EU AI Act Nedir?

EU AI Act, yapay zekâ sistemlerini riske dayalı bir yaklaşımla düzenleyen dünyanın ilk kapsamlı yapay zekâ mevzuatıdır. Avrupa Birliği Resmi Gazetesi'nde 1 Ağustos 2024 tarihinde yayımlanarak yürürlüğe girdi. Ancak tüm hükümlerin uygulanması tek seferde değil, aşamalı bir takvimle hayata geçiyor.

Yasanın temel mantığı şu: Bir yapay zekâ sistemi ne kadar yüksek risk taşıyorsa, o kadar sıkı kurallara tabi oluyor. Düşük riskli uygulamalar neredeyse serbest bırakılırken, yüksek riskli sistemler ağır denetim ve belgelendirme yükümlülüklerine tabi tutuluyor. Bazı uygulamalar ise tamamen yasaklanıyor.

Yasa Kimleri Kapsıyor?

EU AI Act yalnızca AB'de yerleşik şirketleri değil, çok daha geniş bir kitleyi etkiliyor:

  • AB pazarında yapay zekâ sistemi sunan veya kullanan tüm şirketler, AB dışında kurulu olsalar bile

  • AB vatandaşlarını veya sakinlerini etkileyen yapay zekâ ürünleri geliştiren geliştiriciler

  • GPT, Claude, Gemini gibi genel amaçlı yapay zekâ (GPAI) modellerinin sağlayıcıları

  • Kamu kurumları ve özel sektör kullanıcıları

Türk şirketleri de dahil olmak üzere, AB müşterilerine hizmet veren ya da AB'deki kullanıcıları etkileyen herhangi bir yapay zekâ çözümü geliştiren veya kullanan her kuruluş bu yasanın kapsamına giriyor.

 
Risk Kategorileri: Hangi AI Sistemi Hangi Kurallara Tabi?

Yasa, yapay zekâ sistemlerini dört ana kategoriye ayırıyor:

1. Kabul Edilemez Risk — Tamamen Yasaklı (Şubat 2025'ten itibaren geçerli)

Bu kategorideki sistemlerin kullanımı kesinlikle yasak:

  • İnsanları devlet tarafından "sosyal puanlamaya" tabi tutan sistemler

  • Bilinçaltı manipülasyon araçları (kişiyi fark etmeden etkileme)

  • İşyerinde veya okullarda duygu tanıma sistemleri

  • İnternetten veya kamera görüntülerinden yüz verisi toplayarak biyometrik veri tabanı oluşturma

  • Irk, siyasi görüş veya dini inanç gibi hassas özelliklere dayalı biyometrik sınıflandırma

  • Ceza adaletinde geleceğe yönelik suç tahmini yapan sistemler

2. Yüksek Risk — Sıkı Denetim (Ağustos 2026'dan itibaren tam uyum zorunlu)

Aşağıdaki alanlarda kullanılan yapay zekâ sistemleri yüksek riskli sayılıyor:

  • Kritik altyapı (enerji, su, ulaşım)

  • Eğitim ve mesleki değerlendirme

  • İşe alım, insan kaynakları kararları

  • Kredi notu ve sigortacılık değerlendirmeleri

  • Sağlık hizmetleri ve tıbbi tanı

  • Kolluk kuvvetleri, sınır kontrolü

  • Adalet sistemleri ve seçim süreçleri

Bu sistemler için zorunluluklar şunlar:

  • Risk yönetim sistemi kurulması

  • Yüksek kaliteli ve önyargısız eğitim verisi kullanımı

  • Kapsamlı teknik belgelendirme

  • Sürekli insan gözetimi mekanizmaları

  • Siber güvenlik önlemleri

  • AB veri tabanına kayıt

  • CE işareti alınması

3. Sınırlı Risk — Şeffaflık Yükümlülüğü

Chatbotlar, deepfake içerik üretimi gibi sistemler bu kategoride. Kullanıcıların bir yapay zekâ ile etkileşimde olduğunu açıkça bilmesi zorunlu. Örneğin bir müşteri hizmetleri botu, kendisinin AI olduğunu bildirmek zorunda.

4. Minimum Risk — Neredeyse Serbest

Spam filtreleri, öneri sistemleri (Netflix, Spotify gibi) bu kategoride. Herhangi bir zorunlu yükümlülük yok, gönüllü etik rehberlerine uyum teşvik ediliyor.

Kritik Takvim: Hangi Yükümlülük Ne Zaman Başlıyor?

Genel Amaçlı AI (GPAI) Modelleri İçin Özel Kurallar

ChatGPT, Claude, Gemini gibi büyük dil modelleri ve bunlara dayalı ürünler geliştiren şirketler için özel bir çerçeve var. Ağustos 2025'ten itibaren bu sağlayıcılar şunları yapmak zorunda:

  • Teknik dokümantasyon hazırlamak

  • Kullanım koşullarında şeffaf olmak

  • Telif hakkı uyumluluğunu kanıtlamak

  • İnsan gözetimi mekanizmaları kurmak

  • Sistemik risk taşıyan modeller için ek güvenlik değerlendirmesi yapmak ve AB AI Ofisi'ne raporlamak

10 milyar parametrenin üzerindeki ya da çok büyük hesaplama gücüyle eğitilen modeller "sistemik riskli" olarak sınıflandırılıyor ve çok daha sıkı kurallara tabi tutuluyor.

Yaptırımlar ve Cezalar

Uyumsuzluk pahalıya patlayabilir:

  • Yasaklı uygulamaların ihlali: 35 milyon Euro veya küresel yıllık cirosunun %7'si (hangisi yüksekse)

  • Diğer yükümlülüklerin ihlali: 15 milyon Euro veya %3

  • Yanlış veya eksik bilgi sunumu: 7,5 milyon Euro veya %1,5

KOBİ'ler ve bireysel geliştiriciler için daha düşük üst sınırlar uygulanabiliyor.

 Şirketler Şimdi Ne Yapmalı?

Eğer AB pazarında faaliyet gösteriyorsanız veya AB kullanıcılarına hizmet veriyorsanız, atmanız gereken adımlar şunlar:

1. AI Envanteri Çıkarın Şirketinizde hangi yapay zekâ sistemleri kullanılıyor? Hangi kategoriye giriyor? Bu soruların cevabını bilmeden başlamak mümkün değil.

2. Yasaklı Uygulamaları Hemen Durdurun Şubat 2025'ten bu yana yasaklı uygulamalar cezai yaptırıma tabi. Hâlâ kullanıyorsanız risk büyük.

3. AI Okuryazarlığı Eğitimi Verin Yasa, şirketlerin yapay zekâ kullanan çalışanlarına yeterli düzeyde AI okuryazarlığı eğitimi vermesini zorunlu kılıyor.

4. Yüksek Riskli Sistemler İçin Ağustos 2026'ya Hazırlanın Teknik dokümantasyon, risk yönetim sistemi ve AB veri tabanı kaydı için zaman daralıyor.

5. Hukuki Danışmanlık Alın Özellikle GPAI modeli geliştiren ya da kullanan şirketler için yasa karmaşık. Uzman hukuki destek kritik.

Türk Şirketleri İçin Özel Not

Türkiye AB üyesi olmasa da AB'deki kullanıcılara hizmet veren Türk şirketleri bu yasanın kapsamına giriyor — tıpkı GDPR'da olduğu gibi. Bir Türk yazılım şirketi AB'deki bir kuruma yapay zekâ tabanlı bir ürün satıyorsa veya AB kullanıcılarını etkileyen bir platform işletiyorsa, EU AI Act yükümlülükleri geçerli. Türkiye'nin kendi gündeminde de bir yapay zekâ düzenlemesi hazırlığı bulunuyor; ancak henüz AB düzeyinde bir yasa yok. AB ile ticari ilişkileri olan şirketler için EU AI Act'e uyum, rekabet avantajı ve yasal güvence açısından stratejik bir öncelik haline geliyor.

Özetleyecek olursak EU AI Act, yapay zekânın "vahşi batı" dönemini kapatıp düzenli bir çerçeveye oturtma girişiminin en somut örneğidir.Takvim hızla ilerliyor: yasaklar başladı, GPAI yükümlülükleri devredeyken yüksek riskli sistemler için 2026 son derece kritik bir yıl.

Yapay zekâyı kullanan, geliştiren ya da satan her şirketin büyük ya da küçük, AB'de ya da dışında bu yasayı ciddiye alması gerekiyor. Uyumsuzluğun bedeli yalnızca para cezasıyla sınırlı değil; itibar ve pazar erişimi de tehlikede.