AI Act ve KVKK: Türkiye'deki Şirketler İçin 2026 Yol Haritası

AI Act Türkiye'yi neden ilgilendiriyor?

Avrupa Birliği'nin Yapay Zeka Yasası (AI Act), yapay zeka sistemlerini risk seviyelerine göre sınıflandıran kapsamlı bir düzenlemedir. "Ama biz Türkiye'deyiz" demek yeterli değil, çünkü düzenleme yer dışı (extraterritorial) etki taşır: çıktısı AB içinde kullanılan veya AB'deki kişileri etkileyen yapay zeka sistemleri de kapsama girebilir.

Avrupa pazarına hizmet veren, AB'li müşterileri olan ya da AB merkezli bir şirketin tedarik zincirinde yer alan Türk şirketleri için bu, doğrudan bir gündem maddesidir.

Risk temelli sınıflandırma

AI Act, sistemleri kabaca dört kategoriye ayırır:

• Kabul edilemez risk: Yasaklanan uygulamalar (örneğin manipülatif veya belirli sosyal puanlama sistemleri).
• Yüksek risk: İnsanların hak ve güvenliğini ciddi etkileyebilecek sistemler (örneğin işe alım, kredi değerlendirme, kritik altyapı). En ağır yükümlülükler buradadır.
• Sınırlı risk: Şeffaflık yükümlülüğü olan sistemler (örneğin kullanıcının bir yapay zeka ile konuştuğunu bilmesi gereken sohbet botları).
• Asgari risk: Çoğu genel amaçlı uygulama; serbest ama iyi uygulama önerilir.

Türk şirketleri için pratik soru şudur: Kullandığım veya geliştirdiğim sistem hangi kategoriye giriyor? Bu sınıflandırma, yükümlülüklerin ağırlığını belirler.

AI Act ile KVKK nerede kesişiyor?

İki düzenleme farklı amaçlara hizmet etse de büyük ölçüde örtüşür, çünkü yapay zeka sistemleri büyük oranda kişisel veriyle çalışır. Başlıca kesişim noktaları:

• Hukuki sebep: Yapay zekayı eğitmek veya çalıştırmak için kullanılan kişisel verinin KVKK Madde 5 kapsamında geçerli bir hukuki sebebe dayanması gerekir.
• Otomatik karar ve profilleme: KVKK, kişiyi önemli ölçüde etkileyen tamamen otomatik kararlara karşı belirli güvenceler öngörür. AI Act'in yüksek riskli sistem yükümlülükleri bununla örtüşür.
• Şeffaflık: Hem aydınlatma yükümlülüğü hem de AI Act'in şeffaflık kuralları, kişinin bir yapay zeka tarafından değerlendirildiğini bilmesini gerektirebilir.
• Veri kalitesi ve önyargı: Yüksek riskli sistemlerde veri yönetişimi şartı, KVKK'nın doğruluk ve ölçülülük ilkeleriyle aynı yöne bakar.

2026 için yol haritası

Hazırlığı erken başlatmak, ileride hem maliyeti hem riski düşürür. Önerilen adımlar:

• Yapay zeka envanteri çıkarın. Kuruluşunuzda hangi yapay zeka sistemleri (kendi geliştirdikleriniz dahil, üçüncü taraf araçlar dahil) kullanılıyor, listeleyin.
• Risk sınıflandırması yapın. Her sistemi AI Act kategorilerine göre değerlendirin; yüksek riskli olanlara öncelik verin.
• KVKK kesişimini eşleyin. Hangi sistem kişisel veri işliyor, hangi hukuki sebebe dayanıyor, otomatik karar üretiyor mu? Belgeleyin.
• Etki değerlendirmesi yapın. Yüksek riskli ve kişisel veri yoğun sistemler için DPIA ile birlikte bir yapay zeka risk değerlendirmesi yürütün.
• İnsan gözetimi ve şeffaflık tasarlayın. Otomatik kararlarda itiraz ve insan müdahalesi mekanizmaları kurun; kullanıcıyı bilgilendirin.
• Tedarikçi sözleşmelerini gözden geçirin. Üçüncü taraf yapay zeka sağlayıcılarının uyum taahhütlerini ve veri işleme şartlarını netleştirin.

Türkiye'deki yerel görünüm

Türkiye'de yapay zekaya özgü kapsamlı bir kanun henüz AI Act ile birebir aynı olmasa da, KVKK'nın mevcut ilkeleri (hukuka uygunluk, ölçülülük, şeffaflık, veri güvenliği) yapay zeka projeleri için bugünden uygulanabilir bir çerçeve sunar. Bu nedenle "AB'ye hazırlık" ile "KVKK'ya uyum" çalışmalarını tek bir program olarak yürütmek en verimli yoldur.

Wyverix'un yapay zeka risk ve uyum modülleri, sistemlerinizi risk kategorilerine göre sınıflandırmanıza ve her sistemin KVKK hukuki sebebiyle eşleşmesini tek panelde izlemenize yardımcı olur — böylece AI Act'e geçiş, sıfırdan değil mevcut uyum tabanınızdan başlar.