İlk bilinmesi gereken
Türk şirketi olmak, Avrupa Birliği Yapay Zekâ Tüzüğü’nün (AI Act) kapsamı dışında kalmak anlamına gelmez; sistemin AB pazarına sunulması, AB’de kullanılması, aktör rolü ve düzenlemede öngörülen ülke dışı bağlantılar bulunuyorsa kapsam analizi yapılmalıdır. AB AI Act değerlendirmesinde şirket merkezinin Ankara veya İstanbul’da olması tek başına belirleyici değildir.
Ürünün hangi pazara sunulduğu, kim tarafından kullanıldığı ve şirketin sağlayıcı, dağıtıcı, ithalatçı ya da kullanıcı rollerinden hangisini üstlendiği önemlidir. Bu alan tarih bakımından da hareketlidir.
Yasaklanan uygulamalar, okuryazarlık, genel amaçlı modeller, şeffaflık ve yüksek riskli sistemler aynı tarihte uygulanmaya başlamamıştır.
Kapsam analizi dört somut soruyla başlar: Sistem hangi pazara sunuluyor, çıktısı nerede kullanılıyor, şirket hangi aktör rolünü üstleniyor ve kullanım hangi risk sınıfına yaklaşıyor? Şirketin Türkiye’de kurulmuş olması bu soruların yerine geçmez. Aynı ürün, yalnız Türkiye’de kullanılan bir hizmette başka; AB’deki müşterinin iş akışına yerleştiğinde başka bir düzenleyici bağlantı doğurabilir. Bu nedenle değerlendirme şirket unvanından değil, ürünün pazara sunulma ve kullanılma biçiminden hareket eder.
Önce şirketin rolü belirlenir
AI Act, aynı teknoloji zincirindeki sağlayıcı, ürüne yerleştiren, ithalatçı, dağıtıcı ve deployer gibi aktörlere farklı yükümlülükler yöneltir. Türk şirketinin yalnızca yazılım geliştirmesi, sistemin kendi adı veya markasıyla AB pazarına sunulup sunulmadığı görülmeden rol analizini tamamlamaz.
Ürün akışında modeli kim seçiyor, önemli değişikliği kim yapıyor, piyasaya kimin adıyla sunuluyor ve sistemi kim işletiyor soruları kayda alınmalıdır.
Türk geliştiricinin çözümünü AB markası altında satan müşteri ile doğrudan AB kullanıcılarına SaaS sunan girişim farklı sözleşme ve rol zincirleri oluşturur. Tarafların sözleşmede kendilerini 'teknik danışman' olarak adlandırması, düzenlemedeki fiilî rolü tek başına değiştirmez.
AB pazarıyla somut bağlantı aranır
AI Act’in ülke dışı etkisi değerlendirilirken sistemin AB pazarına sunulması, AB’de faaliyete geçirilmesi ve çıktının AB’de kullanılması gibi bağlantılar incelenir. Türkiye’den internet üzerinden erişilebilen her yazılımın kendiliğinden AI Act kapsamına girdiği söylenemez; hedef pazar ve düzenlemedeki bağlayıcı unsurlar somutlaştırılmalıdır. Müşteri ülkesi, sözleşme bölgesi, veri ve çıktı kullanım yeri ile pazarlama hedefi ayrı sütunlarda tutulmalıdır.
Almanca satış sayfası, avro aboneliği ve AB müşteri desteği bulunan işe alım ürünü ile yalnızca Türkiye içi kapalı devre araç aynı kapsam riskini taşımaz. AB vatandaşı bir kişinin ürünü tesadüfen kullanması da tek başına bütün rol ve kapsam şartlarını açıklamaz.
Risk sınıfı yükümlülük seviyesini değiştirir
AI Act, kabul edilemez risk, yüksek risk, belirli şeffaflık yükümlülükleri ve daha düşük riskli kullanımlar arasında kademeli bir yaklaşım kurar.
Ürün özellikleri yerine fiilî kullanım senaryoları ve müşteriye verilen talimatlar üzerinden risk sınıflandırma dosyası hazırlanmalıdır.
Bir sistemin yapay zekâ kullanması tek başına yüksek riskli sayılması için yeterli değildir; kullanım amacı ve düzenlemedeki kategori şartları incelenir. İnsan kaynakları ekibine yalnızca toplantı notu çıkaran araç ile adayları sıralayan model aynı kullanım amacına sahip değildir. Şirketin pazarlama metninde 'karar destek' yazması, ürün gerçekte adayları elemek için kullanılıyorsa kapsamı otomatik olarak daraltmaz.
Uygulama takvimi tek bir tarihten oluşmaz
AI Act 1 Ağustos 2024’te yürürlüğe girdi. Yasaklanan uygulamalar ile yapay zekâ okuryazarlığına ilişkin hükümler 2 Şubat 2025’ten, genel amaçlı yapay zekâ modeli yükümlülükleri ise 2 Ağustos 2025’ten itibaren uygulanmaya başladı. Düzenlemenin önemli bir bölümü 2 Ağustos 2026’da uygulanır. Her yükümlülük için ilgili madde, şirketin aktör rolü, sistemin risk sınıfı, geçiş hükmü ve uygulanma tarihi ayrı bir uyum kaydında tutulmalıdır.
2026’da kabul edilen sadeleştirme değişiklikleri yüksek riskli sistemler için ayrı tarihler belirledi: belirli yüksek riskli kullanım alanlarındaki sistemler bakımından 2 Aralık 2027, ürün güvenliği mevzuatına bağlı sistemler bakımından 2 Ağustos 2028. Bu nedenle “AI Act 2026’da bütünüyle başlar” veya “yüksek riskli sistemlerin tamamı 2026’da uygulanır” ifadeleri güncel takvimi doğru yansıtmaz.
Sözleşme zinciri kapsam analizinin parçasıdır
AB müşterileriyle yapılan sözleşmelerde AI Act uyumu, belge paylaşımı, denetim, olay bildirimi ve rol değişikliği hükümleri ticari riski etkiler. Sözleşme, kanundan doğan rolü ortadan kaldırmasa da taraflar arasındaki bilgi ve giderim akışını düzenleyebilir.
Kullanım amacı sınırlamaları, dokümantasyon, değişiklik bildirimi ve uygunsuz kullanım halinde müdahale mekanizması sözleşmede görünür olmalıdır.
Müşterinin ürünü işe alımda kullanmayacağını taahhüt etmesi ile ürün arayüzünün bu kullanımı açıkça teşvik etmesi arasında çelişki bulunabilir. Genel bir 'tüm mevzuata müşteri uyar' maddesi, sağlayıcının kendi düzenleyici yükümlülüklerini otomatik olarak devretmez.
Türk şirketi için kapsam sonucu
Türk şirketi için AI Act analizi, şirket merkezine bakılarak bitirilemez. Rol, pazar bağlantısı, kullanım amacı, risk sınıfı ve uygulanma tarihi birlikte değerlendirilmelidir.
Bu genel kapsam yazısı, yüksek risk sınıflandırması ve AI okuryazarlığı gibi özel konulara ayrı sayfalardan geçiş sağlar.
Aktörler arasındaki genel dağılım için genel sorumluluk çerçevemiz yazımız bütünleyici bir çerçeve sunar.
Bu içerik genel bilgilendirme amaçlıdır; her dosyanın koşulları farklıdır ve somut durum ayrıca değerlendirilmelidir. Son hukuki kontrol: 12 Temmuz 2026. Konuyla ilgili destek için iletişim sayfamızı kullanabilirsiniz.
