# EU AI Act Nedir? Avrupa Yapay Zeka Yasası Rehberi

> Source: https://sukruyusufkaya.com/blog/eu-ai-act-nedir
> Updated: 2026-07-05T16:08:58.657Z
> Type: blog
> Category: yapay-zeka
**TLDR:** EU AI Act nedir? EU AI Act (Avrupa Birliği Yapay Zeka Yasası), yapay zeka sistemlerini oluşturdukları riske göre sınıflandırıp yükümlülük getiren, dünyanın ilk kapsamlı yatay yapay zeka mevzuatıdır. Bu rehber: net tanım, risk sınıflandırması, yüksek riskli sistemler, uyum takvimi, türkiye etkisi, GPAI kuralları, cezalar ve sık sorulan sorular.

<tldr data-summary="[&quot;EU AI Act, yapay zeka sistemlerini oluşturdukları riske göre sınıflandıran ve buna göre yükümlülük getiren, dünyanın ilk kapsamlı yatay yapay zeka mevzuatıdır.&quot;,&quot;Risk sınıflandırması dört kademelidir: kabul edilemez (yasak), yüksek, sınırlı ve minimal risk.&quot;,&quot;Yüksek riskli sistemler yasanın ağırlık merkezidir: risk yönetimi, veri kalitesi, insan gözetimi ve uygunluk değerlendirmesi zorunludur.&quot;,&quot;Uyum takvimi kademelidir: yasaklar 2025 Şubat, GPAI kuralları 2025 Ağustos, yüksek risk yükümlülükleri 2026-2027.&quot;,&quot;Türkiye etkisi doğrudandır: AB pazarına ürün sunan her Türk şirketi etki bakımından kapsama girer.&quot;]" data-one-line="EU AI Act nedir sorusunun kısa cevabı: yapay zekayı riske göre dört kademeye ayırıp orantılı kurallar getiren, dünyanın ilk kapsamlı yatay yapay zeka yasası."></tldr>

EU AI Act nedir? EU AI Act (Artificial Intelligence Act, Türkçesiyle Avrupa Birliği Yapay Zeka Yasası), yapay zeka sistemlerini oluşturdukları riske göre sınıflandırıp her risk düzeyine orantılı yükümlülükler getiren, dünyanın ilk kapsamlı yatay yapay zeka mevzuatıdır. Yasa, tek tek sektörleri değil, hangi alanda kullanılırsa kullanılsın tüm yapay zeka sistemlerini kesen yatay bir çerçeve kurar.

Yasa, 1 Ağustos 2024'te yürürlüğe girdi ve GDPR'ın veri koruma alanında yaptığını yapay zeka için yapmayı amaçlıyor: küresel bir standart belirlemek. Bu rehber EU AI Act nedir, risk sınıflandırması nasıl işler, yüksek riskli sistemler için hangi yükümlülükler doğar, uyum takvimi nasıl işler ve türkiye etkisi neden doğrudan sorularını yanıtlıyor.

<definition-box data-term="EU AI Act (Avrupa Birliği Yapay Zeka Yasası)" data-definition="Yapay zeka sistemlerini yol açtıkları riske göre kabul edilemez, yüksek, sınırlı ve minimal olmak üzere dört kademeye ayıran ve her kademeye orantılı yükümlülük getiren, 2024'te yürürlüğe giren dünyanın ilk kapsamlı yatay yapay zeka mevzuatı. Yasa, kademeli bir uyum takvimiyle 2025-2027 arasında aşamalı uygulanır ve AB pazarını etkileyen tüm sağlayıcıları kapsar." data-also="Avrupa Birliği Yapay Zeka Yasası, AB Yapay Zeka Yasası, Artificial Intelligence Act, AI Act, EU AI Act"></definition-box>

## EU AI Act Neden Çıkarıldı?

Yapay zeka son yıllarda işe alımdan kredi kararlarına, sağlıktan kamu hizmetlerine kadar giderek daha kritik alanlara yayıldı. Bu yayılım büyük fayda üretirken, aynı zamanda yeni riskler getirdi: ayrımcı kararlar, açıklanamayan otomasyon, biyometrik gözetim ve güvenilmez sistemler. Avrupa Birliği bu riskleri, inovasyonu tümüyle durdurmadan yönetecek ortak bir hukuki çerçeve arayışına girdi.

EU AI Act tam olarak bu dengeyi kurmayı hedefler: temel hakları ve güvenliği korurken yapay zeka için güvenilir ve öngörülebilir bir iç pazar yaratmak. Yasa, "her yapay zeka aynı kuralla düzenlenmeli" yaklaşımını reddeder; onun yerine bir e-posta filtresiyle bir kredi karar sistemine aynı yükü bindirmenin yanlış olduğunu kabul ederek riske dayalı bir mantık kurar. Bu mantığın kalbinde risk sınıflandırması yer alır.

## EU AI Act'te Risk Sınıflandırması Nasıl İşler?

Yasanın temel mekanizması risk sınıflandırmasıdır: her yapay zeka sistemi, insanların hakları ve güvenliği üzerindeki potansiyel etkisine göre bir risk kademesine yerleştirilir ve yükümlülük o kademeye göre belirlenir. Yükümlülük, sistemin ne yaptığına değil, ne kadar zarar verebileceğine bağlıdır. Bu dört kademeli risk sınıflandırması, tüm yasanın omurgasıdır.

<comparison-table data-caption="EU AI Act'in dört risk kademesi ve getirdiği yükümlülükler" data-headers="[&quot;Risk kademesi&quot;,&quot;Örnek&quot;,&quot;Yükümlülük&quot;]" data-rows="[{&quot;feature&quot;:&quot;Kabul edilemez risk&quot;,&quot;values&quot;:[&quot;Sosyal puanlama, manipülatif sistemler&quot;,&quot;Tamamen yasak&quot;]},{&quot;feature&quot;:&quot;Yüksek risk&quot;,&quot;values&quot;:[&quot;İşe alım, kredi, sağlık, kritik altyapı&quot;,&quot;Sıkı uyum + uygunluk değerlendirmesi&quot;]},{&quot;feature&quot;:&quot;Sınırlı risk&quot;,&quot;values&quot;:[&quot;Chatbot, üretken içerik&quot;,&quot;Şeffaflık: kullanıcıya bilgi verme&quot;]},{&quot;feature&quot;:&quot;Minimal risk&quot;,&quot;values&quot;:[&quot;Spam filtresi, oyun yapay zekası&quot;,&quot;Serbest, ek yükümlülük yok&quot;]}]"></comparison-table>

Bu tablonun anlattığı temel fikir şudur: yasa sistemlerin çoğunu (minimal risk) neredeyse hiç düzenlemez, enerjisini gerçek zarar potansiyeli olan az sayıda sisteme yoğunlaştırır. Kabul edilemez risk kategorisi — örneğin devlet eliyle sosyal puanlama veya bilinçaltı manipülasyon — tümüyle yasaklanmıştır. Piramidin geri kalanında yük, risk arttıkça artar.

## Yüksek Riskli Sistemler İçin Hangi Yükümlülükler Var?

Yüksek riskli sistemler EU AI Act'in ağırlık merkezidir; yasanın en ayrıntılı ve en maliyetli kısmı buradadır. Bir sistem; sağlık, işe alım, eğitim, kredi değerlendirme, kritik altyapı, kolluk veya göç gibi alanlarda karar veriyor ya da bu kararları belirgin biçimde etkiliyorsa yüksek riskli sayılır. Bu sistemler yasak değildir, ama piyasaya sürülmeden önce ve kullanımda sıkı bir dizi koşulu karşılamak zorundadır.

<howto-steps data-name="Yüksek riskli bir yapay zeka sistemi için temel uyum adımları" data-description="Bir yüksek riskli sistemin AB pazarına sunulmadan önce karşılaması gereken çekirdek yükümlülükler." data-steps="[{&quot;name&quot;:&quot;Risk yönetim sistemi kur&quot;,&quot;text&quot;:&quot;Sistemin yaşam döngüsü boyunca risklerini sürekli tanımlayan ve azaltan bir süreç oluşturulur.&quot;},{&quot;name&quot;:&quot;Veri yönetişimini sağla&quot;,&quot;text&quot;:&quot;Eğitim, doğrulama ve test verisinin kalitesi, temsil gücü ve önyargı denetimi belgelenir.&quot;},{&quot;name&quot;:&quot;Teknik dokümantasyon ve kayıt tut&quot;,&quot;text&quot;:&quot;Sistemin tasarımı, sınırları ve olayları izlenebilir biçimde kayıt altına alınır (logging).&quot;},{&quot;name&quot;:&quot;İnsan gözetimini tasarla&quot;,&quot;text&quot;:&quot;Sistemi bir insanın anlamlı biçimde denetleyip gerektiğinde durdurabilmesi güvence altına alınır.&quot;},{&quot;name&quot;:&quot;Uygunluk değerlendirmesi yap&quot;,&quot;text&quot;:&quot;Sistem, piyasaya sürülmeden önce uygunluk değerlendirmesinden geçirilir ve CE işareti ile beyan edilir.&quot;}]"></howto-steps>

Bu yükümlülükler bir defalık bir formalite değil, sürekli bir yönetişim sorumluluğudur. Sistem piyasaya sürüldükten sonra da izlenmeli, ciddi olaylar bildirilmeli ve dokümantasyon güncel tutulmalıdır. Pratikte bu, yüksek riskli bir yapay zeka projesine baştan bir uyum ve belgelendirme katmanı eklemek anlamına gelir — sonradan eklenmesi çok daha maliyetlidir.

## EU AI Act Kimleri Kapsıyor?

Yasa yalnızca yapay zekayı "üretenleri" değil, zincirin farklı halkalarını da ayrı ayrı tanımlar. En ağır yük sağlayıcıdadır (provider): sistemi geliştiren veya kendi markasıyla piyasaya sunan taraf. Ancak yasa, sistemi bir işte kullanan tarafı (deployer/kullanıcı), ithalatçıyı ve dağıtıcıyı da kapsar; her rolün kendi orantılı yükümlülükleri vardır. Örneğin yüksek riskli bir sistemi işe alımda kullanan bir şirket, sağlayıcı olmasa bile insan gözetimini sağlamak ve sistemi amaçlandığı gibi kullanmakla yükümlüdür.

Bu rol ayrımı Türkiye açısından önemlidir, çünkü çoğu Türk şirketi yasanın kapsamına iki farklı kapıdan girer. Bir yazılım firması AB'ye sattığı üründe sağlayıcı; hazır bir AB modelini kendi ürününe gömen bir başka şirket ise kullanıcı konumundadır. Hangi rolde olduğunuzu doğru belirlemek, hangi yükümlülüklere tabi olduğunuzu ve dolayısıyla uyum maliyetinizi baştan netleştirir. Bu nedenle uyum çalışması, teknik geliştirmeden önce bir rol ve kapsam analiziyle başlamalıdır.

## Genel Amaçlı Modeller (GPAI) İçin Kurallar

EU AI Act, yalnızca dar amaçlı sistemleri değil, ChatGPT gibi genel amaçlı yapay zeka (GPAI) modellerini de kapsayan ayrı bir bölüm içerir. Bu modeller tek bir göreve bağlı olmadığından, riskleri de aşağı akıştaki sayısız uygulamaya yayılır. Yasa bu nedenle GPAI sağlayıcılarına — OpenAI, Google, Meta veya açık kaynak modeller yayınlayan Hugging Face ekosistemindeki geliştiriciler gibi — özel şeffaflık yükümlülükleri getirir.

Temel yükümlülükler; teknik dokümantasyon hazırlamak, modeli entegre edecek geliştiriciler için bilgi sağlamak, AB telif hukukuna uymak ve eğitim verisinin içeriği hakkında özet yayımlamaktır. "Sistemik risk" taşıyan çok büyük modeller için ise ek gereklilikler devreye girer: model değerlendirmesi, saldırı testi (adversarial testing) ve ciddi olayların raporlanması. Bu ayrım, temel dil modellerinin ne olduğunu anlamayı gerektirir; ayrıntı için <a href="/blog/llm-nedir">LLM nedir</a> ve <a href="/blog/uretken-yapay-zeka-nedir">üretken yapay zeka nedir</a> rehberlerine bakabilirsiniz.

## EU AI Act Uyum Takvimi Nasıl İşliyor?

Yasa 2024'te yürürlüğe girse de, tüm kurallar aynı anda uygulanmaya başlamadı. Uyum takvimi kademelidir ve şirketlere hazırlanmaları için aşamalı bir süre tanır. Bu takvimi bilmek, bir kurumun hangi yükümlülüğe ne zaman uyması gerektiğini planlaması için kritiktir.

<comparison-table data-caption="EU AI Act uyum takvimi: temel kilometre taşları" data-headers="[&quot;Tarih&quot;,&quot;Yürürlüğe giren&quot;,&quot;Kimi ilgilendirir&quot;]" data-rows="[{&quot;feature&quot;:&quot;Ağustos 2024&quot;,&quot;values&quot;:[&quot;Yasa yürürlüğe girdi&quot;,&quot;Genel çerçeve başladı&quot;]},{&quot;feature&quot;:&quot;Şubat 2025&quot;,&quot;values&quot;:[&quot;Yasaklı uygulamalar geçerli&quot;,&quot;Kabul edilemez risk taşıyan herkes&quot;]},{&quot;feature&quot;:&quot;Ağustos 2025&quot;,&quot;values&quot;:[&quot;GPAI (genel amaçlı model) kuralları&quot;,&quot;Model sağlayıcılar&quot;]},{&quot;feature&quot;:&quot;Ağustos 2026&quot;,&quot;values&quot;:[&quot;Yüksek riskli yükümlülüklerin çoğu&quot;,&quot;Yüksek riskli sistem sağlayıcıları&quot;]},{&quot;feature&quot;:&quot;Ağustos 2027&quot;,&quot;values&quot;:[&quot;Belirli ürün-gömülü yüksek risk kuralları&quot;,&quot;Regüle ürünlere gömülü yapay zeka&quot;]}]"></comparison-table>

Bu kademeli uyum takvimi bir soluklanma süresi değil, bir hazırlık penceresidir. Yüksek riskli bir sistem geliştiren kurumun, 2026'daki yükümlülükleri karşılamak için dokümantasyon, veri yönetişimi ve insan gözetimi süreçlerini bugünden kurmaya başlaması gerekir; bu süreçler aylarca sürebilir. Takvimi "sonra bakarız" diye ertelemek, en yaygın uyum hatasıdır.

## EU AI Act'in Türkiye Etkisi Nedir?

EU AI Act bir AB yasasıdır, ama etkisi AB sınırlarında bitmez. Yasa etki temelli (extraterritorial) uygulanır: bir şirketin nerede kurulu olduğuna değil, sisteminin AB pazarına sunulup sunulmadığına veya çıktısının AB'de kullanılıp kullanılmadığına bakar. Bu yüzden türkiye etkisi soyut değil, doğrudan ve operasyoneldir.

Somut olarak: AB'deki bir müşteriye yapay zeka destekli yazılım satan bir Türk şirketi, AB'li kullanıcılar için bir öneri motoru işleten bir e-ticaret firması veya çıktısı AB'de değerlendirilen bir model geliştiren bir ekip, yasanın kapsamına girer. GDPR'da yaşanan "Brüksel etkisi" burada da geçerlidir: AB'ye ürün veya hizmet veren Türk şirketleri, pratikte bu standardı benimsemek zorunda kalır. Bu nedenle türkiye etkisi, ihracat yapan her teknoloji şirketinin gündemindedir.

<stat-callout data-value="Dünya 1.'si" data-context="Türkiye, We Are Social &quot;Digital 2026&quot; verisine göre üretken yapay zeka araçlarından web'e yönlendirilen trafik payında dünya birincisidir; bu yüksek benimseme, AB'ye hizmet veren Türk şirketleri için EU AI Act uyumunu&quot; data-outcome=&quot;giderek daha erken ele alınması gereken bir rekabet ve pazar erişimi konusu hâline getirir." data-source="{&quot;label&quot;:&quot;Euronews TR / Digital 2026&quot;,&quot;url&quot;:&quot;https://tr.euronews.com/next/2026/01/04/turkiye-chatgpt-trafiginde-yuzde-9449luk-oranla-dunya-birincisi&quot;,&quot;date&quot;:&quot;2026-01&quot;}"></stat-callout>

## EU AI Act ile GDPR ve KVKK İlişkisi

EU AI Act sıklıkla GDPR ile karıştırılır, ama ikisi farklı şeyleri düzenler. GDPR (ve Türkiye'deki karşılığı KVKK) kişisel verinin nasıl işleneceğini düzenler; EU AI Act ise yapay zeka sisteminin kendisini — güvenliğini, risk düzeyini ve güvenilirliğini — düzenler. Bir yapay zeka sistemi kişisel veri işliyorsa, aynı anda her iki mevzuata da uymak zorundadır; biri diğerinin yerine geçmez.

Bu ayrım pratikte önemlidir. Örneğin bir işe alım algoritması, GDPR açısından adayların verisini hukuka uygun işlemeli; EU AI Act açısından ise yüksek riskli sistem olarak önyargı denetimi, insan gözetimi ve dokümantasyon yükümlülüklerini karşılamalıdır. Türkiye'de faaliyet gösteren ve AB'ye hizmet veren kurumlar için bu iki katmanı birlikte tasarlamak gerekir; KVKK'nın yapay zeka bağlamındaki yansımaları için <a href="/blog/kvkk-nedir">KVKK nedir</a> rehberine göz atabilirsiniz.

## EU AI Act'te Cezalar ve Yaygın Yanılgılar

Yasaya uymamanın maliyeti yüksektir. En ağır ihlallerde — örneğin yasaklı bir uygulamanın kullanılması — ceza, küresel yıllık cironun %7'sine veya 35 milyon euroya (hangisi yüksekse) kadar çıkabilir. Diğer yükümlülük ihlallerinde bu oran cironun %3'üne ya da 15 milyon euroya iner; yanlış veya eksik bilgi vermek gibi hafif ihlaller için daha düşük eşikler uygulanır. Cezalar, ihlalin ağırlığına ve şirketin büyüklüğüne göre orantılı belirlenir.

Bu noktada birkaç yaygın yanılgıyı düzeltmek gerekir:

- **"Bu sadece AB şirketlerini bağlar" yanılgısı:** Yasa etki temellidir; AB pazarına ürün sunan Türk şirketleri de kapsanır.
- **"Tüm yapay zeka yasaklanıyor" yanılgısı:** Sistemlerin ezici çoğunluğu minimal risktedir ve serbesttir; yasaklar yalnızca kabul edilemez risk kategorisindedir.
- **"Uyum tek seferlik bir belgedir" yanılgısı:** Yüksek riskli sistemlerde uyum, sistemin tüm yaşam döngüsü boyunca süren bir yönetişim sorumluluğudur.
- **"Vakit çok" yanılgısı:** Uyum takvimi kademeli olsa da, yüksek riskli sistemler için hazırlık aylar sürer; erteleme en pahalı hatadır.

Bu yanılgıları erkenden aşan kurumlar, uyumu bir engel değil bir pazar erişimi avantajı hâline getirebilir. Kurumsal bir yapay zeka yol haritasında uyumu baştan tasarlamak için <a href="/consulting">yapay zeka danışmanlığı</a> ile başlayabilirsiniz.

## Sıkça Sorulan Sorular

### EU AI Act ne zaman yürürlüğe girdi?

EU AI Act 1 Ağustos 2024'te yürürlüğe girdi, ancak yükümlülükler aynı anda başlamadı. Uyum takvimi kademelidir: yasaklı uygulamalar 2 Şubat 2025'te, genel amaçlı model kuralları 2 Ağustos 2025'te, yüksek riskli sistemlerin çoğu ise 2026-2027'de uygulanmaya başlar.

### Türkiye'deki şirketler EU AI Act'e uymak zorunda mı?

AB pazarına yapay zeka ürünü sunan ya da sistemin çıktısı AB içinde kullanılan Türk şirketleri kapsama girer. Yasa etki temelli (extraterritorial) uygulanır; şirketin AB'de olması gerekmez. AB'ye hizmet veya ürün ihraç eden yazılım firmaları için türkiye etkisi doğrudandır.

### EU AI Act'te yüksek riskli sistemler nelerdir?

Sağlık, işe alım, kredi değerlendirme, eğitim, kritik altyapı, kolluk ve göç gibi alanlarda karar veren veya bunları etkileyen yapay zeka sistemleri yüksek riskli sayılır. Bu sistemler için risk yönetimi, veri yönetişimi, insan gözetimi ve uygunluk değerlendirmesi zorunludur.

### EU AI Act'e uymamanın cezası nedir?

Yasaklı uygulamalarda ceza, küresel yıllık cironun %7'sine veya 35 milyon euroya (hangisi yüksekse) kadar çıkabilir. Diğer ihlallerde bu oran cironun %3'üne ya da 15 milyon euroya iner. Cezalar, ihlalin ağırlığına ve şirketin büyüklüğüne göre orantılı belirlenir.

### EU AI Act ile GDPR arasındaki fark nedir?

GDPR kişisel verinin işlenmesini düzenler; EU AI Act ise yapay zeka sisteminin kendisini, güvenliğini ve risk düzeyini düzenler. İkisi birbirini tamamlar: bir yapay zeka sistemi kişisel veri işliyorsa hem GDPR'a hem AI Act'e uymak zorundadır.

### ChatGPT gibi genel amaçlı modeller AI Act kapsamında mı?

Evet. Genel amaçlı yapay zeka (GPAI) modelleri için ayrı bir kategori vardır: teknik dokümantasyon, telif ve eğitim verisi şeffaflığı gibi yükümlülükler getirilir. Sistemik risk taşıyan çok büyük modeller için ek değerlendirme ve raporlama gereklilikleri uygulanır.

## Özetle: EU AI Act Nedir?

Özetle eu ai act nedir sorusunun cevabı şudur: yapay zeka sistemlerini oluşturdukları riske göre dört kademeye ayırıp orantılı yükümlülükler getiren, dünyanın ilk kapsamlı yatay yapay zeka yasası. Risk sınıflandırması yasanın omurgasıdır; yüksek riskli sistemler için sıkı uyum gerekir; kademeli uyum takvimi 2025-2027 arasında işler ve türkiye etkisi, AB'ye hizmet veren her şirket için doğrudandır. Temel kavramlar için <a href="/blog/yapay-zeka-nedir">yapay zeka nedir</a> ve <a href="/blog/chatgpt-nedir">ChatGPT nedir</a> rehberlerine göz atabilir, kurumsal uyum ve strateji için <a href="/consulting">yapay zeka danışmanlığı</a> ile başlayabilirsiniz.

<!-- İÇ BAĞLANTI BORCU: /blog/gdpr-nedir, /blog/sorumlu-yapay-zeka-nedir, /blog/yapay-zeka-yonetisimi-nedir, /blog/yapay-zeka-etigi-nedir yayınlanınca eklenecek. -->