Görüş6 dk okuma

AB AI Act: Türkiye Şirketleri İçin Uygulama Rehberi

AB'nin yeni Yapay Zeka Tüzüğü, ülke dışı uygulanabilirlik kuralıyla Türkiye'deki teknoloji şirketlerini de kapsayabilir. Bu yazıda kimlerin kapsama girdiğini, hangi yükümlülüklerin doğduğunu ve Türk şirketleri için somut hazırlık adımlarını inceliyoruz.

Z

Av. Umut Zorer

Kurucu Avukat

Giriş

2024 yılının Ağustos ayında yürürlüğe giren AB Yapay Zeka Tüzüğü (AI Act / Regulation 2024/1689), teknolojinin düzenlenmesinde dünyanın en kapsamlı çerçevesi olarak kabul ediliyor. Tüzük, Avrupa Birliği sınırları içinde yapay zeka sistemi geliştiren, piyasaya süren veya kullanan her aktörü kapsama aldığı gibi — ve bu yazının esas konusu bu — AB dışında yerleşik olup çıktısı AB'deki bir kullanıcıda veya süreçte kullanılan sistemleri de doğrudan etkisi altına alır.

Türkiye'de teknoloji ekosistemini büyüten şirketlerin önemli bir kısmı, bilerek veya bilmeden bu kapsama giriyor: SaaS ürünleri AB'li müşterilere satılıyor, makine öğrenmesi modeli AB'deki bir üretim hattına çıktı veriyor, bir chatbot servisi Almanya'daki kullanıcıya Türkçe-Almanca cevap veriyor. Tüzük bu yapılar için sorumluluk doğurabileceği gibi, aynı zamanda ciro bazlı — AB'nin en ağır yaptırımlarından biri olan — idari para cezalarına kapı açıyor (küresel yıllık cironun %7'sine kadar).

Bu yazıda AI Act'in mimarisini, Türkiye'deki şirketler üzerindeki etkisinin sınırlarını, yürürlük takvimini ve şimdiden atılması gereken somut adımları ele alıyoruz.

AI Act'in Mimarisi: Risk Temelli Yaklaşım

AI Act, yapay zeka sistemlerini risk düzeylerine göre dört kategoriye ayırır. Her kategorinin yükümlülük paketi belirgin biçimde farklıdır.

Yasaklanan uygulamalar (m. 5)

Bunlar hiçbir şekilde AB'de piyasaya sürülemez veya kullanılamaz:

  • Bilişsel davranış manipülasyonu yapan, kişinin özgür iradesini zayıflatan sistemler,
  • Yaş, engellilik veya sosyal-ekonomik durum gibi hassas özelliklerden yararlanan sistemler,
  • Kamu yetkilileri tarafından uygulanan sosyal skorlama sistemleri,
  • Kolluk amacıyla gerçek zamanlı kamuya açık alanlarda biyometrik uzaktan tanımlama (sınırlı istisnalarla),
  • İş yeri ve eğitim kurumlarında duygu tanıma sistemleri (güvenlik gerekçeleri dışında),
  • İnternet veya CCTV görüntülerinden yüz tanıma veritabanı oluşturma.

Bu yasaklar 2 Şubat 2025 itibarıyla uygulanmaya başladı.

Yüksek riskli sistemler (m. 6, EK III)

Tüzük'ün en ağır yükümlülüklerini taşıyan kategori budur. Yüksek riskli olarak sınıflandırılan alanlar arasında kritik altyapı yönetimi, eğitimde puanlama ve erişim kararları, işe alım ve çalışan değerlendirmesi, kredi değerlendirmesi, temel kamu hizmetlerine erişim kararı, kolluk uygulamaları, sınır yönetimi ve demokratik süreçlerdeki kullanım yer alır.

Yüksek riskli kabul edilen sistemler için öngörülen yükümlülükler:

  • Risk yönetim sistemi kurma ve sürdürme,
  • Veri yönetişim çerçevesi (eğitim/doğrulama/test verisinin kalitesi, temsiliyeti, önyargı analizi),
  • Teknik dokümantasyon tutma,
  • Kullanım günlüklerinin (log) otomatik kaydı,
  • Kullanıcıya şeffaflık ve açıklama,
  • İnsan gözetiminin tasarlanması,
  • Doğruluk, sağlamlık ve siber güvenlik seviyelerinin belgelenmesi,
  • Uyum değerlendirmesi ve CE işareti (ilgili sınıflara göre),
  • AB veritabanına kayıt.

Bu yükümlülüklerin büyük çoğunluğu 2 Ağustos 2026 itibarıyla uygulanmaya başlar.

Sınırlı risk (m. 50)

Bu kategoride, sistemin varlığı kullanıcıya açıkça bildirilmelidir. Örnekler: doğrudan insanlarla etkileşim kuran chatbot'lar, duygu tanıma veya biyometrik kategorileme sistemleri, deepfake içerik üreten sistemler. Yükümlülük daha sınırlıdır ama ihmal edilmemelidir.

Minimum risk

Tüzüğün özel yükümlülük getirmediği geniş kategori. Tavsiye motorları, spam filtreleri, yardımcı araçlar gibi sistemler buraya girer.

Genel amaçlı AI modelleri (GPAI)

AI Act, temel modelleri (GPT, Claude, Gemini, Mistral gibi) ayrı bir rejime tabi tutar. Şeffaflık, telif hakkı uyumu ve teknik dokümantasyon yükümlülükleri 2 Ağustos 2025'ten itibaren uygulanıyor. Sistemik risk taşıyan modeller (belirli bir hesaplama eşiğinin üzerinde eğitilmiş modeller) ek yükümlülüklere tabi.

Tüzük Türkiye Şirketlerini Neden ve Nasıl Etkiler?

AI Act'in 2'nci maddesi, tüzüğün kapsamını "extraterritorial" (ülke dışı) biçimde düzenler. Türkiye'de yerleşik bir şirket, aşağıdaki durumlardan birinde AI Act kapsamına girer:

  • Sistem sağlayıcı olarak: AB'de piyasaya sürülen bir AI sistemi geliştiriyorsa veya sağlıyorsa (örneğin bir Türk SaaS firması AB'deki kullanıcılarına yüksek riskli bir AI modülü sunuyorsa),
  • Sistem kullanıcısı olarak (deployer): AI sisteminin çıktısı AB içinde kullanılıyorsa (örneğin Türkiye'deki bir şirketin işlettiği AI tabanlı işe alım sistemi, AB'deki bir iştirakinin adaylarını sıralıyorsa),
  • İthalatçı veya distribütör olarak: AI sistemini AB pazarına taşıyorsa.

Ayrıca bir Türk şirket AB'ye ihraç ettiği fiziki ürünün içine AI bileşeni gömdüğünde — örneğin tıbbi cihaz, otomotiv elektroniği, güvenlik cihazı gibi harmonize AB mevzuatı kapsamındaki bir ürüne AI katmanı eklediğinde — Ek I'deki ürün güvenliği çerçevesiyle birlikte AI Act yükümlülüğü doğar.

Uygulamada kritik bir nokta: AI Act, Türkiye'de yerleşik olmayı gerekçe göstererek kaçılabilen bir rejim değildir. Tüzük, AB dışındaki sağlayıcıların AB'de yetkili temsilci ataması zorunluluğunu da getirmiştir. Yüksek riskli bir sistemi sağlıyorsanız AB'de bir yetkili temsilciniz olmak zorundadır.

Yürürlük Takvimi

AI Act, kademeli bir yürürlük takvimi öngörür; bu takvim Türkiye'deki hazırlık planlamasının omurgasını oluşturur.

  • 1 Ağustos 2024 — Yürürlük.
  • 2 Şubat 2025 — Yasaklı uygulamalar ve AI okuryazarlığı yükümlülükleri uygulama başlangıcı.
  • 2 Ağustos 2025 — GPAI, yönetişim ve bildirim otoriteleri, yaptırım hükümleri uygulama başlangıcı.
  • 2 Ağustos 2026 — Yüksek risk sistemleri (EK III) ve diğer genel hükümler uygulama başlangıcı.
  • 2 Ağustos 2027 — Belirli EK I ürün kategorilerinde yüksek risk yükümlülüklerinin uygulama başlangıcı.

Türk Mevzuatıyla İlişki

Türkiye'de bu yazının yayım tarihi itibarıyla AI'ya özgü kapsamlı bir düzenleme yoktur. Bununla birlikte mevcut mevzuat çerçevesi, AI sistemlerinin önemli bir bölümü için fiili uygulama sağlar:

  • KVKK — otomatik karar verme, profilleme ve veri işleme ilkeleri (m. 4, m. 5, m. 11). Özellikle AI tabanlı işe alım, kredi skorlaması ve hedefli reklam sistemleri için temel hukuki zemin.
  • 6502 sayılı Kanun ve Reklam Kurulu uygulaması — yanıltıcı veya haksız AI tabanlı pazarlama uygulamaları.
  • Tıbbi cihaz mevzuatı, Bankacılık ve Sermaye Piyasası mevzuatı — sektörel olarak AI sistemlerine uygulanan özel kurallar.
  • 5237 sayılı TCK — bilişim suçları rejimi (AI kötüye kullanımının cezai boyutu).

Önümüzdeki dönemde Türkiye'nin AB AI Act'e yakınsayan özgün bir düzenleme yapması olasıdır; bugünden AI Act uyumlu yapılandırma, olası Türk mevzuatı için de güçlü bir hazırlık zeminidir.

Türk Şirketleri İçin Hazırlık Adımları

AI Act uyumuna yönelik hazırlık tek seferlik bir proje değil; AI sistemlerinin yaşam döngüsünü izleyen sürekli bir yönetişim pratiğidir. Başlangıç için önerilen adımlar:

1. AI envanteri çıkarın. Şirketin kullandığı ve sağladığı tüm AI sistemlerini, yerini, amacını, çıktısının hangi pazarda/süreçte kullanıldığını ve temel model bağımlılıklarını belgeleyin.

2. Risk kategorisini belirleyin. Her sistemi EK III ve m. 5 kapsamında değerlendirin. Yüksek risk kategorisine giren veya girebilecek sistemleri önceliklendirin.

3. AB bağlantısını haritalandırın. Sistem, sağlayıcı veya kullanıcı sıfatıyla AB ile hangi zemin üzerinden ilişkileniyor? Bir AB'li kullanıcı, yetkili temsilci ataması gerektirir mi?

4. Eğitim verisi envanteri kurun. Hangi veri nereden toplandı, hukuki sebep nedir, kişisel veri içeriyor mu, telif bakımından nasıl değerlendirildi?

5. Tedarikçi zincirini sorgulayın. GPAI sağlayıcılarından (OpenAI, Anthropic, Google, Mistral, Meta, vd.) m. 53 kapsamındaki şeffaflık belgelerini isteyin; kullanım koşullarındaki risk paylaşım hükümlerini gözden geçirin.

6. Yüksek risk teknik dosya iskeletini oluşturun. 2026 Ağustos'ta birden çok belgeyi aynı anda üretmek yerine, şimdi iskeleti kurarak ilerleyen aylarda doldurmayı planlayın: risk yönetim planı, veri yönetişim belgesi, insan gözetim modeli, kullanım günlüğü mimarisi.

7. Yönetişim hatlarını belirleyin. AI politikası, yasaklı uygulamalar için kırmızı hat listesi, iç onay mekanizması, olay müdahale prosedürü.

8. Sözleşmesel çerçeveyi güncelleyin. Müşteri sözleşmelerine uygun sorumluluk paylaşımı ekleri, tedarikçi sözleşmelerine AI Act uyum taahhütleri, AI bileşenleri için ayrı garanti hükümleri.

9. KVKK ile çifte uyum sağlayın. AI sistemleri için DPIA yapın; otomatik karar verme süreçlerinin m. 11 çerçevesinde aydınlatma metinlerine yansıtılmasını sağlayın.

10. İzleme ritmi kurun. AI Act, bu yazının yayımından sonra Komisyon'un ilke kararları, EDPB benzeri AI Board kararları ve teknik standartlarla (CEN/CENELEC, ISO/IEC 42001) gelişecektir. Düzenli güncel tutma disiplini şarttır.

Sonuç

AI Act, bir Türk şirketi için hem uyum zorunluluğu hem de fırsat alanıdır. AB pazarına açılmak isteyen her şirketin uyumlu olması gerekir; hâlihazırda AB'li müşterisi olan şirketler ise 2026 Ağustos tarihine yalnızca 18 ayı kaldıktan sonra hazırlığa başlayabilir. Erken yapılandırma, hem teknik borcu azaltır hem de olası Türk mevzuatının getireceği yüke karşı dayanıklılık sağlar.

Yapay zeka hukuku bir son durak değil; hızla gelişen bir çerçevedir. Bugün atılan doğru adımlar, birkaç yıl içinde şekillenecek küresel yönetişim mimarisinin içinde şirketin konumunu belirleyecektir.

Etiketlerai actyapay zekaextraterritorialuyum