ARTICLE
16 October 2024

Avrupa Birliği Yapay Zekâ Yasası Yürürlüğe Girdi

GT
Gen Temizer

Contributor

Gen Temizer logo
Gen Temizer is a leading independent Turkish law firm located in Istanbul's financial centre. The Firm has an excellent track record of handling cross-border matters for clients and covers the full bandwidth of most complex transactions and litigation with its cross-departmental, multi-disciplinary and diverse team of over 30 lawyers. The Firm is deeply rooted in the local market with over 80 years of combined experience of the name partners while providing the highest global standards of legal services.
Explore Firm Details
Son dönemlerde gittikçe yaygınlaşan ve hemen her sektörde kendine yer bulan yapay zekâ sistemleri, değişen seviyelerde özerklikle çalışmak üzere tasarlanan ve konuşlandırıldıktan sonra uyarlanabilirlik yeteneği gösteren, ...
European Union Technology
Baran Gen,Özgür Aydın, and Can Aydiş
Your Author LinkedIn Connections

Genel Bakış

Son dönemlerde gittikçe yaygınlaşan ve hemen her sektörde kendine yer bulan yapay zekâ ("YZ") sistemleri, değişen seviyelerde özerklikle çalışmak üzere tasarlanan ve konuşlandırıldıktan sonra uyarlanabilirlik yeteneği gösteren, makine tabanlı bilgisayar sistemleridir. Bu sistemler, açık veya örtük hedeflere ulaşmak için temin ettikleri girdileri işleyerek, fiziksel veya sanal ortamları etkileyebilecek tahminler, içerik, öneriler veya kararlar gibi çıktılar üretir.

Uzun süredir mevzuat hazırlığı devam etmekte olan YZ sistemleri için dünyanın ilk kapsamlı düzenleyici kanunu olan Avrupa Birliği ("AB") Yapay Zekâ Yasası ("YZ Yasası"), uzun bir müzakere döneminin ardından 21 Mayıs 2024 tarihinde Avrupa Konseyi tarafından kabul edilmiş ve uyum için geçiş dönemlerine tabi olarak 1 Ağustos 2024 tarihinden itibaren (AB üyesi devletler için doğrudan yürürlüğe girmiştir). Bahse konu geçiş dönemleri iki yıl olacak şekilde öngörülmüş olup YZ sistemlerinin risk seviyesine göre bu değişkenlik göstermektedir. "Kabul edilemez risk" oluşturan YZ sistemleri, YZ Yasası yürürlüğe girdikten sonra 6 ay içerisinde yasaklanacak iken, aşağıda tanımlandığı üzere "Genel Amaçlı Yapay Zekâ" ("GPYZ") sistemleri için düzenlenen belirli yükümlülükler, YZ Yasası'nın yürürlüğe girmesinden 12 ay sonra uygulama alanı bulacak ve yüksek riskli yapay zekâ sitemlerine ilişkin hükümlerin uygulanmasına ise 2 Ağustos 2027 başlanacaktır.

YZ Yasası, "YZ sistemlerinin" geliştirme aşamasından kullanımına kadar geçen süredeki tüm aşamaları kapsayacak şekilde düzenlenmiş ve YZ'yı denetlenen ve güvenilir bir mekanizma kılmak ve YZ alanında yatırım ve yeniliği teşvik etmeyi amaçlamıştır. YZ değer zinciri1 çerçevesinde, belirli tipteki yapay zekâ sistemlerinin sağlayıcıları (geliştiricileri ve geliştirme talimatı veren şirketler), ithalatçıları, distribütörleri, üreticileri ve dağıtıcıları için geçerlidir.

YZ Yasasında yer alan yükümlülükler, YZ değer zincirinde hangi rolün üstlenildiğine bağlı olarak farklılık göstermektedir ancak yasanın odak noktası YZ sistemlerinin sağlayıcıları, dağıtıcıları, ithalatçıları ve üreticileri için yükümlülükler öngörmektedir. İnsanlara karşı oluşturdukları tehdidin seviyesine bağlı olarak YZ sistemleri, "kabul edilemez risk", "yüksek risk" ve "sınırlı risk" oluşturan yapay zekâ sistemleri gibi kategorilere ayrılmıştır. YZ Yasasına aykırılık, ihlalin seviyesine bağlı olarak para cezasına tabi tutulmuştur: (i) kabul edilemez risk için, 35.000.000 € veya dünya çapında yıllık cironun %7'si, (ii) yüksek risk için, 15.000.000 € veya dünya çapında yıllık cironun %3'ü ve (iii) sınırlı risk için ise 7.500.000 € veya dünya çapında yıllık cironun %1'i gibi yaptırımlar öngörülmüştür.

YZ Yasası aktörleri kimlerdir?

YZ Yasası kapsamındaki yükümlülükler, "YZ değer zinciri" bakımından yasada "operatörler" olarak tanımlanan aşağıdaki rollere bağlı olarak farklılık gösterecek ve çoğu yükümlülük YZ sistemlerinin sağlayıcılarına yüklenecektir:

1531320a.jpg

YZ Yasası yükümlülüklerinin denetlenmesi ve uygulama yetkisi Avrupa Komisyonu'nun yetkisi kapsamında olacaktır. Avrupa Komisyonu yasanın etkili bir şekilde uygulanması bakımından yetkilerini, AB üyesi devletleri ile AB arasındaki anlaşmalara ilişkin yetkilere halel getirmeksizin, yasayı uygulama yetkisine sahip olmak üzere kurulacak YZ ofisine devretmelidir. Bu kapsamda, YZ ofisi yasanın etkili bir şekilde uygulanması için gerekli tüm eylemleri gerçekleştirebilecektir.

Yalnızca AB bölgesinde yer alan şirketler mi YZ Yasası'ndan etkilenmektedir?

YZ Yasası, Avrupa Birliği Genel Veri Koruma Tüzüğü'ne ("GDPR") benzer şekilde, bölgesellik ilkesini aşan bölge dışı bir etkiye sahip olacak. Bu kapsamda:

  • AB içerisinde YZ sistemleri tedarik eden işletmeler (AB'de yerleşik olup olmadıklarına bakılmaksızın); ve
  • YZ sistemlerinin çıktısı AB içinde kullanılıyorsa, AB dışında bulunan işletmeler

için geçerli olacaktır.

YZ Yasası, AB pazarıyla bağlantılı olarak AB içinde faaliyet gösteren YZ sistemlerinin sağlayıcıları (YZ sistemlerini geliştirenler), dağıtıcıları, ithalatçıları, distribütörleri ve üreticileri için doğrudan yükümlülükler getirirken AB'de yerleşik olmayan şirketler için de sınır ötesi olarak geçerlidir. Yani sağlayıcılar, nerede kurulu olduklarına bakılmaksızın, YZ sistemlerini veya GPYZ modellerini piyasaya sürerken veya AB'de hizmete sokarken YZ Yasası'na uymak zorundadırlar. Aynı şekilde AB pazarına hizmet veren ithalatçılar, distribütörler ve üreticiler de YZ Yasası'ndan etkilenecektir;

  1. AB pazarına YZ sistemleri yerleştiren veya hizmete sunan veya AB pazarına GPYZ modelleri yerleştiren sağlayıcılar;
  2. AB'de bir kuruluş yeri bulunan YZ sistemlerinin dağıtıcıları; ve
  3. YZ sistemi tarafından üretilen çıktı AB'de kullanılıyorsa, üçüncü ülkelerdeki YZ sistemlerinin sağlayıcıları ve dağıtıcıları

Risk seviyeleri nelerdir?

YZ Yasası'nda yer alan hükümlerin orantılı ve etkili bir şekilde uygulanması amacıyla risk temelli bir yaklaşım benimsenmiş olup YZ sistemleri, her bir YZ sisteminin oluşturabileceği risk ve tehditlerin yoğunluğuna ve kapsamına göre kategorize edilmiştir.

1531320b.jpg

Yüksek Riskli YZ Sistemleri için Öngörülen Yükümlülükler

YZ Yasası, "yüksek riskli" olarak kabul edilen YZ sistemleri için sağlayıcılara risk değerlendirmeleri, yönetişim ve dokümantasyonun sürdürülmesi, kamu kaydı ve uygunluk değerlendirmeleri ve beyanlarının yanı sıra yetkisiz değişiklikleri önlemek de dahil olmak üzere çok çeşitli yükümlülükler getirmektedir.

Dağıtıcıların ise, sağlayıcının kullanım kısıtlamalarına uyulmasını sağlamak amacıyla teknik ve organizasyonel önlemlerin uygulanması ve yetkin insan gözetimi sağlanması gibi çok daha sınırlı yükümlülüklere uymaları gerekmektedir.

Yüksek risk teşkil ettiği düşünülen YZ sistemleri, piyasaya sürülmeden veya hizmete alınmadan önce bir uygunluk değerlendirmesinden de geçmelidir. Bu süreç, bir izleme sisteminin kurulmasını ve ciddi olayların piyasa gözetim yetkililerine raporlanmasını içerir.

Yüksek riskli YZ sistemleri, yedi ana alanı kapsayan kapsamlı uyumluluk gerekliliklerine tabidir:

  1. Risk yönetim sistemleri- yüksek riskli YZ sistemleri için bir risk yönetim sisteminin "kurulması, uygulanması, belgelenmesi ve sürdürülmesi" gerekmektedir. Risk yönetim sistemi yinelemeli olarak geliştirilmeli ve sistemin tüm yaşam döngüsü boyunca planlanmalı ve yürütülmelidir ve sistematik inceleme ve güncellemelere tabi olması;
  2. Veri yönetişimi ve yönetimi uygulamaları- yüksek riskli YZ sistemleri için eğitim, doğrulama ve test veri setleri, uygun veri yönetişimi ve yönetimi uygulamalarına tabi olmalıdır; YZ Yasası, veri toplama süreçleri ve önyargıları tespit etmek, önlemek ve azaltmak için uygun önlemler de dahil olmak üzere dikkate alınması gereken belirli uygulamaları ortaya koyması;
  3. Teknik dokümantasyon- yüksek riskli bir YZ sistemi için piyasaya sürülmeden veya hizmete sunulmadan (yani kullanım için kurulmadan) önce ilgili teknik dokümantasyonun hazırlanması ve güncel tutulması;
  4. Kayıt tutma/günlüğe kaydetme- yüksek riskli YZ sistemleri, sistemin kullanım amacına uygun olarak sistemin işleyişinin izlenebilirliğini sağlamak için sistemin ömrü boyunca otomatik günlüklerin kaydedilmesine izin vermesi;
  5. Şeffaflık / dağıtıcılara bilgi sağlanması- yüksek riskli YZ sistemleri, dağıtıcıların bu tür sistemlerden elde edilen çıktıyı yorumlamasına ve uygun şekilde kullanmasına olanak sağlamak için yeterli şeffaflığı sağlayacak şekilde tasarlanmalı ve geliştirilmelidir. Herhangi bir kullanım talimatı, YZ sistemine uygun bir formatta sağlanması;
  6. İnsan gözetimi- "gerçek kişiler", bu tür sistemlerin kullanımından kaynaklanabilecek sağlık, güvenlik veya temel özgürlüklere yönelik riskleri önlemek veya en aza indirmek amacıyla yüksek riskli YZ sistemlerini denetlemesi; ve
  7. Doğruluk, sağlamlık ve siber güvenlik- yüksek riskli YZ sistemlerinin uygun bir doğruluk, sağlamlık ve siber güvenlik seviyesine ulaşmak için tasarlanması ve geliştirilmesi ve yaşam döngüleri boyunca bu seviyelere uygun olarak performans göstermesi gerekmektedir.

AB dışında yerleşik sağlayıcıların AB'de yerleşik bir yetkili temsilci ataması gerekmektedir.

Sağlayıcılar, yüksek riskli YZ sistemlerinin yukarıda belirtilen gerekliliklere uygun olmasını sağlamalı ve ayrıca ulusal bir yetkili düzenleyici tarafından talep edildiğinde, gerekli bilgileri sağlayarak uygunluğu gösterebilmelidir. Ek olarak, yüksek riskli YZ sistemlerinin sağlayıcıları ve dağıtıcıları şunları yapmalıdır:

1531320c.jpg

Genel Amaçlı Yapay Zekâ (GPYZ) Modelleri

YZ Yasası, GPYZ modellerinin sınıflandırılması ve düzenlenmesi için özel bir bölüm belirlemektedir. Bir GPYZ modeli, "bu türdeki bir YZ modelinin büyük ölçekte kendi kendine denetim kullanılarak büyük miktarda veri ile eğitildiği durumlar da dahil olmak üzere, önemli bir genellik sergileyen ve modelin piyasaya sürülme şeklinden bağımsız olarak çok çeşitli farklı görevleri yetkin bir şekilde yerine getirebilen ve piyasaya sürülmeden önce araştırma, geliştirme veya prototipleme faaliyetleri için kullanılan YZ modelleri hariç olmak üzere, çeşitli aşağı akış sistemlerine veya uygulamalarına entegre edilebilen bir YZ modeli" olarak tanımlanmaktadır.

GPYZ modelleri YZ sistemlerinin temel bileşenleri olmasına rağmen, kendi başlarına YZ sitemlerini oluşturamazlar. GPYZ modellerine "kütüphaneler, uygulama programlama arayüzleri (API'ler), doğrudan indirme veya fiziksel kopya dahil olmak üzere çeşitli şekillerde piyasaya sürülebilen modeller" örnek verilebilir.

1531320d.jpg

Yaptırımlar

YZ Yasası kapsamı dahilindeki işletmeler, mevzuata aykırı davranışları çerçevesinde önemli para cezalarına çarptırılabileceklerdir. GDPR'ye benzer şekilde, bunlar bir önceki mali yıldaki küresel yıllık cironun bir yüzdesi veya sabit bir miktar (hangisi daha yüksekse) ile aşağıdaki gibi sınırlandırılacaktır:

  • Yasaklı yapay zekâ sistemi kurallarına uyulmaması nedeniyle 35.000.000 € veya küresel yıllık cironun %7'si;
  • Diğer yükümlülüklerin ihlali için 15.000.000 € veya küresel yıllık cironun %3'ü; ve
  • YZ Yasası kapsamında sağlanması gereken yanlış, eksik veya yanıltıcı bilgilerin sağlanması durumunda 7.500.000 € veya küresel yıllık cironun %1'i.

Bu kapsamda cezalar, ihlalin ciddiyetine bağlı olarak 7.500.000 € ile 35.000.000 € arasında veya şirketin küresel yıllık cirosunun %1'i ile %7'si arasında değişmektedir.

YZ Yasası, cezaların etkili ve caydırıcı ancak aynı zamanda orantılı olmasını öngörmektedir. Buna göre, cezaların uygulanması bakımından KOBİ'lerin ve start-up'ların çıkarlarını ve ekonomik uygulanabilirliği dikkate alınacaktır.

Footnotes

1. Bir organizasyon veya faaliyet türünün sunduğu hizmet veya ürünlere ilişkin işlemlere verilen genel isimdir.

2. Örneğin, duygu tanıma sistemleri veya sosyal puanlamanın uygunsuz kullanımı gibi etiksel değerlere yönelik kabul edilemez risk oluşturan YZ sistemleri yasaktır.

3. Bu alanlar kapsamında olup kullanım amacı aşağıdakilerle sınırlı olan sistemlerin bu tür yüksek bir risk oluşturmadığı kabul edilebilir: (i) Dar prosedürel görevlerin yerine getirilmesi, (ii) daha önce tamamlanmış insan faaliyetlerinin sonuçlarında iyileştirmeler yapılması, (iii) İnsan değerlendirmelerini değiştirmeden veya etkilemeden karar verme kalıplarını veya önceki karar verme kalıplarından sapmaların tespit edilmesi; ve (iv) sadece risk değerlendirmesine yönelik hazırlık görevlerinin icra edilmesi.

4. Genel şeffaflık gereklilikleri, tüm GPYZ modelleri için geçerli olduğu gibi, GPYZ model sağlayıcıları için çeşitli yükümlülükler öngörmektedir.

5. GPYZ modellerinin, YZ değer zinciri boyunca "geniş ölçekte yayılabilen" ve "yüksek etkili" niteliklere sahip oldukları durumlarda "sistemik" bir risk oluşturduğu kabul edilecektir. Bunlar, yukarıda yer alan şeffaflık gerekliliklerine ek yükümlülüklere tabidir.

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.

Authors
Photo of Baran Gen
Baran Gen
Photo of Özgür Aydın
Özgür Aydın
Photo of Can Aydiş
Can Aydiş
Your Author LinkedIn Connections
See More Popular Content From

Mondaq uses cookies on this website. By using our website you agree to our use of cookies as set out in our Privacy Policy.

Learn More