Yapay zekâ, son yıllarda ekonomik hayatı ve toplumsal düzeni dönüştüren en önemli teknolojilerden biri haline gelmiştir. Bu dönüşüm, fırsatlar kadar güvenlik, şeffaflık, insan hakları ve rekabet hukuku gibi alanlarda riskleri de beraberinde getirmiştir. Avrupa Birliği (AB), bu risklere cevap verebilmek için Avrupa Birliği Yapay Zekâ Yasası’nı (Yasa veya Yapay Zekâ Yasası) kabul etmiş ve yapay zekâya ilişkin kapsamlı bir hukuki çerçeve oluşturmuştur. Bu çerçevenin temelinde risk temelli yaklaşım bulunmaktadır. Yasa, yapay zekâ sistemlerini farklı kategorilere ayırmakta ve her kategori için ayrı yükümlülükler öngörmektedir. Yüksek riskli sistemlere sıkı denetim ve kayıt tutma yükümlülükleri getirilirken, düşük riskliler için daha sınırlı şeffaflık tedbirleri öngörülmektedir.
Bununla birlikte, tek bir risk kategorisine sığmayan ve çok çeşitli alanlarda kullanılabilen Genel Amaçlı Yapay Zekâ (GPAI) modelleri Bölüm V altında düzenlenmiştir. Söz konusu hükümler 2 Ağustos 2025 itibarıyla yürürlüğe girmiş ve kademeli bir uyum süreci öngörülmüştür. Bu tarihten sonra piyasaya sunulan GPAI modelleri için derhâl uyum zorunluluğu getirilirken, 2 Ağustos 2025’ten önce pazara sürülen modeller açısından ise 2 Ağustos 2027’ye kadar geçiş süreci tanınmıştır.
Getirilen bu düzenlemeler, yalnızca AB içindeki aktörlerle sınırlı kalmamakta; AB pazarıyla doğrudan ticaret yapan veya iş birliği yürüten üçüncü ülke şirketlerini de kapsamaktadır. Dolayısıyla, Yapay Zekâ Yasası Türkiye’de faaliyet gösteren şirketler açısından da doğrudan önem taşımaktadır. AB pazarına ürün veya hizmet sunan ya da Avrupa’daki iş ortaklarıyla çalışan Türk şirketleri, faaliyetlerinin niteliğine göre Yasa kapsamına girecek; yapay zekâ tabanlı çözümler geliştiren veya kullanan şirketlerin de uyum süreçlerini dikkate alması gerekecektir. Bu yazıda öncelikle GPAI düzenlemelerine ilişkin temel kavramlar ele alınacak; tamamlayıcı kaynaklara kısaca değinilecek ve sonrasında 2 Ağustos 2025 itibarıyla yürürlüğe giren GPAI hükümleri ele alınarak bu düzenlemelerin kapsamı ve doğurabileceği yükümlülükler incelenecektir.
Temel Kavramlar
GPAI modeli, yalnızca tek bir alana yönelik tasarlanmamış; farklı veri türlerinden öğrenerek çok çeşitli görevlerde yüksek performans gösterebilen geniş kapsamlı yapay zekâ modellerini ifade eder. Bu modeller, farklı sektörlerde ve uygulamalarda uyarlanabilir şekilde kullanılabilir. Avrupa Komisyonu tarafından yayınlanan GPAI Modellerine Yönelik Yükümlülüklerin Kapsamına Dair Rehber uyarınca, bir yapay zekâ modelinin GPAI kapsamında değerlendirilebilmesi için özellikle şu kriterler dikkate alınmaktadır:
- Eğitiminde 10²³ FLOP üzeri hesaplama gücü kullanılmış olması, veya
- Metin, ses, görüntü ve video gibi birden fazla çıktı türünde yüksek genel kabiliyet göstermesi.
Yukarıda sıralanan kriterlere tam uymasa bile, çoklu görev ve yüksek genel yetkinlik sergileyen modeller de GPAI kapsamında değerlendirilebilir. Günümüzde GPT-5, Claude, Gemini ve LLaMA gibi modeller bu kategoriye örnek gösterilebilir. Bu tür modeller; sohbet robotları, metin üretimi, görsel ve video analizi, sesli asistanlar, kod üretimi ve veri analitiği gibi birçok işlevi tek bir sistem üzerinden gerçekleştirebilir.
GPAI sağlayıcısı, GPAI modelini geliştiren veya kendi adı ya da ticari markası altında, ücret karşılığında ya da ücretsiz olarak AB pazarına sunan gerçek ya da tüzel kişidir. Ayrıca, mevcut bir model üzerinde performans, genel yetkinliği veya risk profilini maddi şekilde etkileyen değişiklikler yapan ya da yeniden eğiten aktörler de yalnızca yaptıkları değişiklikler ile sınırlı olmak üzere, sağlayıcı sıfatı kazanır.
Uygulamayı Yönlendiren Tamamlayıcı Kaynaklar
GPAI modellerine ilişkin yükümlülüklerin kapsamı ve uygulama biçimi, yalnızca Yasa hükümleriyle değil, Avrupa Komisyonu tarafından yayımlanan bazı tamamlayıcı rehberler veya dokümanlar aracılığıyla da somutlaştırılmaktadır. Bu çerçevede Komisyon, Temmuz 2025’te iki temel referans niteliğinde kaynak yayımlamıştır.
- GPAI Modellerine Yönelik Yükümlülüklerin Kapsamına Dair Rehber (Rehber): Bağlayıcı olmamakla birlikte, idarenin ve piyasa aktörlerinin başvurduğu yorumlayıcı referans metin olarak öne çıkar. “GPAI” ve “GPAI sağlayıcısı” kavramlarının kapsamını, pazara arzın hangi hâllerde gerçekleştiğini, açık kaynak projelerine ilişkin istisnaların sınırlarını ve sistemik risk eşiği/erken bildirim yükümlülüğüne dair ilkeleri somutlaştırır.
- Genel Amaçlı Yapay Zekâ Uygulama Kodları (Uygulama Kodları): Bağlayıcı olmayan bir iyi uygulamalar çerçevesidir. Sağlayıcıların yükümlülüklerini somut süreçlerle hayata geçirmelerine ve uyumu gönüllü olarak göstermelerine yardımcı olur. Şeffaflık, telif hakkı uyumu ve güvenlik/emniyet başlıklarına odaklanır; teknik dokümantasyon, aşağı akış (downstream) bilgilendirmesi, test-izleme ve olay bildirimine dair pratik adımlar önerir.
GPAI Sağlayıcılarının Yükümlülükleri
Yasa’nın V. Bölümü, GPAI modellerini geliştiren ve pazara sunan sağlayıcılara özgü bir dizi yükümlülük getirmektedir. Bu yükümlülüklerin temel amacı, büyük ölçekli modellerin şeffaf, güvenli ve hesap verebilir biçimde geliştirilmesini sağlamak ve aşağı akıştaki entegratörlerin gerekli bilgilere erişimini güvence altına almaktır.
- Bilgi Tutma, Şeffaflık ve Raporlama Yükümlülüğü
GPAI sağlayıcıları, her model için güncel bir teknik dosya oluşturmak ve muhafaza etmekle yükümlüdür. Bu dosyada asgari olarak modelin amaç ve yetkinlikleri, mimarisi, parametre sayısı ve ölçeği, girdi ve çıktı türleri, entegre edilebileceği sistemler ve kullanım senaryoları, piyasaya sürülme tarihi ve yöntemi, kullanım politikaları ve lisans koşulları yer almalıdır. Ayrıca eğitim, test ve doğrulama süreçlerinde kullanılan veri kümelerinin genel özellikleri ve modelin performans değerlendirme sonuçları da belgelenmelidir.
Bu teknik dosya, talep halinde Avrupa Birliği Yapay Zekâ Ofisi (Yapay Zekâ Ofisi) ile ulusal yetkili otoritelere sunulmak üzere hazır tutulmalıdır. Sağlayıcılar ayrıca modeli kendi sistemlerine entegre edecek geliştiricilere, entegrasyon için gerekli teknik gereksinimleri, API bilgileri, kullanım talimatları, modelin sınırlarını ve güvenli kullanım uyarıları gibi pratik bilgileri sağlamakla yükümlüdür. Düzenleyici otoriteler gerek gördüğünde, tasarımın belirli bileşenlerine dair ek teknik açıklamalar veya tahmini enerji tüketimi gibi ek veriler de talep edebilir.
- Eğitim Verisine İlişkin Kamuya Açık Özet Sunma Yükümlülüğü
Şeffaflığı artırmak ve tüm sağlayıcılar için asgari ortak bir standardı sağlamak amacıyla, her GPAI sağlayıcısı, modelin eğitiminde kullanılan veriler hakkında kamuya açık bir özet yayımlamakla yükümlü tutulmuştur. Avrupa Komisyonu tarafından hazırlanan Eğitim Verisi Özeti Şablonu (Özet Şablon), bu belgenin biçim ve içeriğine ilişkin standartları belirlemektedir.
Bu şablona göre söz konusu özet; modelin eğitiminde kullanılan veri miktarı ve türlerini, kullanılan başlıca veri kaynaklarını (kamuya açık veri setleri, özel veri tabanları, kullanıcı verileri, web taraması yoluyla elde edilen içerikler vb.) ve veri temizleme ile eleme yöntemlerini içermelidir. Ayrıca yasa dışı içeriklerin ayıklanması ve telif haklarına tabi verilerin uygun şekilde kullanılması için alınan önlemler de belirtilmelidir.
- Sistemik Risk Değerlendirmesi ve Ek Yükümlülükler
Yasa, çok yüksek hesaplama kapasitesine ve yaygın toplumsal etki potansiyeline sahip bazı GPAI modellerini “sistemik risk” kategorisinde izlemektedir. Rehber’de tanımlandığı üzere, eğitiminde 10²⁵ FLOP veya üzeri hesaplama kullanılan modeller kural olarak sistemik risk varsayımı altında değerlendirilmektedir. Bu düzey, yalnızca en gelişmiş jeneratif büyük dil veya multimodal modellerin eğitimine denk düşmektedir. Bununla birlikte, bu eşiğin altında kalan bir model dahi AB genelinde ciddi toplumsal etkiler doğurma potansiyeline sahipse, Avrupa Komisyonu tarafından sistemik risk kategorisine alınabilmektedir. Rehber ayrıca, teknolojik gelişmelere uyum sağlamak amacıyla ölçütlerin güncellenebileceğini de öngörmektedir.
Sistemik risk kategorisinde değerlendirilen GPAI modelleri bakımından, Yasa’nın yukarıda açıklanan genel şeffaflık ve bilgi paylaşımı yükümlülüklerine ek bazı sorumluluklar getirilmektedir. Bu kapsamda sağlayıcılar:
- Kapsamlı model değerlendirmesi yürütmekle yükümlüdür; bu değerlendirme, durumun gereklerine uygun standartlaştırılmış protokollere ve güncel teknik araçlara dayanmalıdır.
- Modelin beklenmeyen davranışlarını veya zafiyetlerini ortaya çıkarmak için saldırı simülasyonları (red teaming) gerçekleştirmek ve sonuçlarını belgelendirmek zorundadır.
- Bu değerlendirmeler sonucunda ortaya çıkan veya öngörülen sistemik risk kaynaklarını tespit etmeli; riskleri azaltmak için tasarım değişiklikleri, kullanım kısıtları veya veri süreçlerinde iyileştirmeler yapmalı ve alınan tedbirlerin etkinliğini sürekli izlemelidir.
- Modelin ve destekleyici altyapının yeterli siber güvenlik düzeyinde kurulmasını ve sürdürülmesini temin etmelidir.
- Modelin yol açtığı veya yol açma ihtimali bulunan ciddi olayları düzenli biçimde izlemek, kayıt altına almak ve gerekli düzeltici önlemleri almakla yükümlüdür. Bu olaylar ve alınan tedbirler, makul olmayan bir gecikme olmaksızın Yapay Zekâ Ofisi’ne ve gerektiğinde ulusal yetkili otoritelere bildirilmelidir.
- Ciddi olay eşiğini aşmayan “yakın tehlike” (near miss) vakaları ise sağlayıcının iç denetim ve risk yönetimi süreçlerinde ele alınmalıdır.
Ayrıca, sağlayıcılar, modellerinin sistemik risk eşiğine ulaştığını veya aştığını tespit ettiklerinde, bu durumu iki hafta içinde Yapay Zekâ Ofisi’ne bildirmekle yükümlüdür…
Yazı: Av. Sevgi Ünsal Özden, Av. Gülnur Çakmak Ergene – Erdem & Erdem
Kaynak: INmagazine 39. Sayı
Diğer Sayıları İçin: INmagazine
Not: Makalelerdeki Görüş ve Yorumlar Yazar veya Yazarlara Ait Olup, Etik ve İtibar Derneği’nin Konu ile İlgili Düşüncelerini Yansıtmamaktadır.