Yapay Zeka Yasası (EU AI Act) Hakkında Bilmeniz Gerekenler

Yapay zeka teknolojileri, tarihin en hızlı benimsenen teknolojik devrimi olurken, bu gelişimle birlikte gelen etik ve güvenlik kaygıları da devasa bir boyuta ulaştı. Avrupa Birliği, bu kaosu kontrol altına almak ve dijital dünyada "insan odaklı" bir standart belirlemek amacıyla dünyanın ilk kapsamlı yasal çerçevesini, yani EU AI Act (AB Yapay Zeka Yasası) tüzüğünü yürürlüğe koydu.

2026 yılı itibarıyla, bu yasanın birçok kritik maddesi uygulanmaya başlanmış durumda. İster bir teknoloji geliştiricisi olun, ister sadece bir son kullanıcı; bu yasanın dijital hayatımızı nasıl şekillendireceğini bilmek artık bir zorunluluk.

---

1. EU AI Act Nedir? Temel Amacı ve Kapsamı​

AB Yapay Zeka Yasası, yapay zeka sistemlerini potansiyel zararlarına göre sınıflandıran ve bu sınıflara göre farklı yükümlülükler getiren "risk tabanlı" bir düzenlemedir. 1 Ağustos 2024'te yürürlüğe giren bu yasa, kademeli bir takvimle uygulanmaktadır ve 2026 yılı, yüksek riskli sistemlerin uyumluluğu için en kritik dönemlerden biri olarak kabul edilmektedir.

Yasa kimleri kapsıyor?

• AB sınırları içinde YZ sistemi geliştirenler (Sağlayıcılar).
• YZ sistemlerini ticari veya profesyonel amaçla kullananlar (Uygulayıcılar).
• YZ sistemlerini AB pazarına sunan ithalatçılar ve distribütörler.
• Önemli: Eğer YZ sisteminizin çıktısı AB'de kullanılıyorsa, şirketiniz dünyanın neresinde olursa olsun bu yasaya tabisiniz (GDPR benzeri "extra-territorial" etki).

---

2. Yapay Zekada Risk Kategorileri​

Yasa, YZ sistemlerini dört ana risk seviyesine ayırır. 2026 itibarıyla bu kategorilerin her biri için net kurallar tanımlanmıştır:

A. Kabul Edilemez Risk (Yasaklanmış Uygulamalar)​

Bu kategorideki sistemler, temel insan haklarını ihlal ettiği için AB genelinde tamamen yasaklanmıştır. Şubat 2025'ten itibaren bu yasaklar yürürlüğe girmiştir:

• Sosyal Puanlama: Devletlerin vatandaşlarını davranışlarına göre puanlaması (Çin'deki benzer sistemler).
• Bilişsel Manipülasyon: İnsan davranışlarını iradesi dışında değiştirmeyi amaçlayan bilinçaltı teknikler.
• Duygu Tanıma: İş yerlerinde veya eğitim kurumlarında kişilerin duygularını analiz eden sistemler (bazı tıbbi istisnalar hariç).
• Biyometrik Kategorizasyon: Irk, siyasi görüş veya cinsel yönelim gibi hassas verileri kullanarak insanları sınıflandırmak.

B. Yüksek Riskli Sistemler​

2 Ağustos 2026'dan itibaren en ağır denetimlere tabi olacak grup budur. Sağlık, güvenlik ve temel haklar üzerinde büyük etkisi olan sistemleri kapsar:

• Kritik altyapı yönetimi (su, elektrik, trafik).
• Eğitim ve mesleki eğitim (sınav değerlendirme, kabul süreçleri).
• İşe alım ve İK süreçleri (CV tarama sistemleri).
• Kredi puanlama ve adalet sistemindeki uygulamalar.

C. Sınırlı Risk (Şeffaflık Gerekliliği)​

Bu sistemler için en temel kural "dürüstlüktür". Kullanıcının bir makineyle etkileşimde olduğunu bilmesi gerekir.

• Chatbotlar: Bir insanla değil, botla konuştuğunuz açıkça belirtilmelidir.
• Deepfake: Yapay zeka ile oluşturulan veya değiştirilen görseller, videolar ve sesler mutlaka "AI tarafından üretilmiştir" etiketi taşımalıdır.

D. Minimum veya Asgari Risk​

Spam filtreleri veya video oyunlarındaki yapay zeka gibi sistemler bu gruptadır. Herhangi bir ek yasal yükümlülük getirmez; ancak etik kodlara uyulması teşvik edilir.

---

3. Genel Amaçlı Yapay Zeka (GPAI) Modelleri​

GPT-4 veya Gemini gibi geniş kapsamlı modeller için yasa özel bir başlık açmıştır. 2026 yılına gelindiğinde, bu modellerin sağlayıcıları için şu kurallar zorunludur:

• Eğitim Verisi Şeffaflığı: Modellerin hangi veri setleriyle eğitildiğine dair kamuya açık özetler sunulmalıdır.
• Telif Hakkı Uyumu: AB telif hakkı yasalarına saygı gösterilmeli ve hak sahiplerinin "verilerimi kullanma" (opt-out) talepleri uygulanmalıdır.
• Sistemik Risk Değerlendirmesi: Eğer bir model çok yüksek hesaplama gücü (1025 FLOPS gibi) kullanıyorsa veya toplumsal bir risk barındırıyorsa, siber güvenlik testleri ve enerji tüketimi raporlaması yapması zorunludur.

---

4. Uygulama Takvimi: Şirketleri Neler Bekliyor?​

Yasanın tam olarak hayata geçmesi birkaç yıllık bir süreci kapsamaktadır:

• Şubat 2025: Yasaklanmış uygulamalar (Kabul edilemez risk) tamamen kaldırıldı.
• Ağustos 2025: Genel amaçlı YZ (GPAI) sağlayıcıları için şeffaflık ve telif kuralları zorunlu hale geldi.
• Ağustos 2026: Yüksek riskli sistemler için tüm yükümlülükler ve şeffaflık kuralları tam kapsamlı uygulanmaya başlanacak.
• Ağustos 2027: Mevcut regüle edilmiş ürünlere (tıbbi cihazlar, otomotiv parçaları vb.) entegre edilen YZ sistemleri için son uyum tarihi.

---

5. İhlal Durumunda Cezalar​

AB, bu yasanın ciddiyetini korumak için GDPR'dan bile daha ağır cezalar öngörmüştür:

• Yasaklı uygulamaların ihlali: 35 milyon Euro veya küresel cironun %7'si.
• Yükümlülüklerin yerine getirilmemesi: 15 milyon Euro veya küresel cironun %3'ü.
• Yanlış bilgi beyan etmek: 7,5 milyon Euro veya küresel cironun %1,5'i.

---

6. Türkiye'deki Şirketler İçin EU AI Act Neden Önemli?​

Türkiye'deki yazılım firmaları ve YZ girişimleri için bu yasa "isteğe bağlı" değildir. Eğer uygulamanız AB ülkelerinde indirilebiliyorsa veya bir AB vatandaşı sisteminiz üzerinden bir çıktı alıyorsa, uyumluluk süreçlerini tamamlamanız gerekir.

Özellikle Avrupa'ya ihracat yapan veya Avrupa menşeli şirketlerle çalışan Türk firmalarının, 2026 yılındaki yüksek riskli sistemler denetimine girmeden önce bir "AI Etki Değerlendirmesi" (Fundamental Rights Impact Assessment) yapması hayati önem taşır.

---

7. Sonuç: Yapay Zekada Yeni Bir Dönem​

EU AI Act, yapay zekayı bir "vahşi batı" olmaktan çıkarıp, kuralları olan bir sanayi dalına dönüştürmeyi hedefliyor. Bazı eleştirmenler bu yasaların inovasyonu yavaşlatacağını savunsa da, AB bu adımla "Güvenilir Yapay Zeka" markası yaratmayı ve vatandaşlarını korumayı amaçlıyor.

2026 yılında, şeffaflık ve etik, artık yapay zekanın sadece "opsiyonel" bir özelliği değil; pazarın içinde kalabilmek için en temel şartı olacaktır.