# EU AI Act kurumlar için ne getiriyor?

> EU AI Act yapay zekayı risk seviyesine göre düzenliyor; temel yükümlülükler 2 Ağustos 2026'da devrede. Türkiye'deki kurumlar için ne değişiyor, anlatıyoruz.

- Kaynak: https://lokomotif.ai/blog/eu-ai-act-kurumlar-icin-ne-getiriyor
- Yazar: Lokomotif AI
- Kategori: Kurumsal benimseme ve liderlik
- Yayın: 2026-06-17 (güncelleme: 2026-07-08)

## Öne çıkanlar

- EU AI Act, yapay zekayı risk seviyesine göre düzenleyen ilk kapsamlı yasadır.
- 2 Ağustos 2026'da yüksek riskli sistemlerin temel yükümlülükleri dahil, yasanın büyük bölümü uygulanır.
- Sınır ötesi kapsamı nedeniyle, çıktısı AB'de kullanılan Türkiye kurumlarını da doğrudan ilgilendirir.
- İlk adım bir yapay zeka envanteridir: hangi sistem, hangi amaç, hangi risk seviyesi.

Bir yazılım firması düşünün; müşterilerinin bir kısmı Avrupa'da. Geçtiğimiz çeyrekte büyük bir müşteri, sözleşme yenilemesine yeni bir madde ekledi: "Kullandığınız yapay zeka sistemleri EU AI Act'e uyumlu mu?" Firma Türkiye'de; ama bu sorunun cevabı "bizi ilgilendirmez" değil. Çünkü yasanın kapsamı, şirketin nerede olduğuyla değil, çıktının nerede kullanıldığıyla belirlenir.

EU AI Act, yapay zekayı risk seviyesine göre düzenleyen ilk kapsamlı yasadır ve takvimi hızla yaklaşıyor: 2 Ağustos 2026'da, yüksek riskli sistemlerin temel yükümlülükleri dahil, yasanın büyük bölümü uygulanmaya başlıyor. Uyum ise yalnızca bir hukuk işi değil, benimsemenin bir boyutu.

## EU AI Act nedir ve neyi düzenler

Yasa, yapay zeka sistemlerini taşıdıkları riske göre dört kademede sınıflandırır. En üstte kabul edilemez riskli uygulamalar vardır; bunlar yasaktır. Altında yüksek riskli sistemler gelir; sağlık, işe alım, kredi ve kritik altyapı gibi alanlarda kullanılan sistemler için şeffaflık, veri kalitesi, insan gözetimi ve dokümantasyon zorunlu tutulur. Sınırlı riskli sistemler için şeffaflık bildirimi gerekir; kullanıcı, bir yapay zekayla etkileştiğini bilmelidir. En altta minimal riskli kullanımlar bulunur ve serbesttir.

Bu yaklaşımın mantığı, tüm yapay zekayı aynı kefeye koymamaktır. Bir öneri motoru ile işe alım kararı veren bir sistem aynı riski taşımaz; yasa da yükümlülüğü riske orantılı dağıtır. Böylece düzenleme, düşük riskli kullanımı boğmadan yüksek riskli kullanımı denetim altına alır.

## 2 Ağustos 2026'da ne değişiyor

Yasa tek seferde değil, kademeli yürürlüğe giriyor. Kabul edilemez riskli uygulamaların yasağı ve yapay zeka okuryazarlığı yükümlülükleri 2025 başında devreye girdi; genel amaçlı yapay zeka modelleri için kurallar 2025 ortasında uygulanmaya başladı. 2 Ağustos 2026 ise en geniş kilometre taşı: yüksek riskli sistemlerin temel yükümlülükleri dahil, yasanın büyük bölümü bu tarihte uygulanır hale geliyor.

Bu takvim, uyumu "ileride bir gün" olmaktan çıkarıp yakın bir gündeme dönüştürüyor. Yüksek riskli bir sistem kullanan ya da geliştiren kurumlar için dokümantasyon, insan gözetimi ve denetim izi kurmak, aylar süren bir hazırlık; tarihe yakın başlamak değil, önceden başlamak gerekiyor.

## Türkiye'deki kurumları neden ilgilendiriyor

> Yasanın kapsamı coğrafyayla değil, pazarla tanımlıdır.

Yapay zeka sisteminizi AB pazarına sunuyorsanız ya da sistemin ürettiği çıktı AB'de kullanılıyorsa, şirket Türkiye'de bulunsa da yasa kapsamına girebilirsiniz. AB'ye hizmet veren, AB'de müşterisi ya da operasyonu olan kurumlar için bu, doğrudan bir uyum sorumluluğu anlamına gelir.

Doğrudan kapsama girmeyen kurumlar için bile yasa bir referans noktası hâline geliyor. Büyük müşteriler ve tedarik zincirleri, aynı standartları iş ortaklarından da beklemeye başlıyor; de facto bir norm oluşuyor. Bu yüzden EU AI Act'i sadece bir Avrupa düzenlemesi değil, kurumsal yapay zeka için yaklaşan bir sektör standardı olarak okumak daha doğru.

## Yaygın yanılgı: "Biz kapsamda değiliz"

En sık yapılan hata, kapsamı şirketin adresine göre değerlendirmektir: "Merkezimiz Türkiye'de, o yüzden bizi bağlamaz." Oysa yasa, sistemin çıktısının nerede kullanıldığına bakar. AB'deki bir müşteriye hizmet veren bir öneri motoru ya da AB'deki adaylara uygulanan bir işe alım aracı, şirket nerede olursa olsun kapsama girebilir.

İkinci yanılgı, uyumu tek seferlik bir hukuk projesi sanmaktır. Uyum, hukuk ekibine devredilip kapatılacak bir görev değil; sürekli bakım isteyen bir yönetişim pratiğidir. Bir kez kurulan denetim izi, sistem her değiştiğinde güncellenmelidir.

## Şimdi ne yapmalı

İlk adım envanterdir: kurumda hangi yapay zeka sistemlerinin, hangi amaçla ve hangi risk seviyesinde kullanıldığını görmek. Bu harita çıkmadan uyum soyut kalır; çıktığında ise hangi sistemin hangi yükümlülüğe tabi olduğu ve nerede boşluk olduğu netleşir. Aşağıdaki envanteri her sistem için bir satır olarak doldurmak, uyumu somut bir işe çevirir.

```
Yapay zeka envanteri (her sistem için bir satır)

Sistem: hangi yapay zeka? (araç / model / uygulama)
Amaç: ne için kullanılıyor? (işe alım, kredi, öneri, içerik...)
Risk seviyesi: kabul edilemez / yüksek / sınırlı / minimal
Çıktı: AB'de kullanılıyor mu?
Yükümlülük: bu sistem için hangi kurallar geçerli?
Boşluk: eksik olan ne? (dokümantasyon, insan gözetimi, denetim izi)
```

![Uyuma giden dört adım: envanter, sınıflandırma, guardrail ve denetim izi.](/blog/in/eu-ai-act-kurumlar-icin-ne-getiriyor.jpg)

Envanterin ardından yüksek riskli kullanımlar için insan gözetimi, dokümantasyon ve denetim izi kurulur. Bu iş, [olgunluğun](/blog/yapay-zeka-olgunlugu-nedir) dört boyutundan biri olan yönetişimin ta kendisidir ve benimsemenin ayrılmaz parçasıdır. Guardrail'ı ve denetimi baştan kuran kurum, ölçeğe geçerken yavaşlamaz; tersine, güvenle hızlanır. Otonom sistemleri denetlenebilir biçimde kurmak da bunun bir parçası; [Agentic Scale](/uygulamalar/agentic-scale) çalışmamız otonomiyi guardrail ile birlikte ele alır. Yönetişim saati işliyor; erken başlayan kurum, uyumu bir yük değil, bir olgunluk avantajı olarak yaşar.

## Sık sorulanlar

### EU AI Act tam olarak neyi düzenliyor?

Yapay zeka sistemlerini risk seviyesine göre sınıflandırıp yükümlülük getiriyor. Kabul edilemez riskli uygulamalar yasak; yüksek riskli sistemler için şeffaflık, veri kalitesi, insan gözetimi ve dokümantasyon zorunlu; sınırlı riskli sistemler için ise şeffaflık bildirimi gerekiyor.

### 2 Ağustos 2026'da ne oluyor?

Yasa kademeli yürürlüğe giriyor. Yasak uygulamalar 2025 başında, genel amaçlı model kuralları 2025 ortasında devreye girdi. 2 Ağustos 2026'da ise yüksek riskli sistemlerin temel yükümlülükleri dahil, yasanın büyük bölümü uygulanmaya başlıyor.

### Türkiye'deki bir şirketi neden ilgilendiriyor?

Çünkü kapsamı coğrafyayla değil, pazarla tanımlı. Yapay zeka sisteminizi AB pazarına sunuyorsanız ya da sistemin çıktısı AB'de kullanılıyorsa, şirket Türkiye'de olsa da yasa kapsamına girebilirsiniz. Bunun ötesinde yasa, sektörde de facto bir standart hâline geliyor.

### Uyum için nereden başlanmalı?

Envanterden: kurumda hangi yapay zeka sistemlerinin, hangi amaçla ve hangi risk seviyesinde kullanıldığını görmekten. Bu harita çıkmadan uyum soyut kalır; çıktığında ise hangi sistemin hangi yükümlülüğe tabi olduğu netleşir.

---
Lokomotif AI · https://lokomotif.ai · CC BY 4.0 atıfla alıntılanabilir.
