EU AI Act (AB Yapay Zeka Yasası)

#EUAIAct #YapayZekaYasasi #RiskTemellıDüzenleme #EtikYapayZeka #ABDüzenlemesi #Uyum #GDPR

AB Yapay Zeka Yasası, yapay zeka sistemlerini risk düzeyine göre sınıflandıran ve düzenleyen Avrupa Birliği'nin kapsamlı yasal çerçevesidir.

AB Yapay Zeka Yasası (EU AI Act), Avrupa Birliği'nin yapay zeka sistemlerinin geliştirilmesi, piyasaya sürülmesi ve kullanımına ilişkin kapsamlı düzenleyici çerçevesidir. 12 Temmuz 2024'te AB Resmi Gazetesi'nde yayımlanan ve 1 Ağustos 2024'te yürürlüğe giren bu yasa, dünyada yapay zekayı doğrudan düzenleyen ilk kapsamlı yasal mekanizmadır. Yasa, risk temelli bir yaklaşım benimsemekte ve yapay zeka sistemlerini dört ana kategoride sınıflandırmaktadır: kabul edilemez risk (yasaklı), yüksek risk, genel amaçlı yapay zeka modelleri ve minimum ya da sınırlı risk. Kabul edilemez risk kategorisindeki sistemler —kamu kurumlarının sosyal puanlama uygulamaları, farkında olmadan bilinçaltı manipülasyon tekniklerine başvuran yapay zeka sistemleri ve kamuya açık alanlarda gerçek zamanlı biyometrik tanımlama— yasayla tamamen yasaklanmıştır. Yüksek risk grubundaki sistemler; işe alım süreçleri, kredi skorlama, sınır kontrolü ve kritik altyapı yönetimi gibi alanları kapsamakta olup üçüncü taraf uygunluk değerlendirmesine, AB veri tabanına kayda ve kapsamlı risk yönetimi sistemlerine tabi tutulmaktadır. Genel amaçlı yapay zeka modeli sağlayıcıları ise şeffaflık yükümlülükleri kapsamında telif hakkıyla korunan eğitim verilerini açıklamak zorundadır. Yasanın uygulanması kademeli bir takvime yayılmıştır: 2 Şubat 2025'ten itibaren yasaklı uygulamalar sona erdirilmiş ve yapay zeka okuryazarlığı yükümlülükleri devreye girmiştir. 2 Ağustos 2025'ten itibaren genel amaçlı yapay zeka modeli sağlayıcıları şeffaflık gerekliliklerine uymak zorundadır. Yasanın tamamı 2 Ağustos 2026'da tam anlamıyla yürürlüğe girmiştir. İhlaller ağır yaptırımlara yol açmaktadır: yasaklı uygulamaları ihlal eden kuruluşlar 35 milyon Euro veya küresel yıllık cirosunun %7'sine kadar, yüksek riskli sistem gerekliliklerini ihlal edenler ise 15 milyon Euro veya cirosunun %3'üne kadar para cezasıyla karşılaşabilir. AB Yapay Zeka Yasası yalnızca Avrupa'da faaliyet gösteren şirketleri değil, yapay zeka çıktıları AB sınırları içinde kullanılan tüm küresel kuruluşları da kapsamaktadır. Bu extraterritorial etki yasayı GDPR ile kıyaslanabilir kılmakta ve yapay zeka düzenlemesinde küresel bir referans noktasına dönüştürmektedir.

AB Yapay Zeka Yasası Nedir ve Neden Önemlidir?

AB Yapay Zeka Yasası (EU AI Act), Avrupa Birliği'nin yapay zeka sistemlerini kapsamlı biçimde düzenleyen yasal çerçevesidir. 12 Temmuz 2024'te AB Resmi Gazetesi'nde yayımlanmış ve 1 Ağustos 2024'te yürürlüğe girmiştir. Bu yasa, yapay zekayı bütüncül bir perspektifle ele alan ve risk temelli bir metodoloji benimseyen dünyadaki ilk kapsamlı düzenleyici mekanizmadır. Yasanın önemi birkaç boyuttan ele alınabilir: Birincisi, AB'nin 450 milyonu aşkın nüfusunu ve yaklaşık 17 trilyon Euro'luk ekonomisini temsil eden bir pazarda faaliyet gösteren tüm küresel oyuncuları kapsaması. İkincisi, yapay zeka geliştirme ve dağıtım süreçleri için somut standartlar belirleyerek belirsizliği ortadan kaldırması. Üçüncüsü, ihlaller için caydırıcı mali yaptırımlar öngörmesi. Pek çok analist yasayı, GDPR'ın veri koruma alanındaki dönüştürücü etkisine benzer şekilde, yapay zeka düzenlemesinde küresel bir referans noktası olarak değerlendirmektedir.

Dört Risk Kategorisi

Kabul Edilemez Risk (Yasaklı)

Temel haklara veya demokratik değerlere ciddi tehdit oluşturan sistemler tamamen yasaklanmıştır. Sosyal puanlama, bilinçaltı manipülasyon ve kamuya açık alanlarda gerçek zamanlı biyometrik tanımlama bu kategoriye girer.

Yüksek Risk

İşe alım, kredi skorlama, sınır kontrolü ve kritik altyapı yönetimi gibi kritik sektörlerde kullanılan sistemler. Üçüncü taraf uygunluk değerlendirmesi, AB veri tabanı kaydı ve risk yönetim sistemi zorunludur.

Genel Amaçlı Yapay Zeka (GPAI)

GPT serisi, Claude gibi geniş kapsamlı modeller. Sağlayıcılar teknik dokümantasyon yayımlamak ve telif hakkıyla korunan eğitim verilerini şeffaf biçimde açıklamak zorundadır.

Minimum / Sınırlı Risk

Spam filtreleri ve öneri sistemleri gibi düşük riskli uygulamalar. Gönüllü davranış kuralları teşvik edilir; zorunlu yükümlülükler minimaldır.

Uygulama Takvimi

  • check_circle 1 Ağustos 2024 — Yürürlüğe giriş: Yasa resmen yürürlüğe girdi; üye devletler ve kuruluşlar için geçiş süreci başladı.
  • check_circle 2 Şubat 2025 — Yasaklı uygulamalar ve okuryazarlık: Kabul edilemez risk kategorisindeki sistemlerin kullanımı durduruldu; tüm kuruluşlarda yapay zeka okuryazarlığı yükümlülüğü devreye girdi.
  • check_circle 2 Ağustos 2025 — GPAI gereklilikleri: Genel amaçlı yapay zeka modeli sağlayıcıları için şeffaflık ve teknik dokümantasyon yükümlülükleri başladı.
  • check_circle 2 Ağustos 2026 — Tam uygulama: Yüksek riskli yapay zeka sistemlerine yönelik tüm gereklilikler yürürlüğe girdi: uygunluk değerlendirmesi, AB veri tabanı kaydı, kapsamlı risk yönetimi.
  • check_circle 2 Ağustos 2027 — Ek yükümlülükler: İşe alım, kredi skorlama ve kolluk kuvvetleri gibi ek Annex III sistemleri için genişletilmiş uyumluluk gereklilikleri.

Yaptırımlar ve Küresel Kapsam

AB Yapay Zeka Yasası, yalnızca AB'de yerleşik şirketleri değil, yapay zeka çıktıları AB sınırları içinde kullanılan tüm küresel kuruluşları kapsamaktadır. Bu extraterritorial etki, yasayı GDPR ile karşılaştırılabilir kılmaktadır. Yaptırımlar ihlal türüne göre farklılaşmaktadır: Yasaklı uygulamaların ihlali halinde 35 milyon Euro veya küresel yıllık cironun %7'si uygulanabilir. Yüksek riskli sistem gerekliliklerinin ihlalinde 15 milyon Euro veya küresel cironun %3'ü, yanlış veya yanıltıcı bilgi sunulması halinde ise 7,5 milyon Euro veya cironun %1,5'i oranında para cezası öngörülmüştür. Denetim iki katmanda yürütülmektedir: Genel amaçlı yapay zeka modelleri için AB Yapay Zeka Ofisi, diğer tüm yapay zeka sistemleri için ise üye devletlerin ulusal düzenleyici kurumları yetkilidir.

Sıkça Sorulan Sorular

  • check_circle AB Yapay Zeka Yasası Türkiye'deki şirketleri etkiler mi?: Evet. Yapay zeka ürün veya hizmetleriniz AB'de kullanılıyorsa, şirketiniz Türkiye'de faaliyet gösterse bile yasaya uymak zorundadır. Bu extraterritorial etki, GDPR'ın uygulanma biçimiyle aynı mantığı izlemektedir.
  • check_circle ChatGPT veya Claude gibi modeller hangi kategoriye girer?: Bu modeller 'Genel Amaçlı Yapay Zeka' (GPAI) kategorisine girmektedir. Sağlayıcılar teknik dokümantasyon yayımlamalı ve telif hakkıyla korunan eğitim verilerini şeffaf biçimde açıklamalıdır. Geniş kullanıcı kitlesine sahip ya da sistemik risk taşıyan modeller ek yükümlülüklere tabidir.
  • check_circle Sistemimin yüksek riskli olup olmadığını nasıl anlarım?: İşe alım, kredi skorlama, eğitim, sağlık, sınır yönetimi veya kritik altyapı gibi sektörlerde yapay zeka kullanıyorsanız yüksek risk kategorisine girebilirsiniz. Kesin sınıflandırma için yasanın Annex III listesini incelemeniz ve hukuki danışmanlık almanız önerilir.
  • check_circle Yasaklı uygulamalar nelerdir?: Kamu kurumlarının sosyal puanlama sistemleri, bilinçaltı yöntemlerle insan davranışını manipüle eden yapay zeka, biyometrik sınıflandırma (cinsiyet, ırk, siyasi görüş), kamuya açık alanlarda gerçek zamanlı biyometrik tanımlama ve çocuklara yönelik duygu tanıma uygulamaları yasaklıdır.
  • check_circle AB Yapay Zeka Yasası ile GDPR arasındaki fark nedir?: GDPR kişisel verilerin toplanması ve işlenmesini düzenlerken, AB Yapay Zeka Yasası bu verileri kullanan yapay zeka sistemlerinin nasıl tasarlanacağını ve denetleneceğini belirlemektedir. İki düzenleme birbirini tamamlayıcı niteliktedir; yüksek riskli yapay zeka sistemleri çoğu zaman GDPR uyumluluğunu da zorunlu kılmaktadır.