# GPAI Yaptırım Dönemi Başlıyor: 2 Ağustos 2026 ve Kurumsal Hazırlık Rehberi

> Source: https://sukruyusufkaya.com/blog/gpai-yaptirim-donemi-agustos-2026-kurumsal-hazirlik
> Updated: 2026-07-09T10:42:59.042Z
> Type: blog
> Category: yapay-zeka
**TLDR:** 2 Ağustos 2026'da EU AI Act'in GPAI yaptırım yetkileri devreye giriyor. Cezalar, Uygulama Kuralları ve Türkiye'deki şirketler için pratik hazırlık adımları.

**TL;DR —** 2 Ağustos 2026, Avrupa Birliği yapay zeka düzenlemesinde bir eşik: Genel Amaçlı Yapay Zeka (GPAI) modelleri için Komisyon'un yaptırım yetkileri fiilen devreye giriyor. Bu tarihten itibaren AI Office, GPAI sağlayıcılarına küresel yıllık cironun %3'üne veya 15 milyon avroya (hangisi yüksekse) kadar para cezası kesebilecek. Kural yalnızca "model üretenleri" değil, o modelleri ürünlerine gömen, dağıtan ve AB pazarına sunan herkesi ilgilendiriyor. Bu yazıda yaptırım çerçevesini, GPAI Uygulama Kuralları'nı (Code of Practice) ve Türkiye'den AB'ye hizmet veren şirketler için somut bir hazırlık planını sahadan konuşarak anlatıyorum.

## Neden bu tarih bu kadar önemli?

Bir düzenleme metni yürürlüğe girdiğinde çoğu şirket "daha vakit var" der ve rafına kaldırır. AI Act'te durum farklı, çünkü kural kademeli olarak hayata geçiyor. Yönetişim kuralları ve GPAI yükümlülükleri 2 Ağustos 2025'te uygulanabilir hâle geldi. Yani model sağlayıcılarının şeffaflık, telif ve güvenlik yükümlülükleri bir yıldır teknik olarak yürürlükte. Ancak asıl caydırıcı unsur olan **yaptırım yetkisi** 2 Ağustos 2026'da başlıyor. Bir kuralın var olması ile o kuralın arkasında para cezası durması arasındaki fark, uyum bütçelerini serbest bırakan farktır. Ben sahada bunu defalarca gördüm: yönetim kurulları düzenlemeyi ancak "ceza kalemi" masaya konduğunda ciddiye alıyor.

Burada bir ayrımı net yapmak istiyorum. AI Act'in farklı bölümleri farklı tarihlerde devreye giriyor. Yasaklı uygulamalar (örneğin sosyal puanlama, manipülatif sistemler) çok daha önce, 2 Şubat 2025'te yürürlüğe girdi. Yüksek riskli sistemler için ana yükümlülükler ise 2027'ye uzanıyor. 2 Ağustos 2026'nın kritikliği, GPAI modelleri etrafındaki yaptırım kapısının açılması ve şeffaflık kurallarının bu pencerede somutlaşmasıdır. 2 Ağustos 2025 öncesinde piyasaya sürülmüş GPAI modelleri için uyum son tarihi ise 2 Ağustos 2027 olarak belirlendi; yani eski modeller için bir geçiş nefesi var, ama yeni modeller için değil.

> Kısa kural: Yeni bir GPAI modelini AB pazarına sunuyorsanız, 2 Ağustos 2026 sizin için "yumuşak başlangıç" değil, "sert takvim" demektir.

## GPAI tam olarak neyi kapsıyor?

"Genel amaçlı yapay zeka modeli" ifadesi hukuki olarak dikkatle tanımlandı: çok çeşitli görevleri yerine getirebilen, geniş veriyle eğitilmiş, aşağı akış sistemlerine entegre edilebilen modeller. Pratikte bu, büyük dil modellerinin (LLM) ve çok kipli (multimodal) temel modellerin neredeyse tamamını kapsıyor. Ek olarak, belirli bir hesaplama eşiğinin (10^25 FLOP) üzerinde eğitilen modeller "sistemik risk taşıyan GPAI" kategorisine giriyor ve onlar için ek güvenlik, değerlendirme ve olay bildirimi yükümlülükleri var.

Burada Türkiye'deki birçok yöneticinin gözden kaçırdığı nokta şu: **Siz model üretmiyor olabilirsiniz, ama bir GPAI modelini kullanan bir ürün geliştiriyorsanız zincirin içindesiniz.** AI Act, sağlayıcı (provider), dağıtımcı (deployer), ithalatçı ve yetkili temsilci gibi rolleri ayrı ayrı tanımlıyor. Bir Türk yazılım şirketi, açık kaynaklı bir modeli ince ayarlayıp (fine-tune) AB'deki müşterilere SaaS olarak sunuyorsa, yaptığı ince ayarın boyutuna göre yeni bir "sağlayıcı" konumuna geçebilir. Bu, teknik bir ayrıntı değil; yükümlülüklerin kimin sırtına bineceğini belirleyen ana ayrımdır.

## Yaptırım çerçevesi: rakamlar ve mantık

Cezaların büyüklüğü kademeli. En ağır kategori, yasaklı uygulamalar için: küresel cironun %7'sine veya 35 milyon avroya kadar. GPAI yükümlülüklerinin ihlali için ise 2 Ağustos 2026'da yürürlüğe giren yetkiyle **küresel yıllık cironun %3'ü veya 15 milyon avro** (hangisi yüksekse). Yanlış, eksik veya yanıltıcı bilgi vermek için ayrı bir kademe daha var.

Bu rakamları okurken iki şeyi hatırlatmak isterim. Birincisi, "küresel ciro" ifadesi grup cirosunu kastediyor; yani AB'deki küçük bir iştirakin cirosu değil, ana şirketin toplam cirosu esas alınabilir. İkincisi, cezanın üst sınırı ile fiilen kesilecek ceza aynı şey değil. Düzenleyici, ihlalin ağırlığını, süresini, kasıt olup olmadığını ve şirketin iş birliğini dikkate alacak. Yani proaktif uyum gösteren, dokümantasyonu düzgün, olay bildirimini zamanında yapan bir şirket ile hiçbir şey yapmamış bir şirket aynı muameleyi görmeyecek. Uyumun getirisi tam da burada: cezayı sıfırlamasa bile risk profilinizi ciddi biçimde düşürüyor.

| Kademe | Üst sınır | Ne zaman | Kimi ilgilendirir |
|---|---|---|---|
| Yasaklı uygulamalar | Cironun %7'si / 35M€ | Şubat 2025'ten beri | Herkes |
| GPAI yükümlülük ihlali | Cironun %3'ü / 15M€ | 2 Ağustos 2026 | GPAI sağlayıcıları |
| Yanıltıcı bilgi verme | Cironun %1'i / 7,5M€ | 2 Ağustos 2026 | Bilgi veren taraf |

## GPAI Uygulama Kuralları (Code of Practice): gönüllü ama ağırlıklı

Temmuz 2025'te bağımsız uzmanlarca sonuçlandırılan GPAI Uygulama Kuralları üç bölümden oluşuyor: Şeffaflık, Telif ve Güvenlik/Emniyet. Kuralın hukuki niteliği ilginç: imzalamak teknik olarak gönüllü. Ancak imzalayan bir sağlayıcı, "uygunluk karinesi" (presumption of conformity) kazanıyor. Yani düzenleyici karşısında "ben iyi niyetle, kabul görmüş çerçeveye uydum" diyebiliyor. İmzalamayan bir şirket, aynı yükümlülükleri başka yollarla karşıladığını tek tek ispatlamak zorunda kalıyor. Sahadaki gerçek şu: gönüllü görünen bu kural, pratikte fiili bir standart hâline geliyor. Büyük sağlayıcıların çoğu imzaladı; imzalamayanlar ise ispat yükünü üstleniyor.

Şeffaflık bölümü, model hakkında teknik dokümantasyon tutmayı ve aşağı akış geliştiricilerine yeterli bilgi sağlamayı istiyor: eğitim verisinin genel niteliği, modelin yetenek ve sınırları, değerlendirme sonuçları. Telif bölümü, eğitim verisinde telifli içeriğin kullanımına dair bir politika benimsemeyi ve metin-veri madenciliği istisnalarına saygı göstermeyi (opt-out mekanizmaları dahil) gerektiriyor. Güvenlik bölümü ise özellikle sistemik risk taşıyan modeller için: risk değerlendirmesi, saldırı testi (red teaming), olay bildirimi ve model kartları.

## Türkiye bağlamı: KVKK ile kesişim

Türkiye'de doğrudan AI Act yürürlükte değil; ama iki gerçek bunu ikinci plana atıyor. Birincisi, **AB'ye ürün veya hizmet sunan her Türk şirketi fiilen kapsam içinde.** Brüksel etkisi (Brussels effect) burada da işliyor: pazara erişmek istiyorsanız pazarın kuralına uyuyorsunuz. İkincisi, KVKK ile AI Act'in birçok noktada örtüşmesi, uyum çalışmasını çift kazanca çeviriyor.

KVKK açısından kritik kesişim noktaları: kişisel verinin model eğitiminde kullanılması (hukuki dayanak, aydınlatma, açık rıza tartışmaları), otomatik karar verme ve profilleme (KVKK md. yorumları ve ilgili kişinin hakları), veri minimizasyonu ve amaçla bağlılık. Bir GPAI tabanlı sistemi Türkiye'de devreye alırken KVKK için hazırladığınız veri işleme envanteri, veri koruma etki değerlendirmesi (DPIA benzeri çalışma) ve aydınlatma metinleri, AI Act şeffaflık dokümantasyonunun da iskeletini oluşturuyor. Yani "iki ayrı proje" gibi görünen şey, doğru kurgulandığında tek bir yönetişim omurgasıdır.

Ayrıca Temmuz 2026'da Komisyon, en gelişmiş yapay zeka modellerinin doğurduğu siber güvenlik ve dayanıklılık zorluklarını ele almak için bir Siber Güvenlik ve Yapay Zeka Eylem Planı sundu. Bu, GPAI etrafındaki güvenlik beklentilerinin yalnızca "içerik" değil, "sistem dayanıklılığı" boyutuna da yayıldığının işareti. Türkiye'de finans ve sağlık gibi düzenlemeye tabi sektörlerde çalışıyorsanız, bu beklenti sizin BDDK/sektörel denetim çerçevenizle de konuşuyor.

## Sahadan bir hazırlık planı

Şimdi lafı somuta bağlayalım. Bir müşteriyle bu konuya oturduğumda genelde şu altı adımı bir yol haritası olarak koyuyorum:

1. **Envanter çıkarın.** Kurumunuzda hangi GPAI modelleri, hangi ürünlerde, hangi rolle (sağlayıcı mı dağıtımcı mı) kullanılıyor? Bu envanter olmadan hiçbir uyum konuşması gerçekçi değil. Çoğu şirket kendi kullandığı model sayısını yarı yarıya eksik biliyor.
2. **Rolünüzü hukuki olarak netleştirin.** İnce ayar yapıyor musunuz? Yaptığınız ince ayar sizi yeni sağlayıcı konumuna taşıyor mu? Bu soruya cevap, yükümlülük setinizi baştan belirler.
3. **Dokümantasyon omurgasını kurun.** Model kartları, değerlendirme sonuçları, veri kaynakları politikası, olay kayıt süreci. Bunları KVKK dokümantasyonunuzla ortak bir çatı altında tutun; iki kez yazmayın.
4. **Uygulama Kuralları'na hizalanın.** İmzalayan bir sağlayıcıyla mı çalışıyorsunuz? Onların uygunluk karinesinden faydalanmak, sizin tedarik zinciri riskinizi düşürür. Sözleşmelerinize uyum taahhütlerini yazın.
5. **Olay bildirimi ve red teaming süreçlerini işletin.** Özellikle yüksek etkili kullanımlarda, modelin ürettiği ciddi hataları veya güvenlik olaylarını nasıl tespit edip raporlayacağınızı önceden tanımlayın.
6. **Yönetişim organını atayın.** Uyum bir kişinin işi değil. Hukuk, veri, ürün ve güvenlik masaları aynı toplantıda oturmadan bu iş yürümüyor. Bir "AI yönetişim komitesi" küçük şirkette bile üç kişilik bir ekip olabilir.

Bu adımları anlatırken müşterilere hep şunu söylüyorum: uyum bir "hayır" makinesi değil, bir "nasıl evet" çerçevesidir. İyi kurgulanmış bir yönetişim, ekiplerin daha hızlı ve daha az korkuyla iş çıkarmasını sağlar, çünkü sınırlar belli olur.

## Sık yapılan üç hata

Sahada en çok gördüğüm hataları da paylaşayım. Birincisi, **"biz sadece kullanıyoruz, sorumlu sağlayıcı"** varsayımı. Dağıtımcının da yükümlülükleri var; özellikle şeffaflık ve son kullanıcıyı bilgilendirme tarafında. İkincisi, **dokümantasyonu son ana bırakmak.** Model kartı ve değerlendirme kaydı, olaydan sonra geriye dönük yazılamaz; süreç içinde biriktirilir. Üçüncüsü, **KVKK ve AI Act'i iki ayrı silo gibi yönetmek.** Bu, hem bütçeyi ikiye katlıyor hem de tutarsız politikalar üretiyor; oysa tek bir veri ve model yönetişimi omurgası her ikisini birden besliyor.

## Rakamların ötesinde: neden şimdi hareket etmeli?

Bir düzenlemeye uyum, çoğu zaman "ceza korkusu" ile başlar ama "rekabet avantajı" ile olgunlaşır. AB'deki büyük alıcılar, tedarikçilerinden giderek daha fazla uyum kanıtı istiyor. İhaleye girerken "AI Act uyumlu mu, Uygulama Kuralları'na hizalı mı, veri yönetişimi belgeli mi" soruları sözleşme öncesi bir eleme kriteri hâline geliyor. Yani 2 Ağustos 2026, sadece bir ceza tarihi değil; aynı zamanda uyumu bir satış argümanına çeviren bir eşik. Erken hareket eden Türk şirketleri, geç kalanların pazara giriş engeliyle boğuşacağı bir dönemde farklılaşacak.

Ben bu yazıyı okuyan her yöneticinin bugün tek bir şey yapmasını öneririm: kurumunuzdaki GPAI kullanım envanterini bir sayfaya çıkarın ve her satırın karşısına rolünüzü (sağlayıcı/dağıtımcı) yazın. Bu bir sayfalık tablo, önümüzdeki on iki ayın uyum stratejisinin temelini atar ve size nereye bütçe, nereye zaman ayıracağınızı gösterir. Uyum, büyük bir dönüşümden çok, doğru sırayla atılan küçük adımların toplamıdır; ve o ilk adım her zaman görünürlüktür.

## Uygulama Kuralları'nın üç bölümünü derinlemesine okumak

Yukarıda başlıkları saydım; ama sahada asıl fark, bu üç bölümü "ne istediğini" gerçekten anlayıp süreçlere gömmekte açılıyor. Şeffaflık bölümünü ele alalım. Burada beklenen şey bir pazarlama broşürü değil; modelin ne olduğunu, neyle eğitildiğini, nerede iyi nerede kötü olduğunu dürüstçe anlatan yaşayan bir belge. Bir aşağı akış geliştirici, sizin modelinizi kendi ürününe gömerken hangi sınırların içinde çalıştığını bilmek zorunda. Model kartında "bu model tıbbi teşhis için değerlendirilmemiştir" ya da "Türkçe düşük kaynaklı senaryolarda performans düşüyor" gibi net ifadeler, hem hukuki hem de mühendislik açısından altın değerinde. Ben müşterilerime hep "model kartını, altı ay sonra sizi mahkemede temsil edecek belge gibi yazın" diyorum; bu bakış açısı insanı dürüstlüğe zorluyor.

Telif bölümü Türkiye'deki içerik ve medya şirketleri için özellikle önemli. Eğer bir modeli kendi verinizle eğitiyor ya da ince ayarlıyorsanız, kullandığınız içeriğin telif durumunu bilmek zorundasınız. AB, metin ve veri madenciliği için bir istisna tanıyor; ancak hak sahiplerinin bu kullanımı reddetme (opt-out) hakkı var. Yani "internette vardı, aldım" savunması artık yeterli değil. Bir veri kaynakları politikası yazmak, hangi veri setinin hangi lisansla geldiğini kayıt altına almak, opt-out sinyallerine saygı gösteren bir toplama süreci kurmak; bunların hepsi hem AI Act hem de olası telif davaları karşısında sizi koruyor.

Güvenlik ve emniyet bölümü, sistemik risk taşıyan modeller için en ağır olanı. Burada red teaming (kırmızı takım testi), yani modeli kasıtlı olarak zorlayıp zayıf noktalarını bulma; olay bildirimi, yani ciddi bir aksaklık olduğunda düzenleyiciye zamanında haber verme; ve sürekli değerlendirme bekleniyor. Sistemik risk eşiğinin altındaki modelleri kullanan çoğu Türk şirketi için bu bölüm doğrudan yükümlülük getirmese de, iyi bir güvenlik pratiği olarak benimsemek akıllıca. Çünkü müşteriniz veya denetçiniz "modelinizi nasıl test ediyorsunuz?" diye sorduğunda, gösterecek bir süreciniz olması gerekiyor.

## Somut bir senaryo: Türk SaaS şirketi X

Diyelim ki İstanbul merkezli bir SaaS şirketi, açık kaynaklı bir dil modelini alıp müşteri hizmetleri otomasyonu için ince ayarlıyor ve bunu Almanya ile Hollanda'daki kurumsal müşterilere satıyor. Bu şirket için 2 Ağustos 2026 ne anlama geliyor?

Önce rol tespiti: yaptıkları ince ayar, modelin davranışını anlamlı biçimde değiştiriyorsa, hukuki değerlendirmede yeni bir sağlayıcı konumuna geçebilirler. Bu, model hakkında teknik dokümantasyon tutma, aşağı akış bilgisini sağlama ve şeffaflık yükümlülüklerini üstlenme demek. İkinci olarak, müşterilerine sundukları sistemin bir yapay zeka olduğunu son kullanıcıya bildirme (transparency) yükümlülüğü var; müşteri hizmetlerinde konuşulan tarafın bot olduğu gizlenemez. Üçüncüsü, kullandıkları eğitim verisinde Avrupalı vatandaşların kişisel verisi varsa, KVKK'ya ek olarak GDPR de devrede; iki rejimin kesişiminde bir veri işleme dayanağı kurmaları gerekiyor.

Bu şirkete önerim şu olurdu: bir "uyum paketi" oluşturun. İçinde model kartı, veri kaynakları politikası, DPIA/DPİA çalışması, aydınlatma ve bilgilendirme metinleri, olay bildirim prosedürü ve tedarikçi (temel model sağlayıcısı) sözleşmeleri olsun. Bu paketi bir kere düzgün kurarsanız, her yeni kurumsal ihalede bunu "uyum kanıtı" olarak sunup satış sürecinizi hızlandırırsınız. Uyumu maliyet değil, ihale kazandıran bir varlık gibi görmenin yolu bu.

## Diğer yargı bölgeleriyle kısa bir karşılaştırma

AI Act dünyanın ilk kapsamlı yapay zeka yasası, ama tek düzenleme değil. ABD, federal düzeyde tek bir yasa yerine sektörel ve eyalet bazlı bir mozaik izliyor; bu da çok uluslu şirketler için "en katı ortak paydaya göre tasarla" stratejisini mantıklı kılıyor. Birleşik Krallık ilkeler temelli, daha esnek bir yaklaşımı tercih ediyor. Türkiye ise TBMM Yapay Zeka Araştırma Komisyonu'nun 2026 sonunda çıkarması beklenen kapsamlı raporuyla kendi çerçevesini şekillendiriyor; bu rapor, sektörel yasalar için öneriler getirebilir. Benim gözlemim: küresel oyunculuk hedefi olan Türk şirketleri için en pragmatik yol, en katı çerçeve olan AI Act'e göre tasarlamak ve diğer coğrafyaları bunun bir alt kümesi olarak yönetmek. Böylece her pazar için ayrı bir uyum projesi açmak yerine tek bir yüksek standardı her yere uyarlıyorsunuz.

## 90 günlük eylem planı

Somut bir takvim isteyenler için şöyle bir üç aylık plan öneriyorum:

| Dönem | Odak | Çıktı |
|---|---|---|
| 0-30 gün | Görünürlük | GPAI kullanım envanteri, rol tespiti, boşluk analizi |
| 30-60 gün | Dokümantasyon | Model kartları, veri kaynakları politikası, DPIA taslakları |
| 60-90 gün | Yönetişim | AI yönetişim komitesi, olay bildirim süreci, tedarikçi sözleşme güncellemeleri |

Bu planın güzelliği, ilk 30 günde hiçbir avukat tutmadan, sadece kendi ekibinizle ilerleyebilmenizde. Görünürlük ve boşluk analizi tamamen içeride yapılabilir; hukuki danışmanlığı ancak roller ve boşluklar netleştikten sonra, doğru soruları sorarak devreye alırsınız. Bu sıralama, hem bütçeyi korur hem de danışmanlık saatlerini en değerli yere harcar.

## Sık sorulan sorular

**"Biz sadece ChatGPT gibi bir aracı çalışanlarımıza kullandırıyoruz, kapsamda mıyız?"** Bu durumda büyük olasılıkla dağıtımcı/kullanıcı konumundasınız, sağlayıcı değil. Ama iç kullanımda bile, çalışanlarınızın ürettiği içerikte kişisel veri işleniyorsa KVKK devrede ve bir kullanım politikası şart. Yüksek riskli bir karar sürecine (işe alım, kredi değerlendirme) bu aracı gömerseniz, yükümlülük seti hızla ağırlaşır.

**"Açık kaynaklı model kullanıyorum, muaf mıyım?"** Açık kaynaklı modeller için bazı istisnalar var, ama bu muafiyet mutlak değil; özellikle sistemik risk taşıyan modellerde ve ticari kullanımda sınırları dikkatle okumak gerekiyor. "Açık kaynak" etiketi tek başına sizi tüm yükümlülüklerden kurtarmıyor.

**"Cezalar gerçekten kesilecek mi, yoksa kağıt üzerinde mi kalacak?"** AI Office'in yaptırım kapasitesi 2 Ağustos 2026'da başlıyor ve düzenleyicinin ilk dönemde örnek vakalarla caydırıcılık kurma eğiliminde olduğunu geçmiş deneyimlerden (örneğin GDPR'ın ilk yılları) biliyoruz. "Kağıt üzerinde kalır" varsayımıyla hareket etmek, risk yönetimi açısından temkinsiz bir bahis.

**"Türkiye'de faaliyet gösteriyorum, AB'ye satmıyorum; beni ilgilendirir mi?"** Doğrudan AI Act yükümlülüğü doğmayabilir. Ancak KVKK zaten birçok benzer ilkeyi (şeffaflık, veri minimizasyonu, otomatik karar) getiriyor ve Türkiye'nin kendi çerçevesi olgunlaşıyor. Bugün AI Act'e göre kurduğunuz omurga, yarın yerel düzenleme geldiğinde sizi hazır bulur.

Uyum yolculuğunda en değerli varlık, bir yıl sonra "keşke başlasaydık" dedirtmeyen erken görünürlüktür. 2 Ağustos 2026 uzak bir tarih değil; bir çeyreklik bir hazırlık penceresi. O pencereyi, envanterden dokümantasyona, dokümantasyondan yönetişime doğru sistematik ilerleyerek kullanan şirketler, sadece cezadan kaçınmakla kalmayacak; AB pazarında güvenilir tedarikçi olma avantajını da cebe koyacak.

## Yönetişimi kağıttan pratiğe indirmek

Uyum belgelerinin en büyük tehlikesi, yazılıp bir klasöre kaldırılmaları ve gerçek süreçlerle bağının kopmasıdır. Ben buna "raf uyumu" diyorum: denetime hazır görünen ama günlük işleyişte hiçbir karşılığı olmayan belgeler. AI Act'in ruhu bunun tam tersini istiyor. Model kartınızın, ürün ekibinizin her yeni sürümde güncellediği yaşayan bir belge olması gerekiyor. Olay bildirim prosedürünüzün, gerçekten bir olay olduğunda kimin kimi arayacağını netleştiren bir runbook olması lazım. Bir müşterimde bunu şöyle kurmuştuk: her model dağıtımı, kod deposundaki bir "model kartı" dosyasını güncellemeden birleştirilemiyordu (merge edilemiyordu). Böylece dokümantasyon, sürecin doğal bir parçası hâline geldi; ayrı bir angarya olmaktan çıktı.

Bir diğer pratik ipucu: yükümlülükleri rollere göre bir sorumluluk matrisine (RACI) dökün. Kim sorumlu (responsible), kim hesap verebilir (accountable), kime danışılır, kim bilgilendirilir? Şeffaflık dokümantasyonundan kim sorumlu? Telif politikasından? Olay bildiriminden? Bu matris olmadan, herkesin sorumlu olduğu ama kimsenin sahiplenmediği bir boşluk oluşuyor. Küçük bir şirkette bu matris tek sayfa olabilir; ama o tek sayfa, denetim anında sizi kurtaran şey.

## Bütçe ve önceliklendirme

"Bu kadar iş için ne kadar bütçe ayırmalıyım?" sorusu haklı. Cevabım şu: ilk aşamada bütçenizin çoğu insan-saati, para değil. Görünürlük ve boşluk analizi kendi ekibinizle yapılır. Asıl harcama, hukuki görüş gerektiren gri alanlarda (rol tespiti, açık kaynak istisnaları, sözleşme dili) ve dokümantasyon araçlarında ortaya çıkar. Benim önerim, bütçeyi risk ağırlığına göre dağıtmak: AB'ye en çok satış yaptığınız, en yüksek riskli kullanım senaryonuz neredeyse, uyum yatırımınızın çoğu oraya gitsin. Her modeli aynı titizlikle belgelemeye çalışmak, sınırlı kaynağı dağıtır ve hiçbir yeri tam yapamazsınız. Risk temelli önceliklendirme, uyumun hem en ucuz hem de en etkili hâlidir.

Son olarak şunu vurgulamak isterim: bu düzenleme, yapay zekayı yavaşlatmak için değil, güvenilir kılmak için var. Güvenilir yapay zeka, uzun vadede daha hızlı benimsenen yapay zekadır. Müşteri, tedarikçisinin veri ve model yönetişimine güvendiğinde daha büyük işleri daha hızlı verir. Denetçi, süreçlerinizi olgun bulduğunda üzerinize daha az yük bindirir. Yani 2 Ağustos 2026'yı bir tehdit olarak değil, kurumunuzun yapay zeka olgunluğunu bir üst seviyeye taşımanın gerekçesi olarak okumanızı öneririm. Envanteri çıkarın, rolünüzü netleştirin, dokümantasyonu sürece gömün, yönetişimi bir komiteye emanet edin. Bu dört hamle, önümüzdeki on iki ayda sizi hem cezadan hem de daha önemlisi güven kaybından koruyacak.

## Tedarik zinciri: sözleşmeye ne yazmalı?

Çoğu Türk şirketi modeli kendi eğitmiyor; bir sağlayıcıdan (OpenAI, Anthropic, Google, ya da açık kaynak dağıtan bir platform) alıyor. Bu durumda uyumun büyük kısmı sözleşme diline iner. Tedarikçinizin AI Act yükümlülüklerini karşıladığına, Uygulama Kuralları'na hizalı olduğuna, size gerekli teknik dokümantasyonu ve model kartını sağlayacağına dair taahhütleri sözleşmeye yazın. Bir güvenlik olayı olduğunda sizi zamanında bilgilendirme yükümlülüğünü ekleyin. Alt-işleyen (sub-processor) listesi ve veri konumu (data residency) maddeleri, KVKK ve GDPR açısından da hayati. Bu maddeler olmadan, tedarikçinizin bir hatası sizin kapınıza yaptırım olarak dönebilir; çünkü son kullanıcıya karşı sorumlu taraf çoğu zaman sizsiniz. Sözleşme, uyumun görünmeyen ama en güçlü kaldıracıdır.

## Ölçün, iyileştirin, tekrarlayın

Uyum tek seferlik bir proje değil, bir döngü. Modeliniz güncellendiğinde, yeni bir pazara girdiğinizde, yeni bir kullanım senaryosu eklediğinizde envanteriniz ve dokümantasyonunuz da güncellenmeli. Ben müşterilerime çeyreklik bir "uyum gözden geçirme" ritüeli kurmalarını öneriyorum: envanteri tazele, boşlukları yeniden tara, olay kayıtlarını incele, sözleşmeleri kontrol et. Bu ritüel, uyumu bir kriz anında telaşla yapılan bir şey olmaktan çıkarıp, kurumun kas hafızasına yerleştirir. Olgun kurumlar, denetim geldiğinde panik yapmaz; çünkü zaten her çeyrek kendi kendilerini denetlemişlerdir.

Özetle, 2 Ağustos 2026 kurumsal yapay zekada bir olgunluk sınavı. Bu sınava girmek için ne devasa bir bütçeye ne de bir hukuk ordusuna ihtiyacınız var; ihtiyacınız olan şey, doğru sırayla atılmış küçük adımlar ve bu adımları sahiplenen bir ekip. Görünürlükle başlayın, dokümantasyonla derinleşin, yönetişimle sürdürülebilir kılın. Bu üçlü, sizi hem düzenleyicinin hem de en önemlisi müşterinizin gözünde güvenilir bir yapay zeka kurumu yapar.

Bir not daha: bu alan hızla değişiyor. Komisyon yeni kılavuzlar yayımlıyor, Uygulama Kuralları güncelleniyor, sektörel rehberler ekleniyor. Bu yüzden bugün kurduğunuz omurgayı katı bir beton yapı gibi değil, güncellenebilir bir yazılım gibi tasarlayın. Politikalarınızı sürümleyin, kararlarınızın gerekçesini kaydedin, hangi kılavuzun hangi tarihte geçerli olduğunu not edin. Denetçi bir yıl sonra "neden böyle karar verdiniz" diye sorduğunda, o günkü bilgiyle en makul adımı attığınızı gösterebilmeniz, iyi niyet ve özen yükümlülüğünüzün en güçlü kanıtı olacaktır. Uyum, mükemmelliğin değil, tutarlı ve belgelenmiş özenin oyunudur; ve bu oyunu bugün başlatan kazanır.
