Avrupa Birliği Yapay Zeka Yasası Risk Sınıflandırma Sistemi
Genel

Avrupa Birliği Yapay Zeka Yasası Risk Sınıflandırma Sistemi

9 min read

2024/1689 sayılı AB Yapay Zeka Yasası (“Yasa”), yalnızca bir AB düzenlemesi değil; AB pazarına ürün, model veya çıktı sunan şirketler için fiili bir pazar erişimi ve yönetişim standardı haline gelmektedir. 1 Ağustos 2024 itibarıyla yürürlüğe giren Yasa, yapay zekayı tek tip bir teknoloji olarak değil, kullanım bağlamına göre değişen bir risk profili üzerinden ele almaktadır.

Yasa kapsamında yapay zeka sistemlerinin bazı kullanım alanları doğrudan yasaklanırken, bazıları için yoğun uyum yükümlülükleri, bazıları için ise esas olarak şeffaflık kuralları öngörülmektedir. Etki alanı da yalnızca AB içi aktörlerle sınırlı değildir; AB pazarına sunulan sistemler, AB’de kullanılan çıktılar ve ilgili tedarik zinciri rolleri üzerinden AB dışı ülke şirketleri de kapsam içine girebilmektedir.

1.     Risk Seviyeleri ve Yaptırımlar

Yasanın öngördüğü dört risk kademesi ve ilgili yaptırımlar şu şekildedir:

  • Kabul Edilemez Risk: Tamamen yasaklı uygulamaları kapsamaktadır. 2 Şubat 2025 tarihi itibarıyla yürürlüğe girmiştir ve ihlal durumunda 35 milyon Euro veya küresel yıllık cironun %7’sine kadar ceza (hangisi daha yüksekse) öngörülmüştür.
  • Yüksek Risk: Katı uyumun zorunlu olduğu uygulamaları kapsamaktadır. Yasa’nın Ek III’ünde belirtilen sistemler için 2 Ağustos 2026, Ek I’inde belirtilen ürün güvenliği sistemleri için ise 2 Ağustos 2027 tarihi itibarıyla yürürlüğe girecektir. İhlal durumunda 15 milyon Euro veya küresel cironun %3’üne kadar ceza (hangisi daha yüksekse) öngörülmüştür.
  • Sınırlı Risk: Şeffaflık yükümlülüklerine tabi uygulamaları kapsamaktadır. 2 Ağustos 2026 tarihi itibarıyla yürürlüğe girecektir. İhlal durumunda 15 milyon Euro veya küresel cironun %3’üne kadar ceza (hangisi daha yüksekse) öngörülmüştür.
  • Minimal Risk: Yasa kapsamında minimal risklere karşı özel düzenleyici gereksinimler bulunmamaktadır.
1.1      Kabul Edilemez Risk

2 Şubat 2025 tarihi itibarıyla belirli yapay zeka uygulamaları AB pazarından tamamen yasaklanmıştır. Bu yasak, yapay zekanın insan davranışını manipüle etme veya temel hakları ihlal etme potansiyeli taşıyan kullanımlarını hedef almaktadır.

Yasaklanan uygulamalar şu şekildedir:

  • Bilinçaltı teknikler veya aldatıcı yöntemlerle davranışı manipüle eden ve zarara yol açan sistemler
  • Yaş, engellilik veya sosyoekonomik duruma ilişkin hassasiyetleri istismar eden sistemler
  • Sosyal davranış veya kişilik özelliklerine dayalı sosyal puanlama sistemleri
  • Bir kişinin suç işleme riskini yalnızca profillemeye veya kişilik özelliklerinin değerlendirilmesine dayanarak tahmin eden yapay zeka uygulamaları
  • İnternet veya güvenlik kamerası görüntülerinden hedeflenmemiş şekilde görüntü toplayarak yüz tanıma veri tabanları oluşturmak
  • İşyeri ve eğitim ortamlarında duygu tanıma sistemleri (tıbbi veya güvenlik amaçları hariç)
  • Irk, siyasi görüş, dini inanç veya cinsel yönelim çıkarımında bulunan biyometrik kategorizasyon
  • Güvenlik amacıyla halka açık alanlarda gerçek zamanlı uzaktan biyometrik tanımlama (sınırlı istisnalar hariç)
1.2      Yüksek Risk

Yüksek riskli yapay zeka sistemleri, güvenliği veya temel hakları doğrudan etkileme potansiyeli taşıyan ve bu nedenle kapsamlı uyum yükümlülüklerine tabi olan sistemlerdir.

Bir sistem iki şekilde yüksek riskli sayılabilir:

Ürün güvenliği mevzuatı yoluyla (Ek I): Tıbbi cihazlar, makineler, oyuncaklar veya araçlar gibi Yasa’nın Ek I’inde listelenen AB ürün güvenliği mevzuatına tabi ürünlerde yapay zeka kritik bir işlev üstleniyorsa yüksek risk kapsamına girmektedir. Örneğin, bir aracın fren sistemini kontrol eden veya bir tıbbi cihazın teşhis kararlarını yönlendiren yapay zeka sistemleri bu kategoridedir.

Kullanım alanı yoluyla (Ek III): Ürün güvenliği mevzuatından bağımsız olarak, Yasa’nın Ek III’ünde belirlenen sekiz kritik alanda kullanılan yapay zeka sistemleri doğrudan yüksek riskli sayılmaktadır. Bu alanlar şu şekilde özetlenebilir:

  • Yapay zeka destekli biyometrik tanımlama sistemleri
  • Dijital altyapı, ulaşım, enerji tedariki gibi kritik altyapılara ait güvenlik bileşenleri
  • Eğitim kurumlarına kabul, notlandırma ve sınav izleme sistemleri
  • İşe alım, performans değerlendirme ve işten çıkarma kararları
  • Kredi değerliliği veya kredi skoru tespiti, gerçek kişiler bakımından hayat ve sağlık sigortasında risk değerlendirmesi ve fiyatlama ile kamu yardımı ve temel kamu hizmetlerine erişim uygunluğunun değerlendirilmesi
  • Kolluk faaliyetlerinde risk değerlendirmesi ve profilleme
  • Göç ve sınır kontrolünde kişi tespiti ve tanımlaması, risk değerlendirmesi, vize ve iltica başvuru incelemesi (seyahat belgesi doğrulaması hariç)
  • Yargı süreçlerinde, seçim veya referandum sonuçlarını ya da oy verme davranışını etkilemeye yönelik sistemler
1.2.1    Yüksek Riskli Sistemler için Zorunlu Gereksinimler

Yasa, yüksek riskli sistemler için pazara sunulma öncesi ve sonrası boyunca kapsamlı gereksinimler öngörmektedir. Bu gereksinimler, sistemin tasarımından başlayarak kullanımdan kaldırılmasına kadar olan bütün süreci kapsamaktadır:

  • Risk Yönetimi (Madde 9): Risklerin tanımlanması, analizi ve azaltılmasına yönelik sürekli ve sistematik bir süreç öngörülmüştür. Tek seferlik değerlendirmenin yeterli olmadığı, sistemin kullanımda olduğu sürece risk yönetimi devam ettirilmesi gerekmektedir.
  • Veri Yönetişimi (Madde 10): Eğitim, doğrulama ve test verilerinin kalite standartlarına uygun olması ve verilerin temsili, doğru ve olası önyargılardan arındırılmış olması gerekmektedir.
  • Teknik Dokümantasyon (Madde 11): Sistemin tasarımı, geliştirme süreci, test sonuçları ve performans özelliklerinin yetkili makamlarca denetlenebilir şekilde belgelenmesi gerekmektedir.
  • Kayıt Tutma (Madde 12): Sistemin otomatik olarak olay günlükleri (log) oluşturması ve bu kayıtların, sistemin kullanım süresi boyunca izlenebilir ve denetlenebilir olması gerekmektedir.
  • Şeffaflık ve Kullanım Talimatı (Madde 13): Yüksek riskli sistemin işleyişi, sistemi kullananların çıktıları yorumlayıp uygun şekilde kullanabilmesine elverecek ölçüde şeffaf olmalı; sağlayıcı ayrıca kullanıcıya/dağıtıcıya yönelik açık, doğru ve anlaşılır kullanım talimatı, performans sınırları, öngörülebilir riskler, insan gözetimi önlemleri ve teknik gereksinimleri sağlamalıdır.
  • İnsan Denetimi (Madde 14): Sistemin yetkili kişilerce izlenebilir, gerektiğinde müdahale edilebilir ve durdurulabilir şekilde tasarlanması gerekmektedir.
  • Doğruluk, Sağlamlık ve Siber Güvenlik (Madde 15): Sistemin tutarlı performans göstermesi, hatalara karşı dayanıklı olması ve siber saldırılara (veri zehirleme, model manipülasyonu gibi) karşı korunması gerekmektedir.

Sistem sağlayıcıları, yapay zeka sistemlerini AB pazarına sunmadan önce uygunluk değerlendirmesini tamamlamalı ve sistemi AB veri tabanına kaydetmelidir.

1.3      Sınırlı Risk

Sınırlı risk kategorisindeki yapay zeka sistemleri, kullanıcıların yapay zeka ile etkileşimde olduklarını bilmelerini sağlayan şeffaflık yükümlülüklerine tabidir.

Bu kategorideki yükümlülükler:

  • Yapay zeka kullanımının açıklanması: Kullanıcılarla doğrudan etkileşim kuran yapay zeka sistemleri, kullanıcıları bir yapay zeka sistemiyle iletişimde olduğu konusunda bilgilendirmelidir.
  • İnsanlarla doğrudan etkileşim kuran yapay zeka sistemleri bakımından bilgilendirme yükümlülüğü: Kullanıcı, bir yapay zeka sistemiyle etkileşimde bulunduğu konusunda bilgilendirilmelidir (durum açıkça belli değilse).
  • Sentetik içerik üreten sistemler bakımından işaretleme yükümlülüğü: Sentetik ses, görüntü, video veya metin üreten sağlayıcılar, çıktının yapay olarak üretildiğini veya manipüle edildiğini teknik olarak tespit edilebilir ve makinece okunabilir şekilde işaretlemelidir.
  • Duygu tanıma ve biyometrik kategorizasyon kullanan dağıtıcı bakımından bilgilendirme yükümlülüğü: Bu sistemlere maruz kalan kişiler, sistemin kullanımından haberdar edilmelidir.
  • Deepfake içerik kullanan dağıtıcı bakımından açıklama yükümlülüğü: Yapay olarak üretilmiş veya manipüle edilmiş görüntü, ses ve video içeriklerin bu niteliği açıklanmalıdır. Kamu yararını ilgilendiren metinlerde ise ayrıca yapay üretim/manipülasyon açıklaması gündeme gelebilir; ancak insan editoryal denetimi ve sorumluluğunun bulunduğu bazı durumlarda istisna söz konusu olabilir.

1.4      Minimal Risk

Kurumsal kullanımların önemli bir bölümü, Yasa kapsamında doğrudan ağır bir uyum rejimine tabi değildir. Spam filtreleri, stok ve envanter optimizasyonu veya oyun içi yapay zeka gibi örneklerde özel yükümlülükler doğmayabilir. Ancak bu alanın kalıcı olduğu varsayılmamalıdır: aynı çözüm, istihdam, kredi, kabul veya erişim kararlarına entegre edildiğinde farklı bir risk sınıfına geçebilir. Bu nedenle “düşük risk” değerlendirmesi, teknik mimariden çok kullanım bağlamı üzerinden yapılmalıdır.

2.     Yasa’nın Türkiye’deki Kuruluşlar Üzerindeki Etkisi

Türkiye açısından kritik soru, “AB pazarı, AB müşterisi veya AB tedarik zinciri üzerinden bu rejim bizi fiilen ilgilendirir mi?” sorusudur. Eğer bir Türk şirketi AB pazarına yapay zeka sistemi veya genel amaçlı yapay zeka modeli sunuyor, ürettiği çıktılar AB’de kullanılıyor ya da AB’ye giden ürün ve hizmet zincirinde sağlayıcı, dağıtıcı, ithalatçı, entegratör veya üretici rolü üstleniyorsa, Yasa o şirket için teorik değil operasyonel bir gündem haline gelir. Bu nedenle konu yalnızca hukuk veya uyum ekiplerinin değil; ürün, satış, insan kaynakları, veri yönetişimi, satın alma ve teknoloji fonksiyonlarının da ortak başlığıdır.

2.1      Yasa’nın Türkiye’deki Sektörel Uygulama Alanı

Türkiye’de en yüksek etkiyi görmesi muhtemel alanlar, AB’ye ürün veya hizmet sunan ve karar etkisi yüksek kullanım senaryolarına temas eden sektörler olacaktır. Otomotiv, makine, tıbbi cihaz ve benzeri ürün güvenliği bağlantılı sektörlerde yapay zekânın güvenlik açısından kritik fonksiyon üstlenmesi yüksek risk tartışmasını doğurabilir. Finans, sigorta, istihdam ve eğitim gibi alanlarda ise risk, doğrudan bireyler hakkında sonuç doğuran değerlendirme ve sınıflandırma süreçlerinde yüksek risk doğurabilecek alanlardır. Buna karşılık chatbot’lar, içerik üretim araçları ve müşteri etkileşimi çözümleri çoğu durumda daha hafif şeffaflık yükümlülükleriyle karşılaşacaktır. Ancak burada da dikkat edilmesi gereken temel unsur, aynı aracın karar etkisi yükseldiğinde daha ağır bir rejime geçebileceğidir.

2.2      Türkiye’de Yasa ile Paralel Düzenleyici Çerçeve

Türkiye’de bugün itibarıyla Yasa’ya denk kapsam ve yaptırım mimarisine sahip özel bir yapay zeka kanunu yürürlükte değildir. Bununla birlikte veri koruma mevzuatları, KVKK’nın yapay zekaya ilişkin tavsiye ve rehberleri ile Ulusal Yapay Zeka Stratejisi gibi düzenleyici zeminler; Türkiye’de kapsamlı bir yapay zeka regülasyonu açısından giderek daha görünür bir beklenti seti üretmektedir. Mart 2026 tarihli TBMM Yapay Zekâ Araştırma Komisyonu Raporu[1] da bu beklentinin politika düzeyinde somutlaştığını göstermektedir. Rapor, yapay zekânın kazanımlarına yönelik atılacak adımların belirlenmesi, hukuki altyapının oluşturulması ve yapay zeka kullanımından doğabilecek risklerin önlenmesine ilişkin tedbirlerin tespit edilmesi amacıyla hazırlanmış olup; veri yönetişimi, güvenilirlik, etik, güvenlik, insan kaynağı, yatırım, altyapı ve uluslararası iş birlikleri gibi başlıkları birlikte ele almaktadır. Bu nedenle Türk şirketleri için en gerçekçi yaklaşım, AB uyumunu yalnızca AB pazarına erişim gerekliliği olarak değil, Türkiye’de oluşması beklenen yerel yönetişim ve uyum beklentilerine hazırlık olarak da görmektir.

2.3      Türkiye Açısından Temel Çıkarımlar

Türk şirketleri bakımından pratik değerlendirme birkaç temel soruya indirgenebilir:

  • AB’de kullanılacak bir çıktı mı üretiliyor?
  • AB müşterisine bir yapay zeka sistemi veya model mi sunuluyor?
  • Çözüm, istihdam, kredi, sigorta, eğitim, biyometri veya ürün güvenliği gibi hassas bir kullanım alanına mı temas ediyor?
  • Şirket, tedarik zincirinde yalnızca teknoloji sağlayıcısı mı yoksa ürünün pazara arzında doğrudan rol alan bir aktör mü?

Bu sorulardan herhangi birine verilen evet cevabı; sınıflandırma, dokümantasyon, sözleşmesel rol dağılımı, olası temsil yükümlülükleri ve pazar erişimi bakımından erken hazırlık ihtiyacına işaret eder.

3.     Sonraki Adımlar ve Uyum Hazırlığı

Şirketler açısından en kritik nokta, Yasa uyumunun tek seferlik bir hukuk kontrolü olarak değil, sistemin yaşam döngüsüne yayılan bir yönetişim disiplini olarak ele alınması gerektiğidir. Mevcut takvim uyarınca yasaklı uygulamalar 2 Şubat 2025’ten, genel amaçlı yapay zeka modellerine ilişkin kurallar 2 Ağustos 2025’ten, şeffaflık yükümlülükleri ile yüksek risk rejiminin önemli bir bölümü ise 2 Ağustos 2026’dan itibaren uygulanacaktır. Ürün güvenliği bağlantılı bazı yüksek riskli sistemler için daha ileri tarihler öngörülmüştür. Bununla birlikte Avrupa Komisyonu, yüksek risk rejiminin uygulanma takviminde değişiklik öngören bir sadeleştirme önerisi yayımlamıştır[2]. Bu nedenle şirketler için en doğru yaklaşım, bugün yürürlükte olan takvime göre hazırlık yapmak, ancak uygulama tarihlerini etkileyebilecek AB düzeyindeki değişiklik sürecini de yakından izlemektir.

Pratikte iyi bir başlangıç noktası üç adımda kurulabilir: ilk olarak, kurum içinde kullanılan ve geliştirilen yapay zeka çözümlerinin envanteri çıkarılmalı ve kullanım bağlamına göre sınıflandırılmalıdır. İkinci olarak, şirketin rolü netleştirilmelidir; çünkü aynı organizasyon farklı senaryolarda sağlayıcı, uygulayıcı, dağıtıcı veya tedarik zinciri aktörü olabilir. Üçüncü olarak ise veri yönetişimi, teknik dokümantasyon, insan gözetimi, kayıt tutma, tedarikçi sözleşmeleri ve iç onay mekanizmaları bakımından boşluk analizi yapılmalıdır. Erken hazırlık, yalnızca düzenleyici riskin azaltılması için değil, AB pazarına erişim ve ticari güven ilişkilerinin korunması bakımından da giderek daha stratejik bir gereklilik haline gelmektedir.

[1] TBMM, Yapay Zekânın Kazanımlarına Yönelik Atılacak Adımların Belirlenmesi, Bu Alanda Hukuki Altyapının Oluşturulması ve Yapay Zekâ Kullanımının Barındırdığı Risklerin Önlenmesine İlişkin Tedbirlerin Belirlenmesi Amacıyla Kurulan Meclis Araştırması Komisyonu Raporu, Sıra Sayısı: 260, Mart 2026.

[2] Komisyon, 19 Kasım 2025 tarihinde “Digital Omnibus” teklif paketini (“Teklif”) yayımlamıştır. Teklif’te, teknik standartların tamamlanamaması nedeniyle yüksek riskli sistem yükümlülüklerinin ertelenmesi önerilmektedir. Teklif’e göre Yasa’nın Ek III’ünde belirtilen sistemleri için en geç Aralık 2027, Ek I’inde belirtilen sistemler için en geç Ağustos 2028 olarak yürürlük tarihlerinin ertelenmesi önerilmektedir. Teklif’in yürürlüğü, Avrupa Parlamentosu ve Avrupa Birliği Konseyi onayına tabidir.

Yazı: Canberk Kartal, KPMG Türkiye Yardımcı Müdür

Not: Makalelerdeki Görüş ve Yorumlar Yazar veya Yazarlara Ait Olup, Etik ve İtibar Derneği’nin Konu ile İlgili Düşüncelerini Yansıtmamaktadır.