Aryan Legal Hukuk Bürosu

AB Yapay Zeka Yasası (AI Act) nedir? AI Act ile ilgili hangi düzenlemeler söz konusudur? 

AB Yapay Zeka Yasası (AI Act) nedir? AI Act ile ilgili hangi düzenlemeler söz konusudur?

Avrupa Birliği’nin AI Act (Regulation (EU) 2024/1689) düzenlemesi, yapay zekâ teknolojilerinin geliştirilmesi ve kullanılmasını hem teşvik etmeyi hem de toplumsal, etik ve hukuki risklere karşı koruma sağlamayı amaçlayan ilk kapsamlı AB düzeyinde çerçevedir.¹ Bu yasa, yalnızca belirli sektörlere ya da uygulamalara sınırlı kalmaz; tüm AB üyesi devletlerde geçerli olacak şekilde yapay zekâ sistemlerinin pazarlanması, kullanılması ve gözetimi ile ilgili kurallar getirir.² Düzenlemenin hem AB iç aktörlerini hem de AB dışındaki aktörleri etkileyen birtakım coğrafi ve materyal kapsam hükümleri bulunmaktadır.

Bu yasanın temel yaklaşımı, risk temelli düzenlemedir. Yani her yapay zekâ sistemine aynı biçimde yaklaşmak yerine, sistemin oluşturduğu potansiyel zarara ve etkisine göre düzenleyici yükümlülükler farklılaştırılır.³ AI Act, özellikle yüksek riskli sistemler, “genel amaçlı AI” (general-purpose AI, GPAI) modelleri ve önceden yasaklanan bazı uygulamalar üzerine odaklanmaktadır.⁴ Aşağıdaki bölümlerde, bu düzenlemenin kapsamı, temel kavramları, yükümlülükler, denetim mekanizmaları ile avantajları ve eleştiriler detaylı şekilde ele alınacaktır.

Kapsam, Tanımlar ve Temel İlkeler

AI Act, yasama metninde pek çok tanımı ve sınırlamayı içermektedir. Düzenleme, yalnızca belirli AI uygulamalarını hedeflemez; “AI sistemi” tanımını geniş tutmuş ve değişik özerklik düzeylerini kapsayacak şekilde formüle edilmiştir.⁵ Yasa bakımından “sağlayıcı” (provider), “uygulayıcı / devreye alan” (deployer), “ithalatçı”, “dağıtıcı” ve “yetkili temsilci” gibi roller ayrı ayrı tanımlanmaktadır.⁶ Yapay zekâ sistemlerinin pazara sunulması, hizmete sokulması ya da kullanım süreci gibi kavramlar hukuki anlamda ayrıştırılmıştır.⁷

Coğrafi kapsam açısından, AI Act yalnızca AB içinde faaliyet gösteren aktörleri değil; AB pazarında etkisi olan sistemleri de düzenleme kapsamına almaktadır. Bu nedenle bir yapay zekâ sağlayıcısı AB dışındaysa bile ürettiği sistem AB içinde kullanılıyorsa yasanın hükümlerinden sorumlu olabilir.⁸

Düzenleme, askeri ya da ulusal güvenlik amaçlı AI sistemlerini, bilimsel araştırma ve geliştirme faaliyetlerine yönelik sistemleri ya da bazı prototip aşaması uygulamaları istisna olarak kabul etmektedir.⁹ Temel haklara saygı, güvenilirlik, insan gözetimi, şeffaflık ve orantılılık ilkeleri, AI Act’in normatif çerçevesini oluşturur.

AI sistemlerinin taşıdığı risklere dayalı olarak, düzenleme yapısal olarak farklı risk sınıfları öngörmektedir. Bazı uygulamalar tamamen yasaklanmış iken bazıları yalnızca hafif yükümlülüklere, bazıları ise kapsamlı uygunluk değerlendirmesi ve gözetim süreçlerine tabidir.

Yasaklanan Uygulamalar ve “Kabul Edilemez Risk”

AI Act, bazı yapay zekâ uygulamalarını “kabul edilemez risk” kategorisine sokarak açıkça yasaklar. Bu kategoride değerlendirilen sistemler, insan iradesini bilinç dışı biçimde manipüle eden teknikleri kullanabilir, davranışsal müdahalelerle bireyleri yönlendirmeye çalışabilir veya “sosyal puanlama” gibi uygulamalara destek verebilir.

Bu bağlamda, yasa uygulayıcılarının bir kişiyi etkilemek amacıyla subliminal sinyaller kullanan sistemleri, kişilerin zayıf noktalarını hedef alan manipülatif algoritmaları, sosyal davranışları puanlama yoluyla sınıflandırma sistemlerini yasaklar.¹⁰ Bu tür sistemlerin pazara sürülmesi ya da kullanılması, genel olarak düzenleme tarafından yasaklanmıştır; istisnai durumlar (örneğin kolluk yetkisi bağlamında belirli sınırlı izinler) yalnızca açıkça düzenlemede yer aldığı hallerle sınırlıdır.

Yasaklama yaklaşımı, temel hakların korunması amacını güçlü biçimde vurgular. İnsanların özerk karar verme süreçleri üzerinde yapay zekânın ölçüsüz etkisi kabul edilemez görülmüştür.

Yüksek Riskli Sistemler ve Uyum Gereklilikleri

Yüksek riskli AI sistemleri, insan sağlığı, güvenliği, temel haklar ve toplumsal etki yönünden ciddi risk taşıyabilecek sistemleri kapsar. Eğitim, istihdam, sınav sistemleri, göç ve sınır kontrol sistemleri, temel hizmetlerin otomasyonu ve adli süreçlerde kullanılan AI uygulamaları yüksek riskli sayılır.¹¹ Bu sistemler, yalnızca şartlı olarak pazara sunulabilir veya kullanılabilir, zira AI Act bu sistemler için sıkı düzenleyici ve denetleyici yükümlülükler getirir.

Yüksek risk sınıfındaki sistemlerin sağlayıcıları, kapsamlı teknik ve yönetsel önlemler almalı, bir risk yönetimi altyapısı kurmalı, teknik dokümantasyon hazırlamalı, sürekli performans izlemesi yapmalı, sistemin güvenlik ve veri uygunluğunu sağlamalıdır.¹² Bu dokümantasyon, eğitim verisi setlerinin kalite kriterleri, test senaryoları, sistemin sınırları ve performans metriklerini içermelidir.¹³ AI sistemi kullanılmaya başladıktan sonra, canlı ortamda performans sapmalarının izlenmesi ve gerektiğinde güncellemeler yapılması da zorunludur.¹⁴ Uygunluk değerlendirmesi süreçlerinde üçüncü taraf testleri gerekebilir; bazı sistemler piyasa öncesi değerlendirme sürecinden geçmek zorundadır.¹⁵

Uygulayıcı ya da deployer konumunda olan kurumlar, sistemin doğru biçimde çalışmasını sağlamak, kullanıcılara uygun talimatlar vermek, çevresel koşulları kontrol etmek, gerektiğinde geri çağırma süreçleri yürütmek gibi yükümlülükler üstlenir.¹⁶ Denetleyici kurumlara düzenli bildirimler yapılması, kayıt sistemleri tutulması, olay raporlama yükümlülükleri de bu çerçevenin parçalarıdır.

Diğer risk kategorisinde yer alan sistemler — özellikle sınırlı risk ya da minimum risk grupları — AI sistemi kullanıldığında, kullanıcılara sistemin yapay zekâ ile çalıştığı bilgisinin verilmesi, sistemin sınırlılıkları hakkında bilgilendirme yapılması gibi daha hafif yükümlülüklerle sınırlandırılır.¹⁷ Minimal risk sınıfındaki sistemler için düzenlemede özel yükümlülük tanımlanmamıştır, fakat gönüllü “davranış kuralları” (codes of conduct) ve endüstri standartlarına uyum teşvik edilir.¹⁸

Öte yandan, AI Act, genel amaçlı AI (GPAI) modellerini de özel bir yere yerleştirir. GPAI modelleri, geniş görev çeşitliliğini yerine getirebilen, çok amaçlı ve entegre edilebilen modeller olarak tanımlanır ve bu modeller için hâlihazırda 2 Ağustos 2025’te yürürlüğe giren özel yükümlülükler getirilmiştir.¹⁹ Bu yükümlülükler arasında eğitim veri özetlerinin yayımlanması, şeffaflık belgeleri, güvenlik testleri ve sistematik risk izlemesi yer alır.²⁰ AI Act, bu tür modeller için bir “Kodeks Uygulama” (Code of Practice) mekanizması öngörmüş olup, sağlayıcıların bu kodekse taraf olarak uyumlarını gösterebilecekleri gönüllü bir yapı sunulmuştur.²¹

Denetim Sistemleri, Kurumsal Yapı ve Uygulama

AI Act’in etkinliği, yalnızca kuralların niceliğinde değil, aynı zamanda denetim, gözetim ve kurumsal yapının niteliğinde de yatmaktadır. Düzenleme, AB düzeyinde bir AI Ofisi (AI Office / European AI Office) kurulmasını, AB Komisyonu ile üye devletler arasında koordinasyonu, ulusal piyasa gözetim kurumlarının görevlendirilmesini ve AB çapında ortak standardizasyon mekanizmalarını öngörür.²² Bu yapı, düzenlemenin uygulanmasının tutarlı ve eşit biçimde yürütülmesini hedefler.

Uzman literatürde, AI Act’in başarıyla uygulanabilmesi için “regülasyon öğrenmesi” (regulatory learning) yaklaşımına ihtiyaç duyulduğu vurgulanmaktadır.²³ Hızla değişen yapay zekâ teknolojilerinin standartlara ve yasal tanımlama çerçevesine uyum sağlaması, denetleyici kurumların teknik kapasitesine bağlıdır.²⁴ Ayrıca, düzenlemenin yorumlanması ve uygulanması sırasında üye devletler arasında farklılıklar doğabilir; bu da AB genelinde uygulama tutarlılığını sağlamak için koordinasyon ihtiyacını artırır.

AI Ofisi, GPAI model sağlayıcıları ile ilgili bildirim, rehber ve denetim mekanizmalarını yönetecek; ulusal düzeydeki piyasa gözetim otoriteleri ise yüksek riskli sistemlerin uygunluk değerlendirmesini ve piyasadaki davranışı izleyecek temel aktörlerdir.²⁵ Bazı akademik çalışmalar, AI Act’in kurumsal tasarımında öneriler sunarak, AI Office, AI Board ve bilimsel panel yapılarının daha sağlam işlevsel koordinasyonla çalışması gerektiğini belirtir.²⁶

Yaptırımlar, İhlaller ve Hukuki Çıkmazlar

AI Act, ihlallerin ciddiyetine göre değişen yaptırımlar öngörür. Hafif ya da teknik ihlaller için işletmelerin yıllık küresel cirolarının belirli bir yüzdesi kadar ceza söz konusu olabilir. Daha ciddi yükümlülüklerin ihlali halinde bu oran ve tavan daha yüksek seviyelere çıkabilir.²⁷ Örneğin, kaynaklara göre bazı cezalar 7,5 milyon euro ya da yıllık global cironun %1,5’u düzeyinde başlayabilirken; büyük ihlaller söz konusu olduğunda 35 milyon euroya ya da %7 küresel ciroya kadar çıkabilir.²⁸ Ceza sisteminin orantılılık ve hukuk devleti ilkesi çerçevesinde işletilmesine yönelik itiraz süreçleri düzenlemede yer alır.

İhlal iddiaları karşısında, sağlayıcı veya uygulayıcılar ulusal yargı mercilerine başvurabilir, karşı delil sunabilir ve yaptırımın orantılılığını savunabilir. Ancak hukuki süreçleri tamamlamak zaman alabilir ve teknik uzmanlık gerektirebilir. Uyum konusunda sağlanacak rehberlik, standartlar, kılavuz dokümanlar, danışmanlık mekanizmaları, denetleyici kurumların yetkinliği ile birlikte işleyen bir ekosistem oluşturulması gereklidir.

Avantajları, Eleştiriler ve Gelecek Perspektifi

AI Act’in savunucuları, bu düzenlemenin Avrupa’da güvenilir yapay zekâ ekosistemini güçlendireceğini, temel hakları koruyacağını ve inovasyonu dengeli biçimde teşvik edeceğini ileri sürer. Yasal netlik, yatırımcı güveni, sınır ötesi AI pazarlarının uyumlaştırılması ve AB’nin global norm üretici konumuna gelmesi açısından önemli kazanımlar beklenir. Ayrıca AI Act’in GDPR benzeri “Brüksel etkisi” (Brussels Effect) ile dünya çapında AI regülasyon modellerini etkileyebileceği düşünülmektedir.²⁹

Ancak düzenleme eleştirilmektedir. Bazı yorumcular, teknik standartların hâlâ netleşmemiş olmasını, uygunluk değerlendirme süreçlerinin maliyetini, özellikle küçük ve orta ölçekli girişimler (KOBİ) açısından yük teşkil etmesini, rekabet dezavantajı yaratması riskini vurgular.³⁰ Ayrıca AI teknolojisinin çok hızlı evrim geçirmesi karşısında düzenlemenin geride kalma tehlikesi vardır; bu nedenle düzenleme süreçlerinde esneklik ve adaptasyon kabiliyeti önemli kabul edilir.³¹

Öte yandan, yapay zekânın fikri mülkiyet, veri erişim, şeffaflık ve telif hakkı dengeleri gibi hususlarında belirsizlikler sürmektedir. Mesela AI Act’in generatif modellerin eğitim verisi özetlerini yayımlama yükümlülüğü getirmesi beklenirken, bunun içeriği, sınırları ve uygulaması hâlâ tartışmalıdır.³² Bazı sanatçı ve yaratıcı topluluklar, düzenlemenin telif hakkı koruması bakımından yetersiz kaldığını iddia ederek itiraz etmiştir.³³

Akademik literatürde, düzenlemenin uygulanmasında “regülasyon öğrenmesi” süreçlerinin kritik olduğu; düzenleyiciler ile düzenlenen aktörlerin sürekli etkileşim içinde olması gerektiği; teknik ölçüm metriklerinin, risk değerlendirme araçlarının birlikte evrilmesi gerektiği vurgulanmaktadır.³⁴

Avrupa Birliği’nin AI Act düzenlemesi, yapay zekâ teknolojilerini hem güvenli hem de sorumlu biçimde yönlendirmeyi amaçlayan ilk kapsamlı yasal çerçevedir. Yasa, risk temelli yaklaşımı, yasakladığı uygulamalar, yüksek riskli sistemler için getirdiği sıkı yükümlülükler, GPAI modellerine özel hükümler ve denetim mekanizmaları ile dikkat çeker. Düzenlemenin etkinliği, yalnızca hükümlerin yazılı metne dökülmesinde değil, kurumsal kapasite, standardizasyon süreçleri, teknik denetim gücü ve sektörle kurulan diyalog ile de şekillenecektir.

Dipnotlar

1.AB’nin YZ düzenleme çerçevesi genel bakış:
https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai

2.Resmî metin (Regulation (EU) 2024/1689) — EUR-Lex:
https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng

3.AI Act özet ve risk yaklaşımı:
https://artificialintelligenceact.eu/high-level-summary/

4.Yasalaşma ve kapsam (White & Case analizi):
https://www.whitecase.com/insight-alert/long-awaited-eu-ai-act-becomes-law-after-publication-eus-official-journal

5.KPMG — “Decoding the EU Artificial Intelligence Act” (PDF):
https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2024/02/decoding-the-eu-artificial-intelligence-act.pdf

6.ISACA — “Understanding the EU AI Act”:
https://www.isaca.org/resources/white-papers/2024/understanding-the-eu-ai-act

7.ISACA — pazara sunma/hizmete sokma/kullanım ayrımları (aynı belge):
https://www.isaca.org/resources/white-papers/2024/understanding-the-eu-ai-act

8.AB dışı sağlayıcıların kapsama girmesi (ISACA):
https://www.isaca.org/resources/white-papers/2024/understanding-the-eu-ai-act

9.İstisnalar ve muafiyetler (ISACA):
https://www.isaca.org/resources/white-papers/2024/understanding-the-eu-ai-act

10.Yasaklanan uygulamalar — manipülasyon, sosyal puanlama (Holland & Knight özeti):
https://www.hklaw.com/en/insights/publications/2024/03/the-european-unions-ai-act-what-you-need-to-know

11.Yüksek risk alan örnekleri (White & Case):
https://www.whitecase.com/insight-alert/long-awaited-eu-ai-act-becomes-law-after-publication-eus-official-journal

12.Yüksek risk yükümlülükleri — risk yönetimi, dokümantasyon (White & Case):
https://www.whitecase.com/insight-alert/long-awaited-eu-ai-act-becomes-law-after-publication-eus-official-journal

13.Eğitim verisi/test senaryoları/dokümantasyon (White & Case):
https://www.whitecase.com/insight-alert/long-awaited-eu-ai-act-becomes-law-after-publication-eus-official-journal

14.Canlı ortam izleme ve güncelleme (KPMG PDF):
https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2024/02/decoding-the-eu-artificial-intelligence-act.pdf

15.Uygunluk değerlendirmesi/üçüncü taraf değerlendirmeleri (White & Case):
https://www.whitecase.com/insight-alert/long-awaited-eu-ai-act-becomes-law-after-publication-eus-official-journal

16.Uygulayıcı (deployer) sorumlulukları (ISACA):
https://www.isaca.org/resources/white-papers/2024/understanding-the-eu-ai-act

17.Sınırlı risk — şeffaflık yükümlülükleri (AI Act özeti):
https://artificialintelligenceact.eu/high-level-summary/

18.Minimal risk — gönüllü davranış kuralları (AI Act özeti):
https://artificialintelligenceact.eu/high-level-summary/

19.GPAI yükümlülüklerinin yürürlüğe giriş tarihi (Skadden notu):
https://www.skadden.com/insights/publications/2025/08/eus-general-purpose-ai-obligations

20.Eğitim verisi özeti/şeffaflık şablonu (WilmerHale blog):
https://www.wilmerhale.com/en/insights/blogs/wilmerhale-privacy-and-cybersecurity-law/european-commission-releases-mandatory-template-for-public-disclosure-of-ai-training-data

21.GPAI “Code of Practice” (AB Dijital Strateji sayfası):
https://digital-strategy.ec.europa.eu/en/policies/contents-code-gpai

22.Kurumsal yapı/AI Office üzerine akademik tartışma (arXiv 2407.10369):
https://arxiv.org/abs/2407.10369

23.“Regulatory learning” ve uygulama (arXiv 2503.05787):
https://arxiv.org/abs/2503.05787

24.Denetleyici kurum kapasitesi ve koordinasyon (arXiv 2407.10369):
https://arxiv.org/abs/2407.10369

25.AI Office ve ulusal otoritelerin rolleri (arXiv 2407.10369):
https://arxiv.org/abs/2407.10369

26.AI Office/AI Board/bilimsel panel koordinasyonu önerileri (arXiv 2407.10369):
https://arxiv.org/abs/2407.10369

27.Yaptırım rejimi — genel çerçeve (IBM genel bakış):
https://www.ibm.com/think/topics/eu-ai-act

28.Para cezaları — aralıklar ve ciro yüzdeleri (IBM):
https://www.ibm.com/think/topics/eu-ai-act

29.“Brussels Effect” ve küresel etki (KPMG PDF):
https://assets.kpmg.com/content/dam/kpmg/xx/pdf/2024/02/decoding-the-eu-artificial-intelligence-act.pdf

30.Eleştiriler — maliyet, belirsizlik, KOBİ etkisi (EY politika anlaşması özeti, PDF):
https://www.ey.com/content/dam/ey-unified-site/ey-com/en-gl/services/ai/documents/ey-eu-ai-act-political-agreement-overview-february-2024.pdf

31.Teknoloji hızı vs. düzenleme esnekliği (arXiv 2503.05787):
https://arxiv.org/abs/2503.05787

32.Generatif modeller — kamuya açık eğitim verisi özeti şablonu (WilmerHale):
https://www.wilmerhale.com/en/insights/blogs/wilmerhale-privacy-and-cybersecurity-law/european-commission-releases-mandatory-template-for-public-disclosure-of-ai-training-data

33.Telif ve yaratıcı toplulukların eleştirileri (The Guardian haberi):
https://www.theguardian.com/technology/2025/feb/19/eu-accused-of-leaving-devastating-copyright-loophole-in-ai-act

34.Düzenleyici öğrenme ve metriklerin evrimi (arXiv 2503.05787):
https://arxiv.org/abs/2503.05787