Rehberden Notlar
AIPA (Yapay Zeka Politikaları Derneği), 16 Mart 2026'da Türkiye'de yapay zeka sistemlerinin sorumlu biçimde geliştirilmesi ve kullanılması için bir çerçeve sunmayı amaçlayan rehberini yayımladı. Belge dört ana bölümden oluşuyor: Veri Yönetimi ve Kalite Güvencesi, Model Geliştirme ve Kontrolleri, İzleme, Denetim ve KPI Yönetimi, Yönetişim ve Etik Kurumsal Yapılanma.
Her bölüm aynı üç katmanla yapılandırılmış: uluslararası standartlara atıflı Temel Uyum Gereklilikleri, Tavsiye Edilen İyi Uygulamalar ve kurumların öz değerlendirme için kullanabileceği Kontrol Listesi. İzleme bölümü ayrıca somut Kilit Performans Göstergeleri (KPI) önerileri içeriyor: disparate impact ölçümü, açıklanabilirlik oranları, kullanıcı şikayet çözüm süreleri ve enerji tüketimi göstergeleri bunların arasında.
Temel mesaj net: AI sistemleri sadece işlevsel değil; anlaşılabilir, izlenebilir ve denetlenebilir yapılar halinde kurulmalı. Türkiye'de AI yönetişimi tartışması çoğunlukla "ne yapmalıyız?" sorusunda kalıyor; rehber "nerede durduğumuzu nasıl ölçeriz?" sorusuna somut araçlarla yanıt veriyor. Referans listesi dikkat çekici genişlikte: EU AI Act, KVKK, ISO/IEC 42001:2023, NIST AI RMF, OECD AI Principles, G7 Hiroshima AI Process ve daha fazlası.
“Anlaşılabilir, izlenebilir ve denetlenebilir yapılar”: bu üç kavram hem AIPA rehberinin hem EU AI Act'in şeffaflık yükümlülüklerinin ortak paydası.
EU AI Act ile Nerede Örtüşüyor?
Rehber, AB mevzuatıyla yalnızca tematik değil; madde bazında da örtüşüyor. AIPA metni, EU AI Act hükümlerini "uyum gerekliliği" ve "kontrol listesi" başlıkları altında doğrudan atıfta bulunarak kullanıyor. Bu, ikinci el bir yorum değil, birincil çerçeve olarak benimseme.
Örtüşmenin en güçlü olduğu alan insan gözetimi. Her iki çerçeve de insan müdahalesini "isteğe bağlı iyi niyet" değil, sistematik bir gereklilik olarak konumlandırıyor. Rehber, Model Geliştirme bölümünde yüksek riskli kararlar için insan onay noktaları tanımlanmasını düzenleyerek doğrudan EU AI Act Madde 14'e (human oversight) atıfta bulunuyor.
Açıklanabilirlik boyutunda rehber, SHAP ve LIME gibi araçların nasıl kullanılması gerektiğini ayrıntılandırıyor ve bunu EU AI Act Madde 13'ün transparency (şeffaflık) ve interpretability (yorumlanabilirlik) gereklilikleriyle ilişkilendiriyor. Kayıt ve izlenebilirlik başlığı EU AI Act Ek IV'e; ciddi olay yönetimi ise Madde 73'e (serious incident reporting) doğrudan atıfla işleniyor.
Ayrımcılık riski meselesinde rehber etik ilkenin ötesine geçiyor. İzleme bölümündeki KPI önerileri arasında disparate impact (%80 kuralı), equalized odds ve treatment equality ölçümleri yer alıyor; bunlar EU AI Act Madde 10-15 ile ISO/IEC 24027 (önyargı ölçüm standardı) çerçevesinde konumlandırılıyor. Yönetişim bölümünde ayrıca EU AI Act'teki gibi iç risk sınıflandırması yapılması ve yüksek riskli sistemler için ayrı gereklilikler uygulanması öneriliyor.
Rehberin Özgün Katkısı: Uluslararası Çerçevelerin Bıraktığı Boşluk
EU AI Act ve ISO/IEC 42001 Türkiye bağlamı için yazılmadı. Bu çerçeveler Türkiye'nin sektörel regülatörlerini, KVKK'nın özgün yükümlülüklerini ve farklı olgunluk seviyelerindeki kurumların gerçekliğini kapsam dışında bırakıyor. AIPA rehberi bu boşluğu dört somut alanda dolduruyor.
Türkiye'ye özgü referans haritası. Yönetişim kontrol listelerinde BDDK ve TİTCK sektörel regülatör olarak açıkça anılıyor. Bu, finans ve sağlık sektörlerindeki kurumlar için AB çerçevelerinin tek başına veremeyeceği bir bağlamsal netlik sağlıyor. KVKK de eşit bir referans çerçevesi olarak konumlandırılmış; GDPR'ın Türkiye uyarlaması olarak değil, bağımsız bir ulusal yükümlülük olarak.
Beş seviyeli kurumsal olgunluk modeli. Rehber, kurumları "uyumlu/uyumsuz" ikili skalasına değil; Ad Hoc, Developing, Mature, Leading ve Transformative olmak üzere beş seviyeli bir spektruma yerleştiriyor. Yönetişim altyapısı henüz kurulmamış bir KOBİ ile YZ Mükemmeliyet Merkezi kurmuş büyük bir kurum, aynı çerçeveyi farklı olgunluk hedefleriyle kullanabiliyor.
YZ Mükemmeliyet Merkezi (AI CoE) modeli. Dördüncü bölüm, kurumların YZ yönetişimini proje düzeyinden çıkarıp kurumsal stratejiye entegre etmesi için bir AI Center of Excellence yapısı öneriyor: merkezi, federatif, gömülü ve hibrit olmak üzere dört model. Bu tür bir kurumsal mimari tartışması ne EU AI Act'te ne KVKK'da ne de standart uyum rehberlerinin büyük çoğunluğunda yer alıyor.
2024 sonrası teknoloji risklerini kapsıyor. Agentic AI ve çoklu ajan sistemleri için Byzantine Fault Tolerance ve kademeli onay mekanizmaları, generative AI içerik işaretleme için C2PA standardı, enerji tüketimi ve karbon ayak izi KPI'ları: bunlar 2024'te yürürlüğe giren EU AI Act'in ayrıntılandırmadığı ama 2026 pratiğinde güncel olan konular. Rehber bu açıdan AB mevzuatının önünde yürüyor.
KVKK Boyutu: Rehberin Kapsamı Nedir?
Rehberin KVKK ile ilişkisi belirsiz değil; doğrudan ve madde bazında. Referans tablosunda KVKK, "Kişisel Verilerin Korunması Kanunu — Türkiye" olarak listelenmiş; bu, rehberin yalnızca AB çerçevelerini uyarlamadığının açık göstergesi.
Entegrasyon ilk bölümden başlıyor. Veri Yönetimi bölümünde "veri kaynağının yasallığı ve etiği" doğrudan KVKK Madde 4'e (genel veri işleme ilkeleri) ve GDPR Madde 5'e atıfta bulunuyor. Aynı bölümün kontrol listesinde "Kişisel Veri Koruması Sağlandı mı? (KVKK; GDPR)" sorusu yer alıyor. Model Geliştirme bölümünde ise "yasal kısıtlamalara uyum" başlığı altında KVKK ve ilgili mevzuat ayrıca vurgulanıyor.
İzleme bölümünde log ve kayıt güvenliği standardı "GDPR/KVKK — Veri güvenliği" olarak konumlandırılıyor; izleme kontrol listesinde "Loglar Güvenli mi? (GDPR/KVKK uyumu)" sorusu yer alıyor. Yönetişim bölümünde iki somut entegrasyon noktası öne çıkıyor: yüksek riskli sistemler için yapılacak AI Etki Değerlendirmeleri'nin KVKK kapsamındaki Veri Koruma Etki Değerlendirmesi (DPIA) süreçleriyle birlikte yürütülmesi öneriliyor; kurumların ayrıca KVKK/GDPR kapsamındaki Veri Koruma Görevlisi ile YZ uyum sorumlusunun düzenli iş birliği içinde çalışmasını sağlaması bekleniyor.
Rehberin yönetişim kontrol listesinde ROPA (Veri İşleme Faaliyetleri Kaydı) ile YZ sistemleri envanterinin entegre edilip edilmediği soruluyor; bu, KVKK kayıt yükümlülüklerini AI bağlamına taşıyan önemli bir köprü. Otomatik kararlara itiraz hakkı ise GDPR Madde 22 ve ilgili EDPB rehberi üzerinden ele alınıyor; KVKK Madde 11(1)(g) ile doğrudan eşdeğer. KVKK Kurumu'nun Mart 2026'da yayımladığı Etken Yapay Zeka (Agentic AI) rehberiyle birlikte değerlendirildiğinde, iki belge çelişmiyor; farklı odaklardan aynı pratiği ele alıyor.²
Türk Şirketleri İçin Ne Anlam İfade Ediyor?
Açıkçası, AIPA rehberini iyi bir başlangıç olarak görüyorum. Türkiye'de AI yönetişimi tartışmasını "güvenli ve sorumlu AI" düzeyinden "kurumsal pratik" düzeyine taşıyan bir belge bu. Kontrol listeleri ve iyi uygulama önerileri içermesi, özellikle kaynak kısıtlı KOBİ'ler için değerli.
Burada önemli bir ayrımı netleştirmek gerekiyor: AB pazarında faaliyet gösteren ya da AB kullanıcılarına hizmet sunan Türk şirketleri için EU AI Act zaten uygulanıyor; rehbere uyulup uyulmamasından bağımsız olarak. Yasak uygulamalar için 35 milyon Euro veya küresel ciron yüzde yedisi, yüksek riskli ihlallerde 15 milyon Euro veya yüzde üçü; KOBİ ve girişimler için ise bu tutarların düşük olanı esas alınıyor (Madde 99(6)).¹ Bu şirketler için yasal uyum sorusu yönetmelik metnine bakılarak yanıtlanır. AIPA rehberi bu soruyu yanıtlamak için tasarlanmış bir belge değil; ikisi aynı işi yapmıyor.
Peki nereden başlamalı? ORIENT çerçevesinde önerdiğimiz sıra şu: önce sistemi tanımla (Observe), ardından EU AI Act kapsamında risk sınıfını belirle (Risk), uygulanabilir yasal yükümlülükleri haritalandır (Identify), mevcut boşlukları değerlendir (Evaluate), eylem planı çıkar (Navigate), sürekli izleme kur (Track). AIPA rehberi, bu akışın özellikle Evaluate ve Navigate aşamalarına katkı sağlıyor. Ama Observe ve Risk aşamaları için EU AI Act metnine dönmek kaçınılmaz.
| Konu | AIPA Rehberi (iyi uygulama) |
EU AI Act (bağlayıcı hukuk) |
KVKK (bağlayıcı hukuk) |
|---|---|---|---|
| Veri yönetişimi | ✓ | ✓ | ✓ |
| Risk sınıflandırması (Ek III) | — | ✓ | — |
| İnsan gözetimi | ✓ | ✓ | — |
| Otomatik karar itiraz hakkı | ✓ | — | ✓ |
| Şeffaflık yükümlülüğü | ✓ | ✓ | — |
| Yaptırım mekanizması | — | ✓ | ✓ |
Sonuç: Doğru Araç, Doğru Katmanda
AIPA rehberi, Türkiye'deki AI yönetişimi tartışmasına değerli bir katkı. Kurumlara kendi iç süreçlerini değerlendirmek için somut bir zemin sunuyor; kontrol listeleri ve iyi uygulama önerileriyle özellikle kurumsal farkındalık yaratmada işlevli.
Ama rehberin işlevini doğru anlamak gerekiyor. AB pazarında yer alan ya da AB kullanıcılarına hizmet sunan Türk şirketleri için EU AI Act zaten bağlayıcı; 2 Ağustos 2026 yüksek riskli sistem uyum tarihi yaklaşıyor. Bu şirketler için yasal uyum soruları hukuki metinlere, rehberler ise kurumsal gelişime yönelik. İkisi birbirini dışlamıyor; ama biri diğerinin yerini tutmuyor.
Türkiye'de bu iki katmanı, yani gönüllü iyi uygulama rehberlerini ile bağlayıcı AB mevzuatını, ayrı ayrı konumlandırarak ele alan analiz henüz az. Bu boşluğu doldurmaya devam edeceğiz.
1. Avrupa Parlamentosu ve Konseyi. Regulation (EU) 2024/1689 — Artificial Intelligence Act, Madde 99. EUR-Lex, 12 Temmuz 2024. eur-lex.europa.eu
2. Kişisel Verileri Koruma Kurumu. Etken Yapay Zekâ (Agentic AI) Rehberi. Mart 2026. kvkk.gov.tr
3. Yapay Zeka Politikaları Derneği (AIPA). Yapay Zekâ Etiği ve Yönetişimi İyi Uygulamalar Rehberi. 16 Mart 2026. aipaturkey.org