EU AI Act ve Türkiye için Yansımaları

EU AI Act Türkiye’deki ihracatçıları, yazılım evlerini ve AB’li kurumsal müşterilere hizmet veren herkesi yakından ilgilendiriyor. Dünyanın ilk kapsamlı yapay zekâ yasası, yükümlülüklerini kademeli olarak devreye alıyor ve etkisini tedarik zinciri üzerinden sınırların ötesine taşıyor. Bu rehber, yasanın getirdiklerini ve Türk firmaları için pratik hazırlık adımlarını özetler.

EU AI Act ne getiriyor?

EU AI Act (AB 2024/1689), AI sistemlerini kullanım amacına göre risk sınıflarına ayırır ve her sınıfa farklı yükümlülük yükler. Yaklaşım ürün güvenliği mevzuatına benzer: yüksek riskli sistemler için uygunluk değerlendirmesi, teknik dokümantasyon ve CE işareti düzeni öngörülür. Yükümlülükler 2025’ten itibaren kademeli yürürlüktedir; yüksek riskli sistem şartlarının ana gövdesi geçiş süreleriyle uygulanmaktadır.

Risk kategorileri

SınıfÖrneklerYükümlülük
YasakSosyal skorlama, manipülatif teknikler, kamusal alanda gerçek zamanlı biyometrik tanıma (dar istisnalarla)Pazara sürülemez
Yüksek riskİşe alım, kredi skorlama, kritik altyapı, tıbbi cihaz bileşeni, eğitimde değerlendirmeRisk yönetimi, veri yönetişimi, insan gözetimi, teknik dosya, uygunluk değerlendirmesi
Sınırlı riskSohbet botları, deepfake/üretilmiş içerikŞeffaflık: kullanıcı AI ile etkileştiğini bilmeli, içerik işaretlenmeli
Minimum riskSpam filtresi, oyun AI’ıGönüllü davranış kuralları

Genel amaçlı AI (GPAI) modelleri için ayrıca şeffaflık ve teknik dokümantasyon yükümlülükleri vardır.

Türkiye’deki firmaları nasıl etkiler?

Üç etki kanalı:

  1. Doğrudan kapsam: AB pazarına AI sistemi sunuyorsanız (ürün, SaaS, gömülü bileşen) yasa sizi AB’de kurulu firmalar gibi bağlar. Sistem çıktısının AB’de kullanılması da kapsama girebilir.
  2. Tedarik zinciri baskısı: AB’li müşteriniz kendi AI Act uyumu için tedarikçilerinden kanıt ister: risk değerlendirmesi, veri yönetişimi, insan gözetimi belgeleri. Denetim anketlerinde “AI yönetim sisteminiz var mı?” sorusu artık standart.
  3. İhale ve sözleşme şartları: AB bağlantılı projelerde AI yönetişimi kanıtı ön koşul hâline geliyor; sözleşmelere AI Act uyum taahhütleri ekleniyor.

Yani “AB’de ofisimiz yok” demek muafiyet anlamına gelmez; müşteriniz AB’deyse yükümlülük sözleşme yoluyla size ulaşır.

ISO 42001 ile ilişki

EU AI Act yasal şartları koyar; ISO/IEC 42001 bu şartları karşılayacak yönetim sistemini kurar. Örtüşme belirgindir:

AI Act şartı (yüksek risk)ISO 42001 karşılığı
Risk yönetim sistemiMadde 6.1 + 6.1.4 (AI etki değerlendirmesi)
Veri ve veri yönetişimiEk A.7 (AI için veri)
Teknik dokümantasyon ve kayıtMadde 7.5 + Ek A.6 (yaşam döngüsü)
Şeffaflık ve kullanıcı bilgilendirmeEk A.8
İnsan gözetimiEk A.9 kapsamındaki kullanım kontrolleri
Kalite yönetim sistemiAIMS’in bütünü (PDCA)

Belge, AI Act uygunluğunu otomatik sağlamaz; ama denetlenebilir altyapıyı ve müşteri denetimlerinde güçlü kanıtı sunar. Karşılaştırmalı çerçeve için ISO 42001 nedir rehberine bakın.

Pratik adımlar

  1. AI envanteri çıkarın — geliştirdiğiniz ve kullandığınız tüm sistemler. (Risk değerlendirme rehberimiz envanter şablonunu anlatır.)
  2. AI Act ön sınıflandırması yapın — hangi sistemler yüksek risk adayı, hangileri şeffaflık yükümlülüğünde?
  3. Müşteri beklentilerini netleştirin — AB’li müşterilerinizin tedarikçi denetim anketlerini toplayın; istenen kanıtları listeleyin.
  4. Yönetim sistemi eksiklerinizi ölçünücretsiz gap analizi 10 dakikada tablonuzu çıkarır.
  5. Dokümantasyon ve kontrolleri kurun — risk metodolojisi, veri yönetişimi, insan gözetimi prosedürleri; gerekiyorsa belgelendirmeye ilerleyin.

AB tedarik zinciri baskısını belgeye çevirmek için danışmanlık hizmetimiz AI Act etkilenme analizini de kapsar — teklif alın.

SSS

Sık sorulan sorular

EU AI Act Türk firmalarını doğrudan bağlar mı? +

Türkiye'de kurulu olup AB pazarına AI sistemi sunan veya çıktısı AB'de kullanılan sistemler işleten firmaları doğrudan kapsar. AB'ye ihracat yapmayan firmaları doğrudan bağlamaz; ancak AB'li müşterilerin tedarik zinciri denetimleri dolaylı yükümlülük yaratır.

Cezalar ne düzeyde? +

Yasak uygulamalarda 35 milyon Euro'ya veya küresel cironun %7'sine kadar; diğer ihlallerde kademeli olarak daha düşük üst sınırlar öngörülür. Yaptırım, AB'deki dağıtımcı/müşteri üzerinden tedarik zincirine yansır.

ISO 42001 belgesi EU AI Act uyumu yerine geçer mi? +

Hayır, otomatik uygunluk sağlamaz. Ancak yüksek riskli sistemler için istenen risk yönetimi, veri yönetişimi, şeffaflık ve insan gözetimi şartlarının yönetim sistemi altyapısını kurar; uygunluk çalışmasını ciddi ölçüde hızlandırır ve müşteri denetimlerinde güçlü kanıt sunar.

Türkiye'de benzer bir yasa var mı? +

Temmuz 2026 itibarıyla Türkiye'de yürürlükte AI-özel bir çerçeve yasa yok; taslak çalışmalar ve KVKK'nın otomatik karar almaya ilişkin hükümleri mevcut. AB ile ticaret yapan firmalar için fiili standart EU AI Act'tir.

Hazırlığa nereden başlamalıyız? +

AI envanteri çıkarıp sistemlerinizi AI Act risk sınıflarına göre ön etiketleyin. Yüksek risk adaylarını belirleyin, ISO 42001 gap analiziyle yönetim sistemi eksiklerinizi görün, sonra dokümantasyon ve kontrollere geçin.