AVRUPA YAPAY ZEKA TÜZÜĞÜ (AI ACT)

1. Giriş: Avrupa’da Yapay Zekâya Hukuki Çerçeve

Teknolojinin ivmelenmesiyle birlikte yapay zekâ (“YZ”) sistemleri yalnızca teknik bir yenilik değil, aynı zamanda hukuk, etik ve insan hakları açısından da ciddi bir düzenleme alanı hâline geldi. Avrupa Komisyonu’nun 21 Nisan 2021’de önerdiği ve 13 Mart 2024’te Avrupa Parlamentosu ile Avrupa Konseyi tarafından kabul edilen “Avrupa Yapay Zekâ Tüzüğü (AI Act)”, bu alandaki ilk kapsamlı ve bağlayıcı küresel düzenleme olarak hukuk tarihinde önemli bir dönüm noktasıdır.

AI Act, yalnızca Avrupa Birliği (“AB”) sınırları içindeki aktörleri değil, AB pazarına YZ ürünü veya hizmeti sunan üçüncü ülke şirketlerini de doğrudan etkileyen “ekstrateritoryal” bir düzenleme niteliği taşımaktadır. Bu yönüyle, Türkiye’de faaliyet gösteren birçok teknoloji, finans, üretim ve hizmet şirketi açısından doğrudan uyum yükümlülükleri ortaya çıkmaktadır.

2. Tüzüğün Amacı ve Temel İlkeleri

AI Act’in ana hedefi;

  • güvenli, şeffaf ve insan haklarına saygılı YZ sistemlerinin geliştirilmesini teşvik etmek,

  • etik ve hukuki sınırlar içinde inovasyonu desteklemek,

  • kamu güvenliği, kişisel veri koruması ve ayrımcılıkla mücadele alanlarında asgari standartlar oluşturmak,

  • ve Avrupa’nın dijital ekonomide küresel rekabet gücünü artırmaktır.

Bu düzenleme, Avrupa’daki mevcut veri koruma rejimi olan GDPR (Genel Veri Koruma Tüzüğü) ile tamamlayıcı bir ilişki içindedir. Veri koruması, algoritmik hesap verebilirlik ve insan denetimi ilkeleri, her iki düzenlemede de kesişmektedir.

3. Uygulama Alanı ve Kapsam

AI Act, yalnızca AB içinde geliştirilen sistemleri değil;

  • AB içinde piyasaya arz edilen veya hizmet olarak sunulan YZ sistemlerini,

  • AB’de YZ sonuçlarından yararlanan kullanıcıları,

  • ve AB’de faaliyet gösteren şirketlere YZ bileşeni sağlayan üçüncü ülke üreticileri de kapsamaktadır.

Dolayısıyla Türkiye’de geliştirilen bir yapay zekâ sistemi, eğer AB’ye ihraç ediliyor veya AB’li bir müşterinin hizmetinde kullanılıyorsa, AI Act yükümlülüklerine tabidir.

4. Risk Esaslı Kategorilendirme

Tüzük, YZ sistemlerini risk düzeylerine göre dört ana kategoriye ayırır:

Kategori Tanım Hukuki Sonuç
1. Yasaklanmış Uygulamalar İnsan davranışını manipüle eden, sosyal puanlama yapan veya temel hakları ihlal eden sistemler Tamamen yasak
2. Yüksek Riskli Sistemler Sağlık, finans, ulaşım, istihdam, eğitim, adalet gibi kritik alanlardaki sistemler Zorunlu sertifikasyon, denetim ve kayıt
3. Sınırlı Riskli Sistemler Sohbet robotları, sahte içerik üreten modeller gibi kullanıcı bilgilendirmesi gereken sistemler Şeffaflık yükümlülüğü
4. Asgari Riskli Sistemler Genel amaçlı, kişisel risk yaratmayan sistemler Serbest ancak etik denetim önerilir

Bu sistemlerin risk profili, tedarikçi ve kullanıcıya farklı yükümlülükler getirir. Özellikle yüksek riskli sistemler için YZ’nin eğitildiği verinin kalitesi, doğruluğu, önyargısızlığı ve güvenliği hukuken denetlenebilir hâle gelmiştir.

5. Türkiye’deki Hukuki Yansımalar ve Mevcut Düzenlemelerle İlişki

Türkiye’de doğrudan YZ’ye özgülenmiş bir “Yapay Zekâ Kanunu” henüz bulunmamakla birlikte, çeşitli düzenlemeler AI Act’in ruhuna paralel bir çerçeve oluşturmaktadır:

  • Kişisel Verilerin Korunması Kanunu (KVKK), algoritmaların veri işleme süreçlerine ilişkin temel ilkeleri belirler.

  • Tüketicinin Korunması Hakkında Kanun, YZ temelli ürünlerin tüketici güvenliği ve bilgilendirme yükümlülüklerini düzenler.

  • Türk Ceza Kanunu’nda (TCK) yer alan “veri güvenliği” ve “bilişim suçları” hükümleri, kötüye kullanım risklerini kapsar.

  • Elektronik Ticaret ve Reklam Mevzuatı, YZ ile oluşturulan içeriklerde şeffaflık ve doğruluk gerekliliklerini destekler.

Ayrıca Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nin 2021-2025 Ulusal Yapay Zekâ Stratejisi, kamu ve özel sektör için etik ilke seti oluşturmuştur. Bu belge, AI Act uyum çalışmalarında yön gösterici bir ulusal referans olarak değerlendirilebilir.

6. Şirketler İçin Uyum Süreci: Pratik Yol Haritası

AB ile ticari ilişkisi bulunan veya AB menşeli müşterilere YZ hizmeti sunan Türk şirketlerinin, AI Act yürürlüğe girmeden önce aşağıdaki adımları tamamlaması önerilir:

  1. YZ Envanteri Oluşturun: Şirket içinde kullanılan veya geliştirilen tüm YZ sistemlerinin fonksiyonu, veri kaynakları ve karar süreçleri belgelensin.

  2. Risk Değerlendirmesi Yapın: AI Act’e göre sistemlerin risk kategorileri belirlensin.

  3. Yasal ve Teknik Uyum Planı Hazırlayın: Gerekli sertifikasyon, etik denetim ve veri yönetimi standartları belirlensin.

  4. Veri Yönetişimi ve Şeffaflık Politikaları Güncellensin: Kullanıcı bilgilendirmesi, hatalı kararların düzeltilmesi ve insan gözetimi prosedürleri oluşturulsun.

  5. Eğitim ve Farkındalık Programları: Uyumun yalnızca teknik değil, organizasyonel bir kültür değişimi olduğu unutulmamalı.

  6. Denetim ve Sürekli İzleme: YZ sistemleri dinamik olduğu için, periyodik denetimler yapılmalı ve model güncellemeleri hukuki gözden geçirmeye tabi tutulmalı.

7. Uluslararası Uygulamalar: ABD, Birleşik Krallık ve OECD Yaklaşımları

  • ABD: Federal düzeyde bir çatı kanun bulunmasa da, NIST’in yayımladığı AI Risk Management Framework (2023), etik, şeffaflık ve hesap verebilirlik ilkeleri açısından AI Act’e benzer bir referans noktası haline gelmiştir.

  • Birleşik Krallık: “Pro-Innovation Approach to AI Regulation” stratejisi ile, AI Act’ten daha esnek ama etik temelli bir yapı benimsenmiştir.

  • OECD: 42 ülke tarafından imzalanan OECD AI Principles belgesi, insan merkezli YZ kullanımını temel alan küresel bir norm oluşturur.

Türkiye, OECD üyesi olarak bu prensiplerin tarafıdır; dolayısıyla ulusal düzenlemeler ve sektörel rehberler bu normlarla uyumlu geliştirilmektedir.

8. Sonuç: Yeni Dönemde Hukukun Rolü

Yapay zekâ hukuku artık “geleceğin meselesi” değil, mevcut iş modellerinin çekirdeğinde yer alan bir uyum başlığıdır.
AI Act’in yürürlüğe girmesiyle birlikte:

  • Şirketler için yeni bir regülasyon kültürü,

  • Toplum için ise daha güvenli ve hesap verebilir dijital ekosistem doğmaktadır.

Türk şirketlerinin, özellikle AB’ye hizmet sunan teknoloji, finans, üretim ve lojistik sektörleri açısından bu süreci erken başlatmaları, hem hukuki riskleri azaltacak hem de uluslararası güvenilirliklerini artıracaktır. Türkiye’deki şirketler, bu tüzüğe uyum sağlayarak Avrupa pazarında rekabet avantajı elde edebilir ve güvenilir YZ çözümleri sunarak itibarlarını artırabilir. Bu süreçte, kapsamlı bir uyum stratejisi izleyerek ve gerekli adımları atarak, şirketler YZ teknolojilerinin sunduğu fırsatlardan en iyi şekilde yararlanabilirler.