AB AI Yasası Yürürlüğe Giriyor: Uygulama Geliştiricilerin Ağustos 2026'ya Kadar Bilmesi Gerekenler

2 Ağustos 2026'da Avrupa Birliği'nin Yapay Zeka Yasası tam yürürlüğe girer. Bu, hafif bir öneri veya gönüllü yönergeleri değildir — gerçek dişi olan bağlayıcı bir düzenlemedir. Cezalar 40 milyon euro veya küresel yıllık cironun %7'sine kadar uzanır, hangisi daha yüksekse. Bağlam için GDPR'nin maksimum cezası cironun %4'üdür. AB, açık bir şekilde, yapay zeka düzenlemesini veri korumasından daha ciddiye aldığını göstermektedir.

Yapay Zeka kullanan uygulamalar oluşturan, dağıtan veya dağıtımını yapan herkes — ve 2026'da bu, çoğu yazılım şirketi demektir — bu düzenlemeden etkilenir. Sadece AB'de bulunuyorsanız değil. GDPR gibi, Yapay Zeka Yasası da şirketin nerede merkezi olursa olsun, AB'deki insanları etkileyen yapay zeka sistemlerine sahip herhangi bir kuruluş için geçerlidir. San Francisco'daki bir SaaS şirketi, Avrupa müşterilerine hizmet veriyorsa, Berlin'deki biri kadar bağlıdır.

iHux'ta, geçen yıl ürünlerimizi ve müşterilerimizin ürünlerini uyum için hazırlamakla geçirdik. İşte uygulama geliştiriciler için gerçekten önemli olanlar hakkında öğrendiklerimiz — yasal jargondan arındırılmış ve pratik eyleme odaklanmış.

Risk Sınıflandırma Sistemi: Uygulamanız Nereye Düşüyor?

Yapay Zeka Yasası'nın düzenleyici çerçevesi, risk tabanlı bir sınıflandırma sistemine dayanmaktadır. Uyum yükümlülükleriniz tamamen yapay zeka sisteminizin hangi risk seviyesine düştüğüne bağlıdır. Bu sınıflandırmayı doğru almak, uyum yolculuğunuzdaki en önemli adımdır.

Kabul Edilemez Risk (Yasaklanmış)

Bu yapay zeka uygulamaları kesin olarak yasaklanmıştır ve Şubat 2025'ten itibaren yürürlüğe girmiştir (zaten yürürlükte). Bunlara davranış veya kişilik özellikleri temelinde insanları değerlendiren sosyal puanlama sistemleri, halka açık alanlarda gerçek zamanlı biyometrik kimlik doğrulaması (dar kolluk kuvvetleri istisnaları ile), belirli grupların (yaş, engellilik, ekonomik durum) savunmasızlıklarından yararlanan yapay zeka ve işyerlerinde ve eğitim kurumlarında duygu tanıma (sınırlı istisnalar ile) dahildir.

Uygulamanız bu şeylerin herhangi birini yapıyorsa, durun. Uyum yolu yoktur — bu kullanımlar AB'de basitçe yasaktır.

Yüksek Risk (Ağır Düzenleme)

Yüksek riskli AI sistemleri en katı gerekliliklere tabidir. Bunlar kritik altyapıda (enerji, ulaşım, su), eğitim ve mesleki eğitimde (kabul, değerlendirme), istihdamda (işe alım, işe yerleştirme, performans değerlendirmesi), temel hizmetlerde (kredi puanlaması, sigorta, acil hizmetler), kanun yaptırımı, göç ve demokratik süreçlerde kullanılan AI'yi içerir.

Yüksek riskli sistemler için gereklilikler önemlidir: risk yönetim sistemleri, veri yönetişimi ve dokümantasyon, teknik dokümantasyon ve kayıt tutma, şeffaflık ve kullanıcı bilgilendirmesi, insan gözetim mekanizmaları, doğruluk, sağlamlık ve siber güvenlik standartları ve dağıtımdan önce zorunlu uygunluk değerlendirmesi.

Sınırlı Risk (Şeffaflık Yükümlülükleri)

Burası çoğu tüketici ve iş uygulamasının bulunduğu yerdir. Uygulamanız AI sohbet botları, içerik oluşturma, duygu algılama (izin verildiğinde) veya yapay yüz/sentetik medya oluşturmayı kullanıyorsa, buraya düşersiniz. Birincil yükümlülük şeffaflıktır: kullanıcılar AI ile etkileşimde olduklarından haberdar edilmelidir, AI tarafından oluşturulan içerik bu şekilde etiketlenmelidir ve sentetik medya (deepfake'ler) açıkça işaretlenmelidir.

Minimal Risk (Ek Gereklilik Yok)

AI özellikli video oyunları, spam filtreleri, temel öneri motorları ve temel haklar üzerinde minimal etkisi olan benzer uygulamalar, mevcut yasaların ötesinde ek düzenleyici gereklilik yüzü yoktur. Gönüllü davranış kurallarını izlemeniz teşvik edilir (ancak zorunlu değildir).

Genel Amaçlı AI Modelleri: Temel Model Kullanıcıları için Kurallar

Uygulamanız genel amaçlı yapay zeka modellerini (GPT-4, Claude, Gemini, Llama, Mistral, vb.) kullanıyorsa, model sağlayıcıları için geçerli olan ayrı bir yükümlülük seti vardır — ancak siz, bir dağıtıcı olarak, tamamen sorumluluğunuzdan kurtulmuyorsunuz.

Model sağlayıcıları, yetenekler ve sınırlamalar hakkında teknik dokümantasyon sağlamalı, AB telif hakkı yasasına uymalı (özellikle eğitim verileri hakkında), ve eğitim verilerinin yeterince ayrıntılı özetlerini yayınlamalıdır. Sistemik risk oluşturduğu belirlenen modeller için (işlem gücü eşikleri ve etki değerlendirmeleriyle belirlenir), ek yükümlülükler arasında olumsuz etki testleri, olaya ilişkin raporlama ve siber güvenlik önlemleri yer alır.

Bu modelleri kullanan bir uygulama geliştirici olarak, sorumluluğunuz şunlardır: modeli belgelenen amaçlı kullanım kapsamında kullanıyor olduğunuzdan emin olmak, spesifik kullanım durumunuz için uygun koruma önlemleri uygulamak, son kullanıcılara yapay zeka katılımı hakkında şeffaflık sağlamak ve risk değerlendirmeniz ile hafifletme önlemlerinizin kayıtlarını tutmak.

Uygulama Geliştiricileri için Pratik Uyum Kontrol Listesi

2 Ağustos 2026'dan önce yapmanız gerekenler. Bunu önceliğe göre organize ettik — en üstünden başlayın ve aşağı doğru ilerleyin.

Öncelik 1: Sınıflandırma ve Değerlendirme (Bunu Şimdi Yapın)

1. Uygulamanızdaki her yapay zeka bileşenini denetleyin. Yapay zekanın karar verdiği veya etkilediği her yeri listeleyin. Üçüncü taraf yapay zeka hizmetleri, gömülü modeller ve yapay zeka destekli özellikler dahil.
2. Her bileşeni risk seviyesine göre sınıflandırın. AB'nin yayınlanan rehberliğini ve düzenlemelerin Ek III'ünü kullanarak her yapay zeka kullanım durumunun nereye düştüğünü belirleyin. Emin olmadığınızda, daha yüksek bir sınıflandırma yapın — düşük sınıflandırma yapmak, fazla sınıflandırma yapmaktan daha tehlikelidir.
3. Değerlendirmenizi belgeleyin. Her bileşeni neden bu şekilde sınıflandırdığınızı yazıp kaydedin. Bu belgelendirme, herhangi bir düzenleyici soruşturmada ilk savunma hattınızdır.

Öncelik 2: Şeffaflık Uygulaması (Mayıs 2026'ya Kadar)

1. Tüm kullanıcıya yönelik yapay zeka etkileşimlerine yapay zeka açıklaması ekleyin. Kullanıcılar yapay zeka ile etkileşim kurduklarını bilmelidir. Bu, sohbet botu konuşmaları, yapay zeka tarafından oluşturulan içerik ve yapay zeka destekli önerilerde açık etiketler anlamına gelir.
2. Tüm yapay zeka tarafından oluşturulan içeriği etiketleyin. Uygulamanız yapay zeka kullanarak metin, görüntü, ses veya video oluşturursa, bunun yapay zeka tarafından oluşturulan şekilde tanımlanabilir olması gerekir. Bu, yalnızca görsel etiketler değil, meta veri işaretlemesini de içerir.
3. Gizlilik politikanızı ve hizmet şartlarınızı güncelleyin. Kullandığınız yapay zeka sistemlerini, işledikleri verileri ve kararların nasıl alındığını açıklayın. Spesifik olun — "deneyiminizi iyileştirmek için yapay zeka kullanırız" yeterli değildir.

Öncelik 3: Teknik Güvenlik Önlemleri (Temmuz 2026'ya Kadar)

1. İnsan gözetim mekanizmaları uygulayın. Yüksek riskli sistemler için, insanlar yapay zeka kararlarını anlayabilmeli, izleyebilmeli ve geçersiz kılabilmelidir. Net ilerletme yolları ve manuel geçersiz kılma yetenekleri tasarlayın.
2. Günlüğe kaydetme ve denetim izi oluşturun. Yüksek riskli yapay zeka sistemleri, işletilmelerine ilişkin günlükleri tutmalıdır. Günlüğe kaydetme altyapınızı, yapay zeka girdilerini, çıktılarını ve karar faktörlerini sorgulanabilir ve saklanabilir bir şekilde yakalayacak şekilde tasarlayın.
3. Önyargı ve adalet açısından test edin. AI Yasası, yüksek riskli sistemlerin ayrımcı etkiler açısından test edilmesini gerektirir. Önyargı testini tek seferlik bir denetim değil, CI/CD boru hattınızın bir parçası olarak uygulayın.
4. Bir olay bildirme süreci oluşturun. Yüksek riskli AI sistemleri içeren ciddi olaylar yetkililere bildirilmelidir. Uygulamanız için ciddi olayı oluşturan şeyi tanımlayın ve bildirme altyapısını şimdi kurun.

İnce Yapı: Aslında Ne Risk Altındadır

Cezalar ihlâlin ciddiyetine göre kademeli olarak belirlenmiştir.

• Yasaklanmış bir AI sistemi dağıtmak: 35 milyon euroya veya küresel yıllık cironun %7'sine kadar.
• Yüksek riskli gerekliliklerle uyum sağlamama: 15 milyon euroya veya küresel yıllık cironun %3'üne kadar.
• Yetkililere yanlış bilgi sağlamak: 7,5 milyon euroya veya küresel yıllık cironun %1'ine kadar.

KOBİ'ler ve startuplar için azaltılmış ceza sınırları geçerlidir — ancak yine de işletme viabiliyetini tehdit edecek kadar önemlidir. Yönetmelik orantılılık ilkelerini içerir, ancak "biz bilmiyorduk" bir savunma değildir.

Uyumun Ötesinde: Stratejik Fırsat

İşte reaktif uyumluluğu stratejik avantajdan ayıran bakış açısı değişimi: AI Yasası'nın gereksinimleri — şeffaflık, insan gözetimi, önyargı testi, dokümantasyon — iyi inşa edilmiş AI ürünlerinin de ayırt edici özellikleridir. Kullanıcılar, AI kullanımı konusunda şeffaf olan uygulamalara güvenir. Kurumsal alıcılar denetim izleri ve insan gözetimini talep eder. Önyargı testi, ürün kalitesi sorunlarını PR krizlerine dönüşmeden yakalar.

AI Yasası'nı düzenleyici bir yük yerine ürün kalitesi çerçevesi olarak ele alan şirketler daha iyi ürünler inşa edecek ve daha fazla güven kazanacaklardır — özellikle uyumluluğun bir satın alma kriteri olduğu kurumsal pazarlarda. "EU AI Act uyumlu" artık yalnızca bir yasal kontrol değil, rekabetçi bir ayırt edicidir.

Zaman Çizelgesi: Zaten Yürürlükte Olanlar ve Gelecekte Olacaklar

• 2 Şubat 2025 (zaten yürürlükte): Yasaklı AI uygulamaları yasaktır. AI okuryazarlığı yükümlülükleri geçerlidir.
• 2 Ağustos 2025 (zaten yürürlükte): Genel amaçlı AI modelleri için kurallar geçerlidir. Yönetim yapıları yerinde olmalıdır.
• 2 Ağustos 2026 (5 ay uzağımızda): Tam uygulama. Tüm yüksek riskli AI sistemi yükümlülükleri geçerlidir. Cezalar uygulanabilirdir.
• 2 Ağustos 2027: Düzenlenmiş ürünlerin (tıbbi cihazlar, otomotiv, havacılık) bileşeni olan belirli yüksek riskli AI sistemleri için uzatılmış son tarih.

Şimdi Başlayın — Beş Ay Düşündüğünüzden Daha Az Zaman

Beş ay yeterli zaman gibi gözüküyor. Değildir. Mevcut bir uygulamada şeffaflık gereksinimlerini uygulamak, denetim günlüğü altyapısı kurmak, önyargı değerlendirmeleri yürütmek, yasal belgeleri güncellemek ve ekibinizi uyum prosedürleri konusunda eğitmek — bunların her biri haftalarca iş gerektirir. Ve AI özelliklerinizden birinin yüksek riskli kategoriye girdiğini keşfederseniz, uygunluk değerlendirme süreci tek başına aylar alabilir.

Pratik tavsiye basittir: risk sınıflandırmanızı bu hafta başlatın, şeffaflık gereksinimlerine öncelik verin (neredeyse herkese uygulanır) ve herhangi bir yüksek riskli sınıflandırma şüpheleniyorsanız hemen yasal danışmanı devreye alın. EU AI Yasası ortadan kalkmıyor ve yaptırım mekanizmaları iyi finanse edilmiş ve operasyoneldır.

iHux'ta, inşa ettiğimiz her ürün için geliştirme sürecimize AI Yasası uyumluluğunu entegre ettik. Bu başlangıçta mütevazı bir ek yük ekler ancak lansmandan sonra uyumluluğu yeniden tasarlamaya kıyasla muazzam bir maliyet ve riski tasarruf eder. AI tarafından desteklenen uygulamalar oluşturuyorsanız ve uyum yolculuğunuza henüz başlamadıysanız, bugün o gündür.