Kurumunuzdaki Yapay Zeka Uygulaması Yüksek Riskli Sınıfta Olabilir mi?

Günümüz yapay zekâ gündemi, kurumların kullandıkları sistemler için doğan yükümlülükleri daha yakından izlemesini gerektiriyor. İşe alım, kredi değerlendirmesi, biyometrik doğrulama, sağlık uygulamaları ve kamu hizmetlerine erişim gibi alanlarda kullanılan yapay zekâ sistemleri için uygulama takvimi işlemeye başladı. Avrupa Birliği AI Act 1 Ağustos 2024 tarihinde yürürlüğe girdi. 2 Şubat 2025 itibarıyla yapay zekâ sistemi tanımı, AI literacy yükümlülükleri ve yasaklanan belirli kullanım alanlarına ilişkin ilk hükümler uygulanmaya başladı. 2 Ağustos 2025 tarihinde genel amaçlı yapay zekâ modellerine ilişkin yükümlülükler devreye girdi. Avrupa Komisyonu, yüksek riskli yapay zekâ kurallarının Ağustos 2026 ve Ağustos 2027 dönemlerinde uygulanacağını belirtiyor. Standardizasyon sayfasında ise Ek III kapsamındaki sistemler için en geç 2 Aralık 2027, Ek I kapsamındaki uyumlaştırılmış sektör mevzuatına bağlı sistemler için en geç 2 Ağustos 2028 tarihleri yer alıyor.

Kurumunuzdaki Yapay Zeka Uygulaması Yüksek Riskli Sınıfta Olabilir mi?

Günümüz yapay zekâ gündemi, kurumların kullandıkları sistemler için doğan yükümlülükleri daha yakından izlemesini gerektiriyor. İşe alım, kredi değerlendirmesi, biyometrik doğrulama, sağlık uygulamaları ve kamu hizmetlerine erişim gibi alanlarda kullanılan yapay zekâ sistemleri için uygulama takvimi işlemeye başladı. Avrupa Birliği AI Act 1 Ağustos 2024 tarihinde yürürlüğe girdi. 2 Şubat 2025 itibarıyla yapay zekâ sistemi tanımı, AI literacy yükümlülükleri ve yasaklanan belirli kullanım alanlarına ilişkin ilk hükümler uygulanmaya başladı. 2 Ağustos 2025 tarihinde genel amaçlı yapay zekâ modellerine ilişkin yükümlülükler devreye girdi. Avrupa Komisyonu, yüksek riskli yapay zekâ kurallarının Ağustos 2026 ve Ağustos 2027 dönemlerinde uygulanacağını belirtiyor. Standardizasyon sayfasında ise Ek III kapsamındaki sistemler için en geç 2 Aralık 2027, Ek I kapsamındaki uyumlaştırılmış sektör mevzuatına bağlı sistemler için en geç 2 Ağustos 2028 tarihleri yer alıyor.

İlk inceleme başlığı, kullanılan sistemin AI Act kapsamına girip girmediğinin ve yüksek riskli sınıfta yer alıp almadığının belirlenmesidir. Avrupa Komisyonu’na göre yüksek riskli yapay zekâ sistemleri iki ana grupta ele alınıyor. İlk grup, AB uyumlaştırılmış ürün mevzuatına tabi ürünlerin güvenlik bileşeni olan veya doğrudan ürün niteliği taşıyan yapay zekâ sistemlerini kapsıyor. İkinci grup ise Ek III altında sayılan kullanım alanlarını içeriyor. Bu alanlar biyometri, kritik altyapı, eğitim ve mesleki eğitim, istihdam ve iş gücü yönetimi, temel özel ve kamu hizmetlerine erişim, kolluk faaliyetleri, göç ve sınır yönetimi ile adalet ve demokratik süreçler olarak sıralanıyor.

Resmi örnekler, kurum içi tarama için doğrudan kullanılabilecek bir liste sunuyor. CV tarama ve aday değerlendirme araçları, krediye erişimi etkileyen sistemler, belirli biyometrik kullanım senaryoları, kolluk uygulamaları, sınır yönetimi süreçleri ve yargısal kararları etkileyen uygulamalar bu kapsamda anılıyor. İlgili ürün güvenliği mevzuatına bağlı senaryolarda tıbbi cihazlar, robotlar ve dronlar da bu alanda değerlendirilebiliyor.

Bir sistemin yüksek riskli sınıfta yer alması, sistemi geliştiren taraf için doğrudan yükümlülük doğuruyor. Avrupa Komisyonu’na göre sağlayıcıların başlıca yükümlülükleri şunlardır:

Risk yönetim sistemi kurulması,
Eğitim, doğrulama ve test verilerinin uygunluğunun sağlanması,
Teknik dokümantasyon hazırlanması,
Log kayıtlarının mümkün kılınması,
Kullanım talimatlarının düzenlenmesi,
İnsan gözetimini destekleyen yapının kurulması,
Doğruluk, sağlamlık ve siber güvenlik gerekliliklerinin karşılanması,
Uygunluk değerlendirmesinin tamamlanması,
Ab veri tabanına kayıt yapılması,
Piyasa sonrası izleme ve ciddi olay bildirim süreçlerinin işletilmesi,
Kalite yönetim sistemi kurulması ve sürdürülmesi.

Yüksek riskli yapay zekâ sistemlerini kullanan kuruluşlar için de açık yükümlülükler bulunuyor. AI Act Service Desk’te yer alan Madde 26 özetine göre bu kuruluşların şu başlıklarda hazırlık yapması gerekiyor:

Sistemin kullanım talimatlarına uygun biçimde işletilmesi,
İnsan gözetiminin yetkin kişiler tarafından yürütülmesi,
Ciddi olay veya risk tespit edildiğinde gerekli bildirimlerin yapılması,
Girdi verilerinin amaçla uyumlu ve yeterince temsil edici olmasının sağlanması,
Otomatik kayıtlar mevcutsa bunların ilgili süreler boyunca saklanması,
İş yerinde kullanılan yüksek riskli sistemlerde çalışan temsilcilerinin ve etkilenen çalışanların önceden bilgilendirilmesi.

Bazı kullanım senaryolarında temel hak etki değerlendirmesi de zorunlu hale geliyor. AI Act Service Desk’te (AB Yapay Zekâ Yasası’na ilişkin resmi bilgi ve destek platformu) yer alan Madde 27 özetine göre kamu kurumları ile belirli özel kuruluşlar, yüksek riskli sistemleri devreye almadan önce temel hak etkisini değerlendirmek zorunda. Bu değerlendirme kullanım biçimini, etkilenen grupları, riskleri, insan gözetimini ve azaltım önlemlerini kapsıyor.

2025 sonrasında yayımlanan resmi materyaller, uygulama tarafındaki hazırlıkları ayrıntılandırdı. Avrupa Komisyonu yüksek riskli sistemler, genel amaçlı yapay zekâ modelleri ve ciddi olay bildirimi gibi başlıklar için rehber ve destek içerikleri yayımladı. Aynı dönemde AI Act Service Desk (AB Yapay Zekâ Yasası’na ilişkin resmi bilgi ve destek platformu) ile Single Information Platform (yapay zekâ düzenlemelerine ilişkin bilgilerin tek noktada toplandığı resmi bilgi platformu) devreye alındı. European AI Office (Avrupa Birliği’nin yapay zekâ uygulamalarını ve düzenleme sürecini destekleyen merkezi yapısı) ise Komisyon içinde yapay zekâ uzmanlık merkezi olarak konumlandırıldı ve AI Act’in uygulanmasını destekleyen yapı olarak tanımlandı.

Genel amaçlı yapay zekâ modellerine ilişkin yükümlülüklerin 2 Ağustos 2025 tarihinde devreye girmesi, kurumların kayıt ve tedarik zinciri başlıklarını da gündeme taşıdı. Komisyonun AI Act soru ve cevap sayfası ile yürürlüğe giriş duyurusunda, bu alanda teknik dokümantasyon, telif ve şeffaflık kuralları ile risk yönetimi başlıklarının yer aldığı belirtiliyor. Kurum içinde kullanılan birçok uygulama, doğrudan yüksek riskli sistem olarak sınıflandırılmasa da genel amaçlı model katmanına bağlı olarak çalışabiliyor. Bu nedenle uygulama envanteri ile model tedarik zinciri kaydı birlikte ele alınması gerekiyor.

Kurum hazırlık sürecinde her yapay zekâ sistemi için şu başlıkların ayrı ayrı gözden geçirilmesi gerekiyor:

Sistemin hangi işlev için kullanıldığı,
Karar veren, kararı etkileyen veya destek sunan rolünün tanımlanması,
Sistemi geliştiren, kuruma entegre eden, kullanan ve sunan tarafların netleştirilmesi,
Sistemin ek ı veya ek ııı kapsamına girip girmediğinin belirlenmesi,
Kullanılan veri kaynaklarının ve veri yönetişimi uygulamalarının kayıt altına alınması,
İnsan gözetimi mekanizmasının görev ve sorumluluklarıyla tanımlanması,
Teknik dokümantasyon, kayıt ve log yükümlülüklerinin kurumsal süreçlere bağlanması,
Ciddi olay, uygunsuzluk ve piyasa sonrası izleme mekanizmalarının oluşturulması,
Temel hak etki değerlendirmesi gerekip gerekmediğinin belirlenmesi,
Çalışanlar ve etkilenen kişiler için bilgilendirme süreçlerinin tanımlanması.