Avrupa Birliği, 13 Haziran 2024 tarihinde kabul ettiği ve 12 Temmuz 2024’te yayımladığı Tüzük ile yapay zekâ alanında dünyanın ilk kapsamlı ve yatay düzenleme çerçevesini oluşturdu[1]. AI Act ya da Türkçesiyle Yapay Zekâ Yasası olarak anılan bu Tüzük, AB iç pazarında yapay zekâ sistemlerinin geliştirilmesi, piyasaya arzı, hizmete sunulması ve kullanımına ilişkin kurallar getiriyor. Düzenlemenin felsefesini ise tek bir cümleyle özetlemek mümkün: Her yapay zekâ uygulaması aynı kurala tabi olmamalı, üretebileceği zararın büyüklüğüne göre farklılaşan yükümlülüklerle karşılaşmalı[2].
AI Act, AB’nin son yıllarda inşa ettiği geniş dijital regülasyon mimarisinin en güncel halkasıdır. Dijital Hizmetler Yasası (DSA), Dijital Pazarlar Yasası (DMA), Veri Yasası (Data Act) ve Genel Veri Koruma Tüzüğü (GDPR) ile birlikte AI Act, yalnızca AB iç pazarında yapay zekâ sistemlerinin serbest dolaşımını sağlamayı değil; aynı zamanda sağlık, güvenlik ve temel hakların yüksek düzeyde korunmasını ve “güvenilir yapay zekânın” geliştirilmesini desteklemeyi de hedefliyor.
Bu çerçevenin Türkiye açısından özel bir önemi var. Zira Tüzüğün sınır ötesi etkisi, kapsamı AB sınırlarının çok ötesine taşıyor: AI sistemlerini AB pazarında piyasaya arz eden veya AB’deki kişileri etkileyen çıktılar üreten tüm şirketler, AB dışında yerleşik olsalar dahi düzenlemenin kapsamına giriyor. Türkiye’nin AB ile güçlü ticari ilişkileri ve Gümrük Birliği çerçevesi göz önünde bulundurulduğunda, SaaS sağlayıcılarından e-ticaret platformlarına, AB müşterilerine yönelik AI çözümler geliştiren teknoloji girişimlerinden AB’deki grup şirketlerine AI araçları tedarik eden holdinglere kadar pek çok Türk şirketi için AI Act uyumu giderek kaçınılmaz bir gündem haline geliyor.
Kim, Hangi Rolde, Hangi Yükümlülükle?
AI Act’in öngördüğü yükümlülükleri anlamak için önce iki temel soruyu yanıtlamak gerekiyor: Hangi teknolojiler bu düzenlemenin kapsamına giriyor ve değer zincirindeki hangi aktörler hangi rollerden sorumlu? GDPR’deki “veri sorumlusu/veri işleyen” ayrımına benzer bir mantıkla, AI Act de farklı aktörlere farklı yükümlülükler yüklüyor. Bu nedenle her şirketin atması gereken ilk adım, kendi konumunu doğru tespit etmek.
Yasa, yapay zekâ sistemini “değişen düzeylerde özerklikle çalışmak üzere tasarlanmış, devreye alındıktan sonra uyarlanabilirlik gösterebilen ve aldığı girdilerden, açık veya örtük hedefler doğrultusunda, tahminler, içerik, öneriler veya kararlar gibi çıktılar üretmeye yönelik çıkarımda bulunan makine tabanlı bir sistem” olarak tanımlıyor[3]. Bu tanımın geniş kapsamı, geleneksel yazılımlarla yapay zekâ arasındaki sınırda önemli yorum soruları doğuruyor: Basit bir kural tabanlı filtre sistemi AI sayılır mı? Makine öğrenimi kullanan bir öneri motoru ile önceden belirlenmiş kurallarla çalışan bir algoritma arasındaki fark nerede? Komisyon’un Şubat 2025’te yayımladığı uygulama kılavuzları bu sorulara teknik açıklamalar getirmekle birlikte, tanımın sınırlarına ilişkin tartışmaların uygulamayla birlikte derinleşmesi bekleniyor.
Değer zincirindeki rollere bakıldığında ise üç temel aktörle karşılaşıyoruz:
- Sağlayıcı (provider), bir AI sistemini geliştiren ve kendi adı altında piyasaya arz eden kişidir ve düzenleme kapsamındaki en ağır yükümlülüklerin muhatabıdır. Burada kritik bir nokta var: Üçüncü tarafın geliştirdiği sistemi kendi markası altında piyasaya süren şirket de sağlayıcı sayılıyor. Yani, white label AI çözümü satın alıp kendi markasıyla AB pazarına sunan bir Türk fintek şirketi, ilgili sistem yüksek riskli ise sağlayıcı konumuna geçiyor ve teknik dokümantasyondan risk yönetimine kadar tüm yükümlülükleri üstleniyor.
- Kullanıcı (deployer), bir AI sistemini kendi otoritesi altında kullanan kişi olarak karşımıza çıkıyor. Esasen pek çok şirket, geliştirmediği AI araçlarını iş süreçlerinde kullanan kullanıcı konumundadır ve bu konumun da hafife alınmaması gereken yükümlülükleri vardır: Sağlayıcı talimatlarına uygun kullanım, insan gözetimi, girdi verilerinin uygunluğunun gözetilmesi ve ciddi olayların bildirimi. Belirli kamu kurumları ve özel sektör aktörleri için ayrıca temel haklar etki değerlendirmesi (fundamental rights impact assessment) yükümlülüğü öngörülüyor. Bu yapı, GDPR’deki veri koruma etki değerlendirmesi (DPIA) ve KVKK uygulamalarına paralel bir mantık gösteriyor.
- Üçüncü kategori, AB dışında yerleşik sağlayıcıların AB pazarına erişebilmesi için atanması zorunlu olan yetkili temsilci (authorised representative) ile ithalatçı ve dağıtıcı gibi tedarik zinciri aktörleri. Türkiye’den AB pazarına AI çözümü sunan bir şirket için yetkili temsilci ataması, opsiyonel bir tedbir değil; yasal bir zorunluluk.
Risk: Aynı Kurallar, Farklı Yükler
Roller netleştikten sonra AI Act’in özünü oluşturan soruya geçiyoruz: Hangi AI sistemi hangi kurallara tabi? Tüzük, bu soruyu dört kademeli bir risk piramidiyle yanıtlıyor. Piramidin tepesindeki kabul edilemez risk kategorisinde yer alan uygulamalar tamamen yasaklanırken; yüksek risk kategorisinde kapsamlı uyum yükümlülükleri öngörülüyor; sınırlı risk kategorisinde yalnızca şeffaflık gereklilikleri aranıyor; minimal risk kategorisinde ise büyük ölçüde gönüllü kurallar geçerli. Bu yaklaşımın amacı hem orantılılık ilkesini gözetmek hem de düşük riskli uygulamalarda inovasyonu engellemeden yüksek riskli alanlarda güçlü koruma mekanizmaları kurmak.
Piramidin tepesinde yer alan ve 2 Şubat 2025 itibarıyla yürürlüğe giren mutlak yasaklar, temel haklar ve AB değerleri açısından kabul edilemez tehlike oluşturduğu değerlendirilen uygulamaları kapsıyor[4]:
- Bilinçaltı manipülasyon ve aldatıcı sistemler
- Kırılgan grupların istismarı, sosyal puanlama
- İşyeri ile eğitimde duygu tanıma, hassas niteliklere dayalı biyometrik kategorizasyon
- Kamusal alanda gerçek zamanlı uzaktan biyometrik tanımlama
Bu yasakların bazılarının pratikte oldukça geniş bir alanı kapsayabildiğini de hatırlatmak gerek: Video mülakatlarda aday değerlendirmesi, çağrı merkezi kalite kontrolü veya sınıf içi öğrenci dikkat takibi gibi yaygınlaşan uygulamalar, işyeri ve eğitimde duygu tanıma yasağının kapsamına girebilecek nitelikte. İK süreçlerinde AI kullanan şirketlerin atması gereken ilk adım, bu uygulamaların yasak kapsamına girip girmediğini öncelikle değerlendirmek olmalı.
Piramidin ikinci katmanını ise en kapsamlı uyum yükümlülüklerinin öngörüldüğü yüksek riskli AI sistemleri oluşturuyor. Bu kategori iki yoldan belirleniyor[5]: Birincisi, Ek I’de sayılan AB ürün güvenliği mevzuatı kapsamındaki ürünlerin güvenlik bileşeni olan AI sistemleri (tıbbi cihazlar, asansörler, makine ekipmanları, oyuncaklar gibi). İkincisi, Ek III’te listelenen ve sektörel olarak geniş bir alanı kapsayan kullanım senaryoları: Sağlıkta AI destekli tanı sistemleri, finans ve sigortada kredi skorlama ve sigorta fiyatlaması, eğitimde öğrenci değerlendirme, istihdamda aday tarama ve performans değerlendirme, kolluk, göç ve sınır yönetimi, adalet yönetimi ve demokratik süreçler. Türkiye’den AB pazarına yönelik AI çözümleri geliştiren şirketlerin önemli bir kısmının bu kategori altında konumlanması son derece olası.
Bununla birlikte, Madde 6(3) önemli bir esneklik mekanizması sunuyor. Ek III’te listelenen ancak sağlık, güvenlik veya temel haklar açısından önemli bir zarar riski taşımayan AI sistemleri, dört koşuldan birinin karşılanması halinde yüksek risk sınıflandırmasından muaf tutulabiliyor[6]:
- Dar bir prosedürel görevi yerine getirmek
- Daha önce tamamlanmış bir insan faaliyetinin sonucunu iyileştirmeye yönelik olmak
- Karar kalıplarını tespit etmeye yönelik olup insan değerlendirmesinin yerine geçmemek
- Bir değerlendirme için hazırlık görevi üstlenmek
Bu mekanizma, özellikle düşük riskli AI uygulamaları geliştiren KOBİ’ler ve girişimler için uyum maliyetlerini önemli ölçüde azaltabilecek potansiyele sahip.
Yüksek riskli sistem sınıflandırmasına giren bir AI sisteminin sağlayıcısı, sistemin tasarım aşamasından piyasadan çekilmesine kadar tüm yaşam döngüsünü kapsayan kapsamlı yükümlülüklere tabi: Sürekli işleyen bir risk yönetim sistemi, eğitim, doğrulama ve test verilerinde veri yönetişimi, teknik dokümantasyon ve kayıt tutma, etkili insan gözetimi, doğruluk-dayanıklılık-siber güvenlik gereklilikleri, kalite yönetim sistemi ve uygunluk değerlendirmesi. Bu noktada altı çizilmesi gereken nokta, risk yönetiminin bir kez yapılıp rafa kaldırılacak bir doküman değil; sürekli işleyen bir süreç olarak kurgulandığıdır. Buna ek olarak, insan gözetiminin pratikte biçimsel bir onay mekanizmasına mı yoksa gerçek anlamda etkin bir denetime mi dönüşeceği de tartışmalı: günde yüzlerce kredi başvurusunun değerlendirildiği yoğun karar akışı ortamlarında, etkin gözetimin fiilen olanaksız hale gelebileceğini göz ardı etmemek gerek.
Piramidin alt katmanlarına inildikçe yükümlülükler hafifliyor. Sınırlı risk kategorisinde, dört temel şeffaflık yükümlülüğü getiriliyor[7]:
- Doğrudan kişilerle etkileşime giren AI sistemlerinin (chatbotların) bu durumu bildirmesi
- Sentetik içeriğin makine tarafından okunabilir biçimde işaretlenmesi
- Duygu tanıma veya biyometrik kategorizasyon kullanan deployer’ların maruz kalan kişileri bilgilendirmesi
- Deepfake içeriklerin yapay olarak üretildiğinin açıklanması
Bu son yükümlülük, Türkiye’de de gündemde olan deepfake düzenlemeleriyle paralel bir gelişme gösteriyor; nitekim 7 Kasım 2025 tarihinde TBMM’ye sunulan kanun teklifi[8] de yapay zekâ ile üretilen içeriklere “Yapay Zekâ Tarafından Üretilmiştir” etiketinin zorunlu olarak eklenmesini öngörüyor. Minimal risk kategorisinde ise yükümlülükler büyük ölçüde gönüllü davranış kurallarına bırakılmış.
Piramidin Dışındakiler: GPAI Modelleri
Risk piramidi, AI Act’in mantığını anlamak için sağlam bir başlangıç noktası sunsa da kapsamı tek başına anlamak için yeterli değil. Zira GPT, Claude ve Gemini gibi genel amaçlı yapay zekâ modelleri (“GPAI”), bu dört katmanlı yapının dışında, kendine özgü ve iki katmanlı bir yükümlülük rejimine tabi tutulmuş durumda. Bunun sebebi açık: GPAI modelleri tek başına bir AI sistemi değil, ancak çok sayıda farklı alt akış uygulamasına entegre edildiklerinden değer zincirinin bütünü üzerinde belirleyici etkiye sahipler.
Tüm GPAI modelleri için temel yükümlülükler; teknik dokümantasyon hazırlanması, alt akış AI sistemi sağlayıcılarına yeterli bilgi sunulması, AB telif hakkı mevzuatına uyum politikası oluşturulması ile vazgeçme (opt-out) mekanizmalarına saygı ve eğitim verileri hakkında yeterli ayrıntıda bir özetin kamuya açık biçimde yayımlanmasıdır. Açık kaynak modeller için önemli istisnalar mevcut; ancak sistemik risk taşıyan açık kaynak modeller bu istisnadan yararlanamıyor. Sistemik risk eşiği ise belirli bir teknik kritere bağlanmış: kümülatif eğitim hesaplama gücü 10²⁵ FLOPs’u[9] aşan modeller, sistemik risk taşıdığı varsayılarak ek değerlendirme, çekişmeli test (adversarial testing), olay raporlama ve ek siber güvenlik yükümlülüklerine tabi[10].
Bu rejimin önemli bir yapısal özelliği daha var: GPAI modellerinin denetimi ulusal otoriteler yerine doğrudan Avrupa Yapay Zekâ Ofisi tarafından merkezi düzeyde yürütülüyor. Bu yaklaşımın, GDPR uygulamasında yaşanan ve şirketlerin en gevşek denetim yapan üye devlette merkez kurma eğilimine yol açan denetim arbitrajı sorunundan ders alınarak tasarlandığı izlenimi doğuyor.
Öte yandan GPAI rejiminin pratikte yarattığı asimetrik etkilerin de gözden kaçırılmaması gerekiyor. Teknik dokümantasyon, telif hakkı uyumu ve güvenlik değerlendirmesi yükümlülükleri, milyarlarca dolarlık kaynaklara sahip şirketler için yönetilebilir maliyet kalemleri iken; sınırlı bütçeli Avrupa ve yabancı AI girişimleri için girişe engel oluşturabiliyor. Halihazırda geniş veri tabanlarına sahip büyük platformların AI alanında baskın konuma geçme riski, bu asimetrik etkiyle birlikte daha da güçlenebilir. Mario Draghi’nin Eylül 2024 tarihli AB rekabet gücü raporunda[11] da işaret ettiği üzere, düzenleme sıkılığı ile rekabet gücü arasındaki gerilim, AI Act’in önümüzdeki yıllarda en çok tartışılacak boyutlarından biri olmaya aday.
Takvim ve Yaptırımlar: Sayılarla Bir Risk Yönetimi Meselesi
AI Act’in uygulama takvimi kademeli bir yapıda kurgulanmış durumda. 1 Ağustos 2024’te Tüzük yürürlüğe girdi; 2 Şubat 2025’te yasaklar uygulanmaya başladı; 2 Ağustos 2025’te GPAI yükümlülükleri ve yönetişim yapısı devreye girdi; 2 Ağustos 2026’da Ek III yüksek riskli sistemler, deployer yükümlülükleri ve şeffaflık kuralları uygulanmaya başlayacak; 2 Ağustos 2027’de ise Ek I ürün mevzuatına bağlı yüksek riskli sistemler devreye girecek.
Ancak bu takvim dinamik. Avrupa Komisyonu’nun 19 Kasım 2025 tarihli Digital Omnibus on AI teklifi, yüksek riskli AI sistem yükümlülüklerinin uygulanmasını ertelemeyi öngörüyor[12]: Ek III kapsamındaki yüksek riskli sistem yükümlülükleri en geç 2 Aralık 2027’ye, ürün mevzuatına bağlı yüksek riskli sistemler ise en geç 2 Ağustos 2028’e kadar ertelenebilecek. Konsey, 13 Mart 2026 tarihinde teklif üzerinde müzakere pozisyonunu belirlemiş olup yasama süreci hâlen devam ediyor. Yani şirketlerin uygulama tarihlerini yakından takip etmesi, uyum hazırlığının ayrılmaz bir parçası haline geliyor.
Yaptırım rejimi ise GDPR’deki üst sınırları aşan bir caydırıcılığa sahip[13]. Yasaklanan uygulamaların ihlali 35 milyon Euro veya küresel cironun %7’si; diğer yükümlülük ihlalleri 15 milyon Euro veya küresel cironun %3’ü; yanıltıcı bilgi sağlanması 7,5 milyon Euro veya küresel cironun %1’i; GPAI model yükümlülüklerinin ihlali ise 15 milyon Euro veya küresel cironun %3’ü oranında idari para cezasına tabi. KOBİ’ler ve start-up’lar için orantılılık ilkesi gereği yüzde oranı ile sabit tutar arasında düşük olan uygulanıyor. Bu ceza düzeyleri, GDPR’deki azami %4 oranını önemli ölçüde aşmakta olup AI uyumunun salt bir hukuki yükümlülük değil, ciddi bir finansal risk yönetimi meselesi olduğunu açıkça ortaya koyuyor.
Brüksel’den Esen Rüzgâr ve Türkiye
AI Act, yalnızca AB iç pazarını şekillendiren bir mevzuat değil; aynı zamanda küresel düzeyde norm belirleyici bir araç olma potansiyeline sahip. GDPR’nin Brüksel etkisi (Brussels effect) deneyiminden yola çıkıldığında, AI Act’in dünya genelinde regülatif ve operasyonel standartları biçimlendirmesi kuvvetle muhtemel. Risk temelli yaklaşımı, kademeli uygulama takvimi ve caydırıcı yaptırım rejimi, yapay zekâ yönetişiminde küresel bir referans noktası olmaya aday.
Türkiye açısından bu etki özellikle güçlü olacak gibi görünüyor. TBMM Yapay Zekâ Araştırma Komisyonu’nun Mart 2026’da yayımladığı 100 politika önerisi içeren kapsamlı rapor, Türkiye’nin bu alanda proaktif bir düzenleme stratejisi izleme iradesini açıkça ortaya koyuyor[14]. Komisyon raporunda risk temelli bir regülasyon modelinin geliştirilmesi, Türk Yapay Zekâ Kanunu’nun hazırlanması ve TBMM bünyesinde kalıcı bir “Yapay Zekâ, İleri Teknolojiler ve Yenilik Komisyonu” kurulması önerilirken; KVKK’nın Kasım 2025’te yayımladığı Üretken Yapay Zekâ Kılavuzu da kurumsal farkındalığı artırıyor. Tüm bu adımlar birlikte değerlendirildiğinde, Türkiye’nin yapay zekâ alanında yalnızca uygulayan değil; geliştiren, düzenleyen ve küresel normlara katkı sunan bir aktör olma çabası içinde olduğu söylenebilir.
Şu hâlde Brüksel’den esen rüzgârın yönü belli: AI Act, yapay zekânın toplumsal faydalarını en üst düzeye çıkarırken potansiyel zararlarını kontrol altına almayı hedefleyen bir düzenleme denemesi. Başarısı büyük ölçüde uygulamaya bağlı olacak; standartların zamanında hazırlanması, denetim kapasitesinin yeterli olması, KOBİ’ler ile büyük şirketler arasında adil bir uygulama dengesinin kurulması ve teknolojik gelişmeler karşısında düzenlemenin esnekliğini koruyabilmesi, önümüzdeki yılların belirleyici sorularını oluşturuyor. Türk şirketleri için ise gündem açık: AB’ye dokunan bir AI ürünü ya da hizmeti varsa, AI Act haritası çıkarılmadan iş yapmak giderek zorlaşıyor.
[1] Regulation (EU) 2024/1689, 13 Haziran 2024 tarihli Avrupa Parlamentosu ve Konseyi Tüzüğü. Tam metin için bkz. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202401689
[2] Bkz. Şahin Ardıyok, Ömer Faruk Çelik, Eda Akın, “Yapay Zekaya Dünyada İlk Regülasyon Müdahalesi Avrupa Birliği’nden Geldi: AB Yapay Zeka Yasası“, 22 Aralık 2023, https://www.rekabetregulasyon.com/yapay-zekaya-dunyada-ilk-regulasyon-mudahalesi-avrupa-birliginden-geldi-ab-yapay-zeka-yasasi/
[3] Regulation (EU) 2024/1689, Madde 3(1).
[4] Regulation (EU) 2024/1689, Madde 5. Yasaklar 2 Şubat 2025 itibarıyla uygulanmaktadır.
[5] Regulation (EU) 2024/1689, Madde 6, Ek I ve Ek III.
[6] Regulation (EU) 2024/1689, Madde 6(3). Doğal kişilerin profillemesini gerçekleştiren sistemler bu istisnadan yararlanamamaktadır.
[7] Regulation (EU) 2024/1689, Madde 50.
[8] Türkiye Büyük Millet Meclisi, Bazı Kanunlarda Değişiklik Yapılmasına İlişkin Kanun Teklifi, Esas No. 2/3358, Başkanlığa Geliş Tarihi: 07.11.2025. Detaylar için lütfen bakınız: https://www.tbmm.gov.tr/Yasama/KanunTeklifi/12d348f9-77ee-4f09-8b78-019a5e27521f
[9] FLOPs, “floating point operations” ifadesinin kısaltması olup, bir yapay zekâ modelinin eğitimi sırasında yapılan toplam matematiksel işlem sayısını ifade eder. Basitçe, modelin ne kadar büyük bir hesaplama gücüyle eğitildiğini gösteren teknik bir ölçüttür.
[10] Regulation (EU) 2024/1689, Madde 51 ve 55. Eşik, hazırlık tarihinde GPT-4, Gemini Ultra gibi en gelişmiş modelleri kapsamaktadır.
[11] Mario Draghi, The future of European competitiveness: A competitiveness strategy for Europe, Part A, European Commission, 9 September 2024, p. 30-31.
[12]Avrupa Komisyonu, “Digital Omnibus on AI Regulation Proposal”, COM(2025) 836, 19 Kasım 2025. Konsey, 13 Mart 2026 tarihinde teklif üzerinde müzakere pozisyonunu belirlemiştir.
[13]Regulation (EU) 2024/1689, Madde 99. KOBİ’ler ve start-up’lar için yüzde oranı ile sabit tutar arasında hangisi düşükse o uygulanmaktadır.
[14]TBMM Yapay Zekâ Araştırma Komisyonu Raporu, Mart 2026. 14 Ocak 2025’te kurulan Komisyon; 13 toplantı gerçekleştirmiş, 119 uzman dinlemiş ve 100 politika önerisi içeren 900 sayfalık bir rapor hazırlamıştır. Türkiye’de 25 Haziran 2024 tarihinde TBMM’ye sunulan Yapay Zekâ Kanun Teklifi (2/2234) ve 7 Kasım 2025 tarihli AI içerik düzenlemesine ilişkin kanun teklifi de bu süreçte dikkat çeken hazırlık adımlarıdır.
