EU AI Act ve Türkiye için Yansımaları
EU AI Act Türkiye’deki ihracatçıları, yazılım evlerini ve AB’li kurumsal müşterilere hizmet veren herkesi yakından ilgilendiriyor. Dünyanın ilk kapsamlı yapay zekâ yasası, yükümlülüklerini kademeli olarak devreye alıyor ve etkisini tedarik zinciri üzerinden sınırların ötesine taşıyor. Bu rehber, yasanın getirdiklerini ve Türk firmaları için pratik hazırlık adımlarını özetler.
EU AI Act ne getiriyor?
EU AI Act (AB 2024/1689), AI sistemlerini kullanım amacına göre risk sınıflarına ayırır ve her sınıfa farklı yükümlülük yükler. Yaklaşım ürün güvenliği mevzuatına benzer: yüksek riskli sistemler için uygunluk değerlendirmesi, teknik dokümantasyon ve CE işareti düzeni öngörülür. Yükümlülükler 2025’ten itibaren kademeli yürürlüktedir; yüksek riskli sistem şartlarının ana gövdesi geçiş süreleriyle uygulanmaktadır.
Risk kategorileri
| Sınıf | Örnekler | Yükümlülük |
|---|---|---|
| Yasak | Sosyal skorlama, manipülatif teknikler, kamusal alanda gerçek zamanlı biyometrik tanıma (dar istisnalarla) | Pazara sürülemez |
| Yüksek risk | İşe alım, kredi skorlama, kritik altyapı, tıbbi cihaz bileşeni, eğitimde değerlendirme | Risk yönetimi, veri yönetişimi, insan gözetimi, teknik dosya, uygunluk değerlendirmesi |
| Sınırlı risk | Sohbet botları, deepfake/üretilmiş içerik | Şeffaflık: kullanıcı AI ile etkileştiğini bilmeli, içerik işaretlenmeli |
| Minimum risk | Spam filtresi, oyun AI’ı | Gönüllü davranış kuralları |
Genel amaçlı AI (GPAI) modelleri için ayrıca şeffaflık ve teknik dokümantasyon yükümlülükleri vardır.
Türkiye’deki firmaları nasıl etkiler?
Üç etki kanalı:
- Doğrudan kapsam: AB pazarına AI sistemi sunuyorsanız (ürün, SaaS, gömülü bileşen) yasa sizi AB’de kurulu firmalar gibi bağlar. Sistem çıktısının AB’de kullanılması da kapsama girebilir.
- Tedarik zinciri baskısı: AB’li müşteriniz kendi AI Act uyumu için tedarikçilerinden kanıt ister: risk değerlendirmesi, veri yönetişimi, insan gözetimi belgeleri. Denetim anketlerinde “AI yönetim sisteminiz var mı?” sorusu artık standart.
- İhale ve sözleşme şartları: AB bağlantılı projelerde AI yönetişimi kanıtı ön koşul hâline geliyor; sözleşmelere AI Act uyum taahhütleri ekleniyor.
Yani “AB’de ofisimiz yok” demek muafiyet anlamına gelmez; müşteriniz AB’deyse yükümlülük sözleşme yoluyla size ulaşır.
ISO 42001 ile ilişki
EU AI Act yasal şartları koyar; ISO/IEC 42001 bu şartları karşılayacak yönetim sistemini kurar. Örtüşme belirgindir:
| AI Act şartı (yüksek risk) | ISO 42001 karşılığı |
|---|---|
| Risk yönetim sistemi | Madde 6.1 + 6.1.4 (AI etki değerlendirmesi) |
| Veri ve veri yönetişimi | Ek A.7 (AI için veri) |
| Teknik dokümantasyon ve kayıt | Madde 7.5 + Ek A.6 (yaşam döngüsü) |
| Şeffaflık ve kullanıcı bilgilendirme | Ek A.8 |
| İnsan gözetimi | Ek A.9 kapsamındaki kullanım kontrolleri |
| Kalite yönetim sistemi | AIMS’in bütünü (PDCA) |
Belge, AI Act uygunluğunu otomatik sağlamaz; ama denetlenebilir altyapıyı ve müşteri denetimlerinde güçlü kanıtı sunar. Karşılaştırmalı çerçeve için ISO 42001 nedir rehberine bakın.
Pratik adımlar
- AI envanteri çıkarın — geliştirdiğiniz ve kullandığınız tüm sistemler. (Risk değerlendirme rehberimiz envanter şablonunu anlatır.)
- AI Act ön sınıflandırması yapın — hangi sistemler yüksek risk adayı, hangileri şeffaflık yükümlülüğünde?
- Müşteri beklentilerini netleştirin — AB’li müşterilerinizin tedarikçi denetim anketlerini toplayın; istenen kanıtları listeleyin.
- Yönetim sistemi eksiklerinizi ölçün — ücretsiz gap analizi 10 dakikada tablonuzu çıkarır.
- Dokümantasyon ve kontrolleri kurun — risk metodolojisi, veri yönetişimi, insan gözetimi prosedürleri; gerekiyorsa belgelendirmeye ilerleyin.
AB tedarik zinciri baskısını belgeye çevirmek için danışmanlık hizmetimiz AI Act etkilenme analizini de kapsar — teklif alın.