EU AI Act Uyum Rehberi
Türk Şirketleri için Pratik Çerçeve
Yasa Avrupa Birliği'nde çıktı; ama etkisi dünya çapında hissediliyor. AB pazarına bir biçimde dokunan her Türk yapay zeka ürünü, ister farkında olsun ister olmasın, bu yasanın çerçevesi içine giriyor.
EU AI Act Nedir?
Avrupa Birliği Yapay Zeka Yasası, resmi adıyla 2024/1689 sayılı Tüzük, dünyanın ilk kapsamlı yapay zeka düzenlemesidir. Mart 2024'te Avrupa Parlamentosu'nda kabul edildi, 1 Ağustos 2024'te yürürlüğe girdi; hükümleri ise 2025 ile 2027 arasında kademeli olarak devreye alınıyor. Resmi metnine EUR-Lex üzerinden ulaşılabiliyor.
Yasanın amacı, yapay zeka sistemlerinin temel haklar, güvenlik ve etik değerlerle uyumlu olarak geliştirilmesini ve kullanılmasını sağlamak. Yaklaşımı risk tabanlıdır: yani her yapay zeka sistemi aynı yükümlülüklerle karşılaşmaz; sistemin potansiyel zarar düzeyine göre yükümlülük kademeleri farklılaşır. Bir spam filtresi ile bir kredi skorlama modelinin aynı denetim çerçevesinde olması beklenmez; yasa bu mantığa dayanır.
Hangi Türk Şirketleri Kapsamda?
EU AI Act'in en kritik özelliklerinden biri sınır ötesi (extraterritorial) etkisinin geniş olmasıdır. Bir şirketin merkezi Türkiye'de olsa bile, belirli koşullarda bu yasanın yükümlüsü konumuna gelebilir.
İlk durum sağlayıcı (provider) sıfatıdır: Türk şirket AB pazarına bir AI sistemini sunuyor ya da hizmete koyuyorsa kapsama girer. Türkiye'de geliştirilmiş bir SaaS ürününün Avrupa'da satılması bunun en tipik örneğidir. İkinci durum kullanıcı (deployer) sıfatıdır: AB'de bulunan kurumlara hizmet veren bir Türk şirket de yükümlülük taşır. Üçüncü ve daha incelikli bir senaryo da var: Türkiye'deki bir AI sisteminin çıktısı AB'deki bir gerçek veya tüzel kişi tarafından kullanılıyorsa, yine yasanın kapsamına girilir. Bunlara ithalatçı ve dağıtıcı zincirindeki roller de eklenir.
Pratikte bu kapsam belirleme genellikle "AB pazarına dokunuyor musunuz?" sorusuyla başlar. Cevap evetse, hangi rolle (provider, deployer, importer) dokunduğunuzu netleştirmek gerekir. Yalnızca Türkiye iç pazarında çalışan ve AB ile teması olmayan ürünler yasal olarak bu çerçevenin dışında kalır; ancak Türkiye'nin kendi yapay zeka düzenlemesinin benzer prensiplere yaklaşması beklendiği için EU AI Act'e uyum, stratejik bir hazırlık olarak da değer taşır.
Dört Risk Sınıfı
Yasa, yapay zeka sistemlerini olası zararına göre dört kademeye ayırır ve her kademe için farklı yükümlülükler tanımlar. Aşağıdaki tablo bu kademelerin özetini sunar.
| Sınıf | Tanım | Örnek | Yükümlülük |
|---|---|---|---|
| 1. Yasak (Unacceptable Risk) | Temel haklara aykırı sistemler | Sosyal puanlama, manipülatif subliminal teknikler, gerçek zamanlı biyometrik tanıma (istisnalar dışında), iş yerinde duygu tanıma | Tamamen yasak |
| 2. Yüksek Risk (High Risk) | Sağlık, güvenlik, temel haklara önemli etki | Tıbbi cihaz AI, kredi skorlama, işe alım AI, kritik altyapı kontrolü, eğitim sınav değerlendirme, kolluk biyometrik tanıma | 7 temel yükümlülük (aşağıda) |
| 3. Sınırlı Risk (Limited Risk) | Şeffaflık gereken sistemler | Chatbot, deepfake, AI-üretilen içerik, duygu tanıma (yüksek risk dışı) | Kullanıcıya AI ile etkileştiğini bildir |
| 4. Minimum Risk | Diğer tüm AI sistemleri | Spam filtreleri, AI tabanlı oyun, ürün öneri | Gönüllü davranış kuralları |
Pratikte en sık sorulan soru "benim sistemim hangi sınıfa giriyor?" sorusudur. Yanıtı kesin biçimde bulmak için yasanın III numaralı ekindeki (Annex III) listenin taranması gerekir; bu liste yüksek riskli kullanım alanlarını tek tek sayar.
Yüksek Riskli Sistemlerin Yedi Yükümlülüğü
Bir sistem yüksek risk kategorisine girdiğinde, yasa yedi başlıkta yapısal sorumluluk getirir. Bunların tamamı hem teknik hem süreçsel bir çalışmayı gerektirir.
Risk yönetim sistemi (Madde 9), sistemin yaşam döngüsü boyunca sürekli güncellenen bir süreç olarak kurulur. Riskleri tanımlama, analiz etme, değerlendirme ve azaltma adımlarını kapsar. Bu süreç bir defaya mahsus yapılan bir dokümantasyon değil, sürekli işleyen bir döngüdür.
Veri yönetişimi (Madde 10), eğitim, doğrulama ve test veri setlerinin kalitesini, amaca uygunluğunu ve önyargı kontrolünü güvence altına almayı hedefler. KVKK ve GDPR ile uyum bu başlığın doğal bir parçasıdır; özel nitelikli veriler için ek koruma getirilir.
Teknik dokümantasyon (Madde 11), sistemin tasarımını, eğitim yaklaşımını, performans metriklerini, sınırlamalarını ve risk analiz sonuçlarını ayrıntılı biçimde belgeler. Bu doküman denetim anında hazır olmalı, yani son anda yazılan bir şey değil, geliştirme süresine paralel üretilen bir kayıttır.
Kayıt tutma (Madde 12), sistemin çalışma sırasında otomatik log üretmesini ve olayların izlenebilir olmasını gerektirir. Bu yükümlülük LLM bağlamında AI SOC telemetri katmanıyla birebir örtüşür; AI SOC kurmuş bir kurum bu maddenin teknik tarafını büyük ölçüde karşılamış olur.
Şeffaflık (Madde 13), kullanıcının sistemin nasıl çalıştığını, ne yapabileceğini ve sınırlarını anlayacak şekilde bilgilendirilmesini şart koşar. Kullanım talimatları yazılı olmalıdır. İnsan denetimi (Madde 14) ise sistem çıktısının kritik sonuçlar doğurabileceği yerlerde insan tarafından gözden geçirilebilmesini güvence altına alır. "Human-in-the-loop" ya da en azından "human-on-the-loop" mekanizmalarının tasarlanmış olması gerekir.
Son başlık doğruluk, sağlamlık ve siber güvenliktir (Madde 15). Sistem; amaca uygun doğrulukta, çevresel hatalara karşı sağlam ve siber saldırılara karşı korunmuş olmak zorundadır. Runtime guardrails, detection engineering ve kırmızı takım çalışmaları bu maddenin pratik karşılığıdır.
Genel Amaçlı Yapay Zeka Modelleri
EU AI Act, ChatGPT, Claude, Gemini, Llama gibi genel amaçlı modeller için ayrı bir kategori tanımlar: General Purpose AI, kısaca GPAI. Bu modellerin sağlayıcıları (model provider) için ek yükümlülükler vardır.
Tüm GPAI sağlayıcıları, teknik dokümantasyon hazırlamak, telif hakkı uyumunu sağlamak ve eğitim verisinin içerik özetini kamuya açıklamakla yükümlüdür. Eşiği aşan büyük modeller, yani sistemik risk taşıdığı kabul edilen GPAI'lar için bu yükümlülükler daha da genişler: model değerlendirme, düşmanca test, ciddi olay raporlama ve siber güvenlik koruması zorunlu hale gelir.
Türkiye'de GPAI üreten kurum sayısı çok az; ancak GPAI kullanan kurumların sayısı oldukça fazladır. Kullanıcı (deployer) tarafında olan kurumlar için yükümlülük, ürettikleri uygulamanın hangi risk sınıfında olduğuna bağlıdır.
KVKK ile İlişkisi
EU AI Act ile KVKK farklı amaçlara hizmet eder; ama uygulama tarafında büyük örtüşme alanları vardır. Aşağıdaki tablo bu örtüşmeyi maddeler düzeyinde özetliyor.
| Konu | KVKK | EU AI Act |
|---|---|---|
| Veri minimizasyonu | Madde 4 (ölçülü işleme) | Madde 10 (veri yönetişimi) |
| Veri güvenliği | Madde 12 (teknik + idari tedbir) | Madde 15 (siber güvenlik) |
| Şeffaflık | Madde 10 (aydınlatma yükümlülüğü) | Madde 13 (kullanıcı bilgilendirme) |
| Loglama / kayıt | Madde 12 kapsamında dolaylı | Madde 12 (otomatik log zorunluluğu) |
| Özel nitelikli veri | Madde 6 | Madde 10(5) ek koruma |
| İhlal bildirimi | 72 saat (KVKK Kurumu) | Ciddi olaylarda yetkili otorite bildirimi |
| İnsan denetimi | Madde 11 (otomatik karar itirazı) | Madde 14 (insan denetim sistemi) |
| Risk değerlendirmesi | VERBİS + KVKK risk analizi | Madde 9 risk yönetim sistemi |
Bu örtüşmenin pratik anlamı şudur: KVKK uyumlu bir kurum, EU AI Act uyumuna sıfırdan başlamaz. Mevcut KVKK altyapısı (kişisel veri tespiti, maskeleme, denetim kayıtları, ihlal yönetimi) EU AI Act'in Madde 10, 12 ve 15 yükümlülüklerinin büyük kısmını zaten karşılar. Açık kalan boşluklar genellikle insan denetim mekanizması (Madde 14), risk yönetim sistemi (Madde 9) ve teknik dokümantasyon (Madde 11) alanlarındadır; bu üç başlık ek çalışma gerektirir.
Uygulama Takvimi
EU AI Act'in tüm hükümleri aynı anda yürürlüğe girmedi; kademeli bir takvim üzerinden devreye alınıyor. 1 Ağustos 2024'te yasa yürürlüğe girdi. 2 Şubat 2025'te yasak yapay zeka uygulamaları ve personel için yapay zeka okuryazarlığı yükümlülüğü devreye girdi. 2 Ağustos 2025'te genel amaçlı yapay zeka (GPAI) yükümlülükleri ile yönetişim hükümleri yürürlüğe geçti.
Türk kurumlar için en kritik tarih 2 Ağustos 2026'dır; bu dönemde yüksek riskli yapay zeka sistemlerine ilişkin yükümlülüklerin büyük çoğunluğu uygulanmaya başlıyor. 2 Ağustos 2027'de ise eski sistemler için tanınan geçiş süresi sona eriyor ve tam uyum zorunlu hale geliyor. AB pazarına dokunan yüksek riskli bir sistemle çalışan kurumlar için hazırlık çalışmasının on iki ile on sekiz ay öncesinden başlatılması gerçekçi bir takvimdir.
Yüksek Riskli Sistem İçin Pratik Kontrol Listesi
Aşağıdaki sorular, yüksek riskli bir sistemle ilgili uyum çalışmasının hangi noktalarda durduğunu hızlıca görmek için kullanılabilir.
- Sistem hangi risk sınıfına giriyor; Ek III taraması yapıldı mı?
- Provider, deployer, importer rollerinden hangisindesiniz; bu net olarak tanımlandı mı?
- Yazılı risk yönetim sistemi (Madde 9) dokümante edildi mi?
- Eğitim, doğrulama ve test veri setleri için veri yönetişim politikası (Madde 10) var mı?
- Teknik dokümantasyon (Madde 11) hazır ve güncel mi?
- Otomatik loglama (Madde 12) işletiliyor; loglar denetlenebilir mi?
- Kullanıcı talimatları (Madde 13) yazılı ve erişilebilir mi?
- İnsan denetim mekanizması (Madde 14) tasarlandı, sorumlu rol belirlendi mi?
- Siber güvenlik kontrolleri (Madde 15) yani guardrail, kırmızı takım ve izleme yerinde mi?
- Uyumluluk değerlendirmesi yapıldı; CE işareti ve EU Declaration of Conformity hazır mı?
- Ciddi olay bildirim süreci (Madde 73) playbook'a eklendi mi?
- KVKK ile çift uyum boşlukları kapatıldı mı?
- Personel için yapay zeka okuryazarlığı eğitimi (Madde 4) düzenlendi mi?
Sık Yapılan Hatalar
Türk kurumların EU AI Act ile karşılaştığında en sık yaşadığı yanılgıların başında "biz Türkiye'deyiz, bu yasa bizi bağlamaz" varsayımı gelir. Oysa AB pazarına dolaylı biçimde bile dokunulduğunda kapsama girilir. Bir diğer yaygın hata risk sınıfını yanlış belirlemektir; bir asistan ürünü ilk bakışta "sınırlı risk" gibi görünebilir, ama eğer kredi kararı destekliyorsa yüksek risk kategorisine girer.
Kurumların bir kısmı da KVKK uyumunu doğrudan EU AI Act uyumu olarak okur; oysa örtüşme büyük olsa da risk yönetimi (Madde 9), teknik dokümantasyon (Madde 11) ve insan denetimi (Madde 14) alanlarında ciddi boşluklar açık kalır. Bir başka karmaşa provider ve deployer rollerinin karıştırılmasıdır; üçüncü taraf bir GPAI modeli kullanan bir kurum, kendi uygulamasını sunarken aynı anda hem deployer hem provider olabilir.
Süreç tarafında en sık görülen yanılgı dokümantasyonu son ana bırakmaktır; teknik doküman birkaç haftada yazılacak bir belge değil, geliştirme sürecine paralel olarak üretilen bir kayıttır. İnsan denetimini "kullanıcı denetler" gibi okumak da yaygın bir hatadır; Madde 14, sağlayıcının kullanıcı için bir denetim mekanizması tasarlamasını şart koşar, bireysel kullanıcının kendi başına bırakılması yetmez. Son olarak GPAI sağlayıcısının yükümlülüklerini kullanıcıya atmak ya da tersine, kullanıcının yükümlülüklerini sağlayıcıya yıkmak yanıltıcıdır; iki rolün de kendine ait sorumluluk seti vardır.
Sonuç
EU AI Act, sınırları aşan etkisiyle dünyanın ilk büyük yapay zeka düzenlemesidir. Türk şirketleri için kapsam belirleme genellikle "AB pazarına dokunuyor musunuz?" sorusuyla başlar; cevap evetse risk sınıfı, yükümlülükler ve uygulama takvimi çerçevesinde planlı bir hazırlık gerekir. KVKK ile büyük örtüşme bu hazırlığı kolaylaştırır; ama risk yönetimi, teknik dokümantasyon ve insan denetimi başlıkları kendi başlarına ele alınması gereken alanlardır.
AltaySec olarak EU AI Act ile KVKK çift uyum boşluk analizleri, teknik kontrol haritalaması (örneğin Madde 15'in guardrail ve kırmızı takım çalışmalarıyla eşleştirilmesi) ve risk yönetim sistemi kurulumu üzerine çalışıyoruz. Bir sonraki yazıda Türkiye'nin kendi yapay zeka düzenleme görünümünü ele alacağız.