Yapay Zekâ Hukuku: Avrupa Birliği Yapay Zeka Yasasına Genel Bakış Ve Türkiye’deki Şirketler Bakımından Etkileri

Yapay Zekâ Hukuku: Avrupa Birliği Yapay Zeka Yasasına Genel Bakış Ve Türkiye’deki Şirketler Bakımından Etkileri

Yapay zekânın (“YZ”) pek çok sektörde hızla yayılması, bu teknolojilerin etik ve güvenlik yönlerinin de gündeme gelmesine sebebiyet vermektedir. Regülasyona ihtiyaç duyulan bu yeni alan için ilk adımı Avrupa Birliği (“AB”), Avrupa Parlamentosu’nun 13 Mart 2024’te kabul edip Avrupa Konseyi’nin 21 Mayıs 2024’te onayladığı, 12 Temmuz 2024’te resmi olarak yayımlanan ve 1 Ağustos 2024’te yürürlüğe giren Avrupa Birliği Yapay Zekâ Yasası (“Yasa”) [1] ile atmış oldu. Yasa, dünyada yapay zekâya ilişkin şu ana kadarki en kapsamlı düzenleme olma özelliğini barındırıyor.
Bu çalışma, Yasa’nın kapsamını, getirilen risk sınıflandırmalarını, yükümlülükleri ve uygulama takvimini ayrıntılı olarak ele alacaktır.

1. Avrupa Birliği Yapay Zekâ Yasası Nedir?

2024 yılı mart ayında Avrupa Parlamentosu tarafından kabul edilen ve 1 Ağustos 2024 tarihinde yürürlüğe giren düzenleme, YZ sistemlerinin kullanımını ve piyasaya sürülmesini denetlemeyi; bu teknolojilerin güvenilir, şeffaf ve insan haklarına saygılı bir yapıya kavuşmasını amaçlamaktadır. Bu düzenleme, şimdiye kadar YZ’ye ilişkin hazırlanmış en kapsamlı yasal çerçeve olma özelliğini taşımaktadır.

Yasa, YZ sistemlerini şu şekilde tanımlanmaktadır: “Farklı özerklik seviyelerinde çalışacak biçimde tasarlanmış; kullanım sonrasında uyum yeteneği gösterebilen, açık veya örtük amaçlar doğrultusunda aldığı girdilerden yola çıkarak öngörüler, içerikler, tavsiyeler veya kararlar üreten ve bu çıktılarla fiziksel veya sanal ortamları etkileyebilen makine tabanlı sistem.”

Söz konusu düzenleme, aslında AB’nin 2019 yılında yayımladığı “Güvenilir Yapay Zekâ için Etik Rehber [2]” adlı rehbere dayanmaktadır. Bu rehber ile güvenilir bir YZ’nin, yasal çerçeveye ve etik değerlere uygun olmasının yanı sıra teknik açıdan sağlam ve toplumsal çevreyle uyumlu olması gerektiği vurgulanmıştır. Ayrıca, YZ sistemlerinin geliştirilmesinde dikkate alınması gereken yedi temel gereklilik ortaya konulmuştur.

Rehbere göre YZ sistemlerinde olması gereken özellikler şu şekildedir;

• İnsanın iradesi ve denetimi: İnsanlara da karar alma imkânın tanınmalı ve sisteme dahil olabilme hakkının verilmelidir.
• Teknik sağlamlık ve güvenlik: Güvenli ve dayanıklı sistemlerin oluşturulmalıdır.
• Mahremiyet ve veri yönetimi: Kişisel verilerin korunması sağlanmalıdır.
• Şeffaflık: Veriler ve sistem anlaşılır şekilde olmalıdır.
• Çeşitlilik, ayrımcılık yapmama ve adalet: Sistemler herkes için erişilebilir olmalıdır.
• Toplumsal ve çevresel fayda: Sistemler toplumun yararına olmalıdır.
• Hesap verebilirlik: Sistemlerin sonuçları için sorumluluk ve hesap verebilirlik mekanizmaları kurulmalıdır.

2. Yasa Kimlere ve Hangi Şartlarda Uygulanmaktadır?

Yasa’nın 2.maddesi uyarınca yükümlülükler 6 farklı grup için düzenlenmiştir, bunlar; sağlayıcılar (providers), ithalatçılar (importers), dağıtıcılar (distributors), ürün üreticileri (product manufacturers), yetkili temsilciler (authorised representatives) ve kullanıcılardır (deployers).

• Sağlayıcılar (Providers): Bir YZ sistemini veya genel amaçlı AI modelini geliştiren veya kendi adıyla piyasaya süren kişi ya da kuruluştur.
• İthalatçılar (Importers): Avrupa Birliği dışından gelen bir YZ ürününü AB pazarına sokan kişi ya da kuruluştur.
• Dağıtıcılar (Distributors): Ürünü AB içinde piyasaya sunan ve dağıtımını yapan kişi ya da kuruluştur.
• Ürün Üreticileri (Product Manufacturers): YZ’nin, fiziksel bir ürün olarak piyasaya çıktığı ihtimalde bu ürünün üreten kişi ya da kuruluştur.
• Yetkili Temsilciler (Authorised Representatives): AB dışındaki sağlayıcıların, AB içinde kendilerini temsil etmesi için atadığı kişilerdir.
• Kullanıcılar (Deployers): YZ’yi kendi faaliyetlerinde uygulayan kişi veya kuruluşlardır.

Belirtmek gerekir ki, Yasa’nın 2.maddesinde belirtildiği üzere sayılan gruplardaki aktörlerin AB içerisinde yerleşik olup olmadıklarına bakılmadan YZ sisteminin AB içerisinde piyasaya sunulması, ürünün AB içerisinde kullanılması gibi durumlarda da Yasa uygulama alanı bulacaktır. Bu da Yasa’nın ne kadar kapsayıcı olduğunu ve sadece AB sınırları içerisinde kalmadığını, küresel bir etki doğurduğunu göstermektedir. Türk şirketler özelinde de AB pazarında yer alan AB içerisinde YZ sistemi piyasaya sunan ve AB içerisinde YZ sistemi kullanımı yapan Türkiye’de kurulu şirketlerin de bu doğrultuda Yasa’ya uyum sağlaması büyük önem arz etmektedir.

3. Yasa’nın Getirdiği Risk Temelli Yaklaşım

Yasa yukarıda belirtmiş olduğumuz gruplara risk temelli bir yaklaşım prensibi ile belirli yükümlülükler getirmektedir. Risk temelli yaklaşım prensibinde 4 gruba ayrılmış bir yapı mevcuttur; bu yapıda gruplar, toplum ve bireylere potansiyel olarak en çok zarar verebilecek olandan en az zarar verebilecek olana olacak şekilde sınıflandırılmıştır;

• Kabul edilemez risk: Tolere edilemeyecek ölçüde zarar riski taşıyan sistemlerdir. Bu sistemlerin kullanımı tamamen yasaktır.
• Yüksek risk: Hassas alanlarda kullanılan ve önemli zarar potansiyeline sahip sistemlerdir.
• Sınırlı risk: Daha düşük risk taşıyan, ancak kullanıcıya yapay zekâ ile muhatap olduğunu açıklama gibi şeffaflık yükümlülükleri olan sistemlerdir.
• Asgari risk: Zararı minimal veya hiç olmayan sistemlerdir. Yasada bu risk grubu için herhangi bir düzenleyici yükümlülük belirlenmemiştir.

Kabul edilemez risk, Yasa’nın “prohibited AI practices” başlıklı 5.maddesinde düzenlenmiştir. Kabul edilemez risk içeren YZ sistemleri 2 Şubat 2025’ten itibaren yasaklı hale gelmiştir. Bu madde kapsamında yasaklı hale gelen YZ sistemlerinin başında, bireylerin karar verme sürecini engelleyip manipülatif tekniklerle bireylere zarar veren sistemler gelmektedir. Bunun haricinde, yüz fotoğrafları toplayarak yüz tanıma veri tabanları oluşturan YZ sistemleri, sosyal davranış veya kişisel özellikler üzerinden bireyleri ya da grupları değerlendiren ya da sınıflandıran ve bu kişilerin aleyhine olumsuz muameleye yol açan sosyal puanlama yapan YZ sistemleri de kabul edilemez derecede riskli olarak değerlendirilmiştir.

Yüksek risk içeren YZ sistemleri ise, uzaktan yüz tanıma, biyometrik kategorilendirme ve duygu tanıma sistemleri, yol trafiği, enerji şebekesi veya su dağıtımı gibi kritik dijital altyapıların yönetiminde kullanılan YZ sistemleri, eğitim ve istihdam alanlarında aday seçimi, öğrenci kabulü veya performans değerlendirmesi için kullanılan YZ sistemleri ile kamu yardımlarına erişimi belirleyen, kredi skoru hesaplayan veya acil çağrıları önceliklendiren YZ sistemleri olarak belirlenmiştir. Yüksek risk içeren grup Yasa’da en çok yükümlülüğe tabi olan gruptur. Bu risk grubunda olan YZ sistemlerinin sağlayıcılarının, Yasa’nın 16.maddesinde belirtilen yükümlülüklere uyum sağlaması gerekmektedir.

Bu yükümlülüklerden bazıları şunlardır; risk yönetimi, veri yönetimi ve şeffaflık gerekliliklerine uyum sağlamak, sağlayıcı kimlik bilgilerini sistem üzerinde belirtmek, oluşturulan kayıtları saklamak, kalite yönetim sistemi kurmak, AB uygunluk beyanı vermek ve sisteme CE işaretini eklemek.

4. Genel Amaçlı Yapay Zekâ Modelleri

Yasa’nın 5.bölümü Genel Amaçlı Yapay Zekâ Modellerine (“GPAI”) ayrılmıştır. GPAI, belirli bir makine öğrenimi sağlanmadan kendi kendine bilgi elde edebilen, özellikle öğretilmediği ya da geliştirilmediği halde verilen görevleri yerine getirebilen YZ sistemleridir. Yasa’nın 3.maddesi 63.bent ile tanımı şu şekilde yapılmıştır “Genel amaçlı yapay zekâ modeli, büyük miktarda veri ile geniş ölçekte öz-denetimli yöntemlerle eğitilmiş olabilen; belirgin bir genellik sergileyen ve piyasaya sürülme şekline bakılmaksızın çok sayıda farklı görevi yetkin bir şekilde yerine getirebilen; çeşitli alt sistemlere veya uygulamalara entegre edilebilen yapay zekâ modelini ifade eder.” Yasa’da GPAI modeline ilişkin ayrı bir bölüm ayrılmış olup Yasa’nın geri kalanına ek olarak ayrı yükümlülükler bu modeli kullanan YZ sistemleri için getirilmiştir. Yasa GPAI için 2 farklı risk grubu öngörmüştür. Bu risk grupları; sistemik olmayan risk ve sistemik risk olarak belirlenmiştir. Her iki risk grubu da için de ortak yükümlülük telif haklarına uyum ve şeffaflık olup, sistemik risk teşkil eden ChatGPT gibi GPAI sistemleri için Yasa’nın 55.maddesi ile ek yükümlülükler de getirilmiştir. Bu yükümlülükler; modelin test edilmesi, sistemik risklerin değerlendirilip azaltılması, ciddi olayların raporlanması ve yeterli siber güvenlik önlemlerinin sağlanması şeklindedir ve 2 Ağustos 2025 tarihi itibarıyla yürürlüğe girmiştir.

5. Yaptırımlar

2 Haziran 2025 tarihi itibariyle Yasa’da belirlenen yükümlülüklere uymayanlar için para cezaları da devreye girmiştir. Buna göre uygulanacak idari para cezaları şu şekildedir;

• Yasa’nın 5.maddesinde belirlendiği üzere yasaklı olan sistemlere 35 milyon avroya kadar veya önceki yıl küresel cirolarının %7’si (hangisi yüksekse) kadar idari para cezası uygulanacağı belirlenmiştir.
• Yüksek riskli sistemlerin sağlayıcılarından getirilen yükümlülüklere uymayanlara 15 milyon avroya kadar veya küresel cirolarının %3’ü (hangisi yüksekse) kadar idari para cezası uygulanacağı belirlenmiştir.
• Yetkili otoritelere yanlış, eksik veya yanıltıcı bilgi vermeye ise 7,5 milyon avroya kadar veya küresel cirolarının %1’i (hangisi yüksekse) kadar idari para cezası uygulanacağı belirlenmiştir.

6. Önümüzdeki Günlerde Yasa Kapsamında Beklenen Gelişmeler

Yasa’nın 1 Ağustos 2024’te yürürlüğe girdiğini belirtmiştik. Fakat kademeli bir uygulama benimsendiği için Yasa’nın tamamı yürürlüğe henüz girmemiştir. Yasaklı uygulamalara ve ilişkin hükümler 2 Şubat 2025’te, GPAI ve ceza hükümleri gibi kurallar ise 2 Ağustos 2025’te yürürlüğe girmiş bulunmaktadır. Bir sonraki gelişmenin ise yayınlan takvime göre [3] 2 Şubat 2026 tarihinde yaşanması bekleniyor. Şöyle ki, Avrupa Komisyonu’nun, yüksek riskli sistemlerin sınıflandırılmasına ilişkin Madde 6’nın pratik uygulamasını açıklayan bir rehberi 2 Şubat 2026’ya kadar yayımlaması gerekiyor. Takvimde Yasa’daki kalan hükümler (Madde 6(1) hariç) için 2 Ağustos 2026’dan itibaren yürürlüğe gireceği belirtilmiştir. Bu kademeli takvim yapısı ile aslında yükümlülere uyum için iki yıllık bir geçiş dönemi tanınmış olmaktadır.

Sonuç

Avrupa Birliği tarafından kabul edilen Yapay Zekâ Yasası, kapsamlı, risk temelli ve sistematik yapısıyla yalnızca Avrupa’da değil, küresel ölçekte de yapay zekâ regülasyonlarının yönünü belirleyen öncü bir düzenleme niteliğindedir. Belirtildiği üzere Yasa, yalnızca Avrupa Birliği sınırları içinde faaliyet gösteren şirketlere değil, ürün veya hizmetlerini AB pazarına sunan yahut yapay zekâ sistemlerini AB içerisinde kullanan üçüncü ülke şirketlerine de uygulanacaktır. Bu nedenle, Avrupa Birliği ile ticari veya teknolojik ilişkisi bulunan Türkiye’deki şirketlerin de Yasa kapsamındaki yükümlülüklere tabi olacağı açıktır.

Türkiye’de 25 Haziran 2024 tarihinde “Yapay Zekâ Kanun Tasarısı” kamuoyuna sunulmuş olmakla birlikte, henüz yürürlüğe girmiş bir yasal düzenleme bulunmamaktadır. Dolayısıyla yerel ölçekte bağlayıcı bir mevzuat henüz mevcut değildir. Bu aşamada yalnızca AB pazarında yer alan veya AB merkezli iş ortaklıklarına sahip Türk şirketlerinin, doğrudan uyum yükümlülükleri gündeme gelmektedir. Her ne kadar bu süreç Türk şirketleri açısından teknik, hukuki ve mali anlamda belirli bir uyum zorluğu doğuracak olsa da, Yasa ile uyumlu hareket eden şirketlerin AB pazarında güvenilirlik, şeffaflık ve rekabet avantajı bakımından önemli bir konum elde edeceği öngörülmektedir.

Yasa, yapay zekâ sistemlerinin güvenilir, şeffaf ve insan haklarına saygılı biçimde geliştirilmesini amaçlamakta; bireyleri ve toplumu teknolojik risklerden korumayı hedeflemektedir. Etik, hukuki ve teknik standartları bütüncül bir çerçevede ele alması bakımından, yalnızca teknik uygunluğu değil, aynı zamanda sosyal sorumluluk ve temel haklara saygı ilkelerini de merkezine alan çok katmanlı bir yaklaşım benimsemektedir. Türk şirketlerinin de bu yaklaşımı benimseyerek stratejilerini Yasa’nın getirdiği standartlara göre şekillendirmeleri, gelecekte hem AB pazarındaki varlıklarını sürdürebilmeleri hem de Türkiye’de yürürlüğe girmesi muhtemel ulusal düzenlemelere hazırlıklı olmaları bakımından önem arz etmektedir.

Sonuç olarak, Avrupa Birliği Yapay Zekâ Yasası, yalnızca Avrupa’daki uygulamalara yön veren bir mevzuat olmanın ötesinde, Türkiye’deki kamu otoriteleri, özel sektör ve akademi için de yol gösterici bir referans niteliği taşımaktadır. Henüz tasarı aşamasında bulunan ulusal düzenlemelere ışık tutması ve Türkiye’nin yapay zekâ ekosisteminde güvenilir, etik ve insan odaklı bir gelişim ortamı oluşturulmasına katkı sağlaması beklenmektedir.

Kaynakça

1. The AI Act Explorer. AI Act Explorer. Erişim tarihi: 30 Eylül 2025,
   https://artificialintelligenceact.eu/ai-act-explorer/


2. European Commission. (2019, 8 Nisan). Ethics guidelines for trustworthy AI. Erişim tarihi: 30 Eylül 2025,
   https://digital-strategy.ec.europa.eu/en/library/ethics-guidelines-trustworthy-ai


3. Software Improvement Group. (2025, Ağustos). A comprehensive EU AI Act summary. Erişim tarihi: 30 Eylül 2025,
   https://www.softwareimprovementgroup.com/eu-ai-act-summary/#elementor-toc__heading-anchor-4


4. Bird & Bird LLP. (2024, Aralık). European Union Artificial Intelligence Act – A practical guide. Erişim tarihi: 30 Eylül 2025,
   https://www.twobirds.com/-/media/new-website-content/pdfs/capabilities/artificial-intelligence/european-union-artificial-intelligence-act-guide.pdf