📋 İçindekiler
- 1. AB AI Yasası Nedir?
- 2. Neden Önemli?
- 3. Risk Kategorileri ve Sınıflandırma
- 4. Yasaklanan AI Uygulamaları
- 5. Yüksek Riskli AI Sistemleri
- 6. Sınırlı ve Minimal Risk Sistemleri
- 7. Genel Amaçlı AI (GPAI) Modelleri
- 8. Uyum Zaman Çizelgesi
- 9. Türk Şirketleri İçin Etkileri
- 10. Hazırlık Kontrol Listesi
- 11. Yaptırımlar ve Cezalar
- 12. Sıkça Sorulan Sorular
1. AB AI Yasası Nedir?
Avrupa Birliği Yapay Zeka Yasası (EU AI Act), dünyada yapay zekayı kapsamlı olarak düzenleyen ilk yasal çerçevedir. 1 Ağustos 2024 tarihinde yürürlüğe giren bu yasa, AI sistemlerinin geliştirilmesi, piyasaya sürülmesi ve kullanılmasına ilişkin detaylı kurallar getirmektedir.
EU AI Act, GDPR'ın kişisel verileri koruması gibi, yapay zeka teknolojilerinin insan haklarına, güvenliğe ve demokrasiye zarar vermesini önlemeyi amaçlamaktadır. Yasa, risk tabanlı bir yaklaşım benimseyerek farklı AI uygulamalarını potansiyel tehlike düzeylerine göre sınıflandırmaktadır.
💡 Önemli Bilgi
EU AI Act sadece AB içindeki şirketleri değil, AB pazarına hizmet sunan veya AB vatandaşlarını etkileyen AI sistemlerini geliştiren tüm dünyadan şirketleri kapsamaktadır. Bu durum, Türk şirketlerini de doğrudan etkilemektedir.
Yasanın temel amacı, güvenilir yapay zekanın gelişimini desteklerken, aynı zamanda temel hakları ve güvenliği korumaktır. Avrupa Komisyonu, bu düzenlemeyle AB'nin dijital çağda küresel standartları belirleme rolünü güçlendirmeyi hedeflemektedir.
2. Neden Önemli?
EU AI Act'in önemi birçok boyutuyla değerlendirilmelidir. Öncelikle, bu yasa dünyada bir ilk olması nedeniyle diğer ülkelerin yapay zeka düzenlemeleri için referans noktası oluşturacaktır. GDPR'ın dünya genelinde veri koruma standartlarını nasıl şekillendirdiğini düşünün; EU AI Act de benzer bir "Brüksel Etkisi" yaratma potansiyeline sahiptir.
İşletmeler açısından bakıldığında, uyumsuzluk ciddi mali yaptırımlara neden olabilir. Yasanın öngördüğü en yüksek cezalar, şirketin küresel yıllık cirosunun %7'sine veya 35 milyon Euro'ya kadar ulaşabilmektedir. Bu rakamlar, GDPR cezalarının bile üzerindedir.
Ayrıca, AB'nin tek pazarında faaliyet göstermek isteyen her şirket, bu yasanın gerekliliklerini karşılamak zorundadır. Bu durum, yasanın coğrafi kapsamını AB sınırlarının çok ötesine taşımaktadır.
3. Risk Kategorileri ve Sınıflandırma
EU AI Act, yapay zeka sistemlerini dört ana risk kategorisine ayırmaktadır. Bu piramit yapıda, en üstte en yüksek risk seviyesi yer alır ve aşağıya doğru inerken risk azalır. Her kategori, farklı düzeylerde yükümlülükler getirmektedir.
| Risk Seviyesi | Açıklama | Düzenleme |
|---|---|---|
| Kabul Edilemez Risk | Temel hakları tehdit eden uygulamalar | Tamamen yasaklanmıştır |
| Yüksek Risk | Güvenlik ve haklar üzerinde önemli etki | Katı uyum gereksinimleri |
| Sınırlı Risk | Şeffaflık gerektiren uygulamalar | Şeffaflık yükümlülükleri |
| Minimal Risk | Günlük AI uygulamaları | Herhangi bir kısıtlama yok |
Bu sınıflandırma sistemi, şirketlerin kullandığı veya geliştirdiği AI sistemlerinin hangi kategoriye girdiğini belirlemesi için kritik öneme sahiptir. Yanlış bir değerlendirme, ya gereksiz uyum maliyetlerine ya da yasayla çatışmaya neden olabilir.
4. Yasaklanan AI Uygulamaları
EU AI Act, belirli yapay zeka uygulamalarını tamamen yasaklamaktadır. Bu yasaklar, 2 Şubat 2025 itibarıyla yürürlüğe girmiştir ve herhangi bir geçiş süreci bulunmamaktadır.
⚠️ Yasaklanan Uygulamalar
- Sosyal puanlama sistemleri: Bireylerin sosyal davranışlarına göre puanlanması ve bu puanlara dayalı olarak hizmetlerden yararlanmalarının kısıtlanması
- Bilinçaltı manipülasyon: Kişilerin bilinçaltına hitap ederek davranışlarını manipüle eden AI sistemleri
- Kırılgan grup istismarı: Yaş, engellilik veya sosyoekonomik durum gibi faktörleri kullanarak savunmasız grupları istismar eden sistemler
- Biyometrik sınıflandırma: Irk, siyasi görüş, cinsel yönelim gibi hassas özelliklere göre bireyleri kategorize eden sistemler
- Gerçek zamanlı uzaktan biyometrik tanımlama: Kamusal alanlarda kolluk kuvvetleri tarafından gerçek zamanlı yüz tanıma kullanımı (sınırlı istisnalar hariç)
- Duygu tanıma: İşyeri ve eğitim ortamlarında duygu algılama teknolojilerinin kullanılması
- Tahmine dayalı polislik: Yalnızca profil bilgilerine dayanarak suç tahmininde bulunan AI sistemleri
- İnternetten yüz verisi toplama: İnternetten veya güvenlik kamerası görüntülerinden yüz tanıma veritabanları oluşturulması
Bu yasaklar, AB'nin yapay zeka konusundaki kırmızı çizgilerini net olarak ortaya koymaktadır. Şirketlerin mevcut ve planlanan AI projelerini bu yasaklar listesiyle karşılaştırması gerekmektedir. Özellikle müşteri analizi, çalışan performans izleme ve güvenlik alanlarında faaliyet gösteren firmalar dikkatli olmalıdır.
5. Yüksek Riskli AI Sistemleri
Yüksek riskli AI sistemleri, EU AI Act'in en detaylı düzenlediği kategoridir. Bu kategorideki sistemler piyasaya sürülmeden önce ve kullanım süresince kapsamlı gereksinimleri karşılamak zorundadır.
5.1 Yüksek Riskli Olarak Sınıflandırılan Alanlar
- Biyometrik tanımlama ve sınıflandırma: Kimlik doğrulama ve biyometrik eşleştirme sistemleri
- Kritik altyapı yönetimi: Enerji, su, ulaşım ve dijital altyapı kontrol sistemleri
- Eğitim ve mesleki eğitim: Öğrenci değerlendirme, kabul ve sınav puanlama sistemleri
- İstihdam ve işgücü yönetimi: İşe alım, terfi, performans değerlendirme ve işten çıkarma kararları
- Temel hizmetlere erişim: Kredi puanlama, sigorta fiyatlandırma, sosyal yardım değerlendirme
- Kolluk kuvvetleri: Risk değerlendirme, kanıt analizi, suç tahmin araçları
- Göç ve sınır kontrolü: Vize başvuru değerlendirme, risk profilleme
- Adalet ve demokratik süreçler: Yargı kararlarına yardımcı AI, seçim süreçlerini etkileyen sistemler
5.2 Yüksek Riskli Sistemler İçin Gereksinimler
| Gereksinim | Detay |
|---|---|
| Risk Yönetim Sistemi | Sürekli ve iteratif risk değerlendirme süreçleri oluşturulmalıdır |
| Veri Yönetişimi | Eğitim verileri kaliteli, temsili ve önyargıdan arındırılmış olmalıdır |
| Teknik Dokümantasyon | Sistemin nasıl çalıştığını açıklayan detaylı teknik belgeler hazırlanmalıdır |
| Kayıt Tutma | Sistem faaliyetlerinin otomatik olarak loglanması sağlanmalıdır |
| Şeffaflık | Kullanıcılara sistemin yetenekleri ve sınırlılıkları hakkında bilgi verilmelidir |
| İnsan Gözetimi | Sistemlerin insan tarafından denetlenebilir olması gerekmektedir |
| Doğruluk ve Sağlamlık | Sistemler doğru, güvenilir ve siber saldırılara karşı dayanıklı olmalıdır |
| CE Uygunluk İşareti | Piyasaya sürülmeden önce uygunluk değerlendirmesinden geçmelidir |
6. Sınırlı ve Minimal Risk Sistemleri
6.1 Sınırlı Risk Kategorisi
Sınırlı risk kategorisindeki AI sistemleri için esas yükümlülük şeffaflık gereksinimidir. Kullanıcıların bir AI sistemiyle etkileşimde olduklarını bilmeleri sağlanmalıdır. Bu kategori özellikle şu uygulamaları kapsamaktadır:
- Chatbotlar: Kullanıcıya bir AI ile konuştuğunun açıkça bildirilmesi gerekmektedir
- Deepfake içerikler: AI tarafından oluşturulan veya manipüle edilen görsel, video ve ses içeriklerinin etiketlenmesi zorunludur
- AI tarafından üretilen metinler: Kamuoyunu bilgilendirme amacıyla yayınlanan metinlerin AI tarafından oluşturulduğunun belirtilmesi gerekmektedir
6.2 Minimal Risk Kategorisi
Minimal risk kategorisindeki uygulamalar, EU AI Act kapsamında herhangi bir zorunlu düzenlemeye tabi değildir. Günlük hayatta kullanılan AI uygulamalarının büyük çoğunluğu bu kategoriye girmektedir. Spam filtreleri, öneri algoritmaları, video oyunlarındaki AI ve otomatik çeviri araçları minimal risk olarak değerlendirilmektedir.
💡 İpucu
Yapay zeka kullanımının yaklaşık %85'i minimal risk kategorisine girmektedir. Ancak şirketlerin kendi sistemlerini doğru sınıflandırması için profesyonel bir değerlendirme yaptırması önerilmektedir.
7. Genel Amaçlı AI (GPAI) Modelleri
EU AI Act, ChatGPT, Claude ve Gemini gibi büyük dil modelleri dahil olmak üzere Genel Amaçlı AI (GPAI) modelleri için özel kurallar getirmektedir. Bu modeller, çok çeşitli görevlerde kullanılabilmeleri nedeniyle ayrı bir düzenleme çerçevesine tabi tutulmuştur.
7.1 Tüm GPAI Modelleri İçin Gereksinimler
- Teknik dokümantasyon hazırlanması ve güncel tutulması
- Eğitim verilerine ilişkin telif hakkı politikasının belirlenmesi
- Eğitim verilerinin içeriğine dair detaylı özet yayınlanması
- AB telif hakkı kurallarına uyum sağlanması
7.2 Sistemik Risk Taşıyan GPAI Modelleri
Eğitim için kullanılan toplam hesaplama gücü 10^25 FLOP'u aşan GPAI modelleri, sistemik risk taşıyan modeller olarak kabul edilmektedir. Bu modeller için ek gereksinimler uygulanmaktadır: model değerlendirmesi, siber güvenlik testleri, enerji tüketimi raporlama ve ciddi olay raporlama yükümlülükleri bulunmaktadır.
8. Uyum Zaman Çizelgesi
EU AI Act, kademeli bir uygulama takvimi izlemektedir. Şirketlerin bu tarihleri yakından takip etmesi ve buna göre hazırlıklarını planlaması gerekmektedir.
| Tarih | Yürürlüğe Giren Düzenleme | Durum |
|---|---|---|
| 1 Ağustos 2024 | Yasanın yürürlüğe girmesi | ✅ Tamamlandı |
| 2 Şubat 2025 | Yasaklanan AI uygulamaları ve AI okuryazarlığı yükümlülükleri | ✅ Tamamlandı |
| 2 Ağustos 2025 | GPAI modelleri için kurallar ve yönetişim yapısı | ⏳ Yaklaşıyor |
| 2 Ağustos 2026 | Yüksek riskli AI sistemleri (Ek III) için kurallar | ⏳ Yaklaşıyor |
| 2 Ağustos 2027 | Ürün güvenliği mevzuatına tabi yüksek riskli sistemler | 📅 Planlanan |
⚠️ Dikkat
2 Ağustos 2026 tarihi, yüksek riskli AI sistemleri için kritik bir dönüm noktasıdır. Bu tarihe kadar uyum sağlayamayan şirketler ciddi yaptırımlarla karşılaşabilir. Hazırlık sürecine hemen şimdi başlamak büyük önem taşımaktadır.
9. Türk Şirketleri İçin Etkileri
EU AI Act, Türk şirketlerini birçok farklı açıdan etkilemektedir. Türkiye'nin AB ile olan güçlü ticaret ilişkileri ve gümrük birliği anlaşması göz önüne alındığında, bu yasanın Türk iş dünyası üzerindeki etkisi küçümsenemez.
9.1 Doğrudan Etkilenen Şirketler
- AB'ye ihracat yapan firmalar: AI destekli ürün veya hizmet sunan şirketler doğrudan kapsam dahilindedir
- AB'de faaliyet gösteren Türk şirketleri: AB pazarında temsilciliği olan firmalar tüm yükümlülüklere tabidir
- AB müşterilerine hizmet veren teknoloji firmaları: SaaS, yazılım geliştirme ve danışmanlık şirketleri
- AB şirketleriyle tedarik zincirinde yer alan firmalar: Alt yüklenici veya tedarikçi konumundaki şirketler
9.2 Dolaylı Etkiler
Türkiye'nin AB üyelik sürecindeki uyum çalışmaları kapsamında, benzer bir yapay zeka düzenlemesinin Türkiye'de de gündeme gelmesi kuvvetle muhtemeldir. Nitekim Türkiye'nin 2021 yılında yayımladığı Ulusal Yapay Zeka Stratejisi de etik ve güvenilir AI konularına vurgu yapmaktadır.
Ayrıca, Brüksel Etkisi olarak bilinen fenomen gereği, AB standartlarına uyum sağlayan şirketler küresel pazarda rekabet avantajı elde edecektir. Bu nedenle, EU AI Act'e erken uyum sağlayan Türk şirketleri, hem AB pazarına erişim hem de gelecekteki ulusal düzenlemelere hazırlık açısından öne geçecektir.
9.3 Sektörel Etki Analizi
| Sektör | Etki Düzeyi | Öncelikli Eylem |
|---|---|---|
| Fintech ve Bankacılık | Çok Yüksek | Kredi puanlama ve risk değerlendirme sistemleri gözden geçirilmeli |
| Sağlık Teknolojileri | Çok Yüksek | Tanı ve tedavi destek sistemleri uyumlu hale getirilmeli |
| İnsan Kaynakları Yazılımları | Yüksek | İşe alım ve değerlendirme algoritmalarında önyargı testleri yapılmalı |
| E-ticaret | Orta | Öneri sistemleri ve chatbot şeffaflığı sağlanmalı |
| Oyun ve Eğlence | Düşük | Gönüllü davranış kurallarına uyum yeterli olabilir |
10. Hazırlık Kontrol Listesi
İşletmelerin EU AI Act'e uyum sürecinde izlemesi gereken adımları aşağıdaki kontrol listesinde detaylandırdık. Bu liste, uyum yolculuğunuza rehberlik edecek kapsamlı bir çerçeve sunmaktadır.
✅ EU AI Act Uyum Kontrol Listesi
Aşama 1: Değerlendirme (Hemen Başlayın)
- ☐ Şirketinizdeki tüm AI sistemlerini envanterleyin
- ☐ Her AI sisteminin risk kategorisini belirleyin
- ☐ Yasaklanan uygulamalar listesiyle karşılaştırma yapın
- ☐ AB pazarıyla doğrudan veya dolaylı bağlantıları değerlendirin
- ☐ Hukuki danışmanlık alın ve boşluk analizi yaptırın
Aşama 2: Planlama (1-3 Ay)
- ☐ Uyum için sorumlu ekip veya kişi atayın
- ☐ Bütçe ve kaynak planlaması yapın
- ☐ Uyum takvimi oluşturun
- ☐ Tedarikçi ve iş ortaklarıyla uyum gereksinimleri hakkında iletişim kurun
- ☐ AI okuryazarlığı eğitim programı planlayın
Aşama 3: Uygulama (3-12 Ay)
- ☐ Risk yönetim sistemi kurun ve dokümante edin
- ☐ Veri yönetişim politikalarını güncelleyin
- ☐ Teknik dokümantasyon hazırlayın
- ☐ İnsan gözetimi mekanizmalarını oluşturun
- ☐ Şeffaflık gereksinimlerini uygulayın
- ☐ Önyargı testi ve kalite kontrol süreçleri oluşturun
Aşama 4: İzleme ve Sürekli İyileştirme
- ☐ Düzenli iç denetim yapın
- ☐ Mevzuat değişikliklerini takip edin
- ☐ Olay raporlama prosedürlerini oluşturun
- ☐ Çalışan eğitimlerini periyodik olarak güncelleyin
- ☐ AB AI Ofisi duyurularını takip edin
11. Yaptırımlar ve Cezalar
EU AI Act, uyumsuzluk durumunda ciddi mali yaptırımlar öngörmektedir. Cezalar, ihlalin niteliğine ve şirketin büyüklüğüne göre değişmektedir.
| İhlal Türü | Maksimum Ceza |
|---|---|
| Yasaklanan AI uygulamalarının kullanımı | 35 milyon € veya küresel cironun %7'si |
| Yüksek riskli sistem gereksinimlerine aykırılık | 15 milyon € veya küresel cironun %3'ü |
| Yanlış veya eksik bilgi sunma | 7,5 milyon € veya küresel cironun %1,5'i |
KOBİ'ler ve startup'lar için cezalar orantılı olarak daha düşük tutulmuştur. Avrupa Komisyonu, küçük işletmelerin inovasyon kapasitesini korumak amacıyla daha esnek bir yaklaşım benimsemiştir. Ancak bu durum, uyum yükümlülüklerinden muafiyet anlamına gelmemektedir.
Yaptırımların ötesinde, uyumsuz bulunan AI sistemlerinin AB pazarından çekilmesi de talep edilebilir. Bu durum, maddi cezanın yanı sıra pazar kaybı ve itibar zararı anlamına gelmektedir. Dolayısıyla, uyum maliyetlerini bir yatırım olarak değerlendirmek ve erken hazırlık yapmak, şirketlerin uzun vadeli çıkarına olacaktır.
12. Sıkça Sorulan Sorular
EU AI Act Türkiye'deki şirketleri etkiler mi?
Evet. AB pazarına AI destekli ürün veya hizmet sunan, AB vatandaşlarının verilerini işleyen veya AB'de faaliyet gösteren tüm Türk şirketleri EU AI Act kapsamındadır. Yasanın bölge dışı etkisi (extraterritorial effect), GDPR'a benzer şekilde AB sınırlarının ötesine uzanmaktadır.
Basit bir chatbot kullanıyorsam ne yapmam gerekir?
Chatbotlar sınırlı risk kategorisine girmektedir. Bu durumda en önemli yükümlülüğünüz şeffaflık gereksinimidir: kullanıcılarınızı bir AI sistemiyle etkileşimde olduklarını açıkça bilgilendirmeniz gerekmektedir. Chatbotunuz yüksek riskli alanlardan birinde (örneğin sağlık danışmanlığı, kredi başvurusu) karar verme sürecinde kullanılıyorsa, yüksek riskli kategori gereksinimleri de uygulanabilir.
Açık kaynak AI modelleri EU AI Act'ten muaf mıdır?
Açık kaynak modeller için belirli muafiyetler bulunmaktadır; ancak tamamen kapsam dışı değillerdir. Eğer açık kaynak bir model sistemik risk taşıyorsa veya yasaklanan amaçlarla kullanılıyorsa, ilgili düzenlemeler geçerlidir. Ayrıca, açık kaynak modeli ticari bir ürüne entegre eden şirketler, kullanım alanına göre uyum yükümlülüklerine tabidir.
EU AI Act'e uyum süreci ne kadar maliyetli olabilir?
Uyum maliyeti, şirketin büyüklüğüne, kullandığı AI sistemlerinin risk kategorisine ve mevcut uyum altyapısına bağlıdır. Yüksek riskli sistemler için uyum maliyetleri, risk değerlendirmesi, dokümantasyon, test ve sertifikasyon süreçleri dahil olmak üzere önemli bir yatırım gerektirebilir. Ancak AB, KOBİ'ler için düzenleyici sandbox'lar ve destek mekanizmaları öngörmektedir.
AI okuryazarlığı yükümlülüğü ne anlama geliyor?
EU AI Act, AI sistemlerini kullanan veya geliştiren kuruluşların, personellerinin yeterli düzeyde AI okuryazarlığına sahip olmasını sağlamasını zorunlu kılmaktadır. Bu, AI'ın ne olduğunu, nasıl çalıştığını, sınırlılıklarını ve olası risklerini anlama becerisini kapsar. Şirketler, çalışanları için düzenli eğitim programları oluşturmalı ve bu eğitimleri belgelemelidir.
Mevcut AI sistemlerim için geriye dönük uyum gerekli mi?
Evet, mevcut AI sistemleri de yasanın kapsamındadır. Halihazırda kullanımda olan sistemlerin, ilgili son tarihlere kadar uyum sağlaması gerekmektedir. Özellikle yasaklanan uygulamalar kategorisindeki sistemlerin derhal kullanımdan kaldırılması zorunludur. Yüksek riskli sistemler için ise 2 Ağustos 2026 tarihine kadar uyum sağlanmalıdır.
EU AI Act ile GDPR arasındaki ilişki nedir?
EU AI Act ve GDPR birbirini tamamlayan düzenlemelerdir. GDPR kişisel verilerin korunmasına odaklanırken, EU AI Act yapay zeka sistemlerinin güvenliğini ve etik kullanımını düzenlemektedir. AI sistemleri kişisel veri işlediğinde her iki düzenleme de aynı anda uygulanır. Şirketlerin her iki yasanın gereksinimlerini bütüncül bir uyum çerçevesinde ele alması önerilmektedir.
