: Vendor Yönetimi

AI Act'a uyum, çoğunlukla **tedarik zinciri sertifikasyonu** sorunudur. Türk şirketler AI bileşenlerini sıfırdan üretmiyor; foundation model, embedding API, vektör DB, observability platform — hepsi vendor tedariki.

### Vendor Due Diligence Süreci

1. **Vendor seçim öncesi.** AI Act uyumluluğu, sub-processor listesi, veri yerleşimi, audit hakkı.
2. **Sözleşme aşaması.** Madde 25 (provider-deployer paylaşımı) ile uyumlu DPA, ihlal bildirim yükümlülüğü, denetim hakkı.
3. **Pazara çıkış öncesi.** Vendor'ın teknik dokümantasyonunun sizin Annex IV'ünüze entegre edilmesi.
4. **Üretimde.** Aylık değişiklik bildirimleri, çeyreklik vendor performans incelemesi.
5. **Vendor değişimi durumunda.** DPIA delta güncelleme, VERBİS düzeltme, kullanıcı bilgilendirmesi.

<callout-box data-variant="info" data-title="Vendor Sözleşme Şablon Maddesi">

Bir Türk şirketin AI vendor sözleşmesine eklemesi gereken AI Act özel maddeler:

1. **"Vendor, EU AI Act Madde 25 anlamında bir sağlayıcı (provider) olduğunu kabul eder."**
2. **"Vendor, herhangi bir sub-processor değişikliğini en az 30 gün önceden yazılı olarak bildirir."**
3. **"Vendor, Annex IV'ün ilgili bölümleri için teknik dokümantasyon sağlar ve bunu en az yıllık günceller."**
4. **"Vendor, sistemde ciddi bir olay olduğunda 24 saat içinde bildirir."**
5. **"Vendor, ürünü AB pazarına sağlayan rolünü kabul eder ve gerektiğinde AB temsilcisi atar."**
6. **"Vendor, sözleşme süresince Madde 16-29 yükümlülüklerine uyduğunu yıllık olarak yazılı beyan eder."**

</callout-box>

## 10.2. Sigorta ve Garanti: AI Hatası Halinde Mali Riskin Yönetimi

AI Act çağında **AI sorumluluk sigortası** giderek standartlaşıyor. Türk şirketler için önemli noktalar:

- **Ürün sorumluluk sigortası** (AB Product Liability Directive 2024/2853 — Eylül 2026 itibarıyla AI'yı kapsar) artık AI hatalarını da kapsamı dahilinde tutar.
- **AI özel sigorta poliçeleri.** AIG, Munich Re, Swiss Re gibi şirketler 2025'ten itibaren AI'ya özgü poliçeler sunuyor.
- **Tipik kapsamlar.** Yanlış AI kararından kaynaklanan üçüncü taraf zararları, AI Act ceza yardımları (limited), pazardan geri çekme masrafları.
- **Tipik prim aralığı.** Yıllık 50.000-500.000 EUR (yüksek-risk AI sistemleri için), şirket büyüklüğüne göre.
- **Genel exclusion'lar.** Kasıtlı uyumsuzluk, regülasyon ihlali sonucu cezalar (bazıları), AI Act yasak (Madde 5) ihlalleri.

## 10.3. Sürdürülebilirlik ve AI Act Etkileşimi

AI Act'in fazla konuşulmayan boyutu: **çevresel sürdürülebilirlik raporlama**. Madde 95 (Codes of Conduct) ve EU CSRD direktifinin çakışan yükümlülükleri:

- AI modelinin **eğitim sırasındaki karbon ayak izinin** raporlanması (özellikle GPAI sağlayıcılar için).
- **Çıkarım (inference) maliyetinin** hesaplanması ve raporlanması.
- **AB Carbon Border Adjustment Mechanism (CBAM)** kapsamında ithalata uygulanabilecek karbon vergisi.

Türk ihracatçılar için pratik etki: AI sistemlerinin enerji tüketimini ölçen ve raporlayan altyapı kurmak — 2027 yılı itibariyla CSRD kapsamında Türk büyük ihracatçıları için zorunlu hale gelecek.

## 11. Sıkça Sorulan Sorular

<callout-box data-variant="answer" data-title="Türkiye'de yerleşik bir şirket olarak AI Act'a tabiyim, peki KVKK'yı boşverebilir miyim?">

Kesinlikle hayır. KVKK ve AI Act tamamlayıcı yasalardır — biri kişisel veri koruma, diğeri AI sistem güvenliği. Yüksek-risk AI sistemi kişisel veri işlerse (CV tarama, kredi skorlama, biyometri) **iki rejime birden tabidir**. KVKK Kurulu, Mart 2026'da yayımladığı Etken AI rehberinde AI Act ile uyumlu davrandıklarını açıkça belirtti.

</callout-box>

<callout-box data-variant="answer" data-title="AB'ye sadece 10 müşterim var, gene de kapsamda mıyım?">

Evet. AI Act'ta minimum müşteri sayısı eşiği yok. Bir tane AB müşterinize bile AI sistemi çıktısı sağlıyorsanız, sistemin risk kategorisine göre Madde 16+ veya Madde 50+ yükümlülükleri uygulanır. SMEs için indirimli ceza (Madde 99(8)) hafifletmesi vardır, ama yükümlülük muafiyeti yoktur.

</callout-box>

<callout-box data-variant="answer" data-title="High-risk olmayan bir sistemim varsa hiçbir şey yapmama gerek yok mu?">

Tamamen değil. Sınırlı-risk sistemler için **Madde 50 şeffaflık zorunlulukları** vardır: chatbot kullanıcısı AI ile etkileşimde olduğunu bilmelidir; deepfake içerik etiketlenmelidir; duygu tanıma sistemleri kullanıma bildirilmelidir. Minimal-risk sistemler için yükümlülük yok, ama gönüllü davranış kodları teşvik edilir.

</callout-box>

<callout-box data-variant="answer" data-title="GPAI modelinin sistemik risk eşiği nedir?">

10^25 FLOPs üstünde eğitim hesaplaması — Madde 51(1) ve Annex XIII. Bu eşik, AB Komisyonu tarafından delegated act ile güncellenebilir. 2026 itibarıyla GPT-4, GPT-5, Claude Opus 4.7, Gemini 3 Ultra, Llama 4 405B bu eşiğin üstünde; daha küçük modeller (Claude Haiku, GPT-4o-mini, Llama 4 70B) altında.

</callout-box>

<callout-box data-variant="answer" data-title="ISO 42001 belgelendirmesi zorunlu mu?">

Hayır, AI Act ISO 42001'i zorunlu kılmaz. Ancak Madde 17'deki kalite yönetim sistemi yükümlülüğüne ISO 42001 doğal bir uyum çerçevesi sunar — özellikle Annex IV teknik dokümantasyon zorunluluğunu yapılandırmak için. Notified body'ler ve AB müşterileri ISO 42001'i giderek bir **uyum kanıtı** olarak istemeye başlıyor.

</callout-box>

<callout-box data-variant="answer" data-title="Eğitim verisinin telif hakkı için ne yapmam gerek?">

Madde 53(1)(c) — AB telif hakkı yasası (Direktif 2019/790) ile uyumlu olmalısınız. Bunun pratik anlamı: text and data mining (TDM) için Madde 4(3) opt-out mekanizmasına saygı duymak. Yani **eğer bir telif sahibi web sitesinde robots.txt veya başka makine-okunabilir bir şekilde "TDM yapmayın" demişse**, modelinizi o veriyle eğitmemelisiniz. Ayrıca **eğitim veri setinin halka açık özetini** AI Office şablonuyla yayımlamalısınız.

</callout-box>

<callout-box data-variant="answer" data-title="Notified body seçimi nasıl yaparım?">

NANDO veritabanında (Avrupa Komisyonu) AI Act için akredite edilmiş notified body'leri görebilirsiniz. 2026 itibarıyla en güçlü adaylar: TÜV SÜD (Almanya), TÜV Rheinland (Almanya), Bureau Veritas (Fransa), DEKRA (Almanya), DNV (Norveç). Seçim kriteri: sektörel uzmanlık, dil desteği, fiyat, geçmiş referanslar.

</callout-box>

<callout-box data-variant="answer" data-title="2 Ağustos 2026'ya yetişemezsem ne olur?">

Doğrudan ceza riski yüksek. Pazar denetim otoriteleri, AB pazarına AI sistemi sunan ama uyumlu olmayan şirketleri tespit ettiklerinde: (1) Sistemi pazardan geri çekme emri verebilir; (2) Madde 99 cezaları uygulayabilir; (3) AB Sınır Kontrol otoritelerine ihracat yasağı için bildirimde bulunabilir. Türk şirketler için en kötü senaryo: ürün gümrüklerde takılır, müşteri sözleşmeleri iptal edilir.

</callout-box>

<callout-box data-variant="answer" data-title="High-risk olmayan ama Annex III''e yakın bir sistemim var, hangi argüman ile high-risk dışı kabul ettirebilirim?">

Madde 6(3) istisnası dört koşul gerektirir: (1) Sistem dar bir prosedürel görevi yerine getirir; (2) İnsan tarafından önceden tamamlanmış bir aktiviteyi iyileştirmek için tasarlanmıştır; (3) Bir karar verme örüntüsünü veya sapmasını tespit etmek için kullanılır AMA insan değerlendirmesinin yerini almaz; (4) Sistemin gerçekleştirdiği görev, doğal kişiler üzerinde önemli etki yaratmaz. Bu dört koşulun **hepsi** sağlanmalı ve **belgelenmeli** (Madde 6(4) — kayıt zorunluluğu). Belge yoksa pazar denetim otoritesi istisnayı tanımayabilir.

</callout-box>

<callout-box data-variant="answer" data-title="Vendor lock-in riski varsa nasıl uyum stratejisi geliştiririm?">

AI Act, vendor lock-in için özel bir hüküm getirmez ama Madde 25 (provider-deployer paylaşımı) gereği vendor değişiklikleri **substantial modification** sayılabilir. Türk şirketler için pratik strateji: (1) İki vendor stratejisi (fallback); (2) Open-source alternative değerlendirme; (3) Veri taşınabilirliği sözleşmesel olarak; (4) Modüler mimari — bir vendor değişimi sistem tamamını yeniden uygunluk değerlendirmesine sokmamalı.

</callout-box>

<callout-box data-variant="answer" data-title="AB pazarına satış yapmıyorum ama AB''den bir SaaS kullanıyorum, AI Act bana ne kadar uygulanır?">

AB'den SaaS kullanıyorsanız, siz **deployer** rolündesiniz. AI Act Madde 26 yükümlülükleri uygulanır: insan oversight, sistemin amacına uygun kullanım, kullanıcı bilgilendirmesi, monitoring. Eğer çıktınız AB pazarına gitmiyorsa, provider yükümlülükleri (Madde 16+) uygulanmaz; ama deployer olarak Madde 26'ya tabisiniz.

</callout-box>

<callout-box data-variant="answer" data-title="Veri AB''de işleniyor ama analiz Türkiye''de yapılıyor, AI Act etkisi var mı?">

Evet. AI Act Madde 2(1)(c) "veri çıktısının kullanım yeri" kriterini AB sınırının dışındaki ülkelerden gelen şirketler için belirler. Eğer AI çıktısı AB'de tüketiliyorsa, AI Act uygulanır. Veri işleme yeri değil, çıktının kullanım yeri kritiktir. Bu, GDPR'nin "main establishment" prensibinden daha geniş bir kapsamdır.

</callout-box>

<callout-box data-variant="answer" data-title="Annex III sistemleri için AI Office''e kayıt zorunlu mu?">

Evet. Madde 49 + Madde 71 — high-risk sistemler **EU AI database**'e kaydedilmelidir. Bu kayıt halka açıktır ve şu bilgileri içerir: provider, sistem amacı, Annex III alanı, CE marking durumu, post-market monitoring planı. AB Komisyonu bu veritabanını 2 Ağustos 2026'ya kadar operasyonel hale getirir.

</callout-box>

<callout-box data-variant="answer" data-title="Türk hukuk firması AB temsilcisi olarak yetkili mi?">

Hayır, AB temsilcisi AB içinde yerleşik olmalıdır. Türk hukuk firmaları aracı olabilir; AB içindeki bağlı şirketleri veya partner firmaları üzerinden hizmet verebilirler. Bazı Türk hukuk firmalarının Brüksel, Münih, Amsterdam, Lüksemburg ofisleri vardır — bu ofisler AB temsilciliği yapabilir.

</callout-box>

<callout-box data-variant="answer" data-title="2 Ağustos 2027''ye kadar bir ek tampon süre var mı?">

Bazı yükümlülükler için evet — Annex I (ürün güvenlik bağlantılı) high-risk sistemler için tam uygulama 2 Ağustos 2027'dir. Ancak Annex III high-risk sistemler ve GPAI yükümlülükleri için 2 Ağustos 2026 tarihi keskin. Türk şirketler için en güvenli yaklaşım: **tüm yükümlülükleri 2 Ağustos 2026'ya yetiştirmek**, böylece pazar girişi riski olmaz.

</callout-box>

## 11.9. Paydaş İletişimi: Yönetim Kurulu, Müşteriler, Yatırımcılar

AI Act uyumu, yalnızca uyum ekibi/DPO/CISO'nun değil, **şirket geneli stratejik bir konunun** sorunudur.

### Yönetim Kurulu Sunum Çerçevesi

Yönetim Kuruluna AI Act sunumu yaparken kapsanması gereken 7 nokta:

1. **Maruz kalma analizi.** Şirketin AB pazarına AI ile teması neresi, ne büyüklükte.
2. **Risk skor matrisi.** En riskli 5 AI sisteminin tablo halinde gösterimi.
3. **Ceza modeli.** Şu anki cironun yüzde 3 ve yüzde 7'sinin EUR karşılığı; karşılaştırma.
4. **Uyum yatırımı.** Yıllık tahmini bütçe (uyum sistemi + danışman + sertifikasyon).
5. **Pazar fırsatı.** Uyumlu olmanın AB'de yeni anlaşmalar açma potansiyeli.
6. **Zaman çizelgesi.** 2 Ağustos 2026 öncesi nihai durum.
7. **Yönetim Kurulu kararı.** Risk Komitesi atanması, kaynak ayrılması, üst yönetim sorumluluğu.

### Müşteri İletişimi

AI Act uyumu pazarlama bir araç olarak da kullanılabilir:

- **Compliance Statement.** Web sitenizde, sözleşmelerde, RFP cevaplarında.
- **Sertifika gösterimi.** CE marking, ISO 42001 sertifikası, AB temsilcisi bilgisi.
- **Transparency Report.** Yıllık olarak AI sistemlerinizin uyum durumunu paylaşın.
- **DPA güncelleme.** Müşterileri ile DPA'larda AI Act maddelerini yansıtın.

### Yatırımcı İletişimi (Halka Açık veya VC Destekli Şirketler)

AB pazarına satış yapan halka açık Türk şirketler, finansal raporlarında **AI Act maruziyeti** ve **uyum durumu** açıklaması yapmaya başlıyor. 2026'dan itibaren bu açıklamalar:
- Yıllık faaliyet raporunda ayrı bölüm
- Risk faktörleri bölümünde maliyet/ceza tahminleri
- Sustainability raporlamasında AI etik politikası

VC destekli şirketler için, **yeni round'larda due diligence** sırasında AI Act uyumu sorulmaya başlandı. Yatırımcılar:
- DPIA dosyalarını ister
- Ceza maruziyeti hesabını ister
- AI envanteri ister

## 12. Sonraki Adım: 12 Haftalık Compliance Roadmap

EU AI Act uyumunu tamamlamak veya mevcut durumun değerlendirilmesi için:

1. **AI Act Gap Analysis Atölyesi (2 hafta).** AI sistem envanteri, Annex III taraması, risk sınıflandırma, eksik dokümantasyon listesi. Çıktı: önceliklendirilmiş uyum yol haritası.
2. **High-Risk Sistem Dokümantasyon Sprint (6-8 hafta).** Her high-risk sistem için Annex IV teknik dosya. KVKK + AI Act çift uyumlu DPIA/FRIA + risk yönetim sistemi.
3. **AB Temsilcisi & Notified Body Eşleştirme (2-4 hafta).** Sektörünüze uygun AB temsilcisi ve notified body kontağı, sözleşme müzakeresi.
4. **Post-Market Monitoring Sistemi Kurulumu (3 hafta).** Madde 72, 73'e uygun olay raporlama, performans izleme, ciddi olay bildirim altyapısı.
5. **ISO 42001 + KVKK + AI Act Entegre Yönetişim (Sürekli).** Üç çerçevenin tek bir AI yönetim sistemi (AIMS) altında entegre edilmesi.

İletişim için site üzerindeki contact formu kullanılabilir.

### 12.0.1. Türk Şirket için Yıllık Operasyonel AI Act Takvimi

Uyum bir defalık değil sürekli süreç. Türk şirketler için yıllık takvim:

**Ocak.** Yıllık AI envanteri güncellemesi. Yeni sistem eklendiyse risk sınıflandırma.

**Şubat.** Q4 önceki yılın post-market monitoring raporu. AI Office'e gerekli bildirimler.

**Mart.** KVKK Etken AI Rehberi yıllık inceleme + DPIA güncelleme.

**Nisan.** ISO 42001 yıllık gözetim denetimi.

**Mayıs.** Yıllık eğitim programı yenileme. Personele AI Act + KVKK güncel eğitim.

**Haziran.** Sub-processor envanteri ve DPA güncelleme.

**Temmuz.** Risk değerlendirmesi yarı-yıl güncellemesi.

**Ağustos.** 2 Ağustos yıldönümü — yıllık AI Act uyum durumu raporu.

**Eylül.** AB temsilcisi yıllık görüşme.

**Ekim.** Bias audit yıllık tam denetim.

**Kasım.** Notified body ile yıllık görüşme. Yenileme veya yeni denetim ihtiyacı kontrolü.

**Aralık.** Yönetim Kurulu Risk Komitesi yıllık özet sunum + bütçe planlaması.

### 12.1. Son Söz: Stratejik Bir Avantaj Olarak AI Act Uyumu

EU AI Act'a uyum sadece bir maliyet kalemi değil; **stratejik bir rekabet avantajıdır**. Uyumlu Türk şirketler:

1. AB pazarında **diğer Türk rakiplerinin önünde** konumlanır.
2. AB'deki büyük kurumsal müşterilerin (banka, devlet, üniversite) RFP süreçlerinde **otomatik şortlistede** yer alır.
3. Yatırımcılar nezdinde **olgunluk göstergesi** olarak değerlendirilir.
4. **Marka değeri** olarak "Trustworthy AI" konumlandırmasıyla pazarlama avantajı sağlar.
5. **İç AI yönetişim kültürü** oluşturarak gelecekteki regülasyonlara (Türk AI yasası dahil) hazır olur.

2 Ağustos 2026 ertelenebilir bir tarih değildir. Türk şirketlerinin **şimdi başlaması**, 2027-2028'de AB pazarındaki pozisyonlarını belirleyecek.

### 12.2. Ek Kaynak ve Topluluklar

Türk şirketler için AI Act uyumunda destek alabileceği topluluklar ve kaynaklar:

- **TÜBİSAD Yapay Zeka Komisyonu.** Türk bilişim derneği bünyesinde.
- **TOBB Yapay Zeka Çalışma Grubu.** Sektörel iş birliği.
- **TÜRKAK akredite belgelendirme kuruluşları.** ISO 42001 sertifikasyonu.
- **KVKK Akademi.** DPO ve compliance ekipleri için eğitim.
- **IAPP Türkiye Şubesi.** Uluslararası standartlar topluluğu.
- **AB Komisyonu Türkiye Delegasyonu.** AI Act yorumlamalı sorularda referans.

İş ortakları arasından Türkiye'de AI Act danışmanlık veren önde gelen kuruluşlar: KPMG Türkiye, PwC Türkiye, Deloitte Türkiye, EY Türkiye, BSI Türkiye, TÜV Türkiye, TÜV SÜD Türkiye ofisleri.

### 12.3. Türkiye'nin AB AI Act'a Karşı Stratejik Pozisyonu

Türkiye'nin AB ile gümrük birliği üye olduğu için AI Act bağlayıcılığı ekstraterritoryal olmanın ötesinde **dolaylı** olarak da uygulanır. Türkiye'nin AB AI Act'a karşı stratejik pozisyon noktaları:

1. **Türk AI Yasası hazırlık.** 2026 sonu itibariyle Türk AI Yasası taslağı AB AI Act'a büyük ölçüde uyumlu olarak hazırlanıyor.
2. **TÜRKAK NANDO eşleştirmesi.** Türk akreditasyon kuruluşu TÜRKAK'ın AB NANDO ile karşılıklı tanıma çalışmaları devam ediyor.
3. **AB-Türkiye AI Diyalogu.** TOBB ve Avrupa İşveren Konfederasyonu arasında düzenli toplantılar.
4. **Sınıraşan Sandbox.** Türk AI sistemlerinin AB'deki sandbox'larda test edilebilmesi için protokol çalışmaları.

Türk şirketlerin **stratejik avantajı**: erken uyum, Türkiye'nin AB pazarındaki konumunu güçlendirir ve gelecekteki Türk AI Yasası'na hazırlık sağlar.

<references-list data-items="[{&quot;title&quot;:&quot;Regulation (EU) 2024/1689 — Artificial Intelligence Act&quot;,&quot;url&quot;:&quot;https://eur-lex.europa.eu/eli/reg/2024/1689/oj&quot;,&quot;author&quot;:&quot;European Parliament &amp; Council&quot;,&quot;publishedAt&quot;:&quot;2024-07-12&quot;,&quot;publisher&quot;:&quot;EUR-Lex&quot;},{&quot;title&quot;:&quot;EU AI Act Official Site (artificialintelligenceact.eu)&quot;,&quot;url&quot;:&quot;https://artificialintelligenceact.eu/&quot;,&quot;author&quot;:&quot;Future of Life Institute&quot;,&quot;publishedAt&quot;:&quot;2024&quot;,&quot;publisher&quot;:&quot;FLI&quot;},{&quot;title&quot;:&quot;AI Act Article 99 — Penalties&quot;,&quot;url&quot;:&quot;https://artificialintelligenceact.eu/article/99/&quot;,&quot;author&quot;:&quot;European Commission&quot;,&quot;publishedAt&quot;:&quot;2024&quot;,&quot;publisher&quot;:&quot;EU&quot;},{&quot;title&quot;:&quot;AI Act Annex III — High-Risk AI Systems&quot;,&quot;url&quot;:&quot;https://artificialintelligenceact.eu/annex/3/&quot;,&quot;author&quot;:&quot;European Commission&quot;,&quot;publishedAt&quot;:&quot;2024&quot;,&quot;publisher&quot;:&quot;EU&quot;},{&quot;title&quot;:&quot;AI Office (European Commission, DG CNECT)&quot;,&quot;url&quot;:&quot;https://digital-strategy.ec.europa.eu/en/policies/ai-office&quot;,&quot;author&quot;:&quot;European Commission&quot;,&quot;publishedAt&quot;:&quot;2024&quot;,&quot;publisher&quot;:&quot;EU&quot;},{&quot;title&quot;:&quot;GPAI Code of Practice (July 2025)&quot;,&quot;url&quot;:&quot;https://digital-strategy.ec.europa.eu/en/library/general-purpose-ai-code-practice&quot;,&quot;author&quot;:&quot;European Commission&quot;,&quot;publishedAt&quot;:&quot;2025-07&quot;,&quot;publisher&quot;:&quot;EU&quot;},{&quot;title&quot;:&quot;AI Act Timeline of Application&quot;,&quot;url&quot;:&quot;https://artificialintelligenceact.eu/implementation-timeline/&quot;,&quot;author&quot;:&quot;FLI&quot;,&quot;publishedAt&quot;:&quot;2024&quot;,&quot;publisher&quot;:&quot;FLI&quot;},{&quot;title&quot;:&quot;NANDO — Notified Bodies Database&quot;,&quot;url&quot;:&quot;https://ec.europa.eu/growth/tools-databases/nando/&quot;,&quot;author&quot;:&quot;European Commission&quot;,&quot;publishedAt&quot;:&quot;2024&quot;,&quot;publisher&quot;:&quot;EU&quot;},{&quot;title&quot;:&quot;Kennedys Law — EU AI Act Compliance for Non-EU Providers&quot;,&quot;url&quot;:&quot;https://kennedyslaw.com/en/thought-leadership/article/2024/eu-ai-act-compliance-non-eu-providers/&quot;,&quot;author&quot;:&quot;Kennedys Law&quot;,&quot;publishedAt&quot;:&quot;2024&quot;,&quot;publisher&quot;:&quot;Kennedys&quot;},{&quot;title&quot;:&quot;Legiscope — AI Act Compliance Guide&quot;,&quot;url&quot;:&quot;https://legiscope.com/ai-act&quot;,&quot;author&quot;:&quot;Legiscope&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;Legiscope&quot;},{&quot;title&quot;:&quot;ISO/IEC 42001:2023 — AI Management System&quot;,&quot;url&quot;:&quot;https://www.iso.org/standard/81230.html&quot;,&quot;author&quot;:&quot;ISO&quot;,&quot;publishedAt&quot;:&quot;2023-12&quot;,&quot;publisher&quot;:&quot;ISO&quot;},{&quot;title&quot;:&quot;KVKK — 6698 Sayılı Kişisel Verilerin Korunması Kanunu&quot;,&quot;url&quot;:&quot;https://www.kvkk.gov.tr/&quot;,&quot;author&quot;:&quot;T.C. KVKK&quot;,&quot;publishedAt&quot;:&quot;2016-04-07&quot;,&quot;publisher&quot;:&quot;Türkiye&quot;},{&quot;title&quot;:&quot;EDPB Guidelines on Article 22 GDPR — Automated Decision-Making&quot;,&quot;url&quot;:&quot;https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_en&quot;,&quot;author&quot;:&quot;EDPB&quot;,&quot;publishedAt&quot;:&quot;2020&quot;,&quot;publisher&quot;:&quot;EDPB&quot;},{&quot;title&quot;:&quot;AI Act Article 2 — Scope and Extraterritorial Application&quot;,&quot;url&quot;:&quot;https://artificialintelligenceact.eu/article/2/&quot;,&quot;author&quot;:&quot;European Commission&quot;,&quot;publishedAt&quot;:&quot;2024&quot;,&quot;publisher&quot;:&quot;EU&quot;},{&quot;title&quot;:&quot;AI Act Article 22 — Authorised Representatives&quot;,&quot;url&quot;:&quot;https://artificialintelligenceact.eu/article/22/&quot;,&quot;author&quot;:&quot;European Commission&quot;,&quot;publishedAt&quot;:&quot;2024&quot;,&quot;publisher&quot;:&quot;EU&quot;},{&quot;title&quot;:&quot;AI Act Article 51 — Classification of GPAI with Systemic Risk&quot;,&quot;url&quot;:&quot;https://artificialintelligenceact.eu/article/51/&quot;,&quot;author&quot;:&quot;European Commission&quot;,&quot;publishedAt&quot;:&quot;2024&quot;,&quot;publisher&quot;:&quot;EU&quot;},{&quot;title&quot;:&quot;AI Act Article 53 — Obligations for Providers of GPAI Models&quot;,&quot;url&quot;:&quot;https://artificialintelligenceact.eu/article/53/&quot;,&quot;author&quot;:&quot;European Commission&quot;,&quot;publishedAt&quot;:&quot;2024&quot;,&quot;publisher&quot;:&quot;EU&quot;},{&quot;title&quot;:&quot;AI Act Article 55 — Obligations for Providers of GPAI with Systemic Risk&quot;,&quot;url&quot;:&quot;https://artificialintelligenceact.eu/article/55/&quot;,&quot;author&quot;:&quot;European Commission&quot;,&quot;publishedAt&quot;:&quot;2024&quot;,&quot;publisher&quot;:&quot;EU&quot;},{&quot;title&quot;:&quot;AI Act Article 73 — Reporting of Serious Incidents&quot;,&quot;url&quot;:&quot;https://artificialintelligenceact.eu/article/73/&quot;,&quot;author&quot;:&quot;European Commission&quot;,&quot;publishedAt&quot;:&quot;2024&quot;,&quot;publisher&quot;:&quot;EU&quot;},{&quot;title&quot;:&quot;AI Act Annex IV — Technical Documentation&quot;,&quot;url&quot;:&quot;https://artificialintelligenceact.eu/annex/4/&quot;,&quot;author&quot;:&quot;European Commission&quot;,&quot;publishedAt&quot;:&quot;2024&quot;,&quot;publisher&quot;:&quot;EU&quot;},{&quot;title&quot;:&quot;Directive (EU) 2019/790 — Copyright in the Digital Single Market&quot;,&quot;url&quot;:&quot;https://eur-lex.europa.eu/eli/dir/2019/790/oj&quot;,&quot;author&quot;:&quot;European Parliament &amp; Council&quot;,&quot;publishedAt&quot;:&quot;2019-04-17&quot;,&quot;publisher&quot;:&quot;EUR-Lex&quot;},{&quot;title&quot;:&quot;Türkiye İhracatçılar Meclisi — AB Pazarı Verileri&quot;,&quot;url&quot;:&quot;https://www.tim.org.tr/&quot;,&quot;author&quot;:&quot;TİM&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;TİM&quot;},{&quot;title&quot;:&quot;Tofaş Investor Relations&quot;,&quot;url&quot;:&quot;https://www.tofas.com.tr/&quot;,&quot;author&quot;:&quot;Tofaş&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;Tofaş&quot;},{&quot;title&quot;:&quot;Arçelik Sustainability Report&quot;,&quot;url&quot;:&quot;https://www.arcelikglobal.com/&quot;,&quot;author&quot;:&quot;Arçelik&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;Arçelik&quot;},{&quot;title&quot;:&quot;TÜV SÜD — AI Certification&quot;,&quot;url&quot;:&quot;https://www.tuvsud.com/en/services/auditing-and-system-certification/iso-iec-42001&quot;,&quot;author&quot;:&quot;TÜV SÜD&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;TÜV SÜD&quot;},{&quot;title&quot;:&quot;DEKRA — AI Compliance Services&quot;,&quot;url&quot;:&quot;https://www.dekra.com/en/artificial-intelligence/&quot;,&quot;author&quot;:&quot;DEKRA&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;DEKRA&quot;},{&quot;title&quot;:&quot;BSI Group — AI Act Readiness&quot;,&quot;url&quot;:&quot;https://www.bsigroup.com/en-GB/insights-and-media/insights/blogs/eu-ai-act-readiness/&quot;,&quot;author&quot;:&quot;BSI&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;BSI&quot;},{&quot;title&quot;:&quot;PwC EU AI Act Compliance Roadmap&quot;,&quot;url&quot;:&quot;https://www.pwc.com/eu/ai-act/&quot;,&quot;author&quot;:&quot;PwC&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;PwC&quot;},{&quot;title&quot;:&quot;Deloitte AI Act Implementation Guide&quot;,&quot;url&quot;:&quot;https://www2.deloitte.com/eu-ai-act&quot;,&quot;author&quot;:&quot;Deloitte&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;Deloitte&quot;},{&quot;title&quot;:&quot;KPMG Türkiye — AI &amp; Compliance&quot;,&quot;url&quot;:&quot;https://kpmg.com/tr/tr/home.html&quot;,&quot;author&quot;:&quot;KPMG TR&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;KPMG&quot;},{&quot;title&quot;:&quot;Mondaq Türkiye — AI Act Articles&quot;,&quot;url&quot;:&quot;https://www.mondaq.com/turkey/new-technology&quot;,&quot;author&quot;:&quot;Mondaq&quot;,&quot;publishedAt&quot;:&quot;2025&quot;,&quot;publisher&quot;:&quot;Mondaq&quot;}]"></references-list>

---

Bu rehber yaşayan bir belgedir; EU AI Act ekosistemi (delegated acts, GPAI Code of Practice güncellemeleri, notified body akreditasyon) her çeyrek değiştiği için **çeyreklik olarak güncellenmektedir**.