- in European Union
- in European Union
- with readers working within the Media & Information industries
- within Technology and Privacy topic(s)
Avrupa Birliği’nin (“AB”) 2024/1689 sayılı Yapay Zekâ Kanunu (Regulation (EU) 2024/1689), 12 Temmuz 2024 tarihinde AB Resmî Gazetesi’nde yayımlanmıştır. Kanun, yapay zekâ sistemleri için risk temelli ve kapsamlı bir uyum çerçevesi getirmektedir. Genel uygulama tarihi 2 Ağustos 2026’dır. Bu tarihten itibaren, özellikle yüksek riskli yapay zekâ sistemleri bakımından önemli yükümlülükler uygulanacaktır. Yapay Zeka Kanunu yalnızca AB’de yerleşik şirketleri değil, çıktıları AB’de kullanılan yapay zekâ sistemlerinin AB dışındaki sağlayıcılarını ve dağıtıcılarını da etkileyebilmektedir. Bu nedenle Türkiye’deki şirketlerin de yapay zekâ kullanımını kişisel verilerin korunması ve yurt dışı veri aktarımı boyutlarıyla birlikte değerlendirmesi gerekmektedir.
I. AB Yapay Zekâ Kanunu: 2 Ağustos 2026’da Uygulanacak Başlıca Yükümlülükler
AB Yapay Zekâ Kanunu kademeli bir uygulama takvimi öngörmektedir. Yasaklanan yapay zekâ uygulamaları ve yapay zekâ okuryazarlığına ilişkin hükümler 2 Şubat 2025’ten itibaren uygulanmaya başlamıştır. Yönetişim hükümleri ve genel amaçlı yapay zekâ modeli yükümlülükleri ise 2 Ağustos 2025’ten itibaren yürürlüktedir. 2 Ağustos 2026, özellikle Ek III kapsamındaki yüksek riskli yapay zekâ sistemleri ve şeffaflık yükümlülükleri bakımından kritik tarihtir. Bu kapsamda biyometri, kritik altyapı, eğitim, istihdam, temel hizmetlere erişim, kolluk, göç ve sınır kontrolü, adalet ve demokratik süreçler gibi alanlarda kullanılan sistemler; risk yönetimi, veri yönetişimi, teknik dokümantasyon, kayıt tutma, şeffaflık, insan gözetimi ve siber güvenlik standartlarına tabi olacaktır. Bazı yüksek riskli sistemler için AB hukukunda daha uzun geçiş süreleri de öngörülebilmektedir.
II. AB Yaptırım Rejimi: Uyumsuzluğun Mali Sonuçları
Kanun, uyumsuzluk hâllerinde yüksek idari para cezaları öngörmektedir. Yasaklanan yapay zekâ uygulamalarına aykırılık hâlinde 35 milyon avro veya yıllık küresel cironun %7’si; yüksek riskli sistemlere ilişkin yükümlülüklere aykırılık hâlinde 15 milyon avro veya cironun %3’ü; yanlış, eksik veya yanıltıcı bilgi verilmesi hâlinde ise 7,5 milyon avro veya cironun %1’i tutarında ceza uygulanabilir. Her durumda yüksek tutar esas alınır. Genel amaçlı yapay zekâ modelleri için Avrupa Komisyonu tarafından uygulanabilecek ayrı bir yaptırım rejimi de bulunmaktadır. Bu tutarlar, Avrupa Birliği Genel Veri Koruma Tüzüğü (General Data Protection Regulation - GDPR) kapsamındaki ceza ölçeğinin üzerindedir.
III. Türkiye’de Yapay Zekâ Düzenlemeleri: Mevcut Durum
Türkiye’de yapay zekâya ilişkin düzenleyici çerçeve hızla gelişmektedir. Türkiye Büyük Millet Meclisi (“TBMM”) bünyesindeki Yapay Zekâ Araştırma Komisyonu çalışmalarını tamamlamış; ayrıca yapay zekâ sistemlerinin güvenli, etik ve adil kullanımına ilişkin kanun teklifleri TBMM gündemine gelmiştir. 23 Temmuz 2025 tarihinde sunulan kanun teklifi, yapay zekâ kaynaklı sorumluluk, kişisel verilerin korunması, deepfake içerikler, siber güvenlik ve idari yaptırımlar gibi başlıklarda değişiklikler öngörmektedir. Teklif hâlen kanunlaşma sürecindedir.
Kurumsal yapılanma da güçlenmektedir. 25 Aralık 2025 tarihli Cumhurbaşkanlığı kararnameleriyle Sanayi ve Teknoloji Bakanlığı bünyesinde Milli Teknoloji ve Yapay Zekâ Genel Müdürlüğü oluşturulmuş; Cumhurbaşkanlığı Siber Güvenlik Başkanlığının dijital devlet, kamuda yapay zekâ ve veri yönetişimi alanındaki görevleri genişletilmiştir. Kişisel Verileri Koruma Kurumu (Kurum) da 2025 yılında “Üretken Yapay Zekâ ve Kişisel Verilerin Korunması Rehberi”ni, 2026 yılında ise “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı” dokümanını yayımlamıştır. Bu gelişmeler, yapay zekâ kullanımının yalnızca teknoloji değil, aynı zamanda veri koruma, yönetişim ve uyum konusu olarak ele alınması gerektiğini göstermektedir.
IV. Yapay Zekâ Kullanımında Yurt Dışı Veri Aktarımı Riski
Şirketlerin günlük işlerinde kullandığı üretken yapay zekâ araçları, çoğu durumda yurt dışındaki sunucular, alt sağlayıcılar veya destek ekipleriyle çalışmaktadır. Bu nedenle ChatGPT, Copilot, Gemini ve benzeri araçlara çalışan bilgisi, müşteri verisi, sözleşme, dava evrakı, teklif dosyası veya ticari sır girilmesi; somut kullanım şekline göre yurt dışına kişisel veri aktarımı riski doğurabilir. Veri yalnızca görüntülense, teknik destek amacıyla erişilse veya platform üzerinde işlenip çıktı üretilse bile bu süreçlerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“KVKK”) kapsamında değerlendirilmesi gerekir.
Bu noktada “Gölge Yapay Zekâ” riski ortaya çıkar. Gölge Yapay Zekâ, çalışanların şirket politikası, onayı veya denetimi dışında yapay zekâ araçları kullanmasıdır. Politika ve denetim yoksa çalışanlar farkında olmadan kişisel verileri yurt dışındaki platformlara aktarabilir. KVKK’nın 9. maddesindeki yurt dışı aktarım koşullarına uyulmadığında bu durum idari para cezası, veri ihlali bildirimi, itibar kaybı ve tazminat riski yaratabilir. Veri sorumlusunun “bu kullanımdan haberim yoktu” savunması da tek başına sorumluluğu ortadan kaldırmayabilir.
V. Şirketler İçin Öncelikli Aksiyon Adımları
- Yapay zekâ kullanım politikası hazırlanmalıdır: Şirket içinde hangi yapay zekâ araçlarının kullanılabileceği, hangi amaçlarla kullanılacağı ve hangi verilerin bu araçlara girilemeyeceği açıkça belirlenmelidir. Politika tüm çalışanlara duyurulmalı ve uygulama düzenli olarak takip edilmelidir.
- Yapay zekâ sistem envanteri çıkarılmalıdır: Şirketin kullandığı, tedarikçilerden aldığı veya üçüncü kişilere sunduğu tüm yapay zekâ sistemleri listelenmelidir. Her sistemin amacı, işlediği veri türleri, kullanıldığı birim, tedarikçisi ve risk seviyesi belirlenmelidir.
- Yurt dışı veri aktarımı süreçleri kontrol edilmelidir: Yapay zekâ araçları aracılığıyla oluşan veri akışları haritalanmalı; standart sözleşme, bağlayıcı şirket kuralları, açık rıza veya başka bir hukuki mekanizmanın gerekli olup olmadığı değerlendirilmelidir.
- Aydınlatma metinleri ve rıza süreçleri güncellenmelidir: Yapay zekâ sistemleri aracılığıyla kişisel veri işleniyorsa bu faaliyet aydınlatma metinlerine eklenmelidir. Otomatik karar alma süreçleri açıkça anlatılmalı ve gerekli hâllerde açık rıza alınmalıdır.
- Otomatik karar alma süreçlerinde insan gözetimi sağlanmalıdır: İşe alım, performans değerlendirme, kredi skorlama veya risk analizi gibi süreçlerde yalnızca yapay zekâ çıktısına dayanılmamalıdır. Kararın etkisini anlayabilecek ve gerektiğinde müdahale edebilecek bir insan kontrolü kurulmalıdır.
- Veri güvenliği tedbirleri güçlendirilmelidir: Yetki sınırlandırması, kayıt yönetimi, sızma testleri, veri maskeleme, anonimleştirme ve sentetik veri kullanımı gibi teknik ve idari tedbirler uygulanmalıdır. Hassas veya gizli verilerin açık platformlara girilmesi engellenmelidir.
- VERBİS kayıtları gözden geçirilmelidir: Yapay zekâ sistemleri aracılığıyla işlenen kişisel veri kategorileri, alıcı grupları ve yurt dışı aktarım süreçleri Veri Sorumluları Sicil Bilgi Sistemi (“VERBİS”) kayıtlarına yansıtılmalıdır.
- Çalışan farkındalık eğitimleri düzenlenmelidir: Çalışanlar, hangi verileri yapay zekâ araçlarına giremeyeceklerini, gizlilik ve yurt dışı aktarım risklerini, şirket politikasını ve ihlal hâlinde izlenecek bildirim sürecini bilmelidir.
- Tedarikçi ve veri işleyen sözleşmeleri incelenmelidir: Yapay zekâ hizmeti alınan tedarikçilerle yapılan sözleşmelerde veri sorumlusu/veri işleyen rolleri, veri güvenliği yükümlülükleri, alt veri işleyen kullanımı, veri saklama süreleri ve yurt dışı aktarım hükümleri açıkça düzenlenmelidir.
VI. KVKK İdari Para Cezaları ve Kurul’un Güncel Yaklaşımı
KVKK’nın 18. maddesinde düzenlenen idari para cezaları, her yıl yeniden değerleme oranına göre güncellenmektedir. 2026 yılı itibarıyla bu cezalar, ihlal türüne göre 85.437 TL ile 17.092.242 TL arasında değişmektedir. Aydınlatma yükümlülüğünün yerine getirilmemesi, veri güvenliğine ilişkin gerekli tedbirlerin alınmaması, Kişisel Verileri Koruma Kurulu (“Kurul”) kararlarına uyulmaması ve Veri Sorumluları Sicili’ne kayıt yükümlülüğünün ihlal edilmesi ayrı ayrı idari para cezasına konu olabilmektedir.
Bu çerçevede, yapay zekâ sistemleri üzerinden yürütülen kontrolsüz kişisel veri işleme faaliyetleri, tek bir risk alanıyla sınırlı kalmayabilir. Örneğin, çalışanların kişisel verileri anonimleştirmeden veya gerekli kontrolleri yapmadan yapay zekâ araçlarına yüklemesi; aydınlatma yükümlülüğünün eksik yerine getirilmesi, hukuka aykırı yurt dışı veri aktarımı ve veri güvenliği tedbirlerinin yetersiz kalması gibi birden fazla KVKK ihlalini aynı anda gündeme getirebilir.
Kurul’un yurt dışı aktarım ve veri güvenliğine ilişkin kararları da veri sorumlularının, kendi bilgisi dışında gerçekleşen veya yeterli denetime tabi tutulmayan veri işleme faaliyetlerinden sorumlu tutulabileceğini göstermektedir. Bu nedenle, şirketlerin yapay zekâ araçlarının kullanımını yazılı politikalar, teknik kontroller ve çalışan farkındalık eğitimleriyle yönetmesi önem taşımaktadır. Aksi halde ortaya çıkabilecek sonuçlar yalnızca idari para cezalarıyla sınırlı kalmayacak; müşteri güveninin zedelenmesi, ticari sırların açığa çıkması, itibar kaybı ve tazminat talepleri de gündeme gelebilecektir.
VII. Sonuç
2 Ağustos 2026, yalnızca Avrupa Birliği’nde faaliyet gösteren şirketler için değil, yapay zekâ sistemlerinin çıktıları Avrupa Birliği’nde kullanılan Türkiye’deki şirketler için de kritik bir uyum eşiğidir. AB Yapay Zekâ Kanunu’nun sınır ötesi etkisi, Türkiye’deki düzenleme çalışmaları, Kişisel Verileri Koruma Kurumu’nun rehberleri ve KVKK kapsamındaki yükümlülükler birlikte değerlendirildiğinde, şirketlerin yapay zekâ kullanımını “bekle ve gör” yaklaşımıyla yönetmesi artık güvenli değildir.
Bu nedenle şirketlerin, kullandıkları yapay zekâ araçlarını tespit etmesi, veri akışlarını haritalaması, yurt dışı aktarım mekanizmalarını kontrol etmesi, çalışanlarını eğitmesi ve yapay zekâ kullanımını yazılı politikalarla yönetmesi gerekmektedir. Aksi halde idari para cezalarının yanı sıra veri ihlali, itibar kaybı, ticari sırların açığa çıkması ve tazminat talepleri gibi ciddi riskler gündeme gelebilecektir.
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.