Yüksek riskli sistemlere ilişkin yükümlülüklerin bir kısmının ertelenmesi şirketleri yanıltmamalı: AI Act zaten kademeli olarak yürürlükte. 2 Ağustos 2026 itibarıyla, özellikle şeffaflık yükümlülükleri açısından yeni ve önemli bir son tarih devreye giriyor. Chatbotlar, yapay zekâ tarafından üretilen içerikler, deepfake’ler, İK araçları, yapay zekâ ile zenginleştirilmiş SaaS çözümleri, konuşma ajanları: IntelligenceArtificielle.com, referans niteliğindeki bir notunda, kuruluşların artık mevzuat takibinden operasyonel envantere geçmesi gerektiğini hatırlatıyor.
Birçok şirkette AI Act hâlâ “hukuk”, “uyum” ya da “sonra ele alınacak” dosyaları arasında yer alıyor. Bu yanlış bir hesap.
Yapay zekâya ilişkin Avrupa düzenlemesi artık uzak bir metin değil. 1 Ağustos 2024’te yürürlüğe girdi ve kademeli olarak uygulanıyor. Belirli yapay zekâ uygulamalarını yasaklayan hükümler ve yapay zekâ okuryazarlığı yükümlülüğü 2 Şubat 2025’ten beri लागू. Yönetişim kuralları ve genel amaçlı yapay zekâ modellerine ilişkin yükümlülükler 2 Ağustos 2025’ten beri uygulanıyor. Bir sonraki büyük aşama ise 2 Ağustos 2026’da geliyor; bu tarihte birçok hüküm genel olarak yürürlüğe girecek, özellikle de 50. maddede öngörülen şeffaflık yükümlülükleri.
Başka bir deyişle, artık soru şu değil: “AI Act ne öngörüyor?” Asıl soru şu: “Şirket içinde yapay zekâyı nerede, nasıl ve neden kullandığımızı gerçekten biliyor muyuz?”
Yüksek riskin ertelenmesi AI Act’i ertelemez
Digital Omnibus bir rahatlama hissi yaratmış olabilir. Yüksek riskli yapay zekâ sistemlerine uygulanacak kurallar artık yeniden düzenlenmek zorunda; Ek III kapsamındaki bağımsız sistemler için uygulamanın 2 Aralık 2027’de, sektörel düzenlemeye tabi ürünlere entegre sistemler için ise 2 Ağustos 2028’de başlaması öngörülüyor. Avrupa Parlamentosu bu sadeleştirme önlemlerini 16 Haziran 2026’da onayladı, ancak metnin yürürlüğe girmeden önce Konsey tarafından resmen kabul edilmesi gerekiyor.
Ancak bu erteleme, düzenlemenin geri kalanını askıya almaz.
Zaten uygulanmakta olan yasaklı uygulamaları ertelemez. Yapay zekâ okuryazarlığı yükümlülüğünü ertelemez. Genel amaçlı yapay zekâ modellerine ilişkin yükümlülükleri ertelemez. Ve şirketlerin 2 Ağustos 2026 tarihini göz ardı etmesine de yol açmamalıdır.
Tam da tuzak burada: AI Act’in yalnızca yüksek riskli sistemlerle başladığını düşünmek. Oysa ilk operasyonel dalga, çok daha yaygın olan birçok kullanım alanını kapsıyor: konuşma asistanları, müşteri chatbotları, yapay zekâ tarafından üretilen içerikler, yapay zekâ yardımıyla yayımlanan metinler, sentetik görseller, yapay sesler, deepfake’ler, iş yazılımlarına entegre üretim araçları.
2 Ağustos 2026’da ne değişiyor?
2 Ağustos 2026 itibarıyla şeffaflık yükümlülükleri merkezî hâle geliyor. Bunlar özellikle kişilerin bir yapay zekâ ile etkileşimde olduklarını bilmeden işlem yapmalarını, sentetik içeriklerin uygun şekilde işaretlenmeden yayılmasını ya da deepfake’lerin ve yapay zekâ tarafından üretilmiş bazı kamu yararı içeriklerinin tamamen insan ürünüymüş gibi sunulmasını önlemeyi amaçlıyor.
Avrupa Komisyonu, 10 Haziran 2026’da yapay zekâ tarafından üretilen içeriklerin şeffaflığına ilişkin bir İyi Uygulamalar Kodu yayımladı. Bu kod, sağlayıcıların ve uygulayıcıların 50. maddede öngörülen işaretleme, etiketleme ve tespit yükümlülüklerine uymasına yardımcı olmayı amaçlıyor. Koda katılım gönüllü, ancak 50. maddedeki şeffaflık yükümlülükleri yasal zorunluluk niteliğinde.
Bir şirket için bu durum oldukça somut sorulara dönüşebilir:
- Bir müşteri bir chatbot ile konuştuğunu biliyor mu?
- Kamu yararına ilişkin bir konuda yayımlanan içerik yapay zekâ tarafından mı üretildi ya da büyük ölçüde yapay zekâ ile mi değiştirildi?
- Bir görsel, video veya sentetik ses buna uygun şekilde belirtiliyor mu?
- Dahili bir araç, insan kararlarını etkileyen metinler, öneriler ya da analizler üretiyor mu?
- Pazarlama, İK, müşteri hizmetleri veya ürün ekipleri neyi belirtmeleri, arşivlemeleri ya da doğrulamaları gerektiğini biliyor mu?
Digital Omnibus ayrıca, 2 Ağustos 2026’dan önce piyasaya sürülmüş sistemlere ilişkin yapay zekâ tarafından üretilen içeriklerin işaretlenmesine dair bazı yükümlülükler için 2 Aralık 2026’ya kadar bir süre öngörüyor. Ancak bu geçiş dönemi, şeffaflığın genel bir ertelenmesi olarak anlaşılmamalıdır: belirli bir kapsamı hedefler.
Asıl risk: görünmez yapay zekâ
Şirketler için en büyük risk her zaman yönetim kuruluna sunulan büyük yapay zekâ projesi değildir. Çoğu zaman risk, zaten orada olan yapay zekâdır.
Bir CRM içinde etkinleştirilmiş yapay zekâ özellikleri. Bir pazarlama aracına eklenmiş bir skor modülü. Bir işe alım ekibi tarafından test edilen bir İK asistanı. İletişim ekibinin kullandığı bir içerik üretici. Bir doküman tabanına bağlı konuşma ajanı. Kullanım haritası net olmayan şekilde devreye alınmış bir ofis copilot’u. Çıktılarında yapay zekâ kullanan ancak bunu açıkça belirtmeyen bir hizmet sağlayıcı.
Hub France IA, kuruluş içindeki yapay zekâ sistemlerinin, piyasadaki çözümlere entegre olanlar, geliştirilmekte olanlar, üretimde olanlar ve daha fikir aşamasında ortaya çıkanlar da dâhil olmak üzere envantere alınmasının önemini özellikle vurguluyor. “Premiers pas vers l’IA de Confiance” başlıklı rehber, veri kaynakları, teknik mimariler, iş kullanım alanları, etkilenen kitleler, devreye alma bağlamı ve ön risk analiziyle birlikte bir yapay zekâ sistemleri kayıt defteri tutulmasını öneriyor.
Aynı doküman, son kullanıcıya çoğu zaman görünmeyen yapay zekâ bileşenlerini giderek daha sık içeren üçüncü taraf sistemlere — yayıncılar, hizmet sağlayıcılar, entegratörler — karşı da uyarıda bulunuyor. Ayrıca “Shadow AI” olgusunu öne çıkarıyor: genel amaçlı araçların gayriresmî kullanımı, sağlayıcılar tarafından eklenen yapay zekâ seçenekleri, satın alma süreçleri dışında alınan küçük SaaS sözleşmeleri, BT’nin radarına girmeyen iç denemeler.
İşte tam bu noktada AI Act uyumu yalnızca hukuk değil, aynı zamanda yönetişim meselesi hâline gelir.
Uyum bir kayıt defteriyle başlar
Birçok kuruluş için ilk faydalı adım büyük bir hukuk projesi başlatmak değildir. Basit bir yapay zekâ kullanım kayıt defteri oluşturmaktır.
Bu kayıt defterinin ilk günden kusursuz olması gerekmez. Şu temel sorulara yanıt verebilmelidir:
- Hangi yapay zekâ aracı veya sistemi kullanılıyor?
- Hangi departman tarafından?
- Hangi iş amacıyla?
- Hangi verilerle?
- Bu kullanım hangi kişiler veya kişi grupları üzerinde etki yaratabilir?
- Şirket yalnızca kullanıcı, uygulayıcı, entegratör ya da sağlayıcı olarak mı hareket ediyor?
- Bu kullanım bir şeffaflık yükümlülüğüne tabi mi?
- Bu kullanım yüksek risk kapsamına girebilir mi?
- Hangi kanıtlar saklanıyor?
- Hangi tedarikçi neyden sorumlu?
Amaç inovasyonu durdurmak değildir. Amaç kontrolü yeniden kazanmaktır.
Yapay zekâyı nerede kullandığını bilmeyen bir şirket, onu kontrol ettiğini de gösteremez. Kimin neyi, hangi verilerle ve hangi amaçla kullandığını bilmeyen bir şirketin ise bir müşteri, denetçi, sigortacı, iş ortağı, kamu alıcısı ya da denetleyici otoritenin talebine yanıt vermesi çok zor olacaktır.
Şimdi devreye alınması gereken kontrol listesi
2 Ağustos 2026 tarihine birkaç hafta kala, şirketler pragmatik bir yöntemle şimdiden ilerleyebilir.
1. Bir AI Act sorumlusu atayın.
Bu mutlaka yeni bir pozisyon oluşturmak anlamına gelmez. Ancak BT, hukuk, satın alma, iş birimleri, İK, uyum, güvenlik ve iletişimi koordine edebilecek belirlenmiş bir sorumlu olmalıdır.
2. Yapay zekâ kullanım envanterini başlatın.
Görünür araçlardan başlayın: chatbotlar, içerik üreticiler, copilot’lar, dahili ajanlar, model API’leri, İK çözümleri, pazarlama araçları, skor araçları, doküman analiz araçları.
3. Görünmez yapay zekâyı arayın.
İş birimlerine, satın almaya ve hizmet sağlayıcılara sorun. Kritik kullanımlar her zaman resmî projelerde yer almaz. SaaS seçeneklerinde, bireysel hesaplarda veya yerel denemelerde olabilirler.
4. Asgari bir kayıt defteri oluşturun.
Her kullanım için: araç, sağlayıcı, amaç, kullanıcı departmanı, işlenen veriler, ilgili kişiler, öngörülen risk seviyesi, olası şeffaflık yükümlülüğü, insan gözetimi, mevcut kanıtlar.
5. Hassas kullanımları belirleyin.
İK, işe alım, çalışan değerlendirmesi, eğitim, kredi, sigorta, sağlık, biyometri, güvenlik, temel hizmetlere erişim: bu alanlar öncelikli olarak analiz edilmelidir.
6. Şeffaflığa hazırlanın.
Chatbotlar, konuşma ajanları, üretilen içerikler, sentetik görseller, yapay sesler, deepfake’ler veya kamu yararına içerikler için şirket neyi, nerede, hangi ifadeyle, hangi arayüzde ve hangi kanıtla bildireceğine karar vermelidir.
7. Tedarikçi sözleşmelerini gözden geçirin.
Satın alma ekipleri, yayıncılar ve hizmet sağlayıcılardan gerekli bilgileri talep etmelidir: değer zincirindeki rol, mevcut dokümantasyon, kullanılan model, kullanılan veriler, eğitim koşulları, loglar, güvenlik, sürüm değişiklikleri, hizmetin sonlandırılması, alt yükleniciler.
8. Ekipleri eğitin.
Yapay zekâ okuryazarlığı genel bir eğitimle sınırlı değildir. Bir işe alım uzmanı, pazarlamacı, hukukçu, geliştirici, satın alma yöneticisi veya ekip liderinin riskleri ve ihtiyaçları aynı değildir.
9. Bir gözetim mekanizması kurun.
En önemli kullanımlar için kimin, ne zaman, hangi uyarı eşikleriyle ve hangi düzeltici aksiyonlarla kontrol edeceği tanımlanmalıdır. Hub France IA özellikle sürekli gözetim, insan kontrolü, loglar, uyarılar, önyargı izleme, olay bildirim protokolü ve dokümantasyon güncellemesi öneriyor.
10. Bir kanıt dosyası oluşturun.
Uyum yalnızca yapmak değildir. Aynı zamanda yapılanı gösterebilmektir: kayıt defteri, kararlar, risk analizleri, eğitimler, tedarikçi maddeleri, kullanıcı bilgilendirme ekran görüntüleri, iç prosedürler, loglar ve inceleme tutanakları.
Kısa formatta paylaşılabilir kontrol listesi:
Yaptırımlar konunun yalnızca bir parçası
AI Act önemli yaptırımlar öngörüyor: yasaklı uygulamalar için 35 milyon avroya veya yıllık küresel cironun %7’sine kadar, şeffaflık yükümlülükleri dâhil birçok başka ihlal için 15 milyon avroya veya %3’e kadar, yetkililere yanlış, eksik veya yanıltıcı bilgi verilmesi durumunda ise 7,5 milyon avroya veya %1’e kadar.
Ancak birçok şirket için en acil risk belki de daha az dramatik olacak: bir ihaleyi kaybetmek, bir tedarikçi anketine yanıt verememek, bir İK aracının uygun şekilde sınıflandırılmadığını fark etmek, bir müşteri chatbot’unun işaretlenmediğini görmek ya da yapay zekâ destekli bir kararın gerçekten bir insan tarafından denetlendiğini kanıtlayamamak.
Dolayısıyla yapay zekâ uyumu aynı zamanda ticari güven konusu hâline geliyor.
Önümüzdeki aylarda büyük şirketler, kamu alıcıları, sigortacılar, yatırımcılar ve teknoloji iş ortakları giderek daha sık şu soruları soracak: Hangi yapay zekâ sistemlerini kullanıyorsunuz? Hangi verilerle? Hangi kullanım amaçları için? Hangi gözetimle? Hangi tedarikçi güvenceleriyle? Hangi kanıtlarla?
Mükemmel uyumu beklemeyin
Tuzak, başlamak için tüm rehberlerin, tüm standartların ve tüm piyasa uygulamalarının nihai hâle gelmesini beklemek olurdu. Bu aşamada mesele kusursuz bir sistem kurmak değil. İlk haritalamayı, ilk kayıt defterini, hassas kullanımların ilk analizini ve ilk yanıt kapasitesini oluşturmaktır.
AI Act uyumu bir hukuk klasörüyle başlamaz. Operasyonel bir soruyla başlar: neyi, nerede, ne amaçla, hangi verilerle, kimin sorumluluğunda ve hangi kanıtlarla çalıştırdığımızı biliyor muyuz?
Bu soruya yanıt verebilen şirketler avantaj elde edecek. Diğerleri ise haritalanmadan devreye alınan yapay zekânın kısa sürede yönetilemez hâle geldiğini fark edecek.
Bu makale, şirketlerde AI Act için operasyonel geri sayım konulu referans nota dayanır; konsolide takvim, halihazırda uygulanmakta olan yükümlülükler, genel amaçlı yapay zekâ modelleri, şeffaflık, yüksek risk, tedarikçiler ve yapay zekâ kayıt defteriyle ilgili dikkat noktalarını içerir.
Bu makale genel bilgilendirme amaçlıdır ve her kuruluşun durumuna uygun hukuki danışmanlığın yerini tutmaz.